系统环境:Centos Linux release 7.5
软件版本:myslq 5.7.24
nginx1.14.0
php7.1.23扩展(redis,igbinary,inotify,swoole)
ssl
denyhosts
一、安装 mysql 5.7.24
安装yum repo, 由于centos 的yum源中没有mysql ,需要到mysql的官网下载 yum repo 配置文件:
yum install wget vim unzip gcc-c++ -y
wget https://dev.mysql.com/get/mysql57-community-release-el7-9.noarch.rpm
然后进行repo的安装:
rpm -ivh mysql57-community-release-el7-9.noarch.rpm
执行完成之后在/etc/yum.repos.d/目录下生成两个repo文件mysql-community.repo mysql-community-source.repo
ll /etc/yum.repos.d/
开始安装MySQL使用yum命令即可完成安装
yum install mysql-server –y
启动MySQL:
systemctl start mysqld
获取安装时的临时密码:
grep 'temporary password' /var/log/mysqld.log
用查询的密码登陆:
mysql -u root -p
登陆成功后修改密码:
set global validate_password_policy=0;
set password=password("12345678")
配置默认编码为utf8:
vim /etc/my.cnf 添加
[mysqld]
character_set_server=utf8
init_connect='SET NAMES utf8'
附常用命令:
mysql_secure_installation #设置安全选项
systemctl stop mysqld #关闭mysql
systemctl restart mysqld #重启mysql
systemctl status mysqld #查看mysql运行状态
systemctl enable mysqld #设置开机启动
systemctl disable mysqld #关闭开机启动
默认配置路径:
配置文件:/etc/my.cnf
日志文件:/var/log/mysqld.log
服务启动脚本:/usr/lib/systemd/system/mysqld.service
socket文件:/var/run/mysqld/mysqld.pid
二、安装ngnix1.14.0
编译安装前所需要的准备:安装GCC编译器 PCRE库 zlib库 OpenSSL库
yum install -y gcc pcre pcre-devel zlib zlib-devel openssl openssl-devel
下载安装包
wget http://nginx.org/download/nginx-1.14.0.tar.gz
解压安装
tar -zxvf nginx-1.14.0.tar.gz
cd nginx-1.14.0/
./configure --prefix=/usr/local/nginx --pid-path=/run/nginx.pid --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --with-http_ssl_module --with-http_v2_module --with-http_stub_status_module --with-pcre
编译安装
make
make install
防火墙增加80端口
firewall-cmd --zone=public --add-port=80/tcp --permanent
防火墙配置生效
firewall-cmd --reload
启动nginx
/usr/local/nginx/sbin/nginx
访问网页
设置ngnix开机自启,即在rc.local增加启动代码就可以了
vim /etc/rc.local 增加一行
/usr/local/nginx/sbin/nginx
设置执行权限:
chmod 755 /etc/rc.local
关闭SELINUX
vim /etc/selinux/config 将SELINUX=enforcing改为SELINUX=disabled
附(Nginx部分控制命令):默认Nginx安装在/usr/local/nginx/中,因此
/usr/local/nginx/sbin/nginx #默认启动start
/usr/local/nginx/sbin/nginx -t #测试配置信息
/usr/local/nginx/sbin/nginx -s stop #快速停止服务
/usr/local/nginx/sbin/nginx -s quit #正常停止服务
/usr/local/nginx/sbin/nginx -s reload #重启
安装PHP7.1.23
安装libmcrypt扩展需要安装第三方yum源
wget http://www.atomicorp.com/installers/atomic
sh ./atomic (默认回车就行)
编译安装前所需要的准备
yum -y install libxml2 libxml2-devel openssl openssl-devel curl-devel libjpeg-devel libpng-devel freetype-devel libmcrypt-devel libxslt libxslt-devel
安装所依赖的包
yum install php-mcrypt -y
yum install libmcrypt -y
yum install libmcrypt-devel -y
yum install bzip2-devel -y
yum install gmp-devel -y
yum install readline-devel –y
yum install psmisc –y
下载安装包
wget -O php-7.1.23.tar.gz http://am1.php.net/get/php-7.1.23.tar.gz/from/this/mirror
解压
tar -zxvf php-7.1.23.tar.gz
进入目录
cd php-7.1.23
开始配置
