Home Archive for 服务器

服务器

nginx http force redirect to https

Posted on by 
server{
  listen 80;
  server_name ixf.io;
  rewrite ^ https://$http_host$request_uri? permanent; # force redirect http to https
}
server {
  listen 443 ssl;
  server_name ixf.io;
  ssl on;
  ssl_certificate /etc/letsencrypt/live/ixf.io/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/live/ixf.io/privkey.pem;
  ...
}

Linux 自动拒绝恶意IP远程登录

Posted on by

脚本
autoHostDeny.sh
[code]
#!/bin/bash

LIST=""

#过滤出协议,尝试连接主机的ip
LIST=$(cat /var/log/secure | grep "authentication failure" | awk ‘{print$14}’ | sed -e ‘s/rhost=//g’ -e ‘s/ /_/g’ | uniq)

#Trusted Hosts
excludeList=( "192.168.30.55" )

function chkExcludeList()
{
for j in "${excludeList[@]}"; do
if [[ "$1" == $j ]]; then
return 10
fi
done
return 11
}

#检查并追加到hosts.deny文件中
for i in $LIST; do
chkExcludeList "$i"
if [ $? != "10" ]; then
if [ "$(grep $i /etc/hosts.deny)" = "" ]; then
echo "ALL: $i : DENY" >> /etc/hosts.deny
fi
fi
done
[/code]

crontab 每分钟执行
[code]
*/1 * * * * /usr/bin/sh /usr/local/bin/autoHostDeny.sh
[/code]

upgrade openSSH

Posted on by

准备

切换到root用户

[code]su – root[/code]

备份

将ssh配置目录备份

[code]cp -rf /etc/ssh /etc/ssh_bak[/code]

升级

使用yum安装编译安装需要的软件包(来源于网络),Ubuntu用apt-get

[code]yum install gcc openssl-devel pam-devel rpm-build[/code]

下载openssh 7.5p1或最新版本版本

[code]
# 官方各版本列表 https://openbsd.hk/pub/OpenBSD/OpenSSH/portable/
wget http://mirror.internode.on.net/pub/OpenBSD/OpenSSH/portable/openssh-7.5p1.tar.gz
[/code]

解压

[code]tar -zxvf openssh-7.2p2.tar.gz[/code]

进入安装目录

[code]cd openssh-7.2p2[/code]

编译安装新版本openssh(编译遇到了坑,最终参考这里解决,后期通过核查猜测与–with-pam未加上有关)

[code]
./configure –prefix=/usr –sysconfdir=/etc/ssh –with-pam –with-zlib –with-md5-passwords
# 编译要安装pam模块,否则登录会因为认证方式被拒接 Permission denied (publickey,password,keyboard-interactive).
[/code]

编译

[code]
make
[/code]

安装

[code]
make install
# 安装过程中可能出现警告,不支持的配置项,可以忽略,安装好后可以注释掉这个配置
# /etc/ssh/sshd_config line 81: Unsupported option GSSAPIAuthentication
# /etc/ssh/sshd_config line 83: Unsupported option GSSAPICleanupCredentials
[/code]

重置ssh服务

[code]
# 重启sshd之前确保以下两点是否配置正确,
# 1、开启配置 UsePAM yes; #没配置会登录失败
# 2、默认禁止root登录,若只有root用户,需要开启root登录:注释PermitRootLogin without-password,启用PermitRootLogin yes;

service sshd restart
or
/etc/init.d/sshd restart
[/code]

最后查看版本
ssh -V

不要断开当前连接 不要断开当前连接 不要断开当前连接

另起一个终端,测试root用户或其他用户是否正常登录。

 

