本文简单记录下Linux环境下lvs-nat模式（基础调度器路由转发）负载均衡简单配置，揭开这个神秘东西的面纱，让你五分钟钟搞定配置LVS-NAT。 环境配置：    三台centos 6.5 调度器：        DIP：192.168.1.11   VIP：192.168.1.110 web服务器： RIP：192.168.1.9     RIP：192.168.1.10 一，前期服务器环境搭建由于是之前kvm克隆了dr模式下的服务器，这里和dr下边的IP和服务器环境信息是一样的。只不过是web服务器取消了arp禁响应和VIP配置。 （1） 配置lamp环境，这里不做演示。 （2）关闭selinux、调度器和所有web服务器上的iptables （3）设置时间同步，保证服务器时间一致（后期nfs或数据同步用到，包括session同步需要） 二，配置调度器1，开启IP转发 vi /etc/sysctl.confnet.ipv4.ip_forward = 1sysctl -p可以查看是否开启。2，调度器安装ipvsadm和keepalived 首先安装依赖包： yum -y install gcc make openssl-devel openssl net-snmp net-snmp-devel popt popt-devel安装ipvs和keepalived： yum install ipvsadm  keepalived  -ychkconfig ipvsadm onchkconfig keepalived on修改keepalived....

nginx集群中如何使用Memcached实现Session共享 这几天在实现nginx集群的过程中，发现session使用存在问题，登录页面后有时候需要重复登录，和开发部沟通后，决定采用memcached来实现session的共享，这也是各大型网站推荐的方式。开发部开始写了一些用memcache来保存session的代码后，测试效果不是很理想，还是存在问题，后来在一个blog上发现可以直接在php.ini中设定使用memcache作为session处理,而且无须另外编码,大大较少了开发成本，方法是:修改php.ini中的以下值session.save_handler = memcachesession.save_path = ‘tcp://192.168.100.100:12000’ 重新启动apache,查看phpinfo就知道设置是否生效。如果只想在特定的应用里使用memcache储存session,可以使用ini_set的方法对以上两个参数进行设定:ini_set(“session.save_handler”, “memcache”);ini_set(“session.save_path”, “192.168.100.100:12000”);注：使用多个 memcached server 时用逗号”,”隔开，可以带额外的参数”persistent”、”weight”、”timeout”、”retry_interval” 等等，类似这样的：”tcp://host:port?persistent=1&weight=2,tcp://host2:port2″。要测试一下是否真正用上了mem...

nginx下后端节点realserverweb健康检测模块ngx_http_upstream_check_module    公司前一段对业务线上的nginx做了整理，重点就是对nginx上负载均衡器的后端节点做健康检查。目前，nginx对后端节点健康检查的方式主要有3种，这里列出：1、ngx_http_proxy_module 模块和ngx_http_upstream_module模块（自带）    官网地址：http://nginx.org/cn/docs/http/ngx_http_proxy_module.html#proxy_next_upstream2、nginx_upstream_check_module模块    官网网址：https://github.com/yaoweibin/nginx_upstream_check_module3、ngx_http_healthcheck_module模块    官网网址：http://wiki.nginx.org/NginxHttpHealthcheckModule公司业务线上对后端节点的健康检查是通过nginx_upstream_check_module模块做的，这里我将分别介绍这三种实现方式以及之间的差异性。一、ngx_http_proxy_module 模块和ngx_http_upstream_module模块（自带）严格来说，nginx自带是没有针对负载均衡后端节点的健康检查的，但是可以通过默认自带的ngx_http_proxy_module 模块和ngx_http_upstream_module模块中的相关指令来完成当后端...

扩展：Nginx为什么比Apache Httpd高效：原理篇 http://www.toxingwang.com/linux-unix/linux-basic/1712.htmlapache和nginx工作原理比较 http://www.server110.com/nginx/201402/6543.htmlmod_php 和 mod_fastcgi以及php-fpm的比较 http://dwz.cn/1lwMSd概念了解：CGI，FastCGI，PHP-CGI与PHP-FPMhttp://www.nowamagic.net/librarys/veda/detail/1319/12.1 LNMP架构介绍1和LAMP不同的是，提供web服务的是Nginx2 并且php是作为一个独立服务存在的，这个服务叫做php-fpm3 Nginx直接处理静态请求，动态请求会转发给php-fpm12.2 MySQL安装删除之前安装的mysql1. 查看之前安装mysql是否开启：[root@hao-01 ~]# ps aux |grep mysql2. 关闭之前安装的mysql服务：[root@hao-01 ~]# service mysqld stop3. 删除之前安装的mysql目录：[root@hao-01 ~]# rm -rf /usr/local/mysql4. 删除之前安装的mysql启动脚本：[root@hao-01 ~]# rm -rf /etc/init.d/mysqld5. 删除之前安装的mysql目录：[root@hao-01 ~]# rm -rf /data/mysql安装mysql：安装下载工具： yum -y install wget1. 进...

Sersync + Rsync 代码分发简介： Sersync 是基于 inotify 来编写的 Linux 系统文件监控工具，当监控到文件发生变化时，调用 rsync 同步文件。 类似的功能，以前有用 rsync + inotify 实现过，这次来使用一下这个同步更迅速、功能更完善的 Sersync 。 一、代码分发服务器上安装 Sersync 、Rsync shell > cd /usr/local/src shell > wget https://github.com/wsgzao/sersync/archive/master.zip shell > unzip master.zip shell > cd sersync-master && ls inotify-tools-3.14.tar.gz README.md rsync-3.1.1.tar.gz sersync2.5.4_64bit_binary_stable_final.tar.gz# 来到这里，你只要看一眼 README.md 你就啥都懂了> Rsyncshell > tar zxf rsync-3.1.1.tar.gz shell > cd rsync-3.1.1 shell > ./configure; make; make install> Inotify-toolsshell > tar zxf inotify-tools-3.14.tar.gz shell > cd inotify-tools-3.14 shell > ./configure; make; make install> Sersync ( 监控同步目录变化，调用 Rsync 同步数据 )shell > tar zxf sersync2.5.4_64bit_binary_stable_final.tar.gz shell > mv GNU-Li...

