漏洞介绍:nginx是一款高性能的web服务器,使用非常广泛,其不仅经常被用作反向代理,也可以非常好的支持PHP的运行。80sec发现其中存在一个较为严重的安全问题,默认情况下可能导致服务器错误的将任何类型的文件以PHP的方式进行解析,这将导致严重的安全问题,使得恶意的攻击者可能攻陷支持php的nginx服务器。
漏洞分析:nginx默认以cgi的方式支持php的运行,譬如在配置文件当中可以以
location ~ .php$ {
root html;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
include fastcgi_params;
}
Nginx是一款高性能的HTTP和反向代理服务器。deepvps以前已经多次介绍过Nginx的HTTP应用,比如lnmp一键安装包。下面要说的是Nginx的反向代理功能。
只适合CentOS系统,推荐使用 VPSYOU,DiaHosting,PhotonVPS的VPS,因为他们提供的系统都是纯32位的,而不是所谓的X86_64兼容32位的系统,纯32位系统内存占用更小,更稳定。而且这些VPS都自带控制面板,可以很容易Reload操作系统。
查看你的是什么系统,运行uname -a就可以,我的显示
Linux imcat 2.6.18-164.6.1.el5xen #1 SMP Tue Nov 3 17:53:47 EST 2009 i686 i686 i386 GNU/Linux
Nginx (”engine x”) 是一个高性能的 HTTP 和 反向代理 服务器,也是一个 IMAP/POP3/SMTP 代理服务器。 Nginx 是由 Igor Sysoev 为俄罗斯访问量第二的 Rambler.ru 站点开发的,它已经在该站点运行超过两年半了。Igor 将源代码以类BSD许可证的形式发布。尽管还是测试版,但是,Nginx 已经因为它的稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名了。
因为大部分VPSER 都常用Apache,很少用Nginx,今天deepvps帮一个朋友安装PHPwind论坛,发现以前的Apache伪静态规则不能适应,所以在网上搜索整理一下常用的Nginx的伪静态规则,希望可以帮助到大家。
deepvps前几天帮朋友代购了一个Burst的VPS,帮他安装了licess的LNMP。结果发现他的网站以前的伪静态是Apache的,不能适应Nginx的,帮他搞了几天都没有搞好。很是郁闷。后来偶然在网上搜索,发现了下面的这个自动把Apache .htaccess中的规则转换成nginx的工具,一下就搞好了。在此推荐给大家使用,也算是自己的一个备忘吧。
今年的时候,deepvps 在 BurstNET 上买了一台 Linux VPS 主机,用来搭建 WEB 服务。而作为一个WEB 服务器,对于服务器的状态监控是必不可少的,但 VPS 的资源是有限的,如果即要跑 Web 服务又要跑监控服务的话,势必会影响服务器的整体性能,所以利用第三方服务来监控服务器状态,这应该是一个合理的选择。
而监控宝就是这样一个高端的主机监控服务,它不同于 Google Analytics 这样的访问量统计服务,而是提供了更深层次的主机状态监控功能,以下摘自官方的功能介绍。
今天在C大的代购论坛无意间发现了,这个自动转换程序,可以将Apache Rewrite伪静态规则转换为Nginx Rewrite。
http://www.anilcetin.com/convert-apache-htaccess-to-nginx/
就是把Apache中.htaccess中的伪静态规则自动转换成nginx下面可用的规则。
记录在自己的博客中,权当一个备份吧,方便自己使用,呵呵。
LNMP是一个基于CentOS编写的Nginx、PHP、MySQL、phpMyAdmin、eAcelerator一键安装包。可以在VPS、独立主机上轻松的安装LNMP生产环境。
本页面为LNMP for CentOS的安装方法,Debian/Ubuntu请到:http://blog.licess.cn/lnmp-debian-ubuntu/
本文适合CentOS。一步一步来,不要错。
先下载工具ssh shell,个人感觉这个比较好用,推荐给大家
http://docs.isvps.net/soft/SSHSecureShellClient-3.2.9.zip
然后是一些必要的软件包
nginx源码包: http://www.nginx.org/download/nginx-0.7.65.tar.gz
php源码包: http://cn.php.net/distributions/php-5.2.11.tar.gz
php-fpm补丁: http://php-fpm.org/downloads/php-5.2.11-fpm-0.5.13.diff.gz
| 
|
|
|
2010-05-21 | 浏览人数: 1,459次 | 分类:
