|
一、tcp/ip协议
TCP标志位,有6种标示:SYN(synchronous建立联机) ,ACK(acknowledgement 确认) ,PSH(push传送),FIN(finish结束) ,RST(reset重置), URG(urgent紧急) Sequence number(顺序号码) ,Acknowledge number(确认号码),在上面我们已经详细说明!下图是工作原理图:
三次握手: 第一次握手:建立连接时,主机A发送SYN包(syn=m)到服务器,并进入SYN_SEND状态,等待主机B确认 第二次握手:主机B收到SYN包,必须确认主机A的SYN(ACK=m+1),同时自己也发送一个SYN包(SYN=n),即SYN+ACK包,此时主机B进入SYN_RECV状态 第三次握手:主机A收到主机B的SYN+ACK包,向主机B发送确认包ACK(ACK=n+1),此包发送完毕,主机A和主机B进入ESTABLISHED状态,完成三次握手 四次断开: 当主机A完成数据传输后,将控制位FIN置1,提出停止TCP连接的请求 主机B收到FIN后对其作出响应,确认这一方向上的TCP连接将关闭,将ACK置1 由主机B端再提出反方向的关闭请求,将FIN置1 主机A对主机B的请求进行确认,将ACK置1,双方向的关闭结束 二、http请求模型和工作模式
上图是http的请求模式,http的工作模式有三种:prefork、worker、event,下面介绍prefork和worker的工作模式,prefork模式使用多个子进程,每个子进程只有一个线程。每个进程在某个确定的时间只能维持一个连接。在大多数平台上,Prefork MPM在效率上要比Worker MPM要高,但是内存使用大得多。prefork的无线程设计在某些情况下将比worker更有优势:它可以使用那些没有处理好线程安全的第三方模块,并且对于那些线程调试困难的平台而言,它也更容易调试一些。perfork模式原理图:
worker模式使用多个子进程,每个子进程有多个线程。每个线程在某个确定的时间只能维持一个连接。通常来说,在一个高流量的HTTP服务器 上,Worker MPM是个比较好的选择,因为Worker MPM的内存使用比Prefork MPM要低得多。但worker MPM也由不完善的地方,如果一个线程崩溃,整个进程就会连同其所有线程一起”死掉”.由于线程共享内存空间,所以一个程序在运行时必须被系统识别为”每 个线程都是安全的”。下面是worker的工作原理图:
总的来说,prefork方式速度要稍高于worker,然而它需要的cpu和memory资源也稍多于woker。 查看现使用的工作模式: apachectl -l
三、http报文首部组成 http报文首部包括:包括请求首部和响应首部 一般都包括:起始行,首部:可以有多个,主体 request首部:
起始行:请求方法 请求资源的路径 使用http的版本 首部:可以有多个 请求的主体部分: response首部:
起始行协议版本号 状态码 原因短语 首部:可以有多个 请求的主体部分:
[Shell] 纯文本查看 复制代码
[iyunv@stu2~]# telnet 172.16.0.1 80
Trying172.16.0.1...
Connectedto 172.16.0.1.
Escapecharacter is '^]'.
#下面是请求首部
GET/centos6.repo http/1.1
Host:172.16.0.1
#下面是响应首部部分
HTTP/1.1200 OK
Date:Sat, 24 Aug 2013 03:06:48 GMT
Server:Apache/2.2.15 (CentOS)
Last-Modified:Sat, 17 Aug 2013 10:06:13 GMT
ETag:"20de6-12d-4e421db6ce2c1"
Accept-Ranges:bytes
Content-Length:301
Connection:close
Content-Type:text/plain; charset=UTF-8
#下面是响应主体部分
[base]
name=CentOS$releasever $basearch on local server 172.10.0.1
baseurl=http://172.16.0.1/cobbler/ks_mirror/centos-6.4-$basearch/
gpgcheck=0
[epel]
name=FedoraEPEL for CentOS$releasever $basearch on local server 172.16.0.1
baseurl=http://172.16.0.1/fedora-epel/$releasever/$basearch/
gpgcheck=0
Connectionclosed by foreign host.
