1bestyiitopic83在yii中引用php的开源项目用composer已经很方便了，引用前端的开源项目也有composer的插件如： 1. [fxp-asset](https://github.com/fxpio/composer-asset-plugin "fxp-asset") 2. [Asset Packagist](https://github.com/hiqdev/asset-packagist "Asset Packagist") 以前yii默认采用前者，现在新的yii2模版默认采用后者，后者的作者就很厉害了，貌似是个重度yii用户，看来是被fxp-asset的执行缓慢给弄急眼了，所以自己搞了个更新的方法。 **言归正传：** 所以更快速的安装方式就是 Asset Packagist https://asset-packagist.org 其实就是2步： 1. 在config中关闭fxp-asset的调用 2. 在源列表中加入asset-packagist库的配置 ``` "config": { "process-timeout": 1800, "fxp-asset": { "enabled": false } }, ... "repositories": [ { "type": "composer", "url": "https://asset-packagist.org" } ] ``` 如果composer的源采用阿里云镜像，完整写法如下： ``` "repositories": { "0": { "type": "composer", "url": "https://asset-packagist.org" }, "packagist": { "type": "composer", "url": "https://mirrors.aliyun.com/composer/" } } ``` 需要注意的是，yii在yii\\base\\Application 中定义vendor路径的时候也定义了bower和npm路径： ```php /** * Sets the directory that stores vendor files. * @param string $path the directory that stores vendor files. */ public function setVendorPath($path) { $this->_vendorPath = Yii::getAlias($path); Yii::setAlias('@vendor', $this->_vendorPath); Yii::setAlias('@bower', $this->_vendorPath . DIRECTORY_SEPARATOR . 'bower'); Yii::setAlias('@npm', $this->_vendorPath . DIRECTORY_SEPARATOR . 'npm'); } ``` 这就和asset-packagist的默认安装路径有了差别解决办法： 重新定义yii中的bower和npm路径 ```php $config = [ ... 'aliases' => [ '@bower' => '@vendor/bower-asset', '@npm' => '@vendor/npm-asset', ], ... ]; ```composer,yii2157412913146470000001999157412913115741412252bestyiitopic83下面，我们将会回顾常见的安全原则，并介绍在使用 Yii 开发应用程序时，如何避免潜在安全威胁。 大多数这些原则并非您独有，而是适用于网站或软件开发， 因此，您还可以找到有关这些背后的一般概念的进一步阅读的链接。 基本准则 ======= 无论是开发何种应用程序，我们都有两条基本的安全准则： - 过滤输入 - 转义输出 过滤输入 ------- 过滤输入的意思是，用户输入不应该认为是安全的，你需要总是验证你获得的输入值是在允许范围内。 比如，我们假设可以通过三个字段完成排序` title，created_at 和 status`，然后，这个值是由用户输入提供的， 那么，最好在我们接收参数的时候，检查一下这个值是否是指定的范围。 对于基本的 PHP 而言，上述做法类似如下： ```php $sortBy = $_GET['sort']; if (!in_array($sortBy, ['title', 'created_at', 'status'])) { throw new Exception('Invalid sort value.'); } ``` 在 Yii 中，很大可能性，你会使用 `表单校验器` 来执行类似的检查。 **进一步阅读该主题：** https://www.owasp.org/index.php/Data_Validation https://www.owasp.org/index.php/Input_Validation_Cheat_Sheet 转义输出 -------- 转义输出的意思是，根据我们使用数据的上下文环境，数据需要被转义。比如：在 HTML 上下文， 你需要转义` <，> `之类的特殊字符。在 JavaScript 或者 SQL 中，也有其他的特殊含义的字符串需要被转义。 由于手动的给所用的输出转义容易出错， Yii 提供了大量的工具来在不同的上下文执行转义。 **进一步阅读该话题：** https://www.owasp.org/index.php/Command_Injection https://www.owasp.org/index.php/Code_Injection https://www.owasp.org/index.php/Cross-site_Scripting_(XSS) 避免 SQL 注入 ======= SQL 注入发生在查询语句是由连接未转义的字符串生成的场景，比如： ```php $username = $_GET['username']; $sql = "SELECT * FROM user WHERE username = '$username'"; ``` 除了提供正确的用户名外，攻击者可以给你的应用程序输入类似` '; DROP TABLE user; -- `的语句。 这将会导致生成如下的 SQL： ``` SELECT * FROM user WHERE username = ''; DROP TABLE user; --' ``` 这是一个合法的查询语句，并将会执行以空的用户名搜索用户操作，然后，删除 user 表。 这极有可能导致网站出错，数据丢失。（你是否进行了规律的数据备份？） 在 Yii 中，大部分的数据查询是通过 `Active Record` 进行的， 而其是完全使用 PDO 预处理语句执行 SQL 查询的。在预处理语句中，上述示例中，构造 SQL 查询的场景是不可能发生的。 有时，你仍需要使用 `raw queries` 或者 `query builder`。 在这种情况下，你应该使用安全的方式传递参数。如果数据是提供给表列的值，最好使用预处理语句： ```php // query builder $userIDs = (new Query()) ->select('id') ->from('user') ->where('status=:status', [':status' => $status]) ->all(); // DAO $userIDs = $connection ->createCommand('SELECT id FROM user where status=:status') ->bindValues([':status' => $status]) ->queryColumn(); ``` 如果数据是用于指定列的名字，或者表的名字，最好的方式是只允许预定义的枚举值。 ```php function actionList($orderBy = null) { if (!in_array($orderBy, ['name', 'status'])) { throw new BadRequestHttpException('Only name and status are allowed to order by.') } // ... } ``` 如果上述方法不行，表名或者列名应该被转义。Yii 针对这种转义提供了一个特殊的语法， 这样可以在所有支持的数据库都使用一套方案。 ```php $sql = "SELECT COUNT([[$column]]) FROM {{table}}"; $rowCount = $connection->createCommand($sql)->queryScalar(); ``` 你可以在 Quoting Table and Column Names 中获取更多的语法细节。 **进一步阅读该话题：** https://www.owasp.org/index.php/SQL_Injection 防止 XSS 攻击 ============ XSS 或者跨站脚本发生在输出 HTML 到浏览器时，输出内容没有正确的转义。 例如，如果用户可以输入其名称，那么他输入 `<script>alert('Hello!');</script>` 而非其名字 `Alexander`， 所有输出没有转义直接输出用户名的页面都会执行 JavaScript 代码 `alert('Hello!');`， 这会导致浏览器页面上出现一个警告弹出框。就具体的站点而言，除了这种无意义的警告输出外， 这样的脚本可以以你的名义发送一些消息到后台，甚至执行一些银行交易行为。 避免 XSS 攻击在 Yii 中非常简单，有如下两种一般情况： - 你希望数据以纯文本输出。 - 你希望数据以 HTML 形式输出。 如果你需要的是纯文本，你可以如下简单的转义： ```php <?= \yii\helpers\Html::encode($username) ?> ``` 如果是 HTML，我们可以用 `HtmlPurifier` 帮助类来执行： ```php <?= \yii\helpers\HtmlPurifier::process($description) ?> ``` 注意 HtmlPurifier 帮助类的处理过程较为费时，建议增加缓存。 **进一步阅读该话题：** https://www.owasp.org/index.php/Cross-site_Scripting_(XSS) 防止 CSRF 攻击 ============ CSRF 是跨站请求伪造的缩写。这个攻击思想源自许多应用程序假设来自用户的浏览器请求是由用户自己产生的， 而事实并非如此。 例如，网站 an.example.com 有一个 /logout 网址，当使用简单的 GET 请求访问时, 记录用户退出。 只要用户的请求一切正常，但是有一天坏人们故意在用户经常访问的论坛上放上 `<img src="http://an.example.com/logout">`。 浏览器在请求图像或请求页面之间没有任何区别， 所以当用户打开一个带有这样一个被操作过的 <img> 标签的页面时， 浏览器将 GET 请求发送到该 URL，用户将从 an.example.com 注销。 这是 CSRF 攻击如何运作的基本思路。可以说用户退出并不是一件严重的事情， 然而这仅仅是一个例子，使用这种方法可以做更多的事情，例如触发付款或者是改变数据。 想象一下如果某个网站有一个这样的 `http://an.example.com/purse/transfer?to=anotherUser&amount=2000` 网址。 使用 GET 请求访问它会导致从授权用户账户转账 $2000 给 anotherUser。 我们知道，浏览器将始终发送 GET 请求来加载图像， 所以我们可以修改代码以仅接受该 URL 上的 POST 请求。 不幸的是，这并不会拯救我们，因为攻击者可以放置一些 JavaScript 代码而不是 <img> 标签，这样就可以向该 URL 发送 POST 请求。 出于这个原因，Yii 应用其他机制来防止 CSRF 攻击。 **为了避免 CSRF 攻击，你总是需要：** 1. 遵循 HTTP 准则，比如 GET 不应该改变应用的状态。 有关详细信息，请参阅 [RFC2616][1]。 2. 保证 Yii CSRF 保护开启。 有的时候你需要对每个控制器和/或方法使用禁用 CSRF。可以通过设置其属性来实现： ```php namespace app\controllers; use yii\web\Controller; class SiteController extends Controller { public $enableCsrfValidation = false; public function actionIndex() { // CSRF validation will not be applied to this and other actions } } ``` 要对每个自定义方法禁用 CSRF 验证，您可以使用： ```php namespace app\controllers; use yii\web\Controller; class SiteController extends Controller { public function beforeAction($action) { // ...set `$this->enableCsrfValidation` here based on some conditions... // call parent method that will check CSRF if such property is true. return parent::beforeAction($action); } } ``` 在 standalone actions 禁用 CSRF 必须在 `init()` 方法中设置。 不要把这段代码放在 beforeRun() 方法中，因为它不会起任何作用。 ```php <?php namespace app\components; use yii\base\Action; class ContactAction extends Action { public function init() { parent::init(); $this->controller->enableCsrfValidation = false; } public function run() { $model = new ContactForm(); $request = Yii::$app->request; if ($request->referrer === 'yiipowered.com' && $model->load($request->post()) && $model->validate() ) { $model->sendEmail(); } } } ``` > `警告：` 禁用 CSRF 将允许任何站点向您的站点发送 POST 请求。在这种情况下，实施额外验证非常重要，例如检查 IP 地址或秘密令牌。 **进一步阅读该话题：** https://www.owasp.org/index.php/CSRF 防止文件暴露 ============ 默认的服务器 webroot 目录指向包含有 `index.php` 的 `web` 目录。在共享托管环境下，这样是不可能的， 这样导致了所有的代码，配置，日志都在webroot目录。 如果是这样，别忘了拒绝除了 web 目录以外的目录的访问权限。 如果没法这样做，考虑将你的应用程序托管在其他地方。 在生产环境关闭调试信息和工具 在调试模式下， Yii 展示了大量的错误信息，这样是对开发有用的。 同样，这些调试信息对于攻击者而言也是方便其用于破解数据结构，配置值，以及你的部分代码。 永远不要在生产模式下将你的 `index.php` 中的 `YII_DEBUG` 设置为 `true`。 你同样也不应该在生产模式下开启 Gii。它可以被用于获取数据结构信息， 代码，以及简单的用 Gii 生成的代码覆盖你的代码。 调试工具栏同样也应该避免在生产环境出现，除非非常有必要。它将会暴露所有的应用和配置的详情信息。 如果你确定需要，反复确认其访问权限限定在你自己的 IP。 **进一步阅读该话题：** https://www.owasp.org/index.php/Exception_Handling https://www.owasp.org/index.php/Top_10_2007-Information_Leakage 使用 TLS 上的安全连接（HTTPS的启用） =================== Yii 提供依赖 cookie 和/或 PHP 会话的功能。如果您的连接受到威胁，这些可能会很容易受到攻击。 如果应用程序通过 TLS 使用安全连接，则风险会降低。 有关如何配置它的说明，请参阅您的 Web 服务器文档。 现在各大云平台都提供免费的单域名SSL证书，如阿里云，[腾讯云][2]。 以阿里云部署Nginx下的SSL证书为例： 修改nginx.conf文件如下： ``` # 以下属性中以ssl开头的属性代表与证书配置有关，其他属性请根据自己的需要进行配置。 server { listen 443 ssl; server_name localhost; # localhost修改为您证书绑定的域名。 root html; index index.html index.htm; ssl_certificate cert/domain name.pem; #将domain name.pem替换成您证书的文件名。 ssl_certificate_key cert/domain name.key; #将domain name.key替换成您证书的密钥文件名。 ssl_session_timeout 5m; #使用此加密套件。 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #使用该协议进行配置。 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; location / { root html; #站点目录。 index index.html index.htm; } } ``` 设置http请求自动跳转https。（一般都这么做） ``` server { listen 80; server_name www.example.com; return 301 https://$server_name$request_uri; } ``` > 参考官方说明，写的能不能配置成功自己脑补 > 腾讯云 [Nginx 服务器证书安装][3] > 阿里云 [在Nginx/Tengine服务器上安装证书][4] 安全服务器配置 ============ 本节的目的是强调在为基于 Yii 的网站提供服务配置时需要考虑的风险。 除了这里涉及的要点之外， 可能还有其他与安全相关的配置选项， 所以不要认为这部分是完整的。 避免 Host-header 攻击 -------------------- 像 yii\web\UrlManager 和 yii\helpers\Url 这样的类会使用 currently requested host name 来生成链接。 如果 Web 服务器配置为独立于 `Host` 标头的值提供相同的站点，这个信息并不可靠， 并且 [可能由发送HTTP请求的用户伪造][5]。 在这种情况下，您应该修复您的 Web 服务器配置以便仅为指定的主机名提供站点服务 或者通过设置 `request` 应用程序组件的 hostInfo 属性来显式设置或过滤该值。 > `注意：` 您应该始更倾向于使用 web 服务器配置 'host header attack' 保护而不是使用过滤器。 仅当服务器配置设置不可用时 yii\filters\HostControl 才应该被使用。 **以Nginx为例：** 方法一： 修改nginx.conf 添加一个默认server，当host头被修改匹配不到server时会跳到该默认server，该默认server直接返回403错误。 例子如下： ```config server { listen 80 default; server_name _; server_name_in_redirect off; location / { return 403; } } ``` 重启nginx即可。 方法二： 修改nginx.conf 在目标server添加检测规则，参考以下标红配置： ```config server { server_name abc.com; listen 80; if ($http_Host !~*^abc.com:80$) { return 403; } ... } ``` 重启nginx即可。 有关于服务器配置的更多信息，请参阅您的 web 服务器的文档： - [在Web服务器防止Host头攻击][6] - Apache 2：http://httpd.apache.org/docs/trunk/vhosts/examples.html#defaultallports - Nginx：https://www.nginx.com/resources/wiki/start/topics/examples/server_blocks/ **`如果您无权访问服务器配置，您可以在应用程序级别设置 yii\filters\HostControl 过滤器， 以防此类的攻击。`** ```php // Web Application configuration file return [ 'as hostControl' => [ 'class' => 'yii\filters\HostControl', 'allowedHosts' => [ 'example.com', '*.example.com', ], 'fallbackHostInfo' => 'https://example.com', ], // ... ]; ``` 补充阅读 ======= - [web安全攻防思维导图][7] ![web安全攻防思维导图][8] - web攻击及防御技术 （来源网络） ![web攻击及防御技术][9] [1]: https://www.w3.org/Protocols/rfc2616/rfc2616-sec9.html [2]: https://cloud.tencent.com/document/product/400/8422 [3]: https://cloud.tencent.com/document/product/400/35244 [4]: https://help.aliyun.com/document_detail/98728.html [5]: https://www.acunetix.com/vulnerabilities/web/host-header-attack [6]: https://www.freebuf.com/articles/web/178315.html [7]: https://blog.csdn.net/qq_42636435/article/details/89222372 [8]: /img/bVbwZh6 [9]: /img/bVbwZlh > 本文由 [monster](https://www.bestyii.com/member/monster) 创作，采用 [知识共享署名 3.0 中国大陆许可协议](http://creativecommons.org/licenses/by/3.0/cn) 进行许可。 可自由转载、引用，但需署名作者且注明文章出处。yii2157414278427850000001999157414278415741427843bestyiitopic53简介 === 官网 http://supervisord.org/ supervisor是一个允许用户监视和控制在linux操作系统的进程数量的客户端/服务器系统。由python语言编写，用以监控服务器的运行，发现问题能立即自动预警及自动重启等功能。supervisor还要求管理的程序是非daemon程序，supervisord会帮你把它转成daemon程序。 组件 === - supervisord 服务端，他负责在他自己的进程下起一个子进程，相应来自客户端的命令，重启崩溃或异常退出的子进程，输出相关日志，针对于子进程活跃期间的时间进行生成和管理 配置文件位置： /etc/supervisord.conf 注意配置合理权限 - supervisorctl 命令行客户端，有supervisord提供的一个shell-like接口，通过它，用户可以连接到不同的supervisorctl进程，查看，起停子进程，列出正在运行的子进程。通过TCP进行交互，提供认证，在[supervisorctl]段进行统一的配置 - web server supervisorctl的web管理界面，通过访问http://localhost:9001/来管理子进程状态，[inet_http_server]这段进行配置 安装 === 前提条件是要有python环境，linux一般自带python环境，这里以centOS为例。 yum安装 ``` yum install -y supervisor ``` 启动 === ``` systemctl start supervisord ``` 开机启动 ``` systemctl enable supervisord ``` 配置文件解析 === 生成配置文件： echo_supervisord_conf > /tmp/supervisord.conf 一般yum安装后配置文件默认位置是/etc/supervisor/supervisord.conf。其中注释是以分号开头 ``` [unix_http_server] #这段是通过socket文件启动的web server，这个要有，因为命令行supervisorctl是通过这个实现的。 file = /tmp/supervisor.sock chmod = 0777 chown= nobody:nogroup username = user password = 123 [inet_http_server] #通过网络端口启动的web server port = 127.0.0.1:9001 username = user password = 123 [supervisord] #这块是服务配置 logfile = /tmp/supervisord.log 日志文件 logfile_maxbytes = 50MB 日志文件最大size logfile_backups=10 日志轮询下备份数 loglevel = info 日志级别 pidfile = /tmp/supervisord.pid pid文件位置 nodaemon = false 如果是true，supervisor将在前端启动 minfds = 1024 supervisord启动成功的最小文件描述符数 minprocs = 200 supervisord启动成功的最小进程描述符数 umask = 022 user = chrism 启动用户，这块要注意，这个用户要有相应的目录权限 identifier = supervisor supervisor进程的 identifier字符串，用户RPC协议接口 directory = /tmp 当supervisord服务daemonizes时，切换到这个目录，可用这个%(here)s变量来扩展到整个配置文件 nocleanup = true 禁止supervisord在启动时间清空任何存在的AUTO子日志文件 childlogdir = /tmp AUTO自日志文件目录 strip_ansi = false 除去在子日志文件中所有的 ANSI转义序列 environment = KEY1="value1",KEY2="value2" 一个键/值的列表，一个环境变量吧？ [supervisorctl] serverurl = unix:///tmp/supervisor.sock username = chris password = 123 prompt = mysupervisor String used as supervisorctl prompt.作为supervisorctl提示字符串。 ``` 管理进程配置 --- 配置文件位置：/etc/supervisor/conf.d/ 一般有如下配置项： ``` process_name=%(program_name)s ＃进程名称，默认是程序名称 command 启动程序命令 numprocs=1 ＃进程数量 directory=/tmp ＃路径 umask=022 ＃掩码 priority=999 ＃优先级，越大被开起的越早 autorestart=true ＃自动重启 startsecs=10 ＃启动等待时间（秒） startretries=3 ＃启动重试次数 stopsignal=TERM ＃关闭信号 stopwaitsecs=10 ＃关闭前等待时间 user=chrism ＃监控用户权限 redirect_stderr=false ＃重定向报错输出 stdout_logfile=/a/path ＃输入重定向为日志 stdout_logfile_maxbytes=1MB ＃日志大小 stdout_logfile_backups=10 ＃日志备份 stdout_capture_maxbytes=1MB stderr_logfile=/a/path stderr_logfile_maxbytes=1MB stderr_logfile_backups=10 stderr_capture_maxbytes=1MB environment=A=1,B=2 ＃预定义环境变量 serverurl=AUTO ＃系统URL ``` 示例 --- 为了更好的展示，我这边写了一个简单的服务。下面的具体的代码： ``` #!/usr/bin/env python import socket HOST, PORT = '', 8080 listen_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM) listen_socket.