Linux应用基础教程CH19-Apache进阶(阅读)课件

第19章

Apache进阶第19章

Apache进阶本章内容要点虚拟主机认证和授权日志管理本章内容要点虚拟主机本章学习目标掌握基于IP和域名的虚拟主机配置掌握认证和授权的配置掌握Apache的日志配置学会配置虚拟主机的分离日志及其日志滚动本章学习目标掌握基于IP和域名的虚拟主机配置虚拟主机虚拟主机虚拟主机简介在一台Web服务器上，通过多个独立的IP地址、域名或端口号提供不同的Web站点基于IP地址的虚拟主机每个网站拥有不同的IP地址通过访问服务器上不同的IP地址访问不同的网站基于域名的虚拟主机所有的虚拟主机可以共享同一个IP地址使用不同的域名来访问不同的网站基于端口的虚拟主机所有的虚拟主机可以共享同一个IP地址各虚拟主机之间通过不同的端口号进行区分虚拟主机简介在一台Web服务器上，通过多个独立的IP地址、域虚拟主机注意事项可以在一台主机上混合配置不同方式的虚拟主机在一台主机上配置基于IP的虚拟主机时既可以安装配置多个网络接口也可以为一个网络接口绑定多个IP地址无论哪一种虚拟主机，都应该配置域名解析只有基于IP的虚拟主机可以使用IP地址和域名访问基于域名的虚拟主机只能使用域名访问虚拟主机注意事项可以在一台主机上混合配置不同方式的虚拟主机虚拟主机配置指令VirtualHost容器内使用的指令ServerName：用于指定虚拟主机的名称和端口号ServerAdmin：用于指定虚拟主机的管理员E-mail地址DocumentRoot：用于指定虚拟主机的根文档目录ErrorLog：用于指定虚拟主机的错误日志存放路径CustomLog：用于指定虚拟主机的访问日志存放路径使用<Directory>、<Location>等容器设置访问控制等VirtualHost容器之外使用的指令NameVirtualHost：用于为一个和多个基于域名的虚拟主机指定一个IP地址和端口IP地址可以使用*表示本机配置的所有IP地址省略端口部分表示80端口虚拟主机配置指令VirtualHost容器内使用的指令主服务器配置

与虚拟主机配置的关系覆盖性VirtualHost容器中的指令会覆盖主服务器范围内同名的配置指令主服务器（MainServer）范围内的配置指令（在所有<VirtualHost>容器之外的指令，包括主配置文件使用Include包含的配置文件中的指令）仅在它们没有被VirtualHost容器的配置覆盖时才起作用继承性每个虚拟主机都会从主服务器配置继承相关的配置例如：虚拟主机会继承主服务器的DirectoryIndex主服务器配置

与虚拟主机配置的关系覆盖性使用单独的

虚拟主机配置文件配置虚拟主机时可以在主配置文件中进行为了方便维护虚拟主机的配置，通常为某个虚拟主机或某组虚拟主机使用单独的配置文件修改主配置文件

/etc/htpd/conf/httpd.confNameVirtualHost*:80Includevhosts.d/*.conf创建存放虚拟主机配置文件的目录#mkdir/etc/httpd/vhosts.d使用单独的

虚拟主机配置文件配置虚拟主机时可以在主配置文件中配置基于IP的虚拟主机基于IP的虚拟主机的配置步骤在一台主机上配置多个IP地址并配置域名解析创建文档目录和测试主页修改配置文件添加虚拟主机配置重新启动Apache，分别使用IP和域名进行访问测试基于IP的虚拟主机的配置举例参考教材中的操作步骤配置基于IP的虚拟主机基于IP的虚拟主机的配置步骤参考教材中配置基于域名的虚拟主机

基于域名的虚拟主机的配置步骤配置虚拟主机的域名解析创建文档目录和测试主页修改配置文件添加虚拟主机配置重新启动Apache，使用域名进行访问测试基于域名的虚拟主机的配置举例参考教材中的操作步骤配置基于域名的虚拟主机

