phpgeoip擴展

① 如何在linux上按國別阻止網路流量

作為一名維護生產環境Linux伺服器的系統管理員，在有些情況下，你需要根據地理位置，有選擇性地阻止或允許網路流量。比如說，你遇到了拒絕服務攻擊，這些攻擊主要源自在某一個國家注冊的IP地址。在其他情況下，出於安全方面的原因，你又想要阻止外國來歷不明SSH登錄請求；或者貴公司對在線視頻擁有發行權，因而只可以分發給某些國家；或者由於地域限制方面的公司政策，你需要防止本地主機將文檔上傳到非美國遠程雲存儲系統。

所有這些場景都需要能夠安裝一個防火牆，可以按國別對流量進行過濾。有幾種方法可以做到這一點。舉例說，你可以使用TCP包裝器(TCP wrapper)，針對個別應用程序(比如SSH、NFS和httpd)設置有條件的阻止。其缺點是，你想要保護的那個應用程序在開發當初必須支持TCP包裝器。此外，TCP包裝器並非普遍出現在不同的平台上(比如說，Arch Linux已停止對TCP包裝器的支持)。另一種辦法就是，利用基於國家的GeoIP信息來設置ipset，然後將它運用於iptables規則。後一種方法更有希望，因為基於iptables的過濾與應用程序無關，而且易於設置。
我在本教程中將介紹另一種基於iptables的GeoIP過濾機制，這種機制實施了xtables-addons。有些讀者對它還不熟悉，所以有必要先介紹一下，xtables-addons是一套面向netfilter/iptables的擴展。xtables-addons內含了一個名為xt_geoip的模塊，該模塊擴展了netfilter/iptables的功能，可以根據來源/目的地國家，過濾、NAT或管理數據包。如果你想使用xt_geoip，不需要重新編譯內核或iptables，只需要構建xtables-addons模塊，並使用當前的內核構建環境(/lib/moles/`uname -r`/build)。也不需要重啟。一旦你構建並安裝好了xtables-addons，xt_geoip立即就可以與iptables結合使用。
至於xt_geoip和ipset之間的區別，官方來源(http://xtables-addons.sourceforge.net/geoip.php)提到，xt_geoip在內存佔用空間方面少於ipset。不過在匹配速度方面，基於散列的ipset可能具有優勢。
在本教程其餘部分，我會演示如何使用iptables/xt_geoip，根據來源/目的地國家，阻止網路流量。
將Xtables-addons安裝到Linux上
下面介紹如何編譯xtables-addons，並將它安裝到不同的Linux平台上。
想構建xtables-addons，你就需要先安裝幾個依賴程序包。
·將依賴程序包安裝到Debian、Ubuntu或Linux Mint上
$ sudo apt-get install iptables-dev xtables-addons-common libtext-csv-xs-perl pkg-config

·將依賴程序包安裝到CentOS、RHEL或Fedora上
CentOS/RHEL 6需要先安裝EPEL軟體庫(面向perl-Text-CSV_XS)。
$ sudo yum install gcc-c++ make automake kernel-devel-`uname -r` wget unzip iptables-devel perl-Text-CSV_XS

編譯和安裝Xtables-addons
從官方網站(http://xtables-addons.sourceforge.net)下載最新的xtables-addons源代碼，然後構建/安裝它，如下所示。
$wget http://downloads.sourceforge.net/project/xtables-addons/Xtables-addons/xtables-addons
-2.10.tar.xz
$ tar xf xtables-addons-2.10.tar.xz
$ cd xtables-addons-2.10
$ ./configure
$ make
$ sudo make install

請注意：如果是默認情況下已啟用SELinux的基於紅帽的系統(CentOS、RHEL、Fedora)，有必要調整SELinux策略，如下所示。要不然，SELinux會阻止iptables裝入xt_geoip模塊。
$ sudo chcon -vR --user=system_u /lib/moles/$(uname -r)/extra/*.ko
$ sudo chcon -vR --type=lib_t /lib64/xtables/*.so

