Nginx下实现pathinfo及ThinkPHP的URL Rewrite模式支持

打开Nginx的配置文件 /usr/local/nginx/conf/nginx.conf 一般是在这个路径,根据你的安装路径可能有所变化。如果你配置了vhost,而且只需要你这一个vhost支持pathinfo的话,可以直接打开你的vhost的配置文件。找到类似如下代码(不同版本的nginx可能稍有不同,但是相差不会很远): 


C代码  收藏代码

  1. location ~ .*.(php|php5)?$  
  2. {  
  3.         #原有代码  
  4. }  




C代码  收藏代码

  1. #去掉$是为了不匹配行末,即可以匹配.php/,以实现pathinfo  
  2. #如果你不需要用到php5后缀,也可以将其去掉  
  3. location ~ .php  
  4. {  
  5.     #原有代码  
  6.   
  7.     #定义变量 $path_info ,用于存放pathinfo信息  
  8.     set $path_info “”;  
  9.     #定义变量 $real_script_name,用于存放真实地址  
  10.     set $real_script_name $fastcgi_script_name;  
  11.     #如果地址与引号内的正则表达式匹配  
  12.     if ($fastcgi_script_name ~ “^(.+?\.php)(/.+)$”) {  
  13.         #将文件地址赋值给变量 $real_script_name  
  14.         set $real_script_name $1;  
  15.         #将文件地址后的参数赋值给变量 $path_info  
  16.         set $path_info $2;  
  17.     }  
  18.     #配置fastcgi的一些参数  
  19.     fastcgi_param SCRIPT_FILENAME $document_root$real_script_name;  
  20.     fastcgi_param SCRIPT_NAME $real_script_name;  
  21.     fastcgi_param PATH_INFO $path_info;  
  22. }  





这样,nginx服务器就可以支持pathinfo了。但是如果要支持ThinkPHP的URL_MODE设置为2的模式,还需要配置rewrite规则。找到access_log语句,在其上方加上以下语句: 


C代码  收藏代码

  1. #如果请求既不是一个文件,也不是一个目录,则执行一下重写规则  
  2. if (!-e $request_filename)  
  3. {  
  4.     #地址作为将参数rewrite到index.php上。  
  5.     rewrite ^/(.*)$ /index.php/$1;  
  6.     #若是子目录则使用下面这句,将subdir改成目录名称即可。  
  7.     #rewrite ^/subdir/(.*)$ /subdir/index.php/$1;  
  8. }  





最后,保存配置文件,重启nginx服务,把ThinkPHP的URL_MODEL设置为2,访问下你的页面,如果能正常访问,恭喜你pathinfo配置成功了。 



贴上配置文件: 

C代码  收藏代码

  1. server {  
  2.         listen       80;  
  3.         server_name  localhost;  
  4.     index index.html index.htm index.php;  
  5.     root /home/www;  
  6.           
  7.     # think项目 增加过滤功能,支持Rewrite  
  8.     location /think {  
  9.         # ThinkPHP Rewrite, 除以上指定的静态资源外,其它的请求才有必要进行判断  
  10.         if (!-e $request_filename){  
  11.             rewrite ^/think/(.*)$ /think/index.php/$1 last;  
  12.         }  
  13.     }  
  14.   
  15.         #去掉$是为了不匹配行末,即可以匹配.php/,以实现pathinfo  
  16.         #如果你不需要用到php5后缀,也可以将其去掉  
  17.     location ~ .*\.(php|php5)  
  18.     {  
  19.         #fastcgi_pass  unix:/tmp/php-cgi.sock;  
  20.         fastcgi_pass  127.0.0.1:9000;  
  21.         fastcgi_index index.php;  
  22.         include fastcgi.conf;  
  23.   
  24.         #定义变量 $path_info ,用于存放pathinfo信息  
  25.                 set $path_info “”;  
  26.                 #定义变量 $real_script_name,用于存放真实地址  
  27.                 set $real_script_name $fastcgi_script_name;  
  28.                 #如果地址与引号内的正则表达式匹配  
  29.                 if ($fastcgi_script_name ~ “^(.+?\.php)(/.+)$”) {  
  30.                         #将文件地址赋值给变量 $real_script_name  
  31.                         set $real_script_name $1;  
  32.                         #将文件地址后的参数赋值给变量 $path_info  
  33.                         set $path_info $2;  
  34.                 }  
  35.                 #配置fastcgi的一些参数  
  36.                 fastcgi_param SCRIPT_FILENAME $document_root$real_script_name;  
  37.                 fastcgi_param SCRIPT_NAME $real_script_name;  
  38.                 fastcgi_param PATH_INFO $path_info;  
  39.   
  40.     }  
  41.     location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$  
  42.     {  
  43.         expires 30d;  
  44.     }  
  45.     location ~ .*\.(js|css)?$  
  46.     {  
  47.         expires 1h;  
  48.     }  
  49. }  
  50.   
  51. # 日志打印出来,查看请求数据  
  52. log_format  _access  ‘$remote_addr – $remote_user [$time_local] “$request” ‘  
  53.               ‘$status $body_bytes_sent “$http_referer” ‘  
  54.               ‘”$http_user_agent” “$http_x_forwarded_for” “$request_filename”‘;  
  55. access_log  /home/log/nginx/access/php.log _access;  

Nginx服务器涉及到的安全配置

0x00 测试环境


操作系统:CentOS6.5
Web服务器:Nginx1.4.6
Php版本:Php5.4.26

0x01 Nginx介绍


nginx本身不能处理PHP,它只是个web服务器,当接收到请求后,如果是php请求,则发给php解释器处理,并把结果返回给客户端。nginx一般是把请求发fastcgi管理进程处理,fastcgi管理进程选择cgi子进程处理结果并返回被nginx。

nginx涉及到两个账户,一个是nginx的运行账户,一个是php-fpm的运行账户。如果访问的是一个静态文件,则只需要nginx的运行账户对文件具有读取权限;而如果访问的是一个php文件,则首先需要nginx的运行账户对文件有读取权限,读取到文件后发现是一个php文件,则转发给php-fpm,此时则需要php-fpm账户对文件具有读取权限。

