2021-01-25 03:43:48

转自：https://www.runoob.com/w3cnote/set-ssh-login-key.html

我们一般使用 PuTTY 等 SSH 客户端来远程管理 Linux 服务器。但是，一般的密码方式登录，容易有密码被暴力破解的问题。所以，一般我们会将 SSH 的端口设置为默认的 22 以外的端口，或者禁用 root 账户登录。其实，有一个更好的办法来保证安全，而且让你可以放心地用 root 账户从远程登录——那就是通过密钥方式登录。

密钥形式登录的原理是：利用密钥生成器制作一对密钥——一只公钥和一只私钥。将公钥添加到服务器的某个账户上，然后在客户端利用私钥即可完成认证并登录。这样一来，没有私钥，任何人都无法通过 SSH 暴力破解你的密码来远程登录到系统。此外，如果将公钥复制到其他账户甚至主机，利用私钥也可以登录。

下面来讲解如何在 Linux 服务器上制作密钥对，将公钥添加给账户，设置 SSH，最后通过客户端登录。

1. 制作密钥对

首先在服务器上制作密钥对。首先用密码登录到你打算使用密钥登录的账户，然后执行以下命令：

[root@host ~]$ ssh-keygen  <== 建立密钥对  #或生成pem:ssh-keygen -t rsa -f my.pem -C "your@email.com"
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): <== 按 Enter
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase): <== 输入密钥锁码，或直接按 Enter 留空
Enter same passphrase again: <== 再输入一遍密钥锁码
Your identification has been saved in /root/.ssh/id_rsa. <== 私钥
Your public key has been saved in /root/.ssh/id_rsa.pub. <== 公钥
The key fingerprint is:
0f:d3:e7:1a:1c:bd:5c:03:f1:19:f1:22:df:9b:cc:08 root@host

密钥锁码在使用私钥时必须输入，这样就可以保护私钥不被盗用。当然，也可以留空，实现无密码登录。

现在，在 root 用户的家目录中生成了一个 .ssh 的隐藏目录，内含两个密钥文件。id_rsa 为私钥，id_rsa.pub 为公钥。

2. 在服务器上安装公钥

键入以下命令，在服务器上安装公钥：

[root@host ~]$ cd .ssh
[root@host .ssh]$ cat id_rsa.pub >> authorized_keys

如此便完成了公钥的安装。为了确保连接成功，请保证以下文件权限正确：

[root@host .ssh]$ chmod 600 authorized_keys
[root@host .ssh]$ chmod 700 ~/.ssh

3. 设置 SSH，打开密钥登录功能

编辑 /etc/ssh/sshd_config 文件，进行如下设置：

RSAAuthentication yes
PubkeyAuthentication yes

另外，请留意 root 用户能否通过 SSH 登录：

PermitRootLogin yes

当你完成全部设置，并以密钥方式登录成功后，再禁用密码登录：

PasswordAuthentication no

最后，重启 SSH 服务：

[root@host .ssh]$ service sshd restart

4. 将私钥下载到客户端，然后转换为 PuTTY 能使用的格式

使用 WinSCP、SFTP 等工具将私钥文件 id_rsa 下载到客户端机器上。然后打开 PuTTYGen，单击 Actions 中的 Load 按钮，载入你刚才下载到的私钥文件。如果你刚才设置了密钥锁码，这时则需要输入。

载入成功后，PuTTYGen 会显示密钥相关的信息。在 Key comment 中键入对密钥的说明信息，然后单击 Save private key 按钮即可将私钥文件存放为 PuTTY 能使用的格式。

今后，当你使用 PuTTY 登录时，可以在左侧的 Connection -> SSH -> Auth 中的 Private key file for authentication: 处选择你的私钥文件，然后即可登录了，过程中只需输入密钥锁码即可。

2020-08-12 22:12:05

2020-04-04 21:18:45

本文的原文连接是: http://blog.csdn.net/freewebsys/article/details/53638227
博主地址是：http://blog.csdn.net/freewebsys

1，golang非常适合云计算
docker 非常的好，golang 也可以直接跑在 alpine系统上面
但是，golang是个编译语言，不像java一样。可以把jar拷贝到其他系统上，golang依赖编译环境。
之前犯的一个错误就是，把centos系统上编译的二进制文件。
拷贝到了 alpine系统上，结果执行报错。
golang的编译还是依赖不同操作系统的。
所以干脆使用virtualbox 创建一个alpine的虚拟机得了。
在alpine上面做的操作就方便多了。

2，安装alpine
下载iso文件。
http://alpinelinux.org/downloads
安装：
https://wiki.alpinelinux.org/wiki/Installation
创建虚拟机就不说了。
alpine 挂载上了 ios镜像文件之后。
启动就进入登录界面了。用户名root，密码是空。（默认的）
执行安装语句

setup-alpine
1
这个没有centos的安装界面，就是个shell脚本。一步一步执行就行了。
https://wiki.alpinelinux.org/wiki/Alpine_setup_scripts

