HTTP协议和APACHE服务器
Web Service传输层:提供进程地址Portnumber:tcp:传输控制协议,面向连接的协议;通信前需要建立虚拟链路;结束后拆除链路;0-65535udp:User DatagramProtocol,无连接的协议;0-65535
IANA:0-1023:众所周知,永久的分配给固定的应用使用,特权端口,22/tcp(ssh), 80/tcp(http), 443/tcp(https)1024-41951:亦为注册端口,但要求并不是特别严格,分配给程序注册为某应用使用,11211/tcp, 11211/udp (memcached),3306/tcp(mysql)41952+:客户端程序随机使用的端口;动态端口,或私有端口;其范围的定义:/proc/sys/net/ipv4/ip_local_port_range
Socket: IPC的一种实现,允许位于不同主机(甚至同一主机)上不同进程之间进行通信;数据交换;Socket API, 1983年,4.2 BSDSOCK_STREAM:tcp套接字SOCK_DGRAM:udp套接字SOCK_RAW: 裸套接字
IPv4:分类:A:1-127B:128-191C:192-223D:组播,224-239E:240-254
私有地址:A:10.0.0.0/8B:172.16.0.0/16-172.31.0.0/16C:192.168.0.0/24-192.168.255.0/24
TCP协议的特性:建立连接:三次握手将数据打包成段:校验和(CRC-32)确认、重传以及超时:排序:逻辑序号流量控制:滑动窗口算法拥塞控制:慢启动和拥塞避免算法
Socket Domain(根据其所使用的地址):AF_INET:AddressFamily,IPv4AF_INET6:IPv6AF_UNIX:同一主机上不同进程之间通信时使用;
每类套接字都至少提供了两种socket:流,数据报流:可靠地传递、面向连接、无边界;数据报:不可靠地传递、有边界、无连接;
套接字相关的系统调用:socket(): 创建一个套接字;bind():绑定listen():监听accept():接收请求connect():请求连接建立write():发送read():接收send(),recv(), sendto(), recvfrom()
MIME:Multipurpose Internet Mail Extesion
工作机制:http请求http响应
Web资源:web resource静态文件:.jpg, .gif, .html, .txt, .js, .css, .mp3, .avi动态文件:.php, .jsp,
媒体:媒体类型(MIME类型):major/minortext/htmltext/plainimage/jpegimage/gif
URI:Uniform Resource IdentifierURL: Uniform Resorce Locator,用于描述某服务器某特定资源的位置;Scheme://Server:Port/path/to/resourceURN:Uniform Resource Naming
http协议版本:HTTP/0.9:原型版本,功能简陋HTTP/1.0:第一个广泛使用的版本,支持MIMEHTTP/1.1: 增强了缓存功能spdyHTTP/2.0:
一次完整的http请求处理过程:(1) 建立或处理连接:接收请求或拒绝请求(2) 接收请求:接收来自于网络的请求报文中对某资源的一次请求的过程;
并发访问响应模型(Web I/O):单进程I/O结构:启动一个进程处理用户请求,而且一次只处理一个;多个请求被串行响应;多进程I/O结构:并行启动多个进程,每个进程响应一个请求;复用I/O结构:一个进程响应N个请求;多线程模型:一个进程生成N个线程,每个线程响应一个用户请求;事件驱动机制:event-driven 一个进程可以与多个进程通信复用的多进程I/O结构:启动多个(m)进程,每个进程响应n个请求;即并行响应
(3) 处理请求:对请求报文进行解析,并获取请求的资源及请求方法等相关信息(4) 访问资源:获取请求报文中请求的资源web服务器,即存放了web资源的服务器,负责向请求者提供对方请求的静态资源,或动态运行后生成的资源;这些资源放置于本地文件系统某路径下,此路径通常称为DocRootweb服务器资源路径映射方式:(a)docroot(b)alias(c) 虚拟主机docroot(d) 用户家目录docroot(5) 构建响应报文资源的MIME类型:显式分类魔法分类协商分类URL重定向:web服务构建的响应并非客户端请求的资源,而是资源另外一个访问路径;(6) 发送响应报文(7) 记录日志
http服务器程序:httpd (apache)、nginx 、lighttpd
应用程序服务器:IIStomcat,jetty, jboss, resinwebshpere,weblogic, oc4j
http协议:http协议版本:http/0.9,http/1.0, http/1.1, http/2.0
协议查看或分析的工具:tcpdump,tshark, wireshark
报文语法格式:request请求报文<method><request-URL> <version><headers>…<entity-body>
response响应报文<version><status> <reason-phrase><headers>
<entity-body>
method: 请求方法,标明客户端希望服务器对资源执行的动作method(方法):
GET从服务器获取一个资源;
HEAD只从服务器获取文档的响应首部;
POST向服务器发送要处理的数据;
PUT将请求的主体部分存储在服务器上;
