Linux Service and Security大纲

#DocumentRoot "/var/www/html"

DocumentRoot "/web/host1"

AuthName "Admin Realm, show something."

AuthUserFile "/etc/httpd/conf/.htpasswd"

Require user tom

[root@localhost ~]# httpd -t

[root@localhost ~]# service httpd reload

Reloading httpd:

[root@localhost ~]# service httpd configtest

# htpasswd [options] /PATH/TO/HTTPD_PASSWD_FILE username

(2)提供账号和密码存储(文本文件的格式)

使用专用命令完成此类文件的创建及用户管理

-h : 帮助信息

-c : 自动创建此处指定的文件，因此，仅应用在此文件不存在时使用，即第一次创建时使用

[root@localhost ~]# htpasswd -c -m /etc/httpd/conf/.htpasswd tom

htpasswd: password verification error

[root@localhost ~]# htpasswd -c -m /etc/httpd/conf/.htpasswd tom

Adding password for user tom

[root@localhost ~]# htpasswd -m /etc/httpd/conf/.htpasswd jerry

Adding password for user jerry

[root@localhost ~]# htpasswd -m /etc/httpd/conf/.htpasswd obama

Adding password for user obama

[root@localhost ~]# htpasswd -D /etc/httpd/conf/.htpasswd obama

Deleting password for user obama

[root@localhost ~]# htpasswd -m /etc/httpd/conf/.htpasswd obama

Adding password for user obama

这时只有tom用户才能用账号和密码登录

如果要三个用户都能登录

修改红色标记地方

[root@localhost ~]# vim /etc/httpd/conf/httpd.conf

AuthName "Admin Realm, show something."

AuthUserFile "/etc/httpd/conf/.htpasswd"

Require valid-user //修改的值

[root@localhost ~]# service httpd reload

AuthUserFile "/PATH/TO/HTTPD_USER_PASSWD_FILE"

AuthGroupFile "/PATH/TO/HTTPD_GROUP_FILE"

Require group grpname1 grpname2 ...

GRP_NAME: username1 username2 ...

(2)创建用户账号文件和组账号文件

组文件:每一行定义一个组

[root@localhost ~]# vim /etc/httpd/conf/httpd.conf

AuthName "Admin Realm, show something."

AuthUserFile "/etc/httpd/conf/.htpasswd"

AuthGroupFile "/etc/httpd/conf/.htgroup"

Require group mygrp

[root@localhost ~]# vim /etc/httpd/conf/.htgroup

mygrp: obama blair

[root@localhost ~]# htpasswd -m /etc/httpd/conf/.htpasswd blair

Adding password for user blair

[root@localhost ~]# httpd -t

[root@localhost ~]# service httpd reload

根据http信息中的Host来判定：www.magedu.com

注意：一般虚拟主机不要与中心主机混用，因此，要使用虚拟主机，得先禁用"main"主机

禁用方法：注释中心主机的"DocumentRoot"指令即可。

ServerAlias:虚拟主机的别名，可多次使用

DocumentRoot "/www/a.com/htdocs"

DocumentRoot "/www/b.net/htdocs"

DocumentRoot "/www/c.org/htdocs"

ServerName www.c.org

DocumentRoot "/www/a.com/htdocs"

基于端口的虚拟主机：

ServerName www.a.com

DocumentRoot "/www/b.net/htdocs"

DocumentRoot "/www/c.org/htdocs"

ServerName www.c.org

NameVirtualHost 172.16.100.6:80

基于FQDN的虚拟主机：

ServerName www.a.com

DocumentRoot "/www/a.com/htdocs"

DocumentRoot "/www/b.net/htdocs"

DocumentRoot "/www/c.org/htdocs"

ServerName www.c.org

LoadModule status_module modules/mod_status.so

13、status页面

确保主配置文件中，模块已经装载

SetHandler server-status

HTTP权威指南

2016/01/13

http协议进阶(01)

回顾：

httpd的配置

Listen [IP:]PORT

KeepAlived{On|Off}持久连接

Options Indexes FollowSymlinks

%{Referer}i: 引用Referer首部的值，当前页面的访问入口

Alias /URL/ "/path/to/somdir/"

URL：Unifrom Resource Locator

URL方案：scheme

服务器地址：ip:port

资源路径：

http://www.magedu.com:80/bbs/index.php,

https://

URL的基本语法：

params:参数，类似于表单的数据

http://www.magedu.com/bbs/hello;gender=f

query:

http://www.magedu.com/bbs/item.php?username=tom&title=abc

frag:

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html-single/Installation_Guide/index.html#ch-Boot-x86

相对URL: 同站内的引用

绝对URL:跨站引用

http协议:

http/0.9, http/1.0, http/1.1, http/2.0

http协议: stateless 是无状态的

服务器无法持续追踪访问者来源

目前应用广泛的解决方案:

cookie机制，当某客户端，访问某服务器时，服务器发送给客户端一些数据，唯一的标识，客户端浏览器进程把它保存起来，每个cookie都有一个作用范围，客户端在第二次访问这个站点时，它会把这个数据发送给服务器，从而验证了身份

有胖cookie和瘦cookie的概念: 胖cookie会记录用户大量隐私

session机制

http的事务: 即是一次请求和响应的过程

请求: request

响应: response

报文语法格式

request报文：

<entity-body>

response报文

<entity-body>

method: 请求方法，标明客户端希望服务器对资源执行的动作

GET、HEAD、POST 比较安全的方法

version:

HTTP/<major>.<minor>

status:

统一都是3位数字，如200，301，404，502，响应状态码，用于标记请求处理过程中发生的情况

reason-phrase:

用来说明状态码所标记的状态的简要描述，原因短语

headers:

用来标记请求报文的属性的

每个请求或响应报文可包含任意个首部，每个首部都有首部名称，后面跟一个冒号，而后跟上一个可选空格，接着是一个值

entity-body:

有用的数据块，请求报文的实体可能为空

请求时附加的数据或响应时附加的数据

展开说明

method(方法)

GET:从服务器获取一个资源:

HEAD:头首之意，只从服务器获取文档的响应首部，而不是响应内容的

POST:向服务器发送要处理的数据，有危险

PUT:跟get相反的方法，将请求的主体部分存储在服务器上，非常危险

DELETE:请求删除服务器上指定的文档

TRACE:跟踪源到服务器上经由路由器的节点，追踪请求到达服务器中间经过的代理服务器

OPTIONS:请求服务器对某个资源访问的方法，请求服务器返回对指定资源支持使用的请求方法

协议查看或分析的工具

tcpdump、tshark、wireshark

status(状态码)

1xx: 100-101,信息提示

2xx: 200-206,成功类的信息

3xx: 300-305,重定向类状态码

4xx: 400-415,错误类信息，客户端错误

5xx: 500-505,错误类信息，服务器端错误

常用的状态码：

200：成功响应，请求的所有数据通过响应报文的entity-body部分发送：OK

301：请求的资源被移动到其他位置去了，请求的URL指向的资源已经被删除，但在响应报文中通过首部Location指明了资源现在所处的新位置，永久重定向：Moved Permanently

302: 与301相似，但在响应报文中通过Location指明资源现在所处临时新位置，Found

304：客户端发出了条件式请求，但服务器上的资源未曾发生改变，则通过响应此响应状态码通知客户端: Not Modified

401: 需要输入账号和密码认证方能访问资源：Unauthorized

403：请求被禁止，Forbidden

404：服务器无法找到客户端请求的资源：Not Found

500：服务器内部错误:Internal Server Error

502：代理服务器从后端服务器收到了一条伪响应：Bad Gateway，可用trace方法追踪代理服务器节点

headers：

格式：

Name: Value

首部的分类

通用首部

请求首部

响应首部

实体首部

扩展首部

展开说明

通用首部: 请求和响应报文中都能用

Date:报文的创建时间

Connection: 连接方式，如keep-alive，close

Via: 显示报文经由的中间节点

Cache-Control:控制缓存

Pragma:

请求首部：

Accept: 通知服务器自己可接受的媒体类型，MIME的类型

Accept-Charset: 接受的字符集

Accept-Encoding: 接受哪些种编码格式，如gzip

Accept-Language:接受的语言

信息型首部

Client-IP: 客户端IP地址

Host: 请求的服务器名称和端口号

Referer: 包含了当前正在请求的资源的上一级资源

User-Agent: 客户端代理

条件式首部

Expect

If-Modified-Since: 自从指定的时间之后，请求的资源是否发生过修改

If-Unmodified-Since:

If-None-Match: 本地缓存中存储的文档的Etag标签是否与服务器文档的ETag不匹配

If-Match:

安全请求首部

Authorization：向服务器发送认证信息，如账号和密码

Cookie：客户端向服务器发送Cookie 1，2两个版本

Cookie2：

代理请求首部

Proxy-Authorization：向代理服务器认证

响应首部

信息性：

Age：只占用资源的年龄，响应持续时长

Server：服务器程序软件名称和版本

协商首部：某资源有多种表示方法时使用

Accept-Ranges：服务器可接受的请求范围类型

Vary:服务器查看的其他首部列表

安全响应首部

Set-Cookie:向客户端设置Cookie

Set-Cookie2:

WWW-Authentiate:来自服务器的对客户端的质询认证表单

实体首部

Allow：列出对此实体可使用的请求方法

Location：告诉客户端真正的实体位于何处，重定向时使用

Content-Encoding:内容的编码格式

Content-Language:

Content-Length:主体的长度

Content-Location:实体真正所处位置

Content-Type:主体的对象类型

缓存相关

Etag:实体的扩展标签

Expires：实体的过期时间

Last-Modified:最后一次修改的时间

httpd-2.2应用进阶(02)

http rfc

http 权威指南

httpd-2.2的常见配置(2)

服务器遇到自己不理解的首部时，会通通忽略

MIME类型:major/minor, image/png, image/gif

14、curl命令

curl是基于URL语法在命令行方式下工作的文件传输工具，它支持FTP, FTPS, HTTP, HTTPS, GOPHER, TELNET, DICT, FILE及LDAP等协议。curl支持HTTPS认证，并且支持HTTP的POST、PUT等方法， FTP上传， kerberos认证，HTTP上传，代理服务器， cookies，用户名/密码认证，下载文件断点续传，上载文件断点续传, http代理服务器管道（ proxy tunneling），甚至它还支持IPv6， socks5代理服务器,，通过http代理服务器上传文件到FTP服务器等等，功能十分强大。

用法：curl [options] [URL...]

curl的常用选项：

-A/--user-agent <string> 设置用户代理发送给服务器

-basic 使用HTTP基本认证

--tcp-nodelay 使用TCP_NODELAY选项

-e/--referer <URL> 来源网址

--cacert <file> CA证书 (SSL)

--compressed 要求返回是压缩的格式

-H/--header <line>自定义首部信息传递给服务器

-I/--head 只显示响应报文首部信息

--limit-rate <rate> 设置传输速度

-u/--user <user[:password]>设置服务器的用户和密码

-0/--http1.0 使用HTTP 1.0

另一个工具：elinks

用法：elinks [OPTION]... [URL]...

-dump: 不进入交互式模式，而直接将URL的内容输出至标准输出

15、user/group

指定以哪个用户的身份运行httpd服务进程

User apache

Group apache

suexec: 用另外用户的身份运行程序

16、使用mod_deflate模块压缩页面优化传输速度

适用场景：

(1) 节约带宽，额外消耗CPU；同时，可能有些较老浏览器不支持；

(2) 压缩适于压缩的资源，例如文件文件；

SetOutputFilter DEFLATE

# mod_deflate configuration

# Restrict compression to these MIME types

AddOutputFilterByType DEFLATE text/plain

AddOutputFilterByType DEFLATE text/html

AddOutputFilterByType DEFLATE application/xhtml+xml

AddOutputFilterByType DEFLATE text/xml

AddOutputFilterByType DEFLATE application/xml

AddOutputFilterByType DEFLATE application/x-javascript

AddOutputFilterByType DEFLATE text/javascript

AddOutputFilterByType DEFLATE text/css

# Level of compression (Highest 9 - Lowest 1)

DeflateCompressionLevel 9

# Netscape 4.x has some problems. //对某些浏览器过滤

BrowserMatch ^Mozilla/4 gzip-only-text/html

# Netscape 4.06-4.08 have some more problems

BrowserMatch ^Mozilla/4.0[678] no-gzip

# MSIE masquerades as Netscape, but it is fine

BrowserMatch MSI[E] !no-gzip !gzip-only-text/html

16、https, http over ssl

http over ssl = https 443/tcp

ssl: v3

tls: v1

https://

SSL会话的简化过程

(1) 客户端发送可供选择的加密方式，并向服务器请求证书

(2) 服务器端发送证书以及选定的加密方式给客户端

(3) 客户端取得证书并进行证书验正：

如果信任给其发证书的CA：

(a) 验正证书来源的合法性；用CA的公钥解密证书上数字签名

(b) 验正证书的内容的合法性：完整性验正

(d) 检查证书是否被吊销

(e) 证书中拥有者的名字，与访问的目标主机要一致

(4) 客户端生成临时会话密钥（对称密钥），并使用服务器端的公钥加密此数据发送给服务器，完成密钥交换

(5) 服务器用此密钥加密用户请求的资源，响应给客户端

注意：SSL会话是基于IP地址创建；所以单IP的主机上，仅可以使用一个https虚拟主机；

回顾几个术语：PKI，CA，CRL，X.509 (v1, v2, v3)

配置httpd支持https：

(1) 为服务器申请数字证书；

测试：通过私建CA发证书

(a) 创建私有CA

(b) 在服务器创建证书签署请求

(2) 配置httpd支持使用ssl，及使用的证书

# yum -y install mod_ssl

配置文件：/etc/httpd/conf.d/ssl.conf

DocumentRoot

ServerName

SSLCertificateFile

SSLCertificateKeyFile

在/etc/httpd/conf.d/ssl.conf配置文件中有个历史遗留的待解决的问题：

(3) 测试基于https访问相应的主机；

# openssl s_client [-connect host:port] [-cert filename] [-CApath directory] [-CAfile filename]

在这里只演示web服务器创建证书签署请求，接着配置httpd支持使用ssl的过程

首先在WEB服务器上生成密钥

[root@localhost ~]# cd /etc/httpd

[root@localhost httpd]# ls

conf conf.d logs modules run

[root@localhost httpd]# mkdir ssl

[root@localhost httpd]# cd ssl

[root@localhost ssl]# (umask 077;openssl genrsa -out httpd.key 1024)

Generating RSA private key, 1024 bit long modulus

.......++++++

...................................++++++

e is 65537 (0x10001)

生成证书签署请求

[root@localhost ssl]# openssl req -new -key httpd.key -out httpd.csr

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [XX]:CN

State or Province Name (full name) []:Beijing

Locality Name (eg, city) [Default City]:Beijing

Organization Name (eg, company) [Default Company Ltd]:MageEdu

Organizational Unit Name (eg, section) []:Ops

Common Name (eg, your name or your server's hostname) []:www.magedu.com

Email Address []:webadmin@magedu.com

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

[root@localhost ssl]# ls

httpd.csr httpd.key

发送CA签署

[root@localhost ssl]# scp httpd.csr root@192.168.137.11:/tmp

The authenticity of host '192.168.137.11 (192.168.137.11)' can't be established.

RSA key fingerprint is 52:13:1f:b5:d4:cf:c8:58:17:9d:53:95:05:cf:7a:9e.

Are you sure you want to continue connecting (yes/no)? yes

Warning: Permanently added '192.168.137.11' (RSA) to the list of known hosts.

root@192.168.137.11's password:

httpd.csr 100% 704 0.7KB/s 00:00

CA端签署证书

[root@localhost ~]# openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd_100.crt

Using configuration from /etc/pki/tls/openssl.cnf

Check that the request matches the signature

Signature ok

Certificate Details:

Serial Number: 4 (0x4)

Validity

Not Before: Jan 13 12:28:56 2016 GMT

Not After : Jan 12 12:28:56 2017 GMT

Subject:

countryName = CN

stateOrProvinceName = Beijing

organizationName = MageEdu

organizationalUnitName = Ops

commonName = www.magedu.com

emailAddress = webadmin@magedu.com

X509v3 extensions:

X509v3 Basic Constraints:

CA:FALSE

Netscape Comment:

OpenSSL Generated Certificate

X509v3 Subject Key Identifier:

1B:8B:69:E3:89:4F:44:24:D2:B2:AD:79:7F:82:FF:83:9C:4C:55:5A

X509v3 Authority Key Identifier:

keyid:81:B6:92:BD:FD:87:9D:CD:DF:6E:FE:F9:A5:42:C9:59:F2:48:BE:5E

Certificate is to be certified until Jan 12 12:28:56 2017 GMT (365 days)

Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y

Write out database with 1 new entries

Data Base Updated

[root@localhost ~]# cd /etc/pki/CA/certs/

[root@localhost certs]# ls

httpd_100.crt httpd.crt

把证书给WEB服务器

[root@localhost certs]# scp httpd_100.crt root@192.168.137.100:/etc/httpd/ssl

The authenticity of host '192.168.137.100 (192.168.137.100)' can't be established.

RSA key fingerprint is 78:9c:70:d0:e2:b9:5b:f1:d4:f3:1b:f7:34:f6:08:1e.

Are you sure you want to continue connecting (yes/no)? yes

Warning: Permanently added '192.168.137.100' (RSA) to the list of known hosts.

root@192.168.137.100's password:

httpd_100.crt 100% 5128 5.0KB/s 00:00

WEB服务器安装SSL模块

[root@localhost ssl]# ls

httpd_100.crt httpd.csr httpd.key

[root@localhost ssl]# yum -y install mod_ssl

...

备份ssl.conf

[root@localhost ~]# cd /etc/httpd/conf.d

[root@localhost conf.d]# cp ssl.conf ssl.conf.bak

修改正确路径，一般修改下面的四项

[root@localhost ~]# vim /etc/httpd/conf.d/ssl.conf

...

SSLCertificateFile /etc/httpd/ssl/httpd_100.crt

SSLCertificateKeyFile /etc/httpd/ssl/httpd.key //

DocumentRoot "/web/host1/"

ServerName www.magedu.com

...

检查语法，无误后重载配置或重启服务

[root@localhost ~]# httpd -t

Syntax OK

[root@localhost ~]# service httpd restart

Stopping httpd: [ OK ]

Starting httpd: [ OK ]

这时，所有配置经完成。在基于https协议浏览时，需要手动导入CA证书，一般为cacert.pem文件，可以改为证书标准后缀*.crt

在浏览器测试

用上面的命令行工具测试

[root@localhost ~]# openssl s_client -connect www.magedu.com:443 -CAfile /etc/pki/CA/cacert.pem

CONNECTED(00000003)

depth=1 C = CN, ST = Beijing, L = Beijing, O = MageEdu, OU = Ops, CN = ca.magedu.com, emailAddress = caadmin@magedu.com

verify return:1

depth=0 C = CN, ST = Beijing, O = MageEdu, OU = Ops, CN = www.magedu.com, emailAddress = webadmin@magedu.com

verify return:1

---

Certificate chain

0 s:/C=CN/ST=Beijing/O=MageEdu/OU=Ops/CN=www.magedu.com/emailAddress=webadmin@magedu.com

i:/C=CN/ST=Beijing/L=Beijing/O=MageEdu/OU=Ops/CN=ca.magedu.com/emailAddress=caadmin@magedu.com

---

Server certificate

-----BEGIN CERTIFICATE-----

...[密文字符串]...

-----END CERTIFICATE-----

subject=/C=CN/ST=Beijing/O=MageEdu/OU=Ops/CN=www.magedu.com/emailAddress=webadmin@magedu.com

issuer=/C=CN/ST=Beijing/L=Beijing/O=MageEdu/OU=Ops/CN=ca.magedu.com/emailAddress=caadmin@magedu.com

---

No client certificate CA names sent

Server Temp Key: ECDH, prime256v1, 256 bits

---

SSL handshake has read 1714 bytes and written 375 bytes

---

New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384

Server public key is 1024 bit

Secure Renegotiation IS supported

Compression: NONE

Expansion: NONE

SSL-Session:

Protocol : TLSv1.2

Cipher : ECDHE-RSA-AES256-GCM-SHA384

Session-ID: E2277F73538510B2F343B167AA42426F9DB4552618B6AF46291BDD76E44832E2

Session-ID-ctx:

Master-Key: 46603F227F38A8510A757442C218FF3284D47D37469D3584EBF2C17E3570A8C4A792D0EB4443539A18CD212D4E2F35F4

Key-Arg : None

Krb5 Principal: None

PSK identity: None

PSK identity hint: None

TLS session ticket lifetime hint: 300 (seconds)

TLS session ticket:

0000 - 16 b8 8d 42 49 eb 70 7f-1b 5c bc cd 98 10 21 05 ...BI.p......!.

0010 - c9 09 10 32 2e da 73 e7-6b de ca 1d 0b 42 c7 83 ...2..s.k....B..

0020 - c4 79 e6 e4 dc 0c 5f 1f-70 dd c9 89 78 f2 45 f4 .y...._.p...x.E.

0030 - ad 36 2a d0 0d 6c 6b 8a-0b d1 81 ce ad 65 cc 84 .6*..lk......e..

0040 - 45 84 eb ff fd c3 26 f2-82 9f 0e 52 70 4a 59 21 E.....&....RpJY!

0050 - 0e 5d 7d 27 e9 ed ae da-b6 0d d3 62 64 29 60 54 .]}'.......bd)`T

0060 - c4 49 c5 cf 3f 73 a7 79-e9 ee 9a 44 2f 02 c5 26 .I..?s.y...D/..&

0070 - 67 08 7a b5 fb 0b 04 9f-75 53 6d 75 c3 a2 60 3e g.z.....uSmu..`>

0080 - b9 9c 99 37 15 7f a1 67-7f 77 d4 37 4b 7d 87 2a ...7...g.w.7K}.*

0090 - be ee 00 cf d4 06 89 ac-b1 95 07 17 94 6a 03 26 .............j.&

00a0 - e6 94 5c e6 3f 77 07 2b-2e fd 8f 96 d0 9a da eb ...?w.+........

00b0 - 9e 51 da f9 98 5c 56 a0-d0 ed 1e fb 96 d1 cf e7 .Q...V.........

Start Time: 1452694967

Timeout : 300 (sec)

Verify return code: 0 (ok)

---

GET /admin/test.html HTTP/1.1

Host: www.magedu.com

HTTP/1.1 200 OK

Date: Wed, 13 Jan 2016 14:23:04 GMT

Server: Apache/2.2.15 (CentOS)

Last-Modified: Wed, 13 Jan 2016 14:21:16 GMT

ETag: "14-16-52937e2116c2c"

Accept-Ranges: bytes

Content-Length: 22

Connection: close

Content-Type: text/html; charset=UTF-8

<h1>Good Morning</h1>

closed

18、http自带的工具程序

htpasswd: basic认证基于文件实现时，用到的账号密码文件生成工具

apachectl: httpd自带的服务控制脚本，支持start和stop

# apachectl stop|start

apxs: 由httpd-devel包提供，扩展httpd使用第三方模块的工具

rotatelogs: 日志滚动工具，有两个维度，时间、体积

access.log à

access.log, access.1.logà

access.log, access.1.log, access.2.logà

...

suexec: 访问某些有特殊权限配置的资源时，临时切换至指定用户身份运行

ab: apache bench 压测工具

19、httpd的压力测试工具

文本行工具:

ab, webbench, http_load, seige

图形化工具

jmeter, loadrunner

其中

tcpcopy: 是网易开源的，复制生产环境中的真实请求，并将之保存下来

ab命令的用法

# ab [OPTIONS] URL

-n: 总请求数

-c: 模拟的并行数

-k: 以持久连接模式测试

注意：一般c模拟的并行数要小于等于n总请求数

示例：

[root@localhost ~]# ab -c 100 -n 1000 http://172.16.100.6/index.html

...[测试结果]...

基于OpenSSL的https服务配置 (以前的笔记)

记得先设置SELinux 、iptables

1）、要想使用Web服务器支持SSL功能，首先要安装SSL模块

用命令httpd -M 查看是否安装mod_ssl模块,如没有，用yum安装即可

[root@localhost ~]# httpd -M

[root@localhost ~]# yum -y install mod_ssl

2）、提供CA，这时需要再提供一台主机做CA，IP 地址192.168.10.25 。要想做CA，首先要生成自签证书。使用openssl genrsa格式先生成密钥，输出保存在/etc/pki/CA/private/cakey.pem ，2048位，600权限其他人不允许访问。

[root@localhost ~]# cd /etc/pki/CA

[root@localhost CA]# (umask 077;openssl genrsa -out private/cakey.pem 2048)

生成自签证书，先修改默认配置信息，保存退出

[root@localhost ~]# cd /etc/pki/tls

[root@localhost tls]# vim openssl.cnf

countryName_default = CN

stateOrProvinceName_default = Gansu

localityName_default = Lanzhou

0.organizationName_default = School

organizationalUnitName_default = Tech

接着生成自签证书

[root@localhost ~]# cd /etc/pki/CA

[root@localhost CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [CN]:

State or Province Name (full name) [Gansu]:

Locality Name (eg, city) [Lanzhou]:

Organization Name (eg, company) [School]:

Organizational Unit Name (eg, section) [Tech]:

Common Name (eg, your name or your server's hostname) []:ca.e.com

Email Address []:admin@e.com

接着更改路径

[root@localhost ~]# cd /etc/pki/tls

[root@localhost tls]# vim openssl.cnf

dir = /etc/pki/CA # TSA root directory

创建目录和文件

[root@localhost CA]# mkdir certs crl newcerts

[root@localhost CA]# touch index.txt

[root@localhost CA]# echo 01 > serial

[root@localhost CA]# ls

cacert.pem certs crl index.txt newcerts private serial

至此CA已经能用了。

3）、返回到Web服务器

生成自己的密钥

[root@localhost ~]# cd /etc/httpd

[root@localhost httpd]# mkdir ssl

[root@localhost httpd]# ls

conf conf.d logs modules run ssl

[root@localhost httpd]# cd ssl/

[root@localhost ssl]# (umask 077; openssl genrsa 1024 > httpd.key)

Generating RSA private key, 1024 bit long modulus

...................++++++

................++++++

e is 65537 (0x10001)

生成证书颁发请求

[root@localhost ssl]# openssl req -new -key httpd.key -out httpd.csr

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [XX]:CN

State or Province Name (full name) []:Gansu

Locality Name (eg, city) [Default City]:Lanzhou

Organization Name (eg, company) [Default Company Ltd]:School

Organizational Unit Name (eg, section) []:Tech

Common Name (eg, your name or your server's hostname) []:www.a.com #该证书是谁使用，就写谁的域名（拥有者）

Email Address []:www@a.com

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

[root@localhost ssl]# ls

httpd.csr httpd.key

把证书送到CA

[root@localhost ssl]# scp httpd.csr 192.168.10.25:/tmp

root@192.168.10.25's password:

httpd.csr 100% 680 0.7KB/s 00:00

4）、回到CA ，开始签署证书

签署过程

[root@localhost ~]# openssl ca -in /tmp/httpd.csr -out /tmp/httpd.crt -days 3655

Using configuration from /etc/pki/tls/openssl.cnf

Check that the request matches the signature

Signature ok

Certificate Details:

Serial Number: 1 (0x1)

Validity

Not Before: Nov 7 09:56:39 2015 GMT

Not After : Nov 9 09:56:39 2025 GMT

Subject:

countryName = CN

stateOrProvinceName = Gansu

organizationName = School

organizationalUnitName = Tech

commonName = www.a.com

emailAddress = www@a.com

X509v3 extensions:

X509v3 Basic Constraints:

CA:FALSE

Netscape Comment:

OpenSSL Generated Certificate

X509v3 Subject Key Identifier:

AB:BB:38:69:02:5A:AD:39:F4:34:77:A8:88:D1:0E:0A:F3:F9:94:F4

X509v3 Authority Key Identifier:

keyid:8B:31:A3:0F:82:84:0E:7A:07:EC:0C:34:47:57:69:B5:68:2F:2C:0A

Certificate is to be certified until Nov 9 09:56:39 2025 GMT (3655 days)

Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y

Write out database with 1 new entries

Data Base Updated

查看证书签署结果

[root@localhost ~]# cd /etc/pki/CA

[root@localhost CA]# cat index.txt

V 251109095639Z 01 unknown /C=CN/ST=Gansu/O=School/OU=Tech/CN=www.a.com/emailAddress=www@a.com

[root@localhost CA]# cat serial

此时，证书已经签好（官方登记成功）了

5）、到Web服务器取回已经签好的自己的证书

操作如下

[root@localhost ssl]# scp 192.168.10.25:/tmp/httpd.crt ./

root@192.168.10.25's password:

httpd.crt 100% 3784 3.7KB/s 00:00

[root@localhost ssl]# ls

httpd.crt httpd.csr httpd.key

至此，证书已取回成功

6）、再到CA ，因为刚才是在/tmp 临时目录操作的，为避免被别人获取，应该把证书相关的文件删除

[root@localhost CA]# ls

cacert.pem certs crl index.txt index.txt.attr index.txt.old newcerts private serial serial.old

[root@localhost CA]# ls newcerts/

01.pem

[root@localhost CA]# cd /tmp

[root@localhost tmp]# ls /tmp

httpd.crt httpd.csr

[root@localhost tmp]# rm -f httpd.c*

7）、配置Web服务器使用此证书

操作如下，主要是配置ssl.conf 文件，这里只列出了需要修改的行

[root@localhost ~]# cd /etc/httpd/conf.d/

[root@localhost conf.d]# ls

manual.conf nagios.conf php.conf README ssl.conf virtual.conf welcome.conf

[root@localhost conf.d]# cp ssl.conf ssl.conf.bak

[root@localhost conf.d]# vim ssl.conf

<VirtualHost _default_:443> //这是CentOS 7上httpd-2.4版本默认监听地址

ServerName www.a.com

DocumentRoot "/www/a.com"

SSLCertificateFile /etc/httpd/ssl/httpd.crt

SSLCertificateKeyFile /etc/httpd/ssl/httpd.key

## crt: 证书

## crl: 证书吊销列表

检查语法-->重启httpd服务-->查看443端口是否监听

[root@localhost conf.d]# httpd -t

Syntax OK

[root@localhost conf.d]# service httpd restart

Stopping httpd: [ OK ]

Starting httpd: [ OK ]

[root@localhost conf.d]# netstat -tnlp |grep :443

tcp 0 0 :::443 :::* LISTEN 2354/httpd

8）、客户端安装CA自签证书

如果不能配置DNS 服务器，而客户机是 Windows 系统，可以在Windows 安装目录下的 system32driversetc 目录中找到hosts 文件（Linux的hosts 文件在 /etc 目录），然后添加以下内容，就可以保证本客户机使用的www.a.com 域名指向192.168.10.100

192.168.10.100 www.a.com

用传输工具，在CA 服务器上把CA自签证书复制过来，修改后缀为 .crt 后再安装。

CA 服务器：/etc/pki/CA/cacert.pem --> 客户机

9）、建立安全的连接传输

在浏览器中输入协议为 https://www.a.com 即可。至此，基本的配置已完成。

httpd-2.4基本应用(03)

回顾：

http协议基础，httpd2.2的基础配置

http协议：请求<-->响应

request：

response

请求方法：GET, HEAD, POST, PUT, DELETE, OPTIONS, TRACE, ...

httpd-2.2基本配置

mod_deflate 模块：页面压缩之后再传输的

User/Group

https(tcp/443)的实现

命令工具：curl,ab

课外作业：理解ab命令执行结果所输出信息的意义

httpd的基本应用(3)

httpd-2.4

新特性：

(1)MPM支持运行为DSO机制，以模块形式按需加载

(2)event MPM生产环境可用

(3)异步读写机制

(4)支持每模块及每目录的单独日志级别定义

(5)每请求相关的专用配置

(6)增强版的表达式分析器

(7)毫秒级持久连接时长定义

(8)基于FQDN的虚拟主机也不再需要NameVirtualHost指令

(9)新指令，AllowOverrideList

(10)支持用户自定义变量

(11)更低的内存消耗

新模块：

(1)mod_proxy_fcgi //Fastcgi

(2)mod_proxy_scgi //SCGI

//(3)mod_proxy_express

(3)mod_remoteip //基于IP的访问控制

安装httpd-2.4

依赖于apr-1.4+, apr-util-1.4+, [apr-iconv]

apr: apache portable runtime(虚拟机)

在CentOS 6编译安装:

默认安装的是：apr-1.3.9, apr-util-1.3.9

开发环境包组：Development Tools, Server Platform Development

开发程序包：pcre-devel

编译安装步骤：

(1)apr-1.4+

# ./configure --prefix=/usr/local/apr

# make && make install

(2)apr-util-1.4+

# ./configure --prefix=/usr/local/apr-util --with-apr=/usr/local/apr

# make && make install

(3)httpd-2.4

# ./configure --prefix=/usr/local/apache24 --sysconfdir=/etc/httpd24 --enable-so --enable-ssl --enable-cgi --enable-rewrite --with-zlib --with-pcre --with-apr=/usr/local/apr --with-apr-util=/usr/local/apr-util --enable-modules=most --enable-mpms-shared=all --with-mpm=prefork

# make && make install

各配置选项简单说明

--prefix=?? //指明程序安装目录

--sysconfdir=?? //指明程序配置文件目录

--enable-so //支持DSO机制

--enable-ssl //支持SSL功能

--enable-cgi //支持CGI功能

--enable-rewrite //支持URL重写

--enable-zlib //提供压缩库，可以让页面压缩后发送和接收

--with-pcre //支持perl扩展的正则表达式模式，提供更强大的模式分析

--with-apr=/usr/local/apr //指明依赖的模块

--with-apr-util=/usr/local/apr-util //指明依赖的模块

--enable-modules=most //有三种方式给定，most|all|[模块列表]

--enable-mpms-shared=all //把三个模块都编译出来

--with-mpm=prefork //指明默认工作模块

--with-?? //依赖于哪些程序包的

--without-?? //不依赖于哪些程序包的

--enable-?? //启用哪些特性

--disable-?? //启用或禁用哪些特性的

不写 "=" 也就是不指明，它会到默认位置找

CentOS 6演示编译安装httpd服务过程

先将rpm包安装的程序停止运行，再确保开机不会自动启动

[root@localhost ~]# service httpd stop

Stopping httpd: [ OK ]

[root@localhost ~]# chkconfig httpd off

1安装开发环境

[root@localhost ~]# yum -y groupinstall "Development Tools" "Server Platform Development"

...

[root@localhost ~]# yum -y install pcre-devel

...

2准备程序包，并编译安装

1)编译安装apr

[root@localhost ~]# ls -l

total 6456

-rw-r--r--. 1 root root 813976 Mar 18 2014 apr-1.5.0.tar.bz2

-rw-r--r--. 1 root root 695303 Mar 18 2014 apr-util-1.5.3.tar.bz2

-rw-r--r--. 1 root root 5031834 Dec 16 2014 httpd-2.4.10.tar.bz2

[root@localhost ~]# tar xf apr-1.5.0.tar.bz2

[root@localhost ~]# cd apr-1.5.0

[root@localhost apr-1.5.0]# ./configure --prefix=/usr/local/apr

...

[root@localhost apr-1.5.0]# make && make install

2)编译安装apr-util

[root@localhost apr-1.5.0]# cd

[root@localhost ~]#

[root@localhost ~]# tar xf apr-util-1.5.3.tar.bz2

[root@localhost ~]# cd apr-util-1.5.3

[root@localhost apr-util-1.5.3]# ./configure --prefix=/usr/local/apr-util --with-apr=/usr/local/apr

...

[root@localhost apr-util-1.5.3]# make && make install

...

3)编译安装httpd

[root@localhost ~]# tar xf httpd-2.4.10.tar.bz2

[root@localhost ~]# cd httpd-2.4.10

[root@localhost httpd-2.4.10]# ./configure --prefix=/usr/local/apache24 --sysconfdir=/etc/httpd24 --enable-so --enable-ssl --enable-cgi --enable-rewrite --with-zlib --with-pcre --with-apr=/usr/local/apr --with-apr-util=/usr/local/apr-util --enable-modules=most --enable-mpms-shared=all --with-mpm=prefork

...

[root@localhost httpd-2.4.10]# make -j 2 && make install

...

3安装后目录介绍

/usr/local/apache24/

bin //二进制程序目录

build //编译安装的相关文件

├── config.nice //编译时configure的配置选项

└── [...]

error //错误页面的目录

htdocs //网页文档存放目录

icons //图标

include //头文件目录

...

/etc/httpd24/

├── httpd.conf //配置文件

└── [...]

4导出环境变量

此时启动方法可用绝对路径 +start 的命令

[root@localhost ~]# /usr/local/apache24/bin/apachectl start

再或者将这个程序文件加入环境变量

注意：一定要添加在最左边，要比原有rpm包安装的bin程序先执行

[root@localhost ~]# export PATH=/usr/local/apache24/bin:$PATH

[root@localhost ~]# echo $PATH

/usr/local/apache24/bin:/usr/lib64/qt-3.3/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin

编辑配置文件使永久生效

[root@localhost ~]# vim /etc/profile.d/httpd.sh

export PATH=/usr/local/apache24/bin:$PATH

5导出头文件

[root@localhost ~]# ln -sv /usr/local/apache24/include /usr/include/httpd

`/usr/include/httpd/include' -> `/usr/local/apache24/include'

6导出库文件(这里并没有导出，可能是其他原因，但方法是正确的)

[root@localhost ~]# vim /etc/ld.so.conf.d/httpd.conf

/usr/local/apache24/lib

[root@localhost ~]# ldconfig -v //系统重新生成缓存

7实现脚本启动

1)自带的服务控制脚本：apachectl(同样需要加入环境变量)

2)如果要实现开机自动启动，可直接复制现有httpd-2.2的脚本控制文件副本，进行修改即可

[root@localhost ~]# cd /etc/rc.d/init.d

[root@localhost init.d]# cp httpd httpd24

[root@localhost init.d]# vim httpd24

...

#if [ -f /etc/sysconfig/httpd ]; then

# . /etc/sysconfig/httpd

#fi

#apachectl=/usr/sbin/apachectl

apachectl=/usr/local/apache24/bin/apachectl

#httpd=${HTTPD-/usr/sbin/httpd}

httpd=${HTTPD-/usr/local/apache24/bin/httpd}

#pidfile=${PIDFILE-/var/run/httpd/httpd.pid}

pidfile=${PIDFILE-/usr/local/apache24/logs/httpd.pid}

#lockfile=${LOCKFILE-/var/lock/subsys/httpd}

lockfile=${LOCKFILE-/var/lock/subsys/httpd24}

...

3)配置开机自启动

[root@localhost init.d]# chkconfig --add httpd24

[root@localhost init.d]# chkconfig --list httpd24

httpd24 0:off 1:off 2:off 3:off 4:off 5:off 6:off

[root@localhost init.d]# chkconfig --level 35 httpd24 on

[root@localhost init.d]# chkconfig --list httpd24

httpd24 0:off 1:off 2:off 3:on 4:off 5:on 6:off

4)查看运行状态

[root@localhost init.d]# service httpd24 status

httpd (pid 32677) is running...

至此，手动修改的控制脚本已经完成。

在CentOS 7安装:

直接通过yum安装

# yum install httpd

配置文件：

/etc/httpd/conf/httpd.conf //主配置文件

/etc/httpd/conf.modules.d/*.conf //模块配置文件

/etc/httpd/conf.d/*.conf //配置文件的组成部分

配置应用：

(1)切换使用的MPM

编辑配置文件/etc/httpd/conf.modules.d/00-mpm.conf，启用要启用的MPM相关的LoadModule指令即可

(2)基于IP的访问控制

允许所有主机访问:Require all granted

拒绝所有主机访问:Require all deny

控制特定的IP访问

Require ip IPADDR: 授权指定来源的主机访问

Require not ip IPADDR:拒绝

控制特定的主机访问

Require host HOSTNAME:授权指定来源的主机访问

Require not host HOSTNAME:拒绝

HOSTNAME:

FQDN:特定主机

domin.tld : 指定域名下的所有主机

示例：

允许所有主机访问

Require all granted

Require not ip 172.16.100.2

</RequireAll>

(3)虚拟主机

httpd-2.4基于FQDN的虚拟主机也不再需要NameVirutalHost指令

ServerName wordpress.stu1.com

DocumentRoot "/web/vhosts/wordpress"

Errorlog /web/vhosts/wordpress/logs/error_log //好像要给全路径

CustomLog /web/vhosts/wordpress/logs/access_log common //好像要给全路径

Options None

AllowOverride None

Require all granted

</Directory>

</VirtualHost>

只有明确授权才能被访问

注意：任意目录下的页面只有显式授权才能被访问

(4)ssl

(5)KeepAliveTimeout #ms

毫秒级持久连接时长定义

练习题：分别使用httpd-2.2和httpd-2.4实现；

1、建立httpd服务，要求：

(1)提供两个基于名称的虚拟主机：

www1.stuX.com，页面文件目录为/web/vhosts/www1；错误日志为/var/log/httpd/www1/error_log，访问日志为/var/log/httpd/www1/access_log；

www2.stuX.com，页面文件目录为/web/vhosts/www2；错误日志为/var/log/httpd/www2/error_log，访问日志为/var/log/httpd/www2/access_log；

(2)通过www1.stuX.com/server-status输出其状态信息，且要求只允许提供账号的用户访问；

(3)www1不允许192.168.1.0/24网络中的主机访问；

2、为上面的第2个虚拟主机提供https服务，使得用户可以通过https安全的访问此web站点；

(1)要求使用证书认证，证书中要求使用国家（CN），州（Beijing），城市（Beijing），组织为(MageEdu)；

(2)设置部门为Ops, 主机名为www2.stuX.com

lamp基础应用入门(04)

LAMP

a: apache(httpd)

m: mysql,mariadb

p: php,perl,python

WEB资源类型：

静态资源：原始形式与响应内容一致

动态资源：原始形式通常为程序文件，需要在服务器端执行之后，将执行结果返回给客户端

客户端技术：javascript

服务器端技术：php,jsp

application/x-http-php

CGI: Common Gateway Interface

可以让一个客户端，从网页浏览器向执行在网络服务器上的程序请求数据，CGI描述了客户端和服务器程序之间传输的一种标准

响应用户的请求，管理后端的应用程序进程

程序=指令+数据

数据模型：

层次模型

网状模型

关系型模型：表（行+列）

关系型模型：IngreSQL, Oracle, Sybase, Infomix, DB2(IBM), SQL Server,MySQL, PostgreSQL, MariaDB

指令：代码文件

数据：数据存储系统、文件

请求流程：

Client --(httpd)--> httpd –-(cgi)--> application server (program file) –-(mysql) --> mysql

php:脚本编程语言、嵌入到html中的嵌入式web程序开发语言

基于zend编译成opcode(二进制格式的字节码，重复运行，可省略编译环境)

关于PHP

一、PHP简介

PHP是通用服务器端脚本编程语言，其主要用于web开发以实现动态web页面，它也是最早实现将脚本嵌入HTML源码文档中的服务器端脚本语言之一。同时，php还提供了一个命令行接口，因此，其也可以在大多数系统上作为一个独立的shell来使用。

Rasmus Lerdorf于1994年开始开发PHP，它是初是一组被Rasmus Lerdorf称作"Personal Home Page Tool" 的Perl脚本，这些脚本可以用于显示作者的简历并记录用户对其网站的访问。后来，Rasmus Lerdorf使用C语言将这些Perl脚本重写为CGI程序，还为其增加了运行Web forms的能力以及与数据库交互的特性，并将其重命名为"Personal Home Page/Forms Interpreter"或"PHP/FI"。此时，PHP/FI已经可以用于开发简单的动态web程序了，这即是PHP 1.0。1995年6月，Rasmus Lerdorf把它的PHP发布于comp.infosystems.www.authoring.cgi Usenet讨论组，从此PHP开始走进人们的视野。1997年，其2.0版本发布。

1997年，两名以色列程序员Zeev Suraski和Andi Gutmans重写的PHP的分析器(parser)成为PHP发展到3.0的基础，而且从此将PHP重命名为PHP: Hypertext Preprocessor。此后，这两名程序员开始重写整个PHP核心，并于1999年发布了Zend Engine 1.0，这也意味着PHP 4.0的诞生。2004年7月，Zend Engine 2.0发布，由此也将PHP带入了PHP 5时代。PHP5包含了许多重要的新特性，如增强的面向对象编程的支持、支持PDO(PHP Data Objects)扩展机制以及一系列对PHP性能的改进。

二、PHP Zend Engine

Zend Engine是开源的、PHP脚本语言的解释器，它最早是由以色列理工学院(Technion)的学生Andi Gutmans和Zeev Suraski所开发，Zend也正是此二人名字的合称。后来两人联合创立了Zend Technologies公司。

Zend Engine 1.0于1999年随PHP 4发布，由C语言开发且经过高度优化，并能够做为PHP的后端模块使用。Zend Engine为PHP提供了内存和资源管理的功能以及其它的一些标准服务，其高性能、可靠性和可扩展性在促进PHP成为一种流行的语言方面发挥了重要作用。

Zend Engine的出现将PHP代码的处理过程分成了两个阶段：首先是分析PHP代码并将其转换为称作Zend opcode的二进制格式(类似Java的字节码)，并将其存储于内存中；第二阶段是使用Zend Engine去执行这些转换后的Opcode。

三、PHP的Opcode

Opcode是一种PHP脚本编译后的中间语言，就像Java的ByteCode,或者.NET的MSL。PHP执行PHP脚本代码一般会经过如下4个步骤(确切的来说，应该是PHP的语言引擎Zend)：

1、Scanning(Lexing) —— 将PHP代码转换为语言片段(Tokens)

2、Parsing —— 将Tokens转换成简单而有意义的表达式

3、Compilation —— 将表达式编译成Opocdes

4、Execution —— 顺次执行Opcodes，每次一条，从而实现PHP脚本的功能

扫描-->分析-->编译-->执行

四、php的加速器

基于PHP的特殊扩展机制如opcode缓存扩展也可以将opcode缓存于php的共享内存中，从而可以让同一段代码的后续重复执行时跳过编译阶段以提高性能。由此也可以看出，这些加速器并非真正提高了opcode的运行速度，而仅是通过分析opcode后并将它们重新排列以达到快速执行的目的。

常见的php加速器有：

1、APC (Alternative PHP Cache)

遵循PHP License的开源框架，PHP opcode缓存加速器，目前的版本不适用于PHP 5.4。项目地址，http://pecl.php.net/package/APC。

2、eAccelerator

源于Turck MMCache，早期的版本包含了一个PHP encoder和PHP loader，目前encoder已经不在支持。项目地址， http://eaccelerator.net/。

3、XCache

快速而且稳定的PHP opcode缓存，经过严格测试且被大量用于生产环境。项目地址，http://xcache.lighttpd.net/

4、Zend Optimizer和Zend Guard Loader

Zend Optimizer并非一个opcode加速器，它是由Zend Technologies为PHP5.2及以前的版本提供的一个免费、闭源的PHP扩展，其能够运行由Zend Guard生成的加密的PHP代码或模糊代码。而Zend Guard Loader则是专为PHP5.3提供的类似于Zend Optimizer功能的扩展。项目地址，http://www.zend.com/en/products/guard/runtime-decoders

5、NuSphere PhpExpress

NuSphere的一款开源PHP加速器，它支持装载通过NuSphere PHP Encoder编码的PHP程序文件，并能够实现对常规PHP文件的执行加速。项目地址，http://www.nusphere.com/products/phpexpress.htm

五、PHP源码目录结构

PHP的源码在结构上非常清晰。其代码根目录中主要包含了一些说明文件以及设计方案，并提供了如下子目录：

1、build —— 顾名思义，这里主要放置一些跟源码编译相关的文件，比如开始构建之前的buildconf脚本及一些检查环境的脚本等。

2、ext —— 官方的扩展目录，包括了绝大多数PHP的函数的定义和实现，如array系列，pdo系列，spl系列等函数的实现。个人开发的扩展在测试时也可以放到这个目录，以方便测试等。

3、main —— 这里存放的就是PHP最为核心的文件了，是实现PHP的基础设施，这里和Zend引擎不一样，Zend引擎主要实现语言最核心的语言运行环境。

4、Zend —— Zend引擎的实现目录，比如脚本的词法语法解析，opcode的执行以及扩展机制的实现等等。

5、pear —— PHP 扩展与应用仓库，包含PEAR的核心文件。

6、sapi —— 包含了各种服务器抽象层的代码，例如apache的mod_php，cgi，fastcgi以及fpm等等接口。

7、TSRM —— PHP的线程安全是构建在TSRM库之上的，PHP实现中常见的*G宏通常是对TSRM的封装，TSRM(Thread Safe Resource Manager)线程安全资源管理器。

8、tests —— PHP的测试脚本集合，包含PHP各项功能的测试文件。

9、win32 —— 这个目录主要包括Windows平台相关的一些实现，比如sokcet的实现在Windows下和*Nix平台就不太一样，同时也包括了Windows下编译PHP相关的脚本。

LAMP:

httpd:接收用户的web请求，静态资源则直接响应，动态资源为php脚本，对此类资源的请求交由php来运行

modules(把php编译成为httpd的模块)

MPM：

prefork: libphp5.so

event,worker: libphp5-zts.so

安装lamp:

CentOS 6: httpd,php,mysql-server,php-mysql

# service httpd start

# service mysqld start

CentOS 7: httpd,php,php-mysql,mariadb-server

# systemctl start httpd.service

# systemctl start mariadb.service

DDL: CREATE,ALTER,DROP,SHOW

DML: INSERT,DELETE,SELECT,

授权能远程的连接用户：

mysql> GRANT ALL PRIVILEGES ON db_name.tbl_name TO username@host IDENTIFIED BY 'password';

$conn = mysql_connect('172.16.100.67','testuser','testpass');

实践作业：部署lamp，以虚拟主机安装wordpress，phpwind,discuz;

wordpress 数据库配置

# mysql

MariaDB [(none)]> GRANT ALL ON wpdb.* TO wpuser@'192.168.137.%' IDENTIFIED BY 'wppass';

FLUSH PRIVILEGES

MariaDB [(none)]> CREATE DATABASE wpdb;

#[修改配置文件]

2016/01/15

lamp组合深入介绍(01)

回顾：httpd，lamp

httpd: mod_deflate, https

amp:

静态资源：Client--http-httpd

动态资源：Client--http--httpd-cgi--application server

动态资源：Client--http--httpd--libphp5.so()

动态资源：Client--http--httpd--libphp5.so(php模块)--mysql(驱动)--MySQL server

httpd+php

modules:把php编译成为httpd的模块

cgi

fastcgi

php: zend engine

编译：Opcode是一种PHP脚本编译后的中间语言

执行：

Scanning--Parsing--Compilation--Execution

加速器：APC, eAccelerator, Xcache

LAMP(2)

自定义错误页面

sendfile()

sendfile64()静态文件不再经过用户空间，直接在内核空间处理返回给用户

httpd+php

modules:把php编译成为httpd的模块

(1)Modules:程序包: httpd, php, php-mysql, mariadb-server

(2)FastCGI:程序包: httpd, php-fpm, php-mysql, mariadb-server

CentOS 6:

httpd, php, php-mysql, mysql-server

php:

脚本语言解释器：

配置文件：/etc/php.ini，/etc/php.d/*.ini

配置文件在php解释器启动时被读取，因此，对配置文件的修改如何生效？？

注释符:较新的版本中，已经完全使用;号进行注释

#: 纯粹的注释信息

;: 用于注释可用的directive

如果分号后没有空格，就表示可以启用的选项或指令

如果有空格，表示纯粹的注释信息

php.ini的核心配置选项文档：http://php.net/manual/zh/ini.core.php

php.ini配置选项列表：http://php.net/manual/zh/ini.list.php

SQL接口：Structured Query Language

操作数据库中数据的接口

类似于操作系统的shell接口，也提供编程功能

ANSI: SQL标准，SQL-86, SQL-89, SQL-92, SQL-99, SQL-03, ...

支持xml数据格式输出

DDL: Date Defined Langeuage

CREATE,ALTER,DROP

DML: Date Manapulating Language

INSERT,DELETE,UPDATE,SELECT

权限：管理类，数据库级别，表级别，字段级别

DBMS:DataBase Management System

mariadb基础应用(02)

事务(Transaction)：组织多个操作为一个整体，要么全部都执行，要么全部都不执行

A:原子性：看几个操作是不是能组织为一体，或不可分拆的

C:一致性：结果是一致的，不产生债务

I:隔离性：事务之间是隔离的

D:持久性：事务完成后，结果一定是要持久的

SQL接口：优化器、分析器

存储引擎：

外键约束：一个表中字段要填入的数据要取决于另外表一张表中某字段有没有这个数据

常识约束：比如年龄不能为负数，或大于200等等，是合理取值区间中的值

后选键：能唯一标识的员工字段，员工工号、身份证号，能拿来当主键使用

补充材料：RDMBS设计范式基础概念

设计关系数据库时，遵从不同的规范要求，设计出合理的关系型数据库，这些不同的规范要求被称为不同的范式，各种范式呈递次规范，越高的范式数据库冗余越小。

目前关系数据库有六种范式：第一范式（1NF）、第二范式（2NF）、第三范式（3NF）、巴德斯科范式（BCNF）、第四范式(4NF）和第五范式（5NF，又称完美范式）。满足最低要求的范式是第一范式（1NF）。在第一范式的基础上进一步满足更多规范要求的称为第二范式（2NF），其余范式以次类推。一般说来，数据库只需满足第三范式(3NF）就行了。

(1) 第一范式（1NF）

所谓第一范式（1NF）是指在关系模型中，对域添加的一个规范要求，所有的域都应该是原子性的，即数据库表的每一列都是不可分割的原子数据项，而不能是集合，数组，记录等非原子数据项。即实体中的某个属性有多个值时，必须拆分为不同的属性。在符合第一范式（1NF）表中的每个域值只能是实体的一个属性或一个属性的一部分。简而言之，第一范式就是无重复的域。

说明：在任何一个关系数据库中，第一范式（1NF）是对关系模式的设计基本要求，一般设计中都必须满足第一范式（1NF）。不过有些关系模型中突破了1NF的限制，这种称为非1NF的关系模型。换句话说，是否必须满足1NF的最低要求，主要依赖于所使用的关系模型。

(2) 第二范式(2NF)

第二范式（2NF）是在第一范式（1NF）的基础上建立起来的，即满足第二范式（2NF）必须先满足第一范式（1NF）。第二范式（2NF）要求数据库表中的每个实例或记录必须可以被唯一地区分。选取一个能区分每个实体的属性或属性组，作为实体的唯一标识。

第二范式（2NF）要求实体的属性完全依赖于主关键字。所谓完全依赖是指不能存在仅依赖主关键字一部分的属性，如果存在，那么这个属性和主关键字的这一部分应该分离出来形成一个新的实体，新实体与原实体之间是一对多的关系。为实现区分通常需要为表加上一个列，以存储各个实例的唯一标识。简而言之，第二范式就是在第一范式的基础上属性完全依赖于主键。

(3) 第三范式（3NF）

第三范式（3NF）是第二范式（2NF）的一个子集，即满足第三范式（3NF）必须满足第二范式（2NF）。简而言之，第三范式（3NF）要求一个关系中不能包含已在其它关系已包含的非主关键字信息。简而言之，第三范式就是属性不依赖于其它非主属性，也就是在满足2NF的基础上，任何非主属性不得传递依赖于主属性。

数据库：数据集合

表：为了满足范式设计要求，将一个数据集分拆为多个

约束：constraint，向数据表插入的数据要遵守的限制规则

主键：一个或多个字段的组合，填入主键的数据，必须不同于已存在的数据，不能为空

外键：一个表中某字段中的数据能插入的数据，取决于另外一张表中的数据

唯一键：一个或多个字段的组合，填入唯一键中的数据，必须不同于已存在的数据，可以为空

检查性约束：取决于表达式的要求

索引：将表中的某一个或某些字段抽取出来，将其单独组织一个独特的数据结构中

物理层:决定数据的存储格式，即如何将数据组织成为物理文件

逻辑层:描述DATABASE存储什么数据，以及数据间存在什么样的关系

MariaDB:www.mariadb.org

MariaDB新特性

插件式存储引擎：存储管理器有多种实现版本，彼此间的功能和特性可能略有区别；用户可根据需要灵活选择

InnoDBàXtraDB(改进版)，支持事务

Enterprise: 提供了更丰富的功能

# tar xf mariadb-VERSION.tar.xz -C /usr/local

# cd /usr/local

# ln -sv mariadb-VERSION mysql

# cd /usr/local/mysql

# chown -R root:mysql ./*

# mkdir /etc/mysql

# cp support-files/my-large.cnf /etc/mysql/my.cnf

# vim /etc/mysql/my.cnf

# scripts/mysql_install_db --user=mysql --datadir=/mydata/data

# cp support-files/mysql.server /etc/init.d/mysqld

# chkconfig --add mysqld

(3)提供配置文件

ini格式的配置文件：各程序均可通过此配置文件获取配置信息

[program_name]

OV Vendor提供mariadb rpm包安装的服务的配置文件查找次序：

/etc/mysql/my.cnf -> /etc/my.cnf -> --default-extra-file=/PATH/TO/CONF_FILE -> ~/.my.cnf

通用二进制格式安装的服务程序其配置文件查找次序：

/etc/my.cnf -> /etc/mysql/my.cnf -> --default-extra-file=/PATH/TO/CONF_FILE -> ~/.my.cnf

后面读取的才是最终生效的。

获取其读取次序的方法：

mysql --verbose --help

mysqld --verbose --help

# cp support-files/my-large.cnf /etc/my.cnf

添加三个选项：

datadir = /mydata/data

innodb_file_per_table = ON

skip_name_resolve = ON

(4)启动服务

# service mysqld start

经典案例：

[root@localhost ~]# useradd -r mysql

[root@localhost ~]# ls

anaconda-ks.cfg mariadb-5.5.46-linux-x86_64.tar.gz

[root@localhost ~]# tar xf mariadb-5.5.46-linux-x86_64.tar.gz -C /usr/local/

[root@localhost ~]# cd /usr/local

[root@localhost local]# ln -sv mariadb-5.5.46-linux-x86_64 mysql

'mysql' -> 'mariadb-5.5.46-linux-x86_64'

[root@localhost local]# cd mysql

[root@localhost mysql]# chown -R root:mysql ./*

[root@localhost mysql]# mkdir -pv /mydata/data

mkdir: created directory '/mydata'

mkdir: created directory '/mydata/data'

[root@localhost mysql]# chown mysql:mysql /mydata/data

[root@localhost mysql]# mv /etc/my.cnf /etc/my.cnf.libs

[root@localhost mysql]# cp support-files/my-large.cnf /etc/my.cnf

[root@localhost mysql]# vim /etc/my.cnf

datadir = /mydata/data

innodb_file_per_table = ON

skip_name_resolve = ON

[root@localhost mysql]# scripts/mysql_install_db --user=mysql --datadir=/mydata/data

[root@localhost mysql]# cp support-files/mysql.server /etc/init.d/mysqld

[root@localhost mysql]# chkconfig --add mysqld

[root@localhost mysql]# service mysqld start

[root@localhost mysql]# cd

[root@localhost ~]# vim /etc/profile.d/mysqld.sh

export PATH=/usr/local/mysql/bin:$PATH

[root@localhost ~]# source /etc/profile.d/mysqld.sh

mariadb的核心DDL语句(03)

第三范式：任何表都不应该依赖于其它表的非主属性

数据库、表、索引、视图、存储过程、存储函数、触发器、事件调度器、用户和权限

元数据：mysql

DDL、DML

DDL：CREATE, ALTER, DROP

DML:INSERT, DELETE,UPDATE,SELECT

mysqlbinlog:查看二进制日志工具

S:Server

mysqld

mysqld_safe:建议运行服务端程序

mysql_multi:多实例

监听在三类套接字地址上

IPv4,3306/tcp

Unix Sock:/var/lib/mysql/mysql.sock,/tmp/mysql.sock

C <-> S: localhost, 127.0.0.1

命令行交互式客户端程序：mysql

mysql

mysql [OPTIONS] [database]

常用选项：

-uUSERNAME:用户名，默认为root

-hHOST:远程主机(即mysql服务器) 地址，默认为localhost;

-p[PASSWORD]:USERNAME所表示的用户的密码，默认为空。

注意: mysql的用户账号由两部分组成:'USERNAME'@'HOST'; 其中HOST用于限制此用户可通过哪些远程主机连接当前的mysql服务。

HOST的表示方式，支持使用通配符:

%: 匹配任意长度的任意字符：

172.16.%.%, 172.16.0.0/16

_: 匹配任意单个字符

-Ddb_name: 连接到服务器端之后，设定其此处指明的数据库为默认库。

-e'SQL COMMAND;': 连接至服务器并让其执行此命令后直接返回。

[root@localhost ~]# mysql -uroot -p -Dmysql

Enter password:

Welcome to the MariaDB monitor. Commands end with ; or g.

Your MariaDB connection id is 4

Server version: 5.5.46-MariaDB-log MariaDB Server

Type 'help;' or 'h' for help. Type 'c' to clear the current input statement.

MariaDB [mysql]> exit

Bye

[root@localhost ~]#

[root@localhost ~]# mysql -e 'SHOW DATABASES;'

| Database |

| information_schema |

| mysql |

| performance_schema |

| test |

服务端命令：通过mysql协议连接发往服务器执行并取回结果

u db_name : 设定哪个库为默认数据库

DDL, DML, DCL

注意：每个语句必须有语句结束符，默认为分号(;)

用于确定：数据存储格式、能参与运算种类、可表示的有效的数据范围

字符型：字符集

码表：在字符和二进制数字之间建立映射关系

查看支持的字符集:

MariaDB [(none)]> SHOW CHARACTER SET;

对象存储方案:只是存储一个指针，指向某个磁盘空间地址

INT(TINYINT,SMALLINT,MEDIUMIN,INT,BIGINT)

DDL: 数据定义语言，主要用于管理数据库组件，例如表、索引、视图、用户、存储过程

CREATE, ALTER, DROP

DML:数据操纵语言，主要用于管理表中的数据，实现数据的增、删、改、查

INSERT, DELETE, UPDATE, SELECT

CREATE {DATABASE | SCHEMA} [IF NOT EXISTS] db_name;

[DEFAULT] CHARACTER SET [=] charset_name

[DEFAULT] COLLATE [=] collation_name

修改：

ALTER {DATABASE | SCHEMA} [db_name]

[DEFAULT] CHARACTER SET [=] charset_name

[DEFAULT] COLLATE [=] collation_name

删除：

DROP {DATABASE | SCHEMA} [IF EXISTS] db_name

查看：

SHOW DATABASES LIKE '';

查看支持的所有字符集：SHOW CHARACTER SET

查看支持的所有排序规则：SHOW COLLATION

表管理：

创建：

获取帮助:HELP CREATE TABLE;

CREATE TABLE [IF NOT EXISTS] tbl_name (create_defination) [table_options]

create_defination:

字段: col_name data_type

键：

PRIMARY KEY (col1, col2,...)

UNIQUE KEY (col1, col2,...)

FOREIGN KEY (column)

索引：KEY|INDEX [index_name] (col1, col2,...)

table_options:

ENGINE [=] engine_name

查看数据库支持的所有存储引擎类型：

mysql> SHOW ENGINES;

查看某表的存储引擎类型：

mysql> SHOW TABLES STATUS [LIKE 'tbl_name']

MariaDB [(none)]> show databases;

| Database |

| information_schema |

| mysql |

| performance_schema |

| test |

MariaDB [(none)]> CREATE DATABASE mydb;

4 rows in set (0.00 sec)

Query OK, 1 row affected (0.00 sec)

MariaDB [(none)]> USE mydb;

Database changed

MariaDB [mydb]> CREATE TABLE students(id INT UNSIGNED NOT NULL, name CHAR(30) NOT NULL, age TINYINT UNSIGNED, gender ENUM('f','m'));

Query OK, 0 rows affected (0.05 sec)

MariaDB [mydb]> DESC students;

+--------+---------------------+------+-----+---------+-------+

+--------+---------------------+------+-----+---------+-------+

| id | int(10) unsigned | NO | | NULL | |

| age | tinyint(3) unsigned | YES | | NULL | |

+--------+---------------------+------+-----+---------+-------+

4 rows in set (0.01 sec)

MariaDB [mydb]> DROP TABLE students;

Query OK, 0 rows affected (0.00 sec)

MariaDB [mydb]> CREATE TABLE students(id INT UNSIGNED NOT NULL, name CHAR(30) NOT NULL, age TINYINT UNSIGNED, gender ENUM('f','m'), PRIMARY KEY(id,name));

Query OK, 0 rows affected (0.04 sec)

MariaDB [mydb]> DESC students;

+--------+---------------------+------+-----+---------+-------+

+--------+---------------------+------+-----+---------+-------+

| id | int(10) unsigned | NO | PRI | NULL | |

| age | tinyint(3) unsigned | YES | | NULL | |

+--------+---------------------+------+-----+---------+-------+

4 rows in set (0.00 sec)

MariaDB [mydb]> DROP TABLE students;

Query OK, 0 rows affected (0.01 sec)

MariaDB [mydb]> CREATE TABLE students(id INT UNSIGNED NOT NULL PRIMARY KEY, name CHAR(30) NOT NULL, age TINYINT UNSIGNED, gender ENUM('f','m'));

Query OK, 0 rows affected (0.01 sec)

MariaDB [mydb]> DESC students;

+--------+---------------------+------+-----+---------+-------+

+--------+---------------------+------+-----+---------+-------+

| id | int(10) unsigned | NO | PRI | NULL | |

| age | tinyint(3) unsigned | YES | | NULL | |

+--------+---------------------+------+-----+---------+-------+

4 rows in set (0.00 sec)

修改：

获取帮助：HELP ALTER TABLE;

ALTER [ONLINE | OFFLINE] [IGNORE] TABLE tbl_name [alter_specification [, alter_specification] ...]

alter_specification:

字段：

添加：ADD [COLUMN] col_name data_type [FIRST | AFTER col_name ]

ALTER TABLE students ADD class VARCHAR(100) NOT NULL;

ALTER TABLE students ADD class VARCHAR(100) NOT NULL AFTER name;

ALTER TABLE students ADD class VARCHAR(100) NOT NULL FIRST;

删除：DROP [COLUMN] col_name

ALTER TABLE students DROP class;

修改：

CHANGE [COLUMN] old_col_name new_col_name column_definition [FIRST|AFTER col_name]

MODIFY [COLUMN] col_name column_definition [FIRST | AFTER col_name]

键：

添加：ADD {PRIMARY|UNIQUE|FOREIGN} KEY (col1, col2,...)

删除：

主键：DROP PRIMARY KEY

外键：DROP FOREIGN KEY fk_symbol

索引：

添加：ADD {INDEX|KEY} [index_name] (col1, col2,...)

删除：DROP {INDEX|KEY} index_name

表选项：

ENGINE [=] engine_name

查看表上的索引的信息：mysql> SHOW INDEXES FROM tbl_name;

删除：DROP TABLE [IF EXISTS] tbl_name [, tbl_name] ...

mariadb的核心DDL和DML语句(04)

索引管理：

索引是特殊的数据结构

索引：要有索引名称

创建：CREATE [UNIQUE|FULLTEXT|SPATIAL] INDEX index_name [BTREE|HASH] ON tbl_name (col1, col2,,...)

删除：DROP INDEX index_name ON tbl_name

DML: INSERT, DELETE, UPDATE, SELECT

INSERT INTO:

INSERT [INTO] tbl_name [(col1,...)] {VALUES|VALUE} (val1, ...),(...),...

(1) SELECT * FROM tbl_name;

(2) SELECT col1, col2, ... FROM tbl_name;

显示时，字段可以显示为别名

col_name AS col_alias

(3) SELECT col1, ... FROM tbl_name WHERE clause;

WHERE clause: 用于指明挑选条件

col_name 操作符 value;

age > 30;

操作符(1): >, <, >=, <=, ==, !=

组合条件: and, or, not

操作符(2):

BETWEEN ... AND ...

(4) SELECT col1, ... FROM tbl_name [WHERE clause] ORDER BY col_name, col_name2, ... [ASC|DESC];

ASC: 升序，默认

DESC: 降序排序

DELETE:

DELETE FROM tbl_name [WHERE where_condition] [ORDER BY ...] [LIMIT row_count]

(1) DELETE FROM tbl_name WHERE where_condition

(2) DELETE FROM tbl_name [ORDER BY ...] [LIMIT row_count]

UPDATE:

UPDATE [LOW_PRIORITY] [IGNORE] table_reference SET col_name1=value1 [, col_name2=value2] ... [WHERE where_condition] [ORDER BY ...] [LIMIT row_count]

用户账号及权限管理：

用户账号：'username'@'host'

host：此用户访问当前mysql服务器时，允许其通过哪些主机远程创建连接

表示方式：IP，网络地址、主机名、通配符(%和_)；

禁止检查主机名：my.cnf

[mysqld]

skip_name_resolve = ON

创建用户账号：CREATE USER 'username'@'host' [IDENTIFIED BY 'password'];

删除用户账号：DROP USER 'user'@'host' [, user@host] ...

授权：

权限级别：管理权限、数据库、表、字段、存储例程

GRANT priv_type,... ON [object_type] db_name.tbl_name TO 'user'@'host' [IDENTIFIED BY 'password'];

priv_type: ALL [PRIVILEGES]

db_name.tbl_name:

*.*：所有库的所有表

db_name.*：指定库的所有表

db_name.tbl_name：指定库的特定表

db_name.routine_name：指定库上的存储过程或存储函数

SHOW GRANTS FOR 'user'@'host';

SHOW GRANTS FOR CURRENT_USER;

回收权限：REVOKE priv_type, ... ON db_name.tbl_name FROM 'user'@'host';

注意：MariaDB服务进程启动时，会读取mysql库的所有授权表至内存中

(1) GRANT或REVOKE命令等执行的权限操作会保存于表中，MariaDB此时一般会自动重读授权表，权限修改会立即生效

(2) 其它方式实现的权限修改，要想生效，必须手动运行FLUSH PRIVILEGES命令方可

加固mysql服务器，在安装完成后，运行mysql_secure_installation命令，是一些安全的向导设置。

[root@localhost ~]# mysqladmin -u root -p password

Enter password:

DML:INSERT, DELETE, UPDATE, SELECT

Confirm new password:

2016/01/18

php-fpm及lamp编译安装(01)

DDL:CREATE DATABASE, ALTER DATABASE, DROP DATABASE, CREATE TABLE, ALTER TABLE, DROP TABLE, CREATE INDEX, DROP INDEX, CREATE USER, DROP USER, SELECT

变长字符型: VARCHAR, VARBINARY

区分字符大小写: BINARY, VARBINARY

不区分字符大小写: CHAR, VARCHAR

DATE, TIME, DATETIME, TIMESTAMP

modules方式与fastcgi方式不能共存

如果用modules方式，安装的是php程序包

如果用fastcgi方式，安装的是php-fpm程序包

安装php-fpm:

CentOS 6:

PHP-5.3.2-:默认不支持fpm机制，需要自行打补丁并编译安装

httpd-2.2: 默认不支持fcgi协议，需要自行编译此模块

解决方案:编译安装httpd-2.4, php-5,3,3+

CentOS 7:

httpd-2.4: rpm包默认编译支持了fcgi模块

php-fpm包: 专用于将php运行于fpm模块

配置文件：

服务配置文件: /etc/php-fpm.conf, /etc/php-fpm.d/*.conf

php环境配置文件: /etc/php.ini, /etc/php.d/*.ini

连接池：

pm=static|dynamic

static: 固定数量的子进程，pm.max_children

dynamic: 子进程数据以动态模式管理

创建session目录，并确保运行php-fpm进程的用户对此目录有读写权限

# mkdir /var/lib/php/session

# chown apache.apache /var/lib/php/session

(1) 配置httpd，添加/etc/httpd/conf.d/fcgi.conf配置文件，内容类似：

DirectoryIndex index.php

ProxyRequests Off

ProxyPassMatch ^/(.*.php)$ fcgi://127.0.0.1:9000/var/www/html/$1

注意：^/(.*.php)$: 是匹配模式

fcgi: 是协议

127.0.0.1: 是安装了php-fpm主机提供服务的监听地址

/var/www/html/$1: 是提供php-fpm主机的文件系统路径地址，$1是被模式匹配的内容资源

(2) 虚拟主机配置

DirectoryIndex index.php

DocumentRoot /apps/vhosts/b.net //httpd服务器的静态页面的文件系统

ProxyRequests Off //关闭正向代理

ProxyPassMatch ^/(.*.php)$ fcgi://127.0.0.1:9000/apps/vhosts/b.net/$1

php5依赖于mariadb，要先安装mariadb。

如果mariadb不打算用通用二进制格式，则只需提供mariadb-devel开发包

在编译安装php时，一定要查看httpd的mpm模块是哪个？如果是进程式的prefork，php编译出来的是进程式的模块的php5,

如果httpd的mpm是work或event模型，php5应该编译成php5-zts模块。这两者是不通用的

如果是prefork模型，并且再编译了php,此时如果把prefork换成worker或event是不可以的，因为php不兼容，

php以模块化方式编译成httpd的模块时，它以httpd的mpm类型相关，

进程式的mpm和线程式的mpm它们所使用的php模块是互不兼容的

mairadb：通用二进制格式，mariadb-5.5

注意：任何一个程序包被编译操作依赖到时，需要安装此程序包的"开发"组件，其包名一般类似于name-devel-VERSION

CentOS 7：

httpd-2.4:

# yum install pcre-devel apr-devel apr-util-devel openssl-devel

# ./configure --prefix=/usr/local/apache24 --sysconfdir=/etc/httpd24 --enable-so --enable-ssl --enable-rewrite --with-zlib --with-pcre --with-apr=/usr --with-apr-util=/usr --enable-modules=most --enable-mpms-shared=all --with-mpm=prefork

# make -j 4 && make install

php-5.4:

# yum install libxml2-devel libmcrypt-devel

# ./configure --prefix=/usr/local/php --with-mysql=/usr/local/mysql --with-openssl --with-mysqli=/usr/local/mysql/bin/mysql_config --enable-mbstring --with-png-dir --with-jpeg-dir --with-freetype-dir --with-zlib --with-libxml-dir=/usr --enable-xml --enable-sockets --with-apxs2=/usr/local/apache24/bin/apxs --with-mcrypt --with-config-file-path=/etc --with-config-file-scan-dir=/etc/php.d --with-bz2

# make -j 4 && make install

(--enable-maintainer-zts)支持worker和event，线程模式。

# ./configure --prefix=/usr/local/php5.5 --enable-mbstring --enable-xml --enable-fpm --enable-sockets --with-mysql=/usr/local/mysql --with-openssl --with-mysqli=/usr/local/mysql/bin/mysql_config --with-freetype-dir --with-jpeg-dir --with-png-dir --with-zlib --with-libxml-dir=/usr --with-mcrypt --with-config-file-path=/etc --with-config-file-scan-dir=/etc/php.d --with-bz2

(--with-apxs2=/usr/local/apache24/bin/apxs)编译成httpd的模块

(--enable-fpm)编译成fastcgi

# yum install php-devel

# cd xcache-3.2.0

# phpize

# ./configure --enable-xcache --with-php-config=/usr/bin/php-config

# make && make install

# cp xcache.ini /etc/php.d/

注意: phpize功能在php-devel*.rpm包中

安装

# yum -y install php-fpm

httpd: 编译安装，httpd-2.4

php5: 编译安装，php-5.4

mariadb: 通用二进制格式，mariadb-5.5

注意：任意一个程序包被编译操作依赖到时，需要安装此程序包的"开发组件"，其包名一般类似

lamp组合的其它话题(02)

# yum install php-devel

# cd xcache-3.2.0

# phpize

# ./configure --enable-xcache --with-php-config=/usr/bin/php-config

# make && make install

# cp xcache.ini /etc/php.d/

博客作业一: CentOS 7, lamp(php-fpm)

要求:(1)三者分离于两台主机

(2)一个虚拟主机用于提供phpMyAdmin,另一个虚拟主机用于提供wordpress

(3)xcache

(4)为phpMyAdmin提供https虚拟主机

博客作业二: CentOS 7, lamp(php-fpm)

要求:(1)三者分离于三台主机

(2)一个虚拟主机用于提供phpMyAdmin,另一个虚拟主机用于提供wordpress

(3)xcache

博客作业三: CentOS 6, lamp(编译安装，模块或php-fpm)

要求:(1)三者分离于两台或三台主机

(2)一个虚拟主机用于提供phpMyAdmin,另一个虚拟主机用于提供wordpress

[root@localhost ~]# httpd -M | grep fcgi

proxy_fcgi_module (shared)

查看模块加载文件中有fcgi模块加载配置

[root@localhost ~]# cat /etc/httpd/conf.modules.d/00-proxy.conf | grep fcgi

LoadModule proxy_fcgi_module modules/mod_proxy_fcgi.so

添加配置文件，检查语法

[root@localhost ~]# vim /etc/httpd/conf.d/fcgi.conf

DirectoryIndex index.php

ProxyRequests off

ProxyPassMatch ^/(.*.php)$ fcgi://127.0.0.1:9000/web/vhosts/mysql/$1

[root@localhost ~]# httpd -t