HTTP-常用配置

Posted 2021-01-02 xsuid

前言

这篇主要介绍HTTP服务程序环境

可能有一些介绍不到，博主能力有限，欢迎大神来纠正改进

HTTP协议从http/0.9到如今的http/2.0中间发生了很大的改变，现在主流的事http/1.1

在很多面试当主就会问起http协议各个版本的不同之处，这里就不介绍它们之间的区别了，有想要了解的可以百度下，面试的时候看下

HTTP工作机制：
http请求：http request
http响应：http response
一次http事务：请求<-->响应

在上篇中基本简单说了下https://www.cnblogs.com/xsuid/p/9451811.html

http服务器程序：
       httpd apache
       nginx
       lighttpd

Httpd介绍

httpd：

20世纪90年代初，国家超级计算机应用中心NCSA开发

特性：

高度模块化：core + modules

DSO: Dynamic Shared Object 动态加/卸载

MPM：multi-processing module多路处理模块

MPM工作模式

prefork：

1、多进程I/O模型，每个进程响应一个请求，默认模型

2、个主进程：生成和回收n个子进程，创建套接字，不响应请求

3、多个子进程：工作work进程，每个子进程处理一个请求；系统初始时，预先生成多个空闲进程，等待请求，最大不超过1024个

如图：

worker：

1、复用的多进程I/O模型,多进程多线程，IIS使用此模型

2、一个主进程：生成m个子进程，每个子进程负责生个n个线程，每个线程响应一个请求，并发响应请求：m*n

如图：

event：

1、事件驱动模型（worker模型的变种）

2、一个主进程：生成m个子进程，每个进程直接响应n个请求，并发响应请求：m*n，有专门的线程来管理这些keep-alive类型的线程，当有真实请求时，将请求传递给服务线程，执行完毕后，又允许释放。这样增强了高并发场景下的请求处理能力

如图：

备注：MPM模式也是面试中常问的问题

HTTP安装

版本

CentOS 6：默认2.2版本（官方以停止支持）

CentOS 7：默认2.4版本

安装方式

rpm：centos发行版，稳定，建议使用
编译：定制或特殊需求

备注：后面会介绍编译安装----

HTTP-CentOS 7程序环境

新版本2.4特性

MPM支持运行为DSO机制；以模块形式按需加载

event MPM生产环境可用

异步读写机制

支持每模块及每目录的单独日志级别定义

每请求相关的专用配置

增强版的表达式分析式

毫秒级持久连接时长定义

基于FQDN的虚拟主机不需要NameVirutalHost指令

新指令，AllowOverrideList

支持用户自定义变量

更低的内存消耗

配置文件：

/etc/httpd/conf/httpd.conf
/etc/httpd/conf.d/*.conf

检查配置语法：

httpd –t
service httpd configtest

模块相关的配置文件：

/etc/httpd/conf.modules.d/*.conf

systemd unit file：

/usr/lib/systemd/system/httpd.service

主程序文件：

/usr/sbin/httpd
httpd-2.4支持MPM的动态切换

日志文件：

/var/log/httpd
access_log：访问日志
error_log：错误日志

站点文档：

/var/www/html

模块文件路径：

/usr/lib64/httpd/modules

服务控制：

systemctl enable|disable httpd.service
systemctl {start|stop|restart|status} httpd.service

