linux雲服務器經常使用設置

時間 2019-11-13

原文原文鏈接

前面的話

　　因爲在雲服務器上配置本身的網站，將Linux裏的經常使用設置記錄以下node

更改shell

　　默認地， ubuntu系統默認的shell是dash，但更經常使用的shell是bashlinux

　　經過下面命令能夠將dash更改成bashnginx

dpkg-reconfigure dash

　　而後選<No>git

　　執行ls -l /bin/sh命令，查看shell類型已經修改成bashgithub

ls -l /bin/sh

賬號權限

　　爲了提升服務器安全性，須要設置一個高權限的帳號來代替root執行常規操做mongodb

　　首先，新建一個用戶shell

useradd test

　　[注意]在centos系統下，使用useradd會默認在home目錄下，新增一個與用戶名同名的目錄。若是是ubuntu系統，默認不建立目錄，若是須要則添加-m參數數據庫

useradd test -m

　　設置用戶密碼npm

passwd test

　　將test用戶添加到sudo組中，操做命令前加sudo命令，便可實現root權限json

gpasswd -a test sudo

　　而後使用su test，即切換到test賬號下

su test

無密碼登陸

　　SSH是網絡上兩臺機器互聯的一套協議，默認須要22端口

　　使用ssh test@1.2.3.4能夠以test用戶名來登陸1.2.3.4服務器，按下ctrl+d能夠退出登陸

　　下面經過添加SSH key的方式來進行無密碼登陸

　　首先，在本地機器上執行下列指令

$ ssh-keygen

　　會出現幾個問題，都直接回車取默認值就能夠了

　　id_rsa 是私鑰，是要嚴格保密的，id_rsa.pub是公鑰，須要上傳到服務器的/home/test/.ssh/authorized_keys文件中

　　能夠手動拷貝文件，也進入本地的.ssh目錄下，而後執行如下命令

ssh-copy-id test@1.2.3.4

　　這樣，之後登陸就不用再輸入密碼了

配置git

　　通常地，服務器要從github等代碼託管平臺獲取最新的代碼，因此配置git是必不可少的操做

　　首先，更新apt-get軟件包的列表

apt-get update

　　接下來，安裝git

apt-get install git

　　關於apt-get的經常使用命令以下

apt-get update #更新軟件包列表
apt-get install packagename #安裝一個新軟件包
apt-get remove packagename #卸載一個已安裝的軟件包（保留配置文檔）
apt-get remove --purge packagename #卸載一個已安裝的軟件包（刪除配置文檔）
apt-get autoremove packagename #刪除包及其依賴的軟件包
apt-get autoremove --purge packagname #刪除包及其依賴的軟件包+配置文件

　　獲取服務器的ssh公鑰，位於~目錄的.ssh目錄下

　　複製id_rsa.pub的內部到github中

　　而後，在服務器將git@github.com添加到信任列表中

ssh -T git@github.com

　　看到下面的返回信息，就說明添加成功了

Hi username! You've successfully authenticated, but GitHub does not
# provide shell access.

　　而後，就能夠從git地址克隆代碼了

git clone git@git.xxx/xxx.git

　　當代碼有改動時，先進入項目目錄，如mall，而後使用git pull便可獲取最新的代碼了

cd mall
git pull

修改端口

　　默認地，SSH端口是22。將其修改成其餘端口，能夠縮小被掃描和猜想的機率，增長服務器安全性

　　[注意]該操做要在root用戶下進行，不然會出現一些不容易解決的問題

　　一、修改/etc/ssh/sshd_config文件裏面的port端口爲1024以上的任意端口

　　二、而後，執行下列命令重啓ssh服務

sudo service ssh restart

　　三、在阿里雲安全規則中添加2000端口

設置防火牆

　　在/etc目錄下，新建iptables.up.rules文件，內容以下

*filter

#allow all connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#allow out traffic
-A OUTPUT -j ACCEPT

#allow http https
-A INPUT -p tcp --dport 443 -j ACCEPT

-A INPUT -p tcp --dport 80 -j ACCEPT

#allow ssh port login
-A INPUT -p tcp -m state --state NEW --dport 2000 -j ACCEPT

#allow ping
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

#log denied calls
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7

#drop incoming sensitive connetions
-A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --set
-A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 150 -j DROP
#reject all other inbound
-A INPUT -j REJECT
-A FORWARD -j REJECT

COMMIT

　　接着，使用下列命令使防火牆規則生效

iptables-restore < /etc/iptables.up.rules

　　使用ufw status命令來查看防火牆狀態，並使用ufw enable來開啓防火牆

　　下面來設置防火牆開機自動啓動，在/etc/network/if-up.d目錄下，新建一個iptables腳本文件

vi /etc/network/if-up.d/iptables

　　文件內容以下

#!/bin/sh
iptables-restore /etc/iptables.up.rules

　　將該腳本文件賦予執行權限

chmod +x /etc/network/if-up.d/iptables

配置nginx

　　若是服務器只須要放置一個網站程序，解析網站到服務器的網站，網站程序監聽80端口就能夠了。若是服務器有不少應用，藉助nginx不只能夠實現端口的代理，還能夠實現負載均衡

