思途CMS系統客戶自有服務器安裝與指導手冊安裝幫助
windows server 2003是目前國內比較主流的服務器操作系統,其搭建php的環境也是多種多樣,其中IIS+Fastcgi+php+mysql安裝是最簡單的。
1. 安裝IIS
IIS是windows平臺下比較成熟的web服務,安裝方法也非常簡單。
打開“開始”菜單,點擊“管理您的服務器”(如圖所示),點擊“添加或刪除角色”(如圖所示)。
進入預備步驟后直接點下一步。到達了選擇角色的地方,選擇“應用程序服務(IIS,ASP.net)”(如圖所示)
之后點擊下一步,出現附加組件的選擇,一個是FrontPage Server Extentions,另外一個是ASP.net,這兩項我們的環境中都不需要,不必選擇,如果有需要,可以選擇性安裝。進入下一步,是選項總結,再下一步,進入安裝過程,此時提示需要插入windows 2003(R2)的安裝光盤,插入光盤后,選擇光驅所在驅動器下的I386,點擊確定,安裝過程將會繼續一直到結束,并且出現成功提示(如圖所示)
完成后對IIS進行測試,打開“開始”菜單,點擊“所有程序”,進入“管理工具”,點擊“internet信息服務(IIS)管理器”
展開“網站”樹型節點,刪除默認網站,然后新建一個網站(如圖所示)
進入向導后,進入下一步,為網站添加描述,也就是IIS中顯示的網站標示,可以隨便填寫,再進入下一步,為網站配置主機頭,我們是用來配置本地測試環境,所以把主機頭配置為127.0.0.1(如圖所示)
進入下一步,選擇目錄,目錄需要提前建立好,然后選擇即可。繼續下一步,需要選擇網站權限,這里只選擇讀取即可。之后便可完成網站新建向導了。
需要正常的瀏覽網站,還需要給網站的根目錄文件夾指定相應的權限,首先在網站屬性中查看網站的匿名訪問賬戶是什么,然后將這個賬戶設置到網站的根目錄文件夾,并設置相應的訪問權限(如圖所示)
網站的匿名訪問賬戶是:IUSR_CBLH-DDEF00B671,為文件夾設置用戶訪問權限(如圖所示)
權限配置好后,在目錄中新建一個index.html文件,隨意輸入一些文字或者html代碼即可。
在網站名稱上右鍵,點擊屬性,進入“屬性”后點擊“文檔”選項卡,在此添加一個index.html和index.php(index.php添加好是為了待會不必再做配置),然后點擊“確定”或者“應用”保存配置。
然后在瀏覽器中的地址欄中輸入“http://localhost/”或者“http://127.0.0.1/”,即可看到剛才我們建立的index.html中的內容。
2. 安裝fastcgi
IIS調試好后,就可以安裝fastcgi了,首先需要下載IISfastcgi,下載地址是(http://www.iis.net/download/FastCGI),安裝fastcgi非常簡單,只需要同意協議后連續點擊下一步即可,沒有任何選項。
3. 安裝php
首先下載php在windows的安裝包,下載地址http://windows.php.net/downloads/releases/archives/,這里選用php-5.3.4-nts-Win32-VC9-x86.msi做例子。下載好php-5.3.4-nts-Win32-VC9-x86.msi后,雙擊文件安裝,接受使用協議后,為php填寫安裝目錄,這個目錄是可以更換的,指向需要放置它的位置即可。之后需要選擇web服務器的安裝,這里選擇我們先前安裝的IIS fastcgi(如圖所示)
下一步需要配置安裝選項,這里我們除了默認的選項之外增加了pear install(如圖所示)
再進入下一步,就可以確認安裝了。
完成安裝后,還需要測試一下php是否可用。
首先打開IIS管理器,然后在先前測試IIS的網站上右鍵,進入“屬性”,點擊主目錄選項卡,然后將“執行權限”配置為“純腳本”,(如圖所示)
然后點擊旁邊的“配置”,查看是否有.php擴展名,如果沒有的話,需要添加一個新項,將可執行文件指向“C:WINDOWSsystem32inetsrvfcgiext.dll”,擴展名為“.php”(注意有個點),動作限制為“GET,HEAD,POST,TRACE”,點擊確定即可(如圖所示)
