技术标签: nginx web web服务器 php mysql centos
参考链接:
https://blog.csdn.net/wangliqiang1014/article/details/82906234
http://mirrors.aliyun.com/centos/7/isos/x86_64/
阿里云镜像网站上下载centos 7的iso镜像。
https://mp.weixin.qq.com/s/1h8B20bu1y-xCpVbSdoabw
在vmware中使用该教程安装centos 7,此过程不赘述。
直接使用命令行进行安装:
yum install nginx
或者下载nginx的安装包进行安装
存在没有安全软件包的问题,此时可以选择下载软件包进行安装
tar xzvf nginx.tar.gz
./configure –prefix=xxxx
make & make install
此次安装使用EPEL包的仓库源:
yum -y install epel-release
查看nginx版本信息,检查是否安装成功:
nginx -v
nginx默认目录:
网站目录:/usr/share/nginx/html
全局的配置文件为:/etc/nginx/nginx.conf
默认的配置文件为: /etc/nginx/conf.d/default.conf
日志文件目录为:/var/log/nginx/
添加仓库,提供php 7系列包,使用webtatic
rpm -Uvh https://mirror.webtatic.com/yum/el7/webtatic-release.rpm
然后安装php7-fpm及其扩展,网速比较慢,安装比较久。
yum -y install php71w-fpm php71w-cli php71w-gd php71w-mcrypt php71w-mysql php71w-pdo php71w-xml php71w-pear php71w-mbstring php71w-json php71w-pecl-apcu php71w-pecl-apcu-devel
配置php7-fpm:
user和group都改为nginx
vim /etc/php-fpm.d/www.conf
server{}中添加代码:nginx与php通信方式是fastcgi,php-fpm提供了对fastcgi进程管理的工具
#pass the php scripts to fastcgi server listening on 127.0.0.1:9000
location ~ \.php$ {
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
重启nginx并开机自启php-fpm:
service nginx restart
systemctl start php-fpm
systemctl enable php-fpm
测试是否安装成功:
#下载源安装包
wget http://repo.mysql.com/mysql-community-release-el7-5.noarch.rpm
rpm -ivh mysql-community-release-el7-5.noarch.rpm
yum install mysql-server
修改密码:
Service mysqld start
chown -R root:root /var/lib/mysql
mysql -u root
use mysql;
update user set password=password("root") where user='root';
flush privileges;
再次进入:
mysql -u root -p
输入密码:root
安装过程完毕!
目录下/usr/share/nginx/html测试php连接mysql:
<?php
$link=mysqli_connect('localhost','root','root');
if(!$link) echo "fail";
else echo "success";
mysqli_close($link);
?>
成功输出success !
启动命令行:
service start nginx
service start mysql
mysql -u root -p
service start php-fpm
yum install httpd -y ##apache软件
yum install httpd-manual ##apache的手册
systemctl start httpd
systemctl enable httpd
firewall-cmd --list-all ##列出火墙信息
firewall-cmd --permanent --add-service=http ##永久允许http
firewall-cmd --reload ##火墙从新加载策略
/var/www/html ##apache的/目录,默认发布目录
/var/www/html/index.html ##apache的默认发布文件
vim /var/www/html/index.html ##写默认发布文件内容
<h1> hello world </h1>
主配置文件,进行端口修改,先修改为已有端口,因为nginx默认使用80端口,为避免争用 。例如:8080
vim /etc/httpd/conf/httpd.conf
Listen 8080 ##修改默认端口为8080(第42行)
firewall-cmd --permanent --add-port=8080/tcp ##需要火墙允许端口,否则无法访问
firewall-cmd --reload
