PS:20131208更新一下,最近买了个VPS,在安装CENTOS6后居然无法用SSH连接,检查了防火墙、端口等都没问题,结果问题居然在网卡上,我无语了啊,还有这样的VPS系统镜像……
PS:最近买了hostigation的256KVM技术的VPS,下面将我的成功经验写下来,帮帮小白同学,免得学我一样走弯路。
1、安装系统
这家的128M据说只能安装DEBIAN,我买的256M的,但在控制面板给光驱装载不了CENTOS5.6安装,结果只得网络安装了CENTOS5.6。在面板选择CENTOSNETinstall来用,然后主要是用VNC上去开始安装,建议选择server版,基本都是只直OK和下一步什么,安装大约需要15分钟,硬盘占用700+M
2、在安装CENTOS6后居然无法用SSH连接,原因是网络没有启用,下面说说解决方法:
cd /etc/sysconfig/network-scripts
ls
vi ifcfg-eth0 (一般是这个,也有可能是eth1等,视具体情况而定)
DEVICE="eth0"
HWADDR="00:0C:29:FD:FF:2A"
NM_CONTROLLED="yes"
ONBOOT="no" (将这里的"no"改为"yes")
IPADDR=192.168.1.31
NETMASK=255.255.255.0
GATEWAY=192.168.1.1
BOOTPROTO=static
然后重启VPS,以后也不用再设置网络了。
3、安装LNAMP等一键包后,不能访问,启动HTTPD服务出现类似以下错误的话,
编辑/etc/sysconfig/selinux,找到:
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - SELinux is fully disabled.
SELINUX=enforcing
如果SELINUX已经是 SELINUX=disabled,那么就不用改了,否则就把SELINUX=enforcing 注释掉,新加一行:
SELINUX=disabled
保存,退出。
如果你碰到其他类似提示:
cannot restore segment prot after reloc: Permission denied
哪应该是SELinux的问题,可以考虑把它关闭。
郁闷的是.我把SELinux关闭后还是不行.于是到google上search.发现这个很有用.
在你保证SElinux 被disable后.还执行下
chcon -t texrel_shlib_t
如: chcon -t texrel_shlib_t /路径/路径/名字.so (这个文件视具体执行文件.)
结果发现IP还是不能访问,这是由于IPTABLES没有打开80端口造成的。
查看系统是否打开了80端口用:
/etc/init.d/iptables status
如果没有,请运行以下命令:
/sbin/iptables -I INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 22 -j ACCEPT
然后保存:
/etc/rc.d/init.d/iptables save
如果上面的步骤还没好的话,可能是这个iptables文件使用的是包含调用。
一般的在/etc/sysconfig/iptables这个路径上
打开这个文件修改手动添加就行了。
注意需要重启服务哦:执行service iptables save 与 service iptables restart
现在去看看IP是否能访问了?希望这个能对小白们有帮助,高手请无视。
一些运行在Nginx上的网站有时候会出现“502 Bad Gateway”错误,有些时候甚至频繁的出现。有些站长是在刚刚转移到Nginx之后就出现了这个问题,所以经常会怀疑这是不是Nginx的问题,但事实上这是个误区。
以下是从张宴和Ayou的博客搜集整理的一些Nginx 502错误的排查方法,供大家参考:
Nginx 502错误的原因比较多,是因为在代理模式下后端服务器出现问题引起的。这些错误一般都不是nginx本身的问题,一定要从后端找原因!但nginx把这些出错都揽在自己身上了,着实让nginx的推广者备受置疑,毕竟从字眼上理解,bad gateway?不就是bad nginx吗?让不了解的人看到,会直接把责任推在nginx身上,希望nginx下一个版本会把出错提示写稍微友好一些,至少不会是现在简单的一句502 Bad Gateway,另外还不忘附上自己的大名。
Nginx 502的触发条件
502错误最通常的出现情况就是后端主机当机。在upstream配置里有这么一项配置:proxy_next_upstream,这个配置指定了nginx在从一个后端主机取数据遇到何种错误时会转到下一个后端主机,里头写上的就是会出现502的所有情况拉,默认是error timeout。error就是当机、断线之类的,timeout就是读取堵塞超时,比较容易理解。我一般是全写上的:
proxy_next_upstream error timeout invalid_header http_500 http_503;
不过现在可能我要去掉http_500这一项了,http_500指定后端返回500错误时会转一个主机,后端的jsp出错的话,本来会打印一堆stacktrace的错误信息,现在被502取代了。但公司的程序员可不这么认为,他们认定是nginx出现了错误,我实在没空跟他们解释502的原理了……