0x02 研究发现的结论


1. linux下,要读取一个文件,首先需要具有对文件所在文件夹的执行权限,然后需要对文件的读取权限。 
2. php文件的执行不需要文件的执行权限,只需要nginx和php-fpm运行账户的读取权限。 
3. 上传木马后,能不能列出一个文件夹的内容,跟php-fpm的运行账户对文件夹的读取权限有关。 
4. 木马执行命令的权限跟c的账户权限有关。 
5. 如果木马要执行命令,需要php-fpm的账户对相应的sh有执行权限。 
6. 要读取一个文件夹内的文件,是不需要对文件夹有读取权限的,只需要对文件夹有执行权限。 

0x03 Nginx服务器涉及到的安全配置


1. Nginx.conf的配置 
2. php-fpm.conf的配置 
3. nginx和php-fpm的运行账户对磁盘的权限配置 
4. Php.ini的配置 

0x04 常见需要配置的操作方法


1. 禁止一个目录的访问

示例:禁止访问path目录

location ^~ /path { 
deny all; 
} 

可以把path换成实际需要的目录,目录path后是否带有”/”,带“/”会禁止访问该目录和该目录下所有文件。不带”/”的情况就有些复杂了,只要目录开头匹配上那个关键字就会禁止;注意要放在fastcgi配置之前。

2. 禁止php文件的访问及执行

示例:去掉单个目录的PHP执行权限

location ~ /attachments/.*\.(php|php5)?$ { 
deny all; 
} 

示例:去掉多个目录的PHP执行权限

location ~  
/(attachments|upload)/.*\.(php|php5)?$ { 
deny all; 
} 

3. 禁止IP的访问

示例:禁止IP段的写法:

deny 10.0.0.0/24; 

示例:只允许某个IP或某个IP段用户访问,其它的用户全都禁止

allow  
x.x.x.x;  
allow 10.0.0.0/24;  
deny all; 

0x05 需要解决的常见问题


1. 让木马上传后不能执行

针对上传目录,在nginx配置文件中加入配置,使此目录无法解析php。

2. 让木马执行后看不到非网站目录文件

取消php-fpm运行账户对于其他目录的读取权限。

3. 木马执行后命令不能执行

取消php-fpm账户对于sh的执行权限。

4. 命令执行后权限不能过高

Php-fpm账户不要用root或者加入root组。

0x06 Nginx安全配置方案


1. 修改网站目录所有者为非php-fpm运行账户,此处修改所有者为root。

命令:

1
chown -R root:root html/

2014032713413545690.png

2. 修改nginx及php-fpm的运行账户及组为nobody

nginx.conf

2014032713415348030.png

Php-fpm.conf

2014032713421181020.png

3. 取消nobody对所有目录的的读取权限,然后添加对网站目录的读取权限

命令:

1
2
chmod o-r –R  /
chmod o+r –R html/

4. 取消nobody对于/bin/sh 的执行权限 

chmod 776 /bin/sh

5. 确认网站目录对于nobody的权限为可读可执行,对网站文件的权限为可读

6. 对于上传目录或者写入写文件的目录添加nobody的写入权限 

7. 配置nginx.conf 对于上传目录无php的执行权限

8. 配置nginx.conf禁止访问的文件夹,如后台,或者限制访问ip

9. 配置nginx.conf禁止访问的文件类型,如一些txt日志文件

CDN已成云商必争之地 看CDN年整体收入增速800%的阿里云如何放大招?

近日,阿里云PR一改往日规模会议的模式,落脚创业大街,在3W咖啡办起了CDN专项技术媒体分享会。据笔者观察,这是阿里云2016年PR思路的一大改观,与同为BAT级的腾讯云一同走起了小清新路线。从邀请函中明显看出,本场媒体沙龙的主题剑指传统CDN,“传统CDN会更好?”的疑问在本次技术分享中被揭晓。

传统CDN闷声挣大钱的时代已去

随着用户应用需求类型的改变,CDN作为网络的一部分,已经成为企业级市场追捧的焦点之一。因为通过CDN可以更多的把计算和存储推向边缘,实实在在的让用户感受到最真实的体验。所以,当云计算大规模落地,云化CDN越来越受到用户的青睐。

我们知道,传统CDN一直以来,盘踞在产业链条的一端,悄默声的挣去高额利润。但在阿里云首席科学家章文嵩的眼里,这种传统CDN闷声发大财的局面,很快或者已经被打破。“云化CDN会完全重新将CDN定义。”因为随着创新技术的发展,用户应用习惯的更改。更多的应用场景会更多的被推到边缘节点上,不光是云上的计算,也可能变成边缘计算。“CDN可以说是云的入口,对于任何的云厂商来说CDN都很重要,而且CDN一定是云计算厂商的必争之地。” 章文嵩表示。

为什么肯定?原因很简单,可以被主要归纳为两点。第一,云时代里,企业级需求在改变。用户不在单一将CDN当做一个固定资源来所取,而是在其中加入更多计算、存储、网络、安全等多方面需求,而传统CDN厂商并不具备这样的综合技术实力,所以云服务商就有了更大的机会;第二,池化资源是云计算的本质属性,CDN一旦池化,将会带来更多的规模与价格优势,而这也是传统CDN能力达不到的。据介绍,像云厂商或者国内的BAT级别的互联网公司,他们在基础设施规模的建设上都比传统的CDN厂商大得多。整体的规模效应会带来成本下降,从而会带来更低的价格。

