Jarod's Blog

0%

发表于 更新于 分类于
本文字数: 2.1k 阅读时长 ≈ 2 分钟

仅支持Linux VPS或在支持SSH的虚拟主机。

1、系统信息、带宽、I/O测试 a、这个测试国内、国际速度:

1
wget -qO- --no-check-certificate https://zhujiwiki.com/wp-content/uploads/2018/07/superbench.sh  bash

b、这个内容全面

1
wget https://zhujiwiki.com/wp-content/uploads/2018/05//linuxtest.sh -N --no-check-certificate && bash linuxtest.sh

上面的不含UnixBench,下面的含UnixBench(测试性能,速度很慢)

1
wget https://zhujiwiki.com/wp-content/uploads/2018/05//linuxtest.sh -N --no-check-certificate && bash linuxtest.sh a

这个脚本来自:https://www.94ish.me/1752.html

2、上传/下载带宽测试

1
2
wget https://zhujiwiki.com/wp-content/uploads/2017/10/speedtest.py --no-check-certificate
python speedtest.py

3、国内访问速度 a、http://www.webkaka.com/Ping.aspx b、https://www.ipip.net/ping.php c、http://www.17ce.com/

4、硬盘 I/O 性能测试 dd bs=64k count=4k if=/dev/zero of=test 最没有参考价值,很多垃圾VPS都会用这个 dd bs=64k count=4k if=/dev/zero of=test; sync不怎么严格 dd bs=64k count=4k if=/dev/zero of=test conv=fdatasync 国外标准,不怎么严格 dd bs=64k count=4k if=/dev/zero of=test oflag=dsync 国内标准,严格,有参考价值

解释一下,第一条是最没有参考价值和最后一条可能会有 400 倍的差距,一些不良主机上就会用说主机的 I/O 多么多么牛X。 最后一条超过 10M 可以正常建站,超过 50M 就无敌拉。最有一条很严格,也是国内发烧最喜欢的了。

或者最简单的一个:

1
2
3
dd if=/dev/zero of=test bs=64k count=4k oflag=dsync
执行命令以后,系统会自动创建一个268M的文件
一般来说10M左右对VPS的一般应用无影响。10M以上性能可观。10M以下表示硬盘压力有点大,1M以下……

以上是普通HDD硬盘,下面是SSD硬盘测试:

1
2
3
yum install hdparm -y
fdisk -l
hdparm -T /dev/sda

5、性能测试之UnixBench跑分 运行10-30分钟后(根据CPU内核数量,运算时间不等)得出分数,越高越好。

1
2
3
wget --no-check-certificate https://zhujiwiki.com/wp-content/uploads/2018/07/unixbench.sh
chmod +x unixbench.sh
./unixbench.sh

6、丢包测试 使用ATKKPING软件进行测试,可测试本地访问的丢包情况。 软件下载:ATKKPING.zip ATKKPING.png

7、去程路由追踪 https://www.ipip.net/traceroute.php http://www.webkaka.com/Tracert.aspx

8、回程路由追踪

1
2
3
4
wget https://zhujiwiki.com/wp-content/uploads/2017/12/besttrace4linux.zip
unzip besttrace4linux.zip
chmod +x besttrace
./besttrace -q 1 IP(这个IP换成-移动-218.205.152.14、联通-220.196.42.133、电信-121.11.69.135)

若出错,请安装 traceroute。

9、Youtube速度测试 装好SS后,浏览 https://www.youtube.com/watch?v=qO6-1u0wfPk,选择4K或者8K,右键查看速度

10、独立服务器硬盘使用时间 centos下:yum install smartmontools -y 开启服务:service smartd start ; chkconfig smartd on 查看:smartctl -a /dev/sda

11、CPU Benchmark https://www.cpubenchmark.net/

发表于 更新于 分类于
本文字数: 2.5k 阅读时长 ≈ 2 分钟

rsync是一个非常好用的文件同步工具, 但是无法进行实时同步, 但通过lsyncd+rsync可以完美的解决海量文件实时备份, lsyncd其实可以理解为inotify + rsync的重新打包整合, 现在参考部分教程简单记录一下.

i44lHs.md.png

主要目的 从主服务器上实时增量备份文件到另外一台服务器上.

先在主服务器上创建无密码的ssh证书.

1
2
cd /root/
ssh-keygen -t rsa

一直按回车就会得到两个ssh证书文件, 一个id_rsa秘钥, 一个id_rsa.pub公钥.

查看公钥证书

1
2
cat /root/.ssh/id_rsa.pub

然后去备份服务器上

1
2
3
cd /root/
mkdir /root/.ssh
vi id_rsa.pub

然后把之前在主服务器上创建的公钥id_rsa.pub内容复制到这里

把公钥增量添加到~/.ssh/authorized_keys里面

1
cat /root/id_rsa.pub >> /root/.ssh/authorized_keys

再更改公钥文件权限

1
chmod 600 /root/.ssh/authorized_keys

更改sshd配置文件

1
vi /etc/ssh/sshd_config

把#AuthorizedKeysFile .ssh/authorized_keys前面的#去掉, 让其保持为

1
AuthorizedKeysFile .ssh/authorized_keys

然后重启备份服务器的ssh

1
2
service sshd restart

设置完成后再会主服务器 先测试一下是否可以免密码登录备份服务器

1
ssh root@备份服务器的ip

如果能正常登录就可以.

然后在备份服务器上操作

1
vi /etc/rsyncd.conf

配置如下

1
2
3
4
5
6
7
8
9
10
[backup]
# destination directory for copy
path = /home/backup
# hosts you allow to access
hosts allow = 1.1.1.1
hosts deny = *
list = true
uid = root
gid = root
read only = false

再设置rsync自动启动

1
2
3
systemctl enable rsyncd.service
systemctl start rsyncd.service

从再退出, 返回主服务器.

1
2
exit

返回主服务器后 安装lua lua-devel

1
2
yum install lua lua-devel -y
yum install lsyncd -y

编辑配置lsyncd的配置文件

1
2
vi /etc/lsyncd.conf

参考配置文件如下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
settings {
    logfile = "/var/log/lsyncd.log",          --日志路径
    statusFile = "/var/log/lsyncd.status",    --状态文件
    pidfile = "/var/run/lsyncd.pid",          --pid文件路径
    statusInterval = 1,                       --状态文件写入最短时间
    nodaemon = false,                         --daemon运行
    maxProcesses = 1,                         --最大进程
    maxDelays = 1,                            --最大延迟
}
sync {
    default.rsyncssh,      --默认rsync+ssh,rsync版本需要升级3以上版本
    source = "/home/backup/",                 --源目录
    delete = true,                            --保持完全同步        
    host = "root@11.22.33.44",                
    targetdir = "/home/backup/",              --目标目录
    exclude={                 
             ".txt"            --需排除的文件
    },
rsync = {
    binary = "/usr/bin/rsync", --需先安装好rsync
    archive = true,            --归档
    compress = false,          --压缩
    owner = true,              --属主
    perms = true,              --权限
    whole_file = false
    },
ssh = {
    port = 22
    }
}