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1) listen_socket.bind((HOST, PORT)) listen_socket.listen(1) while True: client_connection, client_address = listen_socket.accept() request = client_connection.recv(1024) http_response = """\ HTTP/1.1 200 OK Hello World! """ client_connection.sendall(http_response) client_connection.close() ``` 这个脚本是一个简单的web服务器，8080端口，所有访问都会返回 Hello World! 下面我们看下配置文件/etc/supervisor/conf.d/webserver.conf ``` [program:webserver] autostart=true startretries=3 command=/opt/webserver.py ``` 查看状态 ```sh root@0c1fc23d1398:~# supervisorctl status webserver RUNNING pid 1120, uptime 0:08:07 ``` supervisorctl命令 1.交互模式 直接输入supervisorctl就进入交互模式。 ``` root@0c1fc23d1398:~# supervisorctl webserver RUNNING pid 1120, uptime 0:09:40 supervisor> ``` 2.命令行模式 如上节所说的`supervisorctl status` 3.具体命令项 交互和命令行模式有一样。 ``` reread 重新加载配置文件 update 将配置文件里新增的子进程加入进程组，如果设置了autostart=true则会启动新新增的子进程 status 查看所有进程状态 status 查看指定进程状态 start all 启动所有子进程 start 启动指定子进程 restart all 重启所有子进程 restart 重启指定子进程 stop all 停止所有子进程 stop 停止指定子进程 reload 重启supervisord add 添加子进程到进程组 reomve 从进程组移除子进程，需要先stop。注意：移除后，需要使用reread和update才能重新运行该进程 ``` web server界面 ==== 还记得“配置文件解析”一节关于web server段的配置吗？不记得可以回去看一眼。我们稍微展示下web界面。浏览器输入http://<ip>:<port>，会弹出输入用户名和密码的弹窗，输入信息后可以看到界面了。 ![图片描述][1] web界面 从界面中可以看到，服务的状态，进程id和运行的时间。还有一些简单的操作，例如重启，停止，清除日志，监控日志等。 常见的错误 1.多进程启动 报错信息如下： ``` Starting supervisor: Error: %(process_num) must be present within process_name when numprocs > 1 in section 'program:nginx' (file: '/etc/supervisor/conf.d/nginx.conf') For help, use /usr/bin/supervisord -h ``` 这是配置文件格式不对，下面是格式简介 当numprocs=1时,process_name=%(program_name)s 当numprocs>=2时,%(program_name)s_%(process_num) 类似下面的配置 ``` [program:sleeptime] autostart=true startretries=3 command=/opt/sleeptime.py #主要是下面的2行 process_name=%(program_name)s%(process_num)s numprocs=4 ``` 这个时候查看进程状态，会发现有4个进程出现 ``` root@0c1fc23d1398:/etc/supervisor/conf.d# supervisorctl status sleeptime:sleeptime0 RUNNING pid 1139, uptime 0:00:04 sleeptime:sleeptime1 RUNNING pid 1140, uptime 0:00:04 sleeptime:sleeptime2 RUNNING pid 1141, uptime 0:00:04 sleeptime:sleeptime3 RUNNING pid 1142, uptime 0:00:03 webserver RUNNING pid 1120, uptime 0:30:00 ``` 2.直接运行 supervisorctl status 报： ``` Error: Server requires authentication For help, use /usr/local/bin/supervisorctl -h ``` 因为你设置访问账号密码，所以只能先supervisorctl进去，在status。 主要还是看日志信息，和程序本身的日志。 [1]: /img/bVbwDes > 本文由 [systemofdown](https://www.bestyii.com/member/systemofdown) 创作，采用 [知识共享署名 3.0 中国大陆许可协议](http://creativecommons.org/licenses/by/3.0/cn) 进行许可。 可自由转载、引用，但需署名作者且注明文章出处。centos7157421276637190000001999157421276615993915794bestyiitopic53## 1、查看系统要求 Docker 要求 CentOS 系统的内核版本高于 3.10 ,查看CentOS的内核版本。 ``` uname -a ``` ## 2、删除旧版本 ``` yum remove docker docker-common docker-selinux docker-engine ``` ## 3、安装需要的软件包 yum-util 提供yum-config-manager功能，另外两个是devicemapper驱动依赖的 ``` sudo yum install -y yum-utils device-mapper-persistent-data lvm2 ``` ## 4、设置Docker yum源 ``` sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo ``` 官方源有可能会很慢，不愿意等的把软件仓库地址替换腾讯云的镜像为: ``` sudo sed -i 's+download.docker.com+mirrors.cloud.tencent.com/docker-ce+' /etc/yum.repos.d/docker-ce.repo ``` 别忘了，刷新yum缓存 ``` sudo yum makecache fast ``` ## 5、查看所有仓库中所有docker版本 可以查看所有仓库中所有docker版本,并选择特定的版本安装。 ``` yum list docker-ce --showduplicates | sort -r ``` ## 6、安装docker ``` sudo yum install docker-ce ``` 由于repo中默认只开启stable仓库，故这里安装的是最新稳docker-ce-cli-19.03.1-3.el7.x86_64。 如果要安装特定版本： ``` sudo yum install docker-ce-18.06.1.ce ``` ## 7、启动 设置为开机启动 ``` systemctl enable docker ``` 启动 ``` systemctl start docker ``` 查看启动状态 ``` systemctl status docker ``` 查看版本 ``` docker version ```docker,centos7157421362566940000001999157421362515833076125bestyiitopic113open_basedir 官方介绍 ================= open_basedir string 将 PHP 所能打开的文件限制在指定的目录树，包括文件本身。本指令不受安全模式打开或者关闭的影响。 当一个脚本试图用例如 fopen() 或者 gzopen() 打开一个文件时，该文件的位置将被检查。 当文件在指定的目录树之外时 PHP 将拒绝打开它。 所有的符号连接都会被解析，所以不可能通过符号连接来避开此限制。 特殊值 . 指明脚本的工作目录将被作为基准目录。但这有些危险，因为脚本的工作目录可以轻易被 chdir() 而改变。 在 httpd.conf 文件中中，open_basedir 可以像其它任何配置选项一样用“php_admin_value open_basedir none”的方法关闭（例如某些虚拟主机中）。 在 Windows 中，用分号分隔目录。在任何其它系统中用冒号分隔目录。作为 Apache 模块时，父目录中的 open_basedir 路径自动被继承。 用 open_basedir 指定的限制实际上是前缀，不是目录名。 也就是说“open_basedir = /dir/incl”也会允许访问“/dir/include”和“/dir/incls”，如果它们存在的话。 如果要将访问限制在仅为指定的目录，用斜线结束路径名。例如：“open_basedir = /dir/incl/”。 > Note: 支持多个目录是 3.0.7 加入的。 默认是允许打开所有文件。 设置限制包含目录 ============= 接下来总结下， 可以有几种方式设置限制包含目录 1. php.ini open_basedir = /home/wwwroot/ 2. ini_set 注意：PHP >5.2.3+ PHP_INI_ALL ，不建议使用，这么设置太随意了。 3. apache 的 httpd.conf 中Directory配置 ``` "php_admin_value open_basedir none" #关闭 php_admin_value open_basedir "/home/wwwroot/:/tmp/:/var/tmp/:/proc/" ``` httpd.conf中VirtualHost ``` php_admin_value open_basedir "/home/wwwroot/:/tmp/:/var/tmp/:/proc/" ``` 4. nginx fastcgi.conf ``` fastcgi_param PHP_VALUE "open_basedir=$document_root:/tmp/"; ``` 5. .user.ini 文件 设置方法同 1 . php,安全157421393027440000001999157421393015742140516bestyiitopic53> 在CentOS中默认安装有MariaDB，这个是MySQL的分支，但为了需要，还是要在系统中安装MySQL，而且安装完成之后可以直接覆盖掉MariaDB。 ## 准备工作，卸载MariaDB ``` yum remove mariadb ``` ## 安装Mysql 5.7 ### 1. 下载并安装MySQL官方的 Yum Repository 使用下面的命令就直接下载了安装用的Yum Repository ``` wget -i -c http://dev.mysql.com/get/mysql57-community-release-el7-10.noarch.rpm ``` 最新版的参考mysql官方下载地址：[https://dev.mysql.com/downloads/repo/yum/](https://dev.mysql.com/downloads/repo/yum/ ) ### 2. 安装 Yum Repository ``` yum -y install mysql57-community-release-el7-10.noarch.rpm ``` ### 3. 安装MySQL服务 这步可能会花些时间，安装完成后就会覆盖掉之前的mariadb。 ``` yum -y install mysql-community-server ``` ### 4. 启动MySQL 启动mysql： ``` systemctl start mysqld.service ``` 设置开机启动： ``` systemctl enable mysqld.service ``` 查看MySQL运行状态： ``` systemctl status mysqld.service ``` ## 初始化mysql 超级用户 `'root'@'localhost`被创建的时候，同时也设置了默认密码，这个密码明文方式存储在`error log`文件中. 是用下面命令可以快速的找到他. ``` shell> sudo grep 'temporary password' /var/log/mysqld.log ``` 需要修改密码之后才可以使用。登录mysql修改密码： ``` shell> mysql -uroot -p ``` ``` mysql> ALTER USER 'root'@'localhost' IDENTIFIED BY 'MyNewPass4!'; ```yum,centos71687678543at145632842380100001999157421439116876785437bestyiitopic83少废话主要看文档 [官方文档 https://github.com/yiisoft/yii2-queue/blob/master/docs/guide/README.md](https://github.com/yiisoft/yii2-queue/blob/master/docs/guide/README.md) yii2-queue 的使用 ============== 1.安装 ----- ``` composer require --prefer-dist yiisoft/yii2-queue ``` 2.