Discuz!官方免费开源建站系统

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索

无废话 apache+mysql+php+snmp+rrdtool+cacti 配置

[复制链接]
tiredboy 发表于 2006-4-24 09:24:30 | 显示全部楼层 |阅读模式
作者:bleach  转自:chinaunix

无废话 apache+mysql+php+snmp+rrdtool+cacti 配置
由于论坛升级 原贴内出现部分乱码 我把我昨晚做的步骤写给大家 早上写的 熬了一夜 比较迷糊 如果发现遗漏 请指出 谢谢。
另推荐看完原帖的讨论 再开始做 对你会有很大帮助
原帖位置
http://bbs.chinaunix.net/viewthread.php?tid=594019&extra=page%3D1
向原作者致敬

OS CentOS3.5 安装选包定制
选择的包有 桌面里 X window + gnome
                服务器  一个没选
                开发  除了ked开发包没选 其他都选
           好象只有这就个包 其他的 我都没选 因为是测试 没必要按那么多

本机IP 192.168.1.99
机器名请用类似 Bleach.com 格式
安装 mysql
所有安装程序 在 /usr  下

  1. [root@Bleach usr]# groupadd mysql
  2. [root@Bleach usr]# useradd -g mysql mysql
  3. [root@Bleach usr]# cd /usr/local
  4. [root@Bleach local]# gunzip < /usr/mysql-standard-4.0.23-pc-linux-i686.tar.gz | tar xvf -
  5. [root@Bleach local]# ln -s /usr/local/mysql-standard-4.0.23-pc-linux-i686 mysql
  6. [root@Bleach mysql]# cd mysql
  7. [root@Bleach mysql]# scripts/mysql_install_db --user=mysql
  8. [root@Bleach mysql]# chown -R root .
  9. [root@Bleach mysql]# chown -R mysql data
  10. [root@Bleach mysql]# chgrp -R mysql .
  11. [root@Bleach mysql]# ./bin/mysqld_safe --user=mysql &
  12. [root@Bleach mysql]# ./bin/mysqladmin -u root password mysql
  13. [root@Bleach mysql]# cp ./support-files/mysql.server /etc/init.d/mysql
  14. [root@Bleach mysql]# cd /etc/rc3.d/
  15. [root@Bleach rc3.d]# ln -s /etc/init.d/mysql S85mysql
  16. [root@Bleach rc3.d]# ln -s /etc/init.d/mysql K85mysql

复制代码

Mysql 安装结束
安装apache

  1. [root@Bleach usr]# tar -zxvf  httpd-2.0.54.tar.gz
  2. [root@Bleach usr]# cd httpd-2.0.54
  3. [root@Bleach httpd-2.0.54]# ./configure --prefix=/www --enable-so
  4. [root@Bleach httpd-2.0.54]# make && make install
  5. [root@Bleach httpd-2.0.54]# cp /www/bin/apachectl /etc/init.d/httpd
  6. [root@Bleach httpd-2.0.54]# cd /etc/rc3.d
  7. [root@Bleach rc3.d]# ln -s /etc/init.d/httpd S85httpd
  8. [root@Bleach rc3.d]# ln -s /etc/init.d/httpd K85httpd
  9. [root@Bleach rc3.d]# /www/bin/apachectl start

复制代码

Apache 安装完毕
安装PHP

  1. [root@Bleach usr]# tar -zxvf php-4.3.10.tar.gz
  2. [root@Bleach usr]# cd php-4.3.10
  3. [root@Bleach php-4.3.10]# ./configure --prefix=/www/php \
  4. > --with-apxs2=/www/bin/apxs \
  5. > --with-config-file-path=/www/php \
  6. > --enable-sockets \
  7. > --with-mysql=/usr/local/mysql \
  8. > --with-zlib-dir=/usr/include \
  9. > --with-gd
  10. [root@Bleach php-4.3.10]# make && make install
  11. [root@Bleach php-4.3.10]# cp php.ini-dist /www/php/php.ini
  12. [root@Bleach php-4.3.10]# vi /www/conf/httpd.conf
  13. 按 I 键 添加 AddType application/x-tar .tgz
  14.                    AddType application/x-httpd-php .php
  15.                    AddType image/x-icon .ico
  16.                    DirectoryIndex index.php index.html index.html.var
  17.         保存退出 :wq
  18. [root@Bleach php-4.3.10]# /www/bin/apachectl restart

复制代码

Php安装完毕
设置mysql


  1. [root@Bleach php-4.3.10]# /usr/local/mysql/bin/mysql -u root -pmysql
  2.       mysql> create database cactidb;
  3.   mysql> grant all on cactidb.* to root;
  4.   mysql> grant all on cactidb.* to root@localhost;
  5.   mysql> grant all on cactidb.* to cactiuser;
  6.   mysql> grant all on cactidb.* to cactiuser@localhost;
  7.   mysql> set password for cactiuser@localhost=password('cactipw');
  8. 注:以上语句输出 Query OK, 0 rows affected (0.01 sec) 表示成功
  9.   mysql> exit
  10. Mysql设置完毕
  11. 检测apache + php + mysql
  12. [root @tsai usr]# cd /www/htdocs
  13. [root @tsai htdocs]# touch test.php
  14. [root @tsai htdocs]# vi test.php
  15.             <?
  16.             phpinfo( );
  17.             ?>
  18. 保存退出 :wq
  19. [root @tsai htdocs]# touch mydqltest.html
  20. [root @tsai htdocs]# vi mysqltest.html
  21.       <html>
  22.          <body>
  23.             <?
  24.                $link=mysql_connect('localhost','root');
  25.                 mysql_select_db('mysql');
  26.                $str="select * from user;";
  27.                $result=mysql_query($str,$link);
  28.                $show=mysql_num_rows($result);
  29.                mysql_close($link);
  30.                for ($i=0;$i < $show;$i++)
  31.                    {
  32.                  $arr[$i]=mysql_fetch_array($result);
  33.                    };
  34.             ?>
  35. <table align=center border=1>
  36.           <tr align=center>
  37.              <td>Host</td>
  38.              <td>User</td>
  39.              <td>Password</td>
  40.           </tr>
  41.      <?for ($i=0;$i<$show;$i++){?>
  42.           <tr>
  43.             <td><?echo $arr[$i][Host]?></td>
  44.             <td><?echo $arr[$i][User]?></td>
  45.             <td><?echo $arr[$i][Password]?></td>
  46.          </tr>
  47.              <?};?>
  48.           </body>
  49.        </html>
  50. 保存退出 :wq

复制代码

重启mysql + apache 服务
[root @Bleach htdocs]# service mydql restart
[root @Bleach htdocs]# service httpd restart
进入浏览器检查
http://192.168.1.99/test/php 和 http://192.168.1.99/mysqltest.html

安装rrdtool

  1. [root@Bleach usr]# tar zxvf rrdtool-1.0.50.tar.gz
  2. [root@Bleach usr]# cd rrdtool-1.0.50
  3. [root@Bleach rrdtool-1.0.50]# ./configure
  4. [root@Bleach rrdtool-1.0.50]# make && make install

