# 红帽8.0版本(sshd)

> 个人有道云共享链接：有道云笔记

因为时间原因就不对显示内容进行美化，主要通过有道云观看即可。

————————

操作便记方法：

[文件]

1、/usr/share/doc/httpd/httpd-vhosts.conf中复制基础信息

2、/etc/httpd/conf/httpd.conf中复制部分内容

3、两者组合成见面发布文件（*.con），存放在/etc/httpd/conf.d/下

[安全]

4、配置发布的目录上下文：为httpd_sys_content_t

统一修改发布目录中的配置目录上下文：

semanage fcontext -l | grep httpd （复制配置参数）

semanage fcontext -a -t httpd_sys_content_t "配置参数"

5、如果要发布用户个人网页需要开启（允许访问冡目录+权限）：

setsebool -P httpd_enable_homedirs

setfacl -R -m apache:rx 发布目录

6、最后就是配置防火墙放行端口

firewall-cmd --permanent --add-port=端口/协议

---

一、发布用户个人主页

1、进入/etc/httpd/conf.d/userdir.conf 用户目录配置文件：

[添加 # 号]将 UserDir disabled 关闭

[删除 # 号]将 UserDir public_htm 开启

【UserDir 参数表示网站数据在用户家目录中的保存目录名称，即 用户家目录中，哪个目录是存放网页文件】

2、在用户家目录创建网页目录：

（1）进行指定用户的家目录

（2）创建 public_html 目录

（3）再向该目录写入一个index.html的测试网页

3、放行apache用户访问用户的家目录

（1）设置acl放行apache

setfacl -m apache:rx 用户目录

（2）放行httpd访问目录

getsebool -a | grep httpd_enable_homedirs

setsebool -P httpd_enable_homedirs=on

（3）进行测试访问

http://httpd地址/~用户名称

4、根据需求进行放行对应的防火墙策略

firewall-cmd --permanent --add-port=80/tcp

---

二、通过IP发布网站

1、修改配置文件

（1）copy一份/usr/share/doc/httpd/http-vhosts.conf中的配置

（1.5）部分需要从主配置文件httpd.conf中复制

（2）新命名一个文件为：ceshi.conf

<VirtualHost *:80> DocumentRoot "/ceshi" <Directory /ceshi> AllowOverride none Require all granted </Directory> <VirtualHost>

2、进行语法检查

httpd -t

apachectl /etc/httpd/conf/httpd.conf

3、配置selinux允许apache访问本地的发布目录

（1）查看httpd的允许的上下文

ls -dz /var/www/html

system_u:object_r:httpd_sys_content_t:s0 /var/www/html/

允许的上下文是：httpd_sys_content_t

（2）临时修改发布目录的上下文（针对少数的文件）

selinux安全上下文的配置

chcon -t httpd_sys_content_t /ceshi

chcon -t httpd_sys_content_t /ceshi/index.html 【默认情况下，在chcon过的目录下进行创建的文件也跟随目录上下文】

（3）进行永久修改默认的上下文目录（针对大量文件）

        1）查看httpd_sys_content_t的上下文所属的目录有哪些：

                semanage fcontext -l | grep httpd_sys_content_t

        2）增加/ceshi目录含子目录，成为该类型上下文的所属目录：

                semanage fcontext -a -t httpd_sys_content_t "/ceshi(/.*)?"

        3）增加之后，通过restorecon 命令将目录的类型进行"恢复"

                restorecon -Rv /ceshi

4、根据需求进行放行对应的防火墙策略

        firewall-cmd --permanent --add-port=80/tcp

---

三、通过域名发布网站

1、修改配置文件

（1）copy一份/usr/share/doc/httpd/http-vhosts.conf中的配置

（1.5）部分需要从主配置文件httpd.conf中复制

（2）新命名一个文件为：ceshi.conf

<VirtualHost *:80> DocumentRoot "/ceshi" ServerName www.baidu.com <Directory /ceshi> AllowOverride none Require all granted </Directory> <VirtualHost>

（3）如果没有DNS服务器，则进行修改hosts文件

vim /etc/hosts 增加内容： ———————————————— 格式： IP地址 域名 172.25.250.10 www.baidu.com ————————————————

2、进行语法检查

httpd -t

apachectl /etc/httpd/conf/httpd.conf

3、配置selinux允许apache访问本地的发布目录

（1）查看httpd的允许的上下文

        ls -dz /var/www/html

        system_u:object_r:httpd_sys_content_t:s0 /var/www/html/

        允许的上下文是：httpd_sys_content_t

（2）临时修改发布目录的上下文（针对少数的文件）

selinux安全上下文的配置

        chcon -t httpd_sys_content_t /ceshi

        chcon -t httpd_sys_content_t /ceshi/index.html

（3）进行永久修改默认的上下文目录（针对大量文件）

        1）查看httpd_sys_content_t的上下文所属的目录有哪些：

                semanage fcontext -l | grep httpd_sys_content_t

        2）增加/ceshi目录含子目录，成为该类型上下文的所属目录：

                semanage fcontext -a -t httpd_sys_content_t "/ceshi(/.*)?"

        3）增加之后，通过restorecon 命令将目录的类型进行"恢复"

                restorecon -Rv /ceshi

4、根据需求进行放行对应的防火墙策略

        firewall-cmd --permanent --add-port=80/tcp

---

四、通过端口进行发布网站

1、修改配置文件

（1）copy一份/usr/share/doc/httpd/http-vhosts.conf中的配置

（1.5）部分需要从主配置文件httpd.conf中复制

（2）新命名一个文件为：ceshi.conf

Listen 666 <VirtualHost 172.25.250.10:666> DocumentRoot "/ceshi" <Directory /ceshi> AllowOverride none Require all granted </Directory> <VirtualHost>

2、进行语法检查

httpd -t

apachectl /etc/httpd/conf/httpd.conf

3、配置selinux允许apache访问本地的发布目录

（1）查看httpd的允许的上下文

ls -dz /var/www/html

system_u:object_r:httpd_sys_content_t:s0 /var/www/html/

允许的上下文是：httpd_sys_content_t

（2）临时修改发布目录的上下文（针对少数的文件）

selinux安全上下文的配置

chcon -t httpd_sys_content_t /ceshi

chcon -t httpd_sys_content_t /ceshi/index.html

（3）进行永久修改默认的上下文目录（针对大量文件）

        1）查看httpd_sys_content_t的上下文所属的目录有哪些：

                semanage fcontext -l | grep httpd_sys_content_t

        2）增加/ceshi目录含子目录，成为该类型上下文的所属目录：

                semanage fcontext -a -t httpd_sys_content_t "/ceshi(/.*)?"

        3）增加之后，通过restorecon 命令将目录的类型进行"恢复"

                restorecon -Rv /ceshi

4、根据需求进行放行对应的防火墙策略

        firewall-cmd --permanent --add-port=666/tcp

---

五、用户认证

1、修改配置文件

（1）copy一份/usr/share/doc/httpd/http-vhosts.conf中的配置

（1.5）部分需要从主配置文件httpd.conf中复制

（2）新命名一个文件为：ceshi.conf

<VirtualHost *:80> DocumentRoot "/ceshi" <Directory /ceshi> AllowOverride none authtype basic # 认证的模式 authuserfile "/etc/httpd/passwd" #这是密码保存的文件 authname "My privately website" #登录提示 require user ceshi #只给ceshi用户登录 </Directory> <VirtualHost>

2、进行语法检查

httpd -t

apachectl /etc/httpd/conf/httpd.conf

3、配置selinux允许apache访问本地的发布目录

（1）查看httpd的允许的上下文

ls -dz /var/www/html

system_u:object_r:httpd_sys_content_t:s0 /var/www/html/

允许的上下文是：httpd_sys_content_t

（2）临时修改发布目录的上下文（针对少数的文件）

selinux安全上下文的配置

chcon -t httpd_sys_content_t /ceshi

chcon -t httpd_sys_content_t /ceshi/index.html

（3）进行永久修改默认的上下文目录（针对大量文件）

        1）查看httpd_sys_content_t的上下文所属的目录有哪些：

                semanage fcontext -l | grep httpd_sys_content_t

        2）增加/ceshi目录含子目录，成为该类型上下文的所属目录：

                semanage fcontext -a -t httpd_sys_content_t "/ceshi(/.*)?"

        3）增加之后，通过restorecon 命令将目录的类型进行"恢复"

                restorecon -Rv /ceshi

4、根据需求进行放行对应的防火墙策略

        firewall-cmd --permanent --add-port=80/tcp

5、配置认证的用户信息

        htpasswd -c /etc/httpd/password 用户名 # 新建认证用户数据库

        执行之后，将让你进行配置账号的密码。

        当提示：Adding password for user 用户名 说明你成功了

————————

后继还需要进行添加其它认证的用户可通过以下的方式：

htpasswd /etc/httpd/password 用户名 # 增加认证用户数据库

cat /etc/httpd/password #可以看到新增的用户

如果添加-c参数就是重新创建一个数据库文件了！

<VirtualHost *:80> DocumentRoot "/ceshi" <Directory /ceshi> AllowOverride none authtype basic # 认证的模式 authuserfile "/etc/httpd/passwd" #这是密码保存的文件 authname "My privately website" #登录提示 # require user ceshi #只给ceshi用户登录 require valid-user # 仅给数据库中的用户访问 </Directory> <VirtualHost>

---

六、访问控制

禁止部分的用户访问指定的网站，可通过浏览器和IP地址等。

1、低版本httpd，使用Order

1.1、修改配置文件

（1）copy一份/usr/share/doc/httpd/http-vhosts.conf中的配置

（1.5）部分需要从主配置文件httpd.conf中复制

（2）新命名一个文件为：ceshi.conf

参考网址：Apache(httpd)配置Directory目录，Order,deny,allow说明_kittaaron的博客-程序员宅基地_httpd order

<VirtualHost *:80> DocumentRoot "/ceshi" <Directory /ceshi> Order allow,deny deny from 172.25.0.250 # 拒绝指定IP allow from 172.25.250.0/24 # 允许其它的网络 # 默认拒绝全部（该规则实现：仅有0.250主机不能访问这个网站） </Directory> <VirtualHost>

（3）order规则

 Apache有一条缺省规则，“order allow,deny”本身就默认了拒绝所有的意思，因为deny在allow的后面；同理，“order deny,allow”本身默认的是允许所有；

【哪条指令在后，就表示默认规则为哪条指令】

其次就是规则中的匹配规则，如果你是：

Order allow,deny deny from xxx #执行（因为deny为最后动作） allow from xxx Order deny,allow deny from xxx #不执行（因为deny不是最后动作） allow from xxx #执行

【所谓的最后动作，可理解为执行顺序】

2、高版本的httpd，使用

2.1、修改配置文件

（1）copy一份/usr/share/doc/httpd/http-vhosts.conf中的配置

（1.5）部分需要从主配置文件httpd.conf中复制

（2）新命名一个文件为：ceshi.conf

<VirtualHost *:80> DocumentRoot "/ceshi" <Directory /ceshi> </Directory> <VirtualHost>