systemctl restart httpd
安装apache服务器之后,mysql显示启动有问题。
[ERROR 2002 (HY000): Can't connect to local MySQL server through socket '/var/lib/mysql/mysql.sock' (111)]
查找很多解决方案都没有成功。参考链接:
https://blog.csdn.net/Homewm/article/details/81628116
最后彻底删除mysql,重装才成功。彻底删除命令如下:
yum remove mysql mysql-server mysql-libs mysql-server
find / -name mysql #将找到的相关东西delete掉
rpm -qa|grep mysql #查询出来的东东yum remove掉)
whereis mysql
#清空相关mysql的所有目录以及文件
rm -rf /usr/lib/mysql
rm -rf /usr/share/mysql
参考链接:
https://cloud.tencent.com/developer/article/1182380
https://support.huawei.com/enterprise/zh/doc/EDOC1100041554/c65a8145
其中第二个链接十分详细,可仔细阅读并实践。里面还有Mysql的加固。
1)用于运行nginx的用户必须是一个没有系统特权(非root)的用户。
在nginx主配置文件nginx.conf使用命令user来指定nginx执行用户。
user nginx;
2)定制nginx出错信息
默认我们访问不存在的页面时,报错页面上会有nginx的版本信息,这会向黑客提供信息,以方便查找当前版本的漏洞,加以利用。
在服务器上尝试访问不存在的页面,没有显示服务器版本信息。
若没有定制出错信息,则需要在http服务器中配置指令
server_tokens off;
3)禁止浏览目录
如果访问nginx下的一个web应用,如果输入是一个目录名,而且该目录下没有一个默认访问文件,那么nginx会将该目录下的所有文件列出来,这种敏感信息泄露是严格禁止的。
在server服务器中配置指令
location / {
autoindex off;
)
4)禁用不必要的http方法:DELETE、PUT、TRACE、OPTIONS等
默认http方法包括GET、HEAD、POST、PUT、DELETE、OPTIONS等方法。在这些方法中,虽然PUT、DELETE方法很少被使用到,但可能被利用来进行攻击。对于web服务来讲标准的请求只使用GET,POST和HEAD,其它方法不使用的需要禁止掉。
或者在nginx.conf针对某一个http方法禁止,根据业务需求。
http{
if ($request_method = PUT ) {
return 403;}
}
5)禁止nginx重定向至监听端口
如果请求发生重定向,nginx默认的情况下,是会在重定向的URL后自动添加nginx当前站点监听的端口。这样明显会对服务器造成很大的威胁,后端的端口暴露出来,就可能会被人直接对这个端口进行诸如CC类攻击。在配置文件nginx.conf中的http段、或server段或location段增加禁止指令,建议在http段添加,如下所示:
http{
port_in_redirect off;
}
6)限制允许访问的IP
nginx允许限制某些IP地址的客户端访问,限制IP访问可以保护nginx避免DDOS攻击。规则按照顺序依次检测,直到匹配到第一条规则。在这个例子里,IPv4的网络中只有10.1.1.0/16和192.168.1.0/24允许访问,但192.168.1.1除外,对于IPv6的网络,只有2001:0db8::/32允许访问。
location/ {
deny192.168.1.1;
allow 192.168.1.0/24;
allow 10.1.1.0/16;
allow 2001:0db8::/32;
denyall;
}
7)限制http请求的消息主体和消息头的大小
此指令给了服务器管理员更大的可控性,以控制客户端不正常的请求行为,自定义缓存以限制缓冲区溢出攻击。在配置文件nginx.conf调整请求头和请求体的缓冲区大小:
http{
... ...
server{
... ...
client_header_buffer_size 1k;
large_client_header_buffers 4 8k;
client_body_buffer_size 16k;
client_max_body_size 50g;
... ...
}
}
8)配置nginx的网络超时时间
配置nginx的超时时间,提高服务器的性能,降低客户端的等待时间。同时,在受到DOS攻击时,可以起到缓解作用。特殊情况下,请根据具体性能需求进行调优。在配置文件nginx.conf中的http段配置超时,单位秒(s):
http {
... ...
client_body_timeout 10;
client_header_timeout 10;
keepalive_timeout 5 30;
send_timeout 1000;
... ...
}
9)隐藏X-Powered-By HTTP头
X-Powered-By表示网站是用什么技术开发的,它会泄漏开发语言、版本号和框架等信息,有安全隐患,需要隐藏掉。可采用以下措施:在nginx.conf使用指令proxy_hide_header指令隐藏它。
http {
... ...
proxy_hide_header X-Powered-By;
... ...