首先是需要输入键盘格式。
然后自动获得ip。
设置管理员密码
输入时区 Asia/Shanghai 直接输入就行了。
下一步进行格式化硬盘

先选择了个 lvm ，然后又选择了个sys。
只有sys 才是把文件写入硬盘。
最后擦写硬盘。使用虚拟机问题不大，实机的时候注意数据备份。

一般来说安装脚本的执行问题不大。
有的时候可能访问不了网络了。这个时候重启下虚拟机，重新来。
https://wiki.alpinelinux.org/wiki/Configure_Networking
或者自己配置下网络。

vi /etc/resolv.conf
nameserver 114.114.114.114
重启网络
/etc/init.d/networking restart
ifconfig 看看ip
最好把镜像的地址修改成清华的。

echo "https://mirror.tuna.tsinghua.edu.cn/alpine/v3.4/main" > /etc/apk/repositories
apk update
1
2
也可以直接编辑 /etc/apk/repositories
安装完成，提示重启。

3，进入系统
进入系统之后

磁盘空间占用的挺少的。
这样一个 alpine linux 系统就安装好了。

4，开启ssh远程登录
默认 alpine 没有开启远程登录权限。
ssh远程登录不了。
vi /etc/ssh/sshd_config
增加：
PermitRootLogin yes
允许root登录，当然这个是测试环境，未来方便的。

5，总结
本文的原文连接是: http://blog.csdn.net/freewebsys/article/details/53638227 未经博主允许不得转载。
博主地址是：http://blog.csdn.net/freewebsys

alpine linux 系统很小。以后模拟测试啥的都可以在这个上面进行了。
以后再这个环境编译好的golang 二进制文件。就可以拷贝到 docker的 alpine 上面了。
一些特性也可以在 这个环境上面测试了。
————————————————
版权声明：本文为CSDN博主「freewebsys」的原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/freewebsys/java/article/details/53638227

2020-04-04 21:06:25

最近入了一台独立服务器，如果直接拿来跑项目的话就太浪费资源了。于是打算使用Proxmox VE这款虚拟化管理软件进行VPS管理。

Proxmox VE是一款套开源的虚拟化管理软件，用户可通过网页的方式来管理服务器上使用 kvm 以及 lxc 技术运行的虚拟机。同时提供了一些先进功能的支持，如集群、HA等。

0x00 安装

Proxmox VE是基于Debian进行开发的，主要有两种安装方式。
其一是通过官方提供的iso作为一个全新的系统安装
另一种方式是在已有的Debian系统上安装
手动安装时请务必保证网卡配置正确，若出错的话在不带IPMI的机子上很难处理。

安装完成后即可通过https://ip:8006/访问管理页面

另外，这里记录一下版本升级的方法。由于Proxmox VE是一家商业公司在运营，所以一些功能是需要购买订阅才能使用的，例如说版本更新功能。但是可以通过一些方法绕过限制。注意这些更新方法请勿用于生产环境中。

将软件源更改为测试源

修改/etc/apt/sources.list.d/pve-install-repo.list, 将 pve-no-subscription 修改为pvetest
然后apt三连即可更新为新版本。

apt-get update
apt-get upgrade
apt-get dist-upgrade

0x01 相关设定

对于kvm虚拟化的虚拟机，若想上传需要用到的iso文件，可以直接通过网页端上传，也可以直接将文件放入/var/lib/vz/template/iso/中
如果想对kvm虚拟机的启动参数进行调整，官方提供了api:qm set，具体可参照官方文档
对于lxc虚拟化的虚拟机，可以直接从系统中下载对应发行版的模板，无需自行下载。
可以直接使用LXC自带的api对lxc虚拟机进行管理，注意-n为虚拟机的id。

0x02 网络配置

对于多ip的服务器，本身官方就是按照桥接的方式做好网络配置的，直接在虚拟机中填写分配的ip即可。
对于单ip服务器，可以采用NAT的方法让虚拟机连上外部网络。这里介绍俩种方式。

采用QEMU自带的NAT

对于KVM虚拟机，可以直接在创建虚拟机的时候勾上NAT，这时候就会自动为虚拟机分配一个虚拟的子网并且虚拟机可以通过nat连接到外部网络，基本上是开箱即用。同时也支持端口映射，具体可参考官方wiki下的QEMU port redirection。但之前在使用的过程中，发现这个端口映射并不是很稳定。同时虽然这种方法很简单，但是虚拟机之间是隔离的，无法互通数据，这样就非常不灵活。
同时，LXC虚拟机是没有这种开箱即用的NAT的。