CDN的C从内容(Content)到云(Cloud)的改变

“未来三五年,随着云厂商的进入,整个CDN产业的格局将会发生翻天覆地的变化。” 章文嵩预测。

CDN原来的单词是Content Delivery Network,侧重整体应用的内容分发。而随着云厂商在产业内的介入,大部分企业用户的应用构建、传输都将在云上进行,所以CDN的内涵也将逐步转变为Cloud Delivery Network,云上网络分发的印记将更加深入。

“随着用户需求的适时而变,CDN技术的发展将会融合更多的创新思维和前瞻性的理念进去,云厂商凭借自身的综合实力优势,发展会越来越快。未来两到三年,传统CDN服务商光环不在,有可能整个CDN的行业江湖就会易主。” 章文嵩表示。

对此,阿里云CDN事业部总监朱照远用实际案例带来例证。分享当天,他举了阿里云与芒果TV合作打造风靡全球“超级女声”APP的例子。芒果TV对阿里云提出了苛刻的CDN需求:两周打造一个原型出来!其中APP要实现包括视频的海选、直播与终极PK的功能,其中技术实现要能提供视频的转码、网络专用通道、数据库、消息中间件等等十几种的能力。“这对传统CDN是不可能做到的,因为他们解决不了用户的所有痛点,或需求的功能点。传统的CDN只能提供单一的CDN组件,但是客户需要的却是计算、存储、分发、大数据、安全等等系列解决方案。”

所以,传统CDN在面临复杂的业务场景以及复杂的客户需求时,会表现出能力不足,束手无策。在云时代里,单一的内容分发,已经不能满足用户的多样化需求,云化CDN将给用户带来全新选择。

CDN6.0版本有哪些绝杀技?

阿里云CDN发源于淘宝自有CDN,并于2014年3月开始正式对外为提供服务。在商业化服务2周年之际,阿里云发布了经过10年淘宝历练,5次更新迭代的CDN6.0版本。

据介绍,此次发布的极速CDN 6.0版本,除了首次在业界提出Cloud Delivery Network(云分发网络)理念外。还融合了云计算、大数据技术,涵盖视频和移动两个解决方案以及大数据分析、HTTPS加速等新功能,可以为客户提供一站式的云CDN解决方案。

具体说来,6.0版本针对视频类应用推出视频云解决方案,提供一站式视频点播、直播服务,集内容采集、上传加速、存储、码转/截图、鉴黄服务、CDN分发及播放器等功能于一体,极大地优化了客户体验。据测算,视频云端到端时延仅2秒,流畅度95%,在同等清晰度下,码率低30%,这意味着客户可以节省30%的成本。

另外,新版CDN还提供了HTTPS加密功能,可以让客户内容防劫持、防篡改、防窃密,保证通信的安全。

大数据工具也是6.0版本的重要特色。阿里云将打通CDN和“数加”平台的大数据计算产品MaxCompute,客户如果需要,可以一键上传自己的日志数据,使用强大的MaxCompute进行精细化分析数据,让数据产生商业价值。



▲阿里云CDN用户展示

据透漏,移动端的CDN整体解决方案也即将上线,移动加速可提升40%性能,并具备HTTPDNS功能,具有防域名劫持、调度精确、稳定可靠等特点。

2015年阿里云CDN客户数已突破10万,客户规模是传统CDN厂商客户之和的20倍,在整个CDN市场稳居行业第一。业务营收同比增长800%,增长率也比传统CDN厂商的增速快了约20倍。“这一年越来越多的大中型企业级CDN客户采用CDN和云计算证明了我们对于行业前景的判断。企业在使用公共云架构的同时选择了云CDN,其综合竞争优势显著,这与传统IT架构向云计算转变的历史趋势一致。” 朱照远表示。

▲国内500+节点,超过10T带宽,单节点40-300G,海外覆盖6大洲(图示是阿里云CDN有部署节点的国家或地区)

linux运维工程师的朋友,必须要掌握以下几个工具才行

本人是linux运维工程师,对这方面有点心得,现在我说说要掌握哪方面的工具吧

说到工具,在行外可以说是技能,在行内我们一般称为工具,就是运维必须要掌握的工具。

我就大概列出这几方面,这样入门就基本没问题了。

linux系统如果是学习可以选用redhat或centos,特别是centos在企业中用得最多,当然还会有其它版本的,但学习者还是以这2个版本学习就行,因为这两个版本都是兄弟,没区别的,有空可以再研究一下SUSE,有些公司也喜欢用,例如我公司 。。。。。

工具如下:





1、linux系统基础,这个不用说了,是基础中的基础,连这个都不会就别干了,参考书籍,可以看鸟哥linux基础篇,至少要掌握这书60%内容,没必须全部掌握,但基本命令总得会吧





2、网络服务,服务有很多种,每间公司都会用到不同的,但基础的服务肯定要掌握,如FTP, DNS,SAMBA, 邮件, 这几个大概学一下就行,LAMP和LNMP是必须要熟练,我所指的不是光光会搭建,而是要很熟悉里面的相当配置才行,因为公司最关键的绝对是WEB服务器,所以nginx和apache要熟悉,特别是nginx一定要很熟悉才行,至少有些公司还会用tomcat,这个也最好学一下。其实网络服务方面不用太担心,一般公司的环境都已经搭建好,就算有新服务器或让你整改,公司会有相应的文档让你参照来弄,不会让你乱来的,但至少相关的配置一定要学熟,而且肯定是编译安装多,那些模块要熟悉一下他的作用,特别是PHP那些模块。

