<b>CentOS下xampp AMP 安装配置</b>[服务器安全]

 1、安装 这里我挑选的是CentOS,当然,版本你可以自己挑选,官网地址 http://www.centos.org 当然,有一点要值得注意,就是32位和64位的挑选.假如机械符合64位,那就没必要用32位的 安装这里就没什么好讲的了,尽大概最小化安装,留个开辟工具便可以了! 至

1、安装

这里我挑选的是CentOS,当然,版本你可以自己挑选,官网地址  http://www.centos.org

当然,有一点要值得注意,就是32位和64位的挑选.假如机械符合64位,那就没必要用32位的

安装这里就没什么好讲的了,尽大概最小化安装,留个“开辟工具”便可以了!

至于分区,谷歌一下,很多!但我们在第一次接触时,尽大概挑选默许分区.先顺利的达成利用,今后再渐渐研究尚可.这能增添你的信心和学习效率!


2、AMP的安装和配置、优化

也就是  apache、mysql、php

我的学习历程是,用一个集成的安装包,而不是一上来就挨个的那样配置,会对信心大打折扣,并且引出的问题会很多!

这里,我举荐的是:LAMPP    官方地址:http://www.apachefriends.org/zh_cn/xampp-linux.html

下载源码包,然后解压举行安装、启动

wget http://nchc.dl.sourceforge.net/s ... linux-1.6.8a.tar.gz

tar xvfz xampp-linux-1.6.8a.tar.gz -C /opt

/opt/lampp/lampp start

此时,lampp组件就成功启动了,但它并非每次随系统启动

ln -s /opt/lampp/lampp /etc/rc.d/rc3.d/S99lampp
ln -s /opt/lampp/lampp /etc/rc.d/rc4.d/S99lampp
ln -s /opt/lampp/lampp /etc/rc.d/rc5.d/S99lampp

这样,就OK了!

然后我们来重启服务器,看下成功与否

shutdown -r now

——————————————————————————————————————————

但这个时刻是对比危险的,假如你的服务器已经在公网的话,那么你需求即刻履行下面的号令,按照提醒,设定密码.具体的可参照上面给出的lampp官方阐明

/opt/lampp/lampp security


——————————————————————————————————————————

开启 eAccelerator

vi /opt/lampp/etc/php.ini

查找 eaccelerator 将前面的 # 去掉,重启apache便可

别的,参数可以默许便可,当然,你也可以改一下,比方我把 eaccelerator.shm_size  改正成  32
意思是eaccelerator缓存可用的同享内存数目为32M

——————————————————————————————————————————

这个时刻,实质上,你的LAMP已经是基本可以利用了!但有一点你要知道,这个组件默许是没有zend的,你可以再别的安装配置

ZendOptimizer3.3.9之前的版本在Linux系统下的安装一向以来都有install.sh安装脚本,安装完今后,除了关闭 SELinux之外,没有别的的办理办法,我在Fedora的版本上从Fedora 6到Fedora 10,CentOS 5.1到CentOS5.3测试过量个版本,我自己历来没有成功过,仿佛历来都是关闭了SELinux才能用.

wget http://downloads.zend.com/optimizer/3.3.9/ZendOptimizer-3.3.9-linux-glibc23-i386.tar.gz
下一步就是解压了

tar zxvf ZendOptimizer-3.3.9-linux-glibc23-i386.tar.gz  

解压之后就是拷贝文件到呼应的途径

mv ZendOptimizer-3.3.9-linux-glibc23-i386 /usr/local/Zend
cp /usr/local/Zend/data/5_1_x_comp/ZendOptimizer.so /usr/local/Zend

再加入到php.ini文件中

vi /etc/php.ini
把下列行加入php.ini的最后就行了
zend_optimizer.optimization_level=1
zend_extension="/usr/local/Zend/ZendOptimizer.so"

回过头来改正FACL值,设置这么多,这里是最关键的了

chcon -u system_u /usr/local/Zend/
chcon -t httpd_sys_content_t /usr/local/Zend/

chcon -u system_u /usr/local/Zend/ZendOptimizer.so
chcon -t texrel_shlib_t /usr/local/Zend/ZendOptimizer.so

再重启httpd来看看,OK了吧...