配置，在 common/config/main.php 中配置 ---------------------------------- redis作为驱动 ```php return [ 'bootstrap' => [ 'queue', // 把这个组件注册到控制台 ], 'components' => [ 'redis' => [ 'class' => \yii\redis\Connection::class, // ... ], 'queue' => [ 'class' => \yii\queue\redis\Queue::class, 'as log' => \yii\queue\LogBehavior::class,//错误日志 默认为 console/runtime/logs/app.log 'redis' => 'redis', // 连接组件或它的配置 'channel' => 'queue', // Queue channel key ], ], ]; ``` File 作为驱动 ```php return [ 'bootstrap' => [ 'queue', // 把这个组件注册到控制台 ], 'components' => [ 'queue' => [ 'class' => \yii\queue\file\Queue::class, 'as log' => \yii\queue\LogBehavior::class,//错误日志 默认为 console/runtime/logs/app.log 'path' => '@runtime/queue', ], ], ]; ``` 3.新建 frontend/components/DownloadJob ------------------------------------- ```php class DownloadJob extends BaseObject implements \yii\queue\JobInterface { public $url; public $file; public function execute($queue) { file_put_contents($this->file, file_get_contents($this->url)); } } ``` 4.控制台 ------ 控制台用于监听和处理队列任务。 cmd 下 监听队列 ``` yii queue/listen ``` 5.添加到队列 -------- 将任务添加到队列: ```php Yii::$app->queue->push(new frontend\components\DownloadJob([ 'url' => 'http://example.com/image.jpg', 'file' => '/tmp/image.jpg', ])); ``` 将任务推送到队列中延时5分钟运行: ```php Yii::$app->queue->delay(5 * 60)->push(new frontend\components\DownloadJob([ 'url' => 'http://example.com/image.jpg', 'file' => '/tmp/image.jpg', ])); ``` 6.测试 ----- 执行 5 中的程序，控制台监听到，便会后台自动 下载http://example.com/image.jpg到本地为/tmp/image.jpg 启动worker ======== 可以使用Supervisor或Systemd 来启动多进程worker，也可以使用 Cron，我们这里主要说一下Supervisor centos7 supervisor的使用 ===================== 1.安装supervisor -------------- ``` yum update yum install epel-release yum install -y supervisor #开机启动 systemctl enable supervisord #启动 systemctl start supervisord ``` 2.supervisor 命令 --------------- ``` supervisorctl status 查看进程状态 supervisorctl reload 重启supervisord supervisorctl start|stop|restart 启动关闭重启进程 ``` 3.添加配置文件 -------- Supervisor 配置文件通常在 /etc/supervisord.d 目录下. 你可以创建一些配置文件在这里. **注：文件名是.ini结尾** 下面就是个例子: ``` [program:yii-queue-worker] process_name=%(program_name)s_%(process_num)02d command=/usr/bin/php /var/www/my_project/yii queue/listen --verbose=1 --color=0 autostart=true autorestart=true user=www-data numprocs=4 redirect_stderr=true stdout_logfile=/var/www/my_project/log/yii-queue-worker.log ``` > 本文由 [systemofdown](https://www.bestyii.com/member/systemofdown) 创作，采用 [知识共享署名 3.0 中国大陆许可协议](http://creativecommons.org/licenses/by/3.0/cn) 进行许可。 可自由转载、引用，但需署名作者且注明文章出处。yii2,centos7157421478242770000001999157421478215742147828bestyiitopic53备份&升级 ===== 1.在升级前一定要做好备份，记录自己当前gitlab-ce的版本号。 查看当前gitlab版本号 ``` yum list | grep gitlab-ce ``` 2.备份文件 ``` gitlab-rake gitlab:backup:create ``` > 在目录/var/opt/gitlab/backups/下会生成一个备份文件如：1552552057_gitlab_backup.tar，其中1552552057即为此次备份都版本号。 **还原备份（失败）** 命令：*gitlab-rake gitlab:backup:restore BACKUP=备份版本号* 3.配置gitlab-yum 本地源 如清华的镜像： [https://mirrors.tuna.tsinghua.edu.cn/gitlab-ce/yum/el7/](https://mirrors.tuna.tsinghua.edu.cn/gitlab-ce/yum/el7/) ``` [root@localhost ~]# cat << EOF > /etc/yum.repos.d/gitlab-ce.repo > [gitlab-ce] > name=gitlab-ce > baseurl=https://mirrors.tuna.tsinghua.edu.cn/gitlab-ce/yum/el7/ > repo_gpgcheck=0 > gpgcheck=0 > enable=1 > gpgkey=https://packages.gitlab.com/gpg.key > EOF ``` 4.yum install安装 > **升级Gitlab（注意：由于升级不能跨越大版本号，因此只能升级到当前大版本号到最高版本，方可升级到下一个大版本号）** 依次执行下面指令逐步升级，在每一步安装成功后如果发现界面500，不可访问，那么执行gitlab-ctl reconfigure指令刷新配置文件。（一定保证数据可以正常访问方可执行下一步升级指令） > 升级过程中有可能会升级PostgreSQL，命令：sudo gitlab-ctl pg-upgrade 查看所有可用的版本 ``` yum list gitlab-ce --showduplicate | sort -r ``` 然后手动更新 ``` yum install gitlab-ce-10.8.7-ce.0.el7 yum install gitlab-ce-11.0.0-ce.0.el7 yum install gitlab-ce-11.11.5-ce.0.el7 yum install gitlab-ce-12.0.0-ce.0.el7 ... yum update ``` 查看当前版本号 ``` cat /opt/gitlab/embedded/service/gitlab-rails/VERSION ``` > 本文由 [systemofdown](https://www.bestyii.com/member/systemofdown) 创作，采用 [知识共享署名 3.0 中国大陆许可协议](http://creativecommons.org/licenses/by/3.0/cn) 进行许可。 可自由转载、引用，但需署名作者且注明文章出处。gitlab,yum,centos7157421493965350000001999157421493916561412519bestyiitopic531.配置文件位置 -------- ``` vim /etc/gitlab/gitlab.rb ``` 以腾讯企业邮箱为例其它邮箱大同小异 ``` gitlab_rails['smtp_enable'] = true gitlab_rails['smtp_address'] = "smtp.exmail.qq.com" gitlab_rails['smtp_port'] = 465 gitlab_rails['smtp_user_name'] = "邮箱地址" gitlab_rails['smtp_password'] = "password" gitlab_rails['smtp_authentication'] = "login" gitlab_rails['smtp_enable_starttls_auto'] = true gitlab_rails['smtp_tls'] = true gitlab_rails['smtp_domain'] = "exmail.qq.com" gitlab_rails['gitlab_email_from'] = '邮箱地址' ``` 2.更新配置 ------ ``` gitlab-ctl reconfigure ``` 3.重启服务 ------ ``` gitlab-ctl restart ``` 4.非必需步骤进入控制台 ------------ 测试邮件服务是否正常 ``` gitlab-rails console 等到出现 “>”再执行下面命令 Notify.test_email("XXX@XXX.XX","title","gitlab").deliver_now ``` > 本文由 [systemofdown](https://www.bestyii.com/member/systemofdown) 创作，采用 [知识共享署名 3.0 中国大陆许可协议](http://creativecommons.org/licenses/by/3.0/cn) 进行许可。 可自由转载、引用，但需署名作者且注明文章出处。gitlab,yum,centos71574215086292900000019991574215086157421508610bestyiitopic113Composer 是什么？ ============== Composer 是一个 PHP 包管理的系统，现在越来越多的 PHP 使用 Composer 来管理包。比如 FastAdmin、 ThinkPHP、Laravel 等都是用 Composer 进行 php 包的管理。 镜像列表 ======= 国内也很多开发者使用 Composer，但由于不可控因素，官方的服务器常常连接不上。所以这里收集了一下国内镜像列表。（先后次序会不定期调整） 镜像名 | 地址 | 赞助商 | 更新频率 | 备注 - | - | - | - | - 阿里云 Composer 镜像 | https://mirrors.aliyun.com/composer/ | 阿里云 | 96 秒 | 推荐 腾讯云 Composer 镜像 | https://mirrors.cloud.tencent.com/composer/ | 腾讯云 | 24 小时 | - 华为云 Composer 镜像 | https://repo.huaweicloud.com/repository/php/ | 华为云 | 未知 | 未知 如何使用 ======= 全局配置（推荐） -------------------- 所有项目都会使用该镜像地址： 1. 阿里云 ``` composer config -g repo.packagist composer https://mirrors.aliyun.com/composer/ ``` 2. 腾讯云 ``` composer config -g repos.packagist composer https://mirrors.cloud.tencent.com/composer/ ``` 3. 华为云 ``` composer config -g repos.packagist composer https://repo.huaweicloud.com/repository/php/ ``` 取消配置： ``` composer config -g --unset repos.packagist ``` 项目配置 ---------- 仅修改当前工程配置，仅当前工程可使用该镜像地址： ``` composer config repo.packagist composer https://mirrors.aliyun.com/composer/ ``` 取消配置： ``` composer config --unset repos.packagist ```` 调试 ----- composer 命令增加 -vvv 可输出详细的信息，命令如下： ``` composer -vvv require alibabacloud/sdk ``` composer,php1574230513351400010019991574230513157425468411bestyiitopic52需求背景 ======= 业务发展越来越庞大，服务器越来越多 各种访问日志、应用日志、错误日志量越来越多，导致运维人员无法很好的去管理日志 开发人员排查问题，需要到服务器上查日志，不方便 运营人员需要一些数据，需要我们运维到服务器上分析日志 ELK vs. Elastic Stack ================ ELK是三个开源软件的缩写，分别为：Elasticsearch 、 Logstash以及Kibana , 它们都是开源软件。 目前由于原本的ELK Stack成员中加入了 Beats 工具所以已改名为Elastic Stack。 Beats，它是一个轻量级的日志收集处理工具(Agent)，占用资源少，适合于在各个服务器上搜集日志后传输给Logstash，官方也推荐此工具.  Elastic Stack包含 --------------------- Elasticsearch是个开源分布式搜索引擎，提供搜集、分析、存储数据三大功能。它的特点有：分布式，零配置，自动发现，索引自动分片，索引副本机制，restful风格接口，多数据源，自动搜索负载等。