centos lamp应用部署最佳实践

在CentOS上部署LAMP（Linux, Apache, MySQL, PHP）环境是一个常见的任务，以下是一些最佳实践：

部署步骤

1. 系统准备：

• 更新系统：

sudo yum update -y

• 关闭防火墙：

sudo systemctl stop firewalld
sudo systemctl disable firewalld

• 关闭SELinux：

sudo setenforce 0
sudo sed -i 's/^SELINUX=.*/SELINUX=disabled/g' /etc/selinux/config

• 配置IP地址：编辑 /etc/sysconfig/network-scripts/ifcfg-ens33 文件，设置静态IP。
• 重启网络服务：

sudo systemctl restart network

2. 安装Apache：

sudo yum install httpd httpd-manual mod_ssl mod_perl -y

启动Apache服务并设置开机自启：

sudo systemctl start httpd
sudo systemctl enable httpd

访问验证：在浏览器中访问 http://your_server_ip:80，如果看到Apache的默认页面，说明安装成功。

3. 安装MySQL：

sudo yum install mysql-community-server -y

启动MySQL服务并设置开机自启：

sudo systemctl start mysqld
sudo systemctl enable mysqld

配置MySQL安全性：

sudo mysql_secure_installation

4. 安装PHP：

sudo yum install php php-mysql php-fpm -y

配置PHP支持MySQL：编辑 /etc/php.ini 文件，确保以下行未被注释：

extension=mysql.so

重启Apache服务：

sudo systemctl restart httpd

测试PHP：创建一个 info.php 文件：

<?php phpinfo(); ?>

放在 /var/www/html/ 目录下，然后在浏览器中访问 http://your_server_ip/info.php，如果看到PHP信息页面，说明PHP安装成功。

5. 配置虚拟主机（可选）：

编辑 /etc/httpd/conf.d/example.com.conf 文件，设置正确的路径和权限。 重启Apache服务：

sudo systemctl restart httpd

6. 配置phpMyAdmin（可选）：

sudo yum install phpmyadmin -y

配置phpMyAdmin：编辑 /etc/httpd/conf.d/phpmyadmin.conf 文件，设置正确的路径和权限。 启动phpMyAdmin服务：

sudo systemctl start phpmyadmin
sudo systemctl enable phpmyadmin

访问phpMyAdmin：在浏览器中访问 http://your_server_ip/phpmyadmin，输入MySQL的root密码进行登录。

安全性最佳实践

1. 系统配置：

• 关闭不必要的服务：使用 chkconfig命令管理运行级别，关闭不需要的服务。
• 禁用不必要的服务：例如，关闭SSH的root直接登录，使用 PermitRootLogin no配置。
• 配置防火墙：使用 firewalld或 iptables限制对特定端口的访问。
• 禁用SELinux：在不需要严格安全策略时，可以将其设置为宽松模式或完全禁用。

2. 软件更新：

• 定期更新：使用 yum update命令定期检查并更新系统和软件包，以修补已知的安全漏洞。
• 安全补丁管理：下载并安装CentOS官方提供的最新安全补丁。

3. 访问控制：

• 限制用户权限：通过 visudo编辑 /etc/sudoers文件，精确控制用户对系统的访问权限。
• SSH安全配置：修改SSH配置文件，例如更改默认端口、禁用root登录等。

4. 代码安全：

• Web应用防火墙（WAF）：部署WAF来保护Web应用免受常见的攻击，如SQL注入和跨站脚本攻击（XSS）。
• 输入验证：对用户输入进行严格的验证和过滤，防止SQL注入等攻击。

5. 监控和日志：

• 日志记录：配置日志记录，监控异常行为，例如使用 syslog记录系统活动。
• 定期审计：定期审计系统和应用日志，检查潜在的安全问题。

性能优化

1. 硬件优化：

• 增加硬件资源：确保服务器有足够的RAM、CPU和存储空间。
• 使用高性能硬件：例如，使用SSD而不是HDD，选择高性能的网卡和交换机。

2. 系统配置优化：

• 更新系统和软件包：保持系统和所有已安装的软件包都是最新的。
• 调整内核参数：编辑 /etc/sysctl.conf 文件，添加或修改以下参数以提高性能：

net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_keepalive_time = 1200
net.ipv4.ip_local_port_range = "1024 65535"
net.ipv4.tcp_max_syn_backlog = 8192
net.core.somaxconn = 1024
net.core.netdev_max_backlog = 2000
net.ipv4.tcp_max_orphans = 32768
net.ipv4.tcp_syncookies = 1

使更改生效：

sudo sysctl -p

• 关闭不必要的服务：使用 systemctl命令关闭不需要的系统服务。
• 使用高效的文件系统：如使用XFS或Btrfs等。
• 调整内存分配策略：编辑 /etc/sysctl.conf 文件，添加或修改以下参数以提高内存性能：

vm.swappiness = 10
vm.dirty_background_ratio = 5
vm.dirty_ratio = 10

使更改生效：

sudo sysctl -p

3. 网络优化：

• 调整网络接口的缓冲区。
• 关闭不必要的网络服务。

4. Apache优化：

• 调整MaxKeepAliveRequests：以限制持久连接的数量。
• 调整KeepAliveTimeout：以控制空闲连接的持续时间。

5. MySQL/MariaDB优化：

• 调整innodb_buffer_pool_size：以提高InnoDB表的缓存大小。
• 启用查询缓存。

6. PHP优化：

• 禁用不必要的模块。
• 启用Opcode缓存（如OPcache）。
• 使用缓存机制：安装并配置Varnish或其他HTTP缓存，使用Memcached或Redis作为应用层缓存。

7. 文件系统优化：

• 使用noatime挂载选项：减少磁盘I/O。
• 定期运行 fsck检查和修复文件系统。

通过上述步骤和最佳实践，你可以在CentOS上成功部署一个安全、稳定且高性能的LAMP环境。