给大家带来CentOS中apache站点宁静解说
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的好朋友们!因为http是基于明文传输的,以是站点上的信息很简单被他人看到,为了完成我们的站点的宁静性,我们一般的做法有三种:身份考证、来历把持和加密会见(https)。1.身份考证:望文生义,当用户会见我们的站点时,必要对会见者举行身份考证,只要用户输出准确的用户名和口令才干会见我们的站点内容。
情况:rhel5.4
所利用的软件包:httpd-2.2.3-31.el5.i386.rpm
详细完成:
echo“welcometomyhome”>/var/www/html/index.html创立一个网站首页
vim/etc/httpd/conf/httpd.conf修正httpd的设置文件
306<Directory"/var/www/html">
327AllowOverrideall此处将none修正为all
335</Directory>
servicehttpdstart启动httpd办事
在站点根目次创立一个名为.htaccess的申明文件,文件内容以下:
authuserfile/var/www/.htpasswd指明考证库文件
authname"pleaseinputyournameandpassword"考证提醒
authtypebasic指明考证范例
requirevalid-user指明可会见的用户(正当考证的用户)
利用htpasswd发生.htpasswd帐号文件:
htpasswd-c/var/www/.htpasswdzhangsan(注重:在发生新文件时必要-c,追加用户时不必要)
Newpassword:123
Re-typenewpassword:123
servicehttpdrestart从头启动httpd办事
2.来历把持:即我们能够限定同意和克制哪些网段的用户的会见。
详细完成:
我们只必要在下面的基本之上对httpd的设置文件举行修正便可:
332Orderallow,deny
333denyfrom192.168.2.2暗示同意除192.168.2.2之外的用户会见
334Allowfromall
注重:332行的按次,按次分歧,了局就分歧哦!
3.加密会见:我们经由过程http和宁静套接字ssl分离从而完成站点的宁静性的考证。ssl是介于使用层与传输层的一个夹层,因为http是明文传输的,为了对实在现必定的宁静性,网景(Netscape)公司开辟出了ssl后经尺度化构造尺度化今后也被称为tls。
https的道理:client在会见server时,server会向client出具数字证书(该证书是由证书机构CA发表的),证书内包括:持有者标识、序列号、公钥(n,e)、无效期、签发机构标识和CA的数字署名(数字署名能够包管信息的完全性、实在性和不成承认性,从而包管证书不被改动)。此时,客户端会发生密钥K,而且在ssl层用办事器的公钥举行加密,经收集传到办事器端在ssl层经办事器的私钥举行解密,此时client与server就具有不异的密钥K,接着client与server举行对称的加密解密的历程来举行信息传送。
完成情况:rhel5.4
必要软件包:httpd-2.2.3-31.el5.i386.rpm
mod_ssl-2.2.3-31.el5.i386.rpm
distcache-1.4.5-14.1.i386.rpm此包被mod_ssl所依附
bind-9.3.6-4.P1.el5.i386.rpm
bind-chroot-9.3.6-4.P1.el5.i386.rpm
caching-nameserver-9.3.6-4.P1.el5.i386.rpm
拓扑图:
详细完成:
装置所需软件包:
rpm-ivhhttpd-2.2.3-31.el5.i386.rpm
rpm-ivhmod_ssl-2.2.3-31.el5.i386.rpm
rpm-ivhdistcache-1.4.5-14.1.i386.rpm
rpm-ivhbind-9.3.6-4.P1.el5.i386.rpm
rpm-ivhbind-chroot-9.3.6-4.P1.el5.i386.rpm
rpm-ivhcaching-nameserver-9.3.6-4.P1.el5.i386.rpm
因为办事器必要证书,以是必要有证书发表机构CA,以是要先搭建CAserver,在linux上能够用openca和openssl完成CA,我们这里用的是openssl:
vim/etc/pki/tls/openssl.cnf修正设置文件
45dir=/etc/pki/CA指定一切文件的寄存目次(相对路径)
46certs=$dir/certs指定寄存证书的目次
47crl_dir=$dir/crl指定撤消的证书寄存目次
48database=$dir/index.txt数据库索引文件
51new_certs_dir=$dir/newcerts默许安排新刊行的证书的目次
53certificate=$dir/cacert.pemCAserver的证书
54serial=$dir/serial初始证书序列号(今后每刊行一个证书在此基本上+1)