详细可参考[Elasticsearch权威指南](https://www.elastic.co/guide/en/elastic-stack/current/index.html "Elasticsearch权威指南") Logstash 主要是用来日志的搜集、分析、过滤日志的工具，支持大量的数据获取方式。一般工作方式为c/s架构，client端安装在需要收集日志的主机上，server端负责将收到的各节点日志进行过滤、修改等操作在一并发往elasticsearch上去。 Kibana 也是一个开源和免费的工具，Kibana可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面，可以帮助汇总、分析和搜索重要数据日志。 Beats在这里是一个轻量级日志采集器，其实Beats家族有6个成员，Beats所占系统的CPU和内存几乎可以忽略不计。 - Packetbeat： 网络数据（收集网络流量数据） - Metricbeat： 指标 （收集系统、进程和文件系统级别的 CPU 和内存使用情况等数据） - Filebeat： 日志文件（收集文件数据） - Winlogbeat： windows事件日志（收集 Windows 事件日志数据） - Auditbeat：审计数据 （收集审计日志） - Heartbeat：运行时间监控 （收集系统运行时的数据） 准备工作 ======= Docker 安装 请参考[CentOS7 下 Docker 升级到最新版本](https://www.bestyii.com/topic/4 "CentOS7 下 Docker 升级到最新版本") 准备镜像 ======= 6.0之后官方开始自己维护镜像版本:https://www.docker.elastic.co/ 。找到需要的ELK镜像地址，pull下来就好了。 ``` docker pull docker.elastic.co/elasticsearch/elasticsearch:7.4.2 docker pull docker.elastic.co/logstash/logstash:7.4.2 docker pull docker.elastic.co/kibana/kibana:7.4.2 ``` 官方pull下来之后镜像名太长了，所以我将镜像全部重新打了tag ``` docker tag docker.elastic.co/elasticsearch/elasticsearch:7.4.2 elasticsearch:latest docker tag docker.elastic.co/logstash/logstash:7.4.2 logstash:latest docker tag docker.elastic.co/kibana/kibana:7.4.2 kibana:latest ``` 使用`docker images`查看,确认是否成功 ``` # docker images REPOSITORY TAG IMAGE ID CREATED SIZE docker.elastic.co/logstash/logstash 7.4.2 642b82780655 3 weeks ago 889MB logstash latest 642b82780655 3 weeks ago 889MB kibana latest 230d3ded1abc 3 weeks ago 1.1GB docker.elastic.co/kibana/kibana 7.4.2 230d3ded1abc 3 weeks ago 1.1GB docker.elastic.co/elasticsearch/elasticsearch 7.4.2 b1179d41a7b4 3 weeks ago 855MB elasticsearch latest b1179d41a7b4 3 weeks ago 855MB ``` 安装docker版本ElasticSearch ====================== 在elasticsearch的docker版本文档中，官方提到了vm.max_map_count的值在生产环境最少要设置成262144。设置的方式有两种 1. 永久性的修改,在/etc/sysctl.conf文件中添加一行： ``` grep vm.max_map_count /etc/sysctl.conf # 查找当前的值。 vm.max_map_count=262144 # 修改或者新增 ``` 2. 正在运行的机器 ``` sysctl -w vm.max_map_count=262144 ``` 之后我们执行命令，暴露容器的9200，9300端口，方便我们在其它机器上可以通过类似head插件去做es索引的操作等。执行命令为： ``` docker run -p 127.0.0.1:9200:9200 -p 9300:9300 --name elasticsearch -e "discovery.type=single-node" elasticsearch ``` > 如果实际使用中，可能需要设置集群等操作。因实际情况而定。如果你需要存储历史数据，那么就可能需要将data目录保存到本地，使用-v，或者mount参数挂载本地一个目录。如果实际使用中，可能需要设置集群等操作。因实际情况而定。如果你需要存储历史数据，那么就可能需要将data目录保存到本地，使用-v，或者mount参数挂载本地一个目录。 设置外部目录 -- 在本文实例中采用的就是存储到外部目录，文件系统必须是elasticsearch用户可读。 > 默认情况下, Elasticsearch 运行的容器内部用户 elasticsearch 的 uid:gid 是 1000:1000. ``` mkdir esdatadir chmod g+rwx esdatadir chgrp 1000 esdatadir ``` 在启动命令中添加参数 ``` docker run -e ES_JAVA_OPTS="-Xms8g -Xmx8g" -d -v /srv/esdatadir/logs:/usr/share/elasticsearch/logs -v /srv/esdatadir/data:/usr/share/elasticsearch/data -p 127.0.0.1:9200:9200 -p 9300:9300 --restart=always --name elasticsearch -e "discovery.type=single-node" elasticsearch ``` > 设置JVM堆的大小 使用环境变量 `ES_JAVA_OPTS` 去定义堆的大小. 例如, 设置为 16GB, 在docker run 时加入参数` -e ES_JAVA_OPTS="-Xms16g -Xmx16g"`. - Elasticsearch 在jvm.options中指定了Xms(最小)和Xmx(最大)的堆的设置。所设置的值取决于你的服务器的可用内存大小。 - 最小堆的大小和最大堆的大小应该相等。 - 设置最大堆的值不能超过你物理内存的50%，要确保有足够多的物理内存来保证内核文件缓存。 安装docker版本kibana ================= 启动kibana ------------- kibana的作用主要是帮助我们将日志文件可视化。便于我们操作，统计等。它需要ES服务，所以我们将部署好的es和kibana关联起来，主要用到的参数是`--link`: ``` docker run -d -p 5601:5601 --restart=always --link elasticsearch -e ELASTICSEARCH_URL=http://elasticsearch:9200 kibana ``` 使用link参数，会在kibana容器hosts文件中加入elasticsearch ip地址，这样我们就直接通过定义的name来访问es服务了。 使用Nginx作为反向代理访问kibana ------------------------------------------ 安装httpd-tools ``` yum install -y httpd-tools ``` 安装nginx，采用nginx官方源安装,详细参考[Nginx官方手册](http://nginx.org/en/linux_packages.html#RHEL-CentOS "Nginx官方手册") ``` sudo yum install yum-utils ``` 创建源配置文件`/etc/yum.repos.d/nginx.repo`,并在文件中写入以下信息 ``` [nginx-stable] name=nginx stable repo baseurl=http://nginx.org/packages/centos/$releasever/$basearch/ gpgcheck=1 enabled=1 gpgkey=https://nginx.org/keys/nginx_signing.key module_hotfixes=true [nginx-mainline] name=nginx mainline repo baseurl=http://nginx.org/packages/mainline/centos/$releasever/$basearch/ gpgcheck=1 enabled=0 gpgkey=https://nginx.org/keys/nginx_signing.key module_hotfixes=true ``` 安装nginx ``` sudo yum install nginx ``` 创建nginx对应的kibana配置文件 ``` cd /etc/nginx/conf.d/ vim kibana.conf ``` 加入下列参数 ``` server { listen 80; server_name elk.bestyii.com; #别忘了改成自己的 auth_basic "Restricted Access"; auth_basic_user_file /etc/nginx/.kibana-user; location / { proxy_pass http://127.0.0.1:5601; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection 'upgrade'; proxy_set_header Host $host; proxy_cache_bypass $http_upgrade; } } ``` 接下来我们为这个访问地址加上个登录授权的账号 ``` sudo htpasswd -c /etc/nginx/.kibana-user bestyii #输入两边密码就可以了 ``` 测试以下配置文件是否正确 ``` nginx -t ``` 确认争取无误后，设置nignx开机启动并启动 ``` systemctl enable nginx systemctl start nginx ``` 现在我们就可以打开浏览器访问到kibana了。 安装logstash ========== 前面的kibana和ES的安装，如果我们在开发环境中并不需要太多的关注他们的详细配置。但是logstash和filebeat我们需要注意下它的配置，因为这两者是我们完成需求的重要点。 logstash我们只让它进行日志处理，处理完之后将其输出到elasticsearch。 例如我们需要收集系统日志，我们先定义一些设置，保存在外部目录`/srv/logstashdir/logstash.conf`中，运行docker的时候连接过去方便修改。 ``` input { beats { port => 5044 } } filter { if [type] == "syslog" { grok { match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" } add_field => [ "received_at", "%{@timestamp}" ] add_field => [ "received_from", "%{host}" ] } date { match => [ "syslog_timestamp", "MMM d HH:mm:ss", "MMM dd HH:mm:ss" ] } } } output { elasticsearch { hosts => ["elasticsearch:9200"] manage_template => false index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}" document_type => "%{[@metadata][type]}" } } ``` > 注意：hosts的地址，我们用的是`elasticsearch:9200`,是因为下面的启动命令是用了` --link elasticsearch `,前面提到link的作用，所以docker内部会设置hosts。 启动docker版logstash ``` docker run -d -p 5044:5044 -p 9600:9600 --rm -it --name logstash --link elasticsearch -v /srv/logstashdir/config:/usr/share/logstash/config -v /srv/logstashdir/pipeline:/usr/share/logstash/pipeline logstash ``` 至此服务端已经算是搭建完成了。 在客户端中安装filebeat ================== 客户端安装，可以是docker版本也可以是直接yum安装，这就无所谓了。 本文就采用是yum安装为例。 安装Filebeat --------------- 导入elasticsearch key ``` rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch ``` 创建源配置文件`vim /etc/yum.repos.d/elasticsearch.repo`并添加官方源信息 ``` [elasticsearch-7.x] name=Elasticsearch repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md ``` 安装 ``` yum -y install filebeat ``` 配置 Filebeat ---------------- 配置文件在本地目录`/etc/filebeat`中，编辑`filebeat.yml` ``` vim /etc/filebeat/filebeat.yml ``` 修改输出的ip地址 ``` output.logstash: # The Logstash hosts hosts: ["10.5.5.25:5044"] ``` 接下来, 我们需要启用filebeat modules. 