参考链接:
https://blog.csdn.net/wangliqiang1014/article/details/82906234
http://mirrors.aliyun.com/centos/7/isos/x86_64/
阿里云镜像网站上下载centos 7的iso镜像。
https://mp.weixin.qq.com/s/1h8B20bu1y-xCpVbSdoabw
在vmware中使用该教程安装centos 7,此过程不赘述。
直接使用命令行进行安装:
yum install nginx
或者下载nginx的安装包进行安装
存在没有安全软件包的问题,此时可以选择下载软件包进行安装
tar xzvf nginx.tar.gz
./configure –prefix=xxxx
make & make install
此次安装使用EPEL包的仓库源:
yum -y install epel-release
查看nginx版本信息,检查是否安装成功:
nginx -v
nginx默认目录:
网站目录:/usr/share/nginx/html
全局的配置文件为:/etc/nginx/nginx.conf
默认的配置文件为: /etc/nginx/conf.d/default.conf
日志文件目录为:/var/log/nginx/
添加仓库,提供php 7系列包,使用webtatic
rpm -Uvh https://mirror.webtatic.com/yum/el7/webtatic-release.rpm
然后安装php7-fpm及其扩展,网速比较慢,安装比较久。
yum -y install php71w-fpm php71w-cli php71w-gd php71w-mcrypt php71w-mysql php71w-pdo php71w-xml php71w-pear php71w-mbstring php71w-json php71w-pecl-apcu php71w-pecl-apcu-devel
配置php7-fpm:
user和group都改为nginx
vim /etc/php-fpm.d/www.conf
server{}中添加代码:nginx与php通信方式是fastcgi,php-fpm提供了对fastcgi进程管理的工具
#pass the php scripts to fastcgi server listening on 127.0.0.1:9000
location ~ \.php$ {
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
重启nginx并开机自启php-fpm:
service nginx restart
systemctl start php-fpm
systemctl enable php-fpm
测试是否安装成功:
#下载源安装包
wget http://repo.mysql.com/mysql-community-release-el7-5.noarch.rpm
rpm -ivh mysql-community-release-el7-5.noarch.rpm
yum install mysql-server
修改密码:
Service mysqld start
chown -R root:root /var/lib/mysql
mysql -u root
use mysql;
update user set password=password("root") where user='root';
flush privileges;
再次进入:
mysql -u root -p
输入密码:root
安装过程完毕!
目录下/usr/share/nginx/html测试php连接mysql:
启动命令行:
service start nginx
service start mysql
mysql -u root -p
service start php-fpm
yum install httpd -y ##apache软件
yum install httpd-manual ##apache的手册
systemctl start httpd
systemctl enable httpd
firewall-cmd --list-all ##列出火墙信息
firewall-cmd --permanent --add-service=http ##永久允许http
firewall-cmd --reload ##火墙从新加载策略
/var/www/html ##apache的/目录,默认发布目录
/var/www/html/index.html ##apache的默认发布文件
vim /var/www/html/index.html ##写默认发布文件内容
hello world
主配置文件,进行端口修改,先修改为已有端口,因为nginx默认使用80端口,为避免争用 。例如:8080
vim /etc/httpd/conf/httpd.conf
Listen 8080 ##修改默认端口为8080(第42行)
firewall-cmd --permanent --add-port=8080/tcp ##需要火墙允许端口,否则无法访问
firewall-cmd --reload
systemctl restart httpd
安装apache服务器之后,mysql显示启动有问题。
[ERROR 2002 (HY000): Can't connect to local MySQL server through socket '/var/lib/mysql/mysql.sock' (111)]
查找很多解决方案都没有成功。参考链接:
https://blog.csdn.net/Homewm/article/details/81628116
最后彻底删除mysql,重装才成功。彻底删除命令如下:
yum remove mysql mysql-server mysql-libs mysql-server
find / -name mysql #将找到的相关东西delete掉
rpm -qa|grep mysql #查询出来的东东yum remove掉)
whereis mysql
#清空相关mysql的所有目录以及文件
rm -rf /usr/lib/mysql
rm -rf /usr/share/mysql
参考链接:
https://cloud.tencent.com/developer/article/1182380
https://support.huawei.com/enterprise/zh/doc/EDOC1100041554/c65a8145
其中第二个链接十分详细,可仔细阅读并实践。里面还有Mysql的加固。
1)用于运行nginx的用户必须是一个没有系统特权(非root)的用户。
在nginx主配置文件nginx.conf使用命令user来指定nginx执行用户。
user nginx;
2)定制nginx出错信息
默认我们访问不存在的页面时,报错页面上会有nginx的版本信息,这会向黑客提供信息,以方便查找当前版本的漏洞,加以利用。
在服务器上尝试访问不存在的页面,没有显示服务器版本信息。
若没有定制出错信息,则需要在http服务器中配置指令
server_tokens off;
3)禁止浏览目录
如果访问nginx下的一个web应用,如果输入是一个目录名,而且该目录下没有一个默认访问文件,那么nginx会将该目录下的所有文件列出来,这种敏感信息泄露是严格禁止的。
在server服务器中配置指令
location / {
autoindex off;
)
4)禁用不必要的http方法:DELETE、PUT、TRACE、OPTIONS等
默认http方法包括GET、HEAD、POST、PUT、DELETE、OPTIONS等方法。在这些方法中,虽然PUT、DELETE方法很少被使用到,但可能被利用来进行攻击。对于web服务来讲标准的请求只使用GET,POST和HEAD,其它方法不使用的需要禁止掉。
或者在nginx.conf针对某一个http方法禁止,根据业务需求。
http{
if ($request_method = PUT ) {
return 403;}
}
5)禁止nginx重定向至监听端口
如果请求发生重定向,nginx默认的情况下,是会在重定向的URL后自动添加nginx当前站点监听的端口。这样明显会对服务器造成很大的威胁,后端的端口暴露出来,就可能会被人直接对这个端口进行诸如CC类攻击。在配置文件nginx.conf中的http段、或server段或location段增加禁止指令,建议在http段添加,如下所示:
http{
port_in_redirect off;
}
6)限制允许访问的IP
nginx允许限制某些IP地址的客户端访问,限制IP访问可以保护nginx避免DDOS攻击。规则按照顺序依次检测,直到匹配到第一条规则。在这个例子里,IPv4的网络中只有10.1.1.0/16和192.168.1.0/24允许访问,但192.168.1.1除外,对于IPv6的网络,只有2001:0db8::/32允许访问。
location/ {
deny192.168.1.1;
allow 192.168.1.0/24;
allow 10.1.1.0/16;
allow 2001:0db8::/32;
denyall;
}
7)限制http请求的消息主体和消息头的大小
此指令给了服务器管理员更大的可控性,以控制客户端不正常的请求行为,自定义缓存以限制缓冲区溢出攻击。在配置文件nginx.conf调整请求头和请求体的缓冲区大小:
http{
... ...
server{
... ...
client_header_buffer_size 1k;
large_client_header_buffers 4 8k;
client_body_buffer_size 16k;
client_max_body_size 50g;
... ...
}
}
8)配置nginx的网络超时时间
配置nginx的超时时间,提高服务器的性能,降低客户端的等待时间。同时,在受到DOS攻击时,可以起到缓解作用。特殊情况下,请根据具体性能需求进行调优。在配置文件nginx.conf中的http段配置超时,单位秒(s):
http {
... ...
client_body_timeout 10;
client_header_timeout 10;
keepalive_timeout 5 30;
send_timeout 1000;
... ...
}
9)隐藏X-Powered-By HTTP头
X-Powered-By表示网站是用什么技术开发的,它会泄漏开发语言、版本号和框架等信息,有安全隐患,需要隐藏掉。可采用以下措施:在nginx.conf使用指令proxy_hide_header指令隐藏它。
http {
... ...
proxy_hide_header X-Powered-By;
... ...
}
10)nginx根目录只能由nginx运行用户修改,nginx根目录的所有父级目录的修改权限不能赋予除nginx运行用户的其他普通用户。
不仅文件本身,nginx根目录必须只能由属主来改写,nginx根目录的所有父级目录的修改权限不能赋予除nginx运行用户的其他普通用户。如果nginx根目录的某一父级目录的修改权限可以被其它普通用户拥有,那这个用户就可以删除这个父级目录下面原来的目录或文件然后新建同名的目录或文件,达到对目录下所有文件进行篡改控制的目的。
如果要配置nginx根目录为/etc/nginx,首先要确认/etc/nginx目录只能由nginx运行用户修改,其他用户不能具备这些目录的修改权限。
chown -R nginx:robogrp /etc/nginx
chmod -R 600 /etc/conf/*
11)日志文件属主只能是nginx运行用户,且只允许属主可读写
nginx日志文件包括错误日志和访问日志。两类日志必须都只允许其属主(nginx运行用户)可读写,如果日志文件本身对非属主用户是可写的,别人就可能伪造日志。如果nginx运行用户为nginx,日志目录为:/var/log/nginx/,执行下列命令:
chown nginx:robogrp /var/log/nginx/error.log
chmod 640 /var/log/nginx/error.log
chown nginx:robogrp /var/log/nginx/access.log
chmod 640 /var/log/nginx/access.log
12)禁用SSI功能
SSI指令可以用于执行JVM外部的程序,防止出现SSI注入等安全问题,所以禁止使用SSI功能。
nginx默认是关闭SSI功能,如果在配置文件nginx.conf的http段、server段或location段出现ssi on,务必设置为
ssi off;
13)开启nginx的日志功能:正常的访问日志和错误请求日志
这些日志可以提供异常访问的线索。nginx可以记录所有的访问请求,同样,异常的请求也会记录。日志文件可以记录系统发生的重要事件,可以帮助找到安全事件的原因,因此,日志文件要尽可能的包含访问的关键信息,例如访问时间、内容、结果、请求用户的ip、访问的网址等。在配置文件nginx.conf中,在的标签里添加如下内容,在http段声明日志文件:
http {
…
#在目录/var/log/nginx/logs/下配置一个访问日志文件,日志格式按照main来打印,压缩后写入。
access.log /var/log/nginx/access.log main gzip;
…
}
在上文配置信息中的main格式名,用来配置日志基本格式:
http {
…
#main是格式名,日志打印格式可按照此定义,具体可根据实际情况确定。
log_format main '$remote_addr - $remote_user [$time_local] "$request"'
'$status $body_bytes_sent "$http_referer" '
' "$http_user_agent" "$http_x_forwarded_for" ';
…
}
14)使用安全的TLS协议
启用SSL功能后需要配置证书和私钥,私钥强制要求设置密码保护,且对私钥文件进行严格的访问控制。必须做到以下两点:
设置合适的超时时间:设置ssl timeout的原因是避免攻击者建立大量无效链接,或者慢速攻击。
使用安全的加密套件:ssl_ciphers定义了网站使用那些加密套件,nginx的默认设置是HIGH:!aNULL:!MD5;这个值已经是比较安全的。最主要的是ssl_prefer_server_ciphers的设置,开启这个设置可以优先使用服务器定义的加密算法以防止Beast Attacks。