分类: VPS

VPS迁移:从OpenVZ到Xen

前阵子,在PhotonVPS上租的VPS到期了,当时图便宜,选用了基于OpenVZ的,结果这一年来,用得不甚舒坦。ssh连接上去,断断续续的的;OpenVPN装上去,为了nat之类的发了好久的ticket;博客打开的速度,也是老慢老慢的。趁着到期了,就琢磨着换成基于Xen的了。

在原来的机器上,大大小小的网站有10来个,每次需要增加新网站时,都是本着知根知底的态度,也没装个WebPanel,全是手工操作来增加Virtual Host,创建数据库,设置目录权限等。弄了几次终于累了。

Apache2的速度果然不是吹的,死慢,还巨吃内存。Word Press没搭几个,1G的峰值内存就全吃光了。就算照着网上的LAMP教程优化了一遍,也是没见起效。

Open VPN这玩意,既要有nat设备,还有设置iptables,更加有一堆证书。在我已知的任一平台上使用,都得额外安装软件,烦不胜烦。想想还是PPTP VPN好使,每个平台都默认支持,不用装其它软件,也没有证书之类的,很好操作。

基于以上几点,在迁移到Xen的过程中,做了如下改变:

Web服务器:Apache -> Nginx
网站部署:手动->使用自写脚本
VPN: OpenVPN -> PPTP

没变化 的也就php和mysql了。

在Apache下使用php基本上都是安装mod来达到支持php的,但使用nginx的时候,却没有这样的mod可以用,所以为了支持php,还需要安装一个php-fpm,在Ubuntu 10.04中,这个软件包名字叫php5-fpm。php5-fpm是一个服务,默认会监听在9000端口。在nginx的默认Virtual Host配置中,也有一段被注释掉的代码,包含有”location ~ \.php$”字样的。取消掉后重启就可以支持php了。

至于 PPTP,那就更简单了,aptitude安装好后,就直接可用了。只是默认是没有用户的,需要在/etc/ppp/chap-secrets里增加用户,并且密码是明文保存的。[2011-07-21更新] 漏了一步骤

iptables -t nat -A POSTROUTING -s 192.168.255.0/24 -o eth0 -j MASQUERADE

因为我在/etc/pptpd.conf里设置了remoteip值为192.168.255.100-238,所以iptables中192.168.255.0/24表示我这个remoteip的网段了。[2011-07-21更新完毕]

至于自写脚本,贴上来仅供参考:使用之前请先过目,知道每条命令在做什么。

#!/bin/sh
USER=$1
SITENAME=$2

sample_conf() {
    echo "server {
        root /var/www/$SITENAME;
        index index.html index.htm index.php;
        access_log /access.log;
        error_log /error.log;
        server_name $SITENAME;
        location / {
            try_files \$uri \$uri/ /index.php?q=\$uri&\$args;
        }
        location ~ \.php$ {
            fastcgi_pass 127.0.0.1:9000;
            fastcgi_index index.php;
            include fastcgi_params;
        }
    }"
}

sample_conf $SITENAME > /etc/nginx/sites-available/$SITENAME
ln -s /etc/nginx/sites-available/$SITENAME /etc/nginx/sites-enabled/$SITENAME
mkdir /var/www/$SITENAME
chmod o+t /var/www/$SITENAME

## create database
DB_NAME=`echo $SITENAME | sed -e 's/\./_/g'`
mysql -uroot -p --password=MYSQL_ROOT_PASSWD -e "create database $DB_NAME"
mysql -uroot -p --password=MYSQL_ROOT_PASSWD -e "grant all privileges on $DB_NAME.* to '$USER'@'localhost' identified by ''"

exit 0

使用该脚本前,需要先创建一个用户。这个脚本会使用自动为指定的域名创建一个Virtual Host配置,并且创建一个数据库,让该用户对其有所有操作权限。脚本使用格式:./script USER SITE_NAME,如:./new_site.sh tiger blog.tigerlee.me

人太懒了,都静不下心来把个教程写完整,我知道这是缺点,得改。

拥有VPS之-清除木马

离上一节整整一个月了,我这才把下节给补起来。上节写完时感觉还有好多没说,可是等过了这么一段时间后,我连当时保存的现场证据都快找不到了。不管怎样,还是把第一次写的系列篇迅速地划个句号吧。

上次讲到发现了若干个木马根据地,但如果是用简单的’rm’命令,是根本不能将其删除的(什么?你是root?即便你是foot,你也无法将其踢掉!)。是的,root也不能。为啥呢?root在u*ix系统中不都是万能的么?要啥有啥,要没啥,啥就没。是的,可root也能给自己加个限制,用来防止自己的误操作。这要用到ext2/3文件系统的一个特性”file attribute”。

以前初中时,学到一招很管用的办法,不让别人把自己的文件无意中删除。当然,那是在DOS下。用”attrib +h filename”就能让文件隐藏了”,同理”attrib -h filename”就是将隐藏的重新显示出来。这么个特性,在linux中怎么会缺席呢?下面我简单介绍下今天要用到的两个工具:lsattr和chattr。

lsattr和chattr它们俩是linux系统下用于的控制ext2/3文件系统家族特殊属性的组件,并且已经成为了e2fsprogs包中的一部分了。它们可以用来显示或修改文件的一系列属性:文件访问时间、安全删除、不可删除、只可追加、同步更新等。更详细地移步维基百科词条chattr继续阅读“拥有VPS之-清除木马”

拥有VPS之-发现入侵

上周末才买入一台VPS,由于急着把blog迁移过来,所以装完系统后,就只顾着blog的事了,VPS安全方面的事情,本来打算在本周末来收拾一番的。没想到啊,没想到,万恶的资本主义国家,黑客也这么多,哥刚把blog搭好,你又来给哥捣乱了。

上午,正在彻erlang代码,zhoux在gtalk上和我说,他的账号不能通过ssh登录。于是乎,做为VPS的首席维护官,我立马试着去登录。提示输入密码后,很快就看到了$提示符,然后手指不由自主地做了个终端爱好者的习惯性动作-’ls’,可是’ls’并没有像往常一样显示我当前目录的内容,而是提示”/bin/ls: no such directory”,哥当时就震惊了。第一反应还以为是环境变量被人改了,’env’看了下,没有发现异常。然后想用’ps aux’查看到进程列表,结果哥再次震惊了,屏幕上提示”/bin/ps: no such directory”,再试’top’,还是”/usr/bin/top: no such directory”,我靠,你都把路径给提示出来了,却还告诉我没有这个路径,存心逗哥玩么。以前刚开始用linux时,还带着windows cmd的习惯,查看目录内容会用’dir’,结果发现也有效,然后哥又试着用了下’dir’,这下还好,能够看到目录内容了。 继续阅读“拥有VPS之-发现入侵”