这面2点只是基础,也是必要条件,不能说是工具,下以才是真正的要掌握的工具。





3、shell脚本和另一个脚本语言,shell是运维人员必须具备的,不懂这个连入职都不行,至少也要写出一些系统管理脚本,最简单也得写个监控CPU,内存比率的脚本吧,这是最最最基本了,别以为会写那些猜数字和计算什么数的,这些没什么作用,只作学习意义,写系统脚本才是最有意义,而另一个脚本语言是可选的,一般是3P,即python, perl和php,php就不需要考虑了,除非你要做开发,我个人建议学python会比较好,难实现自动化运维,perl是文本处理很强大,反正这两个学一个就行了。





4、sed和awk工具,必须要掌握,在掌握这两个工具同时,还要掌握正则表达式,这个就痛苦了,正则是最难学的表达式,但结合到sed和awk中会很强大,在处理文本内容和过滤WEB内容时十分有用,不过在学shell的同时一般会经常结合用到的,所以学第3点就会顺便学第4点。





5、文本处理命令,sort , tr , cut, paste, uniq, tee等,必学,也是结合第3点时一并学习的。





6、数据库,首选mysql,别问我为什么不学sqlserver和oracle,因为linux用得最多绝对是mysql,增删改查必学,特别要学熟查,其它方面可能不太需要,因为运维人员使用最多还是查,哪些优化和开发语句不会让你弄的。





7、防火墙,不学不行,防火墙也算是个难点,说难不难,说易不易,最重要弄懂规则,如果学过CCNA的朋友可能会比较好学,因为iptables也有NAT表,原理是一样的,而FILTER表用得最多,反正不学就肯定不合格。





8、监控工具,十分十分重要,我个人建议,最好学这3个,cacti,nagios,zibbix,企业用得最多应该是nagios和 zibbix,反正都学吧,但nagios会有点难,因为会涉及到用脚本写自动监控,那个地方很难。





9、集群和热备,这个很重要,肯定要懂的,但到了公司就不会让你去弄,因为新手基本不让你碰,集群工具有很多,最好学是LVS,这是必学,最好也学学nginx集群,反向代理,还有热备,这个就更多工具能实现了,像我公司是自己开发热备工具的,mysql热备也要学,就是主从复制,这个别告诉我容易,其实不容易的,要学懂整个流程一点也不容易,只照着做根本没意思。





10、数据备份,不学不行,工具有很多,但至少要把RAID的原理弄懂,特别是企业最常用的1+0或0+1,自己做实验也要弄出来,备份工具有很多,如tar, dump, rsync等,最好多了解一下。

算了,说到这10点已经够你受了,应该可以入门了,因为有些技术会比较难学,例如apache和nginx中还有些很重要的技术,如系统调优和服务优化,还有程序优化,这些在没接触工作前很难学习到的,所以先把这10点学了吧,估计要学熟至少3个月不止,就脚本那部分已经让你很吃力了,我建议是先学熟shell,等工作后再学另一门脚本语言,这样会比较好。




以上就是踏入linux运维工程师需要掌握的工具,其实还有很多工具要掌握的,但你在学习环境中是很难学到,最后我再提醒一下,这里所指的工具相当于技能,而不是像windows或ubuntu那些图形化工具,那些工具没用的,还有,学linux就别装图形界面,这样虚拟机就不用吃太多内存,而且绝对不建议在真机上装linux,根本达不到学习效果。

转载:http://bbs.51cto.com/thread-1087414-1.html

Redis常用命令集,清空redis缓存数据库

Redis常用命令集,包括:连接操作命令,持久化命令,远程服务控制命令,对value操作的命令String、List、Set、Hash、Redis高级应用查看keys个数,清空redis缓存数据库。

1)连接操作命令

  • quit:关闭连接(connection)
  • auth:简单密码认证
  • help cmd: 查看cmd帮助,例如:help quit

2)持久化

  • save:将数据同步保存到磁盘
  • bgsave:将数据异步保存到磁盘
  • lastsave:返回上次成功将数据保存到磁盘的Unix时戳
  • shundown:将数据同步保存到磁盘,然后关闭服务



3)远程服务控制

  • info:提供服务器的信息和统计
  • monitor:实时转储收到的请求
  • slaveof:改变复制策略设置
  • config:在运行时配置Redis服务器



4)对value操作的命令

  • exists(key):确认一个key是否存在
  • del(key):删除一个key
  • type(key):返回值的类型
  • keys(pattern):返回满足给定pattern的所有key
  • randomkey:随机返回key空间的一个
  • keyrename(oldname, newname):重命名key
  • dbsize:返回当前数据库中key的数目
  • expire:设定一个key的活动时间(s)
  • ttl:获得一个key的活动时间
  • select(index):按索引查询
  • move(key, dbindex):移动当前数据库中的key到dbindex数据库
  • flushdb:删除当前选择数据库中的所有key
  • flushall:删除所有数据库中的所有key



5)String

  • set(key, value):给数据库中名称为key的string赋予值value
  • get(key):返回数据库中名称为key的string的value
  • getset(key, value):给名称为key的string赋予上一次的value
  • mget(key1, key2,…, key N):返回库中多个string的value
  • setnx(key, value):添加string,名称为key,值为value
  • setex(key, time, value):向库中添加string,设定过期时间time
  • mset(key N, value N):批量设置多个string的值
  • msetnx(key N, value N):如果所有名称为key i的string都不存在
  • incr(key):名称为key的string增1操作
  • incrby(key, integer):名称为key的string增加integer
  • decr(key):名称为key的string减1操作
  • decrby(key, integer):名称为key的string减少integer
  • append(key, value):名称为key的string的值附加value
  • substr(key, start, end):返回名称为key的string的value的子串



6)List 

  • rpush(key, value):在名称为key的list尾添加一个值为value的元素
  • lpush(key, value):在名称为key的list头添加一个值为value的 元素
  • llen(key):返回名称为key的list的长度
  • lrange(key, start, end):返回名称为key的list中start至end之间的元素
  • ltrim(key, start, end):截取名称为key的list
  • lindex(key, index):返回名称为key的list中index位置的元素
  • lset(key, index, value):给名称为key的list中index位置的元素赋值
  • lrem(key, count, value):删除count个key的list中值为value的元素
  • lpop(key):返回并删除名称为key的list中的首元素
  • rpop(key):返回并删除名称为key的list中的尾元素
  • blpop(key1, key2,… key N, timeout):lpop命令的block版本。
  • brpop(key1, key2,… key N, timeout):rpop的block版本。
  • rpoplpush(srckey, dstkey):返回并删除名称为srckey的list的尾元素,并将该元素添加到名称为dstkey的list的头部



7)Set

  • sadd(key, member):向名称为key的set中添加元素member
  • srem(key, member) :删除名称为key的set中的元素member
  • spop(key) :随机返回并删除名称为key的set中一个元素
  • smove(srckey, dstkey, member) :移到集合元素
  • scard(key) :返回名称为key的set的基数
  • sismember(key, member) :member是否是名称为key的set的元素
  • sinter(key1, key2,…key N) :求交集
  • sinterstore(dstkey, (keys)) :求交集并将交集保存到dstkey的集合
  • sunion(key1, (keys)) :求并集
  • sunionstore(dstkey, (keys)) :求并集并将并集保存到dstkey的集合
  • sdiff(key1, (keys)) :求差集
  • sdiffstore(dstkey, (keys)) :求差集并将差集保存到dstkey的集合
  • smembers(key) :返回名称为key的set的所有元素
  • srandmember(key) :随机返回名称为key的set的一个元素



8)Hash

  • hset(key, field, value):向名称为key的hash中添加元素field
  • hget(key, field):返回名称为key的hash中field对应的value
  • hmget(key, (fields)):返回名称为key的hash中field i对应的value
  • hmset(key, (fields)):向名称为key的hash中添加元素field 
  • hincrby(key, field, integer):将名称为key的hash中field的value增加integer
  • hexists(key, field):名称为key的hash中是否存在键为field的域
  • hdel(key, field):删除名称为key的hash中键为field的域
  • hlen(key):返回名称为key的hash中元素个数
  • hkeys(key):返回名称为key的hash中所有键
  • hvals(key):返回名称为key的hash中所有键对应的value
  • hgetall(key):返回名称为key的hash中所有的键(field)及其对应的value


Redis高级应用
1、安全性
    设置客户端连接后进行任何操作指定前需要密码,一个外部用户可以再一秒钟进行150W次访问,具体操作密码修改设置redis.conf里面的requirepass属性给予密码,当然我这里给的是primos 
之后如果想操作可以采用登陆的时候就授权使用:
sudo /opt/java/redis/bin/redis-cli -a primos
或者是进入以后auth primos然后就可以随意操作了
2、主从复制
做这个操作的时候我准备了两个虚拟机,ip分别是192.168.15.128和192.168.15.133
    通过主从复制可以允许多个slave server拥有和master server相同的数据库副本
具体配置是在slave上面配置slave
slaveof 192.168.15.128 6379
masterauth primos
如果没有主从同步那么就检查一下是不是防火墙的问题,我用的是ufw,设置一下sudo ufw allow 6379就可以了
这个时候可以通过info查看具体的情况
 
3、事务处理
redis对事务的支持还比较简单,redis只能保证一个client发起的事务中的命令可以连续执行,而中间不会插入其他client的命令。当一个client在一个连接中发出multi命令时,这个连接会进入一个事务的上下文,连接后续命令不会立即执行,而是先放到一个队列中,当执行exec命令时,redis会顺序的执行队列中的所有命令。
比如我下面的一个例子
set age 100
multi
set age 10
set age 20
exec
get age –这个内容就应该是20
multi
set age 20
set age 10
exec 
get age –这个时候的内容就成了10,充分体现了一下按照队列顺序执行的方式
discard  取消所有事务,也就是事务回滚
不过在redis事务执行有个别错误的时候,事务不会回滚,会把不错误的内容执行,错误的内容直接放弃,目前最新的是2.6.7也有这个问题的
乐观锁
watch key如果没watch的key有改动那么outdate的事务是不能执行的
4、持久化机制 
redis是一个支持持久化的内存数据库
snapshotting快照方式,默认的存储方式,默认写入dump.rdb的二进制文件中,可以配置redis在n秒内如果超过m个key被修改过就自动做快照
append-only file aof方式,使用aof时候redis会将每一次的函 数都追加到文件中,当redis重启时会重新执行文件中的保存的写命
令在内存中。
5、发布订阅消息 sbusribe publish操作,其实就类似linux下面的消息发布
6、虚拟内存的使用
可以配置vm功能,保存路径,最大内存上线,页面多少,页面大小,最大工作线程
临时修改ip地址ifconfig eth0 192.168.15.129

redis-cli参数

Usage: redis-cli [OPTIONS] [cmd [arg [arg …]]]

  -h <hostname>    Server hostname (default: 127.0.0.1)

  -p <port>        Server port (default: 6379)

  -s <socket>      Server socket (overrides hostname and port)

  -a <password>    Password to use when connecting to the server

  -r <repeat>      Execute specified command N times

  -i <interval>    When -r is used, waits <interval> seconds per command.

