一、系统约定
软件源代码包存放位置        /usr/local/src
源码包编译安装位置(prefix)        /usr/local/software_name
脚本以及维护程序存放位置        /usr/local/sbin
MySQL 数据库位置        /var/lib/mysql（可按情况设置）
Apache 网站根目录        /www/domain.com（可按情况设置）
Apache 虚拟主机日志根目录        /var/logs/www（可按情况设置）
Apache 运行账户        www:www

二、系统环境部署及调整
1. 检查系统是否正常
# more /var/log/messages        （检查有无系统级错误信息）
# dmesg （检查硬件设备是否有错误信息）
# ifconfig（检查网卡设置是否正确）
# ping www.moophp.org （检查网络是否正常）

2. 关闭不需要的服务
# export LANG=’en_US’ //设置语言
# ntsysv
以下仅列出需要启动的服务，未列出的服务一律推荐关闭：
atd
crond
irqbalance
vsftpd   (FTP服务可选)
microcode_ctl
network
ntpd
sendmail
sshd
syslog

3. 重新启动系统
# init 6

4. 配置 vim
# vi /root/.bashrc
在 alias mv=’mv -i’ 下面添加一行：alias vi=’vim’ 保存退出。
# echo ’syntax on’ > /root/.vimrc

5. 使用 yum 程序安装所需开发包（以下为标准的 RPM 包名称）
a.修改/etc/yum.repos.d/CentOS-Base.repo，将镜象站点地址改为在中国的镜象站点地址。
修改如下：

# CentOS-Base.repo
#
# This file uses a new mirrorlist system developed by Lance Davis for CentOS.
# The mirror system uses the connecting IP address of the client and the
# update status of each mirror to pick mirrors that are updated to and
# geographically close to the client. You should use this for CentOS updates
# unless you are manually picking other mirrors.
#
# If the mirrorlist= does not work for you, as a fall back you can try the
# remarked out baseurl= line instead.
#
#

[base]
name=CentOS-$releasever – Base
baseurl=http://mirror.be10.com/centos/$releasever/os/$basearch/
gpgcheck=1
gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-5
protect=1

#released updates
[updates]
name=CentOS-$releasever – Updates
baseurl=http://mirror.be10.com/centos/$releasever/updates/$basearch/
gpgcheck=1
gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-5
protect=1

#packages used/produced in the build but not released
[addons]
name=CentOS-$releasever – Addons
baseurl=http://mirror.be10.com/centos/$releasever/addons/$basearch/
gpgcheck=1
gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-5
protect=0

#additional packages that may be useful
[extras]
name=CentOS-$releasever – Extras
baseurl=http://mirror.be10.com/centos/$releasever/extras/$basearch/
gpgcheck=1
gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-5
protect=0

#additional packages that extend functionality of existing packages
[centosplus]
name=CentOS-$releasever – Plus
baseurl=http://mirror.be10.com/centos/$releasever/centosplus/$basearch/
gpgcheck=1
enabled=0
gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-5
protect=1

#contrib – packages by Centos Users
[contrib]
name=CentOS-$releasever – Contrib
baseurl=http://mirror.be10.com/centos/$releasever/contrib/$basearch/
gpgcheck=1
enabled=0
protect=0
gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-5

#packages in testing
[testing]
name=CentOS-5 – Testing
baseurl=http://mirror.be10.com/centos/5/testing/i386/

gpgcheck=1
enabled=0
protect=0

b.保存后更新系统,执行：
# yum upgrade
c.建议更新所有列出的程序
d.最后安装需要的开发库：
# yum install vim-enhanced gcc gcc-c++ gcc-g77 flex bison autoconf automake bzip2-devel ncurses-devel libjpeg-devel libpng-devel libtiff-devel freetype-devel pam-devel kernel

6. a.定时校正服务器时钟，启用ntpd服务
# service ntpd start
b.对TCP/IP网络参数进行调整，加强抗SYN Flood能力
# echo ‘net.ipv4.tcp_syncookies = 1′ >> /etc/sysctl.conf
将net.ipv4.tcp_syncookies = 1写入sysctl.conf 文件
# sysctl -p
查看结果