503错误就可以保留,因为后端通常是apache resin,如果apache死机就是error,但resin死机,仅仅是503,所以还是有必要保留的。
解决办法
遇到502问题,可以优先考虑按照以下两个步骤去解决。
1、查看当前的PHP FastCGI进程数是否够用:
netstat -anpo | grep "php-cgi" | wc -l
如果实际使用的“FastCGI进程数”接近预设的“FastCGI进程数”,那么,说明“FastCGI进程数”不够用,需要增大。
2、部分PHP程序的执行时间超过了Nginx的等待时间,可以适当增加nginx.conf配置文件中FastCGI的timeout时间,例如:
...... http { ...... fastcgi_connect_timeout 300; fastcgi_send_timeout 300; fastcgi_read_timeout 300; ...... } ......
php.ini中memory_limit设低了会出错,修改了php.ini的memory_limit为64M,重启nginx,发现好了,原来是PHP的内存不足了。
如果这样修改了还解决不了问题,可以参考下面这些方案:
一、max-children和max-requests
一台服务器上运行着nginx php(fpm) xcache,访问量日均 300W pv左右
最近经常会出现这样的情况: php页面打开很慢,cpu使用率突然降至很低,系统负载突然升至很高,查看网卡的流量,也会发现突然降到了很低。这种情况只持续数秒钟就恢复了
检查php-fpm的日志文件发现了一些线索
Sep 30 08:32:23.289973 [NOTICE] fpm_unix_init_main(), line 271: getrlimit(nofile): max:51200, cur:51200 Sep 30 08:32:23.290212 [NOTICE] fpm_sockets_init_main(), line 371: using inherited socket fd=10, “127.0.0.1:9000″ Sep 30 08:32:23.290342 [NOTICE] fpm_event_init_main(), line 109: libevent: using epoll Sep 30 08:32:23.296426 [NOTICE] fpm_init(), line 47: fpm is running, pid 30587
在这几句的前面,是1000多行的关闭children和开启children的日志
原来,php-fpm有一个参数 max_requests,该参数指明了,每个children最多处理多少个请求后便会被关闭,默认的设置是500。因为php是把请求轮询给每个children,在大流量下,每个childre到达max_requests所用的时间都差不多,这样就造成所有的children基本上在同一时间被关闭。
在这期间,nginx无法将php文件转交给php-fpm处理,所以cpu会降至很低(不用处理php,更不用执行sql),而负载会升至很高(关闭和开启children、nginx等待php-fpm),网卡流量也降至很低(nginx无法生成数据传输给客户端)
解决问题很简单,增加children的数量,并且将 max_requests 设置未 0 或者一个比较大的值:
打开 /usr/local/php/etc/php-fpm.conf
调大以下两个参数(根据服务器实际情况,过大也不行)
<value name=”max_children”>5120</value> <value name=”max_requests”>600</value>
然后重启php-fpm。
二、增加缓冲区容量大小
将nginx的error log打开,发现“pstream sent too big header while reading response header from upstream”这样的错误提示。查阅了一下资料,大意是nginx缓冲区有一个bug造成的,我们网站的页面消耗占用缓冲区可能过大。参考老外写的修改办法增加了缓冲区容量大小设置,502问题彻底解决。后来系统管理员又对参数做了调整只保留了2个设置参数:client head buffer,fastcgi buffer size。
如果主要是在一些post或者数据库操作的时候出现502这种情况,而不是在静态页面操作中常见,那么可以查看一下php-fpm.conf设置中的一项:
request_terminate_timeout
这个值是max_execution_time,就是fast-cgi的执行脚本时间。
0s
0s为关闭,就是无限执行下去。(当时装的时候没仔细看就改了一个数字)
发现,问题解决了,执行很长时间也不会出错了。
优化fastcgi中,还可以改改这个值5s 看看效果。
php-cgi进程数不够用、php执行时间长、或者是php-cgi进程死掉,都会出现502错误。
如果您还有其他的解决方法,欢迎与编辑沟通!当然,如果你的网站并发量的确很大,那么最终也许需要寻求系统级的解决办法……
最近修改了一个,适用于CentOS32bit的Nginx前端Apache后端的web服务器环境的一键安装包。修改自31sky的LNAMP包,主要增加为主域添加二级域名的脚本(setup-subdomain-vhost.sh)。
LNAMP一键安装包是什么?
