Kuutõrvaja - Kasutaja kaastöö [et]

Slackware Linux

2007-02-02T13:45:15Z

Triinu:

[http://www.slackware.com/ Slackware Linux] on üks esimesi Linuxi distributsioone ja on tänapäeval tuntud heas mõttes oma konservatiivsusega. Näiteks läks Slackware viimasena üle libc5lt glibc2 libradele. Siiski, distributsiooni kuuluvad nii serverina kui töökohal kasutamiseks olulised vahendid.

[[Installeerimine]] Juhised operatsioonisüsteemi installeerimiseks.

[[Tarkvara]] Kuidas töötavale süsteemile tarkvara lisada, värskendada ja eemaldada.

[[Eesti asetusega klaviatuuri kasutamine]] Juhised eesti asetusega klaviatuuri kasutamiseks Xi ja konsooli all.

Programmide portimine

2007-02-02T13:42:18Z

Triinu:

[Tekst on kirjutatud FreeBSD-d silmas pidades, aga üldjoontes klapib kõigega]

Avatud lähtekoodidega maailmas võib juhtuda, et sinu opsüsteemile ei ole binaarpakki mingist vajalikust programmist. Ja portsudest ei pruugi ka asja olla.

Heal juhul kompileerub asi esimese katsega. Veidi halvemal juhul on vaja ./configure skriptile mõned parameetrid kaasa anda.

Veel halvemal juhul hakkab kompilaator protesteerima.

Siis tuleks vaadata rahulikult veateateid.
* Kõige lihtsamal juhul vingutakse puuduva .h faili pärast. Kui puudu on fail, mis üsna kindlasti peaks süsteemis olemas olema( GL/gl.h; jpeg.h; jne), siis võib põhjuseks olla see, et mõned ./configured ei tea, et FreeBSD hoiab asju /usr/local kataloogis. Kõige lihtsam on käivitada ./configure nõnda:
./configure CPPFLAGS=-I/usr/local/include LDFLAGS=-L/usr/local/lib
* Mõnikord vajatakse mingeid linux/* headereid. Nendega on FreeBSDs juba raskem. Mõnedele neist on analoogid, mõnedele neist ei ole... [vot siia tuleks veel juttu (joystick ühes ja teises, ioctl ühes ja teises jne)]
* Teinekord on kompilaator liiga uus / liiga vana / liiga mittestandartne / jne. [siia ka veel juurde]
* Linkimisel protesteeritakse puuduva -ldl pärast. Asi on selles, et dünaamilise linkimise funktsioonide jaoks on Linuxis vaja linkida külge -ldl, aga FreeBSD on need funktsioonid juba standardteegis sees. Sellest takistusest möödasaamiseks on vaja minna kataloogi, kus viga esines ja sealses Makefiles koristada ära kõik -ldl esinemised
* Vahel tekivad kompileerimisel hoiatused, aga gcc loeb neid vigadena ja peatab kompilatsiooni. Sel juhul on Makefilest vaja ära koristada kõik -Werror esinemised.

[paar sõna sconsi kohta]

WRT-ruuteri häkkimine

2007-02-02T13:39:26Z

Triinu:

==Linksys WRT54GL==
===Wärkvara===
WRT54GL on väike, ühel plaadil on kokku pandud interneti ruuter,
4-pordiline 10/100 switch ja 54Mbps Wireless-G (802.11g) Access Point.
Kaks antennipistikut koos antennidega.

Mootoriks on 200MHz Broadcom 5352 protsessor, 4MB Flash-mälu ja 16MB RAM.
Serial interface: UART otsad on trükkplaadil olemas.

Opsüsteemiks on Linux. Haldamine käib veebiliidese kaudu.

===Modimine===
====Firmware vahetamine====
OpenWRT, DD+WRT ja mitmed teised.
====Wärkvara täiustamine====
Täisväärtusliku jadaliidese tegemine
* Termomeeter
** Digitemp
SD mälukaardi ühendamine
===Mis-on-mis===
; rs232 port : rs232 standardile vastav jadaliides (serial port).
; 3,5V serial port : rs232 port aga signaalitasemed on 0V ja 3,5V -10V ja +10V asemel. -10V/+10V

===Lingid===
* [http://www.dd-wrt.com/wiki/index.php/ DD-WRT koduka wiki]
* [http://wiki.openwrt.org/ OpenWRT kodukas]
* [http://www.lecad.uni-lj.si/~leon/other/wlan/wrt54ow/ rs-liidese variant]
* [http://www.brianlane.com/digitemp.php Digitemp programmid]
* http://www.linksysinfo.org/
* http://www.linksys.com/
* http://www.linksysinfo.org/forums/showthread.php?t=47535

WRT-ruuteri häkkimine

2007-02-02T13:39:12Z

Triinu:

==Linksys WRT54GL==
===Wärkvara===
WRT54GL on väike, ühel plaadil on kokku pandud interneti ruuter,
4-pordiline 10/100 switch ja 54Mbps Wireless-G (802.11g) Access Point.
Kaks antennipistikut koos antennidega.
Mootoriks on 200MHz Broadcom 5352 protsessor, 4MB Flash-mälu ja 16MB RAM.
Serial interface: UART otsad on trükkplaadil olemas.

Opsüsteemiks on Linux. Haldamine käib veebiliidese kaudu.

===Modimine===
====Firmware vahetamine====
OpenWRT, DD+WRT ja mitmed teised.
====Wärkvara täiustamine====
Täisväärtusliku jadaliidese tegemine
* Termomeeter
** Digitemp
SD mälukaardi ühendamine
===Mis-on-mis===
; rs232 port : rs232 standardile vastav jadaliides (serial port).
; 3,5V serial port : rs232 port aga signaalitasemed on 0V ja 3,5V -10V ja +10V asemel. -10V/+10V

===Lingid===
* [http://www.dd-wrt.com/wiki/index.php/ DD-WRT koduka wiki]
* [http://wiki.openwrt.org/ OpenWRT kodukas]
* [http://www.lecad.uni-lj.si/~leon/other/wlan/wrt54ow/ rs-liidese variant]
* [http://www.brianlane.com/digitemp.php Digitemp programmid]
* http://www.linksysinfo.org/
* http://www.linksys.com/
* http://www.linksysinfo.org/forums/showthread.php?t=47535

WRT-ruuteri häkkimine

2007-02-02T13:38:46Z

Triinu:

==Linksys WRT54GL==
===Wärkvara===
WRT54GL on väike, ühel plaadil on kokku pandud interneti ruuter, 4-pordiline 10/100 switch ja 54Mbps Wireless-G (802.11g) Access Point. Kaks antennipistikut koos antennidega. Mootoriks on 200MHz Broadcom 5352 protsessor, 4MB Flash-mälu ja 16MB RAM. Serial interface: UART otsad on trükkplaadil olemas.

Opsüsteemiks on Linux. Haldamine käib veebiliidese kaudu.

===Modimine===
====Firmware vahetamine====
OpenWRT, DD+WRT ja mitmed teised.
====Wärkvara täiustamine====
Täisväärtusliku jadaliidese tegemine
* Termomeeter
** Digitemp
SD mälukaardi ühendamine
===Mis-on-mis===
; rs232 port : rs232 standardile vastav jadaliides (serial port).
; 3,5V serial port : rs232 port aga signaalitasemed on 0V ja 3,5V -10V ja +10V asemel. -10V/+10V

===Lingid===
* [http://www.dd-wrt.com/wiki/index.php/ DD-WRT koduka wiki]
* [http://wiki.openwrt.org/ OpenWRT kodukas]
* [http://www.lecad.uni-lj.si/~leon/other/wlan/wrt54ow/ rs-liidese variant]
* [http://www.brianlane.com/digitemp.php Digitemp programmid]
* http://www.linksysinfo.org/
* http://www.linksys.com/
* http://www.linksysinfo.org/forums/showthread.php?t=47535

Linux 2 Solaris howto

2007-02-02T13:34:11Z

Triinu:

# prstat (võtmetega -J ja -T huvitav) on midagi top sarnast
# prtdiag -v näitab riistvaraliste ressursside nimekirja
# psrinfo näitab protsessorite nimekirja
# võrguseadme seadistamiseks, ifconfig qfe1 plumb && ifconfig qfe1 192.168.5.1/24 && ifconfig qfe1 up
# 'shutdown -y -g 0 -i 6' teeb reboodi, nagu shutdown -r now
# 'shutdown -y -g 0 -i 5 teeb poweroff
# ps -ef on nagu ps aux
# df -k annab df moodi väljundi
# pkgchk -l CSWtomcat5 - paketis sisalduvate failide nimekiri
# patchadd -p paikade nimekiri
# id -a - näitab kasutaja gruppe
# snoop on tcpdump (nt snoop -d fjgi0 -o arvuti-20070110.log host 192.168.1.1 kirjutab faili)
# 'svcadm restart ssh' on /etc/init.d/ssh restart
# 'tar -cf - -C /kata1/kata2 . -C /kata3/kata4 . | tar xf -' kopeerib suhtelise teega
# pargs näitab käivitatud programmi argumente, keskkonnamuutujaid jms
# 'egrep -r string .' on 'find . -type f -print | xargs grep string'
# netstat -rn on route -n
# /etc/fstab on /etc/vfstab
# uue riistvara äratundmiseks ütelda OBP promptis 'boot -r' ehk opsüsteemis devfsadm
# cd pealt bootimine single userisse, 'boot cdrom -s'
# kõvaketta uurimine, nt 'prtvtoc /dev/dsk/c1t9d0s0'
# failisüsteemi dump, nt 'ufsdump 0f /tmp/v2/juurikas.dump /dev/dsk/c1t9d0s0'
# failisüsteemi restore, nt 'cd kataloog && ufsrestore rf /tmp/v2/juurikas.dump'
# bootloaderi paigaldamine, 'installboot /usr/platform/`name -i`/lib/fs/ufs/bootblk /dev/rdsk/cwtxdys0'
# swap lisamine, nt swap -a /dev/dsk/cwtxdys0' (sarnaselt faili puhul)
# format -> analyze abil saab kõvaketta nö bloki tasemel kontrollida
# dump-device 'i swapi peale keeramine, dumpadm -d swap
# ZFS failisüsteemi info vaatamine - 'zfs get -o property,value,source all tank/csw'
# versiooni vaatamine, 'cat /etc/release' -> Solaris 10 1/06 s10s_u1wos_19a SPARC
# lsmod on modinfo
# md5sum on digest -a md5

LVM

2007-02-02T13:31:15Z

Triinu:

'''LVM'''

LVM moodustab kihi failisüsteemi ja füüsilise kõvaketta vahele. Kui kasutusel on ka RAID, siis võiks kujutleda kihte selliselt

Failisüsteemid
LVM
RAID
Füüsilised blokkseadmed

LVM võimaldab teha failisüsteemidest snapshotte ning kui failisüsteem seda toetab, siis ka olemasoleva failisüsteemi suurust muuta.

'''Tuuma seadistamine'''

Linuxi 2.6 tuuma puhul on oluline lisaks füüsiliste ketaste draiveritele valida eriti device-mapper

Device Drivers -> Multi-device support (RAID and LVM) -> valida kõik

'''LVM seadistamine'''

LVM lahenduse seadistamiseks sobib kasutada tarkvara lvm2 http://sourceware.org/lvm2/, reeglina on see distributsiooni jaoks pakendatud.

LVMi tuleks käsitleda kolmekihilisena

# Blokkseadmed tuleb LVM juures kasutamiseks spetsiaalselt märgistada.
# Blokkseadmed on organiseeritud voluum gruppidesse, mis on konteinerid loogilistele voluumidele.
# Loogilised voluumid on kõige otsekohesemalt kasutatavad, sinna peale moodustatakse tavaliselt failisüsteemid.

Iga kihi tegevusteks kasutatakse oma utiliite, vastavalt nimedega pv*, vg* ja lv*.

Esmalt tuleb olemasolevad blokkseadmed (füüsilised kõvakettad või RAID seadmed) märkida füüsilisteks voluumideks

aix:~# pvcreate /dev/md0

Tulemust näeb sedasi

aix:~# pvdisplay
--- Physical volume ---
PV Name /dev/md0
VG Name voluum
PV Size 465.77 GB / not usable 0
Allocatable yes
PE Size (KByte) 4096
Total PE 119237
Free PE 106949
Allocated PE 12288
PV UUID dC1zcu-3caT-Uirt-sbB9-r7j0-Yf06-FUGVmP

Seejärel tuleb moodustada loogiline grupp

aix:~# vgcreate voluum /dev/md0

Tulemust näeb selliselt

aix:~# vgdisplay voluum
--- Volume group ---
VG Name voluum
System ID
Format lvm2
Metadata Areas 1
Metadata Sequence No 16
VG Access read/write
VG Status resizable
MAX LV 0
Cur LV 3
Open LV 0
Max PV 0
Cur PV 1
Act PV 1
VG Size 465.77 GB
PE Size 4.00 MB
Total PE 119237
Alloc PE / Size 12288 / 48.00 GB
Free PE / Size 106949 / 417.77 GB
VG UUID j8OONB-HABJ-HH1g-7Ywx-RLVG-1OzZ-IA68j9

Lõpuks moodustada loogilised voluumid

aix:~# lvcreate -L 16G -n vm01 voluum
Logical volume "vm01" created
aix:~# lvcreate -L 16G -n vm02 voluum
Logical volume "vm02" created
aix:~# lvcreate -L 16G -n vm03 voluum
Logical volume "vm03" created

Tulemust näeb selliselt

aix:~# lvdisplay /dev/voluum/vm01
--- Logical volume ---
LV Name /dev/voluum/vm01
VG Name voluum
LV UUID dXfxk5-0jmz-TfQY-hTwz-XxKw-XtgS-H1IOvz
LV Write Access read/write
LV Status available
# open 0
LV Size 16.00 GB
Current LE 4096
Segments 1
Allocation inherit
Read ahead sectors 0
Block device 253:0

Voluum saab olla available või NOT available olekus. Kasutada saab available voluume, kusjuures lvcreate järgselt viiakse voluum automaatselt available olekusse.

Voluumi eemaldamiseks tuleb esmalt ta viia NOT available olekusse

aix:~# lvchange -a n /dev/voluum/vm01

ning seejärel

aix:~# lvremove /dev/voluum/vm03

Voluumigruppide eemaldamiseks tuleks öelda

aix:~# vgremove /dev/voluum

Peale arvuti käivitamist tuleb näiteks Debian GNU/Linuxi puhul öelda

aix:~# /etc/init.d/lvm start

/dev kataloogi seadmete moodustamiseks ning ennem arvuti seiskamist

aix:~# /etc/init.d/lvm stop

'''Snapshot'''

Snapshot tekitab koopia tema moodustamise ajahetkele vastavast loogilise seadme olekust, mida saab seejärel kasutada nagu tavalist failisüsteemi. Snapshoti tegemise eelduseks on, et samas voluumi grupis on piisavalt vaba kasutamata ruumi, st mida pole omistatud ühelegi loogilisele voluumile.

aix:~# lvcreate -L2G -s -n vm01_snapshot /dev/voluum/vm01

Tavaliselt on snapshoti moodustamise põhjuseks soov olemasoleva failisüsteemi seisuga mingi muudatus järgi proovida, näiteks tarkvara uuendamine ilma, et see töötavat süsteemi segaks. Sel juhul tuleb peale snapshoti moodustamist ta külge ühendada

aix:~# mount /dev/voluum/vm01_snapshot /mnt/vm01_snapshot

Snapshoti vabastamiseks tuleb esmalt ta lahti ühendada ja siis öelda

aix:~# lvremove /dev/voluum/vm01_snapshot

'''Veel toredaid programme'''

Programm lvm töötab interaktiivses režiimis

aix:~# lvm
lvm> pvs
PV VG Fmt Attr PSize PFree
/dev/md0 voluum lvm2 a- 465.77G 167.77G

lvm> lvs
LV VG Attr LSize Origin Snap% Move Log Copy%
kraam250 voluum -wi-ao 250.00G
vm01 voluum -wi-ao 16.00G
vm02 voluum -wi-ao 16.00G
vm03 voluum -wi-ao 16.00G

lvm> vgs
VG #PV #LV #SN Attr VSize VFree
voluum 1 4 0 wz--n- 465.77G 167.77G

lvm> lvscan
ACTIVE '/dev/voluum/vm01' [16.00 GB] inherit
ACTIVE '/dev/voluum/vm02' [16.00 GB] inherit
ACTIVE '/dev/voluum/vm03' [16.00 GB] inherit
ACTIVE '/dev/voluum/kraam250' [250.00 GB] inherit

lvm> vgscan
Reading all physical volumes. This may take a while...
Found volume group "voluum" using metadata type lvm2

lvm> pvscan
PV /dev/md0 VG voluum lvm2 [465.77 GB / 167.77 GB free]
Total: 1 [465.77 GB] / in use: 1 [465.77 GB] / in no VG: 0 [0 ]

Tarkvaralise RAID massiivi kasutamine Linuxiga

2007-02-02T10:48:06Z

Triinu:

'''Tarkvaraline RAID'''

RAID (Redundant Arrays of Inexpensive Disks) tähistab mitmetest iseseisvatest füüsilistest blokkseadmetest (kõvaketastest) tervikliku loogilise blokkseadme moodustamist. Kui loogilise seadme moodustamiseks kasutatakse spetsiaalselt RAID kontrollerit, siis on tegu riistvaralise RAID lahendusega. Mitmetest iseseisvatest füüsilistest kõvaketastest saab loogilise blokkseadme moodustada ka ilma riistvaralise kontrollerita, sel juhul nimetatakse lahendust tarkvaraliseks RAID'iks.

Kuigi tihtipeale kõneldakse ja kasutatakse RAID ja LVM (Logical Volume Management) teemat koos, on sisuliselt tegu kahe erineva küsimusega. Materjali esituse selguse mõttes esitatakse nad Kuutõrvajas erinevates punktides.

'''Linuxi tuuma seadistamine'''

Linuxi 2.6 tuuma puhul on oluline lisaks füüsiliste ketaste draiveritele valida

Device Drivers -> Multi-device support (RAID and LVM) -> valida kõik

'''RAID'i seadistamine'''

Tarkvaralise RAID lahenduse seadistamiseks sobib kasutada tarkvara mdadm http://cgi.cse.unsw.edu.au/~neilb/SoftRaid. Põhiliselt on tegu ühe programmiga mdadm ning ühe seadistusfailiga /etc/mdadm/mdadm.conf, distributsioonides sisaldub see reeglina pakendatud kujul.

Näite varal on kirjeldatud kuidas moodustada kahest füüsilisest kõvakettast /dev/sda ja /dev/sdb üks RAID0 blokkseade.

aix:~# mdadm --create /dev/md0 --level=1 --raid-devices=2 /dev/sda /dev/sdb

ning vaadates tulemust

aix:~# mdadm --query /dev/md0
/dev/md0: 232.89GiB raid1 2 devices, 0 spares. Use mdadm --detail for more detail.

ja ka detailsemalt

aix:~# mdadm --detail /dev/md0
/dev/md0:
Version : 00.90.03
Creation Time : Mon Dec 25 19:33:34 2006
Raid Level : raid1
Array Size : 244198464 (232.89 GiB 250.06 GB)
Device Size : 244198464 (232.89 GiB 250.06 GB)
Raid Devices : 2
Total Devices : 2
Preferred Minor : 0
Persistence : Superblock is persistent

Update Time : Mon Dec 25 19:33:34 2006
State : clean, resyncing
Active Devices : 2
Working Devices : 2
Failed Devices : 0
Spare Devices : 0

Rebuild Status : 0% complete

UUID : 0f549edf:66839bd6:e2188e78:0f4ec762
Events : 0.1aix~# mdadm --assemble

Number Major Minor RaidDevice State
0 8 0 0 active sync /dev/sda
1 8 16 1 active sync /dev/sdb

Seadistusfaili /etc/mdadm/mdadm.conf sisu võiks olla selline

ARRAY /dev/md0 devices=/dev/sda,/dev/sdb level=raid1 num-devices=2

Moodustatud RAID skeemi kasutuselevõtmiseks tuleb üldiselt skeem aktiviseerida, kuid skeemi moodustamisel tehakse see automaatselt

aix~# mdadm --assemble /dev/md0
mdadm: /dev/md0 has been started with 2 drives.

ning edasi võib moodustatud blokkseadet /dev/md0 käsitleda nagu tavalist kõvaketast, näiteks fdisk või parted abil moodustada partitsioonid ning seejärel failisüsteemid. Samuti võib RAID seadet kasutada LVM juures füüsilise seadmena

aix:~# parted /dev/md0 p

Disk /dev/md0: 250GB
Sector size (logical/physical): 512B/512B
Partition Table: msdos

Number Start End Size Type File system Flags

Information: Don't forget to update /etc/fstab, if necessary.

RAID skeemi deaktiviseerimiseks tuleb öelda

aix:~# mdadm --stop -scan
mdadm: stopped /dev/md0

'''Arvuti käivitamine ja seiskamine'''

Arvuti käivitamisel tuleb seadistusfailis kirjeldatud kõigi RAID skeemide aktiviseerimiseks öelda

aix~# mdadm --assemble --scan

Arvuti seiskamisel

aix~# mdadm --stop --scan

Need käsud tuleks ära näidata startup ja stop skriptide juures.

'''RAID skeemi eemaldamine'''

RAID skeemi eemdaldamiseks tuleb eemaldada mdadm.conf failist ning kävitusskriptidest vastavad read ning seejärel kõvakettad võtta muul moel kasutusele.

'''Monitooring'''

mdadm programmi abil saab jälgida RAID skeemi tööd ning vajadusel korraldada näiteks e-posti aadressile või syslogi teadete saatmist. Lisaks on taastestsenaariumide läbimängimiseks võimalik loogiliselt märkida RAIDi komponente katkisteks.

Squid

2007-02-02T10:43:14Z

Triinu:

Squid (in. k. kalmaar :)

===Sissejuhatus===

Probleem, mida järgnev jutt lahendada püüab, seisneb selles, et kas ei saaks kuidagi asja optimiseerida, kui terve klassitäis arvuteid korraga (ja tunni aja pärast jälle) püüab külastada ühte ja sama kodulehekülge (nt. www.postimees.ee'd).

Klassikaliselt on arvutiklass ühe serveri taha ära maskeeritud ja igasse arvutisse tuuakse info eemalt internetist (antud juhul www.postimees.ee'st) eraldi kohale.
Alltoodud joonis kujutab kolme võrgukaardiga serverit, millel töötab programm squid. On näha kahte alamvõrku (192.168.1.0, 192.168.2.0), millel istuvad nn. klientarvutid.

Programmi squid roll seisneb selles, et kogu infovahetus välismaailmast klientide poole toimub läbi tema. Squid kuulab pealt klientide poolt sooritatavaid päringuid (nt. www.postimees.ee) ja lisaks sellele, et ta toob netist ära vastava materjali ning annab need üle päringu esitanud klendile, talletab ta tolle materjali teatud ajaks (mõned päevad) oma andmebaasi (selle maht on ca 100 MB). Ja kui nüüd paari minuti või tunni pärast esitab keegi sama päringu (st. soovib netist alla laadida www.postimees.ee pealehte), siis squid ei lähe sellele enam netti järele, vaid võtab materjali oma kohalikust andmebaasist ning annab kliendile.

Selline mehhanism toimib ja praktiliselt iga kolmas-neljas päring saab vastatud kasutades kohalikku materjali. See efekt on juba märgatav.

Siin on veel selline moment, et mitu squid serverit võivad teha omavahel koostööd.

Üks võimalus on see, et määrata oma squidile parent (vanem) - siis on nii, et päringud, mis ei sisaldu enda kohalikus andmebaasis, saadetakse parent squidile (see asub tavaliselt teises - suuremas, paremas masinas) ning too vaatab kust saab.

Teine võimalus on määrata oma squidile sibling (naaber) - siis on nii, et naabrid peavad efektiivselt ühte suurt andmebaasi mitme peale. Ja kui päring esitatakse ning kohalik squid ei leia oma andmebaasist vastust, siis kõigepealt külastab ta naabreid ja seejärel parent'i.

Ülalesitatud jutus kasutasin ilmestamiseks konkreetseid arve (minutid, päevad, 100 MB). Nende arvude valik, parent ja naabri valik, võib osutuda keeruliseks ja teiste administraatoritega koostööd eeldavaks ettevõtmiseks.

Allpool on toodud ära sammud, mida kasutasin squidi installeerimisel, konfigureerimisel, käivitamisel ja seismajätmisel.

===Installeerimine===

Tarkvara saab aadressilt squid.nlanr.net, kus on ka palju lugemist!
Oluline on vaadata ka cache.eenet.ee, milline parent endale vailda (ilus oleks omanikelt luba küsida) ja cache.online.ee/cache/cacheware.old.html ideoloogilise poole pealt (autor Andres Kroonmaa) tõmbasin squid 2.0 ära.

Lõin kasutaja (homeiga /usr/local/squid) ja grupi squid ja kõik järgnevad sammud sooritasin, olles sisse loginud selle kasutaja alt.

Pakkisin /usr/local/squid alla lahti src-i

tegin ./configure --prefix=/usr/local/squid

make; make install

===Konfigureerimine===

Ainus konf fail, millega saab ja on vaja tegeleda, on squid.conf, minul on ta selline:

root@masin# egrep ^[^#] squid.conf

http_port 3128
icp_port 3130
cache_peer cache.tartu.eenet.ee parent 3128 3130 no-query
cache_peer_domain cache.tartu.eenet.ee !.ee
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 8 MB
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl sub1 src 192.168.1.0/255.255.255.0
acl sub2 src 192.168.2.0/255.255.255.0
acl kopka src 193.40.xxx.xxx/255.255.255.255
http_access allow manager localhost
http_access allow manager kopka
http_access allow sub1
http_access allow sub2
http_access allow kopka
icp_access allow sub1
icp_access allow sub2
icp_access allow kopka

Lühidalt kokkuvõttes realiseerib see konfiguratsioon järgmist:

- kuulatakse porte 3128 ja 3130
- vanemaks on cache.tartu.eenet.ee vastavate portidega, kusjuures mitte saata ICP (???) päringuid talle
- küsida kõike peale .ee domainide
- acl access list: määrab masinad ja alamvõrgud, kes meie squidi kasutada saavad ja annab neile õigused
- samuti selle, kust monitoringut teha saab

acl abil saab defineerida faile, kuhu saab kirjutada näiteks sõnu, mille esinemisel veebis veeb blokeeritakse. Näiteks

acl porn url_regex "/usr/local/etc/squid/porn.block.txt"
acl notporn url_regex "/usr/local/etc/squid/porn.unblock.txt"
acl badlang url_regex "/usr/local/etc/squid/badlang.block.txt"

ja siis vastavalt

http_access allow notporn all
http_access deny porn all
http_access deny badlang all

Failidesse võib kirjutada järgnevalt

.t100.com
.mp3
.mpeg
morpheus
napster
.mpg

Nagu näha, keelata saab nii domeene, faililaiendeid, kui ka üksikuid tekstilõike sisaldavaid lehti.

===Käivitamine ja seiskamine===

Esimene käivitamine tuleb teha selliselt:

/usr/local/squid/bin/squid -z

See loob nn. swap space, kus squid hoiab oma andmeid.

Hiljem käivitada, seisata ja muudetud konfiguratsiooni sättida sellise scriptiga (võib muidugi ka lihtsalt käske anda).

(Selle scripti avaldas Toomas Soome eups@ut.ee listis, loodan, et autor ei ole selle siin taasavaldamise vastu)

#!/bin/sh

case $1 in
'start')
echo "Starting Squid Cache service."
su - squid -c 'cd /opt/squid/bin;/opt/squid/bin/RunCache > /dev/null 2>&1 &' >
/dev/null 2>&1
;;
'stop')
# Lööme igaks juhuks RunCache maha
kill -9 `ps -fu squid | grep RunCache| grep -v grep | awk '{print $2}'`
# Kas te oleksite nii lahke ja hakkaksite nüüd seisma jääma?
/opt/squid/bin/squid -k shutdown
sleep 30
echo "Squid Cache stopped."
;;
'reload')
/opt/squid/bin/squid -k reconfigure
echo "Squid Cache reloaded."
;;
*)
echo "usage: $0 start|stop|reload"
;;
esac
exit 0

squid -h näitab ära kõik võimalikud võtmed.

Kusjuures RunCache'i roll on vaadata, et kui mõni squid ära sureb, siis ta tagasi tööle panna.
Et log failid väga suureks ei kasvaks, oleks vaja nt. cron'ist aeg-ajalt teha 'squid -k, rotate' t või lihtsalt mõni squid, kelle pid on logs/squid.pid'is, ära tappa:

kill -USR1 `cat /etc/squid.pid` >/dev/null 2>&1

(Urmas Lett'i soovitus listist eups@ut.ee)

RunCache tõmbab automaatselt ise uue squidi üles.

Töötava squidi puhul on pilt niisugune:

root@kopka /usr/local/squid/logs/ $ ps auxf | grep squid
squid 19483 0.0 0.0 1112 0 ? SW Dec 8 0:00 (RunCache)
squid 19488 0.0 0.0 2392 0 ? SW Dec 8 0:00 \_ (squid)
squid 19489 0.1 18.6 16044 5752 ? S Dec 8 4:05 \_ (squid) -sY
squid 19495 0.0 0.2 808 64 ? S Dec 8 0:00 \_ (unlinkd)
squid 31796 0.0 0.6 856 208 ? S Dec 8 0:00 \_ (dnsserve
squid 31797 0.0 0.0 852 0 ? SW Dec 8 0:00 \_ (dnsserve
squid 31798 0.0 0.0 852 0 ? SW Dec 8 0:00 \_ (dnsserve
squid 31799 0.0 0.0 852 0 ? SW Dec 8 0:00 \_ (dnsserve
squid 31800 0.0 0.0 852 0 ? SW Dec 8 0:00 \_ (dnsserve

===Monitoring===

Kaval on panna tööle ka kaasapandud cgi script squidi töö jälgimiseks (nt. selleks, et jälgida kuidas nn. hitte tuleb - see on protsent läbi squidi esitatud päringutest, mida ta oma kohalikust andmebaasist rahuldada sai). See eeldab, et samas masinas on apache või mõni muu sarnane webserver installeeritud.

Stunnel

2007-02-02T10:33:38Z

Triinu:

'''Eesmärk'''

Sertide genereerimine! :) ja konf

'''SSL teenuse un-ssl'imine'''

bash$ stunnel -c -d 1111 -r ip.aadress.eem.al:443

Solarise GNU tarkvara arhiivi kasutamine

2007-02-02T10:33:15Z

Triinu:

'''Tutvustus'''

Head inimesed pakendavad populaarset GNU tarkvara Solaris operatsioonisüsteemiga kasutamiseks CSW (Community , projekti veebikoht asub aadressil [[http://www.blastwave.org/ http://www.blastwave.org/]]. Toetatud on Sparc ning x86 arhitektuurid.

'''Kasutamine'''

Tarkvara on ettevalmistatud selliselt, et reeglina paigutatakse kõik arhiivist kopeeritud failid kataloogi /opt/csw alla ning pakettide nimed algavad CSW (Community Software) järgnevusega. CSW tarkvara haldusliides on programm pkg-get.

'''Tegevuste järgnevus'''

/opt/csw/bin/wget --output-document=pgp.key http://www.blastwave.org/mirrors.html
gpg --import pgp.key
vi /opt/csw/etc/pkg-get.conf

Integrit

2007-02-02T10:32:33Z

Triinu:

'''Tutvustus'''

Tarkvara [[Integrit http://integrit.sourceforge.net/]] abil saab jälgida failisüsteemis toimuvaid muutusi. Tavaliselt kasutatakse seda HIDS (Host-based Intrusion Detection System) tekitamiseks, eesmärgiga saada jälile failisüsteemi tehtud mitteautoriseeritud muudatustele, näiteks seoses süsteemi sissemurdmise käigus toimunud süsteemsete failide asendamisega.

'''Kasutamine'''

Integrit on populaarne tarkvara ning tavaliselt on võimalik ta operatsioonisüsteemi paketihaldusvahendi abil paigaldada.

Tarkvara Integrit kasutab oma tööks kolme faili

#seadistusfail
#süsteemi viimast seisu kajastav andmbeaas
#süsteemi

Terminal server

2007-02-02T10:31:27Z

Triinu:

Kõige esimene etapp terminalserveris peale masina installi on cvsup. Source olemas, sellel pikemalt ei peatu, siin wikis on sellekohta väga põhjalik manuaal. Seejärel teeme skripti, mis kompileerib ja paigaldab kogu süsteemi, minul siis /usr/home/tftpboot/pxe kausta

Märkustest niipalju, et terminalserveri ip 192.168.0.253

#!/bin/sh
export DESTDIR=/usr/home/tftpboot/pxe
mkdir -p ${DESTDIR}
cd /usr/src; make world && make kernel
cd /usr/src/etc; make distribution

Peale skripti töö lõppemist kopeerime /boot/kernel kausta /usr/home/tftpboot/pxe/boot alla ja faili /boot/pxeboot /usr/home/tftpboot/pxe kausta, seejärel installime isc-dhcp serveri ja teeme konfi, minu oma selline

ddns-update-style none;

subnet 192.168.0.0 netmask 255.255.255.0 {
range 192.168.0.50 192.168.0.100;
default-lease-time 144000;
max-lease-time 192000;

filename "pxeboot";
option root-path "192.168.0.253:/usr/home/tftpboot/pxe";

option subnet-mask 255.255.255.0;
option broadcast-address 192.168.0.255;
option routers 192.168.0.253;
option domain-name-servers 193.40.5.129;

}

Käivitame tftp, selleks /etc/inetd.conf’is kommenteerime rea ja muudame tftp kausta järgmiselt
tftp dgram udp wait root /usr/libexec/tftpd tftpd -s /usr/home/tftpboot/pxe

Seejärel rc.conf’i kirjutame lisaks read inet’i ja nfs’i startimiseks boodil
inetd_enable="YES"
nfs_server_enable="YES"

Loome faili /etc/export read nfs’iga pxe juurika ja usr’i käivitamiseks usr’it vajame hiljem selleks, et sealt gdm startida
/usr/home -maproot=0 -alldirs
/usr

Liigume /usr/home/tftpboot/pxe/etc, seal avame fail fstab, kirjutame
192.168.0.253:/usr /usr nfs rw 2 2

Installime x serveri ja fluxboxi ning gdm’i lähemat seletust ei vaja :)

loome fail /usr/X11R6/etc/dm/Sessions/Fluxbox.desktop
[Desktop Entry]
Encoding=UTF-8
Name=Fluxbox
Exec=/usr/X11R6/bin/fluxbox
Icon=
Type=Application

Seadistame paika remote logimise gdm’is seadistusfailis /usr/X11R6/etc/gdm/gdm.conf, muudame [xdmcp] juures Enable=true

Süsteem peaegu valmis, veel rc.conf’i
gdm_enable=“YES”

Selleks, et terminal peale bootimist automaatselt stardiks gdm’i ja siis ühendaks end server xserveriga, paigutada /usr/local/etc/rc.d fail 00.gdm.sh,
sinna kirjutame
#!/bin/sh
/usr/X11R6/bin/X -broadcast

Siis reboot ja naudime enda serverit ja klienti :)

Juhul, kui eesti arvutikaubandusvõrk ei suuda meid varustada vajalike pxe kividega kaartidega, ei sobi pxeboot, vaid tuleb kompileerida kernel käsitsi ja paigutada /usr/home/tftpboot/pxe kausta ning etherboot’i veebimootoriga saab genereerida flopid

küsimused jms joel.jans@ut.ee

Postfix

2007-02-02T10:23:16Z

Triinu:

'''Serveritarkvara paigaldus'''

amavisd-new

clamav

Kogu süsteem toimib nii, et postfix annab kirja edasi amavisd'le, mis kontrollib seda kasutades amavisd'd ja smapsassassinit

'''Seadistus postfix'''

main.cf

content_filter = amavis:[127.0.0.1]:10024

smtpd_sender_restrictions =
reject_unknown_sender_domain,
permit_mynetworks,
reject_rbl_client bl.spamcop.net,
reject_rbl_client relays.ordb.org,
reject_rbl_client sbl-xbl.spamhaus.org

master.cf

localhost:10025 inet n - n - - smtpd
-o content_filter=
-o local_recipient_maps=
-o relay_recipient_maps=
-o myhostname=localhost.eenet.ee
-o smtpd_helo_restrictions=
-o smtpd_client_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=permit_mynetworks,reject
-o mynetworks=127.0.0.0/8
#
amavis unix - - n - 4 smtp
-o smtp_data_done_timeout=1200
-o smtp_send_xforward_command=yes
-o disable_dns_lookups=yes

'''konfig amavisd'''

use strict;

$max_servers = 4; # number of pre-forked children (2..15 is common)
$daemon_user = 'vscan'; # (no default; customary: vscan or amavis)
$daemon_group = 'vscan'; # (no default; customary: vscan or amavis)

$mydomain = 'eenet.ee'; # a convenient default for other settings

$MYHOME = '/var/amavis'; # a convenient default for other settings
$TEMPBASE = "$MYHOME/tmp"; # working directory, needs to be created manually
$ENV{TMPDIR} = $TEMPBASE; # environment variable TMPDIR
$QUARANTINEDIR = '/var/virusmails';
@local_domains_maps = ( [".$mydomain"] );

$log_level = 2; # verbosity 0..5
$log_recip_templ = undef; # disable by-recipient level-0 log entries
$DO_SYSLOG = 1; # log via syslogd (preferred)
$SYSLOG_LEVEL = 'mail.debug';

$enable_db = 1; # enable use of BerkeleyDB/libdb (SNMP and nanny)
$enable_global_cache = 1; # enable use of libdb-based cache if $enable_db=1

$inet_socket_port = 10024; # listen on this local TCP port(s) (see $protocol)

$sa_tag_level_deflt = undef; # add spam info headers if at, or above that level
$sa_tag2_level_deflt = 5.0; # add 'spam detected' headers at that level
$sa_kill_level_deflt = 7.0; # triggers spam evasive actions
$sa_dsn_cutoff_level = 9; # spam level beyond which a DSN is not sent
$sa_quarantine_cutoff_level = 20; # spam level beyond which quarantine is off
$sa_mail_body_size_limit = 200*1024; # don't waste time on SA if mail is larger
$sa_local_tests_only = 0; # only tests which do not require internet access?
$sa_auto_whitelist = 1; # turn on AWL in SA 2.63 or older (irrelevant
$virus_admin = undef; # notifications recip.

$mailfrom_notify_admin = "virusalert\@$mydomain"; # notifications sender
$mailfrom_notify_recip = "virusalert\@$mydomain"; # notifications sender
$mailfrom_notify_spamadmin = "spam.police\@$mydomain"; # notifications sender
$mailfrom_to_quarantine = ''; # null return path; uses original sender if undef

@addr_extension_virus_maps = ('virus');
@addr_extension_spam_maps = ('spam');
@addr_extension_banned_maps = ('banned');
@addr_extension_bad_header_maps = ('badh');

$path = '/usr/local/sbin:/usr/local/bin:/usr/sbin:/sbin:/usr/bin:/bin';

$MAXLEVELS = 14;
$MAXFILES = 1500;
$MIN_EXPANSION_QUOTA = 100*1024; # bytes (default undef, not enforced)
$MAX_EXPANSION_QUOTA = 300*1024*1024; # bytes (default undef, not enforced)

$sa_spam_subject_tag = '***SPAM*** ';
$defang_virus = 1; # MIME-wrap passed infected mail
$defang_banned = 1; # MIME-wrap passed mail containing banned name

$final_virus_destiny = D_DISCARD;
$final_banned_destiny = D_DISCARD;
$final_spam_destiny = D_DISCARD;
$final_bad_header_destiny = D_PASS;

[qr/^/ => 1], # true for everything else
));

@keep_decoded_original_maps = (new_RE(
qr'^MAIL-UNDECIPHERABLE$', # recheck full mail if it contains undecipherables
qr'^(ASCII(?! cpio)|text|uuencoded|xxencoded|binhex)'i,
));

$banned_filename_re = new_RE(

# block certain double extensions anywhere in the base name
qr'\.[^./]*[A-Za-z][^./]*\.(exe|vbs|pif|scr|bat|cmd|com|cpl|dll)\.?$'i,

qr'^application/x-msdownload$'i, # block these MIME types
qr'^application/x-msdos-program$'i,
qr'^application/hta$'i,

[ qr'^\.(rpm|cpio|tar)$' => 0 ], # allow any in Unix-type archives
qr'.\.(exe|vbs|pif|scr|bat|cmd|com|cpl)$'i, # banned extension - basic
qr'^\.(exe-ms)$', # banned file(1) types
);

@score_sender_maps = ({ # a by-recipient hash lookup table,
# results from all matching recipient tables are summed
'.' => [ # the _first_ matching sender determines the score boost

new_RE( # regexp-type lookup table, just happens to be all soft-blacklist
[qr'^(bulkmail|offers|cheapbenefits|earnmoney|foryou)@'i => 5.0],
[qr'^(greatcasino|investments|lose_weight_today|market\.alert)@'i=> 5.0],
[qr'^(money2you|MyGreenCard|new\.tld\.registry|opt-out|opt-in)@'i=> 5.0],
[qr'^(optin|saveonlsmoking2002k|specialoffer|specialoffers)@'i => 5.0],
[qr'^(stockalert|stopsnoring|wantsome|workathome|yesitsfree)@'i => 5.0],
[qr'^(your_friend|greatoffers)@'i => 5.0],
[qr'^(inkjetplanet|marketopt|MakeMoney)\d*@'i => 5.0],
),

{ # a hash-type lookup table (associative array)
'pac@c-s.fr' => -3.0,
'nobody@cert.org' => -3.0,
'cert-advisory@us-cert.gov' => -3.0,
'owner-alert@iss.net' => -3.0,
'slashdot@slashdot.org' => -3.0,
'bugtraq@securityfocus.com' => -3.0,
'ntbugtraq@listserv.ntbugtraq.com' => -3.0,
'security-alerts@linuxsecurity.com' => -3.0,
'mailman-announce-admin@python.org' => -3.0,
'amavis-user-admin@lists.sourceforge.net'=> -3.0,
'notification-return@lists.sophos.com' => -3.0,
'owner-postfix-users@postfix.org' => -3.0,
'owner-postfix-announce@postfix.org' => -3.0,
'owner-sendmail-announce@lists.sendmail.org' => -3.0,
'sendmail-announce-request@lists.sendmail.org' => -3.0,
'donotreply@sendmail.org' => -3.0,
'ca+envelope@sendmail.org' => -3.0,
'noreply@freshmeat.net' => -3.0,
'owner-technews@postel.acm.org' => -3.0,
'ietf-123-owner@loki.ietf.org' => -3.0,
'cvs-commits-list-admin@gnome.org' => -3.0,
'rt-users-admin@lists.fsck.com' => -3.0,
'clp-request@comp.nus.edu.sg' => -3.0,
'surveys-errors@lists.nua.ie' => -3.0,
'emailnews@genomeweb.com' => -5.0,
'yahoo-dev-null@yahoo-inc.com' => -3.0,
'returns.groups.yahoo.com' => -3.0,
'clusternews@linuxnetworx.com' => -3.0,
lc('lvs-users-admin@LinuxVirtualServer.org') => -3.0,
lc('owner-textbreakingnews@CNNIMAIL12.CNN.COM') => -5.0,

# soft-blacklisting (positive score)
'sender@example.net' => 3.0,
'.example.net' => 1.0,
},
], # end of site-wide tables
});

@decoders = (
['mail', \&do_mime_decode],
['asc', \&do_ascii],
['uue', \&do_ascii],
['hqx', \&do_ascii],
['ync', \&do_ascii],
['F', \&do_uncompress, ['unfreeze','freeze -d','melt','fcat'] ],
['Z', \&do_uncompress, ['uncompress','gzip -d','zcat'] ],
['gz', \&do_gunzip],
['gz', \&do_uncompress, 'gzip -d'],
['bz2', \&do_uncompress, 'bzip2 -d'],
['lzo', \&do_uncompress, 'lzop -d'],
['rpm', \&do_uncompress, ['rpm2cpio.pl','rpm2cpio'] ],
['cpio', \&do_pax_cpio, ['pax','gcpio','cpio'] ],
['tar', \&do_pax_cpio, ['pax','gcpio','cpio'] ],
['tar', \&do_tar],
['deb', \&do_ar, 'ar'],
['zip', \&do_unzip],
['rar', \&do_unrar, ['rar','unrar'] ],
['arj', \&do_unarj, ['arj','unarj'] ],
['arc', \&do_arc, ['nomarch','arc'] ],
['zoo', \&do_zoo, 'zoo'],
['lha', \&do_lha, 'lha'],
['cab', \&do_cabextract, 'cabextract'],
['tnef', \&do_tnef],
['exe', \&do_executable, ['rar','unrar'], 'lha', ['arj','unarj'] ],
);

@av_scanners = (

### http://www.clamav.net/
['ClamAV-clamd',
\&ask_daemon, ["CONTSCAN {}\n", "/var/run/clamav/clamd"],
qr/\bOK$/, qr/\bFOUND$/,
qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ],

);

@av_scanners_backup = (
);

'''Automaatne start'''

amavisd_enable="YES"
clamav_clamd_enable="YES"
clamav_freshclam_enable="YES"

'''Spamitõrje uuendus'''

sa-update -D

spamassassin --lint && /usr/local/etc/rc.d/spamd.sh.sample restart
--lint kontrollib ega reeglites kala pole

'''Kontroll töötamisel'''

Heidame pilgu maillog faili, kõigi kirjadekohta peaks tekkima rida

Pptpvpn

2007-02-02T10:21:14Z

Triinu:

pptp vpn server mpd'ga

MPD on multi-link PPP teenus FreeBSD'le, mis kasutab netgraph'i ruutimaks pakette otse kernelini. Toetab suurt hulka erinevaid PPP protokolle, näiteks

* Multi-link PPP
* PAP, CHAP, and MS-CHAP authentication
* PPP compression and encryption
* Point-to-Point Tunnelling Protocol (PPTP)
* PPP over Ethernet (PPPoE)

Tarkvara veebileht asub http://www.dellroad.org/mpd/index

Käesolevas palas vaatame, kuidas luua sissehelistamiseks vpn serverit windows klientidele. Selline lahendus sobib näiteks olukordades, kus vaja kiirelt ja krüpteeritud kanali kaudu pääseda asutuse sisevõrku.

'''Install'''

VPN sissehelistamisserveri loomiseks tuleb paigaldada port mpd

cd /usr/ports/net/mpd && make install clean

Seejärel kataloogi /usr/local/etc/mpd failid

mpd.conf
default:
load kasutaja

kasutaja:
new -i ng13 pptp13 pptp13
set ipcp ranges 192.168.69.1/32 192.168.69.15/32
load pptp

pptp:
set iface disable on-demand
set iface enable proxy-arp
set bundle disable multilink
set link yes acfcomp protocomp
set link no pap chap
set link enable chap
set link keep-alive 60 180
set ipcp yes vjcomp
set ipcp dns 194.126.115.18
set bundle enable compression
set link mtu 1460
set ccp yes mppc
set ccp yes mpp-e40
set ccp yes mpp-e128
set ccp yes mpp-stateless
set bundle yes crypt-reqd

mpd.links

pptp13:
set link type pptp
set pptp self sinu.v2limine.ip
set pptp enable incoming
set pptp disable originate

mpd.secret

kasutaja "parool" 192.168.xx.xx(x-ide asemel pane oma endpoint ehk ip, mis saad sissehelistamisel)

Tähelepanelik tasub olla tab'idega.

Et ühendada end pptp vpn serveri külge, on netis olemas üsna hea eestikeelne õpetus http://kriku.gameland.ee/vpn/

Muuhulgas saab ka käsurealt luua ühenduse pptp serveriga. Pole küll ise seda tööle saanud, kuid klientmasina mpd konf oleks järgmine

default:
load work

work:
new -i ng1 ms-pptp work
set log +pptp +pptp2 +pptp3 +lcp +auth
#set ipcp ranges 192.168.3.9/32 192.168.3.10/32
set ipcp ranges 0.0.0.0/0 0.0.0.0/0
set ipcp yes vjcomp
set ipcp dns 194.126.115.18
set ipcp dns primar 194.126.101.34
set ipcp enable req-pri-dns req-sec-dns
set link disable chap pap
set link accept chap
set link yes acfcomp protocomp
set iface idle 0
set bundle enable multilink
set bundle yes crypt-reqd
set bundle enable compression
set link enable no-orig-auth
set link keep-alive 60 600
set ccp yes mppc
set ccp enable mpp-compress
set ccp yes mpp-e40
set ccp yes mpp-e56
set ccp yes mpp-e128
set ccp yes mpp-stateless
#set iface proxy-arp
set iface route 192.168.1.0/24
set bundle authname "kasutaja"
set bundle password "parool"
set iface disable on-demand
set link max-redial 9
set iface mtu 1452
#set ccp no mpp-compress
open iface

NB! jälgida tabulatsiooni. Paljudel juhtudel võib olla see probleemiks miks asi ei toimi.

Isc-dhcpd server

2007-02-02T10:18:58Z

Triinu:

'''isc-dhcpd'''

Tarkvara arendatav ISC (Internet System Consortsium) poolt.

DHCP (Dynamic Host Configuration Protocol) teenust kasutavad arvutid oma võrguparameetrite automaatseks seadistamiseks.

Kokku kujutab see endast kolme tarkvara

* A DHCP server
* A DHCP client
* A DHCP relay agent

Kõige levinuim dhcp.conf

ddns-update-style none;

subnet 192.168.0.0 netmask 255.255.255.0 {
range 192.168.0.50 192.168.0.100;
default-lease-time 144000;
max-lease-time 192000;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.0.255;
option routers 192.168.0.1;
option domain-name-servers 194.126.97.30;
}

mac järgi dhcp jagamine

ddns-update-style interim;
ignore client-updates;

subnet 192.168.3.0 netmask 255.255.255.0 {
option routers 192.168.3.3;
option subnet-mask 255.255.255.0;
option domain-name-servers 195.250.187.46, 194.126.97.30;
option ntp-servers 192.168.3.3;
deny unknown-clients;
default-lease-time 21600;
max-lease-time 43200;

#Joel Jans
host JJ { hardware ethernet 00:C0:26:7F:B0:1C; fixed-address 192.168.3.10; }
}

ddns-update-style none;

default-lease-time 86400; # 1 Day
max-lease-time 172800; # 2 Days

option ntp-servers timehost.ut.ee;
#option netbios-name-servers 193.40.5.125;
option netbios-node-type 8;
authoritative;

shared-network net {

subnet 192.168.0.0 netmask 255.255.255.0 {
option subnet-mask 255.255.255.0;
option routers 192.168.0.1;
option domain-name-servers 194.126.115.18, 194.126.101.34;
pool {
range 192.168.0.100 192.168.0.254;
}
}

subnet 192.168.1.0 netmask 255.255.255.0 {
option subnet-mask 255.255.255.0;
option routers 192.168.1.1;
option domain-name-servers 193.40.5.39, 193.40.5.76;
include "/usr/local/etc/isc-dhcp_192.168.1";
}
}

ja isc-dhcp_192.168.1

host tundmatu1 {hardware ethernet 00:30:1b:34:9f:52; fixed-address 192.168.1.23;}
host tundmatu2 {hardware ethernet 00:02:3f:b7:b5:b1; fixed-address 192.168.1.24;}
host tundmatu3 {hardware ethernet 00:04:61:4e:25:36; fixed-address 192.168.1.25;}
host tundmatu4 {hardware ethernet 00:50:8d:51:fc:31; fixed-address 192.168.1.26;}

Subversion hoidla kasutamisest

2007-02-02T10:18:09Z

Triinu:

cd /usr/ports/devel/subversion && make WITH_PERL=YES WITH_MOD_DAV_SVN=YES WITHOUT_BDB=YES install clean

httpd.conf vajalikud read

LoadModule dav_module libexec/apache2/mod_dav.so
LoadModule dav_svn_module libexec/apache2/mod_dav_svn.so
LoadModule authz_svn_module libexec/apache2/mod_authz_svn.so

Kasutaja vhost failis peab tööks olema osa

< Location /svn >
DAV svn
SVNParentPath /home/kasutaja/svn
AuthzSVNAccessFile /home/kasutaja/svn.acl.repo
Require valid-user
AuthType Basic
AuthName "Subversion repository"
AuthUserFile /home/kasutaja/svn.acl.www
< /Location >

htpasswd -c svn.acl.www kasutaja

svn.acl.www
kasutaja:KC9zQCMSI3dDM

svn.acl.repo
[test:/]
kasutaja = rw

runme.sh
cp svn.acl.www ~/
cp svn.acl.repo ~/
mkdir -p ~/svn
cd ~/svn
svnadmin create test
find . -type d | xargs -n 1 setfacl -m user:www:rwx
find . -type f | xargs -n 1 setfacl -m user:www:rw-

siis runme.sh on see, mille peaks käivitama selle kasutajana, kes endale svn repot tahab
pmst teeb see kasutajale ~/svn/test 'i svnadmin'ga
siis seab apachele permissionid paika topib siis htaccess failid ka ning loob yhe kasutaja:test konto

exploreri add-on
http://tortoisesvn.tigris.org/

Kodukataloogi, kus svn looma hakkab cli klienti, kasutame muidugi seda, mida saab kodulehelt, näiteks juurkataloogi cvn kausta ning siis oleks soovitav /svn/bin paht'i ka, et saaks kasutada käske normaalselt.

Näide kuidas kasutada: et luua kettale kaust SVN ja seal siis teha checkout, tirime alla kataloogi test, sinna kataloogi test võib tekitada failid ja seejärel scn add failinimi ning selleks, et uploadiks scn commit -message

http://minginimi.server.ee/svn/test

Freebsd traffic shaping

2007-02-02T10:13:41Z

Triinu:

Downloadi shape käib nii, et sisemisel interfacel, kui selle ip suunas OUT läheb, siis paned tag'i ja pärast matchid sellele tag'ile sobiva queue.
Nimelt ei saa shapeda seda, mis sisse tuleb, vaid ainult seda, mis läheb välja.

'''ipfw ja dummynet'''

kldload ipfw
kldload dummynet

#!/bin/sh
i="/sbin/ipfw -q"

$i -f flush
$i -f pipe flush

$i pipe 1 config bw 55KB/s
$i pipe 2 config bw 70KB/s
$i pipe 3 config bw 12KB/s

$i add 1 pipe 1 ip from 192.168.1.2 to any
$i add 2 pipe 1 ip from 192.168.1.3 to any
$i add 3 pipe 1 ip from 192.168.1.4 to any
$i add 4 pipe 1 ip from 192.168.1.5 to any

$i add allow ip from any to any

Lihtne skript piirab uploadi.

'''pf ja altq'''

Näide pf altq traffic shapingust koos tulemüüriga. Piiratakse nii download kui uploadi. Iga hosti kohta saab määrata erineva uploadi ja downloadi,
samuti selle ip tähtsuse võrreldes teistega ehk leveli.

ext_if="fxp1"
int_if="fxp0"

sourcetrack="keep state"
set optimization aggressive

scrub in all

192.168.1.0/24 download
altq on $int_if cbq bandwidth 100Mb queue if1
queue if1 bandwidth 100% cbq(rio ecn default) { a1, a2, a3 }
queue a1 bandwidth 512Kb cbq(rio ecn) 3
queue a2 bandwidth 512Kb cbq(rio ecn) 4
queue a3 bandwidth 512Kb cbq(rio ecn) 5

link1 uplink
altq on $ext_if cbq bandwidth 100Mb queue eif1
queue eif1 bandwidth 100% cbq(rio ecn default) { b1, b2, b3 }
queue b1 bandwidth 256Kb cbq(rio ecn) 7
queue b2 bandwidth 256Kb cbq(rio ecn) 4
queue b3 bandwidth 256Kb cbq(rio ecn) 5

link1-nat
nat on $ext_if from 192.168.1.1 to any tag pc1 -> ($ext_if)
nat on $ext_if from 192.168.1.2 to any tag pc2 -> ($ext_if)
nat on $ext_if from 192.168.1.3 to any tag pc3 -> ($ext_if)

block log all label "blocked"
pass quick on lo0 all

192.168.1.0/24 && 192.168.2.0/24 sisemiste interfacede ip'ni piiramatul kiirusel traffic
pass quick all tagged intnat keep state
pass quick from 192.168.1.0/24 to $int_if keep state
pass quick from $int_if to 192.168.1.0/24 keep state

link1-download
pass in quick from 192.168.1.1 to any $sourcetrack queue a1 label 192_168_1_1_down
pass in quick from 192.168.1.2 to any $sourcetrack queue a2 label 192_168_1_2_down
pass in quick from 192.168.1.3 to any $sourcetrack queue a3 label 192_168_1_3_down

link1-upload
pass out quick tagged pc1 $sourcetrack queue b1 label 192_168_1_1_up
pass out quick tagged pc2 $sourcetrack queue b2 label 192_168_1_2_up
pass out quick tagged pc3 $sourcetrack queue b3 label 192_168_1_3_up

pass in inet proto icmp all keep state
pass out inet proto icmp all keep state

pass in on $ext_if proto tcp from any to any port > 49151 keep state

pass in on $ext_if proto tcp from any to $ext_if port 22 keep state
pass in on $ext_if proto tcp from any to $ext_if port 21 keep state
pass in on $ext_if proto tcp from any to $ext_if port 80 keep state

pass out on $ext_if proto { tcp, udp } all keep state

Vinum gvinum ja geom

2007-02-02T10:11:42Z

Triinu:

'''vinum'''

Starting up Vinum Early Enough for the Root Filesystem
/boot/loader.conf vinum_load="YES"

fdisk -i teha
disklabel -w
disklabel -e devname

a: 1024000 281 4.2BSD 2048 16384 0
b: 16 vinum

stripe

drive c device /dev/da5h
drive d device /dev/da6h
volume stripe
plex org striped 512k
sd length 128m drive c
sd length 128m drive d

mirroring

drive d1 device /dev/ad2s1a
drive d2 device /dev/ad3s1a
volume mirror setupstate
plex org concat
sd length 76000M drive d1
plex org concat
sd length 76000M drive d2

gvinum create -f /etc/vinum.conf

hiljem newfs -v

////////////////////////////////////////////////

kõige alguses fdisk -i ketas

105 13:53 fdisk /dev/da1
106 13:54 fdisk /dev/da2
107 13:54 fdisk /dev/da3
108 13:54 fdisk /dev/da4
109 13:54 fdisk /dev/da5
110 13:54 disklabel /dev/da1s1
111 13:54 disklabel /dev/da2s1
112 13:54 disklabel /dev/da3s1
113 13:54 disklabel /dev/da4s1
114 13:54 disklabel -w /dev/da1s1
115 13:54 disklabel /dev/da1s1
116 13:55 disklabel -w /dev/da2s1
117 13:55 disklabel -w /dev/da3s1
118 13:55 disklabel -w /dev/da4s1
119 13:55 disklabel -e /dev/da1s1
120 13:55 disklabel /dev/da1s1
121 13:55 disklabel /dev/da2s1
122 13:55 disklabel /dev/da3s1
123 13:56 disklabel /dev/da4s1

# /dev/da1s1:
8 partitions:
# size offset fstype [fsize bsize bps/cpg]
a: 35840936 16 unused 0 0
c: 35840952 0 unused 0 0 # "raw" part, don't edit

muuda a ümber b'ks, size kõige väiksema ketta järgi ja fstype vinum

kui midagi läheb sassi

dd if=/dev/zero of=/dev/da1 bs=1024 count=2048

lihtsalt kirjutada kaks mega ketta algusesse nulle

mate

gvinum l -rv root

Volume root: Size: 268435456 bytes (256 MB)
State: up
Plex root.p3: Size: 268435456 bytes (256 MB)

volume root
268435456 / 512 + 16=281

plex root
268435456 /512 = 524288

# size offset fstype [fsize bsize bps/cpg]
a: 524288 281 4.2BSD 2048 16384 0
b: 35840936 16 vinum
c: 35840952 0 unused 0 0 # "raw" part, don't edit

testida saab fsck -n /dev/da1s1a

konfiguratsioon

drive a device /dev/da1s1b
drive b device /dev/da2s1b
drive c device /dev/da3s1b
drive d device /dev/da4s1b

volume root
plex org concat
sd length 256m drive a
plex org concat
sd length 256m drive b
plex org concat
sd length 256m drive c
plex org concat
sd length 256m drive d

volume swap
plex org striped 272k
sd length 512m drive a
sd length 512m drive b
plex org striped 272k
sd length 512m drive c
sd length 512m drive d

volume usr
plex org striped 272k
sd length 1024m drive a
sd length 1024m drive b
plex org striped 272k
sd length 1024m drive c
sd length 1024m drive d

volume var
plex org striped 272k
sd length 512m drive a
sd length 512m drive b
plex org striped 272k
sd length 512m drive c
sd length 512m drive d

volume home
plex org striped 272k
sd drive a
sd drive b
plex org striped 272k
sd drive c
sd drive d

newfs ketastele
veel süsteem ketastele

gvinum root mountida
dumbime juursüsteemi
cd /mnt
dump -0 -C 8 -f - -L / | restore -r -f -

mount /dev/gvinum/usr /mnt/usr
mount /dev/gvinum/var/mnt/var

cd usr/
dump -0 -C 8 -f - -L /usr | restore -r -f -

järgmisena /var

paigaldada grub

//laseb kirjutada tööajal bootsektorit
sysctl kern.geom.debugflags=16

/boot/loader.conf grub start

geom_vinum_load="YES"
vinum.autostart="YES"

muudame fstab'i

# Device Mountpoint FStype Options Dump Pass#
/dev/gvinum/swap none swap sw 0 0
/dev/gvinum/root / ufs rw 1 1
/dev/gvinum/usr /usr ufs rw 2 2
/dev/gvinum/var /var ufs rw 2 2
/dev/gvinum/home /home ufs rw 2 2
/dev/acd0 /cdrom cd9660 ro,noauto 0 0
proc /proc procfs rw 0 0

//lülitab softupdate sisse ...metainfo kirjutamise kohta
tunefs -n /enable /dev/gvinum/usr
tunefs -n /enable /dev/gvinum/var

grubikonf teha
muuda bootivaks kõik kettad ehk siis

root (hd4,0,a)
setup(hd4)

peale bootimist tuleb grub üles

root (hd0,0,a)
kernel /boot/loader
sym
/boot/grub/menu.lst

timeout 20
default 0
fallback 2

title FreeBSD 1. kettalt
root (hd0,0,a)
kernel /boot/loader

title FreeBSD 2. kettalt
root (hd1,0,a)
kernel /boot/loader

title FreeBSD 3. kettalt
root (hd2,0,a)
kernel /boot/loader

title FreeBSD 4. kettalt
root (hd3,0,a)
kernel /boot/loader

'''gstripe'''

kldload geom_mirror

/boot/loader.conf
geom_stripe_load="YES"

gstripe label -v -s 4096 data /dev/ad2 /dev/ad4
newfs /dev/stripe/data
mount /dev/stripe/data /mnt/tank2
df -h
/dev/stripe/data 289G 4.0K 266G 0% /mnt/tank2

cat /var/run/dmesg.boot | grep "ad"
gstripe list
umount /dev/stripe/data
tunefs -m 2 -o space /dev/stripe/data
tunefs: minimum percentage of free space changes from 8% to 2%
tunefs: should optimize for space with minfree < 8%
tunefs: optimization preference changes from time to space

mount /dev/stripe/data /mnt/tank2
/dev/stripe/data 289G 4.0K 283G 0% /mnt/tank2

-m 2 ütleb, et minfree peaks 2% olema
ja -o space optimiseerib space'le, mitte access time'le
aga kiiremat kaablit vaja, udma33 sucks ASS

fsck_ffs /dev/stripe/data

Mailman kasutamine FreeBSD'ga

2007-01-31T15:08:52Z

Triinu:

'''Mailman'''

Mailman on populaarne maililisti tarkvara, sarnaneb tööpõhimõttelt majordomoga. See pala seletab, kuidas mailman'i installida ja kasutada koos postfix'iga.

Mailmanil on lisaks käsurea utiliitidele ka veebiliides kõigi toimingute jaoks, nagu subscibeerimine, administreerimine ning arhiivide haldus.

