实开放系统不可用

Logistics Sci—Tech No．10，2008 · 军事物流· 物流科技2008年第1O期 摘 要：现代军事物流是信息化战争后勤保障的重要支 撑。随着信息技术的不断发展， 卫星定位系统逐渐应用于军 事物流领域，成为现代军队战斗力的倍增器。文章介绍了卫 星定位系统概况， 阐述了卫星定位系统在军事物流领域的应 用现状，对军事物流领域应用卫星定位系统的前景及思路进 行了探讨。 关键词：卫星定位系统；军事物流；应用 中图分类号：E075 文献标识码：A 文章编号：1002—3100 f2008) 10—0071—03 Abstract： Modern military logistics is one of the important pans of logistics under informationization war． Nowadays， satellite positioning system is applied in the field of military logistics gradually with the development of information technology． This paper introduces the general situation of satellite positioning system，analyses its current and future application in the field of military logistics， discusses the development ideaS of applying satellite positioning system in the field of military logistics． Key words：satellite positioning sy stem；military logistics；application 军事物流是指军事物资经由筹措、运输、储存、包装、维修保养、配送等环节，从供应地向部队用户有序流动的过程ll】。 卫星定位系统作为当今最先进的信息设施之一，是提高军事物流信息化建设水平，增强部队战斗力不可缺少的技术工具和手段 。 在现代军事物流活动中，重视这～ 技术的创新和推广应用，将快速实现对军事物流的实时监控，从而有效提高信息化战争的后 勤保障效能 1 卫星定位系统概况 卫星定位系统是利用多颗人造地球卫星、地面控制设备和信号接收设备，对地面静态或动态目标进行定位和导航的系统。 目前，全球正在运行或研制中的卫星定位系统有美国全球定位系统(Global Positioning System．GPS)、俄罗斯全球卫星导航系 统(GLONASS)、欧盟伽利略导航卫星系统计划(GALILEO)和中国“北斗一号” 卫星导航定位系统。 GPS是美国军方20世纪70年代研制的军民两用卫星定位系统，军用加密，民用降低定位精度后在全球使用，在用户数量 上处于霸主地位。GLONASS是由原苏联(现由俄罗斯)国防部独立研制和控制的第二代军用卫星导航系统， 其建立目的主要 是避免在军事上受制于美国。由于种种原因， 目前处于“半可用”状态，市场中GLONASS设备极少，产品多是内置GLONASS 和GPS两种接收装置， 以提高精度和可用性。同样出于避免受制于美国的目的．欧盟2003年也开始了GALILEO计划．建造世 界上第一个非军方控制和管理的民用』J星导航定位系统．预计2010年正式投入商业运行 这3个系统都是全球卫星导航定位 系统，导航范围覆盖全球。中国“北斗一号” 系统则是覆盖我国本土的区域导航定位系统， 目前拥有5颗导航卫星，除具有导 航功能外，还具有短报文通信和精密授时功能。在2008年南方抗击雨雪冰冻和四川特大地震灾害中初露锋芒．在北京奥运会 期间将为交通调度和场馆监控提供服务。 GPS导航系统是被动式伪码单向测距三维导航，采用的是无源定位。定位数据由用户设备独立解算， 因此不能提供通讯服 务。 “北斗” 系统是主动式双向测距二维导航，采用的是有源定位．定位数据由地面控制中心解算后提供给用户，用户需要通 过地面中心站联系及地面中心站的传输；因此可以提供通讯服务，通讯不必通过其他的通讯卫星．实现了一星多用。 GPS、GLONASS、GA[ ILEO和“北斗” 系统对比见表1 2 卫星定位系统在军事物流领域的应用现状 卫星定位系统的建立源于军事目的，美国GPS在近几场局部战争中应用于指挥控制、兵力投送、精确制导、目标侦察、战 场救援、军事物流等各个方面，成为美军战斗力的倍增器。尤其在伊拉克战争中，超大量战争物资运输保障，战时补给，大兵 团诸军兵种的专用装备保障，没有GPS 的导航和定位，军事物流则难以实现适时、快速、精确的保障，也就很难在短时间内 结束战斗并取得战斗的胜利 。近几年，我国加紧研发中国“北斗” 系统，引进对GPS的应用．逐渐将卫星定位系统应用于军 收稿日期：2008～06—24 作者简介： 白 娟(1973一)，女，山东济南人，后勤指挥学院研究生五队硕士研究生，研究方向：军事物流信息化建设。 卫星定位系统在军事物流领域应用现状及前景探讨 表1 GPS、GLONASS、GALILEO和“北斗” 系统对比表 美国GPS 俄罗斯GL0NASS 欧盟GALILE0 中国“北斗” 系统 研制时间 20世纪70年代 20世纪70年代中期 1999年2月 2000生 卫星个数 28 24 30 5 轨道高度(KM) 20 186 l9 l00 23 222 36 0o0 运行周期 l1：15：44 l1：15：00 14：22：00 l1：58：00 民用单频CA码 民用单频CA码 CA码 调制码 军用双频P码 军用双频P码 P码 定位精度 CA码约l2米 水平方向约l6米 水平定位精度优于10米 约30米 P码小于10米 垂直方向约25米 覆盖范围 全球 全球 全球 中国及周边地区 主要功能 定位导航导航定位、短报文通信、 ． 精密授时 定位导航，精密授时 定位导航．精密授时 精密授时 优点优点：投资小、用户设 ： 全天候： 全球覆盖； 三维 由于GL0NASS卫星发 该系统提供三种导航定 备价廉 。定速定时高精度缺点： 不能覆 ：快速省时高效 射的载波频率不同． 可 位信号 率： 免费信号、收 盖两极地区． 赤道附近 系统特点 ： 应用广泛多功能。缺点：信 以防止整个卫星导航系 费加密信号 、号存在易损性和丢失性满足更高 定位精度差：不能满足 ． 抗干扰 统同时被敌方干扰． 因 要求的收费加密信号 ， 能力差高动态和保密的军事用 ： 定位精度受美国军方限 而具有更强的抗干扰能 供各种不同的用户使用 户要求 ． 书1 力 用户数量受一 定限制 民用领域： 用于航空／航海导航、 大地测量、石油勘探、地震测量、 由于种种原因． 目前处 野外救生、探险、森林防火、飞 于“半可用” 状态． 市 机播种、农田耕种、车辆自动导 场中GL0NASS设备极 2010年正式投入商业运 使用者基本是军队等国 应用现状 航监控、机场，港13'交通管理等诸 少， 而且多是美国产品， 行 家用户． 市面上很少有 多方面军用领域： 美军用于指挥 内置GL0NASS和GPS 北斗星的接收机出售 控制．兵力投送、精确制导、目 两种接收装置． 以提高 标侦察、战场救援、军事物流等 精度和可用性 方面 主动式双向测距二维导 定位原理 被动式伪码单向测距三维导航航。定位数据由地面控 ， 定位数据由用户设备独立解算 制中心解算后提供给用 事物流领域，但仍处于初级阶段，其应用主要体现在以下几个方面 2．1 对军事物资运输的监控调度 通过将卫星定位系统的用户接收机安装在军用车辆、飞机、舰船上实现对军事物资运输的监控调度。利用卫星定位系统和 电子地图GIS可实时显示出运输工具的实际位置与轨迹，从而对其进行实时、有效的定位、监控和调度。实现方式是运输工具 通过终端接收导航定位信息，经处理后，将数据按一定格式由无线电收发机传送到指挥中心，指挥中心接收机将接收到的数据 输入计算机，经处理，在电子地图中显示运输工具和物资位置。 2．2 对军事运输路线的导航规划 选择正确、便捷的运输路线，是实现军事物流快速保障的前提条件。运用卫星定位系统的导航规划功能则充分满足了这一 需求。卫星导航系统的路线规划功能包括自动、手动和指令式3种。自动式路线规划是由驾驶员确定起点和终点，由计算机软 件按照要求自动设计最佳路线。手动式路线规划是驾驶员根据自己的目的地设计起点和终点等，系统在电子地图上设计路线， 同时显示运行途径和方向。指令式路线规划是指指挥中心对行驶站点的时间和路线能作出有效反应，提出路线的规划，并给运 输工具发出导航指令。实现方式是将卫星定位终端与计算机相连接，实现数据的实时传输，以电子地图的形式显示导航数据。 2-3 对需求信息的查询 在军事运输途中，卫星定位系统可以提供主要物标，在电子地图上根据需要进行查询，显示其位置。同时指挥中心可以利 用监测控制台对所在位置进行查询，车辆及物资信息则以数字形式在指挥中心的地图上显示出来。此外，利用卫星定位系统记 录和储存保障物资详细的运输内容和信息，消除了很多需要人工处理的环节，使得整个军事物流系统中所有程序及信息系统实 现信息传输的快速、准确、一致。 2 4 对险情、事故的紧急救援 72 {) ij¨P S t ～1 t lj 20~)g．{O 卫星定位系统在军事物流领域应用现状及前景探讨 通过卫星系统定位和监控管理系统可以对遇有险情或发生事故的地方进行紧急援助。监控台的电子地图显示求助信息和报 警目标，规划最优援助方案，并以报警声光提醒监控人员进行应急处理。我国自主研制的“北斗一号”卫星定位系统在四JIl汶 JIl地震救援中不仅实时监测到了救援部队的行进状态，而且在通信中断的情况下充分发挥了其短报文通信的功能，保障了救援 的顺利展开。 3 卫星定位系统在军事物流领域的应用前景 3．1 应用于建立网络化军事物流保障体系 军事物流保障网络化是信息化条件下一体化联合作战的要求，是指通过多种信息技术将各个物资保障网点(如物流中心、 后方基地、仓库等)集成为军事物流保障网，实现物流配送实体网络和信息网络的“无缝链接”，从而在战争中以实时的快速 反应、精确的投向投量和灵敏高效的指挥调度实现适时、适地、适量的后勤保障。卫星定位系统在军事物流网络化建设中具有 不可替代的作用，主要体现在功能多、精度高、覆盖面广，是构建网络的最佳技术设施和应用平台； 二是构筑在卫星定位系 统的网络公共平台，具有开放度高、资源共享程度高等优点，无地域性限制的信息获取，提高了定位系统的利用率。 3．2 应用于军事物流资产可视化管理 信息化条件下，战场透明度越来越高，物资储存和运输的可见性变得至关重要。物流资产可视化管理是依赖计算机技术、 网络技术、数据库技术、自动识别技术、卫星定位技术等多种信息技术，实现物资在储、在运、在处理全过程的数据跟踪可 视．使得部队指挥官可以不问断、可视化地掌握全部后勤资源的动态情况，全程跟踪“人员流”、 “装备流” 和“物资流”，并 指挥和控制其接收、分发和调换。在运资产通常是装载于某种运输工具，如火车、飞机、轮船、汽车等。实现在运资产可视 化，首先要掌握运输工具的实时位置，而掌握移动中的运输工具的实时位置离不开卫星定位系统。卫星定位系统在军事物流资 产可视化的应用，集中在两个主要方面：其～ 。卫星定位系统用于提供运输工具的位置数据。其二，卫星通信可使控制站和驾 驶员实现双向信息交流。有效运用卫星定位系统，形成有力的统一组织指挥中心，能够提高物流管理的透明度，为优质、高效 的物流保障提供坚实的技术平台。 