给大家带来CentOS中apache站点宁静解说

如果您觉得本篇CentOSLinux教程讲得好，请记得点击右边漂浮的分享程序，把好文章分享给你的好朋友们！因为http是基于明文传输的，以是站点上的信息很简单被他人看到，为了完成我们的站点的宁静性，我们一般的做法有三种：身份考证、来历把持和加密会见（https）。

1.身份考证：望文生义，当用户会见我们的站点时，必要对会见者举行身份考证，只要用户输出准确的用户名和口令才干会见我们的站点内容。
情况：rhel5.4
所利用的软件包：httpd-2.2.3-31.el5.i386.rpm
详细完成：
echo“welcometomyhome”>/var/www/html/index.html创立一个网站首页
vim/etc/httpd/conf/httpd.conf修正httpd的设置文件
306<Directory"/var/www/html">
327AllowOverrideall此处将none修正为all
335</Directory>
servicehttpdstart启动httpd办事
在站点根目次创立一个名为.htaccess的申明文件，文件内容以下：
authuserfile/var/www/.htpasswd指明考证库文件
authname"pleaseinputyournameandpassword"考证提醒
authtypebasic指明考证范例
requirevalid-user指明可会见的用户（正当考证的用户）
利用htpasswd发生.htpasswd帐号文件：
htpasswd-c/var/www/.htpasswdzhangsan（注重：在发生新文件时必要-c，追加用户时不必要）
Newpassword:123
Re-typenewpassword:123
servicehttpdrestart从头启动httpd办事


2.来历把持：即我们能够限定同意和克制哪些网段的用户的会见。
详细完成：
我们只必要在下面的基本之上对httpd的设置文件举行修正便可:
332Orderallow,deny
333denyfrom192.168.2.2暗示同意除192.168.2.2之外的用户会见
334Allowfromall
注重：332行的按次，按次分歧，了局就分歧哦！


3.加密会见:我们经由过程http和宁静套接字ssl分离从而完成站点的宁静性的考证。ssl是介于使用层与传输层的一个夹层，因为http是明文传输的，为了对实在现必定的宁静性，网景（Netscape）公司开辟出了ssl后经尺度化构造尺度化今后也被称为tls。
https的道理：client在会见server时，server会向client出具数字证书（该证书是由证书机构CA发表的）,证书内包括：持有者标识、序列号、公钥（n,e）、无效期、签发机构标识和CA的数字署名（数字署名能够包管信息的完全性、实在性和不成承认性，从而包管证书不被改动）。此时，客户端会发生密钥K，而且在ssl层用办事器的公钥举行加密，经收集传到办事器端在ssl层经办事器的私钥举行解密，此时client与server就具有不异的密钥K，接着client与server举行对称的加密解密的历程来举行信息传送。

登录/注册后可看大图

完成情况：rhel5.4
必要软件包：httpd-2.2.3-31.el5.i386.rpm
mod_ssl-2.2.3-31.el5.i386.rpm
distcache-1.4.5-14.1.i386.rpm此包被mod_ssl所依附
bind-9.3.6-4.P1.el5.i386.rpm
bind-chroot-9.3.6-4.P1.el5.i386.rpm
caching-nameserver-9.3.6-4.P1.el5.i386.rpm
拓扑图：

登录/注册后可看大图

详细完成：
装置所需软件包：
rpm-ivhhttpd-2.2.3-31.el5.i386.rpm
rpm-ivhmod_ssl-2.2.3-31.el5.i386.rpm
rpm-ivhdistcache-1.4.5-14.1.i386.rpm
rpm-ivhbind-9.3.6-4.P1.el5.i386.rpm
rpm-ivhbind-chroot-9.3.6-4.P1.el5.i386.rpm
rpm-ivhcaching-nameserver-9.3.6-4.P1.el5.i386.rpm
因为办事器必要证书，以是必要有证书发表机构CA，以是要先搭建CAserver，在linux上能够用openca和openssl完成CA，我们这里用的是openssl：
vim/etc/pki/tls/openssl.cnf修正设置文件
45dir=/etc/pki/CA指定一切文件的寄存目次（相对路径）
46certs=$dir/certs指定寄存证书的目次
47crl_dir=$dir/crl指定撤消的证书寄存目次
48database=$dir/index.txt数据库索引文件
51new_certs_dir=$dir/newcerts默许安排新刊行的证书的目次
53certificate=$dir/cacert.pemCAserver的证书
54serial=$dir/serial初始证书序列号（今后每刊行一个证书在此基本上+1）
58private_key=$dir/private/cakey.pemCA私钥的寄存地位


