shirlyyi的半IT生活

　　當服務器/主機【被】提交了漏洞到烏云網上該怎么辦?有人給出的答案是采用禁用函數的方法來保證服務器環境的安全。

　　但是，禁用函數真的是最好的選擇么?不是的!

　　AMH面板的開發者Amysql告訴我們，更好的選擇是Chroot!

　　AMH面板是一款LNMP面板，一方面，為了方便版本升級，另一方面，面板是開發者一個人開發的，所以AMH沒有像kangle,WDCP,LUM,webmin等采用二進制文件實現平臺的環境，而是使用基于AMP的PHP程序來控制平臺。這樣，就要考慮到PHP的安全問題了。由于PHP寫成的程序，所以需要大量的的使用exec,shell_exec兩個函數來實現面板和系統的信息交換處理。顯然，小蔣給出的限制函數的方法并不適合AMH這樣的面板。那么，Amysql如何解決PHP的運行安全問題呢?

　　Amysql采用了這樣的方法。對于AMH下的虛擬主機，一律開啟Chroot來保證安全，而控制臺PHP則關閉chroot來保證面板的正常運作。

　　說了這么多，那么什么是Chroot呢?

　　據維基百科的詞條解釋，Chroot本是Unix下的一個命令，但是，在PHP-FPM中，也是引入了這一功能。

　　維基詞條：chroot是在unix系統的一個操作，用于對當前的程序和它的子進程改變真實的磁盤根目錄。

　　Chroot的工作原理是什么呢?

　　由于LNMP環境下，PHP-FPM與Nginx的通信只能通過CGI實現，所以，如果你在FPM設置中對文件的根目錄進行修改，那么，你的PHP程序就無法跨越這個指定的根目錄。而面板所在的虛擬主機，由于沒有開啟Chroot，所以使用的根目錄依然是系統的根目錄 /

　　具體解釋一下?

　　就拿我用的AMH面板的控制臺和普通虛擬主機來說明。控制臺文件放在/home/Wwwroot/Index/Web文件夾下，普通主機的文件放在/home/wwwroot/Domain/web文件夾下。對于控制臺程序，由于沒有開啟Chroot，所以，這個PHP文件的實際位置和運行位置相同，都是/home/wwwroot/Index/web/，而其根目錄就是/;對于普通虛擬主機，開啟Chroot,那么，雖然，運行的文件的位置是/home/wwwroot/domain/web/index.php，但是經過Chroot的導向，在PHP程序中，實際認為的文件地址是/web/index.php。同時在/home/wwwroot/domain/為了使入侵者認為自己進入的是根系統，而仿照Unix的文件夾命名規則，創建了etc,usr,tmp,lib等文件夾，如同為PHP程序創建了一個沙盒.所以，使用Chroot的用戶不用害怕中國軍刀，因為他只能在沙盤內起作用，無法對主系統產生影響，從而造成經濟損失。

　　沙盒(英語：sandbox)，有時也稱為沙箱，是為一些來源不可信、具備破壞力或無法判定程序意圖的程序提供試驗的環境。然而，沙盒中的所有改動對操作系統不會造成任何損失。通常，這種技術被計算機技術人員廣泛使用，尤其是計算機殺毒軟件行業，沙盒是一個觀察計算機病毒的重要環境。

　　我們都知道，在類Unix系統中，所有程序，甚至設備，都是由文件表示，我們所使用的ls,wget命令，事實上都對應著一個特定的可執行文件，而當我們使用Chroot后，由于/home/wwwwroot/domain/usr下沒有相應的文件，也就無法執行相應的命令。從而保證系統信息的安全。

　　與禁用函數相比，Chroot有什么優點呢?

