2011年12月 – 第3页 – Linux系统运维日志

网站目录文件权限的简单安全设置

网站目录文件权限的设置对网站的安全至关重要，下面简单介绍网站目录文件权限的基本设定。
我们假设http服务器运行的用户和用户组是www，网站用户为centos,网站根目录是/home/centos/web。
１、我们首先设定网站目录和文件的所有者和所有组为centos,www，如下命令：

chown -R centos:www /home/centos/web

2、设置网站目录权限为750,750是centos用户对目录拥有读写执行的权限，这样centos用户可以在任何目录下创建文件，用户组有有读执行权限，这样才能进入目录，其它用户没有任何权限。

find -type d -exec chmod 750 {} ;

3、设置网站文件权限为640，640指只有centos用户对网站文件有更改的权限，http服务器只有读取文件的权限，无法更改文件，其它用户无任何权限。

find -not -type d -exec chmod 640 {} ;

4、针对个别目录设置可写权限。比如网站的一些缓存目录就需要给http服务有写入权限。例如discuz x2的/data/目录就必须要写入权限。

find data -type d -exec chmod 770 {} ;

上次介绍使用logrotate轮询nginx日志的方法。配置好之后，连续两天都没发现logrotate轮询nginx的日志，于是开始检查配置文件是否有问题，结果是配置文件一切正常。怀疑是cron没执行，查看了cron的日志，发现有一条Dec 7 04:02:01 www crond[18959]: (root) CMD (run-parts /etc/cron.daily)这样的日志，证明cron在04:02分时已经执行/etc/cron.daily目录下的程序。接着查看/etc/cron.daily/logrotate的内容：

#!/bin/sh
/usr/sbin/logrotate /etc/logrotate.conf
EXITVALUE=$?
if [ $EXITVALUE != 0 ]; then
/usr/bin/logger -t logrotate "ALERT exited abnormally with [$EXITVALUE]"
fi
exit 0

没有发现异常，系统日志等都是由这个脚本轮询的，一切运行正常，脚本应该就没问题。直接执行命令/usr/sbin/logrotate /etc/logrotate.conf系统日志是正常轮询了，但nginx日志却没反应。
再man logrotate看下说明发现一个选项-f (–force),大概意思是：强行启动记录文件维护操作，纵使logrotate指令认为没有需要亦然。
那应该有可能是logroate认为nginx日志太小，不进行轮询，但我们需要轮询，加-f选项即可。即

/usr/sbin/logrotate -f /etc/logrotate.conf

不清楚logrotate轮询的条件是什么，还要强制轮询才行，搞不懂。

解决mysql 5.5.x占用虚拟内存过高的问题

5,5默认存储引擎是innodb,所以一起动就占用了三百多的虚拟内存，我们一般用的存储引擎是MyISAM，需要禁用innodb，设置默认的引擎为MyISAM。
解决方法：
在[mysqld]里面加入

default-storage-engine = MyISAM
innodb=OFF
skip-innodb

重启mysql即可。

libmysqlclient.so.18: 无法打开共享对象文件: 没有那个文件或目录

执行mysqlhotcopy的时候出现install_driver(mysql) failed: Can’t load ‘/usr/lib/perl5/site_perl/5.8.8/i386-linux-thread-multi/auto/DBD/mysql/mysql.so’ for module DBD::mysql: libmysqlclient.so.18: 无法打开共享对象文件: 没有那个文件或目录 at /usr/lib/perl5/5.8.8/i386-linux-thread-multi/DynaLoader.pm line 230.错误。这个错误是找不到libmysqlclient.so.18文件，于是find找了一下，发现在/usr/local/mysql/lib/libmysqlclient.so.18。

解决方法：cp /usr/local/mysql/lib/libmysqlclient.so.18 /usr/lib/

隐藏nginx版本号

隐藏nginx版本号是为了防止黑客利用特定版本出现的漏洞攻击，现在介绍方法，主要修改两个地方。
１、修改nginx.conf文件，在httpd区域中加入server_tokens off;如：

http {
……省略
sendfile on;
tcp_nopush on;
keepalive_timeout 60;
tcp_nodelay on;
server_tokens off;
…….省略
}