3-3 应用于实现精确主动配送式保障模式 精确主动配送式保障是指在精确预测部队需求的前提下，打破过去那种逐级前送、被动等待的后勤保障运行机制，通过将 所需物资主动配送到战斗单位乃至士兵，使补给速度发生质的变化，是现代化军事物流保障模式的研究方向。物流配送的过程 是实物的空间位置转移过程，在物流配送过程中，涉及到货物的运输、仓储、装卸、送递等处理环节，对各个环节涉及的问题 如运输路线的选择、仓库位置的选择、仓库的容量设置、合理装卸策略、运输车辆的调度和投递路线的选择等进行有效的管理 和决策分析将有助于物流配送有效地利用现有资源， 降低消耗，提高效率。卫星定位系统解决了物流配送过程中运输车辆调度 和投递路线选择、精确定位部队用户等诸多问题，有利于提高物资的补给速度，从而实现精确主动配送式保障。 4 军事物流领域应用卫星定位系统的发展思路 目前．卫星定位系统在军事物流信息化建设的应用基本上还处于起步阶段，要实现这项技术的全面推广和运用．建立适应 我军后勤发展的军事物流系统，可以从以下几个方面着手： (1)加强卫星定位系统在军事物流领域推广应用的组织领导。由总部牵头统一组织规划、统一技术体制、统一信息标准、 统一软件开发，并与作战指挥系统兼容，从研究开始就杜绝卫星定位系统在军事物流领域应用中各自为政、互不统一、缺乏系 统集成等问题的出现。再就是加强军地合作，把军队的资源优势和地方的技术优势整合起来，共同研制、发展新技术，以保证 其在军事物流领域应用的有效性 (2)开展规划研究、突破关键技术。从顶层对研究项目进行规划设计，并根据我军现状确定当前及今后一段时期内卫星 定位系统在军事物流领域应用的重点和难点。必须立足于新技术引进后的自主开发和创新，形成自己的技术．组织科研力量协 力攻关，力争解决自主技术与外军技术相结合、抗干扰、精度限制、加密技术等关键难题，为卫星定位系统在军事物流信息化 建设中的进一步应用做好准备。 (3)研发基于卫星定位系统等先进信息技术的军事物流应用平台， 建设相关实验室，着眼未来信息化战争实际．跟踪国 内外、军内外卫星定位系统应用研究发展动态，积极探索卫星定位系统在我军军事物流领域的应用研究．以带动全军后勤信息 化的发展。 (4)在后勤保障部队试点后推广。选择部分后勤保障部队进行实验试点，使得卫星定位系统的应用真正与部队建设的实 际结合起来，通过解决实际中遇到的各种问题，不断完善卫星定位系统在军事物流建设的应用研究。从而最大限度地挖掘整个 军事物流系统的保障潜力，使我军后勤保障实现质的飞跃。 参考文献： [1】王宗喜，徐东．军事物流学[M]．北京：清华大学出版，2007． 【2] 谭建中．物流信息技术【M】．北京： 中国物资出版社，2008． 【3】戢觉佑，王京海．美军后勤理论与实践【M】．天津：海军后勤学院，2003． f4】徐卫东．GPS+GLONASS+GALILEO三星跟踪技术【JJ_全球定位系统，2006(1)：16—18 { 《' ；H s ( {l 200S {f) 73

MQTT协议 MQTT（Message Queuing Telemetry Transport，消息队列遥测传输）最早是IBM开发的一个即时通讯协议，MQTT协议是为大量计算能力有限且工作在低带宽、不可靠网络的远程传感器和控制设备通讯而设计的一种协议。 MQTT协议的优势是可以支持所有平台，它几乎可以把所有的联网物品和互联网连接起来。 它具有以下主要的几项特性：1、使用发布/订阅消息模式，提供一对多的消息发布和应用程序之间的解耦；2、消息传输不需要知道负载内容；3、使用 TCP/IP 提供网络连接；4、有三种消息发布的服务质量：QoS 0：“最多一次”，消息发布完全依赖底层 TCP/IP 网络。分发的消息可能丢失或重复。例如，这个等级可用于环境传感器数据，单次的数据丢失没关系，因为不久后还会有第二次发送。QoS 1：“至少一次”，确保消息可以到达，但消息可能会重复。QoS 2：“只有一次”，确保消息只到达一次。例如，这个等级可用在一个计费系统中，这里如果消息重复或丢失会导致不正确的收费。5、小型传输，开销很小（固定长度的头部是 2 字节），协议交换最小化，以降低网络流量；6、使用 Last Will 和 Testament 特性通知有关各方客户端异常中断的机制；在MQTT协议中，一个MQTT数据包由：固定头（Fixed header）、 可变头（Variable header）、 消息体（payload）三部分构成。MQTT的传输格式非常精小，最小的数据包只有2个bit，且无应用消息头。下图是MQTT为可靠传递消息的三种消息发布服务质量 发布/订阅模型允许MQTT客户端以一对一、一对多和多对一方式进行通讯。 下图是MQTT的发布／订阅消息模式 CoAP协议 CoAP是受限制的应用协议(Constrained Application Protocol)的代名词。由于目前物联网中的很多设备都是资源受限型的，所以只有少量的内存空间和有限的计算能力，传统的HTTP协议在物联网应用中就会显得过于庞大而不适用。因此，IETF的CoRE工作组提出了一种基于REST架构、传输层为UDP、网络层为6LowPAN（面向低功耗无线局域网的IPv6）的CoAP协议。 CoAP采用与HTTP协议相同的请求响应工作模式。CoAP协议共有4中不同的消息类型。CON——需要被确认的请求，如果CON请求被发送，那么对方必须做出响应。NON——不需要被确认的请求，如果NON请求被发送，那么对方不必做出回应。ACK——应答消息，接受到CON消息的响应。RST——复位消息，当接收者接受到的消息包含一个错误，接受者解析消息或者不再关心发送者发送的内容，那么复位消息将会被发送。 CoAP消息格式使用简单的二进制格式，最小为4个字节。 一个消息=固定长度的头部header + 可选个数的option + 负载payload。Payload的长度根据数据报长度来计算。 主要是一对一的协议 举个例子： 比如某个设备需要从服务器端查询当前温度信息。 请求消息（CON）： GET /temperature , 请求内容会被包在CON消息里面响应消息 (ACK)： 2.05 Content “22.5 C” ，响应内容会被放在ACK消息里面 CoAP与MQTT的区别 MQTT和CoAP都是行之有效的物联网协议，但两者还是有很大区别的，比如MQTT协议是基于TCP，而CoAP协议是基于UDP。从应用方向来分析，主要区别有以下几点： 1、MQTT协议不支持带有类型或者其它帮助Clients理解的标签信息，也就是说所有MQTT Clients必须要知道消息格式。而CoAP协议则相反，因为CoAP内置发现支持和内容协商，这样便能允许设备相互窥测以找到数据交换的方式。 2、MQTT是长连接而CoAP是无连接。MQTT Clients与Broker之间保持TCP长连接，这种情形在NAT环境中也不会产生问题。如果在NAT环境下使用CoAP的话，那就需要采取一些NAT穿透性手段。 3、MQTT是多个客户端通过中央代理进行消息传递的多对多协议。它主要通过让客户端发布消息、代理决定消息路由和复制来解耦消费者和生产者。MQTT就是相当于消息传递的实时通讯总线。CoAP基本上就是一个在Server和Client之间传递状态信息的单对单协议。 HTTP协议http的全称是HyperText Transfer Protocol，超文本传输协议，这个协议的提出就是为了提供和接收HTML界面，通过这个协议在互联网上面传出web的界面信息。 HTTP协议的两个过程，Request和Response，两个都有各自的语言格式，我们看下是什么。请求报文格式：(注意这里有个换行) 响应报文格式：(注意这里有个换行) 方法method：       这个很重要，比如说GET和POST方法，这两个是很常用的，GET就是获取什么内容，而POST就是向服务器发送什么数据。当然还有其他的，比如HTTP 1.1中还有：DELETE、PUT、CONNECT、HEAD、OPTIONS、TRACE等一共8个方法（HTTP Method历史：HTTP 0.9 只有GET方法；HTTP 1.0 有GET、POST、HEAD三个方法）。请求URL:       这里填写的URL是不包含IP地址或者域名的，是主机本地文件对应的目录地址，所以我们一般看到的就是“/”。版本version：       格式是HTTP/.这样的格式，比如说HTTP/1.1.这个版本代表的就是我们使用的HTTP协议的版本，现在使用的一般是HTTP/1.1状态码status:       状态码是三个数字，代表的是请求过程中所发生的情况，比如说200代表的是成功，404代表的是找不到文件。原因短语reason-phrase：       是状态码的可读版本，状态码就是一个数字，如果你事先不知道这个数字什么意思，可以先查看一下原因短语。首部header：       注意这里的header我们不是叫做头，而是叫做首部。可能有零个首部也可能有多个首部，每个首部包含一个名字后面跟着一个冒号，然后是一个可选的空格，接着是一个值，然后换行。实体的主体部分entity-body：       实体的主体部分包含一个任意数据组成的数据块，并不是所有的报文都包含实体的主体部分，有时候只是一个空行加换行就结束了。 下面我们举个简单的例子： 请求报文：GET /index.html HTTP/1.1    Accept: text/*Host: www.myweb.com 响应报文：HTTP/1.1 200 OKContent-type: text/plainContent-length: 3  HTTP与CoAP的区别 CoAP是6LowPAN协议栈中的应用层协议，基于REST（表述性状态传递）架构风格，支持与REST进行交互。通常用户可以像使用HTTP协议一样用CoAP协议来访问物联网设备。而且CoAP消息格式使用简单的二进制格式，最小为4个字节。HTTP使用报文格式对于嵌入式设备来说需要传输数据太多，太重，不够灵活。 XMPP协议 XMPP（可扩展通讯和表示协议）是一种基于可扩展标记语言（XML）的协议， 它继承了在XML环境中灵活的发展性。可用于服务类实时通讯、表示和需求响应服务中的XML数据元流式传输。XMPP以Jabber协议为基础，而Jabber是即时通讯中常用的开放式协议。   基本网络结构 XMPP中定义了三个角色，客户端，服务器，网关。通信能够在这三者的任意两个之间双向发生。 服务器同时承担了客户端信息记录，连接管理和信息的路由功能。网关承担着与异构即时通信系统 的互联互通，异构系统可以包括SMS（短信），MSN，ICQ等。基本的网络形式是单客户端通过 TCP/IP连接到单服务器，然后在之上传输XML。 功能 传输的是与即时通讯相关的指令。在以前这些命令要么用2进制的形式发送（比如QQ），要么用纯文本指令加空格加参数加换行符的方式发送（比如MSN）。而XMPP传输的即时通讯指令的逻辑与以往相仿，只是协议的形式变成了XML格式的纯文本。举个例子看看所谓的XML（标准通用标记语言的子集）流是什么样子的？客户端：123456<?xmlversion='1.0'?>to='example_com'xmlns='jabber:client'xmlns:stream='http_etherx_jabber_org/streams'version='1.0'>服务器：1234567<?xmlversion='1.0'?