                   It is possible to specify sub-second times like -i 0.1

  -n <db>          Database number

  -x               Read last argument from STDIN

  -d <delimiter>   Multi-bulk delimiter in for raw formatting (default: \n)

  -c               Enable cluster mode (follow -ASK and -MOVED redirections)

  –raw            Use raw formatting for replies (default when STDOUT is not a  tty)

  –latency        Enter a special mode continuously sampling latency

  –slave          Simulate a slave showing commands received from the master

  –pipe           Transfer raw Redis protocol from stdin to server

  –bigkeys        Sample Redis keys looking for big keys

  –eval <file>    Send an EVAL command using the Lua script at <file>

  –help           Output this help and exit

  –version        Output version and exit



Examples:

  cat /etc/passwd | redis-cli -x set mypasswd

  redis-cli get mypasswd

  redis-cli -r 100 lpush mylist x

  redis-cli -r 100 -i 1 info | grep used_memory_human:

  redis-cli –eval myscript.lua key1 key2 , arg1 arg2 arg3

  (Note: when using –eval the comma separates KEYS[] from ARGV[] items)

常用命令:

1) 查看keys个数

keys *      // 查看所有keys

keys prefix_*     // 查看前缀为”prefix_”的所有keys

2) 清空数据库

flushdb   // 清除当前数据库的所有keys

flushall    // 清除所有数据库的所有keys

top3云服务器磁盘IO性能对比测试(阿里云、腾讯云、ucloud)–结果阿里云就是一坨屎

top3云服务器磁盘IO性能对比测试,测试对象包括阿里云、腾讯云、ucloud,测试磁盘包括系统盘,云盘(其中阿里云包括高速云盘),结果腾讯云本地硬盘最快达到600MB/s,因服务器没有云盘但官网说明有60MB/s,Ucloud磁盘读达到400多MB/s,阿里云垃圾仅有50MB/s,只能说阿里云真的很坑爹!很坑爹!!很坑爹!!

1)腾讯云服务器系统盘(641.98 MB/sec)及云盘( 627.78 MB/sec)IO读性能测试

[root@~]# df -h
Filesystem      Size  Used Avail Use% Mounted on
/dev/vda1       7.9G  3.5G  4.0G  47% /
/dev/vdb        197G  5.3G  182G   3% /home
[root@ ~]# hdparm -Tt /dev/vda1 

/dev/vda1:
 Timing cached reads:   20212 MB in  2.00 seconds = 10122.68 MB/sec
 Timing buffered disk reads: 1926 MB in  3.00 seconds = 641.98 MB/sec
[root@~]# hdparm -Tt /dev/vdb 

/dev/vdb:
 Timing cached reads:   19774 MB in  2.00 seconds = 9903.22 MB/sec
 Timing buffered disk reads: 1884 MB in  3.00 seconds = 627.78 MB/sec

腾讯云硬盘与本地硬盘的对比

云硬盘 本地硬盘
约0.30元/GB月。 约0.30元/GB月。
可靠性更高:数据冗余存储,且分布在多台服务器。 数据冗余存储,分布在本服务器。
容量更大:最大支持4TB的数据盘。 最大支持500GB。
性能:顺序读写约60MBPS。 性能更高:顺序读写超过200MBPS。
选购云硬盘的服务器支持升级CPU,内存,硬盘容量及带宽升级。   选购本地盘的服务器不支持配置升级,仅支持带宽的升级。

详细参考:https://buy.cloud.tencent.com/price/cbs

2)ucloud系统盘(513.27 MB/sec)及云盘(256.60 MB/sec)IO读性能测试

[root@ ~]# hdparm -Tt /dev/vda1^C
[root@ ~]# df
Filesystem     1K-blocks    Used Available Use% Mounted on
/dev/vda1       20641404 4259668  15333212  22% /
/dev/vdb        20642428 3620124  15973728  19% /data
[root@10-10-133-43 ~]# hdparm -Tt /dev/vda1

/dev/vda1:
 Timing cached reads:   14662 MB in  2.00 seconds = 7337.32 MB/sec
 Timing buffered disk reads: 1540 MB in  3.00 seconds = 513.27 MB/sec
[root@ ~]# hdparm -Tt /dev/vdb

/dev/vdb:
 Timing cached reads:   14728 MB in  2.00 seconds = 7370.36 MB/sec
 Timing buffered disk reads: 770 MB in  3.00 seconds = 256.60 MB/sec

Ucloud的Udisk没有公布磁盘详细IO情况:https://docs.ucloud.cn/storage_cdn/udisk/price.html

3)阿里云系统盘(51.57 MB/sec)、普通云盘(65.63 MB/sec)、高速云盘(57.05 MB/sec)IO读性能测试,SSD云盘99.78 MB/sec

[root@~]# df -h
Filesystem      Size  Used Avail Use% Mounted on
/dev/xvda1       40G  6.0G   32G  16% /
/dev/xvdc        99G   48G   46G  52% /home/mysql
/dev/xvdb       985G  317G  618G  34% /data

[root@~]# hdparm -Tt /dev/xvda1

/dev/xvda1:
 Timing cached reads:   14908 MB in  2.00 seconds = 7462.28 MB/sec
 Timing buffered disk reads: 156 MB in  3.03 seconds =  51.57 MB/sec
[root@iZ94fp4872nZ ~]# hdparm -Tt /dev/xvdb

/dev/xvdb:
 Timing cached reads:   14866 MB in  2.00 seconds = 7440.43 MB/sec
 Timing buffered disk reads: 198 MB in  3.02 seconds =  65.63 MB/sec


[root@]# hdparm -Tt /dev/xvdc

/dev/xvdc:
 Timing cached reads:   15070 MB in  2.00 seconds = 7541.93 MB/sec
 Timing buffered disk reads: 172 MB in  3.01 seconds =  57.05 MB/sec

阿里云盘SSD测试

# hdparm -Tt /dev/vda1

/dev/vda1:
 Timing cached reads:   16966 MB in  2.00 seconds = 8496.07 MB/sec
 Timing buffered disk reads: 300 MB in  3.01 seconds =  99.78 MB/sec