web服务器软件httpd
[iyunv@stu2~]# rpm -ql httpd #查看安装httpd软件包生成的列表
#下面是几个比较重要的
/etc/httpd#运行目录
/etc/httpd/conf/httpd.conf#主配置文件
/etc/httpd/conf.d/*.conf#扩展配置文件
/etc/rc.d/init.d/httpd#服务脚本
/var/www/cgi-bin# CGI脚本路径
/var/www/html#网页文件目录
启动httpd服务提供主页面进行验证:
[iyunv@stu2~]# service httpd restart
Stoppinghttpd: [ OK ]
Startinghttpd: [ OK ]
提供默认主页面:index.html
#cd/var/www/html
#vimindex.html
Test Page
[b]Helloworld[/b]
[b]Studyhard[/b]
[size=1em][backcolor=white !important][size=1em]
|
四、详解httpd的工作属性: 在主配置文件/etc/httpd/conf/httpd.conf中配置文件的构成: [backcolor=white !important][Shell] 纯文本查看 复制代码
[iyunv@stu2conf]# grep "Section" httpd.conf
###Section 1: Global Environment #全局配置:对主服务器或虚拟机都有效,且有些功能是服务器自身工作属性;
###Section 2: 'Main' server configuration #对主服务器的配置
###Section 3: Virtual Hosts #对虚拟主机及属性定义 [size=1em][backcolor=white !important][size=1em]
|
需要注意的是:指令不区分字符大小写,但约定俗成的习惯:单词的首字母使用大写;指令的值很有可能区分大小写;有些指令可以重使用多次; 而且要特别注意的是主服务器和虚拟主机不能同时启用 配置文件语法测试: #service httpd configtest或者# httpd –t 大多数配置修改后,使用service httpd reload即能生效;而修改监听的地址和端口通常需要重启服务 1.配置监听的地址和端口 Listen[IP:]PORT 可以是http监听在不同的端口修改配置文件 Listen 80 #默认监听的端口 Listen172.16.2.1:8080 #新添加的监听的地址和端口
2、配置所选用的MPM的属性
[Shell] 纯文本查看 复制代码
[iyunv@stu2conf]# httpd –l #查看核心模块
Compiledin modules:
core.c
prefork.c
http_core.c
mod_so.c
[iyunv@stu2conf]# httpd -t -D DUMP_MODULES #查看扩展模块,只列了一小部分
LoadedModules:
core_module (static)
mpm_prefork_module (static)
http_module (static)
so_module (static)
要想配置使用编译进不同MPM的httpd,编辑/etc/sysconfig/httpd配置文件,定义如下行:
[iyunv@stu2conf]# vim /etc/sysconfig/httpd
#HTTPD=/usr/sbin/httpd.worker#将其改为启动项
[iyunv@stu2conf]# service httpd restart
Stoppinghttpd: [ OK ]
Startinghttpd: [ OK ]
[iyunv@stu2conf]# ps aux | grep httpd
root 3361 0.0 0.3 184360 4036 ? Ss 13:41 0:00 /usr/sbin/httpd.worker
apache 3364 0.0 0.5 528620 5332 ? Sl 13:41 0:00 /usr/sbin/httpd.worker
apache 3368 0.0 0.5 528620 5340 ? Sl 13:41 0:00/usr/sbin/httpd.worker
apache 3369 0.0 0.5 528620 5332 ? Sl 13:41 0:00 /usr/sbin/httpd.worker
root 3478 0.0 0.0 103244 832 pts/0 S+ 13:41 0:00 grep httpd [size=1em][backcolor=white !important][size=1em]
|
3、配置服务器支持keep-alived
在配置文件/etc/httpd/conf/httpd.conf中将 KeepAliveOff改为KeepAlive On KeepAliveTimeout15#定义保持连接的超时时间 MaxKeepAliveRequests100 #保持连接时的最大请求资源数量 4、配置站点根目录 [backcolor=white !important][Shell] 纯文本查看 复制代码
#mkdir–pv /website/htdocs
#cd/website/htdocs
#touchtest.txt
编辑test.txt在里面写上test page然后修改配置文件
DocumentRoot"/website/htdocs"
#httpd–t