配置iptables创建子网以实现nat

主要思路是创建一个虚拟桥接设备并创建一个子网，然后将所有虚拟机包括宿主机都连接到这个子网内，再开启iptables的NAT功能。
编辑配置文件/etc/interfaces，以下是参考配置

auto vmbr2
iface vmbr2 inet static
    address 10.0.0.254
    netmask 255.255.255.0
    bridge_ports none
    bridge_stp off
    bridge_fd 0
    post-up echo 1 > /proc/sys/net/ipv4/ip_forward
    post-up iptables -t nat -A POSTROUTING -s '10.0.0.0/24' -o vmbr0 -j MASQUERADE
    post-down iptables -t nat -D POSTROUTING -s '10.0.0.0/24' -o vmbr0 -j MASQUERADE

以上配置创建了vmbr2并且分配了一个子网10.0.0.0/24，同时宿主机(同时亦为网关)在这个子网内的ip为10.0.0.254。然后开启了内核的转发功能与iptables的NAT功能(其中vmbr0为通向外部网络的设备)。
若想添加端口转发直接在iptables中增加相关条目即可。
例如想要将宿主机vmbr0的80端口的tcp连接转发到10.0.0.102的80端口上：
iptables -t nat -A PREROUTING -i vmbr0 -p tcp --dport 80 -j DNAT --to 10.0.0.102:80
如果想保存转发规则，使之重启后依然有效，则需要在/etc/interfaces相应位置加入

post-up iptables -t nat -A PREROUTING -i vmbr0 -p tcp --dport 80 -j DNAT --to 10.0.0.102:80
post-down iptables -t nat -D PREROUTING -i vmbr0 -p tcp --dport 80 -j DNAT --to 10.0.0.102:80

通过以上方法就能组建一个灵活的子网了，kvm虚拟机和lxc虚拟机都可接入，并且都可以有端口转发。由于没有DHCP服务器所以要自行分配ip。注意创建虚拟机的时候将其挂载到vmbr2端口下。
我的服务器只有一个ip，所以内部组网就只能采取这种这种的方法了hhhh。为了充分利用资源，我将80，443端口转发到内部一台虚拟机上，这台虚拟机再使用nginx反代到内网的其它虚拟机，以充分利用单个ip。

启用BBR优化网络

目前的Proxmox VE版本的linux内核版本比较新，已经包含了bbr模块了。

修改sysctl.conf

echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf
echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf

保存生效

sysctl -p

检测是否已启用bbr模块

lsmod | grep bbr

如果含有bbr即说明内核内已启用bbr模块

2018-09-24 01:01:46

实测有效方法：压缩你的镜像

方法：试着用命令或工具压缩你的镜像。

docker 自带的一些命令还能协助压缩镜像，比如 export 和 import

但麻烦的是需要先将容器运行起来，而且这个过程中你会丢失镜像原有的一些信息，比如：导出端口，环境变量，默认指令。

 

介绍

前段时间网易蜂巢曾经推出蜂巢 Logo T恤，用的正是 Docker 镜像制作，最神奇的是，它最终的镜像大小只有 585字节。

$ docker images | grep hub.c.163.com/public/logo

REPOSITORY                          TAG     IMAGE ID           CREATED      SIZE

hub.c.163.com/public/logo  latest  6fbdd13cd204  11 days ago  585 B

这其中就用到了不少精简镜像的技术，尤其是针对 C 程序的优化和精简。但我们平常开发肯定不止用 C 语言，甚至有些镜像都不是我们自己来打包的（比如下载公共镜像），那是否有一些通用的精简 Docker 镜像的手段呢？ 答案是肯定的 ，甚至有的镜像可以精简 98%。精简镜像大小的好处不言而喻，既节省了存储空间，又能节省带宽，加快传输。那好，接下来就请跟随我来学习怎么一步步精简 Docker 镜像吧。

镜像层(Layers)

在开始制作镜像之前，首先了解下镜像的原理，而这其中最重要的概念就是镜像层(Layers)。镜像层依赖于一系列的底层技术，比如文件系统(filesystems)、写时复制(copy-on-write)、联合挂载(union mounts)等，幸运的是你可以在很多地方学习到这些技术，这里就不再赘述技术细节。

 

 

总的来说，你最需要记住这点：

在 Dockerfile 中， 每一条指令都会创建一个镜像层，继而会增加整体镜像的大小。

举例来说：

FROM busybox

RUN mkdir /tmp/foo

RUN dd if=/dev/zero of=/tmp/foo/bar bs=1048576 count=100

RUN rm /tmp/foo/bar

以上 Dockerfile 干了这几件事：

• 基于一个官方的基础镜像 busybox(只有1M多)
• 创建一个文件夹(/tmp/foo)和一个文件(bar)
• 为该文件分配了100M大小
• 再把这个大文件删除

事实上，它最终什么也没做，我们把它构建成镜像看看（构建可以参考一期）：

docker build -t busybox:test .