查看模块列表

查看静态编译的模块

httpd -l

查看静态编译及动态装载的模块

httpd –M

动态模块加载：不需重启即生效

动态模块路径
/usr/lib64/httpd/modules

Httpd 2.4常见配置

备注：在这我用两台主机进行实验，分别是：192.168.43.57、192.168.43.67，57当http服务器，67当客户端，首先yum安装HTTP服务器

1、版本号修改

备注：要是别人查询到你的网站事用http那个版本，是不是不好，容易利用版本漏洞进行攻击，所以让他不显示版本号

1、首先得有个主页，在这我就随便创建个index.httml

echo /var/www/html/index.html > /var/www/html/index.html

2、我们先来看一下没有进行版本设置时候得情况，在67主机上

curl -I 192.168.43.57

版本信息一目了然

3、在服务器端（57）隐藏版本信息设置

cd /etc/httpd/conf.d/
vim texe.conf

备注：写在主配置文件里也可，推荐写在以上目录下，方便来管理，主配置文件中标记了/conf.d/目录，写在/conf.d/目录下得配置优先生效

ServerTokens Prod
# 写入

systemctl restart httpd

systemctl reload httpd

#重启服务最好用reload

4、再次测试验证

OK

2、修改监听的IP和Port

1) 省略IP表示为本机所有IP

2) Listen指令至少一个，可重复出现多次

示例：

Listen 192.168.1.100:8080

Lsten 80

3、持久连接

Persistent Connection：连接建立，每个资源获取完成后不会断开连接，而是继续等待其它的请求完成，默认关闭持久连接
断开条件：数量限制：100

       时间限制：以秒为单位， httpd-2.4 支持毫秒级

副作用：对并发访问量较大的服务器，持久连接功能会使用有些请求得不到响应

折衷：使用较短的持久连接时间

设置：

KeepAlive On|Off
KeepAliveTimeout 15
MaxKeepAliveRequests 100

测试：

telnet 192.168.43.57 80

4、切换使用的MPM-开启100个线程

1、编辑

vim /etc/httpd/conf.modules.d/00-mpm.conf

2、重读配置文件或重启服务

systemctl reload httpd
systemctl restart httpd

3、查看确认

httpd –M |grep mpm
重启服务生效
pstree -p|grep httpd 查看进程和线程

备注：

1）设置进程为100个，在我们

StartServers   100

2）重启服务并查看

systemctl reload httpd
ps aux

5、定义HTTP主目录

1、默认得主目录在

/var/www/html/

2、更改主目录

1）首先创建目录

mkdir /data/website -pv

2）创建index.html首页

echo /data/website/index.html > /data/website/index.html

3）设置配置文件

vim /etc/httpd/conf.d/texe.conf

DocumentRoot "/data/website"
<Directory "/data/website">
Require all granted
</Directory>

4）重启服务

5）测试

注意：SELinux和iptables的状态

6、定义站点主页面

默认是找index.html文件最为主页得，也可更改把以下代码加入texe.conf配置文件就可

DirectoryIndex index.php 
# 值可以是多个。找步到第一个找第二个

7、基于IP的访问控制:

1、conf结尾的文件只能特定IP才能访问（如只允许192.168.43.67）

<FilesMatch ".+.(conf|ini)$">
<RequireAny>                                                                                                                  
Require all denied ##拒绝所有
require ip 192.168.43.67 ##只允许
</RequireAny>
</FilesMatch>

2、重启服务

备注：

加上这项

options indexes

说明要是这个网站主页面访问不了就显示目录下所有文件列表

也可限定目录只对特定用户访问

<location /admin> ##URL路径
<RequireAny>
Require all denied
require ip 192.168.31.6
</RequireAny>
</location>

8、自定义日志格式

日志类型：

访问日志
错误日志

错误日志：

路径：ErrorLog logs/error_log（这是相对路径基于/etc/httpd/）

推荐设置为：LogLevel warn（级别，从警报级别开始记录）

LogLevel 可选值:

debug, info, notice, warn,error

crit, alert, emerg

备注：最往后严重性越高

访问日志

1、定义日志格式：

LogFormat "%h %l %u %{%Y-%m-%d %H:%M:%S}t "%r" %>s %b "%{Referer}i" "%{User-Agent}i"" testlog

备注：根据环境需求来定义

2、使用日志格式：

CustomLog "logs/access_log" testlog

参考帮助：
http://httpd.apache.org/docs/2.2/mod/mod_log_config.html#formats

或

man 3 strftime

9、设定默认字符集

AddDefaultCharset UTF-8
中文字符集：GBK, GB2312, GB18030

10、定义路径别名

意思是说：

当用户访问192.168.43.57/data目录时，出现的数据不在website/data目录下，其实是在/website/app/stud目录下

实现方式：

Alias /data  /app/stud

备注：别忘了授权文件夹

<Directory "/app/stud">
Require all granted
</Directory>

重启服务

11、实现身份验证

说明：只有经过验证的用户才能访问某个目录

认证方式两种：

basic：明文
digest：消息摘要认证,兼容性差

安全域：

需要用户认证后方能访问的路径；应该通过名称对其进行标识，以便于告知用户认证的原因

用户的账号和密码

虚拟账号：仅用于访问某服务时用到的认证标识

存储：文本文件，SQL数据库，ldap目录存储，nis等

备注：用虚拟用户来访问特定的目录，虚拟账号可以放到文件里或数据库里

方法一

说明：我们针对admin目录来访问

1、修改配置文件：

vim /etc/httpd/conf.d/test.conf

<Directory /data/website/admin>
AuthType Basic ##验证方式
AuthName "Secure login" ##加的一段话，只要经过验证的用户才能访问
AuthUserFile "/etc/httpd/conf.d/.htpasswd" ##存放位置加‘.’是隐藏改目录，要是目录不存在，就创建出来
Require user bob  ##希望所访问的用户                                                                                                 
</Directory>