}
10)nginx根目录只能由nginx运行用户修改,nginx根目录的所有父级目录的修改权限不能赋予除nginx运行用户的其他普通用户。
不仅文件本身,nginx根目录必须只能由属主来改写,nginx根目录的所有父级目录的修改权限不能赋予除nginx运行用户的其他普通用户。如果nginx根目录的某一父级目录的修改权限可以被其它普通用户拥有,那这个用户就可以删除这个父级目录下面原来的目录或文件然后新建同名的目录或文件,达到对目录下所有文件进行篡改控制的目的。
如果要配置nginx根目录为/etc/nginx,首先要确认/etc/nginx目录只能由nginx运行用户修改,其他用户不能具备这些目录的修改权限。
chown -R nginx:robogrp /etc/nginx
chmod -R 600 /etc/conf/*
11)日志文件属主只能是nginx运行用户,且只允许属主可读写
nginx日志文件包括错误日志和访问日志。两类日志必须都只允许其属主(nginx运行用户)可读写,如果日志文件本身对非属主用户是可写的,别人就可能伪造日志。如果nginx运行用户为nginx,日志目录为:/var/log/nginx/,执行下列命令:
chown nginx:robogrp /var/log/nginx/error.log
chmod 640 /var/log/nginx/error.log
chown nginx:robogrp /var/log/nginx/access.log
chmod 640 /var/log/nginx/access.log
12)禁用SSI功能
SSI指令可以用于执行JVM外部的程序,防止出现SSI注入等安全问题,所以禁止使用SSI功能。
nginx默认是关闭SSI功能,如果在配置文件nginx.conf的http段、server段或location段出现ssi on,务必设置为
ssi off;
13)开启nginx的日志功能:正常的访问日志和错误请求日志
这些日志可以提供异常访问的线索。nginx可以记录所有的访问请求,同样,异常的请求也会记录。日志文件可以记录系统发生的重要事件,可以帮助找到安全事件的原因,因此,日志文件要尽可能的包含访问的关键信息,例如访问时间、内容、结果、请求用户的ip、访问的网址等。在配置文件nginx.conf中,在的标签里添加如下内容,在http段声明日志文件:
http {
…
#在目录/var/log/nginx/logs/下配置一个访问日志文件,日志格式按照main来打印,压缩后写入。
access.log /var/log/nginx/access.log main gzip;
…
}
在上文配置信息中的main格式名,用来配置日志基本格式:
http {
…
#main是格式名,日志打印格式可按照此定义,具体可根据实际情况确定。
log_format main '$remote_addr - $remote_user [$time_local] "$request"'
'$status $body_bytes_sent "$http_referer" '
' "$http_user_agent" "$http_x_forwarded_for" ';
…
}
14)使用安全的TLS协议
启用SSL功能后需要配置证书和私钥,私钥强制要求设置密码保护,且对私钥文件进行严格的访问控制。必须做到以下两点:
设置合适的超时时间:设置ssl timeout的原因是避免攻击者建立大量无效链接,或者慢速攻击。
使用安全的加密套件:ssl_ciphers定义了网站使用那些加密套件,nginx的默认设置是HIGH:!aNULL:!MD5;这个值已经是比较安全的。最主要的是ssl_prefer_server_ciphers的设置,开启这个设置可以优先使用服务器定义的加密算法以防止Beast Attacks。
文章浏览阅读2w次,点赞7次,收藏51次。四个步骤1.创建C++ Win32项目动态库dll 2.在Win32项目动态库中添加 外部依赖项 lib头文件和lib库3.导出C接口4.c#调用c++动态库开始你的表演...①创建一个空白的解决方案,在解决方案中添加 Visual C++ , Win32 项目空白解决方案的创建:添加Visual C++ , Win32 项目这......_c#调用lib
