精华区文章阅读

发信人: poby (rinoa), 信区: network
标  题: Re: 紫荆安全改进方案
发信站: 听涛站 (Fri Mar 31 08:30:30 2000), 转信

目的
我们的目标是安装一个允许我们托管多个网站的web服务器，其中一些是针对电子商
务的
安全解决方案，而大部分网站是通过连接一个数据库服务器并且提取其数据的脚本
驱动
的。
为了这个任务所需的工具是：
Apache－一个网站服务器
Mod_SSL－一个安全套接字层(SSL)的模块
OpenSSL－开放源代码工具箱(mod_ssl所需）
MySQL－一个数据库服务器
PHP－一种脚本语言
希望你将在结束这个简单的指南后能成功地完成下列目标。
安装并设置MySQL数据库服务器
o 知道怎样检查MySQL服务器的状态
o 知道怎样使用命令行客户程序存取MySQL服务器
o 知道怎样从web存取你的DB服务器
安装并设置具备SSL的Apache网站服务器
o 配置一个简单的虚拟网站
o 知道怎样停止并启动服务器
o 知道怎样做一些基本的主机托管配置
安装并配置服务器端脚本的PHP 4.0超文本预处理器
o 知道怎样编写简单的php代码
o 知道怎样使用php连接一个DB
o 创建一个启用PHP地简单网站与一个数据库沟通
创造一些样本证书用于Apache  SSL
o 知道怎样产生一个CSR文件
o 知道怎样加密一个键码
o 知道怎样签署你自己的证书
本文将覆盖大量的信息。本指南作为一个入门性地的指南，让你步入电子商务、网
站脚
本和安全套接字层 (SSL)的世界，目的是帮助你建立由存储在数据库中的动态信息
驱动
的安全网站。
本文绝非是一个详细全面的文档，它当然将有一些错误(希望最小)，在你阅读它时
请记
住这一点。然而，它将激起你的热情并运行前面提到的产品，希望让你更好理解这
些东
西是怎样工作的。不需要以前的编程知识，但假定你有点计算机知识背景。我的目
标是
编写这个文档以便任何新手能理解我正在谈论的东西。如果我达到了，那么我做了
一件
好事。如果你轻而易举地建立了电子商务站点，比我做的更出色:-) 给我一些解释
。
假设
本文假设你已经把下列软件安装在你的系统上了。
Perl (最好是ver 5+)
gzip或gunzip
gcc 和 GNU make
如果你没有安装好这些，你将需要采取必要的步骤在解释本文的任何过程前把他们
安装
好。
你也需要对UNIX命令、HTML、和SQL的一个基本了解。你应该有怎样管理你的Linux
机器
的一个基本了解。你也需要一个完全正常的Linux机器，你将在它上面安装软件。当
然你
将需要在前面列出的必要的软件包以编译源代码，并且最后，保证你还没有在Linux
机器
中预装了MySQL、Apache、或PHP。
工作原理
理解在幕后发生了什么是有帮助的。这里是一个过分简化的工作原理，下图和随后
的解
释目前不是完全正确的，只是它的一个要点概述：
情况是：我们有一个从一个数据库取出一些数据的网页。John Doe从他的浏览器请
求该
页，请求被发送给web服务器，接着调用一个PHP脚本。PHP脚本由PHP预处理器解释
并从
数据库中取出数据，然后结果由余下的PHP脚本加工并转化成HTML，做后的HTML被发
回用
户的浏览器。
让我们一步一步地看：
John Doe 从他的浏览器中点击一个链接；他的浏览器发送对http://www.yourserve
r.c
om/test.php的请求。
Apache得到对test.php的请求，它知道.php文件应由PHP预处理器(mod_php)处理，
因此
它通知 PHP处理它。它知道这些，是因为我们在Apache的配置中指定它。
test.php是包含命令的一个PHP脚本。这些命令之一是打开一个到一个数据库的连接
并抓
取数据。PHP 处理到数据库的连接，并且解释SQL调用从DB中提取数据。
服务器服务器得到从PHP解释器来的连接请求，并且处理这个请求。请求可能是类似
于一
个简单的选择语句，或数据库表创建等。
数据库然后将应答和结果回送到PHP解释器。
Apache回送该结果到John Doe的浏览器，作为对他请求的应答。John Doe现在看见
一个
包含从一个数据库来的一些信息的网页。
如果这是一个对https://www.yoursecureserver.com/test.php的请求，整个过程与
上述
类似，除了每个请求和应答在两端被加密和解密，即，浏览器连接Apache，获得它
的加
密键码，加密请求并发送它。
服务器看到请求，解密并且认证它。它处理文件，加密并且发送它。然后浏览器用
服务
器的键码解密它。记住既然连接被加密，就是用不同的端口用。端口80用在在非安
全连
接上，而端口443用在安全连接时。
再说一次，它不是100%的正确，但是它足够快地让你知道幕后发生的事情的非常简
单的
概述。
既然我们对我们正在试图达到的目标有了一个很基本的了解，让我们继续安装软件
吧。

