Apache----web服务器软件

Posted 2021-11-04 CQ。

文章目录

• 一、Apache是什么
• 二、Apache的安装
• 三、Apache的启用
• 四、Apache的基本信息
• 五、Apache的基本配置
• • 1、Apache端口修改
  • 2、默认发布文件
  • 3、默认发布目录
• 六、Apache的访问控制
• • 1、基于客户端ip的访问控制
  • 2、基于用户认证
• 七、Apache的虚拟主机
• 八、Apache的语言支持
• • 1、php
  • 2、cgi
  • 3、wsgi
• 九、Apache的加密访问
• 十、squid正向代理
• 十一、squid反向代理

---

一、Apache是什么

Apache HTTP server 简称 Apache ，是目前使用最广泛的web 服务器软件。它几乎可以使用在所有广泛使用的计算机平台。它简单、速度快、性能稳定，并可做代理服务器来使用。它对linux的支持相当完美。
Apache是以进程为基础的结构，进程要比线程消耗更多的系统开支，不太适合于多处理器环境，因此，在一个Apache Web站点扩容时，通常是增加服务器或扩充群集节点而不是增加处理器。到目前为止Apache仍然是世界上用的最多的Web服务器，市场占有率达60%左右。世界上很多著名的网站如Amazon、Yahoo!、W3 Consortium、Financial Times等都是Apache的产物。

• Apache工作在应用层，是实现http协议的服务器软件之一，http是超文本传输协议，工作于应用层tcp的80端口，用户发起http协议的请求报文，服务器收到之后进行对客户端的响应，客户端收到之后，通过浏览器显示，其背后为html语言。而html是超文本标记语言

二、Apache的安装

在redhat版本中

dnf install -y httpd

三、Apache的启用

systemctl enable --now httpd #开启服务并设置服务开机启动
firewall-cmd --list all #查看火墙信息
firewall-cmd permanent --add-service=httpd #在火墙中永久开启httpd访问
firewall-cmd --permanent --add-service=https #在火墙中永久开启https的访问
firewall-cmd --reload #刷新火墙使设定生效

四、Apache的基本信息

服务名称	httpd
配置文件	主配置文件：/etc/httpd/conf/httpd.conf 子配置文件:/etc/httpd/conf.d/*.conf
默认发布目录	/var/www/html
默认发布文件	index.html
默认端口	http:80 https:443
用户	apache
日志	/etc/httpd/logs

五、Apache的基本配置

1、Apache端口修改

vim /etc/httpd/conf/httpd.conf

修改

listen 8080

firewall-cmd --permanent --add-port=8080/tcp
firewall-cmd --reload
sysytemctl restart httpd

在浏览器测试

http://172.25.254.131:8080

2、默认发布文件

vim /etc/httpd/conf/httpd.conf

修改

DirectoryIndex westos.html index.html

systemctl restart httpd

3、默认发布目录

/var/www/html

默认情况下，将要发布的网页文件应该配置于/var/www里面 ，可以通过主配置文件中的DocumentRoot选项修改。

六、Apache的访问控制

• 实验素材

mkdir /var/www/html/westos
vim /var/www/html/westos/index.html	

在index.html中

<h1>westosdir's page</h1>

在浏览器中测试

http://172.25.254.131/westos

1、基于客户端ip的访问控制

在/etc/httpd/conf/httpd.conf中

• ip白名单

 <Directory "/var/www/html/westos">    ##允许除23主机外所有人可访问
        Order Allow,Deny
        Allow from all
        Deny from 172.25.254.23
    </Directory>

• ip黑名单

 <Directory "/var/www/html/westos">    #不允许除23主机外所有人可访问
        Order Deny,Allow
        Deny from all
        Allow from 172.25.254.23
     </Directory>

