技术标签: nginx web web服务器 php mysql centos
参考链接:
https://blog.csdn.net/wangliqiang1014/article/details/82906234
http://mirrors.aliyun.com/centos/7/isos/x86_64/
阿里云镜像网站上下载centos 7的iso镜像。
https://mp.weixin.qq.com/s/1h8B20bu1y-xCpVbSdoabw
在vmware中使用该教程安装centos 7,此过程不赘述。
直接使用命令行进行安装:
yum install nginx
或者下载nginx的安装包进行安装
存在没有安全软件包的问题,此时可以选择下载软件包进行安装
tar xzvf nginx.tar.gz
./configure –prefix=xxxx
make & make install
此次安装使用EPEL包的仓库源:
yum -y install epel-release
查看nginx版本信息,检查是否安装成功:
nginx -v
nginx默认目录:
网站目录:/usr/share/nginx/html
全局的配置文件为:/etc/nginx/nginx.conf
默认的配置文件为: /etc/nginx/conf.d/default.conf
日志文件目录为:/var/log/nginx/
添加仓库,提供php 7系列包,使用webtatic
rpm -Uvh https://mirror.webtatic.com/yum/el7/webtatic-release.rpm
然后安装php7-fpm及其扩展,网速比较慢,安装比较久。
yum -y install php71w-fpm php71w-cli php71w-gd php71w-mcrypt php71w-mysql php71w-pdo php71w-xml php71w-pear php71w-mbstring php71w-json php71w-pecl-apcu php71w-pecl-apcu-devel
配置php7-fpm:
user和group都改为nginx
vim /etc/php-fpm.d/www.conf
server{}中添加代码:nginx与php通信方式是fastcgi,php-fpm提供了对fastcgi进程管理的工具
#pass the php scripts to fastcgi server listening on 127.0.0.1:9000
location ~ \.php$ {
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
重启nginx并开机自启php-fpm:
service nginx restart
systemctl start php-fpm
systemctl enable php-fpm
测试是否安装成功:
#下载源安装包
wget http://repo.mysql.com/mysql-community-release-el7-5.noarch.rpm
rpm -ivh mysql-community-release-el7-5.noarch.rpm
yum install mysql-server
修改密码:
Service mysqld start
chown -R root:root /var/lib/mysql
mysql -u root
use mysql;
update user set password=password("root") where user='root';
flush privileges;
再次进入:
mysql -u root -p
输入密码:root
安装过程完毕!
目录下/usr/share/nginx/html测试php连接mysql:
<?php
$link=mysqli_connect('localhost','root','root');
if(!$link) echo "fail";
else echo "success";
mysqli_close($link);
?>
成功输出success !
启动命令行:
service start nginx
service start mysql
mysql -u root -p
service start php-fpm
yum install httpd -y ##apache软件
yum install httpd-manual ##apache的手册
systemctl start httpd
systemctl enable httpd
firewall-cmd --list-all ##列出火墙信息
firewall-cmd --permanent --add-service=http ##永久允许http
firewall-cmd --reload ##火墙从新加载策略
/var/www/html ##apache的/目录,默认发布目录
/var/www/html/index.html ##apache的默认发布文件
vim /var/www/html/index.html ##写默认发布文件内容
<h1> hello world </h1>
主配置文件,进行端口修改,先修改为已有端口,因为nginx默认使用80端口,为避免争用 。例如:8080
vim /etc/httpd/conf/httpd.conf
Listen 8080 ##修改默认端口为8080(第42行)
firewall-cmd --permanent --add-port=8080/tcp ##需要火墙允许端口,否则无法访问
firewall-cmd --reload