做好了這些,就可以寫個小腳本來測試了,在網站的目錄中新建一個test.php文件,打開后輸入,保存后退出。在瀏覽器地址欄中輸入http://localhost/test.php,即可看到php信息了。
4. 安裝isapi_urlwriter ISAPI擴展組件
isapi_urlwriter ISAPI擴展組件主要用來做地址重寫,重寫后的虛擬靜態地址對搜索引擎更友好。先將ISAPI_Rewrite3安裝包解壓到指定的文件目錄中,然后進入網站屬性窗口,選擇窗口中的ISAPI篩選器選項卡,點擊添加按鈕,在彈出的窗口中選擇ISAPI_Rewrite3解壓目錄中的ISAPI_Rewrite.dll文件為可執行文件并確定。(如圖所示)
windows server 2008是基于NT6 平臺的新型操作系統,其對硬件性能的發揮比起其它NT平臺來說有了質的飛躍,已經開始普及到了廣大用戶中,而且操作較2003來說更為直觀和簡單,受到越來越多的好評。在這里我們要介紹windows server 2008中的php環境搭建。
1. 安裝IIS
windows server 2008的IIS版本為7.0,包括fastcgi,安裝十分方便。
打開“開始”菜單→“服務器管理”,出現服務器管理界面(如圖所示)
在圖中黃色框中填入服務器ip,點擊打開,之后提示輸入用戶名和密碼,驗證成功后完成登錄服務器。
點擊“下一步”之后,需要選擇功能,這里需要比默認選項多增加一個“cgi”(如圖所示)
點擊“下一步”,將會需要確認一下安裝的內容,此時點擊安裝,即可將IIS安裝在操作系統中。
安裝好IIS之后,需要進行一個測試,在瀏覽器地址欄中輸入“http://localhost/”,如果出現IIS7的歡迎頁則說明正常。接下來需要配置一個新網站,首先打開IIS管理器(“開始”→“所有程序”→“管理工具”→“internet 信息服務(IIS)管理器”)。
然后刪除默認網站,在主菜單中,展開網站菜單,然后再網站名稱上右鍵,點擊刪除即可(如圖所示)
再新建一個網站,在“網站”上右擊,點擊添加網站,會出現信息網站添加的表單,首先輸入網站名稱,例如“stourwebcms”,路徑選擇為網站存放的路徑,單IP的服務器可以不必選擇IP,主機頭填寫為localhost,然后點擊確定。
添加好網站后,需要為網站設置用戶訪問權限。在iis管理器左邊的網站列表中選中網站,在右邊的操作列表中點擊“基本設置”,在彈出窗口中點擊“連接為”,彈出的窗口中會出現網站的默認用戶賬戶,也可以更改為其它的用戶。確定網站的用戶賬戶后,將此賬戶的訪問權限設置到網站的根目錄文件夾上(如圖所示)
打開網站目錄,新建一個index.html,然后用記事本打開,輸入“hello stourweb”后保存,并訪問本地地址“http://127.0.0.1”進行測試,網頁上顯示出了“hello stourweb”,說明配置成功。
2. 安裝php
在前面已經提過,IIS7中不必單獨安裝fastcgi,所以,我們只需要下載php安裝包進行安裝即可,下載地址:http://windows.php.net/downloads/releases/archives/ 下載好后,打開安裝程序,經過引導,配置好路徑,來到選擇“web server setup”的地方,在這里我們選擇“IIS fastcgi”(如圖所示)
然后點擊“next”按鈕,到了選擇安裝選項的步驟,一般安裝默認的就可以了,如果要添加的話需要點擊一下前面的磁盤小圖標,然后選擇安裝,第一項是只安裝選中的項目,第二項是安裝所有該項目的子項目。配置好后進入下一步(如圖所示)
配置好后,點擊“next”然后點擊“install”即可安裝php。
當php安裝完成后會自動在iis的處理程序映射中增加一條fastcgi到php的映射關系(如圖所示)
安裝完成后,我們還是需要測試一下,打開剛才新建的網站目錄,新建一個test.php文件,用記事本打開,輸入
<?php
echo phpinfo();
?>
保存退出,再從瀏覽器中訪問http://127.0.0.1/test.php
