常见问题常见问题   搜索搜索   会员列表会员列表   团队团队   注册注册    个人资料个人资料   登录查看您的站内信件登录查看您的站内信件   登录登录 

[原创]Web 服务器实战笔记:Nginx + PHP-FPM + MariaDB in Jail

 
发表新文章   回复文章    FreeBSD China -> 技术交流
阅读上一个主题 :: 阅读下一个主题  
作者 留言
Siroh
道士


注册时间: 2002-09-19
文章: 554
来自: 江苏南京

文章发表于: Wed 2016-03-02 23:39:15    发表主题: [原创]Web 服务器实战笔记:Nginx + PHP-FPM + MariaDB in Jail 引用并回复

根据本人实际安装服务器过程,新增一篇 Wiki,欢迎指正交流。

运行某基于 php + mysql 的 CMS 系统提供新闻等内容服务,无论坛等互动功能。

主要思路:


    FreeBSD:笔者熟悉,zfs 提供数据容错和读取并发性能,jial 提供隔离环境

    ZFS-Mirror:获得数据的容错性,并利用快照功能进行备份、恢复和回滚

    Jail:隔离Web服务软件环境

    sshd:只允许密钥登录

    sftp:取代ftp,提供安全上传环境

    ipfw:防火墙提供网络安全

    nginx + php-fpm + mariadb:提供web服务,独立 php 池

    awstats:定时运行生成静态页面提供访问分析

    全部采用 pkg 安装官方包,方便日后维护


详细内容见
https://wiki.freebsdchina.org/doc/n/web_%E6%9C%8D%E5%8A%A1%E5%99%A8%E5%AE%9E%E6%88%98%E7%AC%94%E8%AE%B0_nginx_php-fpm_mariadb_in_jail

_________________
步余马兮山皋 邸余车兮方林
返回页首
阅览会员资料 发送站内信件 MSN Messenger
alphachi
老妖


注册时间: 2007-12-10
文章: 1263
来自: @tweetxa

文章发表于: Thu 2016-03-03 11:37:47    发表主题: 引用并回复

支持+1。

/etc/sshd/sshd_config这块,应该只需要添加AuthenticationMethods publickey就可以保证密钥认证,默认的PasswordAuthentication和ChallengeResponseAuthentication无需修改,另外还可以加上AllowUsers <username>@<network>来增强安全。

_________________
Paranoid in Sabbath ...
返回页首
阅览会员资料 发送站内信件
Siroh
道士


注册时间: 2002-09-19
文章: 554
来自: 江苏南京

文章发表于: Thu 2016-03-03 16:05:32    发表主题: 引用并回复

alphachi 写到:
支持+1。

/etc/sshd/sshd_config这块,应该只需要添加AuthenticationMethods publickey就可以保证密钥认证,默认的PasswordAuthentication和ChallengeResponseAuthentication无需修改,另外还可以加上AllowUsers <username>@<network>来增强安全。


受教了。
根据手册页如下设置
AuthenticationMethods publickey,password publickey,keyboard-interactive
要求首先密钥认证,接着或者密码认证或者交互式认证,必须同时完成两种认证方式才能登陆。这个比较赞。不过这一功能只能用于 SSH 2 协议。

经验证,默认状态下 password 认证是不可用的,所以采用
AuthenticationMethods publickey,keyboard-interactive
要求密钥和交互式密码同时认证。


谢谢。

_________________
步余马兮山皋 邸余车兮方林


最后进行编辑的是 Siroh on Thu 2016-03-03 20:16:41, 总计第 1 次编辑
返回页首
阅览会员资料 发送站内信件 MSN Messenger
harbinbeer
道士


注册时间: 2006-07-27
文章: 829

文章发表于: Thu 2016-03-03 17:27:52    发表主题: 引用并回复

支持大作发表
_________________
不能复用的知识=垃圾
返回页首
阅览会员资料 发送站内信件
Siroh
道士


注册时间: 2002-09-19
文章: 554
来自: 江苏南京

文章发表于: Thu 2016-03-03 18:28:07    发表主题: 引用并回复

alphachi 写到:
支持+1。

/etc/sshd/sshd_config这块,应该只需要添加AuthenticationMethods publickey就可以保证密钥认证,默认的PasswordAuthentication和ChallengeResponseAuthentication无需修改,另外还可以加上AllowUsers <username>@<network>来增强安全。


