《Linux网络操作系统项目化教程（openEuler）》完整全套教学课件-843-1262

强制模式，该模式强制启用SELinux的安全策略，拦截进程的不合法请求。enforcing是SELinux的默认工作模式。

permissive:

宽容模式，该模式在遇到进程越权访问时，只发出警告而不强制拦截。1.SELinux工作模式3disabled:

关闭模式，该模式在遇到进程越权访问时，既不警告也不拦截。

9.4.2SELinux工作模式SELinux

服

务提供了3种工作模式，分别如下所示。enforcing:针对SELinux工作模式的查看和设置，

Linux操作系统提供了两个命令，分别是getenforce和setenforce

,下面分别对这两个命令进行介绍。2.SELinux工作模式的查看和设置

9.4.2

SELinux工作模式getenfor

ce命令setenfor

ce命令getenforce

命令用于查看SELinux的工作模式。getenforce

命令没有选项和参数，用法很简单。getenforce

命令的执行结果就是3种工作模式，

需要注意的是，执行结果显示的工作模式首字

母是大写。1.getenforce命令

9.4.2SELinux工作模式案例9-19

:

查看SELinux的工作模式。[root@itheima

～]#getenforceEnforcing1.getenforce命令

9.4.2SELinux工作模式基本格式setenforce

参数setenforce

命令用于设置SELinux的工作模式，其基本格式如下所示。2.setenforce命令

9.4.2SELinux工作模式Permissive:

设置SELinux工作模式为宽容模式。1:

设置SELinux工作模式为强制模式。setenforce

命令的参数有4个，分别如下所示。1Enforcing:设置SELinux工作模式为强制模式。

0:

设置SELinux工作模式为宽容模式。2.setenforce命令

9.4.2SELinux工作模式案例9-19:

设置SELinux工作模式为permissive。[root@localhost~]#

setenforce

0permissive[root@localhost

~]#getenforcePermissive在案例9-20中，使用setenforce

命令设置SELinux工作模式为permissive,

设置完成后，使用getenforce

命令查看SELinux工作模式，结果为Permissive,表明SELinux工作模式设置成功。2.setenforce命令设置SELinux工作模式为

permissive

9.4.2SELinux工作模式使用setenforce命令无法关闭SELinux服务，即无法使用setenforce命令设置SELinux工作模式为disabled

,

并且，setenforce命令设置的工作模式只临时有效，系统重启后，设置就会失效。如果想使设置的SELinux

工作模式永久生效，需要修改SELinux的配置文件

/etc/selinux/config

。使用cat命令查看/etc/selinux/config文件，内容如下所示。2.setenforce命令

9.4.2SELinux工作模式在/etc/selinux/config文件中，通过设置SELINUX的值就可以更改SELinux的工作模式。通过/etc/selinux/config

文件，也可以将SELinux工作模式设置为disabled。需要注意的是，如果SELinux服务处于关闭状态，那么它无法通过setenforce

命令开启。2.setenforce命令

9.4.2

SELinux工作模式例如，通过设置/etc/selinux/config文件，关

闭SELinux

服

务。重启系统后，使用

setenforce命令设置SELinux工作模式为enforcing

或permissive时，系统会提示无法设置，具体命令及输出结果如下所示。[root@localhost~]#getenforceDisabled

处于关闭状态[root@localhost

~]#setenforce1setenforce:SELinux

is

disabled查看SELinux工作模式设置SELinux工作模式为enforcing设置失败2.setenforce命令

9.4.2SELinux工作模式学习目标了

解SELinux安全系统，能够说出SELinux

安全上下文。

9.4.3

SELinux安全上下文安全上下文是SELinux

的核心，进程和资源都有自己的安全上下文。进程能够正确地访问资源，就取

决于进程安全上下文与资源安全上下文的匹配。

9.4.3

SELinux安全上下文下面分别从SELinux安全上下文、SELinux安全上下文的查看两个方面对SELinux安全上下文进行讲解。

9.4.3

SELinux安全上下文基本格式身份：角色：类型：级别1.SELinux安全上下文安全上下文由4个字段组成，每个字段之间使用":"

分隔，其格式如下所示。

9.4.3

SELinux安全上下文下面分别对这4个字段进行介绍。(1)身

份：用于标识数据被哪个身份的用户所拥有。常见的身份有以下3种。

root:

root用户。2

system_u:

系统用户。

1.SELinux

安全上下文

9.4.3

SELinux安全上下文普通用户。3

user_u:(2)

角

色：用于标识安全上下文的归属，如进程、文件或目录的安全上下文。常见的角色有以下2种。1

object_r:

资源(文件或目录)的安全上下文。1.SELinux安全上下文

9.4.3

SELinux安全上下文2system_r:

进程的安全上下文。(3)

类

型：安全上下文中最重要的字段，进程安全上下文与资源安全上下文相匹配就是类型

字段的匹配。类型字段在资源安全上下文中称为类型，但在进程安全上下文中称为域

(Domain)

。

进程的SELinux域和资源安全上下文中的类型相匹配，进程才能访问资源。(4)级

别：由SELinux

定义的安全等级，用于限制访问。目前已经定义的安全等级为s0~

s15,

数字越大表示安全等级越高。1.SELinux安全上下文

9.4.3

SELinux安全上下文学习了SELinux安全上下文的结构组成，下面介绍SELinux安全上下文的查看。2.SELinux安全上下文的查看

9.4.3

SELinux安全上下文[root@itheima

～]#Is-Z/etc/shadowsystem_u:object_r:shadow_t:s0/etc/shadow查看文件安全上下文。在JDK安装目录的bin目录下新建文本文档，重命名为HelloWorld.java。2.SELinux安全上下文的查看

9.4.3

SELinux安全上下文STEP

01查看目录安全上下文。查看目录安全上下文，需要使用ts命令的-Zd

选项，例如，查看httpd

服务数据保存目录/var/www/html

的安全上下文，具体命令与输出结果如下

所

示

。[root@itheima～]#Is-Zd/var/www/htmlsystem_u:object_r:httpd_sys_content_t:s0/var/www/html2.SELinux安全上下文的查看

9.4.3

SELinux安全上下文STEP

02查看进程安全上下文。进程安全上下文使用ps命令查看，例如，查看httpd

服务进程的安全上下文，具体命令及输出结果如下所示。点击查看查看进程安全2.SELinux安全上下文的查看

9.4.3

SELinux安全上下文STEP

03>>

9.4.4

SELinux默认安全上下文的修改学习目标了

解SELinux安全系统，能够说出SELinux

默认安全上下文的修

改。在Linux操作系统中，系统文件和目录都有默认的安全上下文，

Linux操作系统提供了semanage命令和restorecon命令来管理文件、目录的默认安全上下文，下面分别对这两个

命令进行介绍。

9.4.4

SELinux默认安全上下文的修改基本格式semanage

命令选项参数(文件或目录)semanage

命令用于查询、修改、增加、删除文件或目录的默认SELinux安全上下文，其基本格式如下所示。1.semanage

9.4.4SELinux默认安全上下文的修改命令和选项含义fcontext管理文件或目录的默认安全上下文-a添加默认安全上下文配置-d删除默认安全上下文-m修改默认安全上下文-t设置默认安全上下文-I查询默认SELinux安全上下文1.semanage

9.4.4SELinux默认安全上下文的修改semanage

常用的命令和选项如表。分别查看/etc/shadow

文件、/etc/cron.d目录和/etc/passwd文件的默认安

全上下文。1.semanage>>

9.4.4

SELinux默认安全上下文的修改点击查看案例9-21.t案例9-21

案例9-22:

创建/www目录，并设置其默认安全上下文类型为htttpd_sys_content_t。创建/www

目

录，并设置其默认安全上下文，需要调用的命令较多，下面分步骤进行讲解。(1)在当前目录下创建/www

目录，并查看/www

目录的安全上下文，具体命令及输出结果如下所示如

表

。点击查看案例9-22.t1.semanage>>

9.4.4

SELinux默认安全上下文的修改案例9-22:

创建/www目录，并设置其默认安全上下文类型为htttpd_sys_content_t。使用semanage

命令为/www

目录添加类型为httpd_sys_content_t

的默认安全上下文，具体命令及输出结果如下所示。[root@localhost~]#semanagefcontext-a-thttpd_sys_content_t/www[root@localhost

~]#semanage

fcontext

-I|grep/www/var/www/wiki[0-9]?\.phpregularfilesystem_u:object_r:mediawiki_content_t:s0/www

allfilessystem_u:object_r:httpd_sys_content_t:s01.semanage

9.4.4SELinux默认安全上下文的修改基本格式restorecon

选项参数(文件或目录)retorecon

命令用于恢复文件或目录的默认安全上下文。restorecon

命令基本格式如下所示。2.restorecon

9.4.4SELinux默认安全上下文的修改选项含义-R递归操作，使当前目录和目录下所有子目录和文件同时恢复默认安

全上下文-V把恢复过程显示到屏幕上2.restorecon

9.4.4SELinux默认安全上下文的修改restorecon

命令常用选项如表。案例9-22:

创建/www

目录，并设置其默认安全上下文类型为htttpd_sys_content_t在案例9-22中，使用semanage命令为/www

目录设置了默认安全上下文，但如果使用Is命

令查看/www

目录，其安全上下文类型仍然是default_t

,

命令执行结果如下所示。[root@localhost

~]#Is

-Zd

/wwwunconfined_u:object_r:default_t:s0/www这是因为semanage

命令修改文件或目录的默认安全上下文时无法立即生效，重启系统也不能使之生效。如果要使semanage

命令设置的默认安全上下文生效，需要使用restorecon命令。2.restorecon>>

9.4.4

SELinux默认安全上下文的修改案例9-22:

创建/www

目录，并设置其默认安全上下文类型为httpd_sys_content_t。使用restorecon命令使/www目录默认安全上下文生效的具体命令及输出结果如下所示。[root@localhost

～]#restorecon

-Rv/wwwRelabeled/www

from

unconfined_u:object_r:default_t:s0tounconfined_u:object_r:httpd_sys_content_t:s02.restorecon

9.4.4SELinux默认安全上下文的修改案例9-22:

创建/www目录，并设置其默认安全上下文类型为htttpd_sys_content_t。使用restorecon

命令使/www

目录的默认安全上下文生效后，再次使用Is命令查看/www

目录的安全上下文，命令及输出结果如下所示。[root@localhost～]#Is

-Zd/wwwunconfined_u:object_r:httpd_sys_content_t:s0/www2.restorecon

9.4.4SELinux默认安全上下文的修改学习目标了

解SELinux安全系统，能够说出SELinux

安全策略。>>

9.4.5

SELinux安全策略SELinux安全策略规定了进程访问资源的规则，规则定义了进程访问资源的方式，例如，进程使用哪种方式访问资源，需要哪些特定的安全上下文属性等。SELinux

提供了以下3种安

全策略。SELinux的默认安全策略。在targeted策略下，一部分服务进程会被严格控制，即使恶意程序通过此进程进行攻击，也不会影响其他服务进程或其他域的资源。1

targeted策

略：

targeted

策略通常用来保护常见的网络服务，只监控容易被攻击的进程。

2

mls策略：

在mls策略下，所有进程都被划分到颗粒度更细的安全域，受到域的限制。

targeted

策略的子集，为最小限制策略，只有指定域进程会受到SELinux安3

Minimum

策略：全限制。

9.4.5

SELinux安全策略读者可以通过配置文件/etc/selinux/config

查看或修改SELinux采用的安全策略，查看命令及输出结果如下所示。点击查看查看命令

9.4.5SELinux安全策略03

项目实施自L山U

3

3学习目标掌握项目实施，能够独立完成开放

SSH

和

FTP

的流量、关闭5000~6000范围的端口以及设置防火墙开机自启动的操作。

项目实施配置防火墙规则，允许SSH

(默认使用22端口)和FTP

(默认使用20和21端口)的流量通过，以确保

远程管理和文件传输的顺畅进行。任务9-1开放SSH和FTP的流量

项目实施[root@localhost~]#firewall-cmd--zone=public--query-service=sshyes[root@localhost~]#firewall-cmd--zone=public--query-service=ftpno小智在开放SSH

和FTP流量前，决定查看public区域是否允许SSH

和FTP的流量通过，根据查询结果进行配置，具体操作如下所示。任务9-1开放SSH和FTP的流量查看public区域是否允许SSH和FTP的流量通过。STEP

01

项目实施[root@localhost

~]#firewall-cmd

--permanent

--zone=public-add-service=ftpsUccess[root@localhost~]#firewall-cmd

--reload

#立即生效sUccess由输出结果可知，

public区域允许SSH

的流量通过，但不允许FTP

的流量通过。将FTP

的流量设置为永久允许，并立即生效。任务9-1开放SSH和FTP的流量STEP

01

项目实施[root@localhost~]#firewall-cmd--zone=public--remove-port=5000-6000/tcp--permanentsUccess[root@localhost~]#firewall-cmd--reloadsUccess鉴于某些端口有暴露的潜在安全风险，现配置防火墙规则，关闭5000至6000范围内的所有端口，以减小攻击面。关闭5000～6000范围的端口，配置命令具体如下所示。任务9-2关闭5000～6000范围的端口

项目实施[root@localhost~]#systemctlenablefirewalldCreated

symlink

from

/etc/systemd/system/dbus-org.fedoraproject.FirewallD1.serviceto/usr/lib/systemd/system/firewalld.service.Createdsymlink

from

/etc/systemd/system/multi-user.target.wants/firewalld.serviceto/usr/lib/systemd/system/firewalld.service.任务9-3设置防火墙开机自启动实现防火墙开机自启动可以持续保护网络环境，具体配置命令如下所示。