顯示出php信息,說明php環境安裝成功。
3. 安裝isapi_urlwriter ISAPI擴展組件
isapi_urlwriter ISAPI擴展組件主要用來做地址重寫,重寫后的虛擬靜態地址對搜索引擎更友好。先將ISAPI_Rewrite3安裝包解壓到指定的文件目錄中,然后雙擊iis的ISAPI篩選器配置項,進入網站ISAPI組件配置窗口,點擊添加按鈕,在彈出的窗口中選擇ISAPI_Rewrite3解壓目錄中的ISAPI_Rewrite.dll文件為可執行文件并確定。(如圖所示)
ISAPI_Rewrite3組件是一個32位的程序,因此在64位操作系統應用池進程下默認不工作,因此需要在網站所屬應用進程池的高級設置中將進程池設置為32位兼容(如圖所示)
下載mysql(http://www.mysql.com),安裝過程比較簡單,首先配置路徑,然后選擇安裝選項,一般采用默認安裝的方式,之后會進入一個配置向導界面(如圖所示)
連續下一步,需要選擇配置方式,這里選擇配置方式,我們需要手動配置,所以選擇detailed configuration,然后點擊“下一步”(如圖所示)
這里需要選擇服務器類型,如果是開發用的測試環境,選擇developer Machine ,如果是服務器用,則選擇Server Machine,當然單一用途的服務器還可以選擇dedicated mysql server machine。選擇好后進入下一步(如圖所示)
接下來是選擇服務器使用,第一個是多功能數據庫,可以使用 InnoDB engine和MyISAM engine。第二個選項,它的性能偏向于InnoDB,但是同時支持MyISAM engine。第三個選項是偏向于分析功能的MyISAM。至于這三個選項有什么區別,其實只要知道,MyISAM類型的數據庫引擎可以為php提供強大的檢索和分析功能。InnoDB的性能則偏重于存儲。
所以如果只做web服務器的話選擇第三項即可,如果是有其它用途,建議選擇第一項。
下一步需要選擇服務器上的連接數量,這里如果是測試用的小服務器可以選擇最少的第一項,如果是流量巨大的網站,需要選擇第二項,或者第三項自行填寫。
之后是網絡連接的選項,“enable TCP/IP Networking”可以按照需求來選擇,如果不做集群的話可以把勾去掉,如果是在內網環境,不為mysql做路由規則是完全可以打開此項的。可以直接添加一個防火墻例外給3306端口。端口號可以選擇,但是推薦默認的3306。
還有一項是是否開啟嚴謹模式,此項推薦勾選(如圖所示)
點擊下一步,選擇默認字符集,這里選擇自定義的utf8字符集(如圖所示)
進入下一步,需要設定windows選項,這里推薦安裝windows服務,并且自動啟動。第二個選項,如果有必要,可以選擇添加一個環境變量,可以方便命令行指向。(如圖所示)
配置好后,進入下一步,需要為root用戶設定密碼,請設置一個比較復雜的密碼以增加安全性,另外請牢記自己設置的密碼,否則遺忘了后需要重置密碼十分麻煩。還有一個是否允許root用戶從遠程登錄的選項,此處最好不勾選,否則安全性將會降低。
到此配置就全部結束了,點擊下一步,會出現安裝總結,點擊“execute”執行安裝即可。
安裝成功后,我們依然需要對此進行測試。
在網站中新建一個測試php文件test.php,我們使用pdo鏈接mysql作為測試。
輸入
<?php
$db=new PDO("mysql:host=localhost;dbname=test","root","剛才設置的密碼");
if ($db)
{
echo "ok";
}
?>
訪問http://localhost/test.php,如果屏幕上打印出了ok,表示mysql安裝成功。
1. 安全軟件
一款好的安全軟件能有效防御來自計算機病毒、惡意軟件和木馬的威脅,但能用于服務器的安全軟件并不多,其中大部分都是收費的,平常個人所用的金山毒霸和360等不能安裝到windows server系列的服務器操作系統上,但他們都有相應的服務器版本并且提供免費升級,在他們的官網上面都能夠找到。
2. 防火墻
