|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的好朋友们!本文次要是以CentOS6系列为操纵体系,来装置设置web办事,并完成假造用户,https,和基础的用户认证等相干内容。
写在后面:
操纵体系:CentOS6.5
办事器的IP:172.16.10.9
httpd的版本:httpd-2.2.15系列
SElINUX形态:disabled
上面入手下手装置设置路程:
1、web的装置设置
1、装置:yuminstallhttpdmod_ssl-y
mod_ssl是完成https协定时所依附的包
2、设置文件的相干申明:
设置文件:
/etc/httpd/conf/httpd.conf
/etc/httpd/conf.d/*.conf
办事剧本:
/etc/rc.d/init.d/httpd
剧本设置文件:/etc/sysconfig/httpd,这里能够界说MPM的范例
模块目次:
/usr/lib64/httpd/modules
/etc/httpd/modules
/etc/httpd/modules是/usr/lib64/httpd/modules的链接文件
主步伐:
/usr/sbin/httpd:prefork形式
/usr/sbin/httpd.event:event形式
/usr/sbin/httpd.worker:worker形式
日记文件:
/var/log/httpd/access_log:会见日记
/var/log/httpd/error_log:毛病日记
站点文档的根目次:
/var/www/html
2、httpd的设置文件申明
#grep"Section"httpd.conf
###Section1:GlobalEnvironment
###Section2:Mainserverconfiguration
###Section3:VirtualHosts
次要分为三局部:全局设置,主办事器设置,假造主机的设置。主办事器和假造主机一样平常分歧时利用;默许仅启用了主办事器。在每一个局部中有很多指令参数,这些指令参数不辨别字符巨细写,但其值有大概会辨别巨细写。
3、设置文件选项具体申明
1、耐久毗连
一般的参数有:
KeepAlive{On|Off}是不是开启耐久毗连功效。默许是Off。
以下这2个指令参数只要在KeepAliveOn时才无效
KeepAliveRequests100同意的一次耐久毗连的最年夜哀求数。
KeepAliveTimeout2次耐久毗连工夫的距离
考证效果:
2、MPM参数
ServerStart参数的考证,共有9个相干的历程,个中一个是其他8个的父历程:
3、监听的端口
指定格局:Listen[IP:]port默许的端标语是80
这个端口能够本人指定,一样平常利用人人熟知的端口,经常使用的有80和8080。
4、DSO静态同享工具
在这里能够完成静态库的装载,可使用httpd-DMODULES大概httpd-M来检察已加载的模块名。
示例:
利用mod_deflate模块紧缩页面来优化传输速率。
未利用mod_deflate模块,会见http;//192.168.1.66/messages文件时响应的字节数巨细是:316080字节。
加载mod_deflate模块,并举行设置vim/etc/httpd/conf/httpd.conf。
加载后的考证,加载mod_deflate模块后的巨细是41902字节,紧缩比仍是相称可不雅的。
5、指定站点的根目次
DocumentRoot“/var/www/html”这是rpm装置体例的默许的根站点目次。固然这个能够依据本人的需求来设定。
6、基于目次和文件的会见把持
利用directory指令基于当地文件体系来完成对目次的会见把持。
罕见的把持指令有:
Options:
Indexes:Indexes:当会见的路径下无默许的主页面,将一切资本以列表情势出现给用户。
FollowSymlinks:腾跃标记链接
AloowOverride:撑持在每一个页脸孔录下创立.htaccess用于完成对此目次中资本会见时的会见把持功效。
AuthCofig:用于完成用户认证的目标。
Order分离denyfrom、allowfrom一同利用,来基于IP地点设定会见把持
比方:
这是设置会见白名单的设置,只同意172.16网段的客户端来会见对应的目次。固然from前面的地点是对照天真的,像:172.16,172.16.0.0,172.16.0.0/16,172.16.0.0/255.255.0.0这类情势的都是同意的。
Orderallow,deny
Allowfrom172.16.0.0/16
固然,下面对目次的把持,也能够利用Locaton指令基于URL来完成。
DocumentRoot“/var/www/html”
<Directory"/var/www/html/admin">
会见把持参数
</Directory>
等价于:
<Location"/admin">
会见把持参数
</Location>
关于OptionIndexex参数示例,一样平常此选项作为文件办事器,供应下载利用时利用到此选项,其他情形应稳重利用。
7、指定默许会见的主页面
默许的利用格局以下:这里也能够本人界说主页面
DirectoryIndexindex.htmlindex.html.var
8、设置日记功效
ErrorLog"/path/to/error_log"指明毛病日记的路径,能够顺应绝对地点。相对ServerRoot指令所界说的目次
LogLevel{debug|info|notice|warn|error|crit|alert|emerg}指定日记的级别
LogFormat指定日记文件的格局