./configure --prefix=/usr/local/php --with-config-file-path=/etc --enable-fpm --with-fpm-user=www-data --with-fpm-group=www-data --enable-inline-optimization --disable-debug --disable-rpath --enable-shared --enable-soap --with-libxml-dir --with-xmlrpc --with-openssl --with-mcrypt --with-mhash --with-pcre-regex --with-sqlite3 --with-zlib --enable-bcmath --with-iconv --with-bz2 --enable-calendar --with-curl --with-cdb --enable-dom --enable-exif --enable-fileinfo --enable-filter --with-pcre-dir --enable-ftp --with-gd --with-openssl-dir --with-jpeg-dir --with-png-dir --with-zlib-dir --with-freetype-dir --enable-gd-native-ttf --enable-gd-jis-conv --with-gettext --with-gmp --with-mhash --enable-json --enable-mbstring --enable-mbregex --enable-mbregex-backtrack --with-libmbfl --with-onig --enable-pdo --with-mysqli=mysqlnd --with-pdo-mysql=mysqlnd --with-zlib-dir --with-pdo-sqlite --with-readline --enable-session --enable-shmop --enable-simplexml --enable-sockets --enable-sysvmsg --enable-sysvsem --enable-sysvshm --enable-wddx --with-libxml-dir --with-xsl --enable-zip --enable-mysqlnd-compression-support --with-pear --enable-opcache
开始编译安装
make
make install
配置php环境变量, vim /etc/profile 在末尾加上
PATH=$PATH:/usr/local/php/bin
export PATH
保存后使立即生效
source /etc/profile
查看PHP版本 php -v
设置php开机自启,即在rc.local增加启动代码就可以了
vim /etc/rc.local 增加一行
/usr/local/php/sbin/php-fpm
设置执行权限:
chmod 755 /etc/rc.local
附(PHP部分控制命令)
/usr/local/php/sbin/php-fpm #启动PHP
killall php-fpm #关闭PHP
配置nginx支持php-fpm
PHP-FPM是一个PHP FastCGI管理器。PHP-FPM提供了更好的PHP进程管理方式,可以有效控制内存和进程、可以平滑重载PHP配置。新版PHP已经集成了PHP-FPM,可以直接使用。
php的默认安装位置在 /usr/local/php
对php-fpm运行用户进行设置
首先创建web用户
用户 组都设置为www-data,可以自己定(实际上在配置时已经设为www-data了)
groupadd www-data
useradd -g www-data www-data
复制一份php-fpm配置文件
cd /usr/local/php/etc
cp php-fpm.conf.default php-fpm.conf
打开配置文件
vim php-fpm.conf
发现最后一行引入php-fpm.d目录下所有 .conf 类型的配置文件
打开 php-fpm.d目录,复制默认配置文件并打开修改
cd php-fpm.d
cp www.conf.default www.conf
vim www.conf 修改用户和用户组为www-data用户
保存退出,启动php-fpm服务
/usr/local/php/sbin/php-fpm
php-fpm默认使用9000端口,使用如下命令查看启动状态
netstat -lnt | grep 9000
nginx相关配置打开nginx配置文件
vim /usr/local/nginx/conf/nginx.conf
修改用户组第一行注释去掉 nobody改为www-data
添加index.php,使nginx默认使用index.php为入口页
配置php-fpm模块,修改第69行的/scripts 为 $document_root
以上都修改后保存退出,先检测相关配置是否正确
/usr/local/nginx/sbin/nginx -t
显示正确,重启nginx
/usr/local/nginx/sbin/nginx -s reload
切到nginx下的html目录(默认代码目录)新建index.php
cd /usr/local/nginx/html
vim index.php
测试访问对应地址是否可以运行
看到这界面说明php成功运行。
安装redis-5.0.0
下载redis-5.0.0安装包
wget http://download.redis.io/releases/redis-5.0.0.tar.gz
解压
tar -zxvf redis-5.0.0.tar.gz
cd redis-5.0.0
编译安装
make
切换至redis的src目录
cd src
cp redis-server redis-cli /usr/local/bin
cp redis-sentinel redis-benchmark redis-check-aof redis-check-dump /usr/local/bin
创建配置目录
mkdir /etc/redis
mkdir -p /var/lib/redis/6379
cp /root/redis-5.0.0/redis.conf /etc/redis/6379.conf
修改配置文件 vim /etc/redis/6379.conf
daemonize yes
pidfile /var/run/redis_6379.pid
port 6379
oglevel notice
dir /var/lib/redis/6379
创建服务
sysctl -w vm.overcommit_memory=1
sysctl -w net.core.somaxconn=512.
