open_basedir是php提升安全性的重要功能,eaccelerator是提速php的扩展模块,但是似乎默认环境下他们2一起用只要有require就会造成大量的php错误。
PHP Warning: Unknown: open_basedir restriction in effect. File() is not within the allowed path(s): (/www/:/tmp/) in Unknown on line 0
要解决这个问题的话在编译eaccelerator时 加上一个参数就行 –without-eaccelerator-use-inode
官方也说将在0.9.6.1的下一个release中默认启用这个参数。
这次的nginx漏洞可谓是惊天,具体就不说了,详情见 http://www.80sec.com/nginx-securit.html
这漏洞可怕之处就是一旦有用户可以上传的地方如果能把php改后缀方式上传到服务器的话,就能任意执行。
其实有一个通用的方法可以来避免这种未知漏洞,就是禁止用户上传目录执行php权限。
在apache下面我们可以通过:
1 2 3 | <Directory /website/attachments> php_flag engine off </Directory> |
的方式来来禁用目录下文件php执行权限。
那么在nginx里面同样可以实现这种方法,那就是location的优先匹配,关于location可以参考我之前的一批文章http://226617.cn/archives/392.htm
这里简单就举个例子
1 2 3 4 | location ^~ /attachments/
{
access_log off;
} |
这样 attachments这个目录 就不会再去跳转给fastcgi去执行php了
最近再做个mysql一从多主的配置,需要在一台机器上安装多个mysql。
起先是按照复制了多了mysql 同时起,在琢磨如何做启动脚本的时候发现support-files目录下有个mysqld_multi.server文件,一查发现原来是现成的多实例管理工具。
首先得新建个data目录给新的实例,可以把原来的data目录复制个新的 只需要mysql库,也可以用工具部属个
1 | ./scripts/mysql_install_db --basedir=/usr/local/mysql3307 --datadir=/mysql/mysql3307/data --user=mysql |
然后修改下my.cnf
主要增加
1 2 3 4 5 6 | [mysqld_multi] mysqld = /usr/local/mysql/bin/mysqld_safe mysqladmin = /usr/local/mysql/bin/mysqladmin user = shutdown password = 123456 log = /mysql/mysqld_multi.log |
然后把原来的 [mysqld] 改为 [mysqld1]
在新增新的实例配置
1 2 3 4 5 6 | [mysqld2] port = 3307 socket = /tmp/mysql3307.sock datadir = /storage/mysql/data3307 ............ ............ |
然后把 mysqld_multi.server 做成启动服务
1 2 3 4 5 6 | cp ./support-files/mysqld_multi.server /etc/rc.d/init.d/mysqld chown root:root /etc/rc.d/init.d/mysqld chmod 755 /etc/rc.d/init.d/mysqld chkconfig --add mysqld chkconfig --level 3 mysqld on chkconfig --level 5 mysqld on |
启动和关闭全部mysql实例
启动:service mysqld start
关闭:service mysqld stop
对单台数据库的启动和关闭
启动: service mysqld start 1
关闭: service mysqld stop 1
也可以同时启动和关闭多个数据库实例
启动: service mysqld start 1-2
关闭: service mysqld stop 1-2
如果启动的时候提示出错信息:
WARNING: my_print_defaults command not found.
Please make sure you have this command available and
in your path. The command is available from the latest
MySQL distribution.
ABORT: Can’t find command ‘my_print_defaults’.
This command is available from the latest MySQL
distribution. Please make sure you have the command
in your PATH.