#servicehttpd restart [size=1em][backcolor=white !important][size=1em]
|
5、配置页面文件访问属性
[backcolor=white !important][Shell] 纯文本查看 复制代码
Options Indexes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
Indexes: 是否允许索引页面文件,建议关闭;
FollowSynLinks: 是否跟随软链接文件;
ExecCGI:是否允许执行CGI脚本[size=1em][backcolor=white !important][size=1em]
|
6、访问控制 基于客户端访 Order: 定义allow和deny哪个为默认法则;写在后面的为默认法则:写在前面的指令没有显式定义的即受后面的指令控制 Order allow,deny Deny from 172.16.100.177 Allowfrom 172.16.0.0/16表示允许172.16.0.0/16这个网段客户访问,但不允许172.16.100.177这个主机访问 7、定义默认主页面: DirectoryIndex index.php index.jsp index.html 8、路径别名 当前的根文件路径 DocumentRoot"/web/htdocs" 假如我们访问的路径为http://www.magedu.com/images/logo.gif 就相当于访问的路径为/web/htdocs/images/logo.gif,现在我们可以为images设置一个路径别名,这个别名可以完全不在/web/htdocs目录下,假如为/www/static则我们访问的资源相当于/www/static/logo.gif #mkdir–pv /website/htdocs/images #cd/website/htdocs/images/ #vimindex.html添加上/website/htdocs/images/index.html
然后修改配置文件在定义路径别名的区段添加上一行 Alias/images/ "/www/static/" 重新加载后进行访问:
9.脚本别名 在主配置文件中找到定义脚本别名的区域添加一行 ScriptAlias/cgi-bin/ "/website/cgi-bin/" [backcolor=white !important][Shell] 纯文本查看 复制代码
#mkdir–pv /website/cgi-bin/
#vim/website/cgi-bin/test.sh
#!/bin/bash
cat<< EOF
Content-Type:text/html
Thehostname is:`/bin/hostname`
Thetime is:`date`
EOF
#chmod+x /website/cgi-bin/test.sh
#bash–n /website/cgi-bin/test.sh [size=1em][backcolor=white !important][size=1em]
|
重新加载后进行访问
10、基于用户访问控制 首先建立用户帐号文件 htpasswd -c-m /path/to/password_file USERNAME 第一次添加用户需要使用-c选项,以后在创建用户密码不需要在加-c选项,否则会覆盖之前创建的用户 [backcolor=white !important][Shell] 纯文本查看 复制代码
#touch/etc/httpd/conf/.htpass
[iyunv@stu2~]# cat /etc/httpd/conf/.htpass
hailian:$apr1$3zZsobQO$VjmRke86PTKV1158/uStl/
centos:$apr1$Zye7Kzwy$hZNFUgPBBPNI4lm08bzsZ.
gentoo:$apr1$lFHVwghN$fyL5YpBJbFtdhzprJ/gn61
DocumentRoot"/website/htdocs/"
Options Indexes
AuthType Basic
AllowOverride AuthConfig
AuthName "Only for employee"
AuthUserFile /etc/httpd/conf/.htpass
Require valid-user
[size=1em][backcolor=white !important][size=1em]
|
11、虚拟主机 注意的是虚拟主机和主服务器不能同时使用:关闭主服务器,注释主服务器的DocumentRoot即可; 启用NameVirtualHost 172.16.2.1:80 监听的端口添加一行Listen 8080 基于端口号的虚拟主机 基于ip的虚拟主机 基于主机名的虚拟主机
[backcolor=white !important][Shell] 纯文本查看 复制代码
配置:
ServerName [url]www.a.com[/url]
DocumentRoot "/web/host1"
CustomLog"/var/log/httpd/host1_access_log" combined
ServerName [url]www.b.org[/url]
DocumentRoot "/web/host2"
CustomLog"/var/log/httpd/host2_access_log" combined
Options None
AllowOverride AuthConfig
AuthName "Host2 is private."
