淘宝联盟安全配置上线计划 [复制链接]

上线系统描述

<必填内容>< --包含上线的功能和修改内容描述。如果是BUG fix上线，需要注明BUG ID。如果是涉及到多个系统关联上线，需要指出关联的相关系统及每个系统的上线内容描述。PE需要通过这些描述了解这次上线对线上环境可能产生的影响 -->本次上线的系统有：淘宝联盟安全配置

上线参与人员

<必填内容>< -- 此次上线的主要负责人，包括PE，QA，开发，DBA和产品，以便在上线过程中出现问题后的沟通-- >PE负责人：云岱QA负责人：潘慧泉开发负责人：谯周DBA负责人：产口经理：

1. 数据变更

<如果有数据变更是必填内容,没有相关数据变更可不填，若此信息不填默认PE认为此次上线没有数据变更>< -- 相关数据的变更，比如日志文件格式的变更。数据库相关的变更，比如表结构的变更，数据订正等 -- >

1. 配置变更

<如果有配置文件变更是必填内容,没有相关配置变更可不填，若此信息不填默认PE认为此次上线没有配置变更>< -- 请列出此次上线工程中需要修改的应用的配置文件，及详细的配置项信息。需要修改的工程以外相关服务的配置信息，PE在上线的过程中主要会依据这些信息对线上的配置进行操作，在上线review的过程中要对这些信息进行核对确认-- >php配置文件变更将原有的php.ini复制一份重命名成php.ini.bak然后修改如下选项:disable_functions=exec,passthru,popen,proc_open,shell_exec,system,phpinfo,assertsafe_mode = on                ;如果影响多可以设成Off,必须告知淘宝原因。safe_mode_gid = offopen_basedir = [WEBSITE]     ;譬如/home/admin/apps/apache/htdocs  可允许apache访问的php的文件目录safe_mode_include_dir = [WEBSITE]  ;譬如/home/admin/apps/apache/htdocs/includes  可允许包含的文件目录safe_mode_exec_dir = [WEBSITE]  ;譬如/home/admin/apps/apache/htdocs/exec 可允许执行禁止的php函数register_globals = Off ; 关闭全局变量display_errors = Off ;关闭错误信息提示enable_dl = Off ;不允许调用dlallow_url_fopen = Off  ;关闭远程文件allow_url_include = Off ; 关闭远程文件session.cookie_httponly = 1 ；http only 开启，防止script跨站读取session.cookie_secure = 0 ; https secure 开启 ，如果需要https可以打开log_errors = On  ; 错误日志 开启error_log = /home/admin/logs/php.err.log  ;错误日志的路径,譬如/home/admin/apps/php/logsmagic_quotes_gpc = On ;如果需要关闭，请在程序当中 set_magic_quotes_gpc(0);

1. 上线内容

<必填内容>< -- 主要是需要上线所有的svn tag或者RPM包-- >

1. 上线注意事项

<如果在上线过程中有需要PE注意的事项是必填内容,如果没有可不填，若此信息不填默认PE认为此次上线没有需要注意的事项>< --需要注明在上线过程中需要特别注意的地方，最好做成checklist的形式。比如：需不需要指host，是否需要申请新的域名，是否需要申请ACL打通通道，是否需要提前在预发环境测试，是否有编译的是公共依赖包需要上传等 -- >

1. 上线计划

<必填内容>< -- 需要写明上线时的操作顺序，操作步骤和上线负责人，如果涉及到多个系统的大项目上线需要写明上线系统的顺序和前后依赖关系，PE在上线时会按照这个计划中的步骤进行操作-- >任务    时间点    负责人先从vip中摘除一个服务器节点（总的有两台服务器）    1分钟    云岱拷贝一份php.ini配置文件，然后将原有php.ini重命名    5分钟    云岱修改相应的配置选项    10分钟    云岱重启php    5分钟    云岱代码部署BR_qiaozhou_20101111合并到主干3分钟    scm创建release包    5分钟    scm在站点目录中新建同级目录bak, 备份原有文件程序包到该目录, 只需要备份除data/attachments这两个目录外的其他文件和目录。    5分钟    云岱获取release包到该节点（checkout代码）    3分钟    云岱

1. 后续工作

<如果有后续工作就是必填内容,没有可不填，若此信息不填默认PE认为此次上线没有后续工作变更>任务    时间点    负责人< --后续工作主要是指，上线完成后是否有遗留的问题需要跟进，比如：上线完之后需要新加监控或修改监控阀值。 上线完成之后需要对某些配置进行调整。等等-- >

1. 回滚方案将php.ini修改成php.ini.new，php.ini.bak修改成php.ini, 然后重启php
2. 将bak中的程序cp到站点目录中覆盖