河马的深度解析

discuz x3.2 启动SSL

2017/05/162017/05/16河小马AdvertCN, Linux, Operation and Maintanancediscuz, https, sslLeave a comment

这是一篇别的地方看到的文章，把所有需要修改的地方都说了，很有借鉴意义，这里就转载过来做个记录

————————————————————————————————————————————–

Discuz! X3.2 本身对 HTTPS 的支持很有限，程序本身支持，但还有很多地方需要调整和修改的。
站点全部链接默认 HTTPS ，无任何 HTTP 链接通过 301 跳转到 HTTPS 。浏览器显示绿色安全标志，无“不安全内容”提示。

具体来说，我们需要从以下 6 个方面来实现我们最终的效果。

服务器前端程序的配置
一般来说，大家多使用 Nginx 作为前端程序，关于 Nginx 开启 HTTPS 的教程，网上有很多教程，可以参考这篇文章:

https://aotu.io/notes/2016/08/16/nginx-https/

Discuz 判断服务器是否使用 SSL 的修补和完善
 Discuz 判断服务器是否使用 SSL 的代码不适合 Nginx+CGI 的情况，即 PHP-FPM 。这个时候我们需要修改以下文件：
 Discuz 采用 $_SERVER[‘ HTTPS ’] 的方式来判断 SSL ，但是因为服务器 架构问题（ nginx+php-fpm ），无法采用这种方式识别，所以需要对 Discuz 程序进行一些调整（使用 $_SERVER[‘ SERVER_PORT ’] 来判断）。 source/class/discuz/discuz_application.php （约第 187 行处）： 查找：
 $_G['isHTTPS'] = ($_SERVER['HTTPS'] && strtolower($_SERVER['HTTPS']) != 'off') ? true : false;
 修改为：
 $_G['isHTTPS'] = ($_SERVER['SERVER_PORT'] == 443 || $_SERVER['HTTPS'] && strtolower($_SERVER['HTTPS']) != 'off') ? true : false;

uc_server/avatar.php （约第 13 行处）：
 查找：
 define('UC_API', strtolower(($_SERVER['HTTPS'] == 'on' ? 'https' : 'http').'://'.$_SERVER['HTTP_HOST'].substr($_SERVER['PHP_SELF'], 0, strrpos($_SERVER['PHP_SELF'], '/'))));
 修改为：
 define('UC_API', strtolower(($_SERVER['SERVER_PORT'] == 443

除去非 HTTPS 内容避免提示”不安全内容“
Source/plugin/manyou/Service/DiscuzTips.php ，最后的那段 JS 加载脚本删除就行。
非楼主层如果有点评，那么点评者头像不是 HTTPS 开头，也需要修改一个文件来适配： template/default/forum/viewthread_node_body.htm （约 180 行），搜索 div class=”psta vm”>，将下面一行注释掉或者删除。
打开浏览器，使用开发者工具或者查看源码逐一排查加载的非 HTTPS 资源并修改。

后台设置的修改完善
在后台还有一些设置，可能会干扰 https 的使用
后台 >全局 > 站点 URL ，改为 https 开头的
后台 > 站长 > UCenter 设置 > UCenter 访问地址，修改为 https 开头的
UCenter 后台 > 应用管理 > 应用的主 URL ，修改为 https 开头。修改后可能会显示通讯失败，如果 UC 和论坛程序安装在同一机器，此失败可无视，实测可以和 UC 正常通讯不影响（测试是否正常通讯程序的 Bug ），如果 UC 和论坛程序不在一台机器上，有可能不能通讯。另外在后台 > 全局 > 域名设置中的一些设置也可能使 https 失效，如果更新缓存后论坛默认连接还是 HTTP ，请删除后台 > 全局 > 域名设置 > 应用域名 > 默认里面的默认域名（一般去 forum.php 尾巴这里会有内容，为了 HTTPS 请删除）。

