LNAMP 专题站
一键安装Linux高负载安全生产环境
Search
Main menu
Skip to primary content
Skip to secondary content
HomeLNAMP
分享：lnmp多用户安全运行环境(chroot)
Posted on September 9, 2012  by  admin
Reply
lnmp发展到今日，已经相当稳定，大部分程序也都可以平滑从apache移到nginx环境下。网上流行的lnmp一键包使很多Linux初学者可以非常方便地搭建自己的网站服务器。但随着建立的网站越来越多，安全性越来越成为威胁，由于没有将用户空间进行隔离，这样一旦一个网站被入侵挂马，就会让黑客轻松进入使用同一个用户监听服务的网站。
因此这里提供一个解决方案，动手能力较好的朋友可以动手试试。它提供了比较完善的安全环境，设置了shell chroot、隔离php执行身份、目录权限等。默认为每个用户设置了open_basedir，但因为做了chroot，所以没有禁用php的函数。
请下载这个文件，用记事本打开，按照顺序进行编译安装，测试的环境是centos 5.8 64bit，其他环境并没有进行测试。
注：该方案里面默认包含了varnish的安装，如果你的服务器有多个IP需要监听或者不需要varnish做前端，请修改nginx监听的IP。另外如果使用到mysql，请使用tcp连接数据库
快速创建用户的脚本，请下载此文件，放在/usr/local/sbin路径下 
# cd /tmp;wget http://dl.icodex.org/createvhost_for_lvnmp.sh;cp createvhost_for_lvnmp.sh /usr/local/sbin/create;chmod a+rx /usr/local/sbin/create
并赋予执行权限，使用方法：# create USER DOMAIN
编译过程可能会遇到错误，请根据出错提示到Google搜索解决方法，应该可以很容易找到问题点。
Via：icodex.org
Posted in Uncategorized

| 
Leave a reply
LNAMP 修正包
Posted on January 23, 2011  by  admin
7
请1月23日前安装的LNAMP的用户更新一下这个修正包.修复生成随机密码导致系统负载上升的bugs.之前用于生成随机密码方法的不对.现在已经修复.请用户更新.直接下载http://icodex.org/dl/lnamp-1.0.tar.gz 解压缩后进入目录执行install.sh.
如在使用中遇到问题,请与我联系. QQ/Gtalk/E-Mail: jack@evlit.com
Posted in LNAMP

| 
7 Replies
关于LNAMP的使用
Posted on January 22, 2011  by  admin
Reply
LNAMP发布之后,收到很多反馈,很多都是功能优化上的反馈及一些使用上的疑问.我在这里阐述一下自己的观点.
1.单用户单域名多子域的方式是否可取?
这个问题我一直在衡量,考虑到apache不仅仅是服务于php一种语言的服务器软件,很多时候还会添加mod_cgi模块.使用perl语言在安全性上,我便一直推崇单用户单域名的形式.原因很简单,因为mod_cgi模块一般要与mod_suexec搭配使用.指定运行时的执行权限为用户属主身份.
2.FTP开设时密码随机是否可取?
我个人的看法是,密码仅仅是一道门槛,作为服务器应用,还需要一套防暴力猜解的组件,用来防止暴力猜解.即便是自行设置密码,如果犯了社会工程学的低级错误,你身边的人还是很容易猜解到你的密码的.而在使用上的便利程度上而言,虽然会带来些许的不便,但随机密码会是最安全的选择.
3.开通MYSQL数据库时,数据库名与数据库用户相同是否可取?
与#2的解释差不多.如果没有做好基本的防范工作,设置再长再复杂的密码,破解起来也只是时间的问题.当一个黑客能入侵你的服务器时,你所有的密码都是浮云…所以防范是必须的.
其他问题我觉得在现有1.0版本上实现起来都不大方便,不过这些意见我会归纳起来,在下个版本中得到体现.
Posted in LNAMP
| 
Tagged LNAMP, 安全

| 
Leave a reply
LNAMP 小更改
Posted on January 20, 2011  by  admin
8
LNAMP发布之后,收到几位朋友的反馈信息,对LNAMP的修正提供了意见,非常感谢.由于LNAMP是基于Linux Shell编写的,而我本人对Linux Shell还处于学习阶段,因此并不是所有功能都能添加,例如用户名特殊字符过滤,我只能做到基本的过滤,例如过滤空格,大写字母转小写等.考虑到LNAMP是针对管理员编写的,想必也没有管理员会故意添加火星文字符这些做用户名及密码的.
此次更新了一下细节.主要变化为:
1.限制用户名长度为8位,超出将截取前8位,没有提示.
2.修正数据库用户名长度问题.数据库用户名限制为15位.也没有提示.
3.修正反向代理稳定性方面,去除会导致磁盘IO负载上升的全站缓存设置.
4.去除文件保存用户密码的方式.FTP密码保存在数据库中.
5.现在可以基于用户建立多个数据库了.也可以重设数据库密码.数据库密码依然为随机16位数组.
6.可建立基于子域的FTP帐号并可单独修改密码,FTP家目录限制在子域目录.
下载地址不变.如需更新为新版本,一定要把原来安装后开设的用户悉数删除后下载安装包.建议更新为新版本. 否则会出现不可预知的错误…
下载版: http://icodex.org/dl/lnamp-1.0.tar.gz 
完整版: http://icodex.org/dl/lnamp_src-1.0.tar.gz
解压缩后执行#./install.sh 如果系统已安装了LNAMP,将执行更新.
Posted in LNAMP
| 
Tagged LNAMP, 一键安装包

| 
8 Replies
LNAMP 1.0 常见问题及回答
Posted on January 20, 2011  by  admin
12
诡谲发布的 LNAMP 1.0 在全球主机交流论坛反响不错,也被C大加入精华.诡谲表示非常感谢.同时也有网友提出一些疑问,我会一一做出回应,但我认为还是归纳到一个文章中会比较好,这样后面的新朋友就有一个QA对照表了.
1.如何同时发送重启命令给apache和nginx?能单独重启吗?
回答: 执行 service httpd restart 将同时重启apache和nginx,执行 service nginx restart 只重启nginx.其他如start stop等用法相同
2.是不是REWRITE只在APACHE那边设置就可以了?在/usr/local/apache/vhosts 这里配置就可以了?
回答: rewrite只需要在apache后端设置即可,前端nginx不用