运行 filebeat 命令获取可用 filebeat modules 清单. ``` filebeat modules list ``` 启用 `system` module ``` filebeat modules enable system ``` filebeat system module 是配合着配置文件`modules.d/system.yml`使用的 . 我们用的是CentOS系统，所以需要调整一下 ``` vim /etc/filebeat/modules.d/system.yml ``` 我们要监控登录的日志和系统日志 ``` # Syslog syslog: enabled: true var.paths: ["/var/log/messages"] # Authorization logs auth: enabled: true var.paths: ["/var/log/secure"] ``` 现在就配置好了，启动，并设置开机自动启动。 ``` systemctl enable filebeat systemctl start filebeat ``` 看一下运行的状态 ``` systemctl status filebeat ``` 在Kibana中测试 ============ 登录到 elk.bestyii.com，输入用户名密码，进入到 Kibana Dashboard。  点击 'Connect to your Elasticsearch index'，创建索引。 创建 'filebeat-*' 索引规则，并点击'Next step' 按钮。  filter name, 选择 '@timestamp' 并点击 'Create index pattern'。  此时 'filebeat-*' 索引规则已经创建完成, 点击 'Discover' 菜单离开。  你就可以看到从filebeat发出来的log 数据。 CentOS 7 system Logs  > 本文由 [ez](https://www.bestyii.com/member/ez) 创作，采用 [知识共享署名 3.0 中国大陆许可协议](http://creativecommons.org/licenses/by/3.0/cn) 进行许可。 可自由转载、引用，但需署名作者且注明文章出处。ELK,Elasticsearch,Logstash,Kibana,docker,centos71574649668541700000019991574649668158161427112bestyiitopic52查看系统是否检测到新的硬盘设备 ========================= hd, sd, vd 都试试 ``` ls /dev/ |grep sd ``` 我的服务器的结果 ``` # ls /dev/ |grep vd vda vda1 vdb ``` 就是他vdb，没有分区 查看分区大小 ---------------- ``` fdisk -l ``` 新的硬盘分区 =========== ``` fdisk /dev/vdb ``` 开始 ``` ]# fdisk /dev/vdb Welcome to fdisk (util-linux 2.23.2). Changes will remain in memory only, until you decide to write them. Be careful before using the write command. Device does not contain a recognized partition table Building a new DOS disklabel with disk identifier 0xf39a3343. Command (m for help): m # 先输入个m看看菜单 Command action a toggle a bootable flag b edit bsd disklabel c toggle the dos compatibility flag d delete a partition g create a new empty GPT partition table G create an IRIX (SGI) partition table l list known partition types m print this menu n add a new partition o create a new empty DOS partition table p print the partition table q quit without saving changes s create a new empty Sun disklabel t change a partition's system id u change display/entry units v verify the partition table w write table to disk and exit x extra functionality (experts only) ``` 一般新建一个分区的输入 n ，分区的类型选 p 然后选分区起始扇区和结尾扇区。 分配完成后，输入w 保存 ``` Command (m for help): n Partition type: p primary (0 primary, 0 extended, 4 free) e extended Select (default p): p Partition number (1-4, default 1): 1 First sector (2048-2097151999, default 2048): Using default value 2048 Last sector, +sectors or +size{K,M,G} (2048-2097151999, default 2097151999): Using default value 2097151999 Partition 1 of type Linux and of size 1000 GiB is set Command (m for help): w The partition table has been altered! Calling ioctl() to re-read partition table. Syncing disks. ``` 设置分区格式 ========== 给分区设置xfs格式,可能时间会久，不要慌张，等一下就好了 ``` mkfs.xfs -f /dev/vdb1 ``` 挂载 ==== 临时挂载 ----------- 先创建目录，再将分区挂载到目录上。临时挂载重启后需要重新挂载 ``` mkdir /data1 mount -t xfs /dev/vdb1 /data1 ``` 或挂载已有目录中，我习惯用srv作为扩展，所以 ``` mount -t xfs /dev/vdb1 /srv ``` 永久挂载 ----------- 修改系统挂载硬盘的文件，其中0 0 表示在在开机时不对分区进行检查 ``` vim /etc/fstab #添加以下配置 /dev/vdb1 /srv xfs defaults 0 0 ``` 补充命令 ======= ``` #查看已经挂载的分区和文件系统类型 df -T #显示出所有挂载和未挂载的分区，但不显示文件系统类型 fdisk -l #查看未挂载的文件系统类型，以及哪些分区尚未格式化 parted -l #查看未挂载的文件系统类型 lsblk -f ``` > 本文由 [ez](https://www.bestyii.com/member/ez) 创作，采用 [知识共享署名 3.0 中国大陆许可协议](http://creativecommons.org/licenses/by/3.0/cn) 进行许可。 可自由转载、引用，但需署名作者且注明文章出处。文件系统,centos71574651278370700000019991574651278158161433513bestyiitopic113问题描述 ======= 在linux服务器使用composer部署yii项目时，出现“proc_open(): fork failed - Cannot allocate memory” 也就是提示“提示内存不足”，我们可以通过创建swap分区解决这个问题。 解决方法 ======= - 先运行 free -m 看下空间是多少 - 在命令行环境依次运行以下三条命令 ``` dd if=/dev/zero of=/var/swap.1 bs=1M count=1024 mkswap /var/swap.1 swapon /var/swap.1 ``` 解释 dd 从/dev/zero设备复制出一个1G大小的文件/var/swap.1 mkswap 格式化/var/swap.1 swapon 将swap分区挂在到文件系统 然后输入free -m 查看内存使用量信息composer,centos71574654716282300000019991574654716157465479614bestyiitopic52#目标 安全，安全，安全 #WEB服务器搭建 在做yii开发的时候，离不开nginx+php-fpm组合。所以我们是在CentOS 7 中使用Nginx作为web服务 ##一. Nginx 安装 安装nginx，采用nginx官方源安装,详细参考[Nginx官方手册](http://nginx.org/en/linux_packages.html#RHEL-CentOS "Nginx官方手册") ###1. 准备工作 开始安装前，需要一些前置工具的安装 ``` sudo yum install yum-utils ``` ###2. 官方源设置 创建源配置文件`/etc/yum.repos.d/nginx.repo`,并在文件中写入以下信息 ``` [nginx-stable] name=nginx stable repo baseurl=http://nginx.org/packages/centos/$releasever/$basearch/ gpgcheck=1 enabled=1 gpgkey=https://nginx.org/keys/nginx_signing.key module_hotfixes=true [nginx-mainline] name=nginx mainline repo baseurl=http://nginx.org/packages/mainline/centos/$releasever/$basearch/ gpgcheck=1 enabled=0 gpgkey=https://nginx.org/keys/nginx_signing.key module_hotfixes=true ``` ###3. 安装 安装nginx ``` sudo yum install nginx ``` 设置nignx开机启动并启动 ``` systemctl enable nginx systemctl start nginx ``` ##二. 配置Yii网站 创建nginx对应的yii配置文件 ``` vim /etc/nginx/conf.d/yii.conf ``` 加入下列参数，参考：[推荐使用的 Nginx 配置](https://www.yiiframework.com/doc/guide/2.0/zh-cn/start-installation#recommended-nginx-configuration "推荐使用的 Nginx 配置") ``` server { charset utf-8; client_max_body_size 128M; listen 80; ## listen for ipv4 #listen [::]:80 default_server ipv6only=on; ## listen for ipv6 server_name www.bestyii.com; root /path/to/basic/web; index index.php; access_log /path/to/basic/log/access.log; error_log /path/to/basic/log/error.log; location / { # Redirect everything that isn't a real file to index.php try_files $uri $uri/ /index.php$is_args$args; } # uncomment to avoid processing of calls to non-existing static files by Yii #location ~ \.(js|css|png|jpg|gif|swf|ico|pdf|mov|fla|zip|rar)$ { # try_files $uri =404; #} #error_page 404 /404.html; # deny accessing php files for the /assets directory location ~ ^/assets/.*\.php$ { deny all; } location ~ \.php$ { include fastcgi_params; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; fastcgi_pass 127.0.0.1:9000; #fastcgi_pass unix:/var/run/php5-fpm.sock; try_files $uri =404; } location ~* /\. { deny all; } } ``` > 使用该配置时，你还应该在 `php.ini` 文件中设置 `cgi.fix_pathinfo=0` ， 能避免掉很多不必要的 stat() 系统调用。 >还要注意当运行一个 HTTPS 服务器时，需要添加 `fastcgi_param HTTPS on;` 一行， 这样 Yii 才能正确地判断连接是否安全。 测试以下配置文件是否正确 ``` nginx -t ``` 确认无误后，重启Nignx 使之生效。 ``` systemctl restart nginx ``` #安全加固 nginx的多年发展，自身的安全漏洞比较少，一般利用软件包管理器（yum）升级一下就好了。 现在侧重讲述如何利用nginx来加固web应用，干一些应用防火墙（WAF）干的活。 ##默认参数重置 软件本身会有一些默认参数，往往这些参数会暴露更多的信息，或者留有安全隐患。所以我们要合理的调整系统参数。 ###防止Host头攻击 访问网站时如果访问路径中缺少/，大多数中间件都会自动将路径补全，返回302或301跳转如下图，Location位置的域名会使用Host头的值。 > 这种情况实际上风险较低，难以构成Host头攻击。但是由于大多漏洞扫描器会将这种情况检测为Host头攻击，为了通过上级检查或各种审核，大多数甲方单位会要求修复漏洞，彻底解决问题。 