模板的调整
主要在模板的 foot.html 以及 header.html 等文件中，使用工具逐一排查模板文件中写死的 HTTP 链接，修改为 HTTPS 。

数据库的调整
在论坛这种交互社区中，经常回复发帖时会有出现主域名的链接，在没有 HTTPS 之前，链接都是 HTTP 开头，这个时候，我们需要修改数据库，运行下面的 mysql 命令更新数据库，将 HTTP 替换为 HTTPS ：
进入 DZ 后台：站长 – 数据库 – 升级

UPDATE pre_forum_post SET message=REPLACE(message,’http://www.repaik.com‘,’https://www.repaik.com‘);
请将 www.repaik.com 替换为自己的域名

需要注意的是，出于安全考虑， Discuz 后台默认情况下禁止 SQL 语句直接执行，只能使用常用 SQL 当中的内容，如果想自己随意书写 SQL 升级语句，需要将程序文件 config/config_global.php 当中的$_config[admincp][runquery] 设置修改为 1 。

删除aliyun-service

2017/05/132017/05/13河小马SEOLeave a comment

使用阿里云的ECS centos，会被自动安装aliyun-service, 而且还不好删掉. 下面是删除办法:

killall aliyun-service && echo "" >/usr/sbin/aliyun-service

阿里云ECS这是个大坑

2017/05/072017/05/07河小马LinuxLeave a comment

从来不用国内的服务，但是没有办法，为了速度还是只能在国内找，矮子里挑个高的，只能选择阿里云。。。但是随之而来的是各种大坑。。

ECS 封掉了25端口，也就是说你不能在上面创建任何邮件服务器。。。阿里云工单的回答是，只能使用阿里云云邮箱或者第三方，需要修改代码。。。

修改你妹妹啊。。我是直接用bash 调用postfix做发件服务，没有代码。。。

找了一晚上加一上午，目前最好的办法就是使用qq 的免费企业邮箱。。但是qq 比较鬼的是。。他在文档中没有标明有587端口。。但是你确可以使用这个端口。。。465 是ssl 端口，这样配置起来会比较麻烦。。

首先是创建qq的免费企业邮箱，得到smtp 信息

smtp: smtp.exmail.qq.com:587

TLS

然后在centos 里面安装postfix 和 sasl 模块

sudo yum install postfix cyrus-sasl cyrus-sasl-lib cyrus-sasl-plain -y

编辑 /etc/postfix/main.cf, 然后加上

relayhost = [smtp.exmail.qq.com]:587

smtp_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymous
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_use_tls = yes
smtp_tls_CAfile = /etc/ssl/certs/ca-bundle.crt
smtp_sender_dependent_authentication = yes
smtp_generic_maps = hash:/etc/postfix/generic

在/etc/postfix/sasl_passwd 里面写用户名和密码, 比如说用户名为 [email protected], 密码为iamhippo, 那么就这么写:

[smtp.exmail.qq.com]:587 [email protected]:iamhippo

在/etc/postfix/generic 要重写mail from 的地址，假如你的hostname 是i.iamhippo.com, 那么就可以写成:

@i.iamhippo.com [email protected]

最后就是生成hash 数据库了：

postmap /etc/postfix/sasl_passwd
postmap /etc/postfix/generic
chmod 600 /etc/postfix/sasl_passwd*

然后我们只需要重启postfix，就大功告成

service postfix restart

rsync on non-standard 22 port

2017/05/062017/05/06河小马LinuxrsyncLeave a comment

While doing some work on the JQuery Plugins site today, I needed to use rsync over ssh. The ssh daemon on the remote server runs on a non-standard port, and all the port related options to rsync only change settings if you’re running the rsync-daemon.

After doing some research, you can use following commands:

 rsync -av --progress /SRC/ -e "ssh -p $portNumber" ssh [email protected]:/DEST

nginx 隐藏版本version

2017/05/062017/05/06河小马Nginx, Operation and MaintanancenginxLeave a comment

现在我旗下的网站基本全部都转移到nginx了，但是nginx 出现40X 和 50x 的错误的时候，经常会显示版本号，这让我很不爽

无意间看到某个nginx站点出问题的时候，竟然不显示版本号。 google 了一下，原来nginx 有个命令叫做server_tokens, 把它设置为off 即可