'''Install'''

Midagi keerulist Linux kasutajatel pole. BSD's postfix kasutajatel tuleb jälgida, et kompileerimisel MAIL_GID oleks järgnevalt kirjeldatud

cd /usr/ports/mail/mailman
make MAIL_GID=mailman install clean

Veebiliidese seadistamiseks httpd.conf'i lisada read

ScriptAlias /mailman/ /usr/local/mailman/cgi-bin/
Alias /pipermail/ /usr/local/mailman/archives/public/

selleks, et võimalik kasutada veebiliidest kujul www.server/mailman

'''Postfixi seadistamine'''

Avame main.cf faili, seal rida

alias_maps = hash:/etc/mail/aliases

muudame

alias_maps = hash:/etc/mail/aliases, hash:/usr/local/mailman/data/aliases

'''Loome listi'''

Käivitame käsu newlist, mis asub erinevates os'ides eri kohtades, BSD's näiteks /usr/local/mailman/bin kaustas

küsitakse meilt Enter the name of the list:

kirjutame test

Järgnevalt listile jääva administraatori mail, kes hakkab saama listiserveri teateid näiteks modereerimisnõuetest

Enter the email of the person running the list:admin@server

Kõige viimasena listi administreerimisparool

Initial testtest password:passa

Seejärel esitab listiserver palve

To finish creating your mailing list, you must edit your /etc/aliases (or equivalent) file by adding the following lines, and possibly running the 'newaliases' program:

## test mailing list
test: "|/usr/local/mailman/mail/mailman post test"
test-admin: "|/usr/local/mailman/mail/mailman admin test"
test-bounces: "|/usr/local/mailman/mail/mailman bounces test"
test-confirm: "|/usr/local/mailman/mail/mailman confirm test"
test-join: "|/usr/local/mailman/mail/mailman join test"
test-leave: "|/usr/local/mailman/mail/mailman leave test"
test-owner: "|/usr/local/mailman/mail/mailman owner test"
test-request: "|/usr/local/mailman/mail/mailman request test"
test-subscribe: "|/usr/local/mailman/mail/mailman subscribe test"
test-unsubscribe: "|/usr/local/mailman/mail/mailman unsubscribe test"

Hit enter to notify testtest owner...

Asi, mida saab ka väikese vaevaga automatiseerida.

Hetkel avame enda /usr/local/mailman/data/aliases faili ja lisame soovitatud read. Seejärel käivitame genaliases programmi, saame enda uut maililisti admistreerida ja kasutajaid lisada veebi

www.server.ee/mailman/admin/test url kaudu

Mailman tekitab igale listikasutajale ka parooli, millega nad saavad ise sisse logida.

'''Lisamaterjalid'''

EENet 2006

Bookmark Sync and Sort - Firefoxi bookmarkide sünkroniseerimine

2007-01-31T15:02:43Z

Triinu:

Tarkvara [[https://addons.mozilla.org/firefox/2367/ Bookmark Sync and Sort]] võimaldab mitme Firefoxi eksemplari vahel sünkroniseerida bookmarke, kasutades [[http://pyxml.sourceforge.net/topics/xbel/ XBEL (XML Bookmark Exchange Language)]] formaati. Näiteks abiks võib olla see, kui üks kasutuses olev arvuti töötab Linux ning teine Windows operatsioonisüsteemiga. Sünkroniseerimine toimub käsitsi välise ftp serveri vahendusel. Olles salvestanud ühte brauserisse bookmarkid, kopeerib kasutaja selleks mõeldud kasutajaliidese abil bookmarkid ftp serverisse ning kasutades teist brauserit kopeerib bookmarkid ftp serverist teise brauserisse. Bookmark Sync and Sort tarkvara levitatakse Firefoxi laiendusena.

Bookmarkide sünkroniseerimiseks on teisigi Firefoxi laiendusi, samuti teenus [[http://www.google.com/tools/firefox/browsersync/ Google Browser Sync]].

'''Laienduse paigaldamine'''

Tarkvara levitatakse Mozilla Firefoxi laiendusena, mida saab kopeerida aadressilt [[https://addons.mozilla.org/firefox/2367/ https://addons.mozilla.org/firefox/2367/]]. Paigaldamiseks avage viidatud veebikoht, ning valige 'Install now'. Õnnestumise korral on näha, et brauserisse paigaldatud laienduste nimekirja on ilmunud juurde vastava rida

Tools -> Extensions

Sealtkaudu toimub ka tarkvara uuendamine.

'''Kasutamine'''

Bookmarkide sünkroniseerimiseks valige menüüribalt

Bookmarks -> Syncronize Bookmarks

mispeale avaneb kasutajaliides

[[Image:Bookmark-sync-and-sort-1.gif]]

Pildilt on näha ftp serveri ligipääs: failinimi, mida sünkroniseerimiseks kasutatakse ning määrang, et kui bookmarke kopeerida alla, siis nad lisatakse olemasolevatele bookmarkidele, samuti vastavad nupud bookmarkide üles või alla laadimiseks.

PgAdmin3

2007-01-31T15:00:14Z

Triinu:

PgAdmin on Postgresql andmebaasi arendusvahend, millega saab sooritada ka andmebaasi administreerimiseks vajalikke tegevusi.

'''Paigaldamine'''

PgAdmin tarkvara saab paigaldada hästivarustatud operatsioonisüsteemide paketihaldussüsteemi kasutades ning lisaks jagatakse aadressil [[http://www.pgadmin.org/ http://www.pgadmin.org]] tarkvara kompileeritud ja lähtetekstilisel kujul.

'''Kasutamine'''

PgAdmin on lokaalne graafilise kasutajaliidesega PostgreSQL andmebaasi klientprogramm, mille põhiaken näeb tööolukorras välja järgmine

[[Image:Pgadmin-linux-1.gif]]

Arusaadavalt on programmi kasutamiseks tarvis andmebaasiserverile ligipääsu.

Ruby on rails

2007-01-31T14:53:43Z

Triinu:

Apache22 ruby on rails and mongrel

Süsteem toimib nii, et Apache suunab vhostide info mongrel serverile, mis siis railsi skripte esile manab.

Installime vajalikud päkitsad

cd /usr/ports/apache22
make install with_proxy_modules=yes

cd /usr/ports/lang/ruby18
make install && make clean

cd /usr/ports/devel/ruby-gems
make install && make clean

gem install mongrel
gem install rails

Loome vajalikud skriptid

pane rcrails /etc/init.d vms kausta ja start_mongrel iga railsi script kausta. start_mongreli sees määra USER ja GROUP, kellena see server jooksma peaks.

Meil on kaks eraldi railsis loodud programmi, mis asuvad

/home/rails/progeadmin/
/home/rails/veebiadmin/

/usr/local/etc/rails.conf või muusse faili (muuda vastavalt rcrails skripti) kirjuta näiteks:

RAILS_SERVERS="
/home/rails/progeadmin/
/home/rails/veebiadmin/
"

Ehitame ruudu alla näiteks skripti, mis stardib mongreleid nimega rcrails

#!/usr/local/bin/bash
#
# This is proxy skript to start-stop mongrel_rails servers
# This script can be placed in /etc/init.d or other rc startup directory
# and it will pass its first argument to each rails start script.

conf="/usr/local/etc/mongrel.conf"

if [ -f $conf ]
then
source $conf
fi

# function to do actual calling
start_stop_rails(){
echo ""
echo "Rails directory: $1"
cd $1
./script/start_mongrel $2
}

# set CMD to first argument
CMD=$1

for i in $RAILS_SERVERS
do
start_stop_rails $i $CMD
done

Loome skripti start_mongrel ja kopeerime kausta /home/rails/progeadmin/

#!/usr/local/bin/bash

USER="root"
GROUP="wheel"

case $1 in
start)
/usr/local/bin/mongrel_rails start -d --user $USER --group $GROUP -p 8001 -a 127.0.0.1 -P rails-8001.pid
/usr/local/bin/mongrel_rails start -d --user $USER --group $GROUP -p 8002 -a 127.0.0.1 -P rails-8002.pid
/usr/local/bin/mongrel_rails start -d --user $USER --group $GROUP -p 8003 -a 127.0.0.1 -P rails-8003.pid
;;
restart)
/usr/local/bin/mongrel_rails restart -P rails-8001.pid
/usr/local/bin/mongrel_rails restart -P rails-8002.pid
/usr/local/bin/mongrel_rails restart -P rails-8003.pid
;;
stop)
/usr/local/bin/mongrel_rails stop -P rails-8001.pid
/usr/local/bin/mongrel_rails stop -P rails-8002.pid
/usr/local/bin/mongrel_rails stop -P rails-8003.pid
;;
*)
cat <<EOF

USAGE: $0 <start|stop|restart>

Mongrel places it's pid files in the RAILS_ROOT directory, which must be writable by the calling user.

EOF
esac

Teeme teise skripti start_mongrel ning kopeerime /home/rails/veebiadmin/

#!/usr/local/bin/bash

USER="root"
GROUP="wheel"

case $1 in
start)
/usr/local/bin/mongrel_rails start -d --user $USER --group $GROUP -p 8101 -a 127.0.0.1 -P rails-8101.pid
/usr/local/bin/mongrel_rails start -d --user $USER --group $GROUP -p 8102 -a 127.0.0.1 -P rails-8102.pid
/usr/local/bin/mongrel_rails start -d --user $USER --group $GROUP -p 8103 -a 127.0.0.1 -P rails-8103.pid
;;
restart)
/usr/local/bin/mongrel_rails restart -P rails-8101.pid
/usr/local/bin/mongrel_rails restart -P rails-8102.pid
/usr/local/bin/mongrel_rails restart -P rails-8103.pid
;;
stop)
/usr/local/bin/mongrel_rails stop -P rails-8101.pid
/usr/local/bin/mongrel_rails stop -P rails-8102.pid
/usr/local/bin/mongrel_rails stop -P rails-8103.pid
;;
*)
cat <<EOF

USAGE: $0 <start|stop|restart>

Mongrel places it's pid files in the RAILS_ROOT directory, which must be writable by the calling user.

EOF
esac

httpd.conf

Kontrollime, et read oleksid

LoadModule proxy_module libexec/apache22/mod_proxy.so
LoadModule proxy_connect_module libexec/apache22/mod_proxy_connect.so
LoadModule proxy_ftp_module libexec/apache22/mod_proxy_ftp.so
LoadModule proxy_http_module libexec/apache22/mod_proxy_http.so
LoadModule proxy_ajp_module libexec/apache22/mod_proxy_ajp.so
LoadModule proxy_balancer_module libexec/apache22/mod_proxy_balancer.so

Nüüd loome mõlemale progele nende vhostid

<VirtualHost 193.40.0.10:80>
ServerName progeadmin.katse.ee
DocumentRoot /home/rails/progeadmin/

<Directory "/home/rails/progeadmin/">
Options FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
</Directory>

RewriteEngine On

# Redirect all non-static requests to cluster
#RewriteCond %{DOCUMENT_ROOT}/%{REQUEST_FILENAME} !-f
RewriteRule ^/(.*)$ balancer://mongrel_cluster%{REQUEST_URI} [P,QSA,L]

</VirtualHost>

<VirtualHost 193.40.0.10:80>
ServerName veebiadmin
DocumentRoot /home/rails/veebiadmin/

<Directory "/home/rails/veebiadmin/">
Options FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
</Directory>

RewriteEngine On

# Rewrite to trailing slash
RewriteRule ^/admin$ /admin/ [R,L]

# test if this is /admin request
RewriteCond %{REQUEST_URI} ^/admin(/.*)
# strip off /admin and put result in ENV
RewriteRule ^/admin(.*) /admin$1 [E=AdminReq:$1]

RewriteCond /home/rails/admin/public/%{ENV:AdminReq} -f
# serve static files
RewriteRule ^/admin/(.*) /home/rails/admin/public/$1 [L]
# If request is not static, proxy to rails
RewriteRule ^/(admin/.*)$ balancer://mongrel_cluster2/$1 [P,QSA,L]

</VirtualHost>

Ehitame proxyd

<Proxy balancer://mongrel_cluster2>
BalancerMember http://127.0.0.1:8001
BalancerMember http://127.0.0.1:8002
BalancerMember http://127.0.0.1:8003
</Proxy>

<Proxy balancer://mongrel_cluster>
BalancerMember http://127.0.0.1:8101
BalancerMember http://127.0.0.1:8102
BalancerMember http://127.0.0.1:8103
</Proxy>

ja balaceri

Listen 8000
<VirtualHost 193.40.0.10:8000>
<Location />
SetHandler balancer-manager
Deny from all
Allow from localhost
</Location>
</VirtualHost>

Lingid

http://blog.innerewut.de/articles/2006/04/21/scaling-rails-with-apache-2-2-mod_proxy_balancer-and-mongrel

Xen kasutamine Debian Etchiga

2007-01-31T14:46:52Z

Triinu:

'''Sissejuhatus'''

Xen võimaldab ühel füüsilisel arvutil kasutada mitmeid samaaegselt töötavaid operatsioonisüsteeme. Reeglina töötab selliselt käivitatud arvutil üks põhiline operatsioonisüsteem (Host), mis kontrollib teiste (Guest) operatsioonisüsteemide tegevust. Üldiselt eristatakse nelja tüüpi virtualiseerimise tehnikaid:

Riistvara emuleerimine - QEMU
Full virtualization - vmware (saab kasutada modifitseerimata Guest operatsioonisüsteeme)
Paravirtualization - Xen (saab kasutada vaid modifitseeritud Guest operatsioonisüsteeme)
Operating System level virtualization - UML (Guest operatsioonisüsteem töötab protsessina)

Modifitseerimine tähendab Xeni puhul seda, et Guest operatsioonisüsteem kasutab vastavalt paigatud tuuma.

Xeni puhul kasutatakse kõnealuselt käivitatud arvutis kahte tuuma

Host operatsioonisüsteem ehk privilegeeritud domeen ehk dom0
Guest operatsioonisüsteem ehk privilegeerimata domeen ehk domU

'''Xen tarkvara paigaldamine'''

Debian Etch puhul tuleb paigaldada paketid

libc6-xen xen-docs-3.0 xen-hypervisor-3.0.3-1-i386 xen-tools xen-utils-3.0.3-1 xen-utils-common

Lisaks on tuumade kompileerimiseks vajalik kopeerida www.xensource.com veebikohast Xen lähtetekstid ning paigaldada

iproute bridge-utils python-twisted gcc-3.3 binutils make zlib1g-dev python-dev transfig
bzip2 screen debootstrap libcurl3-dev libncurses5-dev x-dev

'''Privilegeeritud domeeni dom0 tuum'''

Lahtipakitud Xeni lähtetekstid kataloogis tuleb öelda

bash# make linux-2.6-xen0-config CONFIGMODE=menuconfig KERNELS="linux-2.6-xen0"
.. võib lisaks valida meelepäraseid seadeid
bash# make linux-2.6-xen0-build
bash# make linux-2.6-xen0-install

Tulemusena on paigaldatud arvutisse uus tuum, peale bootloaderi seadistuste ülevaatamist tuleb arvuti xen0 domeeni tuumaga rebootida. Seejärel näeb Xen teateid käsuga

xm dmesg

'''Grubi seadistamine'''

Esmalt laaditakse Xeni hüperviisor ja seejärel privilegeeritud domeeni (dom0) Linuxi tuum

Tähele tuleb panna, et privilegeerimata domeeni tuum paikneb vä ???
default 0
timeout 15
color cyan/blue white/blue

title xen
root (hd0,1)
kernel /boot/xen-3.0.3-1-i386.gz dom0_mem=384000
module /boot/vmlinuz-2.6.16.29-xen0 root=/dev/hda2 ro max_loop=255
savedefault
boot

'''Guest domeeni seadistamine'''

Guest domeene võib olla üks või mitu, iga domeeniga on seotud

# guest domeeni tuum (mitu guest domeeni võivad kasutada ühte ja sama domU tuuma)
# guest failisüsteemi immidz
# Xeni guest domeeni seadistusfail

Kusjuures oluline on tähele panna, et Guest operatsioonisüsteemi tuum paikneb tema immidzast väljaspool.

'''Guest domeeni domU tuum'''

Lahtipakitud Xeni lähtetekstid kataloogis tuleb öelda

bash# make linux-2.6-xenU-config CONFIGMODE=menuconfig KERNELS="linux-2.6-xenU"
.. võib lisaks valida meelepäraseid seadeid
bash# make linux-2.6-xenU-build
bash# make linux-2.6-xenU-install

Tulemusena on paigaldatud arvutisse xenU domeeni tuuma, mida kasutatakse guest domeenide bootimiseks.

'''Xen domU moodustamine'''

Debian Etch sisaldab paketti xen-tools, mis hõlbustab Guest domeenide immidza tekitamist. Koostage nt selline seadistusfail /etc/xen-tools/xen-tools.conf

dir = /mnt/xen
debootstrap = 1
size = 4Gb # Disk image size.
memory = 512Mb # Memory size
swap = 1024Mb # Swap size
fs = ext3 # use the EXT3 filesystem for the disk image.
dist = sarge # Default distribution to install.
image = sparse # Specify sparse vs. full disk images.
passwd = 1
kernel = /boot/vmlinuz-2.6.16.29-xenU
mirror = http://ftp.aso.ee/debian/

ning öelge

bash# xen-create-image --hostname=xen-sarge.auul --ip=172.16.92.2 \
--gateway=172.16.92.128 --netmask=255.255.255.0

Tulemusena moodustatakse domU seadistusfail

/etc/xen/xen-sarge.auul.cfg

immidzad /mnt/xen/domains/xen-sarge.auul immidzad

disk.img
swap.img

'''domU käivitamine'''

bash# xm create -c /etc/xen/xen-sarge.auul.cfg

-c võti tähendab, et terminalile esitatakse domU konsool. Peale domU käivitamist võib sisse logida kas konsooli kaudu või üle võrgu.

'''Lingid'''

NetBSD xen http://www.s-mackie.demon.co.uk/unix-notes/NetBSD-Xen-Setup.html

Xen knoppix http://unit.aist.go.jp/itri/knoppix/xen/index-en.html

Gentoo Xen http://gentoo-wiki.com/HOWTO_Xen_and_Gentoo

ISCSI kasutamine

2007-01-31T14:38:11Z

Triinu:

iSCSI tehnoloogia võimaldab üle tavalise TCP/IP võrgu ühendada klientarvutile külge nn block-device'i vastavat teenust pakkuvast serverist. Klientarvutit nimetatakse iSCSI initiatoriks ning serverit iSCSI target'iks.

See tehnoloogia on suhteliselt uus ja seetõttu ei maksa ehk vaba tarkvaralistest implementatsioonidest erilist stabiilsust oodata, arvestades lisaks asjaolu, et tegu on block-device teenusega, millega tegeletakse juurkasutajana. Aga teema on siiski väga integreeriv ja põnev! Kuna erinevates operatsioonisüsteemides on kasutusel erinevad implementatsioonid, siis universaalsuse huvides kirjeldame, kuidas lähtetekstidest seda tarkvara kasutada. Pala lõpus on ka viited operatsioonisüsteemide poolt pakutavatele võimalustele.

'''Tarkvara'''

Tundub, et initiatori osas on suurem arendajate tähelepanu koondunud projektile [[http://www.open-iscsi.org/ http://www.open-iscsi.org/ ]] ning targeti osas projektile [[http://iscsitarget.sourceforge.net/ http://iscsitarget.sourceforge.net/]].

'''iSCSI targeti paigaldamine'''

Target koosneb kahest osast

#iSCSI targeti utiliidid - deemon, tema seadistusfail ning juhtprogramm, vastavalt ietd, ietd.conf ning ietdadm
#kerneli moodulid - iscsi_trgt

Eelduseks on, et paigaldatud on 2.6.14 versioonist uuem Linuxi crypto võimega tuum ning tuuma lähtetekstid, sellisena nagu nad peale tuuma kompileerimist jäid, oleksid alles. Seejärel anda IET lähtetekstide kataloogis käsk 'make'.

Millegi katsetamiseks sobib selline ietd deemoni seadistusfail, eeldusel, et /dev/hda3 on katsetamiseks vaba partitsioon (block-device).

Target i.2006-05.auul.aix:storage.disk3
Lun 0 Path=/dev/hda3,Type=fileio
Alias Test

Ning käivitada deemon

/etc/init.d/iscsi-target start

Targeti elutegevusest saab aimu sedasi

bash# cat /proc/net/iet/volume /proc/net/iet/session
tid:1 name:i.2006-05.auul.aix:storage.disk3
lun:0 state:0 iotype:fileio path:/dev/hda3
tid:1 name:i.2006-05.auul.aix:storage.disk3
sid:3660274212864512 initiator:iqn.1987-05.com.cisco:01.b5f4204e93f
cid:0 ip:192.168.10.26 state:active hd:none dd:none

'''iSCSI initiatori paigaldamine'''

Initiator koosneb kahest osast

#iSCSI initiatori utiliidid - deemon, tema seadistusfail ning juhtprogramm, vastavalt iscsid, inititatorname.conf ning iscsiadm
#kerneli moodulid - scsi_transport_iscsi, iscsi_tcp

Eelduseks on, et paigaldatud on 2.6.14 versioonist uuem Linuxi crypto võimega tuum ning tuuma lähtetekstid, sellisena nagu nad peale tuuma kompileerimist jäid, oleksid alles. Seejärel anda lähtetekstide kataloogis käsk 'make'.

#(Serveris moodustada iSCSI shared ning anonüümselt subnetile välja jagada.)
#tekitada fail /etc/initiatorname.iscsi, nt sellise sisuga 'InitiatorName=iqn.1987-05.com.cisco.01.6727f456fe3f50c8274f4484bd7862d2'
#laadida moodulid scsi_transport_iscsi ja scsi_tcp
#käivitada iscsid (seda saab käivitada logima ja nii et ta backgroundi ei lähe, vastavalt vajadusele), /etc/init.d/open-iscsi start | stop
#vaadake, mis shared on välja jagatud

bash# iscsiadm -m discovery -t sendtargets -p 192.168.10.19:3260
[e0a11d] 192.168.10.19:3260,1 iqn.2006-01.com.openfiler:enus.escsi
[a619de] 192.168.10.19:3260,1 iqn.2006-01.com.openfiler:vgrupp.essa
[4ebc15] 192.168.10.19:3260,1 iqn.2006-01.com.openfiler:enus.ahti

'''Valmislahendused'''

Aadressil [[http://www.openfiler.com/ http://www.openfiler.com]] jagatakse arvutipõhist nö storage lahendust, lisaks iSCSI targeti tekitamise võimalusele tegeleb see ka CIFS ja NFS'iga. Olemas on ka spetsiaalsed riistvaralised iSCSI targeteid ja nende manageerimise vahendeid sisaldavad kastid erinevatelt tootjatelt, nt EMC ja NetApp.

Root-over-NFS

2007-01-31T14:25:38Z

Triinu:

'''Eesmärk'''

Soovitavaks tulemuseks on tekitada nn diskless arvuti, st millel endal puudub kõvaketas ja kuhu on ühendatud NFS serverilt juurfailisüsteem külge.
Muus osas on tegu tavalisel moel töötava arvutiga.

'''Tutvustus'''

Üldiselt läbitakse arvuti käivitamisel järgmised etapid

#Katsetades järgemööda BIOSis näidatud boot-device'isid, käivitatakse esimene leitud bootloader
#Bootloaderi abil laaditakse operatsioonisüsteemi tuum
#Sõltuvalt tuuma käivitamisel kasutatud parameetritest, ühendatakse külge juurfailisüsteem ning käivitatakse operatsioonisüsteem

Tavaliselt leitakse bootloader arvuti ainsalt kõvakettalt, sealt samast laaditakse tuum, ühendatakse külge juurfailisüsteem ning lõpuks käivitatakse operatsioonisüsteem. Võimalik on aga korraldada nii, et osa tegevusi sooritatakse kohalikus arvutis ning osa jaoks pöördutakse võrku:

#PXE on standartne viis, mil moel võrgukaart pöördub DHCP ja TFTP serveri poole, et kopeerida võrgust bootloader
#bootloader kopeerib võrgust tuuma
#tuum ühendab võrgust külge juurfailisüsteemi

Kõige praktilisemat huvi pakuvad kaks juhtu

#lokaalselt meedialt käivitatud bootloader - klientarvutil ei ole PXE võimelist võrgukaarti, kuid CD plaadilt käivitatakse bootloader, mis kopeerib võrgust tuuma
#võrgust käivitatud bootloader - klientarvutil on PXE võimeline võrgukaart ning süsteem käivitatakse ilma lokaalset meediat tarvitamata

'''NFS serveri ettevalmistamine'''

Sõltumata sellest, kas bootloader ja tuum laaditakse võrgust või klientarvuti lokaalselt meedialt, NFS serveril peab asuma juurfailisüsteem. NFS serveri ettevalmistamine koosneb kahest tegevusest

#klientarvuti juurfailisüsteemi ettevalmistamine - selleks sobib nt kasutada Debian GNU/Linuxi programmi debootstrap ning moodustada nö chroot keskkond
#NFS serverprogrammi käivitamine - jagada sobivate ligipääsupiirangutega võrku välja klientarvuti juurfailisüsteem

'''Kliendi tuuma ettevalmistamine'''

Sõltumata sellest, kas laaditav tuum kopeeritakse võrgust või kohalikult meedialt peab tuum olema selliste omadustega

#võrgukaardi tugi
#NFS-Root tugi

Networking -> Networking options -> IP: kernel level autoconfiguration -> IP: DHCP support
File Systems -> Network File Systems -> Root FS on NFS

'''TFTP serveri ettevalmistamine'''

Sõltuvalt sellest, kas kasutatakse lokaalselt meedialt või võrgust käivitatud bootloaderit, tuleb võrgust kopeerida vastavalt, kas tuum või bootloader ja tuum. Kasutamiseks sobib atftpd serveri tarkvara. Seadke näiteks tftpd serveri juurfailisüsteemiks kataloog /var/tftpdboot, kuhu tuleb kopeerida bootloader ning tuum.

'''Lokaalselt meedialt käivitatud bootloader'''

Grub bootloaderi tarkvarast on võimalik moodustada bootiv CD plaat, mille kasutamise tulemusena arvuti bootitakse üles sellelt plaadilt ning seejärel bootloader kopeerib tftp serverist tuuma. CD valmistamiseks

#Debian GNU/Linuxi operatsioonisüsteemiga jagatav grub ei ole võrguvõimeline ja sellepärast tuleb pakett kompileerida ringi.
#moodustada kataloog /usr/src/iso/grub/boot
#kopeerida sinna fail /lib/grub/i386-pc/stage2_eltorito
#moodustada fail /usr/src/iso/grub/boot/menu.lst sisuga

title nfs_1.200
ifconfig --address=192.168.1.200 --mask=255.255.255.0 --server=192.168.1.254
root (nd)
kernel (nd)/vmlinuz-2.6.17.6-amdrtlnforce root=/dev/nfs nfsroot=192.168.1.254:/mnt/hdc1/nfs-root-evangelist \
ip=192.168.1.200:192.168.1.254:192.168.1.254:255.255.255.0:evangelist:eth0:off

ning anda .iso moodustamiseks kataloogis /usr/src käsk

bash$ mkisofs -R -b boot/grub/stage2_eltorito -no-emul-boot -boot-load-size 4 -boot-info-table -o grub.iso iso

Seejärel kirjutada CD plaat ning sellelt plaadilt klientarvutit bootides jõutakse grub menüüvalikusse, sealt saab vajadusel teha veel parandusi ning lasta grubil kopeerida tftpd serverilt tuum ning see laadida seadistatud parameetritega. Edasi ühendatakse külge NFS serverilt juurfailisüsteem ning käivitatakse operatsioonisüsteem.

'''Võrgust käivitatud bootloader'''

Bootloaderi võrgust leidmiseks peab võrgus töötama sobivalt ettevalmistatud dhcp server, sobib kasutada ICS dhcp server, kolm viimast rida on võrgust bootimise spetsiifilised

host evangelist.auul {
hardware ethernet 00:17:31:b2:77:df;
fixed-address 192.168.10.20;
option broadcast-address 192.168.10.255;
option routers 192.168.10.254;
option domain-name-servers 192.168.1.254;
option host-name "evangelist";
option domain-name "auul";

next-server 192.168.10.254;
option option-150 "(nd)/menu.lst";
filename "pxegrub";
}

Antud juhul saab klient dhcp serverilt teada, et bootloader ning bootloaderi menüüfail tuleb kopeerida tftpd serverist aadressil 192.168.10.254. Fail pxegrub tuleb kopeerida võrguvõimelise grubi paketist ning menu.lst sobivalt ettevalmistada. Edasine tegevus jätkub sarnaselt eelmisele punktile, bootloader laadib tuuma ning seejärel ühendatakse külge juurfailisüsteem ning käivitatakse operatsioonisüsteem.

'''Märkused'''

Käesolevas palas käsitleti bootloaderit Grub, teised populaarsed bootloaderid on pxelinux ning etherboot.

Debian GNU/Linux grub paketi kasutamisel tuleb arvestada, milliste võrgukaartide toetus on olemas

#bash$ apt-get source grub
#redigeerida debian/rules failis nn ./configure suvandeid, näiteks Realteki, Inteli ja 3Com populaarsete võrgukaartide toetuse lisamiseks tekitada juurde sellised read, et kokku on vastav sektsioon

# Add here commands to configure the package.
aclocal-1.8 && automake-1.8 && autoconf
CC=$(CC) LDFLAGS=$(LDFLAGS) ./configure \
--host=$(DEB_HOST_GNU_TYPE) \
--build=$(DEB_BUILD_GNU_TYPE) \
--prefix=/ \
--mandir=/usr/share/man \
--infodir=/usr/share/info \
--disable-auto-linux-mem-opt \
--enable-diskless \
--enable-eepro100 \
--enable-rtl8139 \
--enable-3c90x
# bash$ dpkg-buildpackage -rfakeroot
# mõnel juhul võiks bootloaderi vahele jätta ja lasta otse DCHP serveril PXE'le tuum kätta anda, aga vähemalt minu ühel seesugusel katsel teatas arvuti seepeale, et mälust ei piisanud

TODO: palad teemadel: dhcp, tftp, nfs, debiani pakettide tekitamine, tuuma kompileerimine, debiani paketihaldus, grub, debootstrap

Pisikesed asjad

2007-01-31T13:47:45Z

Triinu:

seq - mugav tekitada bash skriptides järjestatud arve, for i in `seq 20 -2 14`; do echo $i; done annab tulemuseks 20, 18, 16, 14

gtube - standardne spämmi test, [[http://spamassassin.apache.org/gtube/ http://spamassassin.apache.org/gtube/]]

eicar - standardne viiruse test, [[http://www.eicar.org/anti_virus_test_file.htm http://www.eicar.org/anti_virus_test_file.htm]]

bonnie - kõvaketta/failisüsteemi koormustest, nt 'bonnie -s 90g -d /mnt/p8/bonnie -u imre -f' kusjuures väljundit annab teisendada päistega html tabelina (niisama on ehk suhteliselt krüptiline)

openssl s_client - võimaldab teha nö telnetti TLSilistele teenustele, nt 'openssl s_client -connect www.riik.ee:443'

squidi logi aja teisendamine inimloetavale kujule - $bash cat squid.log | /usr/bin/perl -pe 's/\d+/localtime $&/e;'

veebikoha testimine - httperf --add-header="Cookie: SESSIONID=cookie-väärtus\n" --server=ip.num.b.er --uri="/midagi/aaa.jsp" --rate=1 --timeout=5 --ssl --num-conn 1000 --ra 10 --print-reply=header

debian chroot keskkonna tekitamine - bash# debootstrap sarge /home/sarge-chroot http://ftp.aso.ee/debian

file - näitab, mis arhitektuuri binaariga on tegu või näiteks, mis kodeeringus on tekstifail

PDFCreator - virtuaalne printer, http://sourceforge.net/projects/pdfcreator/

Poster - Firefoxi laiendus, nö võimaldab päringuid esitada, https://addons.mozilla.org/firefox/2691/

sata ketaste eluolu - smartctl -d ata -a /dev/sdb

growisofs -dvd-compat -Z /dev/dvd=/winxp.sp2.11in1.iso

unixi epoch aja konvertimine - perl -pe 's/^\d+\.\d+/localtime($&)/e;' p.txt

mount -t smbfs -o workgroup=AUUL,username=imre,password=parool,uid=imre,gid=imre //192.168.1.3/imre /cdrom

vanadele kõvaketastele failisüsteemide moodustamiseks - mke2fs -j -c -c /dev/sda1

otsekohene kopeerimine - 1. andmete sihtpunktiks olevas arvutis seada kuulama netcat, 'nc -l -p 1010 | tar xf -'; 2. andmete allikaks olevas arvutis kopeerida socket'i abil, 'socket -p 'tar cf - katalooginimi' 192.168.1.41 1010'

ethtool eth3 - esitab võrguseadme parameetrid

parted - alternatiiv fdisk programmile kõvaketta partitsioneerimiseks, tundub, et on eduline, kuna saab hakkama erinevalt fdiskist suurte partitsioonidega

auguga faili tekitamine - dd if=/dev/zero of=fs.img bs=1024 seek=2000000 count=0

Xming - MS Windowsi jaoks sobiv X Window Server, tundub, et käepärasem kasutada kui Cygwin/X

Apache sertifikaatide hashimine - hash=`openssl x509 -hash -in KLASS3-SK.PEM.cer -noout` &&
ln -s KLASS3-SK.PEM.cer $hash.0

Apache sertifikaatide hashimine - c_rehash (nt Debiani puhul openssl paketi osa)

Packet Filter

2007-01-31T13:43:47Z

Triinu:

'''Packet Filter'''

Võimalused
NAT
QoS
CARP
Pfsync
Authpf
Ftp-proxy

Kasutamine
Aktiveerimine
Seadistamine
Makrod
Näited

Tabelid
Järjekorrad
Filtrid
Reeglite süntaks
Lisavõimalused
Pfw
Pf.vim
Praktiline Osa. Tulemüüri seadistamine

'''Packet Filter''' (lüh. PF) on OpenBSD tulemüür, alates OpenBSD versioonist 3.0, mille on kirjutanud 2001. aasta suvel Daniel Hartmeier. Packet Filter kirjutati asendamaks Darren Reed'i kirjutatud IPFilter tulemüüri, kes sattus OpenBSD arendajatega konflikti, keelates oma koodi muuta. Darren Reed väitis, et tema kirjutatud tulemüür IPFilter kasutab BSD litsentsi, kuid tegelikult oli ta BSD litsentsi sõna-sõnalt kopeerinud, jättes välja vaid osa, mis lubab koodi muutmist. Tülide lahendamise asemel otsustas OpenBSD projektijuht, Theo De Raadt uue tulemüüri kasuks. 29.05.2001 eemaldati IPFilter'i kood OpenBSD lähtekoodist. Järgnevad kaks kuud oli OpenBSD operatsioonisüsteem ilma tulemüürita, Packet Filter jõudis OpenBSD lähtekoodi 24.06.2001. Paaril järgneval kuul töötasid arendajad meeletu koormusega, ning OpenBSD 3.0 versiooni valmides sisaldas see ka juba Packet Filter tulemüüri. Oma eluaja jooksul on see tulemüür väga kiirelt arenenud ning omab teiste tulemüüride ees mitmeid eeliseid. Tulemüüri reeglite süntaks on sarnane IPFilter'i omale, kuid seda on lihtsustatud kasutusmugavuse tõstmiseks. Packet Filter on tihedalt seotud võrgunduses levinud NAT ning QoS tehnoloogiatega, lubamaks suuremat paindlikkust ning vastupidavust. Packet Filter on porditud ka FreeBSD, NetBSD ning DragonFlyBSD operatsioonisüsteemidele.

'''Võimalused'''
Packet Filter on, nagu iga teinegi UNIX-i rakendus, väga paindlik. Seega arendajatel on lihtne koodi uuendada ning uusi võimalusi lisada. Packet Filter areneb väga kiiresti ning pakub palju võimalusi, mida tihtipeale leiab ainult tasulistest tulemüüridest.
Siinkohal on lahti seletatud tähelepanuväärseimad võimalused.

'''NAT'''

"Network Address Translation". Privaatse või registreerimata IP-aadressi asendamine ametliku IP-aadressiga. NAT annab organisatsioonidele suurema paindlikkuse aadresside kasutamiseks oma kohtvõrkudes ja lubab kasutajatel vastavalt vajadusele ühiselt kasutada piiratud arvu registreeritud IP-aadresse. NAT’i kasutamine teeb ka raskemaks võrgu ründamise väljastpoolt, sest sisemisi IP-aadresse ei edastata üle Interneti. Võrguaadresside ümbernimetamine toimub harilikult ruuteris või tulemüüris.

'''QoS'''

"Quality of Service". Tegeleb andmeedastuskiiruste, vigade esinemise sageduste ja teiste karakteristikute mõõtmise, parandamise ja teatud määral garanteerimisega. QoS on eriti oluline laiaribalise video- ja multimeediuminfo pideva ülekande puhul. Sellise info töökindel edastamine üle avalike sidevõrkude on tavalisi protokolle kasutades raske. Interneti ressursside reserveerimise protokolli (RSVP) kasutamisel saab läbi lüüsihosti liikuvaid pakette organiseerida eelnevalt paika pandud poliitika ja reserveerimiskriteeriumide alusel.

'''ALTQ'''

"ALTernate Queueing framework for BSD UNIX". ALTQ võimaldab pakettide järjestamist ning teisi QoS-i komponente, mis on vajalikud QoS-i edukaks teostamiseks võrgus, seda kasutatakse enamasti BSD operatsioonisüsteeme kasutatavates ruuterites. ALTQ on osa FreeBSD ja NetBSD distributsioonidest ning on integreeritud Packet Filter tulemüüri.

'''CARP'''

"The Common Address Redundancy Protocol". CARP on protokoll, mis lubab samas sisevõrgus asuvatel arvutitel jagada IP-aadressite paari, peamine eesmärk on võimaldada tagavararuuteri kasutamist. Juhul, kui ruuter peaks mingil põhjusel töökõlbmatuks muutuma, näiteks riistvara vea tõttu, saab tagavararuuter tema töö kohe üle võtta, tekitamata võrgus tõrkeid ning jäädes kasutajatele märkamatuks.

'''Pfsync'''

Pfsync on virtuaalne võrguliides, mis peegeldab Packet Filter tulemüüri tabelis tehtud muudatusi, tcpdump käsku kasutades saab seda reaalajas jälgida, samuti oskab pfsync enda muudatusi üle võrgu laiali saata ning neid ka vastu võtta, näiteks mitmete võrgus asuvate tulemüüride reeglite sünkroniseerimiseks.

'''Authpf'''

Authpf on kasutajaliides autentivatele võrgulüüsidele, autentiva võrgulüüsi kasutamiseks tuleb kasutajatel ennast tuvastada enne, kui lüüs nende võrguliikluse läbi laseb. Seda saab kasutada näiteks ainult kasutaja sessiooni ajal kehtivate tulemüürireeglite automatiseeritud loomiseks ja kustutamiseks.

'''Ftp-proxy'''

Ftp-proxy on OpenBSD implementatsioon puhverserverist FTP-protokollile, see võimaldab NAT-ruuteri taga asuvatel võrguklientidel kasutada FTP-protokolli, olles tulemüüri ja välise liikluse vahendaja, lisades ning eemaldades vajadusel Packet Filter tulemüüri reegleid.

'''Kasutamine'''

'''Aktiveerimine'''
Packet Filter tulemüüri käivitamiseks OpenBSD operatsioonisüsteemi käivitudes tuleb lisada /etc/rc.conf.local rida pf=YES, ajutiselt saab tulemüüri käivitada ning sulgeda pfctl käsu abil.

'''Seadistamine'''
Packet Filter laeb operatsioonisüsteemi käivitumisel vaikimisi reeglid /etc/pf.conf failist. See on tekstifail, mis laetakse pfctl käsuga ning sisaldab tulemüüri reegleid. Erinevatele rakendustele saab määrata ka teistes failides asuvaid reegleid, seadistusfailis olevaid tühje ridu ignoreeritakse. Seadistusfail pf.conf koosneb seitsmest osast.

'''Makrod'''
Makrod on kasutaja poolt määratud muutujad, mis kujutavad mingit hulka IP-aadresse, portide numbreid või võrguliideseid, makrod võimaldavad reegleid lihtsamini loetavaks ja kergemini hallatavaks muuta. Makrod võivad sisaldada numbreid või tähti, neid saab laiendada ka nimekirjadeks ning grupeerida, hilisemalt kasutatakse makrode muutujanimena dollarimärki. Siinkohal on välja toodud mõned näited reeglite lihtsustamiseks.

extIF = "xl0"
See makro määrab välise võrguliidese xl0 nimeks extIF, see lihtsustab hilisemates reeglites välise võrguliidese kasutamist ning välistab võimaluse teiste liidestega segamini ajada.

kliendid1 = "{ 192.168.0.2, 192.168.0.3 }"
See makro määrab IP-aadressite hulga 192.168.0.2-192.168.0.3 ühise grupi alla, see lihtsustab hilisemates reeglites mingi hulga klientide poole pöördumist. Näiteks ühe reegliga saab kogu grupil keelata liikluse, ei pea igale kliendile eraldi reeglit tegema.

kliendid1 = "{ 192.168.0.2, 192.168.0.3 }"
kliendid2 = "{ 192.168.1.2, 192.168.1.3 }"
kliendidKOKKU = "{" $kliendid1 $kliendid2 "}"
Need makrod määravad IP-aadressite hulgad gruppideks ning loovad ühise grupi, mis lihtsustab kõikidele klientidele ühiste reeglite kirjutamist.

'''Tabelid'''
Tabelites hoitakse IP-aadresse. Otsingud tabelitest on märksa kiiremad kui otsingud nimekirjadest, mistõttu sobivad tabelid suure hulga aadressite hoidmiseks. Tabeleid saab siduda ka ümbersuunamise ning filtrite reeglitega. Tabeleid tähistatakse nurksulgudega. Tabelitele saab lisana omistada kahte erinevat olekut - konstantne e. const ning jääv e. persist. Konstantse tabeli puhul saab tabelit muuta ainult laadimata olekus, muidu saab neid laadida ka töötades, pfctl käsu abil.
Jääva olekuga tabelit hoitakse mälus ka siis, kui sellega ükski reegel seotud pole, muidu kustutatakse tabel viimase seotud reegli kustutamisel automaatselt. Tabeleid saab laadida ka tekstifailidest, kasutades file muutujat.

table <kliendid1> { 192.168.1.0/24, !192.168.1.1 }
Kliendid1 tabelist eraldatakse 192.168.1.1 aadressiga klient.

table <kliendid2> persist file "/etc/kliendid2nimekiri"
Kliendid2 tabel loetakse sisse failist /etc/kliendid2nimekiri, jäävasse olekusse.

block in on xl0 from <kliendid2>to any
pass in on xl0 from <kliendid1> to any
Kliendid2 grupile keelatakse ning kliendid grupile lubatakse väline juurdepääs.

Muutujad Packet Filteri tööprotsessi muutmiseks.
set block-policy option - Määrab filtrite ülesanded pakettide blokeerimisel
set debug option - Määrab tagasiside taseme
set fingerprints file - Määrab avalike võtmete faili
set limit option value - Määrab PF piirangud
set loginterface interface - Määrab logiliidese, vaikimis pflogd0
set optimization option - Määrab optimeerimise taseme
set skip on interface - Määrab ignoreeritavad võguliidesed
set state-policy option - Määrab pakettide hoidmise reeglid
set timeout option value - Määrab ooteaja

set loginterface dc0
Määrab logimisliideseks dc0 võrguliidese.

set skip on lo0
Määrab Io0 liidese ignoreeritavaks, sellele seadmele ei rakendata ühtegi reeglit.

Küürimine
Küürimine on pakettide normaliseerimine, mille eesmärk on vältida fragmenteerunud pakettide paljunemist, keelatakse ka valede lippudega TCP-paketid. Küürimise süntaks on väga sarnane filtrite ülesehitusega ning seda on lihtne oma tulemüüri juurutada.

scrub on xl0 all reassemble tcp
Normaliseerib kõik TCP-paketid, mis läbivad xl0 võrguliidest.

'''Järjekorrad'''
Operatsioonisüsteemi valitud pakettide järjekorrast sõltub võrgu jõudlus, näiteks seades suuremat kiirust vajavad protokollid teistest ettepoole ja seega tõstes töökiirust. Pakettide järjestamise strateegiad tulenevad valitud scheduler'ist ehk plaanurist. Packet Filter toetab pakettide järjestamist klassi (CBQ) ning paketi prioriteedi (PRIQ) järgi.

altq on xl0 cbq bandwidth 2Mb queue
Määrab xl0 võrguliidesele CBQ plaanuriga 2Mb piirangu.

'''Tõlkimine'''
Võrguaadressite tõlkimine (NAT) võimaldab peita sisevõrgu kliendid ühe välise IP-aadressi taha, suurendamaks turvalisust sisevõrku sissepääsu raskendades.

nat on xl0 from 192.168.1.0/24 to any -> 192.168.2.0
Peidab kõik 192.168.1.0/24 alamvõrgust tulevad IP-aadressi 192.168.2.0 taha.

'''Filtrid'''
Pakettide filtreerimine on valikuline andmete voo keelamine ja lubamine, tuginedes kindlaksmääratud filtritele. Filtrites määratakse ära, millised paketid läbi lastakse ja millised peatatakse. Saabunud paketti võrreldakse filtritega, filtrid läbitakse järjestikuliselt, viimases filtris määratud tegevus rakendatakse tööle, kui tegevust ei leita, on vaikimisi seade pakett läbi lasta.

'''Reeglite süntaks'''
Reeglite lihtsustatud süntaks :

action [direction] [log] [quick] [on interface] [af] [proto protocol] \
[from src_addr [port src_port]] [to dst_addr [port dst_port]] \
[flags tcp_flags] [state]

action - Pakettide rakendamine
direction - Pakettide suund
log - Logitase
quick - Kui pakett vastab quick muutujaga reeglile, kontrollitakse vaid esimest reeglit
interface - Võrguliides
af – IP-protokolli tüübi määrang
src_addr, dst_addr - Päritoluaadress ning suundaadress
src_port, dst_port - Päritoluport ning suundport
tcp_flags - Määrab pakettide TCP-lipud
state - Pakettide hoidmise reeglid

'''Lisavõimalused'''
Packet Filter on ünsa populaarne ja leiab pidevalt uusi kasutajaid, paljud kasutajad on aga proovinud lisada Packet Filter'ile mitmeid lisavõimalusi, mis muudaksid seadistamise ning haldamise lihtsamaks, siinkohal on välja toodud lühike ülevaade kahest tuntumast lisast.

'''Pfw''' [http://www.allard.nu/pfw/ http://www.allard.nu/pfw/]
Pfw on veebipõhine kasutajaliides Packet Filter tulemüürile, eesmärk on olla sama efektiivne ja kasulik kui PG ning samal ajal pakkuda võimalust tulemüüri läbi veebibrauseri seadistada (lisa 2). Pfw põhineb PHP-l ning toetab perl-i mooduleid, Pfw on tasuta saadaval ning kasutab BSD-litsentsi.

'''Pf.vim''' [http://www.vim.org/scripts/script.php?script_id=341 http://www.vim.org/scripts/script.php?script_id=341]
Pf.vim on Vim-i süntaksiskript, mis kohandab Vim-i Packet Filter'i konfiguratsioonifaili pf.conf töötlemiseks, pf.vim oskab pf.conf faili sisu tüübi järgi esile tõsta ning värviliseks muuta, näiteks kõik kehtivad reeglid kuvatakse rohelises kirjas. Pf.Vim süntaksiskripti on loonud Camiel Dobbelaar aastal 2002.

'''Praktiline Osa. Tulemüüri seadistamine'''

Tulemüüri automaatseks käivitamiseks tuli /etc/rc.conf.local faili lisada rida pf=YES, operatsioonisüsteemi käivitusskriptid laevad sellest failist käivitatavate rakendust nimekirja, tulemüüri saab ka käsitsi käsurealt käivitada.
pfctl -e -f /etc/pf.conf

Selle käsuga käivitatakse tulemüür ja laetakse reeglid /etc/pf.conf failist. Tulemüüri seadistamisel kasutas autor Vim tekstiredaktorit. Reeglid loodi sellised, et sisevõrgus olevatel klientidel on juurdepääs internetile, juurdepääs väljastpoolt sisevõrku puudub ning sisevõrgu kliendid peidetakse ühise IP-aadressi taha, sisevõrgust välja lubati http, https ja pop3 protokollide kasutamine, täielik tabel on toodud välja lisana (lisa 1).
Tulemüüri reeglite kirjutamine :

extIF="rl0"
intIF="xl0"
lubatud="{ 80, 110, 443 }"
#Võrguliidestele ning lubatud protokollidele määrati makrod, lihtsustamaks hilisemat pöördumist.

set loginterface $extIF
set skip on lo
#Lülitati sisse välise liidese logimine ning loopack liidese ignoreerimine.

scrub in all
scrub out all
#Lülitati sisse kõikide pakettide normaliseerimine.

nat on $extIF from !($extIF) -> ($extIF:0)
#Lülitati sisse NAT välisel võrguliidesel.

block in
pass out keep state
antispoof quick for { lo $intIF }
pass in on $extIF inet proto tcp from any to ($extIF) port $lubatud flags S/SA keep state
#Keelati kõik sisenev liiklus peale makros $lubatud kirjeldatud portidelt, lubati võrgust väljuv liiklus ning välistati siseneval liiklusel spoof’imine.

pass in inet proto icmp all keep state
pass out inet proto icmp all keep state
#Lubatakse võrku sisenevad ja väljuvad pingid.

#Lubati väljuv liiklus.
pass quick on $intIF

===lingid===
http://spootnik.org/hoststated/hoststated_introduction.html

Talk

2007-01-31T13:11:26Z

Triinu:

Unix suhtlusprogramm talk

Populaarne suhtlustarkvara 80-ndatel ja varastel 90-ndatel

[[Image:T4 3.gif]]

Kasutada saab seda veel praegugi näiteks FreeBSD's
kommenteerides trelli eest /etc/inetd.conf'is real

ntalk dgram udp wait tty:tty /usr/libexec/ntalkd ntalkd

ja laadida inetd reeglid

killall inetd -HUP

Crontab

2007-01-31T13:10:27Z

Triinu:

'''crond, crontab'''

Sissejuhatus
Kuidas crond töötab
crontab'i süstaksi selgitus
at

'''Sissejuhatus'''

Tihti on arvutis vaja perioodiliselt käivitada ühte või teist programmi. Musternäiteks on kasutajate kodukataloogide arhiveerimine või kui näiteks teie serveril on dial-up ühendus välismaailma püsiühendusega maili serveriga ning oluline on kirju vahetada kindlatel kellaagadel. Aga võib ka naljapärast näiteks iga veerandtunni tagant lasta arvutil ütelda, mis kell on. Selleks on vaja ka helikaarti, aga kellel tänapäeval helikaarti pole :)

Viimane aeg on ütelda, et OS'iga suhteliselt standartsena kaasapandav bootimisel käimatõmmatav vaim nimega crond tegeleb aja möödumise jälgimise ja sellele vastavalt reageerimisega. Kuidas konkreetselt reageerida, vaatab crond järele nn crontab'i failidest.

'''Kuidas crond töötab'''

Iga kasutajaga on seotud crond'ile olulises kataloogis /var/spool/cron/crontabs üks fail, mis kannab kasutaja nime ja kasutajal on õigus selle sisu redigeerida. Selle sisu muudetakse mitte vahetult, vaid käsuga crontab -e (fail on root'i oma; nagu /etc/passwd).

root'ile pole kurjast aeg-ajalt neid crontab faile sirvida, mitte sisulistel vaid tehnilistel kaalutlustel. Seda saab teha näiteks

bash# crontab -l imre

Niisiis, crond kasutab nn crontab'i faile, et teada kuna, millised ja kelle õigustes programm käivitada.

Oletame, et kasutaja imre tahab, et iga päev kell 11.45 hommikul mängiks arvuti muusikapala. Selleks tuleb tal editeerida sellise sisuga crontab:

$ export VISUAL=/usr/bin/joe

$ crontab -e

45 11 * * * /usr/local/bin/mpg123 /usr/data/mp3/muusikapala.mp3

Siin kangemad mehed, kes on harjunud kasutama vi'd ei pruugi vaikimisi editoriks joe'd defineerida, aga mulle on see harjumuspärasem.

Ja enne selgitusi ka teine näide:

Olgu soov kirjutada kuhugi faili mingil põhjusel iga 10 minuti tagant, kes süsteemis sees on, kasvõi näiteks põhjusel leida üles kõige suuremad kasutajad, kuigi selleks on tõenäoliselt ka muid võimalusi.

*/10 * * * * /usr/bin/w >> ~/keson

'''crontab'i süntaksi selgitus'''

crontabis koosnevad sissekanded ridadest, kus on nn 6 välja (kokku mitte pikem kui 1 024 sümbolit reas)

#iga kuu 1. 10. ja 20. kuupäeval kell 2 hommikul; samuti esmaspäevadel
#väljund liita faili ~/kellaaeg
#minute hour day month dayofweek command
#minut tund kuupäev kuu nädalapaev käsk
0 2 1,10,20 * mon date >> ~/kellaeg

Kui näidata ära nii kuupäev kui ka nädalapäev, siis need nö OR'takse, st tegevus sooritatakse, kui klapib kas nädalapäev või kuupäev või mõlemad.

Iga poole tunni tagant kogu aeg

#sama asi
minut tund päev kuu nädalapäev käsk
*/30 * * * * date >> ~/kellaeg

#iga viie minuti tagant tööpäeviti
minut tund päev kuu nädalapäev käsk
*/5 * * * mon-fri date >> ~/kellaeg

#iga päev kell 9:30, 10:30, ... 16:30 ja 21:30
minut tund päev kuu nädalapäev käsk
30 9-17/2,21 * * * date >> ~/kellaeg 2>&1

Veel tuleb mainida, et viimases näites on kogu väljund, st ka võimalikud vead (stdoutja stderr), suunatud faili. Kui programmi täitmisel tekib stdout või stderr ning sellega midagi ette ei võeta, siis saadetakse töö omanikule sendmail'iga kiri, kus on see väljund sees.

Muide, crontab'i käsud on soovitav anda pika teega;, sest kui crontab käivitab mõne programmi kasutaja õigustes, siis on PATH piiratum kui muidu on kasutaja end tavaliselt sisse loginud.

Lõpuks, kui crontab'i süntaks tundub olevat ebapiisav, siis alati on võimalik tõmmata crontab'ist esiteks script üles, mis enne kõnealuse töö käivitamist teeb näiteks veel täiendava kontrolli arvuti koormuse ja aja suhtest.

'''at'''

See on sarnase funktsiooniga programm (õigemini öeldes komplekt programme, aga tegelikult vist hard linke :)), erinevusega, et sooritab ühekordselt ettemääratud töö tulevikus. Ilmselt saab ka nii teha, et peale tolle töö sooritamise ta annab süsteemile teada uuest at'ist jne.

Aga käske antakse nii:

käskude fail 'kasud':

cal >> /home/imre/proov/kalender

(ehk on too fail igaks juhuks hea enne touch'iga valmis teha ja veenduda, et õigused on sobivad)

ning seejärel käsk

bash# at -f kasud now + 1 minute

näitab süsteemile, et asi läheb sappa (queue'sse)

ning nii saate näha, mis tööd on queue's:

bash# atq
Date Owner Queue Job#
08:52:00 03/19/99 root c 10

Seda, kas kasutajatele ja kui, siis millistele kasutajatele, anda at' imise õigus, saab määrata failidega /etc/at.allow ja /etc/at.deny.

Queue'id on tegelikult a - z ja A- z. Neil on erinev prioriteet, mida peaks samuti arvestama.

Pppoe freebsd

2007-01-31T12:33:46Z

Triinu:

FreeBSD pppoe

default:
set device PPPoE:<võrgukaardin nimi tavaliselt fxp0 fl0 ep0 jms>

set ifaddr 10.0.0.1/0 10.0.0.2/0
set log phase tun
enable dns

elion:
set authname <username>
set authkey <pass>
set dial
set login
add default HISADDR

Käivitame käsurealt logimise

/usr/sbin/ppp -quiet -ddial elion

Kui kõik õnnestub, näitab ifconfig uut seadet tun0

rc.conf'i
automaatseks laadimiseks

ppp_enable="YES"
ppp_mode="ddial"
ppp_profile="elion"
ppp_nat="NO"

Ebastabiilse ühenduse tarvis saab kasutada skripti võrgu kontrolliks ja uuestiühendamiseks

#!/bin/sh
if ping -i 3 -c 2 -q 194.126.101.109; then # www.estpak.ee
# nett korras
echo "OK `date`" >> /root/netstatus.log
else
# nett maas!
echo "PANIC! `date`" >> /root/netstatus.log
killall -9 ppp;
sleep 10;
/usr/sbin/ppp -quiet -ddial elion;
sleep 10;
fi

cron võiks seda käivitada kord viie minuti tagant

*/5 * * * * root /rada/kping.sh > /dev/null

Faili netstatus kirjutatakse järgnevalt

bash# cat netstatus.log
OK Sat Oct 9 13:20:04 EEST 2004
OK Sat Oct 9 13:25:03 EEST 2004
OK Sat Oct 9 13:30:04 EEST 2004
PANIC! Sat Oct 9 13:35:22 EEST 2004

Apache ssl

2007-01-31T12:32:40Z

Triinu:

Apache ssl ajutise self-signed sertifikaadi genereerimine

Näite aluseks FreeBSD

mkdir /usr/local/etc/apache2/ssl.key/
mkdir /usr/local/etc/apache2/ssl.crt/

openssl genrsa -des3 -out server.key 1024
openssl req -new -key server.key -out server.csr
openssl x509 -req -days 300 -in server.csr -signkey server.key -out server.crt
openssl rsa -in server.key -out server.key

cp server.key /usr/local/etc/apache2/ssl.key/
cp server.crt /usr/local/etc/apache2/ssl.crt/
chmod 0400 /usr/local/etc/apache2/ssl.key/server.key
chmod 0400 /usr/local/etc/apache2/ssl.crt/server.crt

Lisame FreeBSD's faili /etc/rc.local rea

apache2ssl_enable="YES"

Käivitame apache ssl toega

apachectl sslstart

Kontrollime käsuga sockstat, kas kuulab?

ftp# sockstat | grep 443
www httpd 20720 4 tcp46 *:443 *:*
www httpd 20709 4 tcp46 *:443 *:*
www httpd 20020 4 tcp46 *:443 *:*
www httpd 20019 4 tcp46 *:443 *:*

kuulab :]

Sqlite

2007-01-31T12:31:16Z

Triinu: /* kasutamine */

===SQlite tutvustus===

SQlite http://www.sqlite.org/ andmebaas on väike ja ei vaja konfigureerimist,
on kasutatav kergelt käsurealt ning see sobib kenasti skriptide loomiseks,
hoides samas väga suuri infohulki.

Kasutada saab ka ruby on rails'iga http://wiki.rubyonrails.com/rails/pages/HowtoUseSQLite

Selles palas vaatame, kuidas kasutada käsurealt andmebaasi, sama teema pikem ingliskeelne tekst http://www.sqlite.org/sqlite.html

===Install===

gentoo
emerge sqlite
FreeBSD
pkg_add -r sqlite3 / cd /usr/ports/databases/sqlite3 && make install clean

Konfiguratsiooniga pole vaja midagi teha, puuduvad ka suuremad sõltuvused mingitest mahukatest pakettidest.

===Kasutamine===

andmebaasi loomine

sqlite3 fail_info.db

tabeli algandmete loomine

sqlite3 fail_info.db "Create table algandmed(id integer primary key, number integer,name text)"

tabelisse info lisamine syntaks sqlite3 fail_info.db "insert into algandmed(...) values(...)"

sellejärgi kirjutame "algandmed" tabelisse info käsuga

sqlite3 fail_info.db "Insert into algandmed values(null,'Root', 'shell');"

insert real "null" on vajalik ,et toimims auto increment id väljale

tabelist "algandmed" kõigi ridade lugemine

sqlite3 fail_info.db "Select * from algandmed;"

rea kustutamine tabelist

sqlite3 fail_info.db "delete from algandmed where id = 2"

kasulik skriptis ka näidata andmebaasi asukoht tähistajaga

EENet

Sqlite

2007-01-31T12:31:07Z

Triinu: /* install */

===SQlite tutvustus===

SQlite http://www.sqlite.org/ andmebaas on väike ja ei vaja konfigureerimist,
on kasutatav kergelt käsurealt ning see sobib kenasti skriptide loomiseks,
hoides samas väga suuri infohulki.

Kasutada saab ka ruby on rails'iga http://wiki.rubyonrails.com/rails/pages/HowtoUseSQLite

Selles palas vaatame, kuidas kasutada käsurealt andmebaasi, sama teema pikem ingliskeelne tekst http://www.sqlite.org/sqlite.html

===Install===

gentoo
emerge sqlite
FreeBSD
pkg_add -r sqlite3 / cd /usr/ports/databases/sqlite3 && make install clean

Konfiguratsiooniga pole vaja midagi teha, puuduvad ka suuremad sõltuvused mingitest mahukatest pakettidest.

===kasutamine===

andmebaasi loomine

sqlite3 fail_info.db

tabeli algandmete loomine

sqlite3 fail_info.db "Create table algandmed(id integer primary key, number integer,name text)"

tabelisse info lisamine syntaks sqlite3 fail_info.db "insert into algandmed(...) values(...)"

sellejärgi kirjutame "algandmed" tabelisse info käsuga

sqlite3 fail_info.db "Insert into algandmed values(null,'Root', 'shell');"

insert real "null" on vajalik ,et toimims auto increment id väljale

tabelist "algandmed" kõigi ridade lugemine

sqlite3 fail_info.db "Select * from algandmed;"

rea kustutamine tabelist

sqlite3 fail_info.db "delete from algandmed where id = 2"

kasulik skriptis ka näidata andmebaasi asukoht tähistajaga

EENet

PHP käivitamine kasutaja õigustes

2007-01-31T12:30:35Z

Triinu:

Apache suexec on programm, mis lisati versioonis 1.2 ja mis annab apache kasutajatele võimaluse käivitada cgi ja ssi programme kasutaja id-ga,
mis erineb veebiserveri id-st. Normaalselt toimivad kõik skriptid veebiserveri õigustes.
Kahjuks võimaldab see nõnda startida ainult cgi skripte. Käesolev pala kirjeldab, kuidas saada iga serveris asuv php tükk samuti käima
antud kasutaja õigustes. Näites kasutatav PHP on 5. versioon, kuid kasutada võib ka neljandat.
Trellidega (#) on näidetes tähistatud käsuviip.

'''Tarkvara installeerimine'''

Installeerime apache koos suexec-ga:

# cd /usr/ports/www/apache2
# make WITH_SUEXEC_MODULES="YES" install

Seejärel installeerime php:

# cd /usr/ports/lang/php5
# make install clean

PHP installeerimisel küsitakse täiendavaid parameetreid. Valida tuleb CGI ja FastCGI tugi.
Apache moodulit pole vaja, kui seda ei plaanita täiendavalt paralleelselt kasutada.

Järgneb fastcgi installeerimine:

# cd /usr/ports/www/mod_fastcgi
# make install clean

Peale installeerimist saame kontrollida MILLE? olemasolu ja parameetreid selliselt:

# suexec -V
-D AP_DOC_ROOT="/usr/local/www/data"
-D AP_GID_MIN=1000
-D AP_HTTPD_USER="www"
-D AP_LOG_EXEC="/var/log/httpd-suexec.log"
-D AP_SAFE_PATH="/usr/local/bin:/usr/local/bin:/usr/bin:/bin"
-D AP_UID_MIN=1000
-D AP_USERDIR_SUFFIX="public_html"

Nagu näha, soovib suexec, et kõik skriptid, mida tema abil käivitatakse, asuksid kataloogis /usr/local/www/data
Ei hakka DOC_ROOT muutma ja loome testi sinna.

'''Apache konfiguratsioon'''

Muudame httpd.conf, vajadusel lisame:

LoadModule suexec_module libexec/apache2/mod_suexec.so
LoadModule fastcgi_module libexec/apache2/mod_fastcgi.so

Tekitasime veel konfiguratsioonifaili sellise sektsiooni:

<IfModule mod_fastcgi.c>
FastCgiWrapper /usr/local/sbin/suexec
FastCgiConfig -singleThreshold 1 -pass-header HTTP_AUTHORIZATION
</IfModule>

Tekitame virtualhostid

<VirtualHost *:80>
SuexecUserGroup katse katse
ServerAdmin kasutaja@nimi.ee
DocumentRoot /usr/local/www/data/katse
ServerName www.nimi.ee

ScriptAlias /php-fastcgi/ /usr/local/www/data/katse/
AddType application/x-httpd-fastphp .php
Action application/x-httpd-fastphp /php-fastcgi/php5-fcgi

</VirtualHost>

<VirtualHost *:80>
SuexecUserGroup katse3 katse3
ServerAdmin kasutaja@nimi.ee
DocumentRoot /usr/local/www/data/katse3/cgi-bin
ServerName test.nimi.ee

ScriptAlias /php-fastcgi/ /usr/local/www/data/katse3/cgi-bin
AddType application/x-httpd-fastphp .php
Action application/x-httpd-fastphp /php-fastcgi/php5-fcgi

</VirtualHost>

Alternatiivselt kataloogipõhiselt:

SuexecUserGroup katse katse

<Directory "/usr/local/www/data/cgi">
Options +ExecCGI
AddHandler fastcgi-script .cgi
AddType application/x-httpd-fastphp .php
Action application/x-httpd-fastphp /cgi/php5-fcgi.cgi
</Directory>

'''Skript wrapperiks'''

Varasemalt sidusime virtualhostis iga .php laiendi kindla cgi skriptiga, mida suexeciga käivitame.
Viimaks ehitame skripti enda, mis käivitatuna suexeci abil kasutaja õigustes stardib php enda ja sellekaudu ka veebi.

#!/bin/sh
#PHPRC="/usr/local/etc/php.ini"
export PHPRC
PHP_FCGI_CHILDREN=4
export PHP_FCGI_CHILDREN
exec /usr/local/bin/php-cgi

Kopeerime selle faili kasutajate katse ja katse 3 kaustadesse (kataloogidesse):

/usr/local/www/data/katse/cgi-bin/php5-fcgi/usr/local/www/data/katse3/cgi-bin/php5-fcgi

Muudame mõlema faili kasutajaõigusi chown käsuga:

chown katse:katse /usr/local/www/data/katse/cgi-bin/php5-fcgi

chown katse3:katse3 /usr/local/www/data/katse3/cgi-bin/php5-fcgi

'''Testimine'''

Testimiseks saab teha skripti

< ?php
print "hello world< p >\n";
system("id");
php? >

www.nimi.ee skripti vaadates

hello world

uid=1004(katse) gid=1004(katse) groups=1004(katse)

test.nimi.ee

hello world

uid=1009(katse3) gid=1009(katse3) groups=1009(katse3)

EENet 2006

PHP käivitamine kasutaja õigustes

2007-01-31T12:29:35Z

Triinu:

Apache suexec on programm, mis lisati versioonis 1.2 ja mis annab apache kasutajatele võimaluse käivitada cgi ja ssi programme kasutaja id-ga,
mis erineb veebiserveri id-st. Normaalselt toimivad kõik skriptid veebiserveri õigustes.
Kahjuks võimaldab see nõnda startida ainult cgi skripte. Käesolev pala kirjeldab, kuidas saada iga serveris asuv php tükk samuti käima
antud kasutaja õigustes. Näites kasutatav PHP on 5. versioon, kuid kasutada võib ka neljandat.
Trellidega (#) on näidetes tähistatud käsuviip.

'''Tarkvara installeerimine'''

Installeerime apache koos suexec-ga:

# cd /usr/ports/www/apache2
# make WITH_SUEXEC_MODULES="YES" install

Seejärel installeerime php:

# cd /usr/ports/lang/php5
# make install clean

PHP installeerimisel küsitakse täiendavaid parameetreid. Valida tuleb CGI ja FastCGI tugi.
Apache moodulit pole vaja, kui seda ei plaanita täiendavalt paralleelselt kasutada.

Järgneb fastcgi installeerimine:

# cd /usr/ports/www/mod_fastcgi
# make install clean

Peale installeerimist saame kontrollida MILLE? olemasolu ja parameetreid selliselt:

# suexec -V
-D AP_DOC_ROOT="/usr/local/www/data"
-D AP_GID_MIN=1000
-D AP_HTTPD_USER="www"
-D AP_LOG_EXEC="/var/log/httpd-suexec.log"
-D AP_SAFE_PATH="/usr/local/bin:/usr/local/bin:/usr/bin:/bin"
-D AP_UID_MIN=1000
-D AP_USERDIR_SUFFIX="public_html"

Nagu näha, soovib suexec, et kõik skriptid, mida tema abil käivitatakse, asuksid kataloogis /usr/local/www/data
Ei hakka DOC_ROOT muutma ja loome testi sinna.

'''Apache konfiguratsioon'''

Muudame httpd.conf, vajadusel lisame:

LoadModule suexec_module libexec/apache2/mod_suexec.so
LoadModule fastcgi_module libexec/apache2/mod_fastcgi.so

Tekitasime veel konfiguratsioonifaili sellise sektsiooni:

<IfModule mod_fastcgi.c>
FastCgiWrapper /usr/local/sbin/suexec
FastCgiConfig -singleThreshold 1 -pass-header HTTP_AUTHORIZATION
</IfModule>

Tekitame virtualhostid

<VirtualHost *:80>
SuexecUserGroup katse katse
ServerAdmin kasutaja@nimi.ee
DocumentRoot /usr/local/www/data/katse
ServerName www.nimi.ee

ScriptAlias /php-fastcgi/ /usr/local/www/data/katse/
AddType application/x-httpd-fastphp .php
Action application/x-httpd-fastphp /php-fastcgi/php5-fcgi

</VirtualHost>

<VirtualHost *:80>
SuexecUserGroup katse3 katse3
ServerAdmin kasutaja@nimi.ee
DocumentRoot /usr/local/www/data/katse3/cgi-bin
ServerName test.nimi.ee

ScriptAlias /php-fastcgi/ /usr/local/www/data/katse3/cgi-bin
AddType application/x-httpd-fastphp .php
Action application/x-httpd-fastphp /php-fastcgi/php5-fcgi

</VirtualHost>

Alternatiivselt kataloogipõhiselt:

SuexecUserGroup katse katse

<Directory "/usr/local/www/data/cgi">
Options +ExecCGI
AddHandler fastcgi-script .cgi
AddType application/x-httpd-fastphp .php
Action application/x-httpd-fastphp /cgi/php5-fcgi.cgi
</Directory>

'''Skript wrapperiks'''

Varasemalt sidusime virtualhostis iga .php laiendi kindla cgi skriptiga, mida suexeciga käivitame.
Viimaks ehitame skripti enda, mis käivitatuna suexeci abil kasutaja õigustes stardib php enda ja sellekaudu ka veebi.

#!/bin/sh
#PHPRC="/usr/local/etc/php.ini"
export PHPRC
PHP_FCGI_CHILDREN=4
export PHP_FCGI_CHILDREN
exec /usr/local/bin/php-cgi

Kopeerime selle faili kasutajate katse ja katse 3 kaustadesse (kataloogidesse):

/usr/local/www/data/katse/cgi-bin/php5-fcgi/usr/local/www/data/katse3/cgi-bin/php5-fcgi

Muudame mõlema faili kasutajaõigusi chown käsuga:

chown katse:katse /usr/local/www/data/katse/cgi-bin/php5-fcgi

chown katse3:katse3 /usr/local/www/data/katse3/cgi-bin/php5-fcgi

'''testimine kasutamine'''

Testimiseks saab teha skripti

< ?php
print "hello world< p >\n";
system("id");
php? >

www.nimi.ee skripti vaadates

hello world

uid=1004(katse) gid=1004(katse) groups=1004(katse)

test.nimi.ee

hello world

uid=1009(katse3) gid=1009(katse3) groups=1009(katse3)

EENet 2006

Linux ATM

2007-01-31T12:17:58Z

Triinu:

'''ATM'''

Algselt lairiba-ISDN-i (B-ISDN) jaoks väljatöötatud võrgutehnika ATM (Asynchronous Transfer Mode, asünkroonne edastusre�iim) toob edaspidi gigabittides edastuskiirused lõppseadmeteni välja. Esmakordselt 1988.a. standardiseeritud

ATM põhineb ühendusega edastusel. Siin suunatakse liiklus tõhusamalt õigele vastuvõtjale. Peamiselt heliliikluses kasutatud aegmultipleksimine (TDM, time-division multiplexing) jaotab riba paremini ning eraldab ühe ühenduse kasutusse ainult sellele vajaliku keskmise ribalaiuse. Samaaegseid ühendusi jaamade vahel võib luua ja töödelda kiiresti ja tõhusalt.

Levinud kiired pakettedastuse meetodid (X.25, Frame Relay, FDDI) kasutavad muutuva pikkusega pakette. Puhangulisi andmeid saata on lihtne, kuid aegsõltuva informatsiooni (näiteks heli ja pildi) saatmine komplitseerub. Üks suur pakett võib hõivata kogu ribalaiuse pikaks ajaks ja teised ühendused ei saa seda kasutada. ATM seevastu edastab väikesi konstantse pikkusega pakette, mida nimetatakse rakkudeks (cell).

ATM oma 155 Mbit/s algkiirusega on tõhusam kui FDDI ja läbilaskevõimet saab tõsta gigabittideni välja. Võrgu jaamad ühendatakse kas otse ATM-sõlmega (switch) või samas karkassis asuvate vana kohtvõrgutehnikat toetavate liidestega, mis on marsruuterite abil ühendatud ATM- keskmagistraaliga. Otse ATM-sõlmega saab ühendada ka teenustena ostetud kaugühendusi. Sel juhul kasutatakse nii koht- kui ka kaugvõrkudes sama edastusviisi.

ATM-ile kavandatud liiklusklasse on neli. Klass A edastab konstantse kiirusega ühenduspõhist sünkroniseeritud liiklust, näiteks pakkimata pilti või heli. Klass B on nagu A, kuid edastab vahelduva kiirusega, näiteks pakitud pilti või heli. Klass C edastab vahelduva kiirusega asünkroonset liiklust nagu X.25 või Frame Relay. Klass D on ühenduseta pakettvõrgu, näiteks tavalise kohtvõrgu jaoks.

ATM-i kaks olulist eelist on suvalist tüüpi andmete edastuse võime ja väga suur edastuskiirus. Samas võrgus võib üheaegselt edastada teksti, andmeid, heli, pilti ja mitmesuguseid signaale väikestes rakkudes. ATM-i rakk koosneb 48-baidisest kasulikust lastist ja 5-baidisest päisest. ATM pakub ka voojuhtimist.

Ühenduspõhisel andmeedastusel tuleb kõigepealt luua saatja ja vastuvõtja vahel virtuaalühendus. Saatja saadab võrku ühenduse loomise raku, mis sõlm-sõlmelt otsib omale tee läbi võrgu ning defineerib ühendusele marsruudi ja kasutatava klassi. Ühendusloomerakk kannab ettepanekut teenuste laadi, näiteks keskmise edastuskiiruse kohta. Vastuvõtja saadetud kviteerimisrakk kulgeb sama marsruuti mööda tagasi saatjale, seades ühenduse teenusteks valmis. Kui võrk ei suuda soovitud teenuseid võimaldada, teatab kviteerimisrakk saatjale saadavate teenuste liigid ja ühendus jääb loomata. Saatja võib reageerida väiksemate teenuste taotlusega või proovida hiljem uuesti.

Globaalset võrguaadressi kasutatakse ainult ühenduse loomisel. Kui loomis- ja kviteerimisrakud on mõlemas suunas marsruudi läbinud, kasutatakse marsruudil asuvates ATM-sõlmedes teeidentifikaatoreid (VPI, virtual path identifier) ja kanaliidentifikaatoreid (VCI, virtual circuit identifier). Identifikaatorid on lühikesed 8- kuni 16-bitised aadressid, mis defineerivad lokaalselt järgmise sõlme. Kui ATM-sõlm võtab raku vastu, loeb ta identifikaatorid, asendab need uue lokaalse identifikaatoriga ja saadab raku edasi. Identifikaatorid vahetatakse marsruutimisel, sest nad on igas sõlmes lokaalsed.

'''kernel'''

make menuconfig v .configure

CONFIG_ATM=m
CONFIG_ATM_CLIP=m
CONFIG_ATM_CLIP_NO_ICMP=y

CONFIG_ATM_DUMMY=m
CONFIG_ATM_TCP=m

Kaardi tugi samuti vajalik. Igaüks valib enda kaardi jaoks vajaliku.

CONFIG_ATM_NICSTAR=m
CONFIG_ATM_NICSTAR_USE_SUNI=y
CONFIG_ATM_FORE200E_MAYBE=m
CONFIG_ATM_FORE200E_PCA=y
CONFIG_ATM_FORE200E_PCA_DEFAULT_FW=y
CONFIG_ATM_FORE200E_TX_RETRY=16
CONFIG_ATM_FORE200E_DEBUG=0
CONFIG_ATM_FORE200E=m
CONFIG_ROADRUNNER=m

Esimene pool

atm1 kapseldus:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet aadress:192.168.1.2 mask:255.255.255.0
UP RUNNING MTU:1500 meetrika:1
RX pakette:14 vigu:0 ära visatud:0 ületäit:0 kaadri vigu:0
TX pakette:276 vigu:0 ära visatud:1495 ületäit:0 carrier:0
kollisioone:0 txqueuelen:100
RX baite:816 (816.0 b) TX baite:15299 (14.9 Kb)

stardiskript

/usr/local/sbin/atmsigd -b
/usr/local/sbin/atmarpd -b
/usr/local/sbin/atmaddr -a Test2
/usr/local/sbin/atmarp -c atm1
/sbin/ifconfig atm1 192.168.1.2 up
/sbin/ifconfig atm1 mtu 1500

#Teise poole ATM otsa IP läheb PVC peale..
/usr/local/sbin/atmarp -s 192.168.1.1 0.0.166

Teine pool

atm1 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:192.168.2.2 Mask:255.255.255.0
UP RUNNING MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:1 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 b) TX bytes:55 (55.0 b)

stardiskript

atmsigd -b
atmarpd -b
atmarp -c atm1

/sbin/ifconfig atm1 mtu 1500
/sbin/ifconfig atm1 192.168.2.2 up
/sbin/ifconfig atm1 up

#Teise poole ATM otsa IP l.heb PVC peale..
atmarp -s 192.168.2.1 0.0.166

Korrasoleku proov

localhost etc # ping 192.168.2.1
PING 192.168.2.1 (192.168.2.1) 56(84) bytes of data.
64 bytes from 192.168.2.1: icmp_seq=1 ttl=30 time=1.31 ms
64 bytes from 192.168.2.1: icmp_seq=2 ttl=30 time=1.32 ms

NetBSD wifi ap

2007-01-31T09:53:17Z

Triinu:

NetBSD installil pikemalt peatuma ei hakka, asi on üsnagi lihtsaks tehtud. Nii, et suhteliselt next vajutades saab sealt läbi.
Tähelepanu tuleks pöörata ainult sellele, et kui tegemist pcmci kaardiga nagu minul, oleks soovitatav valida kernelitüübiks,
laptop'i oma täpselt ei mäleta, kirjapilti.

1. rc.confi lisame sshd=YES
2. lisame tavakasutaja
useradd -m -G wheel -C "Kasutaja" kasutaja
passwd kasutaja

See värk on selleks, et saaks üle ssh ka sisse

Võtame vi ja kirjutane /etc/rc.conf'i

defaultroute=192.168.1.254

echo "inet 192.168.1.124 netmask 255.255.255.0" > /etc/ifconfig.rtk0

echo "nameserver 194.126.115.18" > /etc/resolv.conf
echo "nameserver 194.126.101.34" >> /etc/resolv.conf

3. nüüd sikutame src süsteemile, sest vaja oleks selliseid kasulikke utikaid nagu bash ja mõni lihtsam editor vi asemel.

Selleks ftp.estpak.ee ja getime /pub/NetBSD/packages/pkgsrc.tar.gz
tar -xvzf pkgsrc.tar.gz -C /usr
pakib src lahti

Nüüd võib lisada muud softi nagu bash pico wget screen jpt

edasi kasutatud http://freespace.ausgamers.com/2004/10/wireless-router-with-netbsd-162-on.html

Avame enda lemmikbrauseriga ftp://ftp.estpak.ee/pub/NetBSD/packages/2.0/i386/All/ ja otsime sealt välja lingid softile ja installime näiteks

pkg_add ftp://ftp.estpak.ee/pub/NetBSD/packages/2.0/i386/All/screen-4.0.2nb1.tgz

Võib ka portaget kasutada.

Nüüd wireless ap seadistamine ise.

Kaks subnetti

192.168.0.0/24 for lan
192.168.1.0/24 for wireless

pico /etc/ifconfig.wi0
kirjutame

inet 192.168.1.1 up media DS11 mediaopt adhoc nwid g3_bridge
!wiconfig wi0 -c 1
!wiconfig wi0 -p 1

ifconfig wi0 chan 11 -> paneb paika wirelessi kanali
ifconfig wi0 ssid Kindlus -> paneme SSID'ks Kindlus

wiconfig wi0 -c 1 causes the airport card to create IBSS, so other
wireless devices can see it. -p 1 causes the card to enter into BSS mode.
Now this isn't strictly correct, but some how it magically works. If you
know why, feel free to let me know! :-)

pico /etc/ifconfig.gem0
inet 192.168.3.20 up netmask 255.255.255.0
media 100BaseTX

echo net.inet.ip.forwarding=1 >> /etc/sysctl.conf
echo pass in all > /etc/ipf.conf
echo pass out all >> /etc/ipf.conf

map tun0 192.168.0.0/16 -> 0.0.0.0/32 portmap tcp/udp 40000:65000
map tun0 192.168.0.0/16 -> 0.0.0.0/32

echo ipfilter=YES >> /etc/rc.conf
echo ipnat=YES >> /etc/rc.conf
reboot

Nüüd võime teha testi. Võtame enda wirelessi oskavat teha masina, näiteks läpaka,
vaatame, kas ta leiab signaali ning ssid on õige. Kui jah, siis anname wireless kaardile
ip gateway ja dns'id näiteks 192.168.3.10.
Veel gateway 192.168.3.20 ja dns'id vastavalt enda teenusepakkuja omad.
Proovime pingida alguses gatewayd ja kui õnnestub, siis ka mingit suvalist lemmiserverit.

Korras. Esimene etapp läbitud, net töötab.

RRDtool ja võrgugraafik

2007-01-31T09:43:31Z

Triinu:

Paigaldame snmpd teenuse serverisse

cd /usr/ports/net-mgmt/net-snmp4
make install
This port has installed the following startup scripts which may cause
these network services to be started at boot time.
/usr/local/etc/rc.d/snmpd.sh

Lisame rc.conf’i nagu õpetatakse read snmpd boodil startimiseks

snmpd_enable="YES"
snmpd_flags="-as -p /var/run/snmpd.pid"
snmptrapd_enable="YES"
snmptrapd_flags="-as -p /var/run/snmptrapd.pid"

Loome snmp.conf’i /usr/local/share/snmp/snmpd.conf

syscontact jj
sysservices 76

rocommunity public 127.0.0.1
rocommunity avalik localhost

agentaddress 127.0.0.1

Installime rrdtool’i ehk programmi, mis hakkab meile graafikuid joonistama

pkg_add -r rrdtool v cd /usr/ports/net/rrdtool && make install clean

Teeme serverile reboodi, peale starti on snmp meil töötavana olemas

Testime snmp’d

snmpwalk -v 1 -c public localhost .1.3 käsul

Loome rrdtool’i jaoks andmefaili, kuhu ta hakkab liiklusekohta infot kirjutama, selleks käivitame käsu

rrdtool create liiklus.rrd --step 60 DS:in:COUNTER:60:0:U DS:out:COUNTER:60:0:U RRA:AVERAGE:0.5:1:1440 RRA:AVERAGE:0.5:30:336 RRA:AVERAGE:0.5:120:336 RRA:AVERAGE:0.5:1440:17280

mis tekitab meile faili liiklus.rrd

Võtame ja paigaldame nüüd kaks skripti vastavalt siis g.sh, mis kogub snmp käest info ning kirjutab selle faili liiklus.rrd ning liiklus.sh, mis andmetest loob graafiku.

Kohandame graafikuskriptis failirajad ning võrgukaardi numbri vastavalt endale parajaks. Selleks vaatame skripti liiklus.sh

#!/bin/sh

sin=`/usr/local/bin/snmpget -v2c -c avalik -Oqv localhost IF-MIB::ifInOctets.3`
sout=`/usr/local/bin/snmpget -v2c -c avalik -Oqv localhost IF-MIB::ifOutOctets.3`

echo Snmp in : $sin
echo Snmp out: $sout

/usr/local/bin/rrdupdate /home/kasutaja/rrdtool/liiklus.rrd N:$sin:$sout

kus kaks rida
pööra tähelepanu ridadele sin ja sout :) ehk siis sisse ja välja data vastavalt

sin=`/usr/local/bin/snmpget -v2c -c avalik -Oqv localhost IF-MIB::ifInOctets.3`
sout=`/usr/local/bin/snmpget -v2c -c avalik -Oqv localhost IF-MIB::ifOutOctets.3`

number kolm (ifInOctets.3) tähistab siis võrgukaardi numbrit. Et teada saada, mis number oleks õige, kirjutame käsu

snmpwalk -v 1 -c public localhost | more

ning siis kerid alla kuni leiab read

IF-MIB::ifDescr.1 = STRING: fxp0
IF-MIB::ifDescr.2 = STRING: fxp1

ifDescr.1 on siis väline ja ifDescr.2 sisemine kaart

Nüüd paigaldame skripti g.sh, mis loob info järgi rrdtool’i andmefailis graafiku

#!/bin/sh
/usr/local/bin/rrdtool graph /home/kasutaja/public_html/g-p2ev.png -a PNG -A -w 800 -h 300 -s -24h -v "Liiklus" \
'DEF:in=/home/kasutaja/rrdtool/liiklus.rrd:in:AVERAGE' \
'DEF:out=/home/kasutaja/rrdtool/liiklus.rrd:out:AVERAGE' \
'CDEF:kbin=in,1024,/' \
'CDEF:kbout=out,1024,/' \
'CDEF:outg=out,-1,/' \
'CDEF:background=in,POP,LTIME,7200,%,3600,LE,INF,UNKN,IF' \
'CDEF:backgroundN=background,-1,*' \
'AREA:background#F3F3F3' \
'AREA:backgroundN#F3F3F3' \
'HRULE:262144#FF0000' \
'HRULE:131072#FF0000' \
'HRULE:32768#FF0000' \
'HRULE:-32768#FF0000' \
'HRULE:-131072#FF0000' \
'HRULE:-262144#FF0000' \
'AREA:in#91ACF1' \
'AREA:outg#FF9090' \
'LINE1:in#767676' \
'LINE1:outg#767676' \
'GPRINT:kbin:LAST:Viimati sisse \: %3.2lf KB' \
'GPRINT:kbout:LAST:Viimati välja \: %3.2lf KB\j' \
'GPRINT:kbin:AVERAGE:Keskmiselt sisse\: %3.2lf KB' \
'GPRINT:kbout:AVERAGE:Keskmiselt välja\: %3.2lf KB\j'

/usr/local/bin/rrdtool graph /home/kasutaja/public_html/g-n2dal.png -a PNG -A -w 800 -h 300 -s -168h -v "Liiklus" \
'DEF:in=/home/kasutaja/liiklus.rrd:in:AVERAGE' \
'DEF:out=/home/kasutaja/liiklus.rrd:out:AVERAGE' \
'CDEF:kbin=in,1024,/' \
'CDEF:kbout=out,1024,/' \
'CDEF:outg=out,-1,/' \
'CDEF:background=in,POP,LTIME,172800,%,86400,LE,INF,UNKN,IF' \
'CDEF:backgroundN=background,-1,*' \
'AREA:background#F3F3F3' \
'AREA:backgroundN#F3F3F3' \
'HRULE:262144#FF0000' \
'HRULE:131072#FF0000' \
'HRULE:32768#FF0000' \
'HRULE:-32768#FF0000' \
'HRULE:-131072#FF0000' \
'HRULE:-262144#FF0000' \
'AREA:in#91ACF1' \
'AREA:outg#FF9090' \
'LINE1:in#767676' \
'LINE1:outg#767676' \
'GPRINT:kbin:LAST:Viimati sisse \: %3.2lf KB' \
'GPRINT:kbout:LAST:Viimati välja \: %3.2lf KB\j' \
'GPRINT:kbin:AVERAGE:Keskmiselt sisse\: %3.2lf KB' \
'GPRINT:kbout:AVERAGE:Keskmiselt välja\:%3.2lf KB\j'

/usr/local/bin/rrdtool graph /home/kasutaja/public_html/g-kuu.png -a PNG -A -w 800 -h 300 -s -672h -v "Liiklus" \
'DEF:in=/home/kasutjaa/liiklus.rrd:in:AVERAGE' \
'DEF:out=/home/kasutaja/liiklus.rrd:out:AVERAGE' \
'CDEF:kbin=in,1024,/' \
'CDEF:kbout=out,1024,/' \
'CDEF:outg=out,-1,/' \
'CDEF:background=in,POP,LTIME,1209600,%,604800,LE,INF,UNKN,IF' \
'CDEF:backgroundN=background,-1,*' \
'AREA:background#F3F3F3' \
'AREA:backgroundN#F3F3F3' \
'HRULE:262144#FF0000' \
'HRULE:131072#FF0000' \
'HRULE:32768#FF0000' \
'HRULE:-32768#FF0000' \
'HRULE:-131072#FF0000' \
'HRULE:-262144#FF0000' \
'AREA:in#91ACF1' \
'AREA:outg#FF9090' \
'LINE1:in#767676' \
'LINE1:outg#767676' \
'GPRINT:kbin:LAST:Viimati sisse \: %3.2lf KB' \
'GPRINT:kbout:LAST:Viimati välja \: %3.2lf KB\j' \
'GPRINT:kbin:AVERAGE:Keskmiselt sisse\: %3.2lf KB' \
'GPRINT:kbout:AVERAGE:Keskmiselt välja\:%3.2lf KB\j'

/usr/local/bin/rrdtool graph /home/kasutaja/public_html/g-aasta.png -a PNG -A -w 800 -h 300 -s -8064h -v "Liiklus" \
'DEF:in=/home/kasutaja/liiklus.rrd:in:AVERAGE' \
'DEF:out=/home/kasutaja/liiklus.rrd:out:AVERAGE' \
'CDEF:kbin=in,1024,/' \
'CDEF:kbout=out,1024,/' \
'CDEF:outg=out,-1,/' \
'HRULE:262144#FF0000' \
'HRULE:131072#FF0000' \
'HRULE:32768#FF0000' \
'HRULE:-32768#FF0000' \
'HRULE:-131072#FF0000' \
'HRULE:-262144#FF0000' \
'AREA:in#91ACF1' \
'AREA:outg#FF9090' \
'LINE1:in#767676' \
'LINE1:outg#767676' \
'GPRINT:kbin:LAST:Viimati sisse \: %3.2lf KB' \
'GPRINT:kbout:LAST:Viimati välja \: %3.2lf KB\j' \
'GPRINT:kbin:AVERAGE:Keskmiselt sisse\: %3.2lf KB' \
'GPRINT:kbout:AVERAGE:Keskmiselt välja\:%3.2lf KB\j'

Muudame vastavalt leiduvad rajad failis õigeks. Rajad, mida vaja muuta on

/usr/local/bin/rrdtool graph /home/kasutaja/public_html/g-p2ev.png -a PNG -A -w 800 -h 300 -s -24h -v "Liiklus" \
'DEF:in=/home/kasutaja/rrdtool/liiklus.rrd:in:AVERAGE' \
'DEF:out=/home/kasutaja/rrdtool/liiklus.rrd:out:AVERAGE' \

Esimene on graafikupildi asukoht ja kaks teist on liiklus.rrd ehk rrdtooli andmebaasifaili asukoht.

Lisame cron’i graafikuloomis skriptide käivitamise, avame /etc/crontab, lisame read

*/1 * * * * root /usr/home/kasutaja/liiklus.sh > /dev/null
*/5 * * * * root /usr/home/kasutaja/g.sh > /dev/null

Nagu näha, küsime snmp’ga infot ja lisame rrdtool’i andmebaasi seda iga minut, aga graafikud joonistame iga 5 minuti järel. Praegu on see halb, et korraga loome iga kord päeva, kuu, nädala ja aasta graafiku. Võib näiteks g.sh lüüa lahti kolmeks skriptiks, mida omakorda gron käivitab vastavalt kord päev, kord nädalas, kord aastas ;)

Tulemuseks saame neli pilti. Toome esile siin päevagraafiku.

[[Image:g-p2ev.png]]

Loome mingi html faili, mis näitab tekitatud pilte

Kogu edasine info netis http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/

FreeBSD jail

2007-01-31T09:35:56Z

Triinu:

'''jail kiirelt ja mustalt'''

Minu arvuti ip on 172.17.0.183, jaili ip hakkab olema 172.17.0.184 ning jaili enda asukoht /usr/jail/jail1.

Esimesena kompileerime kokku süsteemi source ...eeldusel ,et see on olemas

cd /usr/src && make buildworld

nüüd loome väikese skripti, mis meisterdab meile soovitud kohta jaili valmis. jaili asukoht määratakse süsteemis muutuja D abil

#!/bin/sh
D=/usr/jail/jail1
cd /usr/src
mkdir -p $D
make installworld DESTDIR=$D
cd /usr/src/etc
make distribution DESTDIR=$D
mount_devfs devfs $D/dev
cd $D
ln -sf dev/null kernel

vajalik arvuti /etc/rc.confi lisada

ifconfig_fxp0="inet 172.17.0.183 netmask 255.255.255.0"
ifconfig_fxp0_alias0="inet 172.17.0.184 netmask 0xFFFFFFFF"

# make it not conflict with jail
inetd_flags="-wW -a 172.17.0.183"

# make syslog listen only on a local socket
syslogd_flags="-ss"

# rpcbind would conflict with jail
rpcbind_enable="NO"

# configure jail
jail_enable="YES"
jail_list="test"
jail_test_hostname="yhikas"
jail_test_ip="172.17.0.184"
jail_test_rootdir="/usr/jail/jail1"
jail_test_exec="/bin/sh /etc/rc"
jail_test_procfs_enable="Yes"

masina /etc/ssh/sshd_config lisame sellise konfi
Port 22
Protocol 2
ListenAddress 172.17.0.183
UseDNS no
Subsystem sftp /usr/libexec/sftp-server

jaili /etc/rc.conf

rpcbind_enable="NO"
network_interfaces=""
hostname="yhikas"
sshd_enable="YES"
sendmail_enable="NO"
syslogd_flags="-ss"
inetd_flags="-wW -a 172.17.0.184"

Jaili /etc/ssh/sshd_config

Port 22
Protocol 2
ListenAddress 172.17.0.184
UseDNS no
Subsystem sftp /usr/libexec/sftp-server

Jaili tyhi /etc/fstab
touch /mnt/jail/etc/fstab

Jaili /etc/resolv.conf kirjutame enda nimeserveri, mida kasutame, mina kirjutasin sinna kadri.ut.ee
echo "nameserver 193.40.5.94" >> /mnt/jail/etc/resolv.conf

ln -s /var/run/log /mnt/jail/dev/log

paneme jaili käima lähme sinna sisse
jail /usr/jail/jail1 test 172.17.0.184 /bin/sh

nüüd võib luua userid seada root kasutaja parooli

nüüd peale rebooti hakkab jail tööle

võib logida sinna enda kasutajanimega ssh abil

Kohtvõrgu kaitse

2007-01-31T09:26:10Z

Triinu:

===Kohtvõrk===

'''Kohtvõrguks''' (ingl. k. LAN - Local Area Network) nimetatakse sellist arvutivõrku, mis asub füüsiliselt piiratud alal ning mille võrguteenused on mõeldud kasutamiseks sama võrgu klientidele. Tüüpiliselt on kohtvõrgud ehitatud kasutades Etherneti tehnoloogiat, so arvutid on omavahel ühendatud koaksiaal- või keerupaari kaablitega. Kohtvõrk võib koosneda mitmest alamvõrgust, mis on omavahel ühendatud sobivate võrguseadmetega. Näiteks on koolimajasisene arvutivõrk kohtvõrk, serveriga on ühendatud kaks alamvõrku
___________________________
_|_ _|_ _|_ |
|___| ... |___||___| |
|
raamatukogu __|__
| | server
| |
|_____|
|
________________________|__
_|_ _|_ _|_
|___| ... |___||___|

arvutiklass

Koolimaja serveris asuvad kasutajate kodukataloogid, sealt kontollitakse, millist printerit saab keegi kasutada ja server korraldab kohalikele kasutajatele e-posti vahetamist.

===Kohtvõrgu ühendamine Internetti===

Hiljem või varem nõuavad süsteemi kasutajad, lisaks kohtvõrgu teenustele, võimalust kasutada Internetis pakutavaid teenuseid - veeb, e-post, FTP arhiivid ja kõikvõimalikud nendest tuletatud teenused, näiteks veebipank.

Tehniliselt on Internet ===laivõrk=== (ingl. k. WAN - Wide Area Network), koosnedes paljudest omavahel ühendatud kohtvõrkudest. Kohtvõrkude omavaheliseks ühendamiseks kasutatakse näiteks telefoniliine, raadiosidet, valguskaablit.

Ühendades kohtvõrgu Internetti, saab lisaks väliste teenuste kasutamisele hakata kohtvõrgu seest pakkuma ka teistele, sh oma kasutajatele, väljapoole teenuseid, näiteks kohalik veebiserver ja e-post. Skeem kujutab Internetti ühendatud kohtvõrku
.. ^^ -- - )
(( INTERNET )))
( . . . )
( .,, ..-.-. )
|
|
|
|
|
________________|__________
_|_ _|_ _|_ |
|___| ... |___||___| |
|
raamatukogu __|__
| | server
| |
|_____|
|
________________________|__
_|_ _|_ _|_
|___| ... |___||___|

arvutiklass

Toodud skeem toimib, kuid allpool näeme, miks see ei ole alati parim lahendus.

Kohtvõrgu ühendamisest Internetti tulenevad turvaprobleemid, nimelt kujutab Internet potensiaalselt ohtu kohtvõrgule ja vastupidi. Mõlemad vajavad kaitset.
Kohtvõrku ja selle kasutajaid tuleb kaitsta võimalike väljast-sisse tulevate rünnakute eest. Internetti tuleb kaitsta võimalike seest-välja minevate rünnakute eest. Kohtvõrku tuleb kaitsta seestpoolt tulevate selle sama kohtvõrgu ja tema kasutajate vastu suunatud rünnakute eest.

Töötavas süsteemis peab lisaks nimetatud kaitsete realiseerimisele jääma kasutajatele võimalus süsteemi tarvitada. Mida turvalisem on süsteem, seda ebamugavam on ta reeglina kasutaja jaoks. Oskuslikul konfigureerimisel tunnevad kasutajad end suhteliselt normaalselt ning ka süsteem on suhteliselt turvaline. Sõltuvalt pakutavatest ja tarvitatavatest teenustest võib olla selle saavutamine lihtsam või keerulisem.

===Rünnakud===

Tänapäeval on tundlikku informatsiooni sisalduvad serverid piisavalt hästi kaitstud ja seega on põhiline ründaja motivatsioon sportlik huvi või lihsalt soov segadust tekitada. Eristakse kolme rünnaku eesmärki, üks võib tuua kaasa teise

===sissetung'' - tulemusena saab ründaja süsteemi kasutaja või administraatori õigused ning kontrollib süsteemi

===DoS=== (ingl. k. Denial of Service) - näiteks "uputab" keegi teie süsteemi saates sinna suurtes kogustes e-posti; tulemusena ei saa ründaja küll midagi olulist kätte, va süsteemi töö halvamine

===info vargus=== - näiteks ühendatakse andmeliinile füüsiliselt külge pealtkuulamisseade, so vastavalt konfigureeritud arvuti, ning salvestatakse kõik või teatud tunnustega andmed; tüüpiliselt kasutatakse saadud andmeid edasiseks sissetungiks

Kõige primitiivsemaks sissetungi mooduseks on püüda aimata ära mõne süsteemi legaalse kasutaja kasutajanimi ja parool ning sisse logida. Teine populaarne sissetungi viis on kasutada ära mõne kohtvõrgu avaliku serveri programmivigu, mida tõenäoliselt igasugune tarkvara sisaldab. Näiteks e-posti serverina kasutatav programm Sendmail peab tavaliselt olema nõus suhtlema igasuguste "külalistega". Sendmail võimaldab kliendil anda protokolliga ettenähtud korraldusi ning seejärel täidab neid. Eeldatavasti ei kujuta see ohtu süsteemile ja äärmisel juhul lihtsalt toimib DoS-ina. Teatud puhkudel saab serveri protokolli ja selle realiseerimise piiril tegutsedes keelitada süsteemi tegema midagi, mida ta teha ei tohiks. Näiteks saatma e-postiga välja kohaliku süsteemi kasutajate paroolifaili. Seda omades on aga sissetungijal juba hõlpsam edasi tegutseda.

Kõige raskem on süsteemi kaitsta seestpoolt tulevate rünnakute eest, mis on ka kõige sagedasemad. Süsteemi on seestpoolt rünnata lihsam juba seetõttu, et ollakse süsteemi kasutaja ning omatakse ligipääsu, sh füüsilist ligipääsu. Tegemist võib olla tõeliselt pahatahtlike kohalike kasutajatega või lihtsalt teadmatusega. Näiteks valivad kasutajad endale liiga kergesti äraaimatava parooli või ei hoia seda endateada.

===Kaitse===

Kaitse eemärk on väärata väljast sisse tulevad nii serveri kui üksikute kohtvõrgu arvutite vastu suunatud rünnakud. Samuti kaitsta seest lähtuvate võimalike rünnakute eest kohalikke ja väljaspool asuvaid masinaid.

Kasutades eelmisel skeemil toodud arvutite paigutust, tuleks vähemalt kõiki raamatukogu arvuteid ja serverit eraldi kindlustada. See vastab ===masina taseme kaitsele=== (ingl. k. host-level security) ja on suheliselt töömahukas.

Kasutades samu riistvaralisi vahendeid saab kaitse realiseerimist oluliselt lihtsustada, paigutades kohtvõrgu arvutid selliselt

.. ^^ -- - )
(( INTERNET )))
( . . . )
( .,, ..-.-. )
|
_|__
| | server
| |
|____|
| |__________________________
| _|_ _|_ _|_
| |___| ... |___||___|
__________________|
_|_ _|_ _|_ raamatukogu
|___| ... |___||___|

arvutiklass

Antud juhul liiguvad andmed kohtvõrgu arvutite ja välismaailma vahel mõlemas suunas läbi ühe sõlmpunkti (ingl. k. choke point), so antud juhul serveri. Kuna sõlmpunktiks olev arvuti saab seda liiklust kontrollida ja otsustada milliseid ühendusi lubatakse, siis selliselt tööle seatud arvutit nimetatakse tulemüüriks. Selline skeem vastab võrgutaseme kaitsele (ingl. k. network-level security), kuivõrd ühe arvutiga on kaitstud terve arvutivõrk, antud juhul isegi kaks.

Ennekõike peab tulemüür olema ise võimalikult raskesti sissetungitav. Näiteks kui pahalane on saanud haarata tulemüüris juurkasutaja õigused, saab ta antud juhul kuulata pealt kõike alamvõrkudes toimuvat.

Kaitse algab sellest, et teadvustatakse endale ohud ning otsustatakse kuidas neile vastu seista. Kaitse peab muuseas võimaldama võimalikult vara aru saada, et keegi tunneb teie süsteemi vastu kahtlast huvi. Näiteks saab enamuse serverid konfigureerida nii, et nad logivad teatud tunnustega pöördumisi.

===Tulemüür===

Tulemüüri konfigureerimisel soovitatakse lähtuda sellest, et keelatud on kõik, va see, mis on lubatud. Näiteks soovides lubada välismaailmal külastada vaid veebiserverit, tuleb keelata kõik sissetulevad ühenduse loomise katsed ja lubada ligipääs ainult sellele pordile, millele vastab veebiserver.

Tulemüür töötab tavaliselt kahel tasemel:
võrgutase - kontrollitakse IP-pakettide liiklust, näiteks IP-filter
rakendustase - kontrollitakse erinevate rakenduste protokollide tasemel andmevahetust, näiteks vahendusservereid (ingl. k. Proxy)

===IP filter===

Tüüpiliselt kasutatakse tulemüüris andmete liikumise kontrollimiseks IP-filtrit. IP-filtri abil saab hõlpsasti reguleerida IP-pakettide liiklust vastavalt IP-paketi päises olevate andmetele, näiteks lähte- ja sihtaadressi ja vastavate portide järgi.

IP-filtri kasutamise eelised on:
ühte kohta saab luua sõlmpunkti, mis reguleerib liiklust kahe või enama alamvõrgu vahel, näiteks kahe alamvõrgu ja Interneti vahel
tulemüür on kasutajale nähtamatu - kui vastavaid pakette lubatakse läbi, siis ühendus toimub, kui mitte, siis ühendust ei toimu; kasutaja ei pea omama tööjaamas spetsiaalset tarkvara ega tarvitama standardset tarkvara erilisel viisil.

IP-filtri kasutamise puuduseks on see, et kuna filter toimib nii madalal tasemel (IP-tasemel), siis on raske kontrollida mis sisuga ühendusi peetakse. Logimisel ei saa olulist infot.

===Vahendusserver===

Äärmuslikul juhul saab rakendada tulemüüris IP-filtrit selliselt, et IP-paketid ei saagi otse tulemüürist läbi. Tulemüür eraldab kohtvõrgud Internetist. Et siiski kohtvõrgu kliendid saaksid väliseid teenuseid pruukida, kasutatakse tulemüüris vahendusserverid, mis on olemas enamusele olulistele teenustele.

Kui klient soovib näiteks külastada välist veebiserverit, siis esitab ta vastava päringu HTTP vahendusserverile ning too võtab omakorda ühendust välise veebiserveriga. Väline veebiserver saadab andmed vahendusserverile ning too omakorda kliendile.
klient server
____ ____
| | | |
|____| |____|

\ /
\ /
\ /
\ /
\ /
____
tulemüür | | HTTP vahendusserver
|____|

Kliendile jääb illusioon, et ta suhtleb otse välise severiga, kuid välisel serveril jääb mulje, et temaga suhtlevaks kliendiks ongi vahendusserver ise.

Nii toimivat vahendusserverit nimetatakse '''rakendustaseme vahendusserveriks''' (ingl. k. application-level proxy) ning tema eeliseks on, et lisaks vahendustegevusele on võimalik tulemüüris sekkuda andmevahetusse, sh logida suhteliselt põhjalikult, kuna tegutsetakse kõrgel tasemel (protokolli tasemel).

Tavaliselt saab rakendustaseme vahendusserveri kasutamisel tarvitada neid samu klientprogramme, mida tavaliselt, kuid nad tuleb vastavalt konfigureerida või kasutamise käigus näidata, millise vahendusserveri kaudu toimetatakse (ingl. k. custom user procedures for proxying). Näiteks tuleb Lynxi jaoks väärtustada keskkonnamuutuja HTTP_PROXY masina nime ja pordi numbriga, kus HTTP vahendusserver töötab.

Praktiliselt võimaldavad vahendusserverid andmeid ka ladustada. Näiteks kui üks klient esitab HTTP vahendusserverile päringu, siis ta saadab talle vastuseks soovitud andmed ning salvestab need teatud ajaks ka endale lattu. Kui tuleb järgmine päring samale aadressile ning vahepeal pole möödunud liiga palju aega, siis ei pruugi vahendusserver enam neile andmetele uuesti järele minna, vaid annab pärijale andmed oma laost.

Samba installeerimine

2007-01-31T09:13:11Z

Triinu: /* Installeerimine */

===Tarkvara hankimine===

Samba tuleb kaasa enamuse levinud Linuxi distributsioonidega. Soovides seda ise kompileerida, tuleb külastada Samba veebikohta ning kopeerida sealt sobiv lähtetekstide komplekt.

===Installeerimine===

Kasutades oma distributsiooni pakette, ei tule teil midagi kompileerida, vaid ainult lahti pakkida. Soovides ise kompileerida, peab teil olema C kompilaator ja muud vahendid. Lühidalt sama varustus, mis Linuxi tuuma tegemiseks, lisaks ka tuuma include failid. Vajalikud juhtnöörid on lisatud lähtetekstide juurde.

Tüüpiliselt piisab peale tarkvara lähtetekstide lahtipakkimist käskudest
bash# ./configure --prefix=/usr/local/samba
bash# make
bash# make install

Antud juhul installeeritakse kõik sambat puudutav kataloogi /usr/local/samba alla. Näiteks serverid smbd ja nmbd ning smbclient pannakse kataloogi /usr/local/samba/bin, mida ilmselt ei ole vaikimisi tee peal ja seda asjaolu peab arvestama.

Kuna Samba on suhteliselt populaarne, et mitte öelda standardne, siis on tõenäoliselt teie süsteemi teenustefailis /etc/services juba olemas read
netbios-ns 137/tcp nbns
netbios-ns 137/udp nbns
netbios-dgm 138/tcp nbdgm
netbios-dgm 138/udp nbdgm
netbios-ssn 139/tcp nbssn

© EENet 2000

Apache'i veebiserver

2007-01-26T14:16:09Z

Triinu: /* Nimepõhised virtuaalveebiserverid */

===Veebiserveri konfigureerimine ja käivitamine===

Veebiserveri tööd juhib üks konfiguratsioonifail httpd.conf. Sellesse kirjutatake parameetrid üks reale, kusjuures # märgiga algavaid ridu ignoreeritakse. Ridu saab jätkata sisestades kurakallu (\) viimase sümbolina eelmisele reale, tegelikult eelviimasena, viimane on reavahetus :)

Lihtsal juhul võiks olla konfiguratsioonifail selline

User nobody
Group nobody
ServerType standalone
ServerName www.zoo.tartu.ee
ServerRoot "/usr/local/apache"
DocumentRoot "/html"
DirectoryIndex index.html
ErrorLog /var/log/apache/error.log
Listen 80
Options None
<Directory />
AllowOverride None
</Directory>

kus on kasutatud järgmisi direktiive

* User - kasutaja, kelle õigustes veebiserver töötab
* Group - grupp, kelle õigustes veebiserver töötab
* ServerType - serveri tüüp, tavaliselt standalone, so mitte inetd abil käivitatav
* ServerName - millise nime server arvab endal olevat
* ServerRoot - kataloog, mille all serveri programmid asuvad
* DocumentRoot - veebifailid, mida külastajaile serveeritakse
* DirectoryIndex - faili nimi, mis brauserisse saadetakse, kui ta küsib kataloogi eeldusel, et sellenimeline fail kataloogis leidub
* ErrorLog - fail, kuhu saadetakse veateated; kataloog, kus see fail asub peab olema kindlasti olemas!
* Listen - port, millel veebiserver ootab päringuid, kõigil võrguseadmetel
* Options - väärtus None tagab, et külastajale näidatakse vaid neid veebilehti, mida ta nimeliselt küsib.

Reeglina on veebiserverina töötaval arvutil nö tavaline nimi, näiteks kalake.zoo.tartu.ee ning nimeserveris on talle defineeritud lisaks ka mõned hüüdnimed (CNAMEga). Tavaliselt kasutatakse veebiserveri nime alguses kombinatsiooni www, kokku saab antud juhul www.zoo.tartu.ee, kuid veebiserveri nimi ei pea sugugi algama www-ga olles näiteks see sama kalake.zoo.tartu.ee.

Konfiguratsioonifailis kasutatud kataloogid peavad süsteemis leiduma, toodud näites peavad nad kuuluma lähtudes turvakaalutlustest juurkasutajale; samuti nendest kataloogidest ülevalpool asuvad kataloogid.

Reeglina on süsteemis vaikimisi olemas mitteprivilegeeritud kasutaja nobody grupiga nobody. Võib kasutada seda või luua spetsiaalne kasutaja, näiteks apache grupiga veeb. Veebiserveri mittekäivitumise põhjuseks on tihtipeale vastavate kasutajate puudumine süsteemis.

Näidates võrguseadme nime, vastatakse ainult sellelt seadmelt tulevaile päringutele, näiteks 'Listen 193.40.10.1 80'.

===Sektsioon===

<Directory />
AllowOverride None
</Directory>

tähendab, et kataloogides pole täiendavate vahenditega õigust veebiserveri konfiguratsiooni täpsustada.

Kuigi teatud parameetrite järjekord konfiguratsioonifailis ei ole tähtis, jääb kehtima parameetrile viimasena omistatud väärtus.
Käivitamine

Veebiserver käivitatakse ja peatatakse käsuga apachectl

bash# apachectl start

Peatamine toimub käsuga stop

bash# apachectl stop

Peale konfiguratsioonifaili muutmist kehtestuvad muutused serveri taaskäivitamisel soovitavalt käsuga graceful, või restart

bash# apachectl graceful

Veebiserver tuleb käivitada juurkasutajaõigustes, kuid ta töötab konfiguratsioonifailis näidatud User ja Group kasutajana. See tähendab, et failisüsteemi osad, mida soovitakse veebi näidata peavad olema vastavatele UNIXi kasutajatele nähtavad. Tavaliselt on nende failide kasutajagrupile other antud lugemisõigus.

Töötavast veebiserverist annab tunnistust see, kui süsteemi protsessitabelis on httpd deemoni nimi, isegi mitu

bash# ps auxw | grep httpd
root 30692 0.0 5.4 4236 3288 ?? Ss 4:39PM 0:00.16 /usr/local/apache/bin/httpd
nobody 30840 0.0 5.5 4272 3324 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30841 0.0 5.5 4272 3324 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30842 0.0 5.5 4272 3324 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30843 0.0 5.4 4248 3296 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30844 0.0 5.4 4248 3296 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30845 0.0 5.4 4256 3300 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd

Aga veel parem kinnitus on, kui olemaks näitega kooskõlas päring http://www.zoo.edu.ee näitab veebilehte, so faili /html/index.html. Samuti saab antud näite rakendamisel näha kasutajate kodulehti eeldusel, et nad asuvad kataloogide ~/public_html all.

Kui veebiserveri käivitamisel ilmneb raskusi, siis tasub uurida vealogi (/var/log/apache/error.log) sisu.
Automaatne käivitamine

===Veebiressursside kasutusõigus===

Veebiserveri konfigureerimisel on väga oluline näidata, mida vastuseks külastaja päringule tohib teha või saata või kas üldse külastajat teenindada.

===Direktiiv Option===

Direktiivi Options abil saab määratleda, mida kataloogis leiduvate failidega lubatakse teha. Näiteks määrates minimaalsed õigused parameetriga None, saab kataloogis sisalduvate failide poole pöörduda vaid nimeliselt; failide nimekirja ei näidata.

Options None

===Muud võimalused:===

* FollowSymLinks - kui brauser esitatud päringus on failinimi viide, siis seda järgitakse vaatamata, kas viidatav fail kuulub samale kasutajale kui
viide
* SymLinksIfOwnerMatch - kui brauser esitatud päringus on failinimi viide, siis seda järgitakse juhul, kas viidatav fail kuulub samale kasutajale
kellele viide
* Indexes - näidatakse serveri kataloogi failide nimekirja kui DirectoryIndexis näidatud faile ei leitud
* ExecCGI - CGI skriptide kasutamiseks
* Includes - SSI failide kasutamiseks
* IncludesNOEXEC - SSI failide kasutamiseks, va #exec ja CGI skriptide #include
* All - kõik eelnimetatu on lubatud

Korraga võib määratleda ka mitu parameetrit, eraldades nad üksteisest tühikuga.

Kui konfiguratsioonifailis kasutada mitmel Options direktiivi, jääb kehtima viimane. Lisades parameetri algusesse + või - märgi, lisatakse või eemaldatakse vastav toime. Näiteks kasutades direktiive

Options Indexes Includes FollowSymLinks
Options -FollowSymLinks

on toime samaväärne avaldisega

Options Indexes Includes

Direktiivi Options vaikeväärtus on All.

===Direktiivid Allow, Deny ja Order===

Direktiividega Allow, Deny ning Order abil saab kehtestada, millistelt domeenidelt tulevaid päringuid teenidatakse. Orderi abil seatakse, millises järjekorras kontroll toimub, kusjuures rakendatakse viimast reeglit, millega külastaja domeeninimi klapib. Kui ükski reegel ei klapi, toimitakse vaikimisi nagu viimane Orderi parameeter näitab. Näiteks sellise sektsiooni puhul

Order Deny,Allow
Deny from all
Allow from zoo.tartu.ee

Päringut domeenist zoo.tartu.ee teenindatakse, esimene reegel (Deny) keelab kõik, kuid teine (Allow) lubab domeeni zoo.tartu.ee. Kui Order oleks vastupidi, siis lubaks esimene reegel (Allow) zoo.tartu.ee, kuid kehtima jääks viimane reegel (Deny). Reeglite järjekord failis ei loe, kuna selle määrab Order.

Järgmises näites on lubatud päringud vaid tartu.ee domeenist, va alamdomeen zoo.tartu.ee

Order Allow,Deny
Allow from tartu.ee
Deny from zoo.tartu.ee

Tõepoolest, päringut foo.tartu.ee domeenist teenindatakse kuna ta klapib esimese (Allow) reegliga, mis lubab ning teisega, mis keelab mitte. Päringuid muudest domeenidest keelatakse, kuna nad ei klapi kummagi reegliga ning vaikimisi rakendatakse viimast Orderi parameetrit - Deny.

Order, Deny ja Allow direktiive saab kasutada vaid direktiivi Directory sees ning Deny ja Allow tuleb eraldada ainult täpselt ühe komaga!

===Veebiressursside grupeerimisvahendid===

Veebiserveri kasutusõigust ning teisi omadusi reguleerivaid parameetreid saab grupeerida järgmiste direktiividega

* Directory - kataloogis ning selle alla jäävate alamkataloogides sisalduvate failide grupeerimiseks
* Files - faili nimede järgi failide grupeerimiseks
* Location - URLi ning selle alla jäävate URLide grupeerimiseks

Sellistele gruppidele saab rakendada korraga samu määratlusi, näiteks Option parameetriga.

===Directory direktiiv===

Directory abil saab määrata näidatud kataloogi alla jäävatele failidele ühesuguseid omadusi. Näiteks kehtestame, et kataloogi /html/veeb/kalamaja alla jäävates kataloogides käsitletakse DirectoryIndexina faile index.html ja index.htm

<Directory /html/veeb/kalamaja>
DirectoryIndex index.html index.htm
</Directory>

===Files direktiiv===

Sarnaselt Directory'le saab kehtestada näidatud regulaaravaldisega klappivate failinimedega failidele ühesuguseid omadusi. Näiteks kehtestame, et failides, mille nimi algab tähtedega "e_" ja lõpeb .html-ga, tohivad sisaldada Embperli konstruktsioone

<Files ~ "^e_.*\.html$">
Options +ExecCGI
SetHandler perl-script
PerlHandler HTML::Embperl
</Files>

===Location direktiiv===

Sarnaselt Directory direktiivile saab Locationiga kehtestada osale veebikohale samasuguseid omadusi. Location mõjub mitte kataloogistruktuuri, vaid URLi mõttes hulgale elementidele. Näiteks kehtestame, et URL'ist http://kalake.zoo.edu.ee/hobused edasi tohib näha kataloogide nimekirja

<Location /hobused>
Options Indexes
</Location>

Tavaliselt piisab Directory kasutamisest, kuid kuna veebiserveri kataloogi-ja URLihierarhia ei pruugi alati kokku langeda, siis on sellest vahel abi.

===Kataloogipõhine veebiserveri konfigureerimine===

Veebiserveri põhikonfiguratsioonifailis näidatud väärtusi saab iga kataloogi jaoks täpsustavalt määrata kataloogis sisalduva konfiguratsiooni .htaccess faili abil. Selle faili nimi on määratud põhikonfiguratsioonifailis direktiiviga AccessFileName, mis peab esinema Directory sees. Faili süntaks on sama, mis põhikonfiguratsioonifailil. Seda, milliseid omadusi on ludatud .htaccess failiga täpsustada, näitab põhikonfiguratsioonifailis direktiiv AllowOverride; järgmistele parameeritele vastab voli muuta toodud parameetreid

* AuthConfig - AuthGroupFile, AuthName, AuthType, AuthUserFile, Require jne
* FileInfo - AddEncoding, AddLanguage, AddType, DefaultType, ErrorDocument jne
* Indexes - DirectoryIndex, AddDescription, AddIcon, AddIconByEncoding, AddIconByType, DefaultIcon, DirectoryIndex, FancyIndexing, HeaderName,
IndexIgnore, IndexOptions, ReadmeName jne
* Limit - Order, Allow, Deny
* Options - Options, XBitHack
* None - mitte midagi
* All - kõik nimetatud

Vaikimisi toimib parameeter All. Kui ei soovita lasta kasutajatel veebiserverit konfigureerida, siis kasutage peale veebiserveri põhiosa direktiivi

AllowOverride None

.htaccess failis tohib kasutada direktiivi Files, aga ei saa kasutada Diectory või Location.

Tavaliselt on ohutu ning kasutajaile piisav

AllowOverride Indexes AuthConfig

===Alias===

Direktiiv Alias võimaldab muuta veebi failile kataloogistruktuuri vastavust URLi struktuurile. Näiteks olgu kataloogis /html/veeb/hobused/2000/tyrinaitus/ehola_talu failid ning soovime neile ligi pääseda URLiga http://www.zoo.tartu.ee/ehola_talu. Kasutame sellist Aliast

Alias /ehola_talu/ /html/veeb/hobused/2000/tyrinaitus/ehola_talu/

Antud juhul laheneb päring http://www.zoo.tartu.ee/ehola_talu/, kuid mitte http://www.zoo.tartu.ee/ehola_talu.

Lisaks saab Aliasega kaasata veebi faile ning katalooge, mis asuvad failisüsteemi mõttes väljaspool DocumentRootu.

Alias /valdek/ /html/valdek/veeb/

Aliase süntaks on järgmine

Alias URLi-tee kataloogi-tee

kus

* URLi-tee on osa URList, mis jääb peale serverinimi osa, näiteks http://www.zoo.tartu.ee/ehola_talu/ puhul /ehola_talu/
* kataloogi-tee on vastava kataloogi nimi

Aliasi saab kasutada peakonfiguratsioonifailis või võrdväärsetes kohtades, näiteks VirtualHost sektsioonis. Aliaste kasutamisel tuleb tavaliselt kasutada kataloogi tee'le vastavaid Directory direktiive, muutmaks sobivaks veebiosa kasutusõigused. Aliased loetakse läbi enne Directory sektsioone.

Aliase kasutamisel tuleb tähele panna, et URLi tee asendatakse igal juhul kataloogiteega. Kas sel juhul, kui päring on pikem, kooskõlas kasutatud näitega päringu http://www.zoo.tartu.ee/ehola_talu/ratsahobused/piiker.html puhul esitatakse fail /html/veeb/hobused/2000/tyrinaitus/ehola_talu/ratsahobused/piiker.html.

Soovides teha paindlikumaid nö ümberkirjutusi, kasutage mod_rewrite'i võimalusi.

===CGI===

CGI kasutamiseks lisage konfiguratsioonifaili rida

AddHandler cgi-script .cgi .pl

Tulemusena püüab veebiserver käivitada kõiki serveeritavaid .cgi ja .pl lõpuliste nimedega faile, eeldusel, et failile rakendub Optioni parameeter ExecCGI. Käivitamisel tekkiv programmiväljund saadetakse brauserisse, kusjuures see peab algama tuntud Content-type'iga, näiteks text/html. Seda võib teha näiteks Directory abil; kehtestame, et kõikjal veebi faile sisaldavas kataloogis /html/veeb/suhtleja ja selle all asuvad .cgi ja .pl lõpuliste nimedega failid on käivitatavad

<Directory /suhtleja>
Options ExecCGI
</Directory>

Soovides näidata, et vaatamata failinimele tuleb käsitleda faili CGI skriptina, kasutage ScriptAlias direktiivi. Tüüpiliselt määratletakse URLi http://kalake.zoo.tartu.ee/cgi-bin/'le vastavad failid skriptideks

ScriptAlias /cgi-bin/ /html/veeb/cgi-bin/

Tulemusena, näiteks päringu http://kalake.zoo.tartu.ee/cgi-bin/kasutajatenimikiri.sh puhul käivitatakse fail /html/veeb/cgi-bin/kasutajatenimekiri.sh.

===SSI===

SSI (Server Sides Includes) tehnika võimaldab sisestada brauseri päringus nõutud faili koosseisu muude failide sisu.

SSI kasutamiseks lisage konfiguratsioonifaili rida

AddType text/html .shtml
AddHandler server-parsed .shtml

ning näidake näiteks direktiivide Directory ja Options parameetri Includes abil, milliseid faile tohib server käsitleda SSIdena. Näiteks kehtestame, et kataloogi /html/veeb/uudised all kasutatakse SSId

<Directory /html/veeb/uudised<>
Options IncludesNOEXEC
</Directory>

Tulemusena saab failides, mille nime lõpus on .shtml, kasutada SSI konstruktsioone, va #exec ja CGI skriptide #include.

===Embperl===

Embperl on tehnika, mis võimaldab sisestada HTML koodi sisse Perli konstruktsioone. Selle võimaluse kasutamiseks lisage konfiguratsioonifaili

<Files ~ "\.html$">
Options ExecCGI
SetHandler perl-script
PerlHandler HTML::Embperl
</Files>

Tulmusena lahendab veebiserver failides, mille nime lõpetab .html sisalduva Perli koodi.

Muuseas, Embperli rakendamisel on veebiserver ka tavalise HTML süntaksi osas oluliselt rangem. Tüüpiliselt ei meeldi talle [# jne järgnevused, mida kasutatakse Embperli skriptide tähistamiseks. Et neid sümboleid siiski kasutada saada, esitage neid a la &#kood;, näiteks <.

===PHP===

PHP on tehnika, mis võimaldab lisada HTML koodi sisse PHP keele konstruktsioone. Selle võimaluse kasutamiseks lisage konfiguratsioonifaili

AddType application/x-httpd-php .php

Veebiserverisse konfigureeritud PHP omadusi saab näha PHP skriptiga

<?
phpinfo();
?>

===Serveri kasutajate kodulehed===

Vaikimisi eeldab veebiserver, et näiteks URLile http://www.zoo.tartu.ee/~priit vastab süsteemi kasutaja priit kodukataloogis olev kataloog public_html. Selle kataloogi nime määrab direktiiv UserDir.

===Veebi kaitsmine parooliga===

Apache pakub vahendid veebistruktuuri kaitsmiseks parooliga. Konfiguratsioonifailis näidatakse ära, millist ressurssi kaitsta ning millist autentimissüsteemi kasutada.

Kõige lihtsamal juhul tuleb programmiga htpasswd genereerida lubatud külastajate paroolifail, milles on kirjas kasutajanimed ning vastavad paroolid. See fail on reeglina erinev süsteemi paroolifailist, kus veebiserver töötab. Kui külastaja püüab siseneda kaitstud veebi, avaneb dialoog ning küsitakse tema kasutajanime ning parooli. Sobiva paari sisestamisel lubatakse külastaja veebile ligi, kusjuures kõnealust veebi saab kasutada kuni brauseri sulgemiseni.

Näiteks kaitseme kataloogistruktuuri /html/salajane kirjeldatud paroolikontrolliga

<Directory /html/salajane>
AuthUserFile /usr/local/apache/conf/salajane.paroolifail
AuthType Basic
AuthName Salajane
require valid-user
</Directory>

kus on kasutatud direktiive:

* AuthUserFile - paroolifailinimi, /usr/local/apache/conf/salajane.paroolifail
* AuthType - millist tüüpi autentimisega on tegemist, antud juhul Basic
* AuthName - parameetri väärtust näidatakse aknas, kuhu kasutaja sisestab oma veebi kasutajanime ja parooli; sama veebi piires saab sama kasutajanimega
seostada erinevaid paroole, mistõttu peab külastaja saama teada, millist parooli konkreetsel juhul tarvitada
* require valid-user - sellele ressursile lastakse ligi vaid peale edukat autentimist

Sobiv paroolifail moodustatakse programmiga htpasswd

bash$ htpasswd -b -c -m salajane.paroolifail priit priiduparool

kus

1. -b kasutaja parooliks loetakse käsurea viimane sõna (priiduparool)
2. -c seda võtit tuleb kasutada vaid siis, kui paroolifaili veel ei eksisteeri; edaspidi peab selle võtme ära jätma, sest muidu kustutatakse olemasoleva
paroolifaili sisu
3. -m kasutada MD5 krüptimist; jättes selle võtme kirjutamata tekitatakse CRYPT proolid
4. järgnevad paroolifaili nimi (salajane.paroolifail) ja kasutajanimi (priit)

Tundub, et peale Directory, saab autentimist kasutada ka Location sektsioonis, mis on veebi suhtes veel asjakohasem.

Paroolifail peab olema loetav sellele kasutajale, kelle õigustes veebiserver töötab (näiteks nobody) ning soovitavalt mitte olema veebiga samas kataloogistruktuuris.

===Logi===

Apache veebiserveriga saab logida tekstifaili erinevatel tingimustel toimunud päringuid ning neid logifaile automaatselt roteerida. Logida saab paraleelselt ka näidatud tingimustele erinevates formaatides erinevatesse failidesse.

Direktiiviga LogFormat kirjeldatakse mida logitakse. Tüüpiliselt defineeritakse formaat nimega tavaline

LogFormat "%h %l %u %t \"%r\" %>s %b" tavaline

kus

* %h - maisinanimi, kust päring esitati
* %l - kasutajanimi, kes päringu esitas eeldusel, et IdentityCheck tomib; tavaliselt see väli jääb tühjaks, kuna IdentityCheck'i kasutamine võtab
tublisti veebi kiirust alla
* %u - kui veebiserveri ressurss nõudis autentimist, siis kasutatud kasutajanimi
* %t - päringu esitamise aeg
* \"%r\" - jutumärkides esitatud päringu esimene rida
* %>s - päringule vastuse olek (ingl. k. status)
* %b - päringu vastuse maht baitides
* tavaline - logiformaadi nimi

Logimine ise toimub direktiiviga CustomLog, näiteks logime, kasutades logiformaati tavaline, faili /var/log/apache/tavaline.log

CustomLog /var/log/apache/tavaline.log tavaline

Soovides logifaili automaatselt roteerida, kasutage veebiserveriga kaasas olevat programmi rotatelogs. Näiteks moodustame iga nädal uue logi

CustomLog "|/usr/local/apache/bin/rotatelogs /var/log/apache/tavaline.log 604800" common

Logi faili nimi moodustatakse lisades failinime lõppu aja sekundites, mis on möödunud UNIXi ajastu algusest, so 1970. 1. jaanuar kell 00:00 hommikul.

