Total Pageviews

Sunday 19 February 2012

centos vps下,打开非标准端口以及SELinux配置


附件往往会放在一个非标准端口提供下载。而CentOS默认只开标准端口,如80。所以需要自己手动修改iptables规则。比如开8080,在 /etc/sysconfig/iptables 文件中加入一行:
-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 8080 -j ACCEPT
重启iptables,重新加载规则:
service iptables restart
参考:http://www.cyberciti.biz/faq/howto-rhel-linux-open-port-using-iptables/

配置httpd
这个跟ubuntu 上的apache类似,需要注意的是
NameVirtualHost *:80
指令。配置虚拟主机必备。

补充
服务器貌似是被SYN Flood攻击。ubuntu desktop再不稳定也不至于一天死个两三次。今天局域网测试了SYN Flood,CentOS也挡不住的,得配个防火墙。
上 次测试了下,貌似机房有抵御SYN Flood攻击的能力。比较麻烦的是那种,建立tcp连接之后不干事的请求。这种也不会有apache日志记录,目前还没办法分析是哪些IP发起的攻击。 而且,由于有不少是移动网络访问,限制单IP连接数,可能会封掉移动网络的网关IP。

SELinux 配置

SELinux 全称是Security Enhanced Linux,是一个访问控制系统。CentOS上有安装并默认了规则。其中有一条默认规则是不让httpd做远程连接。处理这个问题有两个办法,第一是修改规则,把远程连接打开:
setsebool -P httpd_can_network_connect=1
第二种是关闭SElinux 对httpd的控制:
setsebool -P httpd_disable_trans 1
上次迁移discuz论坛就遇到了这个问题,导致附件上传不上服务器。参考 http://www.linuxquestions.org/questions/red-hat-31/centos-5-3-php-ftp_connect-working-command-line-only-758922/ 文中的评论。

No comments:

Post a Comment