现在都玩自动化了，Apache有XAMPP套件，Nginx也有很多lnmp安装包，完全无门槛。

技术什么时候都需要，还有，我们爱新鲜的东西。

Cherokee，纯C写成，模块化扩展。小巧易用，当前广泛应用的技术都有支持：FastCGI，SCGI，PHP，CGI，SSI，TLS/SSL加密传输，以及虚拟主机，身份认证，动态编码，负载均衡，Apache兼容的日志，数据库均衡器，服务无中断更新和升级，反向HTTP代理，等等。

说这么多特性，其实我们不是全部都用得到，我们看成绩。

Cherokee在测试中，可以比Nginx更快，但是有一点，高负载的时候不稳定。这是新项目，社区不是很健壮，问题相比其他web server会多一点。如果是个人，中小站点用，完全不用担心。

这里有两篇测试Cherokee性能的文章：

http://www.oschina.net/bbs/thread/482

http://www.oschina.net/bbs/thread/8491

都有点老了，但是从势头看，Cherokee进步飞速。它有更小的内存占用，更简单的配置，更灵活的选择，如果你不需要某个功能，去除相应的模块就行。

再说说Cherokee的特色项目：cherokee-admin

这是Cherokee最新版本1.0.8的管理后台，所有配置都可以通过这个图形化的界面完成，它包括流量统计，虚拟主机向导安装等一些意想不到的功能。

Cherokee还内置了国外流行的CMS比如WordPress，Drupal，Joomla等的向导安装，非常简单。

如果你对Cherokee有任何问题，可以跟帖反馈。

© 2010, 酷胖优惠码. 版权所有.

赶紧订阅“酷胖优惠码”,不错过一个省钱的机会！~

#!/usr/bin/php
$url = 'http://www.diahosting.com';
$cmd = '/usr/local/php/sbin/php-fpm restart';

for($i = 0; $i < 5; $i ++){
$exec = "curl --connect-timeout 3 -I $url 2>/dev/null”;
$res = shell_exec($exec);

if(stripos($res, ’502 Bad Gateway’) !== false){
shell_exec($cmd);
exit();
}
}
?>

至于crontab，请自行Google搜索

来源：http://www.hostloc.com/viewthread.php?tid=19208&page=1#pid235729

© 2010, 酷胖优惠码. 版权所有.

赶紧订阅“酷胖优惠码”,不错过一个省钱的机会！~

首先修改SSH的配置文件。如下：
[root@sample ~]# vi /etc/ssh/sshd_config　 ← 用vi打开SSH的配置文件
#Port 22 ← 找到此行将行头“#”删除，再将行末的“22”改成其他端口，默认22不安全
#Protocol 2,1　← 找到此行将行头“#”删除，再将行末的“,1”删除，只允许SSH2方式的连接
Protocol 2　← 修改后变为此状态，仅使用SSH2
#ServerKeyBits 768　← 找到这一行，将行首的“#”去掉，并将768改为1024
ServerKeyBits 1024　← 修改后变为此状态，将ServerKey强度改为1024比特
#PermitRootLogin yes 　← 找到这一行，将行首的“#”去掉，并将yes改为no
PermitRootLogin no 　← 修改后变为此状态，不允许用root进行登录
#PasswordAuthentication yes　← 找到这一行，将yes改为no
PasswordAuthentication no　← 修改后变为此状态，不允许密码方式的登录

#PermitEmptyPasswords no　 ← 找到此行将行头的“#”删除，不允许空密码登录

PermitEmptyPasswords no　 ← 修改后变为此状态，禁止空密码进行登录

然后保存并退出。（vi保存退出的命令为ZZ）
因为我们只想让SSH服务为管理系统提供方便，所以在不通过外网远程管理系统的情况下，只允许内网客户端通过SSH登录到服务器，以最大限度减少不安全因素。设置方法如下：
[root@sample ~]# vi /etc/hosts.deny　 ← 修改屏蔽规则，在文尾添加相应行
## hosts.deny This file describes the names of the hosts which are# *not* allowed to use the local INET services, as decided# by the ‘/usr/sbin/tcpd’ server.## The portmap line is redundant, but it is left to remind you that# the new secure portmap uses hosts.deny and hosts.allow. In particular# you should know that NFS uses portmap!
sshd: ALL　 ← 添加这一行，屏蔽来自所有的SSH连接请求
[root@sample ~]# vi /etc/hosts.allow　 ← 修改允许规则，在文尾添加相应行

