2012年12月7日

  当服务器/主机【被】提交了漏洞到乌云网上该怎么办?有人给出的答案是采用禁用函数的方法来保证服务器环境的安全。

  但是,禁用函数真的是最好的选择么?不是的!

  AMH面板的开发者Amysql告诉我们,更好的选择是Chroot!

  AMH面板是一款LNMP面板,一方面,为了方便版本升级,另一方面,面板是开发者一个人开发的,所以AMH没有像kangle,WDCP,LUM,webmin等采用二进制文件实现平台的环境,而是使用基于AMP的PHP程序来控制平台。这样,就要考虑到PHP的安全问题了。由于PHP写成的程序,所以需要大量的的使用exec,shell_exec两个函数来实现面板和系统的信息交换处理。显然,小蒋给出的限制函数的方法并不适合AMH这样的面板。那么,Amysql如何解决PHP的运行安全问题呢?

  Amysql采用了这样的方法。对于AMH下的虚拟主机,一律开启Chroot来保证安全,而控制台PHP则关闭chroot来保证面板的正常运作。

  说了这么多,那么什么是Chroot呢?

  据维基百科的词条解释,Chroot本是Unix下的一个命令,但是,在PHP-FPM中,也是引入了这一功能。

  维基词条:chroot是在unix系统的一个操作,用于对当前的程序和它的子进程改变真实的磁盘根目录。

  Chroot的工作原理是什么呢?

  由于LNMP环境下,PHP-FPM与Nginx的通信只能通过CGI实现,所以,如果你在FPM设置中对文件的根目录进行修改,那么,你的PHP程序就无法跨越这个指定的根目录。而面板所在的虚拟主机,由于没有开启Chroot,所以使用的根目录依然是系统的根目录 /

  具体解释一下?

  就拿我用的AMH面板的控制台和普通虚拟主机来说明。控制台文件放在/home/Wwwroot/Index/Web文件夹下,普通主机的文件放在/home/wwwroot/Domain/web文件夹下。对于控制台程序,由于没有开启Chroot,所以,这个PHP文件的实际位置和运行位置相同,都是/home/wwwroot/Index/web/,而其根目录就是/;对于普通虚拟主机,开启Chroot,那么,虽然,运行的文件的位置是/home/wwwroot/domain/web/index.php,但是经过Chroot的导向,在PHP程序中,实际认为的文件地址是/web/index.php。同时在/home/wwwroot/domain/为了使入侵者认为自己进入的是根系统,而仿照Unix的文件夹命名规则,创建了etc,usr,tmp,lib等文件夹,如同为PHP程序创建了一个沙盒.所以,使用Chroot的用户不用害怕中国军刀,因为他只能在沙盘内起作用,无法对主系统产生影响,从而造成经济损失。

  沙盒(英语:sandbox),有时也称为沙箱,是为一些来源不可信、具备破坏力或无法判定程序意图的程序提供试验的环境。然而,沙盒中的所有改动对操作系统不会造成任何损失。通常,这种技术被计算机技术人员广泛使用,尤其是计算机杀毒软件行业,沙盒是一个观察计算机病毒的重要环境。

  我们都知道,在类Unix系统中,所有程序,甚至设备,都是由文件表示,我们所使用的ls,wget命令,事实上都对应着一个特定的可执行文件,而当我们使用Chroot后,由于/home/wwwwroot/domain/usr下没有相应的文件,也就无法执行相应的命令。从而保证系统信息的安全。

  与禁用函数相比,Chroot有什么优点呢?