设置开机启动并运行

1
2
3
systemctl enable lsyncd.service
systemctl start lsyncd.service

然后去原服务器的/home/backup目录下创建一个文件看看会不会自动同步到备份服务器的/home/backup目录下

i44FHA.md.png

如果无法运行, 查看状态:

1
systemctl status lsyncd.service

提示

Error: Terminating since out of inotify watches Consider increasing /proc/sys/fs/inotify/max_user_watches

i5iYPx.md.jpg

这个是超过实例可监听的最大上限, 编辑sysctl.conf文件

1
vi /etc/sysctl.conf

把监听值改大一点, 在下面添加

1
fs.inotify.max_user_watches = 999999999

再重启lsyncd服务

1
2
sysctl -p
systemctl restart lsyncd.service

本教程参考以下链接 https://www.jianshu.com/p/0ecac4f6baf2 https://renwole.com/archives/1001 https://linux.cn/article-5849-1.html https://github.com/axkibe/lsyncd https://axkibe.github.io/lsyncd/ http://seanlook.com/2015/05/06/lsyncd-synchronize-realtime/

发表于 更新于 分类于
本文字数: 1.3k 阅读时长 ≈ 1 分钟

Duplicati是一个跨平台的云存储的同步备份软件, 他支持Amazon S3, OneDrive, Google Drive, Rackspace Cloud Files, HubiC, Backblaze (B2), Amazon Cloud Drive (AmzCD), Swift / OpenStack, WebDAV, SSH (SFTP), FTP, 等等.

iyn8PS.md.png

https://github.com/duplicati/duplicati https://www.duplicati.com/

CentOS 7:

1
2
3
4
yum install yum-utils
rpm --import "http://keyserver.ubuntu.com/pks/lookup?op=get&search=0x3FA7E0328081BFF6A14DA29AA6A19B38D3D831EF"
yum-config-manager --add-repo http://download.mono-project.com/repo/centos7/
yum install mono-devel

下载最新Duplicati

1
wget https://github.com/duplicati/duplicati/releases/download/v2.0.3.12-2.0.3.12_canary_2018-10-23/duplicati-2.0.3.12-2.0.3.12_canary_20181023.noarch.rpm

安装

1
yum install duplicati*

把防火墙8200端口打开

1
2
#firewall-cmd --add-port=8200/tcp --permanent
#firewall-cmd --reload

1
2
3
4
5
6
7
8
echo "[Unit]
Description=Duplicati Backup software
[Service]
ExecStart=/usr/bin/mono /usr/lib/duplicati/Duplicati.Server.exe --webservice-interface=any
Restart=on-failure
RestartSec=30
[Install]
WantedBy=multi-user.target" > /etc/systemd/system/duplicati.service

再启动

1
2
systemctl enable duplicati
systemctl start duplicati

启动后输入http://你的ip地址:8200访问, 一定要是ip地址, 不能是域名.

教程参考 https://duplicati.readthedocs.io/en/latest/02-installation/ https://forum.level1techs.com/t/headless-duplicati-on-centos-guide/128799 https://github.com/duplicati/duplicati/releases

发表于 更新于 分类于
本文字数: 17k 阅读时长 ≈ 16 分钟

Nginx是一个轻量级的,高性能的Web服务器以及反向代理和邮箱 (IMAP/POP3)代理服务器。它运行在UNIX,GNU /linux,BSD 各种版本,Mac OS X,Solaris和Windows。根据调查统计,6%的网站使用Nginx Web服务器。Nginx是少数能处理C10K问题的服务器之一。跟传统的服务器不同,Nginx不依赖线程来处理请求。相反,它使用了更多的可扩展的事 件驱动(异步)架构。Nginx为一些高流量的网站提供动力,比如WordPress,人人网,腾讯,网易等。这篇文章主要是介绍如何提高运行在 Linux或UNIX系统的Nginx Web服务器的安全性。

默认配置文件和Nginx端口

  • /usr/local/nginx/conf/ – Nginx配置文件目录,/usr/local/nginx/conf/nginx.conf是主配置文件
  • /usr/local/nginx/html/ – 默认网站文件位置
  • /usr/local/nginx/logs/ – 默认日志文件位置
  • Nginx HTTP默认端口 : TCP 80
  • Nginx HTTPS默认端口: TCP 443

你可以使用以下命令来测试Nginx配置文件准确性。

/usr/local/nginx/sbin/nginx -t

将会输出: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok configuration file /usr/local/nginx/conf/nginx.conf test is successful 执行以下命令来重新加载配置文件。

/usr/local/nginx/sbin/nginx -s reload

执行以下命令来停止服务器。

/usr/local/nginx/sbin/nginx -s stop

一、配置SELinux

注意:对于云服务器 ECS,参阅 ECS 使用须知 ,基于兼容性、稳定性考虑,请勿开启 SELinux。

安全增强型 Linux(SELinux)是一个Linux内核的功能,它提供支持访问控制的安全政策保护机制。它可以防御大部分攻击。下面我们来看如何启动基于centos/RHEL系统的SELinux。

安装SELinux

rpm -qa grep selinux

libselinux-1.23.10-2 selinux-policy-targeted-1.23.16-6 如果没有返回任何结果,代表没有安装 SELinux,如果返回了类似上面的结果,则说明系统安装了 SELinux。

布什值锁定 运行命令getsebool -a来锁定系统。

getsebool -a less

getsebool -a grep off

getsebool -a grep o

二、通过分区挂载允许最少特权

服务器上的网页/html/php文件单独分区。例如,新建一个分区/dev/sda5(第一逻辑分区),并且挂载在/nginx。确保 /nginx是以noexec, nodev and nosetuid的权限挂载。以下是我的/etc/fstab的挂载/nginx的信息: LABEL=/nginx /nginx ext3 defaults,nosuid,noexec,nodev 1 2 注意:你需要使用fdisk和mkfs.ext3命令创建一个新分区。

