Chinaunix

标题: apache2+php+mysql+mod_secu+mod_evasive+mod_gzip+sn [打印本页]

作者: 小粥 时间: 2005-12-25 23:01
标题: apache2+php+mysql+mod_secu+mod_evasive+mod_gzip+sn
我转载的一篇文章, 主要是看看几个模块的设置, 以及cacti和rrdtool
apache2+php+mysql+mod_secu+mod_evasive+mod_gzip+snmp＋rrdtool+cacti
下载：
apache2
http://www.apache.org/dist/httpd/httpd-2.0.55.tar.bz2

mysql4:
http://mysql.oss.eznetsols.org/Downloads/MySQL-4.1/mysql-4.1.15.tar.gz

php4:
http://cn.php.net/distributions/php-4.4.1.tar.bz2

mod_security
http://www.modsecurity.org/download/modsecurity-apache-1.9.tar.gz

mod_evasive
http://www.nuclearelephant.com/projects/mod_evasive/mod_evasive_1.10.1.tar.gz

mod_gzip
http://w.yi.org/ftp/incoming/mod_gzip-2.1.0.tar.gz

rrdtool
http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/pub/libs/libart_lgpl-2.3.17.tar.gz

cacti
http://www.cacti.net/downloads/cacti-0.8.6g.tar.gz

step 1:[基本环境:apache+mysql+php]安装
1、mysql 安装: [注意：[color="#ff0000"]cacti-0.8.6.g版本不支持MYSQL5]
# tar zxvf mysql-4.1.15.tar.gz
# cd mysql-4.1.15
# groupadd mysql
# useradd -g mysql mysql
# ./configure --prefix=/usr/local/mysql
# make
# make install
# cp support-files/my-medium.cnf /etc/my.cnf
# cd /usr/local/mysql
# bin/mysql_install_db --user=mysql
# chown -R root .
# chown -R mysql var
# chgrp -R mysql .
# bin/mysqld_safe --user=mysql &
2、apache 2 安装:
# tar jxvf httpd-2.0.55.tar.bz2
# cd httpd-2.0.55
./configure --prefix=/usr/local/apache
--enable-so
--enable-rewrite
--enable-info
--enable-cgid
--enable-mime-magic
--enable-vhost-alias
--enable-deflate
--enable-expires
--with-mpm=prefork

# make
# make install
3、安装php4
# tar jxvf php-4.4.1.tar.bz2
# cd php-4.4.1
./configure --prefix=/usr/local/php
--with-apxs2=/usr/local/apache/bin/apxs
--with-mysql=/usr/local/mysql
--enable-mbstring
--with-curl
--enable-debug
--enable-inline-optimization -q
--with-jpeg-dir=/usr/local/
--with-png-dir
--enable-thread-safety
--enable-ctype
--with-bz2
--with-zlib
--with-gd
--with-kerberos
--with-gettext
--enable-force-cgi-redirect
--with-iconv
--enable-gd-native-ttf
--enable-sockets
--with-snmp
--enable-ucd-snmp-hack

# make
# make install
#cp php.ini-dist /usr/local/php/lib/php.ini
4、安装modsecurity（mod_security 可以加强apache的安全性特别是在防sql 注入上。
# tar zxvf modsecurity-apache-1.9.tar.gz
# cd modsecurity-apache-1.9/apache2/
# /usr/local/apache/bin/apxs -cia mod_security.c
5、安装mod_evasive防DDOS攻击
# tar zxvf  mod_evasive_1.10.1.tar.gz
# cd  mod_evasive_1.10.1
# /usr/local/apache/bin/apxs -i -a -c mod_evasive20.c

6、安装mod_gzip 对静态WEB页面进行压缩
#tar zxvf mod_gzip-2.1.0.tar.gz
# cd mod_gzip-2.1.0
#/usr/local/apache/bin/apxs -cia mod_gzip.c
…………………..
Rrdtool、cacti的安装等将这些基本的环境配置好后进行安装
………………….
step 2:基本环境配置
配置：
1、配置apache
A．增加一个解析php 文件配置
AddType application/x-httpd-php .php
B.在DirectoryIndex 后增加一个 index.php
C.增加deflate 配置信息
代码:

# Insert filter
SetOutputFilter DEFLATE

# Netscape 4.x has some problems...
BrowserMatch ^Mozilla/4 gzip-only-text/html

# Netscape 4.06-4.08 have some more problems
BrowserMatch ^Mozilla/4.0[678] no-gzip

# MSIE masquerades as Netscape, but it is fine
# BrowserMatch MSIE !no-gzip !gzip-only-text/html

# NOTE: Due to a bug in mod_setenvif up to Apache 2.0.48
# the above regex won't work. You can use the following
# workaround to get the desired effect:
BrowserMatch MSI[E] !no-gzip !gzip-only-text/html