  禁用函数是针对整个PHP程序而言的,所有需要通过PHP程序进行解析的文件,都会受到禁用函数的设置。网站程序不同,那么有可能需要的函数不同,不同的虚拟主机无法单独设置。而Chroot可以根据不同的虚拟主机,进行特异化设置。对于需要使用特殊函数的程序,可以关闭Chroot,来保证网站程序的正常运转;程序不需要调用特殊的程序,就可以开启Chroot模式;如果只是要启用一个或两个特定的程序,你可以仿照如下的过程添加函数。比如说,当我们开启Chroot时,PHP程序是无法使用sendmail()函数来发信的,我们可以使用mini_sendmail替代sendmail来修复发信。

  cd /home/wwwroot/www.ixiqin.com/

  cp -P /bin/bash /bin/sh bin

  cp /etc/passwd /etc/group etc

  cd /tmp

  wget http://centos.googlecode.com/files/mini_sendmail-1.3.6.tar.gz

  tar xzf mini_sendmail-1.3.6.tar.gz

  cd mini_sendmail-1.3.6

  make

  cp mini_sendmail /home/wwwroot/www.ixiqin.com/usr/sbin/sendmail

  以上代码,在/tmp目录下编译mini_sendmail,然后将生成的可执行文件复制到chroot后目录下相应位置,以保证发件系统的正常运行。

  非AMH用户如何使用Chroot功能

  如果你是AMH的用户,那你就省心了,因为Amysql将这个功能集成到了模块里,而且默认情况下每一个虚拟主机都是开启了安全模式的,你只需要在后台下载AMChroot模块,管理即可。如果你不是AMH用户,也可以使用这个功能,只需要修改Nginx和PHP-FPM的配置文件即可。由于要把domain站点限制在/home/wwwroot/domain,所以对于php-fpm,此网站根目录已经变成是/web,所以我们需要更改Nginx传递给php-fpm的网站根目录地址。

  找到fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;,更改为fastcgi_param SCRIPT_FILENAME /web$fastcgi_script_name;同时,将php-fpm.conf文件中的Chroot改为chroot = /home/wwwroot/domain

  有什么需要注意的呢?

  Tips One:Chroot模式下,各种探针,如雅黑探针将会失效,报错。

  Tips Two:Chroot模式可用做在线shell模拟器,安全真实。

  综合以上分析,我建议,与其使用死板的禁用函数,我们为什么不试试更加好用的Chroot。

posted @ 2014-05-27 15:35 天才 阅读(190) | 评论 (0)编辑 收藏

  导语:美国《华尔街日报》网络版上周五刊登题为《网购市场受益中国力量》(Internet Shopping Gets a Boost From China)的评论文章称,随着国内市场的竞争日益激烈,中国电子商务网站开始把发展目标瞄向海外。而由于这类计划有望帮助小型出口企业寻找更多客户,因此也得到了政府的支持。

  以下为文章全文:

  中国互联网零售商的根据地今年已经成为全球第一大电子商务市场。他们下一个目标瞄准了美国,以及其他所有地方。

  京东商城披露的数据显示,该公司的国际网站过去一年已经实现了数百万元人民币的销售额。阿里巴巴2010年推出的全球速卖通也在新兴市场实现了迅猛增长,仅在俄罗斯就吸引了70万注册用户。

  中国企业之所以转战海外市场,一定程度上源于本土市场的激烈竞争。“在中国,价格是最重要的因素,根本没有多少用户忠诚度可言。”京东商城出口业务负责人刘思军说,“而在中国以外,服务则更加重要。”

  京东商城在海外的毛利率大约为40%至50%,远高于本土电子商务公司15%至20%的水平。

  一些有探索精神的中国人很早以前就开始通过eBay等平台向海外销售商品。现在,大企业也开始试水这一领域。不过,这些中国公司也都承认,他们目前无法对亚马逊等美国网络零售商产生太大威胁。

  不过,他们还是为消费者提供了某些细分领域的购物选择。兰亭集势最初销售结婚礼服,后来又拓展到根据水温变换光照颜色的水龙头等产品。

  京东商城表示,中文书在海外很畅销。酸奶机和中式面条机等海外市场难得一见的电子产品也卖得很好。

  2013年上半年,接发材料和假发大约占到速卖通美妆和健康类产品总销量的68%。美国买家大约占到75%。

  去年,中国电子商务市场的规模已经与美国市场相似。根据艾瑞咨询的数据,中国市场仍在快速增长,第三季度同比增幅达到42%,远超美国电子市场同期13%的增长。

  在中国大陆企业走向海外的过程中,由于地理位置接近且语言相通,所以中国香港和中国澳门成为了他们的首选目标。唯品会就于本月在香港和澳门成立了网站。

  一年前,海外扩张还不在唯品会董事会的考虑之列,但他们现在已经开始探索这种选择。唯品会董事、红杉资本董事总经理刘星说:“电子商务是一项全球性业务,很多中国电子商务公司都有国际野心。”

