tar zxvf php-5.2.14.tar.gz
gzip -cd php-5.2.14-fpm-0.5.14.diff.gz | patch -d php-5.2.14 -p1
cd php-5.2.14/

vi  main/fopen_wrappers.c

/* {{{ php_check_open_basedir
*/
PHPAPI int php_check_open_basedir_ex(const char *path, int warn TSRMLS_DC)
{
/* Only check when open_basedir is available */
if (PG(open_basedir) && *PG(open_basedir)) {
char *pathbuf;
char *ptr;
char *end;

// 添加的内容开始
char *env_document_root = sapi_getenv(“DOCUMENT_ROOT”, sizeof(“DOCUMENT_ROOT”)-1 TSRMLS_CC);
if (php_check_specific_open_basedir(ptr, path TSRMLS_CC) == 0) {
efree(env_document_root);
return 0;
}
// 添加的内容结束

pathbuf = estrdup(PG(open_basedir));

ptr = pathbuf;

while (ptr && *ptr) {
end = strchr(ptr, DEFAULT_DIR_SEPARATOR);
if (end != NULL) {
*end = ’\0′;
end++;
}

if (php_check_specific_open_basedir(ptr, path TSRMLS_CC) == 0) {
efree(pathbuf);
return 0;
}

ptr = end;
}
if (warn) {
php_error_docref(NULL TSRMLS_CC, E_WARNING, ”open_basedir restriction in effect. File(%s) is not within the allowed path(s): (%s)”, path, PG(open_basedir));
}
efree(pathbuf);
errno = EPERM; /* we deny permission to open it */
return -1;
}

/* Nothing to check… */
return 0;
}

需要添加的内容用红色表示出来了，然后重新编译安装php即可。
最后不要忘了将php.ini中的open_basedir改为：open_basedir = ”/var/tmp/:/tmp/”

经亲测可用。

使用phpspy2008测试，无法浏览其他目录。

操作系统：Dbian6.0
安装环境：Tomcat6 Apache2 PHP Mysql phpMyAdmin
文章作者：豬頭濱 www.unixidc.com

#apt-get update

#apt-get install vim

#apt-get install mysql-server mysql-client

#apt-get install phpmyadmin

#apt-get install sun-java6-jdk

#apt-get install tomcat6 tomcat6-docs tomcat6-examples

#apt-get install libapache2-mod-jk

#vi /etc/tomcat6/server.xml
找到<!– <Connector port=”8009″ protocol=”AJP/1.3″ redirectPort=”8443″ /> –>这行
将<!– –>这个去掉 开启8009端口 否则会报500错误

#cat /etc/libapache2-mod-jk/workers.properties
找到workers.java_home=/usr/lib/jvm/default-java
#cd /usr/lib/jvm/default-java
如果没有此文件夹 需要做软连接
#ln -s /usr/lib/jvm/java-6-sun /usr/lib/jvm/default-java

#cd /etc/apache2/mods-available

#vi jk.conf

JkWorkersFile /etc/libapache2-mod-jk/workers.properties
# Where to put jk logs
JkLogFile /var/log/apache2/mod_jk.log
# Set the jk log level [debug/error/info]
JkLogLevel info
# Select the log format
JkLogStampFormat “[%a %b %d %H:%M:%S %Y]”
# JkOptions indicate to send SSL KEY SIZE,
JkOptions  +ForwardKeySize +ForwardURICompat -ForwardDirectories
# JkRequestLogFormat set the request format
JkRequestLogFormat “%w %V %T”

#a2enmod jk

#cd /etc/apache2/sites-available/

#vi tomcat

<VirtualHost *:80>
ServerAdmin root@unixidc.com
ServerName unixidc.com
ServerAlias www.unixidc.com
DocumentRoot /var/lib/tomcat6/webapps/ROOT
ErrorLog /var/log/apache2/tomcat-error.log
LogLevel warn
CustomLog /var/log/apache2/tomcat.log combined
JKMount /* ajp13_worker
</VirtualHost>

