权限控制与日志分割

  • 一、权限控制
  • 1、基于ip地址的控制访问
  • 2、基于身份验证的访问
  • 设置超时时间
  • 二、日志分割
  • 1、rotatelogs工具
  • (1)配置错误日志按天分割
  • (2)配置访问日志按2小时分割
  • 2、cronolog工具(第三方工具,推荐使用)


一、权限控制

在apache应用过程中,管理员经常需要对apache下的目录做一些限制,不希望所有用户都能访问该目录下的文件,只对指定用户访问,此时我们就要用到apache的权限功能。

1、基于ip地址的控制访问

第一步:修改虚拟主机的配置文件

[root@sheng yjs]# vim /etc/httpd/conf/extra/vhosts.conf 

<VirtualHost 192.168.245.140:80>
DocumentRoot "/var/www/html/cloud"
ServerName www.cloud.com
ErrorLog "logs/www.cloud.com.error_log"
CustomLog "logs/www.cloud.com.access_log" common
<Directory "/var/www/html">
Require not ip 192.168.245.10   <----指定不允许访问的ip地址
        Require all granted
</Directory>
</VirtualHost>

<VirtualHost 192.168.245.135:80>
DocumentRoot "/var/www/html/yjs"
ServerName www.yjs.com
ErrorLog "logs/www.yjs.com.error_log"
CustomLog "logs/www.yjs.com.access_log" common
<Directory "/var/www/html">
        Require all granted
</Directory>
</VirtualHost>

第二步:重启httpd服务

[root@sheng ~]# systemctl restart httpd

第三步:客户机验证访问

我用centos搭建的apache服务器能限制网络传输速率吗_apache权限访问


我用centos搭建的apache服务器能限制网络传输速率吗_apache日志_02

2、基于身份验证的访问

第一步:创建一个httpd服务的测试用户test01和test02

[root@sheng ~]# htpasswd -c /etc/httpd/conf/pwd test01
New password: 
Re-type new password: 
Adding password for user test01

[root@sheng ~]# htpasswd /etc/httpd/conf/pwd test02
New password: 
Re-type new password: 
Adding password for user test02

[root@sheng ~]# cat /etc/httpd/conf/pwd
test01:$apr1$e/FqG0wW$uVZiNljK46dqaOebKO2z5/
test02:$apr1$qFO0vi4T$EAezZIF2guS84dzSnLIoO1
htpasswd命令:用于为指定用户生成基于网页用户身份认证的密码,由httpd-tools软件包提供。支持3种加密算法:MD5、SHA和系统上的crypt()函数,不指定算法时,默认为md5。

-c:创建passwdfile,如果已有用户了要继续添加用户必须要去掉-c选项,否则会覆盖原有用户!
-b:直接输入用户名和密码,不需要交互
-m 使用MD5加密(默认)
-d 使用CRYPT加密(默认)
-s 使用SHA加密
-D 删除指定的用户

如果要修改用户密码,需要先删除用户再添加

第二步:修改虚拟主机的配置文件(配置在httpd.conf主配置文件也可以,这里为了演示)

[root@sheng ~]# vim /etc/httpd/conf/extra/vhosts.conf
<VirtualHost 192.168.245.135:80>
DocumentRoot "/var/www/html/yjs"
ServerName www.yjs.com
ErrorLog "logs/www.yjs.com.error_log"
CustomLog "logs/www.yjs.com.access_log" common
<Directory "/var/www/html">
        AuthName "DocumentRoot"   <---指定认证的网页目录
        AuthType basic    <---指定认证的类型是基本验证
        AuthUserFile /etc/httpd/conf/pwd   <---指定认证的用户密码文件
        Require valid-user   <---指定认证的用户
</Directory>
</VirtualHost>

第三步:重启httpd服务

[root@sheng ~]# systemctl restart httpd

第四步:客户机验证访问

我用centos搭建的apache服务器能限制网络传输速率吗_apache日志分割_03


我用centos搭建的apache服务器能限制网络传输速率吗_apache权限_04

设置超时时间

二、日志分割

1、rotatelogs工具

rotatelogs是apache自带的日志轮询工具,安装完apache服务就有这个命令了

语法
rotatelogs [ -l ] logfile [ rotationtime [ offset ]] | [ filesizeM ]