　　禁用函數是針對整個PHP程序而言的，所有需要通過PHP程序進行解析的文件，都會受到禁用函數的設置。網站程序不同，那么有可能需要的函數不同，不同的虛擬主機無法單獨設置。而Chroot可以根據不同的虛擬主機,進行特異化設置。對于需要使用特殊函數的程序，可以關閉Chroot，來保證網站程序的正常運轉;程序不需要調用特殊的程序，就可以開啟Chroot模式;如果只是要啟用一個或兩個特定的程序，你可以仿照如下的過程添加函數。比如說，當我們開啟Chroot時，PHP程序是無法使用sendmail()函數來發信的，我們可以使用mini_sendmail替代sendmail來修復發信。

　　cd /home/wwwroot/www.ixiqin.com/

　　cp -P /bin/bash /bin/sh bin

　　cp /etc/passwd /etc/group etc

　　cd /tmp

　　wget http://centos.googlecode.com/files/mini_sendmail-1.3.6.tar.gz

　　tar xzf mini_sendmail-1.3.6.tar.gz

　　cd mini_sendmail-1.3.6

　　make

　　cp mini_sendmail /home/wwwroot/www.ixiqin.com/usr/sbin/sendmail

　　以上代碼，在/tmp目錄下編譯mini_sendmail，然后將生成的可執行文件復制到chroot后目錄下相應位置，以保證發件系統的正常運行。

　　非AMH用戶如何使用Chroot功能

　　如果你是AMH的用戶，那你就省心了，因為Amysql將這個功能集成到了模塊里，而且默認情況下每一個虛擬主機都是開啟了安全模式的，你只需要在后臺下載AMChroot模塊，管理即可。如果你不是AMH用戶，也可以使用這個功能，只需要修改Nginx和PHP-FPM的配置文件即可。由于要把domain站點限制在/home/wwwroot/domain，所以對于php-fpm，此網站根目錄已經變成是/web，所以我們需要更改Nginx傳遞給php-fpm的網站根目錄地址。

　　找到fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;，更改為fastcgi_param SCRIPT_FILENAME /web$fastcgi_script_name;同時，將php-fpm.conf文件中的Chroot改為chroot = /home/wwwroot/domain

　　有什么需要注意的呢?

　　Tips One:Chroot模式下，各種探針，如雅黑探針將會失效，報錯。

　　Tips Two:Chroot模式可用做在線shell模擬器，安全真實。

　　綜合以上分析，我建議，與其使用死板的禁用函數，我們為什么不試試更加好用的Chroot。

　　導語：美國《華爾街日報》網絡版上周五刊登題為《網購市場受益中國力量》(Internet Shopping Gets a Boost From China)的評論文章稱，隨著國內市場的競爭日益激烈，中國電子商務網站開始把發展目標瞄向海外。而由于這類計劃有望幫助小型出口企業尋找更多客戶，因此也得到了政府的支持。

　　以下為文章全文：

　　中國互聯網零售商的根據地今年已經成為全球第一大電子商務市場。他們下一個目標瞄準了美國，以及其他所有地方。

　　京東商城披露的數據顯示，該公司的國際網站過去一年已經實現了數百萬元人民幣的銷售額。阿里巴巴2010年推出的全球速賣通也在新興市場實現了迅猛增長，僅在俄羅斯就吸引了70萬注冊用戶。

　　中國企業之所以轉戰海外市場，一定程度上源于本土市場的激烈競爭。“在中國，價格是最重要的因素，根本沒有多少用戶忠誠度可言。”京東商城出口業務負責人劉思軍說，“而在中國以外，服務則更加重要。”

　　京東商城在海外的毛利率大約為40%至50%，遠高于本土電子商務公司15%至20%的水平。

　　一些有探索精神的中國人很早以前就開始通過eBay等平臺向海外銷售商品。現在，大企業也開始試水這一領域。不過，這些中國公司也都承認，他們目前無法對亞馬遜等美國網絡零售商產生太大威脅。

　　不過，他們還是為消費者提供了某些細分領域的購物選擇。蘭亭集勢最初銷售結婚禮服，后來又拓展到根據水溫變換光照顏色的水龍頭等產品。

　　京東商城表示，中文書在海外很暢銷。酸奶機和中式面條機等海外市場難得一見的電子產品也賣得很好。

　　2013年上半年，接發材料和假發大約占到速賣通美妝和健康類產品總銷量的68%。美國買家大約占到75%。

　　去年，中國電子商務市場的規模已經與美國市場相似。根據艾瑞咨詢的數據，中國市場仍在快速增長，第三季度同比增幅達到42%，遠超美國電子市場同期13%的增長。

　　在中國大陸企業走向海外的過程中，由于地理位置接近且語言相通，所以中國香港和中國澳門成為了他們的首選目標。唯品會就于本月在香港和澳門成立了網站。

　　一年前，海外擴張還不在唯品會董事會的考慮之列，但他們現在已經開始探索這種選擇。唯品會董事、紅杉資本董事總經理劉星說：“電子商務是一項全球性業務，很多中國電子商務公司都有國際野心。”

