文章目录
1. httpd简介
httpd是Apache超文本传输协议(HTTP)服务器的主程序。被设计为一个独立运行的后台进程,它会建立一个处理请求的子进程或线程的池。
通常,httpd不应该被直接调用,而应该在类Unix系统中由apachectl调用,在Windows中作为服务运行。
2. httpd版本
本文主要介绍httpd的两大版本,httpd-2.2和httpd-2.4。
- CentOS6系列的版本默认提供的是httpd-2.2版本的rpm包
- CentOS7系列的版本默认提供的是httpd-2.4版本的rpm包
2.1 httpd的特性
httpd有很多特性,下面就分别来说说httpd-2.2版本和httpd-2.4版本各自的特性。
版本 | 特性 |
---|---|
2.2 | 事先创建进程 按需维持适当的进程 模块化设计,核心比较小,各种功能通过模块添加(包括PHP),支持运行时配置,支持单独编译模块 支持多种方式的虚拟主机配置,如基于ip的虚拟主机,基于端口的虚拟主机,基于域名的虚拟主机等 支持https协议(通过mod_ssl模块实现) 支持用户认证 支持基于IP或域名的ACL访问控制机制 支持每目录的访问控制 (用户访问默认主页时不需要提供用户名和密码,但是用户访问某特定目录时需要提供用户名和密码) 支持URL重写 支持MPM(Multi Path Modules,多处理模块)。 用于定义httpd的工作模型(单进程、单进程多线程、多进程、多进程单线程、多进程多线程) |
2.4 | httpd-2.4的新特性: MPM支持运行DSO机制(Dynamic Share Object,模块的动态装/卸载机制),以模块形式按需加载 支持event MPM,eventMPM模块生产环境可用 支持异步读写 支持每个模块及每个目录分别使用各自的日志级别 每个请求相关的专业配置,使用来配置 增强版的表达式分析器 支持毫秒级的keepalive timeout 基于FQDN的虚拟主机不再需要NameVirtualHost指令 支持用户自定义变量 支持新的指令(AllowOverrideList) 降低对内存的消耗 |
工作模型 | 工作方式 |
---|---|
prefork | 多进程模型,预先生成进程,一个请求用一个进程响应 一个主进程负责生成n个子进程,子进程也称为工作进程 每个子进程处理一个用户请求,即使没有用户请求,也会预先生成多个空闲进程, 随时等待请求到达,最大不会超过1024个 |
worker | 基于线程工作,一个请求用一个线程响应(启动多个进程,每个进程生成多个线程) |
event | 基于事件的驱动,一个进程处理多个请求 |
2.2 httpd-2.4新增的模块
httpd-2.4在之前的版本基础上新增了几大模块,下面就几个常用的来介绍一下。
模块 | 功能 |
---|---|
mod_proxy_fcgi | 反向代理时支持apache服务器后端协议的模块 |
mod_ratelimit | 提供速率限制功能的模块 |
mod_remoteip | 基于ip的访问控制机制被改变,不再支持使用Order,Deny,Allow来做基于IP的访问控制 |
3. httpd基础
3.1 httpd自带的工具程序
工具 | 功能 |
---|---|
htpasswd | basic认证基于文件实现时,用到的帐号密码生成工具 |
apachectl | httpd自带的服务控制脚本,支持start,stop,restart |
apxs | 由httpd-devel包提供的,扩展httpd使用第三方模块的工具 |
rotatelogs | 日志滚动工具 |
suexec | 访问某些有特殊权限配置的资源时,临时切换至指定用户运行的工具 |
ab | apache benchmark,httpd的压力测试工具 |
3.2 rpm包安装的httpd程序环境
文件/目录 | 对应的功能 |
---|---|
/var/log/httpd/access.log | 访问日志 |
/var/log/httpd/error_log | 错误日志 |
/var/www/html/ | 站点文档目录 |
/usr/lib64/httpd/modules/ | 模块文件路径 |
/etc/httpd/conf/httpd.conf | 主配置文件 |
/etc/httpd/conf.modules.d/*.conf | 模块配置文件 |
/etc/httpd/conf.d/*.conf | 辅助配置文件 |
mpm:以DSO机制提供,配置文件为/etc/httpd/conf.modules.d/00-mpm.conf
3.3 web相关的命令
3.3.1 curl命令
curl是基于URL语法在命令行方式下工作的文件传输工具,它支持FTP,FTPS,HTTP,HTTPS,GOPHER,TELNET,DICT,FILE及LDAP等协议。
curl支持以下功能:
- https认证
- http的POST/PUT等方法
- ftp上传
- kerberos认证
- http上传
- 代理服务器
- cookies
- 用户名/密码认证
- 下载文件断点续传
- socks5代理服务器
- 通过http代理服务器上传文件到ftp服务器
//语法:curl [options] [URL ...]
