一键安装LNMP优化笔记.doc

前 言本笔记采用军哥的LNMP一键安装并综合了张宴的笔记进行了适度优化,在实际运行中也有不错的表现. 军哥的一键安装网站:/install.html 军哥博客,很多配置可以在这里找到 / 张宴博客参考: /nginx_php_v6/安装后优化总结v 所有的nginx配置文件中都必须要检查是否有下列配置,否则不安全.1. 空主机头设置2. 检查CPU设置数量, 尽量改大点3. 防盗链 - 要检查各虚拟主机vhost4. Nginx漏洞修补部分 - 要检查各虚拟主机vhost5. 伪静态语句 - 要检查各虚拟主机vhost6. 301永久指向 ( ) 参考语句:if ($host != ) rewrite /(.*)$ /$1 permanent;v 编写每天定时切割Nginx日志的脚本,注意按照实际情况修改路径1. 创建脚本/usr/local/webserver/nginx/sbin/cut_nginx_log.sh2. vi /usr/local/webserver/nginx/sbin/cut_nginx_log.sh3. 输入以下内容：引用#!/bin/bash# This script run at 00:00# The Nginx logs pathlogs_path=/usr/local/webserver/nginx/logs/mkdir -p $logs_path$(date -d yesterday +%Y)/$(date -d yesterday +%m)/mv $logs_pathaccess.log $logs_path$(date -d yesterday +%Y)/$(date -d yesterday +%m)/access_$(date -d yesterday +%Y%m%d).logkill -USR1 cat /usr/local/webserver/nginx/nginx.pidv 设置crontab，每天凌晨00:00切割nginx访问日志1. crontab -e2. 输入以下内容：00 00 * * * /bin/bash/usr/local/webserver/nginx/sbin/cut_nginx_log.shTroubleshooting v 运行 /root/lnmp restart出现下列提示Starting php_fpm Failed loading /usr/local/zend/ZendOptimizer.so: /usr/local/zen/ZendOptimizer.so:connot restore segment prot after reloc: Permission denied解决方法可以先尝试下面方法,待错误消失后重新开启Selinx方法1：关闭SELINX，执行：/usr/sbin/setenforce 0方法2：禁止掉SELinux 更改/etc/sysconfig/selinux 文件的内容为 SELINUX=disabled方法3：当然不想关闭SWlinux,我们可以这样：chcon -t textrel_shlib_t /usr/local/zend/ZendOptimizer.so优化Mysql参数登陆mysql的命令:1. export PATH=/usr/local/mysql/bin:$PATH2. mysql -u root p3. use DB(数据库名) 可以切换到需要的数据库下4. flush tables; 刷新数据库表5. flush privileged; 刷新权限也可以通过SSH来修改数据库表的权限(一般666就可以了)安装结束后,MYSQL数据库用户名root密码root，登陆后进入mysql数据库，找到user表，删除除了有root密码外的所有用户LNMP中默认是用小内存MYSQL,所以需要更改为LARGE的,或者用my-innodb-heavy-4G.cnf 这个配置cp -r /usr/local/mysql/share/mysql/f /etc/f优化NGINX的参数及对应安全配置v 安装完毕后, centos.sh / debian.sh eaccelerator.sh ftp/install.php 全部重新命名或者删除 极端重要v phpmyadmin下的setup目录改名或删掉 极端重要nginx完美解决同一服务上的站点WebShell访问限制问题(跨站跨目录)v /viewthread.php?tid=6546&extra=&page=1 - 待验证,基本可行v NGINX漏洞修复 极端重要必须在nginx的主站(nginx.conf文件)及各虚拟主机vhost全部配置添加如下内容，重启nginx#以下这段是为了防止Nginx漏洞location .*.(php|php5)?$if ($request_filename * (.*).php) set $php_url $1; if (!-e $php_url.php) return 403; #以上这段是为了防止Nginx漏洞 v 设置空主机头,避免别人恶意域名指过来,此语句可以做指向,将恶意指向的IP导向其它地方.#以下这段是设置空主机头,避免恶意指向server listen 80;server_name _; #default return 444; #以上这段是设置空主机头,避免恶意指向v 增加限制会话链接 limit_conn crash5; 每个会话5个链接 . - 待验证v 如何关闭NGINX日志:修改nginx.conf 找到access_log：access_log /dev/null;error_log /dev/null;v 手动在网站根目录下创立所有子目录名字,并修改文件夹属性, chown -R www:www /data0/htdocs/blog chmod +w /data0/htdocs/blog必须要做,否则会出现打不开网站或者子域名v Nginx防盗链,防采集控制,在nginx.conf 文件中加入下列语句,红色部分改为自己域名, 同时要考虑搜索爬虫,做到平衡#以下为图片防盗链规则location * .