基于域名的虚拟主机的配置步骤参考教材默认服务器（defaultserver）当配置了基于域名的虚拟主机后，Apache将配置文件中第一个基于域名的虚拟主机配置视为默认服务器（虚拟主机）对本机不存在的虚拟主机的访问定向到默认虚拟主机当配置了基于域名的虚拟主机后，若还希望访问主服务器（文档目录为/var/www/html），则应该为之添加一个基于域名的虚拟主机配置可以通过

httpd-S命令查看默认服务器默认服务器（defaultserver）当配置了基于域名的认证和授权认证和授权认证和授权简介Apache的认证和授权（基于用户的访问控制）认证和授权是Apache允许指定用户使用用户名和口令访问特定资源的一种方式认证（Authentication）是指任何识别用户身份的过程授权（Authorization）是允许特定用户访问特定区域或信息的过程认证和授权也称弱验证认证和授权的配置指令既可以出现在主（或其包含的）配置文件的<Directory>或<Location>容器中，也可以出现在./htaccess文件中认证和授权简介Apache的认证和授权（基于用户的访问控制）两种认证基本认证摘要认证Apache模块mod_auth_basicmod_auth_digest证书管理程序htpasswdhtdigest浏览器支持所有浏览器均支持绝大多数浏览器均支持特点可用于任何认证领域只用于指定的认证领域在网络中传输明文口令，不安全在网络中传输MD5口令，更安全两种认证基本认证摘要认证Apache模块mod_auth_认证和授权的证书存储

和相关模块通常使用纯文本文件存储认证口令证书为了加快检索可以使用DBM数据库为了与其他应用集成可以使用关系数据库或LDAP存储认证授权纯文本文件mod_authn_filemod_authz_usermod_authz_groupfileDBM数据库mod_authn_dbmmod_authz_dbm关系数据库mod_authn_dbdLDAPmod_authnz_ldap认证和授权的证书存储

和相关模块通常使用纯文本文件存储认证口认证相关指令定义受保护领域的名称AuthName<认证领域名称>定义使用的认证方式AuthTypeBasic或Digest指定认证组文件的位置AuthGroupFile<文件名>指定认证口令文件的位置AuthUserFile<文件名>指定摘需要认证的URI（仅用于摘要认证）AuthDigestDomainURI[URI]…认证相关指令定义受保护领域的名称授权当使用认证指令配置了认证之后，还需要使用Require指令为指定的用户或组进行授权Require指令的三种使用格式授权给指定的一个或多个用户Requireuser用户名[用户名]……授权给指定的一个或多个组Requiregroup组名[组名]……授权给认证口令文件中的所有用户Requirevalid-user

授权当使用认证指令配置了认证之后，还需要使用Require指管理基本认证的口令文件

——htpasswd命令添加一个认证用户的同时创建认证口令文件#htpasswd-cm<认证口令文件名><用户名>向现存的口令文件中添加用户或修改已存在的用户的口令 #htpasswd-m<认证口令文件名><用户名>从认证口令文件中删除用户及其口令 #htpasswd-D<认证口令文件名><用户名>-m参数可以生成MD5算法的加密口令-b参数用于在命令行上直接指定用户名及其口令，而非交互模式管理基本认证的口令文件

——htpasswd命令添加一个认管理摘要认证的口令文件

——htdigest命令添加一个认证用户的同时创建认证口令文件#htdigest-c<认证口令文件名><认证领域><用户名>向现存的口令文件中添加用户或修改已存在的用户的口令 #htdigest<认证口令文件名><认证领域><用户名>没有提供从认证口令文件中删除指定用户及其口令的功能，需要直接编辑认证口令文件管理摘要认证的口令文件

——htdigest命令添加一个认管理认证组文件Apache支持认证组文件Apache没有提供创建认证组文件的命令认证组文件只是一个文本文件，可以使用任何文本编辑器创建并修改认证组文件中每一行的格式组名:用户名用户名……在认证组文件中指定的用户名，必须先使用htpasswd