# Don't compress images
SetEnvIfNoCase Request_URI .(?:gif|jpe?g|png|ico)$ no-gzip dont-vary

# Make sure proxies don't deliver the wrong content
#Header append Vary User-Agent env=!dont-vary

DeflateFilterNote ratio
LogFormat '"%v %h %l %u %t "%r" %>s %b "%{Referer}i" "%{User-Agent}i"" (%{ratio}n)' deflate

CustomLog logs/deflate_log deflate

D.检查一下配置文件中是否有一下模块, 如没有则加上去
LoadModule evasive20_module modules/mod_evasive20.so
LoadModule gzip_module       modules/mod_gzip.so
LoadModule security_module       modules/mod_security.so
E.添加一段mod_security的配置文件
SecFilterEngine On
SecFilterCheckURLEncoding On
SecFilterDefaultAction "deny,log,status:500"
#SecFilterForceByteRange 32 126
#SecFilterScanPOST On
SecAuditLog logs/audit_log
###
SecFilter "../"
#####
SecFilter /etc/*passwd
SecFilter /bin/*sh
#for css attack
SecFilter ""
#for sql attack
SecFilter "delete[ ]+from"
SecFilter "insert[ ]+into"
SecFilter "select.+from"
SecFilter "union[ ]+from"
SecFilter "drop[ ]"

F.添加一段mod_evasive20的配置文件
DOSHashTableSize 3097
DOSPageCount       2
DOSSiteCount       50
DOSPageInterval    1
DOSSiteInterval    1
DOSBlockingPeriod 10
G. 添加一段mod_gzip.c的配置文件
mod_gzip_on Yes
mod_gzip_minimum_file_size 1002
mod_gzip_maximum_file_size 0
mod_gzip_maximum_inmem_size 60000
mod_gzip_item_include mime "application/x-httpd-php"
mod_gzip_item_include mime "text/*"
# 压缩 Zope 的内容：
mod_gzip_item_include file "[^.]*$"
mod_gzip_item_include mime "httpd/unix-directory"
mod_gzip_dechunk Yes
mod_gzip_temp_dir "/tmp"
mod_gzip_keep_workfiles No
mod_gzip_item_include file ".php$"
mod_gzip_item_include file ".txt$"
mod_gzip_item_include file ".html$"
mod_gzip_item_exclude file ".css$"
mod_gzip_item_exclude file ".js$"
H.加个VirtualHost
NameVirtualHost *:80
ServerName
www.irunnet.com

DocumentRoot  /usr/local/apps/www/cacti
ErrorLog /dev/null
CustomLog /dev/null common
2、测试PHP
在/usr/local/apps/www/cacti 创建文件phpinfo.php 内容为：
echo phpinfo();
?>