===Vealogi===

Vealogisse salvestatakse serveri töös toimunud vead, sh näiteks päringud puuduvatele failidele. Logitaset saab reguleerida direktiiviga LogLevel, soovitatakse taset warn

LogLevel warn

Direktiiviga ErrorLog näidatakse, kuhu logi salvestada

ErrorLog /var/log/apache/error.log

Logianalüsaatorid

Apache veebiserveri logi analüüsiks sobib kasutada näiteks programmi Webalizer.

===Veebiserveri staatus ja info===

Eeldusel, et veebiserverisse on sissekompilleeritud vastavad moodulid võtmetega --enable-module=status ja --enable-moudule=info, saab näha veebiserveri konfiguratsiooni (info) ning parasjagu olevat seisu (status).

Näidates konfiguratsioonifailis direktiivi ExtendedStatus parameetriks "On", esitatakse staatus põhjalikumalt.

Nende veebiserveri omaduste nägemiseks peab sisalduma konfiguratsioonifailis kaks sektsiooni

URLi http://www.zoo.tartu.ee/status-info jaoks

<Location /server-info>
SetHandler server-info
Order deny,allow
Deny from all
Allow from .zoo.tartu.ee
</Location>

URLi http://www.zoo.tartu.ee/server-info jaoks

<Location /server-status>
SetHandler server-status
Order deny,allow
Deny from all
Allow from .zoo.tartu.ee
</Location>

Mõlemas sektsioonis on kasutatud Deny ja Allow direktiive, piiramaks nende URLide külastamise õigust. Kuigi sealt midagi väga salajast ei paista, on külastama lubatud vaid zoo.tart.ee domeeni masinastest.
Veebi-indekseerijad

Apache veebiserver ei sisalda indekseerimisvahendeid, so võimalusi luua serveeritavale veebile otsingumootorit. Küll aga sobib kasutada mõnda olemasolevat veebiindeksaatorit, näiteks Glimpse või HtDig.

Hoopis teine probleem on kuidas kontrollida, mida tohivad teha teised otsingumootorid (tuntud kui robotid või nuhid) teie veebi külastades. Tüüpiliselt tuleb neid kontrollida, kuna nad võivad täita avalikke andmebaase kiiresti vananeva infoga või ebasoovitavalt teie serverit koormata.

===URLi ümberkirjutamine===

Ümberkirjutamise kasutamiseks on vaja mod_rewrite'i toetus serverisse kompilleerida võtmega --enable-module=rewrite.

See tehnika võimaldab suunata serverisse tulevad päringud ümber, jäädes sama serveri piiridesse või välja. Ümbersuunamisi saab konfigureerida peakonfiguratsioonifailist või .htaccess failist.

Ümbersuunamisel saab kasutada tingimusi või teha seda juhuslikult.

Tõenäoliselt on võimalik järgnevalt näidetena toodud tegevusi korraldada ka muude vahenditega, URLi ümberkirjutamine mod_rewrite'ga on selleks üks käepärane vahend.

Ümberkirjutuste tegemiseks tuleb esmalt aktiviseerida ümberkirjutusmehhanism

RewriteEngine On

Ümberkirjutust ennast teostab direktiiv RewriteRule. Näiteks suuname kõik veebiserverisse kasutajale priit tulevad päringud (http://www.zoo.tartu.ee/~priit) aadressile http://www.priit.ee

RewriteRule ^/~priit.+ http://www.priit.ee

Direktiivi RewriteRule esimene argument on regulaaravaldis (^/~priit.+) ning kui sellega päring klapib, siis suunatakse brauser teise parameetriga näidatud URLile (http://www.priit.ee). Kasutaja brauseri Location real kirjutatakse URL paratamatult ümber.

Direktiivi süntaks on järmine

RewriteRule regulaaravaldis asendus [võtmed]

kus

* regulaararvaldisega kontrollitakse, kas URL klapib ümberkirjutamisreegliga, kusjuures URL on antud juhul see osa päringust, mis jääb paremale
http://www.zoo.tartu.ee'st, näite puhul /~priit.
* kui URL klappis, siis asendatakse URL asendusega 'asendus'
* lisaks on mõnel juhul oluline kasutada võtmeid, mis kontrollivad ümberkirjutamise peensusi

^ tähistab, et / peab olema URLi esimene sümbol ning peale priit 't' tähte võib tulla kuitahes palju mistahes sümboleid (.+). Muuseas, antud juhul suunatakse ümber näiteks päring http://www.zoo.tartu.ee/~priit-onvastmees.

Lubatud on kasutada järjest mitmeid asendusi, mil neid rakendatakse järjest, tulemuseks on viimane tehtud ümberkirjutus. Järgmise asenduse regulaaravaldist klapitatakse eelmise ümberkirjutamisel tehtud tulemusega.

Esitame näite sisemise ning välimise ümberkirjutamise kohta. Soovides vastuseks päringule http://www.zoo.tartu.ee/vana.html brauserisse saata lehe uus.html, kusjuures jättes brauseri Location reale esialgse teksti, so http://www.zoo.tartu.ee/vana.html, kasutage ümberkirjutamisreeglit

RewriteRule ^vana\.html$ uus.html

Sama, kuid brauseri Location real kajastub ümberkirjutus

RewriteRule ^vana\.html$ uus.html [R]

^vana\.html$ tähendab, et asendus toimub, kui päring oli täpselt vana.html, so algas v-ga (^) ja lõppes l-ga ($); punkt on regulaaravaldise erisümbol ja tuleb põgeda (\).

Kirjutades järjest mitu ümberkirjutusreeglit ning soovides, et ümberkirjutamine lõppeks antud reegliga, tuleb reegli lõppu lisada võti L (last).

RewriteRule ^/~priit.+ http://www.priit.ee [R,L]
RewriteRule ^/~nea.+ http://www.nea.ee [R,L]
RewriteRule ^/~inna.+ http://www.inna.ee [R,L]
RewriteRule ^/~mart.+ http://www.mart.ee [R,L]

Kui aga veebiserverit tõstetakse ühest masinast teise, oletame, et uus töötab, kuid kasutajate kodud on vanas, siis lisage uue konfi selline rida

RewriteRule ^/~(.+) http://vana.zoo.edu.ee/~$1 [R,L]

Siin on kasutatud regulaaravaldist koos asendamisega. $1 asendatakse tekstiga, mis klappis kasutatud regulaaravaldises avaldisega (.+). Praktiliselt näiteks

===Lisatingimuste kasutamine===

Direktiiv RewriteRule teostab ümberkirjutusi niikuinii tingimusi kasutades regulaaravaldise abil. Peale selle saab seada direktiiviga RewriteCond lisatingimusi. Näiteks sõltuvalt serveri kellaajast, saadetakse brauserile üks või teine veeb

RewriteEngine on
RewriteCond %{TIME_HOUR}%{TIME_MIN} >0700
RewriteCond %{TIME_HOUR}%{TIME_MIN} <1900
RewriteRule ^index\.html$ paev.html

RewriteRule ^index\.html$ oo.html

%{TIME_HOUR} asendatakse päringu sooritamise kellaaja tunniväärtusega. Oluline on kirjutada < ja 0700 järjest, kusjuues toimub leksikograafiline stringide, mitte arvude võrdlus.

Kui brauser esitab veebiserverile päringu päeval, siis toimub ümberkirjutus index.html -> paev, kuna esimese direktiivi RewriteRule regulaaravaldis klappis URLiga ning kõik eelnenud lisatingimused olid täidetud. Seejärel klapitatakse teist RewriteRule'i eelmise väljundiga, so paev.html - ei klapi ning midagi ei kirjutata ümber.

Lisatingimusi on sobiv kasutada ka brauserite eristamiseks.

RewriteCond %{HTTP_USER_AGENT} Mozilla/4*
RewriteRule ^leht.html$ leht.moz.html [L]

RewriteCond %{HTTP_USER_AGENT} Lynx.*
RewriteRule ^leht.html$ leht.lynx.html [L]

Sõltuvalt päringu tegija aadressist, saab esitada erinevat veebi.

RewriteCond %{REMOTE_ADDR} ^192.168.1.3$
RewriteRule ^leht.html$ 192.168.1.3.html [L]

===Ümberkirjutusalus===

Kui te tegutsete sügavamal URLi-struktuuri sees, kasutage RewriteRule'i juurika ümbernimetamiseks direktiivi RewriteBase. Näiteks kirjutatakse URL http://www.zoo.tartu.ee/~priit/lemmikud/hobused.html ümber URLiks http://www.zoo.tartu.ee/~priit/lemmikud/kabjaksed.html

RewriteBase /~priit/lemmikud
RewriteRule ^hobused.html$ kabjaksed.html

===Ümberkirjutustabel===

Esitatud päringu juhuslikult valitud URLile ümbersuunamiseks on sobiv kasutada direktiivi RewriteMap. RewriteMap pakub võimaluse salvestada tekstifaili hulga URLe, mille poole saab ümberkirjutusreeglist pöörduda. Näiteks loome olukorra, kus päringule http://www.zoo.tartu.ee/juhuslik vastatakse juhuslikult valitud veebilehega.

Kirjeldame tabelikirjeldusfailis vl.txt juhuslike veebilehtede nimed

bash# cat /usr/local/apache/vl.txt
veebilehed 1.html|2.html|3.html|4.html|5.html|6.html|7.html

ning lisame veebiserveri konfiguratsioonifaili read

RewriteMap vl rnd:/usr/local/apache/vl.txt
RewriteRule ^/juhus$ /home/html/juhus/${vl:veebilehed|html.html}

Ümberkirjutustabeli süntaks on selline

RewriteMap tablelinimi tabelitüüp:tabelikirjeldusfail

kus

* tabelinimi - on kooskõlas ümberkirjutusreeglis kasutatud nimega
* tabelitüüp - rnd (random) näitab et
* tabelikirjeldusfail - failis kirjeldatakse tabeli sisu, näiteks juhusliku puhul peab eraldama andmed |-ga (loogiline OR)

Ümberkirjutusreegli asenduses kasutatud muutujat ${vl:veebilehed|html.html} väärtustatakse ümberkirjutustabeli vl võtme veeblilehed abil. Kui sellist ümberkirjutustabelit mingil põhjusel pole, on muutuja väärtus html.html.

===Ümberkirjutuslogi===

Ümberkirjutamise tööleseadmisel ning toimuvate ümberkirjutuste jälgimiseks saab kasutada direktiive RewriteLog ja RewriteLogLevel

RewriteLogLevel 3
RewriteLog /var/log/apache/rewrite.log

===Veebiserveri konfiguratsioonifaili lugemine===

Lihtsamatel juhtudel pole see oluline, millises järjekorras veebiserver direktiivides esitatud reegleid kehtestab. Näiteks, kui konfiguratsioonifailis ei sisaldugi Location ja Files sektsioone, kuid soovides kasutada veebiseverit paindlikumalt, tuleb järjekorraga arvestada.

Direktiivide puhul ei hooli Apache suurtest ja väikestest tähtedest, kuid parameetrite puhul on see tihti oluline.

Eeldusel, et te paigutate kogu konfiguratsiooni ühte faili, sisalduvad seal kaks osa

* põhiosa - kirjeldatakse veebiserveri üldisi omadusi, näiteks millise kasutaja õigustes ta töötab
* ressursside määrangud - kehtestatakse reeglid, kuidas veebiserver faile serveerib, näiteks käsitleb .php lõpulisi faile PHP skriptidena

Üldosa direktiivide järjekord pole oluline, kui sama direktiiv on väärtustatud mitu korda, jääb kehtima viimane väärtus.

Kui ressursside omadusi määratakse grupeerimisvahendite abil, siis sõltumata konfigureerimisfailis esinemise järjekorrast, loetakse neid sellises järjekorras: Directory, Files, Location

Directory sees võivad olla kirjeldatud omakorda Files sektsioonid.

Directory sees on lubatud kasutada järgmisi direktiive:

* DirectoryIndex
* Options
* Order, Allow, Deny
* AllowOverride
* AddHandler
* AddType

Files sektsioonis on lubatud kasutada praktiliselt samasid direktiive, mida sektsioonis Directory eeldusel, et neid on mõistlik rakendada failidele. Ilmselt ei saa kasutada näiteks direktiivi DirectoryIndex, küll aga näiteks Allow ja Deny.

Location sektsioonis on lubatud kasutada praktiliselt samasid direktiive, mida sektsioonis Directory. Kuna Locationit rakedatakse kõige viimasena, siis ei saa seal näiteks kasutada Options direktiivi, küll aga näiteks Allow ja Deny'id.

===Veebiserveri turvalisus===

Veebiserveri kasutamisel arvestage, et iseenesest on veebiserver programm, mis teeb teie arvuti failid kättesaadavaks HTTP protokolli kasutavaile klientidele, so brauseritele.

Kuigi veebiserver tuleb käivitada juurkasutaja õigustes, toimetab ta edasi konfiguratsioonifailis näidatud kasutajana (User, Group direktiivid).

Siiski, kui te kasutate konfiguratsioonifailis teatud kohtades IO ümbersuunamist, näiteks logimise juures, siis seda teeb Apache juurkasutajana.

Vältimaks ebameeldivaid üllatusi, veenduge, et veebiserveri juurikas ning selle alla jäävad kataloogid on piisavalt kaitstud, so kasutajatel pole neisse kirjutamisõigust. Veebiserver (/usr/local/apache/bin/httpd) ja muud temaga seotud failid, näiteks rotatelogs, kuuluvad juurkasutajale ning on tavakasutajaile ning grupile others vaid käivitatavad. Tavaliselt piisab nende tingimuste täitmiseks anda käsud

bash# cd /usr/local/apache
bash# chown 0 bin conf logs
bash# chgrp 0 bin conf logs
bash# chmod 755 bin conf logs

bash# chown 0 /usr/local/apache/bin/httpd
bash# chgrp 0 /usr/local/apache/bin/httpd
bash# chmod 511 /usr/local/apache/bin/httpd

Lisaks, mõelge järele, kas te peate kasutajaile lubama käivitada CGI skripte ja andmebaase ning otsustage millistel tingimustel. Samuti kataloogipõhine veebiserveri konfigureerimisvõimalus. Näiteks lubage kasutajatel CGI skripte tarvida ainult kataloogist ~/public_html/cgi-bin

<Directory /usr/home/*/public_html/cgi-bin>
AddHandler cgi-script .cgi
Options +ExecCGI
</Directory>

Heal juhul saab veebiserveri tööleseadmise eel otsustada, milliste omadustega peab ta olema. Reeglina ei soovitata lihtsalt sisse kompileerida toetust, mida praktiliselt ei tarvitata. Näiteks, kui te olete kindel, et pole vajadust server-info ja server-status järele, siis jätke vastavad moodulid välja. Näidake seda Apache ./configure skripti juures vastavate võtmetega --disable-module=info --disable-module=status.

===Virtuaalveebiserverid===

Ühte ja sama Apache veebiserverit saab tööle seada nii, et ta serveerib erinevaid andmeid sõltuvalt sellest, millise nimega tema poole pöörduti. Asjakorraldust nimetatakse virtuaalseteks veebiserveriteks, kuna füüsiliselt on tegu ühe arvutiga, kuid külastajaile jäetakse mulje, et neid on mitu.

Virtuaalseid veebiservereid on kolme sorti:

* pordipõhised - sõltuvalt külastaja poolt kastatud pordist serveeritakse erinevat veebi
* IP-põhised - sõltuvalt külastaja poolt kasutatud IP-aadressist serveeritakse erinevat veebi
* nimepõhised - sõltuvalt külastaja poolt kasutatud DNSi nimest serveeritakse erinevat veebi; reeglina vastavad erinevad nimed samale IP-aadressile,
so on kirjeldatud CNAMEdena.

Põhimõtteliselt on võimalik kasutada neid virtuaalservereid ka kombineeritult korraga.

Erijuht virtuaalveebi serveerida, on käivitada mitu eksemplari httpd servereid, iga oma konfiguratsiooniga. Kuna see võimalus on suhteliselt ebaefektiivne ning ei paku olulisi täiendavaid võimalusi, siis seda me ei käsitle.

Virtuaalserveri sektsioonis (VirtualHost) saab kasutada paljusid direktiive, mida peaserveri puhul, sh direktiive Options, Alias, Directory, Location, Files. Samuti direktiive, mis reguleerivad SSI, CGI, PHP, Emperli, ümberkirjutamise ja logi kasutamist. Kui direktiivi ei näidata, kasutatakse põhikonfiguratsiooni väärtust, kui seal seda samuti pole, siis vaikeväärtust.

===Pordipõhised virtuaalveebiserverid===

Kasutamaks erinevaid veebiseveri konfiguratsioone sõltuvalt sellest, millisele pordile päring tuli, kasutage direktiive Listen ja VirtualHost. Näiteks teenindab veebiserveri konfiguratsioonifaili põhiosale vastav server kõiki päringuid, va neid, mis on suunatud aadressi 193.40.50.1 (www.zoo.edu.ee) pordile 8080 või pordile 8081. Viimast kahte teenindatakse vastavalt VirtualHosti sektsioonile. Näiteks seame lisaks põhiosale tööle kaks alternatiivset dokumendijuurikat ja logi

...
Listen 80
Listen 193.40.50.1:8080
Listen 193.40.50.1:8081
<VirtualHost 193.40.50.1:8080>
ServerAdmin mart@zoo.edu.ee
DocumentRoot /www/mardizoo
ErrorLog /var/logs/mardizoo.error.log
CustomLog /var/logs/mardizoo.log common
</VirtualHost>

<VirtualHost 193.40.50.1:8081>
ServerAdmin priit@zoo.edu.ee
DocumentRoot /www/priiduzoo
ErrorLog /var/logs/priituzoo.error.log
CustomLog /var/logs/priiduzoo.log common
</VirtualHost>

kusjuures peakonfiguratsiooni on lisatud vastavad Listen direktiivid.

Brauseris tuleb päringud esitada vastavalt http://www.zoo.edu.ee:8080 või http://www.zoo.edu.ee:8081.

===IP-põhised virtuaalveebiserverid===

IP-põhiste virtuaalveebiserverite kasutamisel on veebiserveril mitu IP-aadressi, st masinal on mitu võrgukaarti või on kasutatud IP-aliasingut.

IP-põhiste virtuaalveebiserverite kasutamisel näidake direktiivi VirtualHost juures ära IP-aadress ning samas sektsioonis kirjeldage kõnealuse veebiserveri omadused. Näiteks kui masinal on kaks võrgukaarti IP-aadressidega 193.40.10.1 ning 193.40.50.1, kasutage sektsioone

<VirtualHost 193.40.50.1>
ServerName www.zoo.tartu.ee
ServerAdmin priit@zoo.tartu.ee
DocumentRoot /www/tartuzoo
ErrorLog /var/logs/tartuzoo.error.log
CustomLog /var/logs/tartuzoo.log common
</VirtualHost>

<VirtualHost 193.40.10.1>
ServerName www.zoo.edu.ee
ServerAdmin mart@zoo.edu.ee
DocumentRoot /www/eduzoo
ErrorLog /var/logs/eduzoo.error.log
CustomLog /var/logs/eduzoo.log common
</VirtualHost>

Peakonfiguratsiooni osa järgi teenindatakse neid päringuid, millel ei leidu sobivat virtuaalserverit. Näiteks kui masinal on veel kolmas võrguseade ning päring siseneb selle aadressile.

Virtuaalserveri direktiivi juurde võib kirjutada ka mitu IP-aadressi, mispuhul kasutatakse kõnealust serverit neile kõigile tulnud päringutele vastamisel.

===Nimepõhised virtuaalveebiserverid===

Nimepõhiste virtuaalveebiserverite kasutamine eeldab, et ühele IP-aadressile (193.40.50.1) on nimesüsteemis (DNS) seatud näiteks CNAMEiga vastavusse mitu domeeninime (www.zoo.tartu.ee, post.zoo.tartu.ee).

Kui soovite kasutada enam kui ühte veebiserverit, siis on soovitav kõik veebiserverid konfigureerida virtuaalseteks, kusjuures põhiserverile ei vastagi DocumentRoot'i.

Nimepõhiste virtuaalveebiserverite kasutamine deklareeritakse peakonfiguratsiooni osas direktiiviga NameVirtualHost. Direktiivi järel näidatakse IP-aadress, millele tulnud päringute teenindamisel kasutatakse sobivat VirtualHosti sektsiooni. Näiteks

NameVirtualHost 193.40.50.1

puhul kasutatakse aadressile 193.40.50.1 saabunud päringute töötlemiseks sobiva domeeninimega (ServerName) VirtualHost sektsiooni.

Erinevad virtuaalserverid kirjeldatakse direktiiviga VirtualHost, näiteks sarnase sektsiooniga

<VirtualHost 193.40.50.1>
ServerName www.zoo.tartu.ee
ServerAdmin priit@zoo.tartu.ee
DocumentRoot /www
ErrorLog /var/logs/www.error.log
CustomLog /var/logs/www.log common
</VirtualHost>

<VirtualHost 193.40.50.1>
ServerName post.zoo.tartu.ee
ServerAdmin post@zoo.tartu.ee
DocumentRoot /post
ErrorLog /var/logs/post.error.log
CustomLog /var/logs/post.log common
</VirtualHost>

Kui serveril on mitu võrguaadressi, siis võib kasutada direktiivi NameVirtualHost mitu korda ning lisada vastavad sektsioonid, kuid lühem on asendada IP-aadress tärniga (*)

NameVirtualHost *

<VirtualHost *>
ServerName www.zoo.tartu.ee
ServerAdmin priit@zoo.tartu.ee
DocumentRoot /www
ErrorLog /var/logs/www.error.log
CustomLog /var/logs/www.log common
</VirtualHost>

<VirtualHost *>
ServerName post.zoo.tartu.ee
ServerAdmin post@zoo.tartu.ee
DocumentRoot /post
ErrorLog /var/logs/post.error.log
CustomLog /var/logs/post.log common
</VirtualHost>

Päringuid, mis saabuvad direktiiviga NameVirtualHost näidatud aadressile, ei teenindata IP-põhiste sektsioonide ega peaserveri konfiguratsiooni alusel.

===Kasulikud lisamaterjalid===

Apache'i veebiserver

2007-01-26T14:13:43Z

Triinu: /* IP-põhised virtuaalveebiseverid */

===Veebiserveri konfigureerimine ja käivitamine===

Veebiserveri tööd juhib üks konfiguratsioonifail httpd.conf. Sellesse kirjutatake parameetrid üks reale, kusjuures # märgiga algavaid ridu ignoreeritakse. Ridu saab jätkata sisestades kurakallu (\) viimase sümbolina eelmisele reale, tegelikult eelviimasena, viimane on reavahetus :)

Lihtsal juhul võiks olla konfiguratsioonifail selline

User nobody
Group nobody
ServerType standalone
ServerName www.zoo.tartu.ee
ServerRoot "/usr/local/apache"
DocumentRoot "/html"
DirectoryIndex index.html
ErrorLog /var/log/apache/error.log
Listen 80
Options None
<Directory />
AllowOverride None
</Directory>

kus on kasutatud järgmisi direktiive

* User - kasutaja, kelle õigustes veebiserver töötab
* Group - grupp, kelle õigustes veebiserver töötab
* ServerType - serveri tüüp, tavaliselt standalone, so mitte inetd abil käivitatav
* ServerName - millise nime server arvab endal olevat
* ServerRoot - kataloog, mille all serveri programmid asuvad
* DocumentRoot - veebifailid, mida külastajaile serveeritakse
* DirectoryIndex - faili nimi, mis brauserisse saadetakse, kui ta küsib kataloogi eeldusel, et sellenimeline fail kataloogis leidub
* ErrorLog - fail, kuhu saadetakse veateated; kataloog, kus see fail asub peab olema kindlasti olemas!
* Listen - port, millel veebiserver ootab päringuid, kõigil võrguseadmetel
* Options - väärtus None tagab, et külastajale näidatakse vaid neid veebilehti, mida ta nimeliselt küsib.

Reeglina on veebiserverina töötaval arvutil nö tavaline nimi, näiteks kalake.zoo.tartu.ee ning nimeserveris on talle defineeritud lisaks ka mõned hüüdnimed (CNAMEga). Tavaliselt kasutatakse veebiserveri nime alguses kombinatsiooni www, kokku saab antud juhul www.zoo.tartu.ee, kuid veebiserveri nimi ei pea sugugi algama www-ga olles näiteks see sama kalake.zoo.tartu.ee.

Konfiguratsioonifailis kasutatud kataloogid peavad süsteemis leiduma, toodud näites peavad nad kuuluma lähtudes turvakaalutlustest juurkasutajale; samuti nendest kataloogidest ülevalpool asuvad kataloogid.

Reeglina on süsteemis vaikimisi olemas mitteprivilegeeritud kasutaja nobody grupiga nobody. Võib kasutada seda või luua spetsiaalne kasutaja, näiteks apache grupiga veeb. Veebiserveri mittekäivitumise põhjuseks on tihtipeale vastavate kasutajate puudumine süsteemis.

Näidates võrguseadme nime, vastatakse ainult sellelt seadmelt tulevaile päringutele, näiteks 'Listen 193.40.10.1 80'.

===Sektsioon===

<Directory />
AllowOverride None
</Directory>

tähendab, et kataloogides pole täiendavate vahenditega õigust veebiserveri konfiguratsiooni täpsustada.

Kuigi teatud parameetrite järjekord konfiguratsioonifailis ei ole tähtis, jääb kehtima parameetrile viimasena omistatud väärtus.
Käivitamine

Veebiserver käivitatakse ja peatatakse käsuga apachectl

bash# apachectl start

Peatamine toimub käsuga stop

bash# apachectl stop

Peale konfiguratsioonifaili muutmist kehtestuvad muutused serveri taaskäivitamisel soovitavalt käsuga graceful, või restart

bash# apachectl graceful

Veebiserver tuleb käivitada juurkasutajaõigustes, kuid ta töötab konfiguratsioonifailis näidatud User ja Group kasutajana. See tähendab, et failisüsteemi osad, mida soovitakse veebi näidata peavad olema vastavatele UNIXi kasutajatele nähtavad. Tavaliselt on nende failide kasutajagrupile other antud lugemisõigus.

Töötavast veebiserverist annab tunnistust see, kui süsteemi protsessitabelis on httpd deemoni nimi, isegi mitu

bash# ps auxw | grep httpd
root 30692 0.0 5.4 4236 3288 ?? Ss 4:39PM 0:00.16 /usr/local/apache/bin/httpd
nobody 30840 0.0 5.5 4272 3324 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30841 0.0 5.5 4272 3324 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30842 0.0 5.5 4272 3324 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30843 0.0 5.4 4248 3296 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30844 0.0 5.4 4248 3296 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30845 0.0 5.4 4256 3300 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd

Aga veel parem kinnitus on, kui olemaks näitega kooskõlas päring http://www.zoo.edu.ee näitab veebilehte, so faili /html/index.html. Samuti saab antud näite rakendamisel näha kasutajate kodulehti eeldusel, et nad asuvad kataloogide ~/public_html all.

Kui veebiserveri käivitamisel ilmneb raskusi, siis tasub uurida vealogi (/var/log/apache/error.log) sisu.
Automaatne käivitamine

===Veebiressursside kasutusõigus===

Veebiserveri konfigureerimisel on väga oluline näidata, mida vastuseks külastaja päringule tohib teha või saata või kas üldse külastajat teenindada.

===Direktiiv Option===

Direktiivi Options abil saab määratleda, mida kataloogis leiduvate failidega lubatakse teha. Näiteks määrates minimaalsed õigused parameetriga None, saab kataloogis sisalduvate failide poole pöörduda vaid nimeliselt; failide nimekirja ei näidata.

Options None

===Muud võimalused:===

* FollowSymLinks - kui brauser esitatud päringus on failinimi viide, siis seda järgitakse vaatamata, kas viidatav fail kuulub samale kasutajale kui
viide
* SymLinksIfOwnerMatch - kui brauser esitatud päringus on failinimi viide, siis seda järgitakse juhul, kas viidatav fail kuulub samale kasutajale
kellele viide
* Indexes - näidatakse serveri kataloogi failide nimekirja kui DirectoryIndexis näidatud faile ei leitud
* ExecCGI - CGI skriptide kasutamiseks
* Includes - SSI failide kasutamiseks
* IncludesNOEXEC - SSI failide kasutamiseks, va #exec ja CGI skriptide #include
* All - kõik eelnimetatu on lubatud

Korraga võib määratleda ka mitu parameetrit, eraldades nad üksteisest tühikuga.

Kui konfiguratsioonifailis kasutada mitmel Options direktiivi, jääb kehtima viimane. Lisades parameetri algusesse + või - märgi, lisatakse või eemaldatakse vastav toime. Näiteks kasutades direktiive

Options Indexes Includes FollowSymLinks
Options -FollowSymLinks

on toime samaväärne avaldisega

Options Indexes Includes

Direktiivi Options vaikeväärtus on All.

===Direktiivid Allow, Deny ja Order===

Direktiividega Allow, Deny ning Order abil saab kehtestada, millistelt domeenidelt tulevaid päringuid teenidatakse. Orderi abil seatakse, millises järjekorras kontroll toimub, kusjuures rakendatakse viimast reeglit, millega külastaja domeeninimi klapib. Kui ükski reegel ei klapi, toimitakse vaikimisi nagu viimane Orderi parameeter näitab. Näiteks sellise sektsiooni puhul

Order Deny,Allow
Deny from all
Allow from zoo.tartu.ee

Päringut domeenist zoo.tartu.ee teenindatakse, esimene reegel (Deny) keelab kõik, kuid teine (Allow) lubab domeeni zoo.tartu.ee. Kui Order oleks vastupidi, siis lubaks esimene reegel (Allow) zoo.tartu.ee, kuid kehtima jääks viimane reegel (Deny). Reeglite järjekord failis ei loe, kuna selle määrab Order.

Järgmises näites on lubatud päringud vaid tartu.ee domeenist, va alamdomeen zoo.tartu.ee

Order Allow,Deny
Allow from tartu.ee
Deny from zoo.tartu.ee

Tõepoolest, päringut foo.tartu.ee domeenist teenindatakse kuna ta klapib esimese (Allow) reegliga, mis lubab ning teisega, mis keelab mitte. Päringuid muudest domeenidest keelatakse, kuna nad ei klapi kummagi reegliga ning vaikimisi rakendatakse viimast Orderi parameetrit - Deny.

Order, Deny ja Allow direktiive saab kasutada vaid direktiivi Directory sees ning Deny ja Allow tuleb eraldada ainult täpselt ühe komaga!

===Veebiressursside grupeerimisvahendid===

Veebiserveri kasutusõigust ning teisi omadusi reguleerivaid parameetreid saab grupeerida järgmiste direktiividega

* Directory - kataloogis ning selle alla jäävate alamkataloogides sisalduvate failide grupeerimiseks
* Files - faili nimede järgi failide grupeerimiseks
* Location - URLi ning selle alla jäävate URLide grupeerimiseks

Sellistele gruppidele saab rakendada korraga samu määratlusi, näiteks Option parameetriga.

===Directory direktiiv===

Directory abil saab määrata näidatud kataloogi alla jäävatele failidele ühesuguseid omadusi. Näiteks kehtestame, et kataloogi /html/veeb/kalamaja alla jäävates kataloogides käsitletakse DirectoryIndexina faile index.html ja index.htm

<Directory /html/veeb/kalamaja>
DirectoryIndex index.html index.htm
</Directory>

===Files direktiiv===

Sarnaselt Directory'le saab kehtestada näidatud regulaaravaldisega klappivate failinimedega failidele ühesuguseid omadusi. Näiteks kehtestame, et failides, mille nimi algab tähtedega "e_" ja lõpeb .html-ga, tohivad sisaldada Embperli konstruktsioone

<Files ~ "^e_.*\.html$">
Options +ExecCGI
SetHandler perl-script
PerlHandler HTML::Embperl
</Files>

===Location direktiiv===

Sarnaselt Directory direktiivile saab Locationiga kehtestada osale veebikohale samasuguseid omadusi. Location mõjub mitte kataloogistruktuuri, vaid URLi mõttes hulgale elementidele. Näiteks kehtestame, et URL'ist http://kalake.zoo.edu.ee/hobused edasi tohib näha kataloogide nimekirja

<Location /hobused>
Options Indexes
</Location>

Tavaliselt piisab Directory kasutamisest, kuid kuna veebiserveri kataloogi-ja URLihierarhia ei pruugi alati kokku langeda, siis on sellest vahel abi.

===Kataloogipõhine veebiserveri konfigureerimine===

Veebiserveri põhikonfiguratsioonifailis näidatud väärtusi saab iga kataloogi jaoks täpsustavalt määrata kataloogis sisalduva konfiguratsiooni .htaccess faili abil. Selle faili nimi on määratud põhikonfiguratsioonifailis direktiiviga AccessFileName, mis peab esinema Directory sees. Faili süntaks on sama, mis põhikonfiguratsioonifailil. Seda, milliseid omadusi on ludatud .htaccess failiga täpsustada, näitab põhikonfiguratsioonifailis direktiiv AllowOverride; järgmistele parameeritele vastab voli muuta toodud parameetreid

* AuthConfig - AuthGroupFile, AuthName, AuthType, AuthUserFile, Require jne
* FileInfo - AddEncoding, AddLanguage, AddType, DefaultType, ErrorDocument jne
* Indexes - DirectoryIndex, AddDescription, AddIcon, AddIconByEncoding, AddIconByType, DefaultIcon, DirectoryIndex, FancyIndexing, HeaderName,
IndexIgnore, IndexOptions, ReadmeName jne
* Limit - Order, Allow, Deny
* Options - Options, XBitHack
* None - mitte midagi
* All - kõik nimetatud

Vaikimisi toimib parameeter All. Kui ei soovita lasta kasutajatel veebiserverit konfigureerida, siis kasutage peale veebiserveri põhiosa direktiivi

AllowOverride None

.htaccess failis tohib kasutada direktiivi Files, aga ei saa kasutada Diectory või Location.

Tavaliselt on ohutu ning kasutajaile piisav

AllowOverride Indexes AuthConfig

===Alias===

Direktiiv Alias võimaldab muuta veebi failile kataloogistruktuuri vastavust URLi struktuurile. Näiteks olgu kataloogis /html/veeb/hobused/2000/tyrinaitus/ehola_talu failid ning soovime neile ligi pääseda URLiga http://www.zoo.tartu.ee/ehola_talu. Kasutame sellist Aliast

Alias /ehola_talu/ /html/veeb/hobused/2000/tyrinaitus/ehola_talu/

Antud juhul laheneb päring http://www.zoo.tartu.ee/ehola_talu/, kuid mitte http://www.zoo.tartu.ee/ehola_talu.

Lisaks saab Aliasega kaasata veebi faile ning katalooge, mis asuvad failisüsteemi mõttes väljaspool DocumentRootu.

Alias /valdek/ /html/valdek/veeb/

Aliase süntaks on järgmine

Alias URLi-tee kataloogi-tee

kus

* URLi-tee on osa URList, mis jääb peale serverinimi osa, näiteks http://www.zoo.tartu.ee/ehola_talu/ puhul /ehola_talu/
* kataloogi-tee on vastava kataloogi nimi

Aliasi saab kasutada peakonfiguratsioonifailis või võrdväärsetes kohtades, näiteks VirtualHost sektsioonis. Aliaste kasutamisel tuleb tavaliselt kasutada kataloogi tee'le vastavaid Directory direktiive, muutmaks sobivaks veebiosa kasutusõigused. Aliased loetakse läbi enne Directory sektsioone.

Aliase kasutamisel tuleb tähele panna, et URLi tee asendatakse igal juhul kataloogiteega. Kas sel juhul, kui päring on pikem, kooskõlas kasutatud näitega päringu http://www.zoo.tartu.ee/ehola_talu/ratsahobused/piiker.html puhul esitatakse fail /html/veeb/hobused/2000/tyrinaitus/ehola_talu/ratsahobused/piiker.html.

Soovides teha paindlikumaid nö ümberkirjutusi, kasutage mod_rewrite'i võimalusi.

===CGI===

CGI kasutamiseks lisage konfiguratsioonifaili rida

AddHandler cgi-script .cgi .pl

Tulemusena püüab veebiserver käivitada kõiki serveeritavaid .cgi ja .pl lõpuliste nimedega faile, eeldusel, et failile rakendub Optioni parameeter ExecCGI. Käivitamisel tekkiv programmiväljund saadetakse brauserisse, kusjuures see peab algama tuntud Content-type'iga, näiteks text/html. Seda võib teha näiteks Directory abil; kehtestame, et kõikjal veebi faile sisaldavas kataloogis /html/veeb/suhtleja ja selle all asuvad .cgi ja .pl lõpuliste nimedega failid on käivitatavad

<Directory /suhtleja>
Options ExecCGI
</Directory>

Soovides näidata, et vaatamata failinimele tuleb käsitleda faili CGI skriptina, kasutage ScriptAlias direktiivi. Tüüpiliselt määratletakse URLi http://kalake.zoo.tartu.ee/cgi-bin/'le vastavad failid skriptideks

ScriptAlias /cgi-bin/ /html/veeb/cgi-bin/

Tulemusena, näiteks päringu http://kalake.zoo.tartu.ee/cgi-bin/kasutajatenimikiri.sh puhul käivitatakse fail /html/veeb/cgi-bin/kasutajatenimekiri.sh.

===SSI===

SSI (Server Sides Includes) tehnika võimaldab sisestada brauseri päringus nõutud faili koosseisu muude failide sisu.

SSI kasutamiseks lisage konfiguratsioonifaili rida

AddType text/html .shtml
AddHandler server-parsed .shtml

ning näidake näiteks direktiivide Directory ja Options parameetri Includes abil, milliseid faile tohib server käsitleda SSIdena. Näiteks kehtestame, et kataloogi /html/veeb/uudised all kasutatakse SSId

<Directory /html/veeb/uudised<>
Options IncludesNOEXEC
</Directory>

Tulemusena saab failides, mille nime lõpus on .shtml, kasutada SSI konstruktsioone, va #exec ja CGI skriptide #include.

===Embperl===

Embperl on tehnika, mis võimaldab sisestada HTML koodi sisse Perli konstruktsioone. Selle võimaluse kasutamiseks lisage konfiguratsioonifaili

<Files ~ "\.html$">
Options ExecCGI
SetHandler perl-script
PerlHandler HTML::Embperl
</Files>

Tulmusena lahendab veebiserver failides, mille nime lõpetab .html sisalduva Perli koodi.

Muuseas, Embperli rakendamisel on veebiserver ka tavalise HTML süntaksi osas oluliselt rangem. Tüüpiliselt ei meeldi talle [# jne järgnevused, mida kasutatakse Embperli skriptide tähistamiseks. Et neid sümboleid siiski kasutada saada, esitage neid a la &#kood;, näiteks <.

===PHP===

PHP on tehnika, mis võimaldab lisada HTML koodi sisse PHP keele konstruktsioone. Selle võimaluse kasutamiseks lisage konfiguratsioonifaili

AddType application/x-httpd-php .php

Veebiserverisse konfigureeritud PHP omadusi saab näha PHP skriptiga

<?
phpinfo();
?>

===Serveri kasutajate kodulehed===

Vaikimisi eeldab veebiserver, et näiteks URLile http://www.zoo.tartu.ee/~priit vastab süsteemi kasutaja priit kodukataloogis olev kataloog public_html. Selle kataloogi nime määrab direktiiv UserDir.

===Veebi kaitsmine parooliga===

Apache pakub vahendid veebistruktuuri kaitsmiseks parooliga. Konfiguratsioonifailis näidatakse ära, millist ressurssi kaitsta ning millist autentimissüsteemi kasutada.

Kõige lihtsamal juhul tuleb programmiga htpasswd genereerida lubatud külastajate paroolifail, milles on kirjas kasutajanimed ning vastavad paroolid. See fail on reeglina erinev süsteemi paroolifailist, kus veebiserver töötab. Kui külastaja püüab siseneda kaitstud veebi, avaneb dialoog ning küsitakse tema kasutajanime ning parooli. Sobiva paari sisestamisel lubatakse külastaja veebile ligi, kusjuures kõnealust veebi saab kasutada kuni brauseri sulgemiseni.

Näiteks kaitseme kataloogistruktuuri /html/salajane kirjeldatud paroolikontrolliga

<Directory /html/salajane>
AuthUserFile /usr/local/apache/conf/salajane.paroolifail
AuthType Basic
AuthName Salajane
require valid-user
</Directory>

kus on kasutatud direktiive:

* AuthUserFile - paroolifailinimi, /usr/local/apache/conf/salajane.paroolifail
* AuthType - millist tüüpi autentimisega on tegemist, antud juhul Basic
* AuthName - parameetri väärtust näidatakse aknas, kuhu kasutaja sisestab oma veebi kasutajanime ja parooli; sama veebi piires saab sama kasutajanimega
seostada erinevaid paroole, mistõttu peab külastaja saama teada, millist parooli konkreetsel juhul tarvitada
* require valid-user - sellele ressursile lastakse ligi vaid peale edukat autentimist

Sobiv paroolifail moodustatakse programmiga htpasswd

bash$ htpasswd -b -c -m salajane.paroolifail priit priiduparool

kus

1. -b kasutaja parooliks loetakse käsurea viimane sõna (priiduparool)
2. -c seda võtit tuleb kasutada vaid siis, kui paroolifaili veel ei eksisteeri; edaspidi peab selle võtme ära jätma, sest muidu kustutatakse olemasoleva
paroolifaili sisu
3. -m kasutada MD5 krüptimist; jättes selle võtme kirjutamata tekitatakse CRYPT proolid
4. järgnevad paroolifaili nimi (salajane.paroolifail) ja kasutajanimi (priit)

Tundub, et peale Directory, saab autentimist kasutada ka Location sektsioonis, mis on veebi suhtes veel asjakohasem.

Paroolifail peab olema loetav sellele kasutajale, kelle õigustes veebiserver töötab (näiteks nobody) ning soovitavalt mitte olema veebiga samas kataloogistruktuuris.

===Logi===

Apache veebiserveriga saab logida tekstifaili erinevatel tingimustel toimunud päringuid ning neid logifaile automaatselt roteerida. Logida saab paraleelselt ka näidatud tingimustele erinevates formaatides erinevatesse failidesse.

Direktiiviga LogFormat kirjeldatakse mida logitakse. Tüüpiliselt defineeritakse formaat nimega tavaline

LogFormat "%h %l %u %t \"%r\" %>s %b" tavaline

kus

* %h - maisinanimi, kust päring esitati
* %l - kasutajanimi, kes päringu esitas eeldusel, et IdentityCheck tomib; tavaliselt see väli jääb tühjaks, kuna IdentityCheck'i kasutamine võtab
tublisti veebi kiirust alla
* %u - kui veebiserveri ressurss nõudis autentimist, siis kasutatud kasutajanimi
* %t - päringu esitamise aeg
* \"%r\" - jutumärkides esitatud päringu esimene rida
* %>s - päringule vastuse olek (ingl. k. status)
* %b - päringu vastuse maht baitides
* tavaline - logiformaadi nimi

Logimine ise toimub direktiiviga CustomLog, näiteks logime, kasutades logiformaati tavaline, faili /var/log/apache/tavaline.log

CustomLog /var/log/apache/tavaline.log tavaline

Soovides logifaili automaatselt roteerida, kasutage veebiserveriga kaasas olevat programmi rotatelogs. Näiteks moodustame iga nädal uue logi

CustomLog "|/usr/local/apache/bin/rotatelogs /var/log/apache/tavaline.log 604800" common

Logi faili nimi moodustatakse lisades failinime lõppu aja sekundites, mis on möödunud UNIXi ajastu algusest, so 1970. 1. jaanuar kell 00:00 hommikul.

===Vealogi===

Vealogisse salvestatakse serveri töös toimunud vead, sh näiteks päringud puuduvatele failidele. Logitaset saab reguleerida direktiiviga LogLevel, soovitatakse taset warn

LogLevel warn

Direktiiviga ErrorLog näidatakse, kuhu logi salvestada

ErrorLog /var/log/apache/error.log

Logianalüsaatorid

Apache veebiserveri logi analüüsiks sobib kasutada näiteks programmi Webalizer.

===Veebiserveri staatus ja info===

Eeldusel, et veebiserverisse on sissekompilleeritud vastavad moodulid võtmetega --enable-module=status ja --enable-moudule=info, saab näha veebiserveri konfiguratsiooni (info) ning parasjagu olevat seisu (status).

Näidates konfiguratsioonifailis direktiivi ExtendedStatus parameetriks "On", esitatakse staatus põhjalikumalt.

Nende veebiserveri omaduste nägemiseks peab sisalduma konfiguratsioonifailis kaks sektsiooni

URLi http://www.zoo.tartu.ee/status-info jaoks

<Location /server-info>
SetHandler server-info
Order deny,allow
Deny from all
Allow from .zoo.tartu.ee
</Location>

URLi http://www.zoo.tartu.ee/server-info jaoks

<Location /server-status>
SetHandler server-status
Order deny,allow
Deny from all
Allow from .zoo.tartu.ee
</Location>

Mõlemas sektsioonis on kasutatud Deny ja Allow direktiive, piiramaks nende URLide külastamise õigust. Kuigi sealt midagi väga salajast ei paista, on külastama lubatud vaid zoo.tart.ee domeeni masinastest.
Veebi-indekseerijad

Apache veebiserver ei sisalda indekseerimisvahendeid, so võimalusi luua serveeritavale veebile otsingumootorit. Küll aga sobib kasutada mõnda olemasolevat veebiindeksaatorit, näiteks Glimpse või HtDig.

Hoopis teine probleem on kuidas kontrollida, mida tohivad teha teised otsingumootorid (tuntud kui robotid või nuhid) teie veebi külastades. Tüüpiliselt tuleb neid kontrollida, kuna nad võivad täita avalikke andmebaase kiiresti vananeva infoga või ebasoovitavalt teie serverit koormata.

===URLi ümberkirjutamine===

Ümberkirjutamise kasutamiseks on vaja mod_rewrite'i toetus serverisse kompilleerida võtmega --enable-module=rewrite.

See tehnika võimaldab suunata serverisse tulevad päringud ümber, jäädes sama serveri piiridesse või välja. Ümbersuunamisi saab konfigureerida peakonfiguratsioonifailist või .htaccess failist.

Ümbersuunamisel saab kasutada tingimusi või teha seda juhuslikult.

Tõenäoliselt on võimalik järgnevalt näidetena toodud tegevusi korraldada ka muude vahenditega, URLi ümberkirjutamine mod_rewrite'ga on selleks üks käepärane vahend.

Ümberkirjutuste tegemiseks tuleb esmalt aktiviseerida ümberkirjutusmehhanism

RewriteEngine On

Ümberkirjutust ennast teostab direktiiv RewriteRule. Näiteks suuname kõik veebiserverisse kasutajale priit tulevad päringud (http://www.zoo.tartu.ee/~priit) aadressile http://www.priit.ee

RewriteRule ^/~priit.+ http://www.priit.ee

Direktiivi RewriteRule esimene argument on regulaaravaldis (^/~priit.+) ning kui sellega päring klapib, siis suunatakse brauser teise parameetriga näidatud URLile (http://www.priit.ee). Kasutaja brauseri Location real kirjutatakse URL paratamatult ümber.

Direktiivi süntaks on järmine

RewriteRule regulaaravaldis asendus [võtmed]

kus

* regulaararvaldisega kontrollitakse, kas URL klapib ümberkirjutamisreegliga, kusjuures URL on antud juhul see osa päringust, mis jääb paremale
http://www.zoo.tartu.ee'st, näite puhul /~priit.
* kui URL klappis, siis asendatakse URL asendusega 'asendus'
* lisaks on mõnel juhul oluline kasutada võtmeid, mis kontrollivad ümberkirjutamise peensusi

^ tähistab, et / peab olema URLi esimene sümbol ning peale priit 't' tähte võib tulla kuitahes palju mistahes sümboleid (.+). Muuseas, antud juhul suunatakse ümber näiteks päring http://www.zoo.tartu.ee/~priit-onvastmees.

Lubatud on kasutada järjest mitmeid asendusi, mil neid rakendatakse järjest, tulemuseks on viimane tehtud ümberkirjutus. Järgmise asenduse regulaaravaldist klapitatakse eelmise ümberkirjutamisel tehtud tulemusega.

Esitame näite sisemise ning välimise ümberkirjutamise kohta. Soovides vastuseks päringule http://www.zoo.tartu.ee/vana.html brauserisse saata lehe uus.html, kusjuures jättes brauseri Location reale esialgse teksti, so http://www.zoo.tartu.ee/vana.html, kasutage ümberkirjutamisreeglit

RewriteRule ^vana\.html$ uus.html

Sama, kuid brauseri Location real kajastub ümberkirjutus

RewriteRule ^vana\.html$ uus.html [R]

^vana\.html$ tähendab, et asendus toimub, kui päring oli täpselt vana.html, so algas v-ga (^) ja lõppes l-ga ($); punkt on regulaaravaldise erisümbol ja tuleb põgeda (\).

Kirjutades järjest mitu ümberkirjutusreeglit ning soovides, et ümberkirjutamine lõppeks antud reegliga, tuleb reegli lõppu lisada võti L (last).

RewriteRule ^/~priit.+ http://www.priit.ee [R,L]
RewriteRule ^/~nea.+ http://www.nea.ee [R,L]
RewriteRule ^/~inna.+ http://www.inna.ee [R,L]
RewriteRule ^/~mart.+ http://www.mart.ee [R,L]

Kui aga veebiserverit tõstetakse ühest masinast teise, oletame, et uus töötab, kuid kasutajate kodud on vanas, siis lisage uue konfi selline rida

RewriteRule ^/~(.+) http://vana.zoo.edu.ee/~$1 [R,L]

Siin on kasutatud regulaaravaldist koos asendamisega. $1 asendatakse tekstiga, mis klappis kasutatud regulaaravaldises avaldisega (.+). Praktiliselt näiteks

===Lisatingimuste kasutamine===

Direktiiv RewriteRule teostab ümberkirjutusi niikuinii tingimusi kasutades regulaaravaldise abil. Peale selle saab seada direktiiviga RewriteCond lisatingimusi. Näiteks sõltuvalt serveri kellaajast, saadetakse brauserile üks või teine veeb

RewriteEngine on
RewriteCond %{TIME_HOUR}%{TIME_MIN} >0700
RewriteCond %{TIME_HOUR}%{TIME_MIN} <1900
RewriteRule ^index\.html$ paev.html

RewriteRule ^index\.html$ oo.html

%{TIME_HOUR} asendatakse päringu sooritamise kellaaja tunniväärtusega. Oluline on kirjutada < ja 0700 järjest, kusjuues toimub leksikograafiline stringide, mitte arvude võrdlus.

Kui brauser esitab veebiserverile päringu päeval, siis toimub ümberkirjutus index.html -> paev, kuna esimese direktiivi RewriteRule regulaaravaldis klappis URLiga ning kõik eelnenud lisatingimused olid täidetud. Seejärel klapitatakse teist RewriteRule'i eelmise väljundiga, so paev.html - ei klapi ning midagi ei kirjutata ümber.

Lisatingimusi on sobiv kasutada ka brauserite eristamiseks.

RewriteCond %{HTTP_USER_AGENT} Mozilla/4*
RewriteRule ^leht.html$ leht.moz.html [L]

RewriteCond %{HTTP_USER_AGENT} Lynx.*
RewriteRule ^leht.html$ leht.lynx.html [L]

Sõltuvalt päringu tegija aadressist, saab esitada erinevat veebi.

RewriteCond %{REMOTE_ADDR} ^192.168.1.3$
RewriteRule ^leht.html$ 192.168.1.3.html [L]

===Ümberkirjutusalus===

Kui te tegutsete sügavamal URLi-struktuuri sees, kasutage RewriteRule'i juurika ümbernimetamiseks direktiivi RewriteBase. Näiteks kirjutatakse URL http://www.zoo.tartu.ee/~priit/lemmikud/hobused.html ümber URLiks http://www.zoo.tartu.ee/~priit/lemmikud/kabjaksed.html

RewriteBase /~priit/lemmikud
RewriteRule ^hobused.html$ kabjaksed.html

===Ümberkirjutustabel===

Esitatud päringu juhuslikult valitud URLile ümbersuunamiseks on sobiv kasutada direktiivi RewriteMap. RewriteMap pakub võimaluse salvestada tekstifaili hulga URLe, mille poole saab ümberkirjutusreeglist pöörduda. Näiteks loome olukorra, kus päringule http://www.zoo.tartu.ee/juhuslik vastatakse juhuslikult valitud veebilehega.

Kirjeldame tabelikirjeldusfailis vl.txt juhuslike veebilehtede nimed

bash# cat /usr/local/apache/vl.txt
veebilehed 1.html|2.html|3.html|4.html|5.html|6.html|7.html

ning lisame veebiserveri konfiguratsioonifaili read

RewriteMap vl rnd:/usr/local/apache/vl.txt
RewriteRule ^/juhus$ /home/html/juhus/${vl:veebilehed|html.html}

Ümberkirjutustabeli süntaks on selline

RewriteMap tablelinimi tabelitüüp:tabelikirjeldusfail

kus

* tabelinimi - on kooskõlas ümberkirjutusreeglis kasutatud nimega
* tabelitüüp - rnd (random) näitab et
* tabelikirjeldusfail - failis kirjeldatakse tabeli sisu, näiteks juhusliku puhul peab eraldama andmed |-ga (loogiline OR)

Ümberkirjutusreegli asenduses kasutatud muutujat ${vl:veebilehed|html.html} väärtustatakse ümberkirjutustabeli vl võtme veeblilehed abil. Kui sellist ümberkirjutustabelit mingil põhjusel pole, on muutuja väärtus html.html.

===Ümberkirjutuslogi===

Ümberkirjutamise tööleseadmisel ning toimuvate ümberkirjutuste jälgimiseks saab kasutada direktiive RewriteLog ja RewriteLogLevel

RewriteLogLevel 3
RewriteLog /var/log/apache/rewrite.log

===Veebiserveri konfiguratsioonifaili lugemine===

Lihtsamatel juhtudel pole see oluline, millises järjekorras veebiserver direktiivides esitatud reegleid kehtestab. Näiteks, kui konfiguratsioonifailis ei sisaldugi Location ja Files sektsioone, kuid soovides kasutada veebiseverit paindlikumalt, tuleb järjekorraga arvestada.

Direktiivide puhul ei hooli Apache suurtest ja väikestest tähtedest, kuid parameetrite puhul on see tihti oluline.

Eeldusel, et te paigutate kogu konfiguratsiooni ühte faili, sisalduvad seal kaks osa

* põhiosa - kirjeldatakse veebiserveri üldisi omadusi, näiteks millise kasutaja õigustes ta töötab
* ressursside määrangud - kehtestatakse reeglid, kuidas veebiserver faile serveerib, näiteks käsitleb .php lõpulisi faile PHP skriptidena

Üldosa direktiivide järjekord pole oluline, kui sama direktiiv on väärtustatud mitu korda, jääb kehtima viimane väärtus.

Kui ressursside omadusi määratakse grupeerimisvahendite abil, siis sõltumata konfigureerimisfailis esinemise järjekorrast, loetakse neid sellises järjekorras: Directory, Files, Location

Directory sees võivad olla kirjeldatud omakorda Files sektsioonid.

Directory sees on lubatud kasutada järgmisi direktiive:

* DirectoryIndex
* Options
* Order, Allow, Deny
* AllowOverride
* AddHandler
* AddType

Files sektsioonis on lubatud kasutada praktiliselt samasid direktiive, mida sektsioonis Directory eeldusel, et neid on mõistlik rakendada failidele. Ilmselt ei saa kasutada näiteks direktiivi DirectoryIndex, küll aga näiteks Allow ja Deny.

Location sektsioonis on lubatud kasutada praktiliselt samasid direktiive, mida sektsioonis Directory. Kuna Locationit rakedatakse kõige viimasena, siis ei saa seal näiteks kasutada Options direktiivi, küll aga näiteks Allow ja Deny'id.

===Veebiserveri turvalisus===

Veebiserveri kasutamisel arvestage, et iseenesest on veebiserver programm, mis teeb teie arvuti failid kättesaadavaks HTTP protokolli kasutavaile klientidele, so brauseritele.

Kuigi veebiserver tuleb käivitada juurkasutaja õigustes, toimetab ta edasi konfiguratsioonifailis näidatud kasutajana (User, Group direktiivid).

Siiski, kui te kasutate konfiguratsioonifailis teatud kohtades IO ümbersuunamist, näiteks logimise juures, siis seda teeb Apache juurkasutajana.

Vältimaks ebameeldivaid üllatusi, veenduge, et veebiserveri juurikas ning selle alla jäävad kataloogid on piisavalt kaitstud, so kasutajatel pole neisse kirjutamisõigust. Veebiserver (/usr/local/apache/bin/httpd) ja muud temaga seotud failid, näiteks rotatelogs, kuuluvad juurkasutajale ning on tavakasutajaile ning grupile others vaid käivitatavad. Tavaliselt piisab nende tingimuste täitmiseks anda käsud

bash# cd /usr/local/apache
bash# chown 0 bin conf logs
bash# chgrp 0 bin conf logs
bash# chmod 755 bin conf logs

bash# chown 0 /usr/local/apache/bin/httpd
bash# chgrp 0 /usr/local/apache/bin/httpd
bash# chmod 511 /usr/local/apache/bin/httpd

Lisaks, mõelge järele, kas te peate kasutajaile lubama käivitada CGI skripte ja andmebaase ning otsustage millistel tingimustel. Samuti kataloogipõhine veebiserveri konfigureerimisvõimalus. Näiteks lubage kasutajatel CGI skripte tarvida ainult kataloogist ~/public_html/cgi-bin

<Directory /usr/home/*/public_html/cgi-bin>
AddHandler cgi-script .cgi
Options +ExecCGI
</Directory>

Heal juhul saab veebiserveri tööleseadmise eel otsustada, milliste omadustega peab ta olema. Reeglina ei soovitata lihtsalt sisse kompileerida toetust, mida praktiliselt ei tarvitata. Näiteks, kui te olete kindel, et pole vajadust server-info ja server-status järele, siis jätke vastavad moodulid välja. Näidake seda Apache ./configure skripti juures vastavate võtmetega --disable-module=info --disable-module=status.

===Virtuaalveebiserverid===

Ühte ja sama Apache veebiserverit saab tööle seada nii, et ta serveerib erinevaid andmeid sõltuvalt sellest, millise nimega tema poole pöörduti. Asjakorraldust nimetatakse virtuaalseteks veebiserveriteks, kuna füüsiliselt on tegu ühe arvutiga, kuid külastajaile jäetakse mulje, et neid on mitu.

Virtuaalseid veebiservereid on kolme sorti:

* pordipõhised - sõltuvalt külastaja poolt kastatud pordist serveeritakse erinevat veebi
* IP-põhised - sõltuvalt külastaja poolt kasutatud IP-aadressist serveeritakse erinevat veebi
* nimepõhised - sõltuvalt külastaja poolt kasutatud DNSi nimest serveeritakse erinevat veebi; reeglina vastavad erinevad nimed samale IP-aadressile,
so on kirjeldatud CNAMEdena.

Põhimõtteliselt on võimalik kasutada neid virtuaalservereid ka kombineeritult korraga.

Erijuht virtuaalveebi serveerida, on käivitada mitu eksemplari httpd servereid, iga oma konfiguratsiooniga. Kuna see võimalus on suhteliselt ebaefektiivne ning ei paku olulisi täiendavaid võimalusi, siis seda me ei käsitle.

Virtuaalserveri sektsioonis (VirtualHost) saab kasutada paljusid direktiive, mida peaserveri puhul, sh direktiive Options, Alias, Directory, Location, Files. Samuti direktiive, mis reguleerivad SSI, CGI, PHP, Emperli, ümberkirjutamise ja logi kasutamist. Kui direktiivi ei näidata, kasutatakse põhikonfiguratsiooni väärtust, kui seal seda samuti pole, siis vaikeväärtust.

===Pordipõhised virtuaalveebiserverid===

Kasutamaks erinevaid veebiseveri konfiguratsioone sõltuvalt sellest, millisele pordile päring tuli, kasutage direktiive Listen ja VirtualHost. Näiteks teenindab veebiserveri konfiguratsioonifaili põhiosale vastav server kõiki päringuid, va neid, mis on suunatud aadressi 193.40.50.1 (www.zoo.edu.ee) pordile 8080 või pordile 8081. Viimast kahte teenindatakse vastavalt VirtualHosti sektsioonile. Näiteks seame lisaks põhiosale tööle kaks alternatiivset dokumendijuurikat ja logi

...
Listen 80
Listen 193.40.50.1:8080
Listen 193.40.50.1:8081
<VirtualHost 193.40.50.1:8080>
ServerAdmin mart@zoo.edu.ee
DocumentRoot /www/mardizoo
ErrorLog /var/logs/mardizoo.error.log
CustomLog /var/logs/mardizoo.log common
</VirtualHost>

<VirtualHost 193.40.50.1:8081>
ServerAdmin priit@zoo.edu.ee
DocumentRoot /www/priiduzoo
ErrorLog /var/logs/priituzoo.error.log
CustomLog /var/logs/priiduzoo.log common
</VirtualHost>

kusjuures peakonfiguratsiooni on lisatud vastavad Listen direktiivid.

Brauseris tuleb päringud esitada vastavalt http://www.zoo.edu.ee:8080 või http://www.zoo.edu.ee:8081.

===IP-põhised virtuaalveebiserverid===

IP-põhiste virtuaalveebiserverite kasutamisel on veebiserveril mitu IP-aadressi, st masinal on mitu võrgukaarti või on kasutatud IP-aliasingut.

IP-põhiste virtuaalveebiserverite kasutamisel näidake direktiivi VirtualHost juures ära IP-aadress ning samas sektsioonis kirjeldage kõnealuse veebiserveri omadused. Näiteks kui masinal on kaks võrgukaarti IP-aadressidega 193.40.10.1 ning 193.40.50.1, kasutage sektsioone

<VirtualHost 193.40.50.1>
ServerName www.zoo.tartu.ee
ServerAdmin priit@zoo.tartu.ee
DocumentRoot /www/tartuzoo
ErrorLog /var/logs/tartuzoo.error.log
CustomLog /var/logs/tartuzoo.log common
</VirtualHost>

<VirtualHost 193.40.10.1>
ServerName www.zoo.edu.ee
ServerAdmin mart@zoo.edu.ee
DocumentRoot /www/eduzoo
ErrorLog /var/logs/eduzoo.error.log
CustomLog /var/logs/eduzoo.log common
</VirtualHost>

Peakonfiguratsiooni osa järgi teenindatakse neid päringuid, millel ei leidu sobivat virtuaalserverit. Näiteks kui masinal on veel kolmas võrguseade ning päring siseneb selle aadressile.

Virtuaalserveri direktiivi juurde võib kirjutada ka mitu IP-aadressi, mispuhul kasutatakse kõnealust serverit neile kõigile tulnud päringutele vastamisel.

===Nimepõhised virtuaalveebiserverid===

Nimepõhisete virtuaalveebiserverite kasutamine eeldab, et ühele IP aadressile (193.40.50.1) on nimesüsteemis (DNS) seatud näiteks CNAMEiga vastavusse mitu domeenime (www.zoo.tartu.ee, post.zoo.tartu.ee).

Kui soovite kasutada enam kui ühte veebiserverit, siis on soovitav kõik veebiserverid konfigureerida virtuaalseteks. Kusjuures põhiserverile ei vastagi DocumentRoot'i.

Nimepõhiste virtuaalveebiserverite kasutamine deklareeritakse peakonfiguratsiooni osas direktiiviga NameVirtualHost. Direktiivi järel näidatakse IP aadress, millele tulnud päringute teenindamisel kasutatakse sobivat VirtualHosti sektsiooni. Näiteks

NameVirtualHost 193.40.50.1

puhul kasutatakse aadressile 193.40.50.1 saabunud päringute töötlemiseks sobiva domeeninimega (ServerName) VirtualHost sektsiooni.

Erinevad virtuaalserverid kirjeldatakse direktiiviga VirtualHost, näiteks sarnase sektsiooniga

<VirtualHost 193.40.50.1>
ServerName www.zoo.tartu.ee
ServerAdmin priit@zoo.tartu.ee
DocumentRoot /www
ErrorLog /var/logs/www.error.log
CustomLog /var/logs/www.log common
</VirtualHost>

<VirtualHost 193.40.50.1>
ServerName post.zoo.tartu.ee
ServerAdmin post@zoo.tartu.ee
DocumentRoot /post
ErrorLog /var/logs/post.error.log
CustomLog /var/logs/post.log common
</VirtualHost>

Kui serveril on mitu võrguaadressi, siis võib kasutada direktiivi NameVirtualHost mitu korda ning lisada vastavad sektsioonid, kuid lühem on asendada IP aadress täringa (*)

NameVirtualHost *

<VirtualHost *>
ServerName www.zoo.tartu.ee
ServerAdmin priit@zoo.tartu.ee
DocumentRoot /www
ErrorLog /var/logs/www.error.log
CustomLog /var/logs/www.log common
</VirtualHost>

<VirtualHost *>
ServerName post.zoo.tartu.ee
ServerAdmin post@zoo.tartu.ee
DocumentRoot /post
ErrorLog /var/logs/post.error.log
CustomLog /var/logs/post.log common
</VirtualHost>

Päringuid, mis saabuvad direktiiviga NameVirtualHost näidatud aadressile ei teenindata IP-põhiste sektsioonide ega peaserveri konfiguratsiooni alusel.

