【Linux系统】第13节 CentOS系统中采用Apache发布网站以及访问控制配置详解

1 CentOS系统中Apache的安装

本节只介绍CentOS系统中如何安装及启动Apache服务。而对于kali系统，apache在kali虚拟机中已自带，需要使用命令启动Apache2服务，并查看其状态，具体可参考《 《Kali Linux系统利用Apache发布网站并设置访问限制》》。

1.1 安装前检查

（1）使用root用户登陆系统，并打开终端。
（2）查询系统是否已安装过Apache。因为在Linux系统中，不同方式安装的软件其查询命令不一致，建议使用以下命名查询系统中是否已安装过Apache，在该系统中名称是httpd。查询结果如图所示，均查不到内容。

rpm -qa | grep httpd
yum list installed | grep httpd

1.2 配置IP地址

本实验采用yum方式安装软件，而yum方式安装软件需要联网下载安装包，所以需要保证电脑能够上网。因此需要首先配好IP并将CentOS虚拟机桥接到真实网络中。配置IP的具体步骤如下，具体过程还可以参考《 Linux系统网络信息查看与配置（包括CentOS和Kali）》。
（1）将CentOS虚拟机的网络桥接到真实网络，如下。

（2）查看真实机网络信息。已知真实机IP地址为192.168.1.2，网关为192.168.1.1，DNS地址为192.168.1.1。
（3）查看相关配置文件， cd /etc/sysconfig/network-scripts/ ，该目录下有两个文件存放对应网卡的网络配置信息。

（4）配置网卡ens33。使用VIM编辑器打开ifcfg-ens33文件和进行配置，命令为 vim /etc/sysconfig/network-scripts/ifcfg-ens33 。打开配置文件后，按ins进入插入模式，可以输入命令。在该文件中的配置如下。vim编辑器的具体操作可参考《Linux系统vim编辑器简单应用》。之后按ESC键退出编辑模式，然后输入命令:wq保存并退出该网络配置文件.

（4）重新启动network服务使文件生效，输入命令/etc/init.d/network restart或者service network restart启动network服务管理该文件。然后输入ip addr查看IP地址是否配置完成，发现已配置完成。

（5）此时配置完毕，检验一下是否可以上外网，输入命令ping www.baidu.com，Linux的ping命令不同于Windows默认发4次包，Linux的ping命令会一直发，我们可以按Ctrl+C中止命令，如下图：

1.3 安装及检查

本实验apache的安装采用yum方式安装，具体步骤如下：
（1）输入yum install httpd* -y用这个命令来安装apache。其中，输入-y之后不用一直回复。

（2）需要一小会的等待……提示安装完完毕。

（3）输入命令systemctl start httpd.service启动Apache，并输入命令systemctl status httpd.service查看启动后的状态。看到已成功启动。

（4）通过查看端口验证。输入命令ss -antpl | grep 80查看是否已开启80端口，发现已正常开启。其中ss表示查询已开启端口号、a表示所有、n表示不用尝试解析服务名称、t表示TCP协议、p表示process进程、l表示监听状态、grep 80表示按80过滤。（也可以采用netstat -antpl | grep 80命令）。

（5）打开浏览器，输入IP地址访问网站，成功访问说明apache已安装完成。

2 主页建立与编辑

（1）新建主页及编辑。默认主页目录为/var/www/html，进入到主页所在目录/var/www/html下，输入命令vim /var/www/html/index.html新建主页并编辑。按ins键插入模式下输入以下命令，按Esc键回到命令模式，按：进入末行模式，输入wq保存并退出。

（2）打开win7虚拟机，将win7与CentOS虚拟机桥接到同一个网络且为win7配置IP地址（192.168.1.9），保证win7与CentOS虚拟机能互相ping通。
（3）CentOS虚拟机需要关闭防火墙和关闭selinux防火墙。输入命令systemctl stop firewalld.service关闭防火墙，之后输入命令firewall-cmd --state查看防火墙状态，此时可以看到防火墙已关闭。使用命令setenforce 0关闭selinux防火墙。另外，若想关闭防火墙开机自启动，可以使用命令systemctl disable firewalld.service 。


（4）用win7虚拟机去访问CentOS虚拟机网页。在浏览器输入IP地址进行访问，可以看到访问成功。

3 Apache主配置文件分析

在CentOS系统中，Apache主配置文件的路径为/etc/httpd/conf/httpd.conf，使用命令 vim /etc/httpd/conf/httpd.conf打开Apache主配置文件。文件较长，在末行模式下输入 :set nu 显示行号，方便查看或编辑。注意，在Kali系统中，Apache主配置文件的路径为/etc/apache2/apache2.conf 。该主配置文件主要规定了以下内容：
（1）配置文件规定了服务的根目录，也就是软件装在哪，其他子目录均在此根目录下展开。

# ServerRoot: The top of the directory tree under which the server's
# configuration, error, and log files are kept.
#
# Do not add a slash at the end of the directory path.  If you point
# ServerRoot at a non-local disk, be sure to specify a local disk on the
# Mutex directive, if file-based mutexes are used.  If you wish to share the
# same ServerRoot for multiple httpd daemons, you will need to change at
# least PidFile.
#
ServerRoot "/etc/httpd"

（2）配置文件规定了服务端口号为80.

