1、【项目描述】公司为方便对外和对内发布信息,需要一台WWW服务器。WWW服务器的域名为,能够实现基本信息浏览,虚拟主机、个人主页、虚拟目录、权限控制、身份认证等功能。本项目中我们来完成WWW服务器的配置与管理任务。【学习目标】(1)了解WWW服务器在网络中的作用。(2)掌握WWW服务器的安装过程。(3)掌握各种WWW服务器功能的配置。(4)掌握Web网站和虚拟主机的配置。预备知识 认识WWW服务器1.WWW服务WWW(World Wide Web,简称Web)服务是一种建立在超文本基础上的浏览、查询因特网信息的方式,它以交互方式查询并且访问存放于远程计算机的信息,为多种因特网浏览与检索访问提供一
2、个单独一致的访问机制。Web页面将文本、超媒体、图形和声音结合在一起。因特网给企业带来通信与获取信息资源的便利条件。WWW服务采用客户机/服务器结构,整理和存储各种WWW资源,并响应客户端软件的请求,把所需的信息资源通过浏览器传送给用户。1.WWW服务WWW服务所用到的协议有超文本传输协议(Hypertext Transfer Protocol,HTTP)与超文本标记语言(Hypertext Markup language,HTML)。其中,HTTP是WWW服务使用的应用层协议,用于实现WWW客户机与WWW服务器之间的通信;HTML语言是WWW服务的信息组织形式,用于定义在WWW服务器中存储的
3、信息格式。2.HTTP协议HTTP(Hyper Text Transfer Protocol)超文本传输协议,是用于从WWW服务器传输超文本到本地浏览器的传送协议。HTTP是一个应用层的面向对象的协议,由于其简捷、快速的方式,适用于分布式超媒体信息系统。它于1990年提出,经过几年的使用与发展,得到不断地完善和扩展。目前在WWW中使用的是HTTP 1.1,而且HTTP-NG(Next Generation of HTTP)的建议已经提出。2.HTTP协议HTTP协议采用客户端/服务端架构。浏览器作为HTTP客户端通过URL向HTTP服务端即Web服务器发送所有请求。Web服务器接收到请求后,向
4、客户端发送响应信息。如今的Web服务可以分为两种:静态Web服务和动态Web服务。其中动态Web服务更为流行。动态Web服务需要后台数据库服务器的支持。2.HTTP协议我们以访问http:/网站为例,其使用HTTP协议的工作流程如图所示。任务一 安装Apache服务器任务提出要想使WWW服务器顺利运行,首先需要安装好所需要的软件包。本次任务主要安装WWW服务器所需要的软件包Apache。任务分析开放源代码的Apache(阿帕奇)是一个Web服务器软件,起初是由伊利诺伊大学香槟分校的国家超级计算机应用中心(NCSA)开发的,此后,Apache被开放源代码团体的成员不断地发展和加强。Apache服
5、务器拥有牢靠、可信的美誉,可以在大多数计算机操作系统中运行,由于其多平台和安全性的特点被广泛使用,是最流行的Web服务器软件之一。任务分析Apache支持众多功能,这些功能绝大部分都是通过编译模块实现的。这些特性包括从服务器端的编程语言支持到身份认证方案。一些通用的语言接口支持perl、python和PHP,流行的认证模块包括mod_access、rood_auth和rood_digest,还有SSL和TLS支持(mod_ssl)、代理服务器(proxy)模块、很有用的URL重写(rood_rewrite)、定制日志文件(mod_log_config),以及过滤支持(mod_include和m
6、od_ext_filter)。RHEL7.3中的Apache主程序软件包是httpd-2.4.6-45.el7.x86_64.rpm,我们需要安装此软件包。任务实施查看系统中是否已经安装APACHE软件包如果主程序包没有安装,则需要安装主程序包。任务实施安装主程序包步骤1 挂载光盘。步骤2 使用YUM安装软件包。任务总结本次任务主要完成了WWW服务器软件的安装。由于使用了YUM工具,在安装过程中所依赖的软件包都会自动安装,使我们的安装过程轻松了很多。同步训练检查当前系统中是否安装了Apache的软件包,如果没有,请安装此软件包。任务二 配置基本WWW服务器任务提出公司部门内部搭建一台Web服务
7、器,采用的IP地址和端口为192.168.1.100:80,首页采用index.html文件。管理员E-mail地址为,网页的编码类型采用UTF-8,所有网站资源都存放在/var/www/html目录下,并将Apache的根目录设置为/etc/httpd目录。任务分析Apache服务器的配置文件为/etc/httpd/conf/httpd.conf。常用的配置选项有:(1)ServerRoot:配置服务器的配置文件、日志文件的目录。(2)Listen:配置监听端口。(3)ServerAdmin:配置管理员邮件地址。(4)ServerName:配置WWW服务器名。(5)DocumentRoot:
8、配置网站文件根目录。(6)AddDefaultCharset:配置默认字符编码。(7)DirectoryIndex:配置默认主页文件名。任务实施步骤1 修改配置文件/etc/httpd/conf/httpd.conf。任务实施步骤2 启动服务。步骤3 测试。任务实施开启一台Windows客户机,保证能与WWW服务器网络连通。打开浏览器访问WWW服务器的Web网站,可以看到主页的测试内容,任务总结在此任务中,我们配置Web服务器使其可以提供最基本的信息浏览服务。这是实现Web服务器其他功能的基础,因此必须配置正确无误。同步训练公司部门内部搭建一台Web服务器,采用的IP地址和端口为192.168
9、.0.100:80,首页采用index.htm文件。管理员E-mail地址为,网页的编码类型采用GB2312,所有网站资源都存放在/var/html目录下,并将Apache的根目录设置为/etc/httpd目录。请配置Apache服务器实现上述功能,并进行测试。任务三 配置虚拟主机任务提出公司申请了两个域名:和,需要建立两个不同的Web网站。出于对资金预算的考虑,需要将这两个网站放在同一台硬件服务器上运行。请配置虚拟主机,实现在同一个服务器平台上运行多个Web站点的功能。任务分析虚拟主机所谓“虚拟主机”,是指在一个操作系统平台上搭建多个Web站点,每个web站点独立运行互不干扰。对于访问量不大
10、的站点来说,这样做可以降低单个站点的运营成本。虚拟主机可以是基于IP地址、主机名或端口号的。基于IP地址的虚拟主机需要计算机上配有多个IP地址,并为每个Web站点分配一个唯一的IP地址。基于主机名的虚拟主机要求拥有多个主机名,并且为每个Web站点分配一个主机名。基于端口号的虚拟主机,要求不同的Web站点通过不同的端口号监听,这些端口号只要系统不用就可以。任务分析RHEL7虚拟主机配置问题在RHEL6中Apache配置文件非常庞大,几乎所有的配置内容都放在httpd.conf文件中。在RHEL7中将配置文件又分出了若干个子文件,放在/etc/httpd/conf.d目录中,而在主配置文件http
11、d.conf文件的末尾用“IncludeOptional conf.d/*.conf”将所有的子配置文件包含进来。因此,我们的虚拟主机配置可以单独写在一个子配置文件中,并将其放在/etc/httpd/conf.d目录中。任务分析RHEL7虚拟主机配置问题虚拟主机的基本配置内容如下:#虚拟主机容器的起始 DocumentRoot#网站资源的根目录 ServerName#主机名,此项必须有,也是区分不同虚拟主机的关键 ServerAdmin#管理员邮件地址 ErrorLog#错误日志 CustomLog#访问日志#虚拟主机容器的结束一个容器对应一个虚拟主机,如果有多个虚拟主机,就使用多个容器,将相
12、应的虚拟主机的内容写进容器中。任务实施步骤1 配置DNS服务器,使其能解析域名和。任务实施步骤1 配置DNS服务器,使其能解析域名和。任务实施步骤2 进入/etc/httpd/conf.d目录,创建vhost.conf文件作为虚拟主机的配置文件。任务实施步骤3 重启服务。任务实施步骤4 测试服务。(1)根据虚拟主机配置文件,在/var/www目录下创建zzrvtc目录,并在/var/www/zzrvtc目录中创建主页文件index.html,文件中写入“This is zzrvtcs home page.”作为测试内容。任务实施步骤4 测试服务。(2)在/var/www目录下创建abc目录,并
13、在/var/www/abc目录中创建主页文件index.html,文件中写入“This is abcs home page.”作为测试内容。任务实施步骤4 测试服务。(3)在客户端测试。在Windows中打开浏览器使用域名访问两个虚拟主机,可以看到不同虚拟主机的主页内容。任务总结本次任务中,我们配置了Web服务器的虚拟主机,使得在一台物理服务器上可以运行多个Web网站,从而降低了网站的运营成本。同步训练某Web服务器上同时运行两个虚拟主机,域名分别为和,两个虚拟主机的主页分别存放在/var/www/sunny目录和/var/www/rainy目录中,主页内容分别为“Its sunny toda
14、y.”和“Its raining outside.”请配置Web服务器实现上述功能。任务四 配置个人空间任务提出公司为彰显员工个性,决定在公司网站上为员工开辟个人空间,使用户可以上传个人网站页面。请在公司Web服务器上实现该功能,并以用户redhat为测试用户进行测试。该用户的家目录为/home/redhat,个人空间所在的目录为public_html。任务分析现在许多网站都允许用户拥有自己的个人空间,用户可以在个人空间中上传自己的文章,设置比较有个性的内容。Apache也可以实现个人空间。客户端在浏览器中浏览个人空间主页的URL地址格式为:http:/域名/username其中,“usern
