其他分享
首页 > 其他分享> > httpd常用访问控制配置,常见request响应码以及MPM模型简介

httpd常用访问控制配置,常见request响应码以及MPM模型简介

作者:互联网

一、Centos7系统下实现httpd-2.2的安装,并分别实现prefork、worker、event等几种工作方式

  centos6中光盘的本地yum源默认httpd程序包是2.2版本的,而centos7中默认的httpd程序包2.4版本的,centos7要安装httpd-2.2就要下载好源码包和对应的依赖包进行编译安装,安装之前先简单讲解一下httpd的这三种处理模型,需要注意的是httpd-2.2的event事件驱动模型还只是测试使用功能并且不支持同时编译多个模块,每次只能选定一个模块。

其对应的配置文为:/etc/httpd/conf/httpd.conf


  prefork:多进程模型,每个进程响应一个请求

    一个主进程:负责生产子进程及回收子进程,负责创建套接字,负责接收请求,并将其派发给某子进程进行处理n个子进程:每个子进程处理一个请求

    工作模型:会预先生成几个空闲进程,随时等待用于响应用户请求,有最大空闲和最小空闲


  work:多进程多线程模型,每个线程处理一个用户请求

     一个主进程:负责生成子进程,负责创建套接字,负责接收请求,比将其派发给某子进程进行处理多个子进程:每个子进程负责生成多个线程,每个线程:负责响应用户请求

     并发响应数量:M*N

        M:子进程数量

        N:每个子进程所能创建的最大线程数量


  event:事件驱动模型,多进程模型,每个进程响应多个请求

     一个主进程:负责生成子进程,负责创建套接字,负责接收请求,比将其派发给某子进程进行处理

     子进程:基于事件驱动机制只想响应多个请求


     httpd-2.2:仍为测试使用模型

     httpd-2.4:event可在生产环境中使用


以下为编译安装httpd-2.2的步骤:

1.安装依赖环境组包

~]#yum install zlib-devel-y

~]#yum install expat-devel -y

~]# yum groupinstall "Development Tools" "ServerPlatform Development" -y

2.提前下载好httpd安装的依赖包apr/apr-util,并解压安装


~]# ls

apr-1.6.5.tar.gz  apr-util-1.6.1.tar.gz  httpd-2.2.32.tar.gz

~]# tar -zxvf apr-1.6.5.tar.gz

~]# tar -zxvf apr-util-1.6.1.tar.gz

~]# cd apr-1.6.5

apr-1.6.5]#./configure --prefix=/usr/local/apr-httpd/ --with-apr=/usr/local/apr-httpd/

apr-1.6.5]# make && make install

apr-1.6.5]#cd /root/apr-util-1.6.1

apr-util-1.6.1]# ./configure --prefix=/usr/local/apr-util-httpd/ --with-apr=/usr/local/apr-httpd/

apr-util-1.6.1]# make && make install


3.编译安装httpd-2.2


apr-util-1.6.5]# cd ~

~]# tar -zxvf httpd-2.2.32.tar.gz

~]# cd httpd-2.2.32

httpd-2.2.32]# ./configure --prefix=/usr/local/apache --sysconfdir=/etc/httpd/ --enable-so --enable-deflate --enable-headers --enable-rewrite --with-mpm=prefork --with-apr=/usr/local/apr-httpd/ --with-apr-util=/usr/local/apr-util-httpd/ --with-included-apr

httpd-2.2.32] make && make install


4.启动httpd,并查看80端口是否监听


apache]# /usr/local/apache/bin/httpd -k start

apache]# ss -tnl  | grep 80

LISTEN     0      128         :::80                      :::*                  



httpd2.2默认是prefork方式下工作的,要在几个工作方式中切换,则需要修改etc/sysconfig/httpd下对应的配置,并重启服务即可。


~]# vim /etc/sysconfig/httpd

#HTTPD=/usr/sbin/httpd.worker

HTTPD=/usr/sbin/httpd.event     #将该选项切换到对应模式,重启服务即可







二、简述request报文请求方法和状态响应码


 http请求报文:http request

           http响应报文:http response

              一次http事务:请求<-->响应

      http事务:

         请求:request

         响应:response



         报文语法格式:

            request报文

               <method><request-URL><version>

                  <HEADERS>


                  <enter-body>



            response报文

               <version><status><reason-phrsse>

                  <HEADERS>


                  <enter-body>



           method:请求方法,标明客户端希望服务器对资源进行的动作

              GET,HEAD,POST,PUT(DAV),DELETE,TRACE,OPTIONS

           version:

              HTTP/<major><minor>

           status:

              三位数字:如200,301,302,404,502;标记请求处理过程中发生的情况

           reason-phrase:

              状态码所标记的状态的简要描述

           headers:

              每个请求或响应报文可包含任意个首部,每个首部都有首部名称,后面各一个冒号,而后跟上一个可选空格,接着是一个值

           enter-body:

              请求时附加的数据或响应时附加的数据



        method(方法):            

           GET:从服务器获取一个资源

           HEAD:只从服务器获取文档的响应首部

           POST:向服务器发动要处理的数据

           PUT:将请求的主体部分存储在服务器上

           DELETE:请求删除服务器上指定的文档

           TRACE:追踪请求到达服务器中间经过的代理服务器

           OPTIONS:请求服务器返回对指定资源支持使用的请求方法


           协议查看或分析工具:

              tcpdump, tshark, wireshark



        status(状态码):

           1xx:100-101,信息提示

           2xx:200-206,成功

           3xx:300-305,重定向

           4xx:400-415,错误类信息,客户端错误

           5xx:500-505,错误类信息,服务器端错误


           常用状态码:

              200:成功,请求的所有数据通过响应报文的enter-body部分发送;OK

              301:请求的URL指向的资源已经被删除,但在响应报文中通过首部Location指明了资源现在所处的新位置;Moved Permanently

              302:与301相似,但在响应报文中通过Location指明资源现状所处临时新位置;Found

              304:客户端发出了条件式请求,但服务器上的资源未曾发生改变,则通过响应此响应状态码通知客户端;Not Modified

              401:需要输入账号和密码认证方式方能访问资源;Unauthorized

              403:请求被禁止;Forbidden

              404:服务器无法找到客户端请求的资源;Not Found

              500:服务器内部错误;Internal Server Error

              502:代理服务器从后端服务器收到了一条伪响应;Bad Gateway



三、详细描述httpd虚拟主机、站点访问控制、基于用户的访问控制、持久链接等应用配置实例


httpd基于虚拟主机:


虚拟主机


   站点标识:socket

     IP相同,但端口不同

     IP不同,但端口均为默认端口

     FQDN不同:

       请求报文首部

       Host:www.listen.com



   有三种实现方案:

     基于IP:

       为每个虚拟主机准备至少一个IP地址


    基于port:

       为每个虚拟主机使用至少一个独立的port


    基于FQDN:

       为每个虚拟主机使用至少一个FQDN


    注意:一般虚拟主机不要与中心主机混用,因此,要使用虚拟主机,得先禁用“main”主机

       禁用方法:注释中心主机的DocumentRoot指令即可



    虚拟主机的配置方法:

       <VirtualHost IP:PORT>

          ServerName FQDN

          DocumentRoot ""

       </VirtualHost>


    其他可用指令:

       ServerAlias:虚拟主机的别名,可多次使用

       ErrorLog:错误日志

       CustomLog:访问日志

          <Directory "">

              ....

          </Directory>

          Alias

             ......



    基于IP的虚拟主机示例:

       <VirtualHost 192.168.73.137:80>

          ServerName www.ilinux.com

          DocumentRoot "/var/www/ilinux"

          <Directory "/var/www/ilinux/">

            Options None

            Allowoverride None

            Require all granted

          </Directory>

          Customlog "logs/ilinux_access.log"   combined

        </VirtualHost>



        <VirtualHost 192.168.73.138:80>

           ServerName www.iunix.com

           DocumentRoot "/var/www/iunix"

           <Directory "/var/www/iunix/">

             Options None

             Allowoverride None

             Require all granted

           </Directory>

           Customlog "logs/iunix_access.log"   combined

        </VirtualHost>

             


    基于端口的虚拟主机:

        <VirtualHost 192.168.73.137:80>

           ServerName www.ilinux.com

           DocumentRoot "/var/www/ilinux"

           <Directory "/var/www/ilinux/">

              Options None

              Allowoverride None

              Require all granted

           </Directory>

           Customlog "logs/ilinux_access.log"   combined

        </VirtualHost>



        <VirtualHost 192.168.73.137:8080>

           ServerName www.iunix.com

           DocumentRoot "/var/www/iunix"

           <Directory "/var/www/iunix/">

              Options None

              Allowoverride None

              Require all granted

           </Directory>

           Customlog "logs/iunix_access.log"   combined

        </VirtualHost>   



    基于FQDN的虚拟主机:

        <VirtualHost 192.168.73.137:80>

           ServerName www.ilinux.com

           DocumentRoot "/var/www/ilinux"

           <Directory "/var/www/ilinux/">

             Options None

             Allowoverride None

             Require all granted

           </Directory>

           Customlog "logs/ilinux_access.log"   combined

       </VirtualHost>



       <VirtualHost 192.168.73.137:80>

          ServerName www.iunix.com

          DocumentRoot "/var/www/iunix"

          <Directory "/var/www/iunix/">

             Options None

             Allowoverride None

             Require all granted

          </Directory>

          Customlog "logs/iunix_access.log"   combined

      </VirtualHost>  



     注意:如果是httpd-2.2,则使用基于FQDN的虚拟主机时,需要事先使用如下指令:

        NameVirtualHost IP:PORT




站点访问控制常见机制

  可基于两种机制指明对哪些资源进行何种访问控制


    文件系统路径:

       <Directory "">

          ...

