CentOS 5 全功能WWW服务器搭建全教程 V3.0 (续)

21、mysql优化及安全设置
Mysql的优化设置
打开/etc/my.cnf文件，修改以下设置，如果没有，可手动添加。调整设置时，请量力而行，这与你的服务器的配置有关，特别是内存大小。以下设置比较适合于1G内存的服务器，但并不绝对。
#指定索引缓冲区的大小，它决定索引处理的速度，尤其是索引读的速度。通过检查状态值Key_read_requests和Key_reads，可以知道 key_buffer_size设置是否合理。比例key_reads / key_read_requests应该尽可能的低，至少是1:100，1:1000更好（上述状态值可以使用show status like 'key_reads'获得）。key_buffer_size只对MyISAM表起作用。即使你不使用MyISAM表，但是内部的临时磁盘表是 MyISAM表，也要使用该值。可以使用检查状态值created_tmp_disk_tables得知详情。
key_buffer = 384M
#要求MySQL能有的连接数量。当主要MySQL线程在一个很短时间内得到非常多的连接请求，这就起作用，然后主线程花些时间(尽管很短)检查连接并且启动一个新线程。back_log值指出在MySQL暂时停止回答新请求之前的短时间内多少个请求可以被存在堆栈中。只有如果期望在一个短时间内有很多连接，你需要增加它，换句话说，这值对到来的TCP/IP连接的侦听队列的大小。你的操作系统在这个队列大小上有它自己的限制。试图设定back_log高于你的操作系统的限制将是无效的。默认数值是50
back_log = 200
#一个包的最大尺寸。消息缓冲区被初始化为net_buffer_length字节，但是可在需要时增加到max_allowed_packet个字节。缺省地，该值太小必能捕捉大的(可能错误)包。如果你正在使用大的BLOB列，你必须增加该值。它应该象你想要使用的最大BLOB的那么大。
max_allowed_packet = 4M
#允许的同时客户的数量。增加该值增加 mysqld要求的文件描述符的数量。这个数字应该增加，否则，你将经常看到 Too many connections 错误。 默认数值是100
max_connections = 1024
#指定表高速缓存的大小。每当MySQL访问一个表时，如果在表缓冲区中还有空间，该表就被打开并放入其中，这样可以更快地访问表内容。通过检查峰值时间的状态值Open_tables和Opened_tables，可以决定是否需要增加table_cache的值。如果你发现open_tables等于 table_cache，并且opened_tables在不断增长，那么你就需要增加table_cache的值了（上述状态值可以使用show status like 'Open_tables'获得）。注意，不能盲目地把table_cache设置成很大的值。如果设置得太高，可能会造成文件描述符不足，从而造成性能不稳定或者连接失败。
table_cache = 512
#每个线程排序所需的缓冲
sort_buffer_size = 4M
#当一个查询不断地扫描某一个表，MySQL会为它分配一段内存缓冲区。read_buffer_size变量控制这一缓冲区的大小。如果你认为连续扫描进行得太慢，可以通过增加该变量值以及内存缓冲区大小提高其性能。
read_buffer_size = 4M
#加速排序操作后的读数据，提高读分类行的速度。如果正对远远大于可用内存的表执行GROUP BY或ORDER BY操作，应增加read_rnd_buffer_size的值以加速排序操作后面的行读取。仍然不明白这个选项的用处……
read_rnd_buffer_size = 8M
#用于REPAIR TABLE。不明白这个选项的用处，百度上找到的设置方向也是五花八门，有128M、64M、32M等，折中选一个。
myisam_sort_buffer_size = 64M