2、创建用户

htpasswd -c /etc/httpd/conf.d/.htpasswd alice
htpasswd   /etc/httpd/conf.d/.htpasswd bob
htpasswd   /etc/httpd/conf.d/.htpasswd jack

备注：第一次创建用户必须加“-c”之后就不需要加了

3、重启服务

方法二

1、在要设置权限的目录下创建一个文件存放验证信息

vim /data/website/admin/.htaccess

AuthType Basic
AuthName "Secure login"
AuthUserFile "/etc/httpd/conf.d/.htpasswd"
Require user bob 

2、编辑配置文件

vim /etc/httpd/conf.d/test.conf

<Directory /data/website/admin>
AllowOverride authconfig #允许覆盖                                                                                                  
</Directory>

3、重启服务

基于组验证

示例：
<Directory "/www/htdocs/admin">
 Options None
 AllowOverride None
 AuthType Basic
 AuthName "Administator private"
 AuthUserFile "/etc/httpd/conf.d/.htpasswd"
 AuthGroupFile "/etc/httpd/conf.d/.htgroup"
 Require group g1
</Directory>

创建用户

和上面创建方法一样

给用户分组

备注：

在/etc/httpd/conf.d目录下创建

ctrl+D结束

备注：

远程客户端和用户验证的控制

Satisfy ALL|Any

ALL 客户机IP和用户验证都需要通过才可以

Any客户机IP和用户验证,有一个满足即可

12、ServerSignature On | Off | EMail

说明：

当客户请求的网页并不存在时，服务器将产生错误文档，缺省情况下由于打开了 ServerSignature选项，错误文档的最后一行将包含服务器的名字、Apache的版本等信息

如果不对外显示这些信息，就可以将这个参数设置为Off

设置为Email，将显示ServerAdmin 的Email提示

13、status页面

说明：

用来判断服务器的状态

依赖于这个模块

httpd -M |grep status_module

1、编辑配置文件

<Location /status>
SetHandler server-status
Order allow,deny
Allow from 172.18
</Location>

2、重启服务

3、测试

192.168.43.57/status

14、虚拟主机

说明：在一台物理机上实现多个网站

有三种实现方式：

基于ip：为每个虚拟主机准备至少一个ip地址

基于port：为每个虚拟主机使用至少一个独立的port

基于FQDN：为每个虚拟主机使用至少一个FQDN

备注：假如有三台虚拟主机分别是“www.a.com、www.b.com、www.c.com” 分别在web1、web2、web3文件夹中

准备

1）首先创建三个文件夹

mkdir /data/web{1,2,3}

2）创建三个主页

echo /data/web1 > /data/web1/index.html
echo /data/web2 > /data/web2/index.html
echo /data/web3 > /data/web3/index.html

基于端口实现

分别对应8001、8002、8003

1、编辑配置文件

vim /etc/httpd/conf.d/texe.conf

listen 8001  #端口
listen 8002  #
listen 8003  #
<virtualhost *:8001> #定义
documentroot /data/web1 #主站点
servername www.a.com 
<directory /data/web1> #定义授权
require all granted # 都授权
</directory>
</virtualhost>

<virtualhost *:8002>
documentroot /data/web2
servername www.b.com
<directory /data/web2>
require all granted
</directory>
</virtualhost>

<virtualhost *:8003>                                                                                                          
documentroot /data/web3
servername www.c.com
<directory /data/web3>
require all granted
</directory>
</virtualhost>

2、重启服务

3、测试

基于IP地址实现

1、在物理机上增加三个IP地址

ip a a 192.168.43.101/24 dev ens33
ip a a 192.168.43.102/24 dev ens33
ip a a 192.168.43.103/24 dev ens33

2、修改配置文件

vim /etc/httpd/conf.d/texe.conf

<virtualhost 192.168.31.101:80>
documentroot /data/web1
servername www.a.com
<directory /data/web1>
require all granted
</directory>
</virtualhost>

<virtualhost 192.168.31.102:80>
documentroot /data/web2
servername www.b.com
<directory /data/web2>
require all granted
</directory>
</virtualhost>

<virtualhost 192.168.31.103:80>
documentroot /data/web3
servername www.c.com
<directory /data/web3>
require all granted
</directory>
</virtualhost>