DELETE请求删除服务器上指定的文档;
TRACE追踪请求到达服务器中间经过的代理服务器;
OPTIONS请求服务器返回对指定资源支持使用的请求方法;
version:HTTP/版本号status:三位数字,如200,301, 302, 404, 502; 标记请求处理过程中发生的情况;status(状态码):1xx:100-101, 信息提示;2xx:200-206, 成功3xx:300-305, 重定向4xx:400-415, 错误类信息,客户端错误5xx:500-505, 错误类信息,服务器端错误
常用的状态码:
200成功,请求的所有数据通过响应报文的entity-body部分发送;OK
301请求的URL指向的资源已经被删除;但在响应报文中通过首部Location指明了资源现在所处的新位置;Moved Permanently
302与301相似,但在响应报文中通过Location指明资源现在所处临时新位置;Found
304客户端发出了条件式请求询问,但服务器上的资源未曾发生改变,则通过响应此响应状态码通知客户端;Not Modified
401需要输入账号和密码认证方能访问资源;Unauthorized
403请求被禁止;Forbidden
404服务器无法找到客户端请求的资源;Not Found
500服务器内部错误;Internal ServerError
502代理服务器从后端服务器[即代理服务器,保存真正Server的缓存,若无缓存则去找上级服务器…]收到了一条伪响应;Bad Gateway
reason-phrase:对状态码的简要描述;headers:每个请求或响应报文可包含任意个首部;每个首部都有首部名称,后面跟一个冒号,而后跟上一个可选空格,接着是一个值;headers格式:例:
GET /test/hello.html HTTP/1.1发送GET请求,请求资源/test/hello.html协议版本HTTP/1.1
Accept: */*客户端可以接收任何数据
Rerferer: http://localhost:80/test/abc.html请求来自哪里,即从哪个页面跳转过来的
Accept-Language: zh-cn页面支持什么语言
User-Agent: Moziala/4.0告诉服务器客户端的浏览器内核/版本
Accept-Encoding: gzip,defate表示接收什么样的数据压缩格式
Host: localhost:80主机
Connection: Keep-Alive表示长连接,即不立即断开
首部的分类:通用首部、请求首部、响应首部、实体首部、扩展首部
通用首部:[请求和响应都可以使用]Date: 报文的创建时间Connection:连接状态,如keep-alive,closeVia:显示报文经过的中间节点,即经过几个代理Cache-Control:控制缓存的生效方法 [ 例:cache-control: max-age=100 缓存在100s后失效 ]
请求首部:[专用于请求]Accept:通过服务器自己可接受的媒体类型;Accept-Charset:接受的字符编码格式 UTF-8Accept-Encoding:接受的压缩编码格式,如gzipAccept-Language:接受的语言格式 zh-cn
Client-IP: 客户端IPHost: 请求的服务器名称和端口号Referer:包含当前正在请求的资源的上一级资源[ 即从哪个页面跳转过来的 ]User-Agent:客户端代理[ 客户端浏览器的内核/版本 ]
条件式请求首部:Expect:用于指出客户端要求的特殊服务器行为。If-Modified-Since:自从指定的时间之后,请求的资源是否发生过修改;If-Unmodified-Since:自从指定的时间之后,请求的资源是否没发生过修改;If-None-Match:本地缓存中存储的文档的ETag标签是否与服务器文档的Etag不匹配;If-Match:本地缓存中存储的文档的ETag标签是否与服务器文档的Etag匹配;
安全请求首部:Authorization:向服务器发送认证信息,如账号和密码;Cookie: 客户端向服务器发送cookie
代理请求首部:Proxy-Authorization: 向代理服务器认证
响应首部:[专用于响应]信息性:Age:响应持续时长Server:服务器程序软件名称和版本
协商首部:某资源有多种表示方法时使用Accept-Ranges:服务器可接受的请求范围类型Vary:服务器查看的其它首部列表;
安全响应首部:Set-Cookie:向客户端设置cookie;WWW-Authenticate:来自服务器的对客户端的质询认证表单
实体首部:[专用于描述entity-body即附加数据]Allow: 列出对此实体可使用的请求方法Location:告诉客户端真正的实体位于何处[重定向时使用]
Content-Encoding:内容压缩编码格式Content-Language:内容语言Content-Length: 主体的长度Content-Location: 实体真正所处位置;Content-Type:主体的对象类型
缓存相关:ETag:实体的扩展标签;Expires:实体的过期时间;Last-Modified:最后一次修改的时间
entity-body:实体主体;请求时附加的数据或响应时附加的数据;
httpd程序环境:
rpm包安装的httpd的默认工作目录(根目录):/etc/httpd