/etc/init.d/httpd restart
Stopping httpd:                                            [  OK  ]
Starting httpd:                                            [  OK  ]

——————————————————————————————————————————


时间差问题

在php.ini增添    (eaccelerator下边)

;;;;;;;;;;;;;;;;;;;
; Module Settings ;
;;;;;;;;;;;;;;;;;;;

[Date]
; Defines the default timezone used by the date functions
;date.timezone =
date.timezone = Etc/GMT-8

——————————————————————————————————————————


改正mysql最大衔接数

my.cnf

在 [mysqld] 下面加入一行

max_connections = 1500

——————————————————————————————————————————


伪静态

翻开apache的配置文件(httpd.conf)

找到
#LoadModule rewrite_module modules/mod_rewrite.so
把前面的#去掉
然后找到AllowOverride None
将其全部改成AllowOverride All
便可支持伪静态功效

在bbs等站点根目录下安排呼应htaccess法则便可.


——————————————————————————————————————————

#Include conf/extra/httpd-mpm.conf

#Include conf/extra/httpd-default.conf    值默许

#Include conf/extra/httpd-info.conf

#Include conf/extra/httpd-vhosts.conf           这个就是apache虚拟主机的配置文件了

去掉前边的#  按照相关原则举行公道配置!

影响最大的是 httpd-mpm.conf

<IfModule prefork.c>
ServerLimit 2000
StartServers 10
MinSpareServers 10
MaxSpareServers 15
MaxClients 1500
MaxRequestsPerChild 10000
</IfModule>

这是我的配置




虚拟主机配置


#Include conf/extra/httpd-vhosts.conf           这个就是apache虚拟主机的配置文件了


<VirtualHost *:80>
    ServerAdmin www@iamhe.cn
    DocumentRoot /opt/lampp/htdocs/wwwroot/bbs              (网站目录)
    ServerName bbs.123.com                                               (域名)
    ServerAlias bbs2.123.com                                                   (别名)
    ErrorLog logs/bbs.123.com-error_log
    CustomLog logs/bbs.123.com-access_log common
</VirtualHost>

目前,bbs.123.com和bbs2.123.com 便可同时拜候这个目录,那么假如你不想让 bbs2 拜候,那么去掉  ServerAlias bbs2.123.com   这行便可以了



——————————————————————————————————————————



3、安全方面的问题


这个一看就知道什么意思吧?

改正  Options Indexes FollowSymLinks ExecCGI Includes

为    Options FollowSymLinks Includes




躲藏apache版本相关信息 (错误页面)

增添到httpd.conf文件末尾便可:

ServerSignature Off
ServerTokens Prod 




晋升PHP安全性

php.ini

找到:

disable_functions =

设置为:

disable_functions = phpinfo,passthru,exec,system,popen,chroot,escapeshellcmd,escapeshellarg,shell_exec,proc_open,proc_get_status,ini_restore

disable_functions = phpinfo,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server


这里我给出了两组,按照你自己需求写吧



——————————————————————————————————————————

关闭 ipv6 以最大限度保证安全和快速

ifconfig -a　  列出全部网络接口信息

sit0 Link encap:IPv6-in-IPv4　  ← 确认ipv6是被启动的状况


vi /etc/modprobe.conf　← 改正呼应配置文件,增添以下行到文尾:

alias net-pf-10 off
alias ipv6 off

shutdown -r now 　← 重新启动系统,使设置见效


——————————————————————————————————————————

假如你安装了X,那么想让linux默许不启动X,而是启动字符文本....

etc/inittab 文档中,将 id:5改成3便可

(在/etc/inittab改正运行等级为5是系统开机进入X windows,运行等级为3是系统开机进入文本.)