#可以复用的保存在中的线程的数量。如果有，新的线程从缓存中取得，当断开连接的时候如果有空间，客户的线置在缓存中。如果有很多新的线程，为了提高性能可以这个变量值。通过比较 Connections 和 Threads_created 状态的变量，可以看到这个变量的作用。
thread_cache_size = 128
#查询结果缓存。第一次执行某条SELECT语句的时候，服务器记住该查询的文本内容和它返回的结果。服务器下一次碰到这个语句的时候，它不会再次执行该语句。作为代替，它直接从查询缓存中的得到结果并把结果返回给客户端。
query_cache_size = 32M
#最大并发线程数,cpu数量*2
thread_concurrency = 2
#设置超时时间,能避免长连接
wait_timeout = 120
#关闭不需要的表类型,如果你需要,就不要加上这个
skip-innodb
skip-bdb
关于mysql的优化设置及检查，这篇文章很值得一看 http://tech.itdb.cn/n/200607/27/n20060727_30398.shtml
Mysql的安全设置
打开/etc/my.cnf文件，修改以下设置，如果没有，可手动添加。
#取消文件系统的外部锁
skip-locking
#不进行域名反解析,注意由此带来的权限/授权问题
skip-name-resolve
#禁止MySQL中用“LOAD DATA LOCAL INFILE”命令。这个命令会利用MySQL把本地文件读到数据库中，然后用户就可以非法获取敏感信息了。网络上流传的一些攻击方法中就有用它的，它也是很多新发现的SQL Injection攻击利用的手段！
local-infile = 0
#关闭远程连接，即3306端口。这是MySQL的默认监听端口。由于此处MySQL只服务于本地脚本，所以不需要远程连接。尽管MySQL内建的安全机制很严格，但监听一个TCP端口仍然是危险的行为，因为如果MySQL程序本身有问题，那么未授权的访问完全可以绕过MySQL的内建安全机制。（你必须确定，你是否真的不需要远程连接mysql）
skip-networking
修改完my.cnf后，还需要对mysql的用户名、帐号、及默认数据库进行调整
首先先登录mysql，在终端窗口输入 /usr/local/mysql/bin/mysql -u root -p
然后会提示输入密码，输入正确密码后，会出现mysql>提示符。
输入以下命令：
mysql>use mysql;
mysql>update user set user="centos" where user="root"; (将mysql的root用户名修改成centos，防止root的密码被暴力破解)
mysql>select Host,User,Password,Select_priv,Grant_priv from user;
mysql>delete from user where user=''; （删除user用户）
mysql>delete from user where password=''; （删除user用户）
mysql>delete from user where host=''; （删除user用户）
mysql>drop database test; (删除默认的test数据库)
mysql>flush privileges; （刷新mysql的缓存，让以上设置立即生效）
mysql>quit;
为了使以上优化和安全设置生效，请重启Mysql服务或Linux。
关于Mysql的安全设置，这篇文章很值得一看
http://www.unixren.com/linux/bencandy.php?fid=21&id=459

22、操作系统安全调整
1、 CentOS或Red Had Enterprise Linux 4 的用户要首先要打开SElinux，方法是修改/etc/selinux/config文件中的SELINUX="" 为enforcing 。它可以保证你的系统不会非正常的崩溃。有些人认为应该关闭，我强烈不推荐，当然只是将centos用来玩玩，不是用于实际服务器则无所谓了。
