网页进服务器,14网页服务器进阶应用

最新推荐文章于 2024-08-10 08:45:00 发布

萌芽研究所BUD

最新推荐文章于 2024-08-10 08:45:00 发布

阅读量243

点赞数

文章标签：网页进服务器

网页服务器架设之后，世界各地的使用者都可以经由因特网连到您的主机，如何维护网站安全是一大课题。管理者更需要知道网站的使用情形，系统资源、网络频宽是否足够。本章将说明网页服务器使用上常见的管理议题，并介绍一些好用的管理工具。读完本章后，您将进一步了解下列主题：

如何使用 SSL 建立安全的 HTTP 联机。

使用密码保护目录存取权限。

如何在一台主机上提供不同网址的网页。

如何管理一般使用者的个人网页。

加速 PHP scripts 的处理速度。

分析网页的使用情形。

网站使用流量分析。

14.1 HTTP 安全与 SSL 协定

当我们使用网络服务时，经由网络传送的数据都有可能被他人拦截窃听。简单的说，当您从网页上输入账号密码时，如果有人在您所使用的计算机和服务器之间拦截，就可以轻易的从网络封包中窃听到您所输入的数据。

随着网络的蓬勃发展，在线交易的使用量日益增加，对于数据的保护更是重要。如果一个在线交易的网站使用普通的 HTTP，则使用者输入的账号密码、交易数据、信用卡号等等都有可能会外泄，更别说交易数据被假造的风险了。为了解决 HTTP 的网络安全，发展出许多加密、认证的机制。其中最常见的就是使用金钥加密法的 HTTP over SSL (Secure Socket Layer)，又称为 HTTPS，目前国内许多网络银行都是使用 HTTPS 作为交易安全的第一道关卡。

SSL 的加密方式是由服务器端提供了一组加解密用的金钥，在服务器端所使用的是私密金钥 (Private key)，而客户端所使用的是公开金钥 (Public key)。在联机建立后，HTTP 服务器会将公开金钥传给客户端使用。公开金钥加密过的资料只能由私密金钥解密，在客户端要送出数据之前，会先使用公开金钥进行加密的动作，而服务器收到数据后，会使用私密金钥进行解密。

在 Apache 2 中，预设安装即支持 SSL，我们只需产生一组金钥，并设定启动 SSL 即可。

14.1.1 产生金钥

正确的凭证产生方法是先产生服务器用的公钥及 CSR (Certificate Signing Request)，接着将 CSR 送给专门做凭证签发的公正单位做签章。或者，我们也可以自己做为一个凭证签发单位，自己为自己签发凭证。但由于我们自己产生的凭证不具公信力，所以使用者使用 HTTPS 连到网站时，会出现下列的警告讯息：

图 14-1

这个警告讯息并不影响加密，不过如果您所架设的是商用网站，您还是得交由公正单位作签证。

如果您要使用自我签发的凭证，第一步是要产生签发单位凭证，我们先建立一个目录名为 ssl，并将产生的凭证放在该目录下：# mkdir ssl

# cd ssl

# openssl genrsa -out ca.key 1024

# openssl req -new -key ca.key -out ca.csr

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [AU]:TW

State or Province Name (full name) [Some-State]:Taiwan

Locality Name (eg, city) []:Taipei

Organization Name (eg, company) [Internet Widgits Pty Ltd]:My Company

Organizational Unit Name (eg, section) []:Certificate Authority

Common Name (eg, YOUR name) []:MyCA

Email Address []:alex@alexwang.com

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:按 Enter 即可

An optional company name []:按 Enter 即可

# openssl x509 -days 365 -signkey ca.key -in ca.csr -req -out ca.crt

我们在第二个 openssl 指令中必须输入一些基本信息，最后产生一个有效期限 365 天的凭证。接着，必须产生 Apache 服务器用的凭证：# openssl genrsa -out server.key 1024

# openssl req -new -key server.key -out server.csr

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [AU]:TW

State or Province Name (full name) [Some-State]:Taiwan

Locality Name (eg, city) []:Taipei

Organization Name (eg, company) [Internet Widgits Pty Ltd]:My Company

Organizational Unit Name (eg, section) []:Web Team

Common Name (eg, YOUR name) []:

Email Address []:alex@alexwang.com

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:按 Enter 即可

An optional company name []:按 Enter 即可

# openssl x509 -days 365 -CA ca.crt -CAkey ca.key -in server.csr -req -out server.crt

同样的，我们必须输入关于这个凭证的一些数据，最后，我们使用之前所产生的凭证签发一个有效期限 365 天的服务器用凭证。必须注意的是，在 Common Name 必须输入您的主机名称，以避免联机时凭证名称和网页名称不符的警告。另外，我们在产生凭证时，当 OpenSSL 要求输入用来保护凭证的密码时，我们都没有输入密码。如果您输入密码，则以后 Apache 要启动时都必须输入密码才可以启动。

最后，我们将服务器用的凭证复制到 Apache 的设定文件位置：# mkdir /usr/local/etc/apache2/ssl.crt

# mkdir /usr/local/etc/apache2/ssl.key

# cp server.crt /usr/local/etc/apache2/ssl.crt/server.crt

# cp server.key /usr/local/etc/apache2/ssl.key/server.key

# chmod 400 /usr/local/etc/apache2/ssl.crt/server.crt

# chmod 400 /usr/local/etc/apache2/ssl.key/server.key

最后，请将我们制作过程中的凭证删除：# rm -rf ssl

凭证制作完成后，我们就可以开始设定支持 SSL 的 Apache 了。

14.1.2 设定及启动 HTTPS

首先，我们必须先修改 /usr/local/etc/apache2/ssl.conf 以设定 SSL，请先找到下列区段：

# General setup for the virtual host

DocumentRoot "/home/www"

ServerName

ServerAdmin you@example.com

ErrorLog /var/log/httpd-error.log

TransferLog /var/log/httpd-access.log

我们必须修改 DocuemntRoot，并将它设为我们网页根目录，然后要修改 ServerName，将它设定为我们的主机名称。

为了要该 Apache 启动时可以支持 SSL，请在 /etc/rc.conf 中加入 Apache SSL 的设定：

apache2ssl_enable="YES"

最后，请重新启动 Apache 即可：# /usr/local/etc/rc.d/apache2.sh restart

接下来，您就可以使用连到您的主机了。请注意，我们使用的联机方法是 https，而非 http。如果您联机的主机名称和凭证产生的名称不同，将会有名称不符的警告讯息。

图 14-2

14.2 对目录设定密码保护

在架设网站时，如果您有特殊需求，必须指定某个目录只能由某些使用者才能存取，我们可以使用 Apache 内建的目录保护功能，让使用者必须输入使用者名称及密码才能存取该目录。

在开始设定目录的保护之前，我们必须先修改 httpd.conf，允许使用者可以在网页目录中使用认证功能。首先，请编辑 /usr/local/etc/apache2/httpd.conf，找到网页目录设定的区段：

...

LoadModule auth_module libexec/apache2/mod_auth.so

...

Options Indexes FollowSymLinks MultiViews ExecCGI

AllowOverride AuthConfig

Order allow,deny

Allow from all

...

AccessFileName .htaccess

...

我们必须先确定 Apache 有加载 mod_auth.so 模块。接着，我们在网页目录的区段中 AllowOverride 的部份设定了使用 AuthConfig。如果 AllowOverride 设为 None 表示不允许使用者变更目录设定，设为 AuthConfig 表示可以使用 AuthDBMGroupFile、 AuthDBMUserFile， AuthGroupFile、AuthName、AuthType 等认证的功能。另外，在 AccessFileName 中，我们设定了用来保护目录的设定文件名称，预设为 .htaccess。

Apache 允许使用者在目录下放置一个档案来控制该目录的存取权限，预设是使用 .htaccess。我们可以自行用文书软件编辑一个文件名为 .htaccess 的档案来设定档案所在目录的权限。假设我们要保护的目录是 /home/www/private/ 这个目录，请新增一个文字文件 /home/www/private/.htaccess，内容如下：

AuthName "管理专区"

AuthType "Basic"

AuthUserFile "/var/http.pw"

require valid-user

其中请注意各参数的大小写。这里我们设定储存使用者账号及密码的档案是 /var/http.pw。

接下来我们就可以新增使用者及密码了。Apache 用来新增密码的指令为 htpasswd：# /usr/local/sbin/htpasswd -c /var/http.pw username

