2、使用tmpfs作爲緩存加速緩存的文件目錄
[root@web02 ~]# mount -t tmpfs tmpfs /dev/shm -o size=256m
[root@web02 ~]# mount -t tmpfs /dev/shm/ /tmp/eaccelerator/
[root@web02 ~]# df -h
Filesystem Size Used Avail Use% Mounted on
/dev/sda3 6.6G 3.9G 2.5G 62% /
/dev/sda1 190M 36M 145M 20% /boot
tmpfs 256M 0 256M 0% /dev/shm
/dev/shm 238M 0 238M 0% /tmp/eaccelerator
3、php.ini參數調優
[root@web02 ~]# ls /home/oldboy/tools/php-5.5.32|grep php.ini
php.ini-development
php.ini-production
safe_mode = On
;是否啓用安全模式。
;打開時,PHP將檢查當前腳本的擁有者是否被操作的文件的擁有者相同
safe_mode_gid = Off
disable_functions = system,passthru,exec,shell_exec,popen,phpinfo
disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir,rmdir,rename,file,file_get_contents,fpus,fwrite,chgrp,chmod,chown
企業面試題:
expose_php = Off
;是否暴露PHP被安裝在服務器上的事實(在http中加上其前面)
;它不會有安全上的直接危險,但它使得客戶端知道服務器上安裝了PHP
register_globals = Off
;是否將E,G,P,C,S 變量註冊爲全局變量
;打開該指令可能會導致嚴重的安全問題,除非你的腳本經過非常仔細的檢查。
;推薦使用預定義的超全局變量:$_ENV.$_GET,$_POST,$_COOKIE,$_SERVER
;該指令受variables_order指令的影響。
3.6 打開magic_quotes_gpc 來防止SQL注入
magic_quotes_gpc = Off
magic_quotes_gpc = On
display_errors = Off
;是否將錯誤信息作爲輸出的一部分顯示給終端用戶,應用調試時,可以打開,方便查看錯誤
;最終發佈的web站點上,強烈建議你關掉這個特性,並使用錯誤日誌代替
display_errors = Off (php5.3.27默認即爲display_errors = Off)
error_reporting = E_WARNING & E_ERROR
log_errors = On (php5.3.27 默認即爲log_errors = On)
error_log = /app/logs/php_error.log
4、部分資源限制參數優化
max_execution_time = 30
;Maximum amout of memory a script may consume (128MB)
;每個腳本最大允許執行時間(秒),0表示沒有限制
;這個參數有助於阻止劣質腳本無休止的佔用服務器資源。
;該指令僅影響腳本本身的運行時間,任何其他花費在腳本運行之外的事件
;如果system()/sleep()函數的使用、數據庫查詢、文件上傳等,都不包括在內
;在安全模式下,你不能用int_set()在運行時改變這個設置
memory_limit = 128M
;一個腳本所能狗申請到的最大內存字節數(可以使用K/M作爲單位)
;這有助於防止劣質腳本消耗完服務器上的所有內存。
;要能夠使用該指令必須在編譯時使用“--enable-memory-limit”配置選項
;如果要取消內存限制,則必須將其設爲-1
;設置了該指令後,memory_get_usage()函數將變爲可用
max_input_time = -1
;每個腳本解析輸入數據(POST,GET,upload)的最大允許時間(秒)
;-1 表示不限制。
max_input_time = 60
upload_max_filesize = 2M;
;上載文件最大許可大小,自己改吧,一些圖片論壇需要這個更大的值。
5、部分安全優化參數
allow_url_fopen = Off
昨日,80Sec 爆出Nginx具有嚴重的0day漏洞,詳見《Nginx文件類型錯誤解析漏洞》。只要用戶擁有上傳圖片權限的Nginx+PHP服務器,就有被入侵的可能。
其實此漏洞並不是Nginx的漏洞,而是PHP PATH_INFO的漏洞,詳見:http://bugs.php.net/bug.php?id=50852&edit=1
例如用戶上傳了一張照片,訪問地址爲http://www.domain.com/images/test.jpg,而test.jpg文件內的內容實際上是PHP代碼時,通過http://www.domain.com/images/test.jpg/abc.php就能夠執行該文件內的PHP代碼。
