[RHEL5企业级Linux服务攻略]--第7季 Apache服务全攻略之高级配置

LinuxApacheWeb服务器配置教程Linux阿帕奇网络服务器配置教程阿帕奇的主要特点根据著名的万维网服务器研究公司进行的一项调查，全世界50%以上的万维网服务器使用阿帕奇，排名世界第一。

阿帕奇的出生非常戏剧化。

当NCSA万维网服务器项目停止时，那些使用NCSA万维网服务器的人开始用他们的补丁来交换服务器，他们很快意识到有必要建立一个论坛来管理这些补丁。

就这样，阿帕奇集团诞生了，后来这个集团在NCSA的基础上建立了阿帕奇。

阿帕奇的主要特点是:。

可以在所有计算机平台上运行；。

支持最新的HTTP 1.1协议；简单而强大的基于文件的配置；。

支持通用网关接口CGI。

支持虚拟主机；。

支持HTTP认证；。

集成的Perl脚本编程语言；。

集成代理服务器；。

拥有可定制的服务器日志；。

支持服务器端包含命令。

支持安全套接字层。

用户会话过程的跟踪能力；支持FastCGI。

支持Java小服务程序。

安装Apache流程安装Apache接下来，我们将开始征服阿帕奇的漫长旅程。

我们将一步一步地学习使用Apache，从介绍到掌握，通过需求的一步一步的例子。

系统需求运行Apache不需要太多的计算资源。

它运行良好的Linux系统有6-10MB的硬盘空间和8 MB的内存。

然而，单独运行Apache可能不是您想要做的。

更有可能的是，您希望运行Apache来提供WWW服务，启动CGI流程，并充分利用WWW所能提供的所有惊人功能。

在这种情况下，您需要提供额外的磁盘空间和内存空间来反映负载要求。

换句话说，它不需要太多的系统资源来启动WWW服务，但是它需要更多的系统资源来为大量的客户提供服务。

获取软件你可以呆在错误日志命令用于指定错误日志文件名和路径。

命令格式:错误日志[日志文件名]示例:错误日志/var/srm.confSrm.conf是一个资源配置文件，它告诉服务器您想在WWW站点上提供什么资源，在哪里以及如何提供这些资源。

DocumentRoot命令指定主文档的地址。

Apache与代理服务器代理服务器是位于客户和客户要访问的服务器之间的系统。

当客户机使用URL请求访问远程资源时，代理服务器接受该请求并取得该资源以满足客户机的请求。

在通常情况下，代理服务器是客户机的服务器，同时也是远程服务器的客户。

代理服务器可以在自己的缓冲区中存储被请求的内容，当这些信息再次被请求的时候，代理服务器就无需再从远程服务器上取了，这样代理服务器就减轻了网络的瓶颈问题。

Apache可以配置成为代理服务器。

一、前向代理服务器和逆向代理服务器1．前向代理服务器前向代理服务器通常位于用户主机和要访问的远程网络之间。

它从远程服务器取得所要求的资源，然后返回给用户，同时存在磁盘上，以供下次使用。

在这种情况下，客户端的主机知道它们正在使用代理服务器，因为每个主机都必须配置为使用代理服务器。

例如，必须告诉WWW浏览器使用代理服务器，它才能使用代理服务器。

所有的远程请求都通过代理服务器传输。

这类代理服务器也称为缓冲代理服务器。

逆向服务器也可以缓冲数据，但它的作用愉好与前向服务器相反。

2．逆向代理服务器逆向代理服务器位于互联网资源前面，逆向服务器从原始服务器找到被请求的资源，并反它返回给用户主机。

与前向代理服务器不同的是，逆向代理服务器的用户并不知道它们连接的是代理服务器而不是资源服务器本身。

其结构如下图所示：二、配置代理服务器为了允许Apache作为代理服务器，需要将ProxyRequests设为On，然后根据你希望代理服务器做什么而增加什么附加配置。

无论你希望做什么，你所选的代理配置都应该放入一个特殊?lt;Directory>容器中。

<Directory proxy:*>…</Directory>实例一：将私有IP网连到互联网假设私有网上只有一台计算机被分配了互联网上合法的IP地址，这台计算机运行Apache代理服务器，ProxyRequest设置为On，并且不需要附加其他配置，所有请求均可由这台代理服务器代理服务。

CentOS7Apache服务的安装与配置⼀、Apache简介Apache 是⼀个知名的开源Web服务器。

早期的Apache服务器由Apache Group来维护，直到1999年6⽉Apache Group在美国德拉⽡市成⽴了⾮盈利性组织的公司，即Apache软件基⾦会（Apache Software Foundation，ASF）。