AuthType Basic
AuthUserFile /etc/httpd/conf/.htpass
Require valid-user
ServerName [url]www.c.net[/url]
DocumentRoot "/web/host3"
CustomLog "/var/log/httpd/host3_access_log"combined
ServerName [url]www.d.gov[/url]
DocumentRoot "/web/host4"
CustomLog"/var/log/httpd/host4_access_log" common
[size=1em][backcolor=white !important][size=1em]
|
12、httpd status 确保这个模块LoadModule status_module modules/mod_status.so是装载的,以为status这个功能是依赖于此模块的 #定义了访问status的URL路径,可以修改 SetHandlerserver-status#表示启动处理器,其名称是不能修改
当然也可以将ExtendedStatus On开启,可以看到更为详细的服务器状态,没有需要时建议关闭 服务器的这些状态信息一般是不允许任何人随意查看的,因此可以定义其访问控制机制,默认是基于Ip的,也可以基于用户的,操作如下
[backcolor=white !important][Shell] 纯文本查看 复制代码
SetHandler server-status
# AllowOverride AuthConfig #若不启动基于ip的这项不需要
AuthName "Status"
AuthType Basic
AuthUserFile/etc/httpd/conf/.statuspass
Require valid-user
# Order deny,allow
# Deny from all
# Allow from .example.com[size=1em][backcolor=white !important][size=1em]
|
然后创建用户
[Shell] 纯文本查看 复制代码
[iyunv@stu2conf]# touch .statuspass
[iyunv@stu2conf]# htpasswd -c -m .statuspass status
Newpassword:
Re-type newpassword:
Addingpassword for user status
13.https的创建
要想基于ssl回话,则需要装载一个ssl模块叫mod_ssl
[iyunv@stu2conf]# yum install mod_ssl
[iyunv@stu2conf]# rpm -ql mod_ssl
/etc/httpd/conf.d/ssl.conf#ssl.conf中定义了装载的模块,监听的端口,定义的默认虚拟主机等相关信息,是被我们的主配置文件所装载的
/usr/lib64/httpd/modules/mod_ssl.so#装载的mod_ssl.so模块
#下面是为ssl回话提供缓存机制的
/var/cache/mod_ssl
/var/cache/mod_ssl/scache.dir
/var/cache/mod_ssl/scache.pag
/var/cache/mod_ssl/scache.sem
[iyunv@stu2conf]# ls -l /etc/httpd/
total 8
drwxr-xr-x.2 root root 4096 Aug 24 04:07 conf
drwxr-xr-x.2 root root 4096 Aug 24 04:08 conf.d
lrwxrwxrwx.1 root root 19 Aug 10 08:38 logs ->../../var/log/httpd
lrwxrwxrwx.1 root root 29 Aug 10 08:38 modules-> ../../usr/lib64/httpd/modules
lrwxrwxrwx.1 root root 19 Aug 10 08:38 run ->../../var/run/httpd
自建CA
[iyunv@stu2CA]# cd private/
[iyunv@stu2private]# (umask 077;openssl genrsa -out cakey.pem 2048)
GeneratingRSA private key, 2048 bit long modulus
...................+++
......+++
e is 65537(0x10001)
[iyunv@stu2private]# cd ..
[iyunv@stu2CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3656
You areabout to be asked to enter information that will be incorporated
into yourcertificate request.
What youare about to enter is what is called a Distinguished Name or a DN.
There arequite a few fields but you can leave some blank
For somefields there will be a default value,
If youenter '.', the field will be left blank.