准备
下载所有(tar文件)源代码到一个临时目录下。保证你把他们放在有很多空间的地方
……
你应该以root身份下载他们以避免权限问题。
我们的计划
我们的计划是首先安装MySQL服务器并保证它工作，然后我们将安装PHP和Mod_SSL，
最后
我们将安装Apache网站服务器。在我们安装了Apache以后，我们可以测试PHP和Mod_
SSL
支持是否起作用了。
MySQL源代码安装(UNIX)
你必须用来执行安装MySQL源代码分发的基本命令是(自一个没解开“tar”文件)：
通过使用su成为 root用户。
$su
直接进入你有tar文件的目录。（使用一个临时目录。这里使用 /tmp/download/ ）
#cd /tmp/download/
使用下列命令提取文件。
# gunzip -d -c mysql-3.22.xx.tar.gz | tar xvf -
改变到新目录，它在提取期间创建。
# cd mysql-3.22.xx
现在你可以开始“配置”MySQL服务器。你可以用configure指定很多选项，使用con
fig
ure --help查看所有的选项。我已经选择--prefix指定到安装地点的直接路径。con
fig
ure将检查你的编译器和一些其他东西。如果你有任何错误，你可以检查config.cac
he文
件查看错误。
# configure --prefix=/usr/local/mysql
在你完成了配置以后，你可以执行下列命令make真正的二进制代码。
# make
现在你已准备好安装所有的二进制代码。运行下列命令在你用configure --prefix
选项
指定的目录下安装二进制代码。
# make install
在你安装好二进制代码后，现在是创建用于定义权限的mysql表的时候了。
# scripts/mysql_install_db
# cd /usr/local/mysql/bin
# ./safe_mysqld &
# ./mysqladmin -u root password 'new-password'
注意：/usr/local/mysql是我选择安装MySQL服务器的目录。你可以通过改变目录选
择另
外的地方。
你可以通过运行一些简单的测试来验证服务器正在工作以确保MySQL正在运行。输出
应该
类似于下面所示的：BINDIR=/usr/local/mysql/bin。BINDIR依赖于你在上面的前缀
选择
的目录。
# BINDIR/mysqlshow -p
+---------------+
| Databases     |
+---------------+
| mysql         |
+---------------+
一旦你安装好MySQL，它将自动地创建2个数据库。一个mysql表，它控制在实际的服
务器
中用户、主机和数据库权限；另一个是一个test数据库，我们能使用test数据库。
然而
，我们想给你一个快速而简单的MySQL可用的一些命令行选项的概述。这也将保证ro
ot被
设置了对DB服务器的全部存取权限，即：root有创建数据库、数据库表等的许可，
因此
我们将创建一个test2数据库，在以后我们用它进行我们的测试。在你通过命令行进
入M
ySQL前，你将被提示root用户的新口令。记住你以前改变了它。
# mysql -u root -p
mysql> show databases;
+----------------+
| Database       |
+----------------+
| mysql          |
| test           |
+----------------+
好了，退出MySQL，继续安装。你可在完成所有安装并且一切工作正常后玩MySQL也
不迟
。
PHP安装(UNIX)
现在安装PHP语言。你下载了最新的beta版，但是你可能必须下载非beta版本。记住
bet
a版本需要GNU make。
你仍然假定是root，如果不是，su回到root。
PHP要求你已经预先配置好的Apache，以便它能知道所需的东西在哪儿。在以后你安
装A
pache服务器时，你将会回到这里。改变到你有源代码的目录。
# cd /tmp/DOWNLOAD
# gunzip -c apache_1.3.x.tar.gz | tar xf -
# cd apache_1.3.x
# ./configure
# cd ..
好的，现在你可以开始PHP的安装。提取源代码文件并进入其目录。如果你下载了版
本3
，在数字和命令上有一个改变，不大的改变。
# gunzip -c php-4.0.x.tar.gz | tar xf -
# cd php-4.0.x
如果你正在编译代码，configure将永远是你的朋友。:-) 因此，configure有很多
选项
。使用configure --help确定你想要增加哪些。我只是需要MySQL和LDAP，并且当然
Apa
che。
# ./configure --with-mysql=/usr/local/mysql \
   --with-xml \
   --with-apache=../apache_1.3.x \
   --enable-track-vars \
   --with-ldap
make并安装二进制代码。
# make
# make install
拷贝ini文件到lib目录。
# cp php.ini-dist /usr/local/lib/php.ini
你可以编辑PHP文件来设置PHP选项，如你可以通过在你的php.ini文件中插入下列行
，增
加php的max_execution_time。
max_execution_time = 60;
注意：php3用户将使用php3.ini，而php4用户将使用php.ini文件。
Apache 与 Mod_SSL
该配置并安装mod_ssl和Apache了。
　
安装OpenSSL。记住，你将用它来创建临时证书和CSR文件。--prefix选项指定主安
装目
录。
# cd openssl-0.9.x
# ./config --prefix=/usr/local/ssl \
现在make、测试并安装它。
# make
# make test
# make install
# cd ..
我们将配置MOD_SSL模块，然后用Apache配置指定它为一个可装载的模块。
