Posts by: 阿百
網路的世界,總是存在一群隱密的駭客,無時無刻連線網路上主機所開放的任何連接方式,來嘗試入侵或破壞。當完成一台主機的部署之後,第一件要做的就是建立安全區的連線,透過基本的 iptables 設定,在最短時間將主機設定允許的連線區域,避免在軟體環境尚未更新或設定前就被攻破。
這看似十分安全,但當主機真正開始提供服務時,部份需公開的服務就可能不受 iptables 設定保護(如 WEB,匿名FTP),此時,我們也沒辦法告訴 iptables 誰可能駭客,也不可能隨時盯著連線IP來分析。這時就會想,如果有誰能告訴我那些 IP 可能是危險的那有多好?!
每當幫客戶完成一個具備後台功能的網站時,客戶總是興高採烈,瘋狂上傳他的檔案或圖片,透過設計好的後台功能,通常圖片在寫入的過程中我都會將他縮小至符合網路傳輸需要的大小,但當客戶採用 FTP 上傳或文字編輯器中內含的上傳時,就未必會正常的呼叫到縮圖程式。
在我的理解上,客戶很喜歡放多大尺寸的圖片到他的網站,感覺這樣才能完整的呈現圖片真實的解析度,或者大部份的客戶對圖片的大小跟本沒有 sense,自然大圖檔傳多了,網路的頻寬就吃緊,網路費就被迫要提升,這時就會希望我們幫他縮小那一堆不知何時上傳的圖檔。
過去,我們都會認為 Linux 系統比 Windows 系統更節省記憶體,直到 Linux Kernel 2.6.13 升級到之後,在 vSphere Client 中總是發現 Linux 把記憶體吃的精光?其實原因在於在 Kernel 2.6.13 之後加入 drop caches 的記憶體管理機制,千萬別以為 Linux 比 Windows 佔用記憶體喔。
FTP (File transfer Portocol) 是非常常見與實用的網路服務協定,透過 Client 軟體,你可以很方便的傳輸你的檔案到所屬的伺服器當中。而在 CentOS 中,內建的 vsftp 軟體能提供很不錯的安全性,但在功能上,就不如 proftpd 的全面性,因此,我們這次來試試 proftpd 這套軟體吧。
在前篇 CentOS 中使用 Nginx 來架設 Web 伺服器 文中,我們透過安裝與部署 Nginx 來提供 Web 的服務,接下來我們將要開始讓 Nginx 支援 PHP 運行的環境。對於 Nginx 而言,它並不懂什麼叫作 PHP,這對於它不過就是一個檔案,如果當有連線請求,他會直接將檔案的內容整個輸出。
實際上,我們可以透過 Nginx 提供 FastCGI,將檔案類型為 PHP 的請求轉給不同的服務來處理。因此,在這裡我們將安裝 PHP-FPM (FastCGI Process Manager) 服務,負責接收由 Nginx 轉送的請求,運行 PHP 程式之後,再透過 Nginx 回傳結果。
PHP-FPM – A simple and robust FastCGI Process Manager for [...]
在我使用虛擬機來架設 Linux 伺服器時,習慣在 Guest 中使用兩顆虛擬硬碟(VMDK),這就如同實體機器一樣,我們會將第一顆硬碟來安裝 OS 系統,第二顆硬碟存放運作資料,甚至第三顆硬碟來本地備份。
或許有人會問,在虛擬機何必這樣區分呢?不是都一樣都是假的?現在備份不都整個 Guest OS 備份?實際上,過去區分硬碟存放,為了是確保資料的保障;的確,在現在的虛擬環境備份方案,已經不像實體機的那麼複雜,層次也都已經拉升到整個運行虛擬機,而非單單那一顆硬碟。
但我仍會這樣做,尤其經過多次部署上線的經驗,配合虛擬機的特點,發現區分 DISK (VMDK) 仍有顯著幫助的。
在過去,我們會習慣使用 Apache 來架設 Linux 平台下的 Web Server,主要因為牌子老、資源多、模組多、相容性、跨平台,至今,Apache 仍在市場中佔有極大席次的使用率。LAMP(Linux + Apache + MySQL + PHP) 一詞幾乎變成大眾入門的首選。
Lighttpd 的出現,開始不少人討論輕量型的伺服器需求,主因在於發現 Apache 為了多方功能的完整,載入過多的模組功能,對於一般小型的網站程式需求(或是靜態請求)而言,大部份的模組都是毫無幫助,相對的耗費太多的硬體資源。
直到最近,LNMP(Linux + Nginx + MySQL + PHP) 似乎是更多人的選擇,因為 Nginx 對於請求的吞吐能力,內存消耗,反向代理等等特性,都比 Apache 還來的合適,尤其是作為外部 Web 代理請求的 Server,因此 Nginx 在服務提供上,就有明確的定位,甚至也不少人認為 LNAMP (Linux + Nginx + Apache + MySQL + PHP) 的作法,將會是最完善的組合。
我並不建議就這三者誰好誰壞多加評論,其實是毫無意義的,在不同的設計需求、硬體環境條件,自然就應當會有最適的解決方案。因此,了解三者的特性與差異性,在既有的環境中做出適當的配置,遠比一切都來的重要。不多說,就直接安裝 Nginx 來體驗看看吧。
做為一個網路管理人員,真的是什麼雞毛蒜皮的事都要管,最怕的就是客戶抱怨系統跑的慢,但造成系統緩慢問題偏偏又是一拖車的可能性,資源不足、硬體損壞、網路塞車、封包堵塞、駭客入侵、阻斷攻擊、IO緩慢、SQL錯誤、資料庫索引設定‧‧‧天呀,這可能說三天三夜都說不完呀。
當 Linux 作為架設伺服器的環境中,工程師通常會選擇放棄 X 介面,來換取最多的資源提供服務,這就不像 Windows 有漂亮的介面能夠運行漂亮的軟體,在 Linux 的文字環境,一個工具通常就是一個命令,那麼,工程師就算有如資料庫一樣的超強記憶力,也很難將全部的除錯工具都背起來吧。
因此,我在這裡簡單介紹三個都是叫 TOP 的管理工具,分別為 htop、iftop、iotop,如何,這是不是容易記多了吧~
相信現在已經不少人都會使用虛擬機作為運作系統的基礎架構,然而在全虛擬化或半虛擬化中的 Ghost VM,要如何發揮出最佳的效能呢?在 VMware 平台中,就是要安裝 VMware Tools 來最佳化你的資源分配與硬體驅動。
因此,本篇將介紹在 ESX 4.0 環境下,如何對 CentOS 6.3 進行安裝 VMware Tools( ESX 4.0 版中尚未完全支援 RHEL 6,但安裝方法可通用於其他版本)
在完成 最小安裝 與 網路設定 之後,此時你的 CentOS 已經處於 On Live 狀態,在預設的安裝中,CentOS 會內建並啟動 SSH 遠端連線的服務,且啟動防火牆,只允許 ICMP 與 SSH 連線,這表示你已經可以透過網路連線,而不再需要直接操作實體主機。
但,這樣就夠安全了嗎?其實 SSH 一點都不安全,當你的主機開啟此類服務時,表示任何人都可能透過網路的方式來嘗試連線到你的主機,透過 Port 掃瞄、字典檔或暴力破解,無論如何,root 密碼最終還是會被破解,而你的主機就淪為駭客的溫床。
因此,本文將引導大家透過設定 SSH ,降低被攻擊的可能,在配合防火牆的配置,只允許許可的網段連線,讓駭客無從而入。最後再針對環境配置,讓系統運作更加乾淨利落。