7. 源码编译安装所需包(Source)
(1) GD2
# cd /usr/local/src
# wget –c http://www.ismole.net/downloads/gd-2.0.35.tar.gz
# tar xzvf gd-2.0.35.tar.gz
# cd gd-2.0.35
# ./configure –prefix=/usr/local/gd2
# make
# make install

(2) LibXML2
# cd /usr/local/src
# wget –c http://www.ismole.net/downloads/libxml2-2.6.32.tar.gz
# tar xzvf libxml2-2.6.32.tar.gz
# cd libxml2-2.6.32
# ./configure –prefix=/usr/local/libxml2
# make
# make install

(3) LibMcrypt
# cd /usr/local/src
# wget –c http://www.ismole.net/downloads/libmcrypt-2.5.8.tar.bz2
# tar xjvf libmcrypt-2.5.8.tar.bz2
# cd libmcrypt-2.5.8
# ./configure –prefix=/usr/local/libmcrypt
# make
# make install

(4) Apache日志截断程序
# cd /usr/local/src
# wget –c http://www.ismole.net/downloads/cronolog-1.7.0-beta.tar.gz
# tar xzvf cronolog-1.7.0-beta.tar.gz
# cd cronolog-1.7.0-beta
# ./configure –prefix=/usr/local/cronolog
# make
# make install

8. 升级OpenSSL和OpenSSH
# cd /usr/local/src
# wget –c http://www.ismole.net/downloads/openssl-0.9.8g.tar.gz
# wget –c http://www.ismole.net/downloads/openssh-5.0p1.tar.gz
# tar xzvf openssl-0.9.8g.tar.gz
# cd openssl-0.9.8g
# ./config –prefix=/usr/local/openssl
# make
# make test
# make install
# cd ..
# tar xzvf openssh-5.0p1.tar.gz
# cd openssh-5.0p1
# ./configure  \
“–prefix=/usr” \
“–with-pam” \
“–with-zlib” \
“–sysconfdir=/etc/ssh” \
“–with-ssl-dir=/usr/local/openssl” \
“–with-md5-passwords”
# make
# make install

（1）禁用 SSH V1 协议
找到：
#Protocol 2,1
改为：
Protocol 2

（2）禁止root直接登录
此处先建立一个普通系统用户：
# useradd username
# passwd username
找到：
#PermitRootLogin yes
改为：
PermitRootLogin no

（3）禁用服务器端GSSAPI
找到以下两行，并将它们注释：
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes

（4）禁用 DNS 名称解析
找到：
#UseDNS yes
改为：
UseDNS no

（5）禁用客户端 GSSAPI
# vi /etc/ssh/ssh_config
找到：
GSSAPIAuthentication yes
将这行注释掉。

最后，确认修改正确后重新启动 SSH 服务
# service sshd restart
# ssh -v
确认 OpenSSH 以及 OpenSSL 版本正确。

8. FTP服务器的配置
#vi /etc/vsftpd/vsftpd.conf
把anonymous_enable=YES注释掉不允许匿名登录。
把 chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.chroot_list
前的注释去掉。
把ftpd_banner=*前的注释去掉。后面改成你的欢迎信息(这样设置可以避免显示ftp服务器的版本信息)
保存，并执行
#service vsftpd start

这时可以用刚才添加的普通用户登陆FTP，root默认不能通过FTP方式登录。

三、编译安装L.A.M.P环境
1. 下载软件
# cd /usr/local/src
# wget –c http://www.ismole.net/downloads/软件包名称
httpd-2.2.6.tar.bz2
mysql-5.1.24-rc-linux-i686-glibc23.tar.gz
php-5.2.4.tar.bz2
ZendOptimizer-3.3.3-linux-glibc23-i386.tar.gz

2. 安装MySQL
# tar xzvf mysql-5.1.24-rc-linux-i686-glibc23.tar.gz
# mv mysql-5.1.24-rc-linux-i686-glibc23  /usr/local/
# ln -s /usr/local/ mysql-5.1.24-rc-linux-i686-glibc23  /usr/local/mysql
# useradd mysql
# chown -R mysql:root  /usr/local/mysql/
# cd /usr/local/mysql
# ./scripts/mysql_install_db  –user=mysql
# cp ./support-files/mysql.server  /etc/rc.d/init.d/mysqld
# chown root:root /etc/rc.d/init.d/mysqld
# chmod 755 /etc/rc.d/init.d/mysqld
# chkconfig –add mysqld
# chkconfig –level 35 mysqld on
# cp ./support-files/my-huge.cnf  /etc/my.cnf
# mv /usr/local/mysql/data  /var/lib/mysql
# chown -R mysql:mysql /var/lib/mysql/
# vi /etc/my.cnf  修改以下内容：