然后重启httpd服务

sysytemctl restart httpd

2、基于用户认证

在/etc/httpd/conf/httpd.conf中

<Directory "/var/www/html/westos">
        AuthUserFile /etc/httpd/.htpasswd        ##指定认证文件
        AuthName "Please input username and passwd"    ##认证提示语
        AuthType basic                    ##认证类型
        Require user admin                ##允许通过的认证用户
        #Require valid users                ##允许所有用户通过认证
    </Directory>

之后生成认证文件

htpasswd -cm /etc/httpd/htpasswdfile ccc

七、Apache的虚拟主机

mkdir /var/www/html/westos/{lalala,hahaha} -p
echo "lalala" > /var/www/html/westos/lalala/index.html
echo "hahaha" > /var/www/html/westos/hahaha/index.html
vim /etc/httpd/conf.d/Vhost.conf
vim /etc/hosts 

子配置文件中
/etc/httpd/conf.d/Vhost.conf中修改

<VirtualHost _Default_:80>
        DocumentRoot "/var/www/html"
        Customlog logs/default.log combined
</VirtualHost>

<VirtualHost *:80>
        Servername www.lalala.westos.org
        DocumentRoot "/var/www/html/westos/lalala"
        Customlog logs/lalala.log combined
</VirtualHost>

<VirtualHost *:80>
        Servername www.hahaha.westos.org
        DocumentRoot "/var/www/html/westos/hahaha"
        Customlog logs/hahaha.log combined
</VirtualHost>

在浏览器中测试

八、Apache的语言支持

1、php

在/var/www/html/里 编写 index.php

	<?php
		phpinfo();
	?>

安装php

dnf install php -y

重启httpd

systemctl restart httpd

测试

2、cgi

• 一定要关selinux

编写cgidir/index.cgi

#!/usr/bin/perl
print "Content-type: text/html\\n\\n";
print `date`;

然后修改配置文件

vim /etc/httpd/conf.d/vhost.conf

测试

3、wsgi

[root@vm131 html]# mkdir wsgi/
[root@vm131 html]# cd wsgi/
[root@vm131 wsgi]# vim index.wsgi
[root@vm131 wsgi]# dnf install -y python-mod_wsgi

python要严格对齐

[root@vm131 wsgi]# vim /etc/httpd/conf.d/vhost.conf
[root@vm131 wsgi]# systemctl restart httpd

python执行要求高，在子配置文件中设置引导文件位置

九、Apache的加密访问

安装加密插件

dnf install -y mod_ssl

前面已经在火墙中加入了https的访问
之后重启httpd服务
打开浏览器测试

systemctl restart httpd

测试

https://172.25.254.131

显示此网站没有认证

之后添加证书

openssl req -newkey rsa:2048 -nodes -sha256 -keyout /etc/httpd/westos.org.key -x509 -days 365 -out /etc/httpd/westos.org.crt

x509	证书格式
req	请求
rsa:2048	加密格式：长度单位
-sha256	加密方法

在/etc/httpd 里面查看生成的证书和钥匙

之后激活证书

vim ssl.conf

之后使输入的网页转到Apache访问

vim /etc/httpd/conf.d/vhost.conf

<virtualhost _Default_:80>
        Servername www.westos.org
        RewriteEngine On
        RewriteRule ^(/.*)$ https://%{HTTP_HOST}$1
</virtualhost>
<VirtualHost _Default_*:443>
                Servername www.westos.org
        Documentroot "/var/www/html"
        SSLEngine on
        SSLCertificateFile /etc/httpd/westos.org.crt
        SSLCertificateKeyFile /etc/httpd/westos.org.key
</VirtualHost>