===Kasulikud lisamaterjalid===

Apache'i veebiserver

2007-01-26T14:11:24Z

Triinu: /* Pordipõhised virtuaalveebiserverid */

===Veebiserveri konfigureerimine ja käivitamine===

Veebiserveri tööd juhib üks konfiguratsioonifail httpd.conf. Sellesse kirjutatake parameetrid üks reale, kusjuures # märgiga algavaid ridu ignoreeritakse. Ridu saab jätkata sisestades kurakallu (\) viimase sümbolina eelmisele reale, tegelikult eelviimasena, viimane on reavahetus :)

Lihtsal juhul võiks olla konfiguratsioonifail selline

User nobody
Group nobody
ServerType standalone
ServerName www.zoo.tartu.ee
ServerRoot "/usr/local/apache"
DocumentRoot "/html"
DirectoryIndex index.html
ErrorLog /var/log/apache/error.log
Listen 80
Options None
<Directory />
AllowOverride None
</Directory>

kus on kasutatud järgmisi direktiive

* User - kasutaja, kelle õigustes veebiserver töötab
* Group - grupp, kelle õigustes veebiserver töötab
* ServerType - serveri tüüp, tavaliselt standalone, so mitte inetd abil käivitatav
* ServerName - millise nime server arvab endal olevat
* ServerRoot - kataloog, mille all serveri programmid asuvad
* DocumentRoot - veebifailid, mida külastajaile serveeritakse
* DirectoryIndex - faili nimi, mis brauserisse saadetakse, kui ta küsib kataloogi eeldusel, et sellenimeline fail kataloogis leidub
* ErrorLog - fail, kuhu saadetakse veateated; kataloog, kus see fail asub peab olema kindlasti olemas!
* Listen - port, millel veebiserver ootab päringuid, kõigil võrguseadmetel
* Options - väärtus None tagab, et külastajale näidatakse vaid neid veebilehti, mida ta nimeliselt küsib.

Reeglina on veebiserverina töötaval arvutil nö tavaline nimi, näiteks kalake.zoo.tartu.ee ning nimeserveris on talle defineeritud lisaks ka mõned hüüdnimed (CNAMEga). Tavaliselt kasutatakse veebiserveri nime alguses kombinatsiooni www, kokku saab antud juhul www.zoo.tartu.ee, kuid veebiserveri nimi ei pea sugugi algama www-ga olles näiteks see sama kalake.zoo.tartu.ee.

Konfiguratsioonifailis kasutatud kataloogid peavad süsteemis leiduma, toodud näites peavad nad kuuluma lähtudes turvakaalutlustest juurkasutajale; samuti nendest kataloogidest ülevalpool asuvad kataloogid.

Reeglina on süsteemis vaikimisi olemas mitteprivilegeeritud kasutaja nobody grupiga nobody. Võib kasutada seda või luua spetsiaalne kasutaja, näiteks apache grupiga veeb. Veebiserveri mittekäivitumise põhjuseks on tihtipeale vastavate kasutajate puudumine süsteemis.

Näidates võrguseadme nime, vastatakse ainult sellelt seadmelt tulevaile päringutele, näiteks 'Listen 193.40.10.1 80'.

===Sektsioon===

<Directory />
AllowOverride None
</Directory>

tähendab, et kataloogides pole täiendavate vahenditega õigust veebiserveri konfiguratsiooni täpsustada.

Kuigi teatud parameetrite järjekord konfiguratsioonifailis ei ole tähtis, jääb kehtima parameetrile viimasena omistatud väärtus.
Käivitamine

Veebiserver käivitatakse ja peatatakse käsuga apachectl

bash# apachectl start

Peatamine toimub käsuga stop

bash# apachectl stop

Peale konfiguratsioonifaili muutmist kehtestuvad muutused serveri taaskäivitamisel soovitavalt käsuga graceful, või restart

bash# apachectl graceful

Veebiserver tuleb käivitada juurkasutajaõigustes, kuid ta töötab konfiguratsioonifailis näidatud User ja Group kasutajana. See tähendab, et failisüsteemi osad, mida soovitakse veebi näidata peavad olema vastavatele UNIXi kasutajatele nähtavad. Tavaliselt on nende failide kasutajagrupile other antud lugemisõigus.

Töötavast veebiserverist annab tunnistust see, kui süsteemi protsessitabelis on httpd deemoni nimi, isegi mitu

bash# ps auxw | grep httpd
root 30692 0.0 5.4 4236 3288 ?? Ss 4:39PM 0:00.16 /usr/local/apache/bin/httpd
nobody 30840 0.0 5.5 4272 3324 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30841 0.0 5.5 4272 3324 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30842 0.0 5.5 4272 3324 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30843 0.0 5.4 4248 3296 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30844 0.0 5.4 4248 3296 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30845 0.0 5.4 4256 3300 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd

Aga veel parem kinnitus on, kui olemaks näitega kooskõlas päring http://www.zoo.edu.ee näitab veebilehte, so faili /html/index.html. Samuti saab antud näite rakendamisel näha kasutajate kodulehti eeldusel, et nad asuvad kataloogide ~/public_html all.

Kui veebiserveri käivitamisel ilmneb raskusi, siis tasub uurida vealogi (/var/log/apache/error.log) sisu.
Automaatne käivitamine

===Veebiressursside kasutusõigus===

Veebiserveri konfigureerimisel on väga oluline näidata, mida vastuseks külastaja päringule tohib teha või saata või kas üldse külastajat teenindada.

===Direktiiv Option===

Direktiivi Options abil saab määratleda, mida kataloogis leiduvate failidega lubatakse teha. Näiteks määrates minimaalsed õigused parameetriga None, saab kataloogis sisalduvate failide poole pöörduda vaid nimeliselt; failide nimekirja ei näidata.

Options None

===Muud võimalused:===

* FollowSymLinks - kui brauser esitatud päringus on failinimi viide, siis seda järgitakse vaatamata, kas viidatav fail kuulub samale kasutajale kui
viide
* SymLinksIfOwnerMatch - kui brauser esitatud päringus on failinimi viide, siis seda järgitakse juhul, kas viidatav fail kuulub samale kasutajale
kellele viide
* Indexes - näidatakse serveri kataloogi failide nimekirja kui DirectoryIndexis näidatud faile ei leitud
* ExecCGI - CGI skriptide kasutamiseks
* Includes - SSI failide kasutamiseks
* IncludesNOEXEC - SSI failide kasutamiseks, va #exec ja CGI skriptide #include
* All - kõik eelnimetatu on lubatud

Korraga võib määratleda ka mitu parameetrit, eraldades nad üksteisest tühikuga.

Kui konfiguratsioonifailis kasutada mitmel Options direktiivi, jääb kehtima viimane. Lisades parameetri algusesse + või - märgi, lisatakse või eemaldatakse vastav toime. Näiteks kasutades direktiive

Options Indexes Includes FollowSymLinks
Options -FollowSymLinks

on toime samaväärne avaldisega

Options Indexes Includes

Direktiivi Options vaikeväärtus on All.

===Direktiivid Allow, Deny ja Order===

Direktiividega Allow, Deny ning Order abil saab kehtestada, millistelt domeenidelt tulevaid päringuid teenidatakse. Orderi abil seatakse, millises järjekorras kontroll toimub, kusjuures rakendatakse viimast reeglit, millega külastaja domeeninimi klapib. Kui ükski reegel ei klapi, toimitakse vaikimisi nagu viimane Orderi parameeter näitab. Näiteks sellise sektsiooni puhul

Order Deny,Allow
Deny from all
Allow from zoo.tartu.ee

Päringut domeenist zoo.tartu.ee teenindatakse, esimene reegel (Deny) keelab kõik, kuid teine (Allow) lubab domeeni zoo.tartu.ee. Kui Order oleks vastupidi, siis lubaks esimene reegel (Allow) zoo.tartu.ee, kuid kehtima jääks viimane reegel (Deny). Reeglite järjekord failis ei loe, kuna selle määrab Order.

Järgmises näites on lubatud päringud vaid tartu.ee domeenist, va alamdomeen zoo.tartu.ee

Order Allow,Deny
Allow from tartu.ee
Deny from zoo.tartu.ee

Tõepoolest, päringut foo.tartu.ee domeenist teenindatakse kuna ta klapib esimese (Allow) reegliga, mis lubab ning teisega, mis keelab mitte. Päringuid muudest domeenidest keelatakse, kuna nad ei klapi kummagi reegliga ning vaikimisi rakendatakse viimast Orderi parameetrit - Deny.

Order, Deny ja Allow direktiive saab kasutada vaid direktiivi Directory sees ning Deny ja Allow tuleb eraldada ainult täpselt ühe komaga!

===Veebiressursside grupeerimisvahendid===

Veebiserveri kasutusõigust ning teisi omadusi reguleerivaid parameetreid saab grupeerida järgmiste direktiividega

* Directory - kataloogis ning selle alla jäävate alamkataloogides sisalduvate failide grupeerimiseks
* Files - faili nimede järgi failide grupeerimiseks
* Location - URLi ning selle alla jäävate URLide grupeerimiseks

Sellistele gruppidele saab rakendada korraga samu määratlusi, näiteks Option parameetriga.

===Directory direktiiv===

Directory abil saab määrata näidatud kataloogi alla jäävatele failidele ühesuguseid omadusi. Näiteks kehtestame, et kataloogi /html/veeb/kalamaja alla jäävates kataloogides käsitletakse DirectoryIndexina faile index.html ja index.htm

<Directory /html/veeb/kalamaja>
DirectoryIndex index.html index.htm
</Directory>

===Files direktiiv===

Sarnaselt Directory'le saab kehtestada näidatud regulaaravaldisega klappivate failinimedega failidele ühesuguseid omadusi. Näiteks kehtestame, et failides, mille nimi algab tähtedega "e_" ja lõpeb .html-ga, tohivad sisaldada Embperli konstruktsioone

<Files ~ "^e_.*\.html$">
Options +ExecCGI
SetHandler perl-script
PerlHandler HTML::Embperl
</Files>

===Location direktiiv===

Sarnaselt Directory direktiivile saab Locationiga kehtestada osale veebikohale samasuguseid omadusi. Location mõjub mitte kataloogistruktuuri, vaid URLi mõttes hulgale elementidele. Näiteks kehtestame, et URL'ist http://kalake.zoo.edu.ee/hobused edasi tohib näha kataloogide nimekirja

<Location /hobused>
Options Indexes
</Location>

Tavaliselt piisab Directory kasutamisest, kuid kuna veebiserveri kataloogi-ja URLihierarhia ei pruugi alati kokku langeda, siis on sellest vahel abi.

===Kataloogipõhine veebiserveri konfigureerimine===

Veebiserveri põhikonfiguratsioonifailis näidatud väärtusi saab iga kataloogi jaoks täpsustavalt määrata kataloogis sisalduva konfiguratsiooni .htaccess faili abil. Selle faili nimi on määratud põhikonfiguratsioonifailis direktiiviga AccessFileName, mis peab esinema Directory sees. Faili süntaks on sama, mis põhikonfiguratsioonifailil. Seda, milliseid omadusi on ludatud .htaccess failiga täpsustada, näitab põhikonfiguratsioonifailis direktiiv AllowOverride; järgmistele parameeritele vastab voli muuta toodud parameetreid

* AuthConfig - AuthGroupFile, AuthName, AuthType, AuthUserFile, Require jne
* FileInfo - AddEncoding, AddLanguage, AddType, DefaultType, ErrorDocument jne
* Indexes - DirectoryIndex, AddDescription, AddIcon, AddIconByEncoding, AddIconByType, DefaultIcon, DirectoryIndex, FancyIndexing, HeaderName,
IndexIgnore, IndexOptions, ReadmeName jne
* Limit - Order, Allow, Deny
* Options - Options, XBitHack
* None - mitte midagi
* All - kõik nimetatud

Vaikimisi toimib parameeter All. Kui ei soovita lasta kasutajatel veebiserverit konfigureerida, siis kasutage peale veebiserveri põhiosa direktiivi

AllowOverride None

.htaccess failis tohib kasutada direktiivi Files, aga ei saa kasutada Diectory või Location.

Tavaliselt on ohutu ning kasutajaile piisav

AllowOverride Indexes AuthConfig

===Alias===

Direktiiv Alias võimaldab muuta veebi failile kataloogistruktuuri vastavust URLi struktuurile. Näiteks olgu kataloogis /html/veeb/hobused/2000/tyrinaitus/ehola_talu failid ning soovime neile ligi pääseda URLiga http://www.zoo.tartu.ee/ehola_talu. Kasutame sellist Aliast

Alias /ehola_talu/ /html/veeb/hobused/2000/tyrinaitus/ehola_talu/

Antud juhul laheneb päring http://www.zoo.tartu.ee/ehola_talu/, kuid mitte http://www.zoo.tartu.ee/ehola_talu.

Lisaks saab Aliasega kaasata veebi faile ning katalooge, mis asuvad failisüsteemi mõttes väljaspool DocumentRootu.

Alias /valdek/ /html/valdek/veeb/

Aliase süntaks on järgmine

Alias URLi-tee kataloogi-tee

kus

* URLi-tee on osa URList, mis jääb peale serverinimi osa, näiteks http://www.zoo.tartu.ee/ehola_talu/ puhul /ehola_talu/
* kataloogi-tee on vastava kataloogi nimi

Aliasi saab kasutada peakonfiguratsioonifailis või võrdväärsetes kohtades, näiteks VirtualHost sektsioonis. Aliaste kasutamisel tuleb tavaliselt kasutada kataloogi tee'le vastavaid Directory direktiive, muutmaks sobivaks veebiosa kasutusõigused. Aliased loetakse läbi enne Directory sektsioone.

Aliase kasutamisel tuleb tähele panna, et URLi tee asendatakse igal juhul kataloogiteega. Kas sel juhul, kui päring on pikem, kooskõlas kasutatud näitega päringu http://www.zoo.tartu.ee/ehola_talu/ratsahobused/piiker.html puhul esitatakse fail /html/veeb/hobused/2000/tyrinaitus/ehola_talu/ratsahobused/piiker.html.

Soovides teha paindlikumaid nö ümberkirjutusi, kasutage mod_rewrite'i võimalusi.

===CGI===

CGI kasutamiseks lisage konfiguratsioonifaili rida

AddHandler cgi-script .cgi .pl

Tulemusena püüab veebiserver käivitada kõiki serveeritavaid .cgi ja .pl lõpuliste nimedega faile, eeldusel, et failile rakendub Optioni parameeter ExecCGI. Käivitamisel tekkiv programmiväljund saadetakse brauserisse, kusjuures see peab algama tuntud Content-type'iga, näiteks text/html. Seda võib teha näiteks Directory abil; kehtestame, et kõikjal veebi faile sisaldavas kataloogis /html/veeb/suhtleja ja selle all asuvad .cgi ja .pl lõpuliste nimedega failid on käivitatavad

<Directory /suhtleja>
Options ExecCGI
</Directory>

Soovides näidata, et vaatamata failinimele tuleb käsitleda faili CGI skriptina, kasutage ScriptAlias direktiivi. Tüüpiliselt määratletakse URLi http://kalake.zoo.tartu.ee/cgi-bin/'le vastavad failid skriptideks

ScriptAlias /cgi-bin/ /html/veeb/cgi-bin/

Tulemusena, näiteks päringu http://kalake.zoo.tartu.ee/cgi-bin/kasutajatenimikiri.sh puhul käivitatakse fail /html/veeb/cgi-bin/kasutajatenimekiri.sh.

===SSI===

SSI (Server Sides Includes) tehnika võimaldab sisestada brauseri päringus nõutud faili koosseisu muude failide sisu.

SSI kasutamiseks lisage konfiguratsioonifaili rida

AddType text/html .shtml
AddHandler server-parsed .shtml

ning näidake näiteks direktiivide Directory ja Options parameetri Includes abil, milliseid faile tohib server käsitleda SSIdena. Näiteks kehtestame, et kataloogi /html/veeb/uudised all kasutatakse SSId

<Directory /html/veeb/uudised<>
Options IncludesNOEXEC
</Directory>

Tulemusena saab failides, mille nime lõpus on .shtml, kasutada SSI konstruktsioone, va #exec ja CGI skriptide #include.

===Embperl===

Embperl on tehnika, mis võimaldab sisestada HTML koodi sisse Perli konstruktsioone. Selle võimaluse kasutamiseks lisage konfiguratsioonifaili

<Files ~ "\.html$">
Options ExecCGI
SetHandler perl-script
PerlHandler HTML::Embperl
</Files>

Tulmusena lahendab veebiserver failides, mille nime lõpetab .html sisalduva Perli koodi.

Muuseas, Embperli rakendamisel on veebiserver ka tavalise HTML süntaksi osas oluliselt rangem. Tüüpiliselt ei meeldi talle [# jne järgnevused, mida kasutatakse Embperli skriptide tähistamiseks. Et neid sümboleid siiski kasutada saada, esitage neid a la &#kood;, näiteks <.

===PHP===

PHP on tehnika, mis võimaldab lisada HTML koodi sisse PHP keele konstruktsioone. Selle võimaluse kasutamiseks lisage konfiguratsioonifaili

AddType application/x-httpd-php .php

Veebiserverisse konfigureeritud PHP omadusi saab näha PHP skriptiga

<?
phpinfo();
?>

===Serveri kasutajate kodulehed===

Vaikimisi eeldab veebiserver, et näiteks URLile http://www.zoo.tartu.ee/~priit vastab süsteemi kasutaja priit kodukataloogis olev kataloog public_html. Selle kataloogi nime määrab direktiiv UserDir.

===Veebi kaitsmine parooliga===

Apache pakub vahendid veebistruktuuri kaitsmiseks parooliga. Konfiguratsioonifailis näidatakse ära, millist ressurssi kaitsta ning millist autentimissüsteemi kasutada.

Kõige lihtsamal juhul tuleb programmiga htpasswd genereerida lubatud külastajate paroolifail, milles on kirjas kasutajanimed ning vastavad paroolid. See fail on reeglina erinev süsteemi paroolifailist, kus veebiserver töötab. Kui külastaja püüab siseneda kaitstud veebi, avaneb dialoog ning küsitakse tema kasutajanime ning parooli. Sobiva paari sisestamisel lubatakse külastaja veebile ligi, kusjuures kõnealust veebi saab kasutada kuni brauseri sulgemiseni.

Näiteks kaitseme kataloogistruktuuri /html/salajane kirjeldatud paroolikontrolliga

<Directory /html/salajane>
AuthUserFile /usr/local/apache/conf/salajane.paroolifail
AuthType Basic
AuthName Salajane
require valid-user
</Directory>

kus on kasutatud direktiive:

* AuthUserFile - paroolifailinimi, /usr/local/apache/conf/salajane.paroolifail
* AuthType - millist tüüpi autentimisega on tegemist, antud juhul Basic
* AuthName - parameetri väärtust näidatakse aknas, kuhu kasutaja sisestab oma veebi kasutajanime ja parooli; sama veebi piires saab sama kasutajanimega
seostada erinevaid paroole, mistõttu peab külastaja saama teada, millist parooli konkreetsel juhul tarvitada
* require valid-user - sellele ressursile lastakse ligi vaid peale edukat autentimist

Sobiv paroolifail moodustatakse programmiga htpasswd

bash$ htpasswd -b -c -m salajane.paroolifail priit priiduparool

kus

1. -b kasutaja parooliks loetakse käsurea viimane sõna (priiduparool)
2. -c seda võtit tuleb kasutada vaid siis, kui paroolifaili veel ei eksisteeri; edaspidi peab selle võtme ära jätma, sest muidu kustutatakse olemasoleva
paroolifaili sisu
3. -m kasutada MD5 krüptimist; jättes selle võtme kirjutamata tekitatakse CRYPT proolid
4. järgnevad paroolifaili nimi (salajane.paroolifail) ja kasutajanimi (priit)

Tundub, et peale Directory, saab autentimist kasutada ka Location sektsioonis, mis on veebi suhtes veel asjakohasem.

Paroolifail peab olema loetav sellele kasutajale, kelle õigustes veebiserver töötab (näiteks nobody) ning soovitavalt mitte olema veebiga samas kataloogistruktuuris.

===Logi===

Apache veebiserveriga saab logida tekstifaili erinevatel tingimustel toimunud päringuid ning neid logifaile automaatselt roteerida. Logida saab paraleelselt ka näidatud tingimustele erinevates formaatides erinevatesse failidesse.

Direktiiviga LogFormat kirjeldatakse mida logitakse. Tüüpiliselt defineeritakse formaat nimega tavaline

LogFormat "%h %l %u %t \"%r\" %>s %b" tavaline

kus

* %h - maisinanimi, kust päring esitati
* %l - kasutajanimi, kes päringu esitas eeldusel, et IdentityCheck tomib; tavaliselt see väli jääb tühjaks, kuna IdentityCheck'i kasutamine võtab
tublisti veebi kiirust alla
* %u - kui veebiserveri ressurss nõudis autentimist, siis kasutatud kasutajanimi
* %t - päringu esitamise aeg
* \"%r\" - jutumärkides esitatud päringu esimene rida
* %>s - päringule vastuse olek (ingl. k. status)
* %b - päringu vastuse maht baitides
* tavaline - logiformaadi nimi

Logimine ise toimub direktiiviga CustomLog, näiteks logime, kasutades logiformaati tavaline, faili /var/log/apache/tavaline.log

CustomLog /var/log/apache/tavaline.log tavaline

Soovides logifaili automaatselt roteerida, kasutage veebiserveriga kaasas olevat programmi rotatelogs. Näiteks moodustame iga nädal uue logi

CustomLog "|/usr/local/apache/bin/rotatelogs /var/log/apache/tavaline.log 604800" common

Logi faili nimi moodustatakse lisades failinime lõppu aja sekundites, mis on möödunud UNIXi ajastu algusest, so 1970. 1. jaanuar kell 00:00 hommikul.

===Vealogi===

Vealogisse salvestatakse serveri töös toimunud vead, sh näiteks päringud puuduvatele failidele. Logitaset saab reguleerida direktiiviga LogLevel, soovitatakse taset warn

LogLevel warn

Direktiiviga ErrorLog näidatakse, kuhu logi salvestada

ErrorLog /var/log/apache/error.log

Logianalüsaatorid

Apache veebiserveri logi analüüsiks sobib kasutada näiteks programmi Webalizer.

===Veebiserveri staatus ja info===

Eeldusel, et veebiserverisse on sissekompilleeritud vastavad moodulid võtmetega --enable-module=status ja --enable-moudule=info, saab näha veebiserveri konfiguratsiooni (info) ning parasjagu olevat seisu (status).

Näidates konfiguratsioonifailis direktiivi ExtendedStatus parameetriks "On", esitatakse staatus põhjalikumalt.

Nende veebiserveri omaduste nägemiseks peab sisalduma konfiguratsioonifailis kaks sektsiooni

URLi http://www.zoo.tartu.ee/status-info jaoks

<Location /server-info>
SetHandler server-info
Order deny,allow
Deny from all
Allow from .zoo.tartu.ee
</Location>

URLi http://www.zoo.tartu.ee/server-info jaoks

<Location /server-status>
SetHandler server-status
Order deny,allow
Deny from all
Allow from .zoo.tartu.ee
</Location>

Mõlemas sektsioonis on kasutatud Deny ja Allow direktiive, piiramaks nende URLide külastamise õigust. Kuigi sealt midagi väga salajast ei paista, on külastama lubatud vaid zoo.tart.ee domeeni masinastest.
Veebi-indekseerijad

Apache veebiserver ei sisalda indekseerimisvahendeid, so võimalusi luua serveeritavale veebile otsingumootorit. Küll aga sobib kasutada mõnda olemasolevat veebiindeksaatorit, näiteks Glimpse või HtDig.

Hoopis teine probleem on kuidas kontrollida, mida tohivad teha teised otsingumootorid (tuntud kui robotid või nuhid) teie veebi külastades. Tüüpiliselt tuleb neid kontrollida, kuna nad võivad täita avalikke andmebaase kiiresti vananeva infoga või ebasoovitavalt teie serverit koormata.

===URLi ümberkirjutamine===

Ümberkirjutamise kasutamiseks on vaja mod_rewrite'i toetus serverisse kompilleerida võtmega --enable-module=rewrite.

See tehnika võimaldab suunata serverisse tulevad päringud ümber, jäädes sama serveri piiridesse või välja. Ümbersuunamisi saab konfigureerida peakonfiguratsioonifailist või .htaccess failist.

Ümbersuunamisel saab kasutada tingimusi või teha seda juhuslikult.

Tõenäoliselt on võimalik järgnevalt näidetena toodud tegevusi korraldada ka muude vahenditega, URLi ümberkirjutamine mod_rewrite'ga on selleks üks käepärane vahend.

Ümberkirjutuste tegemiseks tuleb esmalt aktiviseerida ümberkirjutusmehhanism

RewriteEngine On

Ümberkirjutust ennast teostab direktiiv RewriteRule. Näiteks suuname kõik veebiserverisse kasutajale priit tulevad päringud (http://www.zoo.tartu.ee/~priit) aadressile http://www.priit.ee

RewriteRule ^/~priit.+ http://www.priit.ee

Direktiivi RewriteRule esimene argument on regulaaravaldis (^/~priit.+) ning kui sellega päring klapib, siis suunatakse brauser teise parameetriga näidatud URLile (http://www.priit.ee). Kasutaja brauseri Location real kirjutatakse URL paratamatult ümber.

Direktiivi süntaks on järmine

RewriteRule regulaaravaldis asendus [võtmed]

kus

* regulaararvaldisega kontrollitakse, kas URL klapib ümberkirjutamisreegliga, kusjuures URL on antud juhul see osa päringust, mis jääb paremale
http://www.zoo.tartu.ee'st, näite puhul /~priit.
* kui URL klappis, siis asendatakse URL asendusega 'asendus'
* lisaks on mõnel juhul oluline kasutada võtmeid, mis kontrollivad ümberkirjutamise peensusi

^ tähistab, et / peab olema URLi esimene sümbol ning peale priit 't' tähte võib tulla kuitahes palju mistahes sümboleid (.+). Muuseas, antud juhul suunatakse ümber näiteks päring http://www.zoo.tartu.ee/~priit-onvastmees.

Lubatud on kasutada järjest mitmeid asendusi, mil neid rakendatakse järjest, tulemuseks on viimane tehtud ümberkirjutus. Järgmise asenduse regulaaravaldist klapitatakse eelmise ümberkirjutamisel tehtud tulemusega.

Esitame näite sisemise ning välimise ümberkirjutamise kohta. Soovides vastuseks päringule http://www.zoo.tartu.ee/vana.html brauserisse saata lehe uus.html, kusjuures jättes brauseri Location reale esialgse teksti, so http://www.zoo.tartu.ee/vana.html, kasutage ümberkirjutamisreeglit

RewriteRule ^vana\.html$ uus.html

Sama, kuid brauseri Location real kajastub ümberkirjutus

RewriteRule ^vana\.html$ uus.html [R]

^vana\.html$ tähendab, et asendus toimub, kui päring oli täpselt vana.html, so algas v-ga (^) ja lõppes l-ga ($); punkt on regulaaravaldise erisümbol ja tuleb põgeda (\).

Kirjutades järjest mitu ümberkirjutusreeglit ning soovides, et ümberkirjutamine lõppeks antud reegliga, tuleb reegli lõppu lisada võti L (last).

RewriteRule ^/~priit.+ http://www.priit.ee [R,L]
RewriteRule ^/~nea.+ http://www.nea.ee [R,L]
RewriteRule ^/~inna.+ http://www.inna.ee [R,L]
RewriteRule ^/~mart.+ http://www.mart.ee [R,L]

Kui aga veebiserverit tõstetakse ühest masinast teise, oletame, et uus töötab, kuid kasutajate kodud on vanas, siis lisage uue konfi selline rida

RewriteRule ^/~(.+) http://vana.zoo.edu.ee/~$1 [R,L]

Siin on kasutatud regulaaravaldist koos asendamisega. $1 asendatakse tekstiga, mis klappis kasutatud regulaaravaldises avaldisega (.+). Praktiliselt näiteks

===Lisatingimuste kasutamine===

Direktiiv RewriteRule teostab ümberkirjutusi niikuinii tingimusi kasutades regulaaravaldise abil. Peale selle saab seada direktiiviga RewriteCond lisatingimusi. Näiteks sõltuvalt serveri kellaajast, saadetakse brauserile üks või teine veeb

RewriteEngine on
RewriteCond %{TIME_HOUR}%{TIME_MIN} >0700
RewriteCond %{TIME_HOUR}%{TIME_MIN} <1900
RewriteRule ^index\.html$ paev.html

RewriteRule ^index\.html$ oo.html

%{TIME_HOUR} asendatakse päringu sooritamise kellaaja tunniväärtusega. Oluline on kirjutada < ja 0700 järjest, kusjuues toimub leksikograafiline stringide, mitte arvude võrdlus.

Kui brauser esitab veebiserverile päringu päeval, siis toimub ümberkirjutus index.html -> paev, kuna esimese direktiivi RewriteRule regulaaravaldis klappis URLiga ning kõik eelnenud lisatingimused olid täidetud. Seejärel klapitatakse teist RewriteRule'i eelmise väljundiga, so paev.html - ei klapi ning midagi ei kirjutata ümber.

Lisatingimusi on sobiv kasutada ka brauserite eristamiseks.

RewriteCond %{HTTP_USER_AGENT} Mozilla/4*
RewriteRule ^leht.html$ leht.moz.html [L]

RewriteCond %{HTTP_USER_AGENT} Lynx.*
RewriteRule ^leht.html$ leht.lynx.html [L]

Sõltuvalt päringu tegija aadressist, saab esitada erinevat veebi.

RewriteCond %{REMOTE_ADDR} ^192.168.1.3$
RewriteRule ^leht.html$ 192.168.1.3.html [L]

===Ümberkirjutusalus===

Kui te tegutsete sügavamal URLi-struktuuri sees, kasutage RewriteRule'i juurika ümbernimetamiseks direktiivi RewriteBase. Näiteks kirjutatakse URL http://www.zoo.tartu.ee/~priit/lemmikud/hobused.html ümber URLiks http://www.zoo.tartu.ee/~priit/lemmikud/kabjaksed.html

RewriteBase /~priit/lemmikud
RewriteRule ^hobused.html$ kabjaksed.html

===Ümberkirjutustabel===

Esitatud päringu juhuslikult valitud URLile ümbersuunamiseks on sobiv kasutada direktiivi RewriteMap. RewriteMap pakub võimaluse salvestada tekstifaili hulga URLe, mille poole saab ümberkirjutusreeglist pöörduda. Näiteks loome olukorra, kus päringule http://www.zoo.tartu.ee/juhuslik vastatakse juhuslikult valitud veebilehega.

Kirjeldame tabelikirjeldusfailis vl.txt juhuslike veebilehtede nimed

bash# cat /usr/local/apache/vl.txt
veebilehed 1.html|2.html|3.html|4.html|5.html|6.html|7.html

ning lisame veebiserveri konfiguratsioonifaili read

RewriteMap vl rnd:/usr/local/apache/vl.txt
RewriteRule ^/juhus$ /home/html/juhus/${vl:veebilehed|html.html}

Ümberkirjutustabeli süntaks on selline

RewriteMap tablelinimi tabelitüüp:tabelikirjeldusfail

kus

* tabelinimi - on kooskõlas ümberkirjutusreeglis kasutatud nimega
* tabelitüüp - rnd (random) näitab et
* tabelikirjeldusfail - failis kirjeldatakse tabeli sisu, näiteks juhusliku puhul peab eraldama andmed |-ga (loogiline OR)

Ümberkirjutusreegli asenduses kasutatud muutujat ${vl:veebilehed|html.html} väärtustatakse ümberkirjutustabeli vl võtme veeblilehed abil. Kui sellist ümberkirjutustabelit mingil põhjusel pole, on muutuja väärtus html.html.

===Ümberkirjutuslogi===

Ümberkirjutamise tööleseadmisel ning toimuvate ümberkirjutuste jälgimiseks saab kasutada direktiive RewriteLog ja RewriteLogLevel

RewriteLogLevel 3
RewriteLog /var/log/apache/rewrite.log

===Veebiserveri konfiguratsioonifaili lugemine===

Lihtsamatel juhtudel pole see oluline, millises järjekorras veebiserver direktiivides esitatud reegleid kehtestab. Näiteks, kui konfiguratsioonifailis ei sisaldugi Location ja Files sektsioone, kuid soovides kasutada veebiseverit paindlikumalt, tuleb järjekorraga arvestada.

Direktiivide puhul ei hooli Apache suurtest ja väikestest tähtedest, kuid parameetrite puhul on see tihti oluline.

Eeldusel, et te paigutate kogu konfiguratsiooni ühte faili, sisalduvad seal kaks osa

* põhiosa - kirjeldatakse veebiserveri üldisi omadusi, näiteks millise kasutaja õigustes ta töötab
* ressursside määrangud - kehtestatakse reeglid, kuidas veebiserver faile serveerib, näiteks käsitleb .php lõpulisi faile PHP skriptidena

Üldosa direktiivide järjekord pole oluline, kui sama direktiiv on väärtustatud mitu korda, jääb kehtima viimane väärtus.

Kui ressursside omadusi määratakse grupeerimisvahendite abil, siis sõltumata konfigureerimisfailis esinemise järjekorrast, loetakse neid sellises järjekorras: Directory, Files, Location

Directory sees võivad olla kirjeldatud omakorda Files sektsioonid.

Directory sees on lubatud kasutada järgmisi direktiive:

* DirectoryIndex
* Options
* Order, Allow, Deny
* AllowOverride
* AddHandler
* AddType

Files sektsioonis on lubatud kasutada praktiliselt samasid direktiive, mida sektsioonis Directory eeldusel, et neid on mõistlik rakendada failidele. Ilmselt ei saa kasutada näiteks direktiivi DirectoryIndex, küll aga näiteks Allow ja Deny.

Location sektsioonis on lubatud kasutada praktiliselt samasid direktiive, mida sektsioonis Directory. Kuna Locationit rakedatakse kõige viimasena, siis ei saa seal näiteks kasutada Options direktiivi, küll aga näiteks Allow ja Deny'id.

===Veebiserveri turvalisus===

Veebiserveri kasutamisel arvestage, et iseenesest on veebiserver programm, mis teeb teie arvuti failid kättesaadavaks HTTP protokolli kasutavaile klientidele, so brauseritele.

Kuigi veebiserver tuleb käivitada juurkasutaja õigustes, toimetab ta edasi konfiguratsioonifailis näidatud kasutajana (User, Group direktiivid).

Siiski, kui te kasutate konfiguratsioonifailis teatud kohtades IO ümbersuunamist, näiteks logimise juures, siis seda teeb Apache juurkasutajana.

Vältimaks ebameeldivaid üllatusi, veenduge, et veebiserveri juurikas ning selle alla jäävad kataloogid on piisavalt kaitstud, so kasutajatel pole neisse kirjutamisõigust. Veebiserver (/usr/local/apache/bin/httpd) ja muud temaga seotud failid, näiteks rotatelogs, kuuluvad juurkasutajale ning on tavakasutajaile ning grupile others vaid käivitatavad. Tavaliselt piisab nende tingimuste täitmiseks anda käsud

bash# cd /usr/local/apache
bash# chown 0 bin conf logs
bash# chgrp 0 bin conf logs
bash# chmod 755 bin conf logs

bash# chown 0 /usr/local/apache/bin/httpd
bash# chgrp 0 /usr/local/apache/bin/httpd
bash# chmod 511 /usr/local/apache/bin/httpd

Lisaks, mõelge järele, kas te peate kasutajaile lubama käivitada CGI skripte ja andmebaase ning otsustage millistel tingimustel. Samuti kataloogipõhine veebiserveri konfigureerimisvõimalus. Näiteks lubage kasutajatel CGI skripte tarvida ainult kataloogist ~/public_html/cgi-bin

<Directory /usr/home/*/public_html/cgi-bin>
AddHandler cgi-script .cgi
Options +ExecCGI
</Directory>

Heal juhul saab veebiserveri tööleseadmise eel otsustada, milliste omadustega peab ta olema. Reeglina ei soovitata lihtsalt sisse kompileerida toetust, mida praktiliselt ei tarvitata. Näiteks, kui te olete kindel, et pole vajadust server-info ja server-status järele, siis jätke vastavad moodulid välja. Näidake seda Apache ./configure skripti juures vastavate võtmetega --disable-module=info --disable-module=status.

===Virtuaalveebiserverid===

Ühte ja sama Apache veebiserverit saab tööle seada nii, et ta serveerib erinevaid andmeid sõltuvalt sellest, millise nimega tema poole pöörduti. Asjakorraldust nimetatakse virtuaalseteks veebiserveriteks, kuna füüsiliselt on tegu ühe arvutiga, kuid külastajaile jäetakse mulje, et neid on mitu.

Virtuaalseid veebiservereid on kolme sorti:

* pordipõhised - sõltuvalt külastaja poolt kastatud pordist serveeritakse erinevat veebi
* IP-põhised - sõltuvalt külastaja poolt kasutatud IP-aadressist serveeritakse erinevat veebi
* nimepõhised - sõltuvalt külastaja poolt kasutatud DNSi nimest serveeritakse erinevat veebi; reeglina vastavad erinevad nimed samale IP-aadressile,
so on kirjeldatud CNAMEdena.

Põhimõtteliselt on võimalik kasutada neid virtuaalservereid ka kombineeritult korraga.

Erijuht virtuaalveebi serveerida, on käivitada mitu eksemplari httpd servereid, iga oma konfiguratsiooniga. Kuna see võimalus on suhteliselt ebaefektiivne ning ei paku olulisi täiendavaid võimalusi, siis seda me ei käsitle.

Virtuaalserveri sektsioonis (VirtualHost) saab kasutada paljusid direktiive, mida peaserveri puhul, sh direktiive Options, Alias, Directory, Location, Files. Samuti direktiive, mis reguleerivad SSI, CGI, PHP, Emperli, ümberkirjutamise ja logi kasutamist. Kui direktiivi ei näidata, kasutatakse põhikonfiguratsiooni väärtust, kui seal seda samuti pole, siis vaikeväärtust.

===Pordipõhised virtuaalveebiserverid===

Kasutamaks erinevaid veebiseveri konfiguratsioone sõltuvalt sellest, millisele pordile päring tuli, kasutage direktiive Listen ja VirtualHost. Näiteks teenindab veebiserveri konfiguratsioonifaili põhiosale vastav server kõiki päringuid, va neid, mis on suunatud aadressi 193.40.50.1 (www.zoo.edu.ee) pordile 8080 või pordile 8081. Viimast kahte teenindatakse vastavalt VirtualHosti sektsioonile. Näiteks seame lisaks põhiosale tööle kaks alternatiivset dokumendijuurikat ja logi

...
Listen 80
Listen 193.40.50.1:8080
Listen 193.40.50.1:8081
<VirtualHost 193.40.50.1:8080>
ServerAdmin mart@zoo.edu.ee
DocumentRoot /www/mardizoo
ErrorLog /var/logs/mardizoo.error.log
CustomLog /var/logs/mardizoo.log common
</VirtualHost>

<VirtualHost 193.40.50.1:8081>
ServerAdmin priit@zoo.edu.ee
DocumentRoot /www/priiduzoo
ErrorLog /var/logs/priituzoo.error.log
CustomLog /var/logs/priiduzoo.log common
</VirtualHost>

kusjuures peakonfiguratsiooni on lisatud vastavad Listen direktiivid.

Brauseris tuleb päringud esitada vastavalt http://www.zoo.edu.ee:8080 või http://www.zoo.edu.ee:8081.

===IP-põhised virtuaalveebiseverid===

IP-põhised virtuaalveebiserverite kasutamisel on veebiserveril mitu IP aadressi. St masinal on mitu võrgukaarti või on kasutatud IP-aliasingut.

IP-põhiste virtuaalveebiserverite kasutamisel näidake direktiivi VirtualHost juures ära IP aadress, ning samas sektsioonis kirjeldage kõnealuse veebiserveri omadused. Näiteks kui masinal on kaks võrgukaarti IP aadressidega 193.40.10.1 ning 193.40.50.1 kasutage sektsioone

<VirtualHost 193.40.50.1>
ServerName www.zoo.tartu.ee
ServerAdmin priit@zoo.tartu.ee
DocumentRoot /www/tartuzoo
ErrorLog /var/logs/tartuzoo.error.log
CustomLog /var/logs/tartuzoo.log common
</VirtualHost>

<VirtualHost 193.40.10.1>
ServerName www.zoo.edu.ee
ServerAdmin mart@zoo.edu.ee
DocumentRoot /www/eduzoo
ErrorLog /var/logs/eduzoo.error.log
CustomLog /var/logs/eduzoo.log common
</VirtualHost>

Peakonfiguratsiooni osa järgi teenindatakse neid päringuid, millel ei leidu sobivat virtuaalserverit. Näiteks kui masinal on veel kolmas võrguseade ning päring siseneb selle aadressile.

Virtuaalserveri direktiivi juurde võib kirjutada ka mitu IP aadressi, mispuhul kasutatakse kõnealust serverit neile kõigile tulnud päringutele vastamisel.

===Nimepõhised virtuaalveebiserverid===

Nimepõhisete virtuaalveebiserverite kasutamine eeldab, et ühele IP aadressile (193.40.50.1) on nimesüsteemis (DNS) seatud näiteks CNAMEiga vastavusse mitu domeenime (www.zoo.tartu.ee, post.zoo.tartu.ee).

Kui soovite kasutada enam kui ühte veebiserverit, siis on soovitav kõik veebiserverid konfigureerida virtuaalseteks. Kusjuures põhiserverile ei vastagi DocumentRoot'i.

Nimepõhiste virtuaalveebiserverite kasutamine deklareeritakse peakonfiguratsiooni osas direktiiviga NameVirtualHost. Direktiivi järel näidatakse IP aadress, millele tulnud päringute teenindamisel kasutatakse sobivat VirtualHosti sektsiooni. Näiteks

NameVirtualHost 193.40.50.1

puhul kasutatakse aadressile 193.40.50.1 saabunud päringute töötlemiseks sobiva domeeninimega (ServerName) VirtualHost sektsiooni.

Erinevad virtuaalserverid kirjeldatakse direktiiviga VirtualHost, näiteks sarnase sektsiooniga

<VirtualHost 193.40.50.1>
ServerName www.zoo.tartu.ee
ServerAdmin priit@zoo.tartu.ee
DocumentRoot /www
ErrorLog /var/logs/www.error.log
CustomLog /var/logs/www.log common
</VirtualHost>

<VirtualHost 193.40.50.1>
ServerName post.zoo.tartu.ee
ServerAdmin post@zoo.tartu.ee
DocumentRoot /post
ErrorLog /var/logs/post.error.log
CustomLog /var/logs/post.log common
</VirtualHost>

Kui serveril on mitu võrguaadressi, siis võib kasutada direktiivi NameVirtualHost mitu korda ning lisada vastavad sektsioonid, kuid lühem on asendada IP aadress täringa (*)

NameVirtualHost *

<VirtualHost *>
ServerName www.zoo.tartu.ee
ServerAdmin priit@zoo.tartu.ee
DocumentRoot /www
ErrorLog /var/logs/www.error.log
CustomLog /var/logs/www.log common
</VirtualHost>

<VirtualHost *>
ServerName post.zoo.tartu.ee
ServerAdmin post@zoo.tartu.ee
DocumentRoot /post
ErrorLog /var/logs/post.error.log
CustomLog /var/logs/post.log common
</VirtualHost>

Päringuid, mis saabuvad direktiiviga NameVirtualHost näidatud aadressile ei teenindata IP-põhiste sektsioonide ega peaserveri konfiguratsiooni alusel.

===Kasulikud lisamaterjalid===

Apache'i veebiserver

2007-01-26T14:10:36Z

Triinu: /* Virtuaalveebiserverid */

===Veebiserveri konfigureerimine ja käivitamine===

Veebiserveri tööd juhib üks konfiguratsioonifail httpd.conf. Sellesse kirjutatake parameetrid üks reale, kusjuures # märgiga algavaid ridu ignoreeritakse. Ridu saab jätkata sisestades kurakallu (\) viimase sümbolina eelmisele reale, tegelikult eelviimasena, viimane on reavahetus :)

Lihtsal juhul võiks olla konfiguratsioonifail selline

User nobody
Group nobody
ServerType standalone
ServerName www.zoo.tartu.ee
ServerRoot "/usr/local/apache"
DocumentRoot "/html"
DirectoryIndex index.html
ErrorLog /var/log/apache/error.log
Listen 80
Options None
<Directory />
AllowOverride None
</Directory>

kus on kasutatud järgmisi direktiive

* User - kasutaja, kelle õigustes veebiserver töötab
* Group - grupp, kelle õigustes veebiserver töötab
* ServerType - serveri tüüp, tavaliselt standalone, so mitte inetd abil käivitatav
* ServerName - millise nime server arvab endal olevat
* ServerRoot - kataloog, mille all serveri programmid asuvad
* DocumentRoot - veebifailid, mida külastajaile serveeritakse
* DirectoryIndex - faili nimi, mis brauserisse saadetakse, kui ta küsib kataloogi eeldusel, et sellenimeline fail kataloogis leidub
* ErrorLog - fail, kuhu saadetakse veateated; kataloog, kus see fail asub peab olema kindlasti olemas!
* Listen - port, millel veebiserver ootab päringuid, kõigil võrguseadmetel
* Options - väärtus None tagab, et külastajale näidatakse vaid neid veebilehti, mida ta nimeliselt küsib.

Reeglina on veebiserverina töötaval arvutil nö tavaline nimi, näiteks kalake.zoo.tartu.ee ning nimeserveris on talle defineeritud lisaks ka mõned hüüdnimed (CNAMEga). Tavaliselt kasutatakse veebiserveri nime alguses kombinatsiooni www, kokku saab antud juhul www.zoo.tartu.ee, kuid veebiserveri nimi ei pea sugugi algama www-ga olles näiteks see sama kalake.zoo.tartu.ee.

Konfiguratsioonifailis kasutatud kataloogid peavad süsteemis leiduma, toodud näites peavad nad kuuluma lähtudes turvakaalutlustest juurkasutajale; samuti nendest kataloogidest ülevalpool asuvad kataloogid.

Reeglina on süsteemis vaikimisi olemas mitteprivilegeeritud kasutaja nobody grupiga nobody. Võib kasutada seda või luua spetsiaalne kasutaja, näiteks apache grupiga veeb. Veebiserveri mittekäivitumise põhjuseks on tihtipeale vastavate kasutajate puudumine süsteemis.

Näidates võrguseadme nime, vastatakse ainult sellelt seadmelt tulevaile päringutele, näiteks 'Listen 193.40.10.1 80'.

===Sektsioon===

<Directory />
AllowOverride None
</Directory>

tähendab, et kataloogides pole täiendavate vahenditega õigust veebiserveri konfiguratsiooni täpsustada.

Kuigi teatud parameetrite järjekord konfiguratsioonifailis ei ole tähtis, jääb kehtima parameetrile viimasena omistatud väärtus.
Käivitamine

Veebiserver käivitatakse ja peatatakse käsuga apachectl

bash# apachectl start

Peatamine toimub käsuga stop

bash# apachectl stop

Peale konfiguratsioonifaili muutmist kehtestuvad muutused serveri taaskäivitamisel soovitavalt käsuga graceful, või restart

bash# apachectl graceful

Veebiserver tuleb käivitada juurkasutajaõigustes, kuid ta töötab konfiguratsioonifailis näidatud User ja Group kasutajana. See tähendab, et failisüsteemi osad, mida soovitakse veebi näidata peavad olema vastavatele UNIXi kasutajatele nähtavad. Tavaliselt on nende failide kasutajagrupile other antud lugemisõigus.

Töötavast veebiserverist annab tunnistust see, kui süsteemi protsessitabelis on httpd deemoni nimi, isegi mitu

bash# ps auxw | grep httpd
root 30692 0.0 5.4 4236 3288 ?? Ss 4:39PM 0:00.16 /usr/local/apache/bin/httpd
nobody 30840 0.0 5.5 4272 3324 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30841 0.0 5.5 4272 3324 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30842 0.0 5.5 4272 3324 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30843 0.0 5.4 4248 3296 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30844 0.0 5.4 4248 3296 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30845 0.0 5.4 4256 3300 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd

Aga veel parem kinnitus on, kui olemaks näitega kooskõlas päring http://www.zoo.edu.ee näitab veebilehte, so faili /html/index.html. Samuti saab antud näite rakendamisel näha kasutajate kodulehti eeldusel, et nad asuvad kataloogide ~/public_html all.

Kui veebiserveri käivitamisel ilmneb raskusi, siis tasub uurida vealogi (/var/log/apache/error.log) sisu.
Automaatne käivitamine

===Veebiressursside kasutusõigus===

Veebiserveri konfigureerimisel on väga oluline näidata, mida vastuseks külastaja päringule tohib teha või saata või kas üldse külastajat teenindada.

===Direktiiv Option===

Direktiivi Options abil saab määratleda, mida kataloogis leiduvate failidega lubatakse teha. Näiteks määrates minimaalsed õigused parameetriga None, saab kataloogis sisalduvate failide poole pöörduda vaid nimeliselt; failide nimekirja ei näidata.

Options None

===Muud võimalused:===

* FollowSymLinks - kui brauser esitatud päringus on failinimi viide, siis seda järgitakse vaatamata, kas viidatav fail kuulub samale kasutajale kui
viide
* SymLinksIfOwnerMatch - kui brauser esitatud päringus on failinimi viide, siis seda järgitakse juhul, kas viidatav fail kuulub samale kasutajale
kellele viide
* Indexes - näidatakse serveri kataloogi failide nimekirja kui DirectoryIndexis näidatud faile ei leitud
* ExecCGI - CGI skriptide kasutamiseks
* Includes - SSI failide kasutamiseks
* IncludesNOEXEC - SSI failide kasutamiseks, va #exec ja CGI skriptide #include
* All - kõik eelnimetatu on lubatud

Korraga võib määratleda ka mitu parameetrit, eraldades nad üksteisest tühikuga.

Kui konfiguratsioonifailis kasutada mitmel Options direktiivi, jääb kehtima viimane. Lisades parameetri algusesse + või - märgi, lisatakse või eemaldatakse vastav toime. Näiteks kasutades direktiive

Options Indexes Includes FollowSymLinks
Options -FollowSymLinks

on toime samaväärne avaldisega

Options Indexes Includes

Direktiivi Options vaikeväärtus on All.

===Direktiivid Allow, Deny ja Order===

Direktiividega Allow, Deny ning Order abil saab kehtestada, millistelt domeenidelt tulevaid päringuid teenidatakse. Orderi abil seatakse, millises järjekorras kontroll toimub, kusjuures rakendatakse viimast reeglit, millega külastaja domeeninimi klapib. Kui ükski reegel ei klapi, toimitakse vaikimisi nagu viimane Orderi parameeter näitab. Näiteks sellise sektsiooni puhul

Order Deny,Allow
Deny from all
Allow from zoo.tartu.ee

Päringut domeenist zoo.tartu.ee teenindatakse, esimene reegel (Deny) keelab kõik, kuid teine (Allow) lubab domeeni zoo.tartu.ee. Kui Order oleks vastupidi, siis lubaks esimene reegel (Allow) zoo.tartu.ee, kuid kehtima jääks viimane reegel (Deny). Reeglite järjekord failis ei loe, kuna selle määrab Order.

Järgmises näites on lubatud päringud vaid tartu.ee domeenist, va alamdomeen zoo.tartu.ee

Order Allow,Deny
Allow from tartu.ee
Deny from zoo.tartu.ee

Tõepoolest, päringut foo.tartu.ee domeenist teenindatakse kuna ta klapib esimese (Allow) reegliga, mis lubab ning teisega, mis keelab mitte. Päringuid muudest domeenidest keelatakse, kuna nad ei klapi kummagi reegliga ning vaikimisi rakendatakse viimast Orderi parameetrit - Deny.

Order, Deny ja Allow direktiive saab kasutada vaid direktiivi Directory sees ning Deny ja Allow tuleb eraldada ainult täpselt ühe komaga!

===Veebiressursside grupeerimisvahendid===

Veebiserveri kasutusõigust ning teisi omadusi reguleerivaid parameetreid saab grupeerida järgmiste direktiividega

* Directory - kataloogis ning selle alla jäävate alamkataloogides sisalduvate failide grupeerimiseks
* Files - faili nimede järgi failide grupeerimiseks
* Location - URLi ning selle alla jäävate URLide grupeerimiseks

Sellistele gruppidele saab rakendada korraga samu määratlusi, näiteks Option parameetriga.

===Directory direktiiv===

Directory abil saab määrata näidatud kataloogi alla jäävatele failidele ühesuguseid omadusi. Näiteks kehtestame, et kataloogi /html/veeb/kalamaja alla jäävates kataloogides käsitletakse DirectoryIndexina faile index.html ja index.htm

<Directory /html/veeb/kalamaja>
DirectoryIndex index.html index.htm
</Directory>

===Files direktiiv===

Sarnaselt Directory'le saab kehtestada näidatud regulaaravaldisega klappivate failinimedega failidele ühesuguseid omadusi. Näiteks kehtestame, et failides, mille nimi algab tähtedega "e_" ja lõpeb .html-ga, tohivad sisaldada Embperli konstruktsioone

<Files ~ "^e_.*\.html$">
Options +ExecCGI
SetHandler perl-script
PerlHandler HTML::Embperl
</Files>

===Location direktiiv===

Sarnaselt Directory direktiivile saab Locationiga kehtestada osale veebikohale samasuguseid omadusi. Location mõjub mitte kataloogistruktuuri, vaid URLi mõttes hulgale elementidele. Näiteks kehtestame, et URL'ist http://kalake.zoo.edu.ee/hobused edasi tohib näha kataloogide nimekirja

<Location /hobused>
Options Indexes
</Location>

Tavaliselt piisab Directory kasutamisest, kuid kuna veebiserveri kataloogi-ja URLihierarhia ei pruugi alati kokku langeda, siis on sellest vahel abi.

===Kataloogipõhine veebiserveri konfigureerimine===

Veebiserveri põhikonfiguratsioonifailis näidatud väärtusi saab iga kataloogi jaoks täpsustavalt määrata kataloogis sisalduva konfiguratsiooni .htaccess faili abil. Selle faili nimi on määratud põhikonfiguratsioonifailis direktiiviga AccessFileName, mis peab esinema Directory sees. Faili süntaks on sama, mis põhikonfiguratsioonifailil. Seda, milliseid omadusi on ludatud .htaccess failiga täpsustada, näitab põhikonfiguratsioonifailis direktiiv AllowOverride; järgmistele parameeritele vastab voli muuta toodud parameetreid

* AuthConfig - AuthGroupFile, AuthName, AuthType, AuthUserFile, Require jne
* FileInfo - AddEncoding, AddLanguage, AddType, DefaultType, ErrorDocument jne
* Indexes - DirectoryIndex, AddDescription, AddIcon, AddIconByEncoding, AddIconByType, DefaultIcon, DirectoryIndex, FancyIndexing, HeaderName,
IndexIgnore, IndexOptions, ReadmeName jne
* Limit - Order, Allow, Deny
* Options - Options, XBitHack
* None - mitte midagi
* All - kõik nimetatud

Vaikimisi toimib parameeter All. Kui ei soovita lasta kasutajatel veebiserverit konfigureerida, siis kasutage peale veebiserveri põhiosa direktiivi

AllowOverride None

.htaccess failis tohib kasutada direktiivi Files, aga ei saa kasutada Diectory või Location.

Tavaliselt on ohutu ning kasutajaile piisav

AllowOverride Indexes AuthConfig

===Alias===

Direktiiv Alias võimaldab muuta veebi failile kataloogistruktuuri vastavust URLi struktuurile. Näiteks olgu kataloogis /html/veeb/hobused/2000/tyrinaitus/ehola_talu failid ning soovime neile ligi pääseda URLiga http://www.zoo.tartu.ee/ehola_talu. Kasutame sellist Aliast

Alias /ehola_talu/ /html/veeb/hobused/2000/tyrinaitus/ehola_talu/

Antud juhul laheneb päring http://www.zoo.tartu.ee/ehola_talu/, kuid mitte http://www.zoo.tartu.ee/ehola_talu.

Lisaks saab Aliasega kaasata veebi faile ning katalooge, mis asuvad failisüsteemi mõttes väljaspool DocumentRootu.

Alias /valdek/ /html/valdek/veeb/

Aliase süntaks on järgmine

Alias URLi-tee kataloogi-tee

kus

* URLi-tee on osa URList, mis jääb peale serverinimi osa, näiteks http://www.zoo.tartu.ee/ehola_talu/ puhul /ehola_talu/
* kataloogi-tee on vastava kataloogi nimi

Aliasi saab kasutada peakonfiguratsioonifailis või võrdväärsetes kohtades, näiteks VirtualHost sektsioonis. Aliaste kasutamisel tuleb tavaliselt kasutada kataloogi tee'le vastavaid Directory direktiive, muutmaks sobivaks veebiosa kasutusõigused. Aliased loetakse läbi enne Directory sektsioone.

Aliase kasutamisel tuleb tähele panna, et URLi tee asendatakse igal juhul kataloogiteega. Kas sel juhul, kui päring on pikem, kooskõlas kasutatud näitega päringu http://www.zoo.tartu.ee/ehola_talu/ratsahobused/piiker.html puhul esitatakse fail /html/veeb/hobused/2000/tyrinaitus/ehola_talu/ratsahobused/piiker.html.

Soovides teha paindlikumaid nö ümberkirjutusi, kasutage mod_rewrite'i võimalusi.

===CGI===

CGI kasutamiseks lisage konfiguratsioonifaili rida

AddHandler cgi-script .cgi .pl

Tulemusena püüab veebiserver käivitada kõiki serveeritavaid .cgi ja .pl lõpuliste nimedega faile, eeldusel, et failile rakendub Optioni parameeter ExecCGI. Käivitamisel tekkiv programmiväljund saadetakse brauserisse, kusjuures see peab algama tuntud Content-type'iga, näiteks text/html. Seda võib teha näiteks Directory abil; kehtestame, et kõikjal veebi faile sisaldavas kataloogis /html/veeb/suhtleja ja selle all asuvad .cgi ja .pl lõpuliste nimedega failid on käivitatavad

<Directory /suhtleja>
Options ExecCGI
</Directory>

Soovides näidata, et vaatamata failinimele tuleb käsitleda faili CGI skriptina, kasutage ScriptAlias direktiivi. Tüüpiliselt määratletakse URLi http://kalake.zoo.tartu.ee/cgi-bin/'le vastavad failid skriptideks

ScriptAlias /cgi-bin/ /html/veeb/cgi-bin/

Tulemusena, näiteks päringu http://kalake.zoo.tartu.ee/cgi-bin/kasutajatenimikiri.sh puhul käivitatakse fail /html/veeb/cgi-bin/kasutajatenimekiri.sh.

===SSI===

SSI (Server Sides Includes) tehnika võimaldab sisestada brauseri päringus nõutud faili koosseisu muude failide sisu.

SSI kasutamiseks lisage konfiguratsioonifaili rida

AddType text/html .shtml
AddHandler server-parsed .shtml

ning näidake näiteks direktiivide Directory ja Options parameetri Includes abil, milliseid faile tohib server käsitleda SSIdena. Näiteks kehtestame, et kataloogi /html/veeb/uudised all kasutatakse SSId

<Directory /html/veeb/uudised<>
Options IncludesNOEXEC
</Directory>

Tulemusena saab failides, mille nime lõpus on .shtml, kasutada SSI konstruktsioone, va #exec ja CGI skriptide #include.

===Embperl===

Embperl on tehnika, mis võimaldab sisestada HTML koodi sisse Perli konstruktsioone. Selle võimaluse kasutamiseks lisage konfiguratsioonifaili

<Files ~ "\.html$">
Options ExecCGI
SetHandler perl-script
PerlHandler HTML::Embperl
</Files>

Tulmusena lahendab veebiserver failides, mille nime lõpetab .html sisalduva Perli koodi.

Muuseas, Embperli rakendamisel on veebiserver ka tavalise HTML süntaksi osas oluliselt rangem. Tüüpiliselt ei meeldi talle [# jne järgnevused, mida kasutatakse Embperli skriptide tähistamiseks. Et neid sümboleid siiski kasutada saada, esitage neid a la &#kood;, näiteks <.

===PHP===

PHP on tehnika, mis võimaldab lisada HTML koodi sisse PHP keele konstruktsioone. Selle võimaluse kasutamiseks lisage konfiguratsioonifaili

AddType application/x-httpd-php .php

Veebiserverisse konfigureeritud PHP omadusi saab näha PHP skriptiga

<?
phpinfo();
?>

===Serveri kasutajate kodulehed===

Vaikimisi eeldab veebiserver, et näiteks URLile http://www.zoo.tartu.ee/~priit vastab süsteemi kasutaja priit kodukataloogis olev kataloog public_html. Selle kataloogi nime määrab direktiiv UserDir.

===Veebi kaitsmine parooliga===

Apache pakub vahendid veebistruktuuri kaitsmiseks parooliga. Konfiguratsioonifailis näidatakse ära, millist ressurssi kaitsta ning millist autentimissüsteemi kasutada.

Kõige lihtsamal juhul tuleb programmiga htpasswd genereerida lubatud külastajate paroolifail, milles on kirjas kasutajanimed ning vastavad paroolid. See fail on reeglina erinev süsteemi paroolifailist, kus veebiserver töötab. Kui külastaja püüab siseneda kaitstud veebi, avaneb dialoog ning küsitakse tema kasutajanime ning parooli. Sobiva paari sisestamisel lubatakse külastaja veebile ligi, kusjuures kõnealust veebi saab kasutada kuni brauseri sulgemiseni.

Näiteks kaitseme kataloogistruktuuri /html/salajane kirjeldatud paroolikontrolliga

<Directory /html/salajane>
AuthUserFile /usr/local/apache/conf/salajane.paroolifail
AuthType Basic
AuthName Salajane
require valid-user
</Directory>

kus on kasutatud direktiive:

* AuthUserFile - paroolifailinimi, /usr/local/apache/conf/salajane.paroolifail
* AuthType - millist tüüpi autentimisega on tegemist, antud juhul Basic
* AuthName - parameetri väärtust näidatakse aknas, kuhu kasutaja sisestab oma veebi kasutajanime ja parooli; sama veebi piires saab sama kasutajanimega
seostada erinevaid paroole, mistõttu peab külastaja saama teada, millist parooli konkreetsel juhul tarvitada
* require valid-user - sellele ressursile lastakse ligi vaid peale edukat autentimist

Sobiv paroolifail moodustatakse programmiga htpasswd

bash$ htpasswd -b -c -m salajane.paroolifail priit priiduparool

kus

1. -b kasutaja parooliks loetakse käsurea viimane sõna (priiduparool)
2. -c seda võtit tuleb kasutada vaid siis, kui paroolifaili veel ei eksisteeri; edaspidi peab selle võtme ära jätma, sest muidu kustutatakse olemasoleva
paroolifaili sisu
3. -m kasutada MD5 krüptimist; jättes selle võtme kirjutamata tekitatakse CRYPT proolid
4. järgnevad paroolifaili nimi (salajane.paroolifail) ja kasutajanimi (priit)

Tundub, et peale Directory, saab autentimist kasutada ka Location sektsioonis, mis on veebi suhtes veel asjakohasem.

Paroolifail peab olema loetav sellele kasutajale, kelle õigustes veebiserver töötab (näiteks nobody) ning soovitavalt mitte olema veebiga samas kataloogistruktuuris.

===Logi===

Apache veebiserveriga saab logida tekstifaili erinevatel tingimustel toimunud päringuid ning neid logifaile automaatselt roteerida. Logida saab paraleelselt ka näidatud tingimustele erinevates formaatides erinevatesse failidesse.

Direktiiviga LogFormat kirjeldatakse mida logitakse. Tüüpiliselt defineeritakse formaat nimega tavaline

LogFormat "%h %l %u %t \"%r\" %>s %b" tavaline

kus

* %h - maisinanimi, kust päring esitati
* %l - kasutajanimi, kes päringu esitas eeldusel, et IdentityCheck tomib; tavaliselt see väli jääb tühjaks, kuna IdentityCheck'i kasutamine võtab
tublisti veebi kiirust alla
* %u - kui veebiserveri ressurss nõudis autentimist, siis kasutatud kasutajanimi
* %t - päringu esitamise aeg
* \"%r\" - jutumärkides esitatud päringu esimene rida
* %>s - päringule vastuse olek (ingl. k. status)
* %b - päringu vastuse maht baitides
* tavaline - logiformaadi nimi

Logimine ise toimub direktiiviga CustomLog, näiteks logime, kasutades logiformaati tavaline, faili /var/log/apache/tavaline.log

CustomLog /var/log/apache/tavaline.log tavaline

Soovides logifaili automaatselt roteerida, kasutage veebiserveriga kaasas olevat programmi rotatelogs. Näiteks moodustame iga nädal uue logi

CustomLog "|/usr/local/apache/bin/rotatelogs /var/log/apache/tavaline.log 604800" common

Logi faili nimi moodustatakse lisades failinime lõppu aja sekundites, mis on möödunud UNIXi ajastu algusest, so 1970. 1. jaanuar kell 00:00 hommikul.