复制代码

Rrdtool安装完毕

安装net-snmp、snmpwalk和snmpget命令

  1. [root@Bleach usr]# rpm -qa | grep net-snmp
  2. net-snmp-5.0.9-2.30E.15
  3. net-snmp-devel-5.0.9-2.30E.15
  4. net-snmp-libs-5.0.9-2.30E.15
  5. net-snmp-utils-5.0.9-2.30E.15
  6. [root@Bleach usr]# vi /etc/snmp/snmpd.conf
  7. 更改 1、com2sec notConfigUser  default       public
  8.        改为:com2sec notConfigUser   127.0.0.1       public
  9.        2、access  notConfigGroup ""      any       noauth    exact  systemview  none none
  10.        改为:access  notConfigGroup ""      any       noauth    exact  all  none  none
  11.        3、#view all    included  .1         80
  12.        将前面的 # 注释 去掉。
  13. 保存退出 :wq
  14. [root@Bleach usr]# service snmpd restart
复制代码

注:如果你机器内没有snmpwalk和snmpge命令,请到安装盘里查找 net-snmp-utils 包,rpm -ivh net-snmp-utils-*.rpm 只后这两个命令就在系统里了。其他包也都在安装盘里 确保安装这四个包就OK

  1. 安装/ 配置cacti
  2. [code]
  3. [root@Bleach usr]# useradd cactiuser -g users
  4. [root@Bleach usr]# passwd cactiuser (pwd:cactipw)
  5. [root@Bleach usr]# cp cacti-0.8.6g.tar.gz /www/htdocs/
  6. [root@Bleach usr]# cd /www/htdocs/
  7. [root@Bleach htdocs]# tar zxvf cacti-0.8.6g.tar.gz
  8. [root@Bleach htdocs]# mv cacti-0.8.6g cacti
  9. [root@Bleach htdocs]# cd cacti
  10. [root@Bleach cacti]# /usr/local/mysql/bin/mysql -u root -pmysql cactidb < cacti.sql
  11. [root@Bleach cacti]# chown -R cactiuser rra/ log/
  12. [root@Bleach cacti]# cd scripts
  13. [root@Bleach scripts]# chown cactiuser:users *
  14. [root@Bleach scripts]# vi /www/htdocs/cacti/include/config.php
  15. $database_type = “mysql”;
  16. $database_default = “cactidb”;
  17. $database_hostname = “localhost”;
  18. $database_username = “cactiuser”;
  19. $database_password = “cactipw”;
  20. 更改用户、密码 等项 与上面给出的对应 保存退出
  21. [root@Bleach scripts]# crontab -u cactiuser -e  
  22. 加入
  23. */5 * * * * /www/php/bin/php /www/htdocs/cacti/poller.php > /dev/null 2>&1
  24. 保存退出:wq

复制代码

全部设置完毕。
打开浏览器 http://192.168.1.99/cacti 进入cacti的初始设置页面
第一次默认登陆账号:admin 密码 admin J
登陆后在新改个密码就OK
需要说明的还有路径

  1. snmpwalk Binary Path : /usr/bin/snmpwalk
  2. snmpget Binary Path: /usr/bin/snmpget
  3. RRDTool Binary Path: /usr/rrdtool-1.0.50/src/rrdtool
  4. PHP Binary Path: /www/php/bin/php
  5. Cacti Log File Path: /www/htdocs/cacti/log/cacti.log
  6. Cactid Poller File Path: /www/htdocs/cacti/poller.php
  7. 如果你是按我的步骤做的 那上面的路径一定不会错。

复制代码

注:此时graphs还不能显示图形,需要将服务重新启动一下

  1. [root@Bleach scripts]# service snmpd restart
  2. [root@Bleach scripts]# service mysql restart
  3. [root@Bleach scripts]# service httpd restart

复制代码

OK ,现在打开或刷新 http://192.168.1.99/cacti 选 graphs 选项一定能出图形


由于早上比较迷糊 做的匆忙 原帖里出现不少语法输入错误 现已经更改 重新做了一下(ctrl+c =>ctrl+v做法 成功),以上code已经确保无错 2005.11.9 23:00 修改

用的所有软件包 请点击这里下载
另:拘坛友 bjchenxu 表示 cacti 不支持 mysql 5 ,请确认你的mysql 版本

野人 发表于 2006-4-24 11:50:12 | 显示全部楼层
再发下SSL详细安装吧
回复

使用道具 举报

 楼主| tiredboy 发表于 2006-4-24 12:53:33 | 显示全部楼层

apache+mod_ssl初学者指南

apache+mod_ssl初学者指南

作者seacaptain 转自CU

实现平台:redhat 7.3
需要的软件:apache_1.3.28.tar.gz,

1、因为mod_ssl依赖于OpenSSL库,所以需要一个有效OpenSSL
   tar -xvzf openssl-0.9.7b.tar.gz

cd openssl-0.9.7b

./config shared

make
make test
make install

echo "/usr/local/ssl/lib" >;>; /etc/ld.so.conf
ldconfig
至此openssl安装完成
2、安装apache和mod_ssl模块
tar -xzf mod_ssl-2.8.15-1.3.28.tar.gz
cd  mod_ssl-2.8.15-1.3.28
./configure --with-apache=../apache_1.3.28
cd ../apache_1.3.28
SSL_BASE=/usr/local/ssl
./configure --prefix=/usr/local/apache \
--enable-module=ssl \
--enable-module=so \
--enable-shared=ssl
make
这里我们可以按照提示创建一个自签署的证书。但是我想告诉大家如何在安装完成后使用openssl创建
密钥及申请证书或者创建自签署的证书。所以这里就直接安装
make install
如果没有错误说明安装成功
openssl安装目录是/usr/local/ssl
apache安装目录是/usr/local/apache

3、创建密钥申请证书及安装证书
cd /usr/local/apache/
mkdir cert
cd cert
创建密钥
/usr/local/ssl/bin/openssl genrsa -des3 -out FQDN.key 1024
创建证书请求
/usr/local/ssl/bin/openssl req -new -key FQDN.key -out FQDN.csr
成功创建证书请求后可以通过下面的密令了解请求内容
/usr/local/ssl/bin/openssl req -noout -text -in FQDN.csr
现在你就可以到一个CA申请一个证书了。Verisign是可以选择一家CA
https://www.verisign.com/从这里可以申请一个试用的证书,并且此网站提供了详细的帮助。可以知道你成功的获得一个可用的证书。

安装证书,编辑httpd.conf文件做如下设置

Listen 80
Listen 443
<VirtualHost ip:443>;
ServerName mail.yhx.com
DocumentRoot "/usr/local/apache/htdocs"
SSLEngine on
SSLCertificateFile /usr/local/apache/cert/www.yhx.com.cert
SSLCertificateKeyFile /usr/local/apache/cert/www.yhx.com.key
</VirtualHost>;

测试
/usr/local/apache/bin/apachectl startssl
访问站点https://www.yhx.com


对于没有条件的同志,可以用下面的方法创建一个自签署的证书
/usr/local/ssl/bin/openssl x509 -req -days 30 -in www.yhx.com.csr -signkey www.yhx.com.key -out www.yhx.com.cert

