服务 -web服务器及ssh

web服务器： 文件共享： nfs samba：一般用于局域网中 ftp http：一般用于公网 tcp 80 httpd： apache： 1、完全开源 2、跨平台 3、支持多种编程语言 4、采用模块化的设计 5、安全稳定 IE：www.taobao.com——>IP:port[path]——>apache——>client www.taobao.com——>apache——>php-cgi(模块)——>解析——>apache——>client LAMP:Linux+apache+mysql+php LNMP:Linux+ngix+mysql+php httpd:rhel6.5 自带的 1、 2、 3、软三步曲 # rpm -q httpd httpd-2.2.15-29.el6_4.x86_64 httpd-manual.noarch 帮助手册 中文的手册： http://www.jinbuguo.com/apache/menu22/index.html /var/www/html 静态页面的数据根目录 /var/log/httpd 日志文件目录 /var/run/httpd 进程目录 /usr/sbin/httpd 二进制命令 /usr/sbin/apachectl 官方的二进制命令 /etc/httpd 服务主目录 /etc/httpd/conf 配置文件的主目录 /etc/httpd/conf.d 子配置文件主目录 /etc/httpd/conf.d/README 说明书 /etc/httpd/conf.d/welcome.conf 欢迎页 /etc/httpd/conf/httpd.conf 主配置文件 /etc/httpd/logs 日志文件目录 /etc/httpd/modules 模块目录 /etc/httpd/run 进程目录 /etc/logrotate.d/httpd 日志轮转文件 /etc/rc.d/init.d/htcacheclean 官方的启动脚本 /etc/rc.d/init.d/httpd 红帽的启动脚本 4、了解配置文件 ServerRoot "/etc/httpd" PidFile run/httpd.pid Timeout 60 KeepAlive Off MaxKeepAliveRequests 100 KeepAliveTimeout 15 Listen 80 默认端口 Include conf.d/*.conf 加载外部子目录 User apache 服务运行时的属主 Group apache 属组 ServerAdmin root@localhost 管理员邮箱 DocumentRoot "/var/www/html" 默认数据根目录 <Directory /> 开始给“/”授权 Options FollowSymLinks 支持软链接 AllowOverride None 不支持.htaccess文件控制 </Directory> <Directory "/var/www/html"> Options Indexes FollowSymLinks 支持索引和软链接 AllowOverride None Order allow,deny 排序，先允许后拒绝 Allow from all 允许所有人访问 </Directory> Alias /icons/ "/var/www/icons/" 定义别名 <Directory "/var/www/icons"> Options Indexes MultiViews FollowSymLinks AllowOverride None Order allow,deny Allow from all </Directory> #<VirtualHost *:80> 定义虚拟主机 # ServerAdmin webmaster@dummy-host.example.com # DocumentRoot /www/docs/dummy-host.example.com # ServerName dummy-host.example.com # ErrorLog logs/dummy-host.example.com-error_log # CustomLog logs/dummy-host.example.com-access_log common #</VirtualHost> 5、根据需求通过修改配置文件来完成服务的搭建 需求1：共享/data/下的所有文件 方法1： mkdir /data touch /data/file{1..5} ln -s /data /var/www/html/notes 测试： http://localhost/notes 方法2：通过别名方式共享 Alias /test/ "/data" <Directory "/data"> Options Indexes MultiViews FollowSymLinks AllowOverride None Order allow,deny Allow from all </Directory> 注意：别名后面的斜杠会影响访问，如果有，那么访问时必须加上 测试： http://localhost/test/ 需求2：访问一个静态网页文件 echo this is test page > /var/www/html/index.html 说明： 如果默认数据根目录里既有网页文件也有数据文件，优先去找网页文件；如果没有网页文件也不会看到数据文件，将welcome.conf注释掉就可以 需求3：自定义数据根目录 DocumentRoot "/webroot" <Directory /webroot> Options FollowSymLinks Indexes AllowOverride None </Directory> 课堂练习： 使用3种方式，发布你系统的/etc目录 需求4：基于用户名密码的访问控制 思路： 1、先去创建一个密码文件 2、配置文件里指定该密码文件 步骤： 1、 # htpasswd -cm /etc/httpd/conf/htpassword user1 New password: Re-type new password: Adding password for user user1 [root@node1 webroot]# cat /etc/httpd/conf/htpassword user1:$apr1$JBb9P6vF$Ozv.3JG4HL295yJaIL3iX1 [root@node1 webroot]# id user1 id: user1: No such user [root@node1 webroot]# htpasswd -mb /etc/httpd/conf/htpassword user2 123 Adding password for user user2 2、 <Directory /webroot> 针对哪个数据目录做限制 Options FollowSymLinks Indexes AllowOverride None AuthType Basic 开启基本认证 AuthName "input your username&password:" 提示信息 AuthBasicProvider file AuthUserFile /etc/httpd/conf/htpassword 指定密码文件 Require user user1 允许用户 </Directory> 允许admin组里的所有成员访问该目录： 1、创建一个组文件（保存的是组成员及组名） 2、创建一个密码文件 3、修改配置文件 