<![CDATA[SouEasy]]> http://blog.soueasy.net/index.php zh-cn http://blog.soueasy.net/post// <![CDATA[apache2+php+mysql+mod_secu+mod_evasive+mod_gzip+snmp+rrdtool+cacti ]]> freebird <eyouy@126.com> Wed, 22 Feb 2006 07:05:43 +0000 http://blog.soueasy.net/post// apache2
http://www.apache.org/dist...
mysql4:
http://mysql.oss.eznetsols...
php4:
http://cn.php.net/distribu...

mod_security
http://www.modsecurity.org...



mod_evasive



http://www.nuclearelephant...



mod_gzip



http://w.yi.org/ftp/incomi...




rrdtool



http://people.ee.ethz.ch/~...



cacti



http://www.cacti.net/downl...







step 1:[基本环境:apache+mysql+php]安装








1、mysql 安装: [注意:cacti-0.8.6.g版本不支持MYSQL5]
# tar zxvf mysql-4.1.15.tar.gz
# cd mysql-4.1.15
# groupadd mysql          



# useradd -g mysql mysql  
# ./configure --prefix=/usr/local/mysql



# make
# make install
# cp support-files/my-medium.cnf /etc/my.cnf
# cd /usr/local/mysql
# bin/mysql_install_db --user=mysql
# chown -R root .
# chown -R mysql var
# chgrp -R mysql .
# bin/mysqld_safe --user=mysql &

2、apache 2 安装:

# tar jxvf httpd-2.0.55.tar.bz2
# cd httpd-2.055
# vi config.sh 写入内容如下:



代码:




#!/bin/bash



HTTPD_ROOT="/usr/local/apache2"







./configure --prefix=$HTTPD_ROOT  



--enable-so  



--enable-rewrite  



--enable-info  



--enable-cgid  



--enable-mime-magic  



--enable-vhost-alias  



--enable-deflate  



--enable-expires  



--with-mpm=prefork





# sh config.sh
上面过程等同于直接
./configure --prefix=/usr/local/apache2  



--enable-so  



--enable-rewrite  



--enable-info  



--enable-cgid  



--enable-mime-magic  



--enable-vhost-alias  



--enable-deflate  



--enable-expires
写一个config.sh方便今后查看和升级再编译。
# make
# make install

3、安装php4
# tar jxvf php-4.4.1.tar.bz2
# cd php-4.4.1
# vi config.sh 写入内容:



代码:




#!/bin/bash



PHP_ROOT=/usr/local/php/



./configure --prefix=$PHP_ROOT  



           --with-apxs2=/usr/local/apache2/bin/apxs  



           --with-mysql=/usr/local/mysql  



           --enable-mbstring  



           --with-curl  



           --enable-debug  



           --enable-inline-optimization -q  



           --with-jpeg-dir=/usr/local/  



           --with-png-dir  



           --enable-thread-safety  



           --enable-ctype  



           --with-bz2  



           --with-zlib  



           --with-gd  



           --with-kerberos  



           --with-gettext  



           --enable-force-cgi-redirect  



           --with-iconv  



           --enable-gd-native-ttf  



           --enable-sockets  



           --with-snmp  



           --enable-ucd-snmp-hack




#sh config.sh
# make
# make install
#cp php.ini-dist /usr/local/php/lib/php.ini




4、安装modsecurity(mod_security 可以加强apache的安全性特别是在防sql 注入上。)
# tar zxvf modsecurity-apache-1.9.tar.gz
# cd modsecurity-apache-1.9/apache2/
# /apache2/bin/apxs -cia mod_security.c





5、安装mod_evasive 防DDOS攻击
# tar zxvf  mod_evasive_1.10.1.tar.gz
# cd  mod_evasive_1.10.1
#/apache/bin/apxs -i -a -c mod_evasive20.c
# /usr/local/apache/bin/apxs -i -a -c mod_evasive20.c