systemctl restart httpd
安装apache服务器之后,mysql显示启动有问题。
[ERROR 2002 (HY000): Can't connect to local MySQL server through socket '/var/lib/mysql/mysql.sock' (111)]
查找很多解决方案都没有成功。参考链接:
https://blog.csdn.net/Homewm/article/details/81628116
最后彻底删除mysql,重装才成功。彻底删除命令如下:
yum remove mysql mysql-server mysql-libs mysql-server
find / -name mysql #将找到的相关东西delete掉
rpm -qa|grep mysql #查询出来的东东yum remove掉)
whereis mysql
#清空相关mysql的所有目录以及文件
rm -rf /usr/lib/mysql
rm -rf /usr/share/mysql
参考链接:
https://cloud.tencent.com/developer/article/1182380
https://support.huawei.com/enterprise/zh/doc/EDOC1100041554/c65a8145
其中第二个链接十分详细,可仔细阅读并实践。里面还有Mysql的加固。
1)用于运行nginx的用户必须是一个没有系统特权(非root)的用户。
在nginx主配置文件nginx.conf使用命令user来指定nginx执行用户。
user nginx;
2)定制nginx出错信息
默认我们访问不存在的页面时,报错页面上会有nginx的版本信息,这会向黑客提供信息,以方便查找当前版本的漏洞,加以利用。
在服务器上尝试访问不存在的页面,没有显示服务器版本信息。
若没有定制出错信息,则需要在http服务器中配置指令
server_tokens off;
3)禁止浏览目录
如果访问nginx下的一个web应用,如果输入是一个目录名,而且该目录下没有一个默认访问文件,那么nginx会将该目录下的所有文件列出来,这种敏感信息泄露是严格禁止的。
在server服务器中配置指令
location / {
autoindex off;
)
4)禁用不必要的http方法:DELETE、PUT、TRACE、OPTIONS等
默认http方法包括GET、HEAD、POST、PUT、DELETE、OPTIONS等方法。在这些方法中,虽然PUT、DELETE方法很少被使用到,但可能被利用来进行攻击。对于web服务来讲标准的请求只使用GET,POST和HEAD,其它方法不使用的需要禁止掉。
或者在nginx.conf针对某一个http方法禁止,根据业务需求。
http{
if ($request_method = PUT ) {
return 403;}
}
5)禁止nginx重定向至监听端口
如果请求发生重定向,nginx默认的情况下,是会在重定向的URL后自动添加nginx当前站点监听的端口。这样明显会对服务器造成很大的威胁,后端的端口暴露出来,就可能会被人直接对这个端口进行诸如CC类攻击。在配置文件nginx.conf中的http段、或server段或location段增加禁止指令,建议在http段添加,如下所示:
http{
port_in_redirect off;
}
6)限制允许访问的IP
nginx允许限制某些IP地址的客户端访问,限制IP访问可以保护nginx避免DDOS攻击。规则按照顺序依次检测,直到匹配到第一条规则。在这个例子里,IPv4的网络中只有10.1.1.0/16和192.168.1.0/24允许访问,但192.168.1.1除外,对于IPv6的网络,只有2001:0db8::/32允许访问。
location/ {
deny192.168.1.1;
allow 192.168.1.0/24;
allow 10.1.1.0/16;
allow 2001:0db8::/32;
denyall;
}
7)限制http请求的消息主体和消息头的大小
此指令给了服务器管理员更大的可控性,以控制客户端不正常的请求行为,自定义缓存以限制缓冲区溢出攻击。在配置文件nginx.conf调整请求头和请求体的缓冲区大小:
http{
... ...
server{
... ...
client_header_buffer_size 1k;
large_client_header_buffers 4 8k;
client_body_buffer_size 16k;
client_max_body_size 50g;
... ...
}
}
8)配置nginx的网络超时时间
配置nginx的超时时间,提高服务器的性能,降低客户端的等待时间。同时,在受到DOS攻击时,可以起到缓解作用。特殊情况下,请根据具体性能需求进行调优。在配置文件nginx.conf中的http段配置超时,单位秒(s):
http {
... ...
client_body_timeout 10;
client_header_timeout 10;
keepalive_timeout 5 30;
send_timeout 1000;
... ...
}
9)隐藏X-Powered-By HTTP头
X-Powered-By表示网站是用什么技术开发的,它会泄漏开发语言、版本号和框架等信息,有安全隐患,需要隐藏掉。可采用以下措施:在nginx.conf使用指令proxy_hide_header指令隐藏它。
http {
... ...
proxy_hide_header X-Powered-By;
... ...