配置文件:主配置文件:/etc/httpd/conf/httpd.conf分段配置文件:/etc/httpd/conf.d/*.conf服务脚本:/etc/rc.d/init.d/httpd脚本的配置文件:/etc/sysconfig/httpd模块文件目录:/etc/httpd/modules -->/usr/lib64/httpd/modules主程序文件:/usr/sbin/httpd (prefork)/usr/sbin/httpd.worker (worker)/usr/sbin/httpd.event (event)日志文件目录:/var/log/httpdaccess_log: 访问日志文件error_log:错误日志[ httpd服务启动和关闭的信息也在这里 ]站点文档目录:/var/www/html
/etc/httpd/conf/httpd.conf配置文件:由三部分组成### Section 1:Global Environment [全局有效配置]### Section 2: 'Main' serverconfiguration ### Section 3: Virtual Hosts [虚拟主机有效配置]
'Main'server和Virtual Hosts不能同时启用;默认启用的是'Main'server [即全局的DocumentRoot 指令];
1、指定监听地址和端口
Listen 80(1) IP省略时表示监听本机上所有可用的IP地址;(2) Listen指令可以出现多次,用于指明多个不同的监听端口或套接字:Listen172.16.100.11:80Listen172.16.100.11:8080
2、持久连接相关
KeepAlive Off|OnMaxKeepAliveRequests 100KeepAliveTimeout 15持久连接:一次TCP三次握手连接建立后,每个资源获取结束不会立即四次断开连接,而继续等待其它资源请求并完成传输;断开要求:数量限制:如100个时间限制:如15秒劣势:对并发访问量较大的服务器,开持久连接会有些请求得不到服务;改进:减短时间,httpd-2.4支持毫秒级非持久连接:每个资源都是单独通过专用的连接进行获取
测试:#telnet Server 80GET/URL HTTP/1.1Host:Server
3、MPM 多路处理模块:并发请求响应的不同实现prefork,worker, eventMPM:MultipathProcessing Modules 多路处理模块机制prefork:多进程模型,每个进程响应一个请求;启动一个主进程,用来监听套接字和负责生成子进程 [ 子进程也称为工作进程 ],每个子进程处理一个用户请求;即便没有用户请求,也会预先生成多个空闲进程,随时等待请求到达;最大不会超过1024个;即一个请求到来时,主进程不会响应这个请求,而是让一个预先生成的子进程去处理,主进程再去监听套接字;worker:多线程模型,每个线程响应一个请求;启动一个主进程用来生成多个子进程,每个子进程负责生个多个线程,每个线程响应一个请求;例:若有m子进程,n个线程,可以同时处理m*n请求 即一个请求到来时,主进程不会响应这个请求,而是让一个预先创建的空闲子进程去找一个预先生成的线程去处理;且预先生成的空闲进程和线程数量是有上下限的 event:事件驱动模型,每个线程响应多个请求;一个主进程:生成多个子进程,每个子进程直接响应多个请求;
httpd-2.2: event为测试使用httpd-2.4: event可生产使用
httpd-2.2 不支持同时编译多个不同的MPM,rpm安装的httpd-2.2提供了三个文件分别用于实现提供对不同的MPM的支持;确认方法:# ps aux | grep httpd
默认为/usr/sbin/httpd,其为prefork; 查看模块列表:httpd -l: 查看静态编译的模块httpd -M: 查看所有模块,包括静态编译和DSO模块[动态装卸载模块]httpd-worker -M|-lhttpd-event -M|-l 更换支持不同的MPM的主程序:编辑/etc/sysconfig/httpd启用变量:HTTPD [取消注释即可]
修改其配置属性在/etc/httpd/conf/http.conf
注意:MaxRequsetPerChild不是越大越好,而是根据实际情况,内存较大的服务器设大些,内存较小设小些;即设定一个独立的子进程能处理的请求数,到达这个数量时,子进程会被父进程终止,这时就会释放占用的内存。所以越大时占用内存越大。
# worker MPM#StartServers: initial number of server processes to start#MaxClients: maximum number of simultaneous client connections#MinSpareThreads: minimum number of worker threads which are kept spare#MaxSpareThreads: maximum number of worker threads which are kept spare#ThreadsPerChild: constant number of worker threads in each server process#MaxRequestsPerChild: maximum number of requests a server process serves<IfModule worker.c>StartServers 4 [服务器启动时启动多少子进程]MaxClients 300 [最多允许多少个并发连接,不超过1024]MinSpareThreads 25 [最少总空闲线程]MaxSpareThreads 75 [最多总空闲线程]ThreadsPerChild 25 [每一个子进程可以生成多少个线程]MaxRequestsPerChild0 [不限制]</IfModule>
4、配置指令模块加载:
LoadModule<module_name> <module_path>
模块路径:可使用相对路径;相对于ServerRoot指令指向的位置而言;
注意:建议使用service httpd reload重新装载配置文件
5、定义'Main'server的文档页面路径DocumentRoot指令 指定网站页面位置[路径要事先存在]
6、站点路径访问控制访问控制机制:基于来源地址基于账号
定义的方式有两种:文件系统路径:<Directory"/PATH/TO/SOMEDIR">...</Directory>URL路径:<Location"/URL">...</Location>
7、Directory中的访问控制定义(1) OptionsIndexes: 当访问的路径下无默认主页面文件存在,且没有指定具体要访问的资源时,会将此路径下的所有资源以列表呈现给用户;非常危险,不建议使用;FollowSymLinks:如果某页面文件为链接文件,指向DocumentRoot之外路径上的其它文件时,将直接显示目标文件的内容;None: 都不启用All:所有的都启用;(2) AllowOverride None是否允许路径下的.htaccess文件覆盖定义的访问控制权限(3) 基于来源地址访问控制Order: 检查次序Order Allow Deny:以Allow优先处理,但没有写入规则的则默认为Deny。常用于:开放所有,拒绝特定Order Deny Allow: 以Deny优先处理,但没有写入规则的则默认为Allow。常用于:拒绝所有,开放特定注意:当Allow和Deny的规则当中有重复的,则以Order先后顺序为主。Allow from:允许访问的来源地址Deny from:拒绝访问的来源地址
from后可跟上的地址格式:IP地址;网络地址:172.16172.16.0.0172.16.0.0/16172.16.0.0/255.255.0.0例:<Directory/var/www>Options NoneAllowOverride NoneOrder Allow DenyAllow from allDeny from 192.168.1.110</Directory>
8、定义默认的主页面DirectoryIndex index.htmlindex.html.var
自左而右,找到首次匹配到的文件;就将其做为默认主页面返回。
9、配置日志
错误日志:
访问日志:要定义日志格式先定义日志格式
日志内容
%h记录客户端主机的IP地址
%l客户用户通过identd登录时使用名称;一般为- [ - 为空 ];
%u用户认证登录的名字[基于.htpasswd的密码认证才有];无登录机制一般为-;
%t收到客户端请求时的时间;
\" 显示引号本身,而不作为引用符号;\为转意符
%r请求报文的首行 <method> <url> <version>
%>s响应状态状态码
%b响应报文的大小,单位为字节;不包含首部信息;
%{Referer}i记录Http首部Referer对应的值,即访问入口,从哪个页面跳转至此页面;[直接从浏览器进入为空]
%{User-Agent}i记录http首部User-Agent对应的值;即浏览器内核类型;
详情:http://httpd.apache.org/docs/2.2/mod/mod_log_config.html#formats
10、路径别名
Alias/URL/ "/path/to/some_directory"例如:Alias /bbs/ "/web/bbs/htdocs/"DocumentRoot"/var/www/html"注意:路径最后一个斜线都要有或者都没有URL: http://www.lx.com/bbs/index.html --> 找的是/web/bbs/htdocs/index.html而不是/var/www/html下的文件
11、设定默认字符集AddDefaultCharset UTF-8常用字符集:GBK, GB2312, GB18030
12、基于用户的访问控制质询:响应报文首部:WWW-Authenticate[ 服务器用401状态拒绝客户端请求,说明需要用户提供用户名和密码;弹出对话框 ]认证:请求报文首部:Authorization[ 客户端用户填入账号密码后再次发请求至服务器;认证通过,则请求授权 ]
安全域:需要用户认证后方能访问的路径,应该有其名称,用于向用户通知此认证的原因等;
http协议支持的认证方式:basic:基本 BASE64 [ 只是编码不是加密 ]digest:摘要 [老的浏览器不支持]
basic认证机制的实现(1) 定义安全域<Directory"/data/web/html/employee"> Options None AllowOverride None AuthType Basic AuthName "Employee Infomation, only for employee" [ "注释显示信息" ] AuthUserFile /etc/httpd/users/.passwd [ htpasswd生成的基于Basic的密钥文件 ] Require user tom jerry [ 允许AuthUserFile文件中的那些用户登录 ]</Directory>
Require valid-user: 所有位于AuthUserFile文件中定义的用户都允许登录;Require user user1 user2 ...: 仅允许user1,user2等出现AuthUserFile文件中定义的特定几个用户登录;
(2) 提供用户的账号文件htpasswd命令用于维护此文件