  当某投资基金的管理合伙人季卫东准备为他的第一个孩子在香港装修一套公寓时,他的妻子在淘宝网上购买了3盏吸顶灯。他认为,同样的灯在香港的价格要贵上10倍。

  “中国电子商务网站为中国之外的用户提供了价值。”曾经担任摩根士丹利亚洲互联网和媒体研究部门主管的季卫东说。中国政府也希望为这一新的增长领域提供支持,认为这可以帮助小型出口商寻找客户。

posted @ 2013-12-24 14:19 天才 阅读(149) | 评论 (0)编辑 收藏

  【导读】近日,腾讯发布了优化版的手机QQ,优化后的手机QQ优化后的手机QQ增加了联系人在线/离线状态显示,用户可通过在个性签名前增加“在线”和“离线”的文字标签,来区分好友的登陆状态。尽管优化版本已较此前做了相应整改,但在昨日上线之后,其又收到了上万条一星级的差评。

  两周之内,腾讯手机QQ完成了两次更新。上一次更新恐怕是手机QQ版本遭骂最狠的一次,原本习惯去手机上看好友在线与否的用户看不到了,甚至有 笑话说有人因为无法得到男友回话得了抑郁症。最新版本4.0.1中,用户状态依然没有在头像中做区分,但名字下面多了个区分状态的小标记。

  如果看到这些,你仍然认为微信就是腾讯在移动端的的全部赌注,那你就错了。5月18日Andriod版更新,此后仅一天的19日,iPhone 版4.0.1也登上了AppStore。这么快的操作时间恐怕不是一个小团队所为,Appstore的审核速度也众所周知,改正错误如此之快,腾讯必下苦 工,而且是得到了公司战略级别的支持。

  这已经说明手机QQ也是腾讯的一支移动互联网重兵,马化腾也这么说过。此外腾讯在移动终端花了大力气的产品有街景地图、浏览器、通讯录等工具性产品,有腾讯视频、新闻客户端等媒体商品,还有各式各样的应用如QQ音乐、看比赛等。

  这些产品被分散在腾讯庞大的产品体系内,也显得腾讯的移动布局格外凌乱。但此时,BAT中最强大的潜在对手阿里巴巴的布局在收购了高德地图和新 浪微博后已经逐渐清晰,整个阿里巴巴产品体系将连成一张SNS网,并以这种协同方式存在于各种终端,与用户的购物需求相互结合、促进,最后形成一个生活 圈,就像现实社会那样满足用户的一切需求。

  相比阿里,腾讯布局移动的难度大得多。首先,阿里巴巴有一条主线——电子商务,所有的产品都能用购物需求串起来。而腾讯的产品好几百个,开放平台近30个,其中很多都是用户的“刚需”,哪个都很重要,硬要排出先后很难。

  其次,制度和人才储备。阿里巴巴有高管轮岗制,高管之间都业务都比较熟悉,支持快速变化。轮岗成行,首先还是因为业务的相关性。但由于腾讯对用户体验的极致追求,人员轮岗没那么频繁。

  但这种缓慢只是暂时的。腾讯一旦想明白,以它的产品研发的理念、速度和最终质量,势头将很可怕(参见过去它在PC上的表现)。话又说回来,鱼和 熊掌不能兼得,BAT中另一家百度的李彦宏也是在极力看清趋势,百度现有大量移动产品MEMO,但没有最终发布。相比更垂直的搜索和电子商务,马化腾若能 更早的把复杂得多的腾讯移动互联网布局想明白,那简直是要逆天了!