# Listen: Allows you to bind Apache to specific IP addresses and/or
# ports, instead of the default. See also the <VirtualHost>
# directive.
#
# Change this to Listen on specific IP addresses as shown below to 
# prevent Apache from glomming onto all bound IP addresses.
#
#Listen 12.34.56.78:80
Listen 80

（3）配置文件说明了加载的功能模块

# To be able to use the functionality of a module which was built as a DSO y    ou
# have to place corresponding `LoadModule' lines at this location so the
# directives contained in it are actually available _before_ they are used.
# Statically compiled modules (those listed by `httpd -l') do not need
# to be loaded here.
#
# Example:
# LoadModule foo_module modules/mod_foo.so
#
Include conf.modules.d/*.conf

（4）配置文件说明了服务使用的用户身份。

# If you wish httpd to run as a different user or group, you must run
# httpd as root initially and it will switch.  
#
# User/Group: The name (or #number) of the user/group to run httpd as.
# It is usually good practice to create a dedicated user and group for
# running httpd, as with most system services.
#
User apache
Group apache

（5）配置文件说明了网站主页存放的目录，同时也有对目录中各种功能使用说明。

# DocumentRoot: The directory out of which you will serve your
# documents. By default, all requests are taken from this directory, but
# symbolic links and aliases may be used to point to other locations.
#
DocumentRoot "/var/www/html"

（6）配置文件对网站的访问权限进行了说明。

# Relax access to content within /var/www.
#
<Directory "/var/www">
    AllowOverride None
    # Allow open access:
    Require all granted
</Directory>

（7）配置文件对主页下文件的功能进行了规定，如是否共享、访问权限等。（什么叫做文件共享呢？假如/var/www/html目录下还有其他目录（文件也可以）为share，访问者通过输入http://192.168.1.8/share，则可以下载share下的文件，达到文件共享的目的）若需要关闭文件共享功能，则按下图所示删除indexes后保存即可，注意，要想编辑后的文件生效，需要重启Apache服务（输入命令systemctl restart httpd.service重启）

# Further relax access to the default document root:
<Directory "/var/www/html">
    #
    # Possible values for the Options directive are "None", "All",
    # or any combination of:
    #   Indexes Includes FollowSymLinks SymLinksifOwnerMatch ExecCGI MultiViews
    #
    # Note that "MultiViews" must be named *explicitly* --- "Options All"
    # doesn't give it to you.
    #
    # The Options directive is both complicated and important.  Please see
    # http://httpd.apache.org/docs/2.4/mod/core.html#options
    # for more information.
    #
    Options Indexes FollowSymLinks

    #
    # AllowOverride controls what directives may be placed in .htaccess files.
    # It can be "All", "None", or any combination of the keywords:
    #   Options FileInfo AuthConfig Limit
    #
    AllowOverride None

    #
    # Controls who can get stuff from this server.
    #
    Require all granted
</Directory>

4 访问控制设定

4.1 客户机地址限制

在一台centos7上搭建apache网站后，一般都是允许所有人访问的，如下图所示，在主配置文件中规定了允许所有人访问。那么可能会有一些特殊情况，需要对访问网站的人进行限制，出于这种情况，apache可以通过Require配置项，来对客户端进行一些访问限制，可以基于IP地址、网段、主机名或域名。使用名称“all”时表示任意地址。

4.1.1 客户机地址限制原理

对客户机地址限制的常用格式有下面几种：

• Require all granted：表示允许所有主机访问（也是默认的）；
• Require all denied：表示拒绝所有主机访问；
• Require local：表示仅允许本地主机访问；
• Require [not] host <主机名或域名列表>：表示仅允许或拒绝指定主机或域名访问；
• Require [not] ip <地址或网段列表>：表示仅允许或拒绝指定IP地址或网段访问；

定义限制策略时，多个不带not的require配置语句之间是或的关系，就是满足任意一条require配置语句就可以访问；若即有不带not的require配置语句，又出现了带not的require配置语句，则语句之间是与的关系，即同时满足所有require配置语句才可访问。注意，只要更改了服务的配置文件，必须重启Apache服务才可生效，重启服务的命令为systemctl restart httpd.service。