合理的配置好防火墻能有效的阻止各種惡意入侵,因為各種網絡入侵都是通過相應的網絡端口完成的。網絡端口是服務器上的各種網絡服務開啟的,他們對外提供各種網絡服務,如http、ftp、smtp等。自己的服務器上需要提供哪些網絡服務就只開啟這些服務的相應端口,如服務器上提供網站服務,就需要開啟http的80端口,如需要提供ftp服務就要開啟21端口;有些網絡服務不需要對外提供服務就不應該開啟,如sql server數據庫不需要對外提供服務,就應該在防火墻中關閉掉1433端口。
Windows sever 2003和2008都自帶防火墻,其實能簡單有效的利用這些自帶的防火墻就能有效的完成端口的開閉管理。
l Windows server 2003服務器防火墻配置
1) 鼠標右鍵單擊“網上鄰居”,選擇“屬性”。
2) 然后鼠標右鍵單擊“本地連接”,選擇“屬性”。如圖選擇“高級”選項,選中“Internet連接防火墻”,確定后防火墻即起了作用。
3) 點擊“設置(G)...”按鈕可進行高級設置。其中列出了可用的網絡服務,選中后允許其打開網絡端口并通信,反之則關閉其網絡通信;單擊“添加”則可以增加網絡服務或打開指定的網絡端口
l Windows server 2008服務器防火墻配置
1) 在控制面板中打開網絡和共享中心
2) 點擊“windows防火墻”彈出防火墻配置窗口,在此窗口中要確認防火墻服務已經開啟
3) 單擊“允許程序或功能通過Windows防火墻”彈出網絡服務端口配置窗口,在此窗口中可以選擇允許打開端口并通信的網絡服務,單擊“允許運行另一程序”來自定義開啟某一網絡服務或端口
3. 用戶管理
系統中用戶的數量能越少越好,并且每個用戶都被用于特定的功能,如可以新建一個專門用于對網站進行匿名授權的賬戶(如條件允許,可以為每個網站新建一個獨立的賬戶進行分別授權,這些能夠隔離開各網站的授權,提高各網站的安全性,不至于一個網站被入侵后能夠有權限訪問到其它網站的文件目錄)。另外最重要的一點是要為每個賬戶設置一個獨立且復雜的密碼,防止賬戶密碼被猜解和窮舉。
4. 文件系統權限管理
l C盤只給administrators 和system權限,其他的權限不給,其他的盤也可以這樣設置,這里給的system權限也不一定需要給,只是由于某些第三方應用程序是以服務形式啟動的,需要加上這個用戶,否則造成啟動不了。
l Windows目錄要加上給users的默認權限,否則ASP和ASPX等應用程序就無法運行。其實沒有必要單獨設置Instsrv和temp等目錄權限。
l 另外在c:/Documents and Settings/這里相當重要,后面的目錄里的權限根本不會繼承從前的設置,如果僅僅只是設置了C盤給administrators權限,而在All Users/Application Data目錄下會 出現everyone用戶有完全控制權限,這樣入侵這可以跳轉到這個目錄,寫入腳本或只文件,再結合其他漏洞來提升權限;
譬如利用serv-u的本地溢出提升權限,或系統遺漏有補丁,數據庫的弱點,甚至社會工程學等等N多方法,在用做web/ftp服務器的系統里,建議是將這些目錄都設置的鎖死。其他每個盤的目錄都按照這樣設置,每個盤都只給adinistrators權限。
另外,還將:
net.exe
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.exe
這些文件都設置只允許administrators訪問。
l 網站的目錄最好獨立到一個磁盤中,新建一個為網站匿名訪問而獨立授權的賬戶,讓此賬戶可以訪問和編輯此目錄,移除其它不必要的賬戶對此目錄的訪問權限,能有效防止網站被入侵后從而涉及到整個系統被控制
1. 定期運行安全軟件進行快速掃描
定期運行一下安全軟件,可以看到安全軟件的引擎或病毒庫是否已經更新到了最新版本,如果沒有可以即時查找原因,看是否是安全軟件未運行、升級端口被禁用或其它原因,雖然安全軟件可以在后臺即時掃描各種文件操作,以防止病毒入侵,但有些惡意軟件、流氓軟件或插件則不是實時防護的,雖然這些軟件不會造成服務器宕機,但也會影響服務器性能。
2. 定期檢查防火墻端口配置