# cd mod_ssl-2.5.x-1.3.x
# ./configure \
    --with-apache=../apache_1.3.x \
# cd ..
现在我们可以把更多的Apache模块加到Apache源代码树中。可选的--enable-shared
=ss
l选项使得mod_ssl构造成为一个DSO“libssl.so”。关于在Apache支持DSO的更多信
息，
阅读Apache源代码树中的INSTALL和 htdocs/manual/dso.html文档。我强烈建议ISP
和软
件包装维护者为了最灵活地使用mod_ssl而使用DSO工具，但是注意，DSO不是在所有
平台
上的Apache都支持。
# cd apache_1.3.x
# SSL_BASE=../openssl-0.9.x \
   ./configure \ --enable-module=ssl \
   --activate-module=src/modules/php4/libphp4.a \
   --enable-module=php4 --prefix=/usr/local/apache \
   --enable-shared=ssl
   [...你可加入更多的选项...]
生成Apache，并安装...
# make
如果你已正确地完成，你将得到类似于以下的信息：
+-----------------------------------------------------------------------+
| Before you install the package you now should prepare the SSL         |
| certificate system by running the 'make certificate' command.         |
| For different situations the following variants are provided:         |
|                                                                       |
| % make certificate TYPE=dummy (dummy self-signed Snake Oil cert)      |
| % make certificate TYPE=test (test cert signed by Snake Oil CA)       |
| % make certificate TYPE=custom (custom cert signed by own CA)         |
| % make certificate TYPE=existing (existing cert)                      |
| CRT=/path/to/your.crt [KEY=/path/to/your.key]                         |
|                                                                       |
| Use TYPE=dummy when you're a vendor package maintainer,               |
| the TYPE=test when you're an admin but want to do tests only,         |
| the TYPE=custom when you're an admin willing to run a real server     |
| and TYPE=existing when you're an admin who upgrades a server.         |
| (The default is TYPE=test)                                            |
|                                                                       |
| Additionally add ALGO=RSA (default) or ALGO=DSA to select             |
| the signature algorithm used for the generated certificate.           |
|                                                                       |
| Use 'make certificate VIEW=1' to display the generated data.          |
|                                                                       |
| Thanks for using Apache & mod_ssl. Ralf S. Engelschall                |
|                               rse@engelschall.com                     |
|                               www.engelschall.com                     |
+-----------------------------------------------------------------------+
现在你可以创建一个定制的证书。该选项将提示输入你的地址、公司、和其他一些
东西
。关于证书，请参阅本文的结尾。
# make certificate TYPE=custom
现在安装Apache...
# make install
如果一切正常，你应该看到类似于以下的信息：
+------------------------------------------------------------------------
---
-------+
| You now have successfully built and installed the

