。

在這種情況下，在WWW上保證可以使用的唯一認證機制是由HTTP本身提供 的。在標準的Apache服務(wù)器實現(xiàn)了這樣的認證，它能控制哪些主機可能訪問特定的站點或特點的站點的一部分。

這種認證可以分為兩種，一種是基于主機的的認證，另一種是基于用戶名/口令的認證。由于互聯(lián)網(wǎng)上的決大多數(shù)用戶的IP地址是動態(tài)獲得的，所以基于主機的認證方式并不總適用。所以在大多數(shù)情況下，傳統(tǒng)的基于用戶名/口令的認證方式更為現(xiàn)實。下面我們就對這兩種認證的實現(xiàn)做一簡要的介紹。

8.1 基于主機的認證方式

在種認證模式顧名思義，訪問是用主機名或主機IP地址來控制的。支持這種認證方式的是Apache的mod_access模塊，這個模塊缺省狀態(tài)下是被安裝了的。該模塊用以下幾種Apache命令來提供訪問控制功能。


allow命令

語法：allow from host1 host2 host3 ...

這個命令定義了允許訪問站點或目錄的主機清單。主機清單可以用以下幾

種形式表示：

ALL：代表所有主機；

主機的全域名，如：www.mot.com；

主機的部分域名，如：.mot.com；

完整的IP地址，如：202.98.2.32；

部分IP地址，如：202.98

網(wǎng)絡(luò)地址/網(wǎng)絡(luò)掩碼對，如：202.98.0.0/255.255.0.0

網(wǎng)絡(luò)地址/nn(CIDR定義)，如：202.98.0.1/16


deny命令

語法：deny from host1 host2 host3 ...

這個命令定義了禁止訪問站點或目錄的主機清單，其他與allow命令相似。


order命令

語法：order deny,allow | allow,deny

這個命令定義評價allow和deny命令的先后順序。

例如：

<Directory /home/httpd/html>
order deny,allow
deny from www.mot.com
allow all
</Directory>

這組命令設(shè)置了禁止www.mot.com訪問/home/httpd/html目錄下的文件。

請大家注意，順序是先deny后allow，如果是：order allow,deny 那么，先允許所有的主機訪問，然后再禁止，這樣是無效的，所有主機仍然能夠訪問。

8.2 基于用戶名/口令的認證方式

這種認證方式其實相當簡單，當WWW瀏覽器請求經(jīng)此認證模式保護的URL

時，將會出現(xiàn)一個對話框，要求用戶鍵入用戶名和口令。用戶輸入后，傳給WWW服務(wù)器，WWW服務(wù)器驗證它的正確性，如果正確，返回頁面，否則返回401錯誤。要說明的一點是，這種認證模式是基本的，并不能用于安全性要求極高的場合。

Apache中有許多模塊可以支持這種認證方式，下面我們就介紹一下最基本、最標準的mod_auth模塊。正如前面提到的一樣，mod_auth模塊使用存儲在文本文件中的用戶名、組名和口令來實現(xiàn)認證。這種方法非常適合處理少量用戶，它能工作得很好。如果你需要對大量的用戶，如數(shù)以千計的用戶做認證時，這種方法的性能將急劇下降到不可忍受，所以當這種情況下，就需要考慮使用mod_dbm模塊或mod_mysql模塊來獲得更好的性能。


實例一：需要用戶名和口令的訪問控制

下面我們就一起來看一下如何建立需要用戶名/口令才能進行訪問的目錄。

基本情況： www.xxx.com

的站點有設(shè)置為：

DocumentRoot /home/httpd/html
AccessFileName .htaccess
AllowOverride All

需求：限制/home/httpd/html/backup/目錄的訪問，只允許用戶“super”以口令“fill-06”訪問此目錄。

實現(xiàn)步驟：


使用htpasswd建立用戶文件

htpasswd –c /home/httpd/secr/.htpasswd super

此程序會詢問用戶“super”的口令，你輸入“fill-06”，兩次生效。


建立.htaccess文件

用vi在/home/httpd/html/backup/目錄下建立一個文件.htaccess，寫入

以下幾行：

AuthName My Friend Only (注：這個名字是任取的)
AuthType Basic
AuthUserFile /home/httpd/secr/.htpasswd
require user super


設(shè)置文件權(quán)限，確保Apache用戶有讀的權(quán)限

這樣就完成了設(shè)置工作，你可以試一試效果了。


實例二：允許一組用戶訪問一個目錄

假設(shè)，現(xiàn)在www.xxx.com想讓myfriend組中的mf1與mf2兩個用戶分別能

使用口令“mf001-1”“mf002-2”訪問/home/httpd/html/backup/目錄。

實現(xiàn)步驟：


使用htpasswd建立用戶文件

htpasswd –c /home/httpd/secr/.htpasswd mf1
htpasswd –c /home/httpd/secr/.htpasswd mf2


建立組文件

用vi/home/httpd/secr/目錄下建立一個文件.htgroup，寫入：

myfriend:mf1 mf2


建立.htaccess文件

用vi在/home/httpd/html/backup/目錄下建立一個文件.htaccess，寫入

以下幾行：

AuthName My Friend Only
AuthType Basic
AuthUserFile /home/httpd/secr/.htpasswd
AuthGroupFile /home/httpd/secr/.htgroup
require group myfriend

配置工作到此結(jié)束，試一試吧！


實例三：混合使用基于主機與基于用戶名/口令的認證方式

如果你除了只允許讓mf1與mf2兩個用戶訪問外，還想禁止除www.mot.com

外的主機訪問這個目錄的話，就將/home/httpd/html/backup/.htaccess修改成為：

AuthName My Friend Only
AuthType Basic
AuthUserFile /home/httpd/secr/.htpasswd
AuthGroupFile /home/httpd/secr/.htgroup
require group myfriend
order deny,allow
deny from all
allow from www.mot.com

九、解讀Apache日志

當你一步步地看到這里的時候，相信你的WWW站點已經(jīng)建好，并且已經(jīng)在

Internet上展現(xiàn)出來了。這時你可能就會關(guān)心誰造訪過你的站點，或者想知道你的Apache服務(wù)器現(xiàn)在的運行狀態(tài)與性能如何。下面我們一起通過解讀Apache的日志來實現(xiàn)這個偉大的愿望。

9.1 盯著Apache服務(wù)器

Apache允許通過WWW監(jiān)視服務(wù)器的配置信息與運行狀態(tài)。

1．觀看配置信息

如果你的Apache象缺省配置一樣加入了mod_info模塊的話，你就可以通過訪問http://localhost/server-info查看服務(wù)器信息。

2.使用狀態(tài)頁

如果你的Apache象缺省配置一樣加入了mod_status模塊的話，你就可以

通過訪問http://localhost/apache-status查看服務(wù)器的運行狀態(tài)信息，其中包括：

¨ 服務(wù)器系統(tǒng)的當前時間；

¨ 服務(wù)器最近一次重啟時間；

¨ 服務(wù)器啟動后的運行時間；

¨ 到目前為止服務(wù)的訪問總數(shù)；

¨ 到目前為止傳輸?shù)淖止?jié)總數(shù)；

¨ 服務(wù)請求的子進程數(shù)；

¨ 空閑子進程數(shù)；

¨ 每個進程狀態(tài)、子進程服務(wù)的請求數(shù)以及該子進程傳輸?shù)淖止?jié)總數(shù)；

¨ 每秒平均請求數(shù)、每秒傳輸?shù)淖止?jié)數(shù)、每次請求平均傳輸字節(jié)數(shù)；

¨ 目前每個子進程CPU占用及Apache的總的CPU占用率；

¨ 當前主機及處理的請求。

9.2 什么是日志文件

日志文件是Apache工作的記錄，Apache包括了mod_log_config模塊，它

用來記錄日志。在缺省情況下，它用通用日志格式CLF規(guī)范來寫。

CLF日志文件內(nèi)對每個請求均有一個單獨行，形如：

host ident anthuser date request status bytes

其含義如下：

¨ host&#0;&#0;客戶端主機的全稱域名或IP地址；

¨ ident&#0;&#0;存放客戶端報告的識別信息；

¨ authuser&#0;&#0;如果是基于用戶名認證的話，值為用戶名；

¨ date&#0;&#0;請求的日期與時間；

¨ request&#0;&#0;客戶端的請求行；

¨ status&#0;&#0;返回到客戶端的三們數(shù)字的HTTP狀態(tài)碼；

¨ bytes&#0;&#0;除去HTTP頭標外，返回給客戶端的字節(jié)數(shù)。

9.3 分析日志文件

有了日志文件后，我們可以利用UNIX的一些工具和一此專門的日志分析工具對日志文件進行分析。


實例一：列出訪問過本網(wǎng)站的主機名或IP：

對于這個需求，我們可以通過一個Unix的一個腳本語句來完成：

cat /var/log/httpd/access_log | awk ‘{print $1}'


用上面的方法雖然可以得到訪問過本網(wǎng)站的主機名或IP，但是由于有些是多次訪問的，我們希望在上面得到的結(jié)果的基礎(chǔ)上做一些優(yōu)化，使得列出的表中，每個主機只出現(xiàn)一次。我們可以使用：

cat /var/log/httpd/access_log | awk ‘{print $1}' | wc –l

3.當然，我們可以根據(jù)需要選擇第三方提供日志分析工具甚至自己開發(fā)一些日志分析工具來滿足我們的需求。常見的第三方日志分析工具有：WebTrends、Wusage、wwwstat、http-analyze、pwebstats、WebStat Explorer、AccessWatch。

9.4 一些提示

日志一方面是我們分析網(wǎng)站的第一手資料，一方面卻是吞噬大量磁盤空間的罪魁禍首。所以別忘了定期轉(zhuǎn)儲或刪除一些老的日志文件。

十、Apache與代理服務(wù)器

代理服務(wù)器是位于客戶和客戶要訪問的服務(wù)器之間的系統(tǒng)。當客戶機使用URL請求訪問遠程資源時，代理服務(wù)器接受該請求并取得該資源以滿足客戶機的請求。在通常情況下，代理服務(wù)器是客戶機的服務(wù)器，同時也是遠程服務(wù)器的客戶。

代理服務(wù)器可以在自己的緩沖區(qū)中存儲被請求的內(nèi)容，當這些信息再次被請求的時候，代理服務(wù)器就無需再從遠程服務(wù)器上取了，這樣代理服務(wù)器就減輕了網(wǎng)絡(luò)的瓶頸問題。

Apache可以配置成為代理服務(wù)器。

10.1 前向代理服務(wù)器和逆向代理服務(wù)器

1．前向代理服務(wù)器

前向代理服務(wù)器通常位于用戶主機和要訪問的遠程網(wǎng)絡(luò)之間。它從遠程服務(wù)器取得所要求的資源，然后返回給用戶，同時存在磁盤上，以供下次使用。

在這種情況下，客戶端的主機知道它們正在使用代理服務(wù)器，因為每個主機都必須配置為使用代理服務(wù)器。

例如，必須告訴WWW瀏覽器使用代理服務(wù)器，它才能使用代理服務(wù)器。所有的遠程請求都通過代理服務(wù)器傳輸。

這類代理服務(wù)器也稱為緩沖代理服務(wù)器。逆向服務(wù)器也可以緩沖數(shù)據(jù)，但它的作用愉好與前向服務(wù)器相反。

前向代理服務(wù)器的結(jié)構(gòu)圖如下所示： 

圖4 前向代理服務(wù)器

2．逆向代理服務(wù)器

逆向代理服務(wù)器位于互聯(lián)網(wǎng)資源前面，逆向服務(wù)器從原始服務(wù)器找到被請求的資源，并反它返回給用戶主機。

與前向代理服務(wù)器不同的是，逆向代理服務(wù)器的用戶并不知道它們連接的是代理服務(wù)器而不是資源服務(wù)器本身。其結(jié)構(gòu)如下圖所示： 

圖5 逆向代理服務(wù)器

10.2 配置代理服務(wù)器

為了允許Apache作為代理服務(wù)器，需要將ProxyRequests設(shè)為On，然后根據(jù)你希望代理服務(wù)器做什么而增加什么附加配置。無論你希望做什么，你所選的代理配置都應(yīng)該放入一個特殊的<Directory>容器中。

<Directory proxy:*>

…

</Directory>


實例一：將私有IP網(wǎng)連到互聯(lián)網(wǎng)

假設(shè)私有網(wǎng)上只有一臺計算機被分配了互聯(lián)網(wǎng)上合法的IP地址，這臺計算

機運行Apache代理服務(wù)器，ProxyRequest設(shè)置為On，并且不需要附加其他配置，所有請求均可由這臺代理服務(wù)器代理服務(wù)。


實例二：讓Apache允當遠程WWW站點的緩沖

第一步：將ProxyRequest設(shè)置為On

第二步：創(chuàng)建配置如下：

<Directory proxy:*>
CacheRoot /www/cache
CacheSize 1024
CacheMaxExpire 24
</Directory>

這里的意思是設(shè)置Cache目錄為/www/cache；大小為1024KB，即1MB；緩沖中的內(nèi)容在24小時后失效。


實例三：建立鏡像站點（其實這也就是所謂的逆向代理服務(wù)器）

第一步：將ProxyRequest設(shè)置為On

第二步：創(chuàng)建配置如下：

<Directory proxy:*>
ProxyPass / www.mot.com /
CacheRoot /www/cache
CacheDefaultExpire 24
</Directory>

10.3 一些提示

代理服務(wù)器，我們將會在后面的章節(jié)中詳細介紹，這里只是針對Apache的功能介紹的。用Apache作代理服務(wù)器的性能并不高，效果并不好。不建議使用。

最新評論