【卸載nginx】

　　在介紹如何安裝nginx以前，先要介紹如何卸載nginx。由於nginx不正確的安裝，致使沒法正常運行，因此須要卸載nginx

sudo apt-get remove nginx nginx-common # 卸載刪除除了配置文件之外的全部文件
sudo apt-get purge nginx nginx-common # 卸載全部東東，包括刪除配置文件
sudo apt-get autoremove # 在上面命令結束後執行，主要是卸載刪除Nginx的再也不被使用的依賴包
sudo apt-get remove nginx-full nginx-common #卸載刪除兩個主要的包

【安裝nginx】

　　首先，更新包列表

sudo apt-get update

　　而後，必定要在sudo下安裝nginx

sudo apt-get install nginx

　　下面在/etc/nginx/conf.d下新建一個配置文件，命名爲test-8081.conf，內容以下

　　[注意]通常以域名-端口號來命名配置文件

upstream xiaohuochai {
        server 127.0.0.1:8081;
}
server{
        listen 80;
        server_name 1.2.3.4;
        location / {
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forward-For $proxy_add_x_forwarded_for;
                proxy_set_header Host $http_host;
                proxy_set_header X-Nginx-Proxy true;
                proxy_pass http://test;
                proxy_redirect off;

        }

}

　　下面使用sudo nginx -t來測試配置文件是否格式正確

　　若是不想讓報文顯示server的詳細信息，須要將/etc/nginx/nginx.conf主配置文件中的server_tockens off前面的註釋取消便可

　　接着，重啓nginx服務

sudo nginx -s reload

域名解析

　　通常地，使用dnspod.cn來進行域名解析。

　　在原域名註冊商設置dnspod的DNS解析

 f1g1ns1.dnspod.net
 f1g1ns2.dnspod.net

　　在dnspod.cn的域名解析頁面填入要解析的域名

　　添加域名後，下面來添加記錄便可

配置SSL

　　我我的是在七牛申請並設置的SSL證書，很是方便

　　首先，進入七牛的SSL證書購買界面，選擇免費證書進行購買

　　而後，點擊確認支付

　　而後，填入域名信息及其餘詳細信息。注意，必定要選擇文件驗證，經我的經驗，選擇DNS驗證後很長時間不能生效

　　信息填寫完成後，會出來以下界面，訂單狀態爲待確認，點擊詳情

　　在服務器根目錄下，建立/.well-known/pki-validation目錄，裏面建立fileauth.txt文件，內容以下圖所示

　　若是是nodejs服務，可在index.js中添加以下代碼

app.get('/.well-known/pki-validation/fileauth.txt', (req, res) => {
  res.send('201805241123015e8cztxfk647v077o6dyjl24yel3y3485lmgjznf840gzw')
})

　　若是是靜態網站，則須要再nginx中配置以下相似代碼

location /.well-known/pki-validation {
    alias /home/xiaohuochai/www/blog/admin/source/build;
}

　　當瀏覽器可以經過http://static.xiaohuochai.site/.well-known/pki-validation/fileauth.txt，成功訪問，並輸出上述內容時，即配置成功

　　等待幾分鐘，證書便會下發

【證書配置】

　　配置下發後，若是要nginx服務器下配置SSL證書，則須要下載相關的證書

　　點擊下載證書

　　而後，選擇相應的證書並確認

　　下載到本地後，解壓縮

　　而後將這兩個文件上傳到服務器中的www/mall/crt目錄下

　　修改test-8081.conf配置文件的內容以下

upstream mi {
        server 127.0.0.1:3000;
}
server{
        listen 80;
        server_name mi.xiaohuochai.shop;
        return 301 https://mi.xiaohuochai.shop$request_uri;
}
server{
        listen 443;
        server_name mi.xiaohuochai.shop;
        ssl on;
        ssl_certificate /home/xiaohuochai/www/mall/crt/mi.xiaohuochai.shop.crt;
        ssl_certificate_key /home/xiaohuochai/www/mall/crt/mi.xiaohuochai.shop.key;
        ssl_session_timeout 5m;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;
        if ($ssl_protocol = "") {
                rewrite ^(.*)https://$host$1 permanent;
        }
        location / {
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forward-For $proxy_add_x_forwarded_for;
                proxy_set_header Host $http_host;
                proxy_set_header X-Nginx-Proxy true;
                proxy_pass http://mi;
                proxy_redirect off;
        }
}

　　使用sudo nginx -t命令進行測試

　　測試成功後，重啓nginx服務便可

PM2部署

　　【1】安裝

　　爲了讓nodejs程序常駐，也爲了實現自動化部署，須要使用PM2。使用npm全局安裝pm2

　　[注意]必定要全局安裝，不然pm2沒法使用

cnpm install pm2 -g

　　pm2經常使用命令以下

 pm2 start app.js #啓動app.js應用程序
 pm2 start app.js --watch # 當文件變化時自動重啓應用
 pm2 list # 列表 PM2 啓動的全部的應用程序
 pm2 monit # 顯示每一個應用程序的CPU和內存佔用狀況
 pm2 show [app-name] