RHCE——Apache

1.Apache的作用

Apache HTTP Server（简称Apache）是Apache软件基金会的一个开放源码的网页服务器，可以在大多数计算机操作系统中运行，由于其多平台和安全性被广泛使用，是最流行的Web服务器端软件之一.
简言而知，Apache是在web被访问时，http:// （超文本传输协议）的提供软件。
http:// 超文本传输协议提供软件： Apache nginx stgw jfe Tengine

一些常见的网页服务器软件有：

---

2.Apache的安装

环境：rhel8
ip:192.168.0.11
dnf install httpd.x86_64 -y

---

3.Apache的启用

systemctl enable --now httpd 开启服务并设定服务位开机启动
firewall-cmd --list-all 查看火墙信息
firewall-cmd --permanent --add-service=http 在火墙中永久开启http访问
firewall-cmd --permanent --add-service=https 在火墙中永久开启https访问
firewall-cmd --reload 刷新火墙使设定生效

---

4.Apache的基本信息

服务名称	httpd
主配置文件	/etc/httpd/conf/httpd.conf
子配置文件	/etc/httpd/conf.d/*.conf
默认发布目录	/var/www/html
默认发布文件	index.html
http端口	80
https端口	443
用户	apache
日志	/etc/httpd/logs

---

5.Apache的基本配置

5.1 Apache端口修改

vim /etc/httpd/conf/httpd.conf
Listen 6666 更改端口
firewall-cmd --permanent --add-port=6666/tcp 在火墙中添加端口
firewall-cmd --reload
semanage port -l | grep http
semanage port -a -t http_port_t -p tcp 6666 在selinux中添加端口
systemctl restart httpd

实验一：更改端口号为8080
注意：8080端口是被用于WWW代理服务的，可以实现网页浏览，经常在访问某个网站或使用代理服务器的时候，会加上“:8080”端口号。另外Apache Tomcat web server安装后，默认的服务端口就是8080。

---

实验二：更改端口号为6060
注意：有些端口号由于浏览器安全限制最终会导致无法访问，如火狐浏览器不能访问6666端口

---

5.2 默认发布文件

注意： 默认发布文件如果不存在，访问的内容为测试仪； 默认发布文件如果存在，访问的内容为文件内容。
可在配置文件中更改默认发布文件
vim /etc/httpd/conf/httpd.conf
DirectoryIndex  test.html   index.html
(注意：这里会先访问前面的默认发布文件，如果失效再访问后面的)
systemctl restart httpd

---

实验：更改默认发布文件

---

5.3 默认发布目录

1.更改配置文件，指定默认发布目录位置并授权
vim /etc/httpd/conf/httpd.conf

 <Directory "/test/html"> 
  DocumentRoot "/test/html" 
  Require all granted 
 </ Directory> 
 `

systemctl restart httpd`

2.更改发布目录的安全上下文同默认安全上下文一致
semanage fcontext -a -t httpd_sys_content_t '/westos(/.*)?'
restorecon -RvvF /westos/ systemctl restart httpd
firefox http://192.168.0.11

---

6.Apache的访问控制

实验素材
mkdir /var/www/html/usertest
vim /var/www/html/usertest/index.html

< h1>westosdir's page </ h1>

firefox http://192.168.0.11/westos


rhe8的ip:192.168.0.10
rhe7的ip:192.168.0.20

---

1.基于客户端ip的访问控制
vim /etc/httpd/conf/httpd.conf
ip白名单在配置文件中的更改

<Directory "/var/www/html/usertest">        
Order Deny,Allow        
Allow from 192.168.0.10        
Deny from All 
</Directory>

ip黑名单在配置文件中的更改

<Directory "/var/www/html/usertest">        
Order Allow,Deny       
 Allow from All        
Deny from 192.168.0.10 
</Directory>

黑名单实验：

---

白名单实验：

---

2.基于用户认证
1.在配置文件更改用户认证信息
vim /etc/httpd/conf/httpd.conf

 <Directory "/var/www/html/westos">       
  AuthUserfile /etc/httpd/htpasswdfile ##指定认证文件        
  AuthName "Please input your name and password" ##认证提示语        
  AuthType basic ##认证类型       
  Require user admin ##允许通过的认证用户 2选1 
  Require valid-user ##允许所有用户通过认证 2选 1 
  </Directory>  
 <

font color=blue>2.生成认证文件
htpasswd -cm /etc/httpd/htpasswdfile admin
注意： 当/etc/httpd/htpasswdfile存在那么在添加用户时不要加-c参数否则会覆盖源文件内容

实验一：允许所有用户验证：

注意：再次登录不需要输入密码，清空历史后需要再次输入密码

---

实验二：允许指定用户验证：

---

7.Apache的虚拟主机

1.一个IP建立多个站点
mkdir -p /var/www/westos.com/{news,wenku}
echo "wenku's page" >/var/www/westos.com/wenku/index.html
echo "news's page" > /var/www/westos.com/news/index.html
echo "default's page" > /var/www/html/index.html

2.在httpd的子配置文件中配置虚拟主机
vim /etc/httpd/Virtualhost.conf

DocumentRoot "/var/www/html" 
CustomLog logs/default.log combined 
</VirtualHost>

 <VirtualHost *:80> 
 ServerName wenku.westos.com 
 DocumentRoot "/var/www/westos.com/wenku" 
 CustomLog logs/wenku.log combined 
 </VirtualHost>
 