Syntax: server_tokens on | off | build | string;
Default: 
server_tokens on;
Context: http, server, location

discuz 配置SSL 465 端口以后无法通过smtp的方式发送邮件

2017/05/052017/05/05河小马SEOLeave a comment

搜索了半天，在zhihu上找到了。。原来需要在smtp 的url前面加上ssl://, 如下图所示:

我也老大不小的了。。天天为这种事浪费时间。。

CentOS 6 安装SmokePing教程

2017/05/032017/05/22河小马SEOapache, nginx, smokepingLeave a comment

smokeping是对IDC网络质量，稳定性等最好的检测工具，包括常规的 ping，dig，echoping，curl等，可以监视 www 服务器性能，监视 dns 查询性能，监视 ssh 性能等。Smokeping是rrdtool的作者Tobi Oetiker的作品，所以底层也是 rrdtool 做支持。smokeping是一个很老的开源项目了，不过考虑到现网以下两方面的需求，感觉还是有必要部署的。1、针对虚拟化平台主机重启速度较快，普通的监控平台可能敏感度不够；2、业务和网络部门经常有对网络质量和页面访问速度对比的需求。

smokeping安装前，可以参考官方安装页面:

http://oss.oetiker.ch/smokeping/doc/smokeping_install.en.html

具体要求如下:

RRDtool 1.2.x or later
FPing (optional)
EchoPing (Optional)
Curl (Optional)
dig (Optional)
SSH (Optional)
Webserver
Perl 5.8.8 or later（对应的模块如下）
 FCGI
 CGI, CGI::Fast
 Config::Grammar
 LWP
 Socket6 (optional)
 Net::Telnet (optional)
 Net::OpenSSH (optional)
 Net::DNS (optional)
 Net::LDAP (optional)
 IO::Socket::SSL (optional)
 Authen::Radius (optional)

阿里云各个机房的地理位置

2017/04/302017/04/30河小马Linux, Operation and MaintananceLeave a comment

阿里云各个机房的地理位置，这里做个记录方便以后查询:

华北1：青岛

华北2：北京

华北3：张家口

华东1：杭州

华东2：上海

华南1：深圳

亚太东南1：新加坡

亚太东南2：悉尼

美西：硅谷

美东：佛吉尼亚

欧洲中部1：法兰克福

中东东部1:迪拜

/etc/fstab 详细说明

2017/04/272017/04/27河小马Linux, Operation and MaintananceLeave a comment

/etc/fstab 是专门用配置挂载硬盘的文件

语法为：

[Device] [Mount Point] [File System Type] [Options] [Dump] [Pass]

详细解释为:

<device>	The device/partition (by /dev location or UUID) that contain a file system.
<mount point>	The directory on your root file system (aka mount point) from which it will be possible to access the content of the device/partition (note: swap has no mount point). Mount points should not have spaces in the names.
<file system type>	Type of file system
<options>	Mount options of access to the device/partition (see the man page for `mount`).
<dump>	Enable or disable backing up of the device/partition (the command dump). This field is usually set to 0, which disables it.
<pass num>	Controls the order in which fsck checks the device/partition for errors at boot time. The root device should be 1. Other partitions should be 2, or 0 to disable checking.

第一列和第二列的device 和 mount point 顾名思义，就是你想要挂载的device 和挂载的位置.

device 有两种表示方式，可以用/dev/xdx 之类的location 或者硬件的UUID 来表示，硬件的UUID 可以用blkid 来查询

第三列的file system type 也很好理解，这里一般有auto, vfat( for FAT partition), ntfs or ntfs-3g( for NTFS partition), ext4 or ext3 or ext2 or jfs, udf or iso9660 ( for CD/DVD), swap

第四列的option，一般用默认的defaults，但是也可以使用下面的option:

sync/async - All I/O to the file system should be done (a)synchronously.
auto - The filesystem can be mounted automatically (at bootup, or when mount is passed the -a option). This is really unnecessary as this is the default action of mount -a anyway.
noauto - The filesystem will NOT be automatically mounted at startup, or when mount passed -a. You must explicitly mount the filesystem.
dev/nodev - Interpret/Do not interpret character or block special devices on the file system.
exec / noexec - Permit/Prevent the execution of binaries from the filesystem.
suid/nosuid - Permit/Block the operation of suid, and sgid bits.
ro - Mount read-only.
rw - Mount read-write.
user - Permit any user to mount the filesystem. This automatically implies noexec, nosuid,nodev unless overridden.
nouser - Only permit root to mount the filesystem. This is also a default setting.
defaults - Use default settings. Equivalent to rw, suid, dev, exec, auto, nouser, async.
_netdev - this is a network device, mount it after bringing up the network. Only valid with fstype nfs.