  这也使得外界很迷茫。一边马化腾频繁参加各种活动,发出各种声音。另一方面,等着约他深谈的人排成行,却望眼欲穿。

  为什么你还看不清楚移动互联网时代的腾讯?答案很简单,因为马化腾也还在思考,他没法系统的对外讲移动布局,只能以各产品为点对外分享。不过想明白的那些事情,它已经开始做了。

  首先是速度。从微信的更新以及这次手机QQ事件可以看出,腾讯对移动互联网的速度很重视。PC时代,腾讯就强调“快速迭代”,在移动端它对速度的追求只能越发极致。

  其次是架构和管理。3月马化腾参加两会期间,就已经透露过因为微信做出的架构微调。再上一次的架构调整发生在2012年6月,据此只有八个月。而且据多方渠道了解,腾讯内部还在不断的调整,显然这是为了适应移动互联网,至少满足对速度的要求。

  然后就要说腾讯的“命门”——用户体验。在这个问题上,腾讯只想明白了一半。可以以这次手机QQ事件为例说明。

  腾讯看清了部分移动互联网时代的用户体验,并不遗余力的去做。那个广遭批评的版本最重要的变化就是去掉了用户状态的区分。其实以微信、手机QQ 双剑合璧的态势,它完全可以不这样做。但手机QQ动作这么大,就是因为想明白了,移动互联网上最终没有在线或不在线的问题,所有的产品都是“同步”的。如 果用户习惯对方在线,再去沟通,那不在线时用户就会换其它工具,腾讯就有可能流失用户(当然也可能换微信)。对于这种趋势,腾讯追的不遗余力,绝对敢于断 腕。

  但也有一些事情腾讯没有看清。除了那些别人也没看清的趋势外,腾讯高估了用户的适应能力。用户在手机上的使用习惯不是割裂的,同样带着PC时期的痕迹,需要逐渐的往移动互联网迁移,逐渐的教育。从趋势上来说,手机QQ绝对正确,但他步子迈得太大,好在它立即退了半步。

  “尺度”对腾讯的考验远比百度、阿里大得多。它要同时适应以下人群:逐渐增加的新锐智能机用户、从PC陆续转移到移动终端的小白用户以及一接触 互联网就用手机的纯移动用户。在移动终端上腾讯得一边给高端用户新鲜感一边照顾小白用户,一边照顾PC遗留的用户体验一边培养适合手机的使用习惯,听起来 都觉得很难。

  那腾讯的移动互联网全貌什么时候能看清呢?据我个人估计,半年即可。理由如下:一,虽然难,但腾讯在移动互 联网上速度一直挺快。二,架构调整一直在进行,预计已经调整到比较深的层次很快就会稳定下来。三,腾讯的风格和阿里不同,阿里有了战略就会高调宣布,3Q 之后腾讯虽然“大方”了不少但仍然是做了再说,做十件事只说一两件。在部分产品上,马化腾已经开始对外分享他的思路了。

posted @ 2013-05-23 14:17 天才 阅读(143) | 评论 (0)编辑 收藏

  今日举行的“宽带发展联盟”成立大会中指出,目前我国宽带用户已经达到了1.75亿,光纤用户9000万户,使用4M及以上宽带接入产品的用户达到了63%。各项指标均超过了去年预期。

  去年,工信部提出了2012年的宽带普及提速目标,截止去年年底当时提出的普及提速目标已经全部实现。工信部方面表示,宽带是21世纪战略性基础设施,在去年实现普及提速目标的过程中,三大运营商均积极进行网络提速工作,主要的互联网企业也积极提高自身互联网产品网络接入和访问能力,设备厂商则不断加大产品的研发,提高产品的能力。

  宽带普及提速工程在2012年的主要目标为:增强宽带接入能力,新增光纤到户(FTTH)覆盖家庭超过3500万户;总体提升我国固定宽带用户的接入速率,使用4M及以上宽带接入产品的用户超过50%,降低单位带宽价格;提高固定宽带家庭普及率,新增固定宽带接入互联网家庭超过2000万户;扩大公共热点区域无线局域网覆盖规模;宽带应用进一步推广和普及。