三、配置/etc/sysctl.conf强化Linux安全

你可以通过编辑/etc/sysctl.conf来控制和配置Linux内核、网络设置。

# Avoid a smurf attack

net.ipv4.icmp_echo_ignore_broadcasts = 1

# Turn on protection for bad icmp error messages

net.ipv4.icmp_ignore_bogus_error_responses = 1

# Turn on syncookies for SYN flood attack protection

net.ipv4.tcp_syncookies = 1

# Turn on and log spoofed, source routed, and redirect packets

net.ipv4.conf.all.log_martians = 1

net.ipv4.conf.default.log_martians = 1

# No source routed packets here

net.ipv4.conf.all.accept_source_route = 0

net.ipv4.conf.default.accept_source_route = 0

# Turn on reverse path filtering

net.ipv4.conf.all.rp_filter = 1

net.ipv4.conf.default.rp_filter = 1

# Make sure no one can alter the routing tables

net.ipv4.conf.all.accept_redirects = 0

net.ipv4.conf.default.accept_redirects = 0

net.ipv4.conf.all.secure_redirects = 0

net.ipv4.conf.default.secure_redirects = 0

# Don’t act as a router

net.ipv4.ip_forward = 0

net.ipv4.conf.all.send_redirects = 0

net.ipv4.conf.default.send_redirects = 0

# Turn on execshild

kernel.exec-shield = 1

kernel.randomize_va_space = 1

# Tuen IPv6

net.ipv6.conf.default.router_solicitations = 0

net.ipv6.conf.default.accept_ra_rtr_pref = 0

net.ipv6.conf.default.accept_ra_pinfo = 0

net.ipv6.conf.default.accept_ra_defrtr = 0

net.ipv6.conf.default.autoconf = 0

net.ipv6.conf.default.dad_transmits = 0

net.ipv6.conf.default.max_addresses = 1

# Optimization for port usefor LBs

# Increase system file descriptor limit

fs.file-max = 65535

# Allow for more PIDs (to reduce rollover problems); may break some programs 32768

kernel.pid_max = 65536

# Increase system IP port limits

net.ipv4.ip_local_port_range = 2000 65000

# Increase TCP max buffer size setable using setsockopt()

net.ipv4.tcp_rmem = 4096 87380 8388608

net.ipv4.tcp_wmem = 4096 87380 8388608

# Increase Linux auto tuning TCP buffer limits

# min, default, and max number of bytes to use

# set max to at least 4MB, or higher if you use very high BDP paths

# Tcp Windows etc

net.core.rmem_max = 8388608

net.core.wmem_max = 8388608

net.core.netdev_max_backlog = 5000

net.ipv4.tcp_window_scaling = 1

四、删除所有不需要的Nginx模块

你需要直接通过编译Nginx源代码使模块数量最少化。通过限制只允许web服务器访问模块把风险降到最低。你可以只配置安装nginx你所需要的模块。例如,禁用SSL和autoindex模块你可以执行以下命令:

./configure –without-http_autoindex_module –without-http_ssi_module

make

make install

通过以下命令来查看当编译nginx服务器时哪个模块能开户或关闭:

./configure –help less

禁用你用不到的nginx模块。 (可选项)更改nginx版本名称。 编辑文件/http/ngx_http_header_filter_module.c:

vi +48 src/http/ngx_http_header_filter_module.c

找到行:

static char ngx_http_server_string[] = “Server: nginx” CRLF;

static char ngx_http_server_full_string[] = “Server: ” NGINX_VER CRLF;

按照以下行修改:

static char ngx_http_server_string[] = “Server: Ninja Web Server” CRLF;

static char ngx_http_server_full_string[] = “Server: Ninja Web Server” CRLF;

保存并关闭文件。现在你可以编辑服务器了。增加以下代码到nginx.conf文件来关闭nginx版本号的显示。

server_tokens off

五、使用mod_security(只适合后端Apache服务器)

mod_security为Apache提供一个应用程序级的防火墙。为后端Apache Web服务器安装mod_security,这会阻止很多注入式攻击。

六、安装SELinux策略以强化Nginx Web服务器

默认的SELinux不会保护Nginx Web服务器,但是你可以安装和编译保护软件。 1、安装编译SELinux所需环境支持

yum -y install selinux-policy-targeted selinux-policy-devel

2、下载SELinux策略以强化Nginx Web服务器。

cd /opt

wget ‘http://downloads.sourceforge.net/project/selinuxnginx/se-ngix_1_0_10.tar.gz?use_mirror=nchc’

3、解压文件

tar -zxvf se-ngix_1_0_10.tar.gz

4、编译文件

cd se-ngix_1_0_10/nginx

make

将会输出如下: Compiling targeted nginx module /usr/bin/checkmodule: loading policy configuration from tmp/nginx.tmp /usr/bin/checkmodule: policy configuration loaded /usr/bin/checkmodule: writing binary representation (version 6) to tmp/nginx.mod Creating targeted nginx.pp policy package

rm tmp/nginx.mod.fc tmp/nginx.mod

5、安装生成的nginx.pp SELinux模块:

/usr/sbin/semodule -i nginx.pp

七、基于Iptables防火墙的限制

下面的防火墙脚本阻止任何除了允许:

  • 来自HTTP(TCP端口80)的请求
  • 来自ICMP ping的请求
  • ntp(端口123)的请求输出
  • smtp(TCP端口25)的请求输出

#!/bin/bash

IPT=”/sbin/iptables”

#### IPS ######

# Get server public ip

SERVER_IP=$(ifconfig eth0 grep ‘inet addr:’ awk -F’inet addr:’ ‘{ print $2}’ awk ‘{ print $1}’)

LB1_IP=”204.54.1.1″

LB2_IP=”204.54.1.2″

# Do some smart logic so that we can use damm script on LB2 too

OTHER_LB=””

SERVER_IP=””

[[ “$SERVER_IP” == “$LB1_IP” ]] && OTHER_LB=”$LB2_IP” OTHER_LB=”$LB1_IP”

[[ “$OTHER_LB” == “$LB2_IP” ]] && OPP_LB=”$LB1_IP” OPP_LB=”$LB2_IP”

### IPs ###

PUB_SSH_ONLY=”122.xx.yy.zz/29″

#### FILES #####

BLOCKED_IP_TDB=/root/.fw/blocked.ip.txt

SPOOFIP=”127.0.0.0/8 192.168.0.0/16 172.16.0.0/12 10.0.0.0/8 169.254.0.0/16 0.0.0.0/8 240.0.0.0/4 255.255.255.255/32 168.254.0.0/16 224.0.0.0/4 240.0.0.0/5 248.0.0.0/5 192.0.2.0/24″

BADIPS=$( [[ -f ${BLOCKED_IP_TDB} ]] && egrep -v “^#^$” ${BLOCKED_IP_TDB})

### Interfaces ###

PUB_IF=”eth0″   # public interface

LO_IF=”lo”      # loopback

VPN_IF=”eth1″   # vpn / private net

### start firewall ###

echo “Setting LB1 $(hostname) Firewall…”

# DROP and close everything

$IPT -P INPUT DROP

$IPT -P OUTPUT DROP

$IPT -P FORWARD DROP

# Unlimited lo access

$IPT -A INPUT -i ${LO_IF} -j ACCEPT

$IPT -A OUTPUT -o ${LO_IF} -j ACCEPT

# Unlimited vpn / pnet access

$IPT -A INPUT -i ${VPN_IF} -j ACCEPT

$IPT -A OUTPUT -o ${VPN_IF} -j ACCEPT

# Drop sync

$IPT -A INPUT -i ${PUB_IF} -p tcp ! –syn -m state –state NEW -j DROP

# Drop Fragments

$IPT -A INPUT -i ${PUB_IF} -f -j DROP

$IPT  -A INPUT -i ${PUB_IF} -p tcp –tcp-flags ALL FIN,URG,PSH -j DROP

$IPT  -A INPUT -i ${PUB_IF} -p tcp –tcp-flags ALL ALL -j DROP

# Drop NULL packets

$IPT  -A INPUT -i ${PUB_IF} -p tcp –tcp-flags ALL NONE -m limit –limit 5/m –limit-burst 7 -j LOG –log-prefix ” NULL Packets “

