35895linux应用基础教程linux进阶

1、第19章Apache进阶主讲人： 梁如军2011-05-05本章内容要点虚拟主机认证和授权日志管理2022年8月25日2梁如军（ ）Creative Commons License（BY-NC-SA）本章学习目标 掌握基于IP和域名的虚拟主机配置掌握认证和授权的配置掌握Apache的日志配置学会配置虚拟主机的分离日志及其日志滚动2022年8月25日3梁如军（ ）Creative Commons License（BY-NC-SA）虚拟主机2022年8月25日4梁如军（ ）Creative Commons License（BY-NC-SA）虚拟主机简介在一台Web服务器上，通过多个独立的IP地址、

2、域名或端口号提供不同的Web站点基于IP地址的虚拟主机每个网站拥有不同的 IP 地址通过访问服务器上不同的IP地址访问不同的网站基于域名的虚拟主机所有的虚拟主机可以共享同一个IP地址使用不同的域名来访问不同的网站基于端口的虚拟主机所有的虚拟主机可以共享同一个IP地址各虚拟主机之间通过不同的端口号进行区分2022年8月25日梁如军（ ）Creative Commons License（BY-NC-SA）5虚拟主机注意事项可以在一台主机上混合配置不同方式的虚拟主机在一台主机上配置基于IP的虚拟主机时既可以安装配置多个网络接口也可以为一个网络接口绑定多个 IP 地址无论哪一种虚拟主机，都应该配置域名

3、解析只有基于IP的虚拟主机可以使用IP地址和域名访问基于域名的虚拟主机只能使用域名访问2022年8月25日梁如军（ ）Creative Commons License（BY-NC-SA）6虚拟主机配置指令VirtualHost 容器内使用的指令ServerName：用于指定虚拟主机的名称和端口号ServerAdmin：用于指定虚拟主机的管理员E-mail地址DocumentRoot：用于指定虚拟主机的根文档目录ErrorLog：用于指定虚拟主机的错误日志存放路径CustomLog：用于指定虚拟主机的访问日志存放路径使用 、 等容器设置访问控制等VirtualHost 容器之外使用的指令Name

4、VirtualHost ：用于为一个和多个基于域名的虚拟主机指定一个IP地址和端口IP地址可以使用*表示本机配置的所有IP地址省略端口部分表示80端口2022年8月25日梁如军（ ）Creative Commons License（BY-NC-SA）7主服务器配置与虚拟主机配置的关系覆盖性VirtualHost 容器中的指令会覆盖主服务器范围内同名的配置指令主服务器（Main Server）范围内的配置指令（在所有 容器之外的指令，包括主配置文件使用Include包含的配置文件中的指令） 仅在它们没有被VirtualHost 容器的配置覆盖时才起作用继承性每个虚拟主机都会从主服务器配置继承相关

5、的配置例如：虚拟主机会继承主服务器的DirectoryIndex2022年8月25日梁如军（ ）Creative Commons License（BY-NC-SA）8使用单独的虚拟主机配置文件配置虚拟主机时可以在主配置文件中进行为了方便维护虚拟主机的配置，通常为某个虚拟主机或某组虚拟主机使用单独的配置文件2022年8月25日梁如军（ ）Creative Commons License（BY-NC-SA）9修改主配置文件 /etc/htpd/conf/httpd.confNameVirtualHost *:80Include vhosts.d/*.conf创建存放虚拟主机配置文件的目录# mkd

6、ir /etc/httpd/vhosts.d配置基于IP的虚拟主机基于IP的虚拟主机的配置步骤在一台主机上配置多个IP地址并配置域名解析创建文档目录和测试主页修改配置文件添加虚拟主机配置重新启动 Apache，分别使用IP和域名进行访问测试基于IP的虚拟主机的配置举例2022年8月25日梁如军（ ）Creative Commons License（BY-NC-SA）10参考教材中的操作步骤配置基于域名的虚拟主机基于域名的虚拟主机的配置步骤配置虚拟主机的域名解析创建文档目录和测试主页修改配置文件添加虚拟主机配置重新启动 Apache，使用域名进行访问测试基于域名的虚拟主机的配置举例2022年8月

7、25日梁如军（ ）Creative Commons License（BY-NC-SA）11参考教材中的操作步骤默认服务器（default server）当配置了基于域名的虚拟主机后， Apache将配置文件中第一个基于域名的虚拟主机配置视为默认服务器（虚拟主机）对本机不存在的虚拟主机的访问定向到默认虚拟主机当配置了基于域名的虚拟主机后，若还希望访问主服务器（文档目录为 /var/www/html），则应该为之添加一个基于域名的虚拟主机配置可以通过 httpd -S 命令查看默认服务器2022年8月25日梁如军（ ）Creative Commons License（BY-NC-SA）12认证和授

8、权2022年8月25日13梁如军（ ）Creative Commons License（BY-NC-SA）认证和授权简介Apache的认证和授权（基于用户的访问控制）认证和授权是 Apache 允许指定用户使用用户名和口令访问特定资源的一种方式认证（Authentication）是指任何识别用户身份的过程授权（Authorization）是允许特定用户访问特定区域或信息的过程认证和授权也称弱验证认证和授权的配置指令既可以出现在主（或其包含的）配置文件的或容器中，也可以出现在./htaccess文件中2022年8月25日梁如军（ ）Creative Commons License（BY-NC-S

9、A）14两种认证基本认证摘要认证Apache 模块mod_auth_basicmod_auth_digest证书管理程序htpasswdhtdigest浏览器支持所有浏览器均支持绝大多数浏览器均支持特点可用于任何认证领域只用于指定的认证领域在网络中传输明文口令，不安全在网络中传输MD5口令，更安全2022年8月25日梁如军（ ）Creative Commons License（BY-NC-SA）15认证和授权的证书存储和相关模块通常使用纯文本文件存储认证口令证书为了加快检索可以使用DBM数据库为了与其他应用集成可以使用关系数据库或LDAP存储2022年8月25日梁如军（ ）Creative C

10、ommons License（BY-NC-SA）16认证授权纯文本文件mod_authn_filemod_authz_user mod_authz_groupfileDBM 数据库mod_authn_dbmmod_authz_dbm关系数据库mod_authn_dbdLDAPmod_authnz_ldap认证相关指令定义受保护领域的名称AuthName 定义使用的认证方式AuthType Basic或Digest指定认证组文件的位置AuthGroupFile 指定认证口令文件的位置AuthUserFile 指定摘需要认证的 URI（仅用于摘要认证）AuthDigestDomain URI UR

11、I 2022年8月25日梁如军（ ）Creative Commons License（BY-NC-SA）17授权当使用认证指令配置了认证之后，还需要使用Require指令为指定的用户或组进行授权Require指令的三种使用格式授权给指定的一个或多个用户Require user 用户名 用户名 授权给指定的一个或多个组Require group 组名 组名 授权给认证口令文件中的所有用户Require valid-user 2022年8月25日梁如军（ ）Creative Commons License（BY-NC-SA）18管理基本认证的口令文件htpasswd 命令添加一个认证用户的同时创建

12、认证口令文件# htpasswd -cm 向现存的口令文件中添加用户或修改已存在的用户的口令# htpasswd -m 从认证口令文件中删除用户及其口令# htpasswd -D 2022年8月25日梁如军（ ）Creative Commons License（BY-NC-SA）19-m 参数可以生成MD5算法的加密口令-b 参数用于在命令行上直接指定用户名及其口令，而非交互模式管理摘要认证的口令文件htdigest 命令添加一个认证用户的同时创建认证口令文件# htdigest -c 向现存的口令文件中添加用户或修改已存在的用户的口令# htdigest 2022年8月25日梁如军（ ）Cr

13、eative Commons License（BY-NC-SA）20没有提供从认证口令文件中删除指定用户及其口令的功能，需要直接编辑认证口令文件管理认证组文件Apache 支持认证组文件Apache 没有提供创建认证组文件的命令认证组文件只是一个文本文件，可以使用任何文本编辑器创建并修改认证组文件中每一行的格式 2022年8月25日梁如军（ ）Creative Commons License（BY-NC-SA）21组名:用户名 用户名 在认证组文件中指定的用户名，必须先使用 htpasswd 或 htdigest 命令添加到认证口令文件中认证证书的权限认证证书包扩认证口令文件和/或认证组文件基

14、于安全因素的考虑认证证书不应该存放在 DocumentRoot 指令指定的目录或其子目录下建议存放在 /etc/httpd/passwd 子目录或与虚拟主机根文档目录同级别的conf或passwd子目录下确保执行Apache守护进程的用户（CentOS默认为 apache）能读取认证证书确保 apache 用户能进入存放认证证书的目录确保 apache 用户能读取认证证书文件2022年8月25日梁如军（ ）Creative Commons License（BY-NC-SA）22认证和授权配置举例在主配置文件中配置认证和授权在.htaccess文件中配置认证和授权2022年8月25日梁如军（ ）

15、Creative Commons License（BY-NC-SA）23参考教材中的操作步骤对访问控制和认证授权进行控制Satisfy all主机访问控制和认证授权两类指令均起作用（默认值）例如：配置指定的用户在指定的网段上访问资源Satisfy any主机访问控制和认证授权两类指令只要一类指令满足条件即可以访问例如：允许网段内用户无条件访问而其他用户授权访问2022年8月25日梁如军（ ）Creative Commons License（BY-NC-SA）24日志管理2022年8月25日25梁如军（ ）Creative Commons License（BY-NC-SA）Apache 的日志日

16、志的种类 错误日志访问日志Apache 默认的错误日志配置Apache 默认的访问日志配置2022年8月25日梁如军（ ）Creative Commons License（BY-NC-SA）26ErrorLog logs/error_logLogLevel warn LogFormat %h %l %u %t %r %s %b %Refereri %User-Agenti combinedCustomLog logs/access_log combinedApache的日志滚动Apache的日志滚动的必要性一个访问频繁的Web站点的日志会迅速增长定期清理以免造成磁盘空间的不必要的浪费查看日志时

17、打开小文件的速度比大文件的速度要快Apache的日志滚动方法RHEL/CentOS的默认配置logrotate 和 crond 实现日志滚动其他工具使用 Apache 自带的 rotatelogs使用 cronolog（ ） 2022年8月25日梁如军（ ）Creative Commons License（BY-NC-SA）27配置虚拟主机的日志若在虚拟主机的容器之内没有配置日志指令，则每个虚拟主机将继承使用主配置文件中容器之外的日志配置。分离虚拟主机日志的方法在容器之内使用 ErrorLog 和 CustomLog 语句指定本虚拟主机单独使用的日志文件使用主配置文件将所有虚拟主机的日志记录到

18、一个文件，然后可以使用分离脚本 split-logfile 将日志文件的内容按不同的虚拟主机拆分为多个文件2022年8月25日梁如军（ ）Creative Commons License（BY-NC-SA）28虚拟主机的日志分离举例2022年8月25日梁如军（ ）Creative Commons License（BY-NC-SA）29参考教材中的操作步骤本章思考题什么是虚拟主机？Apache支持几种类型的虚拟主机？简述认证和授权指令的使用。Apache有哪几种日志？Apache的日志指令有哪些？如何配置Apache的虚拟主机日志？2022年8月25日30梁如军（ ）Creative Commons License（BY-NC-SA）本章实验学会配置基于IP和基于域名的虚拟主机。学会配置访问控制、