技术标签: nginx web web服务器 php mysql centos
参考链接:
https://blog.csdn.net/wangliqiang1014/article/details/82906234
http://mirrors.aliyun.com/centos/7/isos/x86_64/
阿里云镜像网站上下载centos 7的iso镜像。
https://mp.weixin.qq.com/s/1h8B20bu1y-xCpVbSdoabw
在vmware中使用该教程安装centos 7,此过程不赘述。
直接使用命令行进行安装:
yum install nginx
或者下载nginx的安装包进行安装
存在没有安全软件包的问题,此时可以选择下载软件包进行安装
tar xzvf nginx.tar.gz
./configure –prefix=xxxx
make & make install
此次安装使用EPEL包的仓库源:
yum -y install epel-release
查看nginx版本信息,检查是否安装成功:
nginx -v
nginx默认目录:
网站目录:/usr/share/nginx/html
全局的配置文件为:/etc/nginx/nginx.conf
默认的配置文件为: /etc/nginx/conf.d/default.conf
日志文件目录为:/var/log/nginx/
添加仓库,提供php 7系列包,使用webtatic
rpm -Uvh https://mirror.webtatic.com/yum/el7/webtatic-release.rpm
然后安装php7-fpm及其扩展,网速比较慢,安装比较久。
yum -y install php71w-fpm php71w-cli php71w-gd php71w-mcrypt php71w-mysql php71w-pdo php71w-xml php71w-pear php71w-mbstring php71w-json php71w-pecl-apcu php71w-pecl-apcu-devel
配置php7-fpm:
user和group都改为nginx
vim /etc/php-fpm.d/www.conf
server{}中添加代码:nginx与php通信方式是fastcgi,php-fpm提供了对fastcgi进程管理的工具
#pass the php scripts to fastcgi server listening on 127.0.0.1:9000
location ~ \.php$ {
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
重启nginx并开机自启php-fpm:
service nginx restart
systemctl start php-fpm
systemctl enable php-fpm
测试是否安装成功:
#下载源安装包
wget http://repo.mysql.com/mysql-community-release-el7-5.noarch.rpm
rpm -ivh mysql-community-release-el7-5.noarch.rpm
yum install mysql-server
修改密码:
Service mysqld start
chown -R root:root /var/lib/mysql
mysql -u root
use mysql;
update user set password=password("root") where user='root';
flush privileges;
再次进入:
mysql -u root -p
输入密码:root
安装过程完毕!
目录下/usr/share/nginx/html测试php连接mysql:
<?php
$link=mysqli_connect('localhost','root','root');
if(!$link) echo "fail";
else echo "success";
mysqli_close($link);
?>
成功输出success !
启动命令行:
service start nginx
service start mysql
mysql -u root -p
service start php-fpm
yum install httpd -y ##apache软件
yum install httpd-manual ##apache的手册
systemctl start httpd
systemctl enable httpd
firewall-cmd --list-all ##列出火墙信息
firewall-cmd --permanent --add-service=http ##永久允许http
firewall-cmd --reload ##火墙从新加载策略
/var/www/html ##apache的/目录,默认发布目录
/var/www/html/index.html ##apache的默认发布文件
vim /var/www/html/index.html ##写默认发布文件内容
<h1> hello world </h1>
主配置文件,进行端口修改,先修改为已有端口,因为nginx默认使用80端口,为避免争用 。例如:8080
vim /etc/httpd/conf/httpd.conf
Listen 8080 ##修改默认端口为8080(第42行)
firewall-cmd --permanent --add-port=8080/tcp ##需要火墙允许端口,否则无法访问
firewall-cmd --reload