之后清除原来浏览器对这个网页的未认证证书
重新加载网页 查看证书

证书认证完成

十、squid正向代理

• Squid是支持HTTP，HTTPS，FTP等的Web的缓存代理。它通过缓存和重用频繁请求的网页来减少带宽并缩短响应时间。Squid拥有广泛的访问控制，是一个出色的服务器加速器。并根据GNU GPL许可，它可运行在大多数可用的操作系统上，包括Windows，Linux。全世界数百家互联网服务提供商使用Squid为其用户提供最佳的Web访问。Squid优化客户端和服务器之间的数据流，以提高性能并缓存常用内容以节省带宽。Squid还可以通过各种方式将内容请求路由到服务器，以构建优化网络吞吐量的缓存服务器层次结构。squid具有正向代理和反向代理之分，正向代理又可分为标准正向代理和透明正向代理，不同的模式应用于不同的网络体系。

所谓标准正向代理，就是把网站的数据缓存到本地服务器，提高资源再次被访问的效率，但是用户在上网时需要手动填写代理服务器ip和端口（现在很少使用，只有特殊的部门使用），这也是和正向透明代理的区别了（透明正向代理不需要）。简单的来说标准正向代理是用来帮助用户上网的，也就是访问互联网，大概模式如下：

局域网中的用户通过squid代理服务，从而访问互联网。在大多数的企业中，会把squid服务程序部署到公司的服务器上并通过ACL（访问控制列表）进行上网策略的配置，比如能访问哪类网站、允许下载哪类文件等等，对员工的上网行为进行规则制定。

• 实验环境：
  单网卡主机设定ip不能上网
  双网卡主机设定ip1可以连接单网卡主机，设定ip2可以上网

• 实验效果
  让单网卡主机不能上网但浏览器可以访问互联网页

首先设置真实主机，使其变为路由器

systemctl start firewalld.service 
firewall-cmd --add-masquerade 

之后设置双网卡主机，使其能够上网。
之后设置单网卡主机，使其不能上网，但能ping通真实主机

此时在双网卡主机里面安装代理软件

dnf install -y squid
vim /etc/squid/squid.conf

之后重启squid服务，在火墙策略中添加squid服务和3128/tcp端口。
之后在但网卡主机浏览器中更改设置

可以看到 ping不通 但是可以通过浏览器上网了。

十一、squid反向代理

什么是反向代理呢？其实，反向代理也就是通常所说的WEB服务器加速，它是一种通过在繁忙的WEB服务器和Internet之间增加一个高速的WEB缓冲服务器（即：WEB反向代理服务器）来降低实际的WEB服务器的负载。典型的结构如下图所示：

Web服务器加速（反向代理）是针对Web服务器提供加速功能的。它作为代理Cache，但并不针对浏览器用户，而针对一台或多台特定Web服务器（这也是反向代理名称的由来）。实施反向代理（如上图所示），只要将Reverse Proxy Cache设备放置在一台或多台Web服务器前端即可。当互联网用户访问某个WEB服务器时，通过DNS服务器解析后的IP地址是Reverse Proxy Server的IP地址,而非原始Web服务器的IP地址,这时Reverse Proxy Server设备充当Web服务器，浏览器可以与它连接，无需再直接与Web服务器相连。因此，大量Web服务工作量被卸载到反向代理服务上。不但能够防止外部网主机直接和web服务器直接通信带来的安全隐患，而且能够很大程度上减轻web服务器的负担，提高访问速度。

• 实验环境：
  172.25.254.25 Apache服务器
  172.25.254.100 squid，没有数据负责缓存

在双网卡主机中，安装过squid的主机

vim /etc/squid/squid.conf

• vhost #支持虚拟域名
• vport #支持虚拟端口

cache_peer 172.25.254.231 parent 80 0 proxy-only

• 这条语句说明 当本机131的80端口被访问时，会从231的80端口缓存数据。

前面已经添加了http服务
之后重启squid服务

systemctl restart squid

之后关闭httpd服务

之后在单网卡主机中
设置默认发布内容

[root@localhost html]# vim index.html

之后关闭selinux ，开启防火墙，防火墙策略中加入http服务，开启http
之后在双网卡主机中测试

172.25.254.131

看到的是231中发布的内容
说明反向代理成功。