在浏览器中打开
http://www.irunnet.com/******/phpinfo.php
如果你能看到 phpinfo 界面那么ok。
这里对PHP.ini配置文件根据开发需求简单改改
memory_limit = 50M
display_errors = Off
log_errors = Off
log_errors_max_len = 10240
error_log = /usr/local/apps/www/log
post_max_size = 30M
upload_max_filesize = 50M
有关MYSQL配置，仅供参考！可以跳过不操作，不影响正常安装！
3.mysql配置[这个步骤请有经验的人操作，主要在安全方面设置，仅供参考！]
chown root:sys /etc/my.cnf
chmod 644 /etc/my.cnf
使用用户mysql来启动我们的mysql:
# /usr/local/mysql/bin/mysqld_safe -user=mysql &
(1) 修改root用户的的口令
缺省安装的mysql是没有密码的，所以我们要修改，以防万一。下面采用三种方式来修改root的口令。
*  用mysqladmin命令来改root用户口令
＃ mysqladmin -uroot password test
这样，MySQL数据库root用户的口令就被改成test了。（test只是举例，我们实际使用的口令一定不能使用这种易猜的弱口令）
*  用set password修改口令：
mysql> set password for
[email=root@localhost=password('test']root@localhost=password('test'[/email]
);
这时root用户的口令就被改成test了。
*  直接修改user表的root用户口令
mysql> use mysql;
mysql> update user set password=password('test') where user='root';
mysql> flush privileges;
这样，MySQL数据库root用户的口令也被改成test了。其中最后一句命令flush privileges的意思是强制刷新内存授权表，否则用的还是缓冲中的口令，这时非法用户还可以用root用户及空口令登陆，直到重启MySQL服务器。
(2) 删除默认的数据库和用户
我们的数据库是在本地，并且也只需要本地的php脚本对mysql进行读取，所以很多用户不需要。mysql初始化后会自动生成空用户和test库，这会对数据库构成威胁，我们全部删除。
我们使用mysql客户端程序连接到本地的mysql服务器后出现如下提示：
mysql> drop database test;
mysql> use mysql;
mysql> delete from db;
mysql> delete from user where not(host="localhost" and user="root");
mysql> flush privileges;
(3) 改变默认mysql管理员的名称
这个工作是可以选择的，根据个人习惯，因为默认的mysql的管理员名称是root，所以如果能够修改的话，能够防止一些脚本小子对系统的穷举。我们可以直接修改数据库，把root用户改为"admin"
mysql> use mysql;
mysql> update user set user="admin" where user="root";
mysql> flush privileges;
(4) 提高本地安全性
提高本地安全性，主要是防止mysql对本地文件的存取，比如黑客通过mysql把/etc/passwd获取了，会对系统构成威胁。mysql对本地文件的存取是通过SQL语句来实现，主要是通过Load DATA LOCAL INFILE来实现，我们能够通过禁用该功能来防止黑客通过SQL注射等获取系统核心文件。
禁用该功能必须在 my.cnf 的[mysqld]部分加上一个参数：
set-variable=local-infile=0
(5) 禁止远程连接mysql 【根据开发需求】
因为我们的mysql只需要本地的php脚本进行连接，所以我们无需开socket进行监听，那么我们完全可以关闭监听的功能。
有两个方法实现：
* 配置my.cnf文件，在[mysqld]部分添加 skip-networking 参数
* mysqld服务器中参数中添加 --skip-networking 启动参数来使mysql不监听任何TCP/IP连接，增加安全性。如果要进行mysql的管理的话,可以在服务器本地安装一个phpMyadmin来进行管理。
(6) 控制数据库访问权限【根据开发需求】
对于使用php脚本来进行交互，最好建立一个用户只针对某个库有 update、select、delete、insert、drop table、create table等权限，这样就很好避免了数据库用户名和密码被黑客查看后最小损失。
比如下面我们创建一个数据库为db1，同时建立一个用户test1能够访问该数据库。
mysql> create database db1;
mysql> grant select,insert,update,delete,create,drop privileges on db1.* to
[email=test1@localhost]test1@localhost[/email]
identified by 'admindb';
以上SQL是创建一个数据库db1，同时增加了一个test1用户，口令是admindb，但是它只能从本地连接mysql，对db1库有select,insert,update,delete,create,drop操作权限。
(7) 限制一般用户浏览其他用户数据库
如果有多个数据库，每个数据库有一个用户，那么必须限制用户浏览其他数据库内容，可以在启动MySQL服务器时加--skip-show-database 启动参数就能够达到目的。
( 忘记mysql密码的解决办法
如果不慎忘记了MySQL的root密码，我们可以在启动MySQL服务器时加上参数--skip-grant-tables来跳过授权表的验证 (./safe_mysqld --skip-grant-tables &)，这样我们就可以直接登陆MySQL服务器，然后再修改root用户的口令，重启MySQL就可以用新口令登陆了。
(9) 数据库文件的安全
我们默认的mysql是安装在/usr/local/mysql目录下的，那么对应的数据库文件就是在/usr/local/mysql/var目录下，那么我们要保证该目录不能让未经授权的用户访问后把数据库打包拷贝走了，所以要限制对该目录的访问。
我们修改该目录的所属用户和组是mysql，同时改变访问权限：
# chown -R mysql.mysql /usr/local/mysql/var
# chmod -R go-rwx /usr/local/mysql/var
(10) 删除历史记录
执行以上的命令会被shell记录在历史文件里，比如bash会写入用户目录的.bash_history文件，如果这些文件不慎被读，那么数据库的密码就会泄漏。用户登陆数据库后执行的SQL命令也会被MySQL记录在用户目录的.mysql_history文件里。如果数据库用户用SQL语句修改了数据库密码，也会因.mysql_history文件而泄漏。所以我们在shell登陆及备份的时候不要在-p后直接加密码，而是在提示后再输入数据库密码。
另外这两个文件我们也应该不让它记录我们的操作，以防万一。
# rm .bash_history .mysql_history
# ln -s /dev/null .bash_history
# ln -s /dev/null .mysql_history
(11) 其他
另外还可以考虑使用chroot等方式来控制mysql的运行目录，更好的控制权限，具体可以参考相关文章。
my.cnf的调试参数
--------------------------------------------------------------------------------
--join_buffer_size=1044480(1m)
The size of the buffer that is used for full joins.
--key_buffer_size=256M
The size of the buffer used for index blocks. Increase
this to get better index handling (for all reads and
multiple writes) to as much as you can afford; 64M on a
256M machine that mainly runs MySQL is quite common.
--max_write_lock_count=#
After this many write locks, allow some read locks to run
in between.
--myisam_sort_buffer_size=64M
The buffer that is allocated when sorting the index when
doing a REPAIR or when creating indexes with CREATE INDEX
or ALTER TABLE.
--read_buffer_size=1M
Each thread that does a sequential scan allocates a
buffer of this size for each table it scans. If you do
many sequential scans, you may want to increase this
value.
--sort_buffer_size=64M
Each thread that needs to do a sort allocates a buffer of
this size.
--table_cache=1024 The number of open tables for all threads.
--tmp_table_size=33M
if an in-memory temporary table exceeds this size, MySQL
will automatically convert it to an on-disk MyISAM table.
--max_tmp_tables=# Maximum number of temporary tables a client can keep open
at a time.
--max_write_lock_count=#
After this many write locks, allow some read locks to run
in between.
--thread_concurrency=#
Permits the application to give the threads system a hint
for the desired number of threads that should be run at
the same time.
--thread_cache_size=#
How many threads we should keep in a cache for reuse.
Step 3:安装rrdtool、cacti
1、 rrdtool安装前请安装以下包
A．安装libart
wget
http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/pub/libs/libart_lgpl-2.3.17.tar.gz

