一个程序猿

创业这个词其实前几年并不常用，但随着高校扩招，大量毕业生难以就业，上边为了稳定人心，解决这些问题，开始提倡创业这个事情。

随着社会的开放，大学生意识的提高，有不少的大学生和毕业生确实以自己的能力开创了自己的一片天地。然而在我们讨论大学生是不是应该去做这些事情的时候，媒体却在大肆宣传大学生的创业成果，好像在全国学子的心上挠痒痒。

在媒体上，我们看到大量大学生创业的成功案例，包括类似比尔盖茨之类，但他们宣传的大都是一个人得到一个某某机会，然后如何如何成功，殊不知，创业成功毕竟是少数，太多的人处于创业萌芽或者无准备状态的创业。

这里，暂且不去分析他们为何成功和为何失败，有创业的心，固然是好事，值得我们提倡，但在创业背后，我们需要什么，如何创业，却值得我们深思。

我身边很多人在创业，当然，也有成功的，很多人属于破釜沉舟式的创业，我很敬佩这种精神，还有一些是摸着石头过河型的，这样的人就比较危险了，因为在当今市场上，失败的几率要大。

我感觉，创业是一辈子的事情，人自己，是业的一个重要组成部分，我们自己的健康，我们的自身素质，我们在这个社会中的适应能力，都将是我们发展的一些重要因素。创业成功，首先是个体的成功，然后是团队的成功，集体的成功。因此，创业是一生的创业。

博客很久没更新，导致alexa排名暴跌，因为最近在研究linux下apache＋php的系统安全问题，这个问题困扰了好久。因为配置iis（之前有此文章）的时候，我设置了非常安全的iis站点用户和权限的隔离，但在linux下，总没有找到好的方法。

最近查阅了大量的资料，主要是了解apache的账户机制，suexec的工作原理，然后又翻看了大量的资料，终于搞清楚了一套完整的安全的lamp虚拟主机配置方法，能达到站点的权限隔离，进程账户的相对独立，以及对性能的控制。

在学习的过程中，常犯的错误，就是轻敌。总感觉这事不难，一会就搞定。但实际头疼了半个月。另外就是不看日志。到最后两天，大量的调试是在对比日志和理解日志的涵义，针对日志去进行配置。从我学linux的过程来看，看手册，翻日志，分析别人的案例，是学习的最佳途径。

关于安全配置linux虚拟主机的过程，我将另写文章。

2005年前后曾经风靡过一阵旁注入侵，其利用的原理是所有的iis站点使用了统一的进程账户，而对所有站点设置了同样的权限，因此，当你有一个站点的权限的时候，就等于拥有了所有站点的权限。

在虚拟主机上，这么设置，那生意真的是没法做了，因此，基于iis的虚拟主机都用了独立的iis进程账户进行权限的隔离。

现简述安全原理：

现有 site1，site2，site3 三个站点，三个站点目录结构如下

D:\WWW\site1  D:\WWW\site2   D:\WWW\site3

默认会使用 IUSR_SUN 这个账户作为Internet来宾账户，而 IIS_WPG作为IIS工作进程组。那么会在D:\WWW 这个文件夹上使IUSR_SUN有用读写执行脚本的权限，而三个站点的的匿名访问用户均为IUSR_SUN。这样，虽然脚本（asp，php等）运行在D:\WWW\site1目录下，但对D:\WWW\site2   D:\WWW\site3都是有读写权限的。

如果服务器上的站点是一个公司的，那样还好，如果是给不同的用户来用，问题不言而喻。

因此，我们要用独立的账户和权限来运行三个站点。

我们设置三个用户 IUSR_SUN_1  IUSR_SUN_2   IUSR_SUN_3 ,只归入guests组（如果属于多个组，windows会按照权限的交集来计算）三个用户分别作为 D:\WWW\site1  D:\WWW\site2   D:\WWW\site3的匿名访问用户。然后分别给 D:\WWW\site1 IUSR_SUN_1用户读写等权限，依次设置。

这样，每个网站的用户权限被禁锢在自己的文件夹（站点）下，就保证了站点权限的隔离。

－－－－－－附录－－－－－－

在设置一个站点的时候，我按照最严格的权限进行设定，但发现一个问题，有些PHP的脚本不能执行。后来发现，当使用require(”./a.php”)，这种linux风格的路径的时候，会出问题。后查资料发现，这样访问的时候，脚本需要对本层目录的上一层拥有读的权限，所以，我们在独立设置对上层有个读的权限，这样问题就可以解决。

这个问题发生在ThinkSNS程序中，他们大量使用了linux风格的路径包含方式，因此在权限严格的iis上就跑不动了。而discuz的程序大都不使用这种方式，在兼容性上下了很大功夫。

sunboyu-amp-fastcgi-v20-alpha

本来模块方式跟fastcgi方式的版本可以同步发布的，单由于不争气的hp本本，推迟N天发布。

目前本版本可以安装使用，但由于启用了suexec的安全方式，在虚拟主机下还不能应用，因为linux权限系统很严格，目前还没有彻底搞透suexec的权限机制。

估计以下的几天都得搞这个问题了。我从google上搜索了不少的文章，可惜权限细节配置的方面不多，即使有详细的，也没有说明白原理，所以还是得自己来搞了。

这个版本的更新，跟模块方式编译的类似，如下：

1、增加 OSSP mm 库，PHP可以在此库的支持下保存session到内存 http://www.ossp.org/pkg/lib/mm/

2、增加eaccelerator-0.9.5.2 opcode缓存  http://eaccelerator.net/

3、Apache开启status模块

4、增加了suexec安全访问方式的配置（研究调试中）。

欢迎大家加入LAMPer msn群 lampper@live.cn 加这个号为msn好友即可

首先，继续鄙视hp V3000系列本子，发热量太大，机身反过来直接能摊煎饼，结果造成频繁死机，多种方式解决无果，买散热底拖一个，暂时解决问题。

不过有散热底拖存在的情况下，CPU负载过高的时候发热依然很严重，恐怕也盯不了太久。

另外就是v3000系列的设计，估计设计师也是近亲结婚的产物，太不人性化了，建议买此品牌此系列的朋友谨记教诲。