為Xtables-addons安裝GeoIP資料庫
下一步是安裝GeoIP資料庫，xt_geoip將用到該資料庫，用於IP與國別映射。很方便的是，xtables-addons源程序包隨帶兩個幫助腳本，可分別用來從MaxMind下載GeoIP資料庫，並將它轉換成xt_geoip可識別的二進制格式。這些腳本位於源程序包裡面的geoip文件夾下面。按照下列說明，即可構建GeoIP資料庫，並將它安裝到你系統上。
$ cd geoip
$ ./xt_geoip_dl
$ ./xt_geoip_build GeoIPCountryWhois.csv
$ sudo mkdir -p /usr/share/xt_geoip
$ sudo cp -r {BE,LE} /usr/share/xt_geoip

據MaxMind聲稱，其GeoIP資料庫的准確性達到99.8%，資料庫更每月都更新。為了確保本地安裝的GeoIP資料庫內容最新，你就需要設置每月執行的計劃任務，以便每月更新一次本地GeoIP資料庫。
阻止來自或發往某個國家的網路流量
一旦xt_geoip模塊和GeoIP資料庫都已安裝好，你就可以立即使用iptables命令中的geoip匹配選項。
$ sudo iptables -m geoip --src-cc country[,country...] --dst-cc country[,country...]

你想要阻止的國家使用兩個字母ISO3166代碼來指定，比如說US(美國)、CN(中國)、IN(印度)和FR(法國)。
比如說，如果你想阻止來自葉門(YE)和尚比亞(ZM)的入站流量，下面這個iptables命令就能實現。
$ sudo iptables -I INPUT -m geoip --src-cc YE,ZM -j DROP

如果你想阻止發往中國(CN)的出站流量，只要運行下面這個命令。
$ sudo iptables -A OUTPUT -m geoip --dst-cc CN -j DROP

匹配條件也可以被「抵消」，只要將「!」放在「--src-cc」或「--dst-cc」的前面。比如說：
如果你想在伺服器上阻止所有非美國的入站流量，可以運行這個命令：
$ sudo iptables -I INPUT -m geoip ! --src-cc US -j DROP

針對Firewall-cmd用戶
像CentOS/RHEL 7或Fedora這一些發行版已將iptables換成firewalld，作為默認防火牆伺服器。在這類系統上，你同樣可以利用xt_geoip，使用firewall-cmd阻止流量。上面三個例子可以用firewall-cmd來改寫，如下所示。
$ sudo firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -m geoip --src-cc YE,ZM -j DROP
$ sudo firewall-cmd --direct --add-rule ipv4 filter OUTPUT 0 -m geoip --dst-cc CN -j DROP
$ sudo firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -m geoip ! --src-cc US -j DROP

結束語
我在本教程中介紹了iptables/xt_geoip，這是一種簡單方法，可以根據來源/目的地國家，對網路數據包進行過濾。如果需要的話，可以將這件有用的武器部署到你的防火牆系統中。最後提醒一句，我應該提到：基於GeoIP的流量過濾並不是在你伺服器上阻止某些國家的萬無一失的方法。GeoIP資料庫天生就不準確/不完整，如果使用VPN、Tor或任何受到危及的中繼主機，就很容易欺騙來源/目的地國家。基於地域的過濾甚至會阻止本不該被禁止的合法流量。明白這個局限性後，再決定將它部署到你的生產環境中也不遲。

② php根據經緯度獲取地理位置

這種功能，只能調用第三方的介面了，網路地圖API就有這個介面addressComponents，逆地址解析，參考方法如下：

<GeocoderSearchResponse>

<status>OK</status>

<result>

<location>

<lat>38.990998</lat>

<lng>103.645966</lng>

</location>

<formatted_address>甘肅省武威市民勤縣</formatted_address>

<business/>

<addressComponent>

<streetNumber/>

<street/>

<district>民勤縣</district>

<city>武威市</city>

<province>甘肅省</province>

</addressComponent>

<cityCode>118</cityCode>

</result>

</GeocoderSearchResponse>

③ ecshop 中怎麼獲取客戶端ip

④ 安全開發運維必備的Nginx代理Web伺服器性能優化與安全加固配置

為了更好的指導部署與測試藝術升系統nginx網站伺服器高性能同時下安全穩定運行,需要對nginx服務進行調優與加固;

