在linux/CentOS使用Apache服务部署静态网站（包括SELinux策略）

网站服务程序
1970年，作为互联网前身的ARPANET（阿帕网）已初具雏形，并开始向非军用部门开放，许多大学和商业部门开始接入。虽然彼时阿帕网的规模（只有4台主机联网运行）还不如现在的局域网成熟，但是它依然为网络技术的进步打下了扎实的基础。

想必我们大多数人都是通过访问网站而开始接触互联网的吧。我们平时访问的网站服务就是Web网络服务，一般是指允许用户通过浏览器访问到互联网中各种资源的服务。如图所示，Web网络服务是一种被动访问的服务程序，即只有接收到互联网中其他主机发出的请求后才会响应，最终用于提供服务程序的Web服务器会通过HTTP（超文本传输协议）或HTTPS（安全超文本传输协议）把请求的内容传送给用户。

目前能够提供Web网络服务的程序有IIS、Nginx和Apache等。其中，IIS（Internet Information Services，互联网信息服务）是Windows系统中默认的Web服务程序，这是一款图形化的网站管理工具，不仅可以提供Web网站服务，还可以提供FTP、NMTP、SMTP等服务。但是，IIS只能在Windows系统中使用.

2004年10月4日，为俄罗斯知名门户站点而开发的Web服务程序Nginx横空出世。Nginx程序作为一款轻量级的网站服务软件，因其稳定性和丰富的功能而快速占领服务器市场，但Nginx最被认可的还当是系统资源消耗低且并发能力强，因此得到了国内诸如新浪、网易、腾讯等门户站的青睐。本书将在第20章讲解Nginx服务程序。

Apache程序是目前拥有很高市场占有率的Web服务程序之一，其跨平台和安全性广泛被认可且拥有快速、可靠、简单的API扩展。图所示为Apache服务基金会的著名Logo，它的名字取自美国印第安人的土著语，寓意着拥有高超的作战策略和无穷的耐性。Apache服务程序可以运行在Linux系统、UNIX系统甚至是Windows系统中，支持基于IP、域名及端口号的虚拟主机功能，支持多种认证方式，集成有代理服务器模块、安全Socket层（SSL），能够实时监视服务状态与定制日志消息，并有着各类丰富的模块支持。

但是Apache程序作为老牌的Web服务程序，一方面在Web服务器软件市场具有相当高的占有率。
下面准备部署Apache服务
安装Apache
yum install -y httpd

启动并设置开机自启

设置防火墙

已成功启动并访问

配置服务文件参数
需要提醒大家的是，前文介绍的httpd服务程序的安装和运行，仅仅是httpd服务程序的一些皮毛，我们依然有很长的道路要走。在Linux系统中配置服务，其实就是修改服务的配置文件，因此，还需要知道这些配置文件的所在位置以及用途，httpd服务程序的主要配置文件及存放位置。

                         Linux系统中的配置文件

服务目录 /etc/httpd
主配置文件 /etc/httpd/conf/httpd.conf
网站数据目录 /var/www/html
访问日志 /var/log/httpd/access_log
错误日志 /var/log/httpd/error_log
大家在首次打开httpd服务程序的主配置文件，可能会吓一跳—竟然有353行！这得至少需要一周的时间才能看完吧？！但是在这个配置文件中，所有以井号（#）开始的行都是注释行，其目的是对httpd服务程序的功能或某一行参数进行介绍，我们不需要逐行研究这些内容。

在httpd服务程序的主配置文件中，存在三种类型的信息：注释行信息、全局配置、区域配置，如图所示。

全局配置参数就是一种全局性的配置参数，可作用于对所有的子站点，既保证了子站点的正常访问，也有效减少了频繁写入重复参数的工作量。区域配置参数则是单独针对于每个独立的子站点进行设置的。就像在大学食堂里面打饭，食堂负责打饭的阿姨先给每位同学来一碗标准大小的白饭（全局配置），然后再根据每位同学的具体要求盛放他们想吃的菜（区域配置）。在httpd服务程序主配置文件中，最为常用的参数如表

配置httpd服务程序时最常用的参数以及用途描述

ServerRoot 服务目录
ServerAdmin 管理员邮箱
User 运行服务的用户
Group 运行服务的用户组
ServerName 网站服务器的域名
DocumentRoot 网站数据目录
Listen 监听的IP地址与端口号
DirectoryIndex 默认的索引页页面
ErrorLog 错误日志文件
CustomLog 访问日志文件
Timeout 网页超时时间，默认为300秒

DocumentRoot参数用于定义网站数据的保存路径，其参数的默认值是把网站数据存放到/var/www/html目录中；而当前网站普遍的首页面名称是index.html，因此可以向/var/www/html目录中写入一个文件，替换掉httpd服务程序的默认首页面，该操作会立即生效。