systemctl restart httpd
安装apache服务器之后,mysql显示启动有问题。
[ERROR 2002 (HY000): Can't connect to local MySQL server through socket '/var/lib/mysql/mysql.sock' (111)]
查找很多解决方案都没有成功。参考链接:
https://blog.csdn.net/Homewm/article/details/81628116
最后彻底删除mysql,重装才成功。彻底删除命令如下:
yum remove mysql mysql-server mysql-libs mysql-server
find / -name mysql #将找到的相关东西delete掉
rpm -qa|grep mysql #查询出来的东东yum remove掉)
whereis mysql
#清空相关mysql的所有目录以及文件
rm -rf /usr/lib/mysql
rm -rf /usr/share/mysql
参考链接:
https://cloud.tencent.com/developer/article/1182380
https://support.huawei.com/enterprise/zh/doc/EDOC1100041554/c65a8145
其中第二个链接十分详细,可仔细阅读并实践。里面还有Mysql的加固。
1)用于运行nginx的用户必须是一个没有系统特权(非root)的用户。
在nginx主配置文件nginx.conf使用命令user来指定nginx执行用户。
user nginx;
2)定制nginx出错信息
默认我们访问不存在的页面时,报错页面上会有nginx的版本信息,这会向黑客提供信息,以方便查找当前版本的漏洞,加以利用。
在服务器上尝试访问不存在的页面,没有显示服务器版本信息。
若没有定制出错信息,则需要在http服务器中配置指令
server_tokens off;
3)禁止浏览目录
如果访问nginx下的一个web应用,如果输入是一个目录名,而且该目录下没有一个默认访问文件,那么nginx会将该目录下的所有文件列出来,这种敏感信息泄露是严格禁止的。
在server服务器中配置指令
location / {
autoindex off;
)
4)禁用不必要的http方法:DELETE、PUT、TRACE、OPTIONS等
默认http方法包括GET、HEAD、POST、PUT、DELETE、OPTIONS等方法。在这些方法中,虽然PUT、DELETE方法很少被使用到,但可能被利用来进行攻击。对于web服务来讲标准的请求只使用GET,POST和HEAD,其它方法不使用的需要禁止掉。
或者在nginx.conf针对某一个http方法禁止,根据业务需求。
http{
if ($request_method = PUT ) {
return 403;}
}
5)禁止nginx重定向至监听端口
如果请求发生重定向,nginx默认的情况下,是会在重定向的URL后自动添加nginx当前站点监听的端口。这样明显会对服务器造成很大的威胁,后端的端口暴露出来,就可能会被人直接对这个端口进行诸如CC类攻击。在配置文件nginx.conf中的http段、或server段或location段增加禁止指令,建议在http段添加,如下所示:
http{
port_in_redirect off;
}
6)限制允许访问的IP
nginx允许限制某些IP地址的客户端访问,限制IP访问可以保护nginx避免DDOS攻击。规则按照顺序依次检测,直到匹配到第一条规则。在这个例子里,IPv4的网络中只有10.1.1.0/16和192.168.1.0/24允许访问,但192.168.1.1除外,对于IPv6的网络,只有2001:0db8::/32允许访问。
location/ {
deny192.168.1.1;
allow 192.168.1.0/24;
allow 10.1.1.0/16;
allow 2001:0db8::/32;
denyall;
}
7)限制http请求的消息主体和消息头的大小
此指令给了服务器管理员更大的可控性,以控制客户端不正常的请求行为,自定义缓存以限制缓冲区溢出攻击。在配置文件nginx.conf调整请求头和请求体的缓冲区大小:
http{
... ...
server{
... ...
client_header_buffer_size 1k;
large_client_header_buffers 4 8k;
client_body_buffer_size 16k;
client_max_body_size 50g;
... ...
}
}
8)配置nginx的网络超时时间
配置nginx的超时时间,提高服务器的性能,降低客户端的等待时间。同时,在受到DOS攻击时,可以起到缓解作用。特殊情况下,请根据具体性能需求进行调优。在配置文件nginx.conf中的http段配置超时,单位秒(s):
http {
... ...
client_body_timeout 10;
client_header_timeout 10;
keepalive_timeout 5 30;
send_timeout 1000;
... ...
}
9)隐藏X-Powered-By HTTP头
X-Powered-By表示网站是用什么技术开发的,它会泄漏开发语言、版本号和框架等信息,有安全隐患,需要隐藏掉。可采用以下措施:在nginx.conf使用指令proxy_hide_header指令隐藏它。
http {
... ...
proxy_hide_header X-Powered-By;
... ...