//常用的options:
-A/--user-agent <string> //设置用户代理发送给服务器
-basic //使用Http基本认证
--tcp-nodelay //使用TCP_NODELAY选项
-e/--referer <URL> //来源网址
--cacert <file> //CA证书(SSL)
--compressed //要求返回时压缩的格式
-H/--header <line> //自定义请求首部信息传递给服务器
-I/--head //只显示响应报文首部信息
--limit-rate <rate> //设置传输速度
-u/--user <user[:password]> //设置服务器的用户和密码
-0/--http1 //使用http 1.0版本,默认使用1.1版本。这个选项是数字0而不是字母o
-o/--output //把输出写到文件中
-#/--progress-bar //进度条显示当前的传送状态
//通过curl下载文件
[root@wyz ~]# ls
[root@wyz ~]# curl -o myblog.html http://blog.51cto.com/itchentao
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 67025 0 67025 0 0 87248 0 --:--:-- --:--:-- --:--:-- 87385
[root@wyz ~]# ls
myblog.html
3.3.2 httpd命令
//语法:httpd [options]
//常用的options:
-l //查看静态编译的模块,列出核心中编译了哪些模块。 \
//它不会列出使用LoadModule指令动态加载的模块
-M //输出一个已经启用的模块列表,包括静态编译在服务 \
//器中的模块和作为DSO动态加载的模块
-v //显示httpd的版本,然后退出
-V //显示httpd和apr/apr-util的版本和编译参数,然后退出
-X //以调试模式运行httpd。仅启动一个工作进程,并且 \
//服务器不与控制台脱离
-t //检查配置文件是否有语法错误
[root@wyz ~]# httpd -l
Compiled in modules:
core.c
mod_so.c
http_core.c
[root@wyz ~]# httpd -M
AH00558: httpd: Could not reliably determine the server's fully qualified domain name, using fe80::2fae:d340:6bdd:d066. Set the 'ServerName' directive globally to suppress this message
Loaded Modules:
core_module (static)
so_module (static)
http_module (static)
access_compat_module (shared)
actions_module (shared)
alias_module (shared)
allowmethods_module (shared)
auth_basic_module (shared)
auth_digest_module (shared)
authn_anon_module (shared)
authn_core_module (shared)
....
....
[root@wyz ~]# httpd -v
Server version: Apache/2.4.6 (CentOS)
Server built: Nov 5 2018 01:47:09
[root@wyz ~]# httpd -V
AH00558: httpd: Could not reliably determine the server's fully qualified domain name, using fe80::2fae:d340:6bdd:d066. Set the 'ServerName' directive globally to suppress this message
Server version: Apache/2.4.6 (CentOS)
Server built: Nov 5 2018 01:47:09
Server's Module Magic Number: 20120211:24
Server loaded: APR 1.4.8, APR-UTIL 1.5.2
Compiled using: APR 1.4.8, APR-UTIL 1.5.2
Architecture: 64-bit
Server MPM: prefork
threaded: no
forked: yes (variable process count)
Server compiled with....
-D APR_HAS_SENDFILE
-D APR_HAS_MMAP
-D APR_HAVE_IPV6 (IPv4-mapped addresses enabled)
-D APR_USE_SYSVSEM_SERIALIZE
-D APR_USE_PTHREAD_SERIALIZE
-D SINGLE_LISTEN_UNSERIALIZED_ACCEPT
-D APR_HAS_OTHER_CHILD
-D AP_HAVE_RELIABLE_PIPED_LOGS
-D DYNAMIC_MODULE_LIMIT=256
-D HTTPD_ROOT="/etc/httpd"
-D SUEXEC_BIN="/usr/sbin/suexec"
-D DEFAULT_PIDLOG="/run/httpd/httpd.pid"
-D DEFAULT_SCOREBOARD="logs/apache_runtime_status"
-D DEFAULT_ERRORLOG="logs/error_log"
-D AP_TYPES_CONFIG_FILE="conf/mime.types"
-D SERVER_CONFIG_FILE="conf/httpd.conf"
4. 编译安装httpd-2.4
准备工作
- 安装所需要的工具和依赖库
[root@wyz ~]# yum groups mark install -y "Development Tools"
....
