CentOS+Nginx+PHP+Mysql+安全指南全环境搭建笔记

这是爱月在配置学校内部下载站服务器时候做的笔记
参考了张宴大大和wangyu1314的教程,结合自己的实际情况写出的笔记
一来记录下来未来如果需要还可以用到
二来分享给大家,笔记里的部分初级内容上面所提到的两位大大没有写出来

这是第一部分,< 系统安装后的初始环境设置 >
主要内容有:
[用户管理与用户安全]
[设置系统时间及自动同步系统时间]
[关闭不需要的服务]
[系统更新]
[用OpenSSH构建SSH服务器]

CentOS+Nginx+PHP+Mysql+安全指南全环境搭建笔记(1)

 – 系统安装后的初始环境设置

[普通用户的建立与删除]

    # useradd lovemoon
    ↑ 建立用户名为 lovemoon 的普通用户
    # passwd lovemoon
    ↑ 为用户 lovemoon 设置密码
    Changing password for user lovemoon.
    New UNIX password:
    ↑ 输入密码(密码不会被显示)
    Retype new UNIX password:
    ↑ 再次输入密码确认两次密码一致
    passwd: all authentication tokens updated successfully.
    ↑ 密码设置成功

    #userdel -r lovemoon
    ↑ 删除用户名为 lovemoon 的普通用户

[将普通用户设置到不同的用户组中]

    # usermod -G wheel lovemoon
    ↑ 将普通用户 lovemoon 加在管理员组wheel组中
    # usermod -G wheel,www lovemoon
    ↑ 将普通用户 lovemoon 同时加在wheel和www组中

[设置只有管理员wheel组才可以使用su命令进入root权限]

    # vi /etc/pam.d/su  ← 打开这个配置文件
    auth required /lib/security/$ISA/pam_wheel.so use_uid
    ↑ 修改文件为此状态(大约在第6行的位置)
    # echo “SU_WHEEL_ONLY yes” >> /etc/login.defs
    ↑ 添加语句到login.defs文件行末

[设置系统时间及自动同步系统时间]

    # yum install –y ntp
    ↑ 安装NTP官方的时间同步程序 (NTP:中国国家授时中心)
    # /usr/sbin/ntpdate -s pool.ntp.org
    ↑ 以NTP官方服务器为准调整本地时间
    # crontab -e
    ↑ 编辑计划任务列表
    0 3 * * * /usr/sbin/ntpdate -s pool.ntp.org
    ↑ 编辑文件到此状态,表示每天凌晨3点自动同步时间
    # /sbin/service crond reload
    ↑ 重载计划任务配置

[关闭不需要的服务]

    # setup
    ↑ 开启图形设置界面
    选择System service 进入服务列表
    使用”空格”键选择”[*]”或取消”[ ]”服务

    只保留以下服务,未列出的服务一律关闭:
    crond
    irqbalance
    ↑ 仅当服务器CPU为S.M.P架构或支持双核心、HT技术时,才需开启,否则关闭。
    iptables
    microcode_ctl
    network
    sshd
    syslog
    vsftpd
    yum-updatesd

[系统更新]

    # vi /etc/yum.repos.d/CentOS-Base.repo
    ↑ 修改系统更新地址文件
    将所有”baseurl=http://mirror.centos.org/centos/$releasever/os/$basearch/”
    修改为”baseurl=http://mirrors.shlug.org/centos/$releasever/os/$basearch/”
    # yum -y upgrade
    ↑ 更新系统文件

[用OpenSSH构建SSH服务器]

    # vi /etc/ssh/sshd_config
    ↑ 用vi打开SSH的配置文件
    将”#Protocol 2,1″
    修改为        “Protocol 2″
    ↑ 只允许SSH2方式的连接(Centos 5.2中已包含此设置)

    将”#ServerKeyBits 768”
    修改为        “ServerKeyBits 1024″
    ↑ 将ServerKey强度改为1024比特

    将”#PermitRootLogin yes”
    修改为        “PermitRootLogin no”
    ↑ 不允许用root进行登录(wheel组用户SSH登陆后可用su命令使用root权限)

    将”#PasswordAuthentication yes”
    修改为        “PasswordAuthentication no”
    ↑ 不允许密码方式的登录(SSH远程管理用密钥登陆会安全很多)

    将”#PermitEmptyPasswords no”
    修改为        “PermitEmptyPasswords no”
    ↑  不允许空密码登录

    # vi /etc/hosts.deny
    ↑ 修改屏蔽规则,在此限定仅有哪些IP地址可以SSH远程登陆本服务器
    sshd: ALL
    ↑ 在文件末尾添加这一行,屏蔽所有的SSH连接请求

    # vi /etc/hosts.allow
    ↑ 修改允许规则,在此限定仅有哪些IP地址可以SSH远程登陆本服务器
    sshd:222.17.177.
    sshd:10.3.92.25
    sshd:10.3.97.137
    ↑ 在文件末尾添加这三行,只允许来自222.17.177网段、IP地址为10.3.92.25和IP地址为10.3.97.137的SSH连接请求

    # /etc/rc.d/init.d/sshd restart
    ↑ 重新启动SSH服务器
    Stopping sshd:             [ OK ]
    Starting sshd:             [ OK ]
    ↑ SSH服务器重新启动成功

    # su -lovemoon
    ↑ 用普通用户 lovemoon 登陆服务器
    $ ssh-keygen -t rsa
    ↑ 建立公钥与私钥
    Generating public/private rsa key pair.
    Enter file in which to save the key (/home/kaz/.ssh/id_rsa):
    ↑ 钥匙的文件名,这里保持默认直接回车
    Created directory ‘/home/kaz/.ssh’
    Enter passphrase (empty for no passphrase):
    ↑ 输入密钥口令(使用SSH远程软件时会用到)
    Enter same passphrase again:
    ↑ 再次输入密钥口令(使用SSH远程软件时会用到)
    Your identification has been saved in /home/kaz/.ssh/id_rsa.
    ↑ 建立了id_rsa私钥文件
    Your public key has been saved in /home/kaz/.ssh/id_rsa.pub.
    ↑ 建立了id_rsa.pub公钥文件