２、修改/usr/local/nginx/conf/下的php-fpm配置文件。

找到：
fastcgi_param SERVER_SOFTWARE nginx/$nginx_version;
改为：
fastcgi_param SERVER_SOFTWARE nginx;

最后重载nginx即可。

解决nginx跨站浏览问题

解决nginx跨站浏览有两种方法：
１、为每一个网站定义一个pool，然后使用chroot指令，但这种方法的缺点是，当你需要建立很多虚拟主机时，消耗的内存是非常大的。
２、修改php源代码。这种通过修改php源代码的方法可以很好的解决这个问题而不必像第一种额外的内存消耗。
下面开始介绍第二种方法。
下载php源码，执行./configure命令，然后开始修改main/fopen_wrappers.c文件

/* {{{ php_check_open_basedir
*/
PHPAPI int php_check_open_basedir_ex(const char *path, int warn TSRMLS_DC)
{
/* Only check when open_basedir is available */
if (PG(open_basedir) && *PG(open_basedir)) {
char *pathbuf;
char *ptr;
char *end;
// add by anxsoft.com
char *env_doc_root;
if(PG(doc_root)){
env_doc_root = estrdup(PG(doc_root));
}else{
env_doc_root = sapi_getenv("DOCUMENT_ROOT", sizeof("DOCUMENT_ROOT")-1 TSRMLS_CC);
}
if(env_doc_root){
int res_root = php_check_specific_open_basedir(env_doc_root, path TSRMLS_CC);
efree(env_doc_root);
if (res_root == 0) {
return 0;
}
if (res_root == -2) {
errno = EPERM;
return -1;
}
}
// add by anxsoft.com
pathbuf = estrdup(PG(open_basedir));
ptr = pathbuf;
while (ptr && *ptr) {
end = strchr(ptr, DEFAULT_DIR_SEPARATOR);
if (end != NULL) {
*end = ”;
end++;
}
if (php_check_specific_open_basedir(ptr, path TSRMLS_CC) == 0) {
efree(pathbuf);
return 0;
}
ptr = end;
}
if (warn) {
php_error_docref(NULL TSRMLS_CC, E_WARNING, "open_basedir restriction in effect. File(%s) is not within the allowed path(s): (%s)", path, PG(open_basedir));
}
efree(pathbuf);
errno = EPERM; /* we deny permission to open it */
return -1;
}
/* Nothing to check… */
return 0;
}
/* }}} */

两个 add by anxsoft.com 中间的是修改加上去的,然后保存，退出。之后make 和make install 即可。
然后修改php.ini文件：

open_basedir　＝　"/tmp/:/var/tmp/"

经测试php5.2和php5.3同样适用。
参考：http://www.hostloc.com/thread-6546-1-1.html

使用logrotate轮询nginx和apache日志

使用logrotate轮询日志很方便，配置也很简单。

配置nginx

1、建立/etc/logrotate.d/nginx文件

vi /etc/logrotate.d/nginx

2、写入如下内容：

/var/log/nginx/*log {
daily
rotate 10
missingok
notifempty
compress
sharedscripts
postrotate
[ ! -f /var/run/nginx.pid ] || kill -USR1 `cat /var/run/nginx.pid`
endscript
}

注释：
/var/log/nginx/*log：需要轮询日志路径
daily：每天轮询
rotate 10：保留最多10次滚动的日志
missingok:如果日志丢失，不报错继续滚动下一个日志
notifempty:当日志为空时不进行滚动
compress：旧日志默认用gzip压缩
/var/run/nginx.pid：nginx主进程pid

配置apache

/var/log/httpd/*log {
missingok
notifempty
sharedscripts
postrotate
/sbin/service httpd reload > /dev/null 2>/dev/null || true
endscript
}