}
10)nginx根目录只能由nginx运行用户修改,nginx根目录的所有父级目录的修改权限不能赋予除nginx运行用户的其他普通用户。
不仅文件本身,nginx根目录必须只能由属主来改写,nginx根目录的所有父级目录的修改权限不能赋予除nginx运行用户的其他普通用户。如果nginx根目录的某一父级目录的修改权限可以被其它普通用户拥有,那这个用户就可以删除这个父级目录下面原来的目录或文件然后新建同名的目录或文件,达到对目录下所有文件进行篡改控制的目的。
如果要配置nginx根目录为/etc/nginx,首先要确认/etc/nginx目录只能由nginx运行用户修改,其他用户不能具备这些目录的修改权限。
chown -R nginx:robogrp /etc/nginx
chmod -R 600 /etc/conf/*
11)日志文件属主只能是nginx运行用户,且只允许属主可读写
nginx日志文件包括错误日志和访问日志。两类日志必须都只允许其属主(nginx运行用户)可读写,如果日志文件本身对非属主用户是可写的,别人就可能伪造日志。如果nginx运行用户为nginx,日志目录为:/var/log/nginx/,执行下列命令:
chown nginx:robogrp /var/log/nginx/error.log
chmod 640 /var/log/nginx/error.log
chown nginx:robogrp /var/log/nginx/access.log
chmod 640 /var/log/nginx/access.log
12)禁用SSI功能
SSI指令可以用于执行JVM外部的程序,防止出现SSI注入等安全问题,所以禁止使用SSI功能。
nginx默认是关闭SSI功能,如果在配置文件nginx.conf的http段、server段或location段出现ssi on,务必设置为
ssi off;
13)开启nginx的日志功能:正常的访问日志和错误请求日志
这些日志可以提供异常访问的线索。nginx可以记录所有的访问请求,同样,异常的请求也会记录。日志文件可以记录系统发生的重要事件,可以帮助找到安全事件的原因,因此,日志文件要尽可能的包含访问的关键信息,例如访问时间、内容、结果、请求用户的ip、访问的网址等。在配置文件nginx.conf中,在的标签里添加如下内容,在http段声明日志文件:
http {
…
#在目录/var/log/nginx/logs/下配置一个访问日志文件,日志格式按照main来打印,压缩后写入。
access.log /var/log/nginx/access.log main gzip;
…
}
在上文配置信息中的main格式名,用来配置日志基本格式:
http {
…
#main是格式名,日志打印格式可按照此定义,具体可根据实际情况确定。
log_format main '$remote_addr - $remote_user [$time_local] "$request"'
'$status $body_bytes_sent "$http_referer" '
' "$http_user_agent" "$http_x_forwarded_for" ';
…
}
14)使用安全的TLS协议
启用SSL功能后需要配置证书和私钥,私钥强制要求设置密码保护,且对私钥文件进行严格的访问控制。必须做到以下两点:
设置合适的超时时间:设置ssl timeout的原因是避免攻击者建立大量无效链接,或者慢速攻击。
使用安全的加密套件:ssl_ciphers定义了网站使用那些加密套件,nginx的默认设置是HIGH:!aNULL:!MD5;这个值已经是比较安全的。最主要的是ssl_prefer_server_ciphers的设置,开启这个设置可以优先使用服务器定义的加密算法以防止Beast Attacks。
文章浏览阅读467次。快递地址写错了怎么办?快递地址写的不详细怎么办?怎么皮批量录入收件人地址?微商怎么批量录入发件人地址?快宝地址清洗,有效的解决了寄送快递时,批量录入收件人信息、发件人信息时,纠正地址数据,不完整地址识别,地址信息不完整时补全,已经合并区县的地址更正为最新的区县等,并输出结构化地址数据的一个有效方案。一、地址清洗适用场景1. 不完整地址识别比如地址“山东省烟台市烟台市峰哥”,由省市街道组成,..._怎么批量统一收货地址格式
文章浏览阅读1.6k次。Spring 模式注解装配模式注解模式注解是一种用于声明在应用中扮演“组件”角色的注解。如 Spring Framework 中的 @Repository 标注在任何类上 ,用于扮演仓储角色的模式注解。@Component 作为一种由 Spring 容器托管的通用模式组件,任何被 @Component 标注的组件均为组件扫描的候选对象。类似地,凡是被 @Component 元标注(meta-..._springboot2.0自动装配过程