本次進行Nginx服務調優加固主要從以下幾個部分：

本文檔僅供內部使用，禁止外傳，幫助研發人員，運維人員對系統長期穩定的運行提供技術文檔參考。

Nginx是一個高性能的HTTP和反向代理伺服器，也是一個IMAP/POP3/SMTP伺服器。Nginx作為負載均衡伺服器, Nginx 既可以在內部直接支持 Rails 和 PHP 程序對外進行服務，也可以支持作為 HTTP代理伺服器對外進行服務。

Nginx版本選擇:

項目結構:

Nginx文檔幫助: http://nginx.org/en/docs/
Nginx首頁地址目錄: /usr/share/nginx/html
Nginx配置文件:

localtion 請求匹配的url實是一個正則表達式:

Nginx 匹配判斷表達式:

例如,匹配末尾為如下後綴的靜態並判斷是否存在該文件, 如不存在則404。

查看可用模塊編譯參數：http://nginx.org/en/docs/configure.html

http_gzip模塊
開啟gzip壓縮輸出(常常是大於1kb的靜態文件)，減少網路傳輸;

http_fastcgi_mole模塊
nginx可以用來請求路由到FastCGI伺服器運行應用程序由各種框架和PHP編程語言等。可以開啟FastCGI的緩存功能以及將靜態資源進行剝離，從而提高性能。

keepalive模塊
長連接對性能有很大的影響，通過減少CPU和網路開銷需要開啟或關閉連接;

http_ssl_mole模塊
Nginx開啟支持Https協議的SSL模塊

Linux內核參數部分默認值不適合高並發,Linux內核調優，主要涉及到網路和文件系統、內存等的優化，

下面是我常用的內核調優配置：

文件描述符
文件描述符是操作系統資源，用於表示連接、打開的文件，以及其他信息。NGINX 每個連接可以使用兩個文件描述符。
例如如果NGINX充當代理時，通常一個文件描述符表示客戶端連接，另一個連接到代理伺服器，如果開啟了HTTP 保持連接，這個比例會更低（譯註：為什麼更低呢）。

對於有大量連接服務的系統，下面的設置可能需要調整一下：

精簡模塊:Nginx由於不斷添加新的功能，附帶的模塊也越來越多,建議一般常用的伺服器軟體使用源碼編譯安裝管理;

(1) 減小Nginx編譯後的文件大小

(2) 指定GCC編譯參數
修改GCC編譯參數提高編譯優化級別穩妥起見採用 -O2 這也是大多數軟體編譯推薦的優化級別。

GCC編譯參數優化 [可選項] 總共提供了5級編譯優化級別：

常用編譯參數:

緩存和壓縮與限制可以提高性能
NGINX的一些額外功能可用於提高Web應用的性能，調優的時候web應用不需要關掉但值得一提，因為它們的影響可能很重要。

簡單示例:

1) 永久重定向

例如，配置 http 向 https 跳轉 (永久)

nginx配置文件指令優化一覽表

描述:Nginx因為安全配置不合適導致的安全問題,Nginx的默認配置中存在一些安全問題,例如版本號信息泄露、未配置使用SSL協議等。
對Nginx進行安全配置可以有效的防範一些常見安全問題，按照基線標准做好安全配置能夠減少安全事件的發生,保證採用Nginx伺服器系統應用安全運行;

Nginx安全配置項：

溫馨提示: 在修改相應的源代碼文件後需重新編譯。

設置成功後驗證:

應配置非root低許可權用戶來運行nginx服務,設置如下建立Nginx用戶組和用戶，採用user指令指運行用戶

加固方法:

我們應該為提供的站點配置Secure Sockets Layer Protocol (SSL協議)，配置其是為了數據傳輸的安全，SSL依靠證書來驗證伺服器的身份，並為瀏覽器和伺服器之間的通信加密。