## hosts.allow This file describes the names of the hosts which are# allowed to use the local INET services, as decided# by the ‘/usr/sbin/tcpd’ server.#sshd: 192.168.0.　 ← 添加这一行，只允许来自内网的SSH连接请求
重新启动SSH服务
在修改完SSH的配置文件后，需要重新启动SSH服务才能使新的设置生效。
[root@sample ~]# /etc/rc.d/init.d/sshd restart　 ← 重新启动SSH服务器

Stopping sshd:　　　　　　　　　　　　 [ OK ]Starting sshd:　　　　　　　　　　　　 [ OK ]　 ← SSH服务器重新启动成功
这时，在远程终端（自用PC等等）上，用 SSH客户端软件以正常的密码的方式是无法登录服务器的。为了在客户能够登录到服务器，我们接下来建立SSH用的公钥与私钥，以用于客户端以“钥匙”的方式登录SSH服务器。
SSH2的公钥与私钥的建立
登录为一个一般用户，基于这个用户建立公钥与私钥。（这里以 centospub用户为例）
[root@sample ~]# su – centospub　← 登录为一般用户centospub

[centospub@sample ~]$ ssh-keygen -t rsa 　← 建立公钥与私钥Generating public/private rsa key pair.Enter file in which to save the key (/home/kaz/.ssh/id_rsa): 　← 钥匙的文件名，这里保持默认直接回车Created directory ‘/home/kaz/.ssh’Enter passphrase (empty for no passphrase): 　← 输入口令Enter same passphrase again: 　 ← 再次输入口令Your identification has been saved in /home/kaz/.ssh/id_rsa.Your public key has been saved in /home/kaz/.ssh/id_rsa.pub.The key fingerprint is:tf:rs:e3:7s:28:59:5s:93:fe:33:84:01:cj:65:3b:8e centospub@sample.centospub.com
然后确认一下公钥与密钥的建立，以及对应于客户端的一些处理。
[centospub@sample ~]$ cd ~/.ssh　 ← 进入用户SSH配置文件的目录
[centospub@sample .ssh]$ ls -l　 ← 列出文件total 16-rw——- 1 centospub centospub 951 Sep 4 19:22 id_rsa　 ← 确认私钥已被建立-rw-r–r– 1 centospub centospub 241 Sep 4 19:22 id_rsa.pub　 ← 确认公钥已被建立
[centospub@sample .ssh]$ cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys　 ← 公钥内容输出到相应文件中
[centospub@sample .ssh]$ rm -f ~/.ssh/id_rsa.pub　 ← 删除原来的公钥文件

[centospub@sample .ssh]$ chmod 400 ~/.ssh/authorized_keys　 ← 将新建立的公钥文件属性设置为400
然后，将私钥通过安全的方式转移到欲通过SSH连接到服务器的PC上。（如 Putty 等软件转换私匙，即可用私匙登陆）

© 2010, 酷胖优惠码. 版权所有.

赶紧订阅“酷胖优惠码”,不错过一个省钱的机会！~

漏洞分析：nginx默认以cgi的方式支持php的运行，譬如在配置文件当中可以以

location ~ \.php$ {
root html;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
include fastcgi_params;
}

的方式支持对php的解析，location对请求进行选择的时候会使用URI环境变量进行选择，其中传递到后端Fastcgi的关键变量 SCRIPT_FILENAME由nginx生成的$fastcgi_script_name决定，而通过分析可以看到$fastcgi_script_name是直接由URI环境变量控制的，这里就是产生问题的点。而为了较好的支持PATH_INFO的提取，在PHP 的配置选项里存在cgi.fix_pathinfo选项，其目的是为了从SCRIPT_FILENAME里取出真正的脚本名。
那么假设存在一个http://www.80sec.com/80sec.jpg，我们以如下的方式去访问

http://www.80sec.com/80sec.jpg/80sec.php

将会得到一个URI

/80sec.jpg/80sec.php

经过location指令，该请求将会交给后端的fastcgi处理，nginx为其设置环境变量SCRIPT_FILENAME，内容为

/scripts/80sec.jpg/80sec.php

而在其他的webserver如lighttpd当中，我们发现其中的SCRIPT_FILENAME被正确的设置为

/scripts/80sec.jpg

所以不存在此问题。
后端的fastcgi在接受到该选项时，会根据fix_pathinfo配置决定是否对SCRIPT_FILENAME进行额外的处理，一般情况下如果不对fix_pathinfo进行设置将影响使用PATH_INFO进行路由选择的应用，所以该选项一般配置开启。Php通过该选项之后将查找其中真正的脚本文件名字，查找的方式也是查看文件是否存在，这个时候将分离出SCRIPT_FILENAME和PATH_INFO分别为