$IPT  -A INPUT -i ${PUB_IF} -p tcp –tcp-flags ALL NONE -j DROP

$IPT  -A INPUT -i ${PUB_IF} -p tcp –tcp-flags SYN,RST SYN,RST -j DROP

# Drop XMAS

$IPT  -A INPUT -i ${PUB_IF} -p tcp –tcp-flags SYN,FIN SYN,FIN -m limit –limit 5/m –limit-burst 7 -j LOG –log-prefix ” XMAS Packets “

$IPT  -A INPUT -i ${PUB_IF} -p tcp –tcp-flags SYN,FIN SYN,FIN -j DROP

# Drop FIN packet scans

$IPT  -A INPUT -i ${PUB_IF} -p tcp –tcp-flags FIN,ACK FIN -m limit –limit 5/m –limit-burst 7 -j LOG –log-prefix ” Fin Packets Scan “

$IPT  -A INPUT -i ${PUB_IF} -p tcp –tcp-flags FIN,ACK FIN -j DROP

$IPT  -A INPUT -i ${PUB_IF} -p tcp –tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

# Log and get rid of broadcast / multicast and invalid

$IPT  -A INPUT -i ${PUB_IF} -m pkttype –pkt-type broadcast -j LOG –log-prefix ” Broadcast “

$IPT  -A INPUT -i ${PUB_IF} -m pkttype –pkt-type broadcast -j DROP

$IPT  -A INPUT -i ${PUB_IF} -m pkttype –pkt-type multicast -j LOG –log-prefix ” Multicast “

$IPT  -A INPUT -i ${PUB_IF} -m pkttype –pkt-type multicast -j DROP

$IPT  -A INPUT -i ${PUB_IF} -m state –state INVALID -j LOG –log-prefix ” Invalid “

$IPT  -A INPUT -i ${PUB_IF} -m state –state INVALID -j DROP

# Log and block spoofed ips

$IPT -N spooflist

for ipblock in $SPOOFIP

do

$IPT -A spooflist -i ${PUB_IF} -s $ipblock -j LOG –log-prefix ” SPOOF List Block “

$IPT -A spooflist -i ${PUB_IF} -s $ipblock -j DROP

done

$IPT -I INPUT -j spooflist

$IPT -I OUTPUT -j spooflist

$IPT -I FORWARD -j spooflist

# Allow ssh only from selected public ips

for ip in ${PUB_SSH_ONLY}

do

$IPT -A INPUT -i ${PUB_IF} -s ${ip} -p tcp -d ${SERVER_IP} –destination-port 22 -j ACCEPT

$IPT -A OUTPUT -o ${PUB_IF} -d ${ip} -p tcp -s ${SERVER_IP} –sport 22 -j ACCEPT

done

# allow incoming ICMP ping pong stuff

$IPT -A INPUT -i ${PUB_IF} -p icmp –icmp-type 8 -s 0/0 -m state –state NEW,ESTABLISHED,RELATED -m limit –limit 30/sec  -j ACCEPT

$IPT -A OUTPUT -o ${PUB_IF} -p icmp –icmp-type 0 -d 0/0 -m state –state ESTABLISHED,RELATED -j ACCEPT

# allow incoming HTTP port 80

$IPT -A INPUT -i ${PUB_IF} -p tcp -s 0/0 –sport 1024:65535 –dport 80 -m state –state NEW,ESTABLISHED -j ACCEPT

$IPT -A OUTPUT -o ${PUB_IF} -p tcp –sport 80 -d 0/0 –dport 1024:65535 -m state –state ESTABLISHED -j ACCEPT

# allow outgoing ntp

$IPT -A OUTPUT -o ${PUB_IF} -p udp –dport 123 -m state –state NEW,ESTABLISHED -j ACCEPT

$IPT -A INPUT -i ${PUB_IF} -p udp –sport 123 -m state –state ESTABLISHED -j ACCEPT

# allow outgoing smtp

$IPT -A OUTPUT -o ${PUB_IF} -p tcp –dport 25 -m state –state NEW,ESTABLISHED -j ACCEPT

$IPT -A INPUT -i ${PUB_IF} -p tcp –sport 25 -m state –state ESTABLISHED -j ACCEPT

### add your other rules here ####

#######################

# drop and log everything else

$IPT -A INPUT -m limit –limit 5/m –limit-burst 7 -j LOG –log-prefix ” DEFAULT DROP “

$IPT -A INPUT -j DROP

exit 0

八、控制缓冲区溢出攻击

编辑nginx.conf,为所有客户端设置缓冲区的大小限制。

vi /usr/local/nginx/conf/nginx.conf

编辑和设置所有客户端缓冲区的大小限制如下:

## Start: Size Limits & Buffer Overflows ##

client_body_buffer_size  1K;

client_header_buffer_size 1k;

client_max_body_size 1k;

large_client_header_buffers 2 1k;

## END: Size Limits & Buffer Overflows ##

解释: 1、client_body_buffer_size 1k-(默认8k或16k)这个指令可以指定连接请求实体的缓冲区大小。如果连接请求超过缓存区指定的值,那么这些请求实体的整体或部分将尝试写入一个临时文件。 2、client_header_buffer_size 1k-指令指定客户端请求头部的缓冲区大小。绝大多数情况下一个请求头不会大于1k,不过如果有来自于wap客户端的较大的cookie它可能会大于 1k,Nginx将分配给它一个更大的缓冲区,这个值可以在large_client_header_buffers里面设置。 3、client_max_body_size 1k-指令指定允许客户端连接的最大请求实体大小,它出现在请求头部的Content-Length字段。 如果请求大于指定的值,客户端将收到一个”Request Entity Too Large” (413)错误。记住,浏览器并不知道怎样显示这个错误。 4、large_client_header_buffers-指定客户端一些比较大的请求头使用的缓冲区数量和大小。请求字段不能大于一个缓冲区大小,如果客户端发送一个比较大的头,nginx将返回”Request URI too large” (414) 同样,请求的头部最长字段不能大于一个缓冲区,否则服务器将返回”Bad request” (400)。缓冲区只在需求时分开。默认一个缓冲区大小为操作系统中分页文件大小,通常是4k或8k,如果一个连接请求最终将状态转换为keep- alive,它所占用的缓冲区将被释放。 你还需要控制超时来提高服务器性能并与客户端断开连接。按照如下编辑:

## Start: Timeouts ##

client_body_timeout   10;

client_header_timeout 10;

keepalive_timeout     5 5;

send_timeout          10;