Nginx 反向代理、后端检测模块简介： Nginx 反向代理模块：ngx_http_proxy_module、ngx_http_upstream_module 后端检测模块：nginx_http_upstream_check_module 前者是官方提供的，安装 Nginx 的时候默认就内置了，可以直接使用，地址：http://nginx.org/en/docs/http/ngx_http_proxy_module.html 后者是淘宝大神提供的后端检测模块，需要手动编译添加，地址：https://github.com/yaoweibin/nginx_upstream_check_module 当前稳定版本：http://nginx.org/download/nginx-1.12.2.tar.gz一、实验环境1、Nginxshell > yum -y install gcc gcc-c++ make wget zlib-devel pcre-devel openssl-devel shell > wget http://nginx.org/download/nginx-1.12.2.tar.gz shell > tar zxf nginx-1.12.2.tar.gz; cd nginx-1.12.2 shell > ./configure --prefix=/usr/local/nginx-1.12.2 && make && make install2、后端服务器shell > curl 192.168.10.24:8080 welcome to tomcat1 shell > curl 192.168.10.24:8081 welcome to tomcat2 shell > curl 192.168.10.24:8082 welcome to tomcat3# 好了，三台后端服务器已经启动，分别监听 8080、...

Oracle WebLogic Server Java反序列化漏洞CVE-2018-2628 阅读： 16Oracle官方发布了4月份的关键补丁更新CPU（Critical Patch Update）,其中包含一个高危的远程代码执行漏洞(CVE-2018-2628)，通过该漏洞，攻击者可以在未授权的情况下远程执行任意代码。绿盟科技专家迅速响应，第一时间制定解决方案，并提供绿盟网络入侵防护系统（NIPS）和绿盟下一代防火墙系统（NF）最新升级包下载预警编号：NS-2018-0015关注级别：红，此漏洞利用简单，可直接获取系统控制权限，存在被攻击者挖矿利用的可能性文章目录 WebLogic漏洞概述北京时间4月18日凌晨，Oracle官方发布了4月份的关键补丁更新CPU（Critical Patch Update）,其中包含一个高危的远程代码执行漏洞(CVE-2018-2628)，通过该漏洞，攻击者可以在未授权的情况下远程执行任意代码。CVSS 评分：9.8，CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H此漏洞产生于Weblogic T3服务，所有开放Weblogic控制台端口的应用，均会默认开启T3服务，因此会造成较大范围的影响。根据绿盟态势感知平台查询的结果，在全球范围内对互联网开放Weblogic服务的资产数量多达19,229，其中归属中国地区的受影响资产数量为1,787。 WebLogic漏洞影响范围 受...

主机放在防火墙后面内网中，安装有oracle数据库，主机也没法上外网，所以下载好相关软件包后，再执行安装。#:  yum install pam-devel 安装相关依赖包，这里不再说了。#：   wget ftp://ftp2.eu.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-7.6p1.tar.gz#：  tar zxvf openssh-7.6p1.tar.gz #：  cd openssh-7.6p1#：  ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-zlib --with-ssl --with-md5-passwords#：  make安装软件包之前，需要先备份/etc/ssh，将此目录重命令。#：  make install#：  cp contrib/redhat/sshd.init /etc/init.d/sshd最后修改配置文件/etc/ssh/sshd_config，并添加启动服务，重启服务。#    $OpenBSD: sshd_config,v 1.101 2017/03/14 07:19:07 djm Exp $# This is the sshd server system-wide configuration file.  See# sshd_config(5) for more information.# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin# The strategy used for options in the default sshd_config shipped with# OpenSSH is to specify options with th...

1.简介 CVE-2017-10271是weblogic wls-wsat组件的一个xml反序列化漏洞，可造成远程命令执行。更详细分析可见参考链接，本文强调在进行参考链接修复中的一些细节。   2.影响版本 OracleWebLogic Server10.3.6.0.0OracleWebLogic Server12.1.3.0.0OracleWebLogic Server12.2.1.1.0OracleWebLogic Server12.2.1.2.0 打了B25A及其之前版本的补丁都没用，需要打2017年10月的补丁（FMJJ）   3.处理办法 3.1临时处理办法 删除wls-wsat组件，然后重启weblogic（weblogic安装路径和domain名等根据自己实际情况修改） rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war rm -f /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war rm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat cd /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/bin ./stopWebLogic.sh ./startWebLogic.sh & 说明： 1....

点劫持（Clickjacking: X-Frame-Options header missing）（低危）修复建议：配置web server使之包含一个X-Fame-Options头。解决方法：1>  首先查看是否已编译mod_headers.c模块    # /usr/local/apache2/bin/apachectl -l2>  如果没有，首先编译mod_headers.c模块      # cd /root/httpd-2.2.31/modules/metadata/      # /usr/local/apache2/bin/apxs -i -a -c -n headers mod_headers.c      --用apxs工具添加模块 3> 修改配置文件      # vim /usr/local/apache2/conf/httpd.conf      添加如下内容：<IFModule mod_headers.c> Header always append X-Frame-Options SAMEORIGIN </IFModule>4> 重启httpd服务。     # /usr/local/apache2/bin/apachectl restart