CustomLog"/path/to/access_log"LogFormat_Name指定access_log的路径个和利用的格局
- %h:客户端地点
- %l:近程登录名,一般为-
- %u:认证时输出用户名,没有认证时为-
- %t:办事器收到用户哀求时的工夫
- %>s:呼应形态码
- %b:呼应报文的长度,单元是字节
- %{HEADER_NAME}i:纪录指定首部对应的值
9、路径别号
利用指令参数:Alias完成URL路径映照时,会见的路径不在依附于站点的根目次。
10、基于用户会见把持
基于用户的认证的体例有基础认证(Basic)和择要认证(digest)。这里是基于假造用户来完成的。完成的体例有:文本文件、数据库、ldap、数据库引擎来供应API接口。
以基于文件的情势完成用户会见的把持来示例:
1、vim/etc/httpd/conf/httpd.conf
<Directory"/var/www/html/admin">
Optionsnone#optons选项把持
AllowOverrideAuthConfig#完成用户认证
AuthTypeBasic#认证体例是Basic
AuthName"AdminArea."#提醒信息
#AuthBasicProviderfile#认证体例的供应者
AuthUserFile/etc/httpd/conf/.htpasswd#认证文件的路径
Requirevalid-user#上岸用户把持requireuserUSER_NAME
</Directory>
2、供应认证文件
由htpasswd下令失掉。经常使用选项:
-c:假如此文件事前不存在,则创立;注重,只能在创立第一个用户时利用
-m:以md5的格局编码存储用户的暗码信息
-D:删除指定用户
比方:
htpasswd-c-m/etc/hhtpd/.htpasswdtom
3、组认证
<Directory"/var/www/html/admin">
Optionsnone
AllowOverrideAuthConfig
AuthTypeBasic
AuthName"AdminArea."
#AuthBasicProviderfile
AuthUserFile/etc/httpd/conf/.htpasswd
AuthGroupFile/etc/httpd/conf/.htgroup#组文件的路径,本人手动创建
RequiregroupGROUP_NAME
</Directory>
组文件格局:
组名:user1user2user3
11、假造主机
- 假造主机:利用分歧会见路径
- 基于端口:经由过程分歧的端口来供应分歧的会见站点
- 基于IP:基于分歧的ip地点来会见分歧的站点
- 基于主机名:不异的IP地点经由过程分歧的主机名来完成会见分歧的站点
(1)利用假造的条件:作废主办事器
正文主办事器的站点根路径指定:DocumentRoot
(2)界说假造主机
NameVirtualHostIP:PORT#指定监听的地点和端口
<VirtualHostIP:PORT>
ServerName#主机名
ServerAlias#界说多个主机名,此时ServerName的称号应当是UR
DocumentRoot#根站定目次
ServerAlias#主机别号
ErrorLog#毛病日记的界说
CustomLog# 会见日记的界说
</VirtualHost>
设置文件语法反省:
httpd-t
servicehttpdconfigtest
设置完成假造主机后,可以使用httpd-S显现设置的假造主机
测试:crulURL
12、https协定
因为http协定在传输过程当中利用的是明文传输。以是就呈现了https协定来完成加密的https协定。ssl会话基于IP地点创立,以是,每个IP仅创立一个SSL会话。https协定:是基于SSL二进制编码,监听于443/tcp。
ssl握手要完成的事情:
- 互换协定版本号
- 选择两边都撑持的加密体例
- 客户端对办事器端完成身份验正
- 密钥互换
客户端验正办事器端证书:
- 无效性检测:证书是不是仍旧在无效期内
- CA的可托度检测
- 证书的完全性检测
- 持有者的身份检测
设置httpd事情于https:
(1)装置mod_ssl模块
#yuminstallmod_ssl
(2)为办事端天生私钥,并为其供应证书;
在办事端(172.16.10.9):
#(umask077;opensslgenrsa-out/etc/pki/CA/private/cacert.key2048)
#opensslreq-new-x509-key/etc/pki/CA/private/cakey.pem-out/etc/pki/CA/cacert.pem-days1000
#touchindex.txt
#echo"01">serial
在客户端:
#(umask077;opensslgenrsa-out/etc/httpd/httpd.key2048)
#opensslreq-new-key/etc/httpd/httpd.key-out/etc/httpd/httpd.csr
将httpd.csr传到办事端署名:
在办事端:
#opensslca-in/root/httpd.csr-out/root/httpd.crt-days1000
<pstyle="padding:0px;margin:0px;clear:both;height:auto;overflow:hidden;color:rgb(85,85,85);font-family:宋体,ArialNarrow,arial,serif;font-size:14px;line-height:28px;"> |
|