===Vealogi===

Vealogisse salvestatakse serveri töös toimunud vead, sh näiteks päringud puuduvatele failidele. Logitaset saab reguleerida direktiiviga LogLevel, soovitatakse taset warn

LogLevel warn

Direktiiviga ErrorLog näidatakse, kuhu logi salvestada

ErrorLog /var/log/apache/error.log

Logianalüsaatorid

Apache veebiserveri logi analüüsiks sobib kasutada näiteks programmi Webalizer.

===Veebiserveri staatus ja info===

Eeldusel, et veebiserverisse on sissekompilleeritud vastavad moodulid võtmetega --enable-module=status ja --enable-moudule=info, saab näha veebiserveri konfiguratsiooni (info) ning parasjagu olevat seisu (status).

Näidates konfiguratsioonifailis direktiivi ExtendedStatus parameetriks "On", esitatakse staatus põhjalikumalt.

Nende veebiserveri omaduste nägemiseks peab sisalduma konfiguratsioonifailis kaks sektsiooni

URLi http://www.zoo.tartu.ee/status-info jaoks

<Location /server-info>
SetHandler server-info
Order deny,allow
Deny from all
Allow from .zoo.tartu.ee
</Location>

URLi http://www.zoo.tartu.ee/server-info jaoks

<Location /server-status>
SetHandler server-status
Order deny,allow
Deny from all
Allow from .zoo.tartu.ee
</Location>

Mõlemas sektsioonis on kasutatud Deny ja Allow direktiive, piiramaks nende URLide külastamise õigust. Kuigi sealt midagi väga salajast ei paista, on külastama lubatud vaid zoo.tart.ee domeeni masinastest.
Veebi-indekseerijad

Apache veebiserver ei sisalda indekseerimisvahendeid, so võimalusi luua serveeritavale veebile otsingumootorit. Küll aga sobib kasutada mõnda olemasolevat veebiindeksaatorit, näiteks Glimpse või HtDig.

Hoopis teine probleem on kuidas kontrollida, mida tohivad teha teised otsingumootorid (tuntud kui robotid või nuhid) teie veebi külastades. Tüüpiliselt tuleb neid kontrollida, kuna nad võivad täita avalikke andmebaase kiiresti vananeva infoga või ebasoovitavalt teie serverit koormata.

===URLi ümberkirjutamine===

Ümberkirjutamise kasutamiseks on vaja mod_rewrite'i toetus serverisse kompilleerida võtmega --enable-module=rewrite.

See tehnika võimaldab suunata serverisse tulevad päringud ümber, jäädes sama serveri piiridesse või välja. Ümbersuunamisi saab konfigureerida peakonfiguratsioonifailist või .htaccess failist.

Ümbersuunamisel saab kasutada tingimusi või teha seda juhuslikult.

Tõenäoliselt on võimalik järgnevalt näidetena toodud tegevusi korraldada ka muude vahenditega, URLi ümberkirjutamine mod_rewrite'ga on selleks üks käepärane vahend.

Ümberkirjutuste tegemiseks tuleb esmalt aktiviseerida ümberkirjutusmehhanism

RewriteEngine On

Ümberkirjutust ennast teostab direktiiv RewriteRule. Näiteks suuname kõik veebiserverisse kasutajale priit tulevad päringud (http://www.zoo.tartu.ee/~priit) aadressile http://www.priit.ee

RewriteRule ^/~priit.+ http://www.priit.ee

Direktiivi RewriteRule esimene argument on regulaaravaldis (^/~priit.+) ning kui sellega päring klapib, siis suunatakse brauser teise parameetriga näidatud URLile (http://www.priit.ee). Kasutaja brauseri Location real kirjutatakse URL paratamatult ümber.

Direktiivi süntaks on järmine

RewriteRule regulaaravaldis asendus [võtmed]

kus

* regulaararvaldisega kontrollitakse, kas URL klapib ümberkirjutamisreegliga, kusjuures URL on antud juhul see osa päringust, mis jääb paremale
http://www.zoo.tartu.ee'st, näite puhul /~priit.
* kui URL klappis, siis asendatakse URL asendusega 'asendus'
* lisaks on mõnel juhul oluline kasutada võtmeid, mis kontrollivad ümberkirjutamise peensusi

^ tähistab, et / peab olema URLi esimene sümbol ning peale priit 't' tähte võib tulla kuitahes palju mistahes sümboleid (.+). Muuseas, antud juhul suunatakse ümber näiteks päring http://www.zoo.tartu.ee/~priit-onvastmees.

Lubatud on kasutada järjest mitmeid asendusi, mil neid rakendatakse järjest, tulemuseks on viimane tehtud ümberkirjutus. Järgmise asenduse regulaaravaldist klapitatakse eelmise ümberkirjutamisel tehtud tulemusega.

Esitame näite sisemise ning välimise ümberkirjutamise kohta. Soovides vastuseks päringule http://www.zoo.tartu.ee/vana.html brauserisse saata lehe uus.html, kusjuures jättes brauseri Location reale esialgse teksti, so http://www.zoo.tartu.ee/vana.html, kasutage ümberkirjutamisreeglit

RewriteRule ^vana\.html$ uus.html

Sama, kuid brauseri Location real kajastub ümberkirjutus

RewriteRule ^vana\.html$ uus.html [R]

^vana\.html$ tähendab, et asendus toimub, kui päring oli täpselt vana.html, so algas v-ga (^) ja lõppes l-ga ($); punkt on regulaaravaldise erisümbol ja tuleb põgeda (\).

Kirjutades järjest mitu ümberkirjutusreeglit ning soovides, et ümberkirjutamine lõppeks antud reegliga, tuleb reegli lõppu lisada võti L (last).

RewriteRule ^/~priit.+ http://www.priit.ee [R,L]
RewriteRule ^/~nea.+ http://www.nea.ee [R,L]
RewriteRule ^/~inna.+ http://www.inna.ee [R,L]
RewriteRule ^/~mart.+ http://www.mart.ee [R,L]

Kui aga veebiserverit tõstetakse ühest masinast teise, oletame, et uus töötab, kuid kasutajate kodud on vanas, siis lisage uue konfi selline rida

RewriteRule ^/~(.+) http://vana.zoo.edu.ee/~$1 [R,L]

Siin on kasutatud regulaaravaldist koos asendamisega. $1 asendatakse tekstiga, mis klappis kasutatud regulaaravaldises avaldisega (.+). Praktiliselt näiteks

===Lisatingimuste kasutamine===

Direktiiv RewriteRule teostab ümberkirjutusi niikuinii tingimusi kasutades regulaaravaldise abil. Peale selle saab seada direktiiviga RewriteCond lisatingimusi. Näiteks sõltuvalt serveri kellaajast, saadetakse brauserile üks või teine veeb

RewriteEngine on
RewriteCond %{TIME_HOUR}%{TIME_MIN} >0700
RewriteCond %{TIME_HOUR}%{TIME_MIN} <1900
RewriteRule ^index\.html$ paev.html

RewriteRule ^index\.html$ oo.html

%{TIME_HOUR} asendatakse päringu sooritamise kellaaja tunniväärtusega. Oluline on kirjutada < ja 0700 järjest, kusjuues toimub leksikograafiline stringide, mitte arvude võrdlus.

Kui brauser esitab veebiserverile päringu päeval, siis toimub ümberkirjutus index.html -> paev, kuna esimese direktiivi RewriteRule regulaaravaldis klappis URLiga ning kõik eelnenud lisatingimused olid täidetud. Seejärel klapitatakse teist RewriteRule'i eelmise väljundiga, so paev.html - ei klapi ning midagi ei kirjutata ümber.

Lisatingimusi on sobiv kasutada ka brauserite eristamiseks.

RewriteCond %{HTTP_USER_AGENT} Mozilla/4*
RewriteRule ^leht.html$ leht.moz.html [L]

RewriteCond %{HTTP_USER_AGENT} Lynx.*
RewriteRule ^leht.html$ leht.lynx.html [L]

Sõltuvalt päringu tegija aadressist, saab esitada erinevat veebi.

RewriteCond %{REMOTE_ADDR} ^192.168.1.3$
RewriteRule ^leht.html$ 192.168.1.3.html [L]

===Ümberkirjutusalus===

Kui te tegutsete sügavamal URLi-struktuuri sees, kasutage RewriteRule'i juurika ümbernimetamiseks direktiivi RewriteBase. Näiteks kirjutatakse URL http://www.zoo.tartu.ee/~priit/lemmikud/hobused.html ümber URLiks http://www.zoo.tartu.ee/~priit/lemmikud/kabjaksed.html

RewriteBase /~priit/lemmikud
RewriteRule ^hobused.html$ kabjaksed.html

===Ümberkirjutustabel===

Esitatud päringu juhuslikult valitud URLile ümbersuunamiseks on sobiv kasutada direktiivi RewriteMap. RewriteMap pakub võimaluse salvestada tekstifaili hulga URLe, mille poole saab ümberkirjutusreeglist pöörduda. Näiteks loome olukorra, kus päringule http://www.zoo.tartu.ee/juhuslik vastatakse juhuslikult valitud veebilehega.

Kirjeldame tabelikirjeldusfailis vl.txt juhuslike veebilehtede nimed

bash# cat /usr/local/apache/vl.txt
veebilehed 1.html|2.html|3.html|4.html|5.html|6.html|7.html

ning lisame veebiserveri konfiguratsioonifaili read

RewriteMap vl rnd:/usr/local/apache/vl.txt
RewriteRule ^/juhus$ /home/html/juhus/${vl:veebilehed|html.html}

Ümberkirjutustabeli süntaks on selline

RewriteMap tablelinimi tabelitüüp:tabelikirjeldusfail

kus

* tabelinimi - on kooskõlas ümberkirjutusreeglis kasutatud nimega
* tabelitüüp - rnd (random) näitab et
* tabelikirjeldusfail - failis kirjeldatakse tabeli sisu, näiteks juhusliku puhul peab eraldama andmed |-ga (loogiline OR)

Ümberkirjutusreegli asenduses kasutatud muutujat ${vl:veebilehed|html.html} väärtustatakse ümberkirjutustabeli vl võtme veeblilehed abil. Kui sellist ümberkirjutustabelit mingil põhjusel pole, on muutuja väärtus html.html.

===Ümberkirjutuslogi===

Ümberkirjutamise tööleseadmisel ning toimuvate ümberkirjutuste jälgimiseks saab kasutada direktiive RewriteLog ja RewriteLogLevel

RewriteLogLevel 3
RewriteLog /var/log/apache/rewrite.log

===Veebiserveri konfiguratsioonifaili lugemine===

Lihtsamatel juhtudel pole see oluline, millises järjekorras veebiserver direktiivides esitatud reegleid kehtestab. Näiteks, kui konfiguratsioonifailis ei sisaldugi Location ja Files sektsioone, kuid soovides kasutada veebiseverit paindlikumalt, tuleb järjekorraga arvestada.

Direktiivide puhul ei hooli Apache suurtest ja väikestest tähtedest, kuid parameetrite puhul on see tihti oluline.

Eeldusel, et te paigutate kogu konfiguratsiooni ühte faili, sisalduvad seal kaks osa

* põhiosa - kirjeldatakse veebiserveri üldisi omadusi, näiteks millise kasutaja õigustes ta töötab
* ressursside määrangud - kehtestatakse reeglid, kuidas veebiserver faile serveerib, näiteks käsitleb .php lõpulisi faile PHP skriptidena

Üldosa direktiivide järjekord pole oluline, kui sama direktiiv on väärtustatud mitu korda, jääb kehtima viimane väärtus.

Kui ressursside omadusi määratakse grupeerimisvahendite abil, siis sõltumata konfigureerimisfailis esinemise järjekorrast, loetakse neid sellises järjekorras: Directory, Files, Location

Directory sees võivad olla kirjeldatud omakorda Files sektsioonid.

Directory sees on lubatud kasutada järgmisi direktiive:

* DirectoryIndex
* Options
* Order, Allow, Deny
* AllowOverride
* AddHandler
* AddType

Files sektsioonis on lubatud kasutada praktiliselt samasid direktiive, mida sektsioonis Directory eeldusel, et neid on mõistlik rakendada failidele. Ilmselt ei saa kasutada näiteks direktiivi DirectoryIndex, küll aga näiteks Allow ja Deny.

Location sektsioonis on lubatud kasutada praktiliselt samasid direktiive, mida sektsioonis Directory. Kuna Locationit rakedatakse kõige viimasena, siis ei saa seal näiteks kasutada Options direktiivi, küll aga näiteks Allow ja Deny'id.

===Veebiserveri turvalisus===

Veebiserveri kasutamisel arvestage, et iseenesest on veebiserver programm, mis teeb teie arvuti failid kättesaadavaks HTTP protokolli kasutavaile klientidele, so brauseritele.

Kuigi veebiserver tuleb käivitada juurkasutaja õigustes, toimetab ta edasi konfiguratsioonifailis näidatud kasutajana (User, Group direktiivid).

Siiski, kui te kasutate konfiguratsioonifailis teatud kohtades IO ümbersuunamist, näiteks logimise juures, siis seda teeb Apache juurkasutajana.

Vältimaks ebameeldivaid üllatusi, veenduge, et veebiserveri juurikas ning selle alla jäävad kataloogid on piisavalt kaitstud, so kasutajatel pole neisse kirjutamisõigust. Veebiserver (/usr/local/apache/bin/httpd) ja muud temaga seotud failid, näiteks rotatelogs, kuuluvad juurkasutajale ning on tavakasutajaile ning grupile others vaid käivitatavad. Tavaliselt piisab nende tingimuste täitmiseks anda käsud

bash# cd /usr/local/apache
bash# chown 0 bin conf logs
bash# chgrp 0 bin conf logs
bash# chmod 755 bin conf logs

bash# chown 0 /usr/local/apache/bin/httpd
bash# chgrp 0 /usr/local/apache/bin/httpd
bash# chmod 511 /usr/local/apache/bin/httpd

Lisaks, mõelge järele, kas te peate kasutajaile lubama käivitada CGI skripte ja andmebaase ning otsustage millistel tingimustel. Samuti kataloogipõhine veebiserveri konfigureerimisvõimalus. Näiteks lubage kasutajatel CGI skripte tarvida ainult kataloogist ~/public_html/cgi-bin

<Directory /usr/home/*/public_html/cgi-bin>
AddHandler cgi-script .cgi
Options +ExecCGI
</Directory>

Heal juhul saab veebiserveri tööleseadmise eel otsustada, milliste omadustega peab ta olema. Reeglina ei soovitata lihtsalt sisse kompileerida toetust, mida praktiliselt ei tarvitata. Näiteks, kui te olete kindel, et pole vajadust server-info ja server-status järele, siis jätke vastavad moodulid välja. Näidake seda Apache ./configure skripti juures vastavate võtmetega --disable-module=info --disable-module=status.

===Virtuaalveebiserverid===

Ühte ja sama Apache veebiserverit saab tööle seada nii, et ta serveerib erinevaid andmeid sõltuvalt sellest, millise nimega tema poole pöörduti. Asjakorraldust nimetatakse virtuaalseteks veebiserveriteks, kuna füüsiliselt on tegu ühe arvutiga, kuid külastajaile jäetakse mulje, et neid on mitu.

Virtuaalseid veebiservereid on kolme sorti:

* pordipõhised - sõltuvalt külastaja poolt kastatud pordist serveeritakse erinevat veebi
* IP-põhised - sõltuvalt külastaja poolt kasutatud IP-aadressist serveeritakse erinevat veebi
* nimepõhised - sõltuvalt külastaja poolt kasutatud DNSi nimest serveeritakse erinevat veebi; reeglina vastavad erinevad nimed samale IP-aadressile,
so on kirjeldatud CNAMEdena.

Põhimõtteliselt on võimalik kasutada neid virtuaalservereid ka kombineeritult korraga.

Erijuht virtuaalveebi serveerida, on käivitada mitu eksemplari httpd servereid, iga oma konfiguratsiooniga. Kuna see võimalus on suhteliselt ebaefektiivne ning ei paku olulisi täiendavaid võimalusi, siis seda me ei käsitle.

Virtuaalserveri sektsioonis (VirtualHost) saab kasutada paljusid direktiive, mida peaserveri puhul, sh direktiive Options, Alias, Directory, Location, Files. Samuti direktiive, mis reguleerivad SSI, CGI, PHP, Emperli, ümberkirjutamise ja logi kasutamist. Kui direktiivi ei näidata, kasutatakse põhikonfiguratsiooni väärtust, kui seal seda samuti pole, siis vaikeväärtust.

===Pordipõhised virtuaalveebiserverid===

Kasutamaks erinevaid veebiseveri konfiguratsioone sõltuvalt sellest, millisele pordile päring tuli, kasutage direktiive Listen ja VirtualHost. Näiteks teenindab veebiserveri konfiguratsioonifaili põhiosale vastav server kõiki päringuid va neid, mis on suunatud aadressi 193.40.50.1 (www.zoo.edu.ee) pordile 8080 või pordile 8081. Viimast kahte teenindatakse vastaval VirtualHosti sektsioonile. Näiteks seame lisaks põhiosale tööle kaks alternatiivset dokumendijuurikat ja logi

...
Listen 80
Listen 193.40.50.1:8080
Listen 193.40.50.1:8081
<VirtualHost 193.40.50.1:8080>
ServerAdmin mart@zoo.edu.ee
DocumentRoot /www/mardizoo
ErrorLog /var/logs/mardizoo.error.log
CustomLog /var/logs/mardizoo.log common
</VirtualHost>

<VirtualHost 193.40.50.1:8081>
ServerAdmin priit@zoo.edu.ee
DocumentRoot /www/priiduzoo
ErrorLog /var/logs/priituzoo.error.log
CustomLog /var/logs/priiduzoo.log common
</VirtualHost>

kusjuures peakonfiguratsiooni on lisatud vastavad Listen direktiivid.

Brauseris tuleb päringud esitada vastavalt http://www.zoo.edu.ee:8080 või http://www.zoo.edu.ee:8081.

===IP-põhised virtuaalveebiseverid===

IP-põhised virtuaalveebiserverite kasutamisel on veebiserveril mitu IP aadressi. St masinal on mitu võrgukaarti või on kasutatud IP-aliasingut.

IP-põhiste virtuaalveebiserverite kasutamisel näidake direktiivi VirtualHost juures ära IP aadress, ning samas sektsioonis kirjeldage kõnealuse veebiserveri omadused. Näiteks kui masinal on kaks võrgukaarti IP aadressidega 193.40.10.1 ning 193.40.50.1 kasutage sektsioone

<VirtualHost 193.40.50.1>
ServerName www.zoo.tartu.ee
ServerAdmin priit@zoo.tartu.ee
DocumentRoot /www/tartuzoo
ErrorLog /var/logs/tartuzoo.error.log
CustomLog /var/logs/tartuzoo.log common
</VirtualHost>

<VirtualHost 193.40.10.1>
ServerName www.zoo.edu.ee
ServerAdmin mart@zoo.edu.ee
DocumentRoot /www/eduzoo
ErrorLog /var/logs/eduzoo.error.log
CustomLog /var/logs/eduzoo.log common
</VirtualHost>

Peakonfiguratsiooni osa järgi teenindatakse neid päringuid, millel ei leidu sobivat virtuaalserverit. Näiteks kui masinal on veel kolmas võrguseade ning päring siseneb selle aadressile.

Virtuaalserveri direktiivi juurde võib kirjutada ka mitu IP aadressi, mispuhul kasutatakse kõnealust serverit neile kõigile tulnud päringutele vastamisel.

===Nimepõhised virtuaalveebiserverid===

Nimepõhisete virtuaalveebiserverite kasutamine eeldab, et ühele IP aadressile (193.40.50.1) on nimesüsteemis (DNS) seatud näiteks CNAMEiga vastavusse mitu domeenime (www.zoo.tartu.ee, post.zoo.tartu.ee).

Kui soovite kasutada enam kui ühte veebiserverit, siis on soovitav kõik veebiserverid konfigureerida virtuaalseteks. Kusjuures põhiserverile ei vastagi DocumentRoot'i.

Nimepõhiste virtuaalveebiserverite kasutamine deklareeritakse peakonfiguratsiooni osas direktiiviga NameVirtualHost. Direktiivi järel näidatakse IP aadress, millele tulnud päringute teenindamisel kasutatakse sobivat VirtualHosti sektsiooni. Näiteks

NameVirtualHost 193.40.50.1

puhul kasutatakse aadressile 193.40.50.1 saabunud päringute töötlemiseks sobiva domeeninimega (ServerName) VirtualHost sektsiooni.

Erinevad virtuaalserverid kirjeldatakse direktiiviga VirtualHost, näiteks sarnase sektsiooniga

<VirtualHost 193.40.50.1>
ServerName www.zoo.tartu.ee
ServerAdmin priit@zoo.tartu.ee
DocumentRoot /www
ErrorLog /var/logs/www.error.log
CustomLog /var/logs/www.log common
</VirtualHost>

<VirtualHost 193.40.50.1>
ServerName post.zoo.tartu.ee
ServerAdmin post@zoo.tartu.ee
DocumentRoot /post
ErrorLog /var/logs/post.error.log
CustomLog /var/logs/post.log common
</VirtualHost>

Kui serveril on mitu võrguaadressi, siis võib kasutada direktiivi NameVirtualHost mitu korda ning lisada vastavad sektsioonid, kuid lühem on asendada IP aadress täringa (*)

NameVirtualHost *

<VirtualHost *>
ServerName www.zoo.tartu.ee
ServerAdmin priit@zoo.tartu.ee
DocumentRoot /www
ErrorLog /var/logs/www.error.log
CustomLog /var/logs/www.log common
</VirtualHost>

<VirtualHost *>
ServerName post.zoo.tartu.ee
ServerAdmin post@zoo.tartu.ee
DocumentRoot /post
ErrorLog /var/logs/post.error.log
CustomLog /var/logs/post.log common
</VirtualHost>

Päringuid, mis saabuvad direktiiviga NameVirtualHost näidatud aadressile ei teenindata IP-põhiste sektsioonide ega peaserveri konfiguratsiooni alusel.

===Kasulikud lisamaterjalid===

Apache'i veebiserver

2007-01-26T14:08:21Z

Triinu: /* Veebiserveri turvalisus */

===Veebiserveri konfigureerimine ja käivitamine===

Veebiserveri tööd juhib üks konfiguratsioonifail httpd.conf. Sellesse kirjutatake parameetrid üks reale, kusjuures # märgiga algavaid ridu ignoreeritakse. Ridu saab jätkata sisestades kurakallu (\) viimase sümbolina eelmisele reale, tegelikult eelviimasena, viimane on reavahetus :)

Lihtsal juhul võiks olla konfiguratsioonifail selline

User nobody
Group nobody
ServerType standalone
ServerName www.zoo.tartu.ee
ServerRoot "/usr/local/apache"
DocumentRoot "/html"
DirectoryIndex index.html
ErrorLog /var/log/apache/error.log
Listen 80
Options None
<Directory />
AllowOverride None
</Directory>

kus on kasutatud järgmisi direktiive

* User - kasutaja, kelle õigustes veebiserver töötab
* Group - grupp, kelle õigustes veebiserver töötab
* ServerType - serveri tüüp, tavaliselt standalone, so mitte inetd abil käivitatav
* ServerName - millise nime server arvab endal olevat
* ServerRoot - kataloog, mille all serveri programmid asuvad
* DocumentRoot - veebifailid, mida külastajaile serveeritakse
* DirectoryIndex - faili nimi, mis brauserisse saadetakse, kui ta küsib kataloogi eeldusel, et sellenimeline fail kataloogis leidub
* ErrorLog - fail, kuhu saadetakse veateated; kataloog, kus see fail asub peab olema kindlasti olemas!
* Listen - port, millel veebiserver ootab päringuid, kõigil võrguseadmetel
* Options - väärtus None tagab, et külastajale näidatakse vaid neid veebilehti, mida ta nimeliselt küsib.

Reeglina on veebiserverina töötaval arvutil nö tavaline nimi, näiteks kalake.zoo.tartu.ee ning nimeserveris on talle defineeritud lisaks ka mõned hüüdnimed (CNAMEga). Tavaliselt kasutatakse veebiserveri nime alguses kombinatsiooni www, kokku saab antud juhul www.zoo.tartu.ee, kuid veebiserveri nimi ei pea sugugi algama www-ga olles näiteks see sama kalake.zoo.tartu.ee.

Konfiguratsioonifailis kasutatud kataloogid peavad süsteemis leiduma, toodud näites peavad nad kuuluma lähtudes turvakaalutlustest juurkasutajale; samuti nendest kataloogidest ülevalpool asuvad kataloogid.

Reeglina on süsteemis vaikimisi olemas mitteprivilegeeritud kasutaja nobody grupiga nobody. Võib kasutada seda või luua spetsiaalne kasutaja, näiteks apache grupiga veeb. Veebiserveri mittekäivitumise põhjuseks on tihtipeale vastavate kasutajate puudumine süsteemis.

Näidates võrguseadme nime, vastatakse ainult sellelt seadmelt tulevaile päringutele, näiteks 'Listen 193.40.10.1 80'.

===Sektsioon===

<Directory />
AllowOverride None
</Directory>

tähendab, et kataloogides pole täiendavate vahenditega õigust veebiserveri konfiguratsiooni täpsustada.

Kuigi teatud parameetrite järjekord konfiguratsioonifailis ei ole tähtis, jääb kehtima parameetrile viimasena omistatud väärtus.
Käivitamine

Veebiserver käivitatakse ja peatatakse käsuga apachectl

bash# apachectl start

Peatamine toimub käsuga stop

bash# apachectl stop

Peale konfiguratsioonifaili muutmist kehtestuvad muutused serveri taaskäivitamisel soovitavalt käsuga graceful, või restart

bash# apachectl graceful

Veebiserver tuleb käivitada juurkasutajaõigustes, kuid ta töötab konfiguratsioonifailis näidatud User ja Group kasutajana. See tähendab, et failisüsteemi osad, mida soovitakse veebi näidata peavad olema vastavatele UNIXi kasutajatele nähtavad. Tavaliselt on nende failide kasutajagrupile other antud lugemisõigus.

Töötavast veebiserverist annab tunnistust see, kui süsteemi protsessitabelis on httpd deemoni nimi, isegi mitu

bash# ps auxw | grep httpd
root 30692 0.0 5.4 4236 3288 ?? Ss 4:39PM 0:00.16 /usr/local/apache/bin/httpd
nobody 30840 0.0 5.5 4272 3324 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30841 0.0 5.5 4272 3324 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30842 0.0 5.5 4272 3324 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30843 0.0 5.4 4248 3296 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30844 0.0 5.4 4248 3296 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30845 0.0 5.4 4256 3300 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd

Aga veel parem kinnitus on, kui olemaks näitega kooskõlas päring http://www.zoo.edu.ee näitab veebilehte, so faili /html/index.html. Samuti saab antud näite rakendamisel näha kasutajate kodulehti eeldusel, et nad asuvad kataloogide ~/public_html all.

Kui veebiserveri käivitamisel ilmneb raskusi, siis tasub uurida vealogi (/var/log/apache/error.log) sisu.
Automaatne käivitamine

===Veebiressursside kasutusõigus===

Veebiserveri konfigureerimisel on väga oluline näidata, mida vastuseks külastaja päringule tohib teha või saata või kas üldse külastajat teenindada.

===Direktiiv Option===

Direktiivi Options abil saab määratleda, mida kataloogis leiduvate failidega lubatakse teha. Näiteks määrates minimaalsed õigused parameetriga None, saab kataloogis sisalduvate failide poole pöörduda vaid nimeliselt; failide nimekirja ei näidata.

Options None

===Muud võimalused:===

* FollowSymLinks - kui brauser esitatud päringus on failinimi viide, siis seda järgitakse vaatamata, kas viidatav fail kuulub samale kasutajale kui
viide
* SymLinksIfOwnerMatch - kui brauser esitatud päringus on failinimi viide, siis seda järgitakse juhul, kas viidatav fail kuulub samale kasutajale
kellele viide
* Indexes - näidatakse serveri kataloogi failide nimekirja kui DirectoryIndexis näidatud faile ei leitud
* ExecCGI - CGI skriptide kasutamiseks
* Includes - SSI failide kasutamiseks
* IncludesNOEXEC - SSI failide kasutamiseks, va #exec ja CGI skriptide #include
* All - kõik eelnimetatu on lubatud

Korraga võib määratleda ka mitu parameetrit, eraldades nad üksteisest tühikuga.

Kui konfiguratsioonifailis kasutada mitmel Options direktiivi, jääb kehtima viimane. Lisades parameetri algusesse + või - märgi, lisatakse või eemaldatakse vastav toime. Näiteks kasutades direktiive

Options Indexes Includes FollowSymLinks
Options -FollowSymLinks

on toime samaväärne avaldisega

Options Indexes Includes

Direktiivi Options vaikeväärtus on All.

===Direktiivid Allow, Deny ja Order===

Direktiividega Allow, Deny ning Order abil saab kehtestada, millistelt domeenidelt tulevaid päringuid teenidatakse. Orderi abil seatakse, millises järjekorras kontroll toimub, kusjuures rakendatakse viimast reeglit, millega külastaja domeeninimi klapib. Kui ükski reegel ei klapi, toimitakse vaikimisi nagu viimane Orderi parameeter näitab. Näiteks sellise sektsiooni puhul

Order Deny,Allow
Deny from all
Allow from zoo.tartu.ee

Päringut domeenist zoo.tartu.ee teenindatakse, esimene reegel (Deny) keelab kõik, kuid teine (Allow) lubab domeeni zoo.tartu.ee. Kui Order oleks vastupidi, siis lubaks esimene reegel (Allow) zoo.tartu.ee, kuid kehtima jääks viimane reegel (Deny). Reeglite järjekord failis ei loe, kuna selle määrab Order.

Järgmises näites on lubatud päringud vaid tartu.ee domeenist, va alamdomeen zoo.tartu.ee

Order Allow,Deny
Allow from tartu.ee
Deny from zoo.tartu.ee

Tõepoolest, päringut foo.tartu.ee domeenist teenindatakse kuna ta klapib esimese (Allow) reegliga, mis lubab ning teisega, mis keelab mitte. Päringuid muudest domeenidest keelatakse, kuna nad ei klapi kummagi reegliga ning vaikimisi rakendatakse viimast Orderi parameetrit - Deny.

Order, Deny ja Allow direktiive saab kasutada vaid direktiivi Directory sees ning Deny ja Allow tuleb eraldada ainult täpselt ühe komaga!

===Veebiressursside grupeerimisvahendid===

Veebiserveri kasutusõigust ning teisi omadusi reguleerivaid parameetreid saab grupeerida järgmiste direktiividega

* Directory - kataloogis ning selle alla jäävate alamkataloogides sisalduvate failide grupeerimiseks
* Files - faili nimede järgi failide grupeerimiseks
* Location - URLi ning selle alla jäävate URLide grupeerimiseks

Sellistele gruppidele saab rakendada korraga samu määratlusi, näiteks Option parameetriga.

===Directory direktiiv===

Directory abil saab määrata näidatud kataloogi alla jäävatele failidele ühesuguseid omadusi. Näiteks kehtestame, et kataloogi /html/veeb/kalamaja alla jäävates kataloogides käsitletakse DirectoryIndexina faile index.html ja index.htm

<Directory /html/veeb/kalamaja>
DirectoryIndex index.html index.htm
</Directory>

===Files direktiiv===

Sarnaselt Directory'le saab kehtestada näidatud regulaaravaldisega klappivate failinimedega failidele ühesuguseid omadusi. Näiteks kehtestame, et failides, mille nimi algab tähtedega "e_" ja lõpeb .html-ga, tohivad sisaldada Embperli konstruktsioone

<Files ~ "^e_.*\.html$">
Options +ExecCGI
SetHandler perl-script
PerlHandler HTML::Embperl
</Files>

===Location direktiiv===

Sarnaselt Directory direktiivile saab Locationiga kehtestada osale veebikohale samasuguseid omadusi. Location mõjub mitte kataloogistruktuuri, vaid URLi mõttes hulgale elementidele. Näiteks kehtestame, et URL'ist http://kalake.zoo.edu.ee/hobused edasi tohib näha kataloogide nimekirja

<Location /hobused>
Options Indexes
</Location>

Tavaliselt piisab Directory kasutamisest, kuid kuna veebiserveri kataloogi-ja URLihierarhia ei pruugi alati kokku langeda, siis on sellest vahel abi.

===Kataloogipõhine veebiserveri konfigureerimine===

Veebiserveri põhikonfiguratsioonifailis näidatud väärtusi saab iga kataloogi jaoks täpsustavalt määrata kataloogis sisalduva konfiguratsiooni .htaccess faili abil. Selle faili nimi on määratud põhikonfiguratsioonifailis direktiiviga AccessFileName, mis peab esinema Directory sees. Faili süntaks on sama, mis põhikonfiguratsioonifailil. Seda, milliseid omadusi on ludatud .htaccess failiga täpsustada, näitab põhikonfiguratsioonifailis direktiiv AllowOverride; järgmistele parameeritele vastab voli muuta toodud parameetreid

* AuthConfig - AuthGroupFile, AuthName, AuthType, AuthUserFile, Require jne
* FileInfo - AddEncoding, AddLanguage, AddType, DefaultType, ErrorDocument jne
* Indexes - DirectoryIndex, AddDescription, AddIcon, AddIconByEncoding, AddIconByType, DefaultIcon, DirectoryIndex, FancyIndexing, HeaderName,
IndexIgnore, IndexOptions, ReadmeName jne
* Limit - Order, Allow, Deny
* Options - Options, XBitHack
* None - mitte midagi
* All - kõik nimetatud

Vaikimisi toimib parameeter All. Kui ei soovita lasta kasutajatel veebiserverit konfigureerida, siis kasutage peale veebiserveri põhiosa direktiivi

AllowOverride None

.htaccess failis tohib kasutada direktiivi Files, aga ei saa kasutada Diectory või Location.

Tavaliselt on ohutu ning kasutajaile piisav

AllowOverride Indexes AuthConfig

===Alias===

Direktiiv Alias võimaldab muuta veebi failile kataloogistruktuuri vastavust URLi struktuurile. Näiteks olgu kataloogis /html/veeb/hobused/2000/tyrinaitus/ehola_talu failid ning soovime neile ligi pääseda URLiga http://www.zoo.tartu.ee/ehola_talu. Kasutame sellist Aliast

Alias /ehola_talu/ /html/veeb/hobused/2000/tyrinaitus/ehola_talu/

Antud juhul laheneb päring http://www.zoo.tartu.ee/ehola_talu/, kuid mitte http://www.zoo.tartu.ee/ehola_talu.

Lisaks saab Aliasega kaasata veebi faile ning katalooge, mis asuvad failisüsteemi mõttes väljaspool DocumentRootu.

Alias /valdek/ /html/valdek/veeb/

Aliase süntaks on järgmine

Alias URLi-tee kataloogi-tee

kus

* URLi-tee on osa URList, mis jääb peale serverinimi osa, näiteks http://www.zoo.tartu.ee/ehola_talu/ puhul /ehola_talu/
* kataloogi-tee on vastava kataloogi nimi

Aliasi saab kasutada peakonfiguratsioonifailis või võrdväärsetes kohtades, näiteks VirtualHost sektsioonis. Aliaste kasutamisel tuleb tavaliselt kasutada kataloogi tee'le vastavaid Directory direktiive, muutmaks sobivaks veebiosa kasutusõigused. Aliased loetakse läbi enne Directory sektsioone.

Aliase kasutamisel tuleb tähele panna, et URLi tee asendatakse igal juhul kataloogiteega. Kas sel juhul, kui päring on pikem, kooskõlas kasutatud näitega päringu http://www.zoo.tartu.ee/ehola_talu/ratsahobused/piiker.html puhul esitatakse fail /html/veeb/hobused/2000/tyrinaitus/ehola_talu/ratsahobused/piiker.html.

Soovides teha paindlikumaid nö ümberkirjutusi, kasutage mod_rewrite'i võimalusi.

===CGI===

CGI kasutamiseks lisage konfiguratsioonifaili rida

AddHandler cgi-script .cgi .pl

Tulemusena püüab veebiserver käivitada kõiki serveeritavaid .cgi ja .pl lõpuliste nimedega faile, eeldusel, et failile rakendub Optioni parameeter ExecCGI. Käivitamisel tekkiv programmiväljund saadetakse brauserisse, kusjuures see peab algama tuntud Content-type'iga, näiteks text/html. Seda võib teha näiteks Directory abil; kehtestame, et kõikjal veebi faile sisaldavas kataloogis /html/veeb/suhtleja ja selle all asuvad .cgi ja .pl lõpuliste nimedega failid on käivitatavad

<Directory /suhtleja>
Options ExecCGI
</Directory>

Soovides näidata, et vaatamata failinimele tuleb käsitleda faili CGI skriptina, kasutage ScriptAlias direktiivi. Tüüpiliselt määratletakse URLi http://kalake.zoo.tartu.ee/cgi-bin/'le vastavad failid skriptideks

ScriptAlias /cgi-bin/ /html/veeb/cgi-bin/

Tulemusena, näiteks päringu http://kalake.zoo.tartu.ee/cgi-bin/kasutajatenimikiri.sh puhul käivitatakse fail /html/veeb/cgi-bin/kasutajatenimekiri.sh.

===SSI===

SSI (Server Sides Includes) tehnika võimaldab sisestada brauseri päringus nõutud faili koosseisu muude failide sisu.

SSI kasutamiseks lisage konfiguratsioonifaili rida

AddType text/html .shtml
AddHandler server-parsed .shtml

ning näidake näiteks direktiivide Directory ja Options parameetri Includes abil, milliseid faile tohib server käsitleda SSIdena. Näiteks kehtestame, et kataloogi /html/veeb/uudised all kasutatakse SSId

<Directory /html/veeb/uudised<>
Options IncludesNOEXEC
</Directory>

Tulemusena saab failides, mille nime lõpus on .shtml, kasutada SSI konstruktsioone, va #exec ja CGI skriptide #include.

===Embperl===

Embperl on tehnika, mis võimaldab sisestada HTML koodi sisse Perli konstruktsioone. Selle võimaluse kasutamiseks lisage konfiguratsioonifaili

<Files ~ "\.html$">
Options ExecCGI
SetHandler perl-script
PerlHandler HTML::Embperl
</Files>

Tulmusena lahendab veebiserver failides, mille nime lõpetab .html sisalduva Perli koodi.

Muuseas, Embperli rakendamisel on veebiserver ka tavalise HTML süntaksi osas oluliselt rangem. Tüüpiliselt ei meeldi talle [# jne järgnevused, mida kasutatakse Embperli skriptide tähistamiseks. Et neid sümboleid siiski kasutada saada, esitage neid a la &#kood;, näiteks <.

===PHP===

PHP on tehnika, mis võimaldab lisada HTML koodi sisse PHP keele konstruktsioone. Selle võimaluse kasutamiseks lisage konfiguratsioonifaili

AddType application/x-httpd-php .php

Veebiserverisse konfigureeritud PHP omadusi saab näha PHP skriptiga

<?
phpinfo();
?>

===Serveri kasutajate kodulehed===

Vaikimisi eeldab veebiserver, et näiteks URLile http://www.zoo.tartu.ee/~priit vastab süsteemi kasutaja priit kodukataloogis olev kataloog public_html. Selle kataloogi nime määrab direktiiv UserDir.

===Veebi kaitsmine parooliga===

Apache pakub vahendid veebistruktuuri kaitsmiseks parooliga. Konfiguratsioonifailis näidatakse ära, millist ressurssi kaitsta ning millist autentimissüsteemi kasutada.

Kõige lihtsamal juhul tuleb programmiga htpasswd genereerida lubatud külastajate paroolifail, milles on kirjas kasutajanimed ning vastavad paroolid. See fail on reeglina erinev süsteemi paroolifailist, kus veebiserver töötab. Kui külastaja püüab siseneda kaitstud veebi, avaneb dialoog ning küsitakse tema kasutajanime ning parooli. Sobiva paari sisestamisel lubatakse külastaja veebile ligi, kusjuures kõnealust veebi saab kasutada kuni brauseri sulgemiseni.

Näiteks kaitseme kataloogistruktuuri /html/salajane kirjeldatud paroolikontrolliga

<Directory /html/salajane>
AuthUserFile /usr/local/apache/conf/salajane.paroolifail
AuthType Basic
AuthName Salajane
require valid-user
</Directory>

kus on kasutatud direktiive:

* AuthUserFile - paroolifailinimi, /usr/local/apache/conf/salajane.paroolifail
* AuthType - millist tüüpi autentimisega on tegemist, antud juhul Basic
* AuthName - parameetri väärtust näidatakse aknas, kuhu kasutaja sisestab oma veebi kasutajanime ja parooli; sama veebi piires saab sama kasutajanimega
seostada erinevaid paroole, mistõttu peab külastaja saama teada, millist parooli konkreetsel juhul tarvitada
* require valid-user - sellele ressursile lastakse ligi vaid peale edukat autentimist

Sobiv paroolifail moodustatakse programmiga htpasswd

bash$ htpasswd -b -c -m salajane.paroolifail priit priiduparool

kus

1. -b kasutaja parooliks loetakse käsurea viimane sõna (priiduparool)
2. -c seda võtit tuleb kasutada vaid siis, kui paroolifaili veel ei eksisteeri; edaspidi peab selle võtme ära jätma, sest muidu kustutatakse olemasoleva
paroolifaili sisu
3. -m kasutada MD5 krüptimist; jättes selle võtme kirjutamata tekitatakse CRYPT proolid
4. järgnevad paroolifaili nimi (salajane.paroolifail) ja kasutajanimi (priit)

Tundub, et peale Directory, saab autentimist kasutada ka Location sektsioonis, mis on veebi suhtes veel asjakohasem.

Paroolifail peab olema loetav sellele kasutajale, kelle õigustes veebiserver töötab (näiteks nobody) ning soovitavalt mitte olema veebiga samas kataloogistruktuuris.

===Logi===

Apache veebiserveriga saab logida tekstifaili erinevatel tingimustel toimunud päringuid ning neid logifaile automaatselt roteerida. Logida saab paraleelselt ka näidatud tingimustele erinevates formaatides erinevatesse failidesse.

Direktiiviga LogFormat kirjeldatakse mida logitakse. Tüüpiliselt defineeritakse formaat nimega tavaline

LogFormat "%h %l %u %t \"%r\" %>s %b" tavaline

kus

* %h - maisinanimi, kust päring esitati
* %l - kasutajanimi, kes päringu esitas eeldusel, et IdentityCheck tomib; tavaliselt see väli jääb tühjaks, kuna IdentityCheck'i kasutamine võtab
tublisti veebi kiirust alla
* %u - kui veebiserveri ressurss nõudis autentimist, siis kasutatud kasutajanimi
* %t - päringu esitamise aeg
* \"%r\" - jutumärkides esitatud päringu esimene rida
* %>s - päringule vastuse olek (ingl. k. status)
* %b - päringu vastuse maht baitides
* tavaline - logiformaadi nimi

Logimine ise toimub direktiiviga CustomLog, näiteks logime, kasutades logiformaati tavaline, faili /var/log/apache/tavaline.log

CustomLog /var/log/apache/tavaline.log tavaline

Soovides logifaili automaatselt roteerida, kasutage veebiserveriga kaasas olevat programmi rotatelogs. Näiteks moodustame iga nädal uue logi

CustomLog "|/usr/local/apache/bin/rotatelogs /var/log/apache/tavaline.log 604800" common

Logi faili nimi moodustatakse lisades failinime lõppu aja sekundites, mis on möödunud UNIXi ajastu algusest, so 1970. 1. jaanuar kell 00:00 hommikul.

===Vealogi===

Vealogisse salvestatakse serveri töös toimunud vead, sh näiteks päringud puuduvatele failidele. Logitaset saab reguleerida direktiiviga LogLevel, soovitatakse taset warn

LogLevel warn

Direktiiviga ErrorLog näidatakse, kuhu logi salvestada

ErrorLog /var/log/apache/error.log

Logianalüsaatorid

Apache veebiserveri logi analüüsiks sobib kasutada näiteks programmi Webalizer.

===Veebiserveri staatus ja info===

Eeldusel, et veebiserverisse on sissekompilleeritud vastavad moodulid võtmetega --enable-module=status ja --enable-moudule=info, saab näha veebiserveri konfiguratsiooni (info) ning parasjagu olevat seisu (status).

Näidates konfiguratsioonifailis direktiivi ExtendedStatus parameetriks "On", esitatakse staatus põhjalikumalt.

Nende veebiserveri omaduste nägemiseks peab sisalduma konfiguratsioonifailis kaks sektsiooni

URLi http://www.zoo.tartu.ee/status-info jaoks

<Location /server-info>
SetHandler server-info
Order deny,allow
Deny from all
Allow from .zoo.tartu.ee
</Location>

URLi http://www.zoo.tartu.ee/server-info jaoks

<Location /server-status>
SetHandler server-status
Order deny,allow
Deny from all
Allow from .zoo.tartu.ee
</Location>

Mõlemas sektsioonis on kasutatud Deny ja Allow direktiive, piiramaks nende URLide külastamise õigust. Kuigi sealt midagi väga salajast ei paista, on külastama lubatud vaid zoo.tart.ee domeeni masinastest.
Veebi-indekseerijad

Apache veebiserver ei sisalda indekseerimisvahendeid, so võimalusi luua serveeritavale veebile otsingumootorit. Küll aga sobib kasutada mõnda olemasolevat veebiindeksaatorit, näiteks Glimpse või HtDig.

Hoopis teine probleem on kuidas kontrollida, mida tohivad teha teised otsingumootorid (tuntud kui robotid või nuhid) teie veebi külastades. Tüüpiliselt tuleb neid kontrollida, kuna nad võivad täita avalikke andmebaase kiiresti vananeva infoga või ebasoovitavalt teie serverit koormata.

===URLi ümberkirjutamine===

Ümberkirjutamise kasutamiseks on vaja mod_rewrite'i toetus serverisse kompilleerida võtmega --enable-module=rewrite.

See tehnika võimaldab suunata serverisse tulevad päringud ümber, jäädes sama serveri piiridesse või välja. Ümbersuunamisi saab konfigureerida peakonfiguratsioonifailist või .htaccess failist.

Ümbersuunamisel saab kasutada tingimusi või teha seda juhuslikult.

Tõenäoliselt on võimalik järgnevalt näidetena toodud tegevusi korraldada ka muude vahenditega, URLi ümberkirjutamine mod_rewrite'ga on selleks üks käepärane vahend.

Ümberkirjutuste tegemiseks tuleb esmalt aktiviseerida ümberkirjutusmehhanism

RewriteEngine On

Ümberkirjutust ennast teostab direktiiv RewriteRule. Näiteks suuname kõik veebiserverisse kasutajale priit tulevad päringud (http://www.zoo.tartu.ee/~priit) aadressile http://www.priit.ee

RewriteRule ^/~priit.+ http://www.priit.ee

Direktiivi RewriteRule esimene argument on regulaaravaldis (^/~priit.+) ning kui sellega päring klapib, siis suunatakse brauser teise parameetriga näidatud URLile (http://www.priit.ee). Kasutaja brauseri Location real kirjutatakse URL paratamatult ümber.

Direktiivi süntaks on järmine

RewriteRule regulaaravaldis asendus [võtmed]

kus

* regulaararvaldisega kontrollitakse, kas URL klapib ümberkirjutamisreegliga, kusjuures URL on antud juhul see osa päringust, mis jääb paremale
http://www.zoo.tartu.ee'st, näite puhul /~priit.
* kui URL klappis, siis asendatakse URL asendusega 'asendus'
* lisaks on mõnel juhul oluline kasutada võtmeid, mis kontrollivad ümberkirjutamise peensusi

^ tähistab, et / peab olema URLi esimene sümbol ning peale priit 't' tähte võib tulla kuitahes palju mistahes sümboleid (.+). Muuseas, antud juhul suunatakse ümber näiteks päring http://www.zoo.tartu.ee/~priit-onvastmees.

Lubatud on kasutada järjest mitmeid asendusi, mil neid rakendatakse järjest, tulemuseks on viimane tehtud ümberkirjutus. Järgmise asenduse regulaaravaldist klapitatakse eelmise ümberkirjutamisel tehtud tulemusega.

Esitame näite sisemise ning välimise ümberkirjutamise kohta. Soovides vastuseks päringule http://www.zoo.tartu.ee/vana.html brauserisse saata lehe uus.html, kusjuures jättes brauseri Location reale esialgse teksti, so http://www.zoo.tartu.ee/vana.html, kasutage ümberkirjutamisreeglit

RewriteRule ^vana\.html$ uus.html

Sama, kuid brauseri Location real kajastub ümberkirjutus

RewriteRule ^vana\.html$ uus.html [R]

^vana\.html$ tähendab, et asendus toimub, kui päring oli täpselt vana.html, so algas v-ga (^) ja lõppes l-ga ($); punkt on regulaaravaldise erisümbol ja tuleb põgeda (\).

Kirjutades järjest mitu ümberkirjutusreeglit ning soovides, et ümberkirjutamine lõppeks antud reegliga, tuleb reegli lõppu lisada võti L (last).

RewriteRule ^/~priit.+ http://www.priit.ee [R,L]
RewriteRule ^/~nea.+ http://www.nea.ee [R,L]
RewriteRule ^/~inna.+ http://www.inna.ee [R,L]
RewriteRule ^/~mart.+ http://www.mart.ee [R,L]

Kui aga veebiserverit tõstetakse ühest masinast teise, oletame, et uus töötab, kuid kasutajate kodud on vanas, siis lisage uue konfi selline rida

RewriteRule ^/~(.+) http://vana.zoo.edu.ee/~$1 [R,L]

Siin on kasutatud regulaaravaldist koos asendamisega. $1 asendatakse tekstiga, mis klappis kasutatud regulaaravaldises avaldisega (.+). Praktiliselt näiteks

===Lisatingimuste kasutamine===

Direktiiv RewriteRule teostab ümberkirjutusi niikuinii tingimusi kasutades regulaaravaldise abil. Peale selle saab seada direktiiviga RewriteCond lisatingimusi. Näiteks sõltuvalt serveri kellaajast, saadetakse brauserile üks või teine veeb

RewriteEngine on
RewriteCond %{TIME_HOUR}%{TIME_MIN} >0700
RewriteCond %{TIME_HOUR}%{TIME_MIN} <1900
RewriteRule ^index\.html$ paev.html

RewriteRule ^index\.html$ oo.html

%{TIME_HOUR} asendatakse päringu sooritamise kellaaja tunniväärtusega. Oluline on kirjutada < ja 0700 järjest, kusjuues toimub leksikograafiline stringide, mitte arvude võrdlus.

Kui brauser esitab veebiserverile päringu päeval, siis toimub ümberkirjutus index.html -> paev, kuna esimese direktiivi RewriteRule regulaaravaldis klappis URLiga ning kõik eelnenud lisatingimused olid täidetud. Seejärel klapitatakse teist RewriteRule'i eelmise väljundiga, so paev.html - ei klapi ning midagi ei kirjutata ümber.

Lisatingimusi on sobiv kasutada ka brauserite eristamiseks.

RewriteCond %{HTTP_USER_AGENT} Mozilla/4*
RewriteRule ^leht.html$ leht.moz.html [L]

RewriteCond %{HTTP_USER_AGENT} Lynx.*
RewriteRule ^leht.html$ leht.lynx.html [L]

Sõltuvalt päringu tegija aadressist, saab esitada erinevat veebi.

RewriteCond %{REMOTE_ADDR} ^192.168.1.3$
RewriteRule ^leht.html$ 192.168.1.3.html [L]

===Ümberkirjutusalus===

Kui te tegutsete sügavamal URLi-struktuuri sees, kasutage RewriteRule'i juurika ümbernimetamiseks direktiivi RewriteBase. Näiteks kirjutatakse URL http://www.zoo.tartu.ee/~priit/lemmikud/hobused.html ümber URLiks http://www.zoo.tartu.ee/~priit/lemmikud/kabjaksed.html

RewriteBase /~priit/lemmikud
RewriteRule ^hobused.html$ kabjaksed.html

===Ümberkirjutustabel===

Esitatud päringu juhuslikult valitud URLile ümbersuunamiseks on sobiv kasutada direktiivi RewriteMap. RewriteMap pakub võimaluse salvestada tekstifaili hulga URLe, mille poole saab ümberkirjutusreeglist pöörduda. Näiteks loome olukorra, kus päringule http://www.zoo.tartu.ee/juhuslik vastatakse juhuslikult valitud veebilehega.

Kirjeldame tabelikirjeldusfailis vl.txt juhuslike veebilehtede nimed

bash# cat /usr/local/apache/vl.txt
veebilehed 1.html|2.html|3.html|4.html|5.html|6.html|7.html

ning lisame veebiserveri konfiguratsioonifaili read

RewriteMap vl rnd:/usr/local/apache/vl.txt
RewriteRule ^/juhus$ /home/html/juhus/${vl:veebilehed|html.html}

Ümberkirjutustabeli süntaks on selline

RewriteMap tablelinimi tabelitüüp:tabelikirjeldusfail

kus

* tabelinimi - on kooskõlas ümberkirjutusreeglis kasutatud nimega
* tabelitüüp - rnd (random) näitab et
* tabelikirjeldusfail - failis kirjeldatakse tabeli sisu, näiteks juhusliku puhul peab eraldama andmed |-ga (loogiline OR)

Ümberkirjutusreegli asenduses kasutatud muutujat ${vl:veebilehed|html.html} väärtustatakse ümberkirjutustabeli vl võtme veeblilehed abil. Kui sellist ümberkirjutustabelit mingil põhjusel pole, on muutuja väärtus html.html.

===Ümberkirjutuslogi===

Ümberkirjutamise tööleseadmisel ning toimuvate ümberkirjutuste jälgimiseks saab kasutada direktiive RewriteLog ja RewriteLogLevel

RewriteLogLevel 3
RewriteLog /var/log/apache/rewrite.log

===Veebiserveri konfiguratsioonifaili lugemine===

Lihtsamatel juhtudel pole see oluline, millises järjekorras veebiserver direktiivides esitatud reegleid kehtestab. Näiteks, kui konfiguratsioonifailis ei sisaldugi Location ja Files sektsioone, kuid soovides kasutada veebiseverit paindlikumalt, tuleb järjekorraga arvestada.

Direktiivide puhul ei hooli Apache suurtest ja väikestest tähtedest, kuid parameetrite puhul on see tihti oluline.

Eeldusel, et te paigutate kogu konfiguratsiooni ühte faili, sisalduvad seal kaks osa

* põhiosa - kirjeldatakse veebiserveri üldisi omadusi, näiteks millise kasutaja õigustes ta töötab
* ressursside määrangud - kehtestatakse reeglid, kuidas veebiserver faile serveerib, näiteks käsitleb .php lõpulisi faile PHP skriptidena

Üldosa direktiivide järjekord pole oluline, kui sama direktiiv on väärtustatud mitu korda, jääb kehtima viimane väärtus.

Kui ressursside omadusi määratakse grupeerimisvahendite abil, siis sõltumata konfigureerimisfailis esinemise järjekorrast, loetakse neid sellises järjekorras: Directory, Files, Location

Directory sees võivad olla kirjeldatud omakorda Files sektsioonid.

Directory sees on lubatud kasutada järgmisi direktiive:

* DirectoryIndex
* Options
* Order, Allow, Deny
* AllowOverride
* AddHandler
* AddType

Files sektsioonis on lubatud kasutada praktiliselt samasid direktiive, mida sektsioonis Directory eeldusel, et neid on mõistlik rakendada failidele. Ilmselt ei saa kasutada näiteks direktiivi DirectoryIndex, küll aga näiteks Allow ja Deny.

Location sektsioonis on lubatud kasutada praktiliselt samasid direktiive, mida sektsioonis Directory. Kuna Locationit rakedatakse kõige viimasena, siis ei saa seal näiteks kasutada Options direktiivi, küll aga näiteks Allow ja Deny'id.

===Veebiserveri turvalisus===

Veebiserveri kasutamisel arvestage, et iseenesest on veebiserver programm, mis teeb teie arvuti failid kättesaadavaks HTTP protokolli kasutavaile klientidele, so brauseritele.

Kuigi veebiserver tuleb käivitada juurkasutaja õigustes, toimetab ta edasi konfiguratsioonifailis näidatud kasutajana (User, Group direktiivid).

Siiski, kui te kasutate konfiguratsioonifailis teatud kohtades IO ümbersuunamist, näiteks logimise juures, siis seda teeb Apache juurkasutajana.

Vältimaks ebameeldivaid üllatusi, veenduge, et veebiserveri juurikas ning selle alla jäävad kataloogid on piisavalt kaitstud, so kasutajatel pole neisse kirjutamisõigust. Veebiserver (/usr/local/apache/bin/httpd) ja muud temaga seotud failid, näiteks rotatelogs, kuuluvad juurkasutajale ning on tavakasutajaile ning grupile others vaid käivitatavad. Tavaliselt piisab nende tingimuste täitmiseks anda käsud

bash# cd /usr/local/apache
bash# chown 0 bin conf logs
bash# chgrp 0 bin conf logs
bash# chmod 755 bin conf logs

bash# chown 0 /usr/local/apache/bin/httpd
bash# chgrp 0 /usr/local/apache/bin/httpd
bash# chmod 511 /usr/local/apache/bin/httpd

Lisaks, mõelge järele, kas te peate kasutajaile lubama käivitada CGI skripte ja andmebaase ning otsustage millistel tingimustel. Samuti kataloogipõhine veebiserveri konfigureerimisvõimalus. Näiteks lubage kasutajatel CGI skripte tarvida ainult kataloogist ~/public_html/cgi-bin

<Directory /usr/home/*/public_html/cgi-bin>
AddHandler cgi-script .cgi
Options +ExecCGI
</Directory>

Heal juhul saab veebiserveri tööleseadmise eel otsustada, milliste omadustega peab ta olema. Reeglina ei soovitata lihtsalt sisse kompileerida toetust, mida praktiliselt ei tarvitata. Näiteks, kui te olete kindel, et pole vajadust server-info ja server-status järele, siis jätke vastavad moodulid välja. Näidake seda Apache ./configure skripti juures vastavate võtmetega --disable-module=info --disable-module=status.

===Virtuaalveebiserverid===

Ühte ja sama Apache veebiserverit saab tööle seada nii, et ta serveerib erinevaid andmeid sõltuvalt millise nimega tema poole pöörduti. Asjakorraldust nimetatakse virtuaaseteks veebiserveriteks, kuna füüsiliselt on tegu ühe arvutiga, kuid külastajaile jäetakse mulje, et neid on mitu.

Virtuaalseid veebiservereid on kolme sorti:

* pordipõhised - sõltuvalt külastaja poolt kastatud pordist serveeritakse erinevat veebi
* IP-põhised - sõltuvalt külastaja poolt kasutatud IP aadressist serveeritakse erinevat veebi
* nimepõhised - sõltuvalt külastaja poolt kasutatud DNSi nimest serveeritakse erinevat veebi; reeglina vastavad erinevad nimed samale IP aadressile so on kirjeldatud CNAMEdena

Põhimõtteliselt on võimalik kasutada neid virtuaalservereid ka kombineeritult korraga.

Erijuht virtuaalveebi serveerida on käivitada mitu eksemplari httpd servereid, iga oma konfiguratsiooniga. Kuna see võimalus on suhteliselt ebaefektiivne ning ei paku olulisi täiendavaid võimalusi, siis seda me ei käsitle.

Virtuaalserveri sektsioonis (VirtualHost) saab kasutada paljusid direktiive, mida peaserveri puhul sh direktiive Options, Alias, Directory, Location, Files. Samuti direktiive, mis reguleerivad SSI, CGI, PHP, Emperli, ümberkirjutamise ja logi kasutamist. Kui direktiivi ei näidata, kasutataks põhikonfiguratsiooni väärtus, kui seal seda samuti pole, siis vaikeväärtust.

===Pordipõhised virtuaalveebiserverid===

Kasutamaks erinevaid veebiseveri konfiguratsioone sõltuvalt sellest, millisele pordile päring tuli, kasutage direktiive Listen ja VirtualHost. Näiteks teenindab veebiserveri konfiguratsioonifaili põhiosale vastav server kõiki päringuid va neid, mis on suunatud aadressi 193.40.50.1 (www.zoo.edu.ee) pordile 8080 või pordile 8081. Viimast kahte teenindatakse vastaval VirtualHosti sektsioonile. Näiteks seame lisaks põhiosale tööle kaks alternatiivset dokumendijuurikat ja logi

...
Listen 80
Listen 193.40.50.1:8080
Listen 193.40.50.1:8081
<VirtualHost 193.40.50.1:8080>
ServerAdmin mart@zoo.edu.ee
DocumentRoot /www/mardizoo
ErrorLog /var/logs/mardizoo.error.log
CustomLog /var/logs/mardizoo.log common
</VirtualHost>

<VirtualHost 193.40.50.1:8081>
ServerAdmin priit@zoo.edu.ee
DocumentRoot /www/priiduzoo
ErrorLog /var/logs/priituzoo.error.log
CustomLog /var/logs/priiduzoo.log common
</VirtualHost>

kusjuures peakonfiguratsiooni on lisatud vastavad Listen direktiivid.

Brauseris tuleb päringud esitada vastavalt http://www.zoo.edu.ee:8080 või http://www.zoo.edu.ee:8081.

===IP-põhised virtuaalveebiseverid===

IP-põhised virtuaalveebiserverite kasutamisel on veebiserveril mitu IP aadressi. St masinal on mitu võrgukaarti või on kasutatud IP-aliasingut.

IP-põhiste virtuaalveebiserverite kasutamisel näidake direktiivi VirtualHost juures ära IP aadress, ning samas sektsioonis kirjeldage kõnealuse veebiserveri omadused. Näiteks kui masinal on kaks võrgukaarti IP aadressidega 193.40.10.1 ning 193.40.50.1 kasutage sektsioone

<VirtualHost 193.40.50.1>
ServerName www.zoo.tartu.ee
ServerAdmin priit@zoo.tartu.ee
DocumentRoot /www/tartuzoo
ErrorLog /var/logs/tartuzoo.error.log
CustomLog /var/logs/tartuzoo.log common
</VirtualHost>

<VirtualHost 193.40.10.1>
ServerName www.zoo.edu.ee
ServerAdmin mart@zoo.edu.ee
DocumentRoot /www/eduzoo
ErrorLog /var/logs/eduzoo.error.log
CustomLog /var/logs/eduzoo.log common
</VirtualHost>

Peakonfiguratsiooni osa järgi teenindatakse neid päringuid, millel ei leidu sobivat virtuaalserverit. Näiteks kui masinal on veel kolmas võrguseade ning päring siseneb selle aadressile.

Virtuaalserveri direktiivi juurde võib kirjutada ka mitu IP aadressi, mispuhul kasutatakse kõnealust serverit neile kõigile tulnud päringutele vastamisel.

===Nimepõhised virtuaalveebiserverid===

Nimepõhisete virtuaalveebiserverite kasutamine eeldab, et ühele IP aadressile (193.40.50.1) on nimesüsteemis (DNS) seatud näiteks CNAMEiga vastavusse mitu domeenime (www.zoo.tartu.ee, post.zoo.tartu.ee).

Kui soovite kasutada enam kui ühte veebiserverit, siis on soovitav kõik veebiserverid konfigureerida virtuaalseteks. Kusjuures põhiserverile ei vastagi DocumentRoot'i.

Nimepõhiste virtuaalveebiserverite kasutamine deklareeritakse peakonfiguratsiooni osas direktiiviga NameVirtualHost. Direktiivi järel näidatakse IP aadress, millele tulnud päringute teenindamisel kasutatakse sobivat VirtualHosti sektsiooni. Näiteks

NameVirtualHost 193.40.50.1

puhul kasutatakse aadressile 193.40.50.1 saabunud päringute töötlemiseks sobiva domeeninimega (ServerName) VirtualHost sektsiooni.

Erinevad virtuaalserverid kirjeldatakse direktiiviga VirtualHost, näiteks sarnase sektsiooniga

<VirtualHost 193.40.50.1>
ServerName www.zoo.tartu.ee
ServerAdmin priit@zoo.tartu.ee
DocumentRoot /www
ErrorLog /var/logs/www.error.log
CustomLog /var/logs/www.log common
</VirtualHost>

<VirtualHost 193.40.50.1>
ServerName post.zoo.tartu.ee
ServerAdmin post@zoo.tartu.ee
DocumentRoot /post
ErrorLog /var/logs/post.error.log
CustomLog /var/logs/post.log common
</VirtualHost>

Kui serveril on mitu võrguaadressi, siis võib kasutada direktiivi NameVirtualHost mitu korda ning lisada vastavad sektsioonid, kuid lühem on asendada IP aadress täringa (*)

NameVirtualHost *

<VirtualHost *>
ServerName www.zoo.tartu.ee
ServerAdmin priit@zoo.tartu.ee
DocumentRoot /www
ErrorLog /var/logs/www.error.log
CustomLog /var/logs/www.log common
</VirtualHost>

<VirtualHost *>
ServerName post.zoo.tartu.ee
ServerAdmin post@zoo.tartu.ee
DocumentRoot /post
ErrorLog /var/logs/post.error.log
CustomLog /var/logs/post.log common
</VirtualHost>

Päringuid, mis saabuvad direktiiviga NameVirtualHost näidatud aadressile ei teenindata IP-põhiste sektsioonide ega peaserveri konfiguratsiooni alusel.