    $ cd ~/.ssh
    ↑ 进入 lovemoon 用户SSH配置文件的目录(~/目录相当于/home/lovemoon/)
    $ cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys
    ↑ 公钥内容输出到authorized_keys文件中
    $ rm -f ~/.ssh/id_rsa.pub
    ↑ 删除原来的公钥文件
    $ chmod 400 ~/.ssh/authorized_keys
    ↑ 将新建立的公钥文件属性设置为400

    $ exit
    ↑ 退出普通用户的登录
    登陆为root用户,插入U盘
    # fdisk -l
    ↑ 显示目前所有硬盘,找到U盘设备名为sdb1 (具体情况具体对待,这里各服务器有所不同)
    # mount /dev/sdb1 /mnt
    ↑ 挂载U盘设备到/mnt目录
    # mv /home/lovemoon/.ssh/id_rsa /mnt/
    ↑ 移动id_rsa私钥文件到U盘中
    # umount /mnt/
    ↑ 卸载U盘

    -Nginx+PHP+MySQL环境搭建

    [利用yum命令配置、升级所需程序库]

        # sudo -s
        # LANG=C
        # yum -y install gcc gcc-c++ autoconf libjpeg libjpeg-devel libpng libpng-devel freetype freetype-devel libxml2 libxml2-devel zlib zlib-devel glibc glibc-devel glib2 glib2-devel bzip2 bzip2-devel ncurses ncurses-devel curl curl-devel
        ↑安装、升级这些程序库

    [下载环境所需文件到指定目录]

        # mkdir -p /software
        ↑ 在根目录建立software文件夹
        # cd /software
        ↑ 进入software文件夹
        # wget http://sysoev.ru/nginx/nginx-0.7.19.tar.gz
        # wget http://www.php.net/get/php-5.2.6.tar.gz/from/this/mirror
        # wget http://php-fpm.anight.org/downloads/head/php-5.2.6-fpm-0.5.9.diff.gz
        # wget http://blog.s135.com/soft/linux/mysql/mysql-5.1.26-rc.tar.gz
        # wget http://ftp.gnu.org/pub/gnu/libiconv/libiconv-1.12.tar.gz
        # wget http://mirror.optus.net/sourceforge/m/mc/mcrypt/libmcrypt-2.5.8.tar.gz
        # wget http://mirror.optus.net/sourceforge/m/mc/mcrypt/mcrypt-2.6.7.tar.gz
        # wget http://pecl.php.net/get/memcache-2.2.3.tgz
        # wget http://mirror.optus.net/sourceforge/m/mh/mhash/mhash-0.9.9.tar.gz
        # wget ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre-7.7.tar.gz
        # wget http://bart.eaccelerator.net/source/0.9.5.3/eaccelerator-0.9.5.3.tar.bz2
        ↑ 下载这些文件到software目录

    [编译安装PHP 5.2.6所需的支持库]

        # tar zxvf libiconv-1.12.tar.gz
        ↑ 解压(tar) 参数(zxvf) 文件名(libiconv-1.12.tar.gz)
        # cd libiconv-1.12/
        ↑ 进入解压出来的文件的文件夹(libiconv-1.12)
        # ./configure –prefix=/usr/local
        ↑ 配置安装信息 指定安装目录为/usr/local
        # make
        ↑ make安装文件
        # make install
        ↑ 开始安装
        # cd ../
        ↑ 返回上级目录(此处即software目录)

        # tar zxvf libmcrypt-2.5.8.tar.gz
        # cd libmcrypt-2.5.8/
        # ./configure
        # make
        # make install
        # /sbin/ldconfig
        # cd libltdl/
        # ./configure –enable-ltdl-install
        # make
        # make install
        # cd ../../

        # tar zxvf mhash-0.9.9.tar.gz
        # cd mhash-0.9.9/
        # ./configure
        # make
        # make install
        # cd ../

        # cp /usr/local/lib/libmcrypt.* /usr/lib
        # ln -s /usr/local/lib/libmhash.so.2 /usr/lib/libmhash.so.2

        # tar zxvf mcrypt-2.6.7.tar.gz
        # cd mcrypt-2.6.7/
        # ./configure
        # make
        # make install
        # cd ../

    [编译安装MySQL 5.1.26-rc]

        # /usr/sbin/groupadd mysql
        ↑ 建立mysql用户组
        # /usr/sbin/useradd -g mysql mysql
        ↑ 建立mysql用户到mysql用户组中
        # tar zxvf mysql-5.1.26-rc.tar.gz
        # cd mysql-5.1.26-rc/
        # ./configure –prefix=/usr/local/webserver/mysql/ –enable-assembler –with-extra-charsets=complex –enable-thread-safe-client –with-big-tables –with-readline –with-ssl –with-embedded-server –enable-local-infile
        # make && make install
        # chmod +w /usr/local/webserver/mysql
        # chown -R mysql:mysql /usr/local/webserver/mysql
        # cp support-files/my-medium.cnf /usr/local/webserver/mysql/my.cnf
        # cd ../

        # /usr/local/webserver/mysql/bin/mysql_install_db –defaults-file=/usr/local/webserver/mysql/my.cnf –basedir=/usr/local/webserver/mysql –datadir=/usr/local/webserver/mysql/data –user=mysql –pid-file=/usr/local/webserver/mysql/mysql.pid –skip-locking –port=3306 –socket=/tmp/mysql.sock
        ↑ 以mysql用户帐号的身份建立数据表

        # /bin/sh /usr/local/webserver/mysql/bin/mysqld_safe –defaults-file=/usr/local/webserver/mysql/my.cnf &
        ↑ 启动MySQL(最后的&表示在后台运行)

    [编译安装PHP(FastCGI模式)]