（1）        在 [mysql] 段增加一行：
default-character-set = utf8
（2）        在 [mysqld] 段增加或修改：
datadir = /var/lib/mysql
–skip-innodb
default-character-set = utf8
–wait-timeout = 5
max_connections = 512
max_connect_errors = 10000000
thread_concurrency = CPU个数×2
将 log-bin 注释
# bin/mysqladmin -u root password ‘password_for_root’

3. 编译安装Apache
# cd /usr/local/src
# tar xjvf httpd-2.2.6.tar.bz2
# cd httpd-2.2.6
# ./configure \
“–prefix=/usr/local/apache2″ \
“–with-included-apr” \
“–enable-so” \
“–enable-deflate=shared” \
“–enable-expires=shared” \
“–enable-rewrite=shared” \
“–enable-static-support” \
“–disable-userdir”
# make
# make install
# echo ‘/usr/local/apache2/bin/apachectl start ‘ >> /etc/rc.local

4. 编译安装PHP
# cd /usr/local/src
# tar xjvf php-5.2.4.tar.bz2
# cd php-5.2.4
# ./configure –prefix=/usr/local/php –with-apxs2=/usr/local/apache2/bin/apxs –with-config-file-path=/usr/local/php/etc –with-mysql=/usr/local/mysql –with-libxml-dir=/usr/local/libxml2 –with-gd=/usr/local/gd2 –with-jpeg-dir –with-png-dir –with-bz2 –with-freetype-dir –with-iconv-dir –with-zlib-dir –with-mcrypt=/usr/local/libmcrypt –enable-soap –enable-gd-native-ttf –enable-ftp –enable-mbstring –enable-exif –disable-ipv6 –disable-cgi –disable-cli
# make
# make install
# mkdir /usr/local/php/etc
# cp php.ini-dist /usr/local/php/etc/php.ini

5. 安装Zend Optimizer
# cd /usr/local/src
# tar xzvf ZendOptimizer-3.3.3-linux-glibc23-i386.tar.gz
# ./ ZendOptimizer-3.3.3-linux-glibc23-i386/install.sh
安装Zend Optimizer过程的最后不要选择重启Apache。

6. 整合Apache与PHP
# vi /usr/local/apache2/conf/httpd.conf
找到：
AddType application/x-gzip .gz .tgz
在该行下面添加
AddType application/x-httpd-php .php

找到：
<IfModule dir_module>
DirectoryIndex index.html
</IfModule>
将该行改为
<IfModule dir_module>
DirectoryIndex index.html index.htm index.php
</IfModule>

找到：
#Include conf/extra/httpd-mpm.conf
#Include conf/extra/httpd-info.conf
#Include conf/extra/httpd-vhosts.conf
#Include conf/extra/httpd-default.conf
去掉前面的“#”号，取消注释。

注意：以上 4 个扩展配置文件中的设置请按照相关原则进行合理配置！

修改完成后保存退出。
# /usr/local/apache2/bin/apachectl restart

7. 查看确认L.A.M.P环境信息、提升 PHP 安全性
在网站根目录放置 phpinfo.php 脚本，检查phpinfo中的各项信息是否正确。

确认 PHP 能够正常工作后，在 php.ini 中进行设置提升 PHP 安全性。
# vi /etc/php.ini
找到：
disable_functions =
设置为：
phpinfo,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server

三、服务器安全性设置
1. 设置系统防火墙
# vi /usr/local/sbin/fw.sh
将以下脚本命令粘贴到 fw.sh 文件中。
#!/bin/bash