echo never > /sys/kernel/mm/transparent_hugepage/enabled
cp /root/redis-5.0.0/utils/redis_init_script /etc/init.d/redis_6379
vim /etc/systemd/system/redis.service 内容如下
[Unit]
Description=Redis on port 6379
[Service]
Type=forking
ExecStart=/etc/init.d/redis_6379 start
ExecStop=/etc/init.d/redis_6379 stop
[Install]
WantedBy=multi-user.target
启动服务
systemctl enable redis
systemctl daemon-reload
systemctl start redis
systemctl status redis
php7安装redis扩展
配置phpize
wget http://ftp.gnu.org/gnu/m4/m4-1.4.9.tar.gz
tar -zvxf m4-1.4.9.tar.gz
cd m4-1.4.9/
编译安装
./configure && make && make install
配置autoconf
wget http://ftp.gnu.org/gnu/autoconf/autoconf-2.62.tar.gz
tar -zvxf autoconf-2.62.tar.gz
cd autoconf-2.62/
编译安装
./configure && make && make install
yum install m4 –y
yum install autoconf –y
下载包
wget https://codeload.github.com/phpredis/phpredis/zip/develop
mv develop phpredis-develop.zip
unzip phpredis-develop.zip
cd phpredis-develop
生成configure配置文件:
/usr/local/php/bin/phpize
编译安装:
./configure --with-php-config=/usr/local/php/bin/php-config
make && make install
配置/etc/php.ini 添加
vim /etc/php.ini
extension=redis.so
重启php
killall php-fpm
/usr/local/php/sbin/php-fpm
访问http://luntan.0728idc.com/index.php,查找Redis
php7安装inotify扩展
pecl install inotify
配置/etc/php.ini 添加
vim /etc/php.ini
extension=inotify.so
重启php
killall php-fpm
/usr/local/php/sbin/php-fpm
访问http://luntan.0728idc.com/index.php,查找inotify
php7安装igbinary扩展
pecl install igbinary
配置/etc/php.ini 添加
vim /etc/php.ini
extension=igbinary.so
重启php
killall php-fpm
/usr/local/php/sbin/php-fpm
访问http://luntan.0728idc.com/index.php,查找igbinary
php7安装swoole扩展
下载安装包
wget https://codeload.github.com/swoole/swoole-src/tar.gz/v4.2.6
tar -zxvf v4.2.6
cd swoole-src-4.2.6/
生成configure配置文件:
/usr/local/php/bin/phpize
编译安装
./configure --enable-async-mysql
make
make install
配置/etc/php.ini 添加
vim /etc/php.ini
extension= swoole.so
重启php
killall php-fpm
/usr/local/php/sbin/php-fpm
访问luntan.0728idc.com/index.php,查找swoole
十、在Nginx上配置多个站点
在Nginx配置目录下,创建一个”vhost”目录
mkdir /usr/local/nginx/conf/vhost
创建site luntan.0728idc.com的配置文件
vim /usr/local/nginx/conf/vhost/luntan.0728idc.com.conf
server {
listen 80;
server_name luntan.0728idc.com;
root /app/luntan.0728idc.com/;
index index.html index.htm index.php;
location / {
if (!-e $request_filename) {
rewrite (.*) /index.php;
}
}
location ~ \.php$ {
root /app/luntan.0728idc.com;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
}
打开nginx.conf文件
vim /usr/local/nginx/conf/nginx.conf
将虚拟目录的配置文件加入到”http {}”部分的末尾 ,注意注释server {}内容
include /usr/local/nginx/conf/vhost/*.conf;
重启Nginx服务
/usr/local/nginx/sbin/nginx -s reload
在Nginx配置SSL 证书使用https访问
防火墙增加443端口
firewall-cmd --zone=public --add-port=443/tcp --permanent
防火墙配置生效
firewall-cmd --reload
上传证书文件并修改站点配置文件
vim /usr/local/nginx/conf/vhost/luntan.0728idc.com.conf
server {
listen 443;
server_name luntan.0728idc.com;
root /app/luntan.0728idc.com/;
index index.html index.htm index.php;
ssl on;
ssl_certificate /usr/local/nginx/conf/ssl/luntan.0728idc.com.crt;
ssl_certificate_key /usr/local/nginx/conf/ssl/luntan.0728idc.com.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
ssl_prefer_server_ciphers on;
location / {
if (!-e $request_filename) {
rewrite (.*) /index.php;
}
}
location ~ \.php$ {
root /app/luntan.0728idc.com/;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
}
重启ngnix 就可以通过游览器使用https访问了
/usr/local/nginx/sbin/nginx -s reload
部署denyhosts防止ssh暴力破解
DenyHosts是Python语言写的一个程序,它会分析sshd的日志文件(/var/log/secure),当发现重 复的攻击时就会记录IP到/etc/hosts.deny文件,从而达到自动屏IP的功能。
下载安装包
wget http://"downloads.sourceforge.net/project/denyhosts/denyhosts/2.6/DenyHosts-2.6.tar.gz"
tar -xzf DenyHosts-2.6.tar.gz
cd DenyHosts-2.6
开始安装
python setup.py install
DenyHosts默认安装到/usr/share/denyhosts目录
配置
cd /usr/share/denyhosts/
cp denyhosts.cfg-dist denyhosts.cfg
vim denyhosts.cfg
PURGE_DENY = 1h #过多久后清除已阻止IP
HOSTS_DENY = /etc/hosts.deny #将阻止IP写入到hosts.deny
BLOCK_SERVICE = sshd #阻止服务名
DENY_THRESHOLD_INVALID = 1 #允许无效用户登录失败的次数
DENY_THRESHOLD_VALID = 10 #允许普通用户登录失败的次数
DENY_THRESHOLD_ROOT = 5 #允许root登录失败的次数
WORK_DIR = /usr/share/denyhosts/data #将deny的host或ip纪录到Work_dir中
DENY_THRESHOLD_RESTRICTED = 1 #设定 deny host 写入到该资料夹
LOCK_FILE = /var/lock/subsys/denyhosts #将DenyHOts启动的pid纪录到LOCK_FILE中,已确保服务正确启动,防止同时启动多个服务。
HOSTNAME_LOOKUP=NO #是否做域名反解
ADMIN_EMAIL = #设置管理员邮件地址
DAEMON_LOG = /var/log/denyhosts #自己的日志文件
DAEMON_PURGE = 1h #该项与PURGE_DENY 设置成一样,也是清除hosts.deniedssh 用户的时间
设置启动脚本使DenyHosts每次系统重起后自动启动:
cp daemon-control-dist daemon-control
ln -s /usr/share/denyhosts/daemon-control /etc/init.d/denyhosts
添加服务并设置开机启动
chkconfig --add denyhosts
chkconfig denyhosts on
启动denyhosts服务并查看状态
service denyhosts start
service denyhosts status
查看屏蔽IP
cat /etc/hosts.deny