第五列 dump，dump 是linux 系统中的一个备份工具，用0 来表示不备份这个区，1 表示备份。这里不适合长篇大论来讨论dump 和 fsck ，但是通过查看/etc/fstab 的例子可以看到，第五列的选项一般为0

第六列 fsck 表示fsck 是否会check这个区，一般用1 来表示根分区， 2 表示其他的分区；0表示不检查

对于第5,6列来说，

/ 一般为1 1

swap 一般为 0 0

其他分区一般为1 2

云硬盘可谓0 2

阿里云centos创建swap分区的办法

2017/04/272017/04/27河小马Operation and Maintanance, SEOLeave a comment

以前不用国内的云，现在一用。。真是不用不知道。。用了你就留掉坑里了。。系统盘只能升不能降。。

阿里云全系linux系统不配置swap分区，按照阿里云的说法是为了让大家多买内存。。。以减少对swap的依赖。。however，许多应用程序要求必须要有swap分区，比如说大名鼎鼎的oracle

话不多说，下面说下centos创建swap的方法. 目前主流的做法有两种: 一是创建一个单独的分区，专门用来做swap区，这是推荐的做法。但是对于阿里云来说，如果你没有加载第二个或者第三个数据盘，这是很难实现的。因为对系统盘做无损分区，这基本是不可能的事情。因此，只有当你挂载了第二个数据盘或者多个数据盘，还没有开始使用的情况下，可以使用这个方式；二是专门创建一个目录来做swap分区，这种方法不受系统盘和数据盘的限制，哪里有空间，哪里就可以设置。但是这种方式的速度不如直接挂载一个分区过去速度快。

第二种方式，阿里云的官方文档中有详细的说明: https://help.aliyun.com/knowledge_detail/42534.html

这里我就不多说了。这篇文章主要关注点在于创建一个分区然后挂载到swap分区上

swap 的大小，根据我多年的经验，在内存小于等于4G时，可以设置为内存的2倍；在大于4G时，建议设置为和内存大小一样。

对新数据盘进行分区，就是使用fdisk /dev/vdx 命令，然后跟着命令走就可以了

格式化的时候，和格式化普通格式硬盘不一样，需要使用mkswap命令，加入我们创建的分区为/dev/vdb1

则命令为

mkswap /dev/vdb1

swapon /dev/vdb1

第一句话表明格式化为swap 分区，第二句话表示enable swap分区。

运行完这两个命令，用free -m就可以看到swap分区了。

如果在 /etc/rc.local 中有 swapoff -a 需要修改为 swapon -a

但是当你重启以后，你会发现swap又没有了。。这是因为我们需要把挂载swap的命令写入/etc/fstab里面

/dev/vbd1 swap swap defaults 0 0

但是这还没完呢

在 Linux 系统中，可以通过查看 /proc/sys/vm/swappiness 内容的值来确定系统对 SWAP 分区的使用原则。当 swappiness 内容的值为 0 时，表示最大限度地使用物理内存，物理内存使用完毕后，才会使用 SWAP 分区。当 swappiness 内容的值为 100 时，表示积极地使用 SWAP 分区，并且把内存中的数据及时地置换到 SWAP 分区。

标准的linux安装板，会把此值这是为60

可用下面的命令临时修改此项参数:

echo 10 >/proc/sys/vm/swappiness

若要永久修改此项配置，需要编辑/etc/sysctl.conf, 并增加一下内容:

# vim /etc/sysctl.conf
vm.swappiness=10
# sysctl -p