 <VirtualHost :80> 
 ServerName news.westos.com 
 DocumentRoot "/var/www/westos.com/news" 
 CustomLog logs/news.log combined 
 </VirtualHost>

systemctl restart httpd

3.在浏览器所在主机（客户端）中设置地址解析
vim /etc/hosts

4.测试：在 firefox浏览器中测试
**http://www.test.com **
**http://wenku.test.com **

http://news.westos.com

---

8.Apache的支持语言

8.1 支持html（默认）

cd /var/www/html ##切换到默认发布目录
echo "default's page" > /var/www/html/index.html ##编辑默认发布文件

---

8.2 支持php

dnf install php -y 安装php
vim /var/www/html/index.php z在默认发布目录中发布php发布文件

<? 
php phpinfo(); 
?>

systemctl restart httpd
测试：firefox http://192.168.0.11/index.php

---

---

8.3 支持cgi

1.生成cgi脚本,并给与执行权限
mkdir /var/www/html/cgidir
vim /var/www/html/cgidir/index.cgi


2.要允许对用户目录中以.cgi结尾的任何文件执行CGI程序
vim /etc/httpd/conf.d/Virtualhost.conf
<Directory “/var/www/html/cgidir”>
Options +ExecCGI AddHandler cgi-script .cgi
</ Directory>

3.测试： firefox http://192.168.0.11/cgidir/index.cgi（注意关闭selinux)

---

实验：

---

9.Apache的加密访问

当需要使用更加安全的浏览器，如在用信用卡进行网上付款需要输入密码时：顾客点击链接建立TCP连接后，先进行浏览器和服务器之间的握手协议，完成加密算法的协商和会话密钥的传递，然后进行安全数据传输。HTTP会调用SSL/TLS对整个网页进行加密，为此万维网服务器使用SSL的默认服务端口443来取代普通万维网服务的80端口，此时在网址栏原先显示的http的地方会变成https。在协议明http后面加的s代表security，表明现在使用的是提供安全服务的HTTP协议。

9.1 生成apache加密证书

要求：安装SSL插件

---

1.生成私钥
openssl genrsa -out /etc/pki/tls/private/www.test.com.key 2048

---

2.生成证书签名文件
openssl req -new -key /etc/pki/tls/private/www.westos.com.key -out /etc/pki/tls/certs/www.test.com.csr

---

3.生成证书
openssl x509 -req -days 365 -in /etc/pki/tls/certs/www.test.com.csr -signkey /etc/pki/tls/private/www.westos.com.key -out /etc/pki/tls/certs/www.westos.com.crt
注意：
x509 证书格式 ；-req 请求；-in 加载签证名称
-signkey /etc/pki/tls/private/www.westos.com.key 指定签证Key文件

---

4.编辑ssl配置文件
vim /etc/httpd/conf.d/ssl.conf

---

9.2 仅对需要内容加密访问

注意：加密访问虽然安全，但是会影响传输速率，我们可用在登录用户需要交互信息时进行加密访问。
1.建立登录等站点
mkdir -p /www/test.com/{wenku,news,login}

---

2.在http子配置文件中授权
vim /etc/httpd/conf.d/vhost.conf

 <VirtualHost *:80> 
 ServerName login.test.com 
 RewriteEngine on 
 RewriteRule ^(/.*)$ https://%{HTTP_HOST}$1 ##使网页从80端口自动跳转到443
 </VirtualHost>
 
 <VirtualHost *:443> 
 ServerName login.westos.com 
 DocumentRoot "/www/test.com/login" 
 CustomLog logs/login.log combined 
 SSLEngine on 
 SSLCertificateFile /etc/pki/tls/certs/www.westos.com.crt SSLCertificateKeyFile /etc/pki/tls/private/www.westos.com.key 
 </VirtualHost>

systemctl restart httpd
注意：
^(/.*)$——客户地址栏中输入的地址
%{HTTP_HOST} ——客户主机
$1 ——RewriteRule后面跟的第一串字符的值



测试：

---

10.Squid+Apache

10.1 squid 正向代理

实验环境: 两台主机
单网卡主机rhel8_node1：设定ip不能上网 IP：172.25.254.10
双网卡主机rhel8_node2：设定ip1可以连接单网卡主机，设定ip2可以上网
IP1：172.25.254.100
IP2：192.168.0.33（可以上网）

---

实验操作： 在双网卡主机中
dnf install squid -y
vim /etc/squid/squid.conf

59 http_access allow all 
65 cache_dir ufs /var/spool/squid 100 16 256

systemctl restart squid firewall-cmd --permanent --add-port=3128/tcp
firewall-cmd --reload

**实验效果： 在单网卡主机中设置浏览器中的 NetWork Proxy
** 让单网卡主机不能上网但浏览器可以访问互联网页
测试： 在单网卡主机中 ping www.baidu.com 不通 在浏览器中访问www.baidu.com可以


测试： 在单网卡主机中 ping www.baidu.com 不通 在浏览器中访问www.baidu.com可以

10.2 squid反向代理

实验环境:
192.168.0.100 ##Apache服务器
192.168.0.33 ##squid，没有数据负责缓存

实验操作：
vim /etc/squid/squid.conf
http_port 80 vhost vport ##vhost 支持虚拟域名 vport 支持虚拟端口
#当192.168.0.12的80端口被访问会从192.168.0.11的80端口缓存数据
cache_peer 192.168.0.11 parent 80 0 proxy-only
systemctl restart squid

测试： firefox http://192.168.0.12 访问看到的时192.168.0.11上的数据