New password: 输入 username 的密码

Re-type new password: 再输入一次

上述指令会建立密码文件 /var/http.pw 并加入使用者 username。如果您还要再加入第二个使用者，不需要加参数 -c。

接着，我们使用使用浏览器连到该目录时，将出现下列画面：

图 14-3

此时输入你设定的使用者名称及密码即可。若输入的账号密码正确，即可正常看到该目录的内容，否则在输入三次错误之后，将出现禁止存取的页面。

小提示

在您通过身份认证后，浏览器会自动将身份认证的数据暂存起来，以便下次联机时使用。所以在通过认证后，您不会每次要连受保护的目录时都要输入账号密码。如果您将浏览器关闭后，下次再连到该页面时，才会再被要求输入密码。

14.3 虚拟主机

如果您想要使用一台主机管理多个不同名称的网页，例如，及全都连到同一台服务器，我们可以经由 Apache 虚拟主机的功能，让不同的网址秀出不同的网页内容。其本上，就是在一台机器上设定多个主机名称或 IP，并依不同名称来决定其根目录所在。当使用者联机到我们的主机时，每一个不同的名称所看到的根目录都不同。

要达到这样的功能，我们必须先确定主机有多个 DNS 名称，这样别人打该主机名称才会对应到你的 IP。假设你的主机 IP 是 111.222.78.9 ，上面有二个主机名称，一个是，另一个是。您必须先在 DNS 中设定让这二个主机名称都可以对应到 11.22.78.9 这个 IP。

在确认 DNS 设定没问题后，我们就可以开始设定 Apache 虚拟主机的功能了。请编辑 httpd.conf，在虚拟主机的部份加入下列设定：

# 设定使用名称的虚拟本机

NameVirtualHost *:80

# 设定的管理者账号、存放网页的目录及log 所在

ServerAdmin jack@abc.com

DocumentRoot /home/www/abc

ServerName

ErrorLog /var/log/abc_error.log

CustomLog /var/log/abc_access.log common

# 设定的资料

ServerAdmin tom@cde.net

DocumentRoot /home/www/cde

ServerName

ErrorLog /var/log/cde_error.log

CustomLog /var/log/cde_access.log common

做完上面的设定后，就可以重新启动 Apache 了。如果你还有别的 Domain Name 指向 111.222.78.9 的话，例如，但你并未设定其 Virtual Host 数据，Apache 将以第一个设定的 Virtual Host 数据为主。在这个范例里，当你打会连到的设定。

必须要注意的是，有些客户端的联机软件并不支持 Name-Based 的虚拟主机，要支持 name-based virtual host，客户端必须送出 HTTP 的标头，也就是浏览器必须支持 HTTP/1.1。不过，请放心，我们常用的 IE、Netscape、lynx 都有支援。

14.4 网页记录分析

在我们将所制作好的网页放在网页服务器之后，我们会想知道每一个网页的浏览次数、使用者的停留时间等等，以做为改善网页的依据。这些信息都可以从 Apache 的联机记录文件中获得，但由于 Apache 的联机记录中，只有一笔一笔使用者浏览网页的记录，我们需要使用一些工具来分析记录文件，让这些记录文件能更易于阅读。

本章将介绍 Webalizer 这套软件。Webalizer 会读取 Apache 的联机记录文件，并将分析结果存成网页，让我们可以经由网页的图形更轻松的了解每一个页面的使用情形。由于 Webalizer 所进行的分析是经由读取 log 档，因此 log 文件的数据越多，分析出来的结果也就越详尽。

我们使用下列指令安装 Webalizer：# cd /usr/ports/www/webalizer

# make install clean

在安装完 Webalizer 之后，我们必须先做一些简单的设定。在 /usr/local/etc/ 有一个 Webalizer 的设定文件范例 webalizer.conf-dist，我们先将它复制一份再开始编辑：# cp /usr/local/etc/webalizer.conf-dist /usr/local/etc/webalizer.conf

# ee /usr/local/etc/webalizer.conf

以下我们将一一说明此设定档的内容，如果您想要更改其中的设定，请将该行开头的井字号移除再开始修改：

# 设定 Apache 联机记录文件的位置。

#LogFile /var/lib/httpd/logs/access_log

LogFile /var/log/httpd-access.log

# 设定 log 文件的型式，Webalizer 除了 Apache 外，还可以支持分析 FTP 软件

# 或 proxy 软件 squid 的 log 文件。LogType 预设的值是 'clf'，表示分析

# 网页数据，你也可以设定为 ftp 或 squid。

#LogTypeclf

# OutputDir 是我们想要输出分析数据的位置。请设定为网页根目录下的某一个

# 目录。例如我们的网页根目录是 /home/www，请先在该目录下建立一个子目录

# 名为 traffic，接着再设定 OutputDir 为 /home/www/traffic。