小桥的记事本 » 技术

Ngnix + PHP-FPM chroot

小桥 — Sun, 05 Jun 2011 10:46:21 +0000

Nginx+PHP-FPM是目前用得比较多的组合，如果在一台服务器上面跑多个站点，当一个安全性比较差的站点被入侵之后，其他网站也就无安全性可言了。PHP-FPM支持chroot功能，能够解决前面提到的安全问题，只是这功能默认没启用，配置也稍有点麻烦。
PHP-FPM的chroot配置可以参考以下方式：

1、修改php-fpm配置文件，如A网站的配置文件为/etc/php-fpm.d/a.conf，在a.conf中增加
chroot = /var/www/a

2、修改nginx的虚拟主机配置
fastcgi_param SCRIPT_FILENAME /var/www/a/$fastcgi_script_name;
要改为
fastcgi_param SCRIPT_FILENAME $fastcgi_script_name;

3、建立必要的目录，复制文件。

mkdir tmp etc lib64 bin
cp /etc/hosts /etc/resolv.conf /etc/nsswitch.conf /etc/localtime etc
cp /lib64/libnss_dns.so.2 lib64  #域名解析需要，32位的系统就复制/lib/libnss_dns.so.2
chmod 1777 tmp
mkdir -p var/lib/php/session  #php.ini的session.save_path设置
chown root:apache var/lib/php/session
chmod 770 var/lib/php/session
mkdir -p usr/share/zoneinfo/Asia
cp /usr/share/zoneinfo/Asia/Shanghai usr/share/zoneinfo/Asia #跟php.ini配置的时区一致

4、修改php应用配置，使用TCP连接MySQL数据库

5、使php mail()函数可用
下载femail源代码，编译成静态链接的二进制文件，复制到usr/sbin/sendmail。
建立etc/femail.conf文件，内容如下：
smtphost = 127.0.0.1
myname = aa.me
找一个静态链接的ash.static文件，复制到bin/sh，测试发送邮件。

echo 'Subject: test'|chroot /var/www/a /usr/sbin/sendmail -v  xx@aa.me

删除Android手机无主题短信

小桥 — Sun, 13 Mar 2011 06:52:24 +0000

给HTC Desire手机刷了2.3.3的ROM，用MyBackup恢复软件、短信等备份。今天删除短信之后发现会话依然存在，只是显示“无主题”，日期是“1970-1-1”，而且这些无主题的短信无法删除。

在Google搜索之后，发现也有不少人遇到这个问题，机锋网的这个帖子介绍了解决的方法，但是帖子里面并没有提到mmssms.db文件的路径是什么。再次搜索后得知文件的路径是“/data/data/com.android.providers.telephony/databases/mmssms.db”。
拷贝mmssms.db文件到电脑上面处理麻烦了点，于是在手机上安装SQLite Editor来做这个事情。

用SQLite Editor打开“拨号器存储”，选择“mmssms.db”。

找到threads表，将date和snippet列数据为空的记录删除即可。

在Linux NAT服务器上做流量控制

小桥 — Sun, 27 Feb 2011 02:44:11 +0000

公司用的是6M专线，如果有人在内网用迅雷之类的软件下载大的文件，就会把带宽全部占满，收发邮件、浏览网页都非常慢。于是把NAT服务器换成Linux系统，使用tc做流量控制。目前使用看上去还好，后面可能会再做一些优化。

APG，Android上的OpenPGP软件

小桥 — Sat, 18 Dec 2010 14:07:11 +0000

Android系统没自带公钥加密功能，也不支持对存储在SD卡上的文件加密。如果在手机上存了包含敏感信息的文件，或者是用手机收发重要的邮件，一旦手机丢失，就可能造成信息泄漏。
Android Privacy Guard (APG)是Android系统上的OpenPGP软件，能够方便的管理密钥，对文件/邮件进行加解密操作。现在K-9 Mail邮件客户端也已经支持OpenPGP，可以使用APG对电子邮件进行签名和加密。
APG的界面很简单，运行后界面只有加密文件、解密文件、加密信息和解密信息这几个按钮。

在还没有密钥的情况下，可以用口令进行加解密。但通常还是用APG提供的密钥管理工具导入GnuPG生成的密钥，或者是用APG生成密钥，然后再用公钥对文件/邮件进行加密。

新版本的K9mail在“账户设置”-“加密”-“OpenGPG提供者”设置为APG就可以用APG进行邮件加解密了。

在K9mail新建邮件，在界面上的“签名”、“加密”打勾，就能选择私钥给邮件做签名或者是选择公钥对邮件加密。

把Blog迁移到国外的VPS了

小桥 — Sat, 16 Oct 2010 02:32:44 +0000

国内域名备案相当麻烦，现在把blog移到国外的VPS。

CentOS 5的第三方软件仓库

小桥 — Sat, 05 Jun 2010 03:08:08 +0000

http://centos.alt.ru/pub有一些给RHEL/CentOS 5用的RPM包，有较新版本的httpd、php、nginx、mysql、postfix等。这里还有php-fpm，如果配合nginx来跑php，应该是一个比较好的选择。

supervisor挺好用的

小桥 — Sun, 30 May 2010 12:24:43 +0000

supervisor是一个用Python写的程序，运行在UNIX-like操作系统，可以用来监控和管理多个进程。
在CentOS下，直接运行“yum install supervisor”即可完成安装，只是CentOS5带的supervisor版本比较老。。。
supervisor的配置文件是/etc/supervisord.conf，如果是用easy_install安装的话，可以用“echo_supervisord_conf > /etc/supervisord.conf”生成一个默认配置文件。配置文件里面的参数很容易看懂，主要修改[program:theprogramname]节的内容即可，需要设置正确的command和user参数。
对进程的控制是使用supervisorctl命令，比如：