Linux Web服务器网站故障分析常用的命令

系统连接状态篇：

1.查看TCP连接状态

netstat -nat |awk ‘{print $6}’|sort|uniq -c|sort -rn
netstat -n | awk ‘/^tcp/ {++S[$NF]};END {for(a in S) print a, S[a]}’
netstat -n | awk ‘/^tcp/ {++state[$NF]}; END {for(key in state) print key,"t",state[key]}’
netstat -n | awk ‘/^tcp/ {++arr[$NF]};END {for(k in arr) print k,"t",arr[k]}’
netstat -n |awk ‘/^tcp/ {print $NF}’|sort|uniq -c|sort -rn
netstat -ant | awk ‘{print $NF}’ | grep -v ‘[a-z]’ | sort | uniq -c

2.查找请求数请20个IP（常用于查找攻来源）：

netstat -anlp|grep 80|grep tcp|awk ‘{print $5}’|awk -F: ‘{print $1}’|sort|uniq -c|sort -nr|head -n20
netstat -ant |awk ‘/:80/{split($5,ip,":");++A[ip[1]]}END{for(i in A) print A[i],i}’ |sort -rn|head -n20

3.用tcpdump嗅探80端口的访问看看谁最高

tcpdump -i eth0 -tnn dst port 80 -c 1000 | awk -F"." ‘{print $1"."$2"."$3"."$4}’ | sort | uniq -c | sort -nr |head -20

4.查找较多time_wait连接

netstat -n|grep TIME_WAIT|awk ‘{print $5}’|sort|uniq -c|sort -rn|head -n20

5.找查较多的SYN连接

netstat -an | grep SYN | awk ‘{print $5}’ | awk -F: ‘{print $1}’ | sort | uniq -c | sort -nr | more

6.根据端口列进程

netstat -ntlp | grep 80 | awk ‘{print $7}’ | cut -d/ -f1

网站日志分析篇1（Apache）：

1.获得访问前10位的ip地址

cat access.log|awk ‘{print $1}’|sort|uniq -c|sort -nr|head -10
cat access.log|awk ‘{counts[$(11)]+=1}; END {for(url in counts) print counts[url], url}’

2.访问次数最多的文件或页面,取前20

cat access.log|awk ‘{print $11}’|sort|uniq -c|sort -nr|head -20

3.列出传输最大的几个exe文件（分析下载站的时候常用）

cat access.log |awk ‘($7~/.exe/){print $10 " " $1 " " $4 " " $7}’|sort -nr|head -20

4.列出输出大于200000byte(约200kb)的exe文件以及对应文件发生次数

cat access.log |awk ‘($10 > 200000 && $7~/.exe/){print $7}’|sort -n|uniq -c|sort -nr|head -100

5.如果日志最后一列记录的是页面文件传输时间，则有列出到客户端最耗时的页面

cat access.log |awk ‘($7~/.php/){print $NF " " $1 " " $4 " " $7}’|sort -nr|head -100

6.列出最最耗时的页面(超过60秒的)的以及对应页面发生次数

cat access.log |awk ‘($NF > 60 && $7~/.php/){print $7}’|sort -n|uniq -c|sort -nr|head -100

7.列出传输时间超过 30 秒的文件

cat access.log |awk ‘($NF > 30){print $7}’|sort -n|uniq -c|sort -nr|head -20

8.统计网站流量（G)

cat access.log |awk ‘{sum+=$10} END {print sum/1024/1024/1024}’

9.统计404的连接

awk ‘($9 ~/404/)’ access.log | awk ‘{print $9,$7}’ | sort

10. 统计http status

cat access.log |awk ‘{counts[$(9)]+=1}; END {for(coolcode in counts) print coolcode, counts}’
cat access.log |awk ‘{print $9}’|sort|uniq -c|sort -rn

10.蜘蛛分析，查看是哪些蜘蛛在抓取内容。

网站日分析2(Squid篇）按域统计流量

zcat squid_access.log.tar.gz| awk ‘{print $10,$7}’ |awk ‘BEGIN{FS=”[ /]”}{trfc[$4]+=$1}END{for(domain in trfc){printf “%st%dn”,domain,trfc[domain]}}’