#a2ensite tomcat

#/etc/init.d/tomcat6 restart
#/etc/init.d/apache2 restart

#cd /var/www

#vi phpinfo.php
<?phpinfo()?>

用默认IP访问phpinfo.php 可以看到php参数 表示支持php

#cd /var/lib/tomcat6/webapps/ROOT
#vi test.jsp
Hello! The time is <%= new java.util.Date() %>

用tomcat绑定的域名访问test.jsp 如果显示系统时间 说明支持jsp

另外phpMyAdmin访问地址是 http://ip/phpmyadmin

有些童鞋们觉得奇怪 并没有看到安装apache和php组件，其实安装phpMyAdmin的时候 APACHE PHP都已经安装好了

wget http://pecl.php.net/get/PDO_MYSQL-1.0.2.tgz
tar xzvf PDO_MYSQL-1.0.2.tgz
cd PDO_MYSQL-1.0.2
/usr/local/php5/bin/phpize
Configuring for:
PHP Api Version:         20041225
Zend Module Api No:      20060613
Zend Extension Api No:   220060519
./configure –with-php-config=/usr/local/php5/bin/php-config

会发现一直有报错:如下
checking for mysql_config… /usr/bin/mysql_config
checking for mysql_query in -lmysqlclient… no
configure: error: mysql_query missing!?

# yum install mysql-devel

Dependencies Resolved

=============================================================================
Package                 Arch       Version          Repository        Size
=============================================================================
Installing:
mysql-devel             i386       5.0.77-4.el5_6.6  updates           2.4 M
Updating:
e2fsprogs-libs          i386       1.39-23.el5_5.1  base              118 k
krb5-libs               i386       1.6.1-55.el5_6.2  updates           667 k
libselinux              i386       1.33.4-5.7.el5   base               77 k
libsepol                i386       1.15.2-3.el5     base              128 k
mysql                   i386       5.0.77-4.el5_6.6  updates           4.8 M
openssl                 i686       0.9.8e-12.el5_5.7  base              1.4 M
Installing for dependencies:
e2fsprogs-devel         i386       1.39-23.el5_5.1  base              569 k
keyutils-libs-devel     i386       1.2-1.el5        base               27 k
krb5-devel              i386       1.6.1-55.el5_6.2  updates           1.9 M
libselinux-devel        i386       1.33.4-5.7.el5   base              144 k
libsepol-devel          i386       1.15.2-3.el5     base              187 k
openssl-devel           i386       0.9.8e-12.el5_5.7  base              1.9 M
zlib-devel              i386       1.2.3-3          base              101 k
Updating for dependencies:
e2fsprogs               i386       1.39-23.el5_5.1  base              977 k
krb5-workstation        i386       1.6.1-55.el5_6.2  updates           885 k
libselinux-python       i386       1.33.4-5.7.el5   base               73 k
mysql-server            i386       5.0.77-4.el5_6.6  updates           9.8 M

Transaction Summary
=============================================================================
Install      8 Package(s)
Update      10 Package(s)
Remove       0 Package(s)

Total download size: 26 M

[root@PDO_MYSQL-1.0.2]# ./configure –with-php-config=/usr/local/php5/bin/php-config

[root@PDO_MYSQL-1.0.2]#make & make install

[root@PDO_MYSQL-1.0.2]#vi /usr/local/php5/etc/php.ini

添加extension=pdo_mysql.so 重启httpd即可

或者是下载我已经编译的so (centos5.2 php5.2.4) pdo_mysql.tar

安装之前需要Server1与Server2之间SSH互相信任 请参考以下文章：
http://www.secblog.cn/article/928.html

Server1
#vi /etc/apt/sources.list
deb http://mirrors.163.com/debian squeeze main non-free contrib
deb http://mirrors.163.com/debian squeeze-proposed-updates main contrib non-free
deb http://mirrors.163.com/debian-security squeeze/updates main contrib non-free
deb-src http://mirrors.163.com/debian squeeze main non-free contrib
deb-src http://mirrors.163.com/debian squeeze-proposed-updates main contrib non-free
deb-src http://mirrors.163.com/debian-security squeeze/updates main contrib non-free
deb http://http.us.debian.org/debian squeeze main contrib non-free
deb http://non-us.debian.org/debian-non-US squeeze/non-US main contrib non-free
deb http://security.debian.org squeeze/updates main contrib non-free
#apt-get update
#apt-get install unison //两台Server都需要安装unison
#usr/bin/unison

