九APACHE

## 一、HTTP协议与URL

* HTTP协议：超文本传输协议，用于从Web服务器传输超文本到本地浏览器的传输协议，属于应用层协议。超文本语言，用来创建超文本文件的标签
* URL：统一资源定位符，是互联网上标准资源的地址，格式为http://www.kernel.com:80/image/a.jpg。 80：代表这个/usr/local/apache2/htdocs/路径
* URI：统一资源标志符，是比URL更广泛的资源标识方法，URL是URI的一个具体实例。

![[Pasted image 20240924200814.png]]

#### Apache Web服务器概述

- **Apache**：是全球使用最广泛的Web服务器软件，支持跨平台运行，具有高度的安全性和可扩展性。
- **市场占有率**：约60%，是Web服务器市场的领导者。
- **支持功能**：支持SSL技术，多虚拟主机，以及Perl/Python/php等脚本语言的集成。

## ==二、服务文件介绍==

### apache2/etc/httpd.conf标签介绍
* httpd软件的相关路径：
/usr/local/apache2/ #安装目录
/usr/local/apache2/etc/ #主配置文件目录**** /etc/httpd/conf/
/usr/local/apache2/etc/extra/ #子配置文件目录****
/usr/local/apache2/logs/ #日志目录 /var/log/httpd/
/usr/local/apache2/htdocs/ #网页目录**** /var/www/html/
/usr/local/apache2/error/ #报错网页页面（404,500）
/usr/local/apache2/modules/ #存放函数的目录

* httpd.conf 配置解释
* ServerRoot      /usr/local/apache2 #apache主目录
* Listen          80                 #监听端口{Listen 192.168.88.10:80}
* LoadModule      php7               #加载的相关模块像LoadModule php7_module modules/libphp7.so
* User Group  #用户和组
* ServerName                  #服务器名没有域名时用localhost:80
* ErrorLog "logs/error_log                   #服务器错误日志代码404、500这类访问失败信息记录其中
* CustomLog "logs/access_log" common          #访问记录日志 common是开启代码100，200这类访问信息记录其中
* DirectoryIndex index.html index.php        #默认网页首页文件优先级顺序
* Include  etc/extra/httpd-vhosts.conf       #子配置文件中内容也会加载生效
* DocumentRoot "/usr/local/apache2/htdocs" #网页文件存放目录（默认）
* <Directory "/usr/local/apache2/htdocs"> #定义指定目录的权限
   *     Options Indexes FollowSymLinks
            None                #没有任何额外权限
            All                 #所有权限（除去MultiViews以外）
            Indexes             #浏览权限（当此目录下没有默认网页文件时，显示目录内容）
            FollowSymLinks     #准许软链接到其他目录
            MultiViews          #准许文件名泛匹配(模糊匹配)（需要手动开启模块才有效模块negotiation）
    AllowOverride None
        #定义是否允许目录下**.htaccess****（像身份验证和域名转换使用）**文件中的权限生效
            None                        #.htaccess中权限不生效
            All                         #文件中所有权限都生效
           AuthConfig                  #文件中，只有网页认证的权限生效
    Require all granted（denied）   #访问控制列表
    </Directory>
     DirectoryIndex #声明网页目录的首页文件
* 标签
``` shell
<IfModule dir_module>
#在这里添加首页文件比如想index.php
DirectoryIndex index.html
</IfModule>

```

保存warn之后级别的错误

![[Pasted image 20240924200601.png]]

使用案例

Indexes #开启该选项，允许没有首页时显示文件列表，关闭则不允许
``` shell
cd /usr/local/apache2/htdocs/
mv index.html /root/ #会显示文件目录
vim /usr/local/apache2/etc/httpd.conf
#删除选项会发现没有权限访问
Options FollowSymLinks
#重新启动服务
/usr/local/apache2/bin/apachectl stop
/usr/local/apache2/bin/apachectl start
#把文件复制回来
cd /usr/local/apache2/htdocs/
mv /root/index.html ./

```

FollowSymLinks #该选项用来识别软链接
``` shell
mkdir /abc
echo "testinn......" >> /abc/index.html
ln -s /abc/ /usr/local/apache2/htdocs/
#创建软链接
vim /usr/local/apache2/etc/httpd.conf
#删除选项会发现输入http://192.168.90.101/abc/没有权限访问
Options Indexes
/usr/local/apache2/bin/apachectl stop
/usr/local/apache2/bin/apachectl start

```

* 标签
``` shell
<Directory />
#设置目录有没有权限
AllowOverride none
Require all denied
</Directory>

<IfModule log_config_module>
#保存日志的格式像access.log
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %b" common
</IfModule>

```

## ==三、Apache的工作模式==

- **Prefork多进程的单线程模式**：每个子进程只有一个线程，有资源隔离性和安全性高等优点，但资源利用率低

![[Pasted image 20240924200833.png]]

- **Worker多进程的多线程模式（常用）**：采用多进程和多线程混合模式，适合高并发（并发是指用户同时访问服务器的用户量）场景，在多进程中通过管理线程预先创建空闲线程来提高响应速度和效率，但需关注线程安全问题，适用于处理动态资源，但在处理静态资源方面相对较弱。

![[Pasted image 20240924200847.png]]

- **Event**：优化了Worker模式，特别适合处理大量Keep-Alive连接，提高高并发下的性能。
- 长连接：Keep-Alive是什么？：在互联网访问中，频繁地建立和断开TCP连接会浪费时间和资源。为了提高效率，服务器采用了长连接机制，即“Keep-Alive”。通过“Keep-Alive”，Apache服务器可以在一定时间内维持客户端与服务器之间的连接，减少了TCP握手的开销，但在高并发环境下，导致服务器无法为新进来的请求快速创建新的线程进行处理
- 查看工作模式方法： /usr/local/apache2/bin/httpd -V | grep -i "server mpm"
## 四、知识扩展

* Apache需要自身的rotatelog（/usr/local/apache2/bin/rotatelogs）命令来实现日志文件的自动轮替与管理优化日志管理，减少不必要的日志记录以减小日志体积

* Apache服务器配置中的别名模块，用于解决网页目录资源共享的问题。
``` shell
<IfModule alias_module>
ScriptAlias /cgi-bin/ "/usr/local/apache2/cgi-bin/"
</IfModule>
```
* MIME模块用于帮助Apache识别不同类型的文件后缀
``` shell
例子
AddType application/x-httpd-php .php .phtml
AddType application/x-httpd-php-source .phps

```

*
``` shell
vim /usr/local/apache2/etc/httpd.conf
#把这个注释取消掉这个文件有目录浏览功能
Include etc/extra/httpd-autoindex.conf
cd /usr/local/apache2/etc/extra/
vim httpd-autoindex.conf
/usr/local/apache2/bin/apachectl stop
/usr/local/apache2/bin/apachectl start
```

httpd-autoindex.conf 包含这些访问IP/icons/链接

![[Pasted image 20240924195807.png]]
* 应对高并发负载需求？根据实际需求进行性能扩展，增加单机硬件配置还是增加服务器节点
* HTML不具备传统编程语言必备的语言特性，如变量、函数、流程控制及逻辑判断等
* l inux中的日志涉及轮替和切割两种基本策略，轮替是在日志过大之前就确定，切割是日志已经过大才使用
* /usr/local/mysql/bin/mysql -uroot -p123456
* #创建用户，指定用户的登录方式 create user typecho@'localhost' identified by '123456';
* #创建数据库 create database typecho;
* #授予某用户对指定数据库的权限 grant all on typecho.* to typecho@'localhost';
* 在用户登录mysql时修改密码 set password=password('123456')

管理源码包安装apache服务规则文件

``` shell
#apache服务管理识别文件请先/usr/local/apache2/bin/apachectl stop
在cp -a /root/httpd.service /usr/lib/systemd/system/

[Unit]
Description=apache
After=network.target

[Service]
Type=forking
ExecStart=/usr/local/apache2/bin/apachectl start
ExecStop=/usr/local/apache2/bin/apachectl stop
PrivateTmp=true

[Install]
WantedBy=multi-user.target

systemctl daemon-reload

```

* 请求状态码及其含义
   * 500服务器内部错误一个普通的错误信息，
   * 502错误的网关服务器作为一个网关或者代理，从上游的服务器中接收到无效的响应
   * 503 服务不可用 504 网关超时
   * 444 无响应被使用在Nginx的日志中表明服务器没有返回信息给客户端并且关闭了连接
   * 400 错误请求 401 未授权 **403** 禁止访问 **404** 找不到 **408** 请求超时
   * 305使用代理 306 切换代理不再使用。原意是随后的请求应该使用指定的代理
   * ==301状态码表示客户端访问时，服务器进行了重定向，从旧域名跳转到新域名。这种重定向是永久性== 302 临时重定向
   * 为什么在生产环境中要使用301重定向而非302？在生产环境中，通常要求客户端被永久重定向，因此使用301状态码。301状态码能够确保在缓存和历史记录中使用新域名，减少跳转次数，提高用户体验和效率。
   * 200 成功 201 已创建
   * 在生产环境中，虚拟主机的应用场景有哪些？在生产环境中，虚拟主机是非常重要的技术手段。例如，在将两个不同网站隔离时，可能需要使用虚拟主机来确保各站点的安全独立性。此外，在网站加密连接时，也会利用虚拟主机的概念，通过设置80端口和443端口的两个虚拟主机来分别承载非加密和加密流量，实现安全传输。或来当一些公司的门户网站

## ==五、apache实验==
### 1) Apache的目录别名

场景：通过别名功能实现第三方软件的网页共享，避免与Apache默认目录的冲突。可以为了第三方软件在不去破坏原有网页项目的情况下，能够被共享的一种方式（用比较少）

1、编辑主配置文件

``` shell
vim /usr/local/apache2/etc/httpd.conf

Include etc/extra/httpd-autoindex.conf #去掉注释，开启调用子配置文件,这个文件有目录浏览功能
LoadModule negotiation_module modules/mod_negotiation.so #去掉注释开启模糊匹配

```

2、编辑子配置文件

``` shell

  mkdir -p /aa/bb/cc/w3/
  echo "sssSs" >> /aa/bb/cc/w3/index.html
vim /usr/local/apache2/etc/extra/httpd-autoindex.conf
    # 结构：别名 "真实目录" 真实目录的结尾要有/，否则报
Alias /w3/ "/aa/bb/cc/w3/"
<Directory "/aa/bb/cc/w3/">
Options Indexes MultiViews#模糊匹配
AllowOverride None
Require all granted
</Directory>

/usr/local/apache2/bin/apachectl stop
/usr/local/apache2/bin/apachectl start
```

可以根据模板编写一个自己需要的目录别名

### 2) Apache的用户认证

有时候，我们需要给一些特殊的访问设置一个用户认证机制，增加安全。比如我们的个人网站，一般都是有一个管理后台的，虽然管理后台本身就有密码，但我们为了更加安全，可以再设置一层用户身份认证。

1、编辑配置文件

``` shell
#安装项目
mkdir /usr/local/apache2/htdocs/typecho
unzip /root/typecho.zip
cp -a /root/build/* /usr/local/apache2/htdocs/typecho/
cd /usr/local/apache2/htdocs/
useradd -s /sbin/nologin -r www
chown -R www.www *
#在添加数据库用户用命令或者别的并要改变apache主配置文件默认网页文件优先级
#修改配置文件
vim /usr/local/apache2/etc/httpd.conf

我要对htdocs/typecho/admin目录加密可以进行对Directory标签进行修改AllowOverride 的none改成 ALL

<Directory "/usr/local/apache2/htdocs/"> #声明被保护目录
        Options Indexes FollowSymLinks
        AllowOverride ALL                  #开启权限认证文件.htaccess
        Require all granted

</Directory>

```

2、在指定目录下创建权限文件
切换到/usr/local/apache2/htdocs/typecho/admin，创建 .htaccess文件，并添加下面的内容

``` shell
vim .htaccess
#提示信息
AuthName "Welcome to kernel"
#加密类型
AuthType basic
#密码文件，文件名自定义。（使用绝对路径）
AuthUserFile /usr/local/apache2/htdocs/typecho/admin/apache.passwd
#允许密码文件中所有用户访问
require valid-user

```

**3****、建立密码文件，加入允许访问的用户。（此用户和系统用户无关）**

``` shell
/usr/local/apache2/bin/htpasswd -c /usr/local/apache2/htdocs/typecho/admin/apache.passwd test1

-c 建立密码文件，只有添加第一个用户时，才能-c

/usr/local/apache2/bin/htpasswd -m /usr/local/apache2/htdocs/typecho/admin/apache.passwd test2

-m 再添加更多用户时，使用-m 参数
```
==注意： htpasswd 该命令是httpd的命令，需要绝对路径==

4、重启apache服务

``` shell
/usr/local/apache2/bin/apachectl -t 用于检测Apache配置文件的语法正确性
/usr/local/apache2/bin/apachectl stop
/usr/local/apache2/bin/apachectl start
pidof httpd | wc -l 用显示当前正在运行的 `httpd` 进程的进程ID并用wc统计行数

```

## 3) ==虚拟主机==

* 虚拟机：
通过宿主机进行硬件虚拟化，使用构建的虚拟硬件进行操作系统安装和环境运行的机器。
* vmware workstation 寄居式架构 #PC级虚拟化软件像vmware需要以Windows为底层的虚拟化软件
* vmware esxi 裸金属架构 #企业级虚拟化软件用ESXi部署虚拟机来运行关键服务，如网络盘，以及通过跳板机提高安全管理的效率。
* 虚拟主机 - web服务器上的一种功能
   * 功能：让一个web平台可以同时运行多个网站，==并且网站之间相互隔离==
   * 方法：
       1. 基于IP地址的虚拟主机基于IP的方法受限于公共IP地址的稀缺
       2. 基于端口的的虚拟主机基于端口的方法虽技术上可行但使用不便
       3. 基于域名的虚拟主机(常用)
**实验目的：** ==实现这多个网站看起来就是个独立网站，实则是同一台服务器上同一个LAMP平台==

**1.** **域名解析：准备两个域名**
在windows添加
C:\Windows\System32\drivers\etc 的hotos文件添加
192.168.90.101 www.typecho.com
192.168.90.101 www.bbs.com

#使用本地hosts文件进行解析

**2.** **网站主页目录规划**

在/htdocs/目录下分别创建typecho和 bbs两个目录，并在新建目录内创建index.html文件（分别写不一样的内容）
``` shell
mkdir /usr/local/apache2/htdocs/typecho
mkdir /usr/local/apache2/htdocs/bbs
unzip /root/typecho.zip
cp -a /root/build/* /usr/local/apache2/htdocs/typecho/
cp -a /root/upload/* /usr/local/apache2/htdocs/bbs/
cd /usr/local/apache2/htdocs/
useradd -s /sbin/nologin -r www
chown -R www.www *
vim /usr/local/apache2/etc/httpd.conf
<IfModule dir_module>
DirectoryIndex index.php index.html #改变apache主配置文件默认网页文件优先级
</IfModule>
User www
Group www

/usr/local/apache2/bin/apachectl stop
/usr/local/apache2/bin/apachectl start
```

* 实验步骤：

**1.** **修改主配置文件开启文件关联**

``` shell
vim /usr/local/apache2/etc/httpd.conf

Include etc/extra/httpd-vhosts.conf #此行取消注释
```
``` shell
#添加临时IP的方法
cd /etc/sysconfig/network-scripts/
cp -a ifcfg-ens33 ifcfg-ens33:0
vim ifcfg-ens33:0
```

**2.** **编辑子配置文件，编写虚拟主机标签**

``` shell
vim /usr/local/apache2/etc/extra/httpd-vhosts.conf
   #添加下方内容，有几个虚拟主机就写几组
   #IP地址的虚拟主机配置IP要变，可通过添加临时IP地址进行实验
<VirtualHost 192.168.90.120:80>
   ServerAdmin webmaster@dummy-host.example.com
   DocumentRoot "/usr/local/apache2/htdocs/typecho/"
   ServerName www.typecho.com
   ErrorLog "logs/dummy-host.example.com-error_log"
   CustomLog "logs/dummy-host.example.com-access_log" common
</VirtualHost>
#端口的虚拟主机配置端口要变，记得vim /usr/local/apache2/etc/httpd.conf添加Listen 81
<VirtualHost 192.168.90.100:81>
ServerAdmin webmaster@dummy-host.example.com
DocumentRoot "/usr/local/apache2/htdocs/typecho/"
ServerName www.typecho.com
ErrorLog "logs/dummy-host.example.com-error_log"
CustomLog "logs/dummy-host.example.com-access_log" common
</VirtualHost>
#端口的的虚拟主机配置IP和端口不变，弄好域名
<VirtualHost 192.168.90.100:80>
ServerAdmin webmaster@dummy-host.example.com
DocumentRoot "/usr/local/apache2/htdocs/typecho/"
ServerName www.typecho.com
ErrorLog "logs/dummy-host.example.com-error_log"
CustomLog "logs/dummy-host.example.com-access_log" common
</VirtualHost>
#每一行代表含义#虚拟主机标签 #管理员邮箱 #网站主目录 #完整域名 #错误日志 #访问日志
/usr/local/apache2/bin/apachectl stop
/usr/local/apache2/bin/apachectl start

```

**3.** **重启服务，验证结果：要让客户端自己解析**

Windows 下：浏览器下输入两个不同的域名验证网页内容（提前修改windows的hosts文件）
在windows添加
C:\Windows\System32\drivers\etc 的hotos文件添加
192.168.90.101 www.typecho.com
192.168.90.101 www.bbs.com

Linux下：通过elinks/curl命令验证：elinks/curl URL地址（提前修改Linux的hosts文件）
``` shell
vim /etc/hosts
192.168.90.101 www.typecho.com
192.168.90.101 www.bbs.com
reboot
curl www.typecho.com
curl www.bbs.com
```

==注意事项：如果一个项目在你当前规划好了的环境上已经安装了。比如说我是做基于域名的虚拟主机，我把这个项目正常的创建数据过程中装完了，注意不要再拿装完了的这个环境再去测基于IP的，基于端口的。因为它的数据库里面记录的是域名==

### 4) ==域名跳转==（重难点）

原理：一个客户端通过域名访问时，然后服务器匹配条件里边发现是就已经符合条件了。然后利用规则把URL地址重写，让这个用户重新用新的URL地址再重新访问的重写机制。注意，是重新让客户端重新访问的一种机制，叫做重写(重定向)。

**实验条件：**

1. 虚拟主机能正常访问（在虚拟主机已经搭建完的基础上）

**2.** **打开主配置文件开启重写模块**
``` shell
vim /usr/local/apache2/etc/httpd.conf
LoadModule rewrite_module modules/mod_rewrite.so #取消注释开启重写模块

```

**实验步骤：**

**1.** **修改虚拟主机配置文件**

``` shell
vim /usr/local/apache2/etc/extra/httpd-vhosts.conf
<VirtualHost 192.168.90.101:80>
ServerAdmin webmaster@dummy-host.example.com
DocumentRoot "/usr/local/apache2/htdocs/typecho/"
#指定服务器的主域名
ServerName www.blog.com
# 指定服务器的别名，可以通过这些别名访问该虚拟主机
ServerAlias www.typecho.com
# 指定错误日志文件的路径
ErrorLog "logs/dummy-host.example.com-error_log"
# 指定访问日志文件的路径，并指定日志格式为common
CustomLog "logs/dummy-host.example.com-access_log" common
</VirtualHost>

<Directory "/usr/local/apache2/htdocs/typecho">
Options Indexes FollowSymLinks
# 允许.htaccess文件覆盖配置，要开启rewrite模块主配置文件也要
AllowOverride All
# 允许所有客户端访问该目录
Require all granted
</Directory>

```

**2.** **创建规则匹配文件**

``` shell
cd /usr/local/apache2/htdocs/typecho/
vim .htaccess
#旧域名跳转新域名：
RewriteEngine on
RewriteCond %{HTTP_HOST} ^www.typecho.com [NC]
RewriteRule ^(.*)$ http://www.blog.com/$1 [L,R=301]

#旧域名跳转新域名：
#开启rewrite功能
RewriteEngine on
#只有当请求的客户端请求的域名是 www.typecho.com 时，后续的重写规则才会生效。
#[NC] 标志表示匹配时不区分大小写。
RewriteCond %{HTTP_HOST} ^www.typecho.com [NC]
  # ^(.*)$ 指代客户端要访问的资源是任意的
  # $1 把 .* 所指代的内容赋值到$1变量中
  # R=permanent 永久重定向 = 301
  # L 在多条重定向规则中，如果规则前有L，当前规则执行成功则后续的规则将不再执行，只要规则没执行成功，才执行后续的规则。
RewriteRule ^(.*)$ http://www.blog.com/$1 [L,R=301]

```

**3.** **重启服务器并测试**

``` shell
/usr/local/apache2/bin/apachectl -t
/usr/local/apache2/bin/apachectl stop
/usr/local/apache2/bin/apachectl start

```

### 5) Apache+openssl实现https（重难点）

HTTPS（全称：Hypertext Transfer Protocol Secure，超文本传输安全协议），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，用于安全的HTTP数据传输。这个系统被内置于浏览器中，提供了身份验证与加密通讯方法。
流程：首先检查Apache是否支持SSL模块，然后创建证书和密钥文件，并将其放置在Apache能够调用的适当位置。在Apache的配置文件中引入SSL相关设置，并确保引用正确的证书和密钥路径以及写入相关的配置文件。最后重启Apache服务以使配置生效。

**1.** **准备工作：**

检查Apache是否支持SSL，检查相应模块是否安装，若安装则将模块启用,并且是在前面两个实验完成的基础上实验

**模块存放目录：**/usr/local/apache2/modules

**检查模块是否启用**：/usr/local/apache2/bin/apachectl -M | grep ssl

``` shell
vim /usr/local/apache2/etc/httpd.conf

         LoadModule ssl_module modules/mod_ssl.so         #取消注释
         Include etc/extra/httpd-ssl.conf                             #取消注释
         LoadModule socache_shmcb_module modules/mod_socache_shmcb.so #取消注释ssl配置文件需要开启的模块
         #打开全局dns把dns删除在重启服务
         vim /etc/resolv.conf
```

![[Pasted image 20240926195700.png]]

2. CA证书申请

``` shell
#因为配置文件默认写来这个路径并且要求生成的名字是server后缀的密钥
cd /usr/local/apache2/etc
#建立服务器私钥，生成RSA私钥
openssl genrsa -out server.key 1024
#生成的csr文件交给CA签名后形成服务端自己的证书
openssl req -new -key server.key -out server.csr
openssl x509 -req -days 365 -sha256 -in server.csr -signkey server.key -out server.crt
#使用CA服务器签发证书，设置证书的有效期等信息
注意1：生成完秘钥和证书文件后，将文件存放在Apache的安装目录下的cert目录下
注意2：在生产环境中必须要在https证书厂商注册（否则浏览器不识别

```
ssl配置文件
* 默认生成密钥的目录
![[Pasted image 20240926211940.png]]
* 要修改的配置路径
![[Pasted image 20240926212028.png]]

**3.** 配置文件修改

* 修改httpd-ssl.conf配置文件，调用证书等文件

``` shell
vim /usr/local/apache2/etc/extra/httpd-ssl.conf
在<VirtualHost _default_:443>下修改这两行
DocumentRoot "/usr/local/apache2/htdocs/typecho"
ServerName www.blog.com:443
```

4 创建规则匹配文件设置强制跳转https
* 在httpd-vhosts.conf写入的配置文件
* 技巧：跳转规则可以写入httpd-vhosts.conf这个文件，比如htaccess文件可以写入
``` shell
vim /usr/local/apache2/etc/extra/httpd-vhosts.conf
<VirtualHost 192.168.90.101:80>
ServerAdmin webmaster@dummy-host.example.com
DocumentRoot "/usr/local/apache2/htdocs/typecho/"
ServerName www.blog.com
ServerAlias www.typecho.com
ErrorLog "logs/dummy-host.example.com-error_log"
CustomLog "logs/dummy-host.example.com-access_log" common
</VirtualHost>

<Directory "/usr/local/apache2/htdocs/typecho">
Options Indexes FollowSymLinks
AllowOverride All
Require all granted
#旧域名跳转新域名 + 80跳转443
#开启转发规则
RewriteEngine on
#逻辑旧域名访问：无论使用HTTP (80) 还是HTTPS (443)，都会被重定向到新的加密域名（HTTPS 443）这个规则必须在前面
RewriteCond %{HTTP_HOST} ^www.typecho.com [NC]
RewriteRule ^(.*)$ https://www.blog.com/$1 [L,R=301]
#逻辑访问端口只要目标不是443时跳转到HTTPS (443)，已使用HTTPS (443) 则不跳转。这个规则必须在后面
RewriteCond %{SERVER_PORT} !^443$ [NC]
#全都使用https重新访问
RewriteRule ^(.*)$ https://%{SERVER_NAME}/$1 [L,R=301]
</Directory>

5 结果测试
``` shell
/usr/local/apache2/bin/apachectl -t
/usr/local/apache2/bin/apachectl stop
/usr/local/apache2/bin/apachectl start
http://www.typecho.com/
https://www.typecho.com/
http://www.blog.com/
#是否都跳转到https://www.blog.com/

```

### 6) Apache日志轮替

我们每访问一次网站，那么就会记录若干条日志。如果日志不去管理，时间长了日志文件会越来越大，如何避免产生大的日志文件？其实apache有相关的配置，使日志按照我们的需求进行归档，比如每天一个新日志，或者每小时一个新的日志。

``` shell
vim /usr/local/apache2/etc/httpd.conf
#设置apache日志分割
#同样编辑配置文件vim /usr/local/apache2/etc/httpd.conf
#Y年m月d日
CustomLog "|/usr/local/apache2/bin/rotatelogs -l /usr/local/apache2/logs/access-%Y%m%d.log 86400" common
#刷新后查看日志文件
ls /usr/local/apache2/logs
#看是否有 access-20240926.log