>from='example_com'id='someid'xmlns='jabber:client'xmlns:stream='http_etherx_jabber_org/streams'version='1.0'>工作原理XMPP核心协议通信的基本模式就是先建立一个stream，然后协商一堆安全之类的东西， 中间通信过程就是客户端发送XML Stanza，一个接一个的。服务器根据客户端发送的信息 以及程序的逻辑，发送XML Stanza给客户端。但是这个过程并不是一问一答的，任何时候 都有可能从一方发信给另外一方。通信的最后阶段是关闭流，关闭TCP/IP连接。  网络通信过程中数据冗余率非常高，网络流量中70% 都消耗在 XMPP 协议层了。对于物联网来说，大量计算能力有限且工作在低带宽、不可靠网络的远程传感器和控制设备，省电、省流量是所有底层服务的一个关键技术指标，XMPP协议看起来已经落后了。 SoAP协议 SoAP(简单对象访问协议)是交换数据的一种协议规范，是一种轻量的、简单的、 基于可扩展标记语言（XML）的协议，它被设计成在WEB上交换结构化的和固化的信息。  SOAP 可以和现存的许多因特网协议和格式结合使用，包括超文本传输协议（HTTP）， 简单邮件传输协议（SMTP），多用途网际邮件扩充协议（MIME）。它还支持从消息系统到 远程过程调用（RPC）等大量的应用程序。SOAP使用基于XML的数据结构和超文本传输协议 (HTTP)的组合定义了一个标准的方法来使用Internet上各种不同操作环境中的分布式对象。 总结： 从当前物联网应用发展趋势来分析，MQTT协议具有一定的优势。因为目前国内外主要的云计算服务商，比如阿里云、AWS、百度云、Azure以及腾讯云都一概支持MQTT协议。还有一个原因就是MQTT协议比CoAP成熟的要早，所以MQTT具有一定的先发优势。但随着物联网的智能化和多变化的发展，后续物联网应用平台肯定会兼容更多的物联网应用层协议。 作者：HFK_Frank 来源：CSDN 原文：https://blog.csdn.net/acongge2010/article/details/79142380 版权声明：本文为博主原创文章，转载请附上博文链接！

回45楼拆桥在过河的帖子 重新下载一次，再解压试试，安装包好多人用过的，不会有问题。 如再出错，将报错信息发上来。 ------------------------- 回66楼奇真界的帖子 亲，看到您的站点已经建好了，有问题再留言，感谢使用阿里云的服务！ ------------------------- 回67楼信天游科技的帖子 感动了，欢迎使用！ ------------------------- 回71楼奇真界的帖子 nginx  和 apache 的配置文件不通用，需要单独修改，改的内容可以参考，差不多。 ------------------------- Re“零基础”系列课程如何在ECS上快递搭建一个WordPress站点 前面有人问过，请看第“40楼”的回复。 ------------------------- 回77楼荷西的帖子 不同版本的linux，内置的命令可能有所不同，按此方法安装应该是可以的。 ------------------------- 回81楼小敏110的帖子 具体遇到了什么问题？ 说详细点，大家可以帮助你。 ------------------------- 回 85楼snabna的帖子 IP能访问吗？ 域名是什么？ ------------------------- 回 94楼bakabaka的帖子 亲，是“cd /root”,中间有空格 ------------------------- 回 93楼jinyumi的帖子 亲，具体遇到了什么问题？贴出来，大家帮你解决 ------------------------- 回 101楼乐乐智慧的帖子 感觉像是有特别耗CPU的大SQL在执行，否则不会卡到必须重启ECS，建议从管理控制台检查一下各种报警信息，确保ECS是正常的，同时看看RDS里面的SQL审计，看看执行时间。 ------------------------- 回 108楼deerpdean的帖子 亲，请在线咨询一下镜像的供应商，是由合作伙伴提供的。 ------------------------- 回 112楼火星了的帖子 谢谢支持！ ------------------------- 回 116楼shashouhang的帖子 好样的，看样子你已经自己安装上了unzip软件，有的镜像里没有自带这个命令，需要大家自己安装。 安装指令：“yum  install unzip” ,一定要注意三个单词中间有空格。 ------------------------- 回 118楼ienpai的帖子 谢谢支持，后续会根据大家关注度较高的需求陆续录制相关教程，有什么建议大家可以论坛里直接提出来。 ------------------------- 回 126楼victoire的帖子 亲，是完全免费的 ------------------------- 回 138楼过往云烟1的帖子 是文档里有乱码吗？请使用标准的 PDF reader试试，之前没有人反馈过。 ------------------------- 回 143楼原不周的帖子 亲，一般情况下不会出现这个问题，有几个方法： 1、重新执行一遍“一键WEB安装包”，支持反复安装的，同时装的时候注意一下有没有异常报错，注意一定要以管理员（root）身份执行。 2、如果还是不行，且ECS上没有重要数据，可以重置一次系统盘再试试。 如果还有问题，请将报错信息发上来，大家一起帮您诊断一下。 ------------------------- 回 150楼疯牛的帖子 首先祝贺这位同学！ 回复你的问题： ECS上建立的站点不需要进行域名绑定，只需要做域名解析就可以了，在你的域名解析服务商的平台里加一条A记录，指向ECS的服务器。 ------------------------- 回 152楼原不周的帖子 按照A002教程进行完以后，就自带了phpwind论坛，这是一键WEB安装包自带的，请参考安装包的pdf说明。 ------------------------- 回 161楼fengyunk83的帖子 亲，退出VI编辑器时需要先按一下“ESC”键，然后再输入冒号和wq，教程里忘了写了，下一版更新时会加上。 这是VI的操作方法，详细步骤可以从网上搜一些相关文档学习。 ------------------------- 回 160楼小小传的帖子 如果是用真实的域名，就通过DNS解析来完成，这样所有人都可以通过域名来访问。 如果是用虚拟的域名（未正式注册的，只是测试用），可以通过修改本地PC的hosts文件来测试，其实也是一种解析的方法。 ------------------------- 回 154楼lilianzhang的帖子 暂时没有windows相关的教程，php语言在linux系统下运行得更好，推荐使用linux. ------------------------- 回 158楼fengyunk83的帖子 1、乱码没有关系，只是终端字符集问题，您可以将文档ftp下载到本地查看。 2、目录修改方法： 2.1 将WEB根目录修改为“/alidata/www/wordpress” 2.2 将phpmyadmin目录从“/alidata/www” move 到“/alidata/www/wordpress” 3、最终效果： 3.1 wordpress 可以直接通过 http://ip地址/ 来访问 3.2 phpmyadmin的访问地址变为 http://ip地址/phpmyadmin/ ------------------------- Re“零基础”系列课程如何在ECS上快递搭建一个WordPress站点 感谢 fengyunk83整理，形成了一个整体的FAQ了！ 回答你的问题: 其实离成功只差一步了哈，是我之前没有去实际测试，以为改一个目录就可以，没想到wordpress在数据库里记录了安装时的路径，也需要修改一下，具体如下图所示： wp_option 表里有两个字段（siteurl , home）记录了路径，需要去掉“/wordpress”部份，实测过去掉就完全OK了，如下图： ------------------------- 回 173楼lilianzhang的帖子 不适用，windows系统请直接用“远程桌面”管理，和本地电脑一样。 ------------------------- Re“零基础”系列课程如何在ECS上快递搭建一个WordPress站点 云解析的入门帮助： https://help.aliyun.com/document_detail/dns/quick-start/hichina.html?spm=5176.product9002830_dns.4.18.KyzSsD 备案帮助入口： http://beian.aliyun.com/redian.html?spm=5176.200010.5.7.87ogNH @ fengyunk83 反馈的问题很典型，备案在中国是网站开通的必要条件，具体来说域名要指向阿里云的服务器就必须要先备案，如里之前在别的ISP备过案，需要来阿里云办理一次“备案接入”然后才可以访问。 备案的规则比较复杂，各个省的规定差异较大，请先从上面的链接去了解细节，也可以打客服电话去咨询，当然我也会和备案业务部门的同事联系，看看是否可以总结出通用的规则，录成小视频开放给大家。 关于解析的方法，请参上面的入门帮助，如有问题可以继续回复交流。 ------------------------- 回 191楼寂寞猫的帖子 亲，方便的话留个联系方式，或私信我，一定帮你解决好。 ------------------------- 回 203楼ryc0907的帖子 这个提示的意思是您的系统里没有unzip这个命令，这是一个外部命令，需要提前安装，请按照提示在命令行里输入“apt-get install unzip” 试试 ------------------------- 回 198楼伊奇的帖子 如果按照本教程一步一步操作完，最后的访问路径应该像这样： http://ip地址/wordpress/ ,如果试了还是不行，请将IP地址发上来，看看具体报错。 ------------------------- 回 195楼wqing17的帖子 应该是可以的，建议您试一下，有问题发上来，可以协助您解决。 ------------------------- Re“零基础”系列课程如何在ECS上快递搭建一个WordPress站点 有个最简单的方法，下载如下文件，用xftp上传至/alidata/www目录下： http://ecsdownload.oss-cn-hangzhou.aliyuncs.com/index.html 该文件的功能是将对根目录的访问重定向到wordpress目录。 ------------------------- 回 232楼风愿的帖子 很可能是您选择的操作系统不是CentOS系列的，请从管理控制台查看一下ECS的OS版本，贴上来，或者如果ECS里没有重要数据就直接更换系统盘，换成CentOS 6.X 再重新安装。 ------------------------- Re“零基础”系列课程如何在ECS上快递搭建一个WordPress站点 目录名拼写有误,是 "/alidata/www/" ------------------------- 回 260楼原不周的帖子 参考这篇文章：http://blog.unvs.cn/archives/phpmyadmin-login-error.html 一般是密码不对，或者权限不够。 