# Default runlevel. (Do not set to 0 or 6)
id:3:initdefault:



字符终端情势下启动x-windows:

startx


——————————————————————————————————————————


ARP绑定:

为了开机启动

vi /etc/rc.d/rc.local  增添

arp -s 网关IP 网关MAC
arp -s 服务器IP 服务器MAC


——————————————————————————————————————————


SYN、DDOS的办理办法  （没有硬防的情形下）

这个只能抵挡,不能本质上防备


iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT 
iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT 
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT 
echo 2048 > /proc/sys/net/ipv4/tcp_max_syn_backlog
echo 1 > /proc/sys/net/ipv4/tcp_synack_retries
echo 1 > /proc/sys/net/ipv4/tcp_syn_retries
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

原帖为:http://linux.chinaunix.net/bbs/thread-1045310-1-2.html       （2楼、5楼）





假如你有幸能解析出攻击者的真实肉机IP地址

那么你可以一样通过linux防火墙来封掉他的IP地址或IP段,比方

单个IP的号令是 
iptables -I INPUT -s 127.0.0.1 -j DROP 

封IP段的号令是 
iptables -I INPUT -s 127.1.0.0/16 -j DROP 
iptables -I INPUT -s 127.2.0.0/16 -j DROP 
iptables -I INPUT -s 127.3.0.0/16 -j DROP 

封整个段的号令是 
iptables -I INPUT -s 127.0.0.0/8 -j DROP 

封几个段的号令是 
iptables -I INPUT -s 127.0.1.0/24 -j DROP 
iptables -I INPUT -s 127.0.2.0/24 -j DROP

4、常用号令及利用办法


大家在利用终端的时刻大概会呈现乱码字符,那么

vi etc/sysconfig/i18n

LANG="zh_CN.GB18030"




VI号令

常常看到有人问在linux有没有近似win那样的图形化远程管理界面
我不知道有没有,但我必定一点的是,既然你要用linux,那么,你应当尽大概用终端字符的方法举行管理你的服务器
那么,VI的号令,就是必必要掌握的!其实这个非常简单

比方我们目前去编译防火墙配置文件,那么号令就是

vi /etc/sysconfig/iptables

举行之后,你无论点什么,都是铛铛铛的声音是吧,不要急,这个时刻,你可以按一下你键盘的“i”或"a",就举行了编辑输入状况,这个时刻你在试试?

当你编辑完之后想退出时,那么就按一下键盘的“ESC”

然后按:   (也就是冒号),紧接着输入 wq 或 q    再按回车就OK了

(wq是保存并退出,q是直接退出)


至于vi号令的具体利用办法可以谷歌一下,





实用的号令:


top                                  查看CPU、内存资源占用情形

wget 网址                下载资源

tar zxvf 紧缩包名称        解压

cd 文件夹                  进入某目录

/opt/lampp/lampp backup      备份

sh backupfilename                恢复

getconf LONG_BIT      查看系统是32还64位

uname -a                   查看系统内核版本号

uname -r

curl --head www.sohu.com                   查看sohu.com的服务器环境

shutdown -r now 　       重新启动系统,使设置见效

shutdown -h now              关机

reboot                     重启

netstat -an                        查看当前衔接

cat /proc/cpuinfo                查看CPU信息

cat /proc/meminfo             查看内存信息




——————————————————————————————————————————

对LAMPP套件的增补


在初步安装完后,你在浏览器里输入  localhost  便可呈现lampp的界面,里面包含你开放的组件,安全情况,phpinfo、以及流量监测,都在里面

这个界面的地址是 htdocs的 index.html

那么你在没配置虚拟主机时,任何人通过IP或你绑定的域名,都可以拜候得到

我的倡议是,在 htdocs 下,新建一个 robots.txt 文件来屏蔽全部的搜索引擎.
然后再另建一个 wwwroot 目录来存放你的网站

套件的官方地址是:http://www.apachefriends.org/zh_cn/xampp-linux.html

这个套件有win、linux、macos 等版本,其实它是合适做开辟环境的,并不合适生产环境

但假如你做一下安全配置,比方把不需求的都关掉,也是可以投入生产环境的 　　以上是“<b>CentOS下xampp AMP 安装配置</b>[服务器安全]”的内容，如果你对以上该文章内容感兴趣，你可以看看七道奇为您推荐以下文章：