/scripts/80sec.jpg和80sec.php

最后，以/scripts/80sec.jpg作为此次请求需要执行的脚本，攻击者就可以实现让nginx以php来解析任何类型的文件了。

POC： 访问一个nginx来支持php的站点，在一个任何资源的文件如robots.txt后面加上/80sec.php，这个时候你可以看到如下的区别：

访问http://www.80sec.com/robots.txt

HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Thu, 20 May 2010 10:05:30 GMT
Content-Type: text/plain
Content-Length: 18
Last-Modified: Thu, 20 May 2010 06:26:34 GMT
Connection: keep-alive
Keep-Alive: timeout=20
Accept-Ranges: bytes

访问访问http://www.80sec.com/robots.txt/80sec.php

HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Thu, 20 May 2010 10:06:49 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: keep-alive
Keep-Alive: timeout=20
X-Powered-By: PHP/5.2.6

其中的Content-Type的变化说明了后端负责解析的变化，该站点就可能存在漏洞。

漏洞厂商：http://www.nginx.org

解决方案：

我们已经尝试联系官方，但是此前你可以通过以下的方式来减少损失

关闭cgi.fix_pathinfo为0

(修改 /usr/local/php/etc/php.ini 搜索 cgi.fix_pathinfo 去掉最前面的;符号)

或者

if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
}

PS: 鸣谢laruence大牛在分析过程中给的帮助

原文：http://www.80sec.com/nginx-securit.html

© 2010, 酷胖优惠码. 版权所有.

赶紧订阅“酷胖优惠码”,不错过一个省钱的机会！~

4月底在NameCheap用优惠码注册了一个JunGeHost.com，并且免费赠送了一年的Positive SSL，于是顺便搞上SSL，这样传输数据也更加安全。

SSL需要有一个独立IP，也就是一个独立IP只能对应一个SSL。（什么是SSL？）

一、准备工作

1、需要Nignx已经编译ssl 模块(lnmp一键安装包已经编译安装上)，如果没有需要重新编译，方法可以参考Nginx无缝升级。

2、再NameCheap已注册/转移域名或购买主机产品，且购买是在购物车上添加了免费SSL。

二、使用OpenSSL生成证书 (注：一下蓝色加粗字为执行时输入的命令！)

1、生成RSA密钥

li88-99:~# cd /usr/local/nginx/conf/
li88-99:/usr/local/nginx/conf# openssl genrsa -out jungehost.pem 2048

Generating RSA private key, 2048 bit long modulus
…..+++
.+++
e is 65537 (0×10001)

2、生成一个证书请求

li88-99:/usr/local/nginx/conf# openssl req -new -key jungehost.pem -out jungehost.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–

Country Name (2 letter code) [AU]:CN //输入国家简写
State or Province Name (full name) [Some-State]:ShanDong //省市
Locality Name (eg, city) []:JiNan                             //城市
Organization Name (eg, company) [Internet Widgits Pty Ltd]:JunGe Host   //组织名称或公司名称
Organizational Unit Name (eg, section) []:          //可以不用填
Common Name (eg, YOUR name) []:jungehost.com     //输入要配置ssl的域名，如jungehost.com，注意jungehost.com 和www.jungehost.com 属于不同的域名。
Email Address []:admin@jungehost.com                     //输入邮箱

Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:         //可以不用填
An optional company name []:             //可以不用填

按上面的注释输入相关信息后，会在目录下面生成jungehost.csr这个文件，执行cat jungehost.csr
将下面以—–BEGIN CERTIFICATE REQUEST—–开头到—–END CERTIFICATE REQUEST—–结尾的全部内容复制下来。需要使用这个jungehost.csr去NameCheap生成数字证书。

li88-99:/usr/local/nginx/conf# cat jungehost.csr
—–BEGIN CERTIFICATE REQUEST—–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—–END CERTIFICATE REQUEST—–