3、重启服务并测试

基于FQDN（主机头）实现

说明：想要主机名访问必须使用DNS解析或hosts文件解析

在这我们写到hosts文件中

vim /etc/hosts

1、编辑配置文件

vim /etc/httpd/conf.d/texe.conf

<virtualhost *:80>
documentroot /data/web2
servername www.b.com
<directory /data/web2>
require all granted
</directory>
ErrorLog "logs/b_error_log" #错误日志分开
CustomLog "logs/b_access_log" combined #访问日志分开
</virtualhost>

<virtualhost *:80>
documentroot /data/web3
servername www.c.com
<directory /data/web3>
require all granted
</directory>
ErrorLog "logs/c_error_log"
CustomLog "logs/c_access_log" combined
</virtualhost>

<virtualhost *:80>
documentroot /data/web1
servername www.a.com 
ServerAlias  a.com *.a.com #别名也就是泛域名
<directory /data/web1>
require all granted
</directory>
ErrorLog "logs/a_error_log"
CustomLog "logs/a_access_log" combined
</virtualhost>

2、重启服务并测试

备注：如果用IP地址访问，那么配置文件中谁靠前谁就是默认地址

15、实现https加密访问

说明：要是你的网站涉及到“￥”那么就必须加https加密访问

生产中是向CA机构花钱申请的，在这里我们自己搭建一个CA服务器，我们用67当CA服务器

1、CA服务器端（67）安装yum包

yum install mod_ssl

2、httpd服务器申请证书

cd /etc/pki/CA

1）生成私钥

(umask 077;openssl genrsa -out private/cakey.pem 2048)

2）自签名

openssl req -new -x509 -key private/cakey.pem -out cacert.pem

3）CA主机创建目录

touch index.txt
echo 01 > serial
#存放序列号

4）在57HTTP服务器主机创建目录来存放证书与私钥并生产自己的私钥

cd /etc/httpd/conf.d/
# 在这个目录下创建存放目录
mkdir ssl

[[email protected]_05 ssl]# (umask 077;openssl genrsa -out heepd.key 2048)

5）57HTTP主机生成请求

openssl req -new -key heepd.key -out httpd.csr

6）CA服务器给HTTP颁发证书

备注：把57主机生成的申请文件scp传送给CA主机

scp httpd.csr 192.168.43.67:/etc/pki/CA/

CA给HTTP签名

openssl ca -in httpd.csr -out certs/httpd.csr
#颁发证书

7）把HTTP的证书和CA的证书传送到（57）HTTP服务器

scp certs/httpd.csr cacert.pem 192.168.43.57:/etc/httpd/conf.d/ssl/

8）修改ssl.cof配置文件

[[email protected]_05 conf.d]# vim ssl.conf

9）重启服务测试

16、http跳转到https

说明：当我们输入 “www.a.com” 自动跳转到”https://www.a.com”

1、修改配置文件

[[email protected]_05 conf.d]# vim texe.conf

RewriteEngine on  #启动这个引擎
rewritecond %{SERVER_PORT} !^443 #条件跳转--如果不是443的时候我就进行跳转
RewriteRule ^(/.*)$ https://%{HTTP_HOST}$1 [redirect=301] #这是跳转规则

2、重启测试

17、使用mod_deflate模块压缩页面优化传输速度

适用场景：

(1) 节约带宽，额外消耗CPU；同时，可能有些较老浏览器不支持

(2) 压缩适于压缩的资源，例如文本文件

1、编辑配置文件

vim /etc/httpd/conf.d/texe2.conf

AddOutputFilterByType DEFLATE text/plain
AddOutputFilterByType DEFLATE text/html
DeflateCompressionLevel 9
SetOutputFilter DEFLATE

2、重启测试

http协议常用的状态码

200： 成功，请求数据通过响应报文的entity-body部分发送;OK

301： 请求的URL指向的资源已经被删除；但在响应报文中通过首部Location指明了资源现在所处的新位置；Moved Permanently

302： 响应报文Location指明资源临时新位置 Moved Temporarily

304： 客户端发出了条件式请求，但服务器上的资源未曾发生改变，则通过响应此响应状态码通知客户端；Not Modified

401： 需要输入账号和密码认证方能访问资源；Unauthorized

403： 请求被禁止；Forbidden

404： 服务器无法找到客户端请求的资源；Not Found

500： 服务器内部错误；Internal Server Error

502： 代理服务器从后端服务器收到了一条伪响应，如无法连接到网关；Bad Gateway

503 – 服务不可用，临时服务器维护或过载，服务器无法处理请求

504 – 网关超时

结语：后续更精彩