        # tar zxvf php-5.2.6.tar.gz
        # gzip -cd php-5.2.6-fpm-0.5.9.diff.gz | patch -d php-5.2.6 -p1
        # cd php-5.2.6/
        # ./configure –prefix=/usr/local/webserver/php –with-config-file-path=/usr/local/webserver/php/etc –with-mysql=/usr/local/webserver/mysql –with-mysqli=/usr/local/webserver/mysql/bin/mysql_config –with-iconv-dir=/usr/local –with-freetype-dir –with-jpeg-dir –with-png-dir –with-zlib –with-libxml-dir=/usr –enable-xml –disable-rpath –enable-discard-path –enable-safe-mode –enable-bcmath –enable-shmop –enable-sysvsem –enable-inline-optimization –with-curl –with-curlwrappers –enable-mbregex –enable-fastcgi –enable-fpm –enable-force-cgi-redirect –enable-mbstring –with-mcrypt –with-gd –enable-gd-native-ttf –with-openssl
        # sed -i ‘s#-lz -lm -lxml2 -lz -lm -lxml2 -lz -lm -lcrypt#& -liconv#’ Makefile
        # make
        # make install
        # cp php.ini-dist /usr/local/webserver/php/etc/php.ini
        # cd ../

    [编译安装PHP5扩展模块]

        # tar zxvf memcache-2.2.3.tgz
        # cd memcache-2.2.3/
        # /usr/local/webserver/php/bin/phpize
        # ./configure –with-php-config=/usr/local/webserver/php/bin/php-config
        # make
        # make install
        # cd ../

        # tar jxvf eaccelerator-0.9.5.3.tar.bz2
        # cd eaccelerator-0.9.5.3/
        # /usr/local/webserver/php/bin/phpize
        # ./configure –enable-eaccelerator=shared –with-php-config=/usr/local/webserver/php/bin/php-config
        # make
        # make install
        # cd ../

    [修改php.ini文件]

        手工修改:
        # vi /usr/local/webserver/php/etc/php.ini
        将 ” extension_dir = “./” ”
        修改为            ” extension_dir = “/usr/local/webserver/php/lib/php/extensions/no-debug-non-zts-20060613/” ”

        将 “output_buffering = Off”
        修改为            ” output_buffering = On ”

        extension = “memcache.so”
        ↑ 文件末尾增加此行

        自动修改(已使用手动修改的跳过):
        # sed -i ‘s#extension_dir = “./”#extension_dir = “/usr/local/webserver/php/lib/php/extensions/no-debug-non-zts-20060613/”\nextension = “memcache.so”\n#’ /usr/local/webserver/php/etc/php.ini
        # sed -i ‘s#output_buffering = Off#output_buffering = On#’ /usr/local/webserver/php/etc/php.ini

    [配置eAccelerator加速PHP]

        # mkdir -p /usr/local/webserver/eaccelerator_cache
        # vi /usr/local/webserver/php/etc/php.ini
        按shift+g键跳到配置文件的最末尾,加入以下配置信息:

        [eaccelerator]
        zend_extension=”/usr/local/webserver/php/lib/php/extensions/no-debug-non-zts-20060613/eaccelerator.so”
        eaccelerator.shm_size=”128″
        eaccelerator.cache_dir=”/usr/local/webserver/eaccelerator_cache”
        eaccelerator.enable=”1″
        eaccelerator.optimizer=”1″
        eaccelerator.check_mtime=”1″
        eaccelerator.debug=”0″
        eaccelerator.filter=””
        eaccelerator.shm_max=”0″
        eaccelerator.shm_ttl=”300″
        eaccelerator.shm_prune_period=”120″
        eaccelerator.shm_only=”0″
        eaccelerator.compress=”1″
        eaccelerator.compress_level=”9″

        # vi /etc/sysctl.conf
        ↑ 修改配置文件

        将    “kernel.shmmax = **********”
        修改为        “kernel.shmmax = 134217728″

        # /sbin/sysctl -p
        ↑ 执行此命令使配置生效

    [创建www用户和组]

        # /usr/sbin/groupadd www -g 48
        ↑ 创建www用户组并指定组ID为48
        # /usr/sbin/useradd -u 48 -g www www
        ↑ 创建www用户到www用户组中
        # mkdir -p /wwwroot
        ↑ 在根目录中创建wwwroot网站目录
        # chmod +w /wwwroot
        ↑ 给wwwroot目录增加可写权限
        # chown -R www:www /wwwroot
        ↑ 使wwwroot目录所属用户组为www,所属用户为www

    [创建php-fpm配置文件]

        php-fpm是为PHP打的一个FastCGI管理补丁,可以平滑变更php.ini配置而无需重启php-cgi
        # rm -f /usr/local/webserver/php/etc/php-fpm.conf
        ↑ 删除原有php-fpm.conf文件
        # vi /usr/local/webserver/php/etc/php-fpm.conf
        ↑ 建立新的php-fpm.conf文件并启动vi编辑器编辑该文件
        输入以下内容(请注意以下内容中”↑”标志后的内容不能出现在实际文件中):

        <?xml version=”1.0″ ?>
        <configuration>

        All relative paths in this config are relative to php’s install prefix

        <section name=”global_options”>

        Pid file
        <value name=”pid_file”>/usr/local/webserver/php/logs/php-fpm.pid</value>

        Error log file
        <value name=”error_log”>/usr/local/webserver/php/logs/php-fpm.log</value>

        Log level
        <value name=”log_level”>notice</value>

        When this amount of php processes exited with SIGSEGV or SIGBUS …
        <value name=”emergency_restart_threshold”>10</value>

        … in a less than this interval of time, a graceful restart will be initiated.
        Useful to work around accidental curruptions in accelerator’s shared memory.
        <value name=”emergency_restart_interval”>1m</value>

        Time limit on waiting child’s reaction on signals from master
        <value name=”process_control_timeout”>5s</value>

        Set to ‘no’ to debug fpm
        <value name=”daemonize”>yes</value>

        </section>

        <workers>

        <section name=”pool”>

        Name of pool. Used in logs and stats.
        <value name=”name”>default</value>

        Address to accept fastcgi requests on.
        Valid syntax is ‘ip.ad.re.ss:port’ or just ‘port’ or ‘/path/to/unix/socket’
        <value name=”listen_address”>127.0.0.1:9000</value>

        <value name=”listen_options”>

        Set listen(2) backlog
        <value name=”backlog”>-1</value>

        Set permissions for unix socket, if one used.
        In Linux read/write permissions must be set in order to allow connections from web server.
        Many BSD-derrived systems allow connections regardless of permissions.
        <value name=”owner”></value>
        <value name=”group”></value>
        <value name=”mode”>0666</value>
        </value>

        Additional php.ini defines, specific to this pool of workers.
        <value name=”php_defines”>
        <value name=”sendmail_path”>/usr/sbin/sendmail -t -i</value>
        <value name=”display_errors”>0</value>
        ↑ 如果安装 Nginx + PHP 用于程序调试,则此处应设置为”1″以显示PHP错误信息,设置为”0″ Nginx 会报状态为500的空白错误页
        </value>

        Unix user of processes
        <value name=”user”>www</value>

        Unix group of processes
        <value name=”group”>www</value>

        Process manager settings
        <value name=”pm”>

        Sets style of controling worker process count.
        Valid values are ‘static’ and ‘apache-like’
        <value name=”style”>static</value>

        Sets the limit on the number of simultaneous requests that will be served.
        Equivalent to Apache MaxClients directive.
        Equivalent to PHP_FCGI_CHILDREN environment in original php.fcgi
        Used with any pm_style.
        <value name=”max_children”>64</value>
        ↑ 进程数为64,如果服务器内存大于3GB,可以只开启128-200个进程

        Settings group for ‘apache-like’ pm style
        <value name=”apache_like”>

        Sets the number of server processes created on startup.
        Used only when ‘apache-like’ pm_style is selected
        <value name=”StartServers”>20</value>

        Sets the desired minimum number of idle server processes.
        Used only when ‘apache-like’ pm_style is selected
        <value name=”MinSpareServers”>5</value>

        Sets the desired maximum number of idle server processes.
        Used only when ‘apache-like’ pm_style is selected
        <value name=”MaxSpareServers”>35</value>

        </value>

        </value>

        The timeout (in seconds) for serving a single request after which the worker process will be terminated
        Should be used when ‘max_execution_time’ ini option does not stop script execution for some reason
        ‘0s’ means ‘off’
        <value name=”request_terminate_timeout”>0s</value>

        The timeout (in seconds) for serving of single request after which a php backtrace will be dumped to slow.log file
        ‘0s’ means ‘off’
        <value name=”request_slowlog_timeout”>0s</value>

        The log file for slow requests
        <value name=”slowlog”>logs/slow.log</value>

        Set open file desc rlimit
        <value name=”rlimit_files”>51200</value>

        Set max core size rlimit
        <value name=”rlimit_core”>0</value>

        Chroot to this directory at the start, absolute path
        <value name=”chroot”></value>

        Chdir to this directory at the start, absolute path
        <value name=”chdir”></value>

        Redirect workers’ stdout and stderr into main error log.
        If not set, they will be redirected to /dev/null, according to FastCGI specs
        <value name=”catch_workers_output”>yes</value>

        How much requests each process should execute before respawn.
        Useful to work around memory leaks in 3rd party libraries.
        For endless request processing please specify 0
        Equivalent to PHP_FCGI_MAX_REQUESTS
        <value name=”max_requests”>10240</value>

        Comma separated list of ipv4 addresses of FastCGI clients that allowed to connect.
        Equivalent to FCGI_WEB_SERVER_ADDRS environment in original php.fcgi (5.2.2+)
        Makes sense only with AF_INET listening socket.
        <value name=”allowed_clients”>127.0.0.1</value>

        Pass environment variables like LD_LIBRARY_PATH
        All $VARIABLEs are taken from current environment
        <value name=”environment”>
        <value name=”HOSTNAME”>$HOSTNAME</value>
        <value name=”PATH”>/usr/local/bin:/usr/bin:/bin</value>
        <value name=”TMP”>/tmp</value>
        <value name=”TMPDIR”>/tmp</value>
        <value name=”TEMP”>/tmp</value>
        <value name=”OSTYPE”>$OSTYPE</value>
        <value name=”MACHTYPE”>$MACHTYPE</value>
        <value name=”MALLOC_CHECK_”>2</value>
        </value>

        </section>

        </workers>

        </configuration>

    [启动php-cgi进程,监听127.0.0.1的9000端口]

        # ulimit -SHn 51200
        # /usr/local/webserver/php/sbin/php-fpm start

    [安装Nginx所需的pcre库]

        # tar zxvf pcre-7.7.tar.gz
        # cd pcre-7.7/
        # ./configure
        # make && make install
        # cd ../

    [安装Nginx 0.7.19]

        # tar zxvf nginx-0.7.19.tar.gz
        # cd nginx-0.7.19/
        # ./configure –user=www –group=www –prefix=/usr/local/webserver/nginx –with-http_stub_status_module –with-http_ssl_module
        # make
        # make install
        # cd ../

    [创建Nginx日志目录]

        # mkdir -p /logs
        # chmod +w /logs
        # chown -R www:www /logs

    [创建nginx.conf配置文件]

        # rm -f /usr/local/webserver/nginx/conf/nginx.conf
        # vi /usr/local/webserver/nginx/conf/nginx.conf
        输入以下内容(请注意以下内容中”↑”标志后的内容不能出现在实际文件中):

        user  www www;

        worker_processes 8;
        ↑ Nginx每个进程耗费10M~12M内存

        error_log  /logs/nginx_error.log  warn;

        pid        /usr/local/webserver/nginx/nginx.pid;

        #Specifies the value for maximum file descriptors that can be opened by this process.
        worker_rlimit_nofile 51200;

        events
        {
        use epoll;
        worker_connections 51200;
        }

        http
        {
        include       mime.types;
        default_type  application/octet-stream;