　　當某投資基金的管理合伙人季衛東準備為他的第一個孩子在香港裝修一套公寓時，他的妻子在淘寶網上購買了3盞吸頂燈。他認為，同樣的燈在香港的價格要貴上10倍。

　　“中國電子商務網站為中國之外的用戶提供了價值。”曾經擔任摩根士丹利亞洲互聯網和媒體研究部門主管的季衛東說。中國政府也希望為這一新的增長領域提供支持，認為這可以幫助小型出口商尋找客戶。

　　【導讀】近日，騰訊發布了優化版的手機QQ，優化后的手機QQ優化后的手機QQ增加了聯系人在線/離線狀態顯示，用戶可通過在個性簽名前增加“在線”和“離線”的文字標簽，來區分好友的登陸狀態。盡管優化版本已較此前做了相應整改，但在昨日上線之后，其又收到了上萬條一星級的差評。

　　兩周之內，騰訊手機QQ完成了兩次更新。上一次更新恐怕是手機QQ版本遭罵最狠的一次，原本習慣去手機上看好友在線與否的用戶看不到了，甚至有 笑話說有人因為無法得到男友回話得了抑郁癥。最新版本4.0.1中，用戶狀態依然沒有在頭像中做區分，但名字下面多了個區分狀態的小標記。

　　如果看到這些，你仍然認為微信就是騰訊在移動端的的全部賭注，那你就錯了。5月18日Andriod版更新，此后僅一天的19日，iPhone 版4.0.1也登上了AppStore。這么快的操作時間恐怕不是一個小團隊所為，Appstore的審核速度也眾所周知，改正錯誤如此之快，騰訊必下苦 工，而且是得到了公司戰略級別的支持。

　　這已經說明手機QQ也是騰訊的一支移動互聯網重兵，馬化騰也這么說過。此外騰訊在移動終端花了大力氣的產品有街景地圖、瀏覽器、通訊錄等工具性產品，有騰訊視頻、新聞客戶端等媒體商品，還有各式各樣的應用如QQ音樂、看比賽等。

　　這些產品被分散在騰訊龐大的產品體系內，也顯得騰訊的移動布局格外凌亂。但此時，BAT中最強大的潛在對手阿里巴巴的布局在收購了高德地圖和新 浪微博后已經逐漸清晰，整個阿里巴巴產品體系將連成一張SNS網，并以這種協同方式存在于各種終端，與用戶的購物需求相互結合、促進，最后形成一個生活 圈，就像現實社會那樣滿足用戶的一切需求。

　　相比阿里，騰訊布局移動的難度大得多。首先，阿里巴巴有一條主線——電子商務，所有的產品都能用購物需求串起來。而騰訊的產品好幾百個，開放平臺近30個，其中很多都是用戶的“剛需”，哪個都很重要，硬要排出先后很難。

　　其次，制度和人才儲備。阿里巴巴有高管輪崗制，高管之間都業務都比較熟悉，支持快速變化。輪崗成行，首先還是因為業務的相關性。但由于騰訊對用戶體驗的極致追求，人員輪崗沒那么頻繁。

　　但這種緩慢只是暫時的。騰訊一旦想明白，以它的產品研發的理念、速度和最終質量，勢頭將很可怕(參見過去它在PC上的表現)。話又說回來，魚和 熊掌不能兼得，BAT中另一家百度的李彥宏也是在極力看清趨勢，百度現有大量移動產品MEMO，但沒有最終發布。相比更垂直的搜索和電子商務，馬化騰若能 更早的把復雜得多的騰訊移動互聯網布局想明白，那簡直是要逆天了!