参考资料
OpenSSL http://www.openssl.org
modssl http://www.apacheref.com
回复

使用道具 举报

 楼主| tiredboy 发表于 2006-4-24 12:54:19 | 显示全部楼层

apache+mysql+php+ssl服务器之完全安装攻略

来源:  摘自:http://www.oso.com.cn/read_article.php?article_id=3448

--------------------------------------------------------------------------------

目的我们的目标是安装一个允许我们托管多个网站的web服务器,其中一些是针对电子商务的安全解决方案,而大部分网站是通过连接一个数据库服务器并且提取其数据的脚本驱动的。

为了这个任务所需的工具是:
Apache-一个网站服务器
Mod_SSL-一个安全套接字层(SSL)的模块
OpenSSL-开放源代码工具箱(mod_ssl所需)
RSARef-仅对美国用户
MySQL-一个数据库服务器
PHP-一种脚本语言

“条条大路通罗马”……因此这只是很多能达到我们要求的配置之一。我选择这样的配置,是因为它是最简单和最快的一种。选择Mod_SSL/OpenSSL的原因是因为我有它的先前经验,是最快配置和最容易安装的一种。为了彼此方便地与Apache集成,我选择了PHP和MySQL。记住,Perl能做到你想要做任何工作,然而,PHP对任何想学习它地程序员来说简单并且容易。

希望你将在结束这个简单的指南后能成功地完成下列目标。

安装并设置MySQL数据库服务器
o 知道怎样检查MySQL服务器的状态
o 知道怎样使用命令行客户程序存取MySQL服务器
o 知道怎样从web存取你的DB服务器

安装并设置具备SSL的Apache网站服务器
o 配置一个简单的虚拟网站
o 知道怎样停止并启动服务器
o 知道怎样做一些基本的主机托管配置

安装并配置服务器端脚本的PHP 4.0超文本预处理器
o 知道怎样编写简单的php代码
o 知道怎样使用php连接一个DB
o 创建一个启用PHP地简单网站与一个数据库沟通

创造一些样本证书用于Apache SSL
o 知道怎样产生一个CSR文件
o 知道怎样加密一个键码
o 知道怎样 签署你自己的证书

本文将覆盖大量的信息。本指南作为一个入门性地的指南,让你步入电子商务、网站脚本和安全套接字层 (SSL)的世界,目的是帮助你建立由存储在数据库中的动态信息驱动的安全网站。

本文绝非是一个详细全面的文档,它当然将有一些错误(希望最小),在你阅读它时请记住这一点。然而,它将激起你的热情并运行前面提到的产品,希望让你更好理解这些东西是怎样工作的。不需要以前的编程知识,但假定你有点计算机知识背景。我的目标是编写这个文档以便任何新手能理解我正在谈论的东西。如果我达到了,那么我做了一件好事。如果你轻而易举地建立了电子商务站点,比我做的更出色 给我一些解释。


假设

本文假设你已经把下列软件安装在你的系统上了。
Perl (最好是ver 5+)
gzip或gunzip
gcc 和 GNU make

如果你没有安装好这些,你将需要采取必要的步骤在解释本文的任何过程前把他们安装好。

你也需要对UNIX命令、HTML、和SQL的一个基本了解。你应该有怎样管理你的Linux机器的一个基本了解。你也需要一个完全正常的Linux机器,你将在它上面安装软件。当然你将需要在前面列出的必要的软件包以编译源代码,并且最后,保证你还没有在Linux机器中预装了MySQL、Apache、或PHP。


工作原理

理解在幕后发生了什么是有帮助的。这里是一个过分简化的工作原理,下图和随后的解释目前不是完全正确的,只是它的一个要点概述:

情况是:我们有一个从一个数据库取出一些数据的网页。John Doe从他的浏览器请求该页,请求被发送给web服务器,接着调用一个PHP脚本。PHP脚本由PHP预处理器解释并从数据库中取出数据,然后结果由余下的PHP脚本加工并转化成HTML,做后的HTML被发回用户的浏览器。

让我们一步一步地看:

John Doe 从他的浏览器中点击一个链接;他的浏览器发送对http://www.yourserver.com/test.php的请求。

Apache得到对test.php的请求,它知道.php文件应由PHP预处理器(mod_php)处理,因此它通知 PHP处理它。它知道这些,是因为我们在Apache的配置中指定它。

test.php是包含命令的一个PHP脚本。这些命令之一是打开一个到一个数据库的连接并抓取数据。PHP 处理到数据库的连接,并且解释SQL调用从DB中提取数据。

服务器服务器得到从PHP解释器来的连接请求,并且处理这个请求。请求可能是类似于一个简单的选择语句,或数据库表创建等。

数据库然后将应答和结果回送到PHP解释器。

Apache回送该结果到John Doe的浏览器,作为对他请求的应答。John Doe现在看见一个包含从一个数据库来的一些信息的网页。

如果这是一个对https://www.yoursecureserver.com/test.php的请求,整个过程与上述类似,除了每个请求和应答在两端被加密和解密,即,浏览器连接Apache,获得它的加密键码,加密请求并发送它。

服务器看到请求,解密并且认证它。它处理文件,加密并且发送它。然后浏览器用服务器的键码解密它。记住既然连接被加密,就是用不同的端口用。端口80用在在非安全连接上,而端口443用在安全连接时。

再说一次,它不是100%的正确,但是它足够快地让你知道幕后发生的事情的非常简单的概述。

既然我们对我们正在试图达到的目标有了一个很基本的了解,让我们继续安装软件吧。


准备

Apache (Web服务器)-http://www.apache.org
Mod_SSL (安全服务器层)-http://www.modssl.org
OpenSSL (SSL工具箱)-http://www.openssl.org
PHP (脚本语言)-http://www.php.net
MySQL (SQL数据库服务器 )-http://www.mysql.com

下载所有(tar文件)源代码到一个临时目录下。保证你把他们放在有很多空间的地方……你应该以root身份下载他们以避免权限问题。


我们的计划

我们的计划是首先安装MySQL服务器并保证它工作,然后我们将安装PHP和Mod_SSL,最后我们将安装Apache网站服务器。在我们安装了Apache以后,我们可以测试PHP和Mod_SSL支持是否起作用了。


MySQL源代码安装(UNIX)

你必须用来执行安装MySQL源代码分发的基本命令是(自一个没解开“tar”文件):

通过使用su成为 root用户。
$su

直接进入你有tar文件的目录。(使用一个临时目录。这里使用 /tmp/download/ )
#cd /tmp/download/

使用下列命令提取文件。
# gunzip -d -c mysql-3.22.xx.tar.gz | tar xvf -

改变到新目录,它在提取期间创建。
# cd mysql-3.22.xx

现在你可以开始“配置”MySQL服务器。你可以用configure指定很多选项,使用configure --help查看所有的选项。我已经选择--prefix指定到安装地点的直接路径。configure将检查你的编译器和一些其他东西。如果你有任何错误,你可以检查config.cache文件查看错误。
# configure --prefix=/usr/local/mysq

在你完成了配置以后,你可以执行下列命令make真正的二进制代码。
# make

现在你已准备好安装所有的二进制代码。运行下列命令在你用configure --prefix选项指定的目录下安装二进制代码。
# make install

在你安装好二进制代码后,现在是创建用于定义权限的mysql表的时候了。
# scripts/mysql_install_db
# cd /usr/local/mysql/bin
# ./safe_mysqld &
# ./mysqladmin -u root password "new-password"

注意:/usr/local/mysql是我选择安装MySQL服务器的目录。你可以通过改变目录选择另外的地方。

你可以通过运行一些简单的测试来验证服务器正在工作以确保MySQL正在运行。输出应该类似于下面所示的:BINDIR=/usr/local/mysql/bin。BINDIR依赖于你在上面的前缀选择的目录。

# BINDIR/mysqlshow -p
+---------------+
| Databases |
+---------------+
| mysql |
+---------------+

一旦你安装好MySQL,它将自动地创建2个数据库。一个mysql表,它控制在实际的服务器中用户、主机和 数据库权限;另一个是一个test数据库,我们能使用test数据库。然而,我们想给你一个快速而简单的MySQL可用的一些命令行选项的概述。这也将保证root被设置了对DB服务器的全部存取权限,即:root有创建数据库、数据库表等的许可,因此我们将创建一个test2数据库,在以后我们用它进行我们的测试。在你通过命令行进入MySQL前,你将被提示root用户的新口令。记住你以前改变了它。

# mysql -u root -p
mysql>;  show databases&#59;
+----------------+
| Database |
+----------------+
| mysql |
| test |
+----------------+
mysql>;  create database test2&#59;
Query OK, 1 row affected (0.00 sec)

现在选择新的数据库使用,并创建一个名为tst_tbl的新表, 有下列2个字段。字段1是是一个id字段,允许你知道记录的id。实质上为了简化这只是的一个行号。第二个字段是你一个name字段,存储书名信息。这些字段的格式是:字段1(id)是一个长度为3的整数(int),而字段2(name)是一个长度为50的字符(char)字段。为搜索和索引数据,我们指定id为键码。

mysql>;  use test2&#59;
Database changed
mysql>;  CREATE TABLE books ( id int(3) not null
->;  auto_increment, name char(50) not null,
->;  unique(id), primary key(id))&#59;
Query OK, 0 rows affected (0.00 sec)

现在我们用下列命令验证一切正确无误。

mysql>;  show tables
+---------------------+
| Tables in test2 |
+---------------------+
| books |
+---------------------+
1 row in set (0.00 sec)

mysql>;  describe books&#59;
+-------+-------------+------+------+----------+------------------------+
| Field | Type | Null | Key | Default | Extra |
+-------+-------------+------+------+----------+------------------------+
| id | int(3) | | PRI | 0 | auto_increment |
| name | char(50) | | | | |
+-------+-------------+------+------+----------+------------------------+
2 rows in set (0.00 sec)

注意到describe命令基本上“描述”了表的布局。相当不错吧!

好,该试一些确实有用的SQL命令,插入并从数据库中选择数据,现在把几个记录加到新表中。记住这些是简单的书名记录,但是一旦你获得了SQL足够的经验,你可以为一些大的电子商务站点创建确实复杂的数据库。让我们创建2本假想的书的2条记录。第一条记录是我在将来某天写的一本书的名字-“PHP 4 Newbies”,另一本是一个很有用的Linux书,“Red Hat Linux 6 Server”, 由Mohammed J. Kabir所著。

mysql>;  INSERT INTO books (name) values("HP 4 Newbies"&#59;
Query OK, 1 row affected (0.00 sec)
mysql>;  INSERT INTO books (name) values("Red Hat Linux 6 Server"&#59;
Query OK, 1 row affected (0.00 sec)

现在我们可以检查新纪录,发出一条“选择所有”命令

mysql>;  SELECT * from books&#59;
+----+----------------------------------+
| id | name |
+----+----------------------------------+
| 1 | PHP for Newbies |
| 2 | Red Hat Linux 6 Server |
+----+----------------------------------+
2 rows in set (0.00 sec)

很好,MySQL服务器完全起作用了。我们可以继续加入,但是此时没什么意义。注意到当你向数据库中插入记录时,你怎样不必指定id号,这是因为你创建了启用auto_increment选项的id字段。

让我演示一下如何做一个快速删除。这只是让你知道,记住,你可在MySQL的网站http://www.mysql.com上找到所需的有关mysql命令和服务器的所有信息。

mysql>;  delete from books where id=1&#59;
Query OK, 1 row affected (0.00 sec)
mysql>;  select * from books&#59;
+----+-----------------------------------+
| id | name |
+----+-----------------------------------+
| 2 | Red Hat Linux 6 Server |
+----+-----------------------------------+
1 row in set (0.00 sec)

好了,退出MySQL,继续安装。你可在完成所有安装并且一切工作正常后玩MySQL也不迟。


PHP安装(UNIX)

现在安装PHP语言。你下载了最新的beta版,但是你可能必须下载非beta版本。记住beta版本需要GNU make。

你仍然假定是root,如果不是,su回到root。

PHP要求你已经预先配置好的Apache,以便它能知道所需的东西在哪儿。在以后你安装Apache服务器时,你将会回到这里。改变到你有源代码的目录。

# cd /tmp/DOWNLOAD
# gunzip -c apache_1.3.x.tar.gz | tar xf -
# cd apache_1.3.x
# ./configure
# cd ..

好的,现在你可以开始PHP的安装。提取源代码文件并进入其目录。如果你下载了版本3,在数字和命令上有一个改变,不大的改变。

# gunzip -c php-4.0.x.tar.gz | tar xf -
# cd php-4.0.x

如果你正在编译代码,configure将永远是你的朋友。 因此,configure有很多选项。使用configure --help确定你想要增加哪些。我只是需要MySQL和LDAP,并且当然Apache。

# ./configure --with-mysql=/usr/local/mysql
--with-xml
--with-apache=../apache_1.3.x
--enable-track-vars
--with-ldap

make并安装二进制代码。

# make
# make install

拷贝ini文件到lib目录。

# cp php.ini-dist /usr/local/lib/php.ini

你可以编辑PHP文件来设置PHP选项,如你可以通过在你的php.ini文件中插入下列行,增加php的max_execution_time。

max_execution_time = 60&#59;

注意:php3用户将使用php3.ini,而php4用户将使用php.ini文件。


Apache 与 Mod_SSL


该配置并安装mod_ssl和Apache了。对此,你将需要有rsaref-2.0文件。在http://ftpsearch.lycos.com/上搜索“rsaref20.tar.Z”。如果你不喜欢Lycos,你可以选择其他搜索引擎来搜索文件。当然只有你在美国才需要这个文件。(管它呢,你也可从别处下载,首先在http://ftpsearch.ntnu.no/查找“rsaref20.tar.Z”,好多啊!。)

创建rasref目录,你将在该目录提取文件。注意。这假定你下载了一个临时目录,而你就在此目录。

# mkdir rsaref-2.0
# cd rsaref-2.0
# gzip -d -c ../rsaref20.tar.Z | tar xvf -

现在配置并构造OpenSSL库。

# cd rsaref-2.0
# cp -rp install/unix local
# cd local
# make
# mv rsaref.a librsaref.a
# cd ../..

安装OpenSSL。记住,你将用它来创建临时证书和CSR文件。--prefix选项指定主安装目录。

# cd openssl-0.9.x
# ./config -prefix=/usr/local/ssl
-L`pwd`/../rsaref-2.0/local/ rsaref -fPIC

现在make、测试并安装它。

# make
# make test
# make install
# cd ..

我们将配置MOD_SSL模块,然后用Apache配置指定它为一个可装载的模块。

# cd mod_ssl-2.5.x-1.3.x
# ./configure
--with-apache=../apache_1.3.x
# cd ..

现在我们可以把更多的Apache模块加到Apache源代码树中。可选的--enable-shared=ssl选项使得mod_ssl构造成为一个DSO“libssl.so”。关于在Apache支持DSO的更多信息,阅读Apache源代码树中的INSTALL和 htdocs/manual/dso.html文档。我强烈建议ISP和软件包装维护者为了最灵活地使用mod_ssl而使用DSO工具,但是注意,DSO不是在所有平台上的Apache都支持。

# cd apache_1.3.x
# SSL_BASE=../openssl-0.9.x
RSA_BASE=../rsaref-2.0/local
./configure --enable-module=ssl
--activate-module=src/modules/php4/libphp4.a
--enable-module=php4 --prefix=/usr/local/apache
--enable-shared=ssl
[...你可加入更多的选项...]

生成Apache,然后生成证书,并安装...

# make

如果你已正确地完成,你将得到类似于以下的信息:

+-----------------------------------------------------------------------+
| Before you install the package you now should prepare the SSL |
| certificate system by running the "make certificate" command. |
| For different situations the following variants are provided: |
| |
| % make certificate TYPE=dummy (dummy self-signed Snake Oil cert) |
| % make certificate TYPE=test (test cert signed by Snake Oil CA) |
| % make certificate TYPE=custom (custom cert signed by own CA) |
| % make certificate TYPE=existing (existing cert) |
| CRT=/path/to/your.crt [KEY=/path/to/your.key] |
| |
| Use TYPE=dummy when you’re a vendor package maintainer, |
| the TYPE=test when you’re an admin but want to do tests only, |
| the TYPE=custom when you’re an admin willing to run a real server |
| and TYPE=existing when you’re an admin who upgrades a server. |
| (The default is TYPE=test) |
| |
| Additionally add ALGO=RSA (default) or ALGO=DSA to select |
| the signature algorithm used for the generated certificate. |
| |
| Use "make certificate VIEW=1" to display the generated data. |
| |
| Thanks for using Apache & mod_ssl. Ralf S. Engelschall |
| rse@engelschall.com |
| www.engelschall.com |
+-----------------------------------------------------------------------+


现在你可以创建一个定制的证书。该选项将提示输入你的地址、公司、和其他一些东西。关于证书,请参阅本文的结尾。

# make certificate TYPE=custom

现在安装Apache...

# make install

如果一切正常,你应该看到类似于以下的信息:

+----------------------------------------------------------------------------------+
| You now have successfully built and installed the |
| Apache 1.3 HTTP server. To verify that Apache actually |
| works correctly you now should first check the |
| (initially created or preserved) configuration files |
| |
| /usr/local/apache/conf/httpd.conf |
| and then you should be able to immediately fire up |
| Apache the first time by running: |
| |
| /usr/local/apache/bin/apachectl start |
| Or when you want to run it with SSL enabled use: |
| |
| /usr/local/apache/bin/apachectl startssl |
| Thanks for using Apache. The Apache Group |
| http://www.apache.org / |
+----------------------------------------------------------------------------------+


现在验证Apache和PHP是否正在工作。然而,我们需要编辑srm.conf和httpd.conf保证我们把PHP类型加到了配置中。查看httpd.conf并去掉下列行的注释。如果你精确地遵循了本文的指令,你的httpd.conf文件将位于/usr/local/apache/conf目录。文件有一行针对php4的addtype加了注释,现在就去掉注释。httpd.conf 文件--片断

>;  
>;  # And for PHP 4.x, use:
>;  #
--->;  AddType application/x-httpd-php .php
--->;  AddType application/x-httpd-php-source .phps
>;  
>;  

现在我们准备启动Apache服务器看它是否在工作。首先我们将启动不支持SSL的服务器看它是否启动了。我们将检查对PHP的支持,然后我们将停止服务器并且启动启用了SSL支持的服务器并检查我们是否一切正常。configtest 将检查所有配置是否正确设置。

# cd /usr/local/apache/bin
# ./apachectl configtest
Syntax OK
# ./apachectl start
./apachectl start: httpd started


测试我们的工作


Apache 正在工作吗?

如果它工作正常,当你用Netscape连接服务器时,你将看见一幅类似于这幅屏幕捕获的屏幕。这是基本上 是Apache缺省安装的页面。

注意:你可以用域名或机器实际的IP地址与服务器连接。检查这两种情形,确保一切工作正常。


PHP支持正在工作吗??

现在将测试PHP支持……创建一个文件(名为:test.php ),它有下列信息。文件需要位于文档根路径下,它应该缺省设置为/usr/local/apache/htdocs。注意这依赖于我们以前选择的前缀,然而,这可在 httpd.conf中改变。设置多个虚拟主机将在另一篇文章加少,请留意,因为它将涉及安装Apache和它的指令的一些很基本的选项。

test.php 文件

< ?
phpinfo()&#59;
?>;  

它将显示有关服务器、php和环境的信息。下面是输出页面的顶部的屏幕抓取。

很酷吧,PHP起作用了。


SSL 选择正在工作吗??

好了,现在我们准备测试SSL了。首先停止服务器,并以启用SSL的选项重启它。

# /usr/local/apache/bin/apachectl stop
# /usr/local/apache/bin/apachectl startssl

测试它是否工作:通过用一个Netscape与服务器连接并且选择https协议,即:https://youserver.yourdomain.comhttp://yoursever.yourdomain.com:443 ,也可以再试一下你的服务器的 ip地址,即:https://xxx.xxx.xxx.xxxhttp://xxx.xxx.xxx.xxx:443

如果它起作用了,服务器将把证书发送到浏览器以建立一个安全连接。这将让浏览器提示你接受自己签署的证书。,如果它是来自VeriSign或Thawte的一张证书,那么浏览器将不提示你,因为证书来自一个可信的证书授权机构(CA)。在我们的情况中,我们创建并签署我们自己的证书……我们不想马上买一个。首先,我们想要保证我们能使一切正常。

你在Netscape中将看见启用了下列选项。这就告诉你一个安全的连接已经建立起来了。


PHP和MySQL能一起工作吗??

现在,我们可以确定php能与MySQL一起工作,通过创建一个简单的脚本,对“test2”数据库做一些插入和数据删除操作。只是一个简单的脚本以测试它是否工作了。在另一篇文章中我们将讨论PHP脚本连接一个 MySQL数据库。还记得我们已经创建立了数据库和一张表。我们可以现在完成它,但是我选择不。我想要再检查一次root有权限创建立数据库和表,然而,PHP提供了对MySQL的提供,因此我能很容易地编写代码以创建一个测试数据库和若干条记录。

记得我们以前创建了书籍数据库。如果你跳过了以前的内容,这部分将不工作。我们创建了有一个“books”表的test2数据库,并且为一本书插入了一条记录。

这个脚本基本上浏览该表并列出所有字段名,它的确很简单。

< ?
$dbuser = "root"&#59;
$dbhost = "localhost"&#59;
$dbpass = "password"&#59;
$dbname = "test2"&#59;
$dbtble = "books"&#59;
$mysql_link = mysql_connect($dbhost,$dbuser,$dbpass)&#59;
$column = mysql_list_fields($dbname,$dbtble,$mysql_link)&#59;
for($i=0&#59; $i<  mysql_num_fields($column)&#59; $i++ )
{
print mysql_field_name($column,$i )."< br>; "&#59;
}
?>;  

一个更复杂的例子将向你演示PHP某些绝妙的功能。

< html>;  
< head>;  
< title>; Example 2 -- more details< /title>;  
< /head>;  
< body bgcolor="white">;  
< ?
$dbuser = "root"&#59;
$dbhost = "localhost"&#59;
$dbpass = "password"&#59;
$dbname = "test2"&#59;
$dbtable = "books"&#59;
//------ DATABASE CONNECTION --------//
$mysql_link = mysql_connect($dbhost,$dbuser,$dbpass)&#59;
$column = mysql_list_fields($dbname,$dbtable,$mysql_link)&#59;
$sql = "SELECT * FROM $dbtable"&#59;
$result = mysql_db_query($dbname,$sql)&#59;
?>;  
< table bgcolor="black">;  
< tr>; < td>;  
< table>;  
< /td>; < /tr>;  
< /table>;  

< /body>;  
< /html>;  

注意,我们竟能在同一文件中同时有HTML和PHP命令。这就是PHP脚本的奇妙之处。


虚拟主机的设置

现在是设置Apache处理一些虚拟主机的时间了。由于Apache提供的灵活性,虚拟主机可很简单地做到。首先你需要一个DNS服务器把虚拟主机的域名指向web服务器的IP地址。在DNS使用一个CNAME记录把 your_virtual_domain.com指向服务器的IP。其次你需要修改Apache的配置文件httpd.conf以增加新的虚拟域名。记住,这只是一个很基本的例子,你有勇气读一下Apache的指令。

让我们看一个 httpd.conf 的例子。

httpd.conf 片断

#--------------------------------------------------------#
# VIRTUAL HOST SECTION NON-SSL
#--------------------------------------------------------#
# VirtualHost directive allows you to specify another virtual
# domain on your server. Most Apache options can be specified
# within this section.

# Mail to this address on errors
ServerAdmin webmaster@domain1.com

# Where documents are kept in the virtual domain
# this is an absolute path. So you may want to put
# in a location where the owner can get to it.
DocumentRoot /home/vhosts/domain1.com/www/

# Since we will use PHP to create basically
# all our file we put a directive to the Index file.
DirectoryIndex index.php

# Name of the server
ServerName www.domain1.com

# Log files Relative to ServerRoot option
ErrorLog logs/domain1.com-error_log
TransferLog logs/domain1.com-access_log
RefererLog logs/domain1.com-referer_log
AgentLog logs/domain1.com-agent_log

# Use CGI scripts in this domain. In the next case you
# can see that it does not have CGI scripts. Please
# read up on the security issues relating to CGI-scripting.
ScriptAlias /cgi-bin/ /var/www/cgi-bin/domain1.com/
AddHandler cgi-script .cgi
AddHandler cgi-script .pl

# This is another domain. Note that you could host
# multiple domains this way...

# Mail to this address on errors
ServerAdmin webmaster@domain2.com

# Where documents are kept in the virtual domain
DocumentRoot /virtual/domain2.com/www/html

# Name of the server
ServerName www.domain2.com

# Log files Relative to ServerRoot option
ErrorLog logs/domain2.com-error_log
TransferLog logs/domain2.com-access_log
RefererLog logs/domain2.com-referer_log
AgentLog logs/domain2.com-agent_log

# No CGI’s for this host

# End: virtual host section

使用上述例子在你的服务器上创建你自己的虚拟主机。如果你想从Apache网站上阅读每一条指令,它的网址是:http://www.apache.org


SSL虚拟主机

创建SSL虚拟主机类似非SSL。除了你需要指定另外的指令,还有,你需要增加一个DNS记录并且修改 httpd.conf。这里有一个例子。

#--------------------------------------------#
# SSL Virtual Host Context
#--------------------------------------------#

# General setup for the virtual host
DocumentRoot /usr/local/apache/htdocs
ServerAdmin webmaster@securedomain1.com
ServerName www.securedomain1.com
ErrorLoglogs/domain1.com-error_log
TransferLog logs/domain1.com-transfer_log

# SSL Engine Switch:
# Enable/Disable SSL for this virtual host.
SSLEngine on

# Server Certificate:
# Point SSLCertificateFile at a PEM encoded certificate. If
# the certificate is encrypted, then you will be prompted for a
# pass phrase. Note that a kill -HUP will prompt again. A test
# certificate can be generated with `make certificate’ under
# built time. Keep in mind that if you’ve both a RSA and a DSA
# certificate you can configure both in parallel (to also allow
# the use of DSA ciphers, etc.)
# Note that I keep my certificate files located in a central
# location. You could change this if you are an ISP, or ASP.

SSLCertificateFile /usr/local/apache/conf/ssl.crt/server.crt

# Server Private Key:
# If the key is not combined with the certificate, use this
# directive to point at the key file. Keep in mind that if
# you’ve both a RSA and a DSA private key you can configure
# both in parallel (to also allow the use of DSA ciphers, etc.)

SSLCertificateKeyFile /usr/local/apache/conf/ssl.key/server.key

# Per-Server Logging:
# The home of a custom SSL log file. Use this when you want a
# compact non-error SSL logfile on a virtual host basis.
CustomLog /usr/local/apache/logs/ssl_request_log

"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x "%r" %b"

记住你有很多指令可以指定。我们将在另一篇有关配置Apache的文章中讨论,本文只是一个入门性指南。


生成证书

这是如何生成证书的按部就班的描述。

为你的Apache服务器创建一个RSA私用密钥(被Triple-DES加密并且进行PEM格式化):

# openssl genrsa -des3 -out server.key 1024

请在安全的地方备份这个server.key文件。记住你输入的通行短语(pass phrase)!你可以通过下面的命令看到这个RSA私用密钥的细节。

# openssl rsa -noout -text -in server.key

而且你可以为这个RSA私用密钥创建一个加密的PEM版本(不推荐),通过下列命令:

# openssl rsa -in server.key -out server.key.unsecure

用服务器RSA私用密钥生成一个证书签署请求(CSR-Certificate Signing Request)(输出将是PEM格式的):

# openssl req -new -key server.key -out server.csr

当OpenSSL提示你“CommonName”时,确保你输入了服务器的FQDN("Fully Qualified Domain Name" ,即,当你为一个以后用https://www.foo.dom/访问的网站生成一个CSR时,这里输入"www.foo.dom"。你可借助下列命令查看该CSR的细节:

# openssl req -noout -text -in server.csr


将CSR发到一个CA

现在你必须发送该CSR到一个CA以便签署,然后的结果才是可以用于Apache的一个真正的证书。

有两种选择:

第一种,你可以通过一个商业性CA如Verisign 或 Thawte签署证书。那么你通常要将CSR贴入一个web表格,支付签署费用并等待签署的证书,然后你可以把它存在一个server.crt文件中。关于商业性CA的更多信息,请参见下列链接:

Verisign - http://digitalid.verisign.com/server/apacheNotice.htm
Thawte Consulting - http://www.thawte.com/certs/server/request.html
CertiSign Certificadora Digital Ltda. - http://www.certisign.com.br
IKS GmbH - http://www.iks-jena.de/produkte/ca /
Uptime Commerce Ltd. - http://www.uptimecommerce.com
BelSign NV/SA - http://www.belsign.be

你自己的CA

第二种,你可以利用自己的CA并由该CA签署CSR。你可以创建自己的认证中心来签署证书。最简单的方法是利用OpenSSL提供的CA.sh或 CA.pl脚本。比较复杂而且是手工的方法是:

为你的CA创建一个RSA私用密钥( 被Triple-DES加密并且进行PEM格式化的):

# openssl genrsa -des3 -out ca.key 1024

请在安全的地方备份这个ca.key文件。记住你输入的通行短语(pass phrase)!你可以通过下面的命令看到这个RSA私用密钥的细节。

# openssl rsa -noout -text -in ca.key

而且你可以为这个RSA私用密钥创建一个加密的PEM版本(不推荐),通过下列命令:

# openssl rsa -in ca.key -out ca.key.unsecure

利用CA的RSA密钥创建一个自签署的CA证书(X509结构)(输出将是PEN格式的):

# openssl req -new -x509 -days 365 -key ca.key -out ca.crt

你可以通过下列命令查看该证书的细节:

# openssl x509 -noout -text -in ca.crt

准备一个签署所需的脚本,因为"openssl ca"命令有一些奇怪的要求而且缺省的OpenSSL配置不允许简单地直接使用"openssl ca"命令,所以一个名为sign.sh的脚本随mod_ssl分发一道发布(子目录pkg.contrib/)。 使用该脚本进行签署。

现在你可以使这个CA签署服务器的CSR,以便创建用于Apache服务器内部的真正的SSL证书(假定你手头已经有一个server.csr):

# ./sign.sh server.csr

它签署服务器的CSR并且结果在一个server.crt文件中。

现在你有两个文件:server.ket和server.crt。在你的Apache的httpd.conf文件中,如下使用它们:

SSLCertificateFile /path/to/this/server.crt
SSLCertificateKeyFile /path/to/this/server.key

server.csr不再需要了。
回复

使用道具 举报

 楼主| tiredboy 发表于 2006-4-24 12:55:32 | 显示全部楼层

用SSL构建一个安全的Apache

by quack  转自CU
参考资料:Installing and Securing the Apache Webserver with SSL

一、简介  

这篇文章要说明的是如何将阿帕奇与SSL(Secure Socket Layer)结合起来安装  
配置。众所周知,在网络上以明文传递敏感信息是相当不安全的,因此SSL提供  
了一种加密手段,在底层上为上层协议提供服务和加密方案,因此当用户在以  
HTTP协议传输数据时,窥探者将难以获取数据的信息。当然加密只是在传输过程  
中的,对用户是完全透明的。   

那么就开始吧……  

二、准备工作  

如果你的系统是从头装起的话,建议你留出一个叫/chroot的分区用来运行Apache。  
至于这个分区的大小,取决于你自已,一般来说,一个普通的网站有40M也就够了。  
但你的系统如果早就运行了Apache,你可以另外开辟一个分区,或者选择不用独立  
分区来安装,仅仅在根下面开一个目录。  

另外我假定你的系统已经通过了一定的安全检测——在安装Apache之前(如果有其它  
漏洞存在的话,你认为运行在其上的Apache会怎样,所谓覆巢之下,焉有完卵,检  
测至少要包括(但不仅限于)——移除不安全的SUID程序、升级某些守护进程,去掉不  
必要的服务。还假定你是的WEB SERVER是运行TCP/IP而且有自己的地址。  

三、平台  

以下测试都在下列平台下通过:  

1、Slackware 4.x distribution using gcc 2.7.2.3 and Perl v5.005_02  

2、Solaris 7 on Sparc using gcc v2.8.1 and Perl v5.005_03  

四、获取所需要的软件  

因为阿帕奇并没有在她的包里自己SSL,因此我们必须先下载到这些加密网页所必需的  
部份:  

1、Apache Web Server - http://www.apache.org/dist/  

不必多说,我们当然需要获得这个web server,现在的版本是1.3.11,阿帕奇是现在世界  
上使用最广泛的web server。  

2、mod_ssl - http://www.modssl.org  

这是一个为Apache1.3.x web server提供强力加密的的软件模块,它使用的是SSL v2和v3  
以及TLS(Transport Layer Security)v1 协议。该软件包是在BSD的license下开发的,在  
非商业的情况下,你可以自由地使用它,要判断该使用哪一个版本的mod_ssl很简单,它的  
版本号是<mod_ssl-version>;-<apache-version>;格式的,也就是说,你如果用的是1.3.11  
的Apache,那么就该用2.50-1.3.11的mod_ssl。  

3、mod_perl - http://perl.apache.org/dist/  

4、Open SSL - http://www.openssl.org  

这一软件包提供了SSL v2/v3(Secure Sockets Layer)及TLS v1(Transport Layer Security)  
协议的加密保护。  

5、RSAref - 用搜索引擎查找一下"rsaref20.tar.Z"应该就能找到了  

我们将把这些程序安装于/usr/local目录下  

增加功能模块可以给阿帕奇更强大的功能,如果你需要更多的模块的话,自己去获  
得它并且加载,比如mod_php这一模块也是现在流行的,可以使阿帕奇提供php脚本  
支持……  

五、软件包的安装  

在实际安装前我们要决定我们将把web server安装在什么环境下,对于一个对  
安全有相当高要求的人来说,可以将服务器和软件安装于chroot环境,chroot  
改变root 目录并且仅在这一目录中执行程序,这提供了一个内建的小环境,即  
使入侵者已经通过cgi程序或者其它办法通过80端口获得了系统的进入权限,它  
也只能够在这一受限的环境中活动,从安全角度考量,这当然是最好的,但对  
系统管理员来说,这样安装相对麻烦一些,还必须把一些必要的库,perl以及  
相关工具也搬到chroot中,所以——你自己决定吧,这里我们介绍的是在chroot  
下安装。  

展开这些软件包:  

#gzip -d -c apache_1.3.11.tar.gz | tar xvf -  
#gzip -d -c mod_ssl-2.5.0-1.3.11.tar.gz | tar xvf -  
#gzip -d -c openssl-0.9.4.tar.gz | tar xvf -  
#gzip -d -c mod_perl-1.21.tar.gz | tar xvf -  


展开并且编译rsaref  

#mkdir rsaref  
#cd rsaref  
#gzip -d -c ../rsaref20.tar.Z | tar xvf -  
#tar xvf rsaref.tar  
#cp -rp install/unix temp  
#cd temp  
#make  
#mv rsaref.a librsaref.a  
#cd ../../  


编译OpenSSL  

#cd openssl-0.9.4  
#perl util/perlpath.pl /usr/bin/perl (Path to Perl)  
#./config -L`pwd`/../rsaref/temp/  
#make  
#make test  
#cd ..  


将mod_perl加到Apache的编译选项里  

#cd mod_perl-1.21  
#perl Makefile.PL APACHE_PREFIX=/usr/local/apache \  

APACHE_SRC=../apache_1.3.11/src \  

USE_APACI=1  

你会得到下面的提示:  

Configure mod_perl with ../apache_1.3.11/src ? [y]  

直接按enter就是默认的yes  

然后Makefile会问你是否建立httpd,可以用n选择不。  

#make  
#make install  
#cd ..  