Marked install: Development Tools
[root@wyz ~]# yum install wget -y make gcc gcc-c++ gzip bzip2 openssl-devel pcre-devel expat-devel libtool
- 下载所需要的源码包
[root@wyz ~]# wget http://mirror.bit.edu.cn/apache/apr/apr-1.6.5.tar.gz
[root@wyz ~]# wget http://mirror.bit.edu.cn/apache/apr/apr-util-1.6.1.tar.gz
[root@wyz ~]# wget http://mirror.bit.edu.cn/apache/httpd/httpd-2.4.38.tar.gz
[root@wyz ~]# ll
total 10572
-rw-------. 1 root root 1475 Mar 14 11:34 anaconda-ks.cfg
-rw-r--r--. 1 root root 1073556 Nov 11 13:31 apr-1.6.5.tar.gz
-rw-r--r--. 1 root root 554301 Apr 7 23:13 apr-util-1.6.1.tar.gz
-rw-r--r--. 1 root root 9187294 Mar 1 00:37 httpd-2.4.38.tar.gz
- 安装
[root@wyz ~]# tar xf apr-1.6.5.tar.gz
[root@wyz ~]# tar xf apr-util-1.6.1.tar.gz
[root@wyz ~]# tar xf httpd-2.4.38.tar.gz
[root@wyz ~]# ll
total 10584
-rw-------. 1 root root 1475 Mar 14 11:34 anaconda-ks.cfg
drwxr-xr-x. 27 1001 1001 4096 Sep 10 2018 apr-1.6.5
-rw-r--r--. 1 root root 1073556 Nov 11 13:31 apr-1.6.5.tar.gz
drwxr-xr-x. 20 1001 1001 4096 Oct 18 2017 apr-util-1.6.1
-rw-r--r--. 1 root root 554301 Apr 7 23:13 apr-util-1.6.1.tar.gz
drwxr-sr-x. 11 root 40 4096 Jan 17 13:46 httpd-2.4.38
-rw-r--r--. 1 root root 9187294 Mar 1 00:37 httpd-2.4.38.tar.gz
[root@wyz ~]#
[root@wyz ~]# cd apr-1.6.5/
[root@wyz apr-1.6.5]#sed -i 's/$RM "$cfgfile"/ /g' configure //注释或删除这段内容才能安装
[root@wyz apr-1.6.5]# ./configure --prefix=/usr/local/apr
//配置过程省略
[root@wyz apr-1.6.5]# make && make install
//编译安装过程略
[root@wyz apr-1.6.5]# cd /root/apr-util-1.6.1
[root@wyz apr-util-1.6.1]# ./configure --prefix=/usr/local/apr-util --with-apr=/usr/local/apr
//配置过程省略
[root@wyz apr-util-1.6.1]# make && make install
//编译安装过程略
cd ..
