分类: BSD
2007-12-28 21:15:54
第十四章 网页服务器进阶应用
网页服务器架设之后,世界各地的使用者都可以经由因特网连到您的主机,如何维护网站安全是一大课题。管理者更需要知道网站的使用情形,系统资源、网络频宽是否足够。本章将说明网页服务器使用上常见的管理议题,并介绍一些好用的管理工具。读完本章后,您将进一步了解下列主题:
14.1 HTTP 安全与 SSL 协定
当我们使用网络服务时,经由网络传送的数据都有可能被他人拦截窃听。简单的说,当您从网页上输入账号密码时,如果有人在您所使用的计算机和服务器之间拦截,就可以轻易的从网络封包中窃听到您所输入的数据。
随着网络的蓬勃发展,在线交易的使用量日益增加,对于数据的保护更是重要。如果一个在线交易的网站使用普通的 HTTP,则使用者输入的账号密码、交易数据、信用卡号等等都有可能会外泄,更别说交易数据被假造的风险了。为了解决 HTTP 的网络安全,发展出许多加密、认证的机制。其中最常见的就是使用金钥加密法的 HTTP over SSL (Secure Socket Layer),又称为 HTTPS,目前国内许多网络银行都是使用 HTTPS 作为交易安全的第一道关卡。
SSL 的加密方式是由服务器端提供了一组加解密用的金钥,在服务器端所使用的是私密金钥 (Private key),而客户端所使用的是公开金钥 (Public key)。在联机建立后,HTTP 服务器会将公开金钥传给客户端使用。公开金钥加密过的资料只能由私密金钥解密,在客户端要送出数据之前,会先使用公开金钥进行加密的动作,而服务器收到数据后,会使用私密金钥进行解密。
在 Apache 2 中,预设安装即支持 SSL,我们只需产生一组金钥,并设定启动 SSL 即可。
14.1.1 产生金钥
正确的凭证产生方法是先产生服务器用的公钥及 CSR (Certificate Signing Request),接着将 CSR 送给专门做凭证签发的公正单位做签章。或者,我们也可以自己做为一个凭证签发单位,自己为自己签发凭证。但由于我们自己产生的凭证不具公信力,所以使用者使用 HTTPS 连到网站时,会出现下列的警告讯息:
图 14-1
这个警告讯息并不影响加密,不过如果您所架设的是商用网站,您还是得交由公正单位作签证。
如果您要使用自我签发的凭证,第一步是要产生签发单位凭证,我们先建立一个目录名为 ssl,并将产生的凭证放在该目录下:
# mkdir ssl # cd ssl # openssl genrsa -out ca.key 1024 # openssl req -new -key ca.key -out ca.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:TW State or Province Name (full name) [Some-State]:Taiwan Locality Name (eg, city) []:Taipei Organization Name (eg, company) [Internet Widgits Pty Ltd]:My Company Organizational Unit Name (eg, section) []:Certificate Authority Common Name (eg, YOUR name) []:MyCA Email Address []:alex@alexwang.com Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:按 Enter 即可 An optional company name []:按 Enter 即可 # openssl x509 -days 365 -signkey ca.key -in ca.csr -req -out ca.crt
我们在第二个 openssl 指令中必须输入一些基本信息,最后产生一个有效期限 365 天的凭证。接着,必须产生 Apache 服务器用的凭证:
# openssl genrsa -out server.key 1024 # openssl req -new -key server.key -out server.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:TW State or Province Name (full name) [Some-State]:Taiwan Locality Name (eg, city) []:Taipei Organization Name (eg, company) [Internet Widgits Pty Ltd]:My Company Organizational Unit Name (eg, section) []:Web Team Common Name (eg, YOUR name) []: Email Address []:alex@alexwang.com Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:按 Enter 即可 An optional company name []:按 Enter 即可 # openssl x509 -days 365 -CA ca.crt -CAkey ca.key -in server.csr -req -out server.crt
同样的,我们必须输入关于这个凭证的一些数据,最后,我们使用之前所产生的凭证签发一个有效期限 365 天的服务器用凭证。必须注意的是,在 Common Name 必须输入您的主机名称,以避免联机时凭证名称和网页名称不符的警告。另外,我们在产生凭证时,当 OpenSSL 要求输入用来保护凭证的密码时,我们都没有输入密码。如果您输入密码,则以后 Apache 要启动时都必须输入密码才可以启动。
