服务器安全维护工作室 » 系统安全

OpenVPN安装配置教程

admin — Tue, 08 Dec 2015 14:50:57 +0000

1、什么是 VPN ？

VPN （Virtual Private Network）即虚拟专用网络，是一种常用于连接中、大型企业或团体与团体间的私人网络的通讯方法。虚拟私人网络的讯息透过公用的网络架构（例如：互联网）来传送内联网的网络讯息。它利用已加密的通道协议（Tunneling Protocol）来达到保密、发送端认证、消息准确性等私人消息安全效果。这种技术可以用不安全的网络（例如：互联网）来发送可靠、安全的消息。需要注意的是，加密消息与否是可以控制的。没有加密的虚拟专用网消息依然有被窃取的危险。【摘自维基百科】

2、安全性

安全的虚拟私人网络使用加密穿隧协议，通过阻止截听与嗅探来提供机密性，还允许发送者身份验证，以阻止身份伪造，同时通过防止信息被修改提供消息完整性。

某些虚拟私人网络不使用加密保护数据。虽然虚拟私人网络通常都会提供安全性，但未加密的虚拟私人网络严格来说是不“安全”或“可信”的。例如，一条通过GRE协议在两台主机间创建的隧道属于虚拟私人网络，但既不安全也不可信。除以上的GRE协议例子外，本地的明文穿隧协议包括L2TP（不带IPsec时）和PPTP（不使用微软点对点加密(MPPE)时）。

3、协议

常用的虚拟专用网协议有：

4、特殊使用

由于中国大陆境内对于海外网络的限制及封锁，所以中国大陆兴盛起以采用免费或付费的虚拟专用网（VPN）进行海外网络连接服务的方法进行翻墙，或许多外商公司欲连接回海外网站也多自行架设VPN或采用付费的VPN服务。2015年1月起，中国开始加强对外国VPN服务的封锁。VPN 供应商 Astrill 通知用户，因防火长城升级，使用 IPSec、L2TP/IPSec 和 PPTP 协议的设备无法访问它的服务，受影响的主要是iOS设备。中国工信部曾规定，在中国提供VPN服务的公司必须登记注册，否则将“不受中国法律的保护”。

5、OpenVPN 的特点

简介

OpenVPN 允许参与创建 VPN 的单点使用公开密钥、电子证书、或者用户名／密码来进行身份验证。它大量使用了 OpenSSL 加密库中的 SSLv3/TLSv1 协议函数库。目前 OpenVPN 能在 Solaris、Linux、OpenBSD、FreeBSD、NetBSD、Mac OS X 和 Windows 上运行，并包含了许多安全性的功能。它并不是一个基于 Web 的 VPN 软件，也不与 IPsec 及其他 VPN 软件兼容。

加密

OpenVPN 使用 OpenSSL 库加密数据与控制信息：它使用了 OpenSSL 的加密以及验证功能，意味着，它能够使用任何 OpenSSL 支持的算法。它提供了可选的数据包 HMAC 功能以提高连接的安全性。此外，OpenSSL 的硬件加速也能提高它的性能。

验证

OpenVPN 提供了多种身份验证方式，用以确认参与连接双方的身份，包括：预享私钥，第三方证书以及用户名／密码组合。预享密钥最为简单，但同时它只能用于创建点对点的 VPN；基于 PKI 的第三方证书提供了最完善的功能，但是需要额外的精力去维护一个 PKI 证书体系。OpenVPN 2.0 后引入了用户名／口令组合的身份验证方式，它可以省略客户端证书，但是仍有一份服务器证书需要被用作加密。

网络

OpenVPN 所有的通信都基于一个单一的 IP 端口，默认且推荐使用 UDP 协议通讯，同时 TCP 也被支持。OpenVPN 连接能通过大多数的代理服务器，并且能够在 NAT 的环境中很好地工作。服务端具有向客户端“推送”某些网络配置信息的功能，这些信息包括：IP地址、路由设置等。OpenVPN 提供了两种虚拟网络接口：通用 Tun/Tap 驱动，通过它们，可以创建三层 IP 隧道，或者虚拟二层以太网，后者可以传送任何类型的二层以太网络数据。传送的数据可通过 LZO 算法压缩。IANA（Internet Assigned Numbers Authority）指定给 OpenVPN 的官方端口为 1194。OpenVPN 2.0 以后版本每个进程可以同时管理数个并发的隧道。 OpenVPN 使用通用网络协议（TCP与UDP）的特点使它成为IPsec 等协议的理想替代，尤其是在 ISP（Internet service provider）过滤某些特定VPN协议的情况下，如无视GFW。

安全

OpenVPN 与生俱来便具备了许多安全特性：它在用户空间运行，无须对内核及网络协议栈作修改；初始完毕后以chroot方式运行，放弃root权限；使用 mlockall 以防止敏感数据交换到磁盘。
OpenVPN 通过 PKCS#11支持硬件加密标识，如智能卡。

对比

	PPTP	L2TP/IPSEC	OpenVPN
简介	微软推出的第一个VPN协议。占用资源少，应用最为广泛。	更高级的VPN协议，支持各种平台。安全性更高，但是不太灵活，容易被封锁。	开源的 vpn 协议，加密性和适应性都比较好，也比较灵活，不容易被封锁。通过 udp 端口可以获得较好的速度。
加密	支持40位、56位和128位加密	256位加密	可自定义160位-256位
平台支持	Windows Mac Linux iOS Android DDWRT	Windows Mac Linux iOS Android	Windows（第三方软件） Mac（第三方软件） Linux iOS（第三方软件） Android（第三方软件） DDWRT
连接速度	很快	快	快
端口	1723 TCP	500 UDP 1701 UDP 5500 UDP	可根据需要自定义和更换，即 UDP/TCP的任何端口
防封锁	通过协议和端口很容易被封锁	通过协议和端口很容易被封锁	比较难封锁（基于标准的TCP/IP协议），其 UDP 模式是官方推荐的，速度很快，效率很高。

OpenVPN安装配置教程，首发于服务器安全维护工作室。

使用 supervisor 管理进程

admin — Tue, 08 Dec 2015 14:18:36 +0000

Supervisor (http://supervisord.org) 是一个用 Python 写的进程管理工具，可以很方便的用来启动、重启、关闭进程（不仅仅是 Python 进程）。除了对单个进程的控制，还可以同时启动、关闭多个进程，比如很不幸的服务器出问题导致所有应用程序都被杀死，此时可以用 supervisor 同时启动所有应用程序而不是一个一个地敲命令启动。

安装

Supervisor 可以运行在 Linux、Mac OS X 上。如前所述，supervisor 是 Python 编写的，所以安装起来也很方便，可以直接用 pip :

sudo pip install supervisor

如果是 Ubuntu 系统，还可以使用 apt-get 安装。

supervisord 配置

Supervisor 相当强大，提供了很丰富的功能，不过我们可能只需要用到其中一小部分。安装完成之后，可以编写配置文件，来满足自己的需求。为了方便，我们把配置分成两部分：supervisord（supervisor 是一个 C/S 模型的程序，这是 server 端，对应的有 client 端：supervisorctl）和应用程序（即我们要管理的程序）。

首先来看 supervisord 的配置文件。安装完 supervisor 之后，可以运行echo_supervisord_conf 命令输出默认的配置项，也可以重定向到一个配置文件里：

echo_supervisord_conf > /etc/supervisord.conf

去除里面大部分注释和“不相关”的部分，我们可以先看这些配置：

[unix_http_server]
file=/tmp/supervisor.sock   ; UNIX socket 文件，supervisorctl 会使用
;chmod=0700                 ; socket 文件的 mode，默认是 0700
;chown=nobody:nogroup       ; socket 文件的 owner，格式： uid:gid

;[inet_http_server]         ; HTTP 服务器，提供 web 管理界面
;port=127.0.0.1:9001        ; Web 管理后台运行的 IP 和端口，如果开放到公网，需要注意安全性
;username=user              ; 登录管理后台的用户名
;password=123               ; 登录管理后台的密码

[supervisord]
logfile=/tmp/supervisord.log ; 日志文件，默认是 $CWD/supervisord.log
logfile_maxbytes=50MB        ; 日志文件大小，超出会 rotate，默认 50MB
logfile_backups=10           ; 日志文件保留备份数量默认 10
loglevel=info                ; 日志级别，默认 info，其它: debug,warn,trace
pidfile=/tmp/supervisord.pid ; pid 文件
nodaemon=false               ; 是否在前台启动，默认是 false，即以 daemon 的方式启动
minfds=1024                  ; 可以打开的文件描述符的最小值，默认 1024
minprocs=200                 ; 可以打开的进程数的最小值，默认 200

; the below section must remain in the config file for RPC
; (supervisorctl/web interface) to work, additional interfaces may be
; added by defining them in separate rpcinterface: sections
[rpcinterface:supervisor]
supervisor.rpcinterface_factory = supervisor.rpcinterface:make_main_rpcinterface

[supervisorctl]
serverurl=unix:///tmp/supervisor.sock ; 通过 UNIX socket 连接 supervisord，路径与 unix_http_server 部分的 file 一致
;serverurl=http://127.0.0.1:9001 ; 通过 HTTP 的方式连接 supervisord

; 包含其他的配置文件
[include]
files = relative/directory/*.ini    ; 可以是 *.conf 或 *.ini

我们把上面这部分配置保存到 /etc/supervisord.conf（或其他任意有权限访问的文件），然后启动 supervisord（通过 -c 选项指定配置文件路径，如果不指定会按照这个顺序查找配置文件：$CWD/supervisord.conf, $CWD/etc/supervisord.conf, /etc/supervisord.conf）：

supervisord -c /etc/supervisord.conf

查看 supervisord 是否在运行：

ps aux | grep supervisord

program 配置

上面我们已经把 supervisrod 运行起来了，现在可以添加我们要管理的进程的配置文件。可以把所有配置项都写到 supervisord.conf 文件里，但并不推荐这样做，而是通过 include 的方式把不同的程序（组）写到不同的配置文件里。

为了举例，我们新建一个目录 /etc/supervisor/ 用于存放这些配置文件，相应的，把 /etc/supervisord.conf 里 include 部分的的配置修改一下：

[include]
files = /etc/supervisor/*.conf

假设有个用 Python 和 Flask 框架编写的用户中心系统，取名 usercenter，用 gunicorn (http://gunicorn.org/) 做 web 服务器。项目代码位于 /home/leon/projects/usercenter，gunicorn 配置文件为 gunicorn.py，WSGI callable 是 wsgi.py 里的 app 属性。所以直接在命令行启动的方式可能是这样的：

cd /home/leon/projects/usercenter
gunicorn -c gunicorn.py wsgi:app

现在编写一份配置文件来管理这个进程（需要注意：用 supervisord 管理时，gunicorn 的 daemon 选项需要设置为 False）：

[program:usercenter]
directory = /home/leon/projects/usercenter ; 程序的启动目录
command = gunicorn -c gunicorn.py wsgi:app  ; 启动命令，可以看出与手动在命令行启动的命令是一样的
autostart = true     ; 在 supervisord 启动的时候也自动启动
startsecs = 5        ; 启动 5 秒后没有异常退出，就当作已经正常启动了
autorestart = true   ; 程序异常退出后自动重启
startretries = 3     ; 启动失败自动重试次数，默认是 3
user = leon          ; 用哪个用户启动
redirect_stderr = true  ; 把 stderr 重定向到 stdout，默认 false
stdout_logfile_maxbytes = 20MB  ; stdout 日志文件大小，默认 50MB
stdout_logfile_backups = 20     ; stdout 日志文件备份数
; stdout 日志文件，需要注意当指定目录不存在时无法正常启动，所以需要手动创建目录（supervisord 会自动创建日志文件）
stdout_logfile = /data/logs/usercenter_stdout.log

; 可以通过 environment 来添加需要的环境变量，一种常见的用法是修改 PYTHONPATH
; environment=PYTHONPATH=$PYTHONPATH:/path/to/somewhere

一份配置文件至少需要一个 [program:x] 部分的配置，来告诉 supervisord 需要管理那个进程。[program:x] 语法中的 x 表示 program name，会在客户端（supervisorctl 或 web 界面）显示，在 supervisorctl 中通过这个值来对程序进行 start、restart、stop 等操作。

使用 supervisorctl

Supervisorctl 是 supervisord 的一个命令行客户端工具，启动时需要指定与 supervisord 使用同一份配置文件，否则与 supervisord 一样按照顺序查找配置文件。

supervisorctl -c /etc/supervisord.conf

上面这个命令会进入 supervisorctl 的 shell 界面，然后可以执行不同的命令了：

> status    # 查看程序状态
> stop usercenter   # 关闭 usercenter 程序
> start usercenter  # 启动 usercenter 程序
> restart usercenter    # 重启 usercenter 程序
> reread    ＃ 读取有更新（增加）的配置文件，不会启动新添加的程序
> update    ＃ 重启配置文件修改过的程序

上面这些命令都有相应的输出，除了进入 supervisorctl 的 shell 界面，也可以直接在 bash 终端运行：

$ supervisorctl status
$ supervisorctl stop usercenter
$ supervisorctl start usercenter
$ supervisorctl restart usercenter
$ supervisorctl reread
$ supervisorctl update

其它

除了 supervisorctl 之外，还可以配置 supervisrod 启动 web 管理界面，这个 web 后台使用 Basic Auth 的方式进行身份认证。

除了单个进程的控制，还可以配置 group，进行分组管理。

经常查看日志文件，包括 supervisord 的日志和各个 pragram 的日志文件，程序 crash 或抛出异常的信息一半会输出到 stderr，可以查看相应的日志文件来查找问题。

Supervisor 有很丰富的功能，还有其他很多项配置，可以在官方文档获取更多信息：http://supervisord.org/index.html

使用 supervisor 管理进程，首发于服务器安全维护工作室。

搭建 https proxy 服务器

admin — Tue, 01 Dec 2015 14:24:25 +0000

在各种上网的方法当中，https proxy 可能是最简单、方便、快速的，它免去了 vpn 各种拨号连接的麻烦，也免去了安装各种客户端的麻烦，同时搭建所用的软件也是历史悠久的非常稳定。

吐槽：如果问为什么这么好的方式却很少人用，答案可能是因为它需要较多的￥money，而且可能需要一张双币/多币种信用卡来购买这些东西：一个虚拟服务器 vps，一个域名，一个 SSL 证书。vps 我比较推荐 linode，并不是因为你戳一下这个链接并成功购买后能返回一点零钱给我，而是 linode 相当厚道，它会跟随主流免费为你升级 CPU、内存、硬盘、带宽等等。域名和 SSL 证书大家可以参考我的前一篇《如何购买廉价 SSL 证书》。全部扔上购物车一年大概 $150 以上，捉襟见肘的可以考虑多人合购。

好了说回正题，用于实现 https proxy 的服务端软件很多，可以用老掉牙但很稳定的 squid，也可以随便用一个轻量级的 http proxy 程序搭配老掉牙的 stunnel，或者试试新秀 node-spdyproxy 也可以。

下面介绍一下比较简单的方案：轻量级 http proxy 程序 tinyproxy + stunnel 。

1、安装 tinyproxy 和 stunnel

首先使用各个 Linux 发行版的包管理器安装 tinyproxy 和 stunnel，比如：

$ sudo yum install tinyproxy stunnel // 对于 centos linux

$ sudo pacman -S tinyproxy stunnel // 对于 arch linux

安装完成后顺便设置它们随开机启动（可选）。

2、设置 stunnel

把你证书私钥和购买的证书扔到 /etc/stunnel 里，然后编辑文件 stunnel.conf，先指定私钥和证书文件名：

cert = /etc/stunnel/mycert.pem
key = /etc/stunnel/mykey.pem

需要注意的是从证书服务商购买回来的证书通常是几个小文件，大概有是：一个你的域名证书，一个证书链证书，一个root证书。把它们用文本编辑器打开，然后按照上述的顺序复制粘贴成一个文件，这个文件就是上面 ”cert=“ 这行所需的文件。

然后指定端口转换，比如将端口 443 （https 的默认端口）绑定并转换到 tinyproxy 的默认端口 8888：

[https] accept = 443
connect = 127.0.0.1:8888

其中 https 这个一项绑定的名称，可以随便起，accept 表示本机监听的端口，connect 表示转换到哪里。完整的意思就是为 127.0.0.1:8888 添加 SSL 加密层，然后通过 443 端口对外服务。

3、客户端设置

目前默认支持 https/spdy 代理的只有 google chrome 浏览器（其他浏览器需要在客户端运行 stunnel 把 https 翻译为 http 才能使用）。而且很诡异的是 chrome 没有自己独立设置 proxy 的地方，使用系统全局的那个 https 设置是不行的（因为系统那个 https 代理指的是当你访问 https 的网站时所走的 http 代理通道，跟我们这篇说的 https proxy 是两码事），所以你还得在 chrome 浏览器里安装插件 TunnelSwitch，然后在这个插件里设置 https 代理为：“你的网站域名:443”，这样所有工作都完成可以直接上网了。

4、一个给爱折腾的人的省钱方案

如果想节省购买 SSL 证书的花费，那么自己生成一个“自签名”的证书也是可以的，不过如果你的 proxy 想共享给其他人使用的话，要慎重考虑这种方式，因为它会让不爱折腾的人觉得很折腾。

用下面命令即可生成一个自签名证书：

openssl genrsa -out key.pem 1024
openssl req -new -key key.pem -subj "/CN=localhost" -out req.pem
openssl x509 -req -days 365 -in req.pem -signkey key.pem -out cert.pem

注意要将上面的 localhost 更改为你的域名，最终有用的分别是私钥文件 key.pem 和证书文件 cert.pem，把这两个文件替换上面第二步所提到的位置即可。

然后在客户端需要导入这个 cert.pem 才能顺利使用你所搭建的 https proxy 服务。各个操作系统的导入证书方法都不太相同。

在 linux 里比较麻烦，需要用 libnss3 工具 certutil 来完成，命令如下：

$ certutil -d "sql:$HOME/.pki/nssdb" -A -n dummy -i cert.pem -t C

在 mac osx 里使用 keychain 工具，把证书拖进”证书“一栏里。
在 windows 里双击证书文件，在选择“导入到位置”那一步选择”根信任“。

然后重启你的 chrome 浏览器就可以了。

搭建 https proxy 服务器，首发于服务器安全维护工作室。

Arch Linux 环境下使用 Tomcat 6 搭建多站点、带SSL证书、高性能NIO/APR网站的配置详解

admin — Tue, 01 Dec 2015 14:21:18 +0000

由于 Tomcat 基于 Java，实际上在各种 Linux 发行版里的配置方法都大同小异，只是我看见在 Arch Linux 环境里搭建 Tomcat 的文章比较少，所以在 Arch Linux 实践一遍然后得出此文。此文假设你对 Tomcat 并不十分了解，主要笔墨将会在 Tomcat 的配置之上。

1、安装 Java JDK

在 Arch Linux 的 extra 源里有 jdk7-openjdk 和 openjdk6，可以直接使用 pacman 安装，至于选用哪一个可以视具体情况而定。我安装的是 OpenJDK 7：

$ sudo pacman -S jdk7-openjdk

2、安装 Tomcat

同样地，extra 源里已有 tomcat 版本5、6、7，可以根据具体情况而定，我这里安装的是tomcat 6。

$ sudo pacman -S tomcat6

默认情况 tomcat 6 安装路径为 /usr/share/tomcat6，这里罗列一下主要目录的作用（箭头表示目录链接的实际位置）：

/usr/share/tomcat6：程序主目录，也是变量 $CATALINA_HOME 所指向的位置，在单 tomcat 实例的情况下，也是变量 $CATALINA_BASE 所指向的位置。
conf -> /etc/tomcat6：配置文件目录。
lib -> /usr/share/java/tomcat6：共享jar包目录，这些包既给 tomcat 所使用，也能给 web 应用程序所引用。
logs -> /var/log/tomcat6：日志目录，对于查找错误以及查看访问记录很有帮助。
webapps -> /var/lib/tomcat6/webapps：默认的 web 应用程序目录，tomcat 6 自带了几个示例程序，下面会介绍。

现在可以尝试启动 tomcat 服务：

$ sudo /etc/rc.d/tomcat start

根据安装的 Java 运行时的不同，启动时可能有错误，检查启动脚本的配置文件 /etc/conf.d/tomcat6 里面的 TOMCAT_JAVA_HOME 变量的值，在我的安装中 Java 运行时应该在 /opt/java 里（用 $ which java 就可以看到了），因此将：

TOMCAT_JAVA_HOME=/usr/lib/jvm/java-7-openjdk
更改为如下即可：
TOMCAT_JAVA_HOME=/opt/java

重启 tomcat 服务：

$ sudo /etc/rc.d/tomcat6 restart

一般应该没有问题，打开任意浏览器并在地址栏里输入 “http://localhost:8080″，如果看到 tomcat 猫即说明服务已经安装妥当并且能正常运行了。

3、认识 webapps 目录

这个目录位于 tomcat6 的安装目录之下，实际内容位于 /var/lib/tomcat6/webapps。 webapps 目录里每一个目录对应一个web应用程序，比如 docs 目录的访问地址是 http://localhost:8080/docs，同理 manager 目录的访问地址是 http://localhost:8080/manager，其中比较特殊的是 ROOT 目录，它对应的访问地址恰好是网站的根目录，即 http://localhost:8080/。

Tomcat 附带的示例程序可以逐个访问体验一下，其中 manager 和 host-manager 这两个应用程序设置了需要登录验证才能访问，增加登录用户的方法是编辑 Tomcat 安装目录下的配置文件 conf/tomcat-users.xml （实际上也是文件 /etc/tomcat6/tomcat-users.xml），添加如下几行：

然后重启 Tomcat 服务，即可以通过用户名 tomcat 和密码 tomcat 登录并访问 manager 和 host-manager 两个应用程序。

每个 Java Web 应用程序都有如下的目录结构：

/index.html 访客直接访问的资源，比如静态图片和CSS样式表。
/WEB-INF/ 访客不能直接访问的资源。
/WEB-INF/classes 应用程序的 Java 源码编译后的class文件。
/WEB-INF/web.xml 应用程序的配置文件。
/WEB-INF/lib 应用程序所引用的包。

当然也不是所有都是必须的，你甚至可以创建一个目录，比如“hello”，然后在里面只创建一个 index.html 文件（内容随便），即可以通过 http://localhost:8080/hello/index.html 访问了。（当然这样的不是Web应用程序，此方法仅用于测试用）

下面使用 Apache Maven 创建一个最简单的 Web 应用程序，在用户目录里执行如下命令创建 Web 应用程序的骨架：

$ mvn archetype:generate

在交互界面中，

Choose a number or apply filter: 输入 174，即创建 maven-archetype-webapp 类型项目。
Choose version: 输入5，即版本 1.0。
Define value for property ‘groupId’: 输入 org.test。
Define value for property ‘artifactId’: 输入 demo。
Define value for property ‘version’: 输入 1.0。
Define value for property ‘package’: 输入 org.test.demo
Confirm properties configuration: 直接回车

上面涉及 Maven 知识不在此文的讨论范围，如果不熟悉的话可以参阅免费的中文电子图书《Maven in action》，顺带提一下，Maven 是Java项目构建和管理的最常用工具之一。

现在应该看到一个名为 demo 的目录，进入后可以使用 Maven 打包项目：

$ cd demo

$ mvn package

打包的结果是文件 ./target/demo.war，把这个文件复制到 webapps 目录：

$ sudo cp target/demo.war /var/lib/tomcat6/webapps/

由于 Tomcat 默认创建的站点会自动部署应用程序，所以刚才复制到 webapps 目录的文件 demo.war 会被自动解压缩，检视 webapps 目录应该会发现多出一个名字为 demo 的目录，现在可以在浏览器里尝试访问 http://localhost:8080/demo，应该看到 “Hello World!”字样，这就是刚才用 Maven 创建的 Web 应用程序运行的结果。

需要说明的是，java web 应用程序打包之后所形成的 war 文件并不是一定要解压出来才能运行的，这点将会在下一节的配置里会讲到。

4、认识 Tomcat 的主配置文件 server.xml

这个文件位于 tomcat 6 安装目录之下的 conf 目录之内，实际内容位于 /etc/tomcat6/server.xml。

正如该文件的扩展名所示，这是一个 xml 格式的文件，打开之后将会看到如下的结构：

即一个由 Server->Service->Engine->Host->Context 组成的四层结构，从里层向外层分别是：

Context：即 Web 应用程序，一个 Context 即对于一个 Web 应用程序。
Host：即虚拟主机，比如 www.dog.com 对应一个虚拟主机，api.dog.com 对于另一个虚拟主机。一个 Host 用于定义一个虚拟主机。（所谓的”一个虚拟主机”可简单理解为”一个网站”）
Engine：一组虚拟主机的集合。比如www.dog.com 和 api.dog.com 可以组成一组虚拟主机集合。
Service：一组 Engine 的集合，包括线程池 Executor 和连接器 Connector 的定义。

Connector 的配置

一个 Connector 即一个对外界开放的端口，简单理解就是大部分网络服务程序都会遇到的 IpAddress:Port 的组合，比如 192.168.0.10：8080 就是一个端口，当然在 Connector 里可以定义的内容要丰富得多，即 Connector 这个 XML 节点里可以加上许多属性。下面列举一下常用的：

enableLookups：(default=true) 是否允许反向解析访客的IP地址，当你的应用程序使用 request.getRemoteHost() 时如果只需要IP地址，建议禁用此项，这样能节省反向域名解析的时间。
maxPostSize：(default=2097152 即2MB) 最大允许 POST 上传的数据大小（单位为：字节），对于一般网站来说，比如有写评论写文章的网站，默认的2MB已经足够，不过如果网站带有图片甚至文件上传功能，则需要根据具体情况来定。
protocol：连接器的类型，tomcat 6 有如下几种选择
- org.apache.coyote.http11.Http11Protocol：简写为 “HTTP/1.1″，这是默认的连接器，一个访客网络连接需要一个线程，并发性能比较低。
- org.apache.coyote.http11.Http11NioProtocol：NIO连接器，一个由非阻塞的socket工作模式构成的连接器，并发性能良好，纯Java实现。
- org.apache.coyote.http11.Http11AprProtocol：APR连接器，所谓 APR 就是网络上最多服务器使用的 Web 服务程序 Apache Http Server 所使用的库，Tomcat 建议在生产环境使用，具体方法下面会介绍。
redirectPort：当用户访问非https的资源而该资源又需要https方式访问时，tomcat会自动重定向到https端口，一般https使用 TCP 443端口，所以一般取值”443″。
SSLEnabled：(default=false)，设置当前连接器是否使用安全SSL传输，如果设置为”true”，则应该同时设置下面两个属性：
scheme=”https” (default=http) 可以设置为 http 或者 https。
secure=”true” (default=false)。
adress：连接器所绑定的IP地址，当一台服务器存在多个ip地址时可以指定其中的需要绑定的一个，默认不设置该属性的值表示绑定当前服务器的所有ip地址。
compressableMimeType：(default=”text/html,text/xml,text/plain”) 指定需要GZIP压缩的资源的类型。
compression：(default=off) 是否启用GZIP压缩，可以取值 on/off/force，设置为on之后会对 compressableMimeType 属性指定的资源类型启用GZIP压缩。
connectionTimeout：(default=”60000″) 当访客网络连接后，服务器等待第一行Request头出现的时间。单位是毫秒。
executor：指定当前连接器使用的线程池的名称，如果指定，则忽略其他针对线程数量的设置，比如 maxThreads。
maxThreads：(default=200) 最多可创建线程的数量。
port=”80″：绑定端口。
keepAliveTimeout：(default=connectionTimeout)，访客完成一次请求后维持网络连接的时间。

一个简单的 Connector 定义如下：

Executor 的配置

Executor 用于定义共享的线程池。默认情况下每个 Connector 都会产生自己的一个线程池，如果你想多个 Connector 共享一个线程池，则可以先定义一个线程池，如：

然后修改上述的 Connector 配置，增加 executor 属性，修改后的配置如下：

Host 的配置

一个 Host 配置即为一个虚拟主机，例如下面是一个简单的 Host 配置：


        dog.com

Host 配置节点各个属性的作用：

name：设置虚拟主机的域名，比如 localhost 表示本机名称，实际应用时应该填写具体域名，比如 www.dog.com 或者 dog.com，当然如果该虚拟主机是给内部人员访问的，也可以直接填写服务器的 ip 地址，比如 192.168.1.10。
autoDeploy：是否允许自动部署，默认值是 true，即表示 Tomcat 会自动检测 appBase 目录下面的文件变化从而自动应用到正在运行的 Web 应用程序。
unpackWARs：设置是否自动展开 war 压缩包再运行 Web 应用程序，默认值是 true。
appBase：设置 Web 应用程序组的路径。前面说过一个虚拟主机可以由多个 Web 应用程序构成，所以这里的 appBase 所指向的目录应该是准备用于存放这一组 Web 应用程序的目录，而不是具体某个 Web 应用程序的目录本身（即使该虚拟主机只由一个 Web 应用程序组成）。appBase 属性的值可以是相对于 Tomcat 安装目录的相对路径，也可以是绝对路径，需要注意的是该路径必须是 Tomcat 有权限访问的，通过 Arch Linux 源安装的 Tomcat 是通过 tomcat 用户运行的，因此创建一个新的 appBase 目录之后可以使用 chown 命令更改目录的所有者。

下面举例说明如何创建一个新的虚拟主机 www.dog.com：

在目录 /var/lib/tomcat6 下面可以看到安装 Tomcat 时默认创建的 webapps 目录，为了方便管理我们即将创建的虚拟主机的文档也在 /var/lib/tomcat6 里创建：

$ sudo mkdir dog

然后在 dog 目录里面创建目录 ROOT，再在 ROOT 里面创建文件 index.html（内容随便）。

现在将目录的所有者和所有组都更改为 tomcat：

$ sudo chown -R tomcat:tomcat dog

然后在 server.xml 的 Host 节点下增加如下 Host 节点：

重启 Tomcat 服务就可以在浏览器里通过地址 http://www.dog.com 访问这个新创建的虚拟主机了，当然你必须要先在 /etc/hosts 文件里增加 www.dog.com 到 127.0.0.1 的解析记录，如下：

127.0.0.1    www.dog.com

有时一个虚拟主机可能会同时绑定多个域名，比如 www.dog.com 和 dog.com，这时可以通过在 Host 配置节点里增加 Alias 实现，比如：

dog.com

另外上面示例当中的配置了访客的访问日志的储存位置以及文件名。

Engine 的配置

默认的 Engine 节点如下：

这个应该不用展开叙述了，其中 defaultHost 用于指定访客在没有相应的虚拟主机时，Tomcat 默认选择的虚拟主机的名称。考虑如下的情形：

假如有3个域名都 DNS 解析到你的服务器，比如 dog.com, www.dog.com, api.dog.com，当前你只配置了虚拟主机 dog.com 和 www.dog.com，那么当有个访客通过 api.dog.com 访问你的服务器时，Tomcat 就会依据 defaultHost 的设置返回其中一个虚拟主机运行的结果。实际应用中 defaultHost 应该设置为你的主力域名，比如 www.dog.com。

5、多站点的配置

有时我们需要在一台服务器上跑多个站点，通过 Tomcat 很容易实现这点，下面假设我们要搭建 www.dog.com 和 www.cat.com 这两个站点。

首先要确定你的两个域名的 DNS 已经能正确解析到你的服务器，因为这里我们是做实验，所以可以在本机添加域名解析。修改 /etc/hosts 文件，加入如下两行：

127.0.0.1    www.cat.com
127.0.0.1    www.dog.com

然后在 /var/lib/tomcat6 目录里分别创建名字为 cat 和 dog 的两个目录，然后在每个目录里都创建名字为 ROOT 的目录，并在 ROOT 里面创建名字为 index.html 文件（内容随便）。然后将目录 cat 和 dog 的所有者和所有组都更改为 tomcat，方法参考上一节，这里不再赘述。

现在编辑 Tomcat 的主配置文件 server.xml，在默认的 Host 节点下面再加入如下两个新的 Host 节点：

在 Host 节点里面可以根据上一节的说明加入自己需要的属性或者 Alias 和 Value 子节点。重启 Tomcat 服务，现在应该可以在浏览器里分别通过 http://www.dog.com 和 http://www.cat.com 浏览这两个站点了。

6、使用 NIO 连接器

默认的连接器并发性能不太好，如果网站的并发访问量不大则无所谓，或者在公司内部网这点可能体会不出来（因为在内部网可能每个请求在1秒钟之内就完成了），当环境换成 Internet 之后，可能每个客户请求在网络会几秒甚至几十秒的延时才传输完成，这样则会导致“许多访客同时连接”的现象，当 Tomcat 的连接器所有线程都被占用的情况下，后来者（访客）就会被卡在门外。因此我们最好在实际环境中把默认的连接器改成 NIO 连接器（non blocking Java connector）。方法很简单，只要把 Connector 节点的 protocol 属性值更改为 “org.apache.coyote.http11.Http11NioProtocol” 即可，例如原先的是这样：

修改为：

然后重启 Tomcat 服务器即可。

7、为网站添加 SSL 证书

有时网站可能涉及重要的业务数据，在互联网上传输这些页面最好以 https 方式传输，这样可以防止重要信息被中间环节窃取。

详细的方法可以参考我之前的一篇文章《添加 GoDaddy SSL 证书到你的网站》，文章介绍如何申请签名的 SSL 证书以及如何修改 Tomcat 的配置。如果你现在只是想试验一下为网站添加 https 功能，或者只是在公司的内部网站使用上 https，则可以使用一个简单的方法实现：使用自签名 SSL 证书。所谓自签名的 SSL 证书就是自己产生的证书，这种证书没有通过第三方证书商签名认证，所以在浏览这种网站时浏览器会提示证书错误，不过访客是完全可以继续浏览网站内容。

下面假设我们要为上一节的 www.awsok.com 添加SSL证书。首先使用 Java 自带的 keytool 工具产生一个 keystore 文件（一种用于存放证书的文件格式），在自家目录执行如下命令：

$ keytool -keysize 2048 -genkey -alias tomcat -keyalg RSA -keystore tomcat.keystore

然后它会提示你设置一个密码以及输入DN信息：

Enter keystore password:  设置一个用于保护你keystore文件的密码，例如123456
Re-enter new password: 重复上面的密码
What is your first and last name?
  [Unknown]:  www.awsok.com （就是域名啦）
What is the name of your organizational unit?
  [Unknown]:  Networking 组织单位名称（随便）
What is the name of your organization?
  [Unknown]:  awsok.com 组织名称（随便）
What is the name of your City or Locality?
  [Unknown]:  Shenzhen 所在城市（随便）
What is the name of your State or Province?
  [Unknown]:  Guangdong 所在省份（随便）
What is the two-letter country code for this unit?
  [Unknown]:  CN 所在国家的两位代号（随便）
Is CN=www.awsok.com, OU=Networking, O=awsok.com, L=Shenzhen, ST=Guangdong, C=CN correct?
  [no]:  yes 以上信息正确则输入yes

Enter key password for
    (RETURN if same as keystore password): 这一步直接敲回车

完成后会在当前目录产生一个 tomcat.keystore 文件。把这个文件复制到 dog 网站应用程序的根目录（即 /var/lib/tomcat6/dog）：

$ sudo cp tomcat.keystore /var/lib/tomcat6/dog

然后修改 Tomcat 的主配置文件 server.xml，在默认的 Connector 节点之下添加如下的新 Connector 节点：

假如你使用的是 NIO 连接器，则应该这样把 protocol 属性值换成 Http11NioProtocol，即：

重启 Tomcat 服务，用浏览器访问 https://www.dog.com，这时浏览器可能会提示证书错误，忽略它（对于 Firefox 浏览器还需要点击 “添加例外” 按钮才能忽略）即可以看到已经是 https 方式在浏览网页了。

8、使用 APR 高性能连接器

APR 即 Apache Portable Runtime，提供了 Apache Http 的高性能特性，下面普通连接器、NIO和APR的特性简单比较（摘自这里）：

                  Java Blocking Connector       Java Nio Blocking Connector       APR Connector
    Classname         Http11Protocol                  Http11NioProtocol         Http11AprProtocol
    Tomcat Version   3.x 4.x 5.x 6.x                       6.x                     5.5.x 6.x
    Support Polling         NO                             YES                        YES
    Polling Size           N/A                   Unlimited - Restricted by mem        Unlimited - Configurable
    Read HTTP Request     Blocking                     Non Blocking                   Blocking
    Read HTTP Body        Blocking                     Sim Blocking                   Blocking
    Write HTTP Response   Blocking                     Sim Blocking                   Blocking
    SSL Support           Java SSL                     Java SSL                       OpenSSL
    SSL Handshake         Blocking                     Non blocking                   Blocking
    Max Connections       maxThreads                   See polling size               See polling size

Tomcat 文档在 NIO 和 APR 之间比较推荐后者，由于我没有实际环境（即大量从 internet 过来的访问）详细测试和比较，所以我也不太清楚两者相差多少。下面介绍使用 APR 的方法：

先安装 APR for Tomcat 的本地库和 OpenSSL（假如需要使用 SSL 证书并且系统还没安装的话），Arch Linux 的 local 源里面已经存在这两者，所以安装方法很简单：

$ sudo pacman -S tomcat-native
$ sudo pacman -S openssl

然后修改 Tomcat 的主配置文件 server.xml，把 Connector 的 protocol 属性值修改为“org.apache.coyote.http11.Http11AprProtocol”，修改后的配置大致如下：

（注：保留 protocol=”HTTP/1.1″ 属性值也是可以的）

然后重启 Tomcat 服务即可，如何知道是否用上 APR 连接器呢？只要翻查 Tomcat 的日志文件就知道了，默认的日志文件为：/var/log/tomcat6/catalina.err：

$ sudo tail /var/log/tomcat6/catalina.err

如果在重启 Tomcat 服务后看到日志末尾处有出现下面红色字的内容，则表示已经成功用上 APR连接器了。

Feb 19, 2012 9:44:05 AM org.apache.coyote.http11.Http11AprProtocol start
INFO: Starting Coyote HTTP/1.1 on http-80
Feb 19, 2012 9:44:05 AM org.apache.coyote.http11.Http11AprProtocol start
INFO: Starting Coyote HTTP/1.1 on http-443
Feb 19, 2012 9:44:05 AM org.apache.catalina.startup.Catalina start
INFO: Server startup in 1281 ms

如果你使用了 APR 连接器同时又需要添加 SSL 证书（即需要 https 访问功能），则需要使用 OpenSSL 的方法产生加密私钥并且修改一下相应的 Connector 的配置，仍然以上面第7节的例子，即为 www.dog.com 站点添加 SSL 证书来讲解。

先用 OpenSSL 产生私钥以及自签名，在自家目录下执行下面命令：

# Generate private key
$ openssl genrsa -out ca.key 1024 

# Generate CSR
$ openssl req -new -key ca.key -out ca.csr

# Generate Self Signed Key
$ openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt

同上面第7节类似，中途也会要求你输入 DN 信息，完成后把 ca.crt 和 ca.key 文件复制到 dog 站点应用程序的根目录：

$ sudo cp ca.crt /var/lib/tomcat6/dog
$ sudo cp ca.key /var/lib/tomcat6/dog

然后修改 Connector 节点为如下：

重启 Tomcat 服务之后生效。

最后

此文简单讲述在 Arch Linux 环境下安装 Tomcat 6、修改主配置文件、搭建多站点、添加 SSL 证书以及使用高性能的 NIO 和 APR 连接器的方法和步骤。因为内容比较多而且我只做了初级的试验，不知道有没有写错，也没办法给什么建议，所以强烈建议详细阅读 Tomcat 的官方文档

Arch Linux 环境下使用 Tomcat 6 搭建多站点、带SSL证书、高性能NIO/APR网站的配置详解，首发于服务器安全维护工作室。

Haproxy 四层代理

admin — Thu, 05 Nov 2015 01:28:08 +0000

1.安装

#wget http://haproxy.1wt.eu/download/1.4/src/haproxy-1.4.22.tar.gz
#tar zxvf haproxy-1.4.22.tar.gz
#cd haproxy-1.4.22
#uname -r
#make TARGET=linux26 PREFIX=/usr/local/haproxy
#make install PREFIX=/usr/local/haproxy
#mkdir conf
#/usr/local/haproxy/sbin/haproxy -f haproxy.cfg

haproxy.cfg配置

###########全局配置#########
global
chroot /usr/local/haproxy
daemon
nbproc 1
group nobody
user nobody
pidfile /usr/local/haproxy/logs/haproxy.pid
ulimit–n 65536
#spread-checks 5m
#stats timeout 5m
#stats maxconn 100
########默认配置############
defaults
mode tcp #默认的模式mode { tcp|http|health }，tcp是4层，http是7层，health只会返回OK
retries 3 #两次连接失败就认为是服务器不可用，也可以通过后面设置
option redispatch #当serverId对应的服务器挂掉后，强制定向到其他健康的服务器
option abortonclose #当服务器负载很高的时候，自动结束掉当前队列处理比较久的链接
maxconn 32000 #默认的最大连接数
timeout connect 5000ms #连接超时
timeout client 30000ms #客户端超时
timeout server 30000ms #服务器超时
#timeout check 2000 #心跳检测超时
log 127.0.0.1 local0 err #[err warning info debug]
########smtp配置#################
listen smtp 192.168.1.68:25
# bind 0.0.0.0:25
mode tcp
balance roundrobin
server s1 192.168.1.118:25 weight 1 maxconn 10000 check inter 10s
server s2 192.168.1.240:25 weight 1 maxconn 10000 check inter 10s
########pop3配置#################
listen pop3 192.168.1.68:110
# bind 0.0.0.0:25
mode tcp
balance roundrobin
server s1 192.168.1.118:110 weight 1 maxconn 10000 check inter 10s
server s2 192.168.1.240:110 weight 1 maxconn 10000 check inter 10s
########imap配置#################
listen imap 192.168.1.68:143
# bind 0.0.0.0:25
mode tcp
balance roundrobin
server s1 192.168.1.118:143 weight 1 maxconn 10000 check inter 10s
server s2 192.168.1.240:143 weight 1 maxconn 10000 check inter 10s
########统计页面配置########
listen admin_stats 192.168.1.68:8099
# bind 0.0.0.0:8099 #监听端口
mode http #http的7层模式
option httplog #采用http日志格式
#log 127.0.0.1 local0 err
maxconn 5
stats refresh 30s #统计页面自动刷新时间
stats uri /stats #统计页面url
stats realm XingCloud\ Haproxy #统计页面密码框上提示文本
stats auth admin:admin #统计页面用户名和密码设置
stats hide–version #隐藏统计页面上HAProxy的版本信息

监控图：

Haproxy 四层代理，首发于服务器安全维护工作室。

OpenVPN部署安装OpenVPN服务端

admin — Sat, 26 Sep 2015 14:32:57 +0000

1、OpenVPN是基于OpenSSL的，所有要先安装OpenSSL:

[root@Zabbix-Server ~]# yum install openssl openssl-devel gcc

2、安装lzo软件，用于压缩隧道通信数据加快传输数度（版本lzo-2.06）

[root@Zabbix-Server lzo-2.06]# ./configure --prefix=/usr/local/lzo
[root@Zabbix-Server lzo-2.06]# make
[root@Zabbix-Server lzo-2.06]# make install

3、安装OpenVPN（版本openvpn-2.2.2）

[root@Zabbix-Server openvpn-2.2.2]# ./configure --prefix=/usr/local/openvpn --with-lzo-lib=/usr/local/lzo/
[root@Zabbix-Server openvpn-2.2.2]# make
[root@Zabbix-Server openvpn-2.2.2]# make install

4、配置OpenVPN
1）建立CA的详细信息，进入源代码相关目录操作，编辑文件vars设定相关变量值。

[root@Zabbix-Server ~]# cd /root/src/openvpn-2.2.2/easy-rsa/2.0
[root@Zabbix-Server 2.0]# vim vars
###vim vars 需要修该的项###
export KEY_COUNTRY="CN"    #定义国家
export KEY_PROVINCE="SH"    #定义省份
export KEY_CITY="Chengdu"    #定义城市
export KEY_ORG="fuwuqiok.com"    #定义组织
export KEY_EMAIL="zeus911@foxmail.com"    #定义邮件地址
###vim vars###
[root@Zabbix-Server 2.0]# source vars
NOTE: If you run ./clean-all, I will be doing a rm -rf on /root/src/openvpn-2.0.9/easy-rsa/2.0/keys
#初始化keys目录
[root@Zabbix-Server 2.0]# ./clean-all

生成根CA证书ca.key、ca,crt，用于签发server和client证书，由于定义了预设值创建过程中一路回车就可以。

[root@Zabbix-Server 2.0]# ./build-ca

为服务器生成Diffie-Hellman文件

[root@Zabbix-Server 2.0]# ./build-dh

2）为OpenVPN服务器生成证书和密钥，一般只需要输入A challenge password []、An optional company name []:这两项，其它的默认或”y”，如果不使用默认的预设值填入你想要的即可。

[root@Zabbix-Server 2.0]# ./build-key-server server

3）为OpenVPN客户端生成证书文件，以客户端fuwuqi120为例，与服务端的步骤一样如果不更改默认预设值，一路回车或”y”就行了。需要说明的是每个客户端的证书文件都是这样生成的(如果结合radius认证就不用这么麻烦了，后面的文章有介绍)，每个客户端都要独立生成证书文件。

[root@Zabbix-Server 2.0]# ./build-key fuwuqi120

4）修改相关配置文件
为了方便，将keys文件夹整个拷贝到OpenVPN的安装目录/usr/local/openvpn/

[root@Zabbix-Server 2.0]# cp -rp keys/ /usr/local/openvpn/

拷贝OpenVPN的配置文件/root/src/openvpn-2.2.2/sample-config-files/server.conf到OpenVPN的安装目录

[root@Zabbix-Server 2.0]# mkdir /usr/local/openvpn/etc
[root@Zabbix-Server 2.0]# cd ../../sample-config-files/
[root@Zabbix-Server sample-config-files]# cp server.conf /usr/local/openvpn/etc/

编辑配置文件/usr/local/openvpn/etc/server.conf

[root@Zabbix-Server sample-config-files]# cd /usr/local/openvpn/etc/
[root@Zabbix-Server etc]# vim server.conf
####vim server.conf 新增加或修改的项####
proto tcp    #使用TCP协议通信
ca /usr/local/openvpn/keys/ca.crt
cert /usr/local/openvpn/keys/server.crt
key /usr/local/openvpn/keys/server.key
server 10.8.0.0 255.255.255.0    #OpenVPN服务启动时为VPN网络分配的网段
push "dhcp-option DNS 202.96.209.5"
push "route 10.10.10.0 255.255.255.0"    #内网
#指定日志文件，默认的日志送给syslog记录在/var/log/message文件
log         /var/log/openvpn.log
####vim server.conf####

#开启系统IP转发功能，让数据包在不同的网段之间流通

[root@Zabbix-Server etc]# echo "1" > /proc/sys/net/ipv4/ip_forward
上面只是临时开启IP转发功能，下次开机后失效。更改文件/etc/sysctl.conf使其永久生效。
[root@Zabbix-Server etc]# vim /etc/sysctl.conf
####vim 更改的参数 ####
net.ipv4.ip_forward = 1
#使用sysctl -p使参数立即生效
[root@Zabbix-Server etc]# sysctl -p

5）启动OpenVPN server

[root@Zabbix-Server openvpn]# /usr/local/openvpn/sbin/openvpn --config /usr/local/openvpn/etc/server.conf
#一般放到后台运行的这样
[root@Zabbix-Server openvpn]# nohup /usr/local/openvpn/sbin/openvpn --config /usr/local/openvpn/etc/server.conf &

当然也可以使用源码包提供的脚本/root/src/openvpn-2.2.2/sample-scripts/openvpn.init稍加修改就适应当前的环境。

[root@Zabbix-Server sample-scripts]# cp openvpn.init /etc/init.d/openvpn
[root@Zabbix-Server sample-scripts]# vim /etc/init.d/openvpn
####vim openvpn 需要更改的项####
#添加openvpn可执行文件自定义的安装目录/usr/local/openvpn/sbin/openvpn
openvpn_locations="/usr/sbin/openvpn /usr/local/sbin/openvpn /usr/local/openvpn/sbin/openvpn"
#更改配置文件目录为/usr/local/openvpn/etc
work=/usr/local/openvpn/etc
####vim openvpn ####
#启动openvpn并加入开机启动项
[root@Zabbix-Server sample-scripts]# /etc/init.d/openvpn start
正在启动 openvpn：                                         [确定]
[root@Zabbix-Server sample-scripts]# chkconfig openvpn on
[root@Zabbix-Server sample-scripts]#

6）先安装OpenVPN客户端（我的win7 64位）安装程序也在网盘中，然后将keys文件夹下相关的三个证书ca.crt, fuwuqi120.crt, fuwuqi120.key文件放到客服端的C:\Program Files\OpenVPN\config文件夹下。

然后以OpenVPN服务端提供的client.conf（/root/src/openvpn-2.0.9/sample-config-files/client.conf）文件为模板建立客户端的配置文件，windows需要将后缀名改成.ovpn
需要更改的项只有4项分别是：remote，ca，cert，key，我的一份配置fuwuqi120.ovpn如下：

client
dev tun
proto tcp
remote 192.168.5.168 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert fuwuqi120.crt
key fuwuqi120.key
comp-lzo
verb 3

配置完成后就可以双击OpenVPN的图标启动客户端程序，然后右击右下角的小图标选择“connect”连接即可。

OpenVPN部署安装OpenVPN服务端，首发于服务器安全维护工作室。

在CentOS 6上部署PPTP VPN Server

admin — Sat, 26 Sep 2015 14:07:33 +0000

背景介绍：
搭建PPTP VPN Server应该是每个站长都应该会的技能，搭建也是非常容易的。

相关配置：
OS: CentOS 6.4 x86_64 Minimal

1. 安装EPEL扩展库
# yum install http://dl.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm

2. 安装PPTP扩展库
# yum install http://poptop.sourceforge.net/yum/stable/rhel6/pptp-release-current.noarch.rpm

3. 安装PPTP VPN Server
# yum install pptpd

4. 编辑/etc/pptpd.conf
# vim /etc/pptpd.conf

###############################################################################
# $Id: pptpd.conf,v 1.11 2011/05/19 00:02:50 quozl Exp $
#
# Sample Poptop configuration file /etc/pptpd.conf
#
# Changes are effective when pptpd is restarted.
###############################################################################

# TAG: ppp
#	Path to the pppd program, default '/usr/sbin/pppd' on Linux
#
#ppp /usr/sbin/pppd

# TAG: option
#	Specifies the location of the PPP options file.
#	By default PPP looks in '/etc/ppp/options'
#
option /etc/ppp/options.pptpd

# TAG: debug
#	Turns on (more) debugging to syslog
#
debug

# TAG: stimeout
#	Specifies timeout (in seconds) on starting ctrl connection
#
stimeout 120

# TAG: noipparam
#       Suppress the passing of the client's IP address to PPP, which is
#       done by default otherwise.
#
#noipparam

# TAG: logwtmp
#	Use wtmp(5) to record client connections and disconnections.
#
#logwtmp

# TAG: vrf 
#	Switches PPTP & GRE sockets to the specified VRF, which must exist
#	Only available if VRF support was compiled into pptpd.
#
#vrf test

# TAG: bcrelay 
#	Turns on broadcast relay to clients from interface 
#
#bcrelay eth1

# TAG: delegate
#	Delegates the allocation of client IP addresses to pppd.
#
#       Without this option, which is the default, pptpd manages the list of
#       IP addresses for clients and passes the next free address to pppd.
#       With this option, pptpd does not pass an address, and so pppd may use
#       radius or chap-secrets to allocate an address.
#
#delegate

# TAG: connections
#       Limits the number of client connections that may be accepted.
#
#       If pptpd is allocating IP addresses (e.g. delegate is not
#       used) then the number of connections is also limited by the
#       remoteip option.  The default is 100.
#connections 100

# TAG: localip
# TAG: remoteip
#	Specifies the local and remote IP address ranges.
#
#	These options are ignored if delegate option is set.
#
#       Any addresses work as long as the local machine takes care of the
#       routing.  But if you want to use MS-Windows networking, you should
#       use IP addresses out of the LAN address space and use the proxyarp
#       option in the pppd options file, or run bcrelay.
#
#	You can specify single IP addresses seperated by commas or you can
#	specify ranges, or both. For example:
#
#		192.168.0.234,192.168.0.245-249,192.168.0.254
#
#	IMPORTANT RESTRICTIONS:
#
#	1. No spaces are permitted between commas or within addresses.
#
#	2. If you give more IP addresses than the value of connections,
#	   it will start at the beginning of the list and go until it
#	   gets connections IPs.  Others will be ignored.
#
#	3. No shortcuts in ranges! ie. 234-8 does not mean 234 to 238,
#	   you must type 234-238 if you mean this.
#
#	4. If you give a single localIP, that's ok - all local IPs will
#	   be set to the given one. You MUST still give at least one remote
#	   IP for each simultaneous client.
#
# (Recommended)
#localip 192.168.0.1
#remoteip 192.168.0.234-238,192.168.0.245
# or
#localip 192.168.0.234-238,192.168.0.245
#remoteip 192.168.1.234-238,192.168.1.245
localip 10.192.168.1
remoteip 10.192.168.100-200

注解：在以上配置文件中，
指定了PPP配置文件路径：option /etc/ppp/options.pptpd
开启了调试日志：debug
设置了建立连接时的超时时间为120秒：stimeout 120
PPTP VPN Server的本地地址，即客户端会自动获取到的网关地址：localip 10.192.168.1
分配给客户端的地址范围：remoteip 10.192.168.100-200

5. 编辑/etc/ppp/options.pptpd

###############################################################################
# $Id: options.pptpd,v 1.11 2005/12/29 01:21:09 quozl Exp $
#
# Sample Poptop PPP options file /etc/ppp/options.pptpd
# Options used by PPP when a connection arrives from a client.
# This file is pointed to by /etc/pptpd.conf option keyword.
# Changes are effective on the next connection.  See "man pppd".
#
# You are expected to change this file to suit your system.  As
# packaged, it requires PPP 2.4.2 and the kernel MPPE module.
###############################################################################


# Authentication

# Name of the local system for authentication purposes
# (must match the second field in /etc/ppp/chap-secrets entries)
name ec2-tokyo

# Strip the domain prefix from the username before authentication.
# (applies if you use pppd with chapms-strip-domain patch)
#chapms-strip-domain


# Encryption
# (There have been multiple versions of PPP with encryption support,
# choose with of the following sections you will use.)


# BSD licensed ppp-2.4.2 upstream with MPPE only, kernel module ppp_mppe.o
# {{{
refuse-pap
refuse-chap
refuse-mschap
# Require the peer to authenticate itself using MS-CHAPv2 [Microsoft
# Challenge Handshake Authentication Protocol, Version 2] authentication.
require-mschap-v2
# Require MPPE 128-bit encryption
# (note that MPPE requires the use of MSCHAP-V2 during authentication)
require-mppe-128
# }}}


# OpenSSL licensed ppp-2.4.1 fork with MPPE only, kernel module mppe.o
# {{{
#-chap
#-chapms
# Require the peer to authenticate itself using MS-CHAPv2 [Microsoft
# Challenge Handshake Authentication Protocol, Version 2] authentication.
#+chapms-v2
# Require MPPE encryption
# (note that MPPE requires the use of MSCHAP-V2 during authentication)
#mppe-40	# enable either 40-bit or 128-bit, not both
#mppe-128
#mppe-stateless
# }}}


# Network and Routing

# If pppd is acting as a server for Microsoft Windows clients, this
# option allows pppd to supply one or two DNS (Domain Name Server)
# addresses to the clients.  The first instance of this option
# specifies the primary DNS address; the second instance (if given)
# specifies the secondary DNS address.
#ms-dns 10.0.0.1
#ms-dns 10.0.0.2
ms-dns 172.31.0.2

# If pppd is acting as a server for Microsoft Windows or "Samba"
# clients, this option allows pppd to supply one or two WINS (Windows
# Internet Name Services) server addresses to the clients.  The first
# instance of this option specifies the primary WINS address; the
# second instance (if given) specifies the secondary WINS address.
#ms-wins 10.0.0.3
#ms-wins 10.0.0.4

# Add an entry to this system's ARP [Address Resolution Protocol]
# table with the IP address of the peer and the Ethernet address of this
# system.  This will have the effect of making the peer appear to other
# systems to be on the local ethernet.
# (you do not need this if your PPTP server is responsible for routing
# packets to the clients -- James Cameron)
proxyarp

# Normally pptpd passes the IP address to pppd, but if pptpd has been
# given the delegate option in pptpd.conf or the --delegate command line
# option, then pppd will use chap-secrets or radius to allocate the
# client IP address.  The default local IP address used at the server
# end is often the same as the address of the server.  To override this,
# specify the local IP address here.
# (you must not use this unless you have used the delegate option)
#10.8.0.100


# Logging

# Enable connection debugging facilities.
# (see your syslog configuration for where pppd sends to)
debug

# Print out all the option values which have been set.
# (often requested by mailing list to verify options)
dump


# Miscellaneous

# Create a UUCP-style lock file for the pseudo-tty to ensure exclusive
# access.
lock

# Disable BSD-Compress compression
nobsdcomp

# Disable Van Jacobson compression
# (needed on some networks with Windows 9x/ME/XP clients, see posting to
# poptop-server on 14th April 2005 by Pawel Pokrywka and followups,
# http://marc.theaimsgroup.com/?t=111343175400006&r=1&w=2 )
novj
novjccomp

# turn off logging to stderr, since this may be redirected to pptpd,
# which may trigger a loopback
nologfd

# put plugins here
# (putting them higher up may cause them to sent messages to the pty)

logfile /var/log/pptpd.log
multilink

注解：在以上配置文件中，
定义了PPTP VPN Server的服务名：name ec2-tokyo
定义了加密的规则，如下：
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
定义了推送到客户端的DNS地址：ms-dns 172.31.0.2 （我通常选择PPTP VPN Server所在服务器的默认DNS设置）
允许相同局域网的主机在PPTP VPN Server上互相可见：proxyarp
开启了调试信息：debug
启用了一些通用的设置，如下：
dump
lock
nobsdcomp
novj
novjccomp
nologfd
指定了日志文件的位置：logfile /var/log/pptpd.log
允许把多个物理通道捆绑为单一逻辑信道：multilink

6. 编辑用户账号密码文件/etc/ppp/chap-secrets
# vim /etc/ppp/chap-secrets

# Secrets for authentication using CHAP
# client	server	secret			IP addresses
"fuwuqiok.com"  *       "password"        *

7. 编辑/etc/sysconfig/iptables-config
修改 IPTABLES_MODULES=”” 为 IPTABLES_MODULES=”ip_nat_pptp” 确保在启动iptables服务时自动加载模块。

8. 编辑/etc/sysconfig/iptables（默认eth0为公网IP地址所在网口）
# vim /etc/sysconfig/iptables

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 1723 -j ACCEPT
-A INPUT -s 10.192.168.0/255.255.255.0 -m state --state NEW -m tcp -p tcp -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 10.192.168.0/255.255.255.0 -o eth0 -j MASQUERADE
COMMIT