6、安装mod_gzip 对静态WEB页面进行压缩



#tar zxvf mod_gzip-2.1.0.tar.gz



# cd mod_gzip-2.1.0



#/usr/local/apache2/bin/apxs -cia mod_gzip.c

step 2:基本环境配置


配置:




1、配置apache







A.增加一个解析php 文件配置
AddType application/x-httpd-php .php
B.在DirectoryIndex 后增加一个 index.php
C.增加deflate 配置信息



代码:





# Insert filter
SetOutputFilter DEFLATE
 
# Netscape 4.x has some problems...
BrowserMatch ^Mozilla/4 gzip-only-text/html
 
# Netscape 4.06-4.08 have some more problems
BrowserMatch ^Mozilla/4.0[678] no-gzip
 
# MSIE masquerades as Netscape, but it is fine
# BrowserMatch bMSIE !no-gzip !gzip-only-text/html
 
# NOTE: Due to a bug in mod_setenvif up to Apache 2.0.48
# the above regex won't work. You can use the following
# workaround to get the desired effect:
BrowserMatch bMSI[E] !no-gzip !gzip-only-text/html
 
# Don't compress images
SetEnvIfNoCase Request_URI .(?:gif|jpe?g|png|ico)$ no-gzip dont-vary
 
# Make sure proxies don't deliver the wrong content
#Header append Vary User-Agent env=!dont-vary

 
DeflateFilterNote ratio
LogFormat '"%v %h %l %u %t "%r" %>s %b "%{Referer}i" "%{User-Agent}i"" (%{ratio}n)' deflate
 
CustomLog logs/deflate_log deflate








D.检查一下配置文件中是否有一下模块, 如没有则加上去



LoadModule evasive20_module   modules/mod_evasive20.so



LoadModule gzip_module        modules/mod_gzip.so



LoadModule security_module        modules/mod_security.so




E.添加一段mod_security的配置文件



代码:





SecFilterEngine On
SecFilterCheckURLEncoding On
SecFilterDefaultAction "deny,log,status:500"
#SecFilterForceByteRange 32 126
#SecFilterScanPOST On
SecAuditLog logs/audit_log
###
SecFilter "../"
#####
SecFilter /etc/*passwd
SecFilter /bin/*sh

#for css attack
SecFilter "<( | )*script"
SecFilter "<(.| )+>"
#for sql attack
SecFilter "delete[ ]+from"
SecFilter "insert[ ]+into"
SecFilter "select.+from"
SecFilter "union[ ]+from"
SecFilter "drop[ ]"



F.添加一段mod_evasive20的配置文件



代码:





   DOSHashTableSize    3097
   DOSPageCount        2
   DOSSiteCount        50
   DOSPageInterval     1
   DOSSiteInterval     1
   DOSBlockingPeriod   10


G. 添加一段mod_gzip.c的配置文件



代码:




mod_gzip_on Yes



mod_gzip_minimum_file_size 1002



mod_gzip_maximum_file_size 0



mod_gzip_maximum_inmem_size 60000



mod_gzip_item_include mime "application/x-httpd-php"



mod_gzip_item_include mime "text/*"



# 压缩 Zope 的内容:



mod_gzip_item_include file "[^.]*$"



mod_gzip_item_include mime "httpd/unix-directory"



mod_gzip_dechunk Yes



mod_gzip_temp_dir "/tmp"



mod_gzip_keep_workfiles No



mod_gzip_item_include file ".php$"



mod_gzip_item_include file ".txt$"



mod_gzip_item_include file ".html$"



mod_gzip_item_exclude file ".css$"



mod_gzip_item_exclude file ".js$"


H.加个VirtualHost



NameVirtualHost *:80







   ServerName www.irunnet.com



   DocumentRoot /usr/local/apps/www/cacti



   ErrorLog /dev/null



   CustomLog /dev/null common






2、测试PHP

在/usr/local/apps/www/cacti 创建文件phpinfo.php 内容为:



代码:



echo phpinfo();
?>


在浏览器中打开 http://www.irunnet.com/******/phpinfo.php 如果你能看到 phpinfo 界面那么ok。
这里对PHP.ini配置文件根据开发需求简单改改



memory_limit = 50M



display_errors = Off



log_errors = Off



log_errors_max_len = 10240



error_log = /usr/local/apps/www/log



post_max_size = 30M



upload_max_filesize = 50M


3.mysql配置 [这个步骤请有经验的人操作,主要在安全方面设置,仅供参考!]

chown root:sys /etc/my.cnf
chmod 644 /etc/my.cnf

使用用户mysql来启动我们的mysql:
# /usr/local/mysql/bin/mysqld_safe -user=mysql &

(1) 修改root用户的的口令
缺省安装的mysql是没有密码的,所以我们要修改,以防万一。下面采用三种方式来修改root的口令。

*  用mysqladmin命令来改root用户口令
# mysqladmin -uroot password test
这样,MySQL数据库root用户的口令就被改成test了。(test只是举例,我们实际使用的口令一定不能使用这种易猜的弱口令)

*  用set password修改口令:
mysql> set password for root@localhost=password('test');
这时root用户的口令就被改成test了。

*  直接修改user表的root用户口令    
mysql> use mysql;
mysql> update user set password=password('test') where user='root';
mysql> flush privileges;

这样,MySQL数据库root用户的口令也被改成test了。其中最后一句命令flush privileges的意思是强制刷新内存授权表,否则用的还是缓冲中的口令,这时非法用户还可以用root用户及空口令登陆,直到重启MySQL服务器。

(2) 删除默认的数据库和用户
我们的数据库是在本地,并且也只需要本地的php脚本对mysql进行读取,所以很多用户不需要。mysql初始化后会自动生成空用户和test库,这会对数据库构成威胁,我们全部删除。
我们使用mysql客户端程序连接到本地的mysql服务器后出现如下提示:
mysql> drop database test;
mysql> use mysql;
mysql> delete from db;
mysql> delete from user where not(host="localhost" and user="root");
mysql> flush privileges;

(3) 改变默认mysql管理员的名称
这个工作是可以选择的,根据个人习惯,因为默认的mysql的管理员名称是root,所以如果能够修改的话,能够防止一些脚本小子对系统的穷举。我们可以直接修改数据库,把root用户改为"admin"
mysql> use mysql;
mysql> update user set user="admin" where user="root";
mysql> flush privileges;

(4) 提高本地安全性
提高本地安全性,主要是防止mysql对本地文件的存取,比如黑客通过mysql把/etc/passwd获取了,会对系统构成威胁。mysql对本地文件的存取是通过SQL语句来实现,主要是通过Load DATA LOCAL INFILE来实现,我们能够通过禁用该功能来防止黑客通过SQL注射等获取系统核心文件。
禁用该功能必须在 my.cnf 的[mysqld]部分加上一个参数:
set-variable=local-infile=0

(5) 禁止远程连接mysql 【根据开发需求】
因为我们的mysql只需要本地的php脚本进行连接,所以我们无需开socket进行监听,那么我们完全可以关闭监听的功能。
有两个方法实现:
* 配置my.cnf文件,在[mysqld]部分添加 skip-networking 参数
* mysqld服务器中参数中添加 --skip-networking 启动参数来使mysql不监听任何TCP/IP连接,增加安全性。如果要进行mysql的管理的话,可以在服务器本地安装一个phpMyadmin来进行管理。

(6) 控制数据库访问权限【根据开发需求】
对于使用php脚本来进行交互,最好建立一个用户只针对某个库有 update、select、delete、insert、drop table、create table等权限,这样就很好避免了数据库用户名和密码被黑客查看后最小损失。
比如下面我们创建一个数据库为db1,同时建立一个用户test1能够访问该数据库。
mysql> create database db1;
mysql> grant select,insert,update,delete,create,drop privileges on db1.* to test1@localhost identified by 'admindb';
以上SQL是创建一个数据库db1,同时增加了一个test1用户,口令是admindb,但是它只能从本地连接mysql,对db1库有select,insert,update,delete,create,drop操作权限。