最后,我们将服务器用的凭证复制到 Apache 的设定文件位置:
# mkdir /usr/local/etc/apache2/ssl.crt # mkdir /usr/local/etc/apache2/ssl.key # cp server.crt /usr/local/etc/apache2/ssl.crt/server.crt # cp server.key /usr/local/etc/apache2/ssl.key/server.key # chmod 400 /usr/local/etc/apache2/ssl.crt/server.crt # chmod 400 /usr/local/etc/apache2/ssl.key/server.key
最后,请将我们制作过程中的凭证删除:
# rm -rf ssl
凭证制作完成后,我们就可以开始设定支持 SSL 的 Apache 了。
14.1.2 设定及启动 HTTPS
首先,我们必须先修改 /usr/local/etc/apache2/ssl.conf 以设定 SSL,请先找到下列区段:
|
我们必须修改 DocuemntRoot,并将它设为我们网页根目录,然后要修改 ServerName,将它设定为我们的主机名称。
为了要该 Apache 启动时可以支持 SSL,请在 /etc/rc.conf 中加入 Apache SSL 的设定:
apache2ssl_enable="YES" |
最后,请重新启动 Apache 即可:
# /usr/local/etc/rc.d/apache2.sh restart
接下来,您就可以使用 连到您的主机了。请注意,我们使用的联机方法是 https,而非 http。如果您联机的主机名称和凭证产生的名称不同,将会有名称不符的警告讯息。
图 14-2
14.2 对目录设定密码保护
在架设网站时,如果您有特殊需求,必须指定某个目录只能由某些使用者才能存取,我们可以使用 Apache 内建的目录保护功能,让使用者必须输入使用者名称及密码才能存取该目录。
在开始设定目录的保护之前,我们必须先修改 httpd.conf,允许使用者可以在网页目录中使用认证功能。首先,请编辑 /usr/local/etc/apache2/httpd.conf,找到网页目录设定的区段:
... LoadModule auth_module libexec/apache2/mod_auth.so ... |
我们必须先确定 Apache 有加载 mod_auth.so 模块。接着,我们在网页目录的区段中 AllowOverride 的部份设定了使用 AuthConfig。如果 AllowOverride 设为 None 表示不允许使用者变更目录设定,设为 AuthConfig 表示可以使用 AuthDBMGroupFile、 AuthDBMUserFile, AuthGroupFile、AuthName、AuthType 等认证的功能。另外,在 AccessFileName 中,我们设定了用来保护目录的设定文件名称,预设为 .htaccess。
Apache 允许使用者在目录下放置一个档案来控制该目录的存取权限,预设是使用 .htaccess。我们可以自行用文书软件编辑一个文件名为 .htaccess 的档案来设定档案所在目录的权限。假设我们要保护的目录是 /home/www/private/ 这个目录,请新增一个文字文件 /home/www/private/.htaccess,内容如下:
AuthName "管理专区" AuthType "Basic" AuthUserFile "/var/http.pw" require valid-user |
其中请注意各参数的大小写。这里我们设定储存使用者账号及密码的档案是 /var/http.pw。
接下来我们就可以新增使用者及密码了。Apache 用来新增密码的指令为 htpasswd:
# /usr/local/sbin/htpasswd -c /var/http.pw username New password: 输入 username 的密码 Re-type new password: 再输入一次
上述指令会建立密码文件 /var/http.pw 并加入使用者 username。如果您还要再加入第二个使用者,不需要加参数 -c。
接着,我们使用使用浏览器连到该目录时,将出现下列画面:
图 14-3
此时输入你设定的使用者名称及密码即可。若输入的账号密码正确,即可正常看到该目录的内容,否则在输入三次错误之后,将出现禁止存取的页面。
|
14.3 虚拟主机
如果您想要使用一台主机管理多个不同名称的网页,例如, 及 全都连到同一台服务器,我们可以经由 Apache 虚拟主机的功能,让不同的网址秀出不同的网页内容。其本上,就是在一台机器上设定多个主机名称或 IP,并依不同名称来决定其根目录所在。当使用者联机到我们的主机时,每一个不同的名称所看到的根目录都不同。
要达到这样的功能,我们必须先确定主机有多个 DNS 名称,这样别人打该主机名称才会对应到你的 IP。假设你的主机 IP 是 111.222.78.9 ,上面有二个主机名称,一个是 ,另一个是 。您必须先在 DNS 中设定让这二个主机名称都可以对应到 11.22.78.9 这个 IP。
在确认 DNS 设定没问题后,我们就可以开始设定 Apache 虚拟主机的功能了。请编辑 httpd.conf,在虚拟主机的部份加入下列设定:
# 设定使用名称的虚拟本机 NameVirtualHost *:80 # 设定 的管理者账号、存放网页的目录及log 所在 |
做完上面的设定后,就可以重新启动 Apache 了。如果你还有别的 Domain Name 指向 111.222.78.9 的话,例如 ,但你并未设定其 Virtual Host 数据,Apache 将以第一个设定的 Virtual Host 数据为主。在这个范例里,当你打 会连到 的设定。