15、ame”是Linux系统中的合法用户名。一般个人空间网站页面文件存放在用户家目录下的public_html目录中,定义用户个人空间的配置文件是/etc/httpd/conf.d/userdir.conf。任务分析配置文件的主要内容是:#个人空间配置容器起始 UserDir disabled#个人空间配置无效开关 UserDir public_html#定义个人空间网站文件存放目录#个人空间配置容器结束任务实施步骤1 修改个人空间配置文件。任务实施步骤2 重启服务。步骤3 测试。(1)创建redhat用户。任务实施步骤3 测试。(2)进入redhat家目录,创建public_html目录并在该目
16、录中创建index.html主页文件,文件写入“This is redhats homepage.”测试内容。任务实施步骤3 测试。(3)修改/home/redhat目录的权限。任务实施步骤3 测试。(4)在浏览器中访问http:/ 配置虚拟目录任务提出公司网站文件除了一部分放在/var/www/html目录下之外,还有一部分放在了/website目录下,要访问此目录下的网页,必须用到虚拟目录。本次任务配置虚拟目录/vdir,使用户可以通过该虚拟目录访问/website目录下的网站主页。任务分析要从Web站点主目录以外的其他目录发布网站,可以使用虚拟目录实现。虚拟目录是一个位于Apache服务
17、器主目录之外的目录,它不包含在Apache服务器的主目录中,但在访问Web站点的用户看来,它与位于主目录中的子目录是一样的。每一个虚拟目录都有一个别名,客户端可以通过此别名来访问虚拟目录。任务分析由于每个虚拟目录都可以分别设置不同的访问权限,因此,非常适合于不同用户对不同目录拥有不同权限的情况。另外,只有知道虚拟目录名的用户才可以访问此虚拟目录,除此之外的其他用户将无法访问此虚拟目录,也增加了网站访问的安全性。任务分析在Apache服务器中,通过Alias指令设置虚拟目录。可以将虚拟目录的配置文件创建在/etc/httpd/conf.d目录下,具体格式为:Alias 虚拟目录名 物理目录路径任
18、务实施步骤1 创建真实目录/website,并在其中创建主页文件index.html,写入测试内容:“This is in website.”任务实施步骤2 在/etc/httpd/conf.d目录下创建虚拟目录配置文件vdir.conf,并在其中添加虚拟目录设置。vdir.conf配置文件的内容如图所示。任务实施步骤3 重启DNS服务。任务实施步骤4 测试。在浏览器中访问http:/ 配置目录权限任务提出公司网站已经基本建成,最后一步是进行安全配置,以满足公司的安全需求。要求如下:(1)禁用主目录的目录浏览功能。(2)IP地址为192.168.1.12的主机禁止访问虚拟目录/vdir。(3)
19、redhat用户的个人空间只允许redhat和stu用户访问。请配置相应的目录权限实现上述安全需求。任务分析访问控制我们可以对网站不同的目录进行权限设置,从而满足不同的安全需求。要设置某个目录的权限,可以使用容器,在容器中添加相应的指令。常用的格式为:Options AllowOverride Order deny,allow|allow,deny Allow|Deny from 任务分析访问控制容器中常见的访问控制指令见下表指令指令功能说明功能说明Options设置特定目录中的服务器特性,具体选项取值见下页表AllowOverride设置如何使用访问控制文件.htaccess。OrderOr
20、der Allow,DenyOrder Deny,Allow设置Apache默认的访问权限及Allow和Deny语句的处理顺序默认拒绝所有未被明确允许的客户端默认允许所有未被明确拒绝的客户端Allow|Deny from 地址设置允许或拒绝的客户端地址,地址可以是主机名、域名、IP地址、网络地址和all(所有地址)任务分析访问控制Options字段可以使用的选项值见下表。选项值选项值功能说明功能说明Indexes允许目录浏览。当访问的目录中没有DirectoryIndex参数指定的网页文件时,浏览器会显示此目录下的文件和子目录名。Multiviews允许内容协商的多重视图,是Apache的一个
21、智能特性。当客户访问目录中一个不存在的对象时,如http:/.8/icons/a,则Apache会查找这个目录下的所有a.*文件。由于icons目录下存在a.gif文件,因此Apache会将a.gif文件返回给客户,而不是返回出错信息。All包含了除Multiviews外的所有特性,若无Options语句,默认为All。ExecCGI允许在该目录下执行CGI脚本。FollowSymLinks可以在该目录中使用符号链接,以访问其他目录。Includes允许服务端使用SSI(服务器包含)技术。IncludesNoExec允许服务端使用SSI(服务器包含)技术,但禁止执行CGI脚本。任务分析访问控制