#vi /root/.unison/default.prf 
root = /root/test/
root = ssh://192.168.1.105//root/test/

#force =/root/test/

# Paths to synchronize
#path = bbs/attachments
#path = uc/data/avatar
#path = uchome/attachment

# Some regexps specifying names and paths to ignore
#ignore = Path bbs/attachments/swfupload
#ignore = Name temp.*
#ignore = Name *~
#ignore = Name .*~
#ignore = Name *.mp3

auto = true
batch = true
maxthreads = 500
owner = true
group = true
perms = -1
repeat = 1
retry = 3
sshargs = -C 
xferbycopying = true 
silent = true
fastcheck = true
log = true
logfile = /root/.unison/unixidc_122.1547.log

Server1创建/root/test
#mkdir /root/test

Server2创建/root/test
#mkdir /root/test

#/usr/bin/unison&
推送到后台安静模式运行

如果Server1的/root/test想同步到Server2的/root/test2
需要在Server1创建/root/test Server2创建/root/test2
配置文件为 root = ssh://192.168.1.105//root/test2/

其中要注意的是：
1.force去掉前面的# 那就是Server1单向同步到Server2
2.silent = true 是以安静模式运行 否则一直会有以下提示

root@localhost:~# /usr/bin/unison
Contacting server…
Connected [//localhost//root/test -> //unixidc//root/test]
Looking for changes
  Waiting for changes from server
Reconciling changes
Nothing to do: replicas have not changed since last sync.

Sleeping for 1 seconds…

Looking for changes
  Waiting for changes from server
Reconciling changes
Nothing to do: replicas have not changed since last sync.

3.path 是指定你需要同步的目录，用ignore指定path中需要排除的目录及文件

4.要双向同步的目录都不允许为空 否则unison进程会自动结束 并提示Aborting…

5.如需了解更多参数 请参考http://www.seas.upenn.edu/~bcpierce/unison//download/releases/stable/unison-manual.htm

1.用password方式登录Linux Server1和2

2.在Linux Server1上命令操作如下：
#ssh-keygen -t dsa
并三次回车

#cd .ssh/
#cp id_dsa.pub authorized_keys
#chmod 600 authorized_keys
#scp * 192.168.1.105:/root/.ssh

其中在scp的时候 会提示Are you sure you want to continue connecting (yes/no)?
确定输入yes进行确认，之后会提示root@192.168.1.105′s password: 要求输入root密码
我们在Linux Server1(192.168.1.104)上ssh连接Linux Server2(192.168.1.105),看下是否正常
#ssh 192.168.1.105

然后在Linux Server2(192.168.1.105)上ssh连接Linux Server1(192.168.1.104),看下是否正常
如果提示：Are you sure you want to continue connecting (yes/no)? 输入yes即可
到目前为止 已经配置好Linux Server1和Linux Server2的SSH互相信任，SSH连接并不需要密码

3.打开SSH Secure Shell Client>Edit->settings->Keys>Generate New



选择DSA 2048


其中File 你可以选择你喜欢的文件名 会生成File.pub ,Commet可以写你自己的邮箱，Passphrase密码为空即可。

这里会提示是否确定密码为空.

