CentOS+Nginx+PHP+Mysql+安全指南全环境搭建笔记

1、CentOS Nginx PHP Mysql安全指南全环境构建笔记本QQ群：这是爱月在配置学校内部下载网站的服务器时写的笔记本参考了张宴大和王玉宇1314教程，并参考了根据自己实际情况写的笔记我们可以记录未来。二是笔记中一次内容上列举的两个人没有写大这是第一部分，系统安装后的初始首选项主要内容如下：用户管理和用户安全系统时间和自动同步系统时间的设置关闭不必要的服务系统更新使用OpenSSH构建SSH服务器CentOS Nginx PHP Mysql安全指南全环境构建笔记本(1)-系统安装后的初始环境设定创建和删除一般用户# useradd lovemoon创建用户名为lovemoon的一般用户

2、# passwd lovemoon设定用户lovemoon的密码变更passwordforuserlovemoon。new UNIX密码：输入密码(不显示密码)。retype new UNIX密码：再次输入密码，确认密码是否匹配passwd : alauthenticationtokensupdatedsuccessfully。密码设定成功。#userdel -r lovemoon删除用户名为lovemoon的一般用户将普通用户设置为另一用户组# usermod -G wheel lovemoon将一般用户lovemoon追加到管理者组wheel组中# usermod -G wheel，www

3、 lovemoon一般用户lovemoon同时加入wheel和www组只有管理员wheel组可以使用su命令进入root权限# vi /etc/pam.d/su 打开该配置文件auth required/lib/security/$ isa/PAM _ wheel.souse _ uid文件修改成这种状态(约第六行的位置)# echo su _ wheel _ only yes /etc/log in.defs在login.defs文件行的末尾添加语句系统时间和自动同步系统时间的设置# Yumin安装- yntp安装NTP官方时间同步程序(NTP:中国国家授时中心)#/usr/sbin/ntp

4、date-sp rool.NTP.org以NTP官方服务器为基准调整本地时间# crontab -e编辑计划任务列表03 * * */usr/sbin/ntpdate-sp rool.NTP.org表示如果在这种状态下编辑文件，每天上午3点自动同步时间。# /sbin/service crond reload重装计划任务构成关闭不必要的服务# setup打开图形设定画面。选择“系统服务”进入服务列表使用空格键选择“*”或“ 服务只保留下列服务，未列出的服务总是关闭crond公司PS平衡服务器CPU仅在支持S.M.P体系结构或双核、HT技术时才需要打开，否则需要关闭。iptablesmicroc

5、ode_ctl网络公司固态硬盘系统日志vsftpdyum-updatesd系统更新# VI/etc/yum.repos.d/centos-base.repo修改系统更新地址文件所有 base URL=/centos/$ releasever/OS/$ basearch/更改为“base URL=http:/mirrors.SHL /centos/$ releasever/OS/$ basearch /”# yum-y升级系统文件的更新使用OpenSSH构建SSH服务器# vi /etc/ssh/sshd_config用VI打开SSH的

6、配置文件将“# protocol 2，1”设为更改为“协议2”只允许SSH2方式的连接(Centos 5.2中已经包含)将“#ServerKeyBits 768”设置为更改为“服务器密钥位1024”将服务器密钥的强度更改为1024位请选择“#PermitRootLogin yes”更改为“PermitRootLogin no”不允许以root登录(wheel组用户SSH登录后，su命令可以使用root权限)请选择“#PasswordAuthentication yes”更改为“PasswordAuthentication no”不允许密码方式的登录(SSH远程管理用密钥登录安全多)请选择“#P

7、ermitEmptyPasswords no”更改为“PermitEmptyPasswords no”无法注册空密码# VI/etc /主机. deny变更掩码规则，限定可以在该服务器上进行SSH远程登录的IP地址sshd: ALL在文件的末尾添加此行，阻止所有SSH连接请求# vi /etc/hosts.allow更改允许规则，限制SSH远程登录到此服务器的IP地址。sshd:222.17.177sshd:5sshd:37如果将这三行添加到文件末尾，则只允许222.17.177网段、IP地址为5、IP地址为37的SSH连

8、接请求# /etc/rc.d/init.d/sshd restart重新启动SSH服务器stopping sshd : 确定starting sshd : 确定 SSH服务器已成功重新启动#苏- love moon用一般用户lovemoon登录服务器$ ssh-keygen -t rsa制作公开密钥和秘密密钥。genratingpublic /私有atersakeypair。enterfileinwhichtosavethekey (/home/KAZ/. ssh/id _ RSA ) :密钥的文件名，在此保持默认的直接返回创建目录/主页/KAZ/. ssh企业路径(emptyfornopas

9、sphrase ) :输入密钥密码(使用SSH远程软件时使用)Enter same passphrase again:再次输入密钥密码(使用SSH远程软件时使用)youridentificationhasbeenstedin/home/KAZ/. ssh/id _ RSA。id_rsa秘密密钥文件已创建yourpublickeyhasbeenstavein/home/KAZ/. ssh/id _ RSA.pub。已创建id_rsa.pub公钥文件$ cd /.sshlovemoon用户SSH配置文件的目录(/目录相当于/home/lovemoon/)$ cat/.ssh/id _ RSA.pu

10、b/.ssh /授权_ keys公开密钥的内容输出到authorized_keys文件中$ rm -f /.ssh/id_rsa.pub删除原来的公钥文件$ chmod 400/.ssh /授权_ keys将新生成的公开密钥文件属性设定为400$ exit结束一般用户的登录以超级用户身份登录并插入USB# fdisk -l显示当前所有硬盘，并找到名为sdb1的sdb1设备名(具体来说，在此处因服务器而异)# mount /dev/sdb1 /mnt将USB设备装载到/mnt目录中# mv/home/love moon/. ssh/id _ RSA/mnt /将id_rsa秘密密钥文件移动到US

11、B。# umount /mnt/卸载USB-Nginx PHP MySQL环境的构建使用yum命令配置和升级所需的库# sudo -s# LANG=C# yum-yinstallgccgcc-cautoconfigulibjpeg-devellibpnglibpng-devel freetype-devel libxml2- develzlibzlib-develglibcgli BC-devel这些程序库的安装升级。将环境所需的文件下载到指定的目录# mkdir-p /软件在根目录中创建software文件夹# CD /软件进入软件文件夹# wget http:/sysoev.ru/ngin

12、x/nginx-0.7.19.tar.gz# wget http:/www.PHP.net/get/PHP-5.2.6.tar.gz/from/this/mirror# wget http:/PHP-/downloads/head/PHP-5.2.6-fpm-0.5.9.diff.gz# wget http:/博客. /soft/Linux/MySQL/MySQL-5.1.26-RC.tar.gz# wget http:/FTP.GNU.org/pub/GNU/libiconv/libiconv-1.12.tar.gz# wget http:/mir

13、/SourceForge/m/MC/mcrypt/libmcrypt-2.5.8.tar.gz# wget /SourceForge/m/MC/mcrypt/mcrypt-2.6.7.tar.gz# wget http:/pecl.PHP.net/get/memcache-2.2.3.tgz# wget /SourceForge/m/MH/mhash/mhash-0.9.tar.gz# wget FTP :/FTP.csx.cam.AC.uk/pub /软件/编程/pcre/pcre-7.tar.gz# wget http:/B/source//eaccelerator-.tar.bz2将这些文件下载到software目录中编译安装PHP 5.2.6所需的支持