2、启用iptables 防火墙，对增加系统安全有许多好处。设置好防火墙的规则。
3、执行setup 关闭那些不需要的服务 ,记住少开一个服务，就少一个危险。
4、禁止Control-Alt-Delete　键盘关闭命令
在"/etc/inittab"　文件中注释掉下面这行（使用#）：
ca::ctrlaltdel:/sbin/shutdown　-t3　-r　now　
改为：
#ca::ctrlaltdel:/sbin/shutdown　-t3　-r　now　
为了使这项改动起作用，输入下面这个命令：
#　/sbin/init　q
5、给"/etc/rc.d/init.d"　下script文件设置权限
给执行或关闭启动时执行的程序的script文件设置权限。
#　chmod　-R　700　/etc/rc.d/init.d/*　
这表示只有root才允许读、写、执行该目录下的script文件。
6、修改"/etc/host.conf"文件
"/etc/host.conf"说明了如何解析地址。编辑"/etc/host.conf"文件（vi　/etc/host.conf），加入下面这行：
#　Lookup　names　via　DNS　first　then　fall　back　to　/etc/hosts.　
order　bind,hosts　
#　We　have　machines　with　multiple　IP　addresses.　
multi　on　
#　Check　for　IP　address　spoofing.　
nospoof　on　
第一项设置首先通过DNS解析IP地址，然后通过hosts文件解析。第二项设置检测是否"/etc/hosts"文件中的主机是否拥有多个IP地址（比如有多个以太口网卡）。第三项设置说明要注意对本机未经许可的电子欺骗。
7、使"/etc/services"文件免疫
使"/etc/services"文件免疫，防止未经许可的删除或添加服务：
#　chattr　+i　/etc/services
8.阻止你的系统响应任何从外部/内部来的ping请求。
既然没有人能ping通你的机器并收到响应，你可以大大增强你的站点的安全性。你可以加下面的一行命令到/etc/rc.d/rc.local，以使每次启动后自动运行。
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
9、对你的系统上所有的用户设置资源限制可以防止DoS类型攻击（denial of service attacks）
如最大进程数，内存数量等。例如，对所有用户的限制象下面这样：
vi /etc/security/limits.conf
下面的代码示例中，所有用户每个会话都限制在 10 MB，并允许同时有四个登录。第三行禁用了每个人的内核转储。第四行除去了用户 bin 的所有限制。ftp 允许有 10 个并发会话（对匿名 ftp 帐号尤其实用）；managers 组的成员的进程数目限制为 40 个。developers 有 64 MB 的 memlock 限制，wwwusers 的成员不能创建大于 50 MB 的文件。
清单 3. 设置配额和限制
* hard rss 10000
* hard maxlogins 4
* hard core 0
bin -
ftp hard maxlogins 10
@managers hard nproc 40
@developers hard memlock 64000
@wwwusers hard fsize 50000
要激活这些限制，您需要在 /etc/pam.d/login 底部添加下面一行： session required /lib/security/pam_limits.so。
10、注释掉不需要的用户和用户组。
vipw
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
news:x:9:13:news:/etc/news:
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin
rpm:x:37:37::/var/lib/rpm:/sbin/nologin
haldaemon:x:68:68:HAL daemon:/:/sbin/nologin
netdump:x:34:34:Network Crash Dump user:/var/crash:/bin/bash
nscd:x:28:28:NSCD Daemon:/:/sbin/nologin
sshd:x:74:74:Privilerpc:x:32:32:Portmapper RPC user:/:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin
smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin
pcap:x:77:77::/var/arpwatch:/sbin/nologin
xfs:x:43:43:X Font Server:/etc/X11/fs:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
gdm:x:42:42::/var/gdm:/sbin/nologin
pegasus:x:66:65:tog-pegasus OpenPegasus WBEM/CIM services:/var/lib/Pegasus:/sbin/nologin
htt:x:100:101:IIIMF Htt:/usr/lib/im:/sbin/nologin
wangjing:x:500:500::/home/wangjing:/bin/bash
mysql:x:101:102:MySQL server:/var/lib/mysql:/bin/bash
