标签：centos

centos

0x00 实验目的

根据文章”PHP绕过open_basedir列目录的研究”通过测试不同的配置验证本文的绕过basedir的方法是否有效,从而安全配置php open_basedir的目的.
文中后面几个方法都是windwos下采用枚举的方式列出目录,linux下需要做暴力猜解的方式才可以,所以不做测试.

测试”DirectoryIterator + Glob”方式是否可以绕过open_basedir
测试webshell工具”菜刀”是否可以绕过open_basedir

0x01 实验环境

nginx + PHP 5.6.7 fastcgi模式, centos7 linux
目前配置open_basedir有三处地方php-fpm.conf,nginx fastcgi_param,php.ini
下面逐一测试

0x02 测试详细

只在php-fpm.conf中配置

php_admin_value[open_basedir]=/home/wwwroot/:/proc/:/tmp/

1	php_admin_value[open_basedir]=/home/wwwroot/:/proc/:/tmp/

结果

open_basedir的目录以外不能读,不能写,不过DirectoryIterator + Glob 可以成功列出全盘文件

当前open_basedir
open_basedir : /home/wwwroot/:/proc/:/tmp/

-- DirectoryIterator + Glob --.
..
.autorelabel
bin
boot
dev
etc
home
lib
lib64
media
mnt
opt
proc
root
run
sbin
srv
sys
tmp
usr
vagrant
var

当前open_basedir

open_basedir : /home/wwwroot/:/proc/:/tmp/

-- DirectoryIterator + Glob --.

.autorelabel

bin

boot

dev

etc

home

lib

lib64

media

mnt

opt

proc

root

run

sbin

srv

sys

tmp

usr

vagrant

var

菜刀不可跨出basedir

只在nginx的fastcgi_param配置

# set php open_basedir
fastcgi_param PHP_ADMIN_VALUE "open_basedir=$document_root/:/tmp/:/proc/";

1 2	# set php open_basedir fastcgi_param PHP_ADMIN_VALUE "open_basedir=$document_root/:/tmp/:/proc/";

这里的”$document_root”是nginx中的变量,为nginx的每个server里的root目录
比如server www.iamle.com配置的root目录为/home/wwwroot/www.iamle.com

认真读php手册有下面这段话
PHP配置值通过 php_value 或者 php_flag 设置，并且会覆盖以前的值。
请注意 disable_functions 或者 disable_classes 在 php.ini 之中定义的值不会被覆盖掉，但是会将新的设置附加在原有值的后面。
使用 php_admin_value 或者 php_admin_flag 定义的值，不能被 PHP
代码中的 ini_set() 覆盖。自 5.3.3 起，也可以通过 web 服务器设置
PHP 的设定。也就是nignx中fastcgi_param配置php的配置
php_flag用来专门设置布尔值，如on, off, 1, 0, true, false, yes, no，
而php_value用来设置所有类型的值

结果和上面一样

open_basedir的目录以外不能读,不能写,不过DirectoryIterator + Glob 可以成功列出全盘文件

菜刀不可跨出basedir

只在php.ini配置

[HOST=www.iamle.com]
open_basedir=/home/wwwroot/www.iamle.com/:/proc/:/tmp/
[PATH=/home/wwwroot/www.iamle.com/]
open_basedir=/home/wwwroot/www.iamle.com/:/proc/:/tmp/

[HOST=www.iamle.com]

open_basedir=/home/wwwroot/www.iamle.com/:/proc/:/tmp/

[PATH=/home/wwwroot/www.iamle.com/]

open_basedir=/home/wwwroot/www.iamle.com/:/proc/:/tmp/

意思是当HOST=www.iamle.com设置open_basedir,当PATH=/home/wwwroot/www.iamle.com/

设置open_basedir,我测试的时候2个任意设置一个都是有效的

结果和上面一样

open_basedir的目录以外不能读,不能写,不过DirectoryIterator + Glob 可以成功列出全盘文件

菜刀不可跨出basedir

0x03 个人结论

DirectoryIterator + Glob的方式可以列出php服务器上所有文件,看似没什么危害,实际上对于长期的APT绝对有帮助.
open_basedir不是想象的那么安全,说不定别人手上有甚至有能读写open_basedir的0day

0x04 个人推荐的nginx + php(fastcgi fpm-php)(lnmp) open_basedir的配置

先设置fpm-php中pool池中的总open_basedir这叫顶层设计,有个总限制,比如统一限制到/home/wwwroot/这样的web目录下
再对nginx中单个server 通过 fastcgi_param PHP_ADMIN_VALUE 设置
再对php.ini设置 [HOST=XXX] [PATH=XXX]
三管齐下妈妈再也不用担心我的php open_basedir了(希望吧)
虽然很啰嗦,但是这样岂不是更放心
总而言之就是下面的结果,我就是下面这种啰嗦的配置

#在php-fpm.conf对应的pool池中行尾配置
php_admin_value[open_basedir]=/home/wwwroot/:/proc/:/tmp/

#在nginx fastcgi fastcgi_param配置
#这里用$document_root是一种取巧的方法,也可以设置绝对路径
# set php open_basedir
fastcgi_param PHP_ADMIN_VALUE "open_basedir=$document_root/:/tmp/:/proc/";

#在php.ini行尾配置
[HOST=www.iamle.com]
open_basedir=/home/wwwroot/www.iamle.com/:/proc/:/tmp/
[PATH=/home/wwwroot/www.iamle.com/]
open_basedir=/home/wwwroot/www.iamle.com/:/proc/:/tmp/

#在php-fpm.conf对应的pool池中行尾配置

php_admin_value[open_basedir]=/home/wwwroot/:/proc/:/tmp/

#在nginx fastcgi fastcgi_param配置

#这里用$document_root是一种取巧的方法,也可以设置绝对路径

# set php open_basedir

fastcgi_param PHP_ADMIN_VALUE "open_basedir=$document_root/:/tmp/:/proc/";

#在php.ini行尾配置

[HOST=www.iamle.com]

open_basedir=/home/wwwroot/www.iamle.com/:/proc/:/tmp/

[PATH=/home/wwwroot/www.iamle.com/]

open_basedir=/home/wwwroot/www.iamle.com/:/proc/:/tmp/

测试中还发现这三个地方配置的优先级如下

“php.ini” > “nginx fastcgi fastcgi_param” > “php-fpm.conf”

如果有错误欢迎大家留言斧正,感谢!

0x05 参考文档

PHP绕过open_basedir列目录的研究
 open_basedir bypass exploit
php-fpm.conf 全局配置段
 php.ini HOST PATH配置

Centos Linux 上给PHP安装Xdebug调试笔记

2015-04-16 by wwek·0评论

安装Xdebug

wget http://xdebug.org/files/xdebug-2.2.7.tgz
tar zxvf xdebug-2.2.7.tgz
cd xdebug-2.2.7
phpize
./configure --enable-xdebug --with-php-config=/usr/local/php/bin/php-config
make
make install

wget http://xdebug.org/files/xdebug-2.2.7.tgz

tar zxvf xdebug-2.2.7.tgz

cd xdebug-2.2.7

phpize

./configure --enable-xdebug --with-php-config=/usr/local/php/bin/php-config

make

make install

配置

Centos6.x已有LNMP环境下编译安装Zabbix2.2

2014-07-06 by wwek·3条评论

#安装依赖库
yum -y install mysql-devel libcurl-devel net-snmp-devel Percona-Server-devel-55
#因为我的mysql使用的是percona55 所以这里需要装 Percona-Server-devel-55

#给zabbix在mysql中创建库和用户
create database zabbix character set utf8;
grant all privileges on zabbix.* to zabbix@localhost identified by 'zabbix';


#创建zabbix运行的独立用户
groupadd zabbix
useradd zabbix -g zabbix -s /sbin/nologin

#下载编译安装zabbix
wget -O zabbix.tar.gz -c "http://sourceforge.net/projects/zabbix/files/ZABBIX%20Latest%20Stable/2.2.4/zabbix-2.2.4.tar.gz/download"

tar zxvf zabbix.tar.gz
cd zabbix-2.2.4/

./configure --prefix=/usr/local/zabbix --enable-server --enable-agent \
--with-mysql --with-net-snmp --with-libcurl
make install

##编译错误解决
#checking for mysql_config... /usr/bin/mysql_config
#checking for main in -lmysqlclient... no
#configure: error: Not found mysqlclient library
ln -s /usr/lib64/mysql/libmysqlclient.so.16.0.0 /usr/lib64/mysql/libmysqlclient.so
ln -s /usr/lib64/mysql/libmysqlclient_r.so.16.0.0 /usr/lib64/mysql/libmysqlclient_r.so
ln -s /usr/lib64/libmysqlclient.so.16.0.0 /usr/lib64/libmysqlclient.so
ln -s /usr/lib64/libmysqlclient_r.so.16.0.0 /usr/lib64/libmysqlclient_r.so

#导入zabbix的数据库
mysql -uzabbix -pzabbix -hlocalhost zabbix < database/mysql/schema.sql
mysql -uzabbix -pzabbix -hlocalhost zabbix < database/mysql/images.sql
mysql -uzabbix -pzabbix -hlocalhost zabbix < database/mysql/data.sql

#修改配置文件
cp misc/init.d/fedora/core/zabbix_server /etc/init.d/
cp misc/init.d/fedora/core/zabbix_agentd /etc/init.d/
cp -R frontends/php /data/wwwroot/zabbix  #复制web文件到网站目录，替换成你自己的
sed -i 's/^DBUser=.*$/DBUser=zabbix/g' /usr/local/zabbix/etc/zabbix_server.conf
sed -i 's/^.*DBPassword=.*$/DBPassword=zabbix/g' /usr/local/zabbix/etc/zabbix_server.conf
sed -i 's/BASEDIR=\/usr\/local/BASEDIR=\/usr\/local\/zabbix/g' /etc/init.d/zabbix_server
sed -i 's/BASEDIR=\/usr\/local/BASEDIR=\/usr\/local\/zabbix/g' /etc/init.d/zabbix_agentd

#增加服务端口<br>
cat >>/etc/services <<EOF
zabbix-agent 10050/tcp #Zabbix Agent
zabbix-agent 10050/udp #Zabbix Agent
zabbix-trapper 10051/tcp #Zabbix Trapper
zabbix-trapper 10051/udp #Zabbix Trapper
EOF

#启动服务
/etc/init.d/zabbix_server start
/etc/init.d/zabbix_agentd start
chkconfig zabbix_server on   #开机启动启动服务
#chkconfig zabbix_agentd on  #被控端
#echo "/etc/init.d/zabbix_server start" >> /etc/rc.local
#echo "/etc/init.d/zabbix_agentd start" >> /etc/rc.local

#安装依赖库

yum -y install mysql-devel libcurl-devel net-snmp-devel Percona-Server-devel-55

#因为我的mysql使用的是percona55 所以这里需要装 Percona-Server-devel-55

#给zabbix在mysql中创建库和用户

create database zabbix character set utf8;

grant all privileges on zabbix.* to zabbix@localhost identified by 'zabbix';

#创建zabbix运行的独立用户

groupadd zabbix

useradd zabbix -g zabbix -s /sbin/nologin

#下载编译安装zabbix

wget -O zabbix.tar.gz -c "http://sourceforge.net/projects/zabbix/files/ZABBIX%20Latest%20Stable/2.2.4/zabbix-2.2.4.tar.gz/download"

tar zxvf zabbix.tar.gz

cd zabbix-2.2.4/

./configure --prefix=/usr/local/zabbix --enable-server --enable-agent \

--with-mysql --with-net-snmp --with-libcurl

make install

##编译错误解决

#checking for mysql_config... /usr/bin/mysql_config

#checking for main in -lmysqlclient... no

#configure: error: Not found mysqlclient library

ln -s /usr/lib64/mysql/libmysqlclient.so.16.0.0 /usr/lib64/mysql/libmysqlclient.so

ln -s /usr/lib64/mysql/libmysqlclient_r.so.16.0.0 /usr/lib64/mysql/libmysqlclient_r.so

ln -s /usr/lib64/libmysqlclient.so.16.0.0 /usr/lib64/libmysqlclient.so

ln -s /usr/lib64/libmysqlclient_r.so.16.0.0 /usr/lib64/libmysqlclient_r.so

#导入zabbix的数据库

mysql -uzabbix -pzabbix -hlocalhost zabbix < database/mysql/schema.sql

mysql -uzabbix -pzabbix -hlocalhost zabbix < database/mysql/images.sql

mysql -uzabbix -pzabbix -hlocalhost zabbix < database/mysql/data.sql

#修改配置文件

cp misc/init.d/fedora/core/zabbix_server /etc/init.d/

cp misc/init.d/fedora/core/zabbix_agentd /etc/init.d/

cp -R frontends/php /data/wwwroot/zabbix #复制web文件到网站目录，替换成你自己的

sed -i 's/^DBUser=.*$/DBUser=zabbix/g' /usr/local/zabbix/etc/zabbix_server.conf

sed -i 's/^.*DBPassword=.*$/DBPassword=zabbix/g' /usr/local/zabbix/etc/zabbix_server.conf

sed -i 's/BASEDIR=\/usr\/local/BASEDIR=\/usr\/local\/zabbix/g' /etc/init.d/zabbix_server

sed -i 's/BASEDIR=\/usr\/local/BASEDIR=\/usr\/local\/zabbix/g' /etc/init.d/zabbix_agentd

#增加服务端口<br>

cat >>/etc/services <<EOF

zabbix-agent 10050/tcp #Zabbix Agent

zabbix-agent 10050/udp #Zabbix Agent

zabbix-trapper 10051/tcp #Zabbix Trapper

zabbix-trapper 10051/udp #Zabbix Trapper

EOF

#启动服务

/etc/init.d/zabbix_server start

/etc/init.d/zabbix_agentd start

chkconfig zabbix_server on #开机启动启动服务

#chkconfig zabbix_agentd on #被控端

#echo "/etc/init.d/zabbix_server start" >> /etc/rc.local

#echo "/etc/init.d/zabbix_agentd start" >> /etc/rc.local

问题处理

zabbix_server 不能监听端口tcp 10051 ？

打开日志 cat /tmp/zabbix_server.log

1635:20140706:015834.413 [Z3001] connection to database ‘zabbix’ failed: [2002] Can’t connect to local MySQL server through socket ‘/var/lib/mysql/mysql.sock’ (2)
1635:20140706:015834.413 Database is down. Reconnecting in 10 seconds.

看来是mysql sock错误了。找到 #DBSocket=/tmp/mysql.sock 去掉前面的＃注释即可。

zabbix2.2.4 web中语言没有中文可选？

1、服务器端找到 zabbix/include/ locales.inc.php 文件

2、修改 locales.inc.php内容为：’zh_CN’ => array(‘name’ => _(‘Chinese (zh_CN)’), ‘display’ => true),

默认是false，所以不显示Chinese(zh_CN)。保存退出。

Centos6.x Python环境搭建相关

2014-06-24 by wwek·0评论

使用pyenv管理安装Python多版本共存

安装pyenv

安装依赖库

yum -y install readline readline-devel readline-static openssl openssl-devel openssl-static sqlite-devel bzip2-devel bzip2-libs automake gcc git

1	yum -y install readline readline-devel readline-static openssl openssl-devel openssl-static sqlite-devel bzip2-devel bzip2-libs automake gcc git

git克隆安装pyenv

git clone git://github.com/yyuu/pyenv.git ~/.pyenv
echo 'export PYENV_ROOT="$HOME/.pyenv"' >> ~/.bashrc
echo 'export PATH="$PYENV_ROOT/bin:$PATH"' >> ~/.bashrc
echo 'eval "$(pyenv init -)"' >> ~/.bashrc
exec $SHELL -l

git clone git://github.com/yyuu/pyenv.git ~/.pyenv

echo 'export PYENV_ROOT="$HOME/.pyenv"' >> ~/.bashrc

echo 'export PATH="$PYENV_ROOT/bin:$PATH"' >> ~/.bashrc

echo 'eval "$(pyenv init -)"' >> ~/.bashrc

exec $SHELL -l

安装Python

查看可安装的版本

pyenv install --list

1	pyenv install --list

安装指定版本

安装 python2.7.7 和 python3.4.1

pyenv install 2.7.7
pyenv install 3.4.1

1 2	pyenv install 2.7.7 pyenv install 3.4.1

更新数据库

安装完成之后需要对数据库进行更新：

 pyenv rehash

1	pyenv rehash

设置全局的python版本

pyenv global 2.7.7
pyenv versions
system
* 2.7.7 (set by /root/.pyenv/version)
3.4.1

pyenv global 2.7.7

pyenv versions

system

* 2.7.7 (set by /root/.pyenv/version)

3.4.1

当前全局的python版本已经变成了2.7.7。
也可以使用pyenv local或pyenv shell临时改变python版本。
使用 pyenv global system 切换为系统自带。

确认python版本

python
Python 2.7.7 (default, Jun 24 2014, 07:50:02) 
[GCC 4.4.7 20120313 (Red Hat 4.4.7-4)] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>>

python

Python 2.7.7 (default, Jun 24 2014, 07:50:02)

[GCC 4.4.7 20120313 (Red Hat 4.4.7-4)] on linux2

Type "help", "copyright", "credits" or "license" for more information.

>>>

使用python

输入python即可使用新版本的python；
系统命令会以/usr/bin/python的方式直接调用老版本的python；
使用pip安装第三方模块时会安装到~/.pyenv/versions/2.7.7下，不会和系统模块发生冲突。

安装ipython

pip install readline ipython

1	pip install readline ipython

主要参考斌爷的博客： http://opslinux.com/python_viode_1.html

Centos6.x下yum update升级更新openssl rpm二进制包

2014-06-06 by wwek·2条评论

2014年6月5日OpenSSL.org官方发布OpenSSL存在诸多漏洞。这些漏洞可能导致中间人攻击，拒绝服务，任意代码执行，会话注入数据等威胁，严重影响到网站的安全。

官网详细信息看这里 http://www.openssl.org/news/secadv_20140605.txt

修复漏洞有:

SSL/TLS MITM vulnerability (CVE-2014-0224)
DTLS recursion flaw (CVE-2014-0221)
DTLS invalid fragment vulnerability (CVE-2014-0195)
SSL_MODE_RELEASE_BUFFERS NULL pointer dereference (CVE-2014-0198)
SSL_MODE_RELEASE_BUFFERS session injection or denial of service (CVE-2010-5298)
Anonymous ECDH denial of service (CVE-2014-3470)

SSL/TLS MITM vulnerability (CVE-2014-0224)

DTLS recursion flaw (CVE-2014-0221)

DTLS invalid fragment vulnerability (CVE-2014-0195)

SSL_MODE_RELEASE_BUFFERS NULL pointer dereference (CVE-2014-0198)

SSL_MODE_RELEASE_BUFFERS session injection or denial of service (CVE-2010-5298)

Anonymous ECDH denial of service (CVE-2014-3470)

Centos /Redhat 系统,官网制作最新的openssl rpm包速度是非常快的. 有现成的官方rpm包,没必要去编译安装.

#yum 升级 openssl

yum -y update openssl openssl-devel


#确定是否已经是最新修复了openssl漏洞的版本, 检查openssl 的 rpm changelog

rpm -q --changelog openssl |grep -E "2014|CVE-2010-5298"


#* Mon Jun 02 2014 Tomáš Mráz <tmraz@redhat.com> 1.0.1e-16.14

#- fix CVE-2010-5298 - possible use of memory after free
#- fix CVE-2014-0195 - buffer overflow via invalid DTLS fragment
#- fix CVE-2014-0198 - possible NULL pointer dereference
#- fix CVE-2014-0221 - DoS from invalid DTLS handshake packet
#- fix CVE-2014-0224 - SSL/TLS MITM vulnerability
#- fix CVE-2014-3470 - client-side DoS when using anonymous ECDH
#* Mon Apr 07 2014 Tomáš Mráz <tmraz@redhat.com> 1.0.1e-16.7
#- fix CVE-2014-0160 - information disclosure in TLS heartbeat extension  包括之前的心脏出血漏洞修复
#* Tue Jan 07 2014 Tomáš Mráz <tmraz@redhat.com> 1.0.1e-16.4
#* Mon Jan 06 2014 Tomáš Mráz <tmraz@redhat.com> 1.0.1e-16.3
# 可以看到最新漏洞都通通修复了~


#虽然openssl看到的版本号没变,但是已经是最新漏洞修复版本了,看看 编译时间

openssl version -a

#OpenSSL 1.0.1e-fips 11 Feb 2013
#built on: Thu Jun 5 12:49:27 UTC 2014
#platform: linux-elf
#options: bn(64,32) md2(int) rc4(8x,mmx) des(ptr,risc1,16,long) idea(int) blowfish(idx)
#compiler: gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DKRB5_MIT -DL_ENDIAN -DTERMIO -Wall -O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -#fexceptions -fstack-protector --param=ssp-buffer-size=4 -m32 -march=i686 -mtune=atom -fasynchronous-unwind-tables -Wa,--noexecstack -DPURIFY -DOPENSSL_BN_ASM_PART_WORDS -DOPENSSL_IA32_SSE2 -#DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DRMD160_ASM -DAES_ASM -DVPAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
#OPENSSLDIR: "/etc/pki/tls"
#engines: dynamic

#yum 升级 openssl

yum -y update openssl openssl-devel

#确定是否已经是最新修复了openssl漏洞的版本, 检查openssl 的 rpm changelog

rpm -q --changelog openssl |grep -E "2014|CVE-2010-5298"

#* Mon Jun 02 2014 Tomáš Mráz <tmraz@redhat.com> 1.0.1e-16.14

#- fix CVE-2010-5298 - possible use of memory after free

#- fix CVE-2014-0195 - buffer overflow via invalid DTLS fragment

#- fix CVE-2014-0198 - possible NULL pointer dereference

#- fix CVE-2014-0221 - DoS from invalid DTLS handshake packet

#- fix CVE-2014-0224 - SSL/TLS MITM vulnerability

#- fix CVE-2014-3470 - client-side DoS when using anonymous ECDH

#* Mon Apr 07 2014 Tomáš Mráz <tmraz@redhat.com> 1.0.1e-16.7

#- fix CVE-2014-0160 - information disclosure in TLS heartbeat extension 包括之前的心脏出血漏洞修复

#* Tue Jan 07 2014 Tomáš Mráz <tmraz@redhat.com> 1.0.1e-16.4

#* Mon Jan 06 2014 Tomáš Mráz <tmraz@redhat.com> 1.0.1e-16.3

# 可以看到最新漏洞都通通修复了~

#虽然openssl看到的版本号没变,但是已经是最新漏洞修复版本了,看看编译时间

openssl version -a

#OpenSSL 1.0.1e-fips 11 Feb 2013

#built on: Thu Jun 5 12:49:27 UTC 2014

#platform: linux-elf

#options: bn(64,32) md2(int) rc4(8x,mmx) des(ptr,risc1,16,long) idea(int) blowfish(idx)

#compiler: gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DKRB5_MIT -DL_ENDIAN -DTERMIO -Wall -O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -#fexceptions -fstack-protector --param=ssp-buffer-size=4 -m32 -march=i686 -mtune=atom -fasynchronous-unwind-tables -Wa,--noexecstack -DPURIFY -DOPENSSL_BN_ASM_PART_WORDS -DOPENSSL_IA32_SSE2 -#DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DRMD160_ASM -DAES_ASM -DVPAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM

#OPENSSLDIR: "/etc/pki/tls"

#engines: dynamic

Centos 编译安装 haproxy

2013-04-29 by wwek·3条评论

wget -c http://haproxy.1wt.eu/download/1.4/src/haproxy-1.4.23.tar.gz

haproxy_install.sh

#!/bin/bash 
#install haproxy  
#20111207 by dongnan 

#variables 
dir=/usr/local 
ha_dir=${dir}/haproxy 
ha_cfg=${ha_dir}/haproxy.cfg 
kernel=`uname -r | grep '2.6'` 
pcre=$(rpm -qa | grep 'pcre' | wc -l) 
echo "$dir, $ha_dir, $ha_cfg, $kernel, $pcre" 

#check 
if [ ! "$kernel" -o "$pcre" -lt "2" ];then 
    echo -e "the script need linux 2.6 kernel and pcre pcre-devel \nyou can usage 'yum install pcre pcre-devel' or 'rpm -ivh pcre-devel-6.6-2.el5_1.7.x86_64.rpm'" 
    exit 1 
fi 

#function 

install_ha_cfg (){ 
#configure haproxy.cfg 
#default configure file for test,but need your change the frontend server and backend server ip address, 
#good luck! 

echo ' 
global 
    log 127.0.0.1   local0 
    maxconn 4096              #最大连接数 
    chroot /usr/local/haproxy #安装目录 
    uid 99                    #用户haproxy 
    gid 99                    #组haproxy 
    daemon                    #守护进程运行 
    nbproc 1                  #进程数量 
    pidfile /usr/local/haproxy/logs/haproxy.pid #haproxy pid 

defaults 
   log     global 
   mode    http               #7层 http;4层tcp  
   option  httplog            #http 日志格式 
   option  httpclose          #主动关闭http通道 
   option  redispatch         #serverId对应的服务器挂掉后,强制定向到其他健康的服务器 

   option  dontlognull 
   maxconn 2000               #最大连接数 
   contimeout      5000       #连接超时(毫秒) 
   clitimeout      50000      #客户端超时(毫秒) 
   srvtimeout      50000      #服务器超时(毫秒) 

frontend haproxy_test         #定义前端服务器(haproxy) 
        bind 10.0.1.251:80    #监听地址 
        default_backend server_pool  #指定后端服务器群 
        #errorfile 502 /usr/local/haproxy/html/maintain.html 
        #errorfile 503 /usr/local/haproxy/html/maintain.html 
        #errorfile 504 /usr/local/haproxy/html/maintain.html 

backend server_pool           #定义后端服务器群(web server/apache/nginx/iis..) 
        mode http 
        option  forwardfor    #后端服务器(apache/nginx/iis/*),从Http Header中获得客户端IP 
        #balance roundrobin    #负载均衡的方式,轮询方式 
        balance leastconn     #负载均衡的方式,最小连接 
        cookie SERVERID       #插入serverid到cookie中,serverid后面可以定义 
        option  httpchk HEAD /check.html #用来做健康检查html文档 
        server server1 10.0.1.252:80 cookie server1 check inter 2000 rise 3 fall 3 weight 3 
        server server2 10.0.1.253:80 cookie server2 check inter 2000 rise 3 fall 3 maxconn 120 weight 3 
        server server3 10.0.1.254:80 cookie server3 check maxconn 90 rise 2 fall 3 weight 3 
#服务器定义: 
#cookie server1表示serverid为server1; 
#check inter 2000 是检测心跳频率(check 默认 ); 
#rise 3 表示 3次正确认为服务器可用; 
#fall 3 表示 3次失败认为服务器不可用; 
#weight 表示权重。 

listen admin_stat                   #status 
    bind *:8080                     #监听端口 
    mode http                       #http的7层模式 
    stats refresh 30s               #统计页面自动刷新时间 
    stats uri /haproxy-stats        #统计页面URL 
    stats realm Haproxy\ Statistics #统计页面密码框上提示文本 
    stats auth admin:admin          #统计页面用户名和密码设置 
    stats hide-version              #隐藏统计页面上HAProxy的版本信息 
    stats admin if TRUE             #手工启用/禁用,后端服务器 
' > "$ha_cfg" && sed -i '1 d' "$ha_cfg" 
} 

#install 
if [ ! -e "$ha_dir" ];then 
   tar zxf haproxy*.tar.gz 
   cd haproxy*/ 
   make TARGET=linux26 USE_STATIC_PCRE=1 PREFIX=/usr/local/haproxy && make install PREFIX=/usr/local/haproxy && mkdir /usr/local/haproxy/{html,logs} 
   cd ../ 
# 
   if [ ! -e "$ha_dir" ];then 
       echo "error! can't install haproxy  please check ! Will now out of the script !" 
       exit 1 
   else 
       ! grep 'haproxy' /etc/syslog.conf && echo 'local1.*            /var/log/haproxy.log' >> /etc/syslog.conf 
       sed -ir 's/SYSLOGD_OPTIONS="-m 0"/SYSLOGD_OPTIONS="-r -m 0"/g' /etc/sysconfig/syslog && /etc/init.d/syslog restart 
       install_ha_cfg 
       rm -rf haproxy*/ 
   fi 
else 
   echo "haproxy is already exists!" 
fi

100

101

102

103

104

#!/bin/bash

#install haproxy

#20111207 by dongnan

#variables

dir=/usr/local

ha_dir=${dir}/haproxy

ha_cfg=${ha_dir}/haproxy.cfg

kernel=`uname -r | grep '2.6'`

pcre=$(rpm -qa | grep 'pcre' | wc -l)

echo "$dir, $ha_dir, $ha_cfg, $kernel, $pcre"

#check

if [ ! "$kernel" -o "$pcre" -lt "2" ];then

echo -e "the script need linux 2.6 kernel and pcre pcre-devel \nyou can usage 'yum install pcre pcre-devel' or 'rpm -ivh pcre-devel-6.6-2.el5_1.7.x86_64.rpm'"

exit 1

#function

install_ha_cfg (){

#configure haproxy.cfg

#default configure file for test,but need your change the frontend server and backend server ip address,

#good luck!

echo '

global

log 127.0.0.1 local0

maxconn 4096 #最大连接数

chroot /usr/local/haproxy #安装目录

uid 99 #用户haproxy

gid 99 #组haproxy

daemon #守护进程运行

nbproc 1 #进程数量

pidfile /usr/local/haproxy/logs/haproxy.pid #haproxy pid

defaults

log global

mode http #7层 http;4层tcp

option httplog #http 日志格式

option httpclose #主动关闭http通道

option redispatch #serverId对应的服务器挂掉后,强制定向到其他健康的服务器

option dontlognull

maxconn 2000 #最大连接数

contimeout 5000 #连接超时(毫秒)

clitimeout 50000 #客户端超时(毫秒)

srvtimeout 50000 #服务器超时(毫秒)

frontend haproxy_test #定义前端服务器(haproxy)

bind 10.0.1.251:80 #监听地址

default_backend server_pool #指定后端服务器群

#errorfile 502 /usr/local/haproxy/html/maintain.html

#errorfile 503 /usr/local/haproxy/html/maintain.html

#errorfile 504 /usr/local/haproxy/html/maintain.html

backend server_pool #定义后端服务器群(web server/apache/nginx/iis..)

mode http

option forwardfor #后端服务器(apache/nginx/iis/*),从Http Header中获得客户端IP

#balance roundrobin #负载均衡的方式,轮询方式

balance leastconn #负载均衡的方式,最小连接

cookie SERVERID #插入serverid到cookie中,serverid后面可以定义

option httpchk HEAD /check.html #用来做健康检查html文档

server server1 10.0.1.252:80 cookie server1 check inter 2000 rise 3 fall 3 weight 3

server server2 10.0.1.253:80 cookie server2 check inter 2000 rise 3 fall 3 maxconn 120 weight 3

server server3 10.0.1.254:80 cookie server3 check maxconn 90 rise 2 fall 3 weight 3

#服务器定义:

#cookie server1表示serverid为server1;

#check inter 2000 是检测心跳频率(check 默认 );

#rise 3 表示 3次正确认为服务器可用;

#fall 3 表示 3次失败认为服务器不可用;

#weight 表示权重。

listen admin_stat #status

bind *:8080 #监听端口

mode http #http的7层模式

stats refresh 30s #统计页面自动刷新时间

stats uri /haproxy-stats #统计页面URL

stats realm Haproxy\ Statistics #统计页面密码框上提示文本

stats auth admin:admin #统计页面用户名和密码设置

stats hide-version #隐藏统计页面上HAProxy的版本信息

stats admin if TRUE #手工启用/禁用,后端服务器

' > "$ha_cfg" && sed -i '1 d' "$ha_cfg"

}

#install

if [ ! -e "$ha_dir" ];then

tar zxf haproxy*.tar.gz

cd haproxy*/

make TARGET=linux26 USE_STATIC_PCRE=1 PREFIX=/usr/local/haproxy && make install PREFIX=/usr/local/haproxy && mkdir /usr/local/haproxy/{html,logs}

cd ../

if [ ! -e "$ha_dir" ];then

echo "error! can't install haproxy please check ! Will now out of the script !"

exit 1

else

! grep 'haproxy' /etc/syslog.conf && echo 'local1.* /var/log/haproxy.log' >> /etc/syslog.conf

sed -ir 's/SYSLOGD_OPTIONS="-m 0"/SYSLOGD_OPTIONS="-r -m 0"/g' /etc/sysconfig/syslog && /etc/init.d/syslog restart

install_ha_cfg

rm -rf haproxy*/

else

echo "haproxy is already exists!"

haproxy.sh

# cat /usr/local/sbin/haproxy.sh  
#!/bin/bash 
#haproxy command  
#ver:0.1bate 
#20111129 by dongnan 

#/usr/local/haproxy/sbin/haproxy  
#HA-Proxy version 1.4.18 2011/09/16 
#Copyright 2000-2011 Willy Tarreau <w@1wt.eu> 
# 
#Usage : haproxy [-f <cfgfile>]* [ -vdVD ] [ -n <maxconn> ] [ -N <maxpconn> ] 
#        [ -p <pidfile> ] [ -m <max megs> ] 
#        -v displays version ; -vv shows known build options. 
#        -d enters debug mode ; -db only disables background mode. 
#        -V enters verbose mode (disables quiet mode) 
#        -D goes daemon 
#        -q quiet mode : don't display messages 
#        -c check mode : only check config files and exit 
#        -n sets the maximum total # of connections (2000) 
#        -m limits the usable amount of memory (in MB) 
#        -N sets the default, per-proxy maximum # of connections (2000) 
#        -p writes pids of all children to this file 
#        -de disables epoll() usage even when available 
#        -ds disables speculative epoll() usage even when available 
#        -dp disables poll() usage even when available 
#        -sf/-st [pid ]* finishes/terminates old pids. Must be last arguments. 

#variables 
haproxy_dir=/usr/local/haproxy/ 
haproxy_conf=${haproxy_dir}haproxy.cfg 
haproxy_pid=${haproxy_dir}logs/haproxy.pid 
haproxy_cmd=${haproxy_dir}sbin/haproxy 
#test variables 
#file $haproxy_dir; file $haproxy_conf; file $haproxy_cmd; file $haproxy_pid 

if [ "$#" -eq "0" ];then 
    echo "usage: $0 {start|stop|restart}" 
    exit 1 
fi 

if [ "$1" = "start" ];then 
#echo $1 
    $haproxy_cmd -f $haproxy_conf 
elif [ "$1" = "stop" ];then 
#echo $1 
    kill `cat $haproxy_pid` 
elif [ "$1" = "restart" ];then 
#echo $1 
    $haproxy_cmd -f $haproxy_conf -st `cat $haproxy_pid` 

else 
   echo "usage: $0 arguments only start and stop or restart !" 
fi

# cat /usr/local/sbin/haproxy.sh

#!/bin/bash

#haproxy command

#ver:0.1bate

#20111129 by dongnan

#/usr/local/haproxy/sbin/haproxy

#HA-Proxy version 1.4.18 2011/09/16

#Usage : haproxy [-f <cfgfile>]* [ -vdVD ] [ -n <maxconn> ] [ -N <maxpconn> ]

# [ -p <pidfile> ] [ -m <max megs> ]

# -v displays version ; -vv shows known build options.

# -d enters debug mode ; -db only disables background mode.

# -V enters verbose mode (disables quiet mode)

# -D goes daemon

# -q quiet mode : don't display messages

# -c check mode : only check config files and exit

# -n sets the maximum total # of connections (2000)

# -m limits the usable amount of memory (in MB)

# -N sets the default, per-proxy maximum # of connections (2000)

# -p writes pids of all children to this file

# -de disables epoll() usage even when available

# -ds disables speculative epoll() usage even when available

# -dp disables poll() usage even when available

# -sf/-st [pid ]* finishes/terminates old pids. Must be last arguments.

#variables

haproxy_dir=/usr/local/haproxy/

haproxy_conf=${haproxy_dir}haproxy.cfg

haproxy_pid=${haproxy_dir}logs/haproxy.pid

haproxy_cmd=${haproxy_dir}sbin/haproxy

#test variables

#file $haproxy_dir; file $haproxy_conf; file $haproxy_cmd; file $haproxy_pid

if [ "$#" -eq "0" ];then

echo "usage: $0 {start|stop|restart}"

exit 1

if [ "$1" = "start" ];then

#echo $1

$haproxy_cmd -f $haproxy_conf

elif [ "$1" = "stop" ];then

#echo $1

kill `cat $haproxy_pid`

elif [ "$1" = "restart" ];then

#echo $1

$haproxy_cmd -f $haproxy_conf -st `cat $haproxy_pid`

else

echo "usage: $0 arguments only start and stop or restart !"

流水理鱼

流水理鱼（wwek）的博客

标签：centos

推荐的nginx+php(fpm-php fastcgi)open_basedir安全设置

0x00 实验目的

0x01 实验环境

0x02 测试详细

只在php-fpm.conf中配置

结果

只在nginx的fastcgi_param配置

结果和上面一样

只在php.ini配置

结果和上面一样

0x03 个人结论

0x04 个人推荐的nginx + php(fastcgi fpm-php)(lnmp) open_basedir的配置

0x05 参考文档

Centos Linux 上给PHP安装Xdebug调试笔记

安装Xdebug

配置

Centos6.x已有LNMP环境下编译安装Zabbix2.2

zabbix_server 不能监听端口tcp 10051 ？

zabbix2.2.4 web中语言没有中文可选？

Centos6.x Python环境搭建相关

使用pyenv管理安装Python多版本共存

安装pyenv

安装Python

查看可安装的版本

安装指定版本

更新数据库

设置全局的python版本

确认python版本

使用python

安装ipython

Centos6.x下yum update升级更新openssl rpm二进制包

Centos 编译安装 haproxy

标签：centos

0x00 实验目的

0x01 实验环境

0x02 测试详细

只在php-fpm.conf中配置

结果

只在nginx的fastcgi_param配置

结果和上面一样

只在php.ini配置

结果和上面一样

0x03 个人结论

0x04 个人推荐的nginx + php(fastcgi fpm-php)(lnmp) open_basedir的配置

0x05 参考文档

安装Xdebug

配置

zabbix_server 不能监听端口tcp 10051 ？

zabbix2.2.4 web中 语言没有中文可选？

使用pyenv管理安装Python多版本共存

安装pyenv

安装Python

查看可安装的版本

安装指定版本

更新数据库

设置全局的python版本

确认python版本

使用python

安装ipython

zabbix2.2.4 web中语言没有中文可选？