⽹站需要web服务器来架构，⽹页设计美⼯⼈员(flash,dreamweaver,firework,photoshop等)，⽹页开发⼈员（php,.net,jsp等),⽹站建⽴好后，需要我们维护，优化，排错，架构延伸扩容等。

简单点说就是我们如果要浏览⼀个⽹页的话，基本上所有的⽹站都使⽤的是http协议来进⾏数据传输的！⾄于怎么样传输，我们做为运维来说就没有必要去深究了，那是做html前端开发⼈员要去考虑的事情！Apache由内核、标准模块和第三⽅提供的模块三个层次组成。

通常Apache在默认安装时，只安装图中的1、2两部分。

根据⽤户需要，⽤户可以通过修改配置去掉⼀些默认安装的标准模块；也可以通过修改配置安装⼀些默认不安装的模块。

同时，如果⽤户需要，也可以安装⼀些第三⽅提供的模块。

[此⽹站会有每⽉份的世界上⽹站使⽤的WEB服务器的使⽤率统计](https:///archives/category/web-server-survey/)Apache是世界上应⽤最⼴泛的web服务器之⼀[ Apache官⽹](/)⼆、CentOS下的Apache1. ⽹站分为两种静态⽹站：Apache,Nginx,html动态⽹站：php/perl/python,jsp(java), .net2. Apache服务概览软件包： httpd, httpd-devel, httpd-manual服务类型：由systemd启动的守护进程配置单元： /usr/lib/systemd/system/httpd.service守护进程： /usr/sbin/httpd端⼝： 80(http), 443(https)配置： /etc/httpd/Web⽂档： /var/www/html/Apache⽇志记录⽬录：/var/log/httpd/该⽬录下有两种⽂件：access_log # 记录客户端访问Apache的信息，⽐如客户端的iperror_log # 记录访问页⾯错误信息Apache服务启动的记录⽇志：/var/log/messages # 这个⽇志是系统的⼤集合3. 配置Apache服务器的准备⼯作系统平台： CentOS 7.3DHCP Server： 192.168.1.20第1步：服务器设置静态IP第2步：更改主机名，写/etc/hosts记录[root@Apache ~]# echo "192.168.1.20 Apache" >> /etc/hosts --往/etc/hosts添加ip和主机名[root@Apache ~]# cat /etc/hosts127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4::1 localhost localhost.localdomain localhost6 localhost6.localdomain6192.168.1.20 Apache第3步：关闭防⽕墙[root@Apache ~]# systemctl stop firewalld --临时关闭防⽕墙[root@Apache ~]# systemctl disable firewalld --永久关闭防⽕墙第4步：关闭selinux临时关闭：[root@Apache ~]# setenforce 0setenforce: SELinux is disabled永久关闭：[root@Apache ~]# vim /etc/selinux/configSELINUX=disabled # 将enforcing改为disabled[root@Apache ~]# reboot --重启系统永久⽣效三、Apache服务的搭建与配置1. 使⽤yum包安装Apache软件[root@Apache ~]# yum -y install httpd*[root@Apache ~]# rpm -qa | grep httpd --查看安装的http包httpd-manual-2.4.6-67.el7.centos.6.noarchhttpd-tools-2.4.6-67.el7.centos.6.x86_64httpd-2.4.6-67.el7.centos.6.x86_64httpd-devel-2.4.6-67.el7.centos.6.x86_64安装成功后，会产⽣下⾯两个⽂件/etc/httpd/conf/httpd.conf # 主配置⽂件/var/www/html # 默认⽹站家⽬录2. 认识配置⽂件⾥的主要参数[root@Apache ~]# vim /etc/httpd/conf/httpd.conf31 serverRoot "/etc/httpd" # 存放配置⽂件的⽬录42 Listen 80 # Apache服务监听端⼝66 User apache # ⼦进程的⽤户67 Group apache # ⼦进程的组86 ServerAdmin root@localhost # 设置管理员邮件地址119 DocumentRoot "/var/www/html" --⽹站家⽬录# 设置DocumentRoot指定⽬录的属性131 <Directory "/var/www/html"> # ⽹站容器开始标识144 Options Indexes FollowSymLinks # 找不到主页时，以⽬录的⽅式呈现，并允许链接到⽹站根⽬录以外151 AllowOverride None # none不使⽤.htaccess控制,all允许156 Require all granted # granted表⽰运⾏所有访问，denied表⽰拒绝所有访问157 </Directory> # 容器结束164 DirectoryIndex index.html # 定义主页⽂件，当访问到⽹站⽬录时如果有定义的主页⽂件，⽹站会⾃动访问316 AddDefaultCharset UTF-8 # 字符编码，如果中⽂的话，有可能需要改为gb2312或者gbk,因你的⽹站⽂件的默认编码⽽异3. 启动Apache⽹站[root@Apache ~]# systemctl start httpd.service[root@Apache ~]# lsof -i:80 --查看httpd服务是否启动COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAMEhttpd 20585 root 4u IPv6 402909 0t0 TCP *:http (LISTEN)httpd 20586 apache 4u IPv6 402909 0t0 TCP *:http (LISTEN)httpd 20587 apache 4u IPv6 402909 0t0 TCP *:http (LISTEN)httpd 20588 apache 4u IPv6 402909 0t0 TCP *:http (LISTEN)httpd 20589 apache 4u IPv6 402909 0t0 TCP *:http (LISTEN)httpd 20590 apache 4u IPv6 402909 0t0 TCP *:http (LISTEN)启动成功后使⽤浏览器：输⼊⾃⼰的IP地址会看到⼀个红帽的欢迎页⾯：[root@Apache ~]# firefox 192.168.1.20每次打开浏览器不是很⽅便，因此我们可以使⽤⽂本浏览器，⽅便测试。