在执行上述操作之后，再在浏览器中刷新httpd服务程序，可以看到该程序的首页面内容已经发生了改变，如图所示。

在默认情况下，网站数据是保存在/var/www/html目录中，而如果想把保存网站数据的目录修改为/web目录，该怎么操作呢？

第1步：建立网站数据的保存目录，并创建首页文件。

mkdir /web
echo “The New Web Directory” > /web/index.html

第2步：打开httpd服务程序的主配置文件，将约第119行用于定义网站数据保存路径的参数DocumentRoot修改为/web，同时还需要将约第124行用于定义目录权限的参数Directory后面的路径也修改为/web。配置文件修改完毕后即可保存并退出。

重启服务

第3步：重新启动httpd服务程序并验证效果，浏览器刷新页面后的内容如图10-6所示。奇怪！为什么看到了httpd服务程序的默认首页面？按理来说，只有在网站的首页面文件不存在或者用户权限不足时，才显示httpd服务程序的默认首页面。我们在尝试访问http://127.0.0.1/index.html页面时，竟然发现页面中显示“Forbidden,You don’t have permission to access /index.html on this server.”。而这一切正是SELinux在捣鬼。


SELinux安全子系统

SELinux（Security-Enhanced Linux）是美国国家安全局在Linux开源社区的帮助下开发的一个强制访问控制（MAC，Mandatory Access Control）的安全子系统。RHEL 7系统使用SELinux技术的目的是为了让各个服务进程都受到约束，使其仅获取到本应获取的资源。

例如，您在自己的电脑上下载了一个美图软件，当您全神贯注地使用它给照片进行美颜的时候，它却在后台默默监听着浏览器中输入的密码信息，而这显然不应该是它应做的事情（哪怕是访问电脑中的图片资源，都情有可原）。SELinux安全子系统就是为了杜绝此类情况而设计的，它能够从多方面监控违法行为：对服务程序的功能进行限制（SELinux域限制可以确保服务程序做不了出格的事情）；对文件资源的访问限制（SELinux安全上下文确保文件资源只能被其所属的服务程序进行访问）。

“SELinux域”和“SELinux安全上下文”称为是Linux系统中的双保险，系统内的服务程序只能规规矩矩地拿到自己所应该获取的资源，这样即便黑客入侵了系统，也无法利用系统内的服务程序进行越权操作。但是，非常可惜的是，SELinux服务比较复杂，配置难度也很大，加之很多运维人员对这项技术理解不深，从而导致很多服务器在部署好Linux系统后直接将SELinux禁用了；这绝对不是明智的选择。

SELinux服务有三种配置模式，具体如下。

enforcing：强制启用安全策略模式，将拦截服务的不合法请求。

permissive：遇到服务越权访问时，只发出警告而不强制拦截。

disabled：对于越权的行为不警告也不拦截。

所有实验都是在强制启用安全策略模式下进行的，虽然在禁用SELinux服务后确实能够减少报错几率，但这在生产环境中相当不推荐。建议大家检查一下自己的系统，查看SELinux服务主配置文件中定义的默认状态。如果是permissive或disabled，建议赶紧修改为enforcing。

SELinux服务的主配置文件中，定义的是SELinux的默认运行状态，可以将其理解为系统重启后的状态，因此它不会在更改后立即生效。可以使用getenforce命令获得当前SELinux服务的运行模式：

为了确认图10-6所示的结果确实是因为SELinux而导致的，可以用setenforce [0|1]命令修改SELinux当前的运行模式（0为禁用，1为启用）。注意，这种修改只是临时的，在系统重启后就会失效：

再次刷新网页，就会看到正常的网页内容了， 可见，问题确实是出在了SELinux服务上面。


httpd服务程序的功能是允许用户访问网站内容，因此SELinux肯定会默认放行用户对网站的请求操作。但是，我们将网站数据的默认保存目录修改为了/web。
现在，我们把SELinux服务恢复到强制启用安全策略模式，然后分别查看原始网站数据的保存目录与当前网站数据的保存目录是否拥有不同的SELinux安全上下文值：

在文件上设置的SELinux安全上下文是由用户段、角色段以及类型段等多个信息项共同组成的。其中，用户段system_u代表系统进程的身份，角色段object_r代表文件目录的角色，类型段httpd_sys_content_t代表网站服务的系统文件。
针对当前这种情况，我们只需要使用semanage命令，将当前网站目录/web的SELinux安全上下文修改为跟原始网站目录的一样就可以了。

semanage命令

semanage命令用于管理SELinux的策略，格式为“semanage [选项] [文件]”。

SELinux服务极大地提升了Linux系统的安全性，将用户权限牢牢地锁在笼子里。semanage命令不仅能够像传统chcon命令那样—设置文件、目录的策略，还可以管理网络端口、消息接口（这些新特性将在本章后文中涵盖）。使用semanage命令时，经常用到的几个参数及其功能如下所示：