       </Directory>


       <File "">

          ....

       </File>

                  

       <FileMatch "">

          .....

       </FileMatch>



    URL路径:

      <Location "">

         ....

      </Location>


      <LocationMatch "">

         ....

      </LocationMatch>



      <Directory>中“基于源地址”实现访问控制



    httpd-2.2

      (1)AllowOverride

         与访问控制相关的那些指令可以放在.htaccess文件(每个目录下都可以有一个)中

            ALL

            None


      (2)order和allow、deny

          order:定义生效次序,写在后面的表示默认法则


          Allow from,Deny from

            来源地址:

              IP

              NetAddr:

                192.168

                192.168.0.0

                192.168.0.0/24

                192.168.0.0/255.255.255.0



    httpd-2.4

       基于IP控制:

          Require ip IP地址或网络地址

          Require not ip IP地址或网络地址


       基于主机名控制

          Require host 主机名或域名

          Require not host 主机名或域名




    控制页面资源允许所以来源的主机可访问:

       httpd-2.2

         <Directory "">

            ...

           Order allow,deny

           Allow from all

         </Directory>


       httpd-2.4

         <Directory "">

            ...

            Require all granted

         </Directory>



    控制页面资源拒绝所有来源的主机可访问:

       httpd-2.2

          <Directory "">

             ...

            Order allow,deny

             Deny from all

          </Directory>



       httpd-2.4

           <Directory "">

              ...

              Require all denied

           </Directory>



       Options

         后跟1个或多个空白字符分隔的“选项”列表

            Indexes:指明的URL路径下不存在与定义的主页面资源相符的资源文件时,返回索引列表给用户

            FollowSymLinks:允许跟踪符号链接文件所指向的源文件

            None

            All:All options except for MultiViews.










基于用户的访问控制


   认证质询:

     WWW-Authenticate:响应码为401,拒绝客户端请求,并说明要求客户端提供账号和密码


   认证:

     Authorization:客户端用户填入账号和密码后再次发动请求报文,认证通过时,则服务器发送响应的资源


       认证的方式有两种:

         basic:明文

         digest:消息摘要认证


   安全域:需要用户认证后方能访问的路径,应该通过名称对其进行标识,以便于告知用户认证的原因


       用户的账号和密码存放于何处?

          虚拟账号:仅能用于访问某服务时用到的认证标识


          存储:

            文本文件

            SQL数据库

            ldap目录存储


       basic认证配置示例:

         (1)定义安全域

            <Directory "">

              Options None

              AllowOverride None

              AuthType basic

              AuthName "提示的说明"

              AuthUserFile "/PATH/TO/HTTPD_USER_PASSWD_FILE"

              Require user username1 username2 ...

            </Directory>


            允许账号文件中的所有用户登录访问: 

              Require valid-user



         (2)提供账号和密码存储(文本文件)

            使用专用命令完成此类文件的创建及用户管理

               htpasswd [options] /PATH/TO/HTTPD_PASSWD_FILE username

                  -c:自动创建此处指定的文件,因此,仅应该在此文件不存在时使用

                  -m:MD5格式加密

                  -s:sha格式加密

                  -D:删除指定用户

                  -b:批模式添加用户

                      htpasswd -b [options] /PATH/TO/HTTPD_PASSWD_FILE username password


          另外:基于组账号进行认证

            (1)定义安全域

                <Directory "">

                  Options None

                  AllowOverride None

                  AuthType basic

                  AuthName "提示的说明"

                  AuthUserFile "/PATH/TO/HTTPD_USER_PASSWD_FILE"

                  AuthGroupFile "/PATH/TO/HTTPD_USER_GROUPE_FILE"

                  Require group grpname1 grpname2 ...

                </Directory> 


             (2)创建用户账号和组账号文件

                组文件:每一行定义一个组

                   GRP_NAME:username1 username2 ...  



持久连接

   Persistent Connection:tcp连接建立后,每个资源获取完成后不全断开连街,而是继续等待其他资源请求的进行

     如何断开?

       数量限制

       时间限制


       副作用:对并发访问量较大的服务器,长连接机制会使得后续某些请求无法得到正常响应

       折中:使用较短的持久连接时长,以及较少的请求数量



     KeepAlive ON|OFF

     KeepAliveTimeout 15

     MaxKeepAliveRequests 100


   测试:

     telnet WEB_SERVER_IP PORT

     GET /URL HTTP/1.1

     Host:WEB_SERVER_IP


  注意:httpd-2.4的KeepAliveTimeout可以是毫秒级的


标签:httpd,None,请求,apr,Require,MPM,request,2.2
来源: https://blog.51cto.com/12068974/2361093