隨著服務器上的網絡服務越來越多,需要打開的網絡端口也越來越多,但有些端口是不需要開放的,例如你安裝了一個數據庫軟件(mysql、oracle等),這些數據庫服務很可能只需要在你服務器的內部訪問,就完全沒有必要讓其通過防火墻,這樣能夠提高服務器的安全,服務器對外提供的端口越少越好;
雖然在安裝網絡服務的過程中,防火墻會提示你有網絡端口正在打開,是否允許通過防火墻,但有些管理員沒有細心看提示,直接就同意了,造成了大量沒有必要打開的網絡端口被打開了,特別是一些木馬或惡意軟件會混水摸魚,偽裝提示信息來誘騙管理員打開網絡端口,造成大量的安全隱患。進入防火墻配置界面,選擇相應的端口或網絡服務,點擊“詳細信息”則可以看到此項應用的詳細信息,根據這些信息來判斷其是否應該開啟這個端口。
3. 任務管理器中觀察有無可疑進程,了解系統資源使用情況
任務管理器可以簡單并快速的了解服務系統資源的使用情況,并即時查看系統運行的進程和他們占用的系統資源,根據服務器上已開啟的各種應用的服務來判斷哪些進程是非法的,哪些進程占用的系統資源過多。了解到這些信息后就可以即時的對服務器進行調整,特別是占用資源過多的進程進行分析,看是否有什么異常并即時進行調整。
l 觀察系統進程,并自定義進程屬性
l 查看網絡使用情況
l 查看系統資源使用情況
4. 檢查IIS,了解網站安裝情況
隨時了解服務器上網站的安裝狀況,并做以下檢查:
l 看各個網站定義的主機頭是否異常
l 綁定的域名是否完整
l 主目錄設置是正確
l 用戶權限設置是否合理
l 查看IIS的應用程序池設置是否合理,每個池下面托管的網站是否過多,是否需要設置新的應用池,是否有多余的應用池可以刪除。
5. 查看系統日志,仔細檢查錯誤、警告日志發生的原因,并急時修復相應的問題。
6. 檢查系統用戶,查看有無多余,可疑用戶賬戶,查看每個賬戶所屬的用戶組,特別是administrators組下面的用戶。服務器被入侵時會出現一些欺騙性的賬戶并被加入到administrators組中,特別留心新建的多余賬戶,弄清這些賬戶的用途,如果發現是入侵者建立的賬戶,要即時查找賬戶是被創建的原因,并修復相應的漏洞。
7. 檢查文件系統,確保磁盤被合理分區,各個分區應該有各自的功能,如系統、數據庫、網站、備份等。各個分區的用戶授權是不相同的,如系統、備份等不需要網站的專門授權賬戶訪問,數據庫分區需要對數據庫賬戶進行單獨的授權等。既然規劃好了文件分區和功能,并進行了相應的授權,就要防止文件被亂放,以免造成安全隱患。
還要經常檢查各種新建的文件夾和文件(特別是來歷不明,名稱畸形的隱藏文件夾和文件)這些都有可能是入侵者留下的入侵痕跡。
8. 清除垃圾文件,隨時系統運行時間的增加,會產生很多的臨時文件和日志文件,占用寶貴的磁盤資源,如果磁盤的可用空間過?。ㄌ貏e是系統盤)還會影響服務器性能。
l 臨時文件(安裝程序、系統升級、應用程序等產生的)產生的,主要在系統盤,可以看哪些文件夾的體積異常大,可分析其內部文件,確認是臨時文件后將其刪除
l 日志文件,主要是IIS產生的,這些日志文件對于查看網站運行狀態、訪問歷史很有用,但日志有時效性,如果超過其三個月就沒有什么用處了,但它會占用大量的磁盤空間,所以需要定期將其刪除。
9. 定期檢查磁盤狀態并進行碎片整理,隨著系統運行時間的增長,特別是大量的IO操作后,磁盤上會產生大量的文件碎片,這些碎片過多則會嚴重影響服務器性能,所以定期(建議一個月)進行磁盤碎片檢查,如果系統提醒需要進行碎片整理,則進行整理。
10. 及時升級操作系統補丁,操作系統有各種大量的補丁,特別是一些重要的安全補丁需要即時升級,這樣會有效防止黑客和病毒入侵。
11. 及時備份重要的文件、應用、數據庫。備份分為本地備份和異地備份,有條件的可以進行異地備份,備份是為了以防萬一,當數據丟失或應用損壞時,備份就是救命稻草,因此合理的備份計劃是非常有必要的。
12. 不要隨意下載安裝來歷不明的軟件,特別是需要連接網絡或需要打開端口的?,F在網上許多的程序都內置有木馬或惡意程序,所以不要下載和安裝網上的不明軟件,特別是一些小網站的。
贊
10
有一點幫助
0
沒有幫助
參與評論