       |
| Apache 1.3 HTTP server. To verify that Apache actually

       |
| works correctly you now should first check the

       |
| (initially created or preserved) configuration files

       |
|

       |
| /usr/local/apache/conf/httpd.conf

       |
| and then you should be able to immediately fire up

       |
| Apache the first time by running:

       |
|

       |
| /usr/local/apache/bin/apachectl start

       |
| Or when you want to run it with SSL enabled use:

       |
|

       |
| /usr/local/apache/bin/apachectl startssl

       |
| Thanks for using Apache. The Apache Group

       |
|                          http://www.apache.org/

       |
+------------------------------------------------------------------------
---
-------+
现在验证Apache和PHP是否正在工作。然而，我们需要编辑srm.conf和httpd.conf保
证我
们把PHP类型加到了配置中。查看httpd.conf并去掉下列行的注释。如果你精确地遵
循了
本文的指令，你的httpd.conf文件将位于/usr/local/apache/conf目录。文件有一
行针
对php4的addtype加了注释，现在就去掉注释。httpd.conf 文件--片断
   >
   > # And for PHP 4.x, use:
   > #
---> AddType application/x-httpd-php .php
---> AddType application/x-httpd-php-source .phps
   >
   >
现在我们准备启动Apache服务器看它是否在工作。首先我们将启动不支持SSL的服务
器看
它是否启动了。我们将检查对PHP的支持，然后我们将停止服务器并且启动启用了SS
L支
持的服务器并检查我们是否一切正常。configtest 将检查所有配置是否正确设置。
# cd /usr/local/apache/bin
# ./apachectl configtest
Syntax OK
# ./apachectl start
./apachectl start: httpd started
PHP支持正在工作吗？？
现在将测试PHP支持……创建一个文件(名为：test.php )，它有下列信息。文件需
要位
于文档根路径下，它应该缺省设置为/usr/local/apache/htdocs。注意这依赖于我
们以
前选择的前缀，然而，这可在 httpd.conf中改变。设置多个虚拟主机将在另一篇文
章加
少，请留意，因为它将涉及安装Apache和它的指令的一些很基本的选项。
test.php 文件
<?
phpinfo();
?>
它将显示有关服务器、php和环境的信息。下面是输出页面的顶部的屏幕抓取。
SSL 选择正在工作吗？？
好了，现在我们准备测试SSL了。首先停止服务器，并以启用SSL的选项重启它。
# /usr/local/apache/bin/apachectl stop
# /usr/local/apache/bin/apachectl startssl
测试它是否工作：通过用一个Netscape与服务器连接并且选择https协议，即：http
s:/
/youserver.yourdomain.com 或 http://yoursever.yourdomain.com:443，也可以
再试
一下你的服务器的 ip地址，即：https://xxx.xxx.xxx.xxx和 http://xxx.xxx.xxx
.xx
x:443。
如果它起作用了，服务器将把证书发送到浏览器以建立一个安全连接。这将让浏览
器提
示你接受自己签署的证书。，如果它是来自VeriSign或Thawte的一张证书，那么浏
览器
将不提示你，因为证书来自一个可信的证书授权机构(CA)。在我们的情况中，我们
创建
并签署我们自己的证书……我们不想马上买一个。首先，我们想要保证我们能使一
切正
常。

--
※ 来源:．听涛站 cces.net．[FROM: 匿名天使的家]

computer 版 (精华区)