4.1.2 客户机地址限制示例1

要求：仅允许ip地址为192.168.1.10的主机能够访问网页目录下的内容，
具体步骤：
（1）使用命令 vim /etc/httpd/conf/httpd.conf打开Apache主配置文件。
（2）进入网站主配置文件httpd.conf后，在末行模式下输入：/Directory，按n查找到相应的位置，并在输入模式下按如下修改配置文件，最后保存并退出。其中vim编辑器的具体操作可参考《【Linux系统】第7节 Linux系统vim编辑器简单应用》

<Directory "/var/www/html">
    ................   #省略部分内容
    Require ip 192.168.1.10           #仅允许192.168.1.10的主机访问网站服务
</Directory>

（3）输入命令systemctl restart httpd.service重启apache服务。
（4）用上述的win7虚拟机浏览器去访问CentOS虚拟机网页（此时win7的IP地址为192.168.1.9）.，可以看到，没有看到真正的主页，访问失败。

（5）将win7虚拟机的IP地址修改为192.16.1.10，再去访问CentOS虚拟机网页，访问成功。

4.1.3 客户机地址限制示例2

要求：192.168.1.0网段的主机不能访问网站，但是别的网段的主机都可访问。
具体步骤：
（1）使用命令 vim /etc/httpd/conf/httpd.conf打开Apache主配置文件。
（2）进入网站主配置文件httpd.conf后，在末行模式下输入：/Directory，按n查找到相应的位置，并在输入模式下按如下修改配置文件，最后保存并退出。注意，在下面的配置中，只要访问规则中出现了not语句，那么必须把规则放在 <RequireAll> </RequireAll>标签中。

<Directory "/var/www/html">
    ................   #省略部分内容
   <RequireAll>
   Require   all  granted                      #允许所有主机访问
   Require  not  ip  192.168.1.0/24            #但192.168.1.0网段不可访问
     </RequireAll>
</Directory>

（3）输入命令systemctl restart httpd.service重启apache服务。
（4）win7虚拟机浏览器去访问CentOS虚拟机网页（此时win7的IP地址为192.168.1.10）.，可以看到，没有看到真正的主页，访问失败。

（4）若win7虚拟机浏览器一定要访问CentOS虚拟机index.html主页，可以在浏览器中输入http://192.168.1.8/index.html。可以看到，网站拒绝显示此网页。

4.2 用户授权限制

基于用户的访问控制包含认证和授权两个过程，httpd服务器支持使用摘要认证（Digest）和基本认证（Basic）两种方式。使用摘要认证的话需要在编译http之前添加“–enable-auth-digest”选项，但并不是所有的浏览器都支持摘要认证，所以不推荐使用；而基本认证是httpd服务的基本功能，不需要预先配置特别的选项。以下介绍基本认证方式，具体步骤如下：
（1）创建用户和设置密码的数据文件，代码如下：

htpasswd -c /etc/httpd/conf/httpuser tom  #使用htpasswd工具创建用户，-c表示创建，/etc/httpd/conf/httpuser为所创建的用户的存放路径及文件名，tom为创建的用户名。
New password:                                   #输入密码
Re-type new password:                           #确认密码
Adding password for user webadmin               #提示添加成功

（2）查看该用户文件的权限及用户信息。

（3）另外建议将该文件的所属者改为apache，且只有apache用户可读。

（4）添加用户授权配置。输入命令vim /etc/httpd/conf/httpd.conf编辑网站主配置文件，网站主配置文件中添加用户授权配置代码如下，修改完后并保存退出。需要注意的是，用户访问授权与客户机地址访问控制同时设置时，设置的主机访问控制优先生效。所以在进行用户授权限制时，需要删除掉其中的require语句。要不然，用户访问授权不会生效。

 
<Directory "/var/www/html">
    authtype basic                   #设置认证类型，basic表示基本认证，即弹框的类型
    authname "please input username and password"       #定义弹框后的提示信息，不能写中文
    authuserfile /etc/httpd/conf/httpuser               #设置用于保存用户账号、密码的认证文件路径
    require valid-user                                  #要求只有认证文件中的有效用户才可访问。
#        其中valid-user表示所有合法用户，若只授权给单个用户，可改为指定的用户名，如tom。

（5）输入命令systemctl restart httpd.service重启apache服务。
（6）用win7虚拟机浏览器去访问CentOS虚拟机网页（此时win7的IP地址为192.168.1.10）。此时弹框，需要输入用户和密码。

（7）输入正确的用户和密码后可以访问。

5 归纳

（1）掌握CentOS Linux系统下部署apache网站的方法。
（2）熟悉CentOS Linux系统下apache网站的主配置文件。
（3）掌握CentOS Linux系统下apache网站访问控制的配置，包括客户机地址地址限制和用户授权限制。

参考文章

[1] 《Kali Linux系统利用Apache发布网站并设置访问限制》
[2]《基于Cent OS7搭建apache网站后的访问控制配置详解》
[3] 视频传送门