《LAMP环境搭建及安全配置.ppt》由会员分享,可在线阅读,更多相关《LAMP环境搭建及安全配置.ppt(26页珍藏版)》请在三一办公上搜索。
1、LAMP环境搭建及安全配置,黑龙江信息技术职业学院05级网络一班高春雷,内容提要,什么是LAMPLAMP环境搭建准备工作LAMP环境搭建之MySQL的安装LAMP环境搭建之Apache的安装LAMP环境搭建之其他插件的安装LAMP环境搭建之PHP的安装ZendOptimizer的安装搭建相对安全的基于LAMP环境的网站,什么是LAMP,LAMP是一个多词缩写,指的是:Linux+Apache+Mysql+Perl/PHP/Python,它是一组常用来搭建动态网站或者服务器的开源软件,本身都是各自独立的程序,但是因为常被放在一起使用,拥有了越来越高的兼容度,共同组成了一个强大的Web应用程序平台
2、。LAMP环境也被用户誉为黄金组合!,LAMP环境搭建准备工作,安装Redhat Enterprise Linux 4 操作系统 这里的Linux发行版我选用的是Redhat Enterprise Linux 4,大家也可以根据实际情况选择像Fedora、Debian、SuSE、Gentoo还有如今很流行的Ubuntu等等的Linux发行版。,移除采用RPM安装方式安装的LAMP环境中的一个或多个组件 这里强烈建议大家采用源码包编译安装的方式来安装LAMP环境,因为采用这种方式可以修改其中的一个或多个组件的设置,例如你需要MySQL数据库中的一个特性,但其在采用RPM的安装方式时并没有被启用。
3、查看本机是否已经采用RPM安装方式安装了LAMP环境中的组件方法 rpm-qa|grep apacherpm-qa|grep httpd(采用RPM安装方式安装了Apache 2.x的版本)rpm-qa|grep phprpm-qa|grep mysql 移除已经安装的RPM包的命令为:rpm e filename,安装C+compiler 如果想采用源码包编译安装的方式来安装LAMP环境的话,必须要保证本机已经安装有gcc编译器。检查是否安装有gcc的方法很简单,输入命令“gcc v”即可,如下图:,将安装时要用到的程序源码统一放置在一个目录中,这里建议大家放置在/usr/local/src
4、目录下,原因如下:1.存放位置统一。当需要改变某个组件的其中一个特性时,就需要重新编译源码并安装,这样以来就省去了到处查找源码的麻烦。2.便于给程序打补丁。当某个程序出现安全问题需要对其打补丁时,就需要将补丁文件置于程序的源码目录,打补丁之后需要重新编译并安装该程序。,LAMP环境搭建之MySQL的安装,MySQL 数据库服务器安装演示,LAMP环境搭建之Apache的安装,Apache Web 服务器安装演示,LAMP环境搭建之其他插件的安装,Libxml2、zlib、jpeg、libpng、freetype、gd库的安装演示,LAMP环境搭建之PHP的安装,PHP 安装演示,ZendOpt
5、imizer的安装,ZendOptimizer安装演示,搭建相对安全的基于LAMP环境的网站,隐藏Apache的版本 首先编辑Apache的配置文件httpd.conf,加入:ServerSignature Off ServerTokens Prod 然后重新启动Apache服务器。我们来看下前后的变化,如下图:,为Apache使用专门的用户和用户组 注意:必须保证Apache使用一个专门的用户和用户组,不要使用系统预定义的帐号,比如nobody用户和nogroup用户组。一、groupadd webteam useradd g webteam c“Web Server User”www 二、
6、修改httpd.conf文件,将User和Group处所指定的用户和组修改为“www”和“webteam”三、重新启动Apache使设置生效 四、chown R www.webteam/usr/local/www(Web所在路径),新建一个MySQL数据库帐户用于网站访问 众所周知MySQL数据库在安装后有个默认的root帐户,该账户在MySQL中拥有最高权限,所以在网站的数据库连接部分一定不要使用该帐号,避免因此带来安全隐患。通常的作法是建立一个只对指定数据库具有完全控制权的用户,且该用户不允许远程进行登录,方法如下:mysql create database discuz;mysql GR
7、ANT ALL PRIVILEGES ON discuz.*TO discuz_userlocalhost IDENTIFIED BY xhonker WITH GRANT OPTION;这里新建了一个名为“discuz_user”的用户,密码为“xhonker”,且该用户只允许从本机“localhost”登录,而且只对“discuz”数据库具有完全控制权。,禁止使用目录索引 Apache服务器在接收到用户对一个目录的访问时,会查找DirectoryIndex指令制定的目录索引文件,默认情况下该文件是index.html。如果该文件不存在,那么Apache会创建动态列表为用户显示该目录的内容。
8、,修改配置文件httpd.conf:Options Indexes FollowSymLinksOptions指令通知Apache禁止使用目录索引,FollowSymLinks表示不允许使用符号链接。,禁止显示PHP的执行错误信息,编辑/usr/local/lib/php.ini文件,设置:display_errors=Off,关闭PHP版本信息在http头中的泄漏 我们为了防止黑客获取服务器中php版本的信息,可以避免该信息泄露在http头中,编辑php.ini,修改:expose_php=Off 比如黑客在 telnet 80 的时候,那么将无法看到PHP的版本信息。,控制PHP脚本只能访
9、问指定目录,在httpd.conf中添加如下内容:php_admin_value open_basedir/usr/local/www 后面的路径是你需要PHP脚本能够访问的目录,禁止MySQL、Apache等使用的帐号的登录权限 修改/etc/passwd文件,将需要禁止登录的帐号的shell改为/sbin/nologin,禁止对方使用ping命令探测 修改/proc/sys/net/ipv4/icmp_echo_ignore_all文件,将其中的数字“0”改为数字“1”即可:echo 1/proc/sys/net/ipv4/icmp_echo_ignore_all 将以上语句写入/etc/rc.d/rc.local文件实现开机自动运行,我应关注于哪些安全社区呢?以便从中学到经验。安全焦点:邪恶八进制:红狼安全:我应关注哪些安全博客以便获取最新的HACK资源?Neeaos Blog:鬼仔s Blog:http:/huaidan.org/,谢谢大家!,