方法①、修改php.ini,設置cgi.fix_pathinfo = 0;然後重啓php-cgi。此修改會影響到使用PATH_INFO僞靜態的應用,例如我以前博文的URL:http://blog.zyan.cc/read.php/348.htm 就不能訪問了。
方法③、對於存儲圖片的location{...},或虛擬主機server{...},只允許純靜態訪問,不配置PHP訪問。例如在金山逍遙網論壇、
SNS上傳的圖片、附件,會傳送到專門的圖片、附件存儲服務器集羣上(pic.xoyo.com),這組服務器提供純靜態服務,無任何動態PHP配置。各大網站幾乎全部進行了圖片服務器分離,因此Nginx的此次漏洞對大型網站影響不大。
6、調整php sesson 信息存放類型和位置
session.save_handler = files
;存儲和檢索與會話關聯的數據的處理器名字,默認爲文件("files")
;如果想要使用自定義的處理器(如基於數據庫的處理器),可用“user”
;設爲“memcached”則可以使用memcached作爲會話處理器(需要指定“--enable-memcache-seesion”編譯選項)
;session.save_path = "/tmp"
;傳遞給存儲處理器的參數,對於files處理器,此值是創建會話數據文件的路徑。
session.save_handler = memcache
session.save_path = "tcp://10.0.0.18:11211"
提示:
1)10.0.0.18:11211 爲memcached數據庫緩存的IP及端口。
2)上述適合LNMP,LAMP環境。
3)memcached服務器也可以是多臺通過hash調度。
配置php.ini *****338 行 設置爲 safe_mode = On #開啓安全模式 435 行 設置爲 expose_php = Off #關閉版本信息 538 行 設置爲 display_errors = Off #錯誤信息控制,測試的時候開啓 #報錯的級別在521行 默認爲 error_reporting = E_ALL & ~E_DEPRECATED 559 行 設置爲 log_errors = On #打開log 日誌 643 行 設置爲 error_log = /app/logs/php_errors.log #log日誌得路徑(需log_errors 爲 On 才能生效) *****703 行 設置爲 register_globals = Off #關閉全局變量(默認即爲關閉,萬萬不能開啓) *****756 行 設置爲 magic_quotes_gpc = On #防止SQL注入 902 行 設置爲 allow_url_fopen = Off #打開遠程打開(禁止) 854 行 設置爲 cgi.fix_pathinfo=0 #防止Nginx文件類型錯誤解析漏洞 #可修改參數 444 max_execution_time = 30 #單個腳本最大運行時間,單位是秒(****開發插入程序時可能會需要把數值調大) 454 max_input_time = 60 #單個腳本等待輸入的最長時間 465 memory_limit = 128M #單個腳本最大使用內存,單位爲K或M(128M稍大可以適當調小) 891 upload_max_filesize = 2M #上傳文件最大許可 894 max_file_uploads = 20 #可以通過單個請求上載的最大文件數 |
php-fpm.conf優化配置
修改後 | 修改前 |
pid = /app/log/php-fpm.pid error_log = /app/logs/php-fpm.log log_level = error events.mechanism = epoll listen.owner = www listen.group = www pm.max_children = 1024 pm.start_servers = 14 pm.min_spare_servers = 5 pm.max_spare_servers = 20 pm.process_idle_timeout = 15s; pm.max_requests = 2048 slow = /app/logs/$pool.log.slow rlimit_files = 32768 request_slowlog_timeout = 10 | ;pid = run/php-fpm.pid ;error_log = log/php-fpm.log ;log_level = notice ;events.mechanism = epoll ;listen.owner = www ;listen.group = www pm.max_children = 5 pm.start_servers = 2 pm.min_spare_servers = 1 pm.max_spare_servers = 3 ;pm.process_idle_timeout = 10s; ;pm.max_requests = 500 ;slowlog = log/$pool.log.slow ;rlimit_files = 1024 ;request_slowlog_timeout = 0 |