项目实施

项

目

总结

本项目通过配置防火墙，帮助读者系统学习了Linux

操作系统的安装管理。读者首先整体学习

了Linux

操作系统安全概述，包括Linux

操作系统安全机制和不安全因素；其次学习了系

统运行情况检查和监督，包括检查网络、监控进程、查看用户、查看日志、查看系统打开

的文件；然后学习了防火墙的相关知识，包括防火墙概述、防火墙策略与规则、

firewall-

cmd

命令；最后学习了SELinux安全系统，包括SELinux概述、SELinux工作模式、SELinux

安全上下文、SELinux默认安全上下文的修改、SELinux安全策略。通过本项目的学习，读

者能够掌握最基本的系统安全知识，为后面学习各种服务打好了基础。

项目总结04

拓展实训自L山U

3

3firewalld除了提供命令行界面，还提供了图形用户界面，在终端执行firewall-config命令会弹出firewalld防火墙配置图形用户界面。请通过firewalld

防火墙图形配置界面，完成以下两项防火墙配置。(1)将当前区域中请求https

服务的流量设置为允

许，仅限当前有效。(2)添加一条规则，使其允许8080～9090端口(TCP)之间的流量，并将其设置为永久

有

效

。

通过图形用户界面配置防火墙谢谢浏览项目10搭建Apache服务器√

了

解Web服务器工作原理，能够画出Web服务器工作原理图√了

解Apache

服务器，能够说出Apache服务器的作用、特点知识目标学习目标/Target√

能够独立完成

Apache的安装与测试√

能够根据需求完成Apache主配置文件的配置√

能够熟练修改Apache默认首页√

能够根据需求搭建Web

站点√

能够搭建基于IP地址的虚拟主机、基于域名的虚拟主机、基于端口号的虚拟主机学习目标/Target技能目标√通过深入理解

Apache

配置文件，培养严谨的系统调优意识和配置管理技能√

通过对修改Apache

默认主页的学习，激发创新思维和提高用户体验设计的能力√通过配置虚拟主机的实践，提升逻辑分析能力与耐心细致的调试习惯技能目标学习目标/TargetJ

310.1

Web

服务器概述10.2/

Apache

的安装与测试10.3

Apache

主配置文件目

录

/ContentsL山01

项目导入自L山333当下AI技术发展迅猛，A

公司积极拥抱国产AI爆发浪潮，在发展战略上做出重大调整，推出关于AI学习的线上课程，使得A

公司的业务迎来新一轮的爆发式增长，线上课程的报名人数急剧攀升，大量学员通过公司官网访问课程资料、观看教学视频。激增的访问量给现有的服务器架构带来挑战，为提升服务器性能，A

公司决定搭建功能强大、性能稳定的Apahce服务器，使之能够处理大量并发

请求，为公司官网和线上课程平台提供坚实的支撑。小智所在的部门被临时授命完成此项任务，鉴于小智在之前的项目中展现出的快速学习能力和扎实

的技术基础，上级领导决定让他主导Apache

服务器的搭建工作。这不仅是对小智过往努力的认可，更是希望他能在这个全新的项目中，进一步提升自己在服务器部署与运维方面的技能，为公司业务的持续发展贡献力量。同时，团队其他成员会全力协助小智，共同克服可能遇到的各种难题，确保

Apache服务器能够顺利搭建并稳定运行，为公司业务的腾飞保驾护航。项目导入02

知识准备自L山U

3

3学习目标了解Web

服务器工作原理，能够画出Web

服务器工作原理图。

10.1.1Web服务器工作原理Web

服务又称为万维网

(World

Wide

Web,

WWW)