3.切换到Linux Server1的SSH Secure Shell Client界面 Edit->settings->Keys>Upload

将Destination中的.ssh2 更改为.ssh 点Upload 。

#ssh-keygen -i -f /root/.ssh/unixidc.pub >>/root/.ssh/authorized_keys
#vi /etc/ssh/sshd_config
AuthorizedKeysFile去掉前面的# 允许AuthorizedKeys登录
PasswordAuthentication=no 修改为no 禁止使用password登录
重启SSH服务，并重新登录 Authentication选择：Public Key

在Linux Server2上重复操作以上步骤即可配置完成。

netstat -nat |awk ‘{print $6}’|sort|uniq -c|sort -rn

netstat -n | awk ‘/^tcp/ {++S[$NF]};END {for(a in S) print a, S[a]}’

netstat -n | awk ‘/^tcp/ {++state[$NF]}; END {for(key in state) print key,”\t”,state[key]}’

netstat -n | awk ‘/^tcp/ {++arr[$NF]};END {for(k in arr) print k,”\t”,arr[k]}’

netstat -n |awk ‘/^tcp/ {print $NF}’|sort|uniq -c|sort -rn

netstat -ant | awk ‘{print $NF}’ | grep -v ‘[a-z]‘ | sort | uniq -c

netstat -ant|awk ‘/ip:80/{split($5,ip,”:”);++S[ip[1]]}END{for (a in S) print S[a],a}’ |sort -n

netstat -ant|awk ‘/:80/{split($5,ip,”:”);++S[ip[1]]}END{for (a in S) print S[a],a}’ |sort -rn|head -n 10

awk ‘BEGIN{printf (“http_code\tcount_num\n”)}{COUNT[$10]++}END{for (a in COUNT) printf a”\t\t”COUNT[a]“\n”}’

2.查找请求数请20个IP（常用于查找攻来源）：

netstat -anlp|grep 80|grep tcp|awk ‘{print $5}’|awk -F: ‘{print $1}’|sort|uniq -c|sort -nr|head -n20

netstat -ant |awk ‘/:80/{split($5,ip,”:”);++A[ip[1]]}END{for(i in A) print A[i],i}’ |sort -rn|head -n20

3.用tcpdump嗅探80端口的访问看看谁最高

tcpdump -i eth0 -tnn dst port 80 -c 1000 | awk -F”.” ‘{print $1″.”$2″.”$3″.”$4}’ | sort | uniq -c | sort -nr |head -20

4.查找较多time_wait连接

netstat -n|grep TIME_WAIT|awk ‘{print $5}’|sort|uniq -c|sort -rn|head -n20

5.找查较多的SYN连接

netstat -an | grep SYN | awk ‘{print $5}’ | awk -F: ‘{print $1}’ | sort | uniq -c | sort -nr | more

6.根据端口列进程

netstat -ntlp | grep 80 | awk ‘{print $7}’ | cut -d/ -f1

网站日志分析（Apache）：
1.获得访问前10位的ip地址

cat access.log|awk ‘{print $1}’|sort|uniq -c|sort -nr|head -10

cat access.log|awk ‘{counts[$(11)]+=1}; END {for(url in counts) print counts[url], url}’

2.访问次数最多的文件或页面,取前20及统计所有访问IP

cat access.log|awk ‘{print $11}’|sort|uniq -c|sort -nr|head -20

awk ‘{ print $1}’ access.log |sort -n -r |uniq -c|wc -l

3.列出传输最大的几个exe文件（分析下载站的时候常用）

cat access.log |awk ‘($7~/\.exe/){print $10 ” ” $1 ” ” $4 ” ” $7}’|sort -nr|head -20

4.列出输出大于200000byte(约200kb)的exe文件以及对应文件发生次数

cat access.log |awk ‘($10 > 200000 && $7~/\.exe/){print $7}’|sort -n|uniq -c|sort -nr|head -100

5.如果日志最后一列记录的是页面文件传输时间，则有列出到客户端最耗时的页面

cat access.log |awk ‘($7~/\.php/){print $NF ” ” $1 ” ” $4 ” ” $7}’|sort -nr|head -100

6.列出最最耗时的页面(超过60秒的)的以及对应页面发生次数

cat access.log |awk ‘($NF > 60 && $7~/\.php/){print $7}’|sort -n|uniq -c|sort -nr|head -100