tar zxvf libart_lgpl-2.3.17.tar.gz
cd libart_lgp-2.3.17
./configure
make
make install
B．安装 libcgi
wget
http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/pub/libs/cgilib-0.5.tar.gz

tar zxvf cgilib-0.5.tar.gz
cd cgilib-0.5
make
cp libcgi.a /usr/local/lib
cp cgi.h /usr/include

C．安装 libpng
wget
http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/pub/libs/libpng-1.2.8-config.tar.gz

tar zxvf libpng-1.2.8-config.tar.gz
cd libpng-1.2.8-config/
./configure
make
make install
D．安装freetype
wget
http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/pub/libs/freetype-2.1.9.tar.gz

tar zxvf freetype-2.1.9.tar.gz
cd freetype-2.1.9
./configure
make
make install
cd /usr/include
ln -sf /usr/local/include
2、安装 rrdtool
wget
http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/pub/rrdtool-1.2.11.tar.gz

tar zxvf rrdtool-1.2.11.tar.gz
cd rrdtool-1.2.11
./configure --prefix=/usr/local/rrdtool-1.2.11
--disable-tcl
--disable-python
make
make install
3、安装net-snmp、snmpwalk和snmpget
SNMP安装和配置
(1).windows server 2003
打开控制面板——添加或删除程序——添加或删除windows组件，选择“管理和监视工具”中的“简单网络管理协议(SNMP)”，点确定，点下一步进行安装，安装完之后要打开控制面板——管理工具——服务，打开SNMP Service的属性，在安全选项卡里的“接受团体名称”中添加一个权限为只读的irunnet团体，然后选择“接受来自任何主机的SNMP数据包”点确定，重新启动SNMP Service服务
(2).windows 2000
打开控制面板——添加或删除程序——添加或删除windows组件，选择“管理和监视工具”中的“简单网络管理协议”，点确定，点下一步进行安装，安装完之后要打开控制面板——管理工具——服务，打开SNMP Service的属性，在安全选项卡里的“接受团体名称”中把public改成irunnet，重新启动SNMP Service服务
(3).redhat
如果系统安装的时候没有安装可以先装一个apt,然后用apt-get install net-snmp来安装
修改配置文件
vi /etc/snmp/snmpd.conf
修改如下两行
com2sec notConfigUser  default    irunnet
access  notConfigGroup ""    any    noauth exact  mib2 none none
去掉下面几行前面的“#”
com2sec local    localhost    COMMUNITY
com2sec mynetwork NETWORK/24    COMMUNITY
group MyRWGroup  any       local
group MyROGroup  any       mynetwork
view all included  .1                            80
view mib2 included  .iso.org.dod.internet.mgmt.mib-2 fc
access MyROGroup ""    any    noauth 0    all none none
access MyRWGroup ""    any    noauth 0    all all all
开启：
setup
在system service选中snmp
(4).freebsd
Vi /usr/local/share/snmp/snmpd.conf添加如下一行
rocommunity  irunnet
4、安装、配置cacti
(1.) 解压
cd /usr/local/apps/www/
wget
http://www.cacti.net/downloads/cacti-0.8.6g.tar.gz