apache:x:48:48:Apache:/var/www:/sbin/nologin
ge-separated SSH:/var/empty/sshd:/sbin/nologin
对于不需要的用户全部加 # 注释掉。注意，我不建议直接删除，当你某种原因需要某个用户时，自己重新会很麻烦。
vi /etc/group
root:x:0:root
bin:x:1:root,bin,daemon
daemon:x:2:root,bin,daemon
sys:x:3:root,bin,adm
adm:x:4:root,adm,daemon
tty:x:5:
disk:x:6:root
lp:x:7:daemon,lp
mem:x:8:
kmem:x:9:
wheel:x:10:root
mail:x:12:mail
news:x:13:news
uucp:x:14:uucp
man:x:15:
games:x:20:
gopher:x:30:
dip:x:40:
ftp:x:50:
lock:x:54:
nobody:x:99:
users:x:100:
dbus:x:81:
floppy:x:19:
vcsa:x:69:
rpm:x:37:
haldaemon:x:68:
utmp:x:22:
netdump:x:34:
nscd:x:28:
slocate:x:21:
sshd:x:74:
rpc:x:32:
rpcuser:x:29:
nfsnobody:x:65534:
mailnull:x:47:
smmsp:x:51:
pcap:x:77:
xfs:x:43:
ntp:x:38:
gdm:x:42:
pegasus:x:65:
htt:x:101:
wangjing:x:500:
mysql:x:102:
apache:x:48:
对于不需要的用户组全部加 # 注释掉。注意，我不建议直接删除，当你某种原因需要某个用户组时，自己重新会很麻烦。
11、用chattr命令给下面的文件加上不可更改属性。
# chattr +i /etc/passwd
# chattr +i /etc/shadow
# chattr +i /etc/group
# chattr +i /etc/gshadow
注意执行这个操作后，以root身份都不能向系统增加用户或者修改密码了。如果我们要增加用户或者修改密码的。应该先用chattr -i /etc/passwd等命令解除不可写设置，再进行操作。
12、修改sshd的端口。
修改/etc/ssh/sshd_config，将里面的 Port 改为 59825，（具体的端口你随意。当然不能和其他程序的端口冲突了）。并注释掉前面的#号，然后
pkill sshd
service sshd start
就行了
注意最好在本地修改这个端口，否则容易出现把自己锁在外面的情况。修改了本处端口后，还要注意修改防火墙的ssh端口。
13、 内核参数调整
vi /etc/sysctl.conf
net.ipv4.conf.default.accept_source_route=0
net.ipv4.icmp_echo_ignore_broadcasts=1
#net.ipv4.icmp_echo_ignore_all=1
net.ipv4.icmp_ignore_bogus_error_responses=1
net.ipv4.ip_conntrack_max=65535
net.ipv4.tcp_syn_retries=1
net.ipv4.tcp_fin_timeout=5
net.ipv4.tcp_synack_retries=1
net.ipv4.tcp_syncookies=1
net.ipv4.route.gc_timeout=100
net.ipv4.tcp_keepalive_time=500
net.ipv4.tcp_max_syn_backlog=10000
# sysctl -p //查看
14、经常检查系统日志。系统日志主要位于/var/log/目录下。防患于未然。
通过以上设置你的系统一般来说就比较安全了。当然安全与不安全是道与魔的斗争。
经过这几个步骤，我们一个比较安全的LAMP服务器就环境基本建立成功啦。感觉上也不是很难，是吧？

六、日常常用的管理功能
# cd /usr/local/src
# wget ftp://ftp.ncftp.com/ncftp/ncftp-3.2.1-src.tar.gz
# tar zxvf ncftp-3.2.1-src.tar.gz
# cd ncftp-3.2.1-src
# ./configure --prefix=/usr/local/ncftp
# make && make install

23、mysql数据库自动备份并上传到服务器
服务器数据的备份
1、数据备份
为了防止意外情况的发生造成数据的丢失，关键数据或整个系统或对有选择的系统部分，在本地和异地进行定时备份，以保证系统全部或部分在灾害出现时也能持续运行。
2、具体方案
1）、数据库每日备份
每天4:00，将Cnprintbbs数据库拷贝至/root/back后进行压缩，然后上传至192.168.1.9服务器上，/root/back留有压缩版本。
运行脚本/root/scripts/back.sh
例子：
#!/bin/bash
rm /root/back/Cnprintbbs/* -rf
/usr/local/mysql/bin/mysqlhotcopy Cnprintbbs /root/back/Cnprintbbs -u root -p uefer77693
sleep 5
cd /root/back
tar zcf `hostname`-Cnprintbbs`date +%Y%m%d`.tar.gz Cnprintbbs
sleep 5
echo "tar ok!"