-l参数用于查询；

-a参数用于添加；

-m参数用于修改；

-d参数用于删除。

例如，可以向新的网站数据目录中新添加一条SELinux安全上下文，让这个目录以及里面的所有文件能够被httpd服务程序所访问到：

semanage fcontext -a -t httpd_sys_content_t /web
semanage fcontext -a -t httpd_sys_content_t /web/*
提示报错
解决办法
安装 与semanage相关命令的包

注意，执行上述设置之后，还无法立即访问网站，还需要使用restorecon命令将设置好的SELinux安全上下文立即生效。在使用restorecon命令时，可以加上-Rv参数对指定的目录进行递归操作，以及显示SELinux安全上下文的修改过程。最后，再次刷新页面，就可以正常看到网页内容了，结果如图10-8所示。

restorecon -Rv /web


真可谓是一波三折！原本认为只要把httpd服务程序配置妥当就可以大功告成，结果却反复受到了SELinux安全上下文的限制。所以，建议大家在配置httpd服务程序时，一定要细心、耐心。一旦成功配妥httpd服务程序之后，就会发现SELinux服务并没有那么难。

个人用户主页功能

如果想在系统中为每位用户建立一个独立的网站，通常的方法是基于虚拟网站主机功能来部署多个网站。但这个工作会让管理员苦不堪言（尤其是用户数量很庞大时），而且在用户自行管理网站时，还会碰到各种权限限制，需要为此做很多额外的工作。其实，httpd服务程序提供的个人用户主页功能完全可以胜任这个工作。该功能可以让系统内所有的用户在自己的家目录中管理个人的网站，而且访问起来也非常容易。

第1步：在httpd服务程序中，默认没有开启个人用户主页功能。为此，我们需要编辑下面的配置文件，然后在第17行的UserDir disabled参数前面加上井号（#），表示让httpd服务程序开启个人用户主页功能；同时再把第24行的UserDir public_html参数前面的井号（#）去掉（UserDir参数表示网站数据在用户家目录中的保存目录名称，即public_html目录）。最后，在修改完毕后记得保存。

第2步：在用户家目录中建立用于保存网站数据的目录及首页面文件。另外，还需要把家目录的权限修改为755，保证其他人也有权限读取里面的内容。

第3步：重新启动httpd服务程序，在浏览器的地址栏中输入网址，其格式为“网址/~用户名”（其中的波浪号是必需的，而且网址、波浪号、用户名之间没有空格），从理论上来讲就可以看到用户的个人网站了。不出所料的是，系统显示报错页面 。这一定还是SELinux惹的祸。


第4步：思考这次报错的原因是什么。httpd服务程序在提供个人用户主页功能时，该用户的网站数据目录本身就应该是存放到与这位用户对应的家目录中的，所以应该不需要修改家目录的SELinux安全上下文。但是，前文还讲到了SELinux域的概念。SELinux域确保服务程序不能执行违规的操作，只能本本分分地为用户提供服务。httpd服务中突然开启的这项个人用户主页功能到底有没有被SELinux域默认允许呢？

接下来使用getsebool命令查询并过滤出所有与HTTP协议相关的安全策略。其中，off为禁止状态，on为允许状态。

面对如此多的SELinux域安全策略规则，实在没有必要逐个理解它们，我们只要能通过名字大致猜测出相关的策略用途就足够了。比如，想要开启httpd服务的个人用户主页功能，那么用到的SELinux域安全策略应该是httpd_enable_homedirs吧？大致确定后就可以用setsebool命令来修改SELinux策略中各条规则的布尔值了。大家一定要记得在setsebool命令后面加上-P参数，让修改后的SELinux策略规则永久生效且立即生效。随后刷新网页

有时，网站的拥有者并不希望直接将网页内容显示出来，只想让通过身份验证的用户访客看到里面的内容，这时就可以在网站中添加口令功能了。

第1步：先使用htpasswd命令生成密码数据库。-c参数表示第一次生成；后面再分别添加密码数据库的存放文件，以及验证要用到的用户名称（该用户不必是系统中已有的本地账户）。

第2步：编辑个人用户主页功能的配置文件。把第31～35行的参数信息修改成下列内容，其中井号（#）开头的内容为添加的注释信息，可将其忽略。随后保存并退出配置文件，重启httpd服务程序即可生效。

此后，当用户再想访问某个用户的个人网站时，就必须要输入账户和密码才能正常访问了。另外，验证时使用的账户和密码是用htpasswd命令生成的专门用于网站登录的口令密码，而不是系统中的用户密码，请不要搞错了。登录界面如图10-11所示。
页面登不上
需要防火墙放行https