Bootstrap

LAMP分布式安全方案搭建网页 (LinuxCentOS7+Apache+Mariadb+PHP)包括服务端口及防火墙规则配置

目录

一、实验目的

二、设计方案及规划

三、实验内容及步骤

(1)实验前基础配置

(2)Test配置,安装Firefox浏览器和图形界面

(3)Web安装Apache

(4)Database安装Mariadb

(5)Web安装php-fpm

(6)Web安装phpmyadmin

(7)给phpMyAdmin设置登录密码

(8)配置服务端口

Web中的服务端口配置:

Database中的服务端口配置:

(9)配置防火墙进出规则

Test的防火墙进出规则配置:

Web的防火墙进出规则配置:

Database的防火墙进出规则配置:

四、总结


一、实验目的

1. 了解LAMP架构的概念和特点,包括Linux操作系统、Apache服务器、MySQL数据库和PHP编程语言的组成和功能;

2. 学习如何在分布式环境下搭建和部署LAMP架构,提高系统的性能和可靠性;

3. 掌握LAMP架构的搭建过程,学习如何配置和管理各个组件,以及如何实现负载均衡和高可用性;

4. 熟悉分布式架构下的数据存储和管理方式,了解如何对数据进行备份和恢复,提高系统的安全性和稳定性;

5. 实践LAMP架构下的开发和部署流程,掌握如何设计和开发基于LAMP的Web应用程序。

二、设计方案及规划

网络拓扑结构图(箭头所指处为可访问的主机)

IP地址、端口分配等

系统

IP

安装的软件

作用

Test

CentOS7

10.0.0.8(:10022)

Firefox

测试

Web

CentOS7

10.0.0.9(:10022)

Apache(:80\:88\:10080)、php-fpm、

phpmyadmin

提供网页

Database

CentOS7

10.0.0.10(:10022)

MySQL(mariadb:30213)

存储数据

Windows

Windows11

/

/

远程连接控制

三、实验内容及步骤

(1)实验前基础配置

        安装并配置虚拟机Test、Web、Database的主机名、IP、网络、yum源及远程连接(以上步骤略),关闭防火墙SElinux服务,并修改远程连接端口为10022

1、永久关闭防火墙(防止开机自启)

systemctl disable firewalld

2、临时关闭SElinux服务

 setenforce 0  #关闭SELinux
 getenforce   #查看状态

3、修改ssh端口,进入ssh配置文件

vi /etc/ssh/sshd_config

2、找到端口那一行,将#去掉,并将22改为10022

3、开放ssh使用的端口10022

semanage port -l | grep ssh

4、使用Windows远程连接(注意连接时端口号填写为10022)

至此三台虚拟机的基本配置已完成

(2)Test配置,安装Firefox浏览器和图形界面

1、查看Test主机版本

uname -a

2.1、使用Windows进入Firefox官网选择对应的版本并下载(如果配置好了yum源请直接看2.2)

https://www.firefox.com.cn/download/

 将下载好的压缩包上传到虚拟机中

将其解压缩

tar -xjvf Firefox-latest-x86_64.tar.bz2

移入系统目录,并为其创建软链接

mv firefox /usr/lib64
ln -s /usr/lib64/firefox/firefox /usr/bin/firefox

2.2、或者直接使用命令下载(需配置好yum源)

yum -y install firefox

4、由于firefox未安装图形界面无法启动,我们为其安装图形界面

yum -y groupinstall "x Window system"
yum -y groupinstall “Gnome"

5、启用图形界面

startx

6、进入虚拟机内查看图形界面是否启动成功

(3)Web安装Apache

1、下载httpd

yum -y install httpd

2、查看版本号

http -v

3、将http服务添加到开机自启动并开启http服务

systemctl enable httpd && systemctl start httpd

4、进入浏览器输入Web的IP地址可以看到如下界面,即Apache安装成功

(4)Database安装Mariadb

1、进入mariadb.repo文件中配置yum源文件

vi /etc/yum.repos.d/mariadb.repo

配置文件如下: 

[mariadb]
name = MariaDB
baseurl = https://mirrors.tuna.tsinghua.edu.cn/mariadb/yum/10.5/centos7-amd64
gpgkey = https://mirrors.tuna.tsinghua.edu.cn/mariadb/yum/RPM-GPG-KEY-MariaDB
gpgcheck = 1

2、列出系统上所有可用的Yum软件源,可以看到我们刚才添加的Mariadb源

yum repolist

3、安装Mariadb

yum install -y mariadb-server

4、测试启用Mariadb

systemctl start mariadb
systemctl stop mariadb
systemctl start mysqld
\q
systemctl stop mysqld

