httpd服务及配置文件详解

一、Httpd服务

httpd是一个开源软件，且一般用作web服务器来使用。目前最流行的web服务器软件叫做httpd，
在早期的http server就叫做apache，到了http server 2.0以后就改名为httpd了。
所以有时候听到apache服务器和httpd服务器其实都是指得是一个意思。

httpd生产的文件

httpd目前有多个版本，主流有两个版本分别为：2.2、2.4，在安装了httpd软件之后，会生成配置文件。
这些文件有：
其中主配置文件：/etc/httpd/conf/httpd.conf
分段配置文件：/etc/httpd/conf.d/*.conf(一般自己定义配置在此文件下重新建立)
模块的目录：/etc/httpd/modules 
日志目录：/etc/log/httpd/*
访问日志为：./access_log
错误日志为：./err_log
网页的存放目录：/var/www/html

httpd的特性：

高度模块化： core + modules
DSO：dynamic shared object
MPM：Multipath processing Modules (多路处理模块)
prefork：多进程模型，每个进程响应一个请求、一个主进程：负责生成子进程及回收子进程；负责创建套接字；
负责接收请求，并将其派发给某子进程进行处理，每个子进程处理一个请求。
worker：多进程多线程模型，每线程处理一个用户请求、一个主进程：负责生成子进程、负责创建套接字、
负责接收请求、并将其派发给某子进程进行处理，每个子进程负责生成多个线程，每个线程负责响应用户请求；
并发响应数量为：子进程数量*子进程创建的最大线程数量。
event：事件驱动模型，多进程模型，每个进程响应多个请求、一个主进程 ：负责生成子进程、负责创建套接字、
负责接收请求，并将其派发给某子进程进行处理，子进程基于事件驱动机制直接响应多个请求。

注：在/etc/httpd/conf.modules.d/00-mpm.conf切换工作模型

httpd的功能特性：

CGI：Common Gateway Interface
虚拟主机：IP，PORT， FQDN
反向代理
负载均衡
路径别名
丰富的用户认证机制
basic 
digest
支持第三方模块

二、服务控制：

systemctl enable|disable httpd.service #开机启动与否
systemctl {start|stop|restart|status} httpd.service #单次操作状态

1、 监听地址端口

在主配置文件中/etc/httpd/conf/httpd.conf：
Listen IP：PORT，表示监听在该IP的PORT端口上，如果不写IP，表示监听本机所有可用IP地址，
另外，Listen指令可以出现多次，表示监听不同IP及不同端口上，修改完成后需要重启生效
注意：在修改完配置文件后需要使用：httpd –t 检查语法，语法没有问题才可继续其它操作

2、 持久连接

Persistent Connection：tcp连续建立后，每个资源获取完成后不全断开连接，而是继续等待其它资源请求的进行。
副作用：对并发访问量较大的服务器，长连接机制会使得后续某些请求无法得到正常响应。
解决方案：使用较短的持久连接时长，以及较少的请求数量；
KeepAlive On|Off 此功能开启|关闭
KeepAliveTimeout 15 时间限制15秒
MaxKeepAliveRequests 100 请求数量100

以上表示：当一个连接建立，时间超过15秒或请求数量超过100个时，服务器会主动断开。

3、 MPM

文章开头已介绍，下面是配置选项与参数，
prefork的配置

worker的配置：

修改模型选项：/etc/httpd/conf.modules.d/00-mpm.conf

4、 DSO

配置指令模块加载，格式如下：
LoadModule  
模块路径可以是相对路径，相对ServerRoot指令指向的位置
配置文件：/etc/httpd/conf.modules.d/00-proxy.conf

5、 定义Main server 文档页面路径

使用DocumentRoot指令，关联文档路径的映射
DocumentRoot指向路径问URL起始位置
如DocumetRoot “/var/www/html”
在本地有一个文件file在/var/www/html/filedir/file则URL访问路径为www.smartwy.com/filedir/file

6、 站点路径访问控制

可基于两种机制指明对哪些资源进行何种访问控制：
文件系统路径

1,
...
　
2,
...
　
3, 
...
　　

下面以路径访问控制做简单介绍

AllowOverride None 
Options None
Require all granted

AllowOverride：与访问控制相关的哪些执行可以放在.htacesss文件中，每个目录下都可以有一个 ，
但是使用.htacess会使得网站对目录下的资源解析变的非常慢，不推荐使用。ALL所有都可以放进去，None什么都不可以放。
Options：Indexs：指明的URL路径不存在与定义的主页面资源相符的资源文件时候，返回索引列表给用户，
目录浏览功能，一般关掉。
FollowSymLinks：允许跟踪符号链接文件所指向的源文件，跟踪符号链接，如果目录下存在软连接，则可以直接
访问软连接指向的文件
None：全部停用
All：全部启用

Httpd2.4使用：Require：对控制页面访问控制，
Require all granted 全部允许访问
Require ip *.*.*.* 指定ip允许访问
Require host host_name 指定主机名允许方法
Httpd2.2使用：Order allow,deny 检查次序
Deny(黑名单) from 172.16.12.1 不允许172.16.12.1地址访问
Allow(白名单) from 172.16 仅允许172.16网段的地址访问

注意：指定访问控制时较小集合域放在前面

7、 定义站点主页面

DirectoryIndex index.html index.html.var
从左到右匹配到的文件，将作为默认主页返回

8、 日志

访问日志：access_log | -`date`
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %b" common
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent 
%h：客户端IP地址；
%l：Remote User, 通常为一个减号（“-”）；
%u：Remote user (from auth; may be bogus if return status (%s) is 401)；非为登录访问时，其为一个减号；
%t：服务器收到请求时的时间；
%r：First line of request，即表示请求报文的首行；记录了此次请求的“方法”，“URL”以及协议版本；
%>s：响应状态码；
%b：响应报文的大小，单位是字节；不包括响应报文的http首部；
%{Referer}i：请求报文中首部“referer”的值；即从哪个页面中的超链接跳转至当前页面的；
%{User-Agent}i：请求报文中首部“User-Agent”的值；即发出请求的应用程序。
错误日志：error_log | -`date`
错误级别：debug, info, notice, warn, error, crit, alert, emerg，

9、 基于用户访问控制

认证质询：
WWW-Authenticate：响应码为401，拒绝客户端请求，并说明要求客户端提供账号和密码；
认证：
Authorization：客户端用户填入账号和密码后再次发送请求报文；认证通过时，则服务器发送响应的资源；
认证方式有两种：
basic：明文
digest：消息摘要认证
用户的账号和密码存放于何处？
虚拟账号：仅用于访问某服务时用到的认证标识
存储：
文本文件；
SQL数据库；
ldap目录存储；
格式如下：

编写完成后，systemctl restart httpd.service重启httpd服务，
在浏览器地址栏内输入相应域名，会出现以下界面，填入上方指定的用户与密码便可继续访问。

下面是帐号与密码的创建与管理：
Htpasswd：专用命令完成此类文件的创建及用户管理
htpasswd [options] /PATH/TO/HTTPD_PASSWD_FILE username
-c：首次创建密码文件时使用，如再次使用会覆盖以前的密码文件
-m：md5格式加密
-s: sha格式加密
-D：删除指定用户
-b：批模式添加用户
htpasswd -b [options] /HTTPD_PASSWD_FILE username password

自定义密码文件路径，配置文件内路径要与实际文件路径相同，
使用组帐号进行认证

组文件编写：group: user1 user2 …（一行定义一个组）
组成员访问时与普通访问相同，密码创建也相同。
注意：修改配置文件后，检查语法httpd –t ，没有问题，重启httpd服务，配置才可生效。

10、 虚拟主机

一个物理主机可以服务与多个站点，每个站点可以通过一个或多个虚拟主机来实现。
有三种实现方案：
基于ip：为每个虚拟主机准备至少一个ip地址；
基于port：为每个虚拟主机使用至少一个独立的port；
基于FQDN：为每个虚拟主机使用至少一个FQDN；

基于ip和基于port只做介绍说明，基于FQDN做实验说明：
基于IP的虚拟主机示例（在/etc/httpd/conf.d/下新建**.conf文件）：

＃端口相同，ip不同(确定主机有两个ip)
ServerName www.a.com ＃虚拟服务器域名(基于IP与port实验没有影响)
DocumentRoot "/www/dir" ＃指定站点根目录，实验时在根目录下新建index.html文件，
写一点测试信息在里面，方便查看实验效果。

ServerName www.b.net
DocumentRoot "/www/dir"

可在浏览器地址栏中输入IP查看。

基于端口的虚拟主机（在/etc/httpd/conf.d/下新建**.conf文件）：
 ＃IP相同，端口不同
ServerName www.a.com
DocumentRoot "/www/dir"

Listen 808 ＃开启监听808端口

ServerName www.b.net
DocumentRoot "/www/dir"

可在浏览器地址栏中输入IP：PORT查看。

基于FQDN的虚拟主机（在/etc/httpd/conf.d/下新建**.conf文件）：

ServerName www.a.com
DocumentRoot "/www/dir"


ServerName www.b.net
DocumentRoot "/www/dir"

可在浏览器地址栏中输入域名查看。

基于FQDN的虚拟主机实验：
1.1在/etc/httpd/conf.d目录下新建两个配置文件：

注意：如果是httpd-2.2，则使用基于FQDN的虚拟主机时，需要事先使用如下指令：
NameVirtualHost IP:PORT

在设置的站点根目录下新建index.html文件,

编写完成后，httpd –t 检查语法，重启httpd服务。
1.2DNS正向解析:
将www.smartwy.com与www.magedu.com解析到172.16.253.190
/etc/named.rfc1912.conf添加以下内容

新建区域解析库/var/named/smartwy.com.zone编辑如下：

新建区域解析库/var/named/magedu.com.zone编辑如下：

以上配置要确保172.16.252.205处于被监听状态，与172.16.253.190联通，
执行named-checkconf，
named-checkzone “smartwy.com” 区域解析库名，
named-checkzone “magedu.com” 区域解析库名，
rndc reload 重新加载。
1.3 测试（使用的域名有可能在公网已被使用，可把DNS设为172.16.252.205防止公网影响）

11、 内置的server-status页面

在虚拟主机内添加/server-status选项

使用的是2.2版本，设置如下

SetHandler server-status
Order allow,deny
Allow from 172.16

Httpd –t 检查语法，重启服务，
在浏览器地址栏输入www.smartwy.com/server-status

以上转载：https://blog.csdn.net/wangye1989_0226/article/details/72782103

三、配置文件解析

Apache的主配置文件：/etc/httpd/conf/httpd.conf
默认站点主目录：/var/www/html/
Apache服务器的配置信息全部存储在主配置文件/etc/httpd/conf/httpd.conf中，这个文件中的内容非常多，用wc命令统计一共有1009行，其中大部分是以#开头的注释行。
[root@justin ~]# wc -l /etc/httpd/conf/httpd.conf 
/etc/httpd/conf/httpd.conf 
[root@justin ~]#

配置文件包括三部分：
[root@justin ~]# grep '\' /etc/httpd/conf/httpd.conf -n 
33:### Section 1: Global Environment 
245:### Section 2: 'Main' server configuration 
973:### Section 3: Virtual Hosts 
[root@justin ~]#

1）Global Environment---全局环境配置，决定Apache服务器的全局参数
2）Main server configuration---主服务配置，相当于是Apache中的默认Web站点，如果我们的服务器中只有一个站点，那么就只需在这里配置就可以了。
3）Virtual Hosts---虚拟主机，虚拟主机不能与Main Server主服务器共存，当启用了虚拟主机之后，Main Server就不能使用了

--------------------------------------------------------------------------------
1）Global Environment
ServerTokens OS

在出现错误页的时候是否显示服务器操作系统的名称，ServerTokens Prod为不显示
ServerRoot "/etc/httpd"

用于指定Apache的运行目录，服务启动之后自动将目录改变为当前目录，在后面使用到的所有相对路径都是想对这个目录下
PidFile run/httpd.pid

记录httpd守护进程的pid号码，这是系统识别一个进程的方法，系统中httpd进程可以有多个，但这个PID对应的进程是其他的父进程
Timeout 60

服务器与客户端断开的时间
KeepAlive Off

是否持续连接（因为每次连接都得三次握手，如果是访问量不大，建议打开此项，如果网站访问量比较大关闭此项比较好），修改为：KeepAlive On 表示允许程序性联机
MaxKeepAliveRequests 100

表示一个连接的最大请求数
KeepAliveTimeout 15

断开连接前的时间
 
StartServers      8 
MinSpareServers    5 
MaxSpareServers  20 
ServerLimit      256 
MaxClients      256 
MaxRequestsPerChild  4000 


系统默认的模块，表示为每个访问启动一个进程（即当有多个连接公用一个进程的时候，在同一时刻只能有一个获得服务）。
StartServer开始服务时启动8个进程，最小空闲5个进程，最多空闲20个进程。
MaxClient限制同一时刻客户端的最大连接请求数量超过的要进入等候队列。
MaxRequestsPerChild每个进程生存期内允许服务的最大请求数量，0表示永不结束
 
StartServers        4 
MaxClients        300 
MinSpareThreads    25 
MaxSpareThreads    75 
ThreadsPerChild    25 
MaxRequestsPerChild  0 


为Apache配置线程访问，即每对WEB服务访问启动一个线程，这样对内存占用率比较小。
ServerLimit服务器允许配置进程数的上限。
ThreadLimit每个子进程可能配置的线程上限
StartServers启动两个httpd进程，
MaxClients同时最多能发起250个访问，超过的要进入队列等待，其大小有ServerLimit和ThreadsPerChild的乘积决定
ThreadsPerChild每个子进程生存期间常驻执行线程数，子线程建立之后将不再增加
MaxRequestsPerChild每个进程启动的最大线程数，如达到限制数时进程将结束，如置为0则子线程永不结束
Listen 80

监听的端口，如有多块网卡，默认监听所有网卡
150 LoadModule auth_basic_module modules/mod_auth_basic.so 
...... 
LoadModule version_module modules/mod_version.so

启动时加载的模块 mod_access已经更名为mod_authz_host
Include conf.d/*.conf

加载的配置文件
User apache 
Group apache

启动服务后转换的身份，在启动服务时通常以root身份，然后转换身份，这样增加系统安全

2）Main server configuration
ServerAdmin root@localhost

管理员的邮箱
#ServerName www.example.com:80

默认是不需要指定的，服务器通过名字解析过程来获得自己的名字，但如果解析有问题（如反向解析不正确），或者没有DNS名字，也可以在这里指定IP地址，当这项不正确的时候服务器不能正常启动。前面启动Apache时候提示正在启动 httpd：httpd: apr_sockaddr_info_get() failed forjustin httpd: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1forServerName，解决方法就是启动该项把www.example.com:80修改为自己的域名或者直接修改为localhost
285 UseCanonicalName Off

如果客户端提供了主机名和端口，Apache将会使用客户端提供的这些信息来构建自引用URL。这些值与用于实现基于域名的虚拟主机的值相同，并且对于同样的客户端可用。CGI变量SERVER_NAME和SERVER_PORT也会由客户端提供的值来构建
DocumentRoot "/var/www/html"

网页文件存放的目录
 
   Options FollowSymLinks 
   AllowOverride None 


对根目录的一个权限的设置
 
   Options Indexes FollowSymLinks 
   AllowOverride None 
   Order allow,deny 
   Allow from all 


对/var/www/html目录的一个权限的设置，options中Indexes表示当网页不存在的时候允许索引显示目录中的文件，FollowSymLinks是否允许访问符号链接文件。有的选项有ExecCGI表是否使用CGI，如Options Includes ExecCGI FollowSymLinks表示允许服务器执行CGI及SSI，禁止列出目录。SymLinksOwnerMatch表示当符号链接的文件和目标文件为同一用户拥有时才允许访问。AllowOverrideNone表示不允许这个目录下的访问控制文件来改变这里的配置，这也意味着不用查看这个目录下的访问控制文件，修改为：AllowOverride All 表示允许.htaccess。Order对页面的访问控制顺序后面的一项是默认选项，如allow，deny则默认是deny，Allowfromall表示允许所有的用户，通过和上一项结合可以控制对网站的访问控制
 
   UserDir disabled 


是否允许用户访问其家目录，默认是不允许
# 
#    AllowOverride FileInfo AuthConfig Limit 
#    Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec 
#     
#        Order allow,deny 
#        Allow from all 
#     
#     
#        Order deny,allow 
#        Deny from all 
#     
#

如果允许访问用户的家目录中的网页文件，则取消以上注释，并对其中进行修改
DirectoryIndex index.html index.html.var

指定所要访问的主页的默认主页名字，默认首页文件名为index.html
AccessFileName .htaccess

定义每个目录下的访问控制文件名，缺省为.htaccess
 
   Order allow,deny 
   Deny from all 
   Satisfy All 


控制不让web上的用户来查看.htpasswd和.htaccess这两个文件
TypesConfig /etc/mime.types

用于设置保存有不同MIME类型数据的文件名
DefaultType text/plain

默认的网页的类型
 
#  MIMEMagicFile /usr/share/magic.mime 
   MIMEMagicFile conf/magic


指定判断文件真实MIME类型功能的模块
HostnameLookups Off

当打开此项功能时，在记录日志的时候同时记录主机名，这需要服务器来反向解析域名，增加了服务器的负载，通常不建议开启
#EnableMMAP off

是否允许内存映射：如果httpd在传送过程中需要读取一个文件的内容，它是否可以使用内存映射。如果为on表示如果操作系统支持的话，将使用内存映射。在一些多核处理器的系统上，这可能会降低性能，如果在挂载了NFS的DocumentRoot上如果开启此项功能，可能造成因为分段而造成httpd崩溃
#EnableSendfile off

这个指令控制httpd是否可以使用操作系统内核的sendfile支持来将文件发送到客户端。默认情况下，当处理一个请求并不需要访问文件内部的数据时(比如发送一个静态的文件内容)，如果操作系统支持，Apache将使用sendfile将文件内容直接发送到客户端而并不读取文件
484 ErrorLog logs/error_log

错误日志存放的位置
LogLevel warn

Apache日志的级别
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined 
LogFormat "%h %l %u %t \"%r\" %>s %b" common 
LogFormat "%{Referer}i -> %U" referer 
LogFormat "%{User-agent}i" agent

定义了日志的格式，并用不同的代号表示
#CustomLog logs/access_log common 
CustomLog logs/access_log combined

说明日志记录的位置，这里面使用了相对路径，所以ServerRoot需要指出，日志位置就存放在/etc/httpd/logs
ServerSignature On

定义当客户请求的网页不存在，或者错误的时候是否提示apache的版本的一些信息
Alias /icons/ "/var/www/icons/"

定义一些不在DocumentRoot下的文件，而可以将其映射到网页根目录中，这也是访问其他目录的一种方法，但在声明的时候切记目录后面加”/”
 
   Options Indexes MultiViews FollowSymLinks 
   AllowOverride None 
   Order allow,deny 
   Allow from all 


定义对/var/www/icons/的权限，修改为 Options MultiViews FollowSymLinks表示不在浏览器上显示树状目录结构
 
   # Location of the WebDAV lock database. 
   DAVLockDB /var/lib/dav/lockdb


对mod_dav_fs.c模块儿的管理
ScriptAlias /cgi-bin/ "/var/www/cgi-bin/"

对CGI模块儿的的别名，与Alias相似。
 
   AllowOverride None 
   Options None 
   Order allow,deny 
   Allow from all 


对/var/www/cgi-bin文件夹的管理，方法同上

# Redirect old-URI new-URL

Redirect参数是用来重写URL的，当浏览器访问服务器上的一个已经不存在的资源的时候，服务器返回给浏览器新的URL，告诉浏览器从该URL中获取资源。这主要用于原来存在于服务器上的文档改变位置之后，又需要能够使用老URL能访问到原网页
IndexOptions FancyIndexing VersionSort NameWidth=* HTMLTable Charset=UTF-8 
AddIconByEncoding (CMP,/icons/compressed.gif) x-compress x-gzip
... 
IndexIgnore .??* *~ *# HEADER* README* RCS CVS *,v *,t

当一个HTTP请求的URL为一个目录的时候，服务器返回这个目录中的索引文件，如果目录中不存在索引文件，并且服务器有许可显示目录文件列表的时候，就会显示这个目录中的文件列表，为了使得这个文件列表能具有可理解性，而不仅仅是一个简单的列表，就需要前这些参数。如果使用了IndexOptionsFancyIndexing选项，可以让服务器针对不同的文件引用不同的图标。如果没有就使用DefaultIcon定义缺省图标。同样，使用AddDescription可以为不同类型的文档介入描述
AddLanguage ca .ca 
...... 
AddLanguage zh-TW .zh-tw

添加语言
LanguagePriority en ca cs da de el eo es et fr he hr it ja ko ltz nl nn no pl pt pt-BR ru sv zh-CN zh-TW

Apache支持的语言
AddDefaultCharset UTF-8

默认支持的语言
#AddType application/x-tar .tgz

支持的应用如果想支持对php的解析添加这样一行
#AddEncoding x-compress .Z 
#AddEncoding x-gzip .gz .tgz

支持对以.Z和.gz.tgz结尾的文件
AddType application/x-compress .Z 
AddType application/x-gzip .gz .tgz

添加对上述两种文件的应用
#AddHandler cgi-script .cgi

修改为：AddHandler cgi-script .cgi .pl 表示允许扩展名为.pl的CGI脚本运行
AddType text/html .shtml 
AddOutputFilter INCLUDES .shtml

添加动态处理类型为server-parsed由服务器预先分析网页内的标记，将标记改为正确的HTML标识
#ErrorDocument 404 /missing.html

当服务器出现404错误的时候，返回missing.html页面
Alias /error/ "/var/www/error/"

赋值别名
 
 
    
       AllowOverride None 
       Options IncludesNoExec 
       AddOutputFilter Includes html 
       AddHandler type-map var 
       Order allow,deny 
       Allow from all 
       LanguagePriority en es de fr 
       ForceLanguagePriority Prefer Fallback 
   

对/var/www/error网页的权限及操作
BrowserMatch "Mozilla/2" nokeepalive 
BrowserMatch "MSIE 4\.0b2;" nokeepalive downgrade-1.0 force-response-1.0 
BrowserMatch "RealPlayer 4\.0" force-response-1.0 
BrowserMatch "Java/1\.0" force-response-1.0 
BrowserMatch "JDK/1\.0" force-response-1.0 
.....

设置特殊的参数，以保证对老版本浏览器的兼容，并支持新浏览器的特性
3）Virtual Hosts
#NameVirtualHost *:80

如果启用虚拟主机的话，必须将前面的注释去掉，而且，第二部分的内容都可以出现在每个虚拟主机部分。
# VirtualHost example: 
# 
#    ServerAdmin [email protected] 
#    DocumentRoot /www/docs/www.linuxidc.com 
#    ServerName www.linuxidc.com 
#    ErrorLog logs/www.linuxidc.com-error_log 
#    CustomLog logs/www.linuxidc.com-access_log common 
#

　　

转载于:https://www.cnblogs.com/luoahong/articles/10559723.html