## End: Timeouts ##

1、client_body_timeout 10;-指令指定读取请求实体的超时时间。这里的超时是指一个请求实体没有进入读取步骤,如果连接超过这个时间而客户端没有任何响应,Nginx将返回一个”Request time out” (408)错误。 2、client_header_timeout 10;-指令指定读取客户端请求头标题的超时时间。这里的超时是指一个请求头没有进入读取步骤,如果连接超过这个时间而客户端没有任何响应,Nginx将返回一个”Request time out” (408)错误。 3、keepalive_timeout 5 5; – 参数的第一个值指定了客户端与服务器长连接的超时时间,超过这个时间,服务器将关闭连接。参数的第二个值(可选)指定了应答头中Keep-Alive: timeout=time的time值,这个值可以使一些浏览器知道什么时候关闭连接,以便服务器不用重复关闭,如果不指定这个参数,nginx不会在应 答头中发送Keep-Alive信息。(但这并不是指怎样将一个连接“Keep-Alive”)参数的这两个值可以不相同。 4、send_timeout 10; 指令指定了发送给客户端应答后的超时时间,Timeout是指没有进入完整established状态,只完成了两次握手,如果超过这个时间客户端没有任何响应,nginx将关闭连接。

九、控制并发连接

你可以使用NginxHttpLimitZone模块来限制指定的会话或者一个IP地址的特殊情况下的并发连接。编辑nginx.conf:

  1. ### Directive describes the zone, in which the session states are stored i.e. store in slimits. ###
  2. ### 1m can handle 32000 sessions with 32 bytes/session, set to 5m x 32000 session ###
  3. limit_zone slimits $binary_remote_addr 5m;
  4. ### Control maximum number of simultaneous connections for one session i.e. ###
  5. ### restricts the amount of connections from a single ip address ###
  6. limit_conn slimits 5;

上面表示限制每个远程IP地址的客户端同时打开连接不能超过5个。

十、只允许我们的域名的访问

如果机器人只是随机扫描服务器的所有域名,那拒绝这个请求。你必须允许配置的虚拟域或反向代理请求。你不必使用IP地址来拒绝。

## Only requests to our Host are allowed i.e. nixcraft.in, images.nixcraft.in and www.nixcraft.in

if ($host !~ ^(nixcraft.inwww.nixcraft.inimages.nixcraft.in)$ ) {

return 444;

}

十一、限制可用的请求方法

GET和POST是互联网上最常用的方法。 Web服务器的方法被定义在RFC 2616。如果Web服务器不要求启用所有可用的方法,它们应该被禁用。下面的指令将过滤只允许GET,HEAD和POST方法:

## Only allow these request methods ##

if ($request_method !~ ^(GETHEADPOST)$ ) {

return 444;

}

## Do not accept DELETE, SEARCH and other methods ##

更多关于HTTP方法的介绍

  • GET方法是用来请求,如文件http://www.moqifei.com/index.php
  • HEAD方法是一样的,除非该服务器的GET请求无法返回消息体。
  • POST方法可能涉及到很多东西,如储存或更新数据,或订购产品,或通过提交表单发送电子邮件。这通常是使用服务器端处理,如PHP,Perl和Python等脚本。如果你要上传的文件和在服务器处理数据,你必须使用这个方法。

 

十二、如何拒绝一些User-Agents?

你可以很容易地阻止User-Agents,如扫描器,机器人以及滥用你服务器的垃圾邮件发送者。

## Block download agents ##

if ($http_user_agent ~* LWP::SimpleBBBikewget) {

return 403;

}

阻止Soso和有道的机器人:

## Block some robots ##

if ($http_user_agent ~* SosospiderYodaoBot) {

return 403;

}

十三、如何防止图片盗链

图片或HTML盗链的意思是有人直接用你网站的图片地址来显示在他的网站上。最终的结果,你需要支付额外的宽带费用。这通常是在论坛和博客。我强烈建议您封锁,并阻止盗链行为。

# Stop deep linking or hot linking

location /images/ {

valid_referers none blocked www.example.com example.com;

if ($invalid_referer) {

return   403;

}

}

例如:重定向并显示指定图片

valid_referers blocked www.example.com example.com;

if ($invalid_referer) {

rewrite ^/images/uploads.*.(gifjpgjpegpng)$ http://www.examples.com/banned.jpg last

}

十四、目录限制

你可以对指定的目录设置访问权限。所有的网站目录应该一一的配置,只允许必须的目录访问权限。 通过IP地址限制访问 你可以通过IP地址来限制访问目录/admin/:

location /docs/ {

## block one workstation

deny    192.168.1.1;

## allow anyone in 192.168.1.0/24

allow   192.168.1.0/24;

## drop rest of the world

deny    all;

}

通过密码保护目录 首先创建密码文件并增加“user”用户:

mkdir /usr/local/nginx/conf/.htpasswd/

htpasswd -c /usr/local/nginx/conf/.htpasswd/passwd user

编辑nginx.conf,加入需要保护的目录:

### Password Protect /personal-images/ and /delta/ directories ###

location ~ /(personal-images/.delta/.) {

auth_basic  “Restricted”;

auth_basic_user_file   /usr/local/nginx/conf/.htpasswd/passwd;

}

一旦密码文件已经生成,你也可以用以下的命令来增加允许访问的用户:

htpasswd -s /usr/local/nginx/conf/.htpasswd/passwd userName

十五、Nginx SSL配置

HTTP是一个纯文本协议,它是开放的被动监测。你应该使用SSL来加密你的用户内容。 创建SSL证书 执行以下命令:

cd /usr/local/nginx/conf

openssl genrsa -des3 -out server.key 1024

openssl req -new -key server.key -out server.csr

cp server.key server.key.org

openssl rsa -in server.key.org -out server.key

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

编辑nginx.conf并按如下来更新:

server {

server_name example.com;

listen 443;

ssl on;

ssl_certificate /usr/local/nginx/conf/server.crt;

ssl_certificate_key /usr/local/nginx/conf/server.key;

access_log /usr/local/nginx/logs/ssl.access.log;

error_log /usr/local/nginx/logs/ssl.error.log;

}

重启nginx:

/usr/local/nginx/sbin/nginx -s reload

十六、Nginx与PHP安全建议

PHP是流行的服务器端脚本语言之一。如下编辑/etc/php.ini文件:

# Disallow dangerous functions

disable_functions = phpinfo, system, mail, exec

## Try to limit resources  ##

# Maximum execution time of each script, in seconds

max_execution_time = 30

# Maximum amount of time each script may spend parsing request data

max_input_time = 60

# Maximum amount of memory a script may consume (8MB)

memory_limit = 8M

# Maximum size of POST data that PHP will accept.

post_max_size = 8M

# Whether to allow HTTP file uploads.

file_uploads = Off

# Maximum allowed size for uploaded files.

upload_max_filesize = 2M

# Do not expose PHP error messages to external users

display_errors = Off

# Turn on safe mode

safe_mode = On

# Only allow access to executables in isolated directory

safe_mode_exec_dir = php-required-executables-path

# Limit external access to PHP environment

safe_mode_allowed_env_vars = PHP_

# Restrict PHP information leakage

expose_php = Off

# Log all errors

log_errors = On

# Do not register globals for input data

register_globals = Off

# Minimize allowable PHP post size

post_max_size = 1K

# Ensure PHP redirects appropriately

cgi.force_redirect = 0

# Disallow uploading unless necessary

file_uploads = Off

# Enable SQL safe mode

sql.safe_mode = On

# Avoid Opening remote files

allow_url_fopen = Off

十七、如果可能让Nginx运行在一个chroot监狱

把nginx放在一个chroot监狱以减小潜在的非法进入其它目录。你可以使用传统的与nginx一起安装的chroot。如果可能,那使用FreeBSD jails,Xen,OpenVZ虚拟化的容器概念。