5、输入mysql_secure_installation,初始化数据库

Enter current password for root (enter for none):          初次运行直接回车

设置密码

Switch to unix_socket authentication [Y/n]                     输入y并回车

Change the root password? [Y/n]                                   输入y并回车

New password:                                                              设置root用户密码

Re-enter new password:                                               再次输入密码

Remove anonymous users? [Y/n]                               是否删除匿名用户,输入y回车

Disallow root login remotely? [Y/n]                             是否禁止root远程登录,这里我们输入n

Remove test database and access to it? [Y/n]                是否删除test数据库,输入y回车

Reload privilege tables now? [Y/n]                                 是否重新加载表权限,输入y回

mysql_secure_installation

6、重新启动Mariadb,root设置成功

systemctl restart mariadb.service

(5)Web安装php-fpm

1、用命令php -v查看是否存在php,如果有则使用命令yum remove -y php*卸载(为防止版本过低)

php -v

2、更换yum源

sudo yum install -y https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm 
sudo yum install https://rpms.remirepo.net/enterprise/remi-release-7.rpm

3、为PHP 8启用流模块

sudo yum-config-manager --disable 'remi-php*'
sudo yum-config-manager --enable remi-php80

4、安装PHP 8及扩展相关软件

sudo yum install -y php php-{extension_name}

5、查看是否安装成功

php -v

6、进入编辑文件index.php

vi /var/www/html/index.php

<?php
    phpinfo();
?>

7、进入浏览器输入WebIP/index.php

8、安装php-fpm服务

yum install -y php-mysqli

9、启用服务并加入开机自启动

(6)Web安装phpmyadmin

1、从网络上下载phpMyAdmin的压缩包

wget https://www.phpmyadmin.net/downloads/phpMyAdmin-latest-all-languages.tar.gz		

2、解压缩

tar -xvzf phpMyAdmin-latest-all-languages.tar.gz

3、将文件移入存储网页的文件夹中

ls
mv phpMyAdmin-5.2.1-all-languages phpMyAdmin #重命名
mv phpMyAdmin /var/www/html/

4、重启服务

systemctl restart httpd
systemctl restart php-fpm

5、输入webIP+/phpMyAdmin/index.php进入网页,查看是否出现此界面

(7)给phpMyAdmin设置登录密码

Web中的操作:

1、进入phpMyAdmin文档中找到inc.php结尾的文件,将其改名为config.inc.php

cd /var/www/html/phpMyAdmin/
ls  #如果不是config.inc.php,而是config.sample.inc.php,就将文件改成config.inc.php

2、进入config.inc.php文档中,对框选中的位置进行更改,添加Database的IP,登录用户名,密码,进入端口等信息

vi config.inc.php

$cfg['Servers'][$i]['host'] = '10.0.0.10';		# 如果你的数据库服务器在另一台机器上,这里改为该机器的 IP 或域名
$cfg['Servers'][$i]['compress'] = false;
$cfg['Servers'][$i]['AllowNoPassword'] = false;
$cfg['Servers'][$i]['user'] = 'pl'; # 这里填入你的 MySQL/MariaDB 用户名
$cfg['Servers'][$i]['password'] = '123456'; # 这里填入你的 MySQL/MariaDB 密码
$cfg['Servers'][$i]['port'] = '3306'; # 默认 MariaDB/MySQL 端口是 3306
$cfg['Servers'][$i]['socket'] = ''; # 如果你的服务器使用 socket 连接,这里指定 socket 路径

3、重启服务

systemctl restart httpd
systemctl restart php-fpm

Database中的操作:

1、使用先前初始化数据库设置的root密码登录进去,添加允许登录的主机IP,用户名和密码等信息

mysql -u root -p    # 进入数据库

Enter password:				# 输入root用户密码

SELECT User, Host FROM mysql.user;        #  查看MariaDB中的所有用户

CREATE USER 'pl'@'10.0.0.9' IDENTIFIED BY '123456';   # 创建一个新用户并为其设置密码

GRANT ALL PRIVILEGES ON mysql.* TO 'pl'@'10.0.0.9';		# 为用户授予权限

FLUSH PRIVILEGES;			# 刷新权限

\q    # 退出

2、查看用户列表是否添加成功

mysql -u root -p    # 进入数据库

Enter password:				# 输入root用户密码

SELECT User, Host FROM mysql.user;        #  查看MariaDB中的所有用户

\q    # 退出

Test中的操作:

1、输入webIP+/phpMyAdmin/index.php进入网页中

2、输入刚才录入的用户名和密码,登录

3、出现以下界面即phpMyAdmin登录密码设置成功

(8)配置服务端口

        因为Test、Web、Database三台主机是仅通过IP和服务端口单向访问的,所以接下来将配置

Web和Database的服务端口,以及三台主机的防火墙策略。

首先给三台虚拟机分别安装网络工具(由于实验所用的CentOS均为最小安装,所以缺省了网络命令工具)

yum install -y net-tools

Web中的服务端口配置:

1、查看http服务端口

netstat -antlupe | grep httpd

2、进入配置文件

vi /etc/httpd//conf/httpd.conf

3、新增88和10080两个端口,然后保存文件并退出

4、重启http服务

systemctl restart httpd

5、查看端口是否添加成功

netstat -tunlp | grep http

6、进入浏览器访问88和10080这两个端口,查看是否存在对应服务,出现以下界面即成功

Database中的服务端口配置:

1、进入配置文件

vi /var/www/html/phpMyAdmin/config.inc.php

2、将默认端口3306更改

3、重启mariadb服务

systemctl restart mariadb

4、查看mariadb服务端口

netstat -tunlp | grep mariadb

(9)配置防火墙进出规则

Test的防火墙进出规则配置:

        由于三台虚拟机处于同一网段中,他们ssh可以互相登录。所以Test中只需要禁止其他两台ssh登录Test

1、开启防火墙并加入开机自启

systemctl start firewalld
systemctl enable firewalld

2、新增防火墙规则

firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="10.0.0.9" port protocol="tcp" port="10022" reject'	    # 拒绝web机通过10022端口访问test机的ssh
firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="10.0.0.10" port protocol="tcp" port="10022" reject'    # 拒绝Data机通过10022端口访问test机的ssh

3、重新加载防火墙规则并查看防火墙规则

firewall-cmd --reload	   # 重新加载firewalld

firewall-cmd --list-all    # 查看防火墙规则

4、ssh登录,查看是否配置成功

Web的防火墙进出规则配置:

        由于三台虚拟机处于同一网段中,他们ssh可以互相登录。http服务也只能Test访问。所以需要禁止其他两台ssh登录,并配置http访问规则

1、开启防火墙并加入开机自启

systemctl start firewalld
systemctl enable firewalld

2、查看防火墙规则

firewall-cmd --list-all    # 查看防火墙规则

3、新增防火墙规则

配置http规则:

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="10.0.0.8" port protocol="tcp" port="10080" accept'	# 允许测试机IP通过10080端口访问httpd

firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="10.0.0.8" port protocol="tcp" port="88" accept'	# 允许测试机通过80端口访问httpd

firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="10.0.0.8" port protocol="tcp" port="80" accept'	# 允许测试机通过8080端口访问httpd

配置ssh规则:

firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="10.0.0.8" port protocol="tcp" port="10022" reject'	    # 拒绝test机通过10022端口访问web机的ssh
firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="10.0.0.10" port protocol="tcp" port="10022" reject'    # 拒绝Data机通过10022端口访问web机的ssh

4、重新加载防火墙规则

firewall-cmd --reload	   # 重新加载firewalld

firewall-cmd --list-all    # 查看防火墙规则

5、测试shh登录

Database的防火墙进出规则配置:

        由于三台虚拟机处于同一网段中,他们ssh可以互相登录。http服务也只能Web访问。所以需要禁止其他两台ssh登录,并配置数据库访问规则

1、开启防火墙并加入开机自启

systemctl start firewalld
systemctl enable firewalld

2、查看防火墙规则

firewall-cmd --list-all    # 查看防火墙规则

4、新增防火墙规则并重新加载防火墙规则

配置数据库规则:

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="10.0.0.9" port protocol="tcp" port="30212" accept'   # 允许webIP通过30212端口访问数据库

配置ssh规则:

firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="10.0.0.9" port protocol="tcp" port="10022" reject'	    # 拒绝web机通过10022端口访问Data机的ssh
firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="10.0.0.8" port protocol="tcp" port="10022" reject'    # 拒绝Test机通过10022端口访问DAta机的ssh

5、再次查看防火墙规则是否配置成功

firewall-cmd --reload	   # 重新加载firewalld

firewall-cmd --list-all    # 查看防火墙规则

6、测试shh

四、总结

        至此LAMP的分布式配置已全部完成,希望本文能对大家有帮助!如果有帮到大家,希望大家能留个赞再离开,谢谢啦!

;