tar zxvf cacti-0.8.6g.tar.gz
mv cacti-0.8.6g cacti
cd cacti
(2).打补丁
wget
http://www.cacti.net/downloads/patches/0.8.6g/short_open_tag_parse_error.patch

wget
http://www.cacti.net/downloads/patches/0.8.6g/graph_properties_zoom.patch

wget
http://www.cacti.net/downloads/patches/0.8.6g/script_server_snmp_auth.patch

wget
http://www.cacti.net/downloads/patches/0.8.6g/mib_file_loading.patch

patch -p1 -N  GRANT ALL ON cacti.* TO
[email=cacti@localhost]cacti@localhost[/email]
IDENTIFIED BY 'cacti';
mysql> flush privileges;
(6)修改cacti配置文件、连接MYSQL
编辑cacti/include/config.php
/* make sure these values refect your actual database/host/user/password */
$database_type = "mysql";
$database_default = "cacti";
$database_hostname = "localhost";
$database_username = "cacti";
$database_password = "cacti";
(7)对cacti中rra,log文件夹权限稍加修改
[root@irunnet cacti]# chown -R cacti rra/ log/[请事先在OS中添加cacti用户]
(8) 定时运行cacti采集数据
/etc/crontab -e
添加一行：
*/5 * * * * /usr/local/php/bin/php /usr/local/apps/www/cacti/poller.php >/dev/null 2>&1
(9) 测试
[root@irunnet cacti]cd include
[root@localhost include]# /usr/local/php/bin/php /usr/local/data/www/cacti/poller.php
OK u:0.00 s:0.01 r:2.03
OK u:0.00 s:0.01 r:2.04
OK u:0.00 s:0.01 r:2.04
OK u:0.00 s:0.01 r:2.04
OK u:0.00 s:0.01 r:2.04
OK u:0.00 s:0.01 r:3.06
OK u:0.00 s:0.01 r:3.06
OK u:0.00 s:0.01 r:3.06
OK u:0.01 s:0.01 r:4.08
OK u:0.01 s:0.01 r:4.08
OK u:0.01 s:0.01 r:4.08
OK u:0.01 s:0.01 r:4.09
OK u:0.01 s:0.01 r:5.10
OK u:0.01 s:0.01 r:5.10
OK u:0.01 s:0.01 r:5.11
OK u:0.01 s:0.01 r:5.11
OK u:0.01 s:0.01 r:5.11
OK u:0.01 s:0.01 r:6.15
OK u:0.01 s:0.01 r:6.15
OK u:0.01 s:0.01 r:6.15
OK u:0.01 s:0.01 r:7.16
12/08/2005 12:24:02 AM - SYSTEM STATS: Time:7.2343 Method:cmd.php Processes:1 Threads:N/A Hosts:3 HostsPerProcess:3 DataSources:27 RRDsProcessed:21
说明正常，已经开始采集数据
当测试时候出现如下错误时候
PHP Warning:  mysql_connect(): Can't connect to local MySQL server through socket '/var/lib/mysql/mysql.sock' (2) in /usr/local/apps/www/cacti/lib/adodb/drivers/adodb-mysql.inc.php on line 340
…………………………………………………………………………..
等主要是和mysql连接出现故障，将mysql.sock连接到/var/lib/mysql/mysql.sock即可 [注意写全路径，mysql默认安装sock在/tmp下]
ln -s /tmp/mysql.sock /var/lib/mysql/mysql.sock
(10)监控页面初始配置
http://www.irunnet.com/******/cacti

初始安装next----new install—配置路径[请修改：RRDTool Binary Path：/usr/local/rrdtool-1.2.11/bin/rrdtool，其他的默认路径都应该OK]—登陆[默认用户名密码都是admin]
进去之后请更改settings选项中的几个参数
RRDTool Utility Version默认是RRDTool 1.0.x请改为RRDTool 1.2.x
SNMP Version默认是Version 1请改为Version 2
SNMP Community 请设置为你自己想要的如irunnet
(11)如何进行监控，参考
http://www.cacti.net/downloads/docs/html/basics.html

Step 4:添加启动脚本
echo "cd /usr/local/apache2/bin;./apachectl start">>/etc/rc.local
echo "cd /usr/local/mysql/bin;./mysqld_safe & ">>/etc/rc.local

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/12409/showart_63409.html

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)