再让我们来对比下原生的 busybox 镜像大小和我们生成的镜像大小：

$ docker images | grep

busyboxbusybox    test     896c63dbdb96    2 seconds ago    106 MB

busybox    latest   2b8fd9751c4c    9 weeks ago      1.093 MB

出乎意料的是，却生成了 106 MB 的镜像。

多出了 100 M，这是为何？这点和 git 类似（都用到了Copy-On-Write技术），我用 git 做了如下两次提交（添加了又删除），请问 A_VERY_LARGE_FILE 还在 git 仓库中吗？

$ git add  A_VERY_LARGE_FILE

$ git commit

$ git rm  A_VERY_LARGE_FILE

$ git commit

答案是： 在的 ，并且会占用仓库的大小。Git 会保存每一次提交的文件版本，而 Dockerfile 中每一条指令都可能增加整体镜像的大小，即使它最终什么事情都没做。

精简步骤

了解了镜像层知识，有助于我们接下来制作精简镜像。这里开始，以最常用的开源缓存软件 Redis 为例，从一步步试验，来介绍如何制作更精简的 Docker 镜像。

步骤 1：初始化构建 Redis 镜像

直接上 Dockerfile ：

FROM ubuntu:trusty

ENV VER     3.0.0

ENV TARBALL http://download.redis.io/releases/redis-$VER.tar.gz

# ==> Install curl and helper tools...

RUN apt-get update

RUN apt-get install -y  curl make gcc

# ==> Download, compile, and install...

RUN curl -L $TARBALL | tar zxv

WORKDIR  redis-$VER

RUN make

RUN make install

#...

# ==> Clean up...

WORKDIR /

RUN apt-get remove -y --auto-remove curl make gcc

RUN apt-get clean

RUN rm -rf /var/lib/apt/lists/*  /redis-$VER

#...

CMD ["redis-server"]

结合注释，读起来并不困难，用到的都是常规的几个命令，简要介绍如下：

• FROM：顶头写，指定一个基础镜像，此处基于 ubuntu:trusty
• ENV：设置环境变量，这里设置了 VER 和 TARBALL 两个环境变量
• RUN：最常用的 Dockerfile 指令，用于运行各种命令，这里调用了 8 次 RUN 指令
• WORKDIR：指定工作目录，相当于指令 cd
• CMD：指定镜像默认执行的命令，此处默认执行 redis-server 命令来启动 redis

执行构建：

$ docker build  -t redis:lab-1  .

注：国内网络，更新下载可能会较慢

查看大小：

 

 

动辄就有 300多 M 的大小，不能忍，下面我们开始一步步优化。

步骤 2: 优化基础镜像

方法：选用更小的基础镜像。

常用的 Linux 系统镜像一般有 ubuntu、centos、debian，其中debian 更轻量，而且够用，对比如下：

REPOSITORY     TAG        IMAGE ID           VIRTUAL SIZE

---------------           ------          ------------                ------------

centos              7               214a4932132a     215.7 MB

centos              6               f6808a3e4d9e      202.6 MB

ubuntu              trusty       d0955f21bf24      188.3 MB

ubuntu              precise    9c5e4be642b7     131.9 MB

debian              jessie       65688f7c61c4      122.8 MB

debian              wheezy    1265e16d0c28      84.96 MB

替换 debian:jessie 作为我们的基础镜像。

优化 Dockerfile：

FROM debian:jessie

#...

执行构建：

$ docker build  -t redis:lab-2  .

查看大小：

 

 

减少了42M，稍有成效，但并不明显。细心的同学应该发现，只有 122 MB 的 debian 基础镜像，构建后增加到了 305 MB，看来这里面肯定有优化的空间，如何优化就要用到我们开头说到的 Image Layer 知识了。

步骤 3：串联 Dockerfile 指令

方法： 串联你的 Dockerfile 指令（一般是 RUN 指令）。

Dockerfile 中的 RUN 指令通过 && 和 / 支持将命令串联在一起，有时能达到意想不到的精简效果。

优化 Dockerfile：

FROM debian:jessie

ENV VER     3.0.0

ENV TARBALL http://download.redis.io/releases/redis-$VER.tar.gz




RUN echo "==> Install curl and helper tools..."  && \     apt-get update                      && \   

  apt-get install -y  curl make gcc   && \  

  \   

  echo "==> Download, compile, and install..."  && \  

  curl -L $TARBALL | tar zxv  && \   

  cd redis-$VER               && \   

  make                        && \   

  make install                && \   

  ...   

  echo "==> Clean up..."  && \   

  apt-get remove -y --auto-remove curl make gcc  && \

  apt-get clean                                  && \   

  rm -rf /var/lib/apt/lists/*  /redis-$VER




#...

CMD ["redis-server"]

构建：

$ docker build  -t redis:lab-3  .