十八、在防火墙级限制每个IP的连接数

网络服务器必须监视连接和每秒连接限制。PF和Iptales都能够在进入你的nginx服务器之前阻止最终用户的访问。 Linux Iptables:限制每次Nginx连接数 下面的例子会阻止来自一个IP的60秒钟内超过15个连接端口80的连接数。

/sbin/iptables -A INPUT -p tcp –dport 80 -i eth0 -m state –state NEW -m recent –set

/sbin/iptables -A INPUT -p tcp –dport 80 -i eth0 -m state –state NEW -m recent –update –seconds 60  –hitcount 15 -j DROP

service iptables save

请根据你的具体情况来设置限制的连接数。

十九:配置操作系统保护Web服务器

像以上介绍的启动SELinux.正确设置/nginx文档根目录的权限。Nginx以用户nginx运行。但是根目录(/nginx或者/usr /local/nginx/html)不应该设置属于用户nginx或对用户nginx可写。找出错误权限的文件可以使用如下命令:

find /nginx -user nginx

find /usr/local/nginx/html -user nginx

确保你更所有权为root或其它用户,一个典型的权限设置 /usr/local/nginx/html/

ls -l /usr/local/nginx/html/

示例输出:

-rw-r–r– 1 root root 925 Jan  3 00:50 error4xx.html

-rw-r–r– 1 root root  52 Jan  3 10:00 error5xx.html

-rw-r–r– 1 root root 134 Jan  3 00:52 index.html

你必须删除由vi或其它文本编辑器创建的备份文件:

find /nginx -name ‘.?’ -not -name .ht -or -name ‘_~’ -or -name ‘_.bak_’ -or -name ‘_.old*’

find /usr/local/nginx/html/ -name ‘.?’ -not -name .ht -or -name ‘_~’ -or -name ‘_.bak_’ -or -name ‘_.old*’

通过find命令的-delete选项来删除这些文件。

二十、限制Nginx连接传出

黑客会使用工具如wget下载你服务器本地的文件。使用Iptables从nginx用户来阻止传出连接。ipt_owner模块试图匹配本地产生的数据包的创建者。下面的例子中只允许user用户在外面使用80连接。

/sbin/iptables -A OUTPUT -o eth0 -m owner –uid-owner vivek -p tcp –dport 80 -m state –state NEW,ESTABLISHED  -j ACCEPT

通过以上的配置,你的nginx服务器已经非常安全了并可以发布网页。可是,你还应该根据你网站程序查找更多的安全设置资料。例如,wordpress或者第三方程序。

发表于 更新于 分类于
本文字数: 4.8k 阅读时长 ≈ 4 分钟

说明:cdn-manager是云转码express-ffmpeg的作者quazero根据@dadi/cdn制作的脚手架,该原理貌似是一个API服务,搭建好的CDN服务器第一次访问你设定的网站后,会将原站一些资源缓存到服务器,而且不仅仅可以缓存jpgcssjs等,就连tsm3u8mp4也可以缓存,默认是缓存一个小时,但可以设置永久缓存。并且当你的并发很高,硬盘IO跟不上的时候,就把图片转换成二进制存内存里边。更强的就是还可以给图片加参数,如高宽、格式、滤镜、比例、旋转等,然后拉取图片后按要求处理,再实时返回你需要的图片并缓存到服务器。有需求的可以使用延迟比较低的服务器搭建下,可以减轻我们源站压力,特别是并发比较高的网站。

安装

cdn-manager:https://gitee.com/quazero/cdn-manager dadi/cdn:https://github.com/dadi/cdn

本教程适用于CentOS,建议使用CentOS 7系统。

1、安装依赖

1
2
3
4
5
6
7
8
9
#升级系统
yum update -y
#安装开发者工具包
yum -y groupinstall "Development Tools"
#安装nodejs
curl -sL https://rpm.nodesource.com/setup_10.x  bash -
yum install nodejs -y
#安装pm2
npm install pm2 -g

2、安装程序

1
2
3
4
5
6
7
#拉取源码
git clone https://gitee.com/quazero/cdn-manager.git
cd cdn-manager
#安装
npm install
#设置环境
export NODE_ENV=production

3、配置参数

1
注意:本步骤讲的默认配置只缓存图片,所以我们要了解下基本配置,然后再去参考文章最后面的更多设置,再使用4步骤运行程序。

本程序主要涉及到2个配置文件poster.jsonconfig.production.json,前者是图片处理的配置文件,后者是运行环境配置文件。

图片配置路径workspace/recipes/poster.json,默认参数如下:

1
2
3
4
5
6
7
8
9
10
{
  "recipe": "poster",
  "settings": {
    "format": "jpg",
    "quality": "90",
    "height": "240",
    "ratio": "16-9",
    "resizeStyle": "entropy"
  }
}

意思是将图片处理成16:9的比例,高度240PX,并且格式为jpg,质量为90%的格式。

运行环境配置路径config/config.production.json,默认参数如下:

1
2
3
4
5
6
7
8
9
10
11
12
{
  "server": {
    "host": "127.0.0.1",
    "port": 8001
  },
  "images": {
    "remote": {
      "enabled": true,
      "path": "#"
    }
  }
}

意思是运行端口为8001,设置远程连接path,比如我的域名是https://www.moerats.com,就在参数后面填该域名。

4、运行程序

1
2
3
4
5
6
#进入源码的文件夹
cd /root/cdn-manager
#这里避免出错,建议安装一些模块
npm install sharp farmhash
#运行
pm2 start index.js

运行环境配置

1、缓存设置

1
2
3
4
"caching": {
  "ttl": 3600,
  "expireAt": "0 5 0 * * *"
}

expireAt配置解释:

1
2
3
4
5
"0 5 0 * * _" 每天凌晨12点5分刷新缓存
"0 30 11 _ _ 1-5" 每周星期一到星期五 早上11点30刷新缓存
"0 15 14 1 _ _" 每个月一号下午2点15刷新缓存
"0 22 _ _ 1-5" 周一到周五晚上10点刷新缓存
"_ 5 4 * * 0" 每周日凌晨4点5分刷新缓存

ttl配置解释:

1
2
单位秒,默认3600秒,一个小时缓存失效,可以自行设置时长。
/api/flush可以通过这个API手动刷新缓存文件。

2、image配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
"images": {
  "directory": {
    "enabled": true,
    "path": "relative/path/to/your/images"
  },
  "remote": {
    "enabled": true,
    "path": "https://www.moerats.com/images"
  },
  "s3": {
    "enabled": true,
    "accessKey": "your-access-key",
    "secretKey": "your-secret",
    "bucketName": "your-bucket",
    "region": "your-region",
    "endpoint": "ams3.digitaloceanspaces.com"
  }
}

images配置项 一共有三种用法,一种是直接服务同主机图片,服务本地图片,一种是服务远程图片,最后一种是亚马逊和Digital Ocean Space云储存。

directory服务本地文件,直接指定path为文件夹地址即可直接处理本地图片。例如/www/moerats.com/picture,然后将图片地址host更改为CDN地址即可。

remote服务远程文件,直接设置path为远程url,例如https://www.moerats.com,最后把地址替换成 cdn地址即可。

s3云储存可扩展的云储存,可以直接缓存各种云储存上边的图片。

3、assets配置

1
2
3
4
5
6
"assets": {
  "directory": {
    "enabled": true,
    "path": "/Users/absolute/path/to/your/assets"
  }
}

该配置方法参考image配置,除了把images换成assets,其他用法一样,设置之后会缓存除了jpg的各种文件,包括视频文件。

图片处理配置

1
2
3
4
5
6
7
8
9
10
{
  "recipe": "poster",
  "settings": {
    "format": "jpg",
    "quality": "90",
    "height": "240",
    "ratio": "16-9",
    "resizeStyle": "entropy"
  }
}

recipe文件是预配置格式处理文件,在workspace/recipes文件夹中建立。

"recipe"参数设置必须和文件名一致。settings中可以设置的选项:

1
2
3
4
5
6
7
8
9
blur 模糊
filter 设置裁剪处理算法
flip 翻动
format 格式
gravity 设置裁剪区域
ratio 比例
rotate 旋转
width 宽度
height 高度

resizeStyle裁剪模式 推荐entropy等,详见dadi/cdn文档。

设置完成之后,比如recipeposter,则访问链接为cdnhost/poster/yourpath/1.jpg

域名反代

要想正常访问就需要使用域名反代,这里说下宝塔反代和Caddy反代。如果你网站有宝塔,就可以使用宝塔进行反代,如果没有,建议使用第2种的Caddy反代,配置很快。

1、宝塔反代 先进入宝塔面板,然后点击左侧网站,添加站点,然后再点击添加好了的域名名称,这时候就进入了站点配置,点击反向代理,目标URL填入http://127.0.0.1:8001,再启用反向代理即可。至于启用SSL就不说了,直接在站点配置就可以看到。

2、Caddy反代 安装Caddy

1
2
3
wget -N --no-check-certificate https://raw.githubusercontent.com/ToyoDAdoubi/doubi/master/caddy_install.sh && chmod +x caddy_install.sh && bash caddy_install.sh install http.filemanager
#备用地址
wget -N --no-check-certificate https://www.moerats.com/usr/shell/Caddy/caddy_install.sh && chmod +x caddy_install.sh && bash caddy_install.sh install http.filemanager

配置Caddy

1
2
3
4
5
6
7
8
#以下全部内容是一个整体,请修改域名后一起复制到SSH运行!

#http访问,该配置不会自动签发SSL
echo "xx.com {
 gzip
 proxy / http://127.0.0.1:8001
}" > /usr/local/caddy/Caddyfile

tls参数会自动帮你签发ssl证书,如果你要使用自己的ssl,改为tls /root/xx.crt /root/xx.key即可。后面为ssl证书路径。

启动Caddy

1
/etc/init.d/caddy start

最后我们都配置好了后,只需要在原网站将资源链接域名替换成CDN的地址即可。大概使用如下:

1
2
3
4
5
6
原图片地址为:https://www.moerats.com/rats.jpg
CDN中地址为:https://cdn.moerats.com/poster/rats.jpg,该链接会自动处理图片

#如果你不想对图片进行处理,直接代替原域名就可以了,如:
https://cdn.moerats.com/rats.jpg

发表于 更新于 分类于
本文字数: 719 阅读时长 ≈ 1 分钟

前言

有时候会遇到Linux的源更新速度非常的缓慢,特别是在国内使用默认的源,因为国内的网络环境,经常会出现无法更新,更新缓慢的情况。在这种情况下,更换一个更适合或者说更近,更快的软件源,会为你的Linux安装更新操作更加的流畅和顺利。

使用

系统要求:CentOS 5+Ubuntu 14.04+Debian 7+

使用命令:

1
2
3
4
#下载脚本
wget  git.io/superupdate.sh
#运行脚本
bash superupdate.sh

如果第一步你出现错误或执行后无任何输出,请检查是否安装wgetca-certificates,使用命令:

1
2
3
4
#Debian、Ubuntu
apt-get install -y wget && apt-get install -y ca-certificates
#CentOS
yum install -y wget && yum install -y ca-certificates

对于Debian默认换源为Fastly CDNmirror这个源有Fastly的加持对境外主机都有不错的速度。对于Ubuntu和 CentOS系统都默认换为阿里云的mirror,这个源有阿里云全球CDN的加持,全球都有不错的速度。

对于Debian系统还设置了四套其他的源,阿里云,CloudFront CDN,网易163,中科大的源,请根据需要使用参数一键设置如:

1
2
3
4
bash superupdate.sh cn
bash superupdate.sh 163
bash superupdate.sh aliyun
bash superupdate.sh aws

如果配置的文件不满意,一键还原

1
bash superupdate.sh restore

发表于 更新于 分类于
本文字数: 768 阅读时长 ≈ 1 分钟

简介 很多人认为OpenVZ虚拟化的VPS都无法安装Windows,但事实上是可以通过Qemu来安装的,所以我就随便写了个破脚本:一键安装VNC+Qemu+附赠一个WinXP的iso

VNC脚本直接采用的:http://blog.ievo.top/index.php/archives/19/

安装方式

1
2
wget  --no-check-certificate https://raw.githubusercontent.com/lpl2002/ovz_win/master/ovz_win.sh
bash ovz_win.sh

食用方法 1、下载系统ISO,这里我提供一个精简版XP的。建议Ghost

1
wget https://odrive.aptx.xin/System/DEEPIN-LITEXP-6.2.iso
1
2
qemu-img create newvm.img 10G #newvm是硬盘,10G是硬盘大小
qemu-system-i386 -cdrom winxp.iso -m 256 -boot d newvm.img  -k en-us #newvm.img是刚刚建立的硬盘,winxp.iso是你的系统安装盘 256M是内存大小

3、安装后后期管理(注意提前打开远程桌面)

1
qemu-system-i386 -hda xitong.img -boot c -m 512M -k en-us -usb -redir tcp:3389::3389 //xitong.img是创立的硬盘,512M是内存 3389映射到虚拟机上