(gif|jpg|png|swf|flv)$ valid_referers none blocked localhost; if ($invalid_referer) rewrite / /;#return 404;#以上为图片防盗链规则CENT OS 系统参数优化v 安装完毕后启动iptable,只开放需要的端口(setup命令端口开启)v 防止同步包洪水(Sync Flood) iptables -A FORWARD -p tcp -syn -m limit -limit 1/s -j ACCEPTv 防止各种端口扫描 iptables -A FORWARD -p tcp -tcp-flags SYN,ACK,FIN,RST RST -m limit -limit 1/s -j ACCEPTv Ping 洪水攻击(Ping of Death) iptables -A FORWARD -p icmp -icmp-type echo-request -m limit -limit 1/s -j ACCEPTecho 2048 /proc/sys/net/ipv4/tcp_max_syn_backlogecho 1 /proc/sys/net/ipv4/tcp_synack_retriesecho 1 /proc/sys/net/ipv4/tcp_syn_retriesecho 1 /proc/sys/net/ipv4/tcp_syncookiesv 优化Linux内核参数vi /etc/sysctl.conf 修改下面项目数值net.ipv4.tcp_syncookies=1 #启用使用syncookies net.ipv4.conf.all.send_redirects=0 net.ipv4.conf.all.accept_redirects=0 #不接受重定向的ICMP數據包net.ipv4.tcp_window_scaling=1 net.ipv4.icmp_echo_ignore_all=1 #禁止ICMP,可选项目,默认为0net.ipv4.icmp_echo_ignore_broadcasts=1 #ICMP禁止广播 可选项目 在末尾增加以下内容：# Addnet.ipv4.tcp_max_syn_backlog = 6000 #最大半连接数dev_max_backlog = 32768net.core.somaxconn = 32768net.core.wmem_default = 8388608net.core.rmem_default = 8388608net.core.rmem_max = 16777216net.core.wmem_max = 16777216net.ipv4.tcp_timestamps = 0net.ipv4.tcp_synack_retries = 1 #降低syn重试次数net.ipv4.tcp_syn_retries = 1 #降低syn重试次数net.ipv4.tcp_tw_recycle = 1#net.ipv4.tcp_tw_len = 1net.ipv4.tcp_tw_reuse = 1net.ipv4.tcp_mem = 94500000 915000000 927000000net.ipv4.tcp_max_orphans = 3276800net.ipv4.tcp_fin_timeout = 30 net.ipv4.tcp_keepalive_time = 60net.ipv4.ip_local_port_range = 1024 65535v 修改php-fpm.conf最大连接1. /usr/local/php/etc/php-fpm.conf , 修改php-fpm.conf最大连接为160:160 说明每个PHP进程使用20M, 因为我内存为4G,2. 0 关闭错误输出(0为关闭)v 修改php.ini文件手工修改：查找/usr/local/webserver/php/etc/php.ini中的extension_dir = ./修改为extension_dir = /usr/local/webserver/php/lib/php/extensions/no-debug-non-zts-20060613/并在此行后增加以下几行，然后保存：extension = memcache.soextension = pdo_mysql.soextension = imagick.so再查找output_buffering = Off修改为output_buffering = On自动修改：若嫌手工修改麻烦，可执行以下shell命令，自动完成对php.ini文件的修改：sed -i s#extension_dir = ./#extension_dir = /usr/local/webserver/php/lib/php/extensions/no-debug-non-zts-20060613/nextension = memcache.sonextension = pdo_mysql.sonextension = imagick.son# /usr/local/webserver/php/etc/php.inised -i s#output_buffering = Off#output_buffering = On# /usr/local/webserver/php/etc/php.inised -i s#; always_populate_raw_post_data = On#always_populate_raw_post_data = On#g /usr/local/webserver/php/etc/php.iniv 重要提示,如果出现502错误,请参考下面变换 eaccelerator 和 Zend optimizer位置:eacceleratorzend_extension=/usr/local/php/lib/php/extensions/no-debug-non-zts-20060613/eaccelerator.soeaccelerator.shm_size=128 此项改为128eaccelerator.cache_dir=/usr/local/eaccelerator_cacheeaccelerator.enable=1eaccelerator.optimizer=1eaccelerator.check_mtime=1eaccelerator.debug=0eaccelerator.filter=eaccelerator.shm_max=0eaccelerator.shm_ttl=3600eaccelerator.shm_prune_period=3600eaccelerator.shm_only=0press=1press_level=9eaccelerator.keys = disk_only eaccelerator.sessions = disk_onlyeaccelerator.content = disk_onlyZend Optimizer zend_optimizer.optimization_level=1 zend_extension=/usr/local/zend/ZendOptimizer.sov 禁用部分危险的函数:方法如下：打开/usr/local/php/lib/php.ini和/usr/local/php-fcgi/lib/php.ini更改disable_functions =为disable_functions = system,passthru,shell_exec,exec, proc_open,popen重启LNMPv 系统利用ntpdate同步标准时间.没有安装ntpdate的可以yum一下:yu