不應使用不安全SSLv2、SSLv3協議即以下和存在脆弱性的加密套件(ciphers), 我們應該使用較新的TLS協議也應該優於舊的,並使用安全的加密套件。

HTTP Referrer Spam是垃圾信息發送者用來提高他們正在嘗試推廣的網站的互聯網搜索引擎排名一種技術，如果他們的垃圾信息鏈接顯示在訪問日誌中，並且這些日誌被搜索引擎掃描，則會對網站排名產生不利影響
加固方法:

當惡意攻擊者採用掃描器進行掃描時候利用use-agent判斷是否是常用的工具掃描以及特定的版本,是則返回錯誤或者重定向;

Nginx支持webdav，雖然默認情況下不會編譯。如果使用webdav，則應該在Nginx策略中禁用此規則。
加固方法: dav_methods 應設置為off

當訪問一個特製的URL時，如"../nginx.status"，stub_status模塊提供一個簡短的Nginx伺服器狀態摘要,大多數情況下不應啟用此模塊。
加固方法：nginx.conf文件中stub_status不應設置為：on

如果在瀏覽器中出現Nginx自動生成的錯誤消息，默認情況下會包含Nginx的版本號,這些信息可以被攻擊者用來幫助他們發現伺服器的潛在漏洞
加固方法: 關閉"Server"響應頭中輸出的Nginx版本號將server_tokens應設置為：off

client_body_timeout設置請求體（request body）的讀超時時間。僅當在一次readstep中，沒有得到請求體，就會設為超時。超時後Nginx返回HTTP狀態碼408(Request timed out)。
加固方法：nginx.conf文件中client_body_timeout應設置為：10

client_header_timeout設置等待client發送一個請求頭的超時時間（例如：GET / HTTP/1.1）。僅當在一次read中沒有收到請求頭，才會設為超時。超時後Nginx返回HTTP狀態碼408(Request timed out)。

加固方法：nginx.conf文件中client_header_timeout應設置為：10

keepalive_timeout設置與client的keep-alive連接超時時間。伺服器將會在這個時間後關閉連接。

加固方法：nginx.conf文件中keepalive_timeout應設置為：55

send_timeout設置客戶端的響應超時時間。這個設置不會用於整個轉發器，而是在兩次客戶端讀取操作之間。如果在這段時間內，客戶端沒有讀取任何數據，Nginx就會關閉連接。

加固方法：nginx.conf文件中send_timeout應設置為：10

GET和POST是Internet上最常用的方法。Web伺服器方法在RFC 2616中定義禁用不需要實現的可用方法。

加固方法:

limit_zone 配置項限制來自客戶端的同時連接數。通過此模塊可以從一個地址限制分配會話的同時連接數量或特殊情況。

加固方法：nginx.conf文件中limit_zone應設置為：slimits $binary_remote_addr 5m

該配置項控制一個會話同時連接的最大數量，即限制來自單個IP地址的連接數量。

加固方法：nginx.conf 文件中 limit_conn 應設置為: slimits 5

加固方法：

加固方法:

解決辦法:

描述後端獲取Proxy後的真實Client的IP獲取需要安裝--with-http_realip_mole，然後後端程序採用JAVA(request.getAttribute("X-Real-IP"))進行獲取;

描述: 如果要使用geoip地區選擇,我們需要再nginx編譯時加入 --with-http_geoip_mole 編譯參數。

描述: 為了防止外部站點引用我們的靜態資源，我們需要設置那些域名可以訪問我們的靜態資源。

描述: 下面收集了Web服務中常規的安全響應頭, 它可以保證不受到某些攻擊,建議在指定的 server{} 代碼塊進行配置。

描述: 為了防止某些未備案的域名或者惡意鏡像站域名綁定到我們伺服器上, 導致伺服器被警告關停，將會對業務或者SEO排名以及企業形象造成影響，我們可以通過如下方式進行防範。

執行結果:

描述: 有時你的網站可能只需要被某一IP或者IP段的地址請求訪問，那麼非白名單中的地址訪問將被阻止訪問, 我們可以如下配置;

常用nginx配置文件解釋：

(1) 阿里巴巴提供的Concat或者Google的PageSpeed模塊實現這個合並文件的功能。

(2) PHP-FPM的優化
如果您高負載網站使用PHP-FPM管理FastCGI對於PHP-FPM的優化非常重要

(3) 配置Resin on Linux或者Windows為我們可以打開 resin-3.1.9/bin/httpd.sh 在不影響其他代碼的地方加入:-Dhttps.protocols=TLSv1.2, 例如

原文地址: https://blog.weiyigeek.top/2019/9-2-122.html

⑤ 請問：如何讓PHP程序檢查瀏覽者操作系統的默認語言，而進入相應的網站頁面（假如是中英韓三種） （急）

用PHP判斷客戶端瀏覽器語言跳轉到相應的網頁
程序的實現原理很簡單：
首先用PHP獲取客戶端瀏覽器的語言 (用$_SERVER['HTTP_ACCEPT_LANGUAGE']來實現)，如果是中文則跳轉到中文的網頁；反之就跳轉到英文版。
1.<?php
2.$language = substr($_SERVER['HTTP_ACCEPT_LANGUAGE'],0,5);
3.if($language == "zh-cn") header("Location: /gbk/chinese.html");
4.else header("Location: /utf8/english.html");
5.?>

另外一種就是根據IP來判斷的, 具體可以看下geoip

⑥ linux yum安裝php7.3

先安裝前面的教程，再安裝後面的

參考教程1：
https://blog.csdn.net/weixin_43731793/article/details/91488289

參考教程2：
http://www.bubuko.com/infodetail-2931909.html

安裝PHP
1、安裝PHP73
1.1、卸載舊版本PHP
yum remove php*
1.2、安裝EPEL：

sudo yum install epel-release
1.3、安裝remi（選一個）:

sudo rpm -Uvh http://rpms.famillecollet.com/enterprise/remi-release-7.rpm
rpm -Uvh https://mirror.webtatic.com/yum/el7/webtatic-release.rpm
1.4、查看目前有php的什麼版本（可忽略）
sudo yum list php*
1.5、列出所有的php相關的rpm包（可忽略）

rpm -qa|grep php
1.6、刪除php相關的rpm包（一次只能刪除一個）（可忽略）

rpm -e php72w-mysqlnd-7.2.17-1.w7.x86_64
1.7、列出remi倉庫下所有PHP7.3可用模塊。（可忽略）
yum --enablerepo=remi-php73 search php | grep php73
1.8、安裝PHP 7.3
yum --enablerepo=remi-php73 install php

1、安裝 PHP7.3：
（解決yum安裝apache關聯不了PHP的問題，用以下命令安裝）

yum --enablerepo=remi-php73 install php

安裝模塊
yum --enablerepo=remi-php73 install php73-php-fpm php73-php-cli php73-php-bcmath php73-php-gd php73-php-json php73-php-mbstring php73-php-mcrypt php73-php-mysqlnd php73-php-opcache php73-php-pdo php73-php-pecl-crypto php73-php-pecl-mcrypt php73-php-pecl-geoip php73-php-recode php73-php-snmp php73-php-soap php73-php-xml

2、設置開機啟動、運行服務：
systemctl enable php73-php-fpm
systemctl start php73-php-fpm

3、查找php.ini位置：
find /etc/opt/remi/php73 -name php.ini

/etc/opt/remi/php73/php.ini

找到apache的配置文件：httpd.conf
sudo find / -name httpd.conf

位置如下：

/etc/httpd/conf/httpd.conf

5、PHP日常操作
systemctl restart php73-php-fpm #重啟
systemctl start php73-php-fpm #啟動
systemctl stop php73-php-fpm #關閉
systemctl status php73-php-fpm #檢查狀態
php -m #查看PHP已安裝拓展模塊
php -v #查看PHP版本