LAMP架构(下)

最新推荐文章于 2025-12-15 11:48:41 发布
转载 最新推荐文章于 2025-12-15 11:48:41 发布 · 107 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/u/3991860/blog/2980879
文章标签:

#php #开发工具 #数据库

一、配置防盗链

二、访问控制 – Directory(目录)

三、访问控制 – FilesMatch(文件)

四、访问控制 – 禁止php解析

五、访问控制 – user_agent

六、PHP相关配置

七、PHP动态扩展模块

 

一、配置防盗链

通过限制referer来实现防盗链的功能

配置文件增加如下内容

  <Directory /data/wwwroot/111.com>

        SetEnvIfNoCase Referer "http://111.com" local_ref

        SetEnvIfNoCase Referer "http://aaa.com" local_ref

        #SetEnvIfNoCase Referer "^$" local_ref

        <filesmatch "\.(txt|doc|mp3|zip|rar|jpg|gif|png)">

            Order Allow,Deny

            Allow from env=local_ref

        </filesmatch>

    </Directory>

 

vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf       //进入虚拟主机配置文件,增加如下内容

e3830d295993e1df7e6e24e3b445f4e95b3.jpg

 

重新加载配置文件

8662ce1aad6e90e4c9e14d23b5165d050c7.jpg

使用web访问

0c1bf9da56aa06e46534c1c1e6d84010716.jpg

 

 

 

将该网站发到http://ask.apelearn.com,再访问http://111.com/baidu.png

 

8d4de6e61868a239be7972136cde4f97e0f.jpg

cdaa60b2659b1102c4ad2a21cdad52fba8c.jpg

vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf      //进入虚拟主机配置文件,将http://ask.apelearn.com添加到白名单

4ec8ba1f725524494447d723ad8f47447bc.jpg

 

重新加载配置文件

74526baaa0e035cad2046f5037e32b6e30a.jpg

 

重新访问,显示正常

de18950446bcbebb444b84b019a13ac9c94.jpg

 

直接访问http://111.com/baidu.png

0c406144077faeefb8f5409aeffe7ae5f8e.jpg

vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf      //进入虚拟主机配置文件,更改如下内容

109f0cba7c0342e9cccae4847c2cd55f964.jpg

 

重新加载配置文件

df91254f58ca8c58c12ec1214272e50c945.jpg

 

直接访问http://111.com/baidu.png

957534f8befc9025f0dd2821493fcce9b8f.jpg

 

 

d5607293967bca608cd5bbd2efc136589c0.jpg

 

 

二、访问控制 – Directory(目录)

核心配置文件内容

  <Directory /data/wwwroot/111.com/admin/>

        Order deny,allow

        Deny from all

        Allow from 127.0.0.1

    </Directory>

 

vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf           //进入虚拟主机配置文件,增加如下内容

6fea18e3229a8d1ba2aa1a6065781f41c24.jpg

 

创建admin目录,再admin目录下创建index.php文件编辑121212

5b530faccf317480f2355cb76a86e181bed.jpg

 

指定源IP访问

30ab6d6674b5c2e1f94870cd6980fef0395.jpg

 

查看日志

77a419b2312bced21abdf9c116ca20b7bc5.jpg

 

curl测试状态码为403则被限制访问了

d5daca16fa2ea59e079a3cfb806d67dcb53.jpg

 

 

 

三、访问控制 – FilesMatch(文件)

核心配置文件内容

<Directory /data/wwwroot/www.123.com>

    <FilesMatch  "admin.php(.*)">

        Order deny,allow

        Deny from all

        Allow from 127.0.0.1

    </FilesMatch>

</Directory>

 

vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf      //进入虚拟配置文件,修改如下内容

039160cba4a57841ee2608d627d4d34a44e.jpg

 

 

重新加载配置文件

f8ca6707cf9d353a818f935fb1192d30670.jpg

 

与配置文件不匹配,访问文件显示404,访问文件显示403表示受到限制

1eb8f71ffc3e51eaa7346dae2a7eecc4373.jpg

 

显示404表示可以正常访问,只是目标文件不存在

4ba3ee2ccf4922624023068b5e38cb4e105.jpg

 

 

 

四、访问控制 – 禁止php解析

有些目录是存放静态文件的目录,如图片目录,本身不需要允许php的解析。如果允许了php解析,而且又开放了该目录的文件上传权限。很可能被别有用心的人利用上传木马,导致服务器被攻破,获取到服务器的权限,除了开发人员在程序开发过程中要注意安全的设计,也可以通过apache限制某些目录的php解析。

 

 

核心配置文件内容

    <Directory /data/wwwroot/www.123.com/upload>

        php_admin_flag engine off

        <FilesMatch (.*)\.php(.*)>

        Order deny,allow

        Deny from all

        </FilesMatch>

    </Directory>

 

 

vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf      //进入虚拟主机编辑如下内容

616d000110277641c1d5eeca42e96d36b52.jpg

 

重新加载配置文件

dc98a77fb1326e68d862292b77e241a5fe3.jpg

 

创建upload目录,并负责123.php文件到upload目录底下

dc98a77fb1326e68d862292b77e241a5fe3.jpg

 

测试,显示403

723a683b9c04e94589b58ec09c004a15e12.jpg

 

 

vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf      //进入虚拟主机修改如下内容

02ad0158801b199b2e8a4bc67560a235662.jpg

 

curl测试时直接返回了php源代码,并未解析

609cb7d694bda3f9a1a7b28d7b8b3c7aecc.jpg

 

使用web访问,直接显示下载

43638d94145c1c90f3954419d65b097b549.jpg

 

 

 

 

五、访问控制 – user_agent

user_agent可以理解为浏览器标识

有时候网站可能会遭受CC攻击,可以通过限制user—agent来减小攻击压力

 

核心配置文件内容

   <IfModule mod_rewrite.c>

        RewriteEngine on

        RewriteCond %{HTTP_USER_AGENT}  .*curl.* [NC,OR]

        RewriteCond %{HTTP_USER_AGENT}  .*baidu.com.* [NC]

        RewriteRule  .*  -  [F]

    </IfModule>

 

 

vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf      //进入虚拟主机,编辑如下内容

93d560c4a3e73e8e7d3825ef775b39e4f8c.jpg

 

重新加载配置文件

92f3628ff11ff2b4aae73424109798b2e27.jpg

 

测试,显示403

76887a55e14971e72c3383ac256d1566303.jpg

 

查看日志

475a870286f3791b997d2d0e14bbba0b66c.jpg

 

自定义USER_AGENT

curl -A "123123" 指定user_agent

curl -A "abc abc" -x127.0.0.1:80 'http://111.com/123.php' -I             //-A参数指定USER_AGENT

2ce081b1e01758f6c2cc539cd0eb6d90e82.jpg

 

查看日志

02d050de5ac17e18591ef4a058cee0578e7.jpg

 

总结curl的参数用法:

-A指定USER_AGENT

-e指定referer

-x省略添加hosts

-I只查看状态码

 

六、PHP相关配置

再/data/wwwroot/111.com目录下创建index.php文件,编辑如下内容

f07c55772bc2e3f4fd05bfcb26c0f499ff1.jpg

 

用web访问http://111.com/index.php,显示php的详细信息

c257b5893f9602836d41461d3b555c784ef.jpg

 

 

复制配置文件

cd /usr/local/src/php-7.1.6   //进入源码包所在的位置

cp php.ini-development /usr/local/php7/etc/php.ini        //拷贝文件

/usr/local/apache2.4/bin/apachectl graceful            //重新加载配置文件

5bce6ae8fcb55a46020b05ae646959f49eb.jpg

再次访问

599279a2f0ece7924f4890390b6b5ed066a.jpg

 

 

 

disable_functions    安全函数

eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close,phpinfo

 

vim /usr/local/php7/etc/php.ini         //进入php配置文件,搜索disable_functions,增加以下内容

9840206c9c2919d6f8d467e4c445c4fdb8f.jpg

 

加载配置文件

100a5415c0a51062a5b8cacbdf413321cfd.jpg

重新刷新页面

 

c3287eb23fc765617c9e93276b5a956693d.jpg

 

 

date.timezone   定义时区,如果没定义有时会出现告警信息

vim /usr/local/php7/etc/php.ini         //进入php配置文件,搜索date.timezone,修改以下内容

1a710e1cf25f20e77530206cf75cd410efe.jpg

 

搜索display_errors,修改以下内容

24f8c4731b08d2a32eac31a98db05666418.jpg

 

重新加载配置文件,刷新页面,无任何显示

17249e7082fbd0dd0cea5f0d76c372e9493.jpg

curl访问也是无任何输出,无法判断输出是否正常

090a2b243d2c48fd10e100df18f0e1ee487.jpg

 

 

需要配置错误日志

vim /usr/local/php7/etc/php.ini      //进入php配置文件,搜索log_errors,看错误日志是否开启

863eae9321d9559bcadb7af442317768a39.jpg

 

定义错误日志路径,搜索error_log

d602969de20e533d73821a262c2d3f4d0f0.jpg

 

定义错误日志的级别,级别高的,只记录比较严峻的错误

b3b875c782ea5eb3daca81eba6eb3d3d18b.jpg

 

重新加载配置文件

4d6dd7d19fcd619138abb71c55c5744421b.jpg

 

 

重新访问,查看/tmp/目录下生成php_errors.log日志文件

344dc25729600fff92032fda227b0e3533d.jpg

 

错误日志是由httpd这个进程所产生的

c879311801d7d8598b95b5f4afeee7c8e18.jpg

ca0d67cc9c35957ab1a98f6ac12c646b3d6.jpg

 

查看错误日志

e886d656d1b4745e9d300ca79e857edc9ad.jpg

 

vim /data/wwwroot/111.com/2.php      //创建2.php文件,编辑如下测试

34f185e4bd3933a7288dadbf6595c1dee51.jpg

 

重新加载配置文件,访问该目录

850a3475e014dc8e5985a0f2db6165136d8.jpg

 

cat /tmp/php_errors.log        //查看日志

18416f00e2e05f5389f61ffd2a0902797f5.jpg

 

 

open_basedir隔离虚拟主机目录

vim /usr/local/php7/etc/php.ini         //进入php配置文件,搜索opn_basedir,修改如下内容

02d5d6dcfcef3c7aaa84cf8777391b6e841.jpg

更正2.php的内容

163e796422f9f189645a840eff6c0884c4d.jpg

重新加载配置文件,访问该目录,显示正常

2c8538cacd9bbcda9b2d0ff43f4b8089f28.jpg

 

vim /usr/local/php7/etc/php.ini        //进入php配置文件,将目录路径改成1111.com

91fbbfc9aae896c70bb4a7038ac6a0d3a97.jpg

重新加载配置文件,访问该目录,显示500

cd3d3ff8d8e375b3bebdd5c7005d5e2cc53.jpg

 

查看日志,显示500,是因为2.php并没有在允许的目录下

330c70c241d75b641d90c920d41c07f278a.jpg

 

 

如果服务器有n个站点,修改php配置文件,无法做限制,php.ini是针对所有站点的。可以在虚拟主机配置文件里面做限制

 

 

vim /usr/local/php7/etc/php.ini        //进入php配置文件,删除定义的路径

33aff5aa8023eb7c7ebf51ad8ed4ce11777.jpg

 

针对不同的虚拟主机限制不同的open_basedir

vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf    //修改如下内容

6122ec37d5cac46c166e2ee60c8bf6ca212.jpg    

重新加载配置文件,用crtl测试正常

622fed1aa5ef6391ec221c5f95f1f8d189d.jpg

 

 

七、PHP动态扩展模块

/usr/local/php/bin/php -m //查看模块

 

下面安装一个redis的模块

cd /usr/local/src/            进入下载目录

wget https://codeload.github.com/phpredis/phpredis/zip/develop  //下载源码包

mv develop phpredis-develop.zip      //重命名

提示找不到unzip命令,用 yum install -y unzip安装

2ebb3fc71fa463197e804a2d432e4e23786.jpg

unzip phpredis-develop.zip     //解压

 

cd phpredis-develop         //进入解压安装包目录

/usr/local/php7/bin/phpize //生成configure文件

65a0a7d72890c58eacc4fd659801d69fc9b.jpg

 

yum install -y autoconf           //安装依赖包

 

重新执行命令/usr/local/php7/bin/phpize,生成configure文件

87ba6937868be735f1444bc8280c8331404.jpg

 

./configure --with-php-config=/usr/local/php/bin/php-config     //编译

make

make install

ddade37947dcff34313933d2af4de09848f.jpg

 

/usr/local/php7/bin/php -m |grep redis        //查询php是否加载了redis模块

5efb5a8ae73b962aa66021dd5f657b25de1.jpg

 

/usr/local/php7/bin/php -i |grep extension_dir //查看扩展模块存放目录,我们可以在php.ini中去自定义该路径

e568e85b872b36239dea4147c7558a6b3c3.jpg

 

vim /usr/local/php7/etc/php.ini  //增加一行配置(可以放到文件最后一行)

d9fef808ba637311e042a0f0b88c73d49af.jpg

 

重新查询已加载redis模块

8fe2c98bdc5f89d666fe254dfa56474dab2.jpg

 

cd /usr/local/src/php-7.1.6          //进入php的安装目录

d2dde2d99b81eae2f61267610ee6f701ec0.jpg

 

php没有加载zip模块,现在需要编译zip模块

d5a87f0d60fb491c3eb88759fe4a47d01f9.jpg

 

cd zip      //进入zip目录

/usr/local/php7/bin/phpiz         //生成configure文件

0bb59148c1f0de9de0ac7f619df1c8c186f.jpg

 

./configure --with-php-config=/usr/local/php7/bin/php-config     //编译

make

make install

ff7f4b9979bb498e396cbcbf83128a3c53d.jpg

 

 

 

 

转载于:https://my.oschina.net/u/3991860/blog/2980879

chiluo7579
关注
LAMP 架构
广阔天地,大有作为
09-04 2248
LAMP架构是指一种常用的Web应用程序开发和部署架构,由四个主要组件组成,分别是Linux操作系统、Apache Web服务器、MySQL数据库以及PHP编程语言,它们的首字母缩写组成了LAMPLAMP架构的主要优点是:所有组成产品均是开源软件,可以节省成本和提高安全性。LAMP架构具有Web资源丰富、轻量、快速开发等特点,适合搭建各种动态网站和应用LAMP架构具有通用、跨平台、高性能、低价格的优势,与Java/J2EE架构或微软的.NET架构相比,更具有竞争力。
LAMP架构下玩转Discuz!论坛部署(云服务器实操可用)
mi1996ke的博客
09-12 614
需结合之前的LAMP架构部署文章后,方能进行Discuz!开源部署工作
LAMP架构详解
qq_63994746的博客
08-07 1341
Apache 是一款免费开源的 Web 服务器软件,用来处理 HTTP 请求和相应的网页请求Apache 由 Apache 软件基金会开发和维护。在互联网上,Apache 是最广泛使用的 Web 服务器软件之一。它支持 多种操作系统,并且可以与多种编程语言进行集成,例如 PHP、Python、Perl 等。它不仅可以用于静态网站,还可以支持动态内容的生成,比如使用 CGI 脚本来动态生成网页内容。"Apache"并不是"A Patchy Server"的缩写。
LAMP 架构详解
m0_67497257的博客
05-30 1318
PHP(Hypertext Preprocessor 超文本预处理器)是通用服务器端脚本编程语言,主要用于web开发实现动态web页面,也是最早实现将脚本嵌入HTML源码文档中的服务器端脚本语言之一。同时,php还提供了一个命令行接口,因此,其也可以在大多数系统上作为一个独立的shell来使用。
lamp架构部署wordpress
qq_61507096的博客
08-18 993
主机:lamp.example.com。
lamp架构
哭的博客
08-02 5668
有了前面学习的知识的铺垫,今天可以来学习下第一个常用的web架构了。所谓lamp,其实就是由Linux+Apache+Mysql/MariaDB+Php/Perl/Python的一组动态网站或者服务器的开源软件,除Linux外其它各部件本身都是各自独立的程序,但是因为经常被放在一起使用,拥有了越来越高的兼容度,共同组成了一个强大的Web应用程序平台。...
LAMP架构搭建
m0_67475830的博客
09-19 2579
LAMP:网站服务架构,同时提供静态页面和动态页面的访问能力。Linux:提供网站服务应用的操作系统环境,也支持 Window、Unix 系统作为 AMP 的操作系统环境Apache:作为前端网站服务,直接面向用户提供网站访问入口,并处理静态页面请求MySQL:作为后端数据库,用于存储网站的业务数据、账户信息等,并提供访问接口给编程语言程序连接,使用SQL语句进行数据的读写PHP:作为编程语言程序,负责解释动态页面文件;并作为中间件,负责实现前端Web网站服务和后端数据库的协同工作。
针对Zabbix监控+LAMP架构下TIME_WAIT过多的综合分析与解决方案001
老韩的Linux云计算架构师进阶之路
10-29 1033
通过调整TCP内核参数、优化Apache长连接、配置Zabbix使用主动模式,可有效减少TIME_WAIT状态的连接数量。结合实时监控验证,确保系统资源(端口、文件描述符)稳定,提升LAMP+Zabbix架构的稳定性和性能。
LAMP架构介绍
weixin_47193545的博客
07-08 834
LAMP = Linux + Apache + MySQL + PHP
LAMP架构
热门推荐
yan_0916的博客
11-03 2万+
这里写自定义目录标题一、LAMP简介与概述1.LAMP平台概述2.构建LAMP平台顺序3.编译安装的优点4.各组件的主要作用二.安装1.-安装Apache2.安装MYSQL3.安装PHP4.安装论坛5.论坛测试 一、LAMP简介与概述 1.LAMP平台概述 LAMP架构是目前成熟的企业网站应用模式之一,指的是协同工作的一整台系统和相关软件,能够提供动态web站点服务及其应用开发环境 LAMP是一个缩写词,具体包括Linux操作系统,Apache网站服务器,MySQL数据库服务器,PHP(或perl,Pyth
LAMP架构下的律师事务所网站解决方案.doc
07-24
LAMP架构下的律师事务所网站解决方案为律师事务所的在线发展提供了一套成熟的工具和方法。它不仅提高了律师事务所的在线可见性和互动性,还降低了对专业IT资源的依赖,使得律师事务所可以更加专注于其核心业务——...
LAMP架构下的人才招聘系统的设计与实现.doc
09-20
综上所述,LAMP架构下的人才招聘系统是一个基于开源技术的高效解决方案,实现了招聘流程的数字化和自动化,旨在优化求职者和企业的匹配过程。系统的成功实施得益于合理的软件工程实践和对LAMP技术栈的有效利用。
08-基于LAMP架构部署商城系统
04-02
### 08-基于LAMP架构部署商城系统 #### 任务背景 小王在学习过程中逐渐熟悉了公司的业务架构,并注意到多个项目采用了LAMP架构或Nginx+Tomcat架构。为了更好地理解和掌握这些架构,小王决定首先深入学习LAMP架构,...
WordPress更新警示:Elementor用户请暂缓升级至最新版本
最新发布
wordpress学习笔记
12-15 318
过去几个月里,WordPress官方论坛、Elementor社区以及各大技术支持平台上涌现了大量求助帖,核心问题惊人的一致:“更新WordPress后,我的网站崩溃了!最后,记住这条黄金法则:如果你的网站运行良好且安全,没有迫切需要新功能或安全修补程序,那么“如果没有坏,就不要修理它”这句老话在WordPress更新中同样适用。这是一个复杂的工程挑战,需要时间。数据显示,超过60%出现问题的网站运行的是Elementor 3.10之前的版本,而他们升级到的WordPress版本却是6.2或更高。
安装php7.4.33的shell脚本
qq_34886696的博客
12-11 178
本文介绍了一个用于CentOS 7系统的PHP 7.4.33自动化部署脚本。该脚本包含完整的安装流程:检查系统环境、创建必要目录、安装依赖库、下载并编译PHP源码、配置PHPPHP-FPM、创建systemd服务文件、优化系统参数等。脚本支持安装常用PHP扩展如Redis、ImageMagick,并包含安全配置和性能优化选项。安装完成后会生成测试脚本phpinfo.php,方便验证PHP是否正常运行。
WordPress定制开发最佳公司的用户画像
qq_26894175的博客
12-15 844
深入解析WordPress定制开发最佳公司所服务的典型用户画像,涵盖中大型企业数字化转型、电商平台专业运营、内容创作与媒体发布、SaaS服务平台建设、政府非营利组织、创意行业品牌展示、技术驱动创新应用、在线教育培训、地产汽车信息展示、餐饮服务本地运营等十大领域。文章详细分析各行业客户的特殊需求、技术挑战和解决方案,帮助企业准确定位自身需求并选择合适的WordPress技术服务商。云策WordPress建站16年专注WordPress技术服务,为各行业客户提供网站建设、定制开发、插件开发、主题开发和WooCo
告别 Shell 脚本:用 Laravel Envoy 实现干净可复用的部署
qq_31470439的博客
12-12 758
文章摘要: Laravel Envoy 是一个解决传统 Shell 部署脚本问题的工具,它通过类 PHP 语法提供更清晰、可维护的部署流程。Envoy 允许开发者将复杂的 bash 脚本拆分为多个命名任务,组合成可复用的 story,并支持多环境部署。相比传统 shell 脚本,Envoy 提供了更好的结构组织、变量管理、任务分组和错误处理能力。文章详细介绍了如何从 shell 脚本迁移到 Envoy,包括安装配置、任务拆分、环境变量管理和任务组合等关键步骤,帮助开发者实现更干净、可维护的部署流程。
WordPress站内SEO优化最佳实践指南
qq_26894175的博客
12-11 1149
本文深度解析WordPress站内SEO优化的完整方案,涵盖URL结构、插件配置、页面速度、内容优化、技术SEO、内部链接、元数据优化等核心要素。作为最佳的SEO系统,WordPress配合专业的优化策略,能够显著提升网站在搜索引擎中的排名。云策WordPress建站16年专注WordPress技术服务,提供从网站建设到SEO优化的一站式解决方案,帮助您的网站获得更多有机流量和更好的搜索排名。
nginx实战-PHP——day2
m0_73299799的博客
12-11 1279
本文介绍了基于LNMP架构的Web开发全流程实战课程内容。课程首先讲解项目生命周期管理,包括需求收集、设计、编码、测试、部署和维护六个阶段。重点阐述了静态资源与动态资源的区别及应用场景,详细解析了FastCGI与PHP-FPM的工作原理及性能优化方案。通过实战演示了LNMP环境部署、PHP项目上线、HTTPS证书配置(包括私有证书制作流程)以及Nginx平滑升级等核心运维技能。
LAMP架构下的CMS驱动信息化学网站构建与优化
这篇文章深入分析了在LAMP架构下利用CMS技术进行"信息化学"网站开发的方法,强调了架构优化、模块化开发以及设计美感在实现高效、易维护网站中的关键作用。这对于想要运用类似技术进行网站建设的开发者来说,提供了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值