}
10)nginx根目录只能由nginx运行用户修改,nginx根目录的所有父级目录的修改权限不能赋予除nginx运行用户的其他普通用户。
不仅文件本身,nginx根目录必须只能由属主来改写,nginx根目录的所有父级目录的修改权限不能赋予除nginx运行用户的其他普通用户。如果nginx根目录的某一父级目录的修改权限可以被其它普通用户拥有,那这个用户就可以删除这个父级目录下面原来的目录或文件然后新建同名的目录或文件,达到对目录下所有文件进行篡改控制的目的。
如果要配置nginx根目录为/etc/nginx,首先要确认/etc/nginx目录只能由nginx运行用户修改,其他用户不能具备这些目录的修改权限。
chown -R nginx:robogrp /etc/nginx
chmod -R 600 /etc/conf/*
11)日志文件属主只能是nginx运行用户,且只允许属主可读写
nginx日志文件包括错误日志和访问日志。两类日志必须都只允许其属主(nginx运行用户)可读写,如果日志文件本身对非属主用户是可写的,别人就可能伪造日志。如果nginx运行用户为nginx,日志目录为:/var/log/nginx/,执行下列命令:
chown nginx:robogrp /var/log/nginx/error.log
chmod 640 /var/log/nginx/error.log
chown nginx:robogrp /var/log/nginx/access.log
chmod 640 /var/log/nginx/access.log
12)禁用SSI功能
SSI指令可以用于执行JVM外部的程序,防止出现SSI注入等安全问题,所以禁止使用SSI功能。
nginx默认是关闭SSI功能,如果在配置文件nginx.conf的http段、server段或location段出现ssi on,务必设置为
ssi off;
13)开启nginx的日志功能:正常的访问日志和错误请求日志
这些日志可以提供异常访问的线索。nginx可以记录所有的访问请求,同样,异常的请求也会记录。日志文件可以记录系统发生的重要事件,可以帮助找到安全事件的原因,因此,日志文件要尽可能的包含访问的关键信息,例如访问时间、内容、结果、请求用户的ip、访问的网址等。在配置文件nginx.conf中,在的标签里添加如下内容,在http段声明日志文件:
http {
…
#在目录/var/log/nginx/logs/下配置一个访问日志文件,日志格式按照main来打印,压缩后写入。
access.log /var/log/nginx/access.log main gzip;
…
}
在上文配置信息中的main格式名,用来配置日志基本格式:
http {
…
#main是格式名,日志打印格式可按照此定义,具体可根据实际情况确定。
log_format main '$remote_addr - $remote_user [$time_local] "$request"'
'$status $body_bytes_sent "$http_referer" '
' "$http_user_agent" "$http_x_forwarded_for" ';
…
}
14)使用安全的TLS协议
启用SSL功能后需要配置证书和私钥,私钥强制要求设置密码保护,且对私钥文件进行严格的访问控制。必须做到以下两点:
设置合适的超时时间:设置ssl timeout的原因是避免攻击者建立大量无效链接,或者慢速攻击。
使用安全的加密套件:ssl_ciphers定义了网站使用那些加密套件,nginx的默认设置是HIGH:!aNULL:!MD5;这个值已经是比较安全的。最主要的是ssl_prefer_server_ciphers的设置,开启这个设置可以优先使用服务器定义的加密算法以防止Beast Attacks。
文章浏览阅读645次。这个肯定是末尾的IDAT了,因为IDAT必须要满了才会开始一下个IDAT,这个明显就是末尾的IDAT了。,对应下面的create_head()代码。,对应下面的create_tail()代码。不要考虑爆破,我已经试了一下,太多情况了。题目来源:UNCTF。_攻防世界困难模式攻略图文
文章浏览阅读2.9k次,点赞3次,收藏10次。偶尔会用到,记录、分享。1. 数据库导出1.1 切换到dmdba用户su - dmdba1.2 进入达梦数据库安装路径的bin目录,执行导库操作 导出语句:./dexp cwy_init/[email protected]:5236 file=cwy_init.dmp log=cwy_init_exp.log 注释: cwy_init/init_123..._达梦数据库导入导出