必须要注意的是,有些客户端的联机软件并不支持 Name-Based 的虚拟主机,要支持 name-based virtual host,客户端必须送出 HTTP 的标头,也就是浏览器必须支持 HTTP/1.1。不过,请放心,我们常用的 IE、Netscape、lynx 都有支援。
14.4 网页记录分析
在我们将所制作好的网页放在网页服务器之后,我们会想知道每一个网页的浏览次数、使用者的停留时间等等,以做为改善网页的依据。这些信息都可以从 Apache 的联机记录文件中获得,但由于 Apache 的联机记录中,只有一笔一笔使用者浏览网页的记录,我们需要使用一些工具来分析记录文件,让这些记录文件能更易于阅读。
本章将介绍 Webalizer 这套软件。Webalizer 会读取 Apache 的联机记录文件,并将分析结果存成网页,让我们可以经由网页的图形更轻松的了解每一个页面的使用情形。由于 Webalizer 所进行的分析是经由读取 log 档,因此 log 文件的数据越多,分析出来的结果也就越详尽。
我们使用下列指令安装 Webalizer:
# cd /usr/ports/www/webalizer # make install clean
在安装完 Webalizer 之后,我们必须先做一些简单的设定。在 /usr/local/etc/ 有一个 Webalizer 的设定文件范例 webalizer.conf-dist,我们先将它复制一份再开始编辑:
# cp /usr/local/etc/webalizer.conf-dist /usr/local/etc/webalizer.conf # ee /usr/local/etc/webalizer.conf
以下我们将一一说明此设定档的内容,如果您想要更改其中的设定,请将该行开头的井字号移除再开始修改:
# 设定 Apache 联机记录文件的位置。 #LogFile /var/lib/httpd/logs/access_log LogFile /var/log/httpd-access.log # 设定 log 文件的型式,Webalizer 除了 Apache 外,还可以支持分析 FTP 软件 # 或 proxy 软件 squid 的 log 文件。LogType 预设的值是 'clf',表示分析 # 网页数据,你也可以设定为 ftp 或 squid。 #LogType clf # OutputDir 是我们想要输出分析数据的位置。请设定为网页根目录下的某一个 # 目录。例如我们的网页根目录是 /home/www,请先在该目录下建立一个子目录 # 名为 traffic,接着再设定 OutputDir 为 /home/www/traffic。 #OutputDir /var/lib/httpd/htdocs/usage OutputDir /home/www/traffic # HistoryName 可以让我们设定 webalizer 所产生的历史记录文件的文件名。这个档 # 可以用来产生 主要的 HTML 页面 (index.html),我们不需要修改。 #HistoryName webalizer.hist # 由于我们可能会设定某一段时间自动将 Apache 的 log 压缩或删除。而 # Incremental 这个变量可以让我们在产生分析资料时,只更新增加的部份 # 而分析过的资料就不再分析,以免覆盖了旧有的资料。 #Incremental no Incremental yes # 若您设定 Incremental 为 yes,IncrementalName 可以让您设定目前增加 # 的分析数据存放位置。 #IncrementalName webalizer.current # ReportTitle 是分析结果网页的标题。在该标题后会加上您的主机名称。 #ReportTitle Usage Statistics for # 设定您的主机名称。 #HostName localhost # HTMLExtension 是所产生的 HTML 档的扩展名。 #HTMLExtension html # PageType 可以让您设定何种扩展名结尾的页面要加入分析数据。因为在 # log 文件中有一些图片,而这些图版我们并不希望加入分析数据中,或者我 # 们也可以增加 PHP 页面的分析数据。所以在这里,我们加上一行用来分析 # PHP 页面的设定。 PageType htm* PageType cgi PageType php #PageType phtml #PageType php3 #PageType pl # 如果您希望只使用 https 才可以连到分析页面,则将 UseHTTPS 设为 yes。 #UseHTTPS no # DNSCache 可以设定 DNS 快取的文件名称,在分析数据时,可能会一直需要 # 做 DNS 的分析,这个档可以提高 DNS 查询的效率。 #DNSCache dns_cache.db # DNSChildren 可以设定要使用多少 process 来做 DNS 查询,预设是 0,表示 # 不查询,我们可以设定的值从 1 到 100。最好不要设太多,以免消耗太多系统 # 资源。 #DNSChildren 0 # HTMLPre 是用设定每个 HTML 档案开头第一行要插入的字,最长 80 个字符。 #HTMLPre # HTMLHead 可以让我们设定 HTML 页面 中间要插入的字。最长 # 也是 80 个字符。 #HTMLHead # HTMLBody 会取代在 HTML 页面中的 这个标签。可以让我们设定网页 # 的一些属性。最长也是 80 个字符。 #HTMLBody # HTMLPost 会将设定的字符串插入 HTML 第一个 |