阿里云磁盘、SSD盘、搞笑云盘、普通云盘、本地SSD硬盘对比

块存储 SSD云盘 高效云盘 普通云盘 本地SSD盘
最大容量 2048 GB 2048 GB 2000 GB 800 GB
最大 IOPS 20000 3000 数百 12000
最大吞吐量 256 MBps 80 MBps 20 – 40 MBps 250 – 300 MBps
性能计算公式 IOPS=min{30*容量,20000}

吞吐量=min{50+0.5*容量,256}MBps
IOPS=min{1000+6*容量,3000}

吞吐量=min{50+0.1*容量,80}MBps
不适用 不适用
访问时延 0.5 – 2 ms 1 – 3 ms 5 – 10 ms 0.5 – 2 ms
数据可靠性 99.9999999% 99.9999999% 99.9999999% 仅物理机可靠性、无SLA保证
API名称 cloud_ssd cloud_efficiency cloud ephemeral_ssd
价格* 1.0元/GB/月 0.5元/GB/月 0.3元/GB/月 0.8元/GB/月
典型应用场景
  • I/O密集型应用
  • 中大型关系数据库
  • NoSQL数据库
  • 中小型数据库
  • 大型开发测试
  • Web服务器日志
不被经常访问或者低I/O负载的应用场景

Hadoop、NoSQL等分布式应用,应用本身有极高的可靠性,需要低时延、高I/O的存储。

供大家对云服务器的数据参考,2017.10.09增加普通电脑及服务器IO读写性能测试

1)DELL 1U PowerEdge R410服务器,RAID1 SAS 300G硬盘,测试比阿里云SSD云盘还要快。

# hdparm -Tt /dev/sda3

/dev/sda3:
 Timing cached reads:   11298 MB in  2.00 seconds = 5656.25 MB/sec
 Timing buffered disk reads:  442 MB in  3.01 seconds = 146.85 MB/sec

2)普通家庭电脑 希捷1T盘

# hdparm -Tt /dev/sda1

/dev/sda1:
 Timing cached reads:   19500 MB in  2.00 seconds = 9760.70 MB/sec
 Timing buffered disk reads: 436 MB in  3.01 seconds = 144.87 MB/sec

3)普通家庭电脑 西数4T盘

# hdparm -Tt /dev/sdb

/dev/sdb:
 Timing cached reads:   24872 MB in  2.00 seconds = 12455.68 MB/sec
 Timing buffered disk reads: 464 MB in  3.01 seconds = 154.13 MB/sec

phpcms phpsso通信失败原因解决办法

服务器其它配置正确,通信始终失败原因已经找到:

由于有防火墙的服务器一般是端口映射,这样就导致外网可以通过域名正常访问网站,而内网则无法通过域名访问网站。而v9与phpsso通信接口地址是通过域名链接,从而始终导致通信失败。这是v9的自身缺陷问题,开发者没有充分考虑到这一点。

修改hosts文件,把你的域名绑定到127.0.0.1,如

[root@localhost configs]# vi /etc/hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
127.0.0.1 www.qqqnm.com

nginx或者apache日志统计前十访问的URI

 下面两种方式统计nginx或者apache等http服务日志,所有URI接口的调用次数并显示出现次数最多的前十的URL,哪个更准确?

方法一:统计URI包括所有参数

cat /tmp/log |awk ‘{print $7}’ | sort | uniq -c | sort -nr |head -10

方法一:统计URI忽略所有参数
cat /tmp/log |awk ‘{split($7,b,”?”);COUNT[b[1]]++;}END{for(a in COUNT) print  COUNT[a], a}’|sort -k1 -nr|head -10 

其实是不通的统计方式

去掉http响应头Cache-Control及Pragma造成的缓存问题

最近在折腾CDN缓存配置,就发现在伪静态环境下,缓存命中率还是非常低,一番折腾后发现如果源站的http头部包含一些不缓存的信息,那么CDN”也许“会相应的继承源站发出的HTTP状态。
通常喜欢用LNMP安装包的朋友会发现,在动态及伪静态的环境中,HTTP头部信息会包含Cache-Control: no-store,no-cache,must-revalidate,post-check=0,pre-check=0 和 Pragma: no-cache,就是这种状态影响了CDN对源站缓存的判断,proxy。

如何去掉Cache-Control及Pragma在http头部中的状态呢?
如果没有看到此文的话,你会非常痛苦的认为是网站程序本身所发出的状态,然后一番查找修改后发现依然无解,我理解这个过程,因为我就是这么干的。非常之痛苦。。。。

其实解决Cache-Control: no-store,no-cache.....和Pragma: no-cache很简单,只需修改php.ini中的session.cache_limiter参数,军哥lnmp默认值是nocache,只要修改为none即可解决这个HTTP状态中的缓存问题。耶!耶!耶!耶!耶~~~~~~~~~

老外vps无特别说明(即使用优惠码)都按优惠后的价格续费。此vps无爱可看之前其它文章
发现Out of Stock说明缺货中,可考虑购买其它VPS。自备谷歌浏览器有简单的翻译功能。

linux centos 中OpenSSL升级方法详解

OpenSSL升级前段时间出现天大bug了,这样导致大家都急着去升级OpenSSL来初安全了,但是很多的朋友在家linux并不知道如何去升级OpenSSL了,下面我整理了一文章大家一起参考一下。

相关软件下载地址
Apache:http://httpd.apache.org/
Nginx:http://nginx.org/en/download.html
OpenSSL:http://www.openssl.org/
openssl-poc
附件说明
PoC.py : 漏洞利用测试PoC脚本
showssl.pl:OpenSSL动态库版本检测脚本
安装OpenSSL步骤