/usr/local/ncftp/bin/ncftpput -u gamebak -p gamebak@root 192.168.1.9 / /root/back/`hostname`-Cnprintbbs`date +%Y%m%d`.tar.gz
sleep 10
echo "upload Cnprintbbs ok!"
保存，并设置计划任务。
# crontab -e
增加一行：
00 4 * * * /root/scripts/back.sh
每天凌晨4点将自动备份数据库并上传。
2)、数据库即时备份
每隔1小时，将Cnprintbbs数据库拷贝至/root/back/hour目录进行备份，然后将压缩文件传给特定服务器。
例子：
#!/bin/bash
hottime=`date +%Y%m%d%H%M`
mkdir /root/back/hour/Cnprintbbs"$hottime"
/usr/local/mysql/bin/mysqlhotcopy Cnprintbbs /root/back/hour/Cnprintbbs"$hottime" -u root -p uefer77693
sleep 5
cd /root/back/hour
tar zcf `hostname`-Cnprintbbs"$hottime".tar.gz Cnprintbbs"$hottime"
sleep 5
echo "tar ok!"
/usr/local/ncftp/bin/ncftpput -u backupdb -p backupdb 192.168.102.119 / /root/back/hour/`hostname`-Cnprintbbs"$hottime".tar.gz
sleep 20
echo "upload Cnprintbbs ok!"
rm `hostname`-Cnprintbbs"$hottime".tar.gz -f
3）、日志备份
每天02:00，将/log/下前一天的日志，进行压缩，然后上传至192.168.9.1服务器。
运行脚本/root/scripts/upload_daily
例子：
#!/bin/bash
cd /log/
mkdir log`date --date '1 days ago' +%Y%m%d`
mv *.log.`date --date '1 days ago' +%y%m%d`-* log`date --date '1 days ago' +%Y%m%d`
sleep 10
tar zcvf `hostname`-log`date --date '1 days ago' +%Y%m%d`.tar.gz log`date --date '1 days ago' +%Y%m%d`
/usr/local/ncftp/bin/ncftpput -u log -p log@root 218.80.198.234 / /log/`hostname`-log`date --date '1 days ago' +%Y%m%d`.tar.gz
rm `hostname`-log`date --date '1 days ago' +%Y%m%d`.tar.gz
注：计划任务通过/etc/crontab –e来进行设置
4）、即时日志备份
直接运行/home/root/tools/upload 将最新日志上传至192.168.1.9服务器,方便研发部门查看。
运行脚本/home/root/tools/upload，（如果所有服务器的日志都需要上传，可以运行网关服务器上的/home/root/tools/allupload）
24、Squid缓存删除及重启
1. squid使用时间长了，速度会变慢，我的建议是每2小时kill掉squid 进程，RunAccel脚本会自动再启动的它。
2. 写一脚本，放进crontab中，每天凌晨4点左右把cache目录清空。
#!/bin/sh
# squid clean swap and restart scrīpt by marco lu
SQUID_DIR=/usr/local/squid/
PID_FILE=${SQUID_DIR}var/logs/squid.pid
CACHE_DIR=${SQUID_DIR}var/cache
PPID=`ps aux | grep -i squid | grep -v grep|awk '{print $2}'`
kill -9 ${PPID} > /dev/null
kill -9 `cat ${PID_FILE}` > /dev/null
rm -rf $CACHE_DIR/*
${SQUID_DIR}sbin/squid -z > /dev/null
if [ $? -eq 0 ]
then
${SQUID_DIR}bin/RunAccel & > /dev/null
fi
七、安装vBulletin 3.6.8和vBseo 3.1.0
vBulletin和vbseo 3.0.1都是商业软件，本地址的下载链接仅供试用，请于下载后24小时内删除，购买正版请联系相应官方。
25、安装vBulletin 3.6.8