先添加
export PATH=/usr/local/mysql/bin:$PATH
然后在启动mysql
VirtualBox的虚拟机克隆主要就是克隆一份vdi文件,今天在克隆一台VirtualBox的虚拟机时以为和vmware那样复制粘贴注册vdi的时候会提示copy it之类的,没想到直接报错uuid重复注册。翻了下帮助原来VirtualBox有转码的工具来进行vdi克隆。
在VirtualBox的安装目录下有个 VBoxManage.exe 其实这工具有蛮多功能,有兴趣的同学可以自己看看帮助。我们这里就说下如何克隆vdi了:
VBoxManage.exe clonevdi 原始VDI文件名 新的VDI文件名
其实蛮方便的一个工具想不懂为啥不做成图形的非得要敲命令呢,用户体验真差。
今天在装sphinx,收尾准备做个增量的脚本放crontab里面去,结果每次执行都是提示: No such file or directory。搞来搞去最后发现文本格式忘了改成unix的了,汗
今天在准备部署一台新的虚拟机,把模板机更新了下补丁,装了新的vmtools,克隆的时候再快结束的时候提示虚拟机文件损坏。由于模板机能正常开机运行,虚拟机内操作也很正常,所以觉得和vmdk文件没什么关系,而且克隆的时候vmdk也是克隆完成的,所以怀疑是vmx文件的问题,于是下载了下来仔细看了下,发现一个可疑之处 uuid.location = “” 内容竟然空白,又对比了一台正常的机器和一台刚刚克隆完的机器,证实确实是uuid.location问题,把uuid.location = “” 这行删除掉,上传上esx,重新启动模板机后就自动生成了。然后克隆成功,问题解决。
今天忽然发现VC里某台ESX里面的虚拟机全部无法控制,列表里面CPU和内存信息都是0,显然这台ESX出问题了,尝试断开并重新连接这台ESX结果连接失败,弹出输入用户名和密码,填写后还是连接不上,尝试ping这台esx主机发现ping的通,直接登录到esx的console发现能登陆,检查服务也正常。看来是esx的问题了,打算重启下,可以里面有2台比较重要的虚拟机,直接重启ESX担心会造成影响,所以尝试的重启部分服务,结果service mgmt-vmware restart后正常了。
一般情况下出现esx和vc的连接问题除了重启上面的mgmt-vmware外还可以service vmware-vpxa restart重启下vpxa,说不定就能解决
由于nginx的url hash功能可以很好的提升squid的性能,所以我把squid前端的负载均衡器更换为nginx,但是一台nginx就形成了单点,现在使用keepalived来解决这个问题,keepalived的故障转移时间很短(<1s),而且配置简单,这也是选择keepalived的一个主要原因,建议日PV值小的中小型企业web均可采用如下方案实行,下面直接上安装步骤:
一、环境:
centos5.3、nginx-0.7.51、keepalived-1.1.19
主nginx负载均衡器:192.168.0.154
辅nginx负载均衡器:192.168.9.155
vip:192.168.0.188
二、安装keepalived
#tar zxvf keepalived-1.1.19.tar.gz
#cd keepalived-1.1.19
#./configure --prefix=/usr/local/keepalived
#make
#make install
#cp /usr/local/keepalived/sbin/keepalived /usr/sbin/
#cp /usr/local/keepalived/etc/sysconfig/keepalived /etc/sysconfig/
#cp /usr/local/keepalived/etc/rc.d/init.d/keepalived /etc/init.d/
#mkdir /etc/keepalived
#cd /etc/keepalived/
vim keepalived.conf
! Configuration File for keepalived
global_defs {
notification_email {
yuhongchun027@163.com
}
notification_email_from keepalived@chtopnet.com
smtp_server 127.0.0.1
smtp_connect_timeout 30
router_id LVS_DEVEL
}
vrrp_instance VI_1 {
state MASTER
interface eth0
virtual_router_id 51
mcast_src_ip 192.168.0.155 <==辅nginx的IP地址
priority 100
advert_int 1
authentication {
auth_type PASS
auth_pass chtopnet
}
virtual_ipaddress {
192.168.0.188 <==vip地址
}
}
#service keepalived start
我们来看一下日志:
[root@ltos ~]# tail /var/log/messages
Oct 6 03:25:03 ltos avahi-daemon[2306]: Registering new address record for 192.168.0.188 on eth0.