注解：在以上iptables脚本中，
对所有GRE协议的数据包放行；
对TCP端口1723放行；
对整个PPTP VPN的局域网地址段10.192.168.0/24放行；
将整个PPTP VPN的局域网地址段10.192.168.0/24通过NAT映射到eth0网口，实现共享上网；

9. 开启数据转发，编辑/etc/sysctl.conf
修改 net.ipv4.ip_forward = 0 为 net.ipv4.ip_forward = 1
执行 sysctl -p

10. 启动PPTP VPN Server
# /etc/init.d/pptpd restart
# /etc/init.d/iptables restart

11. 设置PPTP VPN Server与iptables服务开机自启动
# chkconfig pptpd on
# chkconfig iptables on

12. 在本地PC上配置客户端并连接PPTP VPN Server

ps　对于使用OpenVPN部署 iptables设置

如果安装好openvpn后能拨号成功，也能成功登录openvpn服务器，但是怎么也登录不了除openvpn服务器外的其它内网机器，这时需要配置iptables实现内网任何机器的登陆。
1、打开系统的转发功能

[root@who-am-i ~]# vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
[root@who-am-i ~]# sysctl -p

2、新增iptable规则

[root@who-am-i ~]# vim /bin/iptables.sh
iptables -t nat -F

####openvpn####
iptables -A INPUT -p tcp –destination-port 1194 -j ACCEPT
iptables -A INPUT -i tun0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.85.0/24 -j SNAT –to-source 10.10.10.167

#iptables -A FORWARD -j DROP

说明：
首先删除所有的nat表。
开放openvpn服务监控端口1194。
开放openvpn的虚拟网络设备tun0。
开放lo。
添加nat规则，对所有源地址（openvpn为客户端分配的地址）为192.168.85.0/24的数据包转发后进行源地址伪装，伪装成openvpn服务器内网地址10.10.10.167，这样就可以内网的其它机器通信了。
注释默认规则 iptables -A FORWARD -j DROP 允许任何数据包的转发。

在CentOS 6上部署PPTP VPN Server，首发于服务器安全维护工作室。

生产线上HAProxy内核参数调优

admin — Sat, 26 Sep 2015 14:00:43 +0000

HAProxy生产环境配置
CPU: 8核
内存: 16G
数量：4

Servers
数量: 150
类型：HTTP/HTTPS响应GET/POST请求，返回json数据并产生日志
稳定支持的并发会话数量：400K

系统相关配置
# grep -E ‘maxconn|nbproc’ /etc/haproxy/haproxy.cfg

maxconn     200000
nbproc           7

# cat /etc/security/limits.d/90-nproc.conf

# Default limit for number of user's processes to prevent
# accidental fork bombs.
# See rhbz #432903 for reasoning.

*          -    nproc     4096
root       -    nproc     unlimite

# cat /etc/security/limits.d/90-nofile.conf

* - nofile 200000

# cat /etc/sysctl.conf

# Kernel sysctl configuration file for Red Hat Linux
#
# For binary values, 0 is disabled, 1 is enabled.  See sysctl(8) and
# sysctl.conf(5) for more details.

# Controls IP packet forwarding
net.ipv4.ip_forward = 1
net.ipv4.ip_nonlocal_bind = 1

# Controls source route verification
net.ipv4.conf.default.rp_filter = 0

# Do not accept source routing
net.ipv4.conf.default.accept_source_route = 0

# Controls the System Request debugging functionality of the kernel
kernel.sysrq = 0

# Controls whether core dumps will append the PID to the core filename.
# Useful for debugging multi-threaded applications.
kernel.core_uses_pid = 1

# Controls the use of TCP syncookies
net.ipv4.tcp_syncookies = 1

# Disable netfilter on bridges.
net.bridge.bridge-nf-call-ip6tables = 0
net.bridge.bridge-nf-call-iptables = 0
net.bridge.bridge-nf-call-arptables = 0

# Controls the maximum size of a message, in bytes
kernel.msgmnb = 65536

# Controls the default maxmimum size of a mesage queue
kernel.msgmax = 65536

# Controls the maximum shared segment size, in bytes
kernel.shmmax = 68719476736

# Controls the maximum number of shared memory segments, in pages
kernel.shmall = 4294967296

# Maximize ephemeral port range
net.ipv4.ip_local_port_range = 1024 65535

# ARP related
net.ipv4.conf.all.arp_notify = 1
net.ipv4.conf.default.arp_ignore = 1
net.ipv4.conf.default.arp_announce = 2

# General gigabit tuning
net.core.somaxconn = 32768
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.core.rmem_default = 16777216
net.core.wmem_default = 16777216
net.ipv4.tcp_rmem = 4096 87380 16777216
net.ipv4.tcp_wmem = 4096 87380 16777216
net.ipv4.tcp_mem = 94500000 915000000 927000000

# Give the kernel more memory for tcp
# which need with many (100k+) open socket connections
net.core.netdev_max_backlog = 262144
net.ipv4.tcp_max_syn_backlog = 262144
net.ipv4.tcp_max_tw_buckets = 2000000
net.ipv4.tcp_tw_recycle = 0
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_no_metrics_save = 1
net.ipv4.tcp_fin_timeout = 1
net.ipv4.tcp_keepalive_probes = 5
net.ipv4.tcp_keepalive_intvl = 30
net.ipv4.tcp_keepalive_time = 1800
net.ipv4.tcp_slow_start_after_idle = 0

## Protect against tcp time-wait assassination hazards
## drop RST packets for sockets in the time-wait state
net.ipv4.tcp_rfc1337 = 1

# Enusre that immediatly subsequent connections use the new values
net.ipv4.route.flush = 1

# Increase system file descriptor limit
fs.file-max = 200000
kernel.pid_max = 65536

# Limit number of orphans, each orphan can eat up to 16M (max wmem) of unswappable memory
net.ipv4.tcp_max_orphans = 60000
net.ipv4.tcp_synack_retries = 3
net.ipv4.tcp_syn_retries = 3

生产线上HAProxy内核参数调优，首发于服务器安全维护工作室。

网站防cc攻击iptables方法

admin — Sun, 23 Aug 2015 10:29:06 +0000

CC攻击原理
CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。CC主要是用来攻击页面的，每个人都有这样的体验：当一个网页访问的人数特别多的时候，打开网页就慢了，CC就是模拟多个用户（多少线程就是多少用户）不停地进行访问那些需要大量数据操作（就是需要大量CPU时间）的页面，造成服务器资源的浪费，CPU长时间处于100%，永远都有处理不完的连接直至就网络拥塞，正常的访问被中止。

1、第一种
#!/bin/sh
IP=`tail -1000 access.log| awk ‘{print $1}’ | sort | uniq -c | sort -rn|awk ‘$1 > 100 {print $2}’`
for i in $IP
do
iptables -I INPUT -p tcp –dport 80 -s $i -j DROP
done

2、第二种
#!/bin/sh
status=`netstat -na|awk ‘$5 ~ /[0-9]+:[0-9]+/ {print $5}’ |awk -F “:” — ‘{print $1}’ |sort -n|uniq -c |sort -n|tail -n 1`
NUM=`echo $status|awk ‘{print $1}’`
IP=`echo $status|awk ‘{print $2}’`
result=`echo “$NUM > 100″ | bc`
if [ $result = 1 ] then
echo IP:$IP is over $NUM, BAN IT! >> ip_deny.txt
/sbin/iptables -I INPUT -s $IP -j DROP
fi

网站防cc攻击iptables方法，首发于服务器安全维护工作室。

iptables 屏蔽IP

admin — Sun, 23 Aug 2015 10:26:22 +0000

IPdeny 下载以国家代码编制好的 IP 地址列表，比如下载 cn.zone：
有了国家的所有 IP 地址，要想屏蔽这些 IP 就很容易了，直接写个脚本逐行读取 cn.zone 文件并加入到 iptables 中：

#!/bin/bash
# Block traffic from a specific country
# written by fuwuqiok.com

COUNTRY=”cn”
IPTABLES=/sbin/iptables
EGREP=/bin/egrep

if [ “$(id -u)” != “0” ]; then
echo “you must be root” 1>&2
exit 1
fi

resetrules() {
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IPTABLES -X
}

resetrules

for c in $COUNTRY
do
country_file=$c.zone

IPS=$($EGREP -v “^#|^$” $country_file)
for ip in $IPS
do
echo “blocking $ip”
$IPTABLES -A INPUT -s $ip -j DROP
done
done

exit 0

以上脚本可以延伸成防ddos攻击！

iptables 屏蔽IP，首发于服务器安全维护工作室。