LAMP环境搭建及安全配置.ppt

LAMP环境搭建及安全配置 黑龙江信息技术职业学院05级网络一班 高春雷 内容提要 l什么是LAMP lLAMP环境搭建准备工作 lLAMP环境搭建之MySQL的安装 lLAMP环境搭建之Apache的安装 lLAMP环境搭建之其他插件的安装 lLAMP环境搭建之PHP的安装 lZendOptimizer的安装 l搭建相对安全的基于LAMP环境的网站 什么是LAMP lLAMP是一个多词缩写，指的是： Linux+Apache+Mysql+Perl/PHP/Python，它 是一组常用来搭建动态网站或者服务器的开源 软件，本身都是各自独立的程序，但是因为常 被放在一起使用，拥有了越来越高的兼容度， 共同组成了一个强大的Web应用程序平台。 lLAMP环境也被用户誉为黄金组合! LAMP环境搭建准备工作 l安装Redhat Enterprise Linux 4 操作系统 这里的Linux发行版我选用的是Redhat Enterprise Linux 4 ，大家也可以根据实际情况选择像Fedora、Debian、 SuSE、Gentoo还有如今很流行的Ubuntu等等的Linux发 行版。 l移除采用RPM安装方式安装的LAMP环境中的一个或多个组件 这里强烈建议大家采用源码包编译安装的方式来安装LAMP环境，因为采用这种方式可 以修改其中的一个或多个组件的设置，例如你需要MySQL数据库中的一个特性，但其 在采用RPM的安装方式时并没有被启用。 l查看本机是否已经采用RPM安装方式安装了LAMP环境中的组件方法 rpm -qa | grep apache rpm -qa | grep httpd (采用RPM安装方式安装了 Apache 2.x的版本) rpm -qa | grep php rpm -qa | grep mysql l移除已经安装的RPM包的命令为：rpm e filename l安装C+ compiler 如果想采用源码包编译安装的方式来安装LAMP环境的话 ，必须要保证本机已经安装有gcc编译器。检查是否安装 有gcc的方法很简单，输入命令“gcc v”即可，如下图： l将安装时要用到的程序源码统一放置在一个目录中， 这里建议大家放置在/usr/local/src目录下，原因如下： 1. 存放位置统一。当需要改变某个组件的其中一个特性时 ，就需要重新编译源码并安装，这样以来就省去了到处查 找源码的麻烦。 2. 便于给程序打补丁。当某个程序出现安全问题需要对其 打补丁时，就需要将补丁文件置于程序的源码目录，打补 丁之后需要重新编译并安装该程序。 LAMP环境搭建之MySQL的安装 lMySQL 数据库服务器安装演示 LAMP环境搭建之Apache的安装 lApache Web 服务器安装演示 LAMP环境搭建之其他插件的安装 lLibxml2、zlib、jpeg、libpng、freetype、gd库 的安装演示 LAMP环境搭建之PHP的安装 lPHP 安装演示 ZendOptimizer的安装 lZendOptimizer安装演示 搭建相对安全的基于LAMP环境的网站 l隐藏Apache的版本 首先编辑Apache的配置文件httpd.conf，加入： ServerSignature Off ServerTokens Prod 然后重新启动Apache服务器。我们来看下前后的变化，如下图： l为Apache使用专门的用户和用户组 注意：必须保证Apache使用一个专门的用户和用户组，不要使用系统预定义的帐号，比 如nobody用户和nogroup用户组。 一、groupadd webteam useradd g webteam c “Web Server User” www 二、修改httpd.conf文件，将User和Group处所指定的用户和组修改为“www”和 “webteam” 三、重新启动Apache使设置生效 四、chown R www.webteam /usr/local/www (Web所在路径) l新建一个MySQL数据库帐户用于网站访问 众所周知MySQL数据库在安装后有个默认的root帐户，该账户在 MySQL中拥有最高权限，所以在网站的数据库连接部分一定不要使 用该帐号，避免因此带来安全隐患。通常的作法是建立一个只对指定 数据库具有完全控制权的用户，且该用户不允许远程进行登录，方法 如下： mysql create database discuz; mysql GRANT ALL PRIVILEGES ON discuz.* TO discuz_userlocalhost IDENTIFIED BY xhonker WITH GRANT OPTION; 这里新建了一个名为“discuz_user”的用户，密码为“xhonker”，且该用户只允 许从本机“localhost”登录，而且只对“discuz”数据库具有完全控制权。 l禁止使用目录索引 Apache服务器在接收到用户对一个目录的访问时，会查找DirectoryIndex指令制定的目 录索引文件，默认情况下该文件是index.html。如果该文件不存在，那么Apache会创 建动态列表为用户显示该目录的内容。 修改配置文件httpd.conf： Options Indexes FollowSymLinks Options指令通知Apache禁止使用目录索引，FollowSymLinks表示不允许使用符号链接。 l禁止显示PHP的执行错误信息 编辑/usr/local/lib/php.ini文件，设置： display_errors = Off l关闭PHP版本信息在http头中的泄漏 我们为了防止黑客获取服务器中php版本的信息，可以避免该信息泄露在http 头中，编辑php.ini，修改： expose_php = Off 比如黑客在 telnet 80 的时候，那么将无法看到PHP的版本 信息。 l控制PHP脚本只能访问指定目录 在httpd.conf中添加如下内容： php_admin_value open_basedir /usr/local/www 后面的路径是你需要PHP脚本能够访问的目录 l禁止MySQL、Apache等使用的帐号的登录权 限 修改/etc/passwd文件，将需要禁止登录的帐号 的shell改为/sbin/nologin l禁止对方使用ping命令探测 修改/proc/sys/net/ipv4/icmp_echo_ignore_all 文件，将其中的数字“0”改为数字“1”即可： echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all 将以上语句写入/etc/rc.d/rc.local文件实现开机自动运行 l我应关注于哪些安全社区呢？以便从中学到经验。 安全焦点：/ 邪恶八进制：/ 红狼安全：/2008/