        #charset  gb2312;

        server_names_hash_bucket_size 128;
        client_header_buffer_size 32k;
        large_client_header_buffers 4 32k;

        sendfile on;
        tcp_nopush     on;

        keepalive_timeout 60;

        tcp_nodelay on;

        fastcgi_connect_timeout 300;
        fastcgi_send_timeout 300;
        fastcgi_read_timeout 300;
        fastcgi_buffer_size 64k;
        fastcgi_buffers 4 64k;
        fastcgi_busy_buffers_size 128k;
        fastcgi_temp_file_write_size 128k;

        gzip on;
        gzip_min_length  1k;
        gzip_buffers     4 16k;
        gzip_http_version 1.0;
        gzip_comp_level 2;
        gzip_types       text/plain application/x-javascript text/css application/xml;
        gzip_vary on;

        limit_zone  crash  $binary_remote_addr  10m;
        ↑ 定义一个叫“crash”的记录区,总容量为 10M,以变量 $binary_remote_addr 作为会话的判断基准(即一个地址一个会话),当区的大小为 1M 的时候,大约可以记录 32000 个会话信息(一个会话占用 32 bytes)

        server
        {
        listen       80;
        server_name  222.17.177.205;
        index index.html index.htm index.php;
        root  /wwwroot;

        #limit_conn   crash  5;
        ↑ *此处已被#注释掉了,即不起作用*定义整个网站的限制。此处为在”crash”记录区中,以变量 $binary_remote_addr 作为会话的判断基准(即一个地址一个会话),限制网站全局目录,一个会话只能进行5个连接(即一个IP只能发起5个连接,多过5个,一律503错误)

        location ~ .*\.(php|php5)?$
        {
        #fastcgi_pass  unix:/tmp/php-cgi.sock;
        fastcgi_pass  127.0.0.1:9000;
        fastcgi_index index.php;
        include fcgi.conf;
        }

        location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
        {
        expires      30d;
        }

        location ~ .*\.(js|css)?$
        {
        expires      1h;
        }

        location /resource/ {
        limit_conn   crash  2;
        ↑ 定义resource目录的限制。此处为在”crash”记录区中,以变量 $binary_remote_addr 作为会话的判断基准(即一个地址一个会话),限制resource目录,一个会话只能进行2个连接(即一个IP只能发起2个连接,多过2个,一律503错误)
        }

        log_format  access  ‘$remote_addr – $remote_user [$time_local] “$request” ‘
        ‘$status $body_bytes_sent “$http_referer” ‘
        ‘”$http_user_agent” $http_x_forwarded_for’;
        access_log  /logs/access.log  access;
        sendfile on;
        tcp_nopush on;
        client_max_body_size 50m;
        ↑ 网站程序中允许上传的最大size,这里设置成50M,这里只是nginx的限制,PHP本身限制2M
        }
        }

    [创建fcgi.conf配置文件]

        # vi /usr/local/webserver/nginx/conf/fcgi.conf
        输入以下内容:

        fastcgi_param  GATEWAY_INTERFACE  CGI/1.1;
        fastcgi_param  SERVER_SOFTWARE    nginx;

        fastcgi_param  QUERY_STRING       $query_string;
        fastcgi_param  REQUEST_METHOD     $request_method;
        fastcgi_param  CONTENT_TYPE       $content_type;
        fastcgi_param  CONTENT_LENGTH     $content_length;

        fastcgi_param  SCRIPT_FILENAME    $document_root$fastcgi_script_name;
        fastcgi_param  SCRIPT_NAME        $fastcgi_script_name;
        fastcgi_param  REQUEST_URI        $request_uri;
        fastcgi_param  DOCUMENT_URI       $document_uri;
        fastcgi_param  DOCUMENT_ROOT      $document_root;
        fastcgi_param  SERVER_PROTOCOL    $server_protocol;

        fastcgi_param  REMOTE_ADDR        $remote_addr;
        fastcgi_param  REMOTE_PORT        $remote_port;
        fastcgi_param  SERVER_ADDR        $server_addr;
        fastcgi_param  SERVER_PORT        $server_port;
        fastcgi_param  SERVER_NAME        $server_name;

        # PHP only, required if PHP was built with –enable-force-cgi-redirect
        fastcgi_param  REDIRECT_STATUS    200;

    [启动Nginx]

        # ulimit -SHn 51200
        # /usr/local/webserver/nginx/sbin/nginx

    [在不停止Nginx服务的情况下平滑变更Nginx配置]

        修改/usr/local/webserver/nginx/conf/nginx.conf配置文件后,请执行以下命令检查配置文件是否正确:
        # /usr/local/webserver/nginx/sbin/nginx -t
        如果测试ok successfully,则可以使用下面命令重启Nginx
        (第1种)# pkill nginx
        # /usr/local/webserver/nginx/conf/nginx.conf
        (第2种)# kill -HUP `cat /usr/local/webserver/nginx/nginx.pid`
        # /usr/local/webserver/nginx/conf/nginx.conf
        (第3种)# ps -ef | grep “nginx: master process” | grep -v “grep” | awk -F ‘ ‘ ‘{print $2}’
        # kill -HUP 数字
        ↑ 此数字来自于上一条命令执行后屏幕输出的数字,即Nginx的pid进程号
        # /usr/local/webserver/nginx/conf/nginx.conf

        如果屏幕显示以下两行信息,说明配置文件正确:
        the configuration file /usr/local/webserver/nginx/conf/nginx.conf syntax is ok
        the configuration file /usr/local/webserver/nginx/conf/nginx.conf was tested successfully

    [配置开机自动启动Nginx + PHP + MySQL]

        # vi /etc/rc.local
        在末尾增加以下内容:
        /bin/sh /usr/local/webserver/mysql/bin/mysqld_safe –defaults-file=/usr/local/webserver/mysql/my.cnf &
        ulimit -SHn 51200
        /usr/local/webserver/php/sbin/php-fpm start
        /usr/local/webserver/nginx/sbin/nginx

    [优化Linux内核参数]

        # vi /etc/sysctl.conf
        在文件末尾增加以下内容:

        net.ipv4.tcp_fin_timeout = 30
        net.ipv4.tcp_keepalive_time = 300
        net.ipv4.tcp_syncookies = 1
        net.ipv4.tcp_tw_reuse = 1
        net.ipv4.tcp_tw_recycle = 1
        net.ipv4.ip_local_port_range = 5000    65000