7.列出传输时间超过 30 秒的文件

cat access.log |awk ‘($NF > 30){print $7}’|sort -n|uniq -c|sort -nr|head -20

8.统计网站流量（G)

cat access.log |awk ‘{sum+=$10} END {print sum/1024/1024/1024}’

9.统计404的连接

awk ‘($9 ~/404/)’ access.log | awk ‘{print $9,$7}’ | sort

10. 统计http status.

cat access.log |awk ‘{counts[$(9)]+=1}; END {for(code in counts) print code, counts[code]}'

cat access.log |awk '{print $9}'|sort|uniq -c|sort -rn

11.每秒并发：

awk '{if($9~/200|30|404/)COUNT[$4]++}END{for( a in COUNT) print a,COUNT[a]}'|sort -k 2 -nr|head -n10

12.带宽统计

cat apache.log |awk '{if($7~/GET/) count++}END{print "client_request="count}'

cat apache.log |awk '{BYTE+=$11}END{print "client_kbyte_out="BYTE/1024"KB"}'

13.统计对象数量及对象平均大小

cat access.log |awk '{byte+=$10}END{ print byte/NR/1024,NR}'

cat access.log |awk '{if($9~/200|30/)COUNT[$NF]++}END{for( a in COUNT) print a,COUNT

[a],NR,COUNT[a]/NR*100"%"}

14.取5分钟日志

if [ $DATE_MINUTE != $DATE_END_MINUTE ] ;then #则判断开始时间戳与结束时间戳是否相等START_LINE=`sed -n "/$DATE_MINUTE/=" $APACHE_LOG|head -n1` #如果不相等，则取出开始时间戳的行号，与结束时间戳的行号

#END_LINE=`sed -n "/$DATE_END_MINUTE/=" $APACHE_LOG|tail -n1`

END_LINE=`sed -n "/$DATE_END_MINUTE/=" $APACHE_LOG|head -n1`sed -n "${START_LINE},${END_LINE}p" $APACHE_LOG > $MINUTE_LOG ##通过行号，取出5分钟内的日志内容 存放到 临时文件中

GET_START_TIME=`sed -n "${START_LINE}p" $APACHE_LOG|awk -F '[' '{print $2}' |awk '{print $1}'|

sed 's#/# #g'|sed 's#:# #'` #通过行号获取取出开始时间戳

GET_END_TIME=`sed -n "${END_LINE}p" $APACHE_LOG|awk -F '[' '{print $2}' |awk '{print $1}'|sed

's#/# #g'|sed 's#:# #'` #通过行号获取结束时间戳

15.蜘蛛分析

查看是哪些蜘蛛在抓取内容

/usr/sbin/tcpdump -i eth0 -l -s 0 -w - dst port 80 | strings | grep -i user-agent | grep -i -E 'bot|crawler|slurp|spider'

网站日分析2(Squid篇）

2.按域统计流量

zcat squid_access.log.tar.gz| awk '{print $10,$7}' |awk 'BEGIN{FS="[ /]"}{trfc[$4]+=$1}END{for

(domain in trfc){printf "%s\t%d\n",domain,trfc[domain]}}'

效率更高的perl版本请到此下载:http://docs.linuxtone.org/soft/tools/tr.pl

数据库篇

1.查看数据库执行的sql

/usr/sbin/tcpdump -i eth0 -s 0 -l -w - dst port 3306 | strings | egrep -i 'SELECT|UPDATE|DELETE|INSERT|SET|COMMIT|ROLLBACK|CREATE|DROP|ALTER|CALL'