supervisorctl stop web
supervisorctl start web

某服务器被黑记录

小桥 — Sat, 22 May 2010 18:45:43 +0000

某网站不能正常访问，检查发现其WEB目录下面部分php文件被修改。因为服务器安装了Tripwire，根据Tripwire的文件完整性检查日志可以知道那些文件被修改了，替换被修改了的文件，网站业务恢复。
对比被修改的php文件，发现入侵者应该是该网站的竞争对手或者是竞争对手找的小黑，目的是让这个网站屏蔽Baidu爬虫，以利于他自己的业务推广。
日志分析发现入侵者留了一个PHP木马，并利用这个木马进行过文件编辑，可惜该木马对UTF-8编码的文件支持太差，修改后的文件中文都是乱码。

60.182.70.x - - [22/May/2010:03:07:47 +0800] "POST /administrator/images/help.php HTTP/1.1" 200 233 "http://www.xx.net/administrator/images/help.php" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Maxthon 2.0)" "-"

删除木马之后，发现入侵者还是尝试再次访问木马页面的，日志如下：

122.243.131.x - - [22/May/2010:17:57:35 +0800] "GET /administrator/images/help.php HT
TP/1.1" 404 56 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Maxthon 2.0)" "
-"
122.243.131.x - - [22/May/2010:18:03:56 +0800] "GET /administrator/images/ HTTP/1.1"
404 522 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Maxthon 2.0)" "-"
122.243.131.x - - [22/May/2010:18:04:02 +0800] "GET /administrator/images/help.php/x.
jpg HTTP/1.1" 404 522 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Maxthon
2.0)" "-"

进一步检查这个IP还做什么事情，发现攻击者是能够查看文件目录的，于是继续寻找其他后门。发现同一台服务器上的其他虚拟主机确实还有木马文件，初步认为入侵是源自那里。
//update:
后来发现入侵者还是写入了新的shell，只是没办法在那些目录下面执行，呵呵。通过日志检查发现他们是利用了ECShop的安全漏洞，利用这个漏洞产生的日志如下：

221.238.129.x - - [26/May/2010:18:28:40 +0800] "GET /search.php?encode=YToxOntzOjQ6ImF0dHIiO2E6MTp7czoxMjU6IjEnKSBhbmQgMT0yIEdST1VQIEJZIGdvb2RzX2lkIHVuaW9uIGFsbCBzZWxlY3QgY29uY2F0KHVzZXJfbmFtZSwweDNhLHBhc3N3b3JkLCciXCcpIHVuaW9uIHNlbGVjdCAxIyInKSwxIGZyb20gZWNzX2FkbWluX3VzZXIjIjtzOjE6IjEiO319 HTTP/1.1" 200 560 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; QQDownload 638; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; Media Center PC 5.0; SLCC1; Tablet PC 2.0)" "-"

攻击者提交的数据base64 decode的内容是：

a:1:{s:4:"attr";a:1:{s:125:"1') and 1=2 GROUP BY goods_id union all select concat(user_name,0x3a,password,'"\') union select 1#"'),1 from ecs_admin_user#";s:1:"1";}}

CentOS 5.2 SELinux

小桥 — Sun, 12 Oct 2008 14:49:36 +0000

CentOS 5.2，在启用SELinux的情况下配置vsftpd使用pam_mysql做用户认证和安装Zend Optimizer v3.3.3还是有点麻烦的，需要改SELinux的规则才能使用。
首先，
#cd /usr/local/Zend #find lib -type d -exec chcon -t lib_t {} \; #find lib -name "*.so" -exec chcon -t textrel_shlib_t {} \;
接着编辑/etc/selinux/targeted/modules/local.te文件如下：

module local 1.0;
require {
type httpd_t;
type ftpd_t;
type mysqld_db_t;
type mysqld_var_run_t;
type mysqld_t;
class process { execstack execmem execheap };
class dir search;
class sock_file write;
class unix_stream_socket connectto;
class capability { dac_read_search dac_override };
}
#============= httpd_t ==============
allow httpd_t self:process { execstack execmem execheap };
#============= ftpd_t ==============
allow ftpd_t mysqld_db_t:dir search;
allow ftpd_t mysqld_t:unix_stream_socket connectto;
allow ftpd_t mysqld_var_run_t:sock_file write;
allow ftpd_t self:capability { dac_read_search dac_override };

然后运行以下命令：
checkmodule -M -m -o local.mod local.te semodule_package -o local.pp -m local.mod semodule -i ./local.pp
还要运行一下这个命令，vsftpd才能让本地/虚拟用户正常登陆
setsebool -P ftp_home_dir 1

如果还有什么不正常，参考audit2allow -a /var/log/audit/audit.log

用上了Fedora 8

小桥 — Sat, 10 Nov 2007 16:41:34 +0000

前一段时间安装了OpenSUSE，但是使用起来不是很习惯。Fedora 8发布了，于是赶紧把F8的DVD ISO下载下来。因为我用的本本没有光驱，所以选择了网络安装。在另外一台机器上面跑个Apache，在安装时选择HTTP方式。

Fedora 8不像OpenSUSE 10.3那样默认就启动了NetworkManager服务。对使用笔记本的用户来说不是很方便，需要自己动手改一下。在系统启动的时候F8的网络启动脚本会傻乎乎的尝试把wlan0激活，直到超时出错，于是把network服务停了，登陆到桌面之后用NetworkManager配置网络。