由于运营环境不同,以下过程仅供参考。openssl属于系统应用,被较多应用依赖,由于环境不同等因素,请先在测试环境进行充分测试。
从官方下载最新版本的opensssl库
wget https://www.openssl.org/source/openssl-1.0.1g.tar.gz
解压下载的openssl压缩包
tar -zxvf openssl-1.0.1g.tar.gz
进入解压后的openssl文件夹
cd openssl-1.0.1g
执行文件夹中的config文件,这里openssl的安装目录默认是/usr/local/ssl(由于系统环境差异路径可能不一致,下同),注意添加zlib-dynamic参数,使其编译成动态库

 代码如下 复制代码
./config shared zlib-dynamic
config完成后执行 make 命令
make
make 命令执行完后再执行 make install 命令,安装openssl
make install
重命名原来的openssl命令
mv /usr/bin/openssl  /usr/bin/openssl.old
重命名原来的openssl目录
mv /usr/include/openssl  /usr/include/openssl.old
将安装好的openssl 的openssl命令软连到/usr/bin/openssl
ln -s /usr/local/ssl/bin/openssl  /usr/bin/openssl
将安装好的openssl 的openssl目录软连到/usr/include/openssl
ln -s /usr/local/ssl/include/openssl  /usr/include/openssl
修改系统自带的openssl库文件,如/usr/local/lib64/libssl.so(根据机器环境而定) 软链到升级后的libssl.so
ln -s /usr/local/ssl/lib/libssl.so /usr/local/lib64/libssl.so
执行命令查看openssl依赖库版本是否为1.0.1g:
strings /usr/local/lib64/libssl.so |grep OpenSSL
在/etc/ld.so.conf文件中写入openssl库文件的搜索路径
echo “/usr/local/ssl/lib” >> /etc/ld.so.conf
使修改后的/etc/ld.so.conf生效

ldconfig -v
查看现在openssl的版本是否是升级后的版本
openssl version
更新Webserver的 OpenSSL依赖库
如果webserver在安装编译时加载了openssl,还需对webserver进行重启或者重新编译操作。因webserver安装时分为动态编译和静态编译openssl两种方式,所以具体操作方式也不同。
判断webserver是否为动态编译ssl的两种方法

wget -c https://www.openssl.org/source/openssl-1.0.1s.tar.gz
tar -zxvf openssl-1.0.1s.tar.gz 
cd openssl-1.0.1s
./config shared zlib-dynamic
make && make install
mv /usr/bin/openssl  /usr/bin/openssl.old
mv /usr/include/openssl  /usr/include/openssl.old
ln -s /usr/local/ssl/bin/openssl  /usr/bin/openssl
ln -s /usr/local/ssl/include/openssl  /usr/include/openssl
ln -s /usr/local/ssl/lib/libssl.so /usr/local/lib64/libssl.so
strings /usr/local/lib64/libssl.so |grep OpenSSL
echo "/usr/local/ssl/lib" >> /etc/ld.so.conf
ldconfig -v
openssl version

通过ldd命令查看依赖库


ssl1

ldd查看程序依赖库,存在libssl.so则为动态编译ssl(如上图),反之为静态(如下图):

ssl2

查看编译参数
如输入以命令/usr/sbin/nginx -V,查看nginx的编译参数,参数中不存在–with-openssl则为动态编译ssl的,反之为静态:
ssl3

更新OpenSSL库
a) 如果webserver是动态编译ssl安装的,直接重启apache,nginx等相应webserver服务即可。
b) 如果webserver是静态编译ssl安装的,可参照以下方法更新:
apache静态编译ssl的情况:
源码重新安装apache,使用ssl静态编译:
执行apache的configure文件时,除了业务需要的参数外,需要指定ssl为静态编译

 代码如下 复制代码
./configure –enable-ssl=static –with-ssl=/usr/local/ssl
(openssl的安装路径)

安装apache

 代码如下 复制代码
make && make install

恢复原有apache配置,重启服务即可
nginx静态编译ssl的情况:
源码重新安装nginx,使用ssl静态编译:
执行nginx的configure文件时,除了业务需要的参数外,需要指定ssl为静态编译,编译参数带上–with-openssl便表明为静态编译ssl

 代码如下 复制代码
./configure  –with-http_ssl_module –with-openssl=/usr/local/ssl
(openssl的安装路径)

安装nginx

 代码如下 复制代码
make && make install

恢复原有nginx配置,重启服务即可
如有其他使用openssl的情况,参照apache和nginx的解决方式。
测试漏洞是否存在
使用附件PoC.py根据脚本提示检测是否存在漏洞。
如:
测试https://192.168.0.1漏洞是否存在执行命令如下

 代码如下 复制代码
python PoC.py -p 443,8443 192.168.0.1

检测动态库libssl.so版本
检测当前进程使用的libssl.so版本
执行附件showssl.pl检查脚本,无信息输出或无漏洞版本openssl输出,表示升级成功;如输出中有unknown,请业务自查libssl.so.1.0.0的版本是否是受影响的版本。
(详情见附件)

 代码如下 复制代码
#!/usr/bin/perl -w
my @listInfo = `lsof |grep libssl|awk ‘{print $1″ “$2” “$NF}’|sort -u`;
foreach my $info (@listInfo)
{
my ($procName, $procPid, $libPath) = split(/s/, $info);
next if (!defined($procName) || !defined($procPid)|| !defined($libPath));
my $version = `strings $libPath|grep -E “^OpenSSL [0-9]+.[0-9]+”`;
chomp $version;
if ($version =~ /s*OpenSSLs*1.0.1[a-f]{0,2}/)
{
print “$procName($procPid) : $libPath ($version).n”;
}
}

检测系统使用的libssl.so版本
执行命令:

 代码如下 复制代码
strings /usr/local/lib64/libssl.so |grep OpenSSL

查看openssl依赖库版本是否为1.0.1g
注:/usr/local/lib64/libssl.so 路径仅供参考,由具体机器环境决定,参考升级步骤