CentOS3 Linux 服务器环境配置优化详解

转载 2007年09月18日 15:22:00

原贴:

CentOS3 Linux 服务器环境配置优化详解

Wikipedia,自由的百科全书

目录 [隐藏]

内容概要

本文详细讲述一台Linux服务器系统安装完毕后,从初步系统调整到安装L.A.M.P环境再到服务器优化、安全策略等操作步骤,通过阅读本文,您将能够轻松快速的完成对 CentOS3 服务器的环境配置!

1)本文包含如下主要内容:

  • CentOS3 安装后的调整以及设置
  • 升级OpenSSL和OpenSSH加强安全性
  • 安装Apache+PHP+MySQL+Zend Optimizer环境
  • 配置Apache以及建立虚拟主机
  • 服务器优化
  • 服务器iptables防火墙安全策略定制参考

2)本文约定

  • 下载的RPM包和源码包存放位置:/usr/local/src
  • MySQL 数据库位置:/var/lib/mysql
  • Apache 网站根目录:/home/www/wwwroot
  • Apache 运行账户:www:www


CentOS3 安装后的调整以及设置

1. 检查系统是否正常

  # more /var/log/messages (检查有无系统内核级错误(error)信息)
  # dmesg (检查有无硬件错误(error)信息)
  # ifconfig(检查网卡设置是否正确)
  # ping www.discuz.net (检查网络是否正常)

2. 关闭不需要的服务

  ntsysv

以下仅列出需要启动的服务,未列出的服务一律可以关闭:

   crond
  irqbalance (仅当服务器CPU支持S.M.P-对称多路处理器架构时才需开启,
例如有2个或2个以上的CPU。否则关闭) microcode_ctl network random sendmail sshd syslog

3. 对TCP/IP网络参数进行调整,加强抗syn_flood能力

  # echo 'net.ipv4.tcp_syncookies = 1' >> /etc/sysctl.conf
  # sysctl –p

4. 配置yum

  1) rpm --import /usr/share/doc/centos-release-3/RPM-GPG-KEY-CentOS-3
  2) yum list | tee /etc/yum.list

解释:yum是一个功能强大的可以方便管理系统中RPM包的工具,使用yum可以通过网络免费升级、安装系统中的RPM包,并且在升级安装过程当中自动判断解决依赖性问题,同时,也可以卸载删除RPM包,详细信息请参见Discuz!知识库中Linux部分对yum的详细介绍 (http://kb.discuz.com/index.php?title=%E4%BD%BF%E7%94%A8yum%E7%AE%A1%E7%90%86CentOS_RPM)

5. 安装所需的RPM

在安装前,请先使用 rpm -qa | grep NAME 检查是否已经安装了以下
的RPM包(将命令中的NAME替换为下列包名称即可),如果系统显示已经
安装过该RPM包,则无需使用yum再次安装! gcc gcc-c++ ntp flex bzip2-devel ncurses-devel libjpeg-devel libpng-devel libtiff-devel freetype-devel pam-devel perl-CGI perl-DBI zlib-devel yum install NAME (将NAME替换为上面列表中的RPM包名称即可开始自动网络安装)

6. 检查系统时间并设置定期时间同步

  1) date (确认系统时间是否正确)
  2) ntpdate 210.72.145.44 (与中国国家授时中心进行时间校正)
  3) crontab -e 加入一行任务,每隔30分钟进行一次时间同步:
    */30 * * * * ntpdate 210.72.145.44 > /dev/null 2>&1

7. 重新启动系统

   init 6

8. 源码编译安装环境所需的软件

1) LibXML2

   # cd /usr/local/src
   # wget http://download.discuz.net/env/libxml2-2.6.24.tar.bz2
   # tar xjvf libxml2-2.6.24.tar.bz2
   # cd libxml2-2.6.24
   # ./configure --prefix=/usr/local/libxml2
   # make
   # make install

2) GD2

   # cd /usr/local/src
   # wget http://download.discuz.net/env/gd-2.0.33.tar.gz
   # tar xzvf gd-2.0.33.tar.gz
   # cd gd-2.0.33
   # ./configure --prefix=/usr/local/gd2 --mandir=/usr/share/man
   # make
   # make install

升级OpenSSL和OpenSSH加强安全性

1) 升级OpenSSL

   # cd /usr/local/src
   # wget http://download.discuz.net/env/openssl-0.9.7j.tar.gz
   # wget http://download.discuz.net/env/openssh-4.2p1.tar.gz
   # tar xzvf openssl-0.9.7j.tar.gz
   # cd openssl-0.9.7j
   # ./config --prefix=/usr/local/openssl
   # make
   # make test
   # make install
   # cd ..

2) 升级OpenSSH

   # tar xzvf openssh-4.2p1.tar.gz
   # cd openssh-4.2p1
   # ./configure --prefix=/usr --with-pam --with-zlib --with-ssl-
dir=/usr/local/openssl --with-md5-passwords --mandir=/usr/share/man # make # make install

3)禁止root直接登录,此处先建立一个普通系统用户:

   # useradd username
   # passwd username
   # vi /etc/passwd (将passwd文件中username的登录shell改为/bin/sh)
   # vi /etc/ssh/sshd_config (将#protocol 1,2一行改为protocol 2)
   # vi /etc/ssh/sshd_config (将#PermitRootLogin yes一行改为PermitRootLogin no)
   # vi /usr/etc/sshd_config (将#protocol 1,2一行改为protocol 2)
   # vi /usr/etc/sshd_config (将#PermitRootLogin yes一行改为PermitRootLogin no)
   # /etc/rc.d/init.d/sshd restart

安装配置Apache+PHP+MySQL+Zend Optimizer

1) 下载软件

   # cd /usr/local/src
   # wget http://download.discuz.net/env/httpd-2.0.58.tar.bz2
   # wget http://download.discuz.net/env/mysql-standard-5.0.22-linux-i686.tar.gz
   # wget http://download.discuz.net/env/php-5.1.4.tar.bz2
   # wget http://download.discuz.net/env/ZendOptimizer-3.0.1-linux-glibc21-i386.tar.gz

2) 安装MySQL

   # tar xzvf mysql-standard-5.0.22-linux-i686.tar.gz
   # useradd mysql
   # mv mysql-standard-5.0.22-linux-i686 /usr/local/mysql
   # cd /usr/local/mysql
   # scripts/mysql_install_db --user=mysql
   # chown -R root .
   # chown -R mysql data
   # chgrp -R mysql .
   # mv data /var/lib/mysql
   # ln -s /var/lib/mysql ./data
   # cp support-files/my-large.cnf /etc/my.cnf
   # bin/mysqld_safe --user=mysql &
   # bin/mysqladmin -u root password newpassword_for_root
   # bin/mysqladmin -u root -p shutdown
   # cp support-files/mysql.server /etc/init.d/mysqld
   # chkconfig --add mysqld
   # /etc/rc.d/init.d/mysqld start

3) 编译安装Apache

   # cd /usr/local/src
   # tar xjvf httpd-2.0.58.tar.bz2
   # cd httpd-2.0.58
   # ./configure --prefix=/usr/local/apache2 --mandir=/usr/
share/man --enable-module=so --enable-deflate=shared
--enable-expires=shared --enable-rewrite=shared
--enable-gzip --enable-cache --enable-file-cache
--enable-mem-cache --enable-disk-cache # make # make install

4) 编译安装PHP

   # cd /usr/local/src
   # tar xjvf php-5.1.4.tar.bz2
   # cd php-5.1.4
   # ./configure --prefix=/usr/local/php --with-apxs2=/usr/local/
apache2/bin/apxs --with-zlib --with-bz2 --with-tiff-dir
--with-libxml-dir=/usr/local/libxml2 --with-gd=/usr/local/
gd2 --with-freetype-dir --with-jpeg-dir --with-png-dir
--with-ttf --enable-mbstring --with-mysql=/usr/local/mysql
--with-config-file-path=/etc --disable-ipv6 --enable-gd-
native-ttf # make # make install # cp php.ini-dist /etc/php.ini

5) 安装Zend Optimizer

   # cd /usr/local/src
   # tar xzvf ZendOptimizer-3.0.1-linux-glibc21-i386.tar.gz
   # ./ZendOptimizer-3.0.1-linux-glibc21-i386/install.sh

6) 整合Apache与PHP

   # vi /usr/local/apache2/conf/httpd.conf

搜索:

   DirectoryIndex index.html index.html.var

将其改为:

   DirectoryIndex index.html index.htm index.php

搜索:

   AddType application/x-gzip .gz .tgz

在下面添加一行:

   AddType application/x-httpd-php .php

保存退出后重启Apache

   # /usr/local/apache2/bin/apachectl restart

更改Apache运行账户以及建立虚拟主机

1. 更改Apache运行账户默认情况下Apache在Linux系统上使用nobody账户运行,我们下面将要更改运行账户提升Apache的安全性和权限可控性。

   # useradd www
   # su www
   $ mkdir -p /home/www/wwwroot/discuz
   $ exit
   # vi /usr/local/apache2/conf/httpd.conf

找到:

   User nobody
   Group #-1

改为:

   User www
   Group www


2. 建立一个虚拟主机此处我们为Apache建立一个虚拟主机。

   # vi /usr/local/apache2/conf/httpd.conf

找到:

   #NameVirtualHost *

去调前面的“#”号以打开注释,使用虚拟主机模式运行Apache。在该配置文件的末尾添加一个虚拟主机,且该虚拟主机日志文件存放目录为/home/www/logs

   <VirtualHost *>
       ServerName www.your-domain.com
       DocumentRoot /home/www/wwwroot/discuz
       ErrorLog /home/www/logs/discuz-error_log
       CustomLog /home/www/logs/discuz-access_log combined
       # 建立Discuz!论坛所需的Rewrite规则
        <IfModule mod_rewrite.c>
           RewriteEngine On
           RewriteRule ^(.*)/archiver/([a-z0-9/-]+/.html)$ $1/archiver/index.php?$2
           RewriteRule ^(.*)/forum-([0-9]+)-([0-9]+)/.html$ $1/forumdisplay.php?fid=$2&page=$3
           RewriteRule ^(.*)/thread-([0-9]+)-([0-9]+)-([0-9]+)/.html$ $1/viewthread.php?tid=$2&extra=page/%3D$4&page=$3
           RewriteRule ^(.*)/profile-(username|uid)-(.+)/.html$ $1/viewpro.php?$2=$3
       </IfModule>
  </VirtualHost>

保存并退出文件编辑,下面建立日志存放目录:

   # mkdir /home/www/logs

重新启动Apache:

   # /usr/local/apache2/bin/apachectl restart

至此,一个虚拟主机就建立好了!

服务器优化

1. Apache优化

经过上述操作后,Apache已经能够正常运行。但是,对于访问量稍大的站点,Apache的这些默认配置是无法满足需求的,我们仍需调整Apache的一些参数,使Apache能够在大访问量环境下发挥出更好的性能。以下我们对Apache配置文件httpd.conf中对性能影响较大的参数进行一些说明。

(1) Timeout 该参数指定Apache在接收请求或发送所请求内容之前的最长等待时间(秒),若超过该时间Apache则放弃处理该请求,并释放连接。该参数默认值为120,推荐设置为60,对于访问量较大的网站可以设置为30。

(2) KeepAlive 该参数控制Apache是否允许在一个连接中有多个请求,默认打开。但对于大多数论坛类型站点来说,通常设置为off以关闭该支持。

(3) MPM - prefork.c 在默认情况下Apache使用Prefork(进程)工作模式,可以说这部分的参数设置是对Apache性能影响的核心和关键。用户可以在配置文档中找到以下配置段:

   <IfModule prefork.c>
       StartServers         5
       MinSpareServers      5
       MaxSpareServers     10
       MaxClients          15
       MaxRequestsPerChild  0
   </IfModule>

这就是控制Apache进程工作的配置段,为了更好的理解上述配置中的各项参数,下面让我们先了解一下Apache是如何控制进程工作的。我们知道,在Unix系统中,很多服务(Service)的守护进程(Daemon)在启动时会创建一个进程以准备应答可能的连接请求,服务即进入了端口监听状态,当一个来自客户端(Client)的请求被发送至服务所监听的端口时,该服务进程即会处理该请求,在处理过程中,该进程处于独占状态,也就是说如果此时有其他请求到达,这些请求只能“排队”等待当前请求处理完成且服务进程释放。这样就会导致越来越多的请求处于队列等待状态,实际表现就是该服务处理能力非常低下。Apache使用Prefork模式很好的解决了这一问题。下面我们来看看Apache实际上是如何高效率工作的。

当Apache启动时,Apache会启动StartSpareServers个空闲进程同时准备接收处理请求,当多个请求到来时,StarSpareServers进行会越来越少,当空闲进程减少到MinSpareServers个时,Apache为了能够继续有充裕的进程处理请求,它会再启动StartsServers个进程备用,这样就大大减少了请求队列等待的可能,使得服务效率提高,这也是为什么叫做Pre-fork的原因;让我们继续跟踪Apache的工作,我们假设Apache已经启动了200个进程来处理请求,理论上来说,此时Apache一共有205个进程,而过了一段时间,假设有100个请求都得到了Apache的响应和处理,那么此时这100个进程就被释放成为空闲进程,那么此时Apache有105个空闲进程。而对于服务而言,启动太多的空闲进程时没有任何意义的,反而会降低服务器的整体性能,那么Apache真的会有105个空闲进程么?当然不会!实际上Apache随时在检查自己,当发现有超过MaxSpareServers个空闲进程时,则会自动停止关闭一些进程,以保证空闲进程不过过多。说到这里,用户应该对Apache的工作方式有了一定的了解,如果想获得更多更详细的说明请参阅Apache手册文档。

我们还有两个参数没有介绍:MaxClients和MaxRequestPerchild;MaxClients指定Apache在同一时间内最多允许有多少客户端能够与其连接,如果超过MaxClients个连接,客户端将会得到一个“服务器繁忙”的错误页面。我们看到默认情况下MaxClients设置为15,这对一些中型站点和大型站点显然是远远不够的!也许您需要同时允许512个客户端连接才能满足应用需求,好吧,那么就让我们把MaxClients修改为512,保存httpd.conf并退出,重启Apache,很遗憾,在重启过程当中您看到了一些错误提示,Apache重启失败。错误提示中告诉您MaxClients最大只能设定为256,相信您一定很失望。不过不要沮丧,Apache作为世界一流的Web Server一定不会如此单薄的!在默认情况下,MaxClients的确只能设定为不超过256的整数,但是,如果您有需要完全可以随意定制,此时就需要使用ServerLimit参数来配合使用,简单的说ServerLimit就像是水桶,而MaxClients就像是水,您可以通过更换更大的水桶(将ServerLimit设定为一个较大值)来容纳更多的水(MaxClients),但要注意,MaxClients的设定数值是不能大于ServerLimit的设定数值的!

下面让我们了解一下MaxRequestPerChild参数,该参数指定一个连接进程中可以有多少个线程同时工作。也许这样解释过于专业,那么您只要想想“网络蚂蚁”、“网际快车FlashGet”中的“多点同时下载”即可,该参数实际上就是限制最多可以用几个“点”。默认设置为0,即为:不限制。但需要注意,如果将该值设置的过小会引起访问问题,如果没有特殊需要或者访问量压力并非很大可以保持默认值,如果访问量很大则推荐设置为2048。

好了,解释了这么多,让我们看看经过修改后Perfork.c配置段的推荐配置:

   <IfModule prefork.c>
       StartServers         5
       MinSpareServers      5
       MaxSpareServers     10
       ServerLimit       1024
       MaxClients        768
       MaxRequestsPerChild  0
   </IfModule>

完成了上述对Apache的调整,Apache已经获得了较大的性能改善。记住,在修改任何参数后都需要重启Apache才能生效的。有关Apache的优化远远不止这些,有兴趣的用户可以阅读Apache手册文档或者寻找一些文献资料学习。


2. PHP优化对于PHP的优化主要是对php.ini中的相关主要参数进行合理调整和设置,以下我们就来看看php.ini中的一些对性能影响较大的参数应该如何设置。

   # vi /etc/php.ini

(1) PHP函数禁用找到:

   disable_functions =

该选项可以设置哪些PHP函数是禁止使用的,PHP中有一些函数的风险性还是相当大的,可以直接执行一些系统级脚本命令,如果允许这些函数执行,当PHP程序出现漏洞时,损失是非常严重的!以下我们给出推荐的禁用函数设置:

   disable_functions = phpinfo,passthru,exec,system,popen,
chroot,escapeshellcmd,escapeshellarg,shell_exec,proc_open,
proc_get_status

需注意:如果您的服务器中含有一些系统状态检测的PHP程序,则不要禁用shell_exec,proc_open,proc_get_status等函数。

(2) PHP脚本执行时间找到:

   max_execution_time = 30

该选项设定PHP程序的最大执行时间,如果一个PHP脚本被请求,且该PHP脚本在max_execution_time时间内没能执行完毕,则PHP不再继续执行,直接给客户端返回超时错误。没有特殊需要该选项可保持默认设置30秒,如果您的PHP脚本确实需要长执行时间则可以适当增大该时间设置。

(3) PHP脚本处理内存占用找到:

   memory_limit = 8M

该选项指定PHP脚本处理所能占用的最大内存,默认为8MB,如果您的服务器内存为1GB以上,则该选项可以设置为12MB以获得更快的PHP脚本处理效率。

(4) PHP全局函数声明找到:

   register_globals = Off

网络上很多关于PHP设置的文章都推荐将该选项设置为On,其实这是一种及其危险的设置方法,很可能引起严重的安全性问题。如果没有特殊的需要,强烈推荐保留默认设置!

(5) PHP上传文件大小限制找到:

   upload_max_filesize = 2M

该选项设定PHP所能允许最大上传文件大小,默认为2MB。根据实际应用需求,可以适当增大该设置。

(6) Session存储介质找到:

   session.save_path

如果你的PHP程序使用Session对话,则可以将Session存储位置设置为/dev/shm,/dev/shm是Linux系统独有的TMPFS文件系统,是以内存为主要存储方式的文件系统,比RAMDISK更优秀,因为可以使用DISKSWAP作为补充,而且是系统自带的功能模块,不需要另行配置。想想看,从磁盘IO操作到内存操作,速度会快多少?只是需要注意,存储在/dev/shm的数据,在服务器重启后会全部丢失。不过这对于Session来说是无足轻重的。


3. MySQL优化

在Apache, PHP, MySQL的体系架构中,MySQL对于性能的影响最大,也是关键的核心部分。对于Discuz!论坛程序也是如此,MySQL的设置是否合理优化,直接影响到论坛的速度和承载量!同时,MySQL也是优化难度最大的一个部分,不但需要理解一些MySQL专业知识,同时还需要长时间的观察统计并且根据经验进行判断,然后设置合理的参数。

下面我们了解一下MySQL优化的一些基础,MySQL的优化我分为两个部分,一是服务器物理硬件的优化;二是MySQL自身(my.cnf)的优化。

(1) 服务器硬件对MySQL性能的影响

a) 磁盘寻道能力(磁盘I/O),以目前高转速SCSI硬盘(7200转/秒)为例,这种硬盘理论上每秒寻道7200次,这是物理特性决定的,没有办法改变。MySQL每秒钟都在进行大量、复杂的查询操作,对磁盘的读写量可想而知。所以,通常认为磁盘I/O是制约MySQL性能的最大因素之一,对于日均访问量在100万PV以上的Discuz!论坛,由于磁盘I/O的制约,MySQL的性能会非常低下!解决这一制约因素可以考虑以下几种解决方案:

  • 使用RAID-0+1磁盘阵列,注意不要尝试使用RAID-5,MySQL在RAID-5磁盘阵列上的效率不会像你期待的那样快;
  • 抛弃传统的硬盘,使用速度更快的闪存式存储设备。经过Discuz!公司技术工程的测试,使用闪存式存储设备可比传统硬盘速度高出6-10倍左右。

b) CPU 对于MySQL应用,推荐使用S.M.P.架构的多路对称CPU,例如:可以使用两颗Intel Xeon 3.6GHz的CPU。

c) 物理内存对于一台使用MySQL的Database Server来说,服务器内存建议不要小于2GB,推荐使用4GB以上的物理内存。


(2) MySQL自身因素当解决了上述服务器硬件制约因素后,让我们看看MySQL自身的优化是如何操作的。对MySQL自身的优化主要是对其配置文件my.cnf中的各项参数进行优化调整。下面我们介绍一些对性能影响较大的参数。

由于my.cnf文件的优化设置是与服务器硬件配置息息相关的,因而我们指定一个假想的服务器硬件环境:

  • CPU: 2颗Intel Xeon 2.4GHz
  • 内存: 4GB DDR
  • 硬盘: SCSI 73GB

下面,我们根据以上硬件配置结合一份已经优化好的my.cnf进行说明:

   # vi /etc/my.cnf

以下只列出my.cnf文件中[mysqld]段落中的内容,其他段落内容对MySQL运行性能影响甚微,因而姑且忽略。

   [mysqld]
   port = 3306
   serverid = 1 
   socket = /tmp/mysql.sock
   skip-locking
   # 避免MySQL的外部锁定,减少出错几率增强稳定性。
   skip-name-resolve
   # 禁止MySQL对外部连接进行DNS解析,使用这一选项可以消除MySQL进行DNS解析的时间。
但需要注意,如果开启该选项,则所有远程主机连接授权都要使用IP地址方式,否则MySQL
将无法正常处理连接请求! back_log = 384 # 指定MySQL可能的连接数量。当MySQL主线程在很短的时间内接收到非常多的连接请求,
该参数生效,主线程花费很短的时间检查连接并且启动一个新线程。back_log
参数的值指出在MySQL暂时停止响应新请求之前的短时间内多少个请求可以被存在堆栈中。
如果系统在一个短时间内有很多连接,则需要增大该参数的值,该参数值指定到来的
TCP/IP连接的侦听队列的大小。不同的操作系统在这个队列大小上有它自己的限制。
试图设定back_log高于你的操作系统的限制将是无效的。默认值为50。对于Linux系统
推荐设置为小于512的整数。 key_buffer_size = 256M # key_buffer_size指定用于索引的缓冲区大小,增加它可得到更好的索引处理性能。对于
内存在4GB左右的服务器该参数可设置为256M或384M。
注意:该参数值设置的过大反而会是服务器整体效率降低! max_allowed_packet = 4M thread_stack = 256K table_cache = 128K sort_buffer_size = 6M # 查询排序时所能使用的缓冲区大小。
注意:该参数对应的分配内存是每连接独占!如果有100个连接,那么实际分配的总共排序缓冲
区大小为100 × 6 = 600MB。所以,对于内存在4GB左右的服务器推荐设置为6-8M。 read_buffer_size = 4M # 读查询操作所能使用的缓冲区大小。和sort_buffer_size一样,该参数对应的分配
内存也是每连接独享! join_buffer_size = 8M # 联合查询操作所能使用的缓冲区大小,和sort_buffer_size一样,该参数对应的分配
内存也是每连接独享! myisam_sort_buffer_size = 64M table_cache = 512 thread_cache_size = 64 query_cache_size = 64M # 指定MySQL查询缓冲区的大小。可以通过在MySQL控制台执行以下命令观察: # > SHOW VARIABLES LIKE '%query_cache%'; # > SHOW STATUS LIKE 'Qcache%'; # 如果Qcache_lowmem_prunes的值非常大,则表明经常出现缓冲不够的情况; # 如果Qcache_hits的值非常大,则表明查询缓冲使用非常频繁,如果该值较小反而会影响效率,
那么可以考虑不用查询缓冲;Qcache_free_blocks,如果该值非常大,则表明缓冲区中碎片很多。 tmp_table_size = 256M max_connections = 768 # 指定MySQL允许的最大连接进程数。如果在访问论坛时经常出现Too Many Connections的错误提
示,则需要增大该参数值。 max_connect_errors = 10000000 wait_timeout = 10 # 指定一个请求的最大连接时间,对于4GB左右内存的服务器可以设置为5-10。 thread_concurrency = 8 # 该参数取值为服务器逻辑CPU数量×2,在本例中,服务器有2颗物理CPU,而每颗物理CPU又支持
H.T超线程,所以实际取值为4 × 2 = 8 skip-networking # 开启该选项可以彻底关闭MySQL的TCP/IP连接方式,如果WEB服务器是以远程连接的方式访问
MySQL数据库服务器则不要开启该选项!否则将无法正常连接!

以上,我们对一份my.cnf做了简单的说明,MySQL的优化是一项需要长期观察,长期积累经验,长期试验的工作。有兴趣的用户可以边查阅文档资料边做试验,在实际应用中获得更多的经验的收获。

优化部分至此就基本介绍完了,在所有优化操作完成后,需要重新启动Apache和MySQL服务:

   # /usr/local/apache2/bin/apachectl restart
  # /etc/rc.d/init.d/mysqld restart


六、服务器iptables防火墙安全策略定制参考对于Linux服务器而言,使用iptables进行安全控制和包过滤是较好的选择。该部分无意介绍iptables的使用方法,iptables的功能非常强大,有兴趣的用户可以在这里 (http://www.netfilter.org)找到很多有关NetFilter/Iptables的资料。下面我们以一台装有双网卡的L.A.M.P服务器为例,给出一个能够满足较为安全访问需求的iptables脚本。

服务器双网卡使用情况:

  • eth0: 连接公网WAN
  • eth1: 连接私网LAN

服务器对公网WAN开放服务情况:

  • FTP on TCP Port 21
  • SSH on TCP Port 22
  • SMTP on TCP Port 25
  • HTTP on TCP Port 80
  • POP on TCP Port 110
   # vi /usr/local/sbin/fw.sh

将下面脚本粘贴到fw.sh中:

   #! /bin/bash
   # This Net-Filter script was create by Discuz! - Nanu.
   # Support: nanu@discuz.com
   # Set FTP Passive Transfer Mode
   /sbin/modprobe ip_conntrack_ftp
   /sbin/modprobe ip_nat_ftp
   # Initalize
   /sbin/iptables -F -t filter
   /sbin/iptables -F -t nat
   /sbin/iptables -P INPUT DROP
   /sbin/iptables -P OUTPUT ACCEPT
   /sbin/iptables -P FORWARD DROP
   # Enable Private Network lo & eth1 Access
   /sbin/iptables -A INPUT -i lo -j ACCEPT
   /sbin/iptables -A INPUT -i eth1 -j ACCEPT
   #################################
   #### Server Security Settings ###
   #################################
   # ICMP Control
   /sbin/iptables -A INPUT -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
   # FTP Service
   /sbin/iptables -A INPUT -p tcp --dport 21 -j ACCEPT
   # SSH Service
   /sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
   # Mail Service
   /sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
   /sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT
   # WWW Service
   /sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
   # Deny Other Connections
   /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

保存完毕后,执行以下命令:

   # chmod 755 /usr/local/sbin/fw.sh
   # echo '/usr/local/sbin/fw.sh' >> /etc/rc.local
   # /usr/local/sbin/fw.sh

查看当前iptables访问控制策略:

   # iptables -L

至此,本文全部内容介绍完毕。如果您对本文有不清楚或者值得探讨的地方,可以访问Discuz!论坛进行讨论。 http://www.discuz.net

 

相关文章推荐

linux centos6.8 服务器环境配置

近期有重新配置了一遍服务器,特此记录备忘。我的服务器系统为centos6.81.安装node.jswget https://nodejs.org/dist/v6.9.5/node-v6.9.5-lin...

转:CentOS系统服务器环境配置

CentOS系统服务器环境配置 2010-03-31 14:17 佚名 字号:T | T 主要介绍CentOS系统的基础知识,本文讲的是CentOS系统服务器环境配置问题。...

腾讯云centos7 服务器搭建(Java、MySQL、Tomcat环境配置)

最近由于需要上线一个网站,所以学习这么搭建腾讯云服务器,对于linux之前真的很少接触,最近慢慢学习如何慢慢linux。本博客纯属个人笔记,供本人复习回顾。 搭建过程要感谢我的师弟,小亮亮,给了我腾讯...

Oracle VM + centos7.1+openstack kilo 多结点安装教程---基础环境配置(3)

声明:最近在进行openstack的kilo版本的安装,发现现有的网络教程非常少,而且多数教程并不能安装成功,故写此教程。openstack的安装较为复杂,本教程并不能保证在不同环境下也能将其安装成功...

android linux(centos6) gradle环境配置

使用的是公司的虚拟机,所有配置都是通过shell客户端和FTP连接远程主机,然后通过命令行完成配置。 一、所需要的开发工具,jdk、gradle、android-sdk-linux。 新建了一个a...

linux CentOS 6.5 下安装jdk1.7, tomcat7.0环境配置

CentOS 6.5 下安装jdk1.7, tomcat7.0环境配置

#CentOS on Mac#1.Linux环境配置

之前因为老师建议在Linux上跑perfect 就用pd装了Ubuntu,了解并不深入仅仅停留在简单命令git wget vim这些,从网上简要比较Ubuntu和CentOS的区别1.Ubuntu图形...

LNMP(linux+nginx+mysql+php)服务器环境配置

LNMP(linux+nginx+mysql+php)服务器环境配置 一、简介   Nginx是俄罗斯人编写的十分轻量级的HTTP服务器,Nginx,它的发音为 “engine X...

LNMP(linux+nginx+mysql+php)服务器环境配置

一、简介   Nginx是俄罗斯人编写的十分轻量级的HTTP服务器,Nginx,它的发音为 “engine X”, 是一个高性能的HTTP和反向代理服务器,同时也是一个IMAP/POP3/SMTP ...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:深度学习:神经网络中的前向传播和反向传播算法推导
举报原因:
原因补充:

(最多只允许输入30个字)