[root@wyz apr-1.6.5]# cd /root/httpd-2.4.38
[root@wyz httpd-2.4.38]# ./configure --prefix=/usr/local/apache \
> --sysconfdir=/etc/httpd24 \
> --enable-so \
> --enable-ssl \
> --enable-cgi \
> --enable-rewrite \
> --with-zlib \
> --with-pcre \
> --with-apr=/usr/local/apr \
> --with-apr-util=/usr/local/apr-util/ \
> --enable-modules=most \
> --enable-mpms-shared=all \
> --with-mpm=prefork
//配置过程省略
[root@wyz httpd-2.4.38]# make && make install
//编译安装过程略
ssl:
启用模块:编辑/etc/httpd/conf.modules.d/00-base.conf文件,添加下面这行,如果已经有了但是注释了,则取消注释即可
LoadModule ssl_module modules/mod_ssl.so
5. httpd常用配置
- 配置https步骤:
生成证书(参考博客linux运维系列第6章)
openssl实现私有CA:
CA的配置文件:/etc/pki/tls/openssl.cnf
a) CA生成一对密钥
cd /etc/pki/CA
(umask 077;openssl genrsa -out private/cakey.pem 2048) #生成密钥,括号必须要
openssl rsa -in private/cakey.pem -pubout #提取公钥
b) CA生成自签署证书
openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 365 #生成自签署证书
openssl x509 -text -in cacert.pem #读出cacert.pem证书的内容
mkdir certs newcerts crl
touch index.txt && echo 01 > serial
c) 客户端(例如httpd服务器)生成密钥
cd /etc/httpd && mkdir ssl && cd ssl
(umask 077;openssl genrsa -out httpd.key 2048)
d) 客户端生成证书签署请求
openssl req -new -key httpd.key -days 365 -out httpd.csr
e) 客户端把证书签署请求文件发送给CA
scp httpd.csr root@CA端IP:/root
f) CA签署客户端提交上来的证书
openssl ca -in /root/httpd.csr -out httpd.crt -days 365
g) CA把签署好的证书httpd.crt发给客户端
scp httpd.crt root@客户端IP:/etc/httpd/ssl/
[root@wyz ~]# mv httpd.crt /etc/h
host.conf hostname hosts hosts.allow hosts.deny httpd24/
[root@wyz ~]# mv httpd.crt /etc/httpd24/ssl/
[root@wyz ~]# cd /etc/httpd24/ssl/
[root@wyz ssl]# ls
httpd.crt httpd.csr httpd.key
- 配置httpd.conf,取消以下内容的注释\
LoadModule ssl_module modules/mod_ssl.so
Include /etc/httpd24/extra/httpd-vhosts.conf
Include /etc/httpd24/extra/httpd-ssl.conf
[root@wyz httpd24]# vim httpd.conf
#LoadModule slotmem_shm_module modules/mod_slotmem_shm.so
LoadModule ssl_module modules/mod_ssl.so
#LoadModule lbmethod_byrequests_module modules/mod_lbmethod_byrequests.so
- 在httpd-vhosts.conf中配置虚拟主机,在httpd-ssl.conf中配置证书的位置
[root@wtz httpd24]# vim extra/httpd-ssl.conf
<VirtualHost _default_:443>
# General setup for the virtual host
DocumentRoot "/usr/local/apache/htdocs"
ServerName wyz.example.com:443
ServerAdmin you@example.com
ErrorLog "/usr/local/apache/logs/error_log"
TransferLog "/usr/local/apache/logs/access_log"
# parallel.
SSLCertificateFile "/etc/httpd24/ssl/httpd.crt"
#SSLCertificateFile "/etc/httpd24/server-dsa.crt"
#SSLCertificateFile "/etc/httpd24/server-ecc.crt"
# Server Private Key:
# If the key is not combined with the certificate, use this
# directive to point at the key file. Keep in mind that if
# you've both a RSA and a DSA private key you can configure
# both in parallel (to also allow the use of DSA ciphers, etc.)
# ECC keys, when in use, can also be configured in parallel
SSLCertificateKeyFile "/etc/httpd24/ssl/httpd.key"
- 检查配置文件是否有语法错误,启动或重启服务
[root@wyz httpd24]# apachectl -t
Syntax OK
[root@wyz httpd24]#apachectl start
ss -antl
State Recv-Q Send-Q Local Address:Port Peer Address:Port
LISTEN 0 128 *:22 *:*
LISTEN 0 100 127.0.0.1:25 *:*
LISTEN 0 128 :::80 :::*
LISTEN 0 128 :::22 :::*
LISTEN 0 100 ::1:25 :::*
LISTEN 0 128 :::443
-
虚拟主机有三类:
- 相同IP不同端口
- 不同IP相同端口
- 相同IP相同端口不同域名
相同IP不同端口
root@wyz htdocs]# mkdir wyz
[root@wyz htdocs]# mkdir wyz1
[root@wyz htdocs]# echo 'hello' > /usr/local/apache/htdocs/wyz/index.html
[root@wyz htdocs]# echo 'hello word' > /usr/local/apache/htdocs/wyz1/index.html
- 更改配置文件的内容
[root@wyz ~]# vim /etc/httpd24/httpd.conf
201 # If your host doesn't have a registered DNS name, enter its IP addres s here.