88countryName=optional
89stateOrProvinceName=optional
90organizationName=optional
135countryName=CountryName(2lettercode)
136countryName_default=CN
137countryName_min=2
138countryName_max=2
140stateOrProvinceName=StateorProvinceName(fullname)
141stateOrProvinceName_default=HENAN


143localityName=LocalityName(eg,city)
144localityName_default=ZHENGZHOU
下面的certscrlnewcerts目次和index.txtserial文件都不存在，以是此处必要在目次/etc/pki/CA下创立：
mkdircertscrlnewcerts
touchindex.txtserial
echo“01”>serial给serial一个初始值
为CAserver发生私钥：
opensslgenrsa1024>private/cakey.pem
chmod600private/cakey.pem修正私钥的权限
为CAserver发生证书：
opensslreq-new-keyprivate/cakey.pem-x509-outcacert.pem

登录/注册后可看大图

如今我们修正webserver的设置文件/etc/httpd/conf/httpd.conf
#Listen80禁用80端口
cd/var/www/html进进此目次
echo“welcometomyhome”>index.html发生首页
为webserver发表证书：
mkdir/etc/httpd/certs创立寄存web证书及密钥的目次
cd/etc/httpd/certs切换目次
opensslgenrsa1024>httpd.key为webserver发生私钥
chmod600httpd.key修正私钥的权限值
opensslreq-new-keyhttpd.key-outhttpd.req发生证书的哀求文件

登录/注册后可看大图

opensslca-inhttpd.req-outhttpd.certCA签发哀求文件构成证书

登录/注册后可看大图

将证书与webserver举行***，修正/etc/httpd/conf.d/ssl.conf文件
112SSLCertificateFile/etc/httpd/certs/httpd.cert指明证书寄存的地位
119SSLCertificateKeyFile/etc/httpd/certs/httpd.key指明私钥存在的地位
128SSLCertificateChainFile/etc/pki/CA/cacert.pem指明CA的证书地点地位


DNSserver的设置:
cp-pnamed.caching-nameserver.confnamed.conf拷贝设置文件的样例文件
vim/var/named/chroot/etc/named.conf修正设置文件
15listen-onport53{any;};
27allow-query{any;};
28allow-query-cache{any;};
37match-clients{any;};
38match-destinations{any;};
vim/var/named/chroot/etc/named.rfc1912.zones修正地区声明文件，增加一个abc.com的域

登录/注册后可看大图

进进/var/named/chroot/var/named目次下：
cpCplocalhost.zoneabc.com.zone拷贝一个地区文件
vimabc.com.zone修正地区文件

登录/注册后可看大图

客户端举行会见测试:

登录/注册后可看大图

装置证书，使证书发表机组成为信托机构：

登录/注册后可看大图

登录/注册后可看大图

登录/注册后可看大图

登录/注册后可看大图

登录/注册后可看大图

登录/注册后可看大图

再次会见https://www.abc.com

登录/注册后可看大图

本文出自“夜风”博客，请务必保存此出处http://jiangkun08.blog.51cto.com/6266992/1281694


如果您觉得本篇CentOSLinux教程讲得好，请记得点击右边漂浮的分享程序，把好文章分享给你的好朋友们！

随着Linux技术的更加成熟、完善，其应用领域和市场份额继续快速增大。目前，其主要应用领域是服务器系统和嵌入式系统。然而，它的足迹已遍布各个行业，几乎无处不在。

为了更好的学习这门课程，我不仅课上认真听讲，课下也努力学习，为此还在自己的电脑上安装了Ubuntu系统。

随着IT从业人员越来越多，理论上会有更多的人使用Linux，可以肯定，Linux在以后这多时间不会消失。

尽我能力帮助他人，在帮助他人的同时你会深刻巩固知识。

了解Linux的网络安全，系统的安全，用户的安全等。安全对于每位用户，管理员来说是非常重要的。

学习Linux半年了~个人认为不会的多在网上找资料网上有很多资料可以搜索到,LS那位说放手去搞。