服务，它是目前应用最广泛的Internet

服

务之一。Web

服务器是为实现信息发布、资料查询、

数据处理等操作而搭建的平台。 10.1.1

Web服务器工作原理Web

服务采用B/S

(Browser/Server,浏览器/服务器)架

构，用户通过浏览器向服务器发送请求，浏览器通过HTTP将用户请求发送给Web

服务器。服务器接收到用户请求后，会对请求进行解析，并查询

对应的资源信息，接着将查询的信息响应给浏览器。浏览器接收到Web

服务器返回的响应信息后，对

响应信息进行解析，并展示给用户。Web

服务器的工作原理如图。向We服务器发送请求向浏览器发送响应信息浏览器用户 10.1.1

Web服务器工作原理Web服

务

器学习目标了

解Apache

服务器，能够说出Apache

服务器的作用、特点。

10.1.2

Apache概述响应速度快且可靠。支持HTTP/1.1

,

并且支持多种方式的HTTP

认证。Apache

源于美国国家超级计算机应用中心的Web

服务器项目

，目前已成为应用最广泛的Web

服务器之一。几乎所有的Linux发行版都自带Apache。

与其他Web

服务器相比，

Apache

服务器具有以下特点。

开源、免费，容易获取。

10.1.2Apache概述可移植性强，可运行在大多数操作系统上。支持Web目录的修改。支持IPv6

。支持安全Socket

。支持基于IP地址、主机名和端口号的虚拟主机服务。10支持服务器状态的实时监视和服务器日志的定制。

配置文件简单，容易操作。

10.1.2

Apache概述学习目标掌握Apache的安装与测试，能够独立完成Apache的安装测试。

10.2

Apache的安装与测试安装命令[root@localhost

~]#dnf-y

install

httpdApache的软件包和服务进程名称为httpd

,

读者可以使用dnf命令直接在线安装，具体安装命令如下所示。

10.2

Apache的安装与测试由

于openEuler

操作系统已经默认安装Apache

服务器，因此读者不必再次安装。

openEuler自带的httpd

服务往往处于关闭状态，读者可以使用systemctl命令启动httpd

服

务，并设置httpd

开机启动，具体命令如下所示。[root@localhost~]#

systemctlstarthttpd[root@localhost~]#systemctl

enable

httpd

10.2

Apache的安装与测试启动httpd

服务设置开始启动TeszPagefor

theApacheHIT*kocalhost十⑧黑☆openEulerLinux

Test

PageThkspageisusedtotesttheproperoperationoftheApacheHTTP

server

afte

thas

heen

installed.Ifyou

canread

this

page,社

meansthtthe

apacheHTTPserwer

inszalled

at

thisiteisworking

propery.ifyou

are

amember

of

the

general

public:Thefactthatyouare

seeing

thspageldikates

that

the

websiteyoujastwisitediseithereaperiencing

problems,or

Bundergong

routine

maintenance,fyouwouldiketo

let

the

administratorsof

thiswebsite

knowthatyou've

seenthis

page

instead

of

te

page

youexpected,you

should

send

theme-mail.In

general,mailsent

to

the

name

'webmuster'and

directed

to

the

webosite's

domain

shouldreach

the

appropriate

person.forexample,Hyouexperienced

problems

whěevisiting

wwwexample.comt,youshouldsndemail

towebrnastergeamplecomIfyou

are

the

website

administrator:foumynowaddcontent

to

the

directory/var/nwhtnl/.Notethatuntilyoudoso,peoplevisitingyouwebsitewillseethispage,andnot

your

content.To

peevent

thispagefromeverbeingused,follow

the

instructionsinthe

file

/etc/httpd/cont.d/welcone.cont.Youarefreeto

sse

the

imege

below

anweb

sites

poweredby

the

Apache

HTTPServer;Forinormationon

openEuler

Linux,please

visit

theopenEule:.IncwebsiteThedocumerntationforopenEulerLrux

is

zraableonthe

openEules.Incmebsite.启动httpd

服务之后，在浏览器地址栏中输入本机地址

,

如果浏览器出现图所示页

面，表明httpd

服务启动成功。

10.2

Apache的安装与测试192.168239.137×

+①192.168.239.137□☆

2×:无法访问此网站37的映应时间过长，请试试以下办法：·

检查网络连接·检查代理服务器和肪火墙·

运行Windows网络诊断ERLCONNECTIONTIMEDOUT详情在物理机中的浏览器地址栏中输入http://37:80(

其中IP地址为虚拟机IP地

址

)

访问openEuler

的Web

服务，会访问失败，如图。

10.2

Apache的安装与测试令如下所示。添加httpd

服务[root@localhost~]#firewall-cmd--permanent--zone=public--add-service=http

sUccesS[root@localhost~]#firewall-cmd--permanent

--zone=public--add-service=httpssUccess[root@localhost~]#firewall-cmd--reloadsUccesS若想接受远程主机的HTTP