vBulletin 是一个强大的论坛社区解决方案，使用它您可以轻易为您的网站创建论坛系统。vBulletin 基于 PHP 和 MySQL (一个高效开源的数据库引擎)。这些坚固后台技术使我们开发的产品有着不同凡响的速度和可靠的稳定性。
wget http://www.cnprint.org/bbs/blogs/1/a...1234567890.zip
安装教程请见：http://www.vbulletin-china.cn/docs/h...rsion=30608602
特别提醒：请打开config.php有关memcache设置。
26、安装vBseo 3.1.0
vBSEO为vBulletin(最流行的网站论坛)搜索优化程序, 用它可很容易地为你的vBulletin网站提供强大的搜索功能。
下载vBseo安装程序：
wget http://www.cnprint.org/bbs/blogs/1/a...eygen-gysn.zip
1、打开vBseo压缩包，解压缩，FTP以二进制方式上传upload文件夹下所有文件及目录至vbb对应目录。
2、Linux系统下需首先修改"vB-root/includes/config_vbseo.php" 文件属性为可写（CHMOD 666）
3、确认vbb控制台启动插件功能, 在插件与产品栏目--产品管理--添加/管理产品，import导入'Product'目录中的crawlability_vbseo.xml （如果中文UTF-8版个别情况下导入错误则可以把此文件用编辑软件另存为utf-8编码），产品添加完毕。
4、将'htaccess'目录中.htaccess 文件上传至论坛根目录，有些操作系统下.htaccess 不可见，这时可以只将htaccess.txt文件上传到vbb根目录，删除刚才上传的.htaccess文件，将刚才上传的txt文件更名为. htaccess。
5、在浏览器中输入http: //你的网址/你的VBB目录/vbseocp.php配置你的vbseo，输入两次你的Vbseo管理面板密码，也可以事先编辑upload\ includes\config_vbseo.php文件，在define('VBSEO_ADMIN_PASSWORD', 'ABC')中加入你想要的管理密码（就在后面的引号中间加入，比如ABC）。
6、vbseo管理界面下如果需要输入授权码请用附带的keygen为你的Domain算号并拷贝32位授权码即可，配置完毕后将第二步中'config_vbseo.php' 文件属性改回只读（CHMOD 644）
7、开始使用你的VBSEO，第一次安装以后可以直接通过VBB后台进入Vbseo管理界面。
8、如果有必要，将htacess规则移到httpd.conf中。可以大大降低apache的负载。
NameVirtualHost *:80
<VirtualHost *:80>
ServerName www.cnprint.org
DocumentRoot "/usr/local/apache2/htdocs"
#ErrorLog logs/error_log
# CustomLog logs/access_log combined
</VirtualHost>
<Directory "/usr/local/apache2/htdocs">
Options Indexes FollowSymLinks
AllowOverride none
Order allow,deny
Allow from all
</Directory>
<Directory "/usr/local/apache2/htdocs/bbs">
Options Indexes FollowSymLinks
AllowOverride all
RewriteEngine On
#RewriteBase /bbs
RewriteCond %{HTTP_HOST} !^www\.cnprint\.org
RewriteRule (.*) http://www.cnprint.org/bbs/$1 [L,R=301]
#RewriteRule ^((urllist|sitemap_).*\.(xml|txt)(\.gz)?)$ vbseo_sitemap/vbseo_getsitemap.php?sitemap=$1 [L]
RewriteCond %{QUERY_STRING} !vbseourl=
RewriteCond %{REQUEST_URI} !(admincp/|modcp/|chat|cron)
RewriteRule ^(.*\.php)$ vbseo.php?vbseourl=$1 [L,QSA]
RewriteCond %{REQUEST_FILENAME} !\.(jpg|gif)$
RewriteRule ^(archive/.*)$ vbseo.php?vbseourl=$1 [L,QSA]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !^(admincp|modcp|clientscript|cpstyles|images)/
RewriteRule ^(.+)$ vbseo.php?vbseourl=$1 [L,QSA]
Order allow,deny
Allow from all
</Directory>