Linux上優化安裝Apache（PHP）及基本安全設置

############################
Linux上優化安裝Apache(PHP)及安全配置
By gzdrk (msn:gzdrk@hotmail.com)
############################

--------------------------
Apache版本：Apache-1.3.27
PHP版本：PHP-4.3.2
--------------------------

說明：Apache整合PHP有兩種方式：一種是DSO模式，把PHP當作Apache的外部模塊來調用，這樣增加了Apache的靈活性，但會帶來5%的性能降低；另一種方式是把PHP編譯進Apache的內核，這樣犧牲了以后調整的靈活性（每次對PHP的重新編譯，都需要再次編譯Apache），但性能會高一些。對Perl也是如此。相比之下，本人更愿意使用第二種方式，即把PHP編譯進Apache的靜態內核。

一.編譯Apache：
 
1. 進入Apache展開目錄；
2. ./configure - -prefix=/usr/local/apache1.3 - -disable-module=all 
- -enable-module=aclearcase/" target="_blank" >ccess - -enable-module=log_config 
- -enable-module=dir - -enable-module=mime \ ##Apache工作的基本模塊
（說明：如果以后使用DSO方式，則編譯時加上 - -enable-mdule=so）

二.安裝PHP：
1. 進入PHP展開目錄；
2. ./configure - -prefix=/usr/local/php4 
- -with-apache=../apache_1.3.27 ##這里指定Apache的源代碼目錄 
3. make;make install

三.安裝Apache：
1. 進入Apache展開目錄；
2. ./configure - -prefix=/usr/local/apache1.3 - -disable-module=all 
- -enable-module=access - -enable-module=log_config 
- -enable-module=dir - -enable-module=mime \ 
- -activate-module=src/modules/php4/libphp4.a ##把PHP模塊編譯進去
3. make;make install


四。配置Apache：
修改httpd.conf文檔：
1.Timeout 300--->Timeout 120
2.MaxKeepAliveRequests 100
3.KeepAliveTimeout  5
4.ServerSignature on--->ServerSignature off
5.Options Indexes FollowSymLinks 行把indexes刪掉（目錄的Options不要帶index選項）
6.將Apache運行的用戶和組改為nobody
7.MaxClients 150——>MaxClients 1500
  （該參數是多少有一個基本的算法，例如2G的機器，一個Apache＋PHP進程大概消耗4M內存，則最高效率的進程數為2g/4m * 2=1000，最大進程數為1000*1.5=1500；1.3下要調整到高于256須在編譯Apache前修改其源代碼）
  （對apache2.0版本，將worker MPM字段里的MaxClients 150——>MaxClients 1500）
8.DirectoryIndex index.html index.html.var 后面加上index.php
9.查找包含大量AddType命令的小節，添加下面這一行： AddType application/x-httpd-php .php 


-------------------------- 
Apache版本：Apache-2.0.47
PHP版本：PHP-4.3.2
--------------------------

一.安裝Apache：
1. 進入Apache安裝目錄；
2. ./configure - -prefix=/usr/local/apache2 - -enable-so
3. make;make install

二.安裝PHP：
1. 進入PHP安裝目錄；
2. ./configure - -prefix=/usr/local/php4 - -with-apxs2=/usr/local/apache2/bin/apxs 
3. make;make install

三.配置Apache：
1. 修改httpd.conf，上述配置工作照做；
2. 另外修改的地方：
LoadModule php4_module modules/libphp4.so （這一項在裝完php后會自動添加） 
AddType application/x-httpd-php .php （這一項手工添加）



----------------------- 
Linux基本安全配置（綱要）
--------------------

一． 安裝過程中注意事項：
1． 分區
2． 禁止安裝任何服務
3． 不安裝KDE
4． 安裝內核源代碼及編譯工具

二． 安裝完后應做的事：
1． 調整內核：
1） 運行dmesg、lspci等命令查看服務器硬件列表，確定所需要的基本硬件的驅動信息，包括SCSI、RAID、磁盤、網卡、鍵盤、鼠標、顯卡等；
2） 進入內核源碼目錄：/usr/src/linux-2.4，執行make menuconfig，進入內核配置菜單，根據硬件配置和實際需要來修改該菜單，去掉大部分不必要的模塊（或者不使用模塊），保存退出；
3） 執行make dep,生成代碼關系樹；
4） 分別執行make; make modules; make modules_install; make install等編譯命令；
5） 其它選擇：depmod –a；修改/etc/grub.conf等。

2． 關閉服務：
1）/etc/rc2.d下的下列服務：
S13portmap S14nfslock S28autofs S80sendmail S90FreeWnn S90canna S90cups S85gpm S24pcmcia S08iptables S09isdn S90xfs 
2）/etc/rc3.d下除local.network、syslog外，其他服務關閉
3）/etc/rc.d/xinetd.d下的全部網絡服務關閉
4）關閉所有服務后，執行netstat -an |grep LISTEN 應開不到任何打開的TCP端口

3． 定制服務：
1） Openssh最新版本的安裝及安全增強配置
    要點：盡量將Openssh端口（22）偵聽在內網卡上，使用SSH協議2，特權分離，禁止root登陸和
    端口轉發，忽略信任主機等
2） Proftp最新版本的安裝及安全增強配置；
    要點：禁止匿名FTP，將用戶登陸限制在家目錄下
3） Apache的安裝及安全增強配置；
    要點：httpd.conf配置文件的調整，見上文
4） 其它應用軟件的安裝及安全配置。

4． 帳號管理：
刪除大部分不必要帳號，取消帳號中不必要的shell。
如下帳號可被刪除：
adm,lp,sync,shutdown,halt,mail,news,uucp,operator,games,gopher,ftp,rpm,nscd,rpc,
rpcuser,nfsnobody,mailnull,smmsp,pcap,xfs,ntp
如果要使用KDE之類的圖形窗口，則有些帳號如rpc,xfs是需要的。

5． Suid及sgid文件檢查：
執行如下命令：
find / -user root -perm -4000 -print -exec md5sum {} \;
find / -user root -perm -2000 -print -exec md5sum {} \;
將結果重定向到一個文件，保存起來以后備查。 

6.  防范SYN攻擊：
1）使用SYN Cookies，在/etc/rc.d/rc.local里加入：
   echo 1 > /proc/sys/net/ipv4/tcp_syncookies
2）增加TCP最大半連接數：
   sysctl -w net.ipv4.tcp_max_syn_backlog="2048"
3）縮短TCP半連接的等待超時時間
   
   這些措施只能減緩SYN攻擊，并不能真正解決SYN攻擊問題。最好的方法還是使用硬件防火墻。

iknownothing 回復于：2004-11-24 16:41:28

thanks for detailed guide.

haohaoo 回復于：2004-11-25 11:02:19

怎么優化的東西沒見到呀？

sysit 回復于：2004-12-05 16:38:47

是沒看到是那門子優化，只看到安裝

原文轉自：http://www.kjueaiud.com