  “宽带发展联盟”成立大会中指出,2012宽带普及提速工程的目标已经全面超额完成。根据工信部通信发展司司长在会议中介绍目前宽带用户发展的最新数据中表示,目前我国宽带用户已经达到了1.75亿,光纤用户9000万户,使用4M及以上宽带接入产品的用户达到了63%。各项指标均超过了去年预期。

  目前各路宽带大头都在筹备宽带优惠措施,天威宽带(www.sz96933.com)也不例外,据透露3-4月期间就会推出新一轮惠民政策来展现在众客户面前供选择!

posted @ 2013-02-25 15:08 天才 阅读(128) | 评论 (0)编辑 收藏

  今天小编详细的分析一下我们的老朋友Apache与新朋友nginx都分别有些什么优缺点,根据各自的优点来看到底选择哪个更适合自己。

  首先我们来谈谈老朋友Apache,Apache HTTP Server(简称Apache)是世界使用排名第一的Web服务器软件,音译为阿帕奇,是Apache软件基金会的一个开放源码Web服务器,可以运行几乎所有的计算机平台,其次开放的API接口,任何组织和个人都可以在它上面扩展和增加各种需要功能,达到为自己量身定制的功能。再次是因为老,所有相关文档很齐全,甚至在windows平台很多爱好者都为它开发了各种图形界面,连菜鸟也能入手Apache。因为如此它迅速占领了70%的web服务器市场。

  现在咱们说说Nginx,Nginx ("engine x") 是一个高性能的 HTTP 和 反向代理服务器,也是一个 IMAP/POP3/SMTP 代理服务器。

  Nginx 是由 Igor Sysoev 为俄罗斯访问量第二的 Rambler.ru 站点开发的。其次它和Apache一样是开源的,BSD-like 协议下发行。它最强劲也最具有竞争性为其高性能和反向代理,这两项在该领域独领风骚。

  在互联网初期,网站大小不是很大,访问量都很轻量,一个网站的访问量一天最多就几万IP,这个时候Apache完全可以满足需要,人们更多的是为它开发各种模块,像重写模块,访问控制列表,缓存模块等等。但是随着互联网的飞速发展,网站我访问量以指数增长,大型网站的除了加大硬件投入外,典型的Web服务器Apache这时候也力不从心了,于是Nginx开始崛起,最初的设计是俄罗斯工程师为大型网站解决高并发设计的。所以注定了高并发是它永恒的优点。再次就是反向代理,现在大型网站分工详细,哪些服务器处理数据流,哪些处理静态文件,这些谁指挥,一般都是用nginx反向代理到内网服务器,这样就起到了负载均衡分流的作用。再次nginx高度模块化的设计,编写模块相对简单。

  而我们的老朋友Apache比nginx又有什么优势呢,很多中小型网站都在用Apache,非常重要的原因是他出现时间较长,稳定,文档丰富,再次在重写方面相对nginx更强大,模块超多,基本只要你能想到的,就有人开发过。

  面对这些优缺点,作为客户的我们该如何取舍呢?尽管nginx正在一步步取代Apache,市场份额也在不断增加,但是做为一个网站管理员,还是需要从如下几个方面作为出发点来选择适合自身的web服务器。

  第一、网站并发。如果是中小型网站,建议选用apache;如果大型并发,而且需要反向代理,选择nginx那是正确的选择。

  第二、如果需要大量用到重写模块,建议选用Apache。

  第三、根据熟悉程度。管理员书序Apache,但阅读和开发nginx能力有限,保守用Apache。

  第四、系统资源有限,但是自身技术很强大,建议用nginx,因为nginx对系统资源暂用极小,同资源下比Apache高了差不多10倍之多。

  所以小编建议各位在选择的时候不要一味追求市场选择或者推荐,而应该从实际出发,根据如上的参考意见谨慎选择适合自己的web服务器,盲目跟随只会使后期遭遇更多不必要的麻烦。