文章浏览阅读1.9k次。1. 在官网上下载KindEditor文件,可以删掉不需要要到的jsp,asp,asp.net和php文件夹。接着把文件夹放到项目文件目录下。2. 修改html文件,在页面引入js文件:<script type="text/javascript" src="./kindeditor/kindeditor-all.js"></script><script type="text/javascript" src="./kindeditor/lang/zh-CN.js"_kindeditor.js
文章浏览阅读2.3k次,点赞6次,收藏14次。SPI的详情简介不必赘述。假设我们通过SPI发送0xAA,我们的数据线就会变为10101010,通过修改不同的内容,即可修改SPI中0和1的持续时间。比如0xF0即为前半周期为高电平,后半周期为低电平的状态。在SPI的通信模式中,CPHA配置会影响该实验,下图展示了不同采样位置的SPI时序图[1]。CPOL = 0,CPHA = 1:CLK空闲状态 = 低电平,数据在下降沿采样,并在上升沿移出CPOL = 0,CPHA = 0:CLK空闲状态 = 低电平,数据在上升沿采样,并在下降沿移出。_stm32g431cbu6
文章浏览阅读1.2k次,点赞2次,收藏8次。数据链路层习题自测问题1.数据链路(即逻辑链路)与链路(即物理链路)有何区别?“电路接通了”与”数据链路接通了”的区别何在?2.数据链路层中的链路控制包括哪些功能?试讨论数据链路层做成可靠的链路层有哪些优点和缺点。3.网络适配器的作用是什么?网络适配器工作在哪一层?4.数据链路层的三个基本问题(帧定界、透明传输和差错检测)为什么都必须加以解决?5.如果在数据链路层不进行帧定界,会发生什么问题?6.PPP协议的主要特点是什么?为什么PPP不使用帧的编号?PPP适用于什么情况?为什么PPP协议不_接收方收到链路层数据后,使用crc检验后,余数为0,说明链路层的传输时可靠传输
文章浏览阅读587次。软件测试工程师移民加拿大 无证移民,未受过软件工程师的教育(第1部分) (Undocumented Immigrant With No Education to Software Engineer(Part 1))Before I start, I want you to please bear with me on the way I write, I have very little gen...
文章浏览阅读304次。Thinkpad X250笔记本电脑,装的是FreeBSD,进入BIOS修改虚拟化配置(其后可能是误设置了安全开机),保存退出后系统无法启动,显示:secure boot failed ,把自己惊出一身冷汗,因为这台笔记本刚好还没开始做备份.....根据错误提示,到bios里面去找相关配置,在Security里面找到了Secure Boot选项,发现果然被设置为Enabled,将其修改为Disabled ,再开机,终于正常启动了。_安装完系统提示secureboot failure
文章浏览阅读10w+次,点赞93次,收藏352次。1、用strtok函数进行字符串分割原型: char *strtok(char *str, const char *delim);功能:分解字符串为一组字符串。参数说明:str为要分解的字符串,delim为分隔符字符串。返回值:从str开头开始的一个个被分割的串。当没有被分割的串时则返回NULL。其它:strtok函数线程不安全,可以使用strtok_r替代。示例://借助strtok实现split#include <string.h>#include <stdio.h&_c++ 字符串分割
文章浏览阅读2.3k次。1 .高斯日记 大数学家高斯有个好习惯:无论如何都要记日记。他的日记有个与众不同的地方,他从不注明年月日,而是用一个整数代替,比如:4210后来人们知道,那个整数就是日期,它表示那一天是高斯出生后的第几天。这或许也是个好习惯,它时时刻刻提醒着主人:日子又过去一天,还有多少时光可以用于浪费呢?高斯出生于:1777年4月30日。在高斯发现的一个重要定理的日记_2013年第四届c a组蓝桥杯省赛真题解答
文章浏览阅读851次,点赞17次,收藏22次。摘要:本文利用供需算法对核极限学习机(KELM)进行优化,并用于分类。
文章浏览阅读1.1k次。一、系统弱密码登录1、在kali上执行命令行telnet 192.168.26.1292、Login和password都输入msfadmin3、登录成功,进入系统4、测试如下:二、MySQL弱密码登录:1、在kali上执行mysql –h 192.168.26.129 –u root2、登录成功,进入MySQL系统3、测试效果:三、PostgreSQL弱密码登录1、在Kali上执行psql -h 192.168.26.129 –U post..._metasploitable2怎么进入
文章浏览阅读257次。本文将为初学者提供Python学习的详细指南,从Python的历史、基础语法和数据类型到面向对象编程、模块和库的使用。通过本文,您将能够掌握Python编程的核心概念,为今后的编程学习和实践打下坚实基础。_python人工智能开发从入门到精通pdf