htpasswd [ -c ] [ -m ] [ -D ] passwdfileusername -c:添加第一用户时创建此文件;若文件存在,则覆盖文件 -m:以md5格式加密用户密码存放; -s:以sha格式加密用户密码存放; -D:删除指定用户
例:htpasswd -c .passwd lx当添加第二个用户时,不用-c 即 htpasswd .passwd abc
(3) 组认证<Directory"/data/web/html/employee"> Options None AllowOverride None AuthType Basic AuthName "Employee Infomation, onlyfor employee" AuthUserFile /etc/httpd/users/.htpasswd AuthGroupFile /etc/httpd/users/.htgroup Require group GRP1 GRP2 ...</Directory>
组文件:每行定义一个组,格式Grp_Name: USERNAME1 USERNAME2 ...
测试:组认证过程:1.编辑/etc/httpd/conf/httpd.conf
2.mkdir -p /web/vhosts/test/web/vhosts/test/protect3.创建测试database页面 vim /web/vhosts/test/protect/database; <h1>database test<h1>4.用htpasswd命令创建密码文件 htpasswd -c/web/vhosts/test/protect/.passwd lx ;htpasswd /web/vhosts/test/protect/.passwd tom; htpasswd/web/vhosts/test/protect/.passwd jeery5.创建组文件 vim/web/vhosts/test/protect/.group
注意:虚拟用户一定要有密码才能登录,即必须用htpasswd命令创建进入AuthUserFile中
13、虚拟主机一个物理器可以服务于多个站点,每个站点可通过一个或多个虚拟主机来实现;
httpd三种类型的虚拟主机:基于IP基于Port[端口]基于FQDN[域名] 需有DNS解析
注意:得首先关闭'Main'server ;即注释全局的DocumentRoot指令即可;
定义虚拟主机的方法:<VirtualHost"IP:PORT">ServerName 主机名[www.lx.com]DocumentRoot网站页面放置主目录注意:额外经常用于每个虚拟主机的配置有ErrorLog错误日志记录文件位置,不存在会自动生成 CustomLog访问日志文件位置,不存在会自动生成 日志格式[ common|combined|agent|referer]ServerAlias定义路径别名<Directory></Directory><Location></Location></VirtualHost>
注意:大多数可用于全局或'main' server中的指令,都可以定义有VirtualHost中;
示例1:基于IP<VirtualHost172.16.100.11:80> ServerName www.a.com DocumentRoot /vhost/a.com/htdocs/</VirtualHost>
<VirtualHost172.16.100.21:80> ServerName www.b.org DocumentRoot /vhost/b.org/htdocs/</VirtualHost>
<VirtualHost172.16.100.31:80> ServerName www.c.net DocumentRoot /vhost/c.net/htdocs/</VirtualHost>
注意:本机要配置上所有IP地址并能够用于通信;
示例2:基于Port<VirtualHost172.16.100.11:80> ServerName www.a.com DocumentRoot /vhost/a.com/htdocs/</VirtualHost>
<VirtualHost172.16.100.11:808> ServerName www.b.org DocumentRoot /vhost/b.org/htdocs/</VirtualHost>
<VirtualHost172.16.100.11:8080> ServerName www.c.net DocumentRoot /vhost/c.net/htdocs/</VirtualHost>
注意:httpd要监听这里指明的所有端口Listen
示例3:混用IP和Port<VirtualHost172.16.100.11:80> ServerName www.a.com DocumentRoot /vhost/a.com/htdocs/</VirtualHost>
<VirtualHost172.16.100.21:80> ServerName www.b.org DocumentRoot /vhost/b.org/htdocs/</VirtualHost>
<VirtualHost172.16.100.11:8080> ServerName www.c.net DocumentRoot /vhost/c.net/htdocs/</VirtualHost>
示例4:基于FQDN注释全局的DocumentRoot指令NameVirtualHost 172.16.100.11:80
<VirtualHost172.16.100.11:80> ServerName www.a.com DocumentRoot /vhost/a.com/htdocs/</VirtualHost>
