Linux和Solaris建立Apache的虚拟根环境

　　By 书生介绍??我曾经利用CERN httpd安装和使用了已经虚拟根环境下的Web服务器。对Web服务器建立虚拟根环境有各种各样的优点和缺点。在Web发展的早期阶段，这种技术还提供了额外的有价值的安全机制。但是在这个apache的领域中，这种技术似乎没有太大的用处，可它仍旧很有趣。??我提供对apache在linux和soloris环境下实现虚拟根环境的安装的例子，它既可以做标准的编辑（在必要的时候被标记为non-DSO）或者做动态共享对象编辑（在必要时它将被标记为DSO）。选项为DSO的Solaris的例子还没有进行文档化，所以我没有测试它（我打算在测试时使用Solaris 8）。??在Linux上安装一个虚拟根环境化的Apache目录树是相当的简单的。这个例子使用的是Red Hat 6.*和Apache 1.3.12。同时，，它也包含PHP4（作为一个Apache模块），以及在虚拟根环境化的目录树上的perl5的安装。另外还安装了mod-ssl和mod-perl。??该例也假定Red Hat 安装比较完整 （即：有足够的文件、库和开发工具）。注意，如果你安装Red Hat时用了custom（prefered）的配置，并且选择了development选项；或者你就是使用了服务器（server）配置，你都会有一个完全的开发环境。??Mysql3.22.27并没有安装在实现了虚拟根环境目录树中，但是为了完整性我们在此将它包含进去。声明??我并不是个专家:)，尤其在加密方面（openssl、mod-ssl和company）我的水平更是有限。我也是个普通的人，也会犯错误，所以，如果你发现了什么或是有什么建设性的意见，请告诉我。??我写这篇文章只是希望，你能从中学到一些东西，获得一些帮助。我也可以经常提供一些RPM，但如果你知道你可以从草图开始，独立的建一个自己的现代Web网站，那恐怕会更有趣些。但是，在当前的Internet上，学习、理解关于运行一个Web网站各种问题以及所冒的风险，都要靠你自己了。Solaris 例子 ??对Web目录树进行虚拟根环境化的solaris的例子与Linux的例子十分相似。当然，如果你没有安装GNU开发环境，solaris的例子就不可能像Linux例子那样容易。??Solaris的例子文档在另一个web页中。附加的注释使用工具ldd来发掘必要的共享库。 在这个例子中，用户有这样的提示：root user:ROOT#ordinary user:$我基本上都是作为普通用户而不是root用户来编译和安装各种软件的。这有助于避免对文件系统（尤其是在使用不熟悉的软件时）造成的不必要的破坏。这也有助于在进行危险操作前给以警示，例如在已经安装的二进制文件上的“setuid”操作，以及在不寻常的地方安装文件的操作等危险操作前的警示。 在这个例子中，我作为用户soft:soft来进行编译和安装等操作。其实，只要保证软件的所有者的身份ID与Apache目录树用户的ID（在本例中我们用的是888）不同就可以了。Red Hat的缺省root环境中，有一个交互式的开关-I被加在命令cp、mv和rm上。如果你的root环境中没有这些设置，建议你最好将它加上。你可以检查下面的文件：ROOT# alias |grep ‘-i’alias cp=’cp -i’alias mv=’mv -i’alias rm=’rm -i’你应当使你的配置尽量的简单——不要安装那些用不到或根本不必要的模块。一般说来，一个标准的non-DSO（非动态共享对象）Apache，在安装一个perl，对大多数人都是足够的。 关于DSO和mod-ssl需要注意的地方: 如果你打算把任何东西都按照DSO模版进行编译，那你首先要建立mod-ssl，然后你确实要按照下面的顺序建立自己的Apache目录树。Mod-ssl会明显的修改Apache 建立的目录树，据我的经验，在使用我们刚才提到的软件版本的前提下，下面的顺序是做起来最简单的顺序：建立Apache 在Apache中建立和增加mod-ssl 在Apache中建立和增加php 和mod-perl。 你应该在适当的地方记录下来你是如何编译你的目录树的，以便再做时参考。（你可以将其打印出来，并加上注释） 安装了各种软件之后，最终的虚拟根环境化的目录树有23MB，其中包含了8MB的共享库和perl。下面是基于DSO安装的文件的总结（以KB表示）： ROOT# pwd /www ROOT# du -s . 22737 . ROOT# du -s * 6832??apache 0?? bin 1?? dev 7?? etc 6679??lib 1?? tmp 9215??usr 1?? webhome ROOT# du -s apache /* 600?? apache /bin 3?? apache /cgi-bin 125?? apache /conf 1560??apache /htdocs 133?? apache /icons 392?? apache /include 3925??apache /libexec 64?? apache /man 29?? apache /var ROOT# du -s usr/* 8410??usr/Local 336?? usr/bin 340?? usr/lib 128?? usr/share 1.获得源代码??如果你想将一个包加入到你的虚拟根环境化的目录树中，那你必须获得这个包中任何一个文件的源代码。多数源文件都可以从相应的Linux版本的被称为SRPMs（RPM源代码包）的原码光盘中获取；当然也可从tarball文件（.tar.gz）中获取（这种方法很适合于你的带宽有限的情况）。??在Red Hat 系统中你作为root用户安装Source：??ROOT# rpm -i /path/to/SRPMfile.src.rpm??然后，在/usr/src/redhat/SOURCES/目录中提取出源代码。??在我们的例子中我将指出，在Internet上你可从何处获取这些源代码：??软件包????版本号????????源代码??????????文档信息??Apache??? 1.3.12???????????MySQL????3.22.27??? ?????PHP?????4.0.2?????????Perl???? 5.00503??? ?????? ??mod_perl??1.24????? perl.apache.org/dist/???? perl.apache.org/#docs??Hello.pm?????????????????????????? perl.apache.org/dist/contrib/??mod_ssl?? 2.6.6-1.3.12 ftp://ftp.modssl.org/source/???OpenSSL?? 0.9.5a????ftp://ftp.openssl.org/source/???RSAref???2.0??????google search????????? google search2.步骤细节??准备好一个虚拟根环境化后的文件系统2.1 在任何一个地方安装目录树??注意：最好是在另一个磁盘上，或是在非系统分区上安装，这样可以避免别人从Web目录树以外建立到文件的连接，但是你可以使用symlink(例如：/www)连接来找到这棵目录树。??ROOT# mkdir /export/misc/www??ROOT# ln -s /export/misc/www /www2.2 生成基本的目录，bin将是usr/bin的连接??注意： 在这些例子中（除了我直接从一般文件系统中拷贝的代码）我都省略了前导的“/”，所以，注意不要将你的虚拟根环境化的目录树与真正的“/”混淆。??在下面我将用紫红色标记出虚拟根环境化的文件??ROOT# cd /www??ROOT# mkdir -p usr/bin usr/lib lib etc tmp dev webhome??ROOT# ln -s usr/bin bin2.3 /tmp是假定的专用perms??ROOT# chmod 777 tmp??ROOT# chmod +t tmp2.4 构造特殊的装置 dev/null??ROOT# mknod -m 666 dev/null c 1 32.5 为你自己的时区设定时区信息（这里使用的是MET）??ROOT# mkdir -p usr/share/zoneinfo??ROOT# cp -pi /usr/share/zoneinfo/MET usr/share/zoneinfo/??ROOT# cd etc??ROOT# ln -s ../usr/share/zoneinfo/MET localtime??ROOT# cd ..2.6 你会发现由于缺乏本地设置，perl和mod-perl多有不便，但你可以通过在实现了虚拟根环境目录树中安装本地文件来克服它：??ROOT# set |grep LANG??LANG=en_US??ROOT# mkdir /www/usr/share/locale??ROOT# cp -a /usr/share/locale/en_US /www/usr/share/locale/2.7 现在，在可以提供非常基础的虚拟根环境化的文件系统的共享库??ROOT# cp -pi /lib/libtermcap.so.2 /lib/ld-linux.so.2 /lib/libc.so.6 lib/2.8 测试你的目录树（Apachect1后面将要用到“cat”，但也不是必需的）??ROOT# cp -pi /bin/ls /bin/sh /bin/cat bin/??ROOT# chroot /www /bin/ls -l /??lrwxrwxrwx 1 0????0?????? 7 Jan 29 09:24 bin -> usr/bin??drwxr-xr-x 2 0????0??????1024 Jan 29 09:28 dev??drwxr-xr-x 2 0????0??????3072 Jan 29 13:17 etc??drwxr-xr-x 2 0????0??????1024 Jan 29 13:12 lib??drwxrwxrwt 2 0????0??????1024 Jan 29 09:23 tmp??drwxr-xr-x 5 0????0??????1024 Jan 29 09:23 usr??drwxr-xr-x 2 0????0??????1024 Jan 29 10:41 webhome2.9 你可以移动一下ls，它只是用于测试的。??ROOT# rm bin/ls3.准备一个用户和名字服务器??下面我们生成一个运行Apache的用户，下面是这种配置的必要的命名服务：3.1 生成一个不存在于系统上的新的用户，给他起一个特殊的名字和用户ID(例如888)。注意：对于存在真正的鉴定文件(/etc/passwd /etc/group)的user.group,这并不是必需的，完全有你决定：??ROOT# cd /www??ROOT# touch etc/passwd etc/group etc/shadow??ROOT# chmod 400 etc/shadow3.2 编辑三个文件，在这个例子中，我只是将数据再传回文件中：??ROOT# echo ‘www:x:888:888:Web Account:/webhome:/usr/bin/False’ > etc/passwd??ROOT# echo ‘www:x:888:’ > etc/group??ROOT# echo ‘www:*:10882:-1:99999:-1:-1:-1:134537804’ > etc/shadow3.3 我没有给这个用户login或shell，只是为了完整，编译了一下称为false的no-go shell。??ROOT# echo ‘int main(int argc, char *argv[]) { return(1); }’ > /tmp/False.c??ROOT# cc -o /www/usr/bin/False /tmp/False.c3.4 下面让我们标记一下二进制流：??ROOT# chmod 111 usr/bin/*3.5 一些命名服务是必须的。但是由于glibc和命名服务转换库的存在，那些库是必不可少不是那么一目了然的。至于其中的细节，你可以使用命令“man nsswitch”来察看。尽管在我的机器上运行着网络信息服务(NIS)，但我还是选择依赖于文件和域名服务（DNS）。注意：libresolve库也是必需的，在安装了PHP之后，这种需求就相当明显了。??ROOT# cp -pi /lib/libnss_files.so.2 lib/??ROOT# cp -pi /lib/libnss_dns.so.2 lib/3.6 我们将需要三个文件来完成对命名服务的配置。??这些文件的内容决定于你IP和DNS设置。在这里我们假定web服务器的名字是ns.mynet.home，它的IP地址是:192.168.196.2（实际上它也是我的名字服务器）??# —- Contents of??etc/nsswitch.conf —-#??passwd: files??shadow: files??group: files??hosts: files dns??# —- Contents of??etc/resolv.conf —-#??domain mynet.home??## use the IP address of your naming server??## if bind is not installed on your web server??#nameserver 192.168.196.xxx??## use this if your web server is a (caching) name server??nameserver 127.0.0.1??# —- Contents of??etc/hosts —-#??127.0.0.1 localhost loopback??192.168.196.2 ns.mynet.home ns www4.编译和安装Apache4.1 为Apache的安装建立顶层目录，并且在真正的目录树中生成到它的系统连接。??ROOT# mkdir /www/apache??ROOT# ln -s /www/apache /apache4.2 我都是作为一般的用户来进行安装和编译的工作的（就像这个例子中的softs），??注意：Apache的安装是需要root身份的。在这个例子中我是在usr/local/src/chr （该文件是属于softs:softs的）中进行源代码编译的??$ cd /usr/local/src/chr??$ tar zxf /path/to/apache_1.3.12.tar.gz??$ cd apache_1.3.124.3 编辑config.layout，这样它将包含一个称为chroot的特殊的设计(layout)。??# chroot layout.????prefix:????/apache??exec_prefix: $prefix??bindir:????$exec_prefix/bin??sbindir:?? $exec_prefix/bin??libexecdir:??$exec_prefix/libexec??mandir:????$prefix/man??sysconfdir:??$prefix/conf??datadir:?? $prefix??iconsdir:?? $datadir/icons??htdocsdir:?? $datadir/htdocs??cgidir:????$datadir/cgi-bin??includedir:??$prefix/include??localstatedir: $prefix/var??runtimedir:??$localstatedir/logs??logfiledir:??$localstatedir/logs??proxycachedir: $localstatedir/proxy??4.4 现在进行配置和构造??non-DSO:??$ ./configure –with-layout=chroot –enable-module=most –enable-module=so使得模块“so”有效，这样以后你可以运用DSO+APXS机制，通过第三类模块（3rd party module）来扩充你的Apache安装。??DSO:??$./configure –with-layout=chroot –enable-module=most –enable-shared=max??$ make??ROOT# make install ## I am root!4.5 现在来拷贝在例子Apache要用到的共享库??注意对于其他的配置，可能会用到其他的库（你可以通过ldd来查询）??ROOT# cd /www??ROOT# cp -pi /lib/libm.so.6 /lib/libcrypt.so.1 /lib/libdb.so.3 lib/??ROOT# cp -pi /lib/libdl.so.2 lib/4.6 可以进行快速测试来看看结果??快速测试时，配置文件/www/apache/conf/httpd.conf中需要编辑的主要部分是：??User www??Group www??ServerName yourserver.yourdomain.here??Port 8088 ## pick your favourite test port4.7 启动后台程序（daemon）??ROOT# chroot /www/apache/bin/apachectl start4.8 测试URL??$ lynx -dump 测试在另一个端口（如：8088）上的URL??$ lynx -dump :8088/4.9 这儿有一个小的perl脚本程序，它将大多数的注释从已生成的配置文件中删除，形成一个简化的文件。4.10 将htdocs目录树的所有权交给Web目录树的所有者??ROOT# chown -R 888:888 /www/apache/htdocs5.编译和安装MySQL??MySQL并不是安装在虚拟根环境化的目录树上的，事实上，它有可能是安装在其它系统上的。但在我的例子中，它是和Apache安装在一个web服务器上的。??这个例子包括生成用户和数据库所在地，以及生成初始的数据库5.1 生成用户，他将是MySQL数据库的所有者。例如：在home/mysql/中生成一个用户777：777??ROOT# groupadd -g 777 mysqldba??ROOT# useradd -c “mysql DBA” -d /home/mysql -u 777 -g 777 -m -n mysql5.2 解开原码，并将原码目录树给mysql的用户??ROOT# groupadd -g 777 mysqldba??ROOT# useradd -c “mysql DBA” -d /home/mysql -u 777 -g 777 -m -n mysql5.3 现在作为mysql用户，为mysql数据库建立目录，并开始安装和编译mysql??$ mkdir ~/db ## where the DB will reside??$ cd /usr/local/src/mysql-3.22.27??$ ./configure –localstatedir=/home/mysql/db –prefix=/usr/local/mysql??$ make??$ make install5.4 生成*MySQL*授权表（只有在安装*MySQL之前，这才是必须的）??$ ./scripts/mysql_install_db5.5 安装和修改数据库的启动脚本，将数据库的所有者从root变为mysql??ROOT# cd /usr/local/src/mysql-3.22.27/??ROOT# cp support-files/mysql.server /etc/rc.d/init.d/??ROOT# chmod 755 /etc/rc.d/init.d/mysql.server??ROOT# [ edit /etc/rc.d/init.d/mysql.server: ]??mysql_daemon_user=mysql ## so we can run mysqld as this user.??ROOT# chkconfig –add mysql.server ## permanently add server to rc scripts5.6 在安装了mysql之后，必须清空共享库的cache。??ROOT# /sbin/ldconfig -nv /usr/local/lib5.7 为mysql的所有者编辑PATH变量，并且设定数据库的root密码。??$ [ Edit shell login script .bash_profile: ]??PATH=$PATH:$HOME/bin:/usr/local/mysql/bin??$ . ~/.bash_profile ## source it!??$ mysqladmin -u root password ‘2mUch!data’ ## pick your own password!6.编译和安装PHP6.1 先停止Apache后台程序（daemon）的运行??ROOT#chroot /www /apache/bin/apachectl stop6.2 你首先要编译PHP??如果你使用的是non-DSO安装，你必须重新编译Apache。（每次要升级non-DSO包中的任何一个软件时，你都要再这样做一遍。）??$ cd /usr/local/src/chr ## I am NOT root!??$ tar zxf /path/to/php-4.02.tar.gz??$ cd php-4.02??non-DSO:??$ ./configure –with-mysql=/usr/local/mysql??–with-apache=../apache_1.3.12 –enable-track-vars??–with-config-file-path=/apache/conf –sharedstatedir=/tmp??DSO:??$ ./configure –with-mysql=/usr/local/mysql??–with-apxs=/apache/bin/apxs –enable-track-vars??–with-config-file-path=/apache/conf –sharedstatedir=/tmp??DSO:??(or add CFLAGS switch when mod_ssl was also configured as a DSO module)??$ CFLAGS=-DEAPI ./configure –with-mysql=/usr/local/mysql??–with-apxs=/apache/bin/apxs –enable-track-vars??–with-config-file-path=/apache/conf –sharedstatedir=/tmp??$ make??non-DSO:??$ make install??DSO:??ROOT# make install??进行DSO的PHP安装“make install”时，你必须是root。因为模块是直接进入模块目录树/apache/libexec的，另外，Apache的配置文件也改变了。6.3 现在只讨论non-DSO安装，先重新编译Apache，再激活PHP模块??$ cd ../apache_1.3.12/??$ ./configure –with-layout=chroot??–enable-module=most –enable-module=so??–activate-module=src/modules/php4/libphp4.a??$ make??ROOT# make install ## I am root!6.4 在实现了虚拟根环境目录树中，对PHP需要更多的共享库，可以用ldd来查看??For non-DSO: ldd /apache/bin/httpd??For DSO: ldd /apache/apache/libexec/libphp4.so??可以使用小的for循环，从/lib和/usr/lib中拷贝所需的文件??ROOT# cd /www??ROOT# for i in libresolv.so.2 libnsl.so.1 libpam.so.0 ; do??> cp -pi /lib/$i /www/lib/ ; done??ROOT# for i in libgd.so.1 libgdbm.so.2 libz.so.1; do??> cp -pi /usr/lib/$i /www/usr/lib/ ; done6.5 如果你需要mysql，你必须从它编译的地方安装相应的库??ROOT# cp -pi /usr/local/mysql/lib/mysql/libmysqlclient.so.6 /www/usr/lib/6.6 你必须编辑httpd.conf文件，这样它才可以识别出.php文件??ROOT# cd /apache/conf??ROOT# [ edit /apache/conf/httpd.conf ]??AddType application/x-httpd-php .php??AddType application/x-httpd-php-source .phps6.7 重新启动后台程序（daemon）??ROOT# chroot /www /apache/bin/apachectl start6.8 在non-DSO中，你可以检查已经编译过的PHP??ROOT# chroot /www /apache/bin/httpd -l | grep php??mod_php4.c6.9 这儿有一个小的helloworld的脚本程序来测试php，它必须作为hello.php来安装。如果你想要浏览源代码的话可以拷贝一份或建立到hello.phps的系统连接。测试完，要关闭这个连接。7.编译和安装perl??你可以简单的将/usr/lib/perl5拷贝到www/usr/lib,并将usr/bin/perl5.00503（假定是Red Hat6。0版本）拷贝到www/usr/bin中，这样了事。同时，你需要检测并安装任何缺少的共享库，你也需要建立从usr/bin/perl5.00503到/www中的/usr/bin/perl的硬连接。??简单的方法是：??ROOT# cp -a /usr/lib/perl5 /www/usr/lib/perl??ROOT# cp -p /usr/bin/perl5.00503 /www/usr/bin/??ROOT# cd /www/usr/bin??ROOT# ln perl5.00503 perl??但是，我还是讲一下怎样安装和编译perl，如果你想要安装mod-perl,你就必须在此编译perl：7.1 建立向虚拟根环境化的目录树中安装的必要的连接。??本例中使用目录树中的usr/Local。之所以用他，是有道理的，注意不要将他与usr/local混淆。安全起见，我还是使用softs用户来安装??ROOT# mkdir /www/usr/Local??ROOT# ln -s /www/usr/Local /usr/local??ROOT# chown softs:softs /www/usr/Local7.2 从RedHat中获取RPM的源代码??ROOT# rpm -i /path/to/perl-5.00503-2.src.rpm7.3 作为源代码目录树的所有者，解开Perl??$ cd /usr/Local/src/chr??$ tar zxf /usr/src/redhat/SOURCES/perl5.005_03.tar.gz7.4 RedHat在SRPM中包含了一些补丁。你可以使用相应版本的补丁。在这个例子中，我用了RedHat6。0的补丁。??$ cp /usr/src/redhat/SOURCES/perl*.patch .??$ cd perl5.005_03??$ patch -p1 /lib/libm.so.6 (0x40035000)??libc.so.6 => /lib/libc.so.6 (0x40052000)??libcrypt.so.1 => /lib/libcrypt.so.1 (0x40147000)??/lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000)7.9 测试你的安装：??ROOT# chroot /www /usr/bin/perl -v??This is perl, version 5.005_03 built for i386-linux??…7.10 设置安装在Apache服务器上的perl例子的cgi bin 脚本??ROOT# cd /www/apache/cgi-bin??ROOT# chmod ugo+x *7.11 启动Apache服务器，测试perl cgi bin脚本的例子?? ROOT# chroot /www /apache/bin/apachectl start??$ lynx -dump ??同时检查test-cgi??$ lynx -dump 7.12 最后将执行的二进制位从cgi脚本中去除，或完全去除。不要留对外的连接。??ROOT# chmod ugo-x /www/apache/cgi-bin/*8.编译和安装mod-ssl??如果你打算使用DSO方式安装mod-ssl，我希望你已经读过前面的附加注释段。??你必须编译openssl和mod-ssl，我还选择编译了rsaref version 2.0.你应当阅读一些关于mod-ssl的文档信息，以便理解mod-ssl的一些发行版本和选项。??注意，openssl和rsaref提供了包含文件、库和开发工具，它使得你可以编译mod-ssl，所以决不能说它是虚拟根环境化的目录树的一部分，或者说是安装在该目录树中的。8.1 抽取openssl、mod-ssl和rsaref20的源代码??$ cd /usr/local/src/chr??$ tar zxf /path/to/mod_ssl-2.6.6-1.3.12.tar.gz??$ tar zxf /path/to/openssl-0.9.5a.tar.gz??$ mkdir rsaref-2.0??$ cd rsaref-2.0??$ tar zxf /path/to/rsaref20.1996.tar.Z8.2 配置和建立RSA参考库。??注意，在64位结构中你用rsaref必须在mod-ssl包中的INSTALL文件中读取文档信息。??$ cd /usr/local/src/chr/rsaref-2.0??$ cp -rpi install/unix local??$ cd local??$ make??$ mv rsaref.a librsaref.a8.3 配置和建立openssl库??$ cd /usr/local/src/chr/openssl-0.9.5a??$ ./config -L/usr/local/src/chr/rsaref-2.0/local -fPIC??$ make??$ make test??# inspect output for anomalies8.4 你可能想要安装包，当然不是安装在目录树上了。??在这儿，我假设softs拥有usr/local/tree，因为安装openssl的缺省的前缀/usr/local/ssl 。但是，也不是必须要安装这个包，因为你可以在src目录树外进行操作，来建立mod-ssl。??$ make install8.5 配置open-ssl??$ cd /usr/local/src/chr/mod_ssl-2.6.6-1.3.12??$ ./configure -with-apache=../apache_1.3.128.6 进入Apache目录树中，完成建立、配置、运行和构造??$ cd /usr/local/src/chr/apache_1.3.12??non-DSO:??$ SSL_BASE=../openssl-0.9.5a RSA_BASE=../rsaref-2.0/local??./configure –prefix=/apache –with-layout=chroot??–enable-module=most –enable-module=so –enable-module=ssl??–disable-rule=SSL_COMPAT –enable-rule=SSL_SDBM??–activate-module=src/modules/php4/libphp4.a??–activate-module=src/modules/perl/libperl.a??DSO:??$ cd src/modules??$ make clean ## seems to be necessary if you previously compiled in the apache tree??$ cd ../../??$ SSL_BASE=../openssl-0.9.5a RSA_BASE=../rsaref-2.0/local??./configure –prefix=/apache –with-layout=chroot??–enable-module=most –enable-shared=max –enable-shared=ssl??–disable-rule=SSL_COMPAT –enable-rule=SSL_SDBM??$ make8.7 重新安装Apache。如果他在运行，要停止运行再安装。??ROOT# chroot /www /apache/bin/apachectl stop??ROOT# make install ## I am root!8.8 对于non-DSO安装你可以检测内部编译模块。??ROOT# chroot /www /apache/bin/httpd -l | grep -E ‘(php|perl|ssl)’??mod_ssl.c??mod_php4.c??mod_perl.c8.9 在实现了虚拟根环境目录树中生成随机的设备??ROOT# cd /www/dev??ROOT# mknod random c 1 8??ROOT# mknod urandom c 1 98.10 将缺省配置文件融合到你当前的httpd.conf文件中。??我在不同于标准端口（80端口）的其他端口上进行了测试，但是对于安全端口（443端口），没有web服务起跑再它上面，所以我马上就会用一下这个端口。??在这个例子中，我对缺省的配置文件httpd.conf的一些修改如下：User www Group www ServerName yourserver.yourdomain.here Port 8088 ## pick a test port Listen 8088 ## in ‘IfDefine SSL’ section Listen 443 ## this is the standard secure port! AddType application/x-httpd-php .php AddType application/x-httpd-php-source .phps # your Hello.pm script for mod_perl testing: SetHandler perl-script PerlHandler Apache::Hello SSLCertificateFile /apache/conf/server.crt SSLCertificateKeyFile /apache/conf/server.key # in this example I generate the key and crt files into /apache/conf 8.11 如果你现在还没有一个服务器的关键字（keys）和认证（certficate），那么现在就生成它。??在这个例子中我假设openssl在你的路径中，因为你已经安装了它。如果没有，你就把它加到路径中。注意，我已经认定了我的关键字，如果你要做非常重要的事，你最好利用授权机制来分发这些关键字。??ROOT# cd /www/apache/conf??set up a path of random files（为random文件生成路径）??ROOT# randfiles=’/var/log/messages:/proc/net/unix:/proc/stat:/proc/ksyms’??generate the server key（产生服务端的密钥）??ROOT# openssl genrsa -rand ??$randfiles -out server.key 1024??产生带签名的请求（在认证自己的时候不要加密码）??注意你的Common Name必须匹配你完全有权访问的web server name??ROOT# openssl req -new -nodes -out request.pem -key server.key??签上你自己的密钥（有效期一年）??ROOT# openssl x509 -in request.pem -out server.crt -req -signkey server.key -days 365??保护你的密钥和证书??ROOT# chmod 400 server.*??删除请求文件??ROOT# rm request.pem??可选择性地加密你的密钥??ROOT# mv server.key server.key.unencrypted??ROOT# openssl rsa -des3 -in server.key.unencrypted -out server.key??ROOT# chmod 000 server.key.unencrypted ## better yet delete it!??当你改变注意，你决定从你的密钥中删除加密的密码。??ROOT# openssl rsa -in server.key -out server.key.un??ROOT# mv server.key.un server.key??ROOT# chmod 400 server.key8.12 不用ssl来启动Apache，以确保它在工作。??ROOT# chroot /www /apache/bin/apachectl start??$ lynx -dump :8088/8.13 用ssl来重启Apache，并用netscape来测试它。??ROOT# chroot /www /apache/bin/apachectl stop??ROOT# chroot /www /apache/bin/apachectl startssl??$ netscape https://yourserver/8.14 现在你可能想要编辑你的server配置文件，并在标准端口(80端口)上设置服务器。??如果你测试配置，你不需要在443端口上进行配置。9.一些安全考虑??可以从一些在线Apache文档中获取帮助。一个需要特别注意的地方是在httpd脚本上进行的授权改变。??ROOT# chmod ugo-rw /www/apache/bin/*10.摆脱你自己的虚拟根环境化环境??当你有意要摆脱自己的虚拟根环境化环境时，一定要十分小心。在Unix世界中完成一项任务总是有不同的方法，你可以尝试其他的方法。??我提供了下面一个例子，它可以通过cgi脚本或php来激发。??文件被称为wwwmail.c。11.安装以后进行清除工作11.1 去除安装时一些必要的临时连接??ROOT# rm /apache /usr/Local11.2 通过在etc/rc.d/init.d中安装称为httpd的启动脚本文件来自动启动Apache。如：??Standard appache on port 80??Apache on ports 80 and 443 (startssl)接着在其上运行chkconfig来建立象征性的连接??ROOT# chkconfig –add httpd??ROOT# chkconfig –list httpd??httpd?? 0:off 1:off 2:on??3:on??4:on??5:on??6:off11.3 自动的记录triming文件。??在RedHat系统中你可以自己定义要记录那个文件，及参数，只用在etc/logrotate/conf中说明就行了。12.基于RPM的收获文件??在这儿我没有时间完全文本化它，你可以从RPMS中获取它，然后不需要编译原码就生成一个虚拟根环境化的Web目录树。现在我有两个脚本，以后我会对他们文档化的：Script file based on Red Hat 7.0 that will harvest the RPMs Script file for creating temporary SSL key and certificate (testing purposes only!!!) 哪里会顾得上这些。等到时间将矛盾一层层降解为流言是非误解过结