        # /sbin/sysctl -p
        ↑ 使配置立即生效

    [编写每天定时切割Nginx日志的脚本]

        # vi /usr/local/webserver/nginx/sbin/cut_nginx_log.sh
        ↑ 创建切割脚本

        输入以下内容:
        #!/bin/bash
        # This script run at 00:00

        # The Nginx logs path
        logs_path=”/logs/”

        mkdir -p ${logs_path}$(date -d “yesterday” +”%Y”)/$(date -d “yesterday” +”%m”)/
        mv ${logs_path}access.log ${logs_path}$(date -d “yesterday” +”%Y”)/$(date -d “yesterday” +”%m”)/access_$(date -d “yesterday” +”%Y%m%d”).log
        mv ${logs_path}nginx_error.log ${logs_path}$(date -d “yesterday” +”%Y”)/$(date -d “yesterday” +”%m”)/nginx_error_$(date -d “yesterday” +”%Y%m%d”).log
        kill -USR1 `cat /usr/local/webserver/nginx/nginx.pid`

    [设置切割日志的计划任务]

        # crontab -e
        ↑ 编辑计划任务列表

        输入以下内容:
        00 00 * * * /bin/bash  /usr/local/webserver/nginx/sbin/cut_nginx_log.sh
        ↑ 每天凌晨00:00切割nginx访问日志

– 服务器的安全设置及其他

主要内容:
[设置Ngnix可提供AVI、MP3等的下载]
[设置网站并发数限制]
[设置nginx程序限制的1M上传问题]
[优化PHP]
[优化mysql]
[mysql的安全设置]
[系统整体安全调整]

[设置Ngnix可提供AVI、MP3等的下载]

    # vi /usr/local/webserver/nginx/conf/mime.types
    ↑ 编辑mime.types文件
    将需要提供下载的格式前的文件类型修改为”application/octet-stream”
    # vi /usr/local/webserver/nginx/conf/mime.types.default
    ↑ 编辑mime.types.default文件
    将需要提供下载的格式前的文件类型修改为”application/octet-stream”

[设置网站并发数限制]
已在配置nginx.conf文件时加入并发数限制,具体参见官方维基百科(http://wiki.codemongers.com/NginxChsHttpLimit_zoneModule)”httplimit_zonemodule “部分

[设置nginx程序限制的1M上传问题]
已在配置nginx.conf文件时取消1M上传限制,具体参见nginx.conf文件内注释

[优化PHP]
具体参见(http://www.cnprint.org/bbs/blogs/1/blog312.html)”php 优化设置”部分
此处仅设置部分必要内容

    # vi /usr/local/webserver/php/etc/php.ini
    ↑ 编辑php.ini文件

    1.将”disable_functions =”
    修改为 “disable_functions = phpinfo,passthru,exec,system,popen,chroot,escapeshellcmd,escapeshellarg,shell_exec,proc_open,proc_get_status”
    ↑**这条建议在网站建成之后修改**该选项可以设置哪些PHP函数是禁止使用的,PHP中有一些函数的风险性还是相当大的,可以直接执行一些系统级脚本命令,如果允许这些函数执行,当PHP程序出现漏洞时,损失是非常严重的!
    需注意:如果您的服务器中含有一些系统状态检测的PHP程序,则不要禁用shell_exec,proc_open,proc_get_status等函数。

    2.将”upload_max_filesize = 2M”
    修改为 “upload_max_filesize = 50M”
    ↑该选项设定PHP所能允许最大上传文件大小,默认为2MB。根据实际应用需求,可以适当增大该设置。

[优化mysql]
具体参见(http://www.cnprint.org/bbs/blogs/1/blog312.html)”mysql 优化及安全设置”部分
此处仅设置部分必要内容

    # vi /usr/local/webserver/mysql/my.cnf ↑ 编辑my.cnf文件

    1.将”table_cache = 64″
    修改为 “table_cache = 512″
    ↑指定表高速缓存的大小。每当MySQL访问一个表时,如果在表缓冲区中还有空间,该表就被打开并放入其中,这样可以更快地访问表内容。通过检查峰值时间的状态值 Open_tables和Opened_tables,可以决定是否需要增加table_cache的值。如果您发现open_tables等于 table_cache,并且opened_tables在不断增长,那么您就需要增加table_cache的值了(上述状态值可以使用show status like ‘Open_tables’获得)。注意,不能盲目地把table_cache设置成很大的值。如果设置得太高,可能会造成文件描述符不足,从而造成性能不稳定或者连接失败。

    2.将”sort_buffer_size = 512k”
    修改为 “sort_buffer_size = 2M”
    ↑每个线程排序所需的缓冲

    3.将”read_buffer_size = 128k”
    修改为 “read_buffer_size = 2M”
    ↑当一个查询不断地扫描某一个表,MySQL会为它分配一段内存缓冲区。read_buffer_size变量控制这一缓冲区的大小。如果您认为连续扫描进行得太慢,可以通过增加该变量值以及内存缓冲区大小提高其性能。

    4.将”read_rnd_buffer_size = 512k”
    修改为 “read_rnd_buffer_size = 4M”
    ↑加速排序操作后的读数据,提高读分类行的速度。如果正对远远大于可用内存的表执行GROUP BY或ORDER BY操作,应增加read_rnd_buffer_size的值以加速排序操作后面的行读取。仍然不明白这个选项的用处…

    5.将”myisam_sort_buffer_size = 8M”
    修改为 “myisam_sort_buffer_size = 32M”
    ↑用于REPAIR TABLE。不明白这个选项的用处,百度上找到的设置方向也是五花八门,有128M、64M、32M等,折中选一个。

[mysql的安全设置]
具体参见(http://www.cnprint.org/bbs/blogs/1/blog312.html)”Mysql 的安全设置”部分
此处仅设置部分必要内容

    **iptables中设置**关闭远程连接,即3306端口。这是MySQL的默认监听端口。由于此处MySQL只服务于本地脚本,所以不需要远程连接。尽管MySQL内建的安全机制很严格,但监听一个TCP端口仍然是危险的行为,因为如果MySQL程序本身有问题,那么未授权的访问完全可以绕过 MySQL的内建安全机制。(您必须确定,您是否真的不需要远程连接mysql)