<VirtualHost172.16.100.11:80> ServerName www.b.org DocumentRoot /vhost/b.org/htdocs/</VirtualHost>
<VirtualHost172.16.100.11:80> ServerName www.c.net DocumentRoot /vhost/c.net/htdocs/</VirtualHost>
14、内置的status页面<Location/server-status> SetHandler server-status Order deny,allow Deny from all Allow from 172.16.0.0/16</Location>可以嵌套使用,Location相当于Directory 例:通过www1.stuX.com/server-status输出httpd工作状态相关信息,且只允许帐号lx通过密码才能访问,接可以查看www1.stuX.com的index.html;
15 curl命令
curl是基于URL语法在命令行方式下工作的文件传输工具,它支持FTP, FTPS, HTTP, HTTPS, GOPHER, TELNET,DICT, FILE及LDAP等协议。curl支持HTTPS认证,并且支持HTTP的POST、PUT等方法, FTP上传,kerberos认证,HTTP上传,代理服务器, cookies,用户名/密码认证,下载文件断点续传,上载文件断点续传,,http代理服务器管道( proxy tunneling),甚至它还支持IPv6, socks5代理服务器,,通过http代理服务器上传文件到FTP服务器等等,功能十分强大。
curl
curl的常用选项:
-A/--user-agent <string> 设置用户代理发送给服务器 -basic 使用HTTP基本认证 --tcp-nodelay 使用TCP_NODELAY选项 -e/--referer <URL> 来源网址 --cacert <file> CA证书 (SSL) --compressed 要求返回是压缩的格式 -H/--header <line>自定义头信息传递给服务器 -I/--head只显示响应报文首部信息 --limit-rate <rate> 设置传输速度 -u/--user<user[:password]>设置服务器的用户和密码 -0/--http1.0 使用HTTP1.0
用法:curl 例:1.伪装成chrome浏览器curl -A "chrome 4.0" http://192.168.1.110
另一个工具:elinks 全屏浏览器elinks... ...-dump: 不进入交互式模式,而直接将URL的内容输出至标准输出;
16 使用mod_deflate模块压缩页面优化传输速度
适用场景:(1) 节约带宽,额外消耗CPU;同时,可能有些较老浏览器不支持;(2) 压缩适于压缩的资源,例如文件文件;
添加进/etc/httpd/conf/httpd.conf即可对压缩格式做限定SetOutputFilter DEFLATE输出过滤器
#mod_deflate configuration
# Restrict compression to these MIMEtypes 限制压缩这些MIME类型AddOutputFilterByTypeDEFLATE text/plainAddOutputFilterByTypeDEFLATE text/htmlAddOutputFilterByTypeDEFLATE application/xhtml+xmlAddOutputFilterByTypeDEFLATE text/xmlAddOutputFilterByTypeDEFLATE application/xmlAddOutputFilterByTypeDEFLATE application/x-javascriptAddOutputFilterByTypeDEFLATE text/javascriptAddOutputFilterByTypeDEFLATE text/css
# Level of compression (Highest 9 -Lowest 1) 压缩级别DeflateCompressionLevel9
# Netscape 4.x has some problems. BrowserMatch^Mozilla/4 gzip-only-text/html
#Netscape 4.06-4.08 have some more problemsBrowserMatch^Mozilla/4\.0 no-gzip
#MSIE masquerades as Netscape, but it is fineBrowserMatch\bMSI !no-gzip !gzip-only-text/html
17、https
http over ssl = https 443/tcp不再是文本格式传输而是二进制格式传输ssl: v3 tls: v1
SSL会话的简化过程(1) 客户端发送可供选择的加密方式,并向服务器请求证书;(2) 服务器端发送证书以及选定的加密方式给客户端;(3) 证书验正:如果信任给其发证书的CA:(a) 验正证书来源的合法性;用CA的公钥解密证书上数字签名;(b) 验正证书的内容的合法性:完整性验正(c) 检查证书的有效期限;(d) 检查证书是否被吊销;(e) 证书中拥有者的名字,与访问的目标主机要一致;(4) 客户端生成临时会话密钥(对称密钥),并使用服务器端的公钥加密此数据发送给服务器,完成密钥交换;(5) 服务用此密钥加密用户请求的资源,响应给客户端;
注意:SSL会话是基于IP地址创建;所以单IP的主机上,仅可以使用一个https虚拟主机;