Linux下Apache服务的部署和配置⽬录1 Apache的作⽤2 Apache的安装3 apache的启⽤4 apache的基本信息5 apache的访问控制5.1 基于客户端ip的访问控制5.2 基于⽤户认证的访问控制6 apache的虚拟主机7 apache的加密访问8 ⽹页重写9 正向代理10 反向代理11 apache ⽀持的语⾔1 Apache的作⽤解析⽹页语⾔，如html，php，jsp等接收web⽤户的请求，并给予⼀定的响应2 Apache的安装安装apche软件：dnf install httpd.x86_64 -y3 apache的启⽤开启apache服务并设置开机启动：systemctl enable --now httpd查看apache服务的状态：systemctl enable --now httpd查看⽕墙信息：firewall-cmd --list-all 在⽕墙中永久开启http服务：firewall-cmd --permanent --add-service=http在⽕墙中永久开启https服务： f irewall-cmd --permanent --add-service=https在不改变当前⽕墙状态的情况下刷新防⽕墙：firewall-cmd --reload4 apache的基本信息apche的基本信息服务名称：httpd主配置⽂件：/etc/httpd/conf/httpd.conf⼦配置⽂件：/etc/httpd/conf.d/*.conf默认发布⽬录：/var/www/html默认端⼝：80 （http），443（https）⽇志⽂件：/etc/httpd/logs开启apche服务后，输⼊ip查看默认发布页⾯：（1）更改apche服务的端⼝号查看httpd服务的默认端⼝号：netstat -antlupe |grep httpd编辑配置⽂件：/etc/httpd/conf/httpd.conf，修改端⼝号重启httpd服务：systemctl restart httpd查看httpd服务的端⼝号：netsat -antlupe | grep httpd更改端⼝号后，输⼊ip后⽆法正常连接，原因是8080端⼝未添加在⽕墙中在防⽕墙⾥添加888端⼝号：firewall-cmd --permanent --add-port=888/tcp在不改变当前⽕墙状态的情况下刷新防⽕墙：firewall-cmd --reload输⼊IP地址：端⼝号，可以正常访问（2）修改apche的默认发布⽂件默认⽬录：cd /var/www/html在⽂件默认发布⽬录下新建⼀个⽂件index.html输⼊：http：//172.25.254.144查看默认发布⽂件就是访问apache时没有指定⽂件名，即默认访问的⽂件，此⽂件可以指定多个，但有访问顺序。