数据库篇

1.查看数据库执行的sql

系统Debug分析篇

1.调试命令
strace -p pid
2.跟踪指定进程的PID
gdb -p pid
转自：http://www.ha97.com/4392.html

平滑升级nginx

这篇文章主要介绍如何在不停止旧nginx的基础上升级nginx。
1、到http://nginx.org/en/download.html下载最新稳定版本的nginx。
2、备份nginx二进制文件和配置文件

cp /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx_old
cp /usr/local/nginx/conf/nginx.conf /usr/local/nginx/conf/nginx.conf.old

3、执行./configure命令，如

./configure –with-http_ssl_module –with-openssl=/path/to/openssl_src

可以执行/usr/local/nginx/sbin/nginx -V命令查看以前的编译参数。
4、执行make install clean来安装新的nginx。
5、为旧的nginx主进程发送USR2信号，这会启动新的nginx主进程而保留旧的nginx主进程。

kill -USR2 `cat /usr/local/nginx/logs/nginx.pid`

6、发送WINCH信号到旧的nginx主进程以杀掉旧的nginx子进程。假设旧的主进程pid是123。

kill -WINCH 123

7、现在你可以测试网站访问是否正常，如果正常，执行以下命令退出旧的nginx主进程；如果不正常，请看第8步。

kill -QUIT 123

8、如果发现nginx不能正常服务，假设新的nginx主进程pid是321，分别执行以下命令以旧nginx替代新nginx。

kill -HUP 123 – 这会让旧的nginx主进程重新生成子进程继续服务
kill -QUIT 321 – 关闭新的nginx进程
kill -TERM 321 -强制退出nginx进程

然后你就可以保证服务器继续上线来检查升级失败的原因。
参考：http://www.softwareprojects.com/resources/programming/t-recompileupgrade-nginx-binary-with-no-down-time-1520.html

解决CentOS 64位系统vsftpd 530 login incorrect的问题

今天在centos 6 64位测试安装vsftpd时发现能正常启动，但用本地用户登录时，发现出现vsftpd 530 login incorrect，出现这种错误会有很多原因。于是开始查看日志/var/log/vsftpd.log，也没发现有价值的信息。再查看/var/log/secure，发现问题了。部分错误代码如下：

Dec 1 08:07:30 localhost vsftpd: PAM adding faulty module: /lib/security/pam_listfile.so
Dec 1 08:07:30 localhost vsftpd: PAM unable to dlopen(/lib/security/pam_unix.so): /lib/security/pam_unix.so: cannot open shared objec
t file: No such file or directory
Dec 1 08:07:30 localhost vsftpd: PAM adding faulty module: /lib/security/pam_unix.so
Dec 1 08:07:30 localhost vsftpd: PAM unable to dlopen(/lib/security/pam_shells.so): /lib/security/pam_shells.so: cannot open shared o
bject file: No such file or directory
Dec 1 08:07:30 localhost vsftpd: PAM adding faulty module: /lib/security/pam_shells.so
Dec 1 08:10:12 localhost vsftpd: PAM unable to dlopen(/lib/security/pam_listfile.so): /lib/security/pam_listfile.so: cannot open shar
ed object file: No such file or directory
Dec 1 08:10:12 localhost vsftpd: PAM adding faulty module: /lib/security/pam_listfile.so
Dec 1 08:10:12 localhost vsftpd: PAM unable to dlopen(/lib/security/pam_unix.so): /lib/security/pam_unix.so: cannot open shared objec
t file: No such file or directory
Dec 1 08:10:12 localhost vsftpd: PAM adding faulty module: /lib/security/pam_unix.so
Dec 1 08:10:12 localhost vsftpd: PAM unable to dlopen(/lib/security/pam_shells.so): /lib/security/pam_shells.so: cannot open shared o
bject file: No such file or directory
Dec 1 08:10:12 localhost vsftpd: PAM adding faulty module: /lib/security/pam_shells.so

错误的意思是相关的安全验证文件找不到，通过find查找发现都在/lib64目录下，于是打开文件/etc/pam.d/vsftpd把/lib全部替换成/lib64，重启vsftpd，再登录就正常了。

月份：2011年12月