你可以手工在SSH终端下试试，用命令行：“mysql -uroot -p密码”，看看能否登录。 ------------------------- Re“零基础”系列课程如何在ECS上快递搭建一个WordPress站点 视频链接昨天就修好了，欢迎大家继续观看！ ------------------------- 回 301楼权威地位的帖子 是不是设置了安全组？ 或者SSH监听的端口不是22？ ECS默认的设置一定是可以连接的。 具体问题可以加旺旺群（1253616026）沟通。 ------------------------- Re“零基础”系列课程如何在ECS上快递搭建一个WordPress站点 欢迎大家学习，我们新推出了在线的自助实验平台，3月底前可以免费做实验，体验云产品的强大功能，登录地址 www.aliyunedu.net ,可用阿里云帐号直接登录。 ------------------------- 回 309楼hlz8mm的帖子 祝贺！ ------------------------- 回 314楼拆桥在过河的帖子 本教程选择的是nignx,如果您对linux操作不熟悉的话，建议跟着教程一步一步走 ------------------------- 回 315楼小家子的帖子 前两个问题，请您往前看，之前我回复过优化方法。 第3条，linux的使用和维护技能，本身是一个很大的课题，也是很基础的教程，您可以在网上搜一下，有很多现成的资料可以找到。 在ECS的版块里也有很多实有的内容，希望对您有帮助： https://bbs.aliyun.com/thread/207.html?spm=5176.7189909.3.4.B68UCz ------------------------- 回 325楼fcjfamily的帖子 如果通过IP地址能正常访问, 更换为域名后出现问题,请参考前面的回复,有一个完整的说明,需要改一下数据库里记录的首页URL,有硬链接. ------------------------- 回 380楼bangmind的帖子 提示无效的用户, 换成以下两个命令，分别试试： “chown www wordpress -Rf” “chgrp www wordpress -Rf” 如果还报同样的错，估计是上一步安装的过程中没有创建www用户。 ------------------------- 回 390楼purebob的帖子 出现这个信息应该是nginx没的启动，直接start一下试试。

Go 的优势在于能够将简单的和经过验证的想法结合起来，同时避免了其他语言中出现的许多问题。本文概述了 Go 背后的一些设计原则和工程智慧，作者认为，Go 语言具备的所有这些优点，将共同推动其成为接替 Java 并主导下一代大型软件开发平台的最有力的编程语言候选。很多优秀的编程语言只是在个别领域比较强大，如果将所有因素都纳入考虑，没有其他语言能够像 Go 语言一样“全面开花”，在大型软件工程方面，尤为如此。 基于现实经验 Go 是由经验丰富的软件行业老手一手创建的，长期以来，他们对现有语言的各种缺点有过切身体会的痛苦经历。几十年前，Rob Pike 和 Ken Thompson 在 Unix、C 和 Unicode 的发明中起到了重要作用。Robert Griensemer 在为 JavaScript 和 Java 开发 V8 和 HotSpot 虚拟机之后，在编译器和垃圾收集方面拥有数十年的经验。有太多次，他们不得不等待 Google 规模的 C++/Java 代码库进行编译。于是，他们开始着手创建新的编程语言，将他们半个世纪以来的编写代码所学到的一切经验包含进去。 专注于大型工程 小型工程项目几乎可以用任何编程语言来成功构建。当成千上万的开发人员在数十年的持续时间压力下，在包含数千万行代码的大型代码库上进行协作时，就会发生真正令人痛苦的问题。这样会导致一些问题，如下： 较长的编译时间导致中断开发。代码库由几个人 / 团队 / 部门 / 公司所拥有，混合了不同的编程风格。公司雇佣了数千名工程师、架构师、测试人员、运营专家、审计员、实习生等，他们需要了解代码库，但也具备广泛的编码经验。依赖于许多外部库或运行时，其中一些不再以原始形式存在。在代码库的生命周期中，每行代码平均被重写 10 次，被弄得千疮百痍，而且还会发生技术偏差。文档不完整。 Go 注重减轻这些大型工程的难题，有时会以使小型工程变得更麻烦为代价，例如，代码中到处都需要几行额外的代码行。 注重可维护性 Go 强调尽可能多地将工作转给自动化的代码维护工具中。Go 工具链提供了最常用的功能，如格式化代码和导入、查找符号的定义和用法、简单的重构以及代码异味的识别。由于标准化的代码格式和单一的惯用方式，机器生成的代码更改看起来非常接近 Go 中人为生成的更改并使用类似的模式，从而允许人机之间更加无缝地协作。 保持简单明了 初级程序员为简单的问题创建简单的解决方案。高级程序员为复杂的问题创建复杂的解决方案。伟大的程序员找到复杂问题的简单解决方案。 ——Charles Connell 让很多人惊讶的一点是，Go 居然不包含他们喜欢的其他语言的概念。Go 确实是一种非常小巧而简单的语言，只包含正交和经过验证的概念的最小选择。这鼓励开发人员用最少的认知开销来编写尽可能简单的代码，以便许多其他人可以理解并使用它。 使事情清晰明了 良好的代码总是显而易见的，避免了那些小聪明、难以理解的语言特性、诡异的控制流和兜圈子。 许多语言都致力提高编写代码的效率。然而，在其生命周期中，人们阅读代码的时间却远远超过最初编写代码所需的时间（100 倍）。例如，审查、理解、调试、更改、重构或重用代码。在查看代码时，往往只能看到并理解其中的一小部分，通常不会有完整的代码库概述。为了解释这一点，Go 将所有内容都明确出来。 错误处理就是一个例子。让异常在各个点中断代码并在调用链上冒泡会更容易。Go 需要手动处理和返回每个错误。这使得它可以准确地显示代码可以被中断的位置以及如何处理或包装错误。总的来说，这使得错误处理编写起来更加繁琐，但是也更容易理解。 简单易学 Go 是如此的小巧而简单，以至于人们可以在短短几天内就能研究通整个语言及其基本概念。根据我们的经验，培训用不了一个星期（相比于掌握其他语言需要几个月），初学者就能够理解 Go 专家编写的代码，并为之做出贡献。为了方便吸引更多的用户，Go 网站提供了所有必要的教程和深入研究的文章。这些教程在浏览器中运行，允许人们在将 Go 安装到本地计算机上之前就能够学习和使用 Go。 解决之道 Go 强调的是团队之间的合作，而不是个人的自我表达。 在 Go（和 Python）中，所有的语言特性都是相互正交和互补的，通常有一种方法可以做一些事情。如果你想让 10 个 Python 或 Go 程序员来解决同一个问题，你将会得到 10 个相对类似的解决方案。不同的程序员在彼此的代码库中感觉更自在。在查看其他人的代码时，国骂会更少，而且人们的工作可以更好地融合在一起，从而形成了一致的整体，人人都为之感到自豪，并乐于工作。这还避免了大型工程的问题，如： 开发人员认为良好的工作代码很“混乱”，并要求在开始工作之前进行重写，因为他们的思维方式与原作者不同。 不同的团队成员使用不同的语言子集来编写相同代码库的部分内容。  简单、内置的并发性 Go 专为现代多核硬件设计。 目前使用的大多数编程语言（Java、JavaScript、Python、Ruby、C、C++）都是 20 世纪 80 年代到 21 世纪初设计的，当时大多数 CPU 只有一个计算内核。这就是为什么它们本质上是单线程的，并将并行化视为边缘情况的马后炮。通过现成和同步点之类的附加组件来实现，而这些附加组件既麻烦又难以正确使用。第三方库虽然提供了更简单的并发形式，如 Actor 模型，但是总有多个可用选项，结果导致了语言生态系统的碎片化。今天的硬件拥有越来越多的计算内核，软件必须并行化才能高效运行。Go 是在多核处理器时代编写的，并且在语言中内置了简单、高级的 CSP 风格并发性。 面向计算的语言原语 就深层而言，计算机系统接收数据，对其进行处理（通常要经过几个步骤），然后输出结果数据。例如，Web 服务器从客户端接收 HTTP 请求，并将其转换为一系列数据库或后端调用。一旦这些调用返回，它就将接收到的数据转换成 HTML 或 JSON 并将其输出给调用者。Go 的内置语言原语直接支持这种范例： 结构表示数据 读和写代表流式 IO 函数过程数据 goroutines 提供（几乎无限的）并发性 在并行处理步骤之间传输管道数据 因为所有的计算原语都是由语言以直接形式提供的，因此 Go 源代码更直接地表达了服务器执行的操作。 OO — 好的部分 更改基类中的某些内容的副作用 面向对象非常有用。过去几十年来，面向对象的使用富有成效，并让我们了解了它的哪些部分比其他部分能够更好地扩展。Go 在面向对象方面采用了一种全新的方法，并记住了这些知识。它保留了好的部分，如封装、消息传递等。Go 还避免了继承，因为它现在被认为是有害的，并为组合提供了一流的支持。 现代标准库 目前使用的许多编程语言（Java、JavaScript、Python、Ruby）都是在互联网成为当今无处不在的计算平台之前设计的。因此，这些语言的标准库只提供了相对通用的网络支持，而这些网络并没有针对现代互联网进行优化。Go 是十年前创建的，当时互联网已全面发展。Go 的标准库允许在没有第三方库的情况下创建更复杂的网络服务。这就避免了第三方库的常见问题： 碎片化：总是有多个选项实现相同的功能。 膨胀：库常常实现的不仅仅是它们的用途。 依赖地狱：库通常依赖于特定版本的其他库。 未知质量：第三方代码的质量和安全性可能存在问题。 未知支持：第三方库的开发可能随时停止支持。 意外更改：第三方库通常不像标准库那样严格地进行版本控制。 关于这方面更多的信息请参考 Russ Cox 提供的资料 标准化格式 Gofmt 的风格没有人会去喜欢，但人人都会喜欢 gofmt。 ——Rob Pike Gofmt 是一种以标准化方式来格式化 Go 代码的程序。它不是最漂亮的格式化方式，但却是最简单、最不令人生厌的格式化方式。标准化的源代码格式具有惊人的积极影响： 集中讨论重要主题： 它消除了围绕制表符和空格、缩进深度、行长、空行、花括号的位置等一系列争论。 开发人员在彼此的代码库中感觉很自在， 因为其他代码看起来很像他们编写的代码。每个人都喜欢自由地按照自己喜欢的方式进行格式化代码，但如果其他人按照自己喜欢的方式格式化了代码，这么做很招人烦。 自动代码更改并不会打乱手写代码的格式，例如引入了意外的空白更改。 许多其他语言社区现在正在开发类似 gofmt 的东西。当作为第三方解决方案构建时，通常会有几个相互竞争的格式标准。例如，JavaScript 提供了 Prettier 和 StandardJS。这两者都可以用，也可以只使用其中的一个。但许多 JS 项目并没有采用它们，因为这是一个额外的决策。Go 的格式化程序内置于该语言的标准工具链中，因此只有一个标准，每个人都在使用它。 快速编译  对于大型代码库来说，它们长时间的编译是促使 Go 诞生的原因。Google 主要使用的是 C++ 和 Java，与 Haskell、Scala 或 Rust 等更复杂的语言相比，它们的编译速度相对较快。尽管如此，当编译大型代码库时，即使是少量的缓慢也会加剧编译的延迟，从而激怒开发人员，并干扰流程。Go 的设计初衷是为了提高编译效率，因此它的编译器速度非常快，几乎没有编译延迟的现象。