[系统整体安全调整]

    1、**最后设置**RHEL或Red Had Enterprise Linux 5.X 的用户要首先要打开SElinux,方法是修改/etc/selinux/config文件中的SELINUX=”” 为enforcing 。它可以保证您的系统不会非正常的崩溃。有些人认为应该关闭,我强烈不推荐,当然只是将RHEL用来玩玩,不是用于实际服务器则无所谓了。
    2、**最后设置**启用iptables 防火墙,对增加系统安全有许多好处。设置好防火墙的规则。
    iptables要求:
    * 屏蔽所有端口
    * 把SSH的缺省端口设置为56565
    * 把56565、80、3306端口打开
    * 把3306端口设置为只允许本机访问

    Iptables规则:
    # vi /usr/local/webserver/fw.sh
    将以下脚本命令粘贴到 fw.sh 文件中
    #!/bin/bash
    # Stop iptables service
    /sbin/service iptables stop
    # Inital chains default policy
    /sbin/iptables -F -t filter
    /sbin/iptables -P INPUT DROP
    /sbin/iptables -P OUTPUT ACCEPT
    # Enable Native Network Transfer
    /sbin/iptables -A INPUT -i lo -j ACCEPT
    # Accept Established Connections
    /sbin/iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
    # ICMP Control
    /sbin/iptables -A INPUT -p icmp -m limit –limit 1/s –limit-burst 10 -j ACCEPT
    # WWW Service
    /sbin/iptables -A INPUT -p tcp –dport 80 -j ACCEPT
    # SSH Service
    /sbin/iptables -A INPUT -p tcp –dport 56565 -j ACCEPT
    # Anti DDOS
    /sbin/iptables -I INPUT -p tcp –syn -m ttl –ttl-eq 117 -j DROP
    /sbin/iptables -I INPUT -p tcp –syn -m length –length :40 -j DROP
    # mysql 3306 Accept
    /sbin/iptables -A INPUT -p tcp -s 127.0.0.1 –dport 3306 -j ACCEPT
    /sbin/iptables -A OUTPUT -p tcp -s 127.0.0.1 –dport 3306 -j ACCEPT
    # Start iptables service
    /sbin/service iptables start

    保存后执行以下命令
    # chmod 755 /usr/local/webserver/fw.sh
    # echo ‘/usr/local/webserver/fw.sh’ >> /etc/rc.d/rc.local
    # /usr/local/webserver/fw.sh

    3、执行setup关闭那些不需要的服务,少开一个服务,就少一个危险,已在< 系统安装后的初始环境设置 >中设置
    4、禁止Control-Alt-Delete键盘关闭命令
    在”/etc/inittab”文件中注释掉下面这行(使用#):
    # vi /etc/inittab
    将”ca::ctrlaltdel:/sbin/shutdown -t3 -r now” 修改为: “#ca::ctrlaltdel:/sbin/shutdown -t3 -r now”
    为了使这项改动起作用,输入下面这个命令:
    # /sbin/init q
    5、给”/etc/rc.d/init.d”下script文件设置权限
    给执行或关闭启动时执行的程序的script文件设置权限。
    # chmod -R 700 /etc/rc.d/init.d/*
    这表示只有root才允许读、写、执行该目录下的script文件。
    6、使”/etc/services”文件免疫
    使”/etc/services”文件免疫,防止未经许可的删除或添加服务:
    #chattr +i /etc/services
    7.阻止您的系统响应任何从外部/内部来的ping请求。
    既然没有人能ping通您的机器并收到响应,您可以大大增强您的站点的安全性。您可以加下面的一行命令到/etc/rc.d/rc.local,以使每次启动后自动运行。
    # vi /etc/rc.d/rc.local
    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
    8、对您的系统上所有的用户设置资源限制可以防止DoS类型攻击(denial of service attacks)
    如最大进程数,内存数量等。例如,对所有用户的限制象下面这样:
    # vi /etc/security/limits.conf
    下面的代码示例中,所有用户每个会话都限制在 10 MB,并允许同时有四个登录。第三行禁用了每个人的内核转储。第四行除去了用户 bin 的所有限制。
    * hard rss 10000
    * hard maxlogins 4
    * hard core 0
    bin –
    激活这些限制
    # vi /etc/pam.d/login 底部添加一行: session required /lib/security/pam_limits.so。
    9、用chattr命令给下面的文件加上不可更改属性。
    # chattr +i /etc/passwd
    # chattr +i /etc/shadow
    # chattr +i /etc/group
    # chattr +i /etc/gshadow
    **mysql数据库密码变更后再设置**注意执行这个操作后,以root身份都不能向系统增加用户或者修改密码了。
    如果我们要增加用户或者修改密码的。应该先用chattr -i /etc/passwd等命令解除不可写设置,再进行操作。
    10、修改sshd的端口:
    修改防火墙配置,开启新的远程端口(56565)
    # vi /etc/sysconfig/iptables

    修改/etc/ssh/sshd_config:
    # vi /etc/ssh/sshd_config
    将里面的 Port 改为 56565,(具体的端口随意,不能和其他程序的端口冲突)。并注释掉前面的#号

    使sshd服务生效:
    # pkill sshd
    # service sshd start

    修改防火墙配置,关闭旧的远程端口(22)
    # vi /etc/sysconfig/iptables
    注意:修改了防火墙配置文件后不得再使用setup修改防火墙设置,否则现在的设置会失效
    11、 内核参数调整
    编辑sysctl.conf文件:
    # vi /etc/sysctl.conf
    修改如下:
    net.ipv4.conf.default.accept_source_route=0
    net.ipv4.icmp_echo_ignore_broadcasts=1
    net.ipv4.icmp_echo_ignore_all=1
    net.ipv4.icmp_ignore_bogus_error_responses=1
    net.ipv4.ip_conntrack_max=65535
    net.ipv4.tcp_syn_retries=1
    net.ipv4.tcp_synack_retries=1
    net.ipv4.route.gc_timeout=100
    net.ipv4.tcp_max_syn_backlog=32768
    net.ipv4.conf.default.rp_filter=0
    net.ipv4.tcp_max_syn_backlog = 8192
    net.ipv4.tcp_max_tw_buckets = 5000
    kernel.shmmax = 134217728
    查看状态:
    # sysctl -p
    12、经常检查系统日志。系统日志主要位于/var/log/目录下。防患于未然。