系统Debug分析篇

1.调试命令

strace -p pid

2.跟踪指定进程的PID

gdb -p pid

http://eg8320.blog.51cto.com/418884/440228

默认的 SSH 端口是 22。强烈建议改成 10000 以上。这样别人扫描到端口的机率也大大下降。修改方法：

# 编辑 /etc/ssh/ssh_config
vi /etc/ssh/ssh_config
# 在 Host * 下 ，加入新的 Port 值。以 22000 为例（下同）：
Port 22
Port 22000

# 编辑 /etc/ssh/sshd_config
vi /etc/ssh/sshd_config
#加入新的 Port 值
Port 22
Port 22000

# 保存后，重启 SSH 服务：
service sshd restart

　　这里我设置了两个端口，主要是为了防止修改出错导致 SSH 再也登不上。更改你的 SSH 客户端(例如：Putty)的连接端口，测试连接，如果新端口能连接成功，则再编辑上面两个文件，删除 Port 22 的配置。如果连接失败，而用 Port 22 连接后再重新配置。

　　端口设置成功后，注意同时应该从 iptables 中， 删除22端口，添加新配置的 22000，并重启 iptables。

Linux SSH 安全策略二：限制 IP 登录

如果你能以固定 IP 方式连接你的服务器，那么，你可以设置只允许某个特定的 IP 登录服务器
# 编辑 /etc/hosts.allow
vi /etc/hosts.allow
# 例如只允许 123.45.67.89 登录
sshd:123.45.67.89
Linux SSH 安全策略三：public key认证登录
http://www.secblog.cn/unix/457.html
Linux SSH 安全策略四：使用DenyHosts
http://denyhosts.sourceforge.net/

2. 自动修复某个孤立用户:
USE 库名
EXEC sp_change_users_login ‘Auto_Fix’, ‘孤立用户名’, NULL, ‘密码’

–密码指用户对应的登录不存在时, 系统自动建立登录, 为登录分配的密码
报错：
服务器: 消息 8144，级别 16，状态 2，过程 sp_change_users_login，行 0
为过程或函数 sp_change_users_login 指定的参数太多。
–报错时候， 可删除“，’密码’”部分(版本或者补丁问题)
3.表已经恢复完毕，有孤立用户 user1, 在登录中已建立登录用户 user2

sp_change_users_login @Action = ‘Update_One’
, @UserNamePattern = ‘user1′
, @LoginName = ‘user2′

可将 user1 与 user2(以user2用户名登录) 关联

开通了FTP服务，但是不想让用户上传某类型的文件，比如EXE文件，或者只能上传某类型的文件，怎么做呢？看看下面的方案：

一、禁止某类文件上传

在用户的“目录访问”那里添加一条访问规则，路径设置为 *.exe ，取消所有的权限，并把这个规则放在最上面的位置。

Path=*.exe
Access=——–

这样处理后，该用户就不能在自己的目录上传*.exe的文件了，同时目录下面的*.exe文件也不会被列出来，也不能修改已经上传的文件后缀为exe。在Serv-U 6版本中测试正常。

二、只允许某类文件上传

1、在用户的“目录访问”那里添加一条访问规则，路径设置为 *.html，设置 读取、写入、追加、删除权限，并放在第一条。
2、取消文件目录的 写入、追加、删除权限 。

这样处理后，就只能上传 *.html 的文件了。

強迫將Queue信寄出:
postqueue -f

刪除所有被Queue的信:
postsuper -d ALL

刪除某封Queue的信:
先用postqueue -q or
mailq
查queue_id
postsuper -d queue_id

刪除所有正在 deferred 佇列中的郵件 ( 刪除曾經發送失敗的信 ):
postsuper -d ALL deferred

刪除所有正在 deferred 佇列中的郵件 ( 可看出哪些信被刪除了 ):
find /var/spool/postfix/deferred -type f -exec rm -vf {} ;

刪掉「三天以前」無法發出的郵件:
find /var/spool/postfix/deferred -type f -mtime +3 -exec rm -f {} ;

列出目前所有無法發出的郵件:
find /var/spool/postfix/deferred -type f -exec ls -l –time-style=+%Y-%m-%d_%H:%M:%S {} ;

刪除超過 5 天的 “defer” 佇列中的退信紀錄:
find /var/spool/postfix/defer -type f -mtime +5 -exec rm -f {} ;