将mod_ssl加到Apache中  

#cd mod_ssl-2.5.0-1.3.11  
#./configure --with-apache=../apache_1.3.11 \  

--prefix=/usr/local/apache \  

--with-ssl=../openssl-0.9.4 \  

--with-rsa=../rsaref/temp \  

--activate-module=src/modules/perl/libperl.a  
#cd ..  


编译Apache:  

#cd apache_1.3.11  

在编译以前我们可以再做一件事——编辑包含http server版本号的文件,使想得到它的入  
侵者摸不着脑袋长哪儿  

#<your favorite text editor>; src/include/httpd.h  

寻找下面的行 (approx. 454)并且改变server的名字及版本号——可以随便用你想改成的东西。  

define SERVER_BASEVERSION "Apache/1.3.11"  

现在你可以编译阿帕奇了  

#make  

现在你可以生成一个CA了(actual certificate).  

#make certificate  

按照该授权书的安装介绍做。  

#make install  

这将会把阿帕奇装在/usr/local/apache。  

测试web server (还没装SSL)是否运行正常 ----调用web server:  

/usr/local/apache/bin/apachectl start  

当WEB服务器运行起来后,你可以用 lynx或者任意什么浏览器连接你的80端口,如果能看到apache  
的欢迎页,就OK了。  

停止server:  

/usr/local/apache/bin/apachectl stop  

测试web server (同时起SSL) - 调用带SSL的WEB服务器  

/usr/local/apache/bin/apachectl startssl  

服务器运行时你用Netscape或者其它支持SSL的浏览器来看https://your.ip.here,看到欢迎页了么?  

要停止SERVER:  

/usr/local/apache/bin/apachectl stop  


六、阿帕奇的配置  

现在我们可以来看看阿帕奇的配置文件了——需要记住的是如果你对它做了更改,  
在未重新启动httpd守护进程前,它是不会发生作用的。好,现在我们可以进目录  
/usr/local/apache/conf看看了。  

httpd.conf -  
这是阿帕奇的主要配置文件,你可以在这里设定服务器启动时的基本环境,比如服务  
器的启动方式、端口号、允许的最多连接数等等,这一文件的注释非常详细,要看明  
白应该没什么问题。  

access.conf -  

这一文件是设定系统中的存取方式和环境的,但现在已经可以在httpd.conf中设定了,  
所以推荐你别动它,放空好了。  

srm.conf -  

这家伙主要做的是资源上的设定,你也可以放空,仅仅设定httpd.conf中的相关项。  

现在重启web server来使改动生效:  

#/usr/local/apache/bin/apachectl restart  


七、将阿帕奇设定在chroot环境下  

现在我们开始把刚才建立的东西移到chroot环境下——包括阿帕奇服务器以及所有需  
要的库文件。当然如前面所说的,这部份是可选的,如果你怕麻烦的话就算了,但转  
移后可以对你的web server多一个可靠的保护。  

建立/chroot目录  

#mkdir /chroot  

建立一些必需的子目录  

#mkdir /chroot/dev  
#mkdir /chroot/lib  
#mkdir /chroot/etc  
#mkdir /chroot/bin  
#mkdir /chroot/usr  
#mkdir /chroot/usr/local  


在我们的chroot建立/dev/null  

#mknod -m 666 /chroot/dev/null c 1 3  

将阿帕奇拷贝到/chroot目录中  

#cp -rp /usr/local/apache/ /chroot/usr/local  

拷贝必需的二进制文件  

#cp /bin/sh /chroot/bin  

确定哪些库是必需的——这取决于你编译时内建了哪些模块  

#ldd /usr/local/apache/bin/httpd  

将需要的库拷贝到chroot目录  

#cp /lib/libm.* /chroot/lib/  
#cp /lib/libgdbm.* /chroot/lib  
#cp /lib/libdb.* /chroot/lib  
#cp /lib/libdl.* /chroot/lib  
#cp /lib/libc.* /chroot/lib  

拷贝网络连接所需要的函数库  

#cp /lib/libnss* /chroot/lib  

拷贝必需的/etc下的文件到chroot  

#cp /etc/passwd /chroot/etc  
#cp /etc/shadow /chroot/etc  
#cp /etc/group /chroot/etc  
#cp /etc/resolv.conf /chroot/etc  
#cp /etc/hosts /chroot/etc  
#cp /etc/localtime /chroot/etc  
#cp /etc/localtime /chroot/etc  
#cp /etc/ld.so.* /chroot/etc  

测试chroot下的阿帕奇  

#chroot /chroot /usr/local/apache/bin/apachectl start  


现在再  

#chroot /chroot /usr/local/apache/bin/apachectl stop  

服务器就停下来了,如果不行的话,再次确认是否所有需要的库都拷到了/chroot/lib  
下了,如果仍然无帮助的话,或者可以以strace方式运行httpd,它的输出可能会有一  
些有价值的内容可以帮助确定是丢失了哪些库或者二进制文件。  

然后我们可以做一些小工作了:默认情况下阿帕奇是以nobody用户及用户组运行的,不  
要更改它。  

在passwd\shadow\group等文件中包含了大量系统信息,所以你可以替换掉它们。  

建立一个用户名为httpd,UID为80  
建立一个组名为httpd,GID为80  

用下面的命令来将/chroot下的passwd,shadow,group替换掉  

#echo "httpd:80:100:,,,:/home/httpd:/bin/false" >; /chroot/etc/passwd  
#echo "httpd:*LK*:11010:0:99999:7:::" >; /chroot/etc/shadow  
#echo "httpd:80:" >; /chroot/etc/group  

设定好文件的许可权限  

#chmod 600 /chroot/etc/passwd shadow group  

现在我们可以编辑apache的配置文件并进行需要的配置,文件在  
/chroot/usr/local/apache/conf/httpd.conf,寻找到包含apache运行用户  
及组的信息的行并改变它(approx. line 263),当然是改成httpd/httpd。  

一切运行正常后我们可以删除前面的那些服务器安装的东西——/usr/local下的,  
包括服务器以及那些内建的模块等等。  

#rm -rf /usr/local/apache  
#rm -rf /usr/local/mod_ssl-2.5.0-1.3.11/  
#rm -rf /usr/local/mod_perl-1.21/  
#rm -rf /usr/local/openssl-0.9.4/  
#rm -rf /usr/local/rsaref  

如果以后还想改变它们的配置,增加新的模块,那么将原先的apache留下来也行。  

将阿帕奇设定为在开机时自启动,修改/etc/rc.d/rc.local并且加入以下行:  

echo "Starting Apache-SSL"  
/usr/sbin/chroot/apache/bin/apachectl startssl  

如果一切都运行正常的话,那么恭喜你,你已经成功地运行了带SSL支持的阿帕奇  
了,这会使你的web server更加安全,如果你希望加入更多的模块实现其它功能的  
话,自己动手吧,最后要说明的是:在chroot环境中最好只有必需的一些二进制程  
序,而SUID程序还是干掉比较好些。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Discuz! 官方站 ( 皖ICP备16010102号 )star

GMT+8, 2024-12-29 01:35 , Processed in 0.029855 second(s), 4 queries , Gzip On, Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表