    – 数据自动备份

    主要内容:
    [安装NCFTP软件以支持自动上传数据库备份]
    [数据库每日备份]
    [数据库即时备份**按需操作**]
    [日志备份]

    [安装NCFTP软件以支持自动上传数据库备份]

        # cd /software
        # wget ftp://ftp.ncftp.com/ncftp/ncftp-3.2.2-src.tar.gz
        # tar zxvf ncftp-3.2.2-src.tar.gz
        # cd ncftp-3.2.2
        # ./configure –prefix=/usr/local/webserver/ncftp
        # make && make install

    [数据库每日备份]
    每天4:00,将数据库拷贝至/backup/day后进行压缩,然后上传至FTP服务器上,/backup/day/留有压缩文件一天。

        # vi /usr/local/webserver/backupd.sh

    ↑ 编辑脚本/usr/local/webserver/backupd.sh

    写入以下内容:

        #!/bin/bash
        rm -rf /backup/day/*
        cd /backup/day/
        cp -rf /usr/local/webserver/mysql/data/(此处为数据库名称)/ /backup/day/wp_db_$(date +%Y%m%d)
        sleep 10
        echo “ready to tar in 10s .”
        tar zcvf `hostname`_wpdata_of_$(date +%Y%m%d).tar.gz wp_db_$(date +%Y%m%d)
        sleep 10
        echo “ready to upload in 10s .”
        /usr/local/webserver/ncftp/bin/ncftpput -u backupd -p (FTP密码) (FTP服务器地址) / /backup/day/`hostname`_wpdata_of_$(date +%Y%m%d).tar.gz
        sleep 30
        echo “upload done .”
        rm -f `hostname`_wpdata_of_$(date +%Y%m%d).tar.gz
        sleep 5
        rm -rf wp_db_$(date +%Y%m%d)
        clear

    保存,并设置计划任务:

        # crontab -e

    增加一行:

        00 4 * * * /bin/bash /usr/local/webserver/backupd.sh

    ↑ 每天凌晨4点将自动备份数据库并上传。

    [数据库即时备份**按需操作**]
    每隔6小时,将数据库拷贝至/backup/hour目录进行备份,然后将压缩文件上传至FTP服务器上,/backup/hour/留有压缩文件一天。

        # vi /usr/local/webserver/backuph.sh

    ↑ 编辑脚本/usr/local/webserver/backuph.sh

    写入以下内容::

        #!/bin/bash
        rm -rf /backup/hour/*
        cd /backup/hour/
        cp -rf /usr/local/webserver/mysql/data/(数据库名称)/ /backup/hour/wp_db_$(date +%Y%m%d%H)
        sleep 10
        echo “ready to tar in 10s .”
        tar zcvf `hostname`_wpdata_of_$(date +%Y%m%d%H).tar.gz wp_db_$(date +%Y%m%d%H)
        sleep 10
        echo “ready to upload in 10s .”
        /usr/local/webserver/ncftp/bin/ncftpput -u backuph -p (FTP密码) (FTP服务器地址) / /backup/hour/`hostname`_wpdata_of_$(date +%Y%m%d%H).tar.gz
        sleep 30
        echo “upload done .”
        rm -f `hostname`_wpdata_of_$(date +%Y%m%d%H).tar.gz
        sleep 5
        rm -rf wp_db_$(date +%Y%m%d%H)
        clear

    保存,并设置计划任务:

        # crontab -e

    增加一行:

        0 */6 * * * /bin/bash /usr/local/webserver/backuph.sh

    ↑ 每6小时将自动备份数据库并上传一次。

    [日志备份]
    每天02:00,将/logs/下前一天的日志,进行压缩,然后上传至FTP服务器。

        # vi /usr/local/webserver/logs.sh

    ↑ 编辑脚本/usr/local/webserver/logs.sh

    写入以下内容::

        #!/bin/bash
        cd /logs/
        mkdir logs_of_$(date -d “yesterday” +”%Y%m%d”)
        cp $(date -d “yesterday” +”%Y”)/$(date -d “yesterday” +”%m”)/access_$(date -d “yesterday” +”%Y%m%d”).log /logs/logs_of_$(date -d “yesterday” +”%Y%m%d”)
        cp $(date -d “yesterday” +”%Y”)/$(date -d “yesterday” +”%m”)/nginx_error_$(date -d “yesterday” +”%Y%m%d”).log /logs/logs_of_$(date -d “yesterday” +”%Y%m%d”)
        sleep 10
        echo “ready to tar in 10s .”
        tar zcvf `hostname`_logs_of_$(date -d “yesterday” +”%Y%m%d”).tar.gz logs_of_$(date -d “yesterday” +”%Y%m%d”)
        sleep 10
        echo “ready to upload in 10s .”
        /usr/local/webserver/ncftp/bin/ncftpput -u logs -p (FTP密码) (FTP服务器地址) / /logs/`hostname`_logs_of_$(date -d “yesterday” +”%Y%m%d”).tar.gz
        sleep 30
        echo “upload done .”
        rm -f `hostname`_logs_of_$(date -d “yesterday” +”%Y%m%d”).tar.gz
        sleep 5
        rm -rf logs_of_$(date -d “yesterday” +”%Y%m%d”)
        clear

    保存,并设置计划任务::

        # crontab -e

    增加一行:

        00 2 * * * /bin/bash /usr/local/webserver/logs.sh

    ↑ 每天凌晨2点将自动备份日志并上传。

2 thoughts on “CentOS+Nginx+PHP+Mysql+安全指南全环境搭建笔记

  1. Your means of explaining everything in this post is actually nice, every one be able to simply
    know it, Thanks a lot.

Comments are closed.