　　這也使得外界很迷茫。一邊馬化騰頻繁參加各種活動，發出各種聲音。另一方面，等著約他深談的人排成行，卻望眼欲穿。

　　為什么你還看不清楚移動互聯網時代的騰訊?答案很簡單，因為馬化騰也還在思考，他沒法系統的對外講移動布局，只能以各產品為點對外分享。不過想明白的那些事情，它已經開始做了。

　　首先是速度。從微信的更新以及這次手機QQ事件可以看出，騰訊對移動互聯網的速度很重視。PC時代，騰訊就強調“快速迭代”，在移動端它對速度的追求只能越發極致。

　　其次是架構和管理。3月馬化騰參加兩會期間，就已經透露過因為微信做出的架構微調。再上一次的架構調整發生在2012年6月，據此只有八個月。而且據多方渠道了解，騰訊內部還在不斷的調整，顯然這是為了適應移動互聯網，至少滿足對速度的要求。

　　然后就要說騰訊的“命門”——用戶體驗。在這個問題上，騰訊只想明白了一半。可以以這次手機QQ事件為例說明。

　　騰訊看清了部分移動互聯網時代的用戶體驗，并不遺余力的去做。那個廣遭批評的版本最重要的變化就是去掉了用戶狀態的區分。其實以微信、手機QQ 雙劍合璧的態勢，它完全可以不這樣做。但手機QQ動作這么大，就是因為想明白了，移動互聯網上最終沒有在線或不在線的問題，所有的產品都是“同步”的。如 果用戶習慣對方在線，再去溝通，那不在線時用戶就會換其它工具，騰訊就有可能流失用戶(當然也可能換微信)。對于這種趨勢，騰訊追的不遺余力，絕對敢于斷 腕。

　　但也有一些事情騰訊沒有看清。除了那些別人也沒看清的趨勢外，騰訊高估了用戶的適應能力。用戶在手機上的使用習慣不是割裂的，同樣帶著PC時期的痕跡，需要逐漸的往移動互聯網遷移，逐漸的教育。從趨勢上來說，手機QQ絕對正確，但他步子邁得太大，好在它立即退了半步。

　　“尺度”對騰訊的考驗遠比百度、阿里大得多。它要同時適應以下人群：逐漸增加的新銳智能機用戶、從PC陸續轉移到移動終端的小白用戶以及一接觸 互聯網就用手機的純移動用戶。在移動終端上騰訊得一邊給高端用戶新鮮感一邊照顧小白用戶，一邊照顧PC遺留的用戶體驗一邊培養適合手機的使用習慣，聽起來 都覺得很難。

　　那騰訊的移動互聯網全貌什么時候能看清呢?據我個人估計，半年即可。理由如下：一，雖然難，但騰訊在移動互 聯網上速度一直挺快。二，架構調整一直在進行，預計已經調整到比較深的層次很快就會穩定下來。三，騰訊的風格和阿里不同，阿里有了戰略就會高調宣布，3Q 之后騰訊雖然“大方”了不少但仍然是做了再說，做十件事只說一兩件。在部分產品上，馬化騰已經開始對外分享他的思路了。

　　今日舉行的“寬帶發展聯盟”成立大會中指出，目前我國寬帶用戶已經達到了1.75億，光纖用戶9000萬戶，使用4M及以上寬帶接入產品的用戶達到了63%。各項指標均超過了去年預期。

　　去年，工信部提出了2012年的寬帶普及提速目標，截止去年年底當時提出的普及提速目標已經全部實現。工信部方面表示，寬帶是21世紀戰略性基礎設施，在去年實現普及提速目標的過程中，三大運營商均積極進行網絡提速工作，主要的互聯網企業也積極提高自身互聯網產品網絡接入和訪問能力，設備廠商則不斷加大產品的研發，提高產品的能力。

　　寬帶普及提速工程在2012年的主要目標為：增強寬帶接入能力，新增光纖到戶(FTTH)覆蓋家庭超過3500萬戶;總體提升我國固定寬帶用戶的接入速率，使用4M及以上寬帶接入產品的用戶超過50%，降低單位帶寬價格;提高固定寬帶家庭普及率，新增固定寬帶接入互聯網家庭超過2000萬戶;擴大公共熱點區域無線局域網覆蓋規模;寬帶應用進一步推廣和普及。

　　“寬帶發展聯盟”成立大會中指出，2012寬帶普及提速工程的目標已經全面超額完成。根據工信部通信發展司司長在會議中介紹目前寬帶用戶發展的最新數據中表示，目前我國寬帶用戶已經達到了1.75億，光纖用戶9000萬戶，使用4M及以上寬帶接入產品的用戶達到了63%。各項指標均超過了去年預期。

　　目前各路寬帶大頭都在籌備寬帶優惠措施，天威寬帶(www.sz96933.com)也不例外，據透露3-4月期間就會推出新一輪惠民政策來展現在眾客戶面前供選擇!