文章浏览阅读4.6k次。苹方字体是苹果系统上的黑体,挺好看的。注重颜值的网站都会使用,例如知乎:font-family: -apple-system, BlinkMacSystemFont, Helvetica Neue, PingFang SC, Microsoft YaHei, Source Han Sans SC, Noto Sans CJK SC, W..._ubuntu pingfang
文章浏览阅读159次。表单表单概述表单标签表单域按钮控件demo表单标签表单标签基本语法结构<form action="处理数据程序的url地址“ method=”get|post“ name="表单名称”></form><!--action,当提交表单时,向何处发送表单中的数据,地址可以是相对地址也可以是绝对地址--><!--method将表单中的数据传送给服务器处理,get方式直接显示在url地址中,数据可以被缓存,且长度有限制;而post方式数据隐藏传输,_html表单的处理程序有那些
文章浏览阅读1.2k次。使用说明:开启Google的登陆二步验证(即Google Authenticator服务)后用户登陆时需要输入额外由手机客户端生成的一次性密码。实现Google Authenticator功能需要服务器端和客户端的支持。服务器端负责密钥的生成、验证一次性密码是否正确。客户端记录密钥后生成一次性密码。下载谷歌验证类库文件放到项目合适位置(我这边放在项目Vender下面)https://github.com/PHPGangsta/GoogleAuthenticatorPHP代码示例://引入谷_php otp 验证器
文章浏览阅读4.3k次,点赞5次,收藏11次。matplotlib.plot画图横坐标混乱及间隔处理_matplotlib更改横轴间距
文章浏览阅读2.2k次。①Storage driver 处理各镜像层及容器层的处理细节,实现了多层数据的堆叠,为用户 提供了多层数据合并后的统一视图②所有 Storage driver 都使用可堆叠图像层和写时复制(CoW)策略③docker info 命令可查看当系统上的 storage driver主要用于测试目的,不建议用于生成环境。_docker 保存容器
文章浏览阅读834次,点赞27次,收藏13次。网络拓扑结构是指计算机网络中各组件(如计算机、服务器、打印机、路由器、交换机等设备)及其连接线路在物理布局或逻辑构型上的排列形式。这种布局不仅描述了设备间的实际物理连接方式,也决定了数据在网络中流动的路径和方式。不同的网络拓扑结构影响着网络的性能、可靠性、可扩展性及管理维护的难易程度。_网络拓扑csdn
文章浏览阅读1.8k次,点赞5次,收藏8次。IOS系统Date的坑要创建一个指定时间的new Date对象时,通常的做法是:new Date("2020-09-21 11:11:00")这行代码在 PC 端和安卓端都是正常的,而在 iOS 端则会提示 Invalid Date 无效日期。在IOS年月日中间的横岗许换成斜杠,也就是new Date("2020/09/21 11:11:00")通常为了兼容IOS的这个坑,需要做一些额外的特殊处理,笔者在开发的时候经常会忘了兼容IOS系统。所以就想试着重写Date函数,一劳永逸,避免每次ne_date.prototype 将所有 ios
文章浏览阅读5.3k次。方法一:用PLSQL Developer工具。 1 在PLSQL Developer的sql window里输入select * from test for update; 2 按F8执行 3 打开锁, 再按一下加号. 鼠标点到第一列的列头,使全列成选中状态,然后粘贴,最后commit提交即可。(前提..._excel导入pl/sql
文章浏览阅读83次。Git常用命令速查手册1、初始化仓库git init2、将文件添加到仓库git add 文件名 # 将工作区的某个文件添加到暂存区 git add -u # 添加所有被tracked文件中被修改或删除的文件信息到暂存区,不处理untracked的文件git add -A # 添加所有被tracked文件中被修改或删除的文件信息到暂存区,包括untracked的文件...
文章浏览阅读202次。分享119个ASP.NET源码总有一个是你想要的_千博二手车源码v2023 build 1120
文章浏览阅读1.8k次。版权声明:转载请注明出处 http://blog.csdn.net/irean_lau。目录(?)[+]1、缺省构造函数。2、缺省拷贝构造函数。3、 缺省析构函数。4、缺省赋值运算符。5、缺省取址运算符。6、 缺省取址运算符 const。[cpp] view plain copy_空类默认产生哪些类成员函数