  • 参考 http://sun-ao.github.io/2016/06/13/update-openssh-to-7-2p2/

crontab

Posted on by

基本格式 :
*  *  *  *  *  command
分 时 日 月 周 命令
第1列表示分钟1~59 每分钟用*或者 */1表示
第2列表示小时1~23(0表示0点)
第3列表示日期1~31
第4列表示月份1~12
第5列标识号星期0~6(0表示星期天)
第6列要运行的命令
crontab文件的一些例子:
30 21 * * * /usr/local/etc/rc.d/lighttpd restart
上面的例子表示每晚的21:30重启apache。
45 4 1,10,22 * * /usr/local/etc/rc.d/lighttpd restart
上面的例子表示每月1、10、22日的4 : 45重启apache。
10 1 * * 6,0 /usr/local/etc/rc.d/lighttpd restart
上面的例子表示每周六、周日的1 : 10重启apache。
0,30 18-23 * * * /usr/local/etc/rc.d/lighttpd restart
上面的例子表示在每天18 : 00至23 : 00之间每隔30分钟重启apache。
0 23 * * 6 /usr/local/etc/rc.d/lighttpd restart
上面的例子表示每星期六的11 : 00 pm重启apache。
0 */1 * * * /usr/local/etc/rc.d/lighttpd restart
每一小时重启apache
0 23-7/1 * * * /usr/local/etc/rc.d/lighttpd restart
晚上11点到早上7点之间,每隔一小时重启apache
0 11 4 * mon-wed /usr/local/etc/rc.d/lighttpd restart
每月的4号与每周一到周三的11点重启apache
0 4 1 jan * /usr/local/etc/rc.d/lighttpd restart
一月一号的4点重启apache
名称 : crontab
使用权限 : 所有使用者
使用方式 :
crontab file [-u user]-用指定的文件替代目前的crontab。
crontab-[-u user]-用标准输入替代目前的crontab.
crontab-1[user]-列出用户目前的crontab.
crontab-e[user]-编辑用户目前的crontab.
crontab-d[user]-删除用户目前的crontab.
crontab-c dir- 指定crontab的目录。
crontab文件的格式:M H D m d cmd.
M: 分钟(0-59)。
H:小时(0-23)。
D:天(1-31)。
m: 月(1-12)。
d: 一星期内的天(0~6,0为星期天)。
cmd要运行的程序,程序被送入sh执行,这个shell只有USER,HOME,SHELL这三个环境变量
说明 :
crontab 是用来让使用者在固定时间或固定间隔执行程序之用,换句话说,也就是类似使用者的时程表。-u user 是指设定指定
user 的时程表,这个前提是你必须要有其权限(比如说是 root)才能够指定他人的时程表。如果不使用 -u user 的话,就是表示设
定自己的时程表。
参数 :
crontab -e : 执行文字编辑器来设定时程表,内定的文字编辑器是 VI,如果你想用别的文字编辑器,则请先设定 VISUAL 环境变数
来指定使用那个文字编辑器(比如说 setenv VISUAL joe)
crontab -r : 删除目前的时程表
crontab -l : 列出目前的时程表
crontab file [-u user]-用指定的文件替代目前的crontab。
时程表的格式如下 :
f1 f2 f3 f4 f5 program
其中 f1 是表示分钟,f2 表示小时,f3 表示一个月份中的第几日,f4 表示月份,f5 表示一个星期中的第几天。program 表示要执
行的程序。
当 f1 为 * 时表示每分钟都要执行 program,f2 为 * 时表示每小时都要执行程序,其馀类推
当 f1 为 a-b 时表示从第 a 分钟到第 b 分钟这段时间内要执行,f2 为 a-b 时表示从第 a 到第 b 小时都要执行,其馀类推
当 f1 为 */n 时表示每 n 分钟个时间间隔执行一次,f2 为 */n 表示每 n 小时个时间间隔执行一次,其馀类推
当 f1 为 a, b, c,… 时表示第 a, b, c,… 分钟要执行,f2 为 a, b, c,… 时表示第 a, b, c…个小时要执行,其馀类推
使用者也可以将所有的设定先存放在档案 file 中,用 crontab file 的方式来设定时程表。
例子 :
#每天早上7点执行一次 /bin/ls :
0 7 * * * /bin/ls
在 12 月内, 每天的早上 6 点到 12 点中,每隔3个小时执行一次 /usr/bin/backup :
0 6-12/3 * 12 * /usr/bin/backup
周一到周五每天下午 5:00 寄一封信给 alex@domain.name :
0 17 * * 1-5 mail -s “hi” alex@domain.name < /tmp/maildata 每月每天的午夜 0 点 20 分, 2 点 20 分, 4 点 20 分....执行 echo "haha" 20 0-23/2 * * * echo "haha" 注意 : 当程序在你所指定的时间执行后,系统会寄一封信给你,显示该程序执行的内容,若是你不希望收到这样的信,请在每一行空一格之 后加上 > /dev/null 2>&1 即可
例子2 :
#每天早上6点10分
10 6 * * * date
#每两个小时
0 */2 * * * date
#晚上11点到早上8点之间每两个小时,早上8点
0 23-7/2,8 * * * date
#每个月的4号和每个礼拜的礼拜一到礼拜三的早上11点
0 11 4 * mon-wed date
#1月份日早上4点
0 4 1 jan * date
范例
$crontab -l 列出用户目前的crontab.

用 Let’s Encrypt 建立https网站

Posted on by

Let’s Encrypt 首页 https://letsencrypt.org/
Let’s Encrypt 提供的工具可以自动签发证书

工具使用certbot https://certbot.eff.org/#ubuntuxenial-nginx
选择Ubuntu + nginx

[code lang=”bash”]
sudo apt-get install letsencrypt
sudo letsencrypt certonly –webroot -w /var/www/example -d example.com -d www.example.com
[/code]

然后根据提示输入email,等待签发,完成后,证书文件在/etc/letsencrypt/live/example.com下面

接下来就可以配置nginx了

启用ssl,添加ssl配置

[code lang=”text”]
server {
listen 443 ssl;
server_name example.com www.example.com;
ssl on;
ssl_certificate /etc/letsencrypt/live/example.com/cert.pem;
# 为了让所有浏览器识别证书的chain链,ssl_certificate项应该使用fullchain.pem,let’s Encrypt生成好了的,内容是
# $ cat cert.pem chain.pem > fullchain.pem
# 如果不使用fullchain.pem,像QQ浏览器就不会信任cert.pem证书的,也会导致使用了QQ浏览器X5内核的微信打不开公众号的https内容
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

}
[/code]

强制http跳转到https

[code lang=”text”]
server {
listen 80;
server_name example.com www.example.com;
rewrite ^ https://$http_host$request_uri? permanent;
}
[/code]

重启nginx

利用instsrv和srvany来手动安装服务

Posted on by

Windows提供了两个小工具instsrv.exe和srvany.exe来把任何应用包装成windows服务。顾名思义instsrv(install service)是用来安装服务的,而srvany(service anything)包装任何服务的外壳。下载instsrv.exe和srvany.exe.

由于nginx的windows应用没有服务,使用起来不太方便,这里趁机利用一下把nginx安装成windows服务,步骤如下:

1、 首先使用instsrv把srvany安装成服务,instsrv的命令格式(instsrv.exe /?):
[code lang=”text”]
INSTSRV <service name> (<exe location> | REMOVE)
[-a <Account Name>] [-p <Account Password>]

Install service example:

INSTSRV MyService C:\MyDir\DiskService.Exe
-OR-
INSTSRV MyService C:\mailsrv\mailsrv.exe -a MYDOMAIN\joebob -p foo

Remove service example:

INSTSRV MyService REMOVE
[/code]
location是完整路径哦。
因此我的安装命令
[code]
instsrv.exe nginx e:\temp\clean_day\nginx-1.4.7\srvany.exe
[/code]

2、 第一步把服务外壳安装好了,这里就要配置这个外壳来执行的真正应用了。这里需要修改注册表
运行Regedit.exe,打开“注册表编辑器”;
依次展开如下子键:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services],在该子键下找到并右击nginx(对应步骤1建立的服务名),选择“新建”下的“项”,将其命名为Parameters。
单击选定Parameters,在右侧窗口中新建一个名为Application的字符串值,将其数值数据设置为nginx服务对应的应用程序绝对路径,比如:E:\temp\clean_day\nginx-1.4.7\nginx.exe;
接着再新建两个字符串值:AppDirectory和AppParameters,AppDirectory指定程序所在的目录,如:E:\temp\clean_day\nginx-1.4.7;
AppParameters指明程序运行的参数,如果没有可以不用设值;
启动服务
完毕你就可以用net命令启动/停止,或者sc命令配置服务了。
删除服务
可以使用instsrv的remove选项来删除服务,当然也可以用sc命令。

Windows Server 端口转发

Posted on by

配置方法
假定需要通过192.168.1.8的14941端口连接192.168.1.118的1494端口,则需要在192.168.1.8主机的命令行输入如下语句:

netsh  interface ipv6 install
netsh interface portproxy add v4tov4  listenaddress=192.168.1.8 listenport=14941 connectaddress=192.168.1.118  connectport=1494

—如果已经安装IPV6,第一条可以不需要
—如果操作系统开启了主机防火墙,需要放行TCP 14941的入站连接
—2008防火墙较以前版本有较大改动,可以参考如下链接:

http://pcedu.pconline.com.cn/soft/virus/safe/0710/1130476.html

如果想取消上面配置的端口转发,可以用如下语句:

netsh interface  portproxy delete v4tov4 listenaddress=192.168.1.8  listenport=33891

如果想查看已经配置了哪些端口转发,可以用如下语句:

netsh interface  portproxy show  v4tov4

iptables 端口转发

Posted on by

使用Ubuntu iptables 有许多地方能进行运作,比如:内网端口映射,或者转发外网ip:端口

1.系统环境

内网两台服务器:

A 172.16.119.128

B 172.16.119.129

希望将A机器的80端口映射到B机器的8013端口。

 2.设置步骤

2.1./etc/sysctl.conf配置文件修改

删除“# net.ipv4.ip_forward = 1”行前面的“#”。 默认该行被注释掉的。

2.2.查看现有配置信息

iptables -L

如果显示内容如下:

Chain INPUT (policy ACCEPT)

target prot opt source destination

Chain FORWARD (policy ACCEPT)

target prot opt source destination

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

表示无任何设置,可以继续下一步操作。

否则执行:

iptalbes -F

iptalbes -X

iptalbes -Z

2.3.设置端口映射

分别执行:

iptables -t nat -A PREROUTING -d 172.16.119.128 -p tcp –dport 80 -j DNAT –to-destination 172.16.119.129:8013

iptables -t nat -A POSTROUTING -d 172.16.119.129 -p tcp –dport 8013 -j SNAT –to 172.16.119.128

iptables -A FORWARD -o eth0 -d 172.16.119.129 -p tcp –dport 8013 -j ACCEPT

iptables -A FORWARD -i eth0 -s 172.16.119.129 -p tcp –sport 8013 -j ACCEPT

2.4.验证端口映射

此时,访问http://172.16.119.128/abc.htm,应该能访问到对应129服务器上端口为8013网站的abc.htm页面。

3.设置开机自动加载iptables的配置文件

3.1 保存配置

执行命令:

# iptables-save > /etc/init.d/iptables.up.rules

将当前配置保存再iptables.up.rules文件中,文件名可以自己决定。

3.2 修改网卡配置文件

在网卡IP配置文件/etc/network/interfaces末行加入(/etc/init.d/iptables.up.rules可改成自己定义的配置文件位置和名称)

pre-up iptables-restore < /etc/init.d/iptables.up.rules

3.3 重启服务器验证

shutdown -r now

通过是正文的三大步介绍,我们清楚的知道了Ubuntu iptables 内网端口映射的组建情况!希望对你们有用!

centos-6.4 http/apache+php 安装

Posted on by

由于 CentOS 已经封装了 Apache,直接运行安装:
# yum install httpd
配置系统让 Apache 随系统启动:
# chkconfig –levels 235 httpd on
配置完毕,启动 Apache:
# /etc/init.d/httpd start
在 CentOS 中 Apache 的默认根目录是 /var/www/html,配置文件 /etc/httpd/conf/httpd.conf。其他配置存储在 /etc/httpd/conf.d/ 目录。

输入如下指令安装 PHP:
# yum install php
搜索模块:
# yum search php
安装相关模块:
# yum install php-mysql php-gd php-imap php-ldap php-odbc php-pear php-xml php-xmlrpc

# yum install php-ldap php-mbstring php-mcrypt php-mysql php-odbc php-pdo php-pear php-pecl-apc php-pgsql php-process php-pspell php-recode php-snmp php-soap php-tidy php-xcache php-xml php-xmlrpc php-zts php-acid php-enchant php-pear-db php-pecl-http php-pecl-mailparse php-pecl-memcache php-pecl-session_mysql
需要重新启动 Apache 服务:
# /etc/init.d/httpd restart

PHP测试代码:
<?php
phpinfo();
?>