DocumentRoot "/webroot" <Directory /webroot> Options FollowSymLinks Indexes AllowOverride None AuthType Basic AuthName "input your username&password:" AuthBasicProvider file AuthGroupFile /etc/httpd/conf/groups AuthUserFile /etc/httpd/conf/htpassword Require group admin #Require user user1 user2 #Require valid-user </Directory> 需求5：只允许10.1.1.2主机访问（网络的访问控制） 单独使用： Allow from address Deny from 205.252.46.165 Deny from host.example.com Deny from 192.101.205 Deny from cyberthugs.com moreidiots.com 组合使用： Order deny,allow 先拒绝再允许；如果deny和allow冲突以allow为准 Deny from all Allow from dev.example.com Order allow,deny 先允许后拒绝；如果allow和deny冲突以deny为准 需求6：一台服务器上需要搭建多个web，怎么办？ 方法1： DocumentRoot /webroot web1：/webroot/bbs/index.html web2:/webroot/taobao/index.html http://10.1.1.1/taobao www.bbs.com ——>bbs web www.taobao.org ——> taobao web 方法2：虚拟主机 基于IP的虚拟主机 10.1.1.1 ——>this is bbs page！ 192.168.0.1——>this is taobao page！ 步骤： 1、配置网卡2个ip 省略 2、创建虚拟主机 <VirtualHost 10.1.1.1:80> ServerAdmin root@.example.com DocumentRoot /www/bbs #ServerName dummy-host.example.com ErrorLog logs/bbs.example.com-error_log CustomLog logs/bbs.example.com-access_log common </VirtualHost> <VirtualHost 192.168.0.1:80> ServerAdmin root@.example.com DocumentRoot /www/taobao #ServerName dummy-host.example.com ErrorLog logs/taobao.example.com-error_log CustomLog logs/taobao.example.com-access_log common </VirtualHost> 3、创建相应的数据目录及首页文件 # mkdir /www/{bbs,taobao} -p [root@node1 conf]# cd /www/ [root@node1 www]# ll total 8 drwxr-xr-x 2 root root 4096 Apr 28 15:21 bbs drwxr-xr-x 2 root root 4096 Apr 28 15:21 taobao [root@node1 www]# echo this is bbs page！> bbs/index.html [root@node1 www]# echo this is taobao page！> taobao/index.html 4、重启服务 service httpd restart 5、测试验证 http://10.1.1.1 http://192.168.0.1 基于端口的虚拟主机 http://10.1.1.1:80——>this is 80 page! http://10.1.1.1:8080——>this is 8080 page! /webserver/80 /webserver/8080 <VirtualHost *:80> ServerAdmin root@.example.com DocumentRoot /webserver/80 #ServerName dummy-host.example.com ErrorLog logs/80.example.com-error_log CustomLog logs/80.example.com-access_log common </VirtualHost> <VirtualHost *:8080> ServerAdmin root@.example.com DocumentRoot /webserver/8080 #ServerName dummy-host.example.com ErrorLog logs/8080.example.com-error_log CustomLog logs/8080.example.com-access_log common </VirtualHost> 基于域名的虚拟主机 www.bbs.com——>this is bbs webserver! www.abc.net——>this is abc webserver! 环境： webserver:vm1 10.1.1.1 dns:vm2 10.1.1.2 1、搭建dns服务器（vm2） # cat bbs.com.zone $TTL 1D @ IN SOA bbs.com. rname.invalid. ( 0 ; serial 1D ; refresh 1H ; retry 1W ; expire 3H ) ; minimum @ NS dns1.bbs.com. dns1 A 10.1.1.2 www A 10.1.1.1 # cat abc.net.zone $TTL 1D @ IN SOA abc.net. rname.invalid. ( 0 ; serial 1D ; refresh 1H ; retry 1W ; expire 3H ) ; minimum @ NS dns1.abc.net. dns1 A 10.1.1.2 www A 10.1.1.1 2、发布虚拟主机（vm1） NameVirtualHost *:80 <VirtualHost *:80> ServerAdmin root@.example.com DocumentRoot /webserver/bbs ServerName www.bbs.com ErrorLog logs/bbs.example.com-error_log CustomLog logs/bbs.example.com-access_log common </VirtualHost> <VirtualHost *:80> ServerAdmin root@.example.com DocumentRoot /webserver/abc ServerName www.abc.net ErrorLog logs/abc.example.com-error_log CustomLog logs/abc.example.com-access_log common </VirtualHost> 作业1： 1、通过2种方式发布你的系统/home目录 2、根据如下需求搭建web服务 http://ip/bbs——>this is bbs test page http://ip/test——>this is test page 3、更改默认的数据根目录为/webserver 4、只允许sysadmin组里的user1用户去访问你的默认数据根目录，密码为123；同时拒绝10.1.1.0/24网段的所有人访问，除了10.1.1.254和你自己的ip 作业2： 搭建web服务器，要求如下： 1、访问不同的域名来访问不同的网页 http://www.zhangsan.net——>welcome to myweb!!! http://www.test.org——>this is test page! 2、拒绝10.1.1.0/24网段和example.com这个域的所有主机访问www.zhangsan.net网站，但是允许harry用户访问 3、www.test.org网站的数据根目录为/web/www 扩展： 搭建qq农场，自己去找源码包 ssh服务： linux下远程管理工具 tcp 22号 openssl（加密工具） openssh-server 基于密钥对的加密方式： dsa 对称的公钥加密算法，安全性相对较低，数据传输速度相对较快；使用同一个密钥进行加密和解密 rsa 非对称加密算法（ssh默认算法），安全性较高，数据传输速度相对较慢；用公钥加密和私钥解密，... 从客户端来讲，两种认证方式： 1、基于口令密码的认证（密码） 1> server端通过非对称加密方式产生一个公钥 2> client发起请求，server将公钥暴露给客户端 3> client获取公钥后，会产生一个由256位随机数组成的一个会话密钥（临时，口令） 4> client端通过公钥将会话口令进行加密发送给server端 5> server端拿者私钥进行解密，获取到会话密钥（口令） 6> client端和server端数据传输通过该口令进行对称加密 demo： # ssh serverip ——> 提示输入server端的root密码 redhat$ ssh serverip ——>提示输入server端的redhat密码 # ssh -lusername serverip ——>提示输入server端指定的用户密码 # ssh -p port serverip ——>指定端口号登录 -l： -p： 2、基于密钥对的认证（密钥认证） 1> client端需要产生一对密钥（公钥和私钥） 2> client端将自己的公钥远程传递到server端 3> client ——>ssh server——>server server找到client端的公钥匹配验证，一致，询问加密 client拿着自己的私钥进行解密——>server确认登录 server：openssh-server # rpm -qa|grep ^openssh openssh-server-5.3p1-94.el6.x86_64 服务端 openssh-clients-5.3p1-94.el6.x86_64 客户端工具 openssh-5.3p1-94.el6.x86_64 工具包 openssh-askpass-5.3p1-94.el6.x86_64 基于gnome桌面的工具包 /etc/pam.d/ssh-keycat /etc/pam.d/sshd 认证文件 /etc/rc.d/init.d/sshd 启动脚本 /etc/ssh/sshd_config 主配置文件 /usr/sbin/sshd 二进制的命令 # rpm -ql openssh-clients /etc/ssh/ssh_config 客户端配置文件 /usr/bin/.ssh.hmac /usr/bin/scp /usr/bin/sftp /usr/bin/slogin /usr/bin/ssh /usr/bin/ssh-add /usr/bin/ssh-agent /usr/bin/ssh-copy-id /usr/bin/ssh-keyscan 了解配置文件： demo1:更改服务的端口为10022 vim /etc/ssh/sshd_config .. port 10022 demo2：不允许root用户登录 vim /etc/ssh/sshd_config .. PermitRootLogin no demo3：禁止使用空密码登录 PermitEmptyPasswords yes 代表允许空密码登录；no代表不允许 demo4：免密码登录 client：10.1.1.2 server:10.1.1.1 client: 1>生成一对密钥 # ssh-keygen Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub. The key fingerprint is: 0d:4f:84:3b:bb:b8:50:a2:03:49:fe:91:71:a0:73:ba root@node2.uplook.com The key's randomart image is: +--[ RSA 2048]----+ | . .. | | . . .. | | + o . ... | |o.+ + o= | |oo o. . Soo | | .o..o . | | Eo.. . . | | . .. . | | .. | +-----------------+ 2>将公钥远程传递给server端 # ssh-copy-id -i id_rsa.pub 10.1.1.1 The authenticity of host '10.1.1.1 (10.1.1.1)' can't be established. RSA key fingerprint is eb:c0:3b:54:06:88:8b:ad:db:a0:a6:8c:74:56:b3:52. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '10.1.1.1' (RSA) to the list of known hosts. root@10.1.1.1's password: Now try logging into the machine, with "ssh '10.1.1.1'", and check in: .ssh/authorized_keys to make sure we haven't added extra keys that you weren't expecting. 或者 # scp -P10022 id_rsa.pub 10.1.1.1:/root/.ssh/authorized_keys root@10.1.1.1's password: 3>测试验证 作业3： 将ssh服务托管给xinetd服务管理 要求： 1、只允许10.1.1.0/24和172.16.250.2使用ssh远程登录 2、不允许10.1.1.2访问 3、控制该服务最多只能3个连接，每个源ip只能1个连接 4、控制只能在9：00-18：00才能远程登录 5、指定日志到/var/log/xinetd_ssh.log里 6、更改ssh服务的默认端口为10000 扩展： 自己参照man文档研究以下ssh服务的其他安全参数控制 总结： 基础服务： 文件共享：nfs、samba、ftp、http、tftp nfs、samba——》client mount使用 ftp、http lftp ftp... dns telnet ssh client_》 telnet ssh dhcp tftp pxe：dhcp+tftp+nfs|ftp|http+dns..