海运的博客

Apache默认调用conf.d目录下conf文件，可在该目录新建虚拟机配置文件。
虚拟机配置：

vim /etc/httpd/conf.d/www.haiyun.me.conf
<VirtualHost *:80>
ServerName    www.haiyun.me #域名
ServerAlias www.haiyun.me #域名别名
ServerAdmin onovps@www.haiyun.me #管理员邮箱
DocumentRoot  /home/wwwroot/www.haiyun.me #网站目录
ErrorLog /var/log/httpd/onovps.error_log 错误日志目录
CustomLog     /var/log/httpd/onovps.access_log combined #日志格式及目录
php_admin_value open_basedir /home/wwwroot/www.haiyun.me/:/var/tmp/
#限制相应目录，防止跨站，多个目录以:相隔。
</VirtualHost> 

目录相关设置：

<Directory "/home/wwwroot/www.haiyun.me">
Options FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
</Directory>

对于服务器来说在线率很重要，出现问题要能及时解决，但系统管理员不能一直守在电脑旁边，通过脚本监控网站出现问题及时通过mail通知管理员，如果是139邮箱还可免费手机短信通知。
通过系统直接发送mail容易被拦截，可使用mail连接第三方smtp发送邮件。

#!/bin/bash
#Created by https://www.haiyun.me
#set -x
while true
do
    list=(www.haiyun.me cp.www.haiyun.me)
    mail=onovps@www.haiyun.me
    date=$(date -d "today" +"%Y-%m-%d-%H:%M:%S")
    i=0
    id=${#list[*]}
    while [ $i -lt $id ] 
    do
        if ping -c1 ${list[$i]} >/dev/null
        then
            echo  $date:服务器${list[$i]}能ping通。
        else
            if curl -m 10  ${list[$i]} > /dev/null 
            then
                echo  $date:服务器${list[$i]} ping不通,能打开网页。
            else
                echo  "您好，据系统监测服务器${list[$i]}不能访问且ping不通,请及时处理!故障发生时间：$date"|mail -s "服务器${list[$i]}不能连接! 故障发生时间：$date" $mail
                until 
                    date=$(date -d "today" +"%Y-%m-%d-%H:%M:%S")
                    ping -c1 ${list[$i]} >/dev/null && echo "恭喜！服务器${list[$i]}已恢复正常，恢复时间：$date"|mail -s "服务器${list[$i]}已恢复正常! 恢复时间：$date" $mail
                do
                    sleep 5
                done
            fi
        fi
        let i++
    done
    sleep 60
done

执行：

nohup sh /path/file.sh & #放到后台运行，程序60秒检查一次网站。

开机运行：

echo "nohup sh /path/file.sh & " >> /etc/rc.local

此脚本用于分析统计secure日记文件，对ssh登录错误次数较多的IP用iptables封掉。

#!/bin/bash
#Created by https://www.haiyun.me
num=10 #上限
for i in `awk '/Failed/{print $(NF-3)}' /var/log/secure|sort|uniq -c|sort -rn|awk '{if ($1>$num){print $2}}'`
do
       iptables -I INPUT -p tcp -s $i --dport 22 -j DROP
done

加入crontab计划任务

crontab -e
* */5 * * * sh /path/file.sh #5小时执行一次

此方法用于被动分析nginx日记找出请求数较大的IP，并用iptables封掉，如需主动限制，可参考通过nginx限制ip连接数防CC。

#!/bin/bash
#Created by https://www.haiyun.me
num=100 #上限
cd /home/wwwlogs
for i in `tail access.log -n 1000|awk '{print $1}'|sort|uniq -c|sort -rn|awk '{if ($1>$num){print $2}}'`
#读取最新1000条记录，如果单IP超过100条就封掉。
do
      iptables -I INPUT -p tcp -s $i --dport 80 -j DROP
done

加入crontab计划任务

crontab -e
*/5 * * * * sh /path/file.sh #5分钟执行一次

此方法用于被动统计IP连接数，对连接数较大的IP用iptables封掉，如需主动限制，可参考通过iptables限制ip连接数防CC。
Shell脚本如下：

#!/bin/bash
#Created by https://www.haiyun.me
num=100 #上限
list=`netstat -an |grep ^tcp.*:80|egrep -v 'LISTEN|127.0.0.1'|awk -F"[ ]+|[:]" '{print $6}'|sort|uniq -c|sort -rn|awk '{if ($1>$num){print $2}}'`
for i in $list
do
      iptables -I INPUT -s $i --dport 80 -j DROP
done

加入crontab计划任务

crontab -e
*/5 * * * * sh /path/file.sh #5分钟执行一次