关于一键安装包的安全性

kkfgef

安装了一键lnmp1.2的，按里面的流程选择了nginx/1.8.0，PHP5.5.25，mysql5.5.42+MySQL InnoDB。
其它的都是按默认配置安装的。
请问一下，如果在这些版本没有漏洞危险的情况下，lnmp1.2安装出来的环境应该是99.99%安全的吧（上传的网站文件程序忽略）
PHP已编译模块检测 Core  date  ereg  libxml  openssl  pcre  sqlite3  zlib  bcmath  ctype  curl  dom  filter  
ftp  gd  gettext  hash  iconv  json  mbstring  mcrypt  SPL  session  standard  pcntl  mysqlnd  
PDO  pdo_mysql  pdo_sqlite  Phar  posix  Reflection  mysqli  shmop  SimpleXML  soap  sockets  mysql  sysvsem  
tokenizer  xml  xmlreader  xmlrpc  xmlwriter  zip  cgi-fcgi  mhash  Zend Guard Loader  Zend OPcache
被禁用的函数（disable_functions）： passthru  exec  system  chroot  scandir  
chgrp  chown  shell_exec  proc_open  proc_get_status  
popen  ini_alter  ini_restore  dl  openlog  
syslog  readlink  symlink  popepassthru  stream_socket_server
另外，我好像没安装FTP，怎么在探针里提示……FTP支持：√呢？
问这个问题是看到lnmp去掉nginx上传目录的PHP执行权限
另外，关于这个日志切割的，我是通过修改nginx的nginx.conf配置添加域名的，不同的域名access_log  /home/wwwlogs/access不同.log
这样的之前切割的那个命令就不起作用了，有什么好的办法吗，这样修改增加不同网站配置的。

licess

探针里的ftp是php上的ftp组件不是系统里的
去掉php执行权限，参考：https://www.vpser.net/security/lnmp-remove-nginx-php-execute.html
日志切割没法通过修改nginx.conf来实现只能通过另外的脚本，参考：http://lnmp.org/faq/lnmp-1-2-tools.html

kkfgef

版主似乎有点答非所问。
重新简单问
lnmp1.2所安装的环境如果N。M。PHP三版本没漏洞除外本身编译的其它地方应该没漏洞了吧？
若直接通过配置添加域名网站，并把日志另以各域名为名的命名.log，像这样的还能分割吗？

kkfgef

版主似乎有点答非所问。
重新简单问
lnmp1.2所安装的环境如果N。M。PHP三版本没漏洞除外本身编译的其它地方应该没漏洞了吧？
若直接通过配置添加域名网站，并把日志另以各域名为名的命名.log，像这样的还能分割吗？

kkfgef

用户可以仅修改log_files_name后面的要切割的日志文件名就直接使用。

#设置要切割的日志的名字，如果日志目录下面的日志文件名为vpser.net.log，则填写vpser.net，每个日志名用空格分隔

也许这可能是我要的结果，明天测试一下

kkfgef

用户可以仅修改log_files_name后面的要切割的日志文件名就直接使用。

#设置要切割的日志的名字，如果日志目录下面的日志文件名为vpser.net.log，则填写vpser.net，每个日志名用空格分隔

也许这可能是我要的结果，明天测试一下

kkfgef

关于日志切割的，能不能切割后直接压缩为文件呢。这样可节省空间，同时也方便下载。

licess

除了nginx、php、mysql外还有很多依赖包，没法保证所有的都安全，就行前段时间的openssl的Heartbeat漏洞，glibc的ghost漏洞
日志压缩再用tar 压缩一下就行了

smartweb

php也是时不时要旧版本打补丁的，里面有一个upgrade脚本单独升级了。

kkfgef

原帖由 licess 于 2015-12-20 22:02 发表
除了nginx、php、mysql外还有很多依赖包，没法保证所有的都安全，就行前段时间的openssl的Heartbeat漏洞，glibc的ghost漏洞
日志压缩再用tar 压缩一下就行了

openssl的Heartbeat漏洞，glibc的ghost漏洞这些的在1.2是否都有修复？
日志的，不能自动分割的时候压缩吗？

licess

这个是跟随你系统的，只要是网络源肯定就会更新修复上

kkfgef

原帖由 licess 于 2015-12-21 20:33 发表
这个是跟随你系统的，只要是网络源肯定就会更新修复上

刚用https://www.vpser.net/category/security中的
CentOS/RHEL系统：yum install glibc -y
提示了更新，最后Complete!
请问这是更新了吗？1.2的应该有带更新了吧， 我用的是CENTOS6.5，阿里云的、
另外，
LNMP下防跨站、跨目录安全设置，仅支持PHP 5.3.3以上版本LNMP1.2,这个的是直接通过修改nginx.conf这个配置中的server{}这里添加不同域名网站的，当然在lnmp命令下的虚拟机中列出不表来。这样的设置
还能需要通过设置PHP。INI中来防跨目录吗？
lnmp去掉nginx上传目录的PHP执行权限我在一文件夹中的子文件里有一个是上传文件的PHP程序，那么我
如果
location ~ /attachments/.*\.(php|php5)?$ {
deny all;
}
这样是不是把attachments这个文件夹和其下的子目录PHP执行权限都去掉了？

licess

11楼已经说了，只要安装lnmp肯定就自动更新上了

防跨目录1.2，1.3上默认都有

包含子目录