文章浏览阅读1.7k次。telnet服务安装sudo apt-get install xinetd telnetdsudo /etc/init.d/xinetd statussudo /etc/init.d/xinetd restart如果出现 telnet: Unable to connect to remote host: Connection refused则在 /etc/inetd.conf 增加一..._telnetd 和 telnet
文章浏览阅读1.1w次。首先我们用一句话来概括下原始GAN。原始GAN由两个有机中整体构成——生成器 [公式] 和判别器 [公式] ,生成器的目的就是将随机输入的高斯噪声映射成图像(“假图”),判别器则是判断输入图像是否来自生成器的概率,即判断输入图像是否为假图的概率。GAN的训练也与CNN大不相同,CNN是定义好特定的损失函数,然后利用梯度下降及其改进算法进行优化参数,尽可能用局部最优解去逼近全局最优解。但是GAN的训练是个动态的过程,是生成器 [公式] 与判别器 [公式] 两者之间的相互博弈过程。通俗点讲,GAN的目的就.._基于损失函数分类的gan研究综述
文章浏览阅读2.6k次,点赞4次,收藏12次。1、Camera成像原理介绍Camera工作流程图Camera的成像原理可以简单概括如下:景物(SCENE)通过镜头(LENS)生成的光学图像投射到图像传感器(Sensor)表面上,然后转为电信号,经过A/D(模数转换)转换后变为数字图像信号,再送到数字信号处理芯片(DSP)中加工处理,再通过IO接口传输到CPU中处理,通过DISPLAY就可以看到图像了。电荷耦合器件(CCD)或互补金属氧化物半导..._高通平台camera灰区为啥四根线
文章浏览阅读1.5k次。此次文章来自知乎,总结了前辈的见解!!!上一篇文章中,我们介绍了《Room的基本使用》。每次数据库中的数据发生变化后,我们都需要开启一个工作线程去获取数据库中的内容。这让我们觉得不方便,我们希望数据在发生变化时,我们能自动收到通知,这就是LiveData。LiveData通常结合ViewModel一起使用。我们知道ViewModel是用来存放数据的,因此我们可以将数据库放在ViewModel中进行实例化。但数据库在实例化的时候需要Context,而ViewModel不能传入任何带有Context引用_room livedata
文章浏览阅读1.1w次,点赞11次,收藏61次。一般金融类的产品,涉及前端和后端交互的时候,都会都严格的数据安全保证。防止黑客攻击,信息篡改。加密方式有很多,总的来说,分为2种:对称和非对称。我们先来看一下,这两种加密方式分别是什么?他们有什么区别?对称加密:对称加密,即采用对称的密码编码技术,他的特点是,加密和解密使用相同的秘钥。 常见的对称加密算法有DES、3DES、Blowfish、IDEA、RC4、RC5、RC6...
文章浏览阅读6.5k次,点赞10次,收藏49次。最近在学习安卓开发,为了免于自己搭服务器,选择连接到XAMPP的mysql数据库。在这贴出自己遇到的一些问题。It seems that the port 3306 is already in use.aer you sure you want to use this portmysql服务器需要使用3306端口。这个错误意思是3306已经被其他程序使用了,所以XAMPP不能启动mysql服务。这里我们就需要修改XMAPP里mysql的端口,避免端口冲突。我们右键选择mysql->confi
文章浏览阅读2.2w次,点赞11次,收藏21次。The following is not allowed:switch (a){ case 1: int a = 6; //stuff break; case 2: /_error: jump to case label
文章浏览阅读921次。概述 glob 文件名模式匹配,不用遍历整个目录判断每个文件是不是符合。用它可以查找符合特定规则的文件路径名。跟使用windows下的文件搜索差不多。可以使用*、?、[ ]这三种通配符对路径中的文件进行匹配。 ● *:匹配0个或多个字符● ?:匹配单个字符● [ ]:匹配指定范围内的字符,如:[0-9]匹配数字1. 通配符_glob库
文章浏览阅读1.8k次。离散时间系统分析及MATLAB实现 离散时间系统分析及MATLAB实现 摘自:张登奇,周婷,梁莺.离散时间系统分析及MATLAB实现[J].湖南理工学院学报(自然科学版),2009,(03) 摘 要:线性时不变离散时间系统是最基本的数字系统,差分方程和系统函数是描述系统的常用数学模型,单位脉冲响应和频率响应是描述系统特性的主要特征参数,零状态响应和因果稳定性是系统分析的重要内容。文章从系统的分析流..._编写一个matlab函数来计算并绘制离散时间系统y[n]=5y[n-1]+x[n]
文章浏览阅读2.4k次。coTurn是一个开源的STUN和TURN及ICE服务项目,只是不支持Windows。为了在window平台上使用coTurn源码,需要在windows平台下安装Cygwin环境,并编译coTurn源码,使其可以运行在windows平台上。步骤:1、安装Cygwin,地址:https://cygwin.com/install.html,按照其说明进行安装。参照说明地址:https://c..._coturn windows