注意事项 1、仅支持Debian 目前在Debian 8上测试通过。

2、安装VNC+桌面环境时可能需要输入键盘以及VNC密码

3、若有被主机商封VPS,本人拒不负责。

参考地址:http://www.kwx.gd/CentOSApp/CentOS-OpenVZ-Windows.html

发表于 更新于 分类于
本文字数: 1.3k 阅读时长 ≈ 1 分钟

本脚本适用环境

系统支持:CentOS 6+,Debian 7+,Ubuntu 12+ 虚拟技术:OpenVZ 以外的,比如 KVM、Xen、VMware 等 内存要求:≥128M 日期  :2017 年 05 月 15 日

关于本脚本

1、本脚本已在 Linode上的 VPS 全部测试通过。 2、当脚本检测到 VPS 的虚拟方式为 OpenVZ 时,会提示错误,并自动退出安装。 3、脚本运行完重启发现开不了机的,打开 VPS 后台控制面板的 VNC, 开机卡在 grub 引导, 手动选择内核即可。 4、由于是使用最新版系统内核,最好请勿在生产环境安装,以免产生不可预测之后果。

使用方法

使用root用户登录,运行以下命令:

wget –no-check-certificate https://github.com/teddysun/across/raw/master/bbr.sh
chmod +x bbr.sh
./bbr.sh

安装完成后,脚本会提示需要重启 VPS,输入 y 并回车后重启。 重启完成后,进入 VPS,验证一下是否成功安装最新内核并开启 TCP BBR,输入以下命令:

uname -r

查看内核版本,含有 4.12 就表示 OK 了

sysctl net.ipv4.tcp_available_congestion_control

返回值一般为: net.ipv4.tcp_available_congestion_control = bbr cubic reno

sysctl net.ipv4.tcp_congestion_control

返回值一般为: net.ipv4.tcp_congestion_control = bbr

sysctl net.core.default_qdisc

返回值一般为: net.core.default_qdisc = fq

lsmod grep bbr

返回值有 tcp_bbr 模块即说明bbr已启动。

内核升级方法

如果是 CentOS 系统,执行如下命令即可升级内核:

yum –enablerepo=elrepo-kernel -y install kernel-ml kernel-ml-devel

CentOS 6 的话,执行命令:

sed -i ‘s/^default=.*/default=0/g’ /boot/grub/grub.conf

CentOS 7 的话,执行命令:

grub2-set-default 0

如果是 Debian/Ubuntu 系统,则需要手动下载最新版内核来安装升级。 去这里下载最新版的内核 deb 安装包。 如果系统是 64 位,则下载 amd64 的 linux-image 中含有 generic 这个 deb 包; 如果系统是 32 位,则下载 i386 的 linux-image 中含有 generic 这个 deb 包; 安装的命令如下(以最新版的 64 位 4.12.4 举例而已,请替换为下载好的 deb 包):

dpkg -i linux-image-4.12.4-041204-generic_4.12.4-041204.201707271932_amd64.deb

安装完成后,再执行命令:

/usr/sbin/update-grub

最后,重启 VPS 即可。

发表于 更新于 分类于
本文字数: 349 阅读时长 ≈ 1 分钟

宝塔开心版

1、安装免费版宝塔面板(v5.9)

2、运行脚本(Centos)

1

2

wget https://raw.githubusercontent.com/zhouxudong666/-/master/install

sh install

Debian(我稍微改了一下)

1

2

wget —no–check–certificate https://raw.githubusercontent.com/lpl2002/-/master/install

bash install

方法

1.免费版升级专业版 2.删除原panel文件夹 3.下载我提供的panel文件夹压缩包 4.解压到/www/server 5./etc/init.d/bt restart 执行这个重启面板 6.开心使用

发表于 更新于 分类于
本文字数: 1.4k 阅读时长 ≈ 1 分钟

魔改 BBR 一键脚本,包含 Debian && CentOS 两个版本。

此文所述版本,仅适用于 KVM 的 Debian 7+ (32/64 bit) 或 CentOS 6+ (64 bit)。

开始使用

这个是 新手简装 版本,只需 运行脚本第一项+重启+运行脚本第二项。一般用户只需使用此版本,并建议使用该版本。此版本不需要编译的过程,直接安装 v4.10.2 内核。

# Debian 7+
# fool
wget https://github.com/tcp-nanqinlang/general/releases/download/3.4.2.1/tcp\_nanqinlang-fool-1.3.0.sh
bash tcp_nanqinlang-fool-1.3.0.sh

这个是 进阶 版本。提供自定义内核版本功能,只建议有用户自己指定安装的内核的版本需求的用户使用,例如你想安装 v4.12.10 版本的内核,就需要使用这个版本。目前此版本脚本提供 linux kernel v4.9.3 ~ v4.14.32 支持。

# Debian 7+
# pro
wget https://github.com/tcp-nanqinlang/general/releases/download/3.4.2.1/tcp\_nanqinlang-pro-3.4.2.1.sh
bash tcp_nanqinlang-pro-3.4.2.1.sh

这个是 CentOS 平台的版本,仍未确定为正式版,请勿在重要环境使用。

# CentOS 6/7
# only 64 bit
wget https://raw.githubusercontent.com/tcp-nanqinlang/general/master/General/CentOS/bash/tcp\_nanqinlang-1.3.2.sh
bash tcp_nanqinlang-1.3.2.sh

使用说明

出现四个选项供以选择:

安装内核

必须使用此命令安装内核并重启!

安装内核时,请注意区别:

  • Debian
  • 下载内核安装包至 /home/tcp_nanqinlang,脚本第二项运行完成后移除该文件夹
  • 系统中只会留下新安装的内核,原有的所有内核都会被移除
  • 对于 pro 版本,安装的内核版本由你指定,若不确定应输入哪个版本号,直接回车即可,会安装 v4.10.10 版本内核
  • 指定安装内核版本为 v4.13.x 时,会使用新版本内核适配的源码
  • 本魔改项目暂不支持 v4.14 及以上版本内核
  • 此命令执行完毕后,请根据脚本内提示确认内核是否已安装完毕
  • CentOS:套路和上面 Debian 的大致相当,主要在于以下区别:
  • 不会询问安装版本号,直接安装内核版本 v4.12.10
  • 内核安装完成后,系统中会装有 linux-ml-4.12.10 linux-ml-devel-4.12.10 linux-ml-headers-4.12.10 三个内核
  • 内核安装完成后,系统中依旧会留有旧版本的 linux-x.xx.xx-ml 内核,这些残留的内核,会在执行第二个选项 “安装并启用算法” 后被移除

确认内核更换完成后,重启你的 vps

重启开机后,再次运行该脚本,选择第二项: 安装并开启算法

开启算法

用于编译并启用魔改 BBR 算法。

检查运行状态

用于检查 tcp_nanqinlang 是否已被 加载 (installed) 和 启用 (running)。

卸载

不会删除已安装的内核,仅移除 sysctl.conf 中的相关设置项。然后重启机器后,魔改 BBR 才会停止运作