Oct 6 03:25:03 ltos avahi-daemon[2306]: Registering new address record for 192.168.0.154 on eth0.
Oct 6 03:25:03 ltos avahi-daemon[2306]: Registering HINFO record with values 'I686'/'LINUX'.
Oct 6 03:25:23 ltos avahi-daemon[2306]: Withdrawing address record for fe80::20c:29ff:feb9:eeab on eth0.
Oct 6 03:25:23 ltos avahi-daemon[2306]: Withdrawing address record for 192.168.0.154 on eth0.
Oct 6 03:25:23 ltos avahi-daemon[2306]: Host name conflict, retrying with
Oct 6 03:25:23 ltos avahi-daemon[2306]: Registering new address record for fe80::20c:29ff:feb9:eeab on eth0.
Oct 6 03:25:23 ltos avahi-daemon[2306]: Registering new address record for 192.168.0.188 on eth0.
Oct 6 03:25:23 ltos avahi-daemon[2306]: Registering new address record for 192.168.0.154 on eth0.
Oct 6 03:25:23 ltos avahi-daemon[2306]: Registering HINFO record with values ‘I686′/’LINUX’.
很显然vrrp已经启动,我们还可以通过命令:#ip a 来检查
[root@ltos html]# ip a
1: lo:
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0:
link/ether 00:0c:29:ba:9b:e7 brd ff:ff:ff:ff:ff:ff
inet 192.168.0.154/24 brd 192.168.0.255 scope global eth0
inet 192.168.0.188/32 scope global eth0
inet6 fe80::20c:29ff:feba:9be7/64 scope link
valid_lft forever preferred_lft forever
3: sit0:
link/sit 0.0.0.0 brd 0.0.0.0
说明vip已经启动,这样主服务器就配置好了,辅机的配置大致一样,除了配置文件有少部分的变化,下
面贴出辅机的配置文件:
! Configuration File for keepalived
global_defs {
notification_email {
yuhongchun027@163.com
}
notification_email_from keepalived@chtopnet.com
smtp_server 127.0.0.1
smtp_connect_timeout 30
router_id LVS_DEVEL
}
vrrp_instance VI_1 {
state BACKUP
interface eth0
virtual_router_id 51
mcast_src_ip 192.168.0.154 <==主nginx的IP的地址
priority 100
advert_int 1
authentication {
auth_type PASS
auth_pass chtopnet
}
virtual_ipaddress {
192.168.0.188
}
}
检查其配置
[root@ltos html]# ip a
1: lo:
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0:
link/ether 00:0c:29:ba:9b:e7 brd ff:ff:ff:ff:ff:ff
inet 192.168.0.155/24 brd 192.168.0.255 scope global eth0
inet 192.168.0.188/32 scope global eth0
inet6 fe80::20c:29ff:feba:9be7/64 scope link
valid_lft forever preferred_lft forever
3: sit0:
link/sit 0.0.0.0 brd 0.0.0.0
测试其效果方法很简单,分别在主辅机上建立不同的主页,index.html分别为192.168.0.154,192.168.0.155,然后用客户机上elinks http://192.168.0.188,主机down掉后辅机会马上接替提供服务,间隔时间几乎无法感觉出来,这个环境准备再进行下压力测试,用于我杭州网跃朋友的web服务器,如有疑问请联系yuhongchun027@163.com(抚琴煮酒)
转载至 http://hi.baidu.com/yuhongchun027/blog/item/25eca12c3442e9e68a13998c.html
有时候更新域名的域名服务器,需要查看是否生效,只能通过根服务器的NS查询来辨别。可以使用下面的命令
nslookup -qt=ns thmz.com a.gtld-servers.net
如果根服务器已经更新的话再对比运营商的dns看看有没有更新
nslookup -qt=ns thmz.com
再或者 nslookup -d thmz.com 自己看看各个节点的过期时间