这给 Go 开发人员提供了与脚本类语言类似的即时反馈，还有静态类型检查的额外好处。 交叉编译 由于语言运行时非常简单，因此它被移植到许多平台，如 macOS、Linux、Windows、BSD、ARM 等。Go 可以开箱即用地为所有这些平台编译二进制文件。这使得从一台机器进行部署变得很容易。 快速执行 Go 的运行速度接近于 C。与 JITed 语言（Java、JavaScript、Python 等）不同，Go 二进制文件不需要启动或预热的时间，因为它们是作为编译和完全优化的本地代码的形式发布的。Go 的垃圾收集器仅引入微秒量级的可忽略的停顿。除了快速的单核性能外，Go 还可以轻松利用所有的 CPU 内核。 内存占用小 像 JVM、Python 或 Node 这样的运行时不仅仅在运行时加载程序代码，每次运行程序时，它们还会加载大型且高度复杂的基础架构，以进行编译和优化程序。如此一来，它们的启动时间就变慢了，并且还占用了大量内存（数百兆字节）。而 Go 进程的开销更小，因为它们已经完全编译和优化，只需运行即可。Go 还以非常节省内存的方式来存储数据。在内存有限且昂贵的云环境中，以及在开发过程中，这一点非常重要。我们希望在一台机器上能够快速启动整个堆栈，同时将内存留给其他软件。 部署规模小 Go 的二进制文件大小非常简洁。Go 应用程序的 Docker 镜像通常比用 Java 或 Node 编写的等效镜像要小 10 倍，这是因为它无需包含编译器、JIT，以及更少的运行时基础架构的原因。这些特点，在部署大型应用程序时很重要。想象一下，如果要将一个简单的应用程序部署到 100 个生产服务器上会怎么样？如果使用 Node/JVM 时，我们的 Docker 注册表就必须提供 100 个 docker 镜像，每个镜像 200MB，那么一共就需要 20GB。要完成这些部署就需要一些时间。想象一下，如果我们想每天部署 100 次的话，如果使用 Go 服务，那么 Docker 注册表只需提供 10 个 docker 镜像，每个镜像只有 20MB，共只需 2GB 即可。大型 Go 应用程序可以更快、更频繁地部署，从而使得重要更新能够更快地部署到生产环境中。 独立部署 Go 应用程序部署为一个包含所有依赖项的单个可执行文件，并无需安装特定版本的 JVM、Node 或 Python 运行时；也不必将库下载到生产服务器上，更无须对运行 Go 二进制文件的机器进行任何更改。甚至也不需要讲 Go 二进制文件包装到 Docker 来共享他们。你需要做的是，只是将 Go 二进制文件放到服务器上，它就会在那里运行，而不用关心服务器运行的是什么。前面所提到的那些，唯一的例外是使用net和os/user包时针对对glibc的动态链接。 供应依赖关系 Go 有意识避免使用第三方库的中央存储库。Go 应用程序直接链接到相应的 Git 存储库，并将所有相关代码下载（供应）到自己的代码库中。这样做有很多好处： 在使用第三方代码之前，我们可以对其进行审查、分析和测试。该代码就和我们自己的代码一样，是我们应用程序的一部分，应该遵循相同的质量、安全性和可靠性标准。 无需永久访问存储依赖项的各个位置。从任何地方（包括私有 Git repos）获取第三方库，你就能永久拥有它们。 经过验收后，编译代码库无需进一步下载依赖项。 若互联网某处的代码存储库突然提供不同的代码，这也并不足为奇。 即使软件包存储库速度变慢，或托管包不复存在，部署也不会因此中断。 兼容性保证 Go 团队承诺现有的程序将会继续适用于新一代语言。这使得将大型项目升级到最新版本的编译器会非常容易，并且可从它们带来的许多性能和安全性改进中获益。同时，由于 Go 二进制文件包含了它们需要的所有依赖项，因此可以在同一服务器上并行运行使用不同版本的 Go 编译器编译的二进制文件，而无需进行复杂的多个版本的运行时设置或虚拟化。 文档 在大型工程中，文档对于使软件可访问性和可维护性非常重要。与其他特性类似，Go 中的文档简单实用： 由于它是嵌入到源代码中的，因此两者可以同时维护。 它不需要特殊的语法，文档只是普通的源代码注释。 可运行单元测试通常是最好的文档形式。因此 Go 要求将它们嵌入到文档中。 所有的文档实用程序都内置在工具链中，因此每个人都使用它们。 Go linter 需要导出元素的文档，以防止“文档债务”的积累。 商业支持的开源 当商业实体在开放式环境下开发时，那么一些最流行的、经过彻底设计的软件就会出现。这种设置结合了商业软件开发的优势——一致性和精细化，使系统更为健壮、可靠、高效，并具有开放式开发的优势，如来自许多行业的广泛支持，多个大型实体和许多用户的支持，以及即使商业支持停止的长期支持。Go 就是这样发展起来的。 缺点 当然，Go 也并非完美无缺，每种技术选择都是有利有弊。在决定选择 Go 之前，有几个方面需要进行考虑考虑。 未成熟 虽然 Go 的标准库在支持许多新概念（如 HTTP 2 Server push 等）方面处于行业领先地位，但与 JVM 生态系统中的第三方库相比，用于外部 API 的第三方 Go 库可能不那么成熟。 即将到来的改进 由于清楚几乎不可能改变现有的语言元素，Go 团队非常谨慎，只在新特性完全开发出来后才添加新特性。在经历了 10 年的有意稳定阶段之后，Go 团队正在谋划对语言进行一系列更大的改进，作为 Go 2.0 之旅的一部分。 无硬实时 虽然 Go 的垃圾收集器只引入了非常短暂的停顿，但支持硬实时需要没有垃圾收集的技术，例如 Rust。 结语 本文详细介绍了 Go 语言的一些优秀的设计准则，虽然有的准则的好处平常看起来没有那么明显。但当代码库和团队规模增长几个数量级时，这些准则可能会使大型工程项目免于许多痛苦。总的来说，正是这些设计准则让 Go 语言成为了除 Java 之外的编程语言里，用于大型软件开发项目的绝佳选择。

Nginx是一个轻量级的，高性能的Web服务器以及反向代理和邮箱 (IMAP/POP3)代理服务器。它运行在UNIX,GNU /linux,BSD 各种版本，Mac OS X,Solaris和Windows。根据调查统计，6%的网站使用Nginx Web服务器。Nginx是少数能处理C10K问题的服务器之一。跟传统的服务器不同，Nginx不依赖线程来处理请求。相反，它使用了更多的可扩展的事 件驱动（异步）架构。Nginx为一些高流量的网站提供动力，比如WordPress,人人网，腾讯，网易等。这篇文章主要是介绍如何提高运行在 Linux或UNIX系统的Nginx Web服务器的安全性。 默认配置文件和Nginx端口 /usr/local/nginx/conf/ – Nginx配置文件目录，/usr/local/nginx/conf/nginx.conf是主配置文件 /usr/local/nginx/html/ – 默认网站文件位置 /usr/local/nginx/logs/ – 默认日志文件位置 Nginx HTTP默认端口 : TCP 80 Nginx HTTPS默认端口: TCP 443 你可以使用以下命令来测试Nginx配置文件准确性。 /usr/local/nginx/sbin/nginx -t 将会输出： the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok configuration file /usr/local/nginx/conf/nginx.conf test is successful 执行以下命令来重新加载配置文件。 /usr/local/nginx/sbin/nginx -s reload 执行以下命令来停止服务器。 /usr/local/nginx/sbin/nginx -s stop 一、配置SELinux 注意：对于云服务器 ECS，参阅 ECS 使用须知 ，基于兼容性、稳定性考虑，请勿开启 SELinux。 安全增强型 Linux（SELinux）是一个Linux内核的功能，它提供支持访问控制的安全政策保护机制。它可以防御大部分攻击。下面我们来看如何启动基于centos/RHEL系统的SELinux。 安装SELinux rpm -qa | grep selinux libselinux-1.23.10-2 selinux-policy-targeted-1.23.16-6 如果没有返回任何结果，代表没有安装 SELinux，如果返回了类似上面的结果，则说明系统安装了 SELinux。 布什值锁定 运行命令getsebool -a来锁定系统。 getsebool -a | less getsebool -a | grep off getsebool -a | grep o 二、通过分区挂载允许最少特权 服务器上的网页/html/php文件单独分区。例如，新建一个分区/dev/sda5(第一逻辑分区)，并且挂载在/nginx。确保 /nginx是以noexec, nodev and nosetuid的权限挂载。以下是我的/etc/fstab的挂载/nginx的信息： LABEL=/nginx /nginx ext3 defaults,nosuid,noexec,nodev 1 2 注意：你需要使用fdisk和mkfs.ext3命令创建一个新分区。 三、配置/etc/sysctl.conf强化Linux安全 你可以通过编辑/etc/sysctl.conf来控制和配置Linux内核、网络设置。 Avoid a smurf attack net.ipv4.icmp_echo_ignore_broadcasts = 1 Turn on protection for bad icmp error messages net.ipv4.icmp_ignore_bogus_error_responses = 1 Turn on syncookies for SYN flood attack protection net.ipv4.tcp_syncookies = 1 Turn on and log spoofed, source routed, and redirect packets net.ipv4.conf.all.log_martians = 1 net.ipv4.conf.default.log_martians = 1 No source routed packets here net.ipv4.conf.all.accept_source_route = 0 net.ipv4.conf.default.accept_source_route = 0 Turn on reverse path filtering net.ipv4.conf.all.rp_filter = 1 net.ipv4.conf.default.rp_filter = 1 Make sure no one can alter the routing tables net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 net.ipv4.conf.all.secure_redirects = 0 net.ipv4.conf.default.secure_redirects = 0 Don’t act as a router net.ipv4.ip_forward = 0 net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0 Turn on execshild kernel.exec-shield = 1 kernel.randomize_va_space = 1 Tuen IPv6 net.ipv6.conf.default.router_solicitations = 0 net.ipv6.conf.default.accept_ra_rtr_pref = 0 net.ipv6.conf.default.accept_ra_pinfo = 0 net.ipv6.conf.default.accept_ra_defrtr = 0 net.ipv6.conf.default.autoconf = 0 net.ipv6.conf.default.dad_transmits = 0 net.ipv6.conf.default.max_addresses = 1 Optimization for port usefor LBs Increase system file descriptor limit fs.file-max = 65535 Allow for more PIDs (to reduce rollover problems); may break some programs 32768 kernel.pid_max = 65536 Increase system IP port limits net.ipv4.ip_local_port_range = 2000 65000 Increase TCP max buffer size setable using setsockopt() net.ipv4.tcp_rmem = 4096 87380 8388608 net.ipv4.tcp_wmem = 4096 87380 8388608 Increase Linux auto tuning TCP buffer limits min, default, and max number of bytes to use set max to at least 4MB, or higher if you use very high BDP paths Tcp Windows etc net.core.rmem_max = 8388608 net.core.wmem_max = 8388608 net.core.netdev_max_backlog = 5000 net.ipv4.tcp_window_scaling = 1 四、删除所有不需要的Nginx模块 你需要直接通过编译Nginx源代码使模块数量最少化。通过限制只允许web服务器访问模块把风险降到最低。你可以只配置安装nginx你所需要的模块。例如，禁用SSL和autoindex模块你可以执行以下命令： ./configure –without-http_autoindex_module –without-http_ssi_module make make install 通过以下命令来查看当编译nginx服务器时哪个模块能开户或关闭： ./configure –help | less 禁用你用不到的nginx模块。 （可选项）更改nginx版本名称。 编辑文件/http/ngx_http_header_filter_module.c： vi +48 src/http/ngx_http_header_filter_module.c 找到行： static char ngx_http_server_string[] = “Server: nginx” CRLF; static char ngx_http_server_full_string[] = “Server: ” NGINX_VER CRLF; 按照以下行修改： static char ngx_http_server_string[] = “Server: Ninja Web Server” CRLF; static char ngx_http_server_full_string[] = “Server: Ninja Web Server” CRLF; 保存并关闭文件。现在你可以编辑服务器了。增加以下代码到nginx.conf文件来关闭nginx版本号的显示。 server_tokens off 五、使用mod_security(只适合后端Apache服务器) mod_security为Apache提供一个应用程序级的防火墙。为后端Apache Web服务器安装mod_security，这会阻止很多注入式攻击。 六、安装SELinux策略以强化Nginx Web服务器 默认的SELinux不会保护Nginx Web服务器，但是你可以安装和编译保护软件。 1、安装编译SELinux所需环境支持 yum -y install selinux-policy-targeted selinux-policy-devel 2、下载SELinux策略以强化Nginx Web服务器。 cd /opt wget ‘http://downloads.sourceforge.net/project/selinuxnginx/se-ngix_1_0_10.tar.gz?use_mirror=nchc’ 3、解压文件 tar -zxvf se-ngix_1_0_10.tar.gz 4、编译文件 cd se-ngix_1_0_10/nginx make 将会输出如下： Compiling targeted nginx module /usr/bin/checkmodule: loading policy configuration from tmp/nginx.tmp /usr/bin/checkmodule: policy configuration loaded /usr/bin/checkmodule: writing binary representation (version 6) to tmp/nginx.mod Creating targeted nginx.pp policy package rm tmp/nginx.mod.fc tmp/nginx.mod 5、安装生成的nginx.pp SELinux模块： /usr/sbin/semodule -i nginx.pp 七、基于Iptables防火墙的限制 下面的防火墙脚本阻止任何除了允许： 来自HTTP(TCP端口80)的请求 来自ICMP ping的请求 ntp(端口123)的请求输出 smtp(TCP端口25)的请求输出 #!/bin/bash IPT=”/sbin/iptables” IPS Get server public ip SERVER_IP=$(ifconfig eth0 | grep ‘inet addr:’ | awk -F’inet addr:’ ‘{ print $2}’ | awk ‘{ print $1}’) LB1_IP=”204.54.1.1″ LB2_IP=”204.54.1.2″ Do some smart logic so that we can use damm script on LB2 too OTHER_LB=”" SERVER_IP=”" [[ "$SERVER_IP" == "$LB1_IP" ]] && OTHER_LB=”$LB2_IP” || OTHER_LB=”$LB1_IP” [[ "$OTHER_LB" == "$LB2_IP" ]] && OPP_LB=”$LB1_IP” || OPP_LB=”$LB2_IP” IPs PUB_SSH_ONLY=”122.xx.yy.zz/29″ FILES BLOCKED_IP_TDB=/root/.fw/blocked.ip.txt SPOOFIP=”127.0.0.0/8 192.168.0.0/16 172.16.0.0/12 10.0.0.0/8 169.254.0.0/16 0.0.0.0/8 240.0.0.0/4 255.255.255.255/32 168.254.0.0/16 224.0.0.0/4 240.0.0.0/5 248.0.0.0/5 192.0.2.0/24″ BADIPS=$( [[ -f ${BLOCKED_IP_TDB} ]] && egrep -v “^#|^$” ${BLOCKED_IP_TDB}) Interfaces PUB_IF=”eth0″ # public interface LO_IF=”lo” # loopback VPN_IF=”eth1″ # vpn / private net start firewall echo “Setting LB1 $(hostname) Firewall…” DROP and close everything $IPT -P INPUT DROP $IPT -P OUTPUT DROP $IPT -P FORWARD DROP Unlimited lo access $IPT -A INPUT -i ${LO_IF} -j ACCEPT $IPT -A OUTPUT -o ${LO_IF} -j ACCEPT Unlimited vpn / pnet access $IPT -A INPUT -i ${VPN_IF} -j ACCEPT $IPT -A OUTPUT -o ${VPN_IF} -j ACCEPT Drop sync $IPT -A INPUT -i ${PUB_IF} -p tcp ! –syn -m state –state NEW -j DROP Drop Fragments $IPT -A INPUT -i ${PUB_IF} -f -j DROP $IPT -A INPUT -i ${PUB_IF} -p tcp –tcp-flags ALL FIN,URG,PSH -j DROP $IPT -A INPUT -i ${PUB_IF} -p tcp –tcp-flags ALL ALL -j DROP Drop NULL packets $IPT -A INPUT -i ${PUB_IF} -p tcp –tcp-flags ALL NONE -m limit –limit 5/m –limit-burst 7 -j LOG –log-prefix ” NULL Packets “ $IPT -A INPUT -i ${PUB_IF} -p tcp –tcp-flags ALL NONE -j DROP $IPT -A INPUT -i ${PUB_IF} -p tcp –tcp-flags SYN,RST SYN,RST -j DROP Drop XMAS $IPT -A INPUT -i ${PUB_IF} -p tcp –tcp-flags SYN,FIN SYN,FIN -m limit –limit 5/m –limit-burst 7 -j LOG –log-prefix ” XMAS Packets “ $IPT -A INPUT -i ${PUB_IF} -p tcp –tcp-flags SYN,FIN SYN,FIN -j DROP Drop FIN packet scans $IPT -A INPUT -i ${PUB_IF} -p tcp –tcp-flags FIN,ACK FIN -m limit –limit 5/m –limit-burst 7 -j LOG –log-prefix ” Fin Packets Scan “ $IPT -A INPUT -i ${PUB_IF} -p tcp –tcp-flags FIN,ACK FIN -j DROP $IPT -A INPUT -i ${PUB_IF} -p tcp –tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP Log and get rid of broadcast / multicast and invalid $IPT -A INPUT -i ${PUB_IF} -m pkttype –pkt-type broadcast -j LOG –log-prefix ” Broadcast “ $IPT -A INPUT -i ${PUB_IF} -m pkttype –pkt-type broadcast -j DROP $IPT -A INPUT -i ${PUB_IF} -m pkttype –pkt-type multicast -j LOG –log-prefix ” Multicast “ $IPT -A INPUT -i ${PUB_IF} -m pkttype –pkt-type multicast -j DROP $IPT -A INPUT -i ${PUB_IF} -m state –state INVALID -j LOG –log-prefix ” Invalid “ $IPT -A INPUT -i ${PUB_IF} -m state –state INVALID -j DROP Log and block spoofed ips $IPT -N spooflist for ipblock in $SPOOFIP do $IPT -A spooflist -i ${PUB_IF} -s $ipblock -j LOG –log-prefix ” SPOOF List Block “ $IPT -A spooflist -i ${PUB_IF} -s $ipblock -j DROP done $IPT -I INPUT -j spooflist $IPT -I OUTPUT -j spooflist $IPT -I FORWARD -j spooflist Allow ssh only from selected public ips for ip in ${PUB_SSH_ONLY} do $IPT -A INPUT -i ${PUB_IF} -s ${ip} -p tcp -d ${SERVER_IP} –destination-port 22 -j ACCEPT $IPT -A OUTPUT -o ${PUB_IF} -d ${ip} -p tcp -s ${SERVER_IP} –sport 22 -j ACCEPT done allow incoming ICMP ping pong stuff $IPT -A INPUT -i ${PUB_IF} -p icmp –icmp-type 8 -s 0/0 -m state –state NEW,ESTABLISHED,RELATED -m limit –limit 30/sec -j ACCEPT $IPT -A OUTPUT -o ${PUB_IF} -p icmp –icmp-type 0 -d 0/0 -m state –state ESTABLISHED,RELATED -j ACCEPT allow incoming HTTP port 80 $IPT -A INPUT -i ${PUB_IF} -p tcp -s 0/0 –sport 1024:65535 –dport 80 -m state –state NEW,ESTABLISHED -j ACCEPT $IPT -A OUTPUT -o ${PUB_IF} -p tcp –sport 80 -d 0/0 –dport 1024:65535 -m state –state ESTABLISHED -j ACCEPT allow outgoing ntp $IPT -A OUTPUT -o ${PUB_IF} -p udp –dport 123 -m state –state NEW,ESTABLISHED -j ACCEPT $IPT -A INPUT -i ${PUB_IF} -p udp –sport 123 -m state –state ESTABLISHED -j ACCEPT allow outgoing smtp $IPT -A OUTPUT -o ${PUB_IF} -p tcp –dport 25 -m state –state NEW,ESTABLISHED -j ACCEPT $IPT -A INPUT -i ${PUB_IF} -p tcp –sport 25 -m state –state ESTABLISHED -j ACCEPT add your other rules here ####################### drop and log everything else $IPT -A INPUT -m limit –limit 5/m –limit-burst 7 -j LOG –log-prefix ” DEFAULT DROP “ $IPT -A INPUT -j DROP exit 0 八、控制缓冲区溢出攻击 编辑nginx.conf，为所有客户端设置缓冲区的大小限制。 vi /usr/local/nginx/conf/nginx.conf 编辑和设置所有客户端缓冲区的大小限制如下： Start: Size Limits & Buffer Overflows client_body_buffer_size 1K; client_header_buffer_size 1k; client_max_body_size 1k; large_client_header_buffers 2 1k; END: Size Limits & Buffer Overflows 解释： 1、client_body_buffer_size 1k-（默认8k或16k）这个指令可以指定连接请求实体的缓冲区大小。如果连接请求超过缓存区指定的值，那么这些请求实体的整体或部分将尝试写入一个临时文件。 2、client_header_buffer_size 1k-指令指定客户端请求头部的缓冲区大小。绝大多数情况下一个请求头不会大于1k，不过如果有来自于wap客户端的较大的cookie它可能会大于 1k，Nginx将分配给它一个更大的缓冲区，这个值可以在large_client_header_buffers里面设置。 3、client_max_body_size 1k-指令指定允许客户端连接的最大请求实体大小，它出现在请求头部的Content-Length字段。 如果请求大于指定的值，客户端将收到一个”Request Entity Too Large” (413)错误。记住，浏览器并不知道怎样显示这个错误。 4、large_client_header_buffers-指定客户端一些比较大的请求头使用的缓冲区数量和大小。请求字段不能大于一个缓冲区大小，如果客户端发送一个比较大的头，nginx将返回”Request URI too large” (414) 同样，请求的头部最长字段不能大于一个缓冲区，否则服务器将返回”Bad request” (400)。缓冲区只在需求时分开。默认一个缓冲区大小为操作系统中分页文件大小，通常是4k或8k，如果一个连接请求最终将状态转换为keep- alive，它所占用的缓冲区将被释放。 你还需要控制超时来提高服务器性能并与客户端断开连接。按照如下编辑： Start: Timeouts client_body_timeout 10; client_header_timeout 10; keepalive_timeout 5 5; send_timeout 10; End: Timeouts 1、client_body_timeout 10;-指令指定读取请求实体的超时时间。这里的超时是指一个请求实体没有进入读取步骤，如果连接超过这个时间而客户端没有任何响应，Nginx将返回一个”Request time out” (408)错误。 2、client_header_timeout 10;-指令指定读取客户端请求头标题的超时时间。这里的超时是指一个请求头没有进入读取步骤，如果连接超过这个时间而客户端没有任何响应，Nginx将返回一个”Request time out” (408)错误。 3、keepalive_timeout 5 5; – 参数的第一个值指定了客户端与服务器长连接的超时时间，超过这个时间，服务器将关闭连接。参数的第二个值（可选）指定了应答头中Keep-Alive: timeout=time的time值，这个值可以使一些浏览器知道什么时候关闭连接，以便服务器不用重复关闭，如果不指定这个参数，nginx不会在应 答头中发送Keep-Alive信息。（但这并不是指怎样将一个连接“Keep-Alive”）参数的这两个值可以不相同。 4、send_timeout 10; 指令指定了发送给客户端应答后的超时时间，Timeout是指没有进入完整established状态，只完成了两次握手，如果超过这个时间客户端没有任何响应，nginx将关闭连接。 九、控制并发连接 你可以使用NginxHttpLimitZone模块来限制指定的会话或者一个IP地址的特殊情况下的并发连接。编辑nginx.conf: Directive describes the zone, in which the session states are stored i.e. store in slimits. 1m can handle 32000 sessions with 32 bytes/session, set to 5m x 32000 session limit_zone slimits $binary_remote_addr 5m; Control maximum number of simultaneous connections for one session i.e. restricts the amount of connections from a single ip address limit_conn slimits 5; 上面表示限制每个远程IP地址的客户端同时打开连接不能超过5个。 十、只允许我们的域名的访问 如果机器人只是随机扫描服务器的所有域名，那拒绝这个请求。你必须允许配置的虚拟域或反向代理请求。你不必使用IP地址来拒绝。 Only requests to our Host are allowed i.e. nixcraft.in, images.nixcraft.in and www.nixcraft.in if ($host !~ ^(nixcraft.in|www.nixcraft.in|images.nixcraft.in)$ ) { return 444; } 十一、限制可用的请求方法 GET和POST是互联网上最常用的方法。 Web服务器的方法被定义在RFC 2616。如果Web服务器不要求启用所有可用的方法，它们应该被禁用。下面的指令将过滤只允许GET，HEAD和POST方法： Only allow these request methods if ($request_method !~ ^(GET|HEAD|POST)$ ) { return 444; } Do not accept DELETE, SEARCH and other methods 更多关于HTTP方法的介绍 GET方法是用来请求，如文件http://www.moqifei.com/index.php。 HEAD方法是一样的，除非该服务器的GET请求无法返回消息体。 POST方法可能涉及到很多东西，如储存或更新数据，或订购产品，或通过提交表单发送电子邮件。这通常是使用服务器端处理，如PHP，Perl和Python等脚本。如果你要上传的文件和在服务器处理数据，你必须使用这个方法。 十二、如何拒绝一些User-Agents？ 你可以很容易地阻止User-Agents,如扫描器，机器人以及滥用你服务器的垃圾邮件发送者。 Block download agents if ($http_user_agent ~* LWP::Simple|BBBike|wget) { return 403; } 阻止Soso和有道的机器人： Block some robots if ($http_user_agent ~* Sosospider|YodaoBot) { return 403; } 十三、如何防止图片盗链 图片或HTML盗链的意思是有人直接用你网站的图片地址来显示在他的网站上。最终的结果，你需要支付额外的宽带费用。这通常是在论坛和博客。我强烈建议您封锁，并阻止盗链行为。 Stop deep linking or hot linking location /images/ { valid_referers none blocked www.example.com example.com; if ($invalid_referer) { return 403; } } 例如：重定向并显示指定图片 valid_referers blocked www.example.com example.com; if ($invalid_referer) { rewrite ^/images/uploads.*.(gif|jpg|jpeg|png)$ http://www.examples.com/banned.jpg last } 十四、目录限制 你可以对指定的目录设置访问权限。所有的网站目录应该一一的配置，只允许必须的目录访问权限。 通过IP地址限制访问 你可以通过IP地址来限制访问目录/admin/: location /docs/ { block one workstation deny 192.168.1.1; allow anyone in 192.168.1.0/24 allow 192.168.1.0/24; drop rest of the world deny all; } 通过密码保护目录 首先创建密码文件并增加“user”用户： mkdir /usr/local/nginx/conf/.htpasswd/ htpasswd -c /usr/local/nginx/conf/.htpasswd/passwd user 编辑nginx.conf,加入需要保护的目录： Password Protect /personal-images/ and /delta/ directories location ~ /(personal-images/.|delta/.) { auth_basic “Restricted”; auth_basic_user_file /usr/local/nginx/conf/.htpasswd/passwd; } 一旦密码文件已经生成，你也可以用以下的命令来增加允许访问的用户： htpasswd -s /usr/local/nginx/conf/.htpasswd/passwd userName 十五、Nginx SSL配置 HTTP是一个纯文本协议，它是开放的被动监测。你应该使用SSL来加密你的用户内容。 创建SSL证书 执行以下命令： cd /usr/local/nginx/conf openssl genrsa -des3 -out server.key 1024 openssl req -new -key server.key -out server.csr cp server.key server.key.org openssl rsa -in server.key.org -out server.key openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt 编辑nginx.conf并按如下来更新： server { server_name example.com; listen 443; ssl on; ssl_certificate /usr/local/nginx/conf/server.crt; ssl_certificate_key /usr/local/nginx/conf/server.key; access_log /usr/local/nginx/logs/ssl.access.log; error_log /usr/local/nginx/logs/ssl.error.log; } 重启nginx: /usr/local/nginx/sbin/nginx -s reload 十六、Nginx与PHP安全建议 PHP是流行的服务器端脚本语言之一。如下编辑/etc/php.ini文件： Disallow dangerous functions disable_functions = phpinfo, system, mail, exec Try to limit resources Maximum execution time of each script, in seconds max_execution_time = 30 Maximum amount of time each script may spend parsing request data max_input_time = 60 Maximum amount of memory a script may consume (8MB) memory_limit = 8M Maximum size of POST data that PHP will accept. post_max_size = 8M Whether to allow HTTP file uploads. file_uploads = Off Maximum allowed size for uploaded files. upload_max_filesize = 2M Do not expose PHP error messages to external users display_errors = Off Turn on safe mode safe_mode = On Only allow access to executables in isolated directory safe_mode_exec_dir = php-required-executables-path Limit external access to PHP environment safemode_allowed_env_vars = PHP Restrict PHP information leakage expose_php = Off Log all errors log_errors = On Do not register globals for input data register_globals = Off Minimize allowable PHP post size post_max_size = 1K Ensure PHP redirects appropriately cgi.force_redirect = 0 Disallow uploading unless necessary file_uploads = Off Enable SQL safe mode sql.safe_mode = On Avoid Opening remote files allow_url_fopen = Off 十七、如果可能让Nginx运行在一个chroot监狱 把nginx放在一个chroot监狱以减小潜在的非法进入其它目录。你可以使用传统的与nginx一起安装的chroot。如果可能，那使用FreeBSD jails，Xen，OpenVZ虚拟化的容器概念。 十八、在防火墙级限制每个IP的连接数 网络服务器必须监视连接和每秒连接限制。PF和Iptales都能够在进入你的nginx服务器之前阻止最终用户的访问。 Linux Iptables:限制每次Nginx连接数 下面的例子会阻止来自一个IP的60秒钟内超过15个连接端口80的连接数。 /sbin/iptables -A INPUT -p tcp –dport 80 -i eth0 -m state –state NEW -m recent –set /sbin/iptables -A INPUT -p tcp –dport 80 -i eth0 -m state –state NEW -m recent –update –seconds 60 –hitcount 15 -j DROP service iptables save 请根据你的具体情况来设置限制的连接数。 十九：配置操作系统保护Web服务器 像以上介绍的启动SELinux.正确设置/nginx文档根目录的权限。Nginx以用户nginx运行。但是根目录（/nginx或者/usr /local/nginx/html）不应该设置属于用户nginx或对用户nginx可写。找出错误权限的文件可以使用如下命令： find /nginx -user nginx find /usr/local/nginx/html -user nginx 确保你更所有权为root或其它用户，一个典型的权限设置 /usr/local/nginx/html/ ls -l /usr/local/nginx/html/ 示例输出： -rw-r–r– 1 root root 925 Jan 3 00:50 error4xx.html -rw-r–r– 1 root root 52 Jan 3 10:00 error5xx.html -rw-r–r– 1 root root 134 Jan 3 00:52 index.html 你必须删除由vi或其它文本编辑器创建的备份文件： find /nginx -name ‘.?’ -not -name .ht -or -name ‘~’ -or -name ‘.bak’ -or -name ‘.old*’ find /usr/local/nginx/html/ -name ‘.?’ -not -name .ht -or -name ‘~’ -or -name ‘.bak’ -or -name ‘.old*’ 通过find命令的-delete选项来删除这些文件。 二十、限制Nginx连接传出 黑客会使用工具如wget下载你服务器本地的文件。使用Iptables从nginx用户来阻止传出连接。ipt_owner模块试图匹配本地产生的数据包的创建者。下面的例子中只允许user用户在外面使用80连接。 /sbin/iptables -A OUTPUT -o eth0 -m owner –uid-owner vivek -p tcp –dport 80 -m state –state NEW,ESTABLISHED -j ACCEPT 通过以上的配置，你的nginx服务器已经非常安全了并可以发布网页。可是，你还应该根据你网站程序查找更多的安全设置资料。例如，wordpress或者第三方程序。