添加一个默认server，当host头被修改匹配不到server时会跳到该默认server，该默认server直接返回403错误。 ``` server { listen 80 default; server_name _; location / { return 403; } } ``` ###禁用autoindex 确保nginx.conf配置文件上禁用autoindex，即autoindex off或者没有配置autoindex。 ###关闭服务器标记 `server_tokens off;`建议加载全局配置中。如： ``` http{ include naxsi_core.rules; include mime.types; default_type application/octet-stream; sendfile on; server_tokens off;#关闭服务器标记 ... ... ``` ###自定义缓存 设置自定义缓存以限制缓冲区溢出攻击。nginx.conf配置如下： ``` http{ ... ... server{ ... ... client_body_buffer_size 16K; client_header_buffer_size 1k; client_max_body_size 1m; large_client_header_buffers 4 8k; ... ... ``` > 注：上述的参数不是最优参数，仅供参考。 设置timeout设置timeout设低来防御DOS攻击，nginx.conf配置如下： ``` http { ... ... client_body_timeout 10; client_header_timeout 30; keepalive_timeout 30 30; send_timeout 10; ``` ###限制访问的方法 在目前的应用系统中值使用到POST和GET方法，所以除了它们之外，其他方式的请求均可拒绝。Nginx.conf配置如下： ``` server{ ... ... if($request_method !~ ^(GET|HEAD|POST)$) { return404; } ... ... ``` ###封杀各种user-agent user-agent 也即浏览器标识，每个正常的web请求都包含用户的浏览器信息，除非经过伪装，恶意扫描工具一般都会在user-agent里留下某些特征字眼，比如scan，nmap等。我们可以用正则匹配这些字眼，从而达到过滤的目的，请根据需要调整。 ``` if ($http_user_agent ~* "java|python|perl|ruby|curl|bash|echo|uname|base64|decode|md5sum|select|concat|httprequest|httpclient|nmap|scan" ) { return 403; } ``` 这里分析得不够细致，具体的非法user-agent还得慢慢从日志中逐个提取。 ##封杀特定的url 特定的文件扩展名，比如.bak ``` location ~* \.(bak|save|sh|sql|mdb|svn|git|old)$ { rewrite ^/(.*)$ $host permanent; } ``` 知名程序,比如phpmyadmin ``` location /(admin|phpadmin|status) { deny all; } ``` ##强制网站使用域名访问 可以逃过IP扫描，比如 ``` if ( $host !~* 'abc.com' ) { return 403; } ``` ##url 参数过滤敏感字 ``` if ($query_string ~* "union.*select.*\(") { rewrite ^/(.*)$ $host permanent; } if ($query_string ~* "concat.*\(") { rewrite ^/(.*)$ $host permanent; } ``` 在头信息中定义安全参数 ``` # Security headers add_header X-Frame-Options "SAMEORIGIN" always; add_header X-XSS-Protection "1; mode=block" always; add_header X-Content-Type-Options "nosniff" always; add_header Referrer-Policy "no-referrer-when-downgrade" always; add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; add_header Content-Security-Policy "default-src 'self'; style-src 'unsafe-inline' 'self'; script-src 'unsafe-inline' 'self' *.bestyii.com analysis.bestyii.com *.baidu.com *.google-analytics.com; img-src 'self' data: oss.bestyii.com *.baidu.com *.google-analytics.com; connect-src 'self' *.baidu.com ;"; #按需配置 ``` > 本文由 [ez](https://www.bestyii.com/member/ez) 创作，采用 [知识共享署名 3.0 中国大陆许可协议](http://creativecommons.org/licenses/by/3.0/cn) 进行许可。 可自由转载、引用，但需署名作者且注明文章出处。安全,nginx,yii21574849483701700000019991574849483157587788515bestyiitopic54# 环境搭建步骤 ## 初步步骤 #### 1.检查centos版本 执行命令 ``` cat /etc/centos-release ``` 执行结果 ``` # CentOS Linux release 7.6.1810 (Core) ``` #### 2. 设置时区 ``` timedatectl list-timezones sudo timedatectl set-timezone 'Asia/Shanghai' ``` date 命令查看时区 ``` date ``` #### 3. 更新操作系统软件包 ``` sudo yum update -y ``` 若执行失败 可参考网站(https://mirrors.tuna.tsinghua.edu.cn/help/centos/) #### 4. 安装CentOS操作系统基本管理所需的一些基本软件包 ``` sudo yum install -y curl wget vim git unzip socat bash-completion epel-release ``` ## 第1步 - 安装PHP和必要的PHP扩展 #### 1. 设置Webtatic YUM源： ``` sudo rpm -Uvh https://mirror.webtatic.com/yum/el7/webtatic-release.rpm ``` #### 2. 安装PHP，以及必要的PHP扩展： ``` sudo yum install -y php72w php72w-cli php72w-fpm php72w-common php72w-mbstring php72w-zip php72w-mysql php72w-sqlite3 php72w-curl php72w-xml php72-gd php72w-intl ``` 要显示在模块中编译的PHP，您可以运行： ``` php -m ``` 运行结果 ``` [PHP Modules] bz2 calendar Core ctype curl date dom ``` 检查PHP版本： ``` php --version ``` 运行结果 ``` # PHP 7.2.14 (cli) (built: Jan 12 2019 12:47:33) ( NTS ) # Copyright (c) 1997-2018 The PHP Group # Zend Engine v3.0.0, Copyright (c) 1998-2017 Zend Technologies # with Zend OPcache v7.2.14, Copyright (c) 1999-2018, by Zend Technologies ``` #### 3. 启动并启用PHP-FPM服务： ``` sudo systemctl start php-fpm.service sudo systemctl enable php-fpm.service ``` 继续下一步，即数据库安装和设置 ## 第2步 - 安装数据库和设置 #### 1.安装数据库服务器 ``` sudo yum install -y mariadb-server ``` 检查数据库版本 ``` mysql --version ``` 运行结果 ``` # mysql Ver 15.1 Distrib 5.5.60-MariaDB, for Linux (x86_64) using readline 5.1 ``` 如果是远程环境，不需要设置服务启动和密码(进行2,3步骤) #### 2.启动服务 ``` sudo systemctl start mariadb.service sudo systemctl enable mariadb.service ``` #### 3. 数据库密码设置 ``` sudo mysql_secure_installation ``` 回答每个问题： ``` Would you like to setup VALIDATE PASSWORD plugin? N New password: your_secure_password Re-enter new password: your_secure_password Remove anonymous users? [Y/n] Y Disallow root login remotely? [Y/n] Y Remove test database and access to it? [Y/n] Y Reload privilege tables now? [Y/n] Y ``` 以root用户身份连接到 mysql shell： ``` sudo mysql -u root -p # Enter password ``` 为Bolt CMS 创建一个空的 MariaDB 数据库和用户并记住凭据： ``` MariaDB> CREATE DATABASE dbname; MariaDB> GRANT ALL ON dbname.* TO 'username' IDENTIFIED BY 'password'; MariaDB> FLUSH PRIVILEGES; ``` 退出 MariaDB： ``` MariaDB> exit ``` 替换，并用您自己的名字。 dbname username password ## 第三步 - 安装nginx nginx 安装参考文档 http://nginx.org/en/linux_packages.html#RHEL-CentOS #### 1. 安装 yum-utils ``` sudo yum install yum-utils ``` #### 创建一个文件， /etc/yum.repos.d/nginx.repo 使用如下内容 ``` [nginx-stable] name=nginx stable repo baseurl=http://nginx.org/packages/centos/$releasever/$basearch/ gpgcheck=1 enabled=1 gpgkey=https://nginx.org/keys/nginx_signing.key [nginx-mainline] name=nginx mainline repo baseurl=http://nginx.org/packages/mainline/centos/$releasever/$basearch/ gpgcheck=1 enabled=0 gpgkey=https://nginx.org/keys/nginx_signing.key ``` 安装nginx ``` sudo yum install nginx ``` 检查nginx的版本 ``` nginx -v ``` 运行结果 ``` # nginx version: nginx/1.12.2 ``` #### 2.启动并启用Nginx服务： ``` sudo systemctl start nginx.service sudo systemctl enable nginx.service ``` #### 3.通过运行以下命令 为Pagekit 配置 NGINX： ``` sudo vim /etc/nginx/conf.d/pagekit.conf ``` 并使用以下配置填充文件： ``` server { listen [::]:443 ssl http2; listen 443 ssl http2; listen [::]:80; listen 80; # 配置自己的域名 server_name example.com; index index.php index.html; #配置项目目录 root /var/www/pagekit; ssl_certificate /etc/letsencrypt/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/example.com/private.key; ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.pem; ssl_certificate_key /etc/letsencrypt/example.com_ecc/private.key; location / { try_files $uri $uri/ /index.php?$query_string; } location ~ \.php$ { fastcgi_split_path_info ^(.+\.php)(/.+)$; try_files $fastcgi_script_name =404; set $path_info $fastcgi_path_info; fastcgi_param PATH_INFO $path_info; fastcgi_index index.php; include fastcgi.conf; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; fastcgi_pass 127.0.0.1:9000; } } ``` 如果是yii框架,参考网站 https://www.yiichina.com/doc/guide/2.0/start-installation 检查 NGINX 配置是否存在语法错误： ``` sudo nginx -t ``` #### 4.