可编辑添加内容如下：
ErrorLog "logs/error.log"
CustomLog "logs/access.log" combined
指定了日志存放在/usr/local/apache2/logs目录下分别为error.log和access.log，combined为日志显示的格式，日志格式可以参考配置文件httpd.conf中格式的指定，如下：
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %b" common

```

ErrorLog是错误日志，CustomLog是访问日志。|就是管道符，意思是把产生的日志交给rotatelog这个工具，而这个工具就是apache自带的切割日志的工具。-l的作用是校准时区为UTC，也就是北京时间。86400，单位是秒，正好是一天，那么日志会每天切割一次。而最后面的combined为日志的格式，在httpd.conf中有定义。

### 7) 不记录指定文件类型的日志

如果一个网站访问量特别大，那么访问日志就会很多，但有一些访问日志我们其实是可以忽略掉的，比如网站的一些图片，还有js、css等静态对象。而这些文件的访问往往是巨量的，而且即使记录这些日志也没有什么用，那么如何忽略不记录这些日志呢？

1、配置日志不记录图片的访问

``` shell
vim /usr/local/apache2/etc/httpd.conf
SetEnvIf Request_URI ".*\.gif$" image-request
SetEnvIf Request_URI ".*\.jpg$" image-request
SetEnvIf Request_URI ".*\.png$" image-request
SetEnvIf Request_URI ".*\.bmp$" image-request
SetEnvIf Request_URI ".*\.swf$" image-request
SetEnvIf Request_URI ".*\.js$" image-request
SetEnvIf Request_URI ".*\.css$" image-request

CustomLog "|/usr/local/apache2/bin/rotatelogs -l /usr/local/apache2/logs/access-%Y%m%d.log 86400" common env=!image-request

#测试用看日志变化
tail -f access-20240926.log

```

说明：在原来的访问日志配置基础上，增加了一些image-request的定义，比如把gif、jpg、bmp、swf、js、css等结尾的全标记为image-request，然后在配置日志后加一个标记env=!image-request，表示取反。

### 8) Apache配置静态缓存

所说的静态文件指的是图片、js、css等文件，用户访问一个站点，其实大多数元素都是图片、js、css等，这些静态文件其实是会被客户端的浏览器缓存到本地电脑上的，目的就是为了下次再请求时不再去服务器上下载，这样就加快了速度，提高了用户体验。但这些静态文件总不能一直缓存，它总有一些时效性，那么就得设置这个过期时间。

1、配置静态缓存

/usr/local/apache2/etc/httpd.conf

``` shell
LoadModule expires_module modules/mod_expires.so #去掉注释开启这个模块
<IfModule mod_expires.c> #此模块默认未启用，请手动启用
ExpiresActive on
ExpiresByType image/gif "access plus 1 days"
ExpiresByType image/jpeg "access plus 24 hours"
ExpiresByType image/png "access plus 24 hours"
ExpiresByType text/css "now plus 2 hours"
ExpiresByType application/x-javascript "now plus 2 hours"
ExpiresByType application/javascript "now plus 2 hours"
ExpiresByType application/x-shockwave-flash "now plus 2 hours"
ExpiresDefault "now plus 0 min"
</IfModule>
```

**2****、重启服务器并验证**

``` shell
/usr/local/apache2/bin/apachectl -t
/usr/local/apache2/bin/apachectl stop
/usr/local/apache2/bin/apachectl start

验证：

在另一个虚拟机用 curl -I 'http://192.168.90.101/linux.gif'

```

![[Pasted image 20240926211701.png]]

### 9) 禁止解析PHP

场景：我们做网站安全的时候，这个用的很多，例如平台网站存在头像上传文件类型漏洞，采用临时解决方案禁止解析特定目录下的非图片文件，后续需在后台代码中加入对上传文件类型的过滤。

**配置禁止解析php**

``` shell
<Directory /usr/local/apache2/htdocs/data>

php_admin_flag engine off

    <filesmatch "(.*)\.php$">
        Order deny,allow
        Deny from all
    </filesmatch>
</Directory>
```

### 10）apache状态统计模块的配置：

``` shell
vim /usr/local/apache2/etc/httpd.conf
LoadModule status_module modules/mod_status.so #开启这个模块
<Location "/server-status">
SetHandler server-status
Require all granted #就这儿要改要给全部权限
</Location>

#客户端访问网址:http://IP/server_status 用?auto可查看详细数值