===Kasulikud lisamaterjalid===

Apache'i veebiserver

2007-01-26T14:06:05Z

Triinu: /* Veebiserveri konfiguratsioonifaili lugemine */

===Veebiserveri konfigureerimine ja käivitamine===

Veebiserveri tööd juhib üks konfiguratsioonifail httpd.conf. Sellesse kirjutatake parameetrid üks reale, kusjuures # märgiga algavaid ridu ignoreeritakse. Ridu saab jätkata sisestades kurakallu (\) viimase sümbolina eelmisele reale, tegelikult eelviimasena, viimane on reavahetus :)

Lihtsal juhul võiks olla konfiguratsioonifail selline

User nobody
Group nobody
ServerType standalone
ServerName www.zoo.tartu.ee
ServerRoot "/usr/local/apache"
DocumentRoot "/html"
DirectoryIndex index.html
ErrorLog /var/log/apache/error.log
Listen 80
Options None
<Directory />
AllowOverride None
</Directory>

kus on kasutatud järgmisi direktiive

* User - kasutaja, kelle õigustes veebiserver töötab
* Group - grupp, kelle õigustes veebiserver töötab
* ServerType - serveri tüüp, tavaliselt standalone, so mitte inetd abil käivitatav
* ServerName - millise nime server arvab endal olevat
* ServerRoot - kataloog, mille all serveri programmid asuvad
* DocumentRoot - veebifailid, mida külastajaile serveeritakse
* DirectoryIndex - faili nimi, mis brauserisse saadetakse, kui ta küsib kataloogi eeldusel, et sellenimeline fail kataloogis leidub
* ErrorLog - fail, kuhu saadetakse veateated; kataloog, kus see fail asub peab olema kindlasti olemas!
* Listen - port, millel veebiserver ootab päringuid, kõigil võrguseadmetel
* Options - väärtus None tagab, et külastajale näidatakse vaid neid veebilehti, mida ta nimeliselt küsib.

Reeglina on veebiserverina töötaval arvutil nö tavaline nimi, näiteks kalake.zoo.tartu.ee ning nimeserveris on talle defineeritud lisaks ka mõned hüüdnimed (CNAMEga). Tavaliselt kasutatakse veebiserveri nime alguses kombinatsiooni www, kokku saab antud juhul www.zoo.tartu.ee, kuid veebiserveri nimi ei pea sugugi algama www-ga olles näiteks see sama kalake.zoo.tartu.ee.

Konfiguratsioonifailis kasutatud kataloogid peavad süsteemis leiduma, toodud näites peavad nad kuuluma lähtudes turvakaalutlustest juurkasutajale; samuti nendest kataloogidest ülevalpool asuvad kataloogid.

Reeglina on süsteemis vaikimisi olemas mitteprivilegeeritud kasutaja nobody grupiga nobody. Võib kasutada seda või luua spetsiaalne kasutaja, näiteks apache grupiga veeb. Veebiserveri mittekäivitumise põhjuseks on tihtipeale vastavate kasutajate puudumine süsteemis.

Näidates võrguseadme nime, vastatakse ainult sellelt seadmelt tulevaile päringutele, näiteks 'Listen 193.40.10.1 80'.

===Sektsioon===

<Directory />
AllowOverride None
</Directory>

tähendab, et kataloogides pole täiendavate vahenditega õigust veebiserveri konfiguratsiooni täpsustada.

Kuigi teatud parameetrite järjekord konfiguratsioonifailis ei ole tähtis, jääb kehtima parameetrile viimasena omistatud väärtus.
Käivitamine

Veebiserver käivitatakse ja peatatakse käsuga apachectl

bash# apachectl start

Peatamine toimub käsuga stop

bash# apachectl stop

Peale konfiguratsioonifaili muutmist kehtestuvad muutused serveri taaskäivitamisel soovitavalt käsuga graceful, või restart

bash# apachectl graceful

Veebiserver tuleb käivitada juurkasutajaõigustes, kuid ta töötab konfiguratsioonifailis näidatud User ja Group kasutajana. See tähendab, et failisüsteemi osad, mida soovitakse veebi näidata peavad olema vastavatele UNIXi kasutajatele nähtavad. Tavaliselt on nende failide kasutajagrupile other antud lugemisõigus.

Töötavast veebiserverist annab tunnistust see, kui süsteemi protsessitabelis on httpd deemoni nimi, isegi mitu

bash# ps auxw | grep httpd
root 30692 0.0 5.4 4236 3288 ?? Ss 4:39PM 0:00.16 /usr/local/apache/bin/httpd
nobody 30840 0.0 5.5 4272 3324 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30841 0.0 5.5 4272 3324 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30842 0.0 5.5 4272 3324 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30843 0.0 5.4 4248 3296 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30844 0.0 5.4 4248 3296 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30845 0.0 5.4 4256 3300 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd

Aga veel parem kinnitus on, kui olemaks näitega kooskõlas päring http://www.zoo.edu.ee näitab veebilehte, so faili /html/index.html. Samuti saab antud näite rakendamisel näha kasutajate kodulehti eeldusel, et nad asuvad kataloogide ~/public_html all.

Kui veebiserveri käivitamisel ilmneb raskusi, siis tasub uurida vealogi (/var/log/apache/error.log) sisu.
Automaatne käivitamine

===Veebiressursside kasutusõigus===

Veebiserveri konfigureerimisel on väga oluline näidata, mida vastuseks külastaja päringule tohib teha või saata või kas üldse külastajat teenindada.

===Direktiiv Option===

Direktiivi Options abil saab määratleda, mida kataloogis leiduvate failidega lubatakse teha. Näiteks määrates minimaalsed õigused parameetriga None, saab kataloogis sisalduvate failide poole pöörduda vaid nimeliselt; failide nimekirja ei näidata.

Options None

===Muud võimalused:===

* FollowSymLinks - kui brauser esitatud päringus on failinimi viide, siis seda järgitakse vaatamata, kas viidatav fail kuulub samale kasutajale kui
viide
* SymLinksIfOwnerMatch - kui brauser esitatud päringus on failinimi viide, siis seda järgitakse juhul, kas viidatav fail kuulub samale kasutajale
kellele viide
* Indexes - näidatakse serveri kataloogi failide nimekirja kui DirectoryIndexis näidatud faile ei leitud
* ExecCGI - CGI skriptide kasutamiseks
* Includes - SSI failide kasutamiseks
* IncludesNOEXEC - SSI failide kasutamiseks, va #exec ja CGI skriptide #include
* All - kõik eelnimetatu on lubatud

Korraga võib määratleda ka mitu parameetrit, eraldades nad üksteisest tühikuga.

Kui konfiguratsioonifailis kasutada mitmel Options direktiivi, jääb kehtima viimane. Lisades parameetri algusesse + või - märgi, lisatakse või eemaldatakse vastav toime. Näiteks kasutades direktiive

Options Indexes Includes FollowSymLinks
Options -FollowSymLinks

on toime samaväärne avaldisega

Options Indexes Includes

Direktiivi Options vaikeväärtus on All.

===Direktiivid Allow, Deny ja Order===

Direktiividega Allow, Deny ning Order abil saab kehtestada, millistelt domeenidelt tulevaid päringuid teenidatakse. Orderi abil seatakse, millises järjekorras kontroll toimub, kusjuures rakendatakse viimast reeglit, millega külastaja domeeninimi klapib. Kui ükski reegel ei klapi, toimitakse vaikimisi nagu viimane Orderi parameeter näitab. Näiteks sellise sektsiooni puhul

Order Deny,Allow
Deny from all
Allow from zoo.tartu.ee

Päringut domeenist zoo.tartu.ee teenindatakse, esimene reegel (Deny) keelab kõik, kuid teine (Allow) lubab domeeni zoo.tartu.ee. Kui Order oleks vastupidi, siis lubaks esimene reegel (Allow) zoo.tartu.ee, kuid kehtima jääks viimane reegel (Deny). Reeglite järjekord failis ei loe, kuna selle määrab Order.

Järgmises näites on lubatud päringud vaid tartu.ee domeenist, va alamdomeen zoo.tartu.ee

Order Allow,Deny
Allow from tartu.ee
Deny from zoo.tartu.ee

Tõepoolest, päringut foo.tartu.ee domeenist teenindatakse kuna ta klapib esimese (Allow) reegliga, mis lubab ning teisega, mis keelab mitte. Päringuid muudest domeenidest keelatakse, kuna nad ei klapi kummagi reegliga ning vaikimisi rakendatakse viimast Orderi parameetrit - Deny.

Order, Deny ja Allow direktiive saab kasutada vaid direktiivi Directory sees ning Deny ja Allow tuleb eraldada ainult täpselt ühe komaga!

===Veebiressursside grupeerimisvahendid===

Veebiserveri kasutusõigust ning teisi omadusi reguleerivaid parameetreid saab grupeerida järgmiste direktiividega

* Directory - kataloogis ning selle alla jäävate alamkataloogides sisalduvate failide grupeerimiseks
* Files - faili nimede järgi failide grupeerimiseks
* Location - URLi ning selle alla jäävate URLide grupeerimiseks

Sellistele gruppidele saab rakendada korraga samu määratlusi, näiteks Option parameetriga.

===Directory direktiiv===

Directory abil saab määrata näidatud kataloogi alla jäävatele failidele ühesuguseid omadusi. Näiteks kehtestame, et kataloogi /html/veeb/kalamaja alla jäävates kataloogides käsitletakse DirectoryIndexina faile index.html ja index.htm

<Directory /html/veeb/kalamaja>
DirectoryIndex index.html index.htm
</Directory>

===Files direktiiv===

Sarnaselt Directory'le saab kehtestada näidatud regulaaravaldisega klappivate failinimedega failidele ühesuguseid omadusi. Näiteks kehtestame, et failides, mille nimi algab tähtedega "e_" ja lõpeb .html-ga, tohivad sisaldada Embperli konstruktsioone

<Files ~ "^e_.*\.html$">
Options +ExecCGI
SetHandler perl-script
PerlHandler HTML::Embperl
</Files>

===Location direktiiv===

Sarnaselt Directory direktiivile saab Locationiga kehtestada osale veebikohale samasuguseid omadusi. Location mõjub mitte kataloogistruktuuri, vaid URLi mõttes hulgale elementidele. Näiteks kehtestame, et URL'ist http://kalake.zoo.edu.ee/hobused edasi tohib näha kataloogide nimekirja

<Location /hobused>
Options Indexes
</Location>

Tavaliselt piisab Directory kasutamisest, kuid kuna veebiserveri kataloogi-ja URLihierarhia ei pruugi alati kokku langeda, siis on sellest vahel abi.

===Kataloogipõhine veebiserveri konfigureerimine===

Veebiserveri põhikonfiguratsioonifailis näidatud väärtusi saab iga kataloogi jaoks täpsustavalt määrata kataloogis sisalduva konfiguratsiooni .htaccess faili abil. Selle faili nimi on määratud põhikonfiguratsioonifailis direktiiviga AccessFileName, mis peab esinema Directory sees. Faili süntaks on sama, mis põhikonfiguratsioonifailil. Seda, milliseid omadusi on ludatud .htaccess failiga täpsustada, näitab põhikonfiguratsioonifailis direktiiv AllowOverride; järgmistele parameeritele vastab voli muuta toodud parameetreid

* AuthConfig - AuthGroupFile, AuthName, AuthType, AuthUserFile, Require jne
* FileInfo - AddEncoding, AddLanguage, AddType, DefaultType, ErrorDocument jne
* Indexes - DirectoryIndex, AddDescription, AddIcon, AddIconByEncoding, AddIconByType, DefaultIcon, DirectoryIndex, FancyIndexing, HeaderName,
IndexIgnore, IndexOptions, ReadmeName jne
* Limit - Order, Allow, Deny
* Options - Options, XBitHack
* None - mitte midagi
* All - kõik nimetatud

Vaikimisi toimib parameeter All. Kui ei soovita lasta kasutajatel veebiserverit konfigureerida, siis kasutage peale veebiserveri põhiosa direktiivi

AllowOverride None

.htaccess failis tohib kasutada direktiivi Files, aga ei saa kasutada Diectory või Location.

Tavaliselt on ohutu ning kasutajaile piisav

AllowOverride Indexes AuthConfig

===Alias===

Direktiiv Alias võimaldab muuta veebi failile kataloogistruktuuri vastavust URLi struktuurile. Näiteks olgu kataloogis /html/veeb/hobused/2000/tyrinaitus/ehola_talu failid ning soovime neile ligi pääseda URLiga http://www.zoo.tartu.ee/ehola_talu. Kasutame sellist Aliast

Alias /ehola_talu/ /html/veeb/hobused/2000/tyrinaitus/ehola_talu/

Antud juhul laheneb päring http://www.zoo.tartu.ee/ehola_talu/, kuid mitte http://www.zoo.tartu.ee/ehola_talu.

Lisaks saab Aliasega kaasata veebi faile ning katalooge, mis asuvad failisüsteemi mõttes väljaspool DocumentRootu.

Alias /valdek/ /html/valdek/veeb/

Aliase süntaks on järgmine

Alias URLi-tee kataloogi-tee

kus

* URLi-tee on osa URList, mis jääb peale serverinimi osa, näiteks http://www.zoo.tartu.ee/ehola_talu/ puhul /ehola_talu/
* kataloogi-tee on vastava kataloogi nimi

Aliasi saab kasutada peakonfiguratsioonifailis või võrdväärsetes kohtades, näiteks VirtualHost sektsioonis. Aliaste kasutamisel tuleb tavaliselt kasutada kataloogi tee'le vastavaid Directory direktiive, muutmaks sobivaks veebiosa kasutusõigused. Aliased loetakse läbi enne Directory sektsioone.

Aliase kasutamisel tuleb tähele panna, et URLi tee asendatakse igal juhul kataloogiteega. Kas sel juhul, kui päring on pikem, kooskõlas kasutatud näitega päringu http://www.zoo.tartu.ee/ehola_talu/ratsahobused/piiker.html puhul esitatakse fail /html/veeb/hobused/2000/tyrinaitus/ehola_talu/ratsahobused/piiker.html.

Soovides teha paindlikumaid nö ümberkirjutusi, kasutage mod_rewrite'i võimalusi.

===CGI===

CGI kasutamiseks lisage konfiguratsioonifaili rida

AddHandler cgi-script .cgi .pl

Tulemusena püüab veebiserver käivitada kõiki serveeritavaid .cgi ja .pl lõpuliste nimedega faile, eeldusel, et failile rakendub Optioni parameeter ExecCGI. Käivitamisel tekkiv programmiväljund saadetakse brauserisse, kusjuures see peab algama tuntud Content-type'iga, näiteks text/html. Seda võib teha näiteks Directory abil; kehtestame, et kõikjal veebi faile sisaldavas kataloogis /html/veeb/suhtleja ja selle all asuvad .cgi ja .pl lõpuliste nimedega failid on käivitatavad

<Directory /suhtleja>
Options ExecCGI
</Directory>

Soovides näidata, et vaatamata failinimele tuleb käsitleda faili CGI skriptina, kasutage ScriptAlias direktiivi. Tüüpiliselt määratletakse URLi http://kalake.zoo.tartu.ee/cgi-bin/'le vastavad failid skriptideks

ScriptAlias /cgi-bin/ /html/veeb/cgi-bin/

Tulemusena, näiteks päringu http://kalake.zoo.tartu.ee/cgi-bin/kasutajatenimikiri.sh puhul käivitatakse fail /html/veeb/cgi-bin/kasutajatenimekiri.sh.

===SSI===

SSI (Server Sides Includes) tehnika võimaldab sisestada brauseri päringus nõutud faili koosseisu muude failide sisu.

SSI kasutamiseks lisage konfiguratsioonifaili rida

AddType text/html .shtml
AddHandler server-parsed .shtml

ning näidake näiteks direktiivide Directory ja Options parameetri Includes abil, milliseid faile tohib server käsitleda SSIdena. Näiteks kehtestame, et kataloogi /html/veeb/uudised all kasutatakse SSId

<Directory /html/veeb/uudised<>
Options IncludesNOEXEC
</Directory>

Tulemusena saab failides, mille nime lõpus on .shtml, kasutada SSI konstruktsioone, va #exec ja CGI skriptide #include.

===Embperl===

Embperl on tehnika, mis võimaldab sisestada HTML koodi sisse Perli konstruktsioone. Selle võimaluse kasutamiseks lisage konfiguratsioonifaili

<Files ~ "\.html$">
Options ExecCGI
SetHandler perl-script
PerlHandler HTML::Embperl
</Files>

Tulmusena lahendab veebiserver failides, mille nime lõpetab .html sisalduva Perli koodi.

Muuseas, Embperli rakendamisel on veebiserver ka tavalise HTML süntaksi osas oluliselt rangem. Tüüpiliselt ei meeldi talle [# jne järgnevused, mida kasutatakse Embperli skriptide tähistamiseks. Et neid sümboleid siiski kasutada saada, esitage neid a la &#kood;, näiteks <.

===PHP===

PHP on tehnika, mis võimaldab lisada HTML koodi sisse PHP keele konstruktsioone. Selle võimaluse kasutamiseks lisage konfiguratsioonifaili

AddType application/x-httpd-php .php

Veebiserverisse konfigureeritud PHP omadusi saab näha PHP skriptiga

<?
phpinfo();
?>

===Serveri kasutajate kodulehed===

Vaikimisi eeldab veebiserver, et näiteks URLile http://www.zoo.tartu.ee/~priit vastab süsteemi kasutaja priit kodukataloogis olev kataloog public_html. Selle kataloogi nime määrab direktiiv UserDir.

===Veebi kaitsmine parooliga===

Apache pakub vahendid veebistruktuuri kaitsmiseks parooliga. Konfiguratsioonifailis näidatakse ära, millist ressurssi kaitsta ning millist autentimissüsteemi kasutada.

Kõige lihtsamal juhul tuleb programmiga htpasswd genereerida lubatud külastajate paroolifail, milles on kirjas kasutajanimed ning vastavad paroolid. See fail on reeglina erinev süsteemi paroolifailist, kus veebiserver töötab. Kui külastaja püüab siseneda kaitstud veebi, avaneb dialoog ning küsitakse tema kasutajanime ning parooli. Sobiva paari sisestamisel lubatakse külastaja veebile ligi, kusjuures kõnealust veebi saab kasutada kuni brauseri sulgemiseni.

Näiteks kaitseme kataloogistruktuuri /html/salajane kirjeldatud paroolikontrolliga

<Directory /html/salajane>
AuthUserFile /usr/local/apache/conf/salajane.paroolifail
AuthType Basic
AuthName Salajane
require valid-user
</Directory>

kus on kasutatud direktiive:

* AuthUserFile - paroolifailinimi, /usr/local/apache/conf/salajane.paroolifail
* AuthType - millist tüüpi autentimisega on tegemist, antud juhul Basic
* AuthName - parameetri väärtust näidatakse aknas, kuhu kasutaja sisestab oma veebi kasutajanime ja parooli; sama veebi piires saab sama kasutajanimega
seostada erinevaid paroole, mistõttu peab külastaja saama teada, millist parooli konkreetsel juhul tarvitada
* require valid-user - sellele ressursile lastakse ligi vaid peale edukat autentimist

Sobiv paroolifail moodustatakse programmiga htpasswd

bash$ htpasswd -b -c -m salajane.paroolifail priit priiduparool

kus

1. -b kasutaja parooliks loetakse käsurea viimane sõna (priiduparool)
2. -c seda võtit tuleb kasutada vaid siis, kui paroolifaili veel ei eksisteeri; edaspidi peab selle võtme ära jätma, sest muidu kustutatakse olemasoleva
paroolifaili sisu
3. -m kasutada MD5 krüptimist; jättes selle võtme kirjutamata tekitatakse CRYPT proolid
4. järgnevad paroolifaili nimi (salajane.paroolifail) ja kasutajanimi (priit)

Tundub, et peale Directory, saab autentimist kasutada ka Location sektsioonis, mis on veebi suhtes veel asjakohasem.

Paroolifail peab olema loetav sellele kasutajale, kelle õigustes veebiserver töötab (näiteks nobody) ning soovitavalt mitte olema veebiga samas kataloogistruktuuris.

===Logi===

Apache veebiserveriga saab logida tekstifaili erinevatel tingimustel toimunud päringuid ning neid logifaile automaatselt roteerida. Logida saab paraleelselt ka näidatud tingimustele erinevates formaatides erinevatesse failidesse.

Direktiiviga LogFormat kirjeldatakse mida logitakse. Tüüpiliselt defineeritakse formaat nimega tavaline

LogFormat "%h %l %u %t \"%r\" %>s %b" tavaline

kus

* %h - maisinanimi, kust päring esitati
* %l - kasutajanimi, kes päringu esitas eeldusel, et IdentityCheck tomib; tavaliselt see väli jääb tühjaks, kuna IdentityCheck'i kasutamine võtab
tublisti veebi kiirust alla
* %u - kui veebiserveri ressurss nõudis autentimist, siis kasutatud kasutajanimi
* %t - päringu esitamise aeg
* \"%r\" - jutumärkides esitatud päringu esimene rida
* %>s - päringule vastuse olek (ingl. k. status)
* %b - päringu vastuse maht baitides
* tavaline - logiformaadi nimi

Logimine ise toimub direktiiviga CustomLog, näiteks logime, kasutades logiformaati tavaline, faili /var/log/apache/tavaline.log

CustomLog /var/log/apache/tavaline.log tavaline

Soovides logifaili automaatselt roteerida, kasutage veebiserveriga kaasas olevat programmi rotatelogs. Näiteks moodustame iga nädal uue logi

CustomLog "|/usr/local/apache/bin/rotatelogs /var/log/apache/tavaline.log 604800" common

Logi faili nimi moodustatakse lisades failinime lõppu aja sekundites, mis on möödunud UNIXi ajastu algusest, so 1970. 1. jaanuar kell 00:00 hommikul.

===Vealogi===

Vealogisse salvestatakse serveri töös toimunud vead, sh näiteks päringud puuduvatele failidele. Logitaset saab reguleerida direktiiviga LogLevel, soovitatakse taset warn

LogLevel warn

Direktiiviga ErrorLog näidatakse, kuhu logi salvestada

ErrorLog /var/log/apache/error.log

Logianalüsaatorid

Apache veebiserveri logi analüüsiks sobib kasutada näiteks programmi Webalizer.

===Veebiserveri staatus ja info===

Eeldusel, et veebiserverisse on sissekompilleeritud vastavad moodulid võtmetega --enable-module=status ja --enable-moudule=info, saab näha veebiserveri konfiguratsiooni (info) ning parasjagu olevat seisu (status).

Näidates konfiguratsioonifailis direktiivi ExtendedStatus parameetriks "On", esitatakse staatus põhjalikumalt.

Nende veebiserveri omaduste nägemiseks peab sisalduma konfiguratsioonifailis kaks sektsiooni

URLi http://www.zoo.tartu.ee/status-info jaoks

<Location /server-info>
SetHandler server-info
Order deny,allow
Deny from all
Allow from .zoo.tartu.ee
</Location>

URLi http://www.zoo.tartu.ee/server-info jaoks

<Location /server-status>
SetHandler server-status
Order deny,allow
Deny from all
Allow from .zoo.tartu.ee
</Location>

Mõlemas sektsioonis on kasutatud Deny ja Allow direktiive, piiramaks nende URLide külastamise õigust. Kuigi sealt midagi väga salajast ei paista, on külastama lubatud vaid zoo.tart.ee domeeni masinastest.
Veebi-indekseerijad

Apache veebiserver ei sisalda indekseerimisvahendeid, so võimalusi luua serveeritavale veebile otsingumootorit. Küll aga sobib kasutada mõnda olemasolevat veebiindeksaatorit, näiteks Glimpse või HtDig.

Hoopis teine probleem on kuidas kontrollida, mida tohivad teha teised otsingumootorid (tuntud kui robotid või nuhid) teie veebi külastades. Tüüpiliselt tuleb neid kontrollida, kuna nad võivad täita avalikke andmebaase kiiresti vananeva infoga või ebasoovitavalt teie serverit koormata.

===URLi ümberkirjutamine===

Ümberkirjutamise kasutamiseks on vaja mod_rewrite'i toetus serverisse kompilleerida võtmega --enable-module=rewrite.

See tehnika võimaldab suunata serverisse tulevad päringud ümber, jäädes sama serveri piiridesse või välja. Ümbersuunamisi saab konfigureerida peakonfiguratsioonifailist või .htaccess failist.

Ümbersuunamisel saab kasutada tingimusi või teha seda juhuslikult.

Tõenäoliselt on võimalik järgnevalt näidetena toodud tegevusi korraldada ka muude vahenditega, URLi ümberkirjutamine mod_rewrite'ga on selleks üks käepärane vahend.

Ümberkirjutuste tegemiseks tuleb esmalt aktiviseerida ümberkirjutusmehhanism

RewriteEngine On

Ümberkirjutust ennast teostab direktiiv RewriteRule. Näiteks suuname kõik veebiserverisse kasutajale priit tulevad päringud (http://www.zoo.tartu.ee/~priit) aadressile http://www.priit.ee

RewriteRule ^/~priit.+ http://www.priit.ee

Direktiivi RewriteRule esimene argument on regulaaravaldis (^/~priit.+) ning kui sellega päring klapib, siis suunatakse brauser teise parameetriga näidatud URLile (http://www.priit.ee). Kasutaja brauseri Location real kirjutatakse URL paratamatult ümber.

Direktiivi süntaks on järmine

RewriteRule regulaaravaldis asendus [võtmed]

kus

* regulaararvaldisega kontrollitakse, kas URL klapib ümberkirjutamisreegliga, kusjuures URL on antud juhul see osa päringust, mis jääb paremale
http://www.zoo.tartu.ee'st, näite puhul /~priit.
* kui URL klappis, siis asendatakse URL asendusega 'asendus'
* lisaks on mõnel juhul oluline kasutada võtmeid, mis kontrollivad ümberkirjutamise peensusi

^ tähistab, et / peab olema URLi esimene sümbol ning peale priit 't' tähte võib tulla kuitahes palju mistahes sümboleid (.+). Muuseas, antud juhul suunatakse ümber näiteks päring http://www.zoo.tartu.ee/~priit-onvastmees.

Lubatud on kasutada järjest mitmeid asendusi, mil neid rakendatakse järjest, tulemuseks on viimane tehtud ümberkirjutus. Järgmise asenduse regulaaravaldist klapitatakse eelmise ümberkirjutamisel tehtud tulemusega.

Esitame näite sisemise ning välimise ümberkirjutamise kohta. Soovides vastuseks päringule http://www.zoo.tartu.ee/vana.html brauserisse saata lehe uus.html, kusjuures jättes brauseri Location reale esialgse teksti, so http://www.zoo.tartu.ee/vana.html, kasutage ümberkirjutamisreeglit

RewriteRule ^vana\.html$ uus.html

Sama, kuid brauseri Location real kajastub ümberkirjutus

RewriteRule ^vana\.html$ uus.html [R]

^vana\.html$ tähendab, et asendus toimub, kui päring oli täpselt vana.html, so algas v-ga (^) ja lõppes l-ga ($); punkt on regulaaravaldise erisümbol ja tuleb põgeda (\).

Kirjutades järjest mitu ümberkirjutusreeglit ning soovides, et ümberkirjutamine lõppeks antud reegliga, tuleb reegli lõppu lisada võti L (last).

RewriteRule ^/~priit.+ http://www.priit.ee [R,L]
RewriteRule ^/~nea.+ http://www.nea.ee [R,L]
RewriteRule ^/~inna.+ http://www.inna.ee [R,L]
RewriteRule ^/~mart.+ http://www.mart.ee [R,L]

Kui aga veebiserverit tõstetakse ühest masinast teise, oletame, et uus töötab, kuid kasutajate kodud on vanas, siis lisage uue konfi selline rida

RewriteRule ^/~(.+) http://vana.zoo.edu.ee/~$1 [R,L]

Siin on kasutatud regulaaravaldist koos asendamisega. $1 asendatakse tekstiga, mis klappis kasutatud regulaaravaldises avaldisega (.+). Praktiliselt näiteks

===Lisatingimuste kasutamine===

Direktiiv RewriteRule teostab ümberkirjutusi niikuinii tingimusi kasutades regulaaravaldise abil. Peale selle saab seada direktiiviga RewriteCond lisatingimusi. Näiteks sõltuvalt serveri kellaajast, saadetakse brauserile üks või teine veeb

RewriteEngine on
RewriteCond %{TIME_HOUR}%{TIME_MIN} >0700
RewriteCond %{TIME_HOUR}%{TIME_MIN} <1900
RewriteRule ^index\.html$ paev.html

RewriteRule ^index\.html$ oo.html

%{TIME_HOUR} asendatakse päringu sooritamise kellaaja tunniväärtusega. Oluline on kirjutada < ja 0700 järjest, kusjuues toimub leksikograafiline stringide, mitte arvude võrdlus.

Kui brauser esitab veebiserverile päringu päeval, siis toimub ümberkirjutus index.html -> paev, kuna esimese direktiivi RewriteRule regulaaravaldis klappis URLiga ning kõik eelnenud lisatingimused olid täidetud. Seejärel klapitatakse teist RewriteRule'i eelmise väljundiga, so paev.html - ei klapi ning midagi ei kirjutata ümber.

Lisatingimusi on sobiv kasutada ka brauserite eristamiseks.

RewriteCond %{HTTP_USER_AGENT} Mozilla/4*
RewriteRule ^leht.html$ leht.moz.html [L]

RewriteCond %{HTTP_USER_AGENT} Lynx.*
RewriteRule ^leht.html$ leht.lynx.html [L]

Sõltuvalt päringu tegija aadressist, saab esitada erinevat veebi.

RewriteCond %{REMOTE_ADDR} ^192.168.1.3$
RewriteRule ^leht.html$ 192.168.1.3.html [L]

===Ümberkirjutusalus===

Kui te tegutsete sügavamal URLi-struktuuri sees, kasutage RewriteRule'i juurika ümbernimetamiseks direktiivi RewriteBase. Näiteks kirjutatakse URL http://www.zoo.tartu.ee/~priit/lemmikud/hobused.html ümber URLiks http://www.zoo.tartu.ee/~priit/lemmikud/kabjaksed.html

RewriteBase /~priit/lemmikud
RewriteRule ^hobused.html$ kabjaksed.html

===Ümberkirjutustabel===

Esitatud päringu juhuslikult valitud URLile ümbersuunamiseks on sobiv kasutada direktiivi RewriteMap. RewriteMap pakub võimaluse salvestada tekstifaili hulga URLe, mille poole saab ümberkirjutusreeglist pöörduda. Näiteks loome olukorra, kus päringule http://www.zoo.tartu.ee/juhuslik vastatakse juhuslikult valitud veebilehega.

Kirjeldame tabelikirjeldusfailis vl.txt juhuslike veebilehtede nimed

bash# cat /usr/local/apache/vl.txt
veebilehed 1.html|2.html|3.html|4.html|5.html|6.html|7.html

ning lisame veebiserveri konfiguratsioonifaili read

RewriteMap vl rnd:/usr/local/apache/vl.txt
RewriteRule ^/juhus$ /home/html/juhus/${vl:veebilehed|html.html}

Ümberkirjutustabeli süntaks on selline

RewriteMap tablelinimi tabelitüüp:tabelikirjeldusfail

kus

* tabelinimi - on kooskõlas ümberkirjutusreeglis kasutatud nimega
* tabelitüüp - rnd (random) näitab et
* tabelikirjeldusfail - failis kirjeldatakse tabeli sisu, näiteks juhusliku puhul peab eraldama andmed |-ga (loogiline OR)

Ümberkirjutusreegli asenduses kasutatud muutujat ${vl:veebilehed|html.html} väärtustatakse ümberkirjutustabeli vl võtme veeblilehed abil. Kui sellist ümberkirjutustabelit mingil põhjusel pole, on muutuja väärtus html.html.

===Ümberkirjutuslogi===

Ümberkirjutamise tööleseadmisel ning toimuvate ümberkirjutuste jälgimiseks saab kasutada direktiive RewriteLog ja RewriteLogLevel

RewriteLogLevel 3
RewriteLog /var/log/apache/rewrite.log

===Veebiserveri konfiguratsioonifaili lugemine===

Lihtsamatel juhtudel pole see oluline, millises järjekorras veebiserver direktiivides esitatud reegleid kehtestab. Näiteks, kui konfiguratsioonifailis ei sisaldugi Location ja Files sektsioone, kuid soovides kasutada veebiseverit paindlikumalt, tuleb järjekorraga arvestada.

Direktiivide puhul ei hooli Apache suurtest ja väikestest tähtedest, kuid parameetrite puhul on see tihti oluline.

Eeldusel, et te paigutate kogu konfiguratsiooni ühte faili, sisalduvad seal kaks osa

* põhiosa - kirjeldatakse veebiserveri üldisi omadusi, näiteks millise kasutaja õigustes ta töötab
* ressursside määrangud - kehtestatakse reeglid, kuidas veebiserver faile serveerib, näiteks käsitleb .php lõpulisi faile PHP skriptidena

Üldosa direktiivide järjekord pole oluline, kui sama direktiiv on väärtustatud mitu korda, jääb kehtima viimane väärtus.

Kui ressursside omadusi määratakse grupeerimisvahendite abil, siis sõltumata konfigureerimisfailis esinemise järjekorrast, loetakse neid sellises järjekorras: Directory, Files, Location

Directory sees võivad olla kirjeldatud omakorda Files sektsioonid.

Directory sees on lubatud kasutada järgmisi direktiive:

* DirectoryIndex
* Options
* Order, Allow, Deny
* AllowOverride
* AddHandler
* AddType

Files sektsioonis on lubatud kasutada praktiliselt samasid direktiive, mida sektsioonis Directory eeldusel, et neid on mõistlik rakendada failidele. Ilmselt ei saa kasutada näiteks direktiivi DirectoryIndex, küll aga näiteks Allow ja Deny.

Location sektsioonis on lubatud kasutada praktiliselt samasid direktiive, mida sektsioonis Directory. Kuna Locationit rakedatakse kõige viimasena, siis ei saa seal näiteks kasutada Options direktiivi, küll aga näiteks Allow ja Deny'id.

===Veebiserveri turvalisus===

Veebiserveri kasutamisel arvestage, et iseenesest on veebiserver programm, mis teeb teie arvuti failid kättesaadavaks HTTP protokolli kasutavaile klientidele so brauseritele.

Kuigi veebiserver tuleb käivitada juurkasutaja õigustes, toimetab ta edasi konfiguratsioonifailis näidatud kasutajana (User, Group direktiivid).

Siiski, kui te kasutate konfiguratsioonifailis teatud kohtades IO ümbersuunamist, näiteks logimise juures, siis seda teeb Apache juurkasutajana.

Vältimaks ebameeldivaid üllatusi, veenduge, et veebiserveri juurikas ning selle alla jäävad kataloogid on piisavalt kaitstud, so kasutajatel pole neisse kirjutamisõigust. Veebiserver (/usr/local/apache/bin/httpd) ja muud temaga seotud failid, näiteks rotatelogs kuuluvad juurkasutajale ning on tavakasutajaile ning grupile others vaid käivitatavad. Tavaliselt piisab nende tingimuste täitmiseks anda käsud

bash# cd /usr/local/apache
bash# chown 0 bin conf logs
bash# chgrp 0 bin conf logs
bash# chmod 755 bin conf logs

bash# chown 0 /usr/local/apache/bin/httpd
bash# chgrp 0 /usr/local/apache/bin/httpd
bash# chmod 511 /usr/local/apache/bin/httpd

Lisaks, mõelge järele, kas te peate kasutajaile lubama käivitada CGI skripte, ning andmebaase ning otsustage millistel tingimustel, samuti kataloogipõhine veebiserveri konfigureerimisvõimalus. Näiteks lubage kasutajatel CGI skripte tarvida ainult kataloogist ~/public_html/cgi-bin

<Directory /usr/home/*/public_html/cgi-bin>
AddHandler cgi-script .cgi
Options +ExecCGI
</Directory>

Heal juhul saab veebiserveri tööleseadmise eel otsustada, milliste omadustega peab ta olema. Reeglina ei soovitata lihtsalt sisse kompileerida toetust, mida praktiliselt ei tarvitata. Näiteks, kui te olete kindel, et pole vajadust server-info ja server-status'e järele, siis jätke vastavad moodulid välja. Näidake seda Apache ./configure skripti juures vastavate võtmetega --disable-module=info --disable-module=status.

===Virtuaalveebiserverid===

Ühte ja sama Apache veebiserverit saab tööle seada nii, et ta serveerib erinevaid andmeid sõltuvalt millise nimega tema poole pöörduti. Asjakorraldust nimetatakse virtuaaseteks veebiserveriteks, kuna füüsiliselt on tegu ühe arvutiga, kuid külastajaile jäetakse mulje, et neid on mitu.

Virtuaalseid veebiservereid on kolme sorti:

* pordipõhised - sõltuvalt külastaja poolt kastatud pordist serveeritakse erinevat veebi
* IP-põhised - sõltuvalt külastaja poolt kasutatud IP aadressist serveeritakse erinevat veebi
* nimepõhised - sõltuvalt külastaja poolt kasutatud DNSi nimest serveeritakse erinevat veebi; reeglina vastavad erinevad nimed samale IP aadressile so on kirjeldatud CNAMEdena

Põhimõtteliselt on võimalik kasutada neid virtuaalservereid ka kombineeritult korraga.

Erijuht virtuaalveebi serveerida on käivitada mitu eksemplari httpd servereid, iga oma konfiguratsiooniga. Kuna see võimalus on suhteliselt ebaefektiivne ning ei paku olulisi täiendavaid võimalusi, siis seda me ei käsitle.

Virtuaalserveri sektsioonis (VirtualHost) saab kasutada paljusid direktiive, mida peaserveri puhul sh direktiive Options, Alias, Directory, Location, Files. Samuti direktiive, mis reguleerivad SSI, CGI, PHP, Emperli, ümberkirjutamise ja logi kasutamist. Kui direktiivi ei näidata, kasutataks põhikonfiguratsiooni väärtus, kui seal seda samuti pole, siis vaikeväärtust.

===Pordipõhised virtuaalveebiserverid===

Kasutamaks erinevaid veebiseveri konfiguratsioone sõltuvalt sellest, millisele pordile päring tuli, kasutage direktiive Listen ja VirtualHost. Näiteks teenindab veebiserveri konfiguratsioonifaili põhiosale vastav server kõiki päringuid va neid, mis on suunatud aadressi 193.40.50.1 (www.zoo.edu.ee) pordile 8080 või pordile 8081. Viimast kahte teenindatakse vastaval VirtualHosti sektsioonile. Näiteks seame lisaks põhiosale tööle kaks alternatiivset dokumendijuurikat ja logi

...
Listen 80
Listen 193.40.50.1:8080
Listen 193.40.50.1:8081
<VirtualHost 193.40.50.1:8080>
ServerAdmin mart@zoo.edu.ee
DocumentRoot /www/mardizoo
ErrorLog /var/logs/mardizoo.error.log
CustomLog /var/logs/mardizoo.log common
</VirtualHost>

<VirtualHost 193.40.50.1:8081>
ServerAdmin priit@zoo.edu.ee
DocumentRoot /www/priiduzoo
ErrorLog /var/logs/priituzoo.error.log
CustomLog /var/logs/priiduzoo.log common
</VirtualHost>

kusjuures peakonfiguratsiooni on lisatud vastavad Listen direktiivid.

Brauseris tuleb päringud esitada vastavalt http://www.zoo.edu.ee:8080 või http://www.zoo.edu.ee:8081.

===IP-põhised virtuaalveebiseverid===

IP-põhised virtuaalveebiserverite kasutamisel on veebiserveril mitu IP aadressi. St masinal on mitu võrgukaarti või on kasutatud IP-aliasingut.

IP-põhiste virtuaalveebiserverite kasutamisel näidake direktiivi VirtualHost juures ära IP aadress, ning samas sektsioonis kirjeldage kõnealuse veebiserveri omadused. Näiteks kui masinal on kaks võrgukaarti IP aadressidega 193.40.10.1 ning 193.40.50.1 kasutage sektsioone

<VirtualHost 193.40.50.1>
ServerName www.zoo.tartu.ee
ServerAdmin priit@zoo.tartu.ee
DocumentRoot /www/tartuzoo
ErrorLog /var/logs/tartuzoo.error.log
CustomLog /var/logs/tartuzoo.log common
</VirtualHost>

<VirtualHost 193.40.10.1>
ServerName www.zoo.edu.ee
ServerAdmin mart@zoo.edu.ee
DocumentRoot /www/eduzoo
ErrorLog /var/logs/eduzoo.error.log
CustomLog /var/logs/eduzoo.log common
</VirtualHost>

Peakonfiguratsiooni osa järgi teenindatakse neid päringuid, millel ei leidu sobivat virtuaalserverit. Näiteks kui masinal on veel kolmas võrguseade ning päring siseneb selle aadressile.

Virtuaalserveri direktiivi juurde võib kirjutada ka mitu IP aadressi, mispuhul kasutatakse kõnealust serverit neile kõigile tulnud päringutele vastamisel.

===Nimepõhised virtuaalveebiserverid===

Nimepõhisete virtuaalveebiserverite kasutamine eeldab, et ühele IP aadressile (193.40.50.1) on nimesüsteemis (DNS) seatud näiteks CNAMEiga vastavusse mitu domeenime (www.zoo.tartu.ee, post.zoo.tartu.ee).

Kui soovite kasutada enam kui ühte veebiserverit, siis on soovitav kõik veebiserverid konfigureerida virtuaalseteks. Kusjuures põhiserverile ei vastagi DocumentRoot'i.

Nimepõhiste virtuaalveebiserverite kasutamine deklareeritakse peakonfiguratsiooni osas direktiiviga NameVirtualHost. Direktiivi järel näidatakse IP aadress, millele tulnud päringute teenindamisel kasutatakse sobivat VirtualHosti sektsiooni. Näiteks

NameVirtualHost 193.40.50.1

puhul kasutatakse aadressile 193.40.50.1 saabunud päringute töötlemiseks sobiva domeeninimega (ServerName) VirtualHost sektsiooni.

Erinevad virtuaalserverid kirjeldatakse direktiiviga VirtualHost, näiteks sarnase sektsiooniga

<VirtualHost 193.40.50.1>
ServerName www.zoo.tartu.ee
ServerAdmin priit@zoo.tartu.ee
DocumentRoot /www
ErrorLog /var/logs/www.error.log
CustomLog /var/logs/www.log common
</VirtualHost>

<VirtualHost 193.40.50.1>
ServerName post.zoo.tartu.ee
ServerAdmin post@zoo.tartu.ee
DocumentRoot /post
ErrorLog /var/logs/post.error.log
CustomLog /var/logs/post.log common
</VirtualHost>

Kui serveril on mitu võrguaadressi, siis võib kasutada direktiivi NameVirtualHost mitu korda ning lisada vastavad sektsioonid, kuid lühem on asendada IP aadress täringa (*)

NameVirtualHost *

<VirtualHost *>
ServerName www.zoo.tartu.ee
ServerAdmin priit@zoo.tartu.ee
DocumentRoot /www
ErrorLog /var/logs/www.error.log
CustomLog /var/logs/www.log common
</VirtualHost>

<VirtualHost *>
ServerName post.zoo.tartu.ee
ServerAdmin post@zoo.tartu.ee
DocumentRoot /post
ErrorLog /var/logs/post.error.log
CustomLog /var/logs/post.log common
</VirtualHost>

Päringuid, mis saabuvad direktiiviga NameVirtualHost näidatud aadressile ei teenindata IP-põhiste sektsioonide ega peaserveri konfiguratsiooni alusel.

===Kasulikud lisamaterjalid===

Apache'i veebiserver

2007-01-26T14:03:18Z

Triinu: /* Ümerbkirjutustabel */

===Veebiserveri konfigureerimine ja käivitamine===

Veebiserveri tööd juhib üks konfiguratsioonifail httpd.conf. Sellesse kirjutatake parameetrid üks reale, kusjuures # märgiga algavaid ridu ignoreeritakse. Ridu saab jätkata sisestades kurakallu (\) viimase sümbolina eelmisele reale, tegelikult eelviimasena, viimane on reavahetus :)

Lihtsal juhul võiks olla konfiguratsioonifail selline

User nobody
Group nobody
ServerType standalone
ServerName www.zoo.tartu.ee
ServerRoot "/usr/local/apache"
DocumentRoot "/html"
DirectoryIndex index.html
ErrorLog /var/log/apache/error.log
Listen 80
Options None
<Directory />
AllowOverride None
</Directory>

kus on kasutatud järgmisi direktiive

* User - kasutaja, kelle õigustes veebiserver töötab
* Group - grupp, kelle õigustes veebiserver töötab
* ServerType - serveri tüüp, tavaliselt standalone, so mitte inetd abil käivitatav
* ServerName - millise nime server arvab endal olevat
* ServerRoot - kataloog, mille all serveri programmid asuvad
* DocumentRoot - veebifailid, mida külastajaile serveeritakse
* DirectoryIndex - faili nimi, mis brauserisse saadetakse, kui ta küsib kataloogi eeldusel, et sellenimeline fail kataloogis leidub
* ErrorLog - fail, kuhu saadetakse veateated; kataloog, kus see fail asub peab olema kindlasti olemas!
* Listen - port, millel veebiserver ootab päringuid, kõigil võrguseadmetel
* Options - väärtus None tagab, et külastajale näidatakse vaid neid veebilehti, mida ta nimeliselt küsib.

Reeglina on veebiserverina töötaval arvutil nö tavaline nimi, näiteks kalake.zoo.tartu.ee ning nimeserveris on talle defineeritud lisaks ka mõned hüüdnimed (CNAMEga). Tavaliselt kasutatakse veebiserveri nime alguses kombinatsiooni www, kokku saab antud juhul www.zoo.tartu.ee, kuid veebiserveri nimi ei pea sugugi algama www-ga olles näiteks see sama kalake.zoo.tartu.ee.

Konfiguratsioonifailis kasutatud kataloogid peavad süsteemis leiduma, toodud näites peavad nad kuuluma lähtudes turvakaalutlustest juurkasutajale; samuti nendest kataloogidest ülevalpool asuvad kataloogid.

Reeglina on süsteemis vaikimisi olemas mitteprivilegeeritud kasutaja nobody grupiga nobody. Võib kasutada seda või luua spetsiaalne kasutaja, näiteks apache grupiga veeb. Veebiserveri mittekäivitumise põhjuseks on tihtipeale vastavate kasutajate puudumine süsteemis.

Näidates võrguseadme nime, vastatakse ainult sellelt seadmelt tulevaile päringutele, näiteks 'Listen 193.40.10.1 80'.

===Sektsioon===

<Directory />
AllowOverride None
</Directory>

tähendab, et kataloogides pole täiendavate vahenditega õigust veebiserveri konfiguratsiooni täpsustada.

Kuigi teatud parameetrite järjekord konfiguratsioonifailis ei ole tähtis, jääb kehtima parameetrile viimasena omistatud väärtus.
Käivitamine

Veebiserver käivitatakse ja peatatakse käsuga apachectl

bash# apachectl start

Peatamine toimub käsuga stop

bash# apachectl stop

Peale konfiguratsioonifaili muutmist kehtestuvad muutused serveri taaskäivitamisel soovitavalt käsuga graceful, või restart

bash# apachectl graceful

Veebiserver tuleb käivitada juurkasutajaõigustes, kuid ta töötab konfiguratsioonifailis näidatud User ja Group kasutajana. See tähendab, et failisüsteemi osad, mida soovitakse veebi näidata peavad olema vastavatele UNIXi kasutajatele nähtavad. Tavaliselt on nende failide kasutajagrupile other antud lugemisõigus.

Töötavast veebiserverist annab tunnistust see, kui süsteemi protsessitabelis on httpd deemoni nimi, isegi mitu

bash# ps auxw | grep httpd
root 30692 0.0 5.4 4236 3288 ?? Ss 4:39PM 0:00.16 /usr/local/apache/bin/httpd
nobody 30840 0.0 5.5 4272 3324 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30841 0.0 5.5 4272 3324 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30842 0.0 5.5 4272 3324 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30843 0.0 5.4 4248 3296 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30844 0.0 5.4 4248 3296 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30845 0.0 5.4 4256 3300 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd

Aga veel parem kinnitus on, kui olemaks näitega kooskõlas päring http://www.zoo.edu.ee näitab veebilehte, so faili /html/index.html. Samuti saab antud näite rakendamisel näha kasutajate kodulehti eeldusel, et nad asuvad kataloogide ~/public_html all.

Kui veebiserveri käivitamisel ilmneb raskusi, siis tasub uurida vealogi (/var/log/apache/error.log) sisu.
Automaatne käivitamine

===Veebiressursside kasutusõigus===

Veebiserveri konfigureerimisel on väga oluline näidata, mida vastuseks külastaja päringule tohib teha või saata või kas üldse külastajat teenindada.

===Direktiiv Option===

Direktiivi Options abil saab määratleda, mida kataloogis leiduvate failidega lubatakse teha. Näiteks määrates minimaalsed õigused parameetriga None, saab kataloogis sisalduvate failide poole pöörduda vaid nimeliselt; failide nimekirja ei näidata.

Options None

===Muud võimalused:===

* FollowSymLinks - kui brauser esitatud päringus on failinimi viide, siis seda järgitakse vaatamata, kas viidatav fail kuulub samale kasutajale kui
viide
* SymLinksIfOwnerMatch - kui brauser esitatud päringus on failinimi viide, siis seda järgitakse juhul, kas viidatav fail kuulub samale kasutajale
kellele viide
* Indexes - näidatakse serveri kataloogi failide nimekirja kui DirectoryIndexis näidatud faile ei leitud
* ExecCGI - CGI skriptide kasutamiseks
* Includes - SSI failide kasutamiseks
* IncludesNOEXEC - SSI failide kasutamiseks, va #exec ja CGI skriptide #include
* All - kõik eelnimetatu on lubatud

Korraga võib määratleda ka mitu parameetrit, eraldades nad üksteisest tühikuga.

Kui konfiguratsioonifailis kasutada mitmel Options direktiivi, jääb kehtima viimane. Lisades parameetri algusesse + või - märgi, lisatakse või eemaldatakse vastav toime. Näiteks kasutades direktiive

Options Indexes Includes FollowSymLinks
Options -FollowSymLinks

on toime samaväärne avaldisega

Options Indexes Includes

Direktiivi Options vaikeväärtus on All.

===Direktiivid Allow, Deny ja Order===

Direktiividega Allow, Deny ning Order abil saab kehtestada, millistelt domeenidelt tulevaid päringuid teenidatakse. Orderi abil seatakse, millises järjekorras kontroll toimub, kusjuures rakendatakse viimast reeglit, millega külastaja domeeninimi klapib. Kui ükski reegel ei klapi, toimitakse vaikimisi nagu viimane Orderi parameeter näitab. Näiteks sellise sektsiooni puhul

Order Deny,Allow
Deny from all
Allow from zoo.tartu.ee

Päringut domeenist zoo.tartu.ee teenindatakse, esimene reegel (Deny) keelab kõik, kuid teine (Allow) lubab domeeni zoo.tartu.ee. Kui Order oleks vastupidi, siis lubaks esimene reegel (Allow) zoo.tartu.ee, kuid kehtima jääks viimane reegel (Deny). Reeglite järjekord failis ei loe, kuna selle määrab Order.

Järgmises näites on lubatud päringud vaid tartu.ee domeenist, va alamdomeen zoo.tartu.ee

Order Allow,Deny
Allow from tartu.ee
Deny from zoo.tartu.ee

Tõepoolest, päringut foo.tartu.ee domeenist teenindatakse kuna ta klapib esimese (Allow) reegliga, mis lubab ning teisega, mis keelab mitte. Päringuid muudest domeenidest keelatakse, kuna nad ei klapi kummagi reegliga ning vaikimisi rakendatakse viimast Orderi parameetrit - Deny.

Order, Deny ja Allow direktiive saab kasutada vaid direktiivi Directory sees ning Deny ja Allow tuleb eraldada ainult täpselt ühe komaga!

===Veebiressursside grupeerimisvahendid===

Veebiserveri kasutusõigust ning teisi omadusi reguleerivaid parameetreid saab grupeerida järgmiste direktiividega

* Directory - kataloogis ning selle alla jäävate alamkataloogides sisalduvate failide grupeerimiseks
* Files - faili nimede järgi failide grupeerimiseks
* Location - URLi ning selle alla jäävate URLide grupeerimiseks

Sellistele gruppidele saab rakendada korraga samu määratlusi, näiteks Option parameetriga.

===Directory direktiiv===

Directory abil saab määrata näidatud kataloogi alla jäävatele failidele ühesuguseid omadusi. Näiteks kehtestame, et kataloogi /html/veeb/kalamaja alla jäävates kataloogides käsitletakse DirectoryIndexina faile index.html ja index.htm

<Directory /html/veeb/kalamaja>
DirectoryIndex index.html index.htm
</Directory>

===Files direktiiv===

Sarnaselt Directory'le saab kehtestada näidatud regulaaravaldisega klappivate failinimedega failidele ühesuguseid omadusi. Näiteks kehtestame, et failides, mille nimi algab tähtedega "e_" ja lõpeb .html-ga, tohivad sisaldada Embperli konstruktsioone

<Files ~ "^e_.*\.html$">
Options +ExecCGI
SetHandler perl-script
PerlHandler HTML::Embperl
</Files>

===Location direktiiv===

Sarnaselt Directory direktiivile saab Locationiga kehtestada osale veebikohale samasuguseid omadusi. Location mõjub mitte kataloogistruktuuri, vaid URLi mõttes hulgale elementidele. Näiteks kehtestame, et URL'ist http://kalake.zoo.edu.ee/hobused edasi tohib näha kataloogide nimekirja

<Location /hobused>
Options Indexes
</Location>

Tavaliselt piisab Directory kasutamisest, kuid kuna veebiserveri kataloogi-ja URLihierarhia ei pruugi alati kokku langeda, siis on sellest vahel abi.

===Kataloogipõhine veebiserveri konfigureerimine===

Veebiserveri põhikonfiguratsioonifailis näidatud väärtusi saab iga kataloogi jaoks täpsustavalt määrata kataloogis sisalduva konfiguratsiooni .htaccess faili abil. Selle faili nimi on määratud põhikonfiguratsioonifailis direktiiviga AccessFileName, mis peab esinema Directory sees. Faili süntaks on sama, mis põhikonfiguratsioonifailil. Seda, milliseid omadusi on ludatud .htaccess failiga täpsustada, näitab põhikonfiguratsioonifailis direktiiv AllowOverride; järgmistele parameeritele vastab voli muuta toodud parameetreid

* AuthConfig - AuthGroupFile, AuthName, AuthType, AuthUserFile, Require jne
* FileInfo - AddEncoding, AddLanguage, AddType, DefaultType, ErrorDocument jne
* Indexes - DirectoryIndex, AddDescription, AddIcon, AddIconByEncoding, AddIconByType, DefaultIcon, DirectoryIndex, FancyIndexing, HeaderName,
IndexIgnore, IndexOptions, ReadmeName jne
* Limit - Order, Allow, Deny
* Options - Options, XBitHack
* None - mitte midagi
* All - kõik nimetatud

Vaikimisi toimib parameeter All. Kui ei soovita lasta kasutajatel veebiserverit konfigureerida, siis kasutage peale veebiserveri põhiosa direktiivi

AllowOverride None

.htaccess failis tohib kasutada direktiivi Files, aga ei saa kasutada Diectory või Location.

Tavaliselt on ohutu ning kasutajaile piisav

AllowOverride Indexes AuthConfig

===Alias===

Direktiiv Alias võimaldab muuta veebi failile kataloogistruktuuri vastavust URLi struktuurile. Näiteks olgu kataloogis /html/veeb/hobused/2000/tyrinaitus/ehola_talu failid ning soovime neile ligi pääseda URLiga http://www.zoo.tartu.ee/ehola_talu. Kasutame sellist Aliast

Alias /ehola_talu/ /html/veeb/hobused/2000/tyrinaitus/ehola_talu/

Antud juhul laheneb päring http://www.zoo.tartu.ee/ehola_talu/, kuid mitte http://www.zoo.tartu.ee/ehola_talu.

Lisaks saab Aliasega kaasata veebi faile ning katalooge, mis asuvad failisüsteemi mõttes väljaspool DocumentRootu.

Alias /valdek/ /html/valdek/veeb/

Aliase süntaks on järgmine

Alias URLi-tee kataloogi-tee

kus

* URLi-tee on osa URList, mis jääb peale serverinimi osa, näiteks http://www.zoo.tartu.ee/ehola_talu/ puhul /ehola_talu/
* kataloogi-tee on vastava kataloogi nimi

Aliasi saab kasutada peakonfiguratsioonifailis või võrdväärsetes kohtades, näiteks VirtualHost sektsioonis. Aliaste kasutamisel tuleb tavaliselt kasutada kataloogi tee'le vastavaid Directory direktiive, muutmaks sobivaks veebiosa kasutusõigused. Aliased loetakse läbi enne Directory sektsioone.

Aliase kasutamisel tuleb tähele panna, et URLi tee asendatakse igal juhul kataloogiteega. Kas sel juhul, kui päring on pikem, kooskõlas kasutatud näitega päringu http://www.zoo.tartu.ee/ehola_talu/ratsahobused/piiker.html puhul esitatakse fail /html/veeb/hobused/2000/tyrinaitus/ehola_talu/ratsahobused/piiker.html.

Soovides teha paindlikumaid nö ümberkirjutusi, kasutage mod_rewrite'i võimalusi.

===CGI===

CGI kasutamiseks lisage konfiguratsioonifaili rida

AddHandler cgi-script .cgi .pl

Tulemusena püüab veebiserver käivitada kõiki serveeritavaid .cgi ja .pl lõpuliste nimedega faile, eeldusel, et failile rakendub Optioni parameeter ExecCGI. Käivitamisel tekkiv programmiväljund saadetakse brauserisse, kusjuures see peab algama tuntud Content-type'iga, näiteks text/html. Seda võib teha näiteks Directory abil; kehtestame, et kõikjal veebi faile sisaldavas kataloogis /html/veeb/suhtleja ja selle all asuvad .cgi ja .pl lõpuliste nimedega failid on käivitatavad

<Directory /suhtleja>
Options ExecCGI
</Directory>

Soovides näidata, et vaatamata failinimele tuleb käsitleda faili CGI skriptina, kasutage ScriptAlias direktiivi. Tüüpiliselt määratletakse URLi http://kalake.zoo.tartu.ee/cgi-bin/'le vastavad failid skriptideks

ScriptAlias /cgi-bin/ /html/veeb/cgi-bin/

Tulemusena, näiteks päringu http://kalake.zoo.tartu.ee/cgi-bin/kasutajatenimikiri.sh puhul käivitatakse fail /html/veeb/cgi-bin/kasutajatenimekiri.sh.

===SSI===

SSI (Server Sides Includes) tehnika võimaldab sisestada brauseri päringus nõutud faili koosseisu muude failide sisu.

SSI kasutamiseks lisage konfiguratsioonifaili rida

AddType text/html .shtml
AddHandler server-parsed .shtml

ning näidake näiteks direktiivide Directory ja Options parameetri Includes abil, milliseid faile tohib server käsitleda SSIdena. Näiteks kehtestame, et kataloogi /html/veeb/uudised all kasutatakse SSId

<Directory /html/veeb/uudised<>
Options IncludesNOEXEC
</Directory>

Tulemusena saab failides, mille nime lõpus on .shtml, kasutada SSI konstruktsioone, va #exec ja CGI skriptide #include.

===Embperl===

Embperl on tehnika, mis võimaldab sisestada HTML koodi sisse Perli konstruktsioone. Selle võimaluse kasutamiseks lisage konfiguratsioonifaili

<Files ~ "\.html$">
Options ExecCGI
SetHandler perl-script
PerlHandler HTML::Embperl
</Files>

Tulmusena lahendab veebiserver failides, mille nime lõpetab .html sisalduva Perli koodi.

Muuseas, Embperli rakendamisel on veebiserver ka tavalise HTML süntaksi osas oluliselt rangem. Tüüpiliselt ei meeldi talle [# jne järgnevused, mida kasutatakse Embperli skriptide tähistamiseks. Et neid sümboleid siiski kasutada saada, esitage neid a la &#kood;, näiteks <.

===PHP===

PHP on tehnika, mis võimaldab lisada HTML koodi sisse PHP keele konstruktsioone. Selle võimaluse kasutamiseks lisage konfiguratsioonifaili

AddType application/x-httpd-php .php

Veebiserverisse konfigureeritud PHP omadusi saab näha PHP skriptiga

<?
phpinfo();
?>

===Serveri kasutajate kodulehed===

Vaikimisi eeldab veebiserver, et näiteks URLile http://www.zoo.tartu.ee/~priit vastab süsteemi kasutaja priit kodukataloogis olev kataloog public_html. Selle kataloogi nime määrab direktiiv UserDir.

===Veebi kaitsmine parooliga===

Apache pakub vahendid veebistruktuuri kaitsmiseks parooliga. Konfiguratsioonifailis näidatakse ära, millist ressurssi kaitsta ning millist autentimissüsteemi kasutada.

Kõige lihtsamal juhul tuleb programmiga htpasswd genereerida lubatud külastajate paroolifail, milles on kirjas kasutajanimed ning vastavad paroolid. See fail on reeglina erinev süsteemi paroolifailist, kus veebiserver töötab. Kui külastaja püüab siseneda kaitstud veebi, avaneb dialoog ning küsitakse tema kasutajanime ning parooli. Sobiva paari sisestamisel lubatakse külastaja veebile ligi, kusjuures kõnealust veebi saab kasutada kuni brauseri sulgemiseni.

Näiteks kaitseme kataloogistruktuuri /html/salajane kirjeldatud paroolikontrolliga

<Directory /html/salajane>
AuthUserFile /usr/local/apache/conf/salajane.paroolifail
AuthType Basic
AuthName Salajane
require valid-user
</Directory>

kus on kasutatud direktiive:

* AuthUserFile - paroolifailinimi, /usr/local/apache/conf/salajane.paroolifail
* AuthType - millist tüüpi autentimisega on tegemist, antud juhul Basic
* AuthName - parameetri väärtust näidatakse aknas, kuhu kasutaja sisestab oma veebi kasutajanime ja parooli; sama veebi piires saab sama kasutajanimega
seostada erinevaid paroole, mistõttu peab külastaja saama teada, millist parooli konkreetsel juhul tarvitada
* require valid-user - sellele ressursile lastakse ligi vaid peale edukat autentimist

Sobiv paroolifail moodustatakse programmiga htpasswd

bash$ htpasswd -b -c -m salajane.paroolifail priit priiduparool

kus

1. -b kasutaja parooliks loetakse käsurea viimane sõna (priiduparool)
2. -c seda võtit tuleb kasutada vaid siis, kui paroolifaili veel ei eksisteeri; edaspidi peab selle võtme ära jätma, sest muidu kustutatakse olemasoleva
paroolifaili sisu
3. -m kasutada MD5 krüptimist; jättes selle võtme kirjutamata tekitatakse CRYPT proolid
4. järgnevad paroolifaili nimi (salajane.paroolifail) ja kasutajanimi (priit)

Tundub, et peale Directory, saab autentimist kasutada ka Location sektsioonis, mis on veebi suhtes veel asjakohasem.

Paroolifail peab olema loetav sellele kasutajale, kelle õigustes veebiserver töötab (näiteks nobody) ning soovitavalt mitte olema veebiga samas kataloogistruktuuris.

===Logi===

Apache veebiserveriga saab logida tekstifaili erinevatel tingimustel toimunud päringuid ning neid logifaile automaatselt roteerida. Logida saab paraleelselt ka näidatud tingimustele erinevates formaatides erinevatesse failidesse.

Direktiiviga LogFormat kirjeldatakse mida logitakse. Tüüpiliselt defineeritakse formaat nimega tavaline

LogFormat "%h %l %u %t \"%r\" %>s %b" tavaline

kus

* %h - maisinanimi, kust päring esitati
* %l - kasutajanimi, kes päringu esitas eeldusel, et IdentityCheck tomib; tavaliselt see väli jääb tühjaks, kuna IdentityCheck'i kasutamine võtab
tublisti veebi kiirust alla
* %u - kui veebiserveri ressurss nõudis autentimist, siis kasutatud kasutajanimi
* %t - päringu esitamise aeg
* \"%r\" - jutumärkides esitatud päringu esimene rida
* %>s - päringule vastuse olek (ingl. k. status)
* %b - päringu vastuse maht baitides
* tavaline - logiformaadi nimi

Logimine ise toimub direktiiviga CustomLog, näiteks logime, kasutades logiformaati tavaline, faili /var/log/apache/tavaline.log

CustomLog /var/log/apache/tavaline.log tavaline

Soovides logifaili automaatselt roteerida, kasutage veebiserveriga kaasas olevat programmi rotatelogs. Näiteks moodustame iga nädal uue logi

CustomLog "|/usr/local/apache/bin/rotatelogs /var/log/apache/tavaline.log 604800" common

Logi faili nimi moodustatakse lisades failinime lõppu aja sekundites, mis on möödunud UNIXi ajastu algusest, so 1970. 1. jaanuar kell 00:00 hommikul.