和HTTPS

连接，需要将http和https服务添加到防火墙中，具体命

10.2

Apache的安装与测试添加https

服务重启防火墙上述命令执行成功之后，再次在物理机的浏览器地址栏中输入37:80

访问openEuler的Web服务，访问成功页面如图。☆◎Test

Page

for

the

Apache

HT×+×←→

C

△不安全192.168239.137openEulerLinux

Test

PageThispageisusedtotesttheproper

operation

of

the

Apache

HTTPserver

afterit

has

been

insalled.Ifyoucanreadthispage,itmeansthat

theApache

HTTPserver

installed

at

this

siteis

working

properly.Ifyou

are

a

member

of

the

generalpublic:Thefact

thatyou

are

seeing

this

pageindicatesthatthewebsite

you

just

visited

iseither

experiencingproblems,or

isundergoing

routine

maintenance.Ifyouwouldlike

to

let

the

administrators

ofthiswebsiteknow

that

you've

seen

this

pageinsteadof

thepage

you

expected,youshouldsend

theme-mail.In

general,mailsentto

thename

"webmaster"anddirectedtothe

website's

domain

should

reach

the

appropriate

person.Forexample,ifyouexperienced

problems

whilevisiting,youshould

sendemall

to"webmaster@".Forinformation

on

openEulerLinux,please

visitthegpenEuler,Inc.website.ThedocumentationforopenEuler

Linux

isavailable

an

the

openEuler.Ioc.vebsite.Ifyouare

the

website

administrator:Youmaynowaddcontent

to

the

directory/vu/m/htal/.Note

thatuntil

you

do

so,peoplevisitingyourwebsitewillsee

this

page,andnotyourcontent.To

prevent

this

pagefromever

being

used,follow

theinstructions

inthe

file/et/httpd/cnf

d/lem

conf.Youarefreeto

use

the

image

below

onweb

sitespowered

by

theApache

HTTPServer:Powered

by

2.4PACHE

10.2

Apache的安装与测试

10.3

Apache主配置文件学习目标熟悉Apache

主配置文件，能够根据需求完成Apache

主配置文

件的配置。由于openEuler已经默认安装Apache服务器，这里

不演示具体的安装过程。本节主要讲解Apache服务

器的配置文件。

10.3

Apache主配置文件文件和目录含义/etc/httpd/conf/httpd.conf主配置文件/var/www/html网站数据目录/var/log/httpd/access_log访问日志/var/log/httpd/error_log错误日志Apache的相关文件有很多，常用的文件和目录如表。

10.3

Apache主配置文件在Apache常用的文件和目录如表中，/etc/httpd/conf/httpd.conf

是Apache

服务器的主配

置

文件，Apache服

务

器的

大多

功能

都是

通

过主

配

置

文

件

实

现的

。

虽

然

/etc/httpd/conf/httpd.conf配置文件内容较多，但大部分是注释行(以“#”符号开头的

行),注释行之后的/etc/httpd/conf/httpd.conf

配置文件内容如下所示。点击查看httpd.conf配置文件

10.3

Apache主配置文件用于配置Apache

服务器的全局环境。全局环境配置对所有的Web子站点都

有效，它可以有效减少重复的配置工作。

局部配置：

用于配置Web子站点的特有属性，只对Web子站点有效。/etc/httpd/conf/httpd.conf

配置文件主要分为两个部分，具体如下。

10.3

Apache主配置文件全局环境配置：03

项目实施自L山U

3

3小智深知在公司服务器上搭建Apache

服务器这一任务责任重大，不容有失。为了确保在公司正

式环境中的搭建工作能够顺利推进，最大程度降

低风险，他秉持着严谨负责的态度，决定先在自

己的openEuler

操作系统中进行模拟搭建。毕竟，

提前熟悉整个搭建流程、排查潜在问题，能为正

式上线做好充分准备。

项目实施Apache

服务器的配置工作千头万绪，细分任务繁多。为了让整个模拟搭建过程高效且有序，小智经过深思

熟虑，将搭建Apache

服务器的工作拆解为3个关键

的子任务逐步实现，具体如下所示。

项目实施学习目标掌握Apache

默认首页的修改，能够熟练修改Apache

默认首页。>>

任务10-1

修改Apache默认首页Apache

网页数据默认存储在/var/www/html

目录下，

且默认的页面文件名为index.html。访问Web

时，

Apache服务器自动读取index.html

文件内容作为

Apache

服务器的首页，因此在/var/www/html目

录

下编写index.html

文件，可以修改Apache的默认首页。下面通过实例演示Apache默认首页的修改，具体操作步骤如下所示。

任务10-1

修改Apache默认首页具体命令[root@localhost～]#cd/var/www/html[root@localhosthtml]#echo"欢迎来到Apache

首

页!

"

>

>

index.html在/var/www/html目录下编写index.html文

件，具体命令如下所示。

任务10-1

修改Apache

默认首页127,0.0.1/X十一

口

×□三欢迎来到Apache首页!index.html

文件编写完成后，在浏览器地址栏输入本机地址

,

浏览器页面显示效果如图。

任务10-1

修改Apache默认首页有时候，用户可能想把Apache

服务器的网页数据保存在自己的目录下，例如保存在用户的家目录中(如

/home/www/html),

此时就需要修改主配置文件

/etc/httpd/conf/httpd.conf

,

让Apache

从用户家目录读取网页数据文件，具体操作步骤如下。

任务10-1

修改Apache默认首页[root@localhost～]#mkdir/home/www[root@localhost～]#mkdir/home/www/html[root@localhost～]#cd/home/www/html[root@localhost

html]#echo

"欢迎来到我的Apache

首页!(用户自己的首页)">>

myindex.html

任务10-

1

修改Apache

默认首页STEP

01创建网页数据的保存目录，并创建首页文件。:13

#below,117

#DocumentRoot:The

directory

out

ofwhich

you

willserve

your118documents.By

default,all

requests

are

taken

from

this

directory,but19#symboliclinksandaliasesmaybeusedtopoint

to

other

locations.DocumentRoot

"/home/ww/html"1244Relaxaccess

to

content

within

/var/ww.126<Directory

"/home/ww/html>1#Allow

open

access:靴equ1re

allgranted30

</Directory32#Furtherrelaxaccesstothedefaultdocument

root;