# Stop iptables service first
service iptables stop

# Load FTP Kernel modules
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp

# Inital chains default policy
/sbin/iptables -F -t filter
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT ACCEPT

# Enable Native Network Transfer
/sbin/iptables -A INPUT -i lo -j ACCEPT

# Accept Established Connections
/sbin/iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT

# ICMP Control
/sbin/iptables -A INPUT -p icmp -m limit –limit 1/s –limit-burst 10 -j ACCEPT

# WWW Service
/sbin/iptables -A INPUT -p tcp –dport 80 -j ACCEPT

# FTP Service
/sbin/iptables -A INPUT -p tcp –dport 21 -j ACCEPT

# SSH Service
/sbin/iptables -A INPUT -p tcp –dport 22 -j ACCEPT

# chmod 755 /usr/local/sbin/fw.sh
# echo ‘/usr/local/sbin/fw.sh’ >> /etc/rc.local
# /usr/local/sbin/fw.sh

原载地址：http://www.ismole.net/thread-505-1-1.html

需求:（虚拟用户分下载用户／下载、上传但不能删除用户／管理用户）

一、安装
yum -y install vsftpd*
yum -y install pam*
yum -y install db4*

二、系统帐户

1、vsftpd服务的宿主用户
useradd vsftpd -s /sbin/nologin
2、vsftpd虚拟宿主用户
useradd ftpuser -s /sbin/nologin
*不允许相关用户登录。
三、vsftpd.conf设置
1、备份
cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.ysbk
2、设置
—-
anonymous_enable=NO
设定不允许匿名访问
local_enable=YES
设定本地用户可以访问。注意：主要是为虚拟宿主用户，如果该项目设定为NO那么所有虚拟用户将无法访问。
write_enable=YES
设定可以进行写操作。
local_umask=022
设定上传后文件的权限掩码。
anon_upload_enable=NO
禁止匿名用户上传。
anon_mkdir_write_enable=NO
禁止匿名用户建立目录。
dirmessage_enable=YES
设定开启目录标语功能。
xferlog_enable=YES
设定开启日志记录功能。
connect_from_port_20=YES
设定端口20进行数据连接。
chown_uploads=NO
设定禁止上传文件更改宿主。
xferlog_file=/var/log/vsftpd.log
设定Vsftpd的服务日志保存路径。注意，该文件默认不存在。必须要手动touch出来，并且由于这里更改了Vsftpd的服务宿主用户为手动建立的Vsftpd。必须注意给与该用户对日志的写入权限，否则服务将启动失败。
xferlog_std_format=YES
设定日志使用标准的记录格式。
nopriv_user=vsftpd
设定支撑Vsftpd服务的宿主用户为手动建立的Vsftpd用户。注意，一旦做出更改宿主用户后，必须注意一起与该服务相关的读写文件的读写赋权问题。比如日志文件就必须给与该用户写入权限等。
async_abor_enable=YES
设定支持异步传输功能。
ascii_upload_enable=YES
ascii_download_enable=YES
设定支持ASCII模式的上传和下载功能。
ftpd_banner=Welcome to Awei FTP servers
设定Vsftpd的登陆标语。
chroot_local_user=YES
禁止本地用户登出自己的FTP主目录。
pam_service_name=vsftpd
设定PAM服务下Vsftpd的验证配置文件名。因此，PAM验证将参考/etc/pam.d/下的vsftpd文件配置。
以下这些是关于Vsftpd虚拟用户支持的重要配置项目。默认Vsftpd.conf中不包含这些设定项目，需要自己手动添加配置。
guest_enable=YES
设定启用虚拟用户功能。
guest_username=ftpuser
指定虚拟用户的宿主用户。
virtual_use_local_privs=YES
设定虚拟用户的权限符合他们的宿主用户。
user_config_dir=/etc/vsftpd/vconf
设定虚拟用户个人Vsftp的配置文件存放路径。也就是说，这个被指定的目录里，将存放每个Vsftp虚拟用户个性的配置文件，一个需要注意的
地方就是这些配置文件名必须和虚拟用户名相同。
—-
3.建立Vsftpd的日志文件，并更该属主为Vsftpd的服务宿主用户：
[root@KcentOS5 ~]# touch /var/log/vsftpd.log
[root@KcentOS5 ~]# chown vsftpd.vsftpd /var/log/vsftpd.log
4.建立虚拟用户配置文件存放路径：
[root@KcentOS5 ~]# mkdir /etc/vsftpd/vconf/
四、制作虚拟用户数据库文件
1.先建立虚拟用户名单文件：
[root@KcentOS5 ~]# touch /etc/vsftpd/virtusers
建立了一个虚拟用户名单文件，这个文件就是来记录vsftpd虚拟用户的用户名和口令的数据文件，我这里给它命名为virtusers。为了避免文件的混乱，我把这个名单文件就放置在/etc/vsftpd/下。
2.编辑虚拟用户名单文件：
[root@KcentOS5 ~]# vi /etc/vsftpd/virtusers
—————————-
download
1234
upload
5678
admin
9012
—————————-
编辑这个虚拟用户名单文件，在其中加入用户的用户名和口令信息。格式很简单：“一行用户名，一行口令”。
3.生成虚拟用户数据文件：
[root@KcentOS5 ~]# db_load -T -t hash -f /etc/vsftpd/virtusers /etc/vsftpd/virtusers.db
五、设定PAM验证文件，并指定虚拟用户数据库文件进行读取
在/etc/pamd.vsftpd的文件头部加入以下信息（在后面加入无效）
—-
auth sufficient /lib/security/pam_userdb.so db=/etc/vsftpd/virtusers
account sufficient /lib/security/pam_userdb.so db=/etc/vsftpd/virtusers
—-
六、虚拟用户的配置
1、download用户，只能下载不能上传和删除
–
write_enable=NO
–
2、upload能下载、上传但不能删除
–
write_enable=YES
cmds_allowed=ABOR,CWD,LIST,MDTM,MKD,NLST,PASS,PASV,PORT,PWD,QUIT,RETR,RNFR,RNTO,SIZE,STOR,TYPE,USER,REST,CDUP,HELP,MODE,NOOP,REIN,STAT,STOU,STRU,SYST,FEAT
file_open_mode=0444
–
3、admin对ftp进行管理
–
默认的vsftpd.conf文件就可以了，不要做任何修改。
–
4、补充：
如果对上传用户要限制其上传目录（主目录），需要加入
–
local_root=/home/ftp/upload
–
前将/home/ftp/upload给予相应的权限。

