Currently viewing the tag: "CentOS"
網路的世界,總是存在一群隱密的駭客,無時無刻連線網路上主機所開放的任何連接方式,來嘗試入侵或破壞。當完成一台主機的部署之後,第一件要做的就是建立安全區的連線,透過基本的 iptables 設定,在最短時間將主機設定允許的連線區域,避免在軟體環境尚未更新或設定前就被攻破。
這看似十分安全,但當主機真正開始提供服務時,部份需公開的服務就可能不受 iptables 設定保護(如 WEB,匿名FTP),此時,我們也沒辦法告訴 iptables 誰可能駭客,也不可能隨時盯著連線IP來分析。這時就會想,如果有誰能告訴我那些 IP 可能是危險的那有多好?!
過去,我們都會認為 Linux 系統比 Windows 系統更節省記憶體,直到 Linux Kernel 2.6.13 升級到之後,在 vSphere Client 中總是發現 Linux 把記憶體吃的精光?其實原因在於在 Kernel 2.6.13 之後加入 drop caches 的記憶體管理機制,千萬別以為 Linux 比 Windows 佔用記憶體喔。
FTP (File transfer Portocol) 是非常常見與實用的網路服務協定,透過 Client 軟體,你可以很方便的傳輸你的檔案到所屬的伺服器當中。而在 CentOS 中,內建的 vsftp 軟體能提供很不錯的安全性,但在功能上,就不如 proftpd 的全面性,因此,我們這次來試試 proftpd 這套軟體吧。
在前篇 CentOS 中使用 Nginx 來架設 Web 伺服器 文中,我們透過安裝與部署 Nginx 來提供 Web 的服務,接下來我們將要開始讓 Nginx 支援 PHP 運行的環境。對於 Nginx 而言,它並不懂什麼叫作 PHP,這對於它不過就是一個檔案,如果當有連線請求,他會直接將檔案的內容整個輸出。
實際上,我們可以透過 Nginx 提供 FastCGI,將檔案類型為 PHP 的請求轉給不同的服務來處理。因此,在這裡我們將安裝 PHP-FPM (FastCGI Process Manager) 服務,負責接收由 Nginx 轉送的請求,運行 PHP 程式之後,再透過 Nginx 回傳結果。
PHP-FPM – A simple and robust FastCGI Process Manager for [...]
在我使用虛擬機來架設 Linux 伺服器時,習慣在 Guest 中使用兩顆虛擬硬碟(VMDK),這就如同實體機器一樣,我們會將第一顆硬碟來安裝 OS 系統,第二顆硬碟存放運作資料,甚至第三顆硬碟來本地備份。
或許有人會問,在虛擬機何必這樣區分呢?不是都一樣都是假的?現在備份不都整個 Guest OS 備份?實際上,過去區分硬碟存放,為了是確保資料的保障;的確,在現在的虛擬環境備份方案,已經不像實體機的那麼複雜,層次也都已經拉升到整個運行虛擬機,而非單單那一顆硬碟。
但我仍會這樣做,尤其經過多次部署上線的經驗,配合虛擬機的特點,發現區分 DISK (VMDK) 仍有顯著幫助的。
在過去,我們會習慣使用 Apache 來架設 Linux 平台下的 Web Server,主要因為牌子老、資源多、模組多、相容性、跨平台,至今,Apache 仍在市場中佔有極大席次的使用率。LAMP(Linux + Apache + MySQL + PHP) 一詞幾乎變成大眾入門的首選。
Lighttpd 的出現,開始不少人討論輕量型的伺服器需求,主因在於發現 Apache 為了多方功能的完整,載入過多的模組功能,對於一般小型的網站程式需求(或是靜態請求)而言,大部份的模組都是毫無幫助,相對的耗費太多的硬體資源。