配置httpd支持https:(1) 为服务器申请数字证书;测试:通过私建CA发证书(a) 创建私有CA(b) 在服务器创建证书签署请求(c) CA签证(2) 配置httpd支持使用ssl,及使用的证书;#yum -y install mod_ssl
配置文件:/etc/httpd/conf.d/ssl.confDocumentRootServerNameSSLCertificateFile [证书]SSLCertificateKeyFile [私钥](3) 测试基于https访问相应的主机;#openssl s_client [-connect host:port] [-cert filename] [-CApath directory][-CAfile filename]例 openssl s_client -connect 192.168.1.115 -Cafile/etc/pki/CA/cacert.pem基于windows的方法:把CA中自签证书重命名为cacert.crt导入到授信任的根证书即可
18、httpd自带的工具程序
htpasswd: basic认证基于文件实现时,用到的账号密码文件生成工具;apachectl:httpd自带的服务控制脚本,支持start, stop;例apachectl startapxs:由httpd-devel包提供的,扩展httpd使用第三方模块的工具;rotatelogs:日志滚动工具;access.log-->access.log, access.1.log-->access.log,access.1.log, access.2.logsuexec:访问某些有特殊权限配置的资源时,临时切换至指定用户运行;可以在配置文件中修改User和Group即用谁的身份运行httpd
19、http压力测试工具ab、webbench、http_loadjmeter、loadrunnertcpcopy
ab URL-n: 总的请求数-c:模拟的并发数[不能超过1024,超过时用ulimit命令设置]-k: 以持久连接模式测试例 ab -n 1000 -c 100 -k http://www.lx.com测试结果也一目了然,测试出的吞吐率为:Requests per second: 2015.93 [#/sec](mean)初次之外还有其他一些信息。Server Software 表示被测试的Web服务器软件名称Server Hostname 表示请求的URL主机名Server Port 表示被测试的Web服务器软件的监听端口Document Path 表示请求的URL中的根绝对路径,通过该文件的后缀名,我们一般可以了解该请求的类型Document Length 表示HTTP响应数据的正文长度Concurrency Level 表示并发用户数,这是我们设置的参数之一Time taken for tests 表示所有这些请求被处理完成所花费的总时间Complete requests 表示总请求数量,这是我们设置的参数之一Failed requests 表示失败的请求数量,这里的失败是指请求在连接服务器、发送数据等环节发生异常,以及无响应后超时的情况。如果接收到的HTTP响应数据的头信息中含有2XX以外的状态码,则会在测试结果中显示另一个名为 “Non-2xx responses”的统计项,用于统计这部分请求数,这些请求并不算在失败的请求中。Total transferred 表示所有请求的响应数据长度总和,包括每个HTTP响应数据的头信息和正文数据的长度。注意这里不包括HTTP请求数据的长度,仅仅为web服务器流向用户PC的应用层数据总长度。HTML transferred 表示所有请求的响应数据中正文数据的总和,也就是减去了Total transferred中HTTP响应数据中的头信息的长度。Requests per second 吞吐率,计算公式:Complete requests / Time taken for testsTime per request 用户平均请求等待时间,计算公式:Time token for tests/(Complete requests/Concurrency Level)Time per requet(across all concurrentrequest) 服务器平均请求等待时间,计算公式:Time taken for tests/Complete requests,正好是吞吐率的倒数。也可以这么统计:Time per request/Concurrency LevelTransfer rate 表示这些请求在单位时间内从服务器获取的数据长度,计算公式:Total trnasferred/ Time taken for tests,这个统计很好的说明服务器的处理能力达到极限时,其出口宽带的需求量。Percentage of requests served within acertain time(ms)这部分数据用于描述每个请求处理时间的分布情况,比如以上测试,80%的请求处理时间都不超过6ms,这个处理时间是指前面的Time per request,即对于单个用户而言,平均每个请求的处理时间。
编译安装httpd-2.4
新特性:(1) MPM支持运行DOS[动态模块装载]机制;(2) 支持eventMPM;(3) 支持异步读写;(4) 支持每模块及每个目录分别使用各自的日志级别;(5) 每请求配置;<If>(6) 增强版的表达式分析器;(7) 支持毫秒级的keepalivetimeout;(8) 基于FQDN的虚拟主机不再需要NameVirtualHost指令;(9) 支持用户自定义变量;