如何获取LNAMP?
你可以从http://data.planetidc.com/LNAMP/LNAMP_1.1_for_centos.zip下载并使用它。
包含或安装了那些软件?
Apache、Nginx、Mysql、Pure-ftp、Zend Optimizer、eAccelerator、Memcache、Powerdns……
如何安装LNAMP?
系统需求:
1、 需要5G剩余硬盘空间。
2、 256M以上内存。
3、 需要以root身份运行。
安装步骤:
wget http://data.planetidc.com/LNAMP/LNAMP_1.1_for_centos.zip
2、 解压 unzip LNAMP_1.1_for_centos.zip
您将得到install-php5.3-pdns-32-64.sh 、install-php5.4-pdns-32-64.sh、setup-vhost.sh、setup-subdomain-vhost.sh这四个文件。
install.sh是集合安装脚本(主要是给所有几个脚本加了+X权限);
main-install.sh是基本安装脚本(默认安装了eaccelerator、ZendOptimizer、pureftp、ioncube等,这几个组件大多数都需要,如果有不装这中间几个脚本的就用我以前的版本吧,只是某些软件版本低点。下载地址:wget http://data.planetidc.com/LNAMP/LNAMP_1.0_beta_for_centos.zip);
setup-vhost.sh,创建virtual host的脚本;
setup-subdomain-vhost.sh用于给你的主域名曾加二级子域名。
3、cd LNAMP_1.1_for_centos
chmod +x install-php5.3-pdns-32-64.sh(install-php5.3-pdns-32-64.sh适合大多数人的WEB环境,安装install-php5.4-pdns-32-64.sh请确认程序兼容性,如果不想安装powerdns请打开安装脚本将install_pdns这行改为#install_pdns。)
输入相关信息,等待安装结束。
如何管理?
1、 Nginx管理:/etc/init.d/nginx {start|restart|stop} (注:执行/etc/init.d/nginx时会对httpd起作用)
2、 Apache管理:/etc/init.d/httpd {start|restart|stop}
3、 启动pure-ftp:/usr/local/pureftpd/sbin/pure-config.pl /usr/local/pureftpd/etc/pure-ftpd.conf –daemonize
4、 创建virtual host:./setupvm-without-pure-ftp.sh或者./setupvm-with-pure-ftp.sh,输入域名、ip、FTP用户名等相关信息即可。
5、PHP探针URL:http://your ip address}/php.php
说明:
1、本shell脚本全部采用源码编译安装,装完全部软件大概需要45分钟。
2、本shell脚本在directspace.net 的openvz VPS和nordicvps、YardVPS、阿里云的XEN VPS上CentOS 5/6 32bit/64bit成功安装。
3、本shell脚本所需要的软件源码全部从官方下载或者sourceforge.net下载。
当apache站点受到严重的cc攻击,我们可以用iptables来防止web服务器被CC攻击,实现自动屏蔽IP的功能。
1.系统要求
(1)LINUX 内核版本:2.6.9-42ELsmp或2.6.9-55ELsmp(其它内核版本需要重新编译内核,比较麻烦,但是也是可以实现的)。
(2)iptables版本:1.3.7
2. 安装
安装iptables1.3.7和系统内核版本对应的内核模块kernel-smp-modules-connlimit
3. 配置相应的iptables规则
示例如下:
(1)控制单个IP的最大并发连接数
iptables -I INPUT -p tcp --dport 80 -m connlimit \
--connlimit-above 50 -j REJECT
#允许单个IP的最大连接数为 30
(2)控制单个IP在一定的时间(比如60秒)内允许新建立的连接数
iptables -A INPUT -p tcp --dport 80 -m recent \
--name BAD_HTTP_ACCESS --update --seconds 60 \
--hitcount 30 -j REJECT
iptables -A INPUT -p tcp --dport 80 -m recent \