-----
CountryName (2 letter code) [XX]:CN
State orProvince Name (full name) []:henan
LocalityName (eg, city) [Default City]:zhengzhou
OrganizationName (eg, company) [Default Company Ltd]:apachessl
OrganizationalUnit Name (eg, section) []:tech
Common Name(eg, your name or your server's hostname) []:[url]www.magedu.com[/url]
EmailAddress []:
[iyunv@stu2CA]# ls
cacert.pem certs crl newcerts private
[iyunv@stu2CA]# touch serial index.txt
[iyunv@stu2CA]# echo 01 > serial
[iyunv@stu2CA]# ls
cacert.pem certs crl index.txt newcerts private serial
[iyunv@stu2 ssl]# (umask 077;openssl genrsa-out httpd.key 2048)
GeneratingRSA private key, 2048 bit long modulus
..........+++
.......................+++
eis 65537 (0x10001)
[iyunv@stu2ssl]# openssl req -new -key httpd.key -out httpd.csr -days 3656
Youare about to be asked to enter information that will be incorporated
intoyour certificate request.
Whatyou are about to enter is what is called a Distinguished Name or a DN.
Thereare quite a few fields but you can leave some blank
Forsome fields there will be a default value,
Ifyou enter '.', the field will be left blank.
-----
CountryName (2 letter code) [XX]:CN
Stateor Province Name (full name) []:henan
LocalityName (eg, city) [Default City]:zhengzhou
OrganizationName (eg, company) [Default Company Ltd]:apachessl
OrganizationalUnit Name (eg, section) []:tech
CommonName (eg, your name or your server's hostname) []:[url]www.hailian.com[/url]
EmailAddress []:
Pleaseenter the following 'extra' attributes
tobe sent with your certificate request
Achallenge password []:
Anoptional company name []:
[iyunv@stu2ssl]# ls
httpd.csr httpd.key
[iyunv@stu2ssl]# openssl ca -in httpd.csr -out httpd.crt -days 3656
Usingconfiguration from /etc/pki/tls/openssl.cnf
Checkthat the request matches the signature
Signatureok
CertificateDetails:
Serial Number: 2 (0x2)
Validity
Not Before: Aug 23 20:54:06 2013GMT
Not After : Aug 27 20:54:06 2023 GMT
Subject:
countryName = CN
stateOrProvinceName = henan
organizationName = apachessl
organizationalUnitName = tech
commonName = [url]www.hailian.com[/url]
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
42:E4:0D:53:42:1C:E4:B3:9E:DE:87:4D:D7:46:D8:C3:EB:6B:32:4E
X509v3 Authority Key Identifier:
keyid:C7:08:F5:87:6E:E3:7E:AA:21:6F:0A:C2:42:07:3B:18:7A:B7:5F:55
Certificateis to be certified until Aug 27 20:54:06 2023 GMT (3656 days)
Signthe certificate? [y/n]:y
1out of 1 certificate requests certified, commit? [y/n]y
Writeout database with 1 new entries
DataBase Updated
修改ssl.conf配置文件
DocumentRoot"/web/host1"
ServerNamewww.hailian.com
SSLCertificateFile/etc/httpd/conf/ssl/httpd.crt
SSLCertificateKeyFile/etc/httpd/conf/ssl/httpd.key
修改httpd.conf文件
ServerName [url]www.hailian.com[/url]
DocumentRoot "/web/host1"
CustomLog"/var/log/httpd/host1_access_log" combined
[iyunv@stu2conf]# openssl s_client -connect [url]www.hailian.com:443[/url] -CAfile/etc/pki/CA/cacet.pem #测试命令
#下面是结果的一部分
SSL-Session:
Protocol : TLSv1
Cipher : DHE-RSA-AES256-SHA
Session-ID:F268D4B1566E7CE699A92A5C41896CADFB080D74FEB692F9C02F7D251CC8280F
Session-ID-ctx:
Master-Key:18C80412E148C25FC046F7592EE137A71156059E97F1238442ADCBC39D413B8A47EBCF4DBEBBD6075FF471149E129129
| 
QQ群⑧:
窥视卡
雷达卡
发表于 2013-8-26 08:56:32
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