　　今天小編詳細的分析一下我們的老朋友Apache與新朋友nginx都分別有些什么優缺點，根據各自的優點來看到底選擇哪個更適合自己。

　　首先我們來談談老朋友Apache，Apache HTTP Server(簡稱Apache)是世界使用排名第一的Web服務器軟件，音譯為阿帕奇，是Apache軟件基金會的一個開放源碼Web服務器，可以運行幾乎所有的計算機平臺，其次開放的API接口，任何組織和個人都可以在它上面擴展和增加各種需要功能，達到為自己量身定制的功能。再次是因為老，所有相關文檔很齊全，甚至在windows平臺很多愛好者都為它開發了各種圖形界面，連菜鳥也能入手Apache。因為如此它迅速占領了70%的web服務器市場。

　　現在咱們說說Nginx，Nginx ("engine x") 是一個高性能的 HTTP 和 反向代理服務器，也是一個 IMAP/POP3/SMTP 代理服務器。

　　Nginx 是由 Igor Sysoev 為俄羅斯訪問量第二的 Rambler.ru 站點開發的。其次它和Apache一樣是開源的，BSD-like 協議下發行。它最強勁也最具有競爭性為其高性能和反向代理，這兩項在該領域獨領風騷。

　　在互聯網初期，網站大小不是很大，訪問量都很輕量，一個網站的訪問量一天最多就幾萬IP，這個時候Apache完全可以滿足需要，人們更多的是為它開發各種模塊，像重寫模塊，訪問控制列表，緩存模塊等等。但是隨著互聯網的飛速發展，網站我訪問量以指數增長，大型網站的除了加大硬件投入外，典型的Web服務器Apache這時候也力不從心了，于是Nginx開始崛起，最初的設計是俄羅斯工程師為大型網站解決高并發設計的。所以注定了高并發是它永恒的優點。再次就是反向代理，現在大型網站分工詳細，哪些服務器處理數據流，哪些處理靜態文件，這些誰指揮，一般都是用nginx反向代理到內網服務器，這樣就起到了負載均衡分流的作用。再次nginx高度模塊化的設計，編寫模塊相對簡單。

　　而我們的老朋友Apache比nginx又有什么優勢呢，很多中小型網站都在用Apache，非常重要的原因是他出現時間較長，穩定，文檔豐富，再次在重寫方面相對nginx更強大，模塊超多，基本只要你能想到的，就有人開發過。

　　面對這些優缺點，作為客戶的我們該如何取舍呢?盡管nginx正在一步步取代Apache，市場份額也在不斷增加，但是做為一個網站管理員，還是需要從如下幾個方面作為出發點來選擇適合自身的web服務器。

　　第一、網站并發。如果是中小型網站，建議選用apache;如果大型并發，而且需要反向代理，選擇nginx那是正確的選擇。

　　第二、如果需要大量用到重寫模塊，建議選用Apache。

　　第三、根據熟悉程度。管理員書序Apache，但閱讀和開發nginx能力有限，保守用Apache。

　　第四、系統資源有限，但是自身技術很強大，建議用nginx，因為nginx對系統資源暫用極小，同資源下比Apache高了差不多10倍之多。

　　所以小編建議各位在選擇的時候不要一味追求市場選擇或者推薦，而應該從實際出發，根據如上的參考意見謹慎選擇適合自己的web服務器，盲目跟隨只會使后期遭遇更多不必要的麻煩。

　　以上便是小編分享的Apache與Niginx web服務器取舍的全部內容。

　　本文鏈接：http://www.idcbest.hk/hyxw/296.html