前言
最近，一台机器从FreeBSD换为CentOS，一路安装顺利。完事之后发现，网卡没有启用，dmesg | grep eth 命令确定网卡没有驱动导致的。于是开始了一路艰辛的安装过程。

安装过程
1.先找驱动，主板是华擎的ConRoe945G-DVI，去了华擎的官网找到这块主板。伤心的发现其官网上并没有linux的网卡驱动下载。但是找到网卡是Realtek RTL8111B型号的。
2.在Realtek的官网上找到了驱动，并下载之，进入网卡文件的目录执行（根据网卡的安装说明）命令：
# make clean modules
# make install
# depmod -a
# insmod ./src/r8168.ko
出错，提示kernel-devel没有安装。

3.开始安装kernel-devel，挂载上CentOS的安装光盘，用rpm -iv /mnt/cdrom/CentOS/kernel-devel*.rpm安装，继续安装驱动。提示少kernel-xen
4.安装kernel-xen用rpm -iv /mnt/cdrom/CentOS/kernel-xen*.rpm安装，继续安装发现少gcc
5.于是继续安装gcc，怕麻烦通过yum命令安装gcc
编辑/etc/yum.repos.d/iso.repo文件，添加本地路径也就是/mnt/cdrom/目录
然后开始使用命令
yum –disablerepo=\* –enablerepo=c5-media install gcc
将提示所需的gcc一个一个都安装了。
最后在进行步骤2.完成安装services network restart，可爱的网卡终于出现了！
步骤总结
1.通过dmesg | grep eth 判断是否是网卡没有驱动导致的。
2.找到对应的网卡驱动，准备安装
3.检查服务器是否有编译环境，也就是kernel-devel、gcc这些。如果没有安装之，具体可参考前端文字。默认centos安装的时候，并没有 带上需要支持编译的源码包，需要自己用yum install命令同时安装：kernel、kernel-headers和kernel-devel。
4.执行下列命令：
tar vjxf r8168-8.003.00.tar.bz2
cd r8168-8.003.00
make clean modules
make install
depmod -a
insmod ./src/r8168.ko
5.安装完成。
其他情况
在网卡硬件没有问题的情况下，如果没有安装对应的正确确定导致网卡仍然不能正常使用，请通过以下方式进行重新安装。
1.删除原有网卡设备。
2.删除原有的安装程序：rmmod r8168.ko
3.然后用命令：find / -name r8168.ko，找到并删除该模块。

本文原载是我好友Kimi：http://www.ccvita.com/index.php/304.html