直到最近,LNMP(Linux + Nginx + MySQL + PHP) 似乎是更多人的選擇,因為 Nginx 對於請求的吞吐能力,內存消耗,反向代理等等特性,都比 Apache 還來的合適,尤其是作為外部 Web 代理請求的 Server,因此 Nginx 在服務提供上,就有明確的定位,甚至也不少人認為 LNAMP (Linux + Nginx + Apache + MySQL + PHP) 的作法,將會是最完善的組合。
我並不建議就這三者誰好誰壞多加評論,其實是毫無意義的,在不同的設計需求、硬體環境條件,自然就應當會有最適的解決方案。因此,了解三者的特性與差異性,在既有的環境中做出適當的配置,遠比一切都來的重要。不多說,就直接安裝 Nginx 來體驗看看吧。
做為一個網路管理人員,真的是什麼雞毛蒜皮的事都要管,最怕的就是客戶抱怨系統跑的慢,但造成系統緩慢問題偏偏又是一拖車的可能性,資源不足、硬體損壞、網路塞車、封包堵塞、駭客入侵、阻斷攻擊、IO緩慢、SQL錯誤、資料庫索引設定‧‧‧天呀,這可能說三天三夜都說不完呀。
當 Linux 作為架設伺服器的環境中,工程師通常會選擇放棄 X 介面,來換取最多的資源提供服務,這就不像 Windows 有漂亮的介面能夠運行漂亮的軟體,在 Linux 的文字環境,一個工具通常就是一個命令,那麼,工程師就算有如資料庫一樣的超強記憶力,也很難將全部的除錯工具都背起來吧。
因此,我在這裡簡單介紹三個都是叫 TOP 的管理工具,分別為 htop、iftop、iotop,如何,這是不是容易記多了吧~
相信現在已經不少人都會使用虛擬機作為運作系統的基礎架構,然而在全虛擬化或半虛擬化中的 Ghost VM,要如何發揮出最佳的效能呢?在 VMware 平台中,就是要安裝 VMware Tools 來最佳化你的資源分配與硬體驅動。
因此,本篇將介紹在 ESX 4.0 環境下,如何對 CentOS 6.3 進行安裝 VMware Tools( ESX 4.0 版中尚未完全支援 RHEL 6,但安裝方法可通用於其他版本)
在完成 最小安裝 與 網路設定 之後,此時你的 CentOS 已經處於 On Live 狀態,在預設的安裝中,CentOS 會內建並啟動 SSH 遠端連線的服務,且啟動防火牆,只允許 ICMP 與 SSH 連線,這表示你已經可以透過網路連線,而不再需要直接操作實體主機。
但,這樣就夠安全了嗎?其實 SSH 一點都不安全,當你的主機開啟此類服務時,表示任何人都可能透過網路的方式來嘗試連線到你的主機,透過 Port 掃瞄、字典檔或暴力破解,無論如何,root 密碼最終還是會被破解,而你的主機就淪為駭客的溫床。
因此,本文將引導大家透過設定 SSH ,降低被攻擊的可能,在配合防火牆的配置,只允許許可的網段連線,讓駭客無從而入。最後再針對環境配置,讓系統運作更加乾淨利落。
在完成 [教學] CentOS 6.3 安裝 – (1) 最小安裝篇 之後,您已經了解如何快速的安裝一套乾淨的 CentOS 6.3 作業系統,既然是專用來架設網路伺服器的作業系統,接下來的動作當然是設定網路。普遍來說,最基本的網路需求就是,透過 SSH 的服務,使用 putty (pietty) 軟體來遠端管理我們的 CentOS 系統。
但在最小安裝後,CentOS 即便是有順利辨識到網路卡的驅動,預設開機時是不會主動開啟網路卡的啟用狀態,這是避免您在已經安全的部署好您的環境之前,被外部的駭客透過遠端連線入侵。
從上圖可看出,除了沒有網路狀態之外,連許多人慣用的 setup 或 system-config-network-tui 兩個網路設定的命令也都不存在(最小安裝,僅會安裝主要運行的程式,並不會主動幫你裝相關工具),所以接下來我們除了將設定網路之外,也一併安裝一些常用的網路工具,設定 SSH 遠端連線,並配置網路防火牆,確保只有允許的網段能連入我們提供的服務。
