基于Raspbian（树莓派）搭建web安全练习环境（二）

树莓派 网络安全 DVWA WooYun-DVWA bWAPP WackoPicko sqli-labs ZVulDrill MCIR OWASP Mutillidae II Hackademic

练习环境的搭建

搭建DVWA、DVWA-WooYun、bWAPP等练习应用需要服务器，经典的搭配就是LAMP了。笔者搜索相关资料后觉得nginx比Apache更适合树莓派，但无奈笔者尝试配置nginx均失败，搜索一番也找不到个所以然，故改用了Apache。根据DVWA的github和bWAPP的官网等信息，安装Apache、PHP5和MySQL（笔者用MariaDB代替MySQL好像 好像 好像 也没有什么问题）。

搭建服务器

1. 安装 Apache

   sudo apt-get install apache2 

2. 安装PHP相关

   sudo apt-get install php5 php5-gd libapache2-mod-php5 php5-mysql php5-curl

3. 安装MySQL

   sudo apt-get install mysql-server 

   在安装数据库的时候需要设置数据库的密码，根据提示操作，记住密码即可。笔者安装的是MariaDB==
   

   MySQL远程登陆设置：

   1. 设置远程登录权限

      mysql  -uroot -p密码 

      
      
      GRANT ALL PRIVILEGES ON *.* TO 'root'@'192.168.1.222' IDENTIFIED BY 'P@ssW0rd' WITH GRANT OPTION;
      /*允许root用户以 P@ssW0rd 密码从192.168.1.222(%则是任何地方)登陆*/
      
      FLUSH PRIVILEGES; -- 刷新，使修改生效
      
      SELECT user,password,host FROM mysql.user; -- 查看记录
      
      quit; -- 退出

   2. 设置MySQL允许远程连接

      设置允许远程连接是为了方便对mysql的操作，笔者在后面内容中对mysql的操作（例如导入数据库、创建数据库等）是从树莓派上演示的，笔者同样可以从电脑上连接远程操作。

      sudo nano /etc/mysql/my.cnf 

      ctrl+w搜索bind-address，将它注释掉

      
      # bind-address = 127.0.0.1
      

      重启MySQL

      sudo service mysql restart

      如果出现Job for mysql.service failed.错误，说明是配置文件出错了，查看一下是不是自己刚才修改了配置文件的什么，例如笔者就错误的修改了bind-address==，如果查不出来 就sudo apt-get purge mysql-server mysql-common卸载mysql后重新装，同时把缺少的包一同装上再重来即可。

      在电脑上用工具连接一下，如果还是远程连接失败，重启树莓派试试？或者可以查看一下防火墙的设置？

   ​

4. 以上完成之后重启一下Apache

   sudo service apache2 restart

   笔者遇到Apache重启Job for apache2.service failed错误，笔者的解决的方法也是使用sudo apt-get purge apache2卸载Apache后再重装，就是这么玄学==，笔者参考这。

关于安装phpMyAdmin连接管理数据库，笔者认为可以不安装，因为不是很需要的。同时考虑到树莓派瘦小的身板，笔者认为MySQL都可以不在树莓派上安装，站库分离，可以远程连接。需要管理树莓派的数据库，建议使用电脑上的mysql连接管理工具(如果读者电脑上有的话，例如SQLyog、Navicat)连接管理。

测试服务器

打开浏览器输入树莓派的ip，看到Apache2 Debian缺省首页说明服务器正常运行。

配置练习环境

笔者演示和安装是多个环境在同一站点，有可能在使用的过程中遇到未知的错误（很可能就是路径的问题）！如果可以还是建议配置多站点或者一个一个环境的安装练习，练习完成删除再安装其他。

准备

1. FTP软件用于上传文件到树莓派，还可以修改文件属性、重命名等操作，用root登录才能进行有效的操作。

2. 下载一个php雅黑探针，下载DVWA、DVWA-WooYun、bWAPP、WackoPicko、sqli-labs、OWASP Mutillidae II、ZVulDrill、MCIR和Hackademic Challenges（解压时sqli-labs提示什么什么已存在，选择覆盖即可）。

3. 将解压后的tz.php和解压的文件夹（bWAPP解压后， 选bWAPP_latest中的bWAPP的文件夹，WackoPicko解压后把website文件夹里的东西和解压出来的current.sql文件）上传到网站的根目录 /var/www/html，删除文件操作可以在FileZilla中右键删除。要注意WackoPicko！website文件夹里的所有东西要在默认的网站根目录下（多站点配置除外），否则配置会失败。

   记住文件夹对应的应用，修改文件夹的名称也要记住==。当然，读者可以动手尝试一下Apache的多站点配置，相关的一些配置说明在刚才的默认首页写有。
   

上传完成后在浏览器中输入树莓派的即可浏览看到刚才上传的文件夹，点击访问tz.php，能看到服务器的相关信息，这说明服务器解析PHP正常。探针是多功能的，有PHPinfo，还可以检测MySQL连接是否正常。如果tz.php是空白的，再重新安装PHP试试？如果还是不行，重启再试试？