新模块:(1)mod_proxy_fcgi(2)mod_ratelimit(3)mod_remoteip
修改了一些配置机制:不再支持使用Order, Deny, Allow来做基于IP的访问控制;
httpd依赖于apr,apr-util, 可能还有apr-iconapr:apache portable runtime
编译安装步骤:
前提: 下载1.4+版的apr、apr-util、httpd-2.4的源码包安装开发环境,安装pcre-devel、zib-devel
例:以apr-1.5.0.tar.bz2,apr-util-1.5.3.tar.bz2,httpd-2.4.10.tar.bz2为例[ 注意:源码编译有先后顺序 apr->apr-util->httpd-2.4 ]yum groupinstall "Development tools" "Server PlatformDevelopment"yum install pcre-devel zib-devel
(1)apr#./configure --prefix=/usr/local/apr#make && make install
(2)apr-util# ./configure --prefix=/usr/local/apr-util --with-apr=/usr/local/apr#make && make install
(3)httpd-2.4#groupadd -r apache#useradd -r -g apache apahce# ./configure --prefix=/usr/local/apache --sysconfdir=/etc/httpd --enable-so --enable-ssl--enable-cgi --enable-rewrite --with-zlib --with-pcre --with-apr=/usr/local/apr--with-apr-util=/usr/local/apr-util/ --enable-modules=most--enable-mpms-shared=all --with-mpm=prefork注意:-with-包名[例pcre-devel]=路径 都要先装它的devel包,用rpm包装的devel包不用指路径,因为默认就是找/usr/下的;而不在这个路径下的要指明
-enable-so支持DSO动态装卸载模块机制
-enable-cgi支持CGI[通用网关接口]模式
-enable-ssl支持ssl
-enable-rewrite支持url重写,依赖pcre-devel包
-with-zilb可以基于zlib可以压缩报文
-with-pcre支持使用pcre功能
-with-apr=/usr/local/apr支持apr功能
-with-apr-util=/usr/local/apr-util支持apr-util贡呢
--enable-modules=most开启最多的模块
--enable-mpms-share=all把所有的mpm都做成共享模块
--with-mpm=prefork把prefork设为默认的mpm
#make && make install
先将/usr/local/apache/bin设为开机启动的环境变量
启动服务:apachectl start|stop
配置:注意:主配置文件在/etc/http/httpd.conf 辅助配置文件在/etc/httpd/extra/下(1) 切换使用MPMLoadModulempm_NAME_module modules/mod_mpm_NAME.soNAME:prefork, event, worker
用httpd -M查看模块是否启用(2) 修改'Main'server的DocumentRoot①修改DocumentRoot ②显示授权编写Directory
(3) 基于IP的访问控制法则允许所有主机访问:Require all granted拒绝所有主机访问:Require all deny
控制特定IP访问:Require ip IPADDR:授权指定来源地址的主机访问Require not ip IPADDR:拒绝指定来源地址的主机访问
IPADDR:IP:172.16.100.2Network/mask:172.16.0.0/255.255.0.0Network/Length:172.16.0.0/16Net:172.16例:Require ip 192.168.1.110控制特定主机(HOSTNAME)访问Requirehost HOSTNAMERequirenot host HOSTNAME
HOSTNAME:FQDN: 特定主机DOMAIN:指定域内的所有主机例:Require host www.baidu.com
(4) 虚拟主机基于IP、Port和FQDN都支持;基于FQDN的需要注释'Main' Server即DocumentRoot,不再需要NameVirtualHost指令;vim /etc/httpd/httpd.conf开启这一项
(5) ssl启用模块:取消注释
编辑配置vim /etc/httpd/extra/httpd-ssl.conf
(6) 服务脚本①先复制一个之前用rpm包安装的/etc/rc.d/init.d/httpd文件例 scp root@192.168.1.110:/etc/rc.d/init.d/httpd/etc/rc.d/init.d/httpd②vim /etc/rc.d/init.d/httpd 修改这三项
③用chkconfig命令增加httpd服务;在chkconfig工具服务列表中增加此服务,此时服务会被在/etc/rc.d/rc#.d中赋予K/S入口了
④测试使用service httpd start
页:
[1]