三、NameCheap生成数字证书

1、登录NameCheap.com后，会在后台首页提示你有一个未激活的SSL认证产品，如下图：

点击上面的“SSL Certificates Page”链接。

2、激活SSL证书

点击“Activate Now”即可激活SSL产品。

3、向CA(数字证书颁发机构)提交OpenSSL生成的证书。

Web服务器软件没有Nginx，只有选择other，下面的csr，填写jungehost.csr的内容，即前面要求复制下来的以—–BEGIN CERTIFICATE REQUEST—–开头到—–END CERTIFICATE REQUEST—–结尾的内容。

4、选择域名管理员邮箱，邮箱必须是能够接收到邮件。同时确认一下生成证书时填写的信息是否正确。

5、提交订单

检查一下上面的信息是否正确，然后点击“Submit Order”。

6、邮箱验证

过几分钟或10几分钟邮箱里就会受到一封Comodo寄来的验证邮件，如下图：

点开上面的链接，然后输入上面的优惠码。

验证完成！

7、验证完成后几分钟就会受到Comodo寄来的数字证书。

四、Nginx虚拟主机设置SSL

1、下载邮件附件里的jungehost_com.zip，上传到/usr/local/nginx/conf 下面。

一般情况下，直接用证书签发机构颁发的 crt 文件即可，比如 jungehost_com.crt ，但是有很多证书签发机构默认在 Firefox 中文版下是不会信任的，经过仔细研究，终于发现，原来得把证书签发机构办法给你的 crt 文件也放入才行。(摘自：Showfom)

方法如下：

合并 PositiveSSLCA.crt （证书签发机构的 crt） 和 jungehost_com.crt (自己域名的 crt)

cat  jungehost_com.crt >> PositiveSSLCA.crt

mv PositiveSSLCA.crt  jungehost_com.crt

或者直接用记事本打开，然后复制 PositiveSSLCA.crt 里面所有的内容到 jungehost_com.crt 最下方即可。

2、Nginx虚拟主机添加SSL

server
{
listen      443;
server_name jungehost.com www.jungehost.com;
index index.html index.htm index.php;
root  /home/wwwroot/jungehost;

ssl on;
ssl_certificate jungehost_com.crt;
ssl_certificate_key jungehost.pem;

location ~ .*\.(php|php5)?$
{
fastcgi_pass  unix:/tmp/php-cgi.sock;
fastcgi_index index.php;
fastcgi_param  HTTPS on;
include fcgi.conf;
}
access_log  off;
}

将以上内容按照自己的配置修改，添加到在nginx.conf 里任意一个server {}的后面即可。

然后执行/usr/local/nginx/sbin/nginx -t 检查配置是否有错误，执行kill -HUP `cat /usr/local/nginx/logs/nginx.pid`重启。

li88-99:/usr/local/nginx/conf# /usr/local/nginx/sbin/nginx -t
the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
configuration file /usr/local/nginx/conf/nginx.conf test is successful
li88-99:/usr/local/nginx/conf#kill -HUP `cat /usr/local/nginx/logs/nginx.pid`

五、测试

在Chrome、Firefox、IE7下面访问 https://jungehost.com/ 测试均没有问题，欢迎各位测试反馈结果。

PS：需要SSL且不想花费太多的话，可以选择NameCheap注册或转入域名获得免费SSL，VPS侦探也会在网站上不定期更新一些NameCheap的域名优惠码。

© 2010, 酷胖优惠码. 版权所有.

赶紧订阅“酷胖优惠码”,不错过一个省钱的机会！~

fatku注：挺不错的，设置一个cron去定时备份到Godaddy的空间，嗯，不错。

tar cf - 需要备份的目录路径 | zip -1 -q -P 你的密码 - - | ncftpput -c -V -u ftp用户名 -p ftp密码 ftp.example.com /ftp上文件名
if [ $? -eq 0 ]; then
echo '备份成功'
fi

注意需要安装tar,zip和ncftp
这个备份方法有3个优点。。。
1. 不会生成本地文件，在备份大量文件时很有用，不会空间不足，而且IO占用低，对网站运行影响小。。
2. 备份的文件是压缩的，网站页面，数据库数据的压缩率还是很客观。
3. 备份的文件是加密的，主要你的密码足够复杂，放在ftp上很安全。。。

追记：
Zip格式所能支持的最大文件大小为4G！
我尝试过7za和rar，但都对管道支持不好
所以对于有4G以上数据的情况下，就得用gzip或者bzip2压缩了
但这样似乎就无法设置密码保护，有点遗憾

其实不怕麻烦的话，还是可以设置加密的，
就是在中间加上一个gpg，这个对管道进出支持很好。

转自：http://www.hostloc.com/thread-17196-1-1.html

© 2010, 酷胖优惠码. 版权所有.