选项
-l
使用本地时间代替GMT时间作为时间基准。

logfile
它加上基准名就是日志文件名。如果logfile中包含”%”,则它会被视为用于strftime()的格式字符串;否则它会被自动加上以秒为单位的”.nnnnnnnnnn”后缀。这两种格式都表示新的日志开始使用的时间。

rotationtime
日志文件滚动的以秒为单位的间隔时间。

offset
相对于UTC的时差的分钟数。如果省略,则假定为”0″并使用UTC时间。如果要使用北京时间,需要设定为480,因为北京时间=UTC+8小时,480秒

filesizeM
指定以filesizeM文件大小滚动,而不是按照时间或时差滚动。

(1)配置错误日志按天分割

第一步:查看rotatelogs的所在位置

[root@sheng httpd]# which rotatelogs 
/usr/sbin/rotatelogs

第二步:清空其他日志文件只保留最基础的访问日志和错误日志

[root@sheng ~]# cd /var/log/httpd/
[root@sheng httpd]# ls
access_log  error_log

第三步:修改主配置文件,设置按天分割日志,格式%Y%m%d=年月日.log

[root@sheng httpd]# vim /etc/httpd/conf/httpd.conf 
#ErrorLog "logs/error_log"   <---将默认设置注释
ErrorLog "| /usr/sbin/rotatelogs -l logs/www.yjs.com.error_%Y%m%d.log 86400"

第四步:重启服务之后立即可以看到产生的错误日志

[root@sheng httpd]# systemctl restart httpd
[root@sheng httpd]# ll
总用量 12
-rw-r--r-- 1 root root    0 8月   4 16:22 access_log
-rw-r--r-- 1 root root 7169 8月   5 15:00 error_log
-rw-r--r-- 1 root root  671 8月   6 09:45 www.yjs.com.error_20200806.log
(2)配置访问日志按2小时分割

第一步:查看当前系统时间

[root@sheng httpd]# date
2020年 08月 06日 星期四 10:12:12 CST

第二步:修改主配置文件,搜索到CustomLog,将默认设置注释,下面添加一行
%Y%m%d%H=年月日小时

[root@sheng httpd]# vim /etc/httpd/conf/httpd.conf
CustomLog "| /usr/sbin/rotatelogs logs/www.kgc.com.access_%Y%m%d%H.log 7200" combined

[root@sheng httpd]# ls
access_log  error_log  www.kgc.com.access_2020080602.log

注意:如果没有-l,他会默认以UTC时间作为标准,所以显示是早上2点

CustomLog "| /usr/sbin/rotatelogs logs/www.kgc.com.access_%Y%m%d%H.log 7200 480" combined

[root@sheng httpd]# ls
access_log  www.kgc.com.access_2020080602.log  www.yjs.com.error_2020080600.log
error_log   www.kgc.com.access_2020080610.log

注意:如果在7200后面加上480,再进行访问,这个时候日志的时间就显示的是北京时间了

那么再来加上-l选项尝试一下,不要加上480就可以了

CustomLog "| /usr/sbin/rotatelogs -l logs/www.kgc.com.access_%Y%m%d%H.log 7200" combined

[root@sheng httpd]# ls
access_log  error_log  www.kgc.com.access_2020080610.log
CustomLog "| /usr/sbin/rotatelogs -l logs/www.kgc.com.access_%Y%m%d%H.log 7200 480" combined  <---这种方式虽然服务可以启动但是并不会产生访问日志

所以,要使用北京时间来切割日志有2种方式:

CustomLog "| /usr/sbin/rotatelogs -l logs/www.kgc.com.access_%Y%m%d%H.log 7200" combined

CustomLog "| /usr/sbin/rotatelogs logs/www.kgc.com.access_%Y%m%d%H.log 7200 480" combined

2、cronolog工具(第三方工具,推荐使用)

cronolog作为日志过滤程序,可用来切割linux日志文件,通过对输入的日志按文件名模板和当前日期重新编排,来按格式生成所需日志。cronolog 旨在和一个Web服务器一起使用,如Apache、Nginx

第一步:rpm安装一下cronolog软件(yum也可以安装)

[root@sheng opt]# rpm -ivh cronolog-1.6.2-14.el7.x86_64.rpm 
[root@sheng opt]# which cronolog 
/usr/sbin/cronolog

第二步:修改httpd主配置文件,按小时分割错误日志

[root@sheng httpd]# vim /etc/httpd/conf/httpd.conf
ErrorLog "| /usr/sbin/cronolog logs/www.yjs.com.error_%Y%m%d%H.log"

第三步:重启服务,验证错误日志已产生

[root@sheng httpd]# systemctl restart httpd
[root@sheng httpd]# ls
access_log  error_log  www.yjs.com.error_2020080610.log