VPS侦探论坛 › LNMP一键安装包 › 关于一键安装包的安全性

kkfgef 发表于 2015-12-20 16:02:13

关于一键安装包的安全性

安装了一键lnmp1.2的，按里面的流程选择了nginx/1.8.0，PHP5.5.25，mysql5.5.42+MySQL InnoDB。
其它的都是按默认配置安装的。
请问一下，如果在这些版本没有漏洞危险的情况下，lnmp1.2安装出来的环境应该是99.99%安全的吧（上传的网站文件程序忽略）
PHP已编译模块检测 Coredateereglibxmlopensslpcresqlite3zlibbcmathctypecurldomfilter
ftpgdgettexthashiconvjsonmbstringmcryptSPLsessionstandardpcntlmysqlnd
PDOpdo_mysqlpdo_sqlitePharposixReflectionmysqlishmopSimpleXMLsoapsocketsmysqlsysvsem
tokenizerxmlxmlreaderxmlrpcxmlwriterzipcgi-fcgimhashZend Guard LoaderZend OPcache
被禁用的函数（disable_functions）： passthruexecsystemchrootscandir
chgrpchownshell_execproc_openproc_get_status
popenini_alterini_restoredlopenlog
syslogreadlinksymlinkpopepassthrustream_socket_server
另外，我好像没安装FTP，怎么在探针里提示……FTP支持：√呢？
问这个问题是看到lnmp去掉nginx上传目录的PHP执行权限
另外，关于这个日志切割的，我是通过修改nginx的nginx.conf配置添加域名的，不同的域名access_log/home/wwwlogs/access不同.log
这样的之前切割的那个命令就不起作用了，有什么好的办法吗，这样修改增加不同网站配置的。

licess 发表于 2015-12-20 20:33:34

探针里的ftp是php上的ftp组件不是系统里的
去掉php执行权限，参考：https://www.vpser.net/security/lnmp-remove-nginx-php-execute.html
日志切割没法通过修改nginx.conf来实现只能通过另外的脚本，参考：http://lnmp.org/faq/lnmp-1-2-tools.html

kkfgef 发表于 2015-12-20 21:27:41

标题

版主似乎有点答非所问。
重新简单问
lnmp1.2所安装的环境如果N。M。PHP三版本没漏洞除外本身编译的其它地方应该没漏洞了吧？
若直接通过配置添加域名网站，并把日志另以各域名为名的命名.log，像这样的还能分割吗？

kkfgef 发表于 2015-12-20 21:27:43

标题

版主似乎有点答非所问。
重新简单问
lnmp1.2所安装的环境如果N。M。PHP三版本没漏洞除外本身编译的其它地方应该没漏洞了吧？
若直接通过配置添加域名网站，并把日志另以各域名为名的命名.log，像这样的还能分割吗？

kkfgef 发表于 2015-12-20 21:37:14

用户可以仅修改log_files_name后面的要切割的日志文件名就直接使用。

#设置要切割的日志的名字，如果日志目录下面的日志文件名为vpser.net.log，则填写vpser.net，每个日志名用空格分隔

也许这可能是我要的结果，明天测试一下

kkfgef 发表于 2015-12-20 21:37:15

标题

用户可以仅修改log_files_name后面的要切割的日志文件名就直接使用。

#设置要切割的日志的名字，如果日志目录下面的日志文件名为vpser.net.log，则填写vpser.net，每个日志名用空格分隔

也许这可能是我要的结果，明天测试一下

kkfgef 发表于 2015-12-20 21:39:14

标题

关于日志切割的，能不能切割后直接压缩为文件呢。这样可节省空间，同时也方便下载。

licess 发表于 2015-12-20 22:02:19

回复 7# 的帖子

除了nginx、php、mysql外还有很多依赖包，没法保证所有的都安全，就行前段时间的openssl的Heartbeat漏洞，glibc的ghost漏洞
日志压缩再用tar 压缩一下就行了

smartweb 发表于 2015-12-21 17:09:37

php也是时不时要旧版本打补丁的，里面有一个upgrade脚本单独升级了。

kkfgef 发表于 2015-12-21 20:13:31

原帖由 licess 于 2015-12-20 22:02 发表 https://bbs.vpser.net/images/common/back.gif
除了nginx、php、mysql外还有很多依赖包，没法保证所有的都安全，就行前段时间的openssl的Heartbeat漏洞，glibc的ghost漏洞
日志压缩再用tar 压缩一下就行了
openssl的Heartbeat漏洞，glibc的ghost漏洞这些的在1.2是否都有修复？
日志的，不能自动分割的时候压缩吗？

licess 发表于 2015-12-21 20:33:49

回复 10# 的帖子

这个是跟随你系统的，只要是网络源肯定就会更新修复上

kkfgef 发表于 2015-12-21 20:45:38

原帖由 licess 于 2015-12-21 20:33 发表 https://bbs.vpser.net/images/common/back.gif
这个是跟随你系统的，只要是网络源肯定就会更新修复上
刚用https://www.vpser.net/category/security中的
CentOS/RHEL系统：yum install glibc -y
提示了更新，最后Complete!
请问这是更新了吗？1.2的应该有带更新了吧， 我用的是CENTOS6.5，阿里云的、
另外，
LNMP下防跨站、跨目录安全设置，仅支持PHP 5.3.3以上版本LNMP1.2,这个的是直接通过修改nginx.conf这个配置中的server{}这里添加不同域名网站的，当然在lnmp命令下的虚拟机中列出不表来。这样的设置
还能需要通过设置PHP。INI中来防跨目录吗？
lnmp去掉nginx上传目录的PHP执行权限我在一文件夹中的子文件里有一个是上传文件的PHP程序，那么我
如果
location ~ /attachments/.*\.(php|php5)?$ {
deny all;
}
这样是不是把attachments这个文件夹和其下的子目录PHP执行权限都去掉了？

licess 发表于 2015-12-22 11:26:48

回复 12# 的帖子

11楼已经说了，只要安装lnmp肯定就自动更新上了

防跨目录1.2，1.3上默认都有

包含子目录

查看完整版本: 关于一键安装包的安全性