企业环境公司为了宣传最新的产品信息，计划搭建FTP服务器，为客户提供相关文档的下载。

对所有权互联网开放共享目录，允许下载产品信息，禁止上传。

公司的合作单位能够使用FTP服务器进行上传和下载，但不可以删除数据。

并且保证服务器的稳定性，进行适当优化设置哈~需求分析根据企业的需求，对于不同用户进行不同的权限限制，FTP服务器需要实现用户的审核。

需考虑到服务器的安全性，所以关闭实体用户登录，使用虚拟帐号验证机制，并对不同虚拟帐号设置不同的权限。

为了保证服务器的性能，还需要根据用户的等级，限制客户端的连接数及下载速度。

解决方案1、创建用户数据库（1）创建用户文本文件先建立用户文本文件vsftpd_virtualuser.txt，添加两个虚拟帐号，公共帐号ftp及客户帐号viptouch /etc/vsftpd/vsftpd_virtualuser.txtvim /etc/vsftpd/vsftpd_virtualuser.txt格式：虚拟帐号1密码虚拟帐号2密码保存退出哈~（2）生成数据库保存虚拟帐号和密码的文本文件无法被系统帐号直接调用哈~我们需要使用db_load命令生成db 数据库文件db_load -T -t hash -f /etc/vsftpd/vsftpd_virtualuser.txt/etc/vsftpd/vsftpd_virtualuser.db注意：rhel5默认只安装db4-4.3.29-9.fc6.i386.rpm和db4-devel-4.3.29-9.fc6.i386.rpm，要使用db_load需要将db4-utils-4.3.29-9.fc6.i386.rpm包安装上哈~否则会出现下图的错误：找不到db_load命令。

（3）修改数据库文件访问权限数据库文件中保存着虚拟帐号的密码信息，为了防止非法用户盗取哈，我们可以修改该文件的访问权限。

生成的认证文件的权限应设置为只对root用户可读可写，即600chmod 600 /etc/vsftpd/vsftpd_virtualuser2、配置PAM文件为了使服务器能够使用数据库文件，对客户端进行身份验证，需要调用系统的PAM模块.PAM(Plugable Authentication Module)为可插拔认证模块，不必重新安装应用系统，通过修改指定的配置文件，调整对该程序的认证方式。

Apache服务器配置全攻略Apache服务器配置全攻略(一)Apache服务器的设置文件位于/usr/local/apache/conf/目录下，传统上使用三个配置文件httpd.conf,access.conf和srm.conf，来配置Apache服务器的行为。

httpd.conf提供了最基本的服务器配置，是对守护程序httpd如何运行的技术描述；srm.conf是服务器的资源映射文件，告诉服务器各种文件的MIME类型，以及如何支持这些文件；access.conf用于配置服务器的访问权限，控制不同用户和计算机的访问限制；这三个配置文件控制着服务器的各个方面的特性，因此为了正常运行服务器便需要设置好这三个文件。

除了这三个设置文件之外，Apache还使用mime.types文件用于标识不同文件对应的MIME类型， magic文件设置不同MIME类型文件的一些特殊标识，使得Apache 服务器从文档后缀不能判断出文件的MIME 类型时，能通过文件内容中的这些特殊标记来判断文档的MIME类型。

bash-2.02$ ls -l /usr/local/apache/conftotal 100-rw-r--r-- 1 root wheel 348 Apr 16 16:01 access.conf-rw-r--r-- 1 root wheel 348 Feb 13 13:33 access.conf.default-rw-r--r-- 1 root wheel 30331 May 26 08:55 httpd.conf-rw-r--r-- 1 root wheel 29953 Feb 13 13:33 httpd.conf.default-rw-r--r-- 1 root wheel 12441 Apr 19 15:42 magic-rw-r--r-- 1 root wheel 12441 Feb 13 13:33 magic.default-rw-r--r-- 1 root wheel 7334 Feb 13 13:33 mime.types-rw-r--r-- 1 root wheel 383 May 13 17:01 srm.conf-rw-r--r-- 1 root wheel 357 Feb 13 13:33 srm.conf.default事实上当前版本的Apache将原来httpd.conf、srm.conf与access.conf中的所有配置参数均放在了一个配置文件httpd.conf中，只是为了与以前的版本兼容的原因（使用这三个设置文件的方式来源于NCSA-httpd），才使用三个配置文件。

Red Hat Enterprise Linux 7网络指南在 RHEL 7 中配置和管理网络、网络接口和网络服务Last Updated: 2022-07-03Red Hat Enterprise Linux 7 网络指南在 RHEL 7 中配置和管理网络、网络接口和网络服务Enter your first name here. Enter your surname here.Enter your organisation's name here. Enter your organisational division here. Enter your email address here.法律通告Copyright © 2022 | You need to change the HOLDER entity in the en-US/Networking_Guide.ent file |.The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.Linux ® is the registered trademark of Linus Torvalds in the United States and other countries. Java ® is a registered trademark of Oracle and/or its affiliates.XFS ® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.MySQL ® is a registered trademark of MySQL AB in the United States, the European Union and other countries.Node.js ® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.The OpenStack ® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.All other trademarks are the property of their respective owners.摘要红帽企业 Linux 7 网络指南记录了有关红帽企业 Linux中网络接口、网络和网络服务的配置和管理相关信息。

企业环境公司搭建一台代理服务器，需要提高内网访问互联网速度并能够对内部员工的上网行为进行限制，采用squid代理服务器软件，对内部网络进行优化。

需求分析提高用户访问速度，需要对squid服务器进行优化并且需要使用acl对访问行为进行相应限制。

解决方案1、路由及NAT设置设置网卡IP地址eth0:192.168.8.188 netmask:255.255.255.0vim /etc/sysconfig/network-scripts/ifcfg-eth0eth1:dhcp获取vim /etc/sysconfig/network-scripts/ifcfg-eth1开启内核路由功能echo 1 > /proc/sys/net/ipv4/ip_forward配置iptables设定nat,即透明代理iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-ports 3128如果只设置下面一句而上面一句不设置，客户端也可以上网，只是不通过squid哈~ iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE保存iptables设置service iptables save2、修改selinux设置setsebool -P squid_disable_trans on注意：如果配置squid透明代理，要开启selinux的squid_disable_trans，否则squid不能启动哈~3、添加squid系统用户和组[root@rhel5 ~]# groupadd squidadmin[root@rhel5 ~]# useradd squidadmin -g squidadmin -s /sbin/nologin4、建立相应目录[root@rhel5 ~]# mkdir /usr/local/squid[root@rhel5 ~]# mkdir /usr/local/squid/cache[root@rhel5 ~]# mkdir /usr/local/squid/var[root@rhel5 ~]# mkdir /usr/local/squid/var/logs5、改变目录的所有者为了保证服务正常启动并可以写入缓存、日志等信息，我们更改目录所有者为squidadmin哈~[root@rhel5 ~]# chown -R squidadmin /usr/local/squid/cache[root@rhel5 ~]# chgrp -R squidadmin /usr/local/squid/cache[root@rhel5 ~]# chown -R squidadmin /usr/local/squid/var/logs[root@rhel5 ~]# chgrp -R squidadmin /usr/local/squid/var/logs6、修改squid配置文件vim /etc/squid/squid.conf设置监听地址和端口http_port 3128 transparent红色部分是支持透明代理，这是squid新版本的改进注意：好多资料说透明代理设置为httpd_accel_host virtualhttpd_accel_port 80httpd_accel_with_proxy onhttpd_accel_uses_host_header on实际上透明代理只是在普通代理的基础上加上了http_port 3128 transparent及IPTABLES 的端口转发功能，使用Iptables或者Ipchains实现,即把用户对外部www站点的访问转到S quid的端口上去，相对用用户来讲是“透明”的,不需在浏览器中指明代理服务器的IP和端口。

Linux Apache Web服务器安全设置技巧网络安全是目前互联网的热门话题之一，作为个人用户的我们同样需要关注，做好防护。

这篇文章主要介绍了Linux Apache Web服务器安全的8种安全设置技巧,需要的朋友可以参考下方法步骤第一、定期更新系统首先，我们需要确保是已经安装了最新版本和Apache的安全补丁和附加如CGI，Perl和PHP脚本代码。

我们需要定期更新数据源依赖包操作。

# Ubuntu/Debianapt-get update; apt-get dist-upgrade# Fedora/Centos/RedHatyum update根据自己的系统环境选择更新升级命令。

第二、设置和保护我们的SSH安全我们在拿到VPS之后，建议修改端口、ROOT密码、以及授权单独的非ROOT用户权限管理，或者我们也可以采用密钥的方式登录SSH客户端管理VPS。

比如可以参考&quot;设置Putty SSH 使用密钥登录Linux VPS主机&quot;和&quot;Xshell设置密钥登录确保Linux VPS及服务器更加安全&quot;文章设置密钥登陆。

第三、禁用未使用的服务为了确保我们的Web服务器安全，建议你检查服务器上所有正在运行的服务和开放的端口，禁用我们不需要在服务器上的所有服务。

#要显示所有服务service --status-all#显示所有的端口规则iptables -L#显示所有的运行信息(redhat/centos/fedora)chkconfig --list#检查/etc/init.d是否有可疑脚本ls /etc/init.d第四、禁用不必要的Apache模块默认情况下，Apache很多模块都开启的，但是有些并不需要使用，我们可以关闭和精简。

比如以前有分享过的&quot;6步骤实现CentOS系统环境精简优化&quot;和&quot;4步骤实现Debian系统环境精简优化&quot;可以有效的提高执行效率降低占用资源率。