  以上便是小编分享的Apache与Niginx web服务器取舍的全部内容。

  本文链接:http://www.idcbest.hk/hyxw/296.html

posted @ 2012-12-25 15:48 天才 阅读(1810) | 评论 (0)编辑 收藏

  最近(www.sztianwei.org)查看到这样一则新闻针对联通宽带套餐业务包年套餐引起的一些风波,跟大家分享一下。

  通过办理“包年”的宽带上网套餐,一年到期后不再使用,每个月竟然依旧产生宽带费。最近,几位使用北京联通宽带业务的朋友,同时遇到了这样的怪事。

  一位朋友使用包年宽带到期后搬了家,最近惊讶地发现,尽管老房子长期没人住,账户上仍然每月自动扣取140多元的宽带费。而另一位朋友使用预付费包年宽带后,未收到任何到期提醒,就突然接到北京联通的来电,通知他拖欠了3个月共400多元的宽带费,并且因为拖欠近1年,已经产生了500多元的滞纳金。

  既然是包年套餐,为什么到期以后还要收费?两位朋友百思不得其解。对此,联通客服的解释是,当时办理宽带业务的时候,合同末尾有一行备注:“到期后自动转为包月套餐”。至于不菲的滞纳金,工作人员说曾经给客户发过一封催缴信,可能没收到,最后不得已才打电话通知。

  朋友说,办理业务时业务员提醒到期后按实际使用情况收费,便以为是“不用不收费,用多少收多少”,根本没注意到满满两页纸的合同末尾还有一行备注。对于欠费后发催缴信这种方式,朋友更不理解,“联通是一家电信企业,为什么不在第一时间打电话通知欠费,而要用寄信这种既不及时又浪费资源的方式,并且直到1年后才打电话通知?”

  这几年,各大电信运营商为用户提供的网络带宽迅速升级,从1兆到2兆,再免费升级到10兆,让人们更充分的享受到互联网带来的便利。但是,与不断变宽的宽带相比,运营商在一些服务环节上,却显得不够细致,落后于网络升级的速度。

  很多到营业厅办理过业务的人都有体会,在拥挤喧闹的营业厅里,在排队等候几十分钟甚至1小时后,工作人员以飞快的速度为用户办理业务,与客户的交流却很少,对重要信息往往提示的不够明确。而动辄两三页纸的服务合同,多数用户不会逐字逐句的阅读,容易漏掉相关信息。

  类似情况不仅存在于电信行业,在银行、邮政、供水、供气等居民经常要打交道的服务行业中也较为普遍。在银行办理财,办理的时候吹得天花乱坠,等出现亏损的时候却说协议中已经提醒过风险。邮局寄丢了东西,却只能赔偿极少的金额……凡此种种,说明这些带有公共服务性质的企业,对提高服务水平、与用户加强沟通联系等“软件”服务重视不够。这背后,既有企业在相关方面经营管理能力的欠缺,也有“你找我办事,就得看我脸色、听我安排”的旧观念作祟。这种“重前期营销、轻后期服务”的经营方式,最后往往会害了企业,让企业形象打了折扣。

  社会变化日新月异,行业竞争也越来越激烈。传统的、占据强势地位的公共服务企业要么直面竞争,从产品到服务全面提升,强者愈强;要么固守多年形成的经营模式和服务理念,直到被竞争对手超越。过去一家独大的EMS,近几年被迅速崛起的民营快递企业不断蚕食市场规模,就是一个非常好的例子。

  企业靠什么提升服务、抓住客户?归根到底,靠的是细节、是服务。在办理业务时,相关企业能不能多做一些信息和风险提示,出现问题时赶紧打个电话沟通一下多说几句话、多一些笑容、多一点耐心……只有将这些服务做得更细、更实,才能真正赢得用户、赢得市场、赢得发展。

posted @ 2012-12-07 17:05 天才 阅读(1330) | 评论 (2)编辑 收藏