AllowUsers <username>@<network>

在国内,这个通常不实用,因为国内大都是 PPPoE 拨号宽带,ip 经常变动。

_________________
步余马兮山皋 邸余车兮方林
返回页首
阅览会员资料 发送站内信件 MSN Messenger
alphachi
老妖


注册时间: 2007-12-10
文章: 1263
来自: @tweetxa

文章发表于: Thu 2016-03-03 23:40:41    发表主题: 引用并回复

Siroh 写到:
alphachi 写到:
支持+1。

/etc/sshd/sshd_config这块,应该只需要添加AuthenticationMethods publickey就可以保证密钥认证,默认的PasswordAuthentication和ChallengeResponseAuthentication无需修改,另外还可以加上AllowUsers <username>@<network>来增强安全。


AllowUsers <username>@<network>

在国内,这个通常不实用,因为国内大都是 PPPoE 拨号宽带,ip 经常变动。

可以只写用户的:
代码:
AllowUsers <username>

_________________
Paranoid in Sabbath ...
返回页首
阅览会员资料 发送站内信件
Siroh
道士


注册时间: 2002-09-19
文章: 554
来自: 江苏南京

文章发表于: Fri 2016-03-04 09:38:59    发表主题: 引用并回复

alphachi 写到:
Siroh 写到:
alphachi 写到:
支持+1。

/etc/sshd/sshd_config这块,应该只需要添加AuthenticationMethods publickey就可以保证密钥认证,默认的PasswordAuthentication和ChallengeResponseAuthentication无需修改,另外还可以加上AllowUsers <username>@<network>来增强安全。


AllowUsers <username>@<network>

在国内,这个通常不实用,因为国内大都是 PPPoE 拨号宽带,ip 经常变动。

可以只写用户的:
代码:
AllowUsers <username>


我认为只写用户 AllowUsers <username>,所增加安全性并不大。采用仅密钥认证或采用密钥和交互式双重认证后,无密钥的用户自然无法登陆。密钥泄露后,总是可以从任意主机发起登录。
而 AllowUsers <username>@<network> 方式,当密钥意外泄露后,还能限制登录发起的主机,可以增加一些安全性。

仍然感谢指教!

_________________
步余马兮山皋 邸余车兮方林
返回页首
阅览会员资料 发送站内信件 MSN Messenger
harbinbeer
道士


注册时间: 2006-07-27
文章: 829

文章发表于: Fri 2016-03-04 21:53:36    发表主题: 引用并回复

我能说还有/sbin/nologin吗
_________________
不能复用的知识=垃圾
返回页首
阅览会员资料 发送站内信件
Siroh
道士


注册时间: 2002-09-19
文章: 554
来自: 江苏南京

文章发表于: Sun 2016-03-06 16:33:16    发表主题: 引用并回复

harbinbeer 写到:
我能说还有/sbin/nologin吗


sftp 用户的确设置为 /sbin/nologin

_________________
步余马兮山皋 邸余车兮方林
返回页首
阅览会员资料 发送站内信件 MSN Messenger
smartly
半仙


注册时间: 2007-10-14
文章: 154
来自: ITBBS

文章发表于: Fri 2016-03-11 22:31:10    发表主题: Re: [原创]Web 服务器实战笔记:Nginx + PHP-FPM + MariaDB in Jail 引用并回复

Siroh 写到:
根据本人实际安装服务器过程,新增一篇 Wiki,欢迎指正交流。

运行某基于 php + mysql 的 CMS 系统提供新闻等内容服务,无论坛等互动功能。

主要思路:


    FreeBSD:笔者熟悉,zfs 提供数据容错和读取并发性能,jial 提供隔离环境

    ZFS-Mirror:获得数据的容错性,并利用快照功能进行备份、恢复和回滚

    Jail:隔离Web服务软件环境

    sshd:只允许密钥登录

    sftp:取代ftp,提供安全上传环境

    ipfw:防火墙提供网络安全

    nginx + php-fpm + mariadb:提供web服务,独立 php 池

    awstats:定时运行生成静态页面提供访问分析

    全部采用 pkg 安装官方包,方便日后维护


这思路真好,是我想要的,希望多交流,弄个QQ群啥的多好,我QQ是 101011100 ,兄弟先加上。

_________________
IT技术论坛
返回页首
阅览会员资料 发送站内信件 浏览发表者的主页 MSN Messenger
Gehaowu
老妖


注册时间: 2009-07-13
文章: 3184
来自: www

文章发表于: Sun 2016-03-13 22:01:44    发表主题: Re: [原创]Web 服务器实战笔记:Nginx + PHP-FPM + MariaDB in Jail 引用并回复

smartly 写到:

这思路真好,是我想要的,希望多交流,弄个QQ群啥的多好,我QQ是 101011100 ,兄弟先加上。


这QQ。。。

_________________
https://www.daemon.xin/ from https://bitmoe.com/
礼尚多有往来,意美人常在
Simplified Chinese Shell/csh,Traditional Chinese Shell/tcsh
返回页首
阅览会员资料 发送站内信件 发送电子邮件 浏览发表者的主页
bleakwind
老妖


注册时间: 2005-01-07
文章: 1344
来自: The Matrix

文章发表于: Mon 2016-03-28 18:41:23    发表主题: Re: [原创]Web 服务器实战笔记:Nginx + PHP-FPM + MariaDB in Jail 引用并回复

smartly 写到:
Siroh 写到:
根据本人实际安装服务器过程,新增一篇 Wiki,欢迎指正交流。

运行某基于 php + mysql 的 CMS 系统提供新闻等内容服务,无论坛等互动功能。

主要思路:


    FreeBSD:笔者熟悉,zfs 提供数据容错和读取并发性能,jial 提供隔离环境

    ZFS-Mirror:获得数据的容错性,并利用快照功能进行备份、恢复和回滚

    Jail:隔离Web服务软件环境

    sshd:只允许密钥登录

    sftp:取代ftp,提供安全上传环境

    ipfw:防火墙提供网络安全

    nginx + php-fpm + mariadb:提供web服务,独立 php 池

    awstats:定时运行生成静态页面提供访问分析

    全部采用 pkg 安装官方包,方便日后维护


这思路真好,是我想要的,希望多交流,弄个QQ群啥的多好,我QQ是 101011100 ,兄弟先加上。


6256313

_________________
听不到你的声音,只有风声在想...
返回页首
阅览会员资料 发送站内信件 发送电子邮件 浏览发表者的主页 MSN Messenger
fzfh
道童


注册时间: 2004-04-07
文章: 331
来自: SKY

文章发表于: Sat 2016-04-23 00:06:38    发表主题: 引用并回复

sshd里面,PAM要关掉,不然就算无key file用password一样可以登录。
返回页首
阅览会员资料 发送站内信件 浏览发表者的主页 MSN Messenger
alphachi
老妖


注册时间: 2007-12-10
文章: 1263
来自: @tweetxa

文章发表于: Tue 2016-04-26 19:05:39    发表主题: 引用并回复

fzfh 写到:
sshd里面,PAM要关掉,不然就算无key file用password一样可以登录。

默认的/etc/ssh/sshd_config只要加AuthenticationMethods publickey就可以了,其他不用动。

_________________
Paranoid in Sabbath ...
返回页首
阅览会员资料 发送站内信件
从以前的文章开始显示:   
发表新文章   回复文章    FreeBSD China -> 技术交流 论坛时间为 北京时间
1页/共1

 
转跳到:  
不能发布新主题
不能在这个论坛回复主题
不能在这个论坛编辑自己的文章
不能在这个论坛删除自己的文章
不能在这个论坛发表投票


Powered by phpBB 2023cc © 2003 Opensource Steps; © 2003-2009 The FreeBSD Simplified Chinese Project
Powered by phpBB © 2001, 2005 phpBB Group
Protected by Project Honey Pot and phpBB.cc
silvery-trainer
The FreeBSD China Project 网站: 中文计划网站 社区网站
The FreeBSD China Project 版权所有 (C) 1999 - 2003 网页设计版权 著作权和商标