<Directory

"/var/ww/html"#Possiblevaluesfortheoptionsdirectiveare"None","A11".#orany

combination

of;Indexes

Includes

FollonSymLinks

SymLinksifownerMatch

ExecCGI

Multiviews126,29

34%修改主配置文件/etc/httpd/conf/httpd.conf

,

将121行的DocumentRoot配置项的值修改为/home/www/html

,

同时将126行的<Directory>

标

签

中的路径也修改为/home/www/html

,

如图。

任务10-1

修改Apache

默认首页STEP

02终端[root@localhost

html]#systemctl

restart

httpd

任务10-1

修改Apache默认首页STEP

03

重启httpd

服务。403Forbidden

×

十

口

×/myindex.html

☆三ForbiddenYoudon'thave

permission

to

access

this

resource.浏览器显示禁止访问，这是因为我们更改了网页数据的默认存储目录，导致原始网页数据的存储目录(/var/www/html)与当前网页数据的存储目录(/home/www/html)的

SELinux安全上下文不一致，SELinux

禁止访问当前网页数据的存储目录。在浏览器地址栏中输入/myindex.html

进行访问，浏览器页面显示效果如图。

任务10-1

修改Apache

默认首页STEP

04如果想要快速地访问/home/www/html

目录下的网页数据，可以禁用SELinux

,具体命令如下所示。[root@localhost[root@localhostPermissivehtml]#setenforce0html]#getenforce

任务10-1

修改Apache默认首页STEP

04/myindex.html×十

一口

×○

□/myindex.html☆⑧

三欢迎来到我的Apache首页!(用户自己的首页)禁用SELinux之

后

，刷新浏览器，浏览器页面显示效果如图。

任务10-1

修改Apache默认首页STEP

04在修改Apache默认首页时，小智禁用了SELinux。除了禁用SELinux,

还可以修改/home/www/html目录安全上下文，以使/home/www/html目录符合SELinux的监管原则，

myindex.html

得以被httpd

服务读取。/home/www/html目录安全上下文修改步骤如下所

示。修改/home/www/html目录安全上下文

任务10-1

修改Apache默认首页[root@localhost

html]#Is-Zd/var/www/htmlsystem_u:object_r:httpd_sys_content_t:s0/var/www/html

[root@localhost

html]#Is-Zd/home/www/htmlunconfined_u:object_r:user_home_t:s0/home/www/html查看默认网页数据存储目录(/

var/www/html)

和当前网页数据存储目录(/

home/www/html)的安全上下文，查看命令及输出结果如下所示。修改/home/www/html目录安全上下文

任务10-1

修改Apache默认首页STEP

01[root@localhost

html]#semanage

fcontext-a-thttpd_sys_content_t

/home/www/html/*在上述命令中，/home/www/html/*

表示对目录下的所有子目录及文件都进行修改。调用semanage

命令将/home/www/html

目录的安全上下文类型字段修

改为httpd_sys_content_t

,

具体命令如下所示。修改/home/www/html目录安全上下文

任务10-1

修改Apache默认首页STEP

02[root@localhosthtml]#restorecon

-Rv/home/www/htmlRelabeled/home/www/html/myindex.htmlfromunconfined_u:object_r:user_home_t:s0tounconfined_u:object_r:httpd_sys_content_t:s0/home/www/html