重新启动NGINX 服务： ``` sudo systemctl reload nginx.service ``` 参考网站 https://www.howtoforge.com/how-to-install-pagekit-cms-on-centos-7/php,yum,nginx1574924845392900000019991574924845157492977016bestyiitopic531. 从官网下下载最新的nodejs == 下载地址：https://nodejs.org/en/download/ 这里选择的是Linux Binaries (x64)  ``` cd /usr/local/src wget https://nodejs.org/dist/v12.13.1/node-v12.13.1-linux-x64.tar.xz ``` 2. 解压 == ``` tar -xvf node-v12.13.1-linux-x64.tar.xz ``` 3. 移动并改名文件夹 == ``` mv node-v12.13.1-linux-x64 ../nodejs ``` 4. 让npm和node命令全局生效 == ``` ln -s /usr/local/nodejs/bin/npm /usr/local/bin/ ln -s /usr/local/nodejs/bin/node /usr/local/bin/ ``` 5. 查看nodejs是否安装成功 == ``` # node -v v12.13.1 # npm -v 6.12.1 ``` 大功告成！centos71575122726846700000019991575122726157512315417bestyiitopic83在开发当中，我们总是想复用代码，降低重复开发的工作。 在yii2开发的过程中，用composer管理依赖，在开发的时候，官方给出的办法是用`aliases`定义命名空间的。 假设在 vendor/mycompany/myext 目录中安装了一个扩展，并且扩展类的命名空间为 myext ， 那么你可以在应用配置文件中包含如下代码： ``` [ 'aliases' => [ '@myext' => '@vendor/mycompany/myext', ], ] ``` 这种办法很有局限性，如果我们扩展本身也想引用依赖，就很麻烦，需要在项目中单独安装，并不是和这个扩展进行关联。 使用Gii创建扩展的时候，默认生成了composer.json，那我们可以把需要的依赖定义到这个配置文件里。 问题来了，这么定义如何载入并使这个配置生效。 其实很简单，我们在定义repositories（仓库）的时候会有多种模式（如：composer，git，artifact，path等）。 我们只需要在项目的composer.json配置文件中增加对应本地扩展路径的定义即可 ``` { ... "repositories": { "0": { "type": "composer", "url": "https://asset-packagist.org" }, "local": { "type": "path", "url": "./app/extensions/*/*", "options": { "symlink": true } }, "packagist": { "type": "composer", "url": "https://repo.huaweicloud.com/repository/php/" } } } ``` > 为了开发方便，我们安装的时候采用软连接的形式。避免开发的目录与实际运行的目录文件不能同步。 安装需要的扩展 这里需要注意的是，安装的时候版本参数使用`dev-master`。 ``` composer require grazio/yii2-adminui:dev-master -vvv ``` > 本文由 [systemofdown](https://www.bestyii.com/member/systemofdown) 创作，采用 [知识共享署名 3.0 中国大陆许可协议](http://creativecommons.org/licenses/by/3.0/cn) 进行许可。 可自由转载、引用，但需署名作者且注明文章出处。composer,yii21575134438353400000019991575134438157611259018bestyiitopic82网上有人说，网站用HTTP2推送接口请求极大的加快的网站访问速度。 其实也没有什么极大的提速，也就是5%左右。不过积少成多也得干。 三步搞定 === 1. 配置http2 --- HTTP2 和 HTTPS 目前所有支持 HTTP/2 的浏览器都是基于 TLS 1.2 协议之上构建 HTTP/2 的，所以要使用 HTTP/2 `必须开启 HTTPS`. 开启 HTTP2,只需要在 SSL 后面加上就能开启 HTTP2. ``` listen 443 ssl http2; ``` 2.安装扩展 yii2-http2-server-push --- [yii2-http2-server-push](https://github.com/DevGroup-ru/yii2-http2-server-push "yii2-http2-server-push")，其功能是自动解析页面中可以被推送的文件，并把LINK信息加入到响应头中。 ``` php composer.phar require devgroup/yii2-http2-server-push ``` 3.nginx中开启http2_push_preload 指令 --- ``` server{ http2_push_preload on; } ``` 用chrome确认过眼神，就是他没错的。   百因必有果 ==== 原理很简单，减少请求次数，利用Push这个机制。 Nginx 1.13.9 就增加了 HTTP2_Push 支持。Nginx 开启 HTTP2 推送有两种方法。 1.http2_push 指令 --- 强制推送某 URL。 ``` location / { index index.html; http2_push /css/allinone.min.css; } ``` 这个方法太硬了，我们需要灵活一点。所以这个方法不是今天的讨论重点。 2.http2_push_preload 指令 --- Nginx 会解析预加载 Link 头动态的推送某 URL。 ``` server{ http2_push_preload on; location / { index index.html; } } ``` > 本文由 [ez](https://www.bestyii.com/member/ez) 创作，采用 [知识共享署名 3.0 中国大陆许可协议](http://creativecommons.org/licenses/by/3.0/cn) 进行许可。 可自由转载、引用，但需署名作者且注明文章出处。nginx,yii21575342327342500000019991575342327157534246319bestyiitopic91`srcset`属性 === 下面是图片（img）元素，同时包含了src和srcset属性. 当浏览器不支持`srcset`属性的时候`src`属性的值作为默认图片. 标准分辨率的时候, srcset属性中， 1x 变量对应的图片将作为[1倍图片]. 当屏幕显示每个CSS像素使用2倍设备像素时, 2x v变量对应的图片将作为[2倍图片]. 同理, 这里还设置了3x 和 4x的图片. ```html <img src="image-src.png" srcset="image-1x.png 1x, image-2x.png 2x, image-3x.png 3x, image-4x.png 4x"> ``` 参考文档： 1. [webkit: The srcset Attribute.](https://webkit.org/demos/srcset/) 2. [What Img Srcset Does In HTML5: A Quick & Simple Guide](https://html.com/attributes/img-srcset/)html5,responsive1575513892319000000019991575513892157551390820bestyiitopic82MinIO 是一个基于Apache License v2.0开源协议的对象存储服务。它兼容亚马逊S3云存储服务接口，非常适合于存储大容量非结构化的数据，例如图片、视频、日志文件、备份数据和容器/虚拟机镜像等，而一个对象文件可以是任意大小，从几kb到最大5T不等。 安装MinIO == 详细步骤参考：[CentOS 7中使用Docker运行MinIO作为对象存储服务器](https://www.bestyii.com/topic/21 "CentOS 7中使用Docker运行MinIO作为对象存储服务器") 安装好以后，我们要使用`亚马逊S3云存储服务接口`来调用这个服务。 不得不说的是关于文件系统php有个一统天下的神器 [Flysystem](https://github.com/thephpleague/flysystem "Flysystem")，yii2也有其相应的扩展可以用。 安装 Flysystem Extension for Yii 2 == 我们用的是[creocoder/yii2-flysystem](https://github.com/creocoder/yii2-flysystem) 还是composer 安装，安装慢的时候别忘了改[composer国内源](https://www.bestyii.com/topic/10 "composer国内源") ``` composer require creocoder/yii2-flysystem ``` 安装 AWS S3 filesystem 的扩展 == 还得装这么个扩展 ``` composer require league/flysystem-aws-s3-v3 ``` 配置Yii项目 == ``` return [ //... 'components' => [ //... 'fs' => [ 'class' => 'creocoder\flysystem\AwsS3Filesystem', 'key' => 'keykeykeykeykeykeykeykey', 'secret' => 'secretsecretsecretsecretsecret', 'bucket' => 'bestyii', 'region' => 'beijing', 'version' => 'latest', // 'baseUrl' => 'your-base-url', //'prefix' => 'webapp', // 'options' => [], 'endpoint' => 'http://oss.bestyii.com', 'pathStyleEndpoint' => true ], ], ]; ``` 如何使用 == 写入文件 -- 写入字符串到文件 ``` Yii::$app->fs->write('filename.ext', 'contents'); ``` 使用文档流方式写入文件 ``` $stream = fopen('/path/to/somefile.ext', 'r+'); Yii::$app->fs->writeStream('filename.ext', $stream); ``` 更新文件 -- To update file ``` Yii::$app->fs->update('filename.ext', 'contents'); ``` To update file using stream contents ``` $stream = fopen('/path/to/somefile.ext', 'r+'); Yii::$app->fs->updateStream('filename.ext', $stream); ``` 写入或更新 --- To write or update file ``` Yii::$app->fs->put('filename.ext', 'contents'); ``` To write or update file using stream contents ``` $stream = fopen('/path/to/somefile.ext', 'r+'); Yii::$app->fs->putStream('filename.ext', $stream); ``` 读取文件 -- To read file ``` $contents = Yii::$app->fs->read('filename.ext'); ``` To retrieve a read-stream ``` $stream = Yii::$app->fs->readStream('filename.ext'); $contents = stream_get_contents($stream); fclose($stream); ``` 检查文件是否存在 -- To check if a file exists ``` $exists = Yii::$app->fs->has('filename.ext'); ``` 删除文件 -- To delete file ``` Yii::$app->fs->delete('filename.ext'); ``` 读取后并删除文件 -- To read and delete file ``` $contents = Yii::$app->fs->readAndDelete('filename.ext'); ``` 文件重命名 -- To rename file ``` Yii::$app->fs->rename('filename.ext', 'newname.ext'); ``` 还有更多请参考文档吧 https://github.com/creocoder/yii2-flysystem > 本文由 [ez](https://www.bestyii.com/member/ez) 创作，采用 [知识共享署名 3.0 中国大陆许可协议](http://creativecommons.org/licenses/by/3.0/cn) 进行许可。 可自由转载、引用，但需署名作者且注明文章出处。对象存储,MinIO,Flysystem,yii215758795193605000000199915758795191581614178<_links>https://www.miinno.com/?page=1https://www.miinno.com/?page=1https://www.miinno.com/?page=10https://www.miinno.com/?page=2<_meta>18610120