--name BAD_HTTP_ACCESS --set -j ACCEPT
#单个IP在60秒内只允许最多新建30个连接
4. 验证
(1)工具:flood_connect.c(用来模拟攻击)
(2)查看效果:
使用
watch 'netstat -an | grep:21 | \ grep<模拟攻击客户机的IP>| wc -l'
实时查看模拟攻击客户机建立起来的连接数,
使用
watch 'iptables -L -n -v | \grep<模拟攻击客户机的IP>'
查看模拟攻击客户机被 DROP 的数据包数。
5.注意
为了增强iptables防止CC攻击的能力,最好调整一下ipt_recent的参数如下:
#cat/etc/modprobe.conf
options ipt_recent ip_list_tot=1000 ip_pkt_list_tot=60
#记录1000个IP地址,每个地址记录60个数据包
#modprobe ipt_recent
如果没有,请执行
复制内容到剪贴板代码:
yum install make
接着执行下面的命令
wget http://bart.eaccelerator.net/source/0.9.6.1/eaccelerator-0.9.6.1.tar.bz2
tar xjf eaccelerator-0.9.6.1.tar.bz2
cd eaccelerator-0.9.6.1
/usr/bin/phpize ./configure --enable-eaccelerator=shared --with-php-config=/usr/bin/php-config
make
make install
mkdir /tmp/eaccelerator
chmod 777 /tmp/eaccelerator
然后在/etc/php.d/中创建一个eaccelerator.ini
进入编辑状态后根据你的VPS是openVZ还是XEN选择复制下面代码
openVZ里面写上
extension="eaccelerator.so"
eaccelerator.shm_size="0"
eaccelerator.cache_dir="/tmp/eaccelerator"
eaccelerator.enable="1"
eaccelerator.optimizer="1"
eaccelerator.check_mtime="1"
eaccelerator.debug="0"
eaccelerator.log_file = "/var/log/eaccelerator_log"
eaccelerator.filter=""
eaccelerator.shm_max="0"
eaccelerator.shm_ttl="0"
eaccelerator.shm_prune_period="0"
eaccelerator.shm_only="0"
eaccelerator.compress="1"
eaccelerator.compress_level="9"
eaccelerator.keys = "disk_only"
eaccelerator.sessions = "disk_only"
eaccelerator.content = "disk_only"
XEN里面写上
extension="eaccelerator.so"
eaccelerator.shm_size="64"
eaccelerator.cache_dir="/tmp/eaccelerator"
eaccelerator.enable="1"
eaccelerator.optimizer="1"
eaccelerator.check_mtime="1"
eaccelerator.debug="0"
eaccelerator.log_file ="/var/log/eaccelerator_log"
eaccelerator.filter=""
eaccelerator.shm_max="0"
eaccelerator.shm_ttl="0"
eaccelerator.shm_prune_period="0"
eaccelerator.shm_only="0"
eaccelerator.compress="1"
eaccelerator.compress_level="9"
eaccelerator.keys = "shm_and_disk"
eaccelerator.sessions = "shm_and_disk"
eaccelerator.content = "shm_and_disk"
然后按ESC退出编辑模式,执行以下命令:
:x
然后重启apache生效:
service httpd restart
如果是你用的Lighttpd就重启Lighttpd:
service lighttpd restart