(7) 限制一般用户浏览其他用户数据库
如果有多个数据库,每个数据库有一个用户,那么必须限制用户浏览其他数据库内容,可以在启动MySQL服务器时加--skip-show-database 启动参数就能够达到目的。

( 忘记mysql密码的解决办法
如果不慎忘记了MySQL的root密码,我们可以在启动MySQL服务器时加上参数--skip-grant-tables来跳过授权表的验证 (./safe_mysqld --skip-grant-tables &),这样我们就可以直接登陆MySQL服务器,然后再修改root用户的口令,重启MySQL就可以用新口令登陆了。

(9) 数据库文件的安全
我们默认的mysql是安装在/usr/local/mysql目录下的,那么对应的数据库文件就是在/usr/local/mysql/var目录下,那么我们要保证该目录不能让未经授权的用户访问后把数据库打包拷贝走了,所以要限制对该目录的访问。
我们修改该目录的所属用户和组是mysql,同时改变访问权限:
# chown -R mysql.mysql /usr/local/mysql/var
# chmod -R go-rwx /usr/local/mysql/var

(10) 删除历史记录
执行以上的命令会被shell记录在历史文件里,比如bash会写入用户目录的.bash_history文件,如果这些文件不慎被读,那么数据库的密码就会泄漏。用户登陆数据库后执行的SQL命令也会被MySQL记录在用户目录的.mysql_history文件里。如果数据库用户用SQL语句修改了数据库密码,也会因.mysql_history文件而泄漏。所以我们在shell登陆及备份的时候不要在-p后直接加密码,而是在提示后再输入数据库密码。
另外这两个文件我们也应该不让它记录我们的操作,以防万一。
# rm .bash_history .mysql_history
# ln -s /dev/null .bash_history
# ln -s /dev/null .mysql_history

(11) 其他
另外还可以考虑使用chroot等方式来控制mysql的运行目录,更好的控制权限,具体可以参考相关文章。



my.cnf的调试参数
--------------------------------------------------------------------------------

--join_buffer_size=1044480(1m)
The size of the buffer that is used for full joins.

--key_buffer_size=256M
The size of the buffer used for index blocks. Increase
this to get better index handling (for all reads and
multiple writes) to as much as you can afford; 64M on a
256M machine that mainly runs MySQL is quite common.

--max_write_lock_count=#
After this many write locks, allow some read locks to run
in between.

--myisam_sort_buffer_size=64M
The buffer that is allocated when sorting the index when
doing a REPAIR or when creating indexes with CREATE INDEX
or ALTER TABLE.

--read_buffer_size=1M
Each thread that does a sequential scan allocates a
buffer of this size for each table it scans. If you do
many sequential scans, you may want to increase this
value.

--sort_buffer_size=64M
Each thread that needs to do a sort allocates a buffer of
this size.

--table_cache=1024 The number of open tables for all threads.

--tmp_table_size=33M
if an in-memory temporary table exceeds this size, MySQL
will automatically convert it to an on-disk MyISAM table.

--max_tmp_tables=# Maximum number of temporary tables a client can keep open
at a time.


--max_write_lock_count=#
After this many write locks, allow some read locks to run
in between.



--thread_concurrency=#
Permits the application to give the threads system a hint
for the desired number of threads that should be run at
the same time.

--thread_cache_size=#
How many threads we should keep in a cache for reuse
Tags - ]]> http://blog.soueasy.net/post//#blogcomment <![CDATA[[评论] apache2+php+mysql+mod_secu+mod_evasive+mod_gzip+snmp+rrdtool+cacti ]]> <user@domain.com> Thu, 01 Jan 1970 00:00:00 +0000 http://blog.soueasy.net/post//#blogcomment