运维

OpenSSL 是为网络通信提供安全及数据完整性的一种安全协议，囊括了主要的密码算法、常用的密钥和证书封装管理功能以及 SSL 协议，并提供了丰富的应用程序供测试或其它目的使用 RSA 密钥 生成私钥 openssl genrsa -out rsa_private_key.pem 1024 把 RSA 私钥转换成 PKCS8 格式 openssl pkcs8 -topk8 -inform PEM -in rsa_private_key.pem -outform PEM –nocrypt 生成公钥 openssl rsa -in rsa_private_key.pem -pubout -out rsa_public_key.pem ECC 密钥 生成私密 openssl ecparam -genkey -name prime256v1 -out domain.key 生成指定证书 openssl req -new -sha256 -key domain.key -out domain_csr.txt 注意事项： ECC 算法加密强度有 3 个选项：prime256v1/secp384r1/secp521r1/prime256v1 目前已经足够安全，如无特殊需要请保持 ECC 算法 prime256v1 默认即可。 SHA256 目前已经足够安全，如无特殊需要请保持默认。 生成公钥 openssl ec -in domain....

只允许指定用户进行登录，修改 /etc/ssh/sshd_config，例如：允许 aliyun 和从 192.168.1.1 登录的 test 帐户通过 SSH 登录系统 AllowUsers aliyun test@192.168.1.1 只拒绝指定用户进行登录，修改 /etc/ssh/sshd_config，例如：拒绝 zhangsan、aliyun 帐户通过 SSH 登录系统 DenyUsers zhangsan aliyun 固定的 IP 进行禁止登录，修改 /etc/hosts.allow # 允许 192.168.0.1 这个 IP 地址 ssh 登录 sshd:192.168.0.1:allow # 允许 192.168.0.1/24 这段 IP 地址的用户登录 sshd:192.168.0.1/24:allow

使用 ssh-keygen 生成密钥对 ssh-keygen -t rsa 生成之后会在用户的根目录生成一个 /[home/user|root]/.ssh 的文件夹 id_rsa 生成的私钥文件 id_rsa.pub 生成的公钥文件 将公钥公钥重命名为 authorized_keys, 设置权限 chmod 700 -R .ssh chmod 600 .ssh/authorized_keys

找到文件 /etc/ssh/sshd_config 进行修改 ClientAliveInterval 15 ClientAliveCountMax 45 然后重启 sshd 服务，重新打开客户端就不会频繁掉线了 systemctl restart sshd ClientAliveInterval 是每隔多少秒，服务器端向客户端发送心跳，ClientAliveCountMax 是多少次心跳无响应之后，断开 Client 连接

适用于 CentOS、Debian 与 Ubuntu 系统进行编译安装与部署 安装 依赖库 在 CentOS 下执行安装 yum install gcc gcc-c++ autoconf automake zlib zlib-devel pcre-devel 如果是 Debian 或 Ubuntu 下执行安装 apt install build-essential libpcre3 libpcre3-dev autoconf zlib1g-dev 准备编译源码 Nginx 官网 下载需要的版本源码 Openssl 官网 下载版本 >=1.0.2 的版本源码 当今 **http2.0** 协议正在普及，因此如果使用该模块，用于编译的 **openssl** 源码包版本必须 `>=1.0.2`，**nginx** 推荐使用最新的稳定版本 将准备好的源码包分别解压，进入到 nginx 源码目录下 配置安装，默认下可以直接使用执行，但是很多模块是不包含在内的 ./configure 为了减少以后再次配置编译，以下这些配置都是我们常用到的 ./configure \ --error-log-path=/var/logs/nginx/error.log \ --http-log-path=/var/logs/nginx/access.log \ --sbin-path=/usr/sbin \ --pid-path=/run/nginx.pid \ --lock-path=/run/nginx.lock \ --http-client-body-temp-path=/var/nginx/client_temp \ --http-proxy-temp-path=/var/nginx/proxy_temp \ --http-fastcgi-temp-path=/var/nginx/fastcgi_temp \ --http-uwsgi-temp-path=/var/nginx/uwsgi_temp \ --http-scgi-temp-path=/var/nginx/scgi_temp \ --user=nginx \ --group=nginx \ --with-openssl=/root/openssl-1....