赶紧订阅“酷胖优惠码”,不错过一个省钱的机会！~

如果默认Nginx配置的时候设置网站访问用户和用户组都是www，那么网站目录下的文件尽量也要用www www用户和属组，否则会引起不必要的麻烦。

但是默认用root登陆，有时候忘记切换到www，用wget下载或生成的文件权限都是root的，每次要修改比较麻烦，这里介绍一个简单的方法。

网站根目录不正确的权限除了会带来安全性，还可以导致类似执行请求动作，连接信息必需提供 这样的ftp问题，该如何正确设置网站根目录的权限呢？

今天这里主要讨论给网站根目录添加sgid权限

给目录添加sgid 权限，可以使在该目录下创建文件或文件的所属组继承该目录的所属组.

假设该目录的所属组是www,那么添加了sgid权限后，无论你是用什么账户创建文件，其所属组都是www

下面提供下给目录添加sgid权限的方法

chmod g+s .

ll -d .

看看所属组的权限有没有 s 位 ，比如

drwxr-sr-x 2 www www 4096 Apr 22 11:58

如此以后在网站根目录下创建文件的所属组就是www,无论你是用什么账户创建的.

原文：http://www.shocr.com/varwww-html-sgid/

© 2010, 酷胖优惠码. 版权所有.

赶紧订阅“酷胖优惠码”,不错过一个省钱的机会！~

安装很方便，

wget http://myget.sourceforge.net/release/myget-0.1.2.tar.gz

解压

tar zxvf myget-0.1.2.tar.gz

进入目录

cd myget

然后编译安装

./configure
make && make install

输入mytget –help查看帮助

注意命令是mytget 而不是myget

原文：http://www.hostloc.com/viewthread.php?tid=18105

© 2010, 酷胖优惠码. 版权所有.

赶紧订阅“酷胖优惠码”,不错过一个省钱的机会！~

检查一下/etc/php.ini文件，发现extension_dir=/usr/lib/php/modules，而那个目录是不存在的。由于主机是64bit，库应该是在/usr/lib64/，于是，建一个软链接就行了：

ln -s /usr/lib64/php/ /usr/lib

然后重启httpd，

service httpd restart

就可以正常安装Wordpress了。

//不知道这是不是普遍问题……anyway，post出来希望能有所帮助……

© 2010, 酷胖优惠码. 版权所有.

赶紧订阅“酷胖优惠码”,不错过一个省钱的机会！~

那么 在 nginx.conf 文件中对应的 server 段中 添加

location ^~ /test/ {
auth_basic TEST-Login;
auth_basic_user_file /root/htpasswd;
}

再在 root 的主目录中 /root/ 创建一个新文件 htpasswd
此文件的书写格式是
用户名:密码
每行一个账户
并且 密码必须使用函数 crypt(3) 加密

官方档说 可以用 Apache 的 htpasswd 工具来创建密码文件
当然也可以使用perl 创建密码文件 新建 一个 pw.pl 文件 其内容：

#!/usr/bin/perl
use strict;

my $pw=$ARGV[0] ;
print crypt($pw,$pw)."\n";

然后执行 chmod +x pw.pl
./pw.pl password
papAq5PwY/QQM
papAq5PwY/QQM 就是password 的crypt()密码
然后 将上面用 perl 生成的 加密后的密码
按照
用户名:密码
的格式写到 htpasswd 文件中

这样既完成了设置

如果 不用
^~ /test/
而用
/test
的话 那么 将只能对目录进行验证 直接访问其下的文件 将不会弹出登录验证

还有 htpasswd 这个文件的名字可以 自己随意设置
用户名 也是 自己随意设置 无需加密
密码必须使用函数 crypt(3) 加密

原文：http://www.miiidc.com/thread-57-1-1.html

© 2010, 酷胖优惠码. 版权所有.

赶紧订阅“酷胖优惠码”,不错过一个省钱的机会！~