===Vealogi===

Vealogisse salvestatakse serveri töös toimunud vead, sh näiteks päringud puuduvatele failidele. Logitaset saab reguleerida direktiiviga LogLevel, soovitatakse taset warn

LogLevel warn

Direktiiviga ErrorLog näidatakse, kuhu logi salvestada

ErrorLog /var/log/apache/error.log

Logianalüsaatorid

Apache veebiserveri logi analüüsiks sobib kasutada näiteks programmi Webalizer.

===Veebiserveri staatus ja info===

Eeldusel, et veebiserverisse on sissekompilleeritud vastavad moodulid võtmetega --enable-module=status ja --enable-moudule=info, saab näha veebiserveri konfiguratsiooni (info) ning parasjagu olevat seisu (status).

Näidates konfiguratsioonifailis direktiivi ExtendedStatus parameetriks "On", esitatakse staatus põhjalikumalt.

Nende veebiserveri omaduste nägemiseks peab sisalduma konfiguratsioonifailis kaks sektsiooni

URLi http://www.zoo.tartu.ee/status-info jaoks

<Location /server-info>
SetHandler server-info
Order deny,allow
Deny from all
Allow from .zoo.tartu.ee
</Location>

URLi http://www.zoo.tartu.ee/server-info jaoks

<Location /server-status>
SetHandler server-status
Order deny,allow
Deny from all
Allow from .zoo.tartu.ee
</Location>

Mõlemas sektsioonis on kasutatud Deny ja Allow direktiive, piiramaks nende URLide külastamise õigust. Kuigi sealt midagi väga salajast ei paista, on külastama lubatud vaid zoo.tart.ee domeeni masinastest.
Veebi-indekseerijad

Apache veebiserver ei sisalda indekseerimisvahendeid, so võimalusi luua serveeritavale veebile otsingumootorit. Küll aga sobib kasutada mõnda olemasolevat veebiindeksaatorit, näiteks Glimpse või HtDig.

Hoopis teine probleem on kuidas kontrollida, mida tohivad teha teised otsingumootorid (tuntud kui robotid või nuhid) teie veebi külastades. Tüüpiliselt tuleb neid kontrollida, kuna nad võivad täita avalikke andmebaase kiiresti vananeva infoga või ebasoovitavalt teie serverit koormata.

===URLi ümberkirjutamine===

Ümberkirjutamise kasutamiseks on vaja mod_rewrite'i toetus serverisse kompilleerida võtmega --enable-module=rewrite.

See tehnika võimaldab suunata serverisse tulevad päringud ümber, jäädes sama serveri piiridesse või välja. Ümbersuunamisi saab konfigureerida peakonfiguratsioonifailist või .htaccess failist.

Ümbersuunamisel saab kasutada tingimusi või teha seda juhuslikult.

Tõenäoliselt on võimalik järgnevalt näidetena toodud tegevusi korraldada ka muude vahenditega, URLi ümberkirjutamine mod_rewrite'ga on selleks üks käepärane vahend.

Ümberkirjutuste tegemiseks tuleb esmalt aktiviseerida ümberkirjutusmehhanism

RewriteEngine On

Ümberkirjutust ennast teostab direktiiv RewriteRule. Näiteks suuname kõik veebiserverisse kasutajale priit tulevad päringud (http://www.zoo.tartu.ee/~priit) aadressile http://www.priit.ee

RewriteRule ^/~priit.+ http://www.priit.ee

Direktiivi RewriteRule esimene argument on regulaaravaldis (^/~priit.+) ning kui sellega päring klapib, siis suunatakse brauser teise parameetriga näidatud URLile (http://www.priit.ee). Kasutaja brauseri Location real kirjutatakse URL paratamatult ümber.

Direktiivi süntaks on järmine

RewriteRule regulaaravaldis asendus [võtmed]

kus

* regulaararvaldisega kontrollitakse, kas URL klapib ümberkirjutamisreegliga, kusjuures URL on antud juhul see osa päringust, mis jääb paremale
http://www.zoo.tartu.ee'st, näite puhul /~priit.
* kui URL klappis, siis asendatakse URL asendusega 'asendus'
* lisaks on mõnel juhul oluline kasutada võtmeid, mis kontrollivad ümberkirjutamise peensusi

^ tähistab, et / peab olema URLi esimene sümbol ning peale priit 't' tähte võib tulla kuitahes palju mistahes sümboleid (.+). Muuseas, antud juhul suunatakse ümber näiteks päring http://www.zoo.tartu.ee/~priit-onvastmees.

Lubatud on kasutada järjest mitmeid asendusi, mil neid rakendatakse järjest, tulemuseks on viimane tehtud ümberkirjutus. Järgmise asenduse regulaaravaldist klapitatakse eelmise ümberkirjutamisel tehtud tulemusega.

Esitame näite sisemise ning välimise ümberkirjutamise kohta. Soovides vastuseks päringule http://www.zoo.tartu.ee/vana.html brauserisse saata lehe uus.html, kusjuures jättes brauseri Location reale esialgse teksti, so http://www.zoo.tartu.ee/vana.html, kasutage ümberkirjutamisreeglit

RewriteRule ^vana\.html$ uus.html

Sama, kuid brauseri Location real kajastub ümberkirjutus

RewriteRule ^vana\.html$ uus.html [R]

^vana\.html$ tähendab, et asendus toimub, kui päring oli täpselt vana.html, so algas v-ga (^) ja lõppes l-ga ($); punkt on regulaaravaldise erisümbol ja tuleb põgeda (\).

Kirjutades järjest mitu ümberkirjutusreeglit ning soovides, et ümberkirjutamine lõppeks antud reegliga, tuleb reegli lõppu lisada võti L (last).

RewriteRule ^/~priit.+ http://www.priit.ee [R,L]
RewriteRule ^/~nea.+ http://www.nea.ee [R,L]
RewriteRule ^/~inna.+ http://www.inna.ee [R,L]
RewriteRule ^/~mart.+ http://www.mart.ee [R,L]

Kui aga veebiserverit tõstetakse ühest masinast teise, oletame, et uus töötab, kuid kasutajate kodud on vanas, siis lisage uue konfi selline rida

RewriteRule ^/~(.+) http://vana.zoo.edu.ee/~$1 [R,L]

Siin on kasutatud regulaaravaldist koos asendamisega. $1 asendatakse tekstiga, mis klappis kasutatud regulaaravaldises avaldisega (.+). Praktiliselt näiteks

===Lisatingimuste kasutamine===

Direktiiv RewriteRule teostab ümberkirjutusi niikuinii tingimusi kasutades regulaaravaldise abil. Peale selle saab seada direktiiviga RewriteCond lisatingimusi. Näiteks sõltuvalt serveri kellaajast, saadetakse brauserile üks või teine veeb

RewriteEngine on
RewriteCond %{TIME_HOUR}%{TIME_MIN} >0700
RewriteCond %{TIME_HOUR}%{TIME_MIN} <1900
RewriteRule ^index\.html$ paev.html

RewriteRule ^index\.html$ oo.html

%{TIME_HOUR} asendatakse päringu sooritamise kellaaja tunniväärtusega. Oluline on kirjutada < ja 0700 järjest, kusjuues toimub leksikograafiline stringide, mitte arvude võrdlus.

Kui brauser esitab veebiserverile päringu päeval, siis toimub ümberkirjutus index.html -> paev, kuna esimese direktiivi RewriteRule regulaaravaldis klappis URLiga ning kõik eelnenud lisatingimused olid täidetud. Seejärel klapitatakse teist RewriteRule'i eelmise väljundiga, so paev.html - ei klapi ning midagi ei kirjutata ümber.

Lisatingimusi on sobiv kasutada ka brauserite eristamiseks.

RewriteCond %{HTTP_USER_AGENT} Mozilla/4*
RewriteRule ^leht.html$ leht.moz.html [L]

RewriteCond %{HTTP_USER_AGENT} Lynx.*
RewriteRule ^leht.html$ leht.lynx.html [L]

Sõltuvalt päringu tegija aadressist, saab esitada erinevat veebi.

RewriteCond %{REMOTE_ADDR} ^192.168.1.3$
RewriteRule ^leht.html$ 192.168.1.3.html [L]

===Ümberkirjutusalus===

Kui te tegutsete sügavamal URLi-struktuuri sees, kasutage RewriteRule'i juurika ümbernimetamiseks direktiivi RewriteBase. Näiteks kirjutatakse URL http://www.zoo.tartu.ee/~priit/lemmikud/hobused.html ümber URLiks http://www.zoo.tartu.ee/~priit/lemmikud/kabjaksed.html

RewriteBase /~priit/lemmikud
RewriteRule ^hobused.html$ kabjaksed.html

===Ümberkirjutustabel===

Esitatud päringu juhuslikult valitud URLile ümbersuunamiseks on sobiv kasutada direktiivi RewriteMap. RewriteMap pakub võimaluse salvestada tekstifaili hulga URLe, mille poole saab ümberkirjutusreeglist pöörduda. Näiteks loome olukorra, kus päringule http://www.zoo.tartu.ee/juhuslik vastatakse juhuslikult valitud veebilehega.

Kirjeldame tabelikirjeldusfailis vl.txt juhuslike veebilehtede nimed

bash# cat /usr/local/apache/vl.txt
veebilehed 1.html|2.html|3.html|4.html|5.html|6.html|7.html

ning lisame veebiserveri konfiguratsioonifaili read

RewriteMap vl rnd:/usr/local/apache/vl.txt
RewriteRule ^/juhus$ /home/html/juhus/${vl:veebilehed|html.html}

Ümberkirjutustabeli süntaks on selline

RewriteMap tablelinimi tabelitüüp:tabelikirjeldusfail

kus

* tabelinimi - on kooskõlas ümberkirjutusreeglis kasutatud nimega
* tabelitüüp - rnd (random) näitab et
* tabelikirjeldusfail - failis kirjeldatakse tabeli sisu, näiteks juhusliku puhul peab eraldama andmed |-ga (loogiline OR)

Ümberkirjutusreegli asenduses kasutatud muutujat ${vl:veebilehed|html.html} väärtustatakse ümberkirjutustabeli vl võtme veeblilehed abil. Kui sellist ümberkirjutustabelit mingil põhjusel pole, on muutuja väärtus html.html.

===Ümberkirjutuslogi===

Ümberkirjutamise tööleseadmisel ning toimuvate ümberkirjutuste jälgimiseks saab kasutada direktiive RewriteLog ja RewriteLogLevel

RewriteLogLevel 3
RewriteLog /var/log/apache/rewrite.log

===Veebiserveri konfiguratsioonifaili lugemine===

Lihtasamatel juhtudel pole see oluline millises järjekorras veebiserver direktiivides esitatud reegleid kehtestab. Näiteks kui konfiguratsioonifailis ei sisaldugi Location ja Files sektsioone. Kuid soovides kasutada veebiseverit paindlikumalt tuleb järjekorraga arvestada.

Direktiivide puhul ei hooli Apache'i suurtest ja väikestest tähtedes, kuid parameetrite puhul on see tihti oluline.

Eeldusel, et te paigutate kogu konfiguratsiooni ühte faili sisalduvad seal kaks osa

* põhiosa - kirjeldatakse veebiserveri üldisi omadusi, näiteks millise kasutaja õigustes ta töötab
* ressursside määrangud - kehtestatakse reeglid, kuidas veebiserver faile serveerib, näiteks käsitleb .php lõpulisi faile PHP skriptidena

Üldosa direktiivide järjekord pole oluline, kui sama direktiiv on väärtustatud mitu korda, jääb kehtima viimane väärtus.

Kui ressursside omadusi määratakse grupeerimisvahendite abil, siis sõltumate konfigureerimisfailis esinemise järjekorrast loetakse neid sellises järjekorras: Directory, Files, Location

Directory sees võivad olla kirjeldatud omakorda Files sektsioonid.

Directory sees on lubatud kasutada järgmisi direktiive:

* DirectoryIndex
* Options
* Order, Allow, Deny
* AllowOverride
* AddHandler
* AddType

Files sektsioonis on lubatud kasutada praktiliselt neid samu direktiive mida sektsioonis Directory eeldusel, et neid on mõistlik rakendada failidele. Ilmselt ei saa kasutada näiteks direktiivi DirectoryIndex küll aga näiteks Allow ja Deny.

Location sektsioonis on lubatud kasutada praktiliselt neid samu direktiive mida sektsioonis Directory. Kuna Locationit rakedatakse kõige viimasena, siis ei saa seal näiteks kasutada Options direktiivi küll aga näiteks Allow ja Deny'id.

===Veebiserveri turvalisus===

Veebiserveri kasutamisel arvestage, et iseenesest on veebiserver programm, mis teeb teie arvuti failid kättesaadavaks HTTP protokolli kasutavaile klientidele so brauseritele.

Kuigi veebiserver tuleb käivitada juurkasutaja õigustes, toimetab ta edasi konfiguratsioonifailis näidatud kasutajana (User, Group direktiivid).

Siiski, kui te kasutate konfiguratsioonifailis teatud kohtades IO ümbersuunamist, näiteks logimise juures, siis seda teeb Apache juurkasutajana.

Vältimaks ebameeldivaid üllatusi, veenduge, et veebiserveri juurikas ning selle alla jäävad kataloogid on piisavalt kaitstud, so kasutajatel pole neisse kirjutamisõigust. Veebiserver (/usr/local/apache/bin/httpd) ja muud temaga seotud failid, näiteks rotatelogs kuuluvad juurkasutajale ning on tavakasutajaile ning grupile others vaid käivitatavad. Tavaliselt piisab nende tingimuste täitmiseks anda käsud

bash# cd /usr/local/apache
bash# chown 0 bin conf logs
bash# chgrp 0 bin conf logs
bash# chmod 755 bin conf logs

bash# chown 0 /usr/local/apache/bin/httpd
bash# chgrp 0 /usr/local/apache/bin/httpd
bash# chmod 511 /usr/local/apache/bin/httpd

Lisaks, mõelge järele, kas te peate kasutajaile lubama käivitada CGI skripte, ning andmebaase ning otsustage millistel tingimustel, samuti kataloogipõhine veebiserveri konfigureerimisvõimalus. Näiteks lubage kasutajatel CGI skripte tarvida ainult kataloogist ~/public_html/cgi-bin

<Directory /usr/home/*/public_html/cgi-bin>
AddHandler cgi-script .cgi
Options +ExecCGI
</Directory>

Heal juhul saab veebiserveri tööleseadmise eel otsustada, milliste omadustega peab ta olema. Reeglina ei soovitata lihtsalt sisse kompileerida toetust, mida praktiliselt ei tarvitata. Näiteks, kui te olete kindel, et pole vajadust server-info ja server-status'e järele, siis jätke vastavad moodulid välja. Näidake seda Apache ./configure skripti juures vastavate võtmetega --disable-module=info --disable-module=status.

===Virtuaalveebiserverid===

Ühte ja sama Apache veebiserverit saab tööle seada nii, et ta serveerib erinevaid andmeid sõltuvalt millise nimega tema poole pöörduti. Asjakorraldust nimetatakse virtuaaseteks veebiserveriteks, kuna füüsiliselt on tegu ühe arvutiga, kuid külastajaile jäetakse mulje, et neid on mitu.

Virtuaalseid veebiservereid on kolme sorti:

* pordipõhised - sõltuvalt külastaja poolt kastatud pordist serveeritakse erinevat veebi
* IP-põhised - sõltuvalt külastaja poolt kasutatud IP aadressist serveeritakse erinevat veebi
* nimepõhised - sõltuvalt külastaja poolt kasutatud DNSi nimest serveeritakse erinevat veebi; reeglina vastavad erinevad nimed samale IP aadressile so on kirjeldatud CNAMEdena

Põhimõtteliselt on võimalik kasutada neid virtuaalservereid ka kombineeritult korraga.

Erijuht virtuaalveebi serveerida on käivitada mitu eksemplari httpd servereid, iga oma konfiguratsiooniga. Kuna see võimalus on suhteliselt ebaefektiivne ning ei paku olulisi täiendavaid võimalusi, siis seda me ei käsitle.

Virtuaalserveri sektsioonis (VirtualHost) saab kasutada paljusid direktiive, mida peaserveri puhul sh direktiive Options, Alias, Directory, Location, Files. Samuti direktiive, mis reguleerivad SSI, CGI, PHP, Emperli, ümberkirjutamise ja logi kasutamist. Kui direktiivi ei näidata, kasutataks põhikonfiguratsiooni väärtus, kui seal seda samuti pole, siis vaikeväärtust.

===Pordipõhised virtuaalveebiserverid===

Kasutamaks erinevaid veebiseveri konfiguratsioone sõltuvalt sellest, millisele pordile päring tuli, kasutage direktiive Listen ja VirtualHost. Näiteks teenindab veebiserveri konfiguratsioonifaili põhiosale vastav server kõiki päringuid va neid, mis on suunatud aadressi 193.40.50.1 (www.zoo.edu.ee) pordile 8080 või pordile 8081. Viimast kahte teenindatakse vastaval VirtualHosti sektsioonile. Näiteks seame lisaks põhiosale tööle kaks alternatiivset dokumendijuurikat ja logi

...
Listen 80
Listen 193.40.50.1:8080
Listen 193.40.50.1:8081
<VirtualHost 193.40.50.1:8080>
ServerAdmin mart@zoo.edu.ee
DocumentRoot /www/mardizoo
ErrorLog /var/logs/mardizoo.error.log
CustomLog /var/logs/mardizoo.log common
</VirtualHost>

<VirtualHost 193.40.50.1:8081>
ServerAdmin priit@zoo.edu.ee
DocumentRoot /www/priiduzoo
ErrorLog /var/logs/priituzoo.error.log
CustomLog /var/logs/priiduzoo.log common
</VirtualHost>

kusjuures peakonfiguratsiooni on lisatud vastavad Listen direktiivid.

Brauseris tuleb päringud esitada vastavalt http://www.zoo.edu.ee:8080 või http://www.zoo.edu.ee:8081.

===IP-põhised virtuaalveebiseverid===

IP-põhised virtuaalveebiserverite kasutamisel on veebiserveril mitu IP aadressi. St masinal on mitu võrgukaarti või on kasutatud IP-aliasingut.

IP-põhiste virtuaalveebiserverite kasutamisel näidake direktiivi VirtualHost juures ära IP aadress, ning samas sektsioonis kirjeldage kõnealuse veebiserveri omadused. Näiteks kui masinal on kaks võrgukaarti IP aadressidega 193.40.10.1 ning 193.40.50.1 kasutage sektsioone

<VirtualHost 193.40.50.1>
ServerName www.zoo.tartu.ee
ServerAdmin priit@zoo.tartu.ee
DocumentRoot /www/tartuzoo
ErrorLog /var/logs/tartuzoo.error.log
CustomLog /var/logs/tartuzoo.log common
</VirtualHost>

<VirtualHost 193.40.10.1>
ServerName www.zoo.edu.ee
ServerAdmin mart@zoo.edu.ee
DocumentRoot /www/eduzoo
ErrorLog /var/logs/eduzoo.error.log
CustomLog /var/logs/eduzoo.log common
</VirtualHost>

Peakonfiguratsiooni osa järgi teenindatakse neid päringuid, millel ei leidu sobivat virtuaalserverit. Näiteks kui masinal on veel kolmas võrguseade ning päring siseneb selle aadressile.

Virtuaalserveri direktiivi juurde võib kirjutada ka mitu IP aadressi, mispuhul kasutatakse kõnealust serverit neile kõigile tulnud päringutele vastamisel.

===Nimepõhised virtuaalveebiserverid===

Nimepõhisete virtuaalveebiserverite kasutamine eeldab, et ühele IP aadressile (193.40.50.1) on nimesüsteemis (DNS) seatud näiteks CNAMEiga vastavusse mitu domeenime (www.zoo.tartu.ee, post.zoo.tartu.ee).

Kui soovite kasutada enam kui ühte veebiserverit, siis on soovitav kõik veebiserverid konfigureerida virtuaalseteks. Kusjuures põhiserverile ei vastagi DocumentRoot'i.

Nimepõhiste virtuaalveebiserverite kasutamine deklareeritakse peakonfiguratsiooni osas direktiiviga NameVirtualHost. Direktiivi järel näidatakse IP aadress, millele tulnud päringute teenindamisel kasutatakse sobivat VirtualHosti sektsiooni. Näiteks

NameVirtualHost 193.40.50.1

puhul kasutatakse aadressile 193.40.50.1 saabunud päringute töötlemiseks sobiva domeeninimega (ServerName) VirtualHost sektsiooni.

Erinevad virtuaalserverid kirjeldatakse direktiiviga VirtualHost, näiteks sarnase sektsiooniga

<VirtualHost 193.40.50.1>
ServerName www.zoo.tartu.ee
ServerAdmin priit@zoo.tartu.ee
DocumentRoot /www
ErrorLog /var/logs/www.error.log
CustomLog /var/logs/www.log common
</VirtualHost>

<VirtualHost 193.40.50.1>
ServerName post.zoo.tartu.ee
ServerAdmin post@zoo.tartu.ee
DocumentRoot /post
ErrorLog /var/logs/post.error.log
CustomLog /var/logs/post.log common
</VirtualHost>

Kui serveril on mitu võrguaadressi, siis võib kasutada direktiivi NameVirtualHost mitu korda ning lisada vastavad sektsioonid, kuid lühem on asendada IP aadress täringa (*)

NameVirtualHost *

<VirtualHost *>
ServerName www.zoo.tartu.ee
ServerAdmin priit@zoo.tartu.ee
DocumentRoot /www
ErrorLog /var/logs/www.error.log
CustomLog /var/logs/www.log common
</VirtualHost>

<VirtualHost *>
ServerName post.zoo.tartu.ee
ServerAdmin post@zoo.tartu.ee
DocumentRoot /post
ErrorLog /var/logs/post.error.log
CustomLog /var/logs/post.log common
</VirtualHost>

Päringuid, mis saabuvad direktiiviga NameVirtualHost näidatud aadressile ei teenindata IP-põhiste sektsioonide ega peaserveri konfiguratsiooni alusel.

===Kasulikud lisamaterjalid===

Apache'i veebiserver

2007-01-26T14:01:19Z

Triinu: /* Lisatingimuste kasutamine */

===Veebiserveri konfigureerimine ja käivitamine===

Veebiserveri tööd juhib üks konfiguratsioonifail httpd.conf. Sellesse kirjutatake parameetrid üks reale, kusjuures # märgiga algavaid ridu ignoreeritakse. Ridu saab jätkata sisestades kurakallu (\) viimase sümbolina eelmisele reale, tegelikult eelviimasena, viimane on reavahetus :)

Lihtsal juhul võiks olla konfiguratsioonifail selline

User nobody
Group nobody
ServerType standalone
ServerName www.zoo.tartu.ee
ServerRoot "/usr/local/apache"
DocumentRoot "/html"
DirectoryIndex index.html
ErrorLog /var/log/apache/error.log
Listen 80
Options None
<Directory />
AllowOverride None
</Directory>

kus on kasutatud järgmisi direktiive

* User - kasutaja, kelle õigustes veebiserver töötab
* Group - grupp, kelle õigustes veebiserver töötab
* ServerType - serveri tüüp, tavaliselt standalone, so mitte inetd abil käivitatav
* ServerName - millise nime server arvab endal olevat
* ServerRoot - kataloog, mille all serveri programmid asuvad
* DocumentRoot - veebifailid, mida külastajaile serveeritakse
* DirectoryIndex - faili nimi, mis brauserisse saadetakse, kui ta küsib kataloogi eeldusel, et sellenimeline fail kataloogis leidub
* ErrorLog - fail, kuhu saadetakse veateated; kataloog, kus see fail asub peab olema kindlasti olemas!
* Listen - port, millel veebiserver ootab päringuid, kõigil võrguseadmetel
* Options - väärtus None tagab, et külastajale näidatakse vaid neid veebilehti, mida ta nimeliselt küsib.

Reeglina on veebiserverina töötaval arvutil nö tavaline nimi, näiteks kalake.zoo.tartu.ee ning nimeserveris on talle defineeritud lisaks ka mõned hüüdnimed (CNAMEga). Tavaliselt kasutatakse veebiserveri nime alguses kombinatsiooni www, kokku saab antud juhul www.zoo.tartu.ee, kuid veebiserveri nimi ei pea sugugi algama www-ga olles näiteks see sama kalake.zoo.tartu.ee.

Konfiguratsioonifailis kasutatud kataloogid peavad süsteemis leiduma, toodud näites peavad nad kuuluma lähtudes turvakaalutlustest juurkasutajale; samuti nendest kataloogidest ülevalpool asuvad kataloogid.

Reeglina on süsteemis vaikimisi olemas mitteprivilegeeritud kasutaja nobody grupiga nobody. Võib kasutada seda või luua spetsiaalne kasutaja, näiteks apache grupiga veeb. Veebiserveri mittekäivitumise põhjuseks on tihtipeale vastavate kasutajate puudumine süsteemis.

Näidates võrguseadme nime, vastatakse ainult sellelt seadmelt tulevaile päringutele, näiteks 'Listen 193.40.10.1 80'.

===Sektsioon===

<Directory />
AllowOverride None
</Directory>

tähendab, et kataloogides pole täiendavate vahenditega õigust veebiserveri konfiguratsiooni täpsustada.

Kuigi teatud parameetrite järjekord konfiguratsioonifailis ei ole tähtis, jääb kehtima parameetrile viimasena omistatud väärtus.
Käivitamine

Veebiserver käivitatakse ja peatatakse käsuga apachectl

bash# apachectl start

Peatamine toimub käsuga stop

bash# apachectl stop

Peale konfiguratsioonifaili muutmist kehtestuvad muutused serveri taaskäivitamisel soovitavalt käsuga graceful, või restart

bash# apachectl graceful

Veebiserver tuleb käivitada juurkasutajaõigustes, kuid ta töötab konfiguratsioonifailis näidatud User ja Group kasutajana. See tähendab, et failisüsteemi osad, mida soovitakse veebi näidata peavad olema vastavatele UNIXi kasutajatele nähtavad. Tavaliselt on nende failide kasutajagrupile other antud lugemisõigus.

Töötavast veebiserverist annab tunnistust see, kui süsteemi protsessitabelis on httpd deemoni nimi, isegi mitu

bash# ps auxw | grep httpd
root 30692 0.0 5.4 4236 3288 ?? Ss 4:39PM 0:00.16 /usr/local/apache/bin/httpd
nobody 30840 0.0 5.5 4272 3324 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30841 0.0 5.5 4272 3324 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30842 0.0 5.5 4272 3324 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30843 0.0 5.4 4248 3296 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30844 0.0 5.4 4248 3296 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd
nobody 30845 0.0 5.4 4256 3300 ?? I 5:52PM 0:00.00 /usr/local/apache/bin/httpd

Aga veel parem kinnitus on, kui olemaks näitega kooskõlas päring http://www.zoo.edu.ee näitab veebilehte, so faili /html/index.html. Samuti saab antud näite rakendamisel näha kasutajate kodulehti eeldusel, et nad asuvad kataloogide ~/public_html all.

Kui veebiserveri käivitamisel ilmneb raskusi, siis tasub uurida vealogi (/var/log/apache/error.log) sisu.
Automaatne käivitamine

===Veebiressursside kasutusõigus===

Veebiserveri konfigureerimisel on väga oluline näidata, mida vastuseks külastaja päringule tohib teha või saata või kas üldse külastajat teenindada.

===Direktiiv Option===

Direktiivi Options abil saab määratleda, mida kataloogis leiduvate failidega lubatakse teha. Näiteks määrates minimaalsed õigused parameetriga None, saab kataloogis sisalduvate failide poole pöörduda vaid nimeliselt; failide nimekirja ei näidata.

Options None

===Muud võimalused:===

* FollowSymLinks - kui brauser esitatud päringus on failinimi viide, siis seda järgitakse vaatamata, kas viidatav fail kuulub samale kasutajale kui
viide
* SymLinksIfOwnerMatch - kui brauser esitatud päringus on failinimi viide, siis seda järgitakse juhul, kas viidatav fail kuulub samale kasutajale
kellele viide
* Indexes - näidatakse serveri kataloogi failide nimekirja kui DirectoryIndexis näidatud faile ei leitud
* ExecCGI - CGI skriptide kasutamiseks
* Includes - SSI failide kasutamiseks
* IncludesNOEXEC - SSI failide kasutamiseks, va #exec ja CGI skriptide #include
* All - kõik eelnimetatu on lubatud

Korraga võib määratleda ka mitu parameetrit, eraldades nad üksteisest tühikuga.

Kui konfiguratsioonifailis kasutada mitmel Options direktiivi, jääb kehtima viimane. Lisades parameetri algusesse + või - märgi, lisatakse või eemaldatakse vastav toime. Näiteks kasutades direktiive

Options Indexes Includes FollowSymLinks
Options -FollowSymLinks

on toime samaväärne avaldisega

Options Indexes Includes

Direktiivi Options vaikeväärtus on All.

===Direktiivid Allow, Deny ja Order===

Direktiividega Allow, Deny ning Order abil saab kehtestada, millistelt domeenidelt tulevaid päringuid teenidatakse. Orderi abil seatakse, millises järjekorras kontroll toimub, kusjuures rakendatakse viimast reeglit, millega külastaja domeeninimi klapib. Kui ükski reegel ei klapi, toimitakse vaikimisi nagu viimane Orderi parameeter näitab. Näiteks sellise sektsiooni puhul

Order Deny,Allow
Deny from all
Allow from zoo.tartu.ee

Päringut domeenist zoo.tartu.ee teenindatakse, esimene reegel (Deny) keelab kõik, kuid teine (Allow) lubab domeeni zoo.tartu.ee. Kui Order oleks vastupidi, siis lubaks esimene reegel (Allow) zoo.tartu.ee, kuid kehtima jääks viimane reegel (Deny). Reeglite järjekord failis ei loe, kuna selle määrab Order.

Järgmises näites on lubatud päringud vaid tartu.ee domeenist, va alamdomeen zoo.tartu.ee

Order Allow,Deny
Allow from tartu.ee
Deny from zoo.tartu.ee

Tõepoolest, päringut foo.tartu.ee domeenist teenindatakse kuna ta klapib esimese (Allow) reegliga, mis lubab ning teisega, mis keelab mitte. Päringuid muudest domeenidest keelatakse, kuna nad ei klapi kummagi reegliga ning vaikimisi rakendatakse viimast Orderi parameetrit - Deny.

Order, Deny ja Allow direktiive saab kasutada vaid direktiivi Directory sees ning Deny ja Allow tuleb eraldada ainult täpselt ühe komaga!

===Veebiressursside grupeerimisvahendid===

Veebiserveri kasutusõigust ning teisi omadusi reguleerivaid parameetreid saab grupeerida järgmiste direktiividega

* Directory - kataloogis ning selle alla jäävate alamkataloogides sisalduvate failide grupeerimiseks
* Files - faili nimede järgi failide grupeerimiseks
* Location - URLi ning selle alla jäävate URLide grupeerimiseks

Sellistele gruppidele saab rakendada korraga samu määratlusi, näiteks Option parameetriga.

===Directory direktiiv===

Directory abil saab määrata näidatud kataloogi alla jäävatele failidele ühesuguseid omadusi. Näiteks kehtestame, et kataloogi /html/veeb/kalamaja alla jäävates kataloogides käsitletakse DirectoryIndexina faile index.html ja index.htm

<Directory /html/veeb/kalamaja>
DirectoryIndex index.html index.htm
</Directory>

===Files direktiiv===

Sarnaselt Directory'le saab kehtestada näidatud regulaaravaldisega klappivate failinimedega failidele ühesuguseid omadusi. Näiteks kehtestame, et failides, mille nimi algab tähtedega "e_" ja lõpeb .html-ga, tohivad sisaldada Embperli konstruktsioone

<Files ~ "^e_.*\.html$">
Options +ExecCGI
SetHandler perl-script
PerlHandler HTML::Embperl
</Files>

===Location direktiiv===

Sarnaselt Directory direktiivile saab Locationiga kehtestada osale veebikohale samasuguseid omadusi. Location mõjub mitte kataloogistruktuuri, vaid URLi mõttes hulgale elementidele. Näiteks kehtestame, et URL'ist http://kalake.zoo.edu.ee/hobused edasi tohib näha kataloogide nimekirja

<Location /hobused>
Options Indexes
</Location>

Tavaliselt piisab Directory kasutamisest, kuid kuna veebiserveri kataloogi-ja URLihierarhia ei pruugi alati kokku langeda, siis on sellest vahel abi.

===Kataloogipõhine veebiserveri konfigureerimine===

Veebiserveri põhikonfiguratsioonifailis näidatud väärtusi saab iga kataloogi jaoks täpsustavalt määrata kataloogis sisalduva konfiguratsiooni .htaccess faili abil. Selle faili nimi on määratud põhikonfiguratsioonifailis direktiiviga AccessFileName, mis peab esinema Directory sees. Faili süntaks on sama, mis põhikonfiguratsioonifailil. Seda, milliseid omadusi on ludatud .htaccess failiga täpsustada, näitab põhikonfiguratsioonifailis direktiiv AllowOverride; järgmistele parameeritele vastab voli muuta toodud parameetreid

* AuthConfig - AuthGroupFile, AuthName, AuthType, AuthUserFile, Require jne
* FileInfo - AddEncoding, AddLanguage, AddType, DefaultType, ErrorDocument jne
* Indexes - DirectoryIndex, AddDescription, AddIcon, AddIconByEncoding, AddIconByType, DefaultIcon, DirectoryIndex, FancyIndexing, HeaderName,
IndexIgnore, IndexOptions, ReadmeName jne
* Limit - Order, Allow, Deny
* Options - Options, XBitHack
* None - mitte midagi
* All - kõik nimetatud

Vaikimisi toimib parameeter All. Kui ei soovita lasta kasutajatel veebiserverit konfigureerida, siis kasutage peale veebiserveri põhiosa direktiivi

AllowOverride None

.htaccess failis tohib kasutada direktiivi Files, aga ei saa kasutada Diectory või Location.

Tavaliselt on ohutu ning kasutajaile piisav

AllowOverride Indexes AuthConfig

===Alias===

Direktiiv Alias võimaldab muuta veebi failile kataloogistruktuuri vastavust URLi struktuurile. Näiteks olgu kataloogis /html/veeb/hobused/2000/tyrinaitus/ehola_talu failid ning soovime neile ligi pääseda URLiga http://www.zoo.tartu.ee/ehola_talu. Kasutame sellist Aliast

Alias /ehola_talu/ /html/veeb/hobused/2000/tyrinaitus/ehola_talu/

Antud juhul laheneb päring http://www.zoo.tartu.ee/ehola_talu/, kuid mitte http://www.zoo.tartu.ee/ehola_talu.

Lisaks saab Aliasega kaasata veebi faile ning katalooge, mis asuvad failisüsteemi mõttes väljaspool DocumentRootu.

Alias /valdek/ /html/valdek/veeb/

Aliase süntaks on järgmine

Alias URLi-tee kataloogi-tee

kus

* URLi-tee on osa URList, mis jääb peale serverinimi osa, näiteks http://www.zoo.tartu.ee/ehola_talu/ puhul /ehola_talu/
* kataloogi-tee on vastava kataloogi nimi

Aliasi saab kasutada peakonfiguratsioonifailis või võrdväärsetes kohtades, näiteks VirtualHost sektsioonis. Aliaste kasutamisel tuleb tavaliselt kasutada kataloogi tee'le vastavaid Directory direktiive, muutmaks sobivaks veebiosa kasutusõigused. Aliased loetakse läbi enne Directory sektsioone.

Aliase kasutamisel tuleb tähele panna, et URLi tee asendatakse igal juhul kataloogiteega. Kas sel juhul, kui päring on pikem, kooskõlas kasutatud näitega päringu http://www.zoo.tartu.ee/ehola_talu/ratsahobused/piiker.html puhul esitatakse fail /html/veeb/hobused/2000/tyrinaitus/ehola_talu/ratsahobused/piiker.html.

Soovides teha paindlikumaid nö ümberkirjutusi, kasutage mod_rewrite'i võimalusi.

===CGI===

CGI kasutamiseks lisage konfiguratsioonifaili rida

AddHandler cgi-script .cgi .pl

Tulemusena püüab veebiserver käivitada kõiki serveeritavaid .cgi ja .pl lõpuliste nimedega faile, eeldusel, et failile rakendub Optioni parameeter ExecCGI. Käivitamisel tekkiv programmiväljund saadetakse brauserisse, kusjuures see peab algama tuntud Content-type'iga, näiteks text/html. Seda võib teha näiteks Directory abil; kehtestame, et kõikjal veebi faile sisaldavas kataloogis /html/veeb/suhtleja ja selle all asuvad .cgi ja .pl lõpuliste nimedega failid on käivitatavad

<Directory /suhtleja>
Options ExecCGI
</Directory>

Soovides näidata, et vaatamata failinimele tuleb käsitleda faili CGI skriptina, kasutage ScriptAlias direktiivi. Tüüpiliselt määratletakse URLi http://kalake.zoo.tartu.ee/cgi-bin/'le vastavad failid skriptideks

ScriptAlias /cgi-bin/ /html/veeb/cgi-bin/

Tulemusena, näiteks päringu http://kalake.zoo.tartu.ee/cgi-bin/kasutajatenimikiri.sh puhul käivitatakse fail /html/veeb/cgi-bin/kasutajatenimekiri.sh.

===SSI===

SSI (Server Sides Includes) tehnika võimaldab sisestada brauseri päringus nõutud faili koosseisu muude failide sisu.

SSI kasutamiseks lisage konfiguratsioonifaili rida

AddType text/html .shtml
AddHandler server-parsed .shtml

ning näidake näiteks direktiivide Directory ja Options parameetri Includes abil, milliseid faile tohib server käsitleda SSIdena. Näiteks kehtestame, et kataloogi /html/veeb/uudised all kasutatakse SSId

<Directory /html/veeb/uudised<>
Options IncludesNOEXEC
</Directory>

Tulemusena saab failides, mille nime lõpus on .shtml, kasutada SSI konstruktsioone, va #exec ja CGI skriptide #include.

===Embperl===

Embperl on tehnika, mis võimaldab sisestada HTML koodi sisse Perli konstruktsioone. Selle võimaluse kasutamiseks lisage konfiguratsioonifaili

<Files ~ "\.html$">
Options ExecCGI
SetHandler perl-script
PerlHandler HTML::Embperl
</Files>

Tulmusena lahendab veebiserver failides, mille nime lõpetab .html sisalduva Perli koodi.

Muuseas, Embperli rakendamisel on veebiserver ka tavalise HTML süntaksi osas oluliselt rangem. Tüüpiliselt ei meeldi talle [# jne järgnevused, mida kasutatakse Embperli skriptide tähistamiseks. Et neid sümboleid siiski kasutada saada, esitage neid a la &#kood;, näiteks <.

===PHP===

PHP on tehnika, mis võimaldab lisada HTML koodi sisse PHP keele konstruktsioone. Selle võimaluse kasutamiseks lisage konfiguratsioonifaili

AddType application/x-httpd-php .php

Veebiserverisse konfigureeritud PHP omadusi saab näha PHP skriptiga

<?
phpinfo();
?>

===Serveri kasutajate kodulehed===

Vaikimisi eeldab veebiserver, et näiteks URLile http://www.zoo.tartu.ee/~priit vastab süsteemi kasutaja priit kodukataloogis olev kataloog public_html. Selle kataloogi nime määrab direktiiv UserDir.

===Veebi kaitsmine parooliga===

Apache pakub vahendid veebistruktuuri kaitsmiseks parooliga. Konfiguratsioonifailis näidatakse ära, millist ressurssi kaitsta ning millist autentimissüsteemi kasutada.

Kõige lihtsamal juhul tuleb programmiga htpasswd genereerida lubatud külastajate paroolifail, milles on kirjas kasutajanimed ning vastavad paroolid. See fail on reeglina erinev süsteemi paroolifailist, kus veebiserver töötab. Kui külastaja püüab siseneda kaitstud veebi, avaneb dialoog ning küsitakse tema kasutajanime ning parooli. Sobiva paari sisestamisel lubatakse külastaja veebile ligi, kusjuures kõnealust veebi saab kasutada kuni brauseri sulgemiseni.

Näiteks kaitseme kataloogistruktuuri /html/salajane kirjeldatud paroolikontrolliga

<Directory /html/salajane>
AuthUserFile /usr/local/apache/conf/salajane.paroolifail
AuthType Basic
AuthName Salajane
require valid-user
</Directory>

kus on kasutatud direktiive:

* AuthUserFile - paroolifailinimi, /usr/local/apache/conf/salajane.paroolifail
* AuthType - millist tüüpi autentimisega on tegemist, antud juhul Basic
* AuthName - parameetri väärtust näidatakse aknas, kuhu kasutaja sisestab oma veebi kasutajanime ja parooli; sama veebi piires saab sama kasutajanimega
seostada erinevaid paroole, mistõttu peab külastaja saama teada, millist parooli konkreetsel juhul tarvitada
* require valid-user - sellele ressursile lastakse ligi vaid peale edukat autentimist

Sobiv paroolifail moodustatakse programmiga htpasswd

bash$ htpasswd -b -c -m salajane.paroolifail priit priiduparool

kus

1. -b kasutaja parooliks loetakse käsurea viimane sõna (priiduparool)
2. -c seda võtit tuleb kasutada vaid siis, kui paroolifaili veel ei eksisteeri; edaspidi peab selle võtme ära jätma, sest muidu kustutatakse olemasoleva
paroolifaili sisu
3. -m kasutada MD5 krüptimist; jättes selle võtme kirjutamata tekitatakse CRYPT proolid
4. järgnevad paroolifaili nimi (salajane.paroolifail) ja kasutajanimi (priit)

Tundub, et peale Directory, saab autentimist kasutada ka Location sektsioonis, mis on veebi suhtes veel asjakohasem.

Paroolifail peab olema loetav sellele kasutajale, kelle õigustes veebiserver töötab (näiteks nobody) ning soovitavalt mitte olema veebiga samas kataloogistruktuuris.

===Logi===

Apache veebiserveriga saab logida tekstifaili erinevatel tingimustel toimunud päringuid ning neid logifaile automaatselt roteerida. Logida saab paraleelselt ka näidatud tingimustele erinevates formaatides erinevatesse failidesse.

Direktiiviga LogFormat kirjeldatakse mida logitakse. Tüüpiliselt defineeritakse formaat nimega tavaline

LogFormat "%h %l %u %t \"%r\" %>s %b" tavaline

kus

* %h - maisinanimi, kust päring esitati
* %l - kasutajanimi, kes päringu esitas eeldusel, et IdentityCheck tomib; tavaliselt see väli jääb tühjaks, kuna IdentityCheck'i kasutamine võtab
tublisti veebi kiirust alla
* %u - kui veebiserveri ressurss nõudis autentimist, siis kasutatud kasutajanimi
* %t - päringu esitamise aeg
* \"%r\" - jutumärkides esitatud päringu esimene rida
* %>s - päringule vastuse olek (ingl. k. status)
* %b - päringu vastuse maht baitides
* tavaline - logiformaadi nimi

Logimine ise toimub direktiiviga CustomLog, näiteks logime, kasutades logiformaati tavaline, faili /var/log/apache/tavaline.log

CustomLog /var/log/apache/tavaline.log tavaline

Soovides logifaili automaatselt roteerida, kasutage veebiserveriga kaasas olevat programmi rotatelogs. Näiteks moodustame iga nädal uue logi

CustomLog "|/usr/local/apache/bin/rotatelogs /var/log/apache/tavaline.log 604800" common

Logi faili nimi moodustatakse lisades failinime lõppu aja sekundites, mis on möödunud UNIXi ajastu algusest, so 1970. 1. jaanuar kell 00:00 hommikul.

===Vealogi===

Vealogisse salvestatakse serveri töös toimunud vead, sh näiteks päringud puuduvatele failidele. Logitaset saab reguleerida direktiiviga LogLevel, soovitatakse taset warn

LogLevel warn

Direktiiviga ErrorLog näidatakse, kuhu logi salvestada

ErrorLog /var/log/apache/error.log

Logianalüsaatorid

Apache veebiserveri logi analüüsiks sobib kasutada näiteks programmi Webalizer.

===Veebiserveri staatus ja info===

Eeldusel, et veebiserverisse on sissekompilleeritud vastavad moodulid võtmetega --enable-module=status ja --enable-moudule=info, saab näha veebiserveri konfiguratsiooni (info) ning parasjagu olevat seisu (status).

Näidates konfiguratsioonifailis direktiivi ExtendedStatus parameetriks "On", esitatakse staatus põhjalikumalt.

Nende veebiserveri omaduste nägemiseks peab sisalduma konfiguratsioonifailis kaks sektsiooni

URLi http://www.zoo.tartu.ee/status-info jaoks

<Location /server-info>
SetHandler server-info
Order deny,allow
Deny from all
Allow from .zoo.tartu.ee
</Location>

URLi http://www.zoo.tartu.ee/server-info jaoks

<Location /server-status>
SetHandler server-status
Order deny,allow
Deny from all
Allow from .zoo.tartu.ee
</Location>

Mõlemas sektsioonis on kasutatud Deny ja Allow direktiive, piiramaks nende URLide külastamise õigust. Kuigi sealt midagi väga salajast ei paista, on külastama lubatud vaid zoo.tart.ee domeeni masinastest.
Veebi-indekseerijad

Apache veebiserver ei sisalda indekseerimisvahendeid, so võimalusi luua serveeritavale veebile otsingumootorit. Küll aga sobib kasutada mõnda olemasolevat veebiindeksaatorit, näiteks Glimpse või HtDig.

Hoopis teine probleem on kuidas kontrollida, mida tohivad teha teised otsingumootorid (tuntud kui robotid või nuhid) teie veebi külastades. Tüüpiliselt tuleb neid kontrollida, kuna nad võivad täita avalikke andmebaase kiiresti vananeva infoga või ebasoovitavalt teie serverit koormata.

===URLi ümberkirjutamine===

Ümberkirjutamise kasutamiseks on vaja mod_rewrite'i toetus serverisse kompilleerida võtmega --enable-module=rewrite.

See tehnika võimaldab suunata serverisse tulevad päringud ümber, jäädes sama serveri piiridesse või välja. Ümbersuunamisi saab konfigureerida peakonfiguratsioonifailist või .htaccess failist.

Ümbersuunamisel saab kasutada tingimusi või teha seda juhuslikult.

Tõenäoliselt on võimalik järgnevalt näidetena toodud tegevusi korraldada ka muude vahenditega, URLi ümberkirjutamine mod_rewrite'ga on selleks üks käepärane vahend.

Ümberkirjutuste tegemiseks tuleb esmalt aktiviseerida ümberkirjutusmehhanism

RewriteEngine On

Ümberkirjutust ennast teostab direktiiv RewriteRule. Näiteks suuname kõik veebiserverisse kasutajale priit tulevad päringud (http://www.zoo.tartu.ee/~priit) aadressile http://www.priit.ee

RewriteRule ^/~priit.+ http://www.priit.ee

Direktiivi RewriteRule esimene argument on regulaaravaldis (^/~priit.+) ning kui sellega päring klapib, siis suunatakse brauser teise parameetriga näidatud URLile (http://www.priit.ee). Kasutaja brauseri Location real kirjutatakse URL paratamatult ümber.

Direktiivi süntaks on järmine

RewriteRule regulaaravaldis asendus [võtmed]

kus

* regulaararvaldisega kontrollitakse, kas URL klapib ümberkirjutamisreegliga, kusjuures URL on antud juhul see osa päringust, mis jääb paremale
http://www.zoo.tartu.ee'st, näite puhul /~priit.
* kui URL klappis, siis asendatakse URL asendusega 'asendus'
* lisaks on mõnel juhul oluline kasutada võtmeid, mis kontrollivad ümberkirjutamise peensusi

^ tähistab, et / peab olema URLi esimene sümbol ning peale priit 't' tähte võib tulla kuitahes palju mistahes sümboleid (.+). Muuseas, antud juhul suunatakse ümber näiteks päring http://www.zoo.tartu.ee/~priit-onvastmees.

Lubatud on kasutada järjest mitmeid asendusi, mil neid rakendatakse järjest, tulemuseks on viimane tehtud ümberkirjutus. Järgmise asenduse regulaaravaldist klapitatakse eelmise ümberkirjutamisel tehtud tulemusega.

Esitame näite sisemise ning välimise ümberkirjutamise kohta. Soovides vastuseks päringule http://www.zoo.tartu.ee/vana.html brauserisse saata lehe uus.html, kusjuures jättes brauseri Location reale esialgse teksti, so http://www.zoo.tartu.ee/vana.html, kasutage ümberkirjutamisreeglit

RewriteRule ^vana\.html$ uus.html

Sama, kuid brauseri Location real kajastub ümberkirjutus

RewriteRule ^vana\.html$ uus.html [R]

^vana\.html$ tähendab, et asendus toimub, kui päring oli täpselt vana.html, so algas v-ga (^) ja lõppes l-ga ($); punkt on regulaaravaldise erisümbol ja tuleb põgeda (\).

Kirjutades järjest mitu ümberkirjutusreeglit ning soovides, et ümberkirjutamine lõppeks antud reegliga, tuleb reegli lõppu lisada võti L (last).

RewriteRule ^/~priit.+ http://www.priit.ee [R,L]
RewriteRule ^/~nea.+ http://www.nea.ee [R,L]
RewriteRule ^/~inna.+ http://www.inna.ee [R,L]
RewriteRule ^/~mart.+ http://www.mart.ee [R,L]

Kui aga veebiserverit tõstetakse ühest masinast teise, oletame, et uus töötab, kuid kasutajate kodud on vanas, siis lisage uue konfi selline rida

RewriteRule ^/~(.+) http://vana.zoo.edu.ee/~$1 [R,L]

Siin on kasutatud regulaaravaldist koos asendamisega. $1 asendatakse tekstiga, mis klappis kasutatud regulaaravaldises avaldisega (.+). Praktiliselt näiteks

===Lisatingimuste kasutamine===

Direktiiv RewriteRule teostab ümberkirjutusi niikuinii tingimusi kasutades regulaaravaldise abil. Peale selle saab seada direktiiviga RewriteCond lisatingimusi. Näiteks sõltuvalt serveri kellaajast, saadetakse brauserile üks või teine veeb

RewriteEngine on
RewriteCond %{TIME_HOUR}%{TIME_MIN} >0700
RewriteCond %{TIME_HOUR}%{TIME_MIN} <1900
RewriteRule ^index\.html$ paev.html

RewriteRule ^index\.html$ oo.html

%{TIME_HOUR} asendatakse päringu sooritamise kellaaja tunniväärtusega. Oluline on kirjutada < ja 0700 järjest, kusjuues toimub leksikograafiline stringide, mitte arvude võrdlus.

Kui brauser esitab veebiserverile päringu päeval, siis toimub ümberkirjutus index.html -> paev, kuna esimese direktiivi RewriteRule regulaaravaldis klappis URLiga ning kõik eelnenud lisatingimused olid täidetud. Seejärel klapitatakse teist RewriteRule'i eelmise väljundiga, so paev.html - ei klapi ning midagi ei kirjutata ümber.

Lisatingimusi on sobiv kasutada ka brauserite eristamiseks.

RewriteCond %{HTTP_USER_AGENT} Mozilla/4*
RewriteRule ^leht.html$ leht.moz.html [L]

RewriteCond %{HTTP_USER_AGENT} Lynx.*
RewriteRule ^leht.html$ leht.lynx.html [L]

Sõltuvalt päringu tegija aadressist, saab esitada erinevat veebi.

RewriteCond %{REMOTE_ADDR} ^192.168.1.3$
RewriteRule ^leht.html$ 192.168.1.3.html [L]

===Ümberkirjutusalus===

Kui te tegutsete sügavamal URLi-struktuuri sees, kasutage RewriteRule'i juurika ümbernimetamiseks direktiivi RewriteBase. Näiteks kirjutatakse URL http://www.zoo.tartu.ee/~priit/lemmikud/hobused.html ümber URLiks http://www.zoo.tartu.ee/~priit/lemmikud/kabjaksed.html

RewriteBase /~priit/lemmikud
RewriteRule ^hobused.html$ kabjaksed.html

===Ümerbkirjutustabel===

Esitatud päringu juhuslikult valitud URLile ümbersuunamiseks on sobiv kasutada direktiivi RewriteMap. RewriteMap pakub võimaluse salvestada tekstifaili hulga URLe mille poole saab ümberkirjutusreeglist pöörduda. Näiteks loome olukorra kus päringule http://www.zoo.tartu.ee/juhuslik vastatakse juhuslikult valitud veebilehega.

Kirjeldame tabelikirjeldusfailis vl.txt juhuslike veebilehed nimed

bash# cat /usr/local/apache/vl.txt
veebilehed 1.html|2.html|3.html|4.html|5.html|6.html|7.html

ning lisame veebiserveri konfiguratsioonifaili read

RewriteMap vl rnd:/usr/local/apache/vl.txt
RewriteRule ^/juhus$ /home/html/juhus/${vl:veebilehed|html.html}

Ümberkirjutustabeli süntaks on selline

RewriteMap tablelinimi tabelitüüp:tabelikirjeldusfail

kus

* tabelinimi - on kooskõlas ümberkirjutusreeglis kasutatud nimega
* tabelitüüp - rnd (random) näitab et
* tabelikirjeldusfail - failis kirjeldatakse tabeli sisu, näiteks juhusliku puhul peab eraldama andmed |-ga (loogiline OR)

Ümberkirjutusreegeli asenduses kasutatud muutujat ${vl:veebilehed|html.html} väärtustatakse ümberkirjutustabeli vl võtme veeblilehed abil. Kui sellist ümberkirjutustabelit mingil põhjusel pole on muutuja väärtus html.html.

===Ümberkirjutuslogi===

Ümberkirjutamise tööleseadmisel ning toimuvate ümberkirjutuste jälgimiseks saab kasutada direktiive RewriteLog ja RewriteLogLevel

RewriteLogLevel 3
RewriteLog /var/log/apache/rewrite.log

===Veebiserveri konfiguratsioonifaili lugemine===

Lihtasamatel juhtudel pole see oluline millises järjekorras veebiserver direktiivides esitatud reegleid kehtestab. Näiteks kui konfiguratsioonifailis ei sisaldugi Location ja Files sektsioone. Kuid soovides kasutada veebiseverit paindlikumalt tuleb järjekorraga arvestada.

Direktiivide puhul ei hooli Apache'i suurtest ja väikestest tähtedes, kuid parameetrite puhul on see tihti oluline.

Eeldusel, et te paigutate kogu konfiguratsiooni ühte faili sisalduvad seal kaks osa

* põhiosa - kirjeldatakse veebiserveri üldisi omadusi, näiteks millise kasutaja õigustes ta töötab
* ressursside määrangud - kehtestatakse reeglid, kuidas veebiserver faile serveerib, näiteks käsitleb .php lõpulisi faile PHP skriptidena

Üldosa direktiivide järjekord pole oluline, kui sama direktiiv on väärtustatud mitu korda, jääb kehtima viimane väärtus.

Kui ressursside omadusi määratakse grupeerimisvahendite abil, siis sõltumate konfigureerimisfailis esinemise järjekorrast loetakse neid sellises järjekorras: Directory, Files, Location

Directory sees võivad olla kirjeldatud omakorda Files sektsioonid.

Directory sees on lubatud kasutada järgmisi direktiive:

* DirectoryIndex
* Options
* Order, Allow, Deny
* AllowOverride
* AddHandler
* AddType

Files sektsioonis on lubatud kasutada praktiliselt neid samu direktiive mida sektsioonis Directory eeldusel, et neid on mõistlik rakendada failidele. Ilmselt ei saa kasutada näiteks direktiivi DirectoryIndex küll aga näiteks Allow ja Deny.

Location sektsioonis on lubatud kasutada praktiliselt neid samu direktiive mida sektsioonis Directory. Kuna Locationit rakedatakse kõige viimasena, siis ei saa seal näiteks kasutada Options direktiivi küll aga näiteks Allow ja Deny'id.

===Veebiserveri turvalisus===

Veebiserveri kasutamisel arvestage, et iseenesest on veebiserver programm, mis teeb teie arvuti failid kättesaadavaks HTTP protokolli kasutavaile klientidele so brauseritele.

Kuigi veebiserver tuleb käivitada juurkasutaja õigustes, toimetab ta edasi konfiguratsioonifailis näidatud kasutajana (User, Group direktiivid).

Siiski, kui te kasutate konfiguratsioonifailis teatud kohtades IO ümbersuunamist, näiteks logimise juures, siis seda teeb Apache juurkasutajana.

Vältimaks ebameeldivaid üllatusi, veenduge, et veebiserveri juurikas ning selle alla jäävad kataloogid on piisavalt kaitstud, so kasutajatel pole neisse kirjutamisõigust. Veebiserver (/usr/local/apache/bin/httpd) ja muud temaga seotud failid, näiteks rotatelogs kuuluvad juurkasutajale ning on tavakasutajaile ning grupile others vaid käivitatavad. Tavaliselt piisab nende tingimuste täitmiseks anda käsud

bash# cd /usr/local/apache
bash# chown 0 bin conf logs
bash# chgrp 0 bin conf logs
bash# chmod 755 bin conf logs

bash# chown 0 /usr/local/apache/bin/httpd
bash# chgrp 0 /usr/local/apache/bin/httpd
bash# chmod 511 /usr/local/apache/bin/httpd

Lisaks, mõelge järele, kas te peate kasutajaile lubama käivitada CGI skripte, ning andmebaase ning otsustage millistel tingimustel, samuti kataloogipõhine veebiserveri konfigureerimisvõimalus. Näiteks lubage kasutajatel CGI skripte tarvida ainult kataloogist ~/public_html/cgi-bin

<Directory /usr/home/*/public_html/cgi-bin>
AddHandler cgi-script .cgi
Options +ExecCGI
</Directory>

Heal juhul saab veebiserveri tööleseadmise eel otsustada, milliste omadustega peab ta olema. Reeglina ei soovitata lihtsalt sisse kompileerida toetust, mida praktiliselt ei tarvitata. Näiteks, kui te olete kindel, et pole vajadust server-info ja server-status'e järele, siis jätke vastavad moodulid välja. Näidake seda Apache ./configure skripti juures vastavate võtmetega --disable-module=info --disable-module=status.

===Virtuaalveebiserverid===

Ühte ja sama Apache veebiserverit saab tööle seada nii, et ta serveerib erinevaid andmeid sõltuvalt millise nimega tema poole pöörduti. Asjakorraldust nimetatakse virtuaaseteks veebiserveriteks, kuna füüsiliselt on tegu ühe arvutiga, kuid külastajaile jäetakse mulje, et neid on mitu.

Virtuaalseid veebiservereid on kolme sorti:

* pordipõhised - sõltuvalt külastaja poolt kastatud pordist serveeritakse erinevat veebi
* IP-põhised - sõltuvalt külastaja poolt kasutatud IP aadressist serveeritakse erinevat veebi
* nimepõhised - sõltuvalt külastaja poolt kasutatud DNSi nimest serveeritakse erinevat veebi; reeglina vastavad erinevad nimed samale IP aadressile so on kirjeldatud CNAMEdena

Põhimõtteliselt on võimalik kasutada neid virtuaalservereid ka kombineeritult korraga.

Erijuht virtuaalveebi serveerida on käivitada mitu eksemplari httpd servereid, iga oma konfiguratsiooniga. Kuna see võimalus on suhteliselt ebaefektiivne ning ei paku olulisi täiendavaid võimalusi, siis seda me ei käsitle.

Virtuaalserveri sektsioonis (VirtualHost) saab kasutada paljusid direktiive, mida peaserveri puhul sh direktiive Options, Alias, Directory, Location, Files. Samuti direktiive, mis reguleerivad SSI, CGI, PHP, Emperli, ümberkirjutamise ja logi kasutamist. Kui direktiivi ei näidata, kasutataks põhikonfiguratsiooni väärtus, kui seal seda samuti pole, siis vaikeväärtust.

===Pordipõhised virtuaalveebiserverid===

Kasutamaks erinevaid veebiseveri konfiguratsioone sõltuvalt sellest, millisele pordile päring tuli, kasutage direktiive Listen ja VirtualHost. Näiteks teenindab veebiserveri konfiguratsioonifaili põhiosale vastav server kõiki päringuid va neid, mis on suunatud aadressi 193.40.50.1 (www.zoo.edu.ee) pordile 8080 või pordile 8081. Viimast kahte teenindatakse vastaval VirtualHosti sektsioonile. Näiteks seame lisaks põhiosale tööle kaks alternatiivset dokumendijuurikat ja logi

...
Listen 80
Listen 193.40.50.1:8080
Listen 193.40.50.1:8081
<VirtualHost 193.40.50.1:8080>
ServerAdmin mart@zoo.edu.ee
DocumentRoot /www/mardizoo
ErrorLog /var/logs/mardizoo.error.log
CustomLog /var/logs/mardizoo.log common
</VirtualHost>

<VirtualHost 193.40.50.1:8081>
ServerAdmin priit@zoo.edu.ee
DocumentRoot /www/priiduzoo
ErrorLog /var/logs/priituzoo.error.log
CustomLog /var/logs/priiduzoo.log common
</VirtualHost>

kusjuures peakonfiguratsiooni on lisatud vastavad Listen direktiivid.

Brauseris tuleb päringud esitada vastavalt http://www.zoo.edu.ee:8080 või http://www.zoo.edu.ee:8081.

===IP-põhised virtuaalveebiseverid===

IP-põhised virtuaalveebiserverite kasutamisel on veebiserveril mitu IP aadressi. St masinal on mitu võrgukaarti või on kasutatud IP-aliasingut.

IP-põhiste virtuaalveebiserverite kasutamisel näidake direktiivi VirtualHost juures ära IP aadress, ning samas sektsioonis kirjeldage kõnealuse veebiserveri omadused. Näiteks kui masinal on kaks võrgukaarti IP aadressidega 193.40.10.1 ning 193.40.50.1 kasutage sektsioone

<VirtualHost 193.40.50.1>
ServerName www.zoo.tartu.ee
ServerAdmin priit@zoo.tartu.ee
DocumentRoot /www/tartuzoo
ErrorLog /var/logs/tartuzoo.error.log
CustomLog /var/logs/tartuzoo.log common
</VirtualHost>

<VirtualHost 193.40.10.1>
ServerName www.zoo.edu.ee
ServerAdmin mart@zoo.edu.ee
DocumentRoot /www/eduzoo
ErrorLog /var/logs/eduzoo.error.log
CustomLog /var/logs/eduzoo.log common
</VirtualHost>

Peakonfiguratsiooni osa järgi teenindatakse neid päringuid, millel ei leidu sobivat virtuaalserverit. Näiteks kui masinal on veel kolmas võrguseade ning päring siseneb selle aadressile.

Virtuaalserveri direktiivi juurde võib kirjutada ka mitu IP aadressi, mispuhul kasutatakse kõnealust serverit neile kõigile tulnud päringutele vastamisel.

===Nimepõhised virtuaalveebiserverid===

Nimepõhisete virtuaalveebiserverite kasutamine eeldab, et ühele IP aadressile (193.40.50.1) on nimesüsteemis (DNS) seatud näiteks CNAMEiga vastavusse mitu domeenime (www.zoo.tartu.ee, post.zoo.tartu.ee).

Kui soovite kasutada enam kui ühte veebiserverit, siis on soovitav kõik veebiserverid konfigureerida virtuaalseteks. Kusjuures põhiserverile ei vastagi DocumentRoot'i.

Nimepõhiste virtuaalveebiserverite kasutamine deklareeritakse peakonfiguratsiooni osas direktiiviga NameVirtualHost. Direktiivi järel näidatakse IP aadress, millele tulnud päringute teenindamisel kasutatakse sobivat VirtualHosti sektsiooni. Näiteks

NameVirtualHost 193.40.50.1

puhul kasutatakse aadressile 193.40.50.1 saabunud päringute töötlemiseks sobiva domeeninimega (ServerName) VirtualHost sektsiooni.

Erinevad virtuaalserverid kirjeldatakse direktiiviga VirtualHost, näiteks sarnase sektsiooniga

<VirtualHost 193.40.50.1>
ServerName www.zoo.tartu.ee
ServerAdmin priit@zoo.tartu.ee
DocumentRoot /www
ErrorLog /var/logs/www.error.log
CustomLog /var/logs/www.log common
</VirtualHost>

<VirtualHost 193.40.50.1>
ServerName post.zoo.tartu.ee
ServerAdmin post@zoo.tartu.ee
DocumentRoot /post
ErrorLog /var/logs/post.error.log
CustomLog /var/logs/post.log common
</VirtualHost>

Kui serveril on mitu võrguaadressi, siis võib kasutada direktiivi NameVirtualHost mitu korda ning lisada vastavad sektsioonid, kuid lühem on asendada IP aadress täringa (*)

NameVirtualHost *

<VirtualHost *>
ServerName www.zoo.tartu.ee
ServerAdmin priit@zoo.tartu.ee
DocumentRoot /www
ErrorLog /var/logs/www.error.log
CustomLog /var/logs/www.log common
</VirtualHost>

<VirtualHost *>
ServerName post.zoo.tartu.ee
ServerAdmin post@zoo.tartu.ee
DocumentRoot /post
ErrorLog /var/logs/post.error.log
CustomLog /var/logs/post.log common
</VirtualHost>

Päringuid, mis saabuvad direktiiviga NameVirtualHost näidatud aadressile ei teenindata IP-põhiste sektsioonide ega peaserveri konfiguratsiooni alusel.

===Kasulikud lisamaterjalid===