22、 AllowOverride字段主要用于控制如何使用访问控制文件.htaccess来配置相应目录的访问方法。当该字段的值为AuthConfig时,.htaccess文件才生效。该字段的默认值为None,即.htaccess文件不生效。.htaccess文件的常用选项如下页表所示。这些选项也可以直接写在容器中。任务分析访问控制.htaccess文件的常用选项如下表所示。指令指令功能说明功能说明AuthName 领域名称定义受保护领域的名称,在弹出的认证对话框中显示。AuthType Basic|Digest设置认证的方式。Basic为基本方式,Digest为摘要方式。AuthUserFile 认
23、证文件名设置用于存放用户账号、密码的认证文件。AuthGroupFile 认证组文件名设置认证组文件的路径及文件名。Require user 用户名授权给指定的一个或多个用户。Require group 用户组授权给指定的一个或多个组。Require valid-user授权给认证文件中所有有效用户,即开启用户验证机制。Require all granted|denied允许或拒绝所有用户。任务分析访问控制向认证文件中添加有效用户可以使用htpasswd命令,格式如下:【命令】htpasswd 选项 认证文件名 用户名【选项】-c 新创建一个认证文件 -b 用批处理方式创建用户 -D 删除一个
24、用户 -m 采用MD5编码加密 -d 采用CRYPT编码加密,这是默认的方式 -s 采用SHA编码加密 任务实施禁用主目录的目录浏览功能步骤1 先查看一下没有配置前的情况。(1)将/var/www/html目录下的index.html文件删除,并创建a.txt文件。任务实施禁用主目录的目录浏览功能步骤1 先查看一下没有配置前的情况。(2)将/etc/httpd/conf.d/welcome.conf文件中的部分内容注释掉。否则,在删除了index.html主页文件后,访问网站会显示Apache默认的欢迎页面。任务实施禁用主目录的目录浏览功能(3)访问网站主页,会发现将网站主目录下的文件(a.t
25、xt)以列表形式展示出来了,如图所示。任务实施禁用主目录的目录浏览功能(3)点击该文件可以查看文件内容,右键点击该文件,在弹出的快捷菜单中选择“目标另存为”,还可以将该文件保存到本地磁盘,如图所示。这对于网站文件资源是非常大的安全隐患。任务实施禁用主目录的目录浏览功能步骤2 禁用主目录的目录浏览功能。打开主配置文件,找到主目录/var/www/html的容器,删除其Options命令后的Indexes选项。任务实施禁用主目录的目录浏览功能步骤3 重启服务。任务实施禁用主目录的目录浏览功能步骤4 测试。在浏览器中访问网站主页,会显示禁止访问的403错误。如图所示。网站主目录中的文件不会再被显示出
26、来。任务实施IP地址为192.168.1.12的主机禁止访问虚拟目录/vdir步骤1 修改虚拟目录的配置文件。任务实施IP地址为192.168.1.12的主机禁止访问虚拟目录/vdir步骤2 重启服务任务实施IP地址为192.168.1.12的主机禁止访问虚拟目录/vdir步骤3 测试。配置Windows主机IP地址为192.168.1.12,在浏览器中访问虚拟目录,如图所示。浏览器会提示禁止访问的403错误。任务实施redhat用户的个人空间只允许redhat和stu用户访问步骤1 修改个人空间的配置文件。任务实施redhat用户的个人空间只允许redhat和stu用户访问步骤2 创建认证文
27、件。AllowOverride指令被设置为AuthConfig选项后,需要在.htaccess文件中写入相应的访问控制选项。.htaccess文件放在被控制的目录中。因为此处是控制redhat的个人空间目录,即/home/redhat/public_html,因此.htaccess要放在此目录中。任务实施redhat用户的个人空间只允许redhat和stu用户访问步骤2 创建认证文件。.htaccess文件内容如图所示。任务实施redhat用户的个人空间只允许redhat和stu用户访问步骤3 创建认证用户。任务实施redhat用户的个人空间只允许redhat和stu用户访问步骤4 重启服务。任务实施redhat用户的个人空间只允许redhat和stu用户访问步骤5 测试。在浏览器中访问redhat的个人空间,会弹出对话框要求输入用户名和密码,如图所示,此处的用户名和密码为【步骤3】所创建的用户和设置的密码。任务总结本任务中我们对Web网站目录的权限进行配置,限制了能访问的主机和用户,防止网站目录内容被泄露,这对于网站安全防护起到非常重要的作用。同步训练对自己的Web服务器进行安全加固:(1)个人主页空间不允许目录浏览。(2)只允许192.168.1.0网段的主机访问/vir目录(3)主目录仅允许redhat用户和stu用户访问