查看大小：

 

 

哇！一下子减少了 50%，效果明显啊！这是最常用的一个精简手段了。

步骤 4：压缩你的镜像

方法：试着用命令或工具压缩你的镜像。

docker 自带的一些命令还能协助压缩镜像，比如 export 和 import

$ docker run -d redis:lab-3

$ docker export 71b1c0ad0a2b | docker import - redis:lab-4

但麻烦的是需要先将容器运行起来，而且这个过程中你会丢失镜像原有的一些信息，比如：导出端口，环境变量，默认指令。

所以一般通过命令行来精简镜像都是实验性的，那么这里再推荐一个小工具： docker-squash。用起来更简单方便，并且不会丢失原有镜像的自带信息。

下载安装：

https://github.com/jwilder/docker-squash#installation（复制此链接到浏览器打开）

压缩操作：

$ docker save redis:lab-3 \ 

  | sudo docker-squash -verbose -t redis:lab-4  \ 

  | docker load

注： 该工具在 Mac 下并不好使，请在 Linux 下使用

对比大小：

 

 

好吧，从这里看起来并没有太大作用，所以我只能说试着，而不要报太大期望。

总结

本期我们介绍了镜像层的知识，并且通过实验，介绍三种如何精简镜像的技巧（下期还有更强大的技巧）。这里主要介绍了三种精简方法：选用更精小的镜像，串联 Dockerfile 运行指令，以及试着压缩你的镜像。通过这几个技巧，已经可以将 300M 大小的镜像压缩到 150M，压缩率50%，效果还是不错。但这还远远不够，下篇我们将介绍一些终极手段，压缩效果可以达到 98%哦！

2018-08-12 16:09:52

Let's Encrypt作为一个公共且免费SSL的项目逐渐被广大用户传播和使用，是由Mozilla、Cisco、Akamai、IdenTrust、EFF等组织人员发起，主要的目的也是为了推进网站从HTTP向HTTPS过度的进程，目前已经有越来越多的商家加入和赞助支持。

Let's Encrypt免费SSL证书的出现，也会对传统提供付费SSL证书服务的商家有不小的打击。到目前为止，Let's Encrypt获得IdenTrust交叉签名，这就是说可以应用且支持包括FireFox、Chrome在内的主流浏览器的兼容和支持，虽然目前是公测阶段，但是也有不少的用户在自有网站项目中正式使用起来。

在今年黑色星期五的时候，Namecheap各种促销活动中也包括年费0.88美元的SSL证书，当时老左也有购买了2个备用学习和适当的放到一些网站中看看效果（据说英文网站谷歌会很喜欢），当时冷雨同学就建议到时候直接使用Let's Encrypt免费SSL，毕竟有很多大公司支持的，比一些小公司提供的免费SSL证书靠谱很多。

虽然目前Let's Encrypt免费SSL证书默认是90天有效期，但是我们也可以到期自动续约，不影响我们的尝试和使用，为了考虑到文章的真实性和以后的实战性，老左准备利用一些时间分篇幅的展现在应用Let's Encrypt证书的过程，这篇文章分享申请的方法教程。

第一、安装Let's Encrypt前的准备工作

根据官方的要求，我们在VPS、服务器上部署Let's Encrypt免费SSL证书之前，需要系统支持Python2.7以上版本以及支持GIT工具。这个需要根据我们不同的系统版本进行安装和升级，因为有些服务商提供的版本兼容是完善的，尤其是debian环境兼容性比CentOS好一些。

比如CentOS 6 64位环境不支持GIT，我们还可以参考"Linux CentOS 6 64位系统安装Git工具环境教程"和"9步骤升级CentOS5系统Python版本到2.7"进行安装和升级。最为 简单的就是Debian环境不支持，可以运行"apt-get -y install git"直接安装支持，如果是CentOS直接运行"yum -y install git-core"支持。这个具体遇到问题在讨论和搜索解决方案，因为每个环境、商家发行版都可能不同。在这篇文章中，老左采用的是debian 7 环境。

第二、快速获取Let's Encrypt免费SSL证书

在之前的博文中老左也分享过几篇关于SSL部署的过程，我自己也搞的晕乎晕乎的，获取证书和布局还是比较复杂的，Let's Encrypt肯定是考虑到推广HTTPS的普及型会让用户简单的获取和部署SSL证书，所以可以采用下面简单的一键部署获取证书。

PS：在获取某个站点证书文件的时候，我们需要在安装PYTHON2.7以及GIT，更需要将域名解析到当前VPS主机IP中。

git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
./letsencrypt-auto certonly --standalone --email admin@laozuo.org -d laozuo.org -d www.laozuo.org

然后执行上面的脚本，我们需要根据自己的实际站点情况将域名更换成自己需要部署的。

看到这个界面，直接Agree回车。

然后看到这个界面表示部署成功。目前根据大家的反馈以及老左的测试，如果域名是用的国内DNS，包括第三那方DNSPOD等，都可能获取不到域名信息。

这里我们可以看到有"The server could not connect to the client to verify the  domain"的错误提示信息，包括也有其他提示错误，"The server experienced an internal error :: Error creating new registration"我们在邮局的时候不要用国内免费邮局。所以，如果我们是海外域名就直接先用域名自带的DNS。

第三、Let's Encrypt免费SSL证书获取与应用

在完成Let's Encrypt证书的生成之后，我们会在"/etc/letsencrypt/live/laozuo.org/"域名目录下有4个文件就是生成的密钥证书文件。

cert.pem  - Apache服务器端证书
chain.pem  - Apache根证书和中继证书
fullchain.pem  - Nginx所需要ssl_certificate文件
privkey.pem - 安全证书KEY文件

如果我们使用的Nginx环境，那就需要用到fullchain.pem和privkey.pem两个证书文件，在部署Nginx的时候需要用到（参考：LNMP一键包环境安装SSL安全证书且部署HTTPS网站URL过程）。在这篇文章中老左就不详细演示Let's Encrypt证书证书的安装，后面再重新折腾一篇文章详细的部署证书的安装Nginx和Apache。

ssl_certificate /etc/letsencrypt/live/laozuo.org/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/laozuo.org/privkey.pem;

比如我们在Nginx环境中，只要将对应的ssl_certificate和ssl_certificate_key路径设置成我们生成的2个文件就可以，最好不要移动和复制文件，因为续期的时候直接续期生成的目录文件就可以，不需要再手工复制。

第四、解决Let's Encrypt免费SSL证书有效期问题

我们从生成的文件中可以看到，Let's Encrypt证书是有效期90天的，需要我们自己手工更新续期才可以。

./letsencrypt-auto certonly --renew-by-default --email admin@laozuo.org -d laozuo.org -d www.laozuo.org

这样我们在90天内再去执行一次就可以解决续期问题，这样又可以继续使用90天。如果我们怕忘记的话也可以制作成定时执行任务，比如每个月执行一次。

第五、关于Let's Encrypt免费SSL证书总结

通过以上几个步骤的学习和应用，我们肯定学会了利用Let's Encrypt免费生成和获取SSL证书文件，随着Let's Encrypt的应用普及，SSL以后直接免费不需要购买，因为大部分主流浏览器都支持且有更多的主流商家的支持和赞助，HTTPS以后看来也是趋势。在Let's Encrypt执行过程在中我们需要解决几个问题。

A - 域名DNS和解析问题。在配置Let's Encrypt免费SSL证书的时候域名一定要解析到当前VPS服务器，而且DNS必须用到海外域名DNS，如果用国内免费DNS可能会导致获取不到错误。

B - 安装Let's Encrypt部署之前需要服务器支持PYTHON2.7以及GIT环境，要不无法部署。

C - Let's Encrypt默认是90天免费，需要手工或者自动续期才可以继续使用。

本文固定链接: http://www.laozuo.org/7676.html | 老左博客

2017-03-09 12:33:20

来自官方手册：https://nodejs.org/en/download/package-manager/#enterprise-linux-and-fedora

Including Red Hat® Enterprise Linux® / RHEL, CentOS and Fedora.

Node.js is available from the NodeSource Enterprise Linux and Fedora binary distributions repository. Support for this repository, along with its scripts, can be found on GitHub at nodesource/distributions.

Note that the Node.js packages for EL 5 (RHEL5 and CentOS 5) depend on the EPEL repository being available. The setup script will check and provide instructions if it is not installed.

Run as root on RHEL, CentOS or Fedora, for Node.js v6 LTS:

curl --silent --location https://rpm.nodesource.com/setup_6.x | bash -

Alternatively for Node.js v7:

curl --silent --location https://rpm.nodesource.com/setup_7.x | bash -

Alternatively for Node.js 0.10:

curl --silent --location https://rpm.nodesource.com/setup | bash -

Then install, as root:

yum -y install nodejs

2016-03-29 14:26:30

参考1：http://jingyan.baidu.com/article/ce436649132f2e3773afd3e5.html  TTL刷机降级
参考2：http://jingyan.baidu.com/article/27fa73268519f746f9271f40.html 获取Root权限

一、刷机

1. 首先拧开迅雷赚钱宝底部的螺丝以拆解，在其电路板中就可以找到如图所示的“TTL接口”，将赚钱宝的TXD接TTL板的RXD，赚钱宝的GND接TTL板的GND，赚钱宝的RXD接TTL板的TXD。如图所示：
2. 将TTL板与电脑USB接口连接，同时在电脑中安装TTL板驱动程序，并在“计算机管理”-“设备管理器”界面中，查看并获取当前“TTL板”端口号，如图所示，串口端口号为“COM3”。
3. 直接在百度中搜索下载“CRT”，并从搜索结果中选择第一项即可下载“secureCRT”工具，如图所示：
4. 安装并打开“secureCRT”工具，点击“文件”-“快速连接”项，并从打开的“快速连接”窗口中，设置“协议”类型为“串口”，“端口号”为“COM3”，“波特率”为“115200”，点击“连接”按钮。
5. 此时打开“迅雷赚钱宝”电源，此在“secureCRT”端口调试界面中，将显示一系列的内容，待内容显示稳定后，按“回车”键以调出命令提示符“#”。
6. 接下来将迅雷赚钱宝固件拷贝到TF卡或U盘根目录下，并将TF卡或U盘插入迅雷赚钱宝设备中。以下小编为大家提供“1064”或“1334”两个稳定的旧版固件下载地址：

   http://update.peiluyou.com/conf/miner/packages/thunder-miner-app_V1.0.1064_arm.ipk

   http://update.peiluyou.com/conf/miner/packages/thunder-miner-app_V1.0.1334_arm.ipk
7. 接着在“secureCRT”界面依次输入以下内容：

   # df   查看文件目录，获取“/dev/sda1”（U盘）的位置“/media/sda1”

   # cd /media/sda1    即可进入U盘根目录
8. 接着输入命令

   # ls    确认一下U盘中是否正确存放着迅雷赚钱宝相应的固件文件。

   # opkg-cl install thunder-miner-app_V1.0.1064_arm.ipk     升级固件

   或者输入

   #opkg-cl install --force-downgrade  thunder-miner-app_V1.0.1064_arm.ipk   强制降级固件
9. 9

   待对应的迅雷赚钱宝固件刷机完成后，输入命令：

   # reboot

   拼按回车以重启迅雷赚钱宝，至此TTL修复迅雷赚钱宝变砖操作完成。

 

二、获取Root权限

 

2016-03-26 15:18:47

国内外vps主机提供商所提供的主机大多是基于Xen、OpenVZ、KVM、Hyper-V、VMWare五种虚拟化技术。

一、Xen 官网：http://xen.org/

Xen 由剑桥大学开发，它是基于硬件的完全分割，物理上有多少的资源就只能分配多少资源，因此很难超售。可分为Xen-PV（半虚拟化），和Xen-HVM（全虚拟化）。

Xen是不能超售内存和硬盘的，当母服务器只有16G内存以及100G硬盘时，当开Xen架构（任意一个虚拟化）的1G内存、25G硬盘的子机时，会直接占用服务器1G内存，以及25G硬盘，所以Xen的性能，相比OpenVZ在超售的情况下要好。

Xen-PV：半虚拟化，所以它仅仅适用于linux系列VPS，但它的性能损失比较少，大概相对于母机的4%-8%左右。
Xen-HVM：全虚拟化，可以安装windows或自由挂载ISO文件安装任意系统，由于是全虚拟化，所以性能损失较大，大概相对于母机性能损失8%-20%左右。

Xen适用人群：预算较为充足，且希望VPS有较高性能的客户
Xen注意事项：注意Xen-PV和Xen-HVM的区别。
Xen可用系统：Xen-PV：纯Linux，Xen-HVM：支持Windows、Linux等。
Xen代表商家：Linode.com

二、OpenVZ 官网：http://openvz.org/

OpenVZ（简 称OVZ）采用SWsoft的Virutozzo虚拟化服务器软件产品的内核，是基于Linux平台的操作系统级服务器虚拟化架构。这个架构直接调用母服务器（母机）中的内核，模拟生成出子服务器（VPS，小机），所以，它经过虚拟化后相对于母服务器，性能损失大概只有的1-3%。

当然 OpenVZ可以超售，意思味着一台服务器总共16G内存，他可以开出配置为1G内存×17台以上的子服务器。因为他的虚拟架构关系属于：客户用多少，就扣除母服务器多少，所以OpenVZ架构的VPS较为便宜。但由于存在超售因素，如果服务商毫无休止的超售会导致服务器的性能急剧下降。

OpenVZ另一个特点是，它是直接调用母服务器的内核，所以会导致部分软件无法使用，以及部分内核文件是无法修改。

OpenVZ适用人群：新手、低预算客户
OpenVZ注意事项：资源不是自己独有的，安装VPN服务需要注意检测虚拟网卡支持。
OpenVZ可用系统：Linux（不支持Windows）
OpenVZ代表商家：Buyvm.net

三、KVM 网站：linux-kvm.org/" target="_blank">http://www.linux-kvm.org/

KVM是Linux下的全功能虚拟化架构，基于KVM架构的VPS，默认是没有系统的，可自己上传ISO或调用服务商自带的ISO手动安装系统。这个非常适合热爱DIY自己VPS的客户。

由于KVM架构全功能虚拟化架构，甚至拥有独立的BIOS控制，所以对母服务器性能影响较大，所以基于KVM的VPS较贵，但KVM VPS相对其它架构的VPS较为自由。

KVM适用人群：折腾帝
KVM注意事项：虚拟化性能比Xen略低
KVM可用系统：Windows、Linux系列
KVM代表商家：Hostgation.com

四、Hyper-V 网站：http://www.microsoft.com/zh-cn/server-cloud/

Hyper-V是微软的一款虚拟化产品，大部分国内的VPS服务商使用这个架构，主要是因为其转为Windows定制，管理起来较为方便。目前的Hyper-V也支持Linux，只不过性能损失比较严重。

Hyper-V完美支持Windows系统，包括32位和64位。如果大家选购Hyper-V架构的VPS，强烈建议使用Windows。

Hyper-V目前不能超售内存，但可超售硬盘，硬盘是根据客户使用情况扣除。一般来说，服务器的硬盘不会100%用完，这点不用担心。

Hyper-V适用人群：Windows系统爱好者
Hyper-V注意事项：Linux操作系统性能较低
Hyper-V可用系统：Windows、Linux

五、VMWare 网站：http://www.vmware.com/

VMWare 是全球桌面到数据中心虚拟化解决方案的领导厂商开发的一款全功能完全虚拟化的软件。但由于VMWare用于开设类似VPS（含独立面板）的系列产品授权费用非常昂贵，所以大部分使用VMWare服务商会使用 VMware工作站（VMware Workstation）提供VPS。

使用VMware工作站（VMware Workstation）开设的VPS是无控制面板的，操作系统需要服务商手动安装，但现在网上寻找VMware Workstation的神KEY非常容易，对于VPS服务商来说节省不少成本。一般用于新创业的VPS服务商。

使用VMWare Workstation实质上的VPS可以超售，因为其和OpenVZ架构一样，子机用多少内存，就扣除系统多少内存，但如果物理内存不足时可能导致母服务器使用Windows虚拟内存。

VMWare适用人群：认真建站或挂机的客户
VMWare注意事项：无控制面板
VMWare可用系统：Windows、Linux系列

以上衡量超售指的是内存、磁盘，其它硬件条件，如网络带宽、CPU等不在考虑范围内。

六、Xen和OpenVZ的区别
Xen由dom0和domU组成，Dom0是虚拟出CPU, IO总路线等资源，供工作于DomU上的不同的kernel运行。
这样的好处是，
1. 对可以运行的操作系统限制较少。
2. domU上系统的crash不会影响其他的dom. 当然Dom0发生故障时还是会有问题。
坏处：
1. 由于需要虚拟CPU,BUS等物理资源，开销会更大点。

OpenVZ使用了完全不同的方式，它所创造的虚拟机都使用工作在同一个kernel下。
这样的好处是
1. 性能好。
坏处：
1. 任何一个kernel bug都会危及所有的虚拟机。 因kernel bug所crash的可能性大大增加。
2. 他需要对内核作很多的改动。

区分上最明显的，XEN VPS有swap区，基于RHEL5的OpenVZ VPS没有swap区，基于RHEL6的OpenVZ VPS有VSwap区。

 

转：https://qiaodahai.com/xen-openvz-kvm-hyper-v-vmware-virtualization.html

2015-12-29 12:41:06

站长之家（Chianz.com）11月30日消息 据外媒消息称，Wordpress母公司Automattic将完全重写Wordpress.com网站代码，并将此项计划命名为“Calypso”，代码开源并被托管于Github平台。此外，最新的wordpress.com放弃了php，转而启用Javascript，且通过API调用数据。

以下为几个主要更新点：

1、如今的Wordpress.com为一个管理界面，完全独立于Wordpress的核心代码，且与其（wordpress核心代码）的交互方式类似于其他第三方接口、app。通过REST API来获取发布的内容、上传照片等数据。

2、Wordpress.com 不再使用PHP+MySQL的组合模式，而是采用了Javascript语言及API调用模式。也就是说，当你访问wordpress网站时，会触发服务器分发一个几乎完全运行于用户浏览器上的、功能齐全wordpress客户端。

上面所说的WP客户端实际上是一个单页应用（Single Page Application），这样一来就可大大减少用户与界面进行交互时页面加载的次数。此外，它采用的是响应式设计，因而对手机、平板等移动设备也十分友好。

在新版wordpress.com中，用户可以通过Wordpress原有的后台管理系统来维护博客。也可以通过Jetpack插件来管理wordpress站点，Jetpack插件里面还内置了社会化分享，社会化登录和社会化评论的功能。

3、重写后的Wordpress.com是完全开源的，托管于Github上（地址：https://github.com/Automattic/wp-calypso），用户可在遵从GNU GPL(General Public License)规定情况下查看完整代码、重新使用该代码。

除了wordpress.com开源外，wp团队还针对Mac用户推出了一款类似于桌面应用程序的app。这款App简化了用户访问、维护Wordpress.com的工作，后续还将推出Windows和Linux版本。

Calypso：荷马《奥德赛》中人物，海之女神卡吕普索。