202 #
203 ServerName www.example.com:80
204 # Deny access to the entirety of your server's filesystem. You must
#Listen 12.34.56.78:80
Listen 80
Listen 8080
- 更改配置文件
[root@wyz ~]# vim /etc/httpd24/httpd.conf
<IfModule ssl_module>
SSLRandomSeed startup builtin
SSLRandomSeed connect builtin #在配置文件下增加如下内容
</IfModule>
<VirtualHost 192.168.234.11:80>#虚拟主机1
ServerName www.wyz.com
DocumentRoot "/usr/local/apache/htdocs/wyz"
ErrorLog "/usr/local/apache/htdocs/haha.log"
CustomLog "/usr/local/apache/htdocs/haha.log" combined
<Directory /usr/local/apache/htdocs/yh>
Require all granted
</Directory>
</VirtualHost>
<VirtualHost 192.168.234.11:8080> #虚拟主机2,端口为8080
ServerName www.wyz1.com
DocumentRoot "/usr/local/apache/htdocs/wyz1"
ErrorLog "/usr/local/apache/htdocs/haha.log"
CustomLog "/usr/local/apache/htdocs/haha.log" combined
<Directory /usr/local/apache/htdocs/yh1>
Require all granted
</Directory>
</VirtualHost>
- 重启服务
[root@yh bin]# ./apachectl restart
不同IP相同端口
- 添加IP
[root@wyz ~]# ip addr add 192.168.234.12/24 dev ens32
[root@wyz ~]# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: ens32: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:0c:29:ba:05:68 brd ff:ff:ff:ff:ff:ff
inet 192.168.234.11/24 brd 192.168.234.255 scope global ens32
valid_lft forever preferred_lft forever
inet 192.168.234.12/24 scope global secondary ens32
valid_lft forever preferred_lft forever
inet6 fe80::2fae:d340:6bdd:d066/64 scope link
valid_lft forever preferred_lft forever
- 更改配置文件
[root@wyz ~]# vim /etc/httpd24/httpd.conf
<IfModule ssl_module>
SSLRandomSeed startup builtin
SSLRandomSeed connect builtin #在配置文件末尾增加如下内容
</IfModule>
<VirtualHost 192.168.234.11:80> #虚拟主机1
ServerName www.wyz.com
DocumentRoot "/usr/local/apache/htdocs/wyz"
ErrorLog "/usr/local/apache/htdocs/haha.log"
CustomLog "/usr/local/apache/htdocs/haha.log" combined
<Directory /usr/local/apache/htdocs/yh>
Require all granted
</Directory>
</VirtualHost>
<VirtualHost 192.168.234.12:80> #虚拟主机2 ip为192.168.118.111
ServerName www.wyz1.com
DocumentRoot "/usr/local/apache/htdocs/wyz1"
ErrorLog "/usr/local/apache/htdocs/haha.log"
CustomLog "/usr/local/apache/htdocs/haha.log" combined
<Directory /usr/local/apache/htdocs/yh1>
Require all granted
</Directory>
</VirtualHost>
- 重启服务
[root@yh bin]# ./apachectl restart
相同IP相同端口不同域名
[root@wyz ~]# vim /etc/httpd24/httpd.conf
<IfModule ssl_module>
SSLRandomSeed startup builtin
SSLRandomSeed connect builtin #在配置文件末尾增加如下内容
</IfModule>
<VirtualHost 192.168.234.11:80> #虚拟主机1
ServerName www.wyz.com
DocumentRoot "/usr/local/apache/htdocs/wyz"
ErrorLog "/usr/local/apache/htdocs/haha.log"
CustomLog "/usr/local/apache/htdocs/haha.log" combined
<Directory /usr/local/apache/htdocs/yh>
Require all granted
</Directory>
</VirtualHost>
<VirtualHost 192.168.234.11:80> #虚拟主机2 ip为192.168.118.111
ServerName www.wyz1.com
DocumentRoot "/usr/local/apache/htdocs/wyz1"
ErrorLog "/usr/local/apache/htdocs/haha.log"
CustomLog "/usr/local/apache/htdocs/haha.log" combined
<Directory /usr/local/apache/htdocs/yh1>
Require all granted
</Directory>
</VirtualHost>
- 重启服务
[root@yh bin]# ./apachectl restart
- 添加域名解析地址
[root@wyz ~]# vim /etc/hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.23.11 www.wyz.com
192.168.23.11 www.wyz1.com