Apache HTTP 安全服务器配置

本章提供了关于启用了 mod_ssl 安全模块来使用 OpenSSL 库和工具包的 Apache HTTP 服务器 服务器的基本信息。Red Hat Linux 提供的这三个部件的组合在本章中将会被称为安全万维网服务器或安全服务器。

mod_ssl 模块是 Apache HTTP 服务器 的安全模块。 mod_ssl 模块使用由 OpenSSL 计划提供的工具来给 Apache HTTP 服务器 添加一项重要功能 — 加密通信的能力。与之相反，使用常规 HTTP，浏览器和万维网服务器间的通讯就会使用纯文本，它们在浏览器和服务器之间的路线上可能会被其它人截取并偷阅。

本章并不是这些程序的完全或唯一的文档。若你想获取关于某主题的更深入的文档，本章在合适的地方会为你指引途径。

本章将会向你显示如何安装这些程序。你还需要掌握生成密钥、证书请求、如何生成自我签名的证书、以及如何安装证书来用于你的安全服务器的必要步骤。

mod_ssl 配置文件位于 /etc/httpd/conf.d/ssl.conf 。要载入这个文件而使 mod_ssl 能够工作，你必须在 /etc/httpd/conf/httpd.conf 中包括 Include conf.d/*.conf 这条声明。在 Red Hat Linux 9中，该声明被默认包括在默认的 Apache HTTP 服务器 配置文件中。

20.2. 与安全相关的软件包概述

要启用安全服务器，你至少需要安装以下软件包：

httpd

httpd 软件包包含 httpd 守护进程和相关的工具、配置文件、图标、Apache HTTP 服务器 模块、说明书（man）页和其它被 Apache HTTP 服务器 使用的文件。

mod_ssl

mod_ssl 软件包包括 mod_ssl 模块，它通过安全套接字 层（SSL）和传输层安全（TLS）协议为 Apache HTTP 服务器 提供了强大的加密能力。

openssl

openssl 软件包包含 OpenSSL 工具包。OpenSSL 工具包实现 SSL 和 TLS 协议，还包括一个常规目的的加密库。

除此之外，其它包括在 Red Hat Linux 中的软件包也可以提供一定程度的安全功能（但不是安全服务器运行所必需的）：

httpd-devel

httpd-devel 软件包包含 Apache HTTP 服务器 的包含文件、头文件和 APXS 工具程序。如果你打算载入额外的模块（不是该产品所提供的），你需要以上所有文件和程序。请参阅 《Red Hat Linux 参考指南》 来获取关于使用 Apache HTTP 服务器 的 DSO 功能来把模块载入安全服务器的详细信息。

如果你不打算在 Apache HTTP 服务器 中载入额外模块，你不安装该软件包。

httpd-manual

httpd-manual 软件包包含 HTML 格式的 Apache 计划的 Apache User's Guide 说明指南。该指南还可在 http://httpd.apache.org/docs-2.0/ 中找到。

OpenSSH 软件包

The OpenSSH 软件包提供了一组用来在远程机器上登录和执行命令的 OpenSSH 网络连接工具集合。OpenSSH 工具加密所有交通（包括口令），因此你可以避免被窃听，防范截取连接和其它对你的机器和远程机器间通信的攻击。

openssh 软件包包括 OpenSSH 客户程序和 服务器都需要的核心文件。 openssh 软件包还包括 scp ，它是 rcp （用来在机器间复制文件）和 ftp （用来在机器间传输文件）的安全替换。

openssh-askpass 软件包支持对话框窗口的显示。该窗口在使用 OpenSSH 代理时提示你输入口令。

openssh-askpass-gnome 软件包可以在 OpenSSH 程序提示你输入口令时和 GNOME 桌面环境一起使用来显示图形化对话窗口。如果你运行的是 GNOME，并使用 OpenSSH 工具，你应该安装该软件包。

openssh-server 软件包包括 sshd 安全 shell 守护进程和相关文件。 安全 shell 守护进程是 OpenSSH 套件的服务器一方，如果你 想允许 SSH 客户连接到你的主机，你必须在主机上安装该软件包。

openssh-clients 软件包包含进行加密 SSH 服务器连接所需的客户程序，其中包括： ssh （ rsh 的安全替换）； sftp （ ftp 的安全替换，用来在机器间传输文件）； slogin （用于远程登录的 rlogin 和通过 Telnet 协议与另一主机通信的 telnet 的安全替换）。

关于 OpenSSH 的详细信息，请参阅第15章、 《Red Hat Linux 参考指南》 、以及 OpenSSH 的网站： http://www.openssh.com 。

openssl-devel

openssl-devel 软件包包含编译带有各类加密算式和协议支持的应用程序所需的静态库和包含文件。你只有在开发包括 SSL 支持的应用程序时，才需要安装该软件包 — 仅使用 SSL 不必安装该软件包。

stunnel

stunnel 软件包提供了 Stunnel SSL 会绕程序。Stunnel 支持 TCP 连接的 SSL 加密，因此它可以为无 SSL 的守护进程和协议（如 POP、IMAP 和 LDAP）提供加密，却不需对守护进程的编码做任何修改。

表 20-1 显示了安全服务器软件包的摘要，并向你表明每个软件包对安全万维网服务安装是否必不可少。

软件包名称 是否可选可不选？ httpd
非常全面的一个php技术网站,php爱好者站 http://www.phpfans.net 有相当丰富的文章和源代码.