58private_key=$dir/private/cakey.pemCA私钥的寄存地位
88countryName=optional
89stateOrProvinceName=optional
90organizationName=optional
135countryName=CountryName(2lettercode)
136countryName_default=CN
137countryName_min=2
138countryName_max=2
140stateOrProvinceName=StateorProvinceName(fullname)
141stateOrProvinceName_default=HENAN
143localityName=LocalityName(eg,city)
144localityName_default=ZHENGZHOU
下面的certscrlnewcerts目次和index.txtserial文件都不存在,以是此处必要在目次/etc/pki/CA下创立:
mkdircertscrlnewcerts
touchindex.txtserial
echo“01”>serial给serial一个初始值
为CAserver发生私钥:
opensslgenrsa1024>private/cakey.pem
chmod600private/cakey.pem修正私钥的权限
为CAserver发生证书:
opensslreq-new-keyprivate/cakey.pem-x509-outcacert.pem
如今我们修正webserver的设置文件/etc/httpd/conf/httpd.conf
#Listen80禁用80端口
cd/var/www/html进进此目次
echo“welcometomyhome”>index.html发生首页
为webserver发表证书:
mkdir/etc/httpd/certs创立寄存web证书及密钥的目次
cd/etc/httpd/certs切换目次
opensslgenrsa1024>httpd.key为webserver发生私钥
chmod600httpd.key修正私钥的权限值
opensslreq-new-keyhttpd.key-outhttpd.req发生证书的哀求文件
opensslca-inhttpd.req-outhttpd.certCA签发哀求文件构成证书
将证书与webserver举行***,修正/etc/httpd/conf.d/ssl.conf文件
112SSLCertificateFile/etc/httpd/certs/httpd.cert指明证书寄存的地位
119SSLCertificateKeyFile/etc/httpd/certs/httpd.key指明私钥存在的地位
128SSLCertificateChainFile/etc/pki/CA/cacert.pem指明CA的证书地点地位
DNSserver的设置:
cp-pnamed.caching-nameserver.confnamed.conf拷贝设置文件的样例文件
vim/var/named/chroot/etc/named.conf修正设置文件
15listen-onport53{any;};
27allow-query{any;};
28allow-query-cache{any;};
37match-clients{any;};
38match-destinations{any;};
vim/var/named/chroot/etc/named.rfc1912.zones修正地区声明文件,增加一个abc.com的域
进进/var/named/chroot/var/named目次下:
cpCplocalhost.zoneabc.com.zone拷贝一个地区文件
vimabc.com.zone修正地区文件
客户端举行会见测试:
装置证书,使证书发表机组成为信托机构:
再次会见https://www.abc.com
本文出自“夜风”博客,请务必保存此出处http://jiangkun08.blog.51cto.com/6266992/1281694
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的好朋友们!
给大家带来CentOS中apache站点宁静解说
随着Linux技术的更加成熟、完善,其应用领域和市场份额继续快速增大。目前,其主要应用领域是服务器系统和嵌入式系统。然而,它的足迹已遍布各个行业,几乎无处不在。 为了更好的学习这门课程,我不仅课上认真听讲,课下也努力学习,为此还在自己的电脑上安装了Ubuntu系统。 随着IT从业人员越来越多,理论上会有更多的人使用Linux,可以肯定,Linux在以后这多时间不会消失。 尽我能力帮助他人,在帮助他人的同时你会深刻巩固知识。 了解Linux的网络安全,系统的安全,用户的安全等。安全对于每位用户,管理员来说是非常重要的。 学习Linux半年了~个人认为不会的多在网上找资料网上有很多资料可以搜索到,LS那位说放手去搞。
页:
[1]