目录安全上下文修改完成之后，调用restorecon命令使修改立即生效，具体命令如下所示。修改/home/www/html目录安全上下文

任务10-1

修改Apache默认首页STEP

03至此，/home/www/html

目录安全上下文修改完成。/home/www/html

目录安全上下文修改生效之后，刷新浏览器，浏览器页面显示效果与图浏览器页面显示效果相同。修改/home/www/html目录安全上下文

任务10-1

修改Apache默认首页STEP

04学习目标掌握用户Web

站点的搭建，能够根据需求搭建Web

站点。>

任务10-2

搭建用户Web

站点http://

域名(或IP)/~

用户名现在很多网站都允许用户搭建自己的Web

站点，即拥有自己的个人主页，用户可以按照自己的喜好管理主页空间。在安装了Apache

服务器的计算机中，每个有效的用户都可以搭建自

己的Web站点。客户端在浏览器中访问用户Web

站点时，访问的URL格式如下所示。

任务10-2

搭建用户Web

站点小智以用户itheima

为

例

，搭建用户itheima

的个人主

页，具体操作步骤如下。

任务10-2

搭建用户Web

站点[root@localhost~]#chmod755/home/itheima用户itheima

的家目录为/home/itheima

,

修改家目录的权限，使其他用户具有读取和执行权限。修改家目录权限的命令如下所示。

任务10-2

搭建用户Web

站点STEP

01[root@localhost~]#mkdir/home/itheima/html[root@localhost～]#cd/home/itheima/html[root@localhostpublic_html]#echo

"这是用户itheima的个人主页，欢迎到访!">>

itheima.html在/home/itheima

目录下创建html文件夹，并在html

文件夹下创建

itheima.html

个人首页文件，具体命令如下所示。

任务10-2

搭建用户Web

站点STEP

02Apache服务器默认不开启个人Web

站点搭建功能，如果要搭建个人Web

站点，需要修改/etc/httpd/conf.d/userdir.conf

配置文件，主要进行以下3项

配置。

注释第17行代码(UserDir

disabled)。取消第24行代码(UserDir

public_html)的注释，并将UserDir选项的目录修改为html。

将第31行<Directory>标签中的目录修改为/home/*/html。

任务10-2

搭建用户Web

站点STEP

03#UserDir

1s

disabledbydefault

since

it

can

confirm

thepresence#ofausernaneonthesystem(dependingonhomedirectory#UserDirdisabled19#Toenablerequeststo1-user/toservetheuser'spublic_html#directory,remove

the

"UserDir

disabled"line

above,and

uncommentthe

following

line

instead:UserDi

rhtml</IfModule2628

#ControlaccesstoUserDirdirectories.Thefollowingisan

exanple29

#for

a

site

where

these

directories

are

restricted

to

read-only,A11onoverrideFileInfoAuthConfigLimitIndexesOptionsMultiviewsIndexesSymLinksIfownerMatchTncludesNoExec</Directory31,27/etc/httpd/conf.d/userdir.conf

配置文件的修改如图。终端

任务10-2

搭建用户Web

站点STEP

03Requiremethod

GET

POSTOPTIONS202122雇端243235由于Apache主配置文件/etc/httpd/conf/httpd.conf

默认读取的首页文件

为index.html,

而我们搭建的用户itheima

的Web

站点默认首页文件为itheima.html,

因此需要修改主配置文件/etc/httpd/conf/httpd.conf,在DirectoryIndex配置项(第166行代码)后面添加itheima.html文件，如图。160162#DirectoryIndex!sets

thefilethatApachewillserve163

#is

requested.<IfModule

dir_nodule166

DirectoryIndex

index.html

itheima.html168169

#170#Thefollowinglinesprevent

.htaccess

and.htpasswd171#viewed

byWeb

clients.if

a

directoryfiles

frombeing166,4346%络端

任务10-2

搭建用户Web

站点STEP

04roctgltheima-8[root@localhostpublic_html]#setenforce0[root@localhost

public_html]#systemctl

restart

httpdSTEP05

禁用SELinux,重启httpd

服务。

任务10-2

搭建用户Web

站点/~itheima/×

+/-itheima这是用户itheima的个人主页，欢迎到访!☆2□

X三至此，用户Web站点搭建完成。通过浏览器访问地址http:///~itheima/,

浏览器显示的用户itheima

的个人主页如图。

任务10-2

搭建用户Web

站点STEP06学习目标掌握虚拟主机的配置，能够搭建基于IP地址的虚拟主机、基于域名的虚拟主机、基于端口号的虚

拟

主

机。>

任务10-3配置基于IP地址的虚拟主机虚拟主机管理员邮箱虚拟主机的根文档目录虚拟主机的名称和端口号虚拟主机的错误日志存放路径虚拟主机的访问日志存放路径<VirtualHost

IP地址：80>ServerAdminDocumentRootServerNameErrorLogCustomLog</Virtual

Host>Apache提供了<VirtualHost></VirtualHost>标签用于配置基于IP地址的虚拟主机，该标签的作用形式如下所示。

任务10

3

配置基于

地址的虚拟主机-

IP小智在openEuler

操作系统中为主机配置两台基于IP

地址的虚拟主机，具体操作步骤如下所示。

任务10

3

配置基于

地址的虚拟主机-

IP[root@localhost~]#ip

addr

add

51/24devens33[root@localhost~]#ip

addr

add

52/24dev