或

htdigest命令添加到认证口令文件中管理认证组文件Apache支持认证组文件组名:用户名用户认证证书的权限认证证书包扩认证口令文件和/或认证组文件基于安全因素的考虑认证证书不应该存放在DocumentRoot指令指定的目录或其子目录下建议存放在/etc/httpd/passwd子目录或与虚拟主机根文档目录同级别的conf或passwd子目录下确保执行Apache守护进程的用户（CentOS默认为apache）能读取认证证书确保apache用户能进入存放认证证书的目录确保apache用户能读取认证证书文件认证证书的权限认证证书包扩认证口令文件和/或认证组文件认证和授权配置举例在主配置文件中配置认证和授权在.htaccess文件中配置认证和授权参考教材中的操作步骤认证和授权配置举例在主配置文件中配置认证和授权参考教材中的操对访问控制和认证授权

进行控制Satisfyall主机访问控制和认证授权两类指令均起作用（默认值）例如：配置指定的用户在指定的网段上访问资源Satisfyany主机访问控制和认证授权两类指令只要一类指令满足条件即可以访问例如：允许网段内用户无条件访问而其他用户授权访问对访问控制和认证授权

进行控制Satisfyall日志管理日志管理Apache的日志日志的种类错误日志访问日志Apache默认的错误日志配置Apache默认的访问日志配置ErrorLoglogs/error_logLogLevelwarnLogFormat"%h%l%u%t\"%r\"%>s%b\"%{Referer}i\"\"%{User-Agent}i\""combinedCustomLoglogs/access_logcombinedApache的日志日志的种类ErrorLoglogs/Apache的日志滚动Apache的日志滚动的必要性一个访问频繁的Web站点的日志会迅速增长定期清理以免造成磁盘空间的不必要的浪费查看日志时打开小文件的速度比大文件的速度要快Apache的日志滚动方法RHEL/CentOS的默认配置logrotate和crond实现日志滚动其他工具使用Apache自带的rotatelogs使用cronolog（/）Apache的日志滚动Apache的日志滚动的必要性配置虚拟主机的日志若在虚拟主机的<VirtualHost>容器之内没有配置日志指令，则每个虚拟主机将继承使用主配置文件中<VirtualHost>容器之外的日志配置。分离虚拟主机日志的方法在<VirtualHost>容器之内使用ErrorLog和CustomLog语句指定本虚拟主机单独使用的日志文件使用主配置文件将所有虚拟主机的日志记录到一个文件，然后可以使用分离脚本split-logfile将日志文件的内容按不同的虚拟主机拆分为多个文件配置虚拟主机的日志若在虚拟主机的<VirtualHost>容虚拟主机的日志分离举例参考教材中的操作步骤虚拟主机的日志分离举例参考教材中的操作步骤本章思考题什么是虚拟主机？Apache支持几种类型的虚拟主机？简述认证和授权指令的使用。Apache有哪几种日志？Apache的日志指令有哪些？如何配置Apache的虚拟主机日志？本章思考题什么是虚拟主机？Apache支持几种类型的虚拟主机本章实验学会配置基于IP和基于域名的虚拟主机。学会配置访问控制、认证和授权。学会查看Apache的日志文件。学会配置虚拟主机的分离日志及其日志滚动。本章实验学会配置基于IP和基于域名的虚拟主机。进一步学习学习配置基于不同端口号的虚拟主机。学习使用mod_rewrite模块配置虚拟主机的方法。学习配置WebDAV实现站点内容上传。学习使用cronolog（/）实现日志滚动。学习使用vlogger（/vlogger/）实现虚拟主机的日志分离。学习使用ab命令测试Apache服务器的性能。进一步学习学习配置基于不同端口号的虚拟主机。第19章

Apache进阶第19章

Apache进阶本章内容要点虚拟主机认证和授权日志管理本章内容要点虚拟主机本章学习目标掌握基于IP和域名的虚拟主机配置掌握认证和授权的配置掌握Apache的日志配置学会配置虚拟主机的分离日志及其日志滚动本章学习目标掌握基于IP和域名的虚拟主机配置虚拟主机虚拟主机虚拟主机简介在一台Web服务器上，通过多个独立的IP地址、域名或端口号提供不同的Web站点基于IP地址的虚拟主机每个网站拥有不同的IP地址通过访问服务器上不同的IP地址访问不同的网站基于域名的虚拟主机所有的虚拟主机可以共享同一个IP地址使用不同的域名来访问不同的网站基于端口的虚拟主机所有的虚拟主机可以共享同一个IP地址各虚拟主机之间通过不同的端口号进行区分虚拟主机简介在一台Web服务器上，通过多个独立的IP地址、域虚拟主机注意事项可以在一台主机上混合配置不同方式的虚拟主机在一台主机上配置基于IP的虚拟主机时既可以安装配置多个网络接口也可以为一个网络接口绑定多个IP地址无论哪一种虚拟主机，都应该配置域名解析只有基于IP的虚拟主机可以使用IP地址和域名访问基于域名的虚拟主机只能使用域名访问虚拟主机注意事项可以在一台主机上混合配置不同方式的虚拟主机虚拟主机配置指令VirtualHost容器内使用的指令ServerName：用于指定虚拟主机的名称和端口号ServerAdmin：用于指定虚拟主机的管理员E-mail地址DocumentRoot：用于指定虚拟主机的根文档目录ErrorLog：用于指定虚拟主机的错误日志存放路径CustomLog：用于指定虚拟主机的访问日志存放路径使用<Directory>、<Location>等容器设置访问控制等VirtualHost容器之外使用的指令NameVirtualHost：用于为一个和多个基于域名的虚拟主机指定一个IP地址和端口IP地址可以使用*表示本机配置的所有IP地址省略端口部分表示80端口虚拟主机配置指令VirtualHost容器内使用的指令主服务器配置

与虚拟主机配置的关系覆盖性VirtualHost容器中的指令会覆盖主服务器范围内同名的配置指令主服务器（MainServer）范围内的配置指令（在所有<VirtualHost>容器之外的指令，包括主配置文件使用Include包含的配置文件中的指令）仅在它们没有被VirtualHost容器的配置覆盖时才起作用继承性每个虚拟主机都会从主服务器配置继承相关的配置例如：虚拟主机会继承主服务器的DirectoryIndex主服务器配置

与虚拟主机配置的关系覆盖性使用单独的

虚拟主机配置文件配置虚拟主机时可以在主配置文件中进行为了方便维护虚拟主机的配置，通常为某个虚拟主机或某组虚拟主机使用单独的配置文件修改主配置文件

/etc/htpd/conf/httpd.confNameVirtualHost*:80Includevhosts.d/*.conf创建存放虚拟主机配置文件的目录#mkdir/etc/httpd/vhosts.d使用单独的

虚拟主机配置文件配置虚拟主机时可以在主配置文件中配置基于IP的虚拟主机基于IP的虚拟主机的配置步骤在一台主机上配置多个IP地址并配置域名解析创建文档目录和测试主页修改配置文件添加虚拟主机配置重新启动Apache，分别使用IP和域名进行访问测试基于IP的虚拟主机的配置举例参考教材中的操作步骤配置基于IP的虚拟主机基于IP的虚拟主机的配置步骤参考教材中配置基于域名的虚拟主机

基于域名的虚拟主机的配置步骤配置虚拟主机的域名解析创建文档目录和测试主页修改配置文件添加虚拟主机配置重新启动Apache，使用域名进行访问测试基于域名的虚拟主机的配置举例参考教材中的操作步骤配置基于域名的虚拟主机

基于域名的虚拟主机的配置步骤参考教材默认服务器（defaultserver）当配置了基于域名的虚拟主机后，Apache将配置文件中第一个基于域名的虚拟主机配置视为默认服务器（虚拟主机）对本机不存在的虚拟主机的访问定向到默认虚拟主机当配置了基于域名的虚拟主机后，若还希望访问主服务器（文档目录为/var/www/html），则应该为之添加一个基于域名的虚拟主机配置可以通过

httpd-S命令查看默认服务器默认服务器（defaultserver）当配置了基于域名的认证和授权认证和授权认证和授权简介Apache的认证和授权（基于用户的访问控制）认证和授权是Apache允许指定用户使用用户名和口令访问特定资源的一种方式认证（Authentication）是指任何识别用户身份的过程授权（Authorization）是允许特定用户访问特定区域或信息的过程认证和授权也称弱验证认证和授权的配置指令既可以出现在主（或其包含的）配置文件的<Directory>或<Location>容器中，也可以出现在./htaccess文件中认证和授权简介Apache的认证和授权（基于用户的访问控制）两种认证基本认证摘要认证Apache模块mod_auth_basicmod_auth_digest证书管理程序htpasswdhtdigest浏览器支持所有浏览器均支持绝大多数浏览器均支持特点可用于任何认证领域只用于指定的认证领域在网络中传输明文口令，不安全在网络中传输MD5口令，更安全两种认证基本认证摘要认证Apache模块mod_auth_认证和授权的证书存储

和相关模块通常使用纯文本文件存储认证口令证书为了加快检索可以使用DBM数据库为了与其他应用集成可以使用关系数据库或LDAP存储认证授权纯文本文件mod_authn_filemod_authz_usermod_authz_groupfileDBM数据库mod_authn_dbmmod_authz_dbm关系数据库mod_authn_dbdLDAPmod_authnz_ldap认证和授权的证书存储

和相关模块通常使用纯文本文件存储认证口认证相关指令定义受保护领域的名称AuthName<认证领域名称>定义使用的认证方式AuthTypeBasic或Digest指定认证组文件的位置AuthGroupFile<文件名>指定认证口令文件的位置AuthUserFile<文件名>指定摘需要认证的URI（仅用于摘要认证）AuthDigestDomainURI[URI]…认证相关指令定义受保护领域的名称授权当使用认证指令配置了认证之后，还需要使用Require指令为指定的用户或组进行授权Require指令的三种使用格式授权给指定的一个或多个用户Requireuser用户名[用户名]……授权给指定的一个或多个组Requiregroup组名[组名]……授权给认证口令文件中的所有用户Requirevalid-user

授权当使用认证指令配置了认证之后，还需要使用Require指管理基本认证的口令文件

——htpasswd命令添加一个认证用户的同时创建认证口令文件#htpasswd-cm<认证口令文件名><用户名>向现存的口令文件中添加用户或修改已存在的用户的口令 #htpasswd-m<认证口令文件名><用户名>从认证口令文件中删除用户及其口令 #htpasswd-D<认证口令文件名><用户名>-m参数可以生成MD5算法的加密口令-b参数用于在命令行上直接指定用户名及其口令，而非交互模式管理基本认证的口令文件

——htpasswd命令添加一个认管理摘要认证的口令文件

——htdigest命令添加一个认证用户的同时创建认证口令文件#htdigest-c<认证口令文件名><认证领域><用户名>向现存的口令文件中添加用户或修改已存在的用户的口令 #htdigest<认证口令文件名><认证领域><用户名>没有提供从认证口令文件中删除指定用户及其口令的功能，需要直接编辑认证口令文件管理摘要认证的口令文件

——htdigest命令添加一个认管理认证组文件Apache支持认证组文件Apache没有提供创建认证组文件的命令认证组文件只是一个文本文件，可以使用任何文本编辑器创建并修改认证组文件中每一行的格式组名:用户名用户名……在认证组文件中指定的用户名，必须先使用htpasswd

或

htdigest命令添加到认证口令文件中管理认证组文件Apache支持认证组文件组名:用户名用户认证证书的权限认证证书包扩认证口令文件和/或认证组文件基于安全因素的考虑认证证书不应该存放在DocumentRoot指令指定的目录或其子目录下建议存放在/etc/httpd/passwd子目录或与虚拟主机根文档目录同级别的conf或passwd子目录下确保执行Apache守护进程的用户（CentOS默认为apache）能读取认证证书确保apache用户能进入存放认证证书的目录确保apache用户能读取认证证书文件认证证书的权限认证证书包扩认证口令文件和/或认证组文件认证和授权配置举例在主配置文件中配置认证和授权在.htaccess文件中配置认证和授权参考教材中的操作步骤认证和授权配置举例在主配置文件中配置认证和授权参考教材中的操对访问控制和认证授权

进行控制Satisfyall主机访问控制和认证授权两类指令均起作用（默认值）例如：配置指定的用户在指定的网段上访问资源Satisfyany主机访问控制和认证授权两类指令只要一类指令满足条件即可以访问例如：允许网段内用户无条件访问而其他用户授权访问对访问控制和认证授权

进行控制Satisfyall日志管理日志管理Apache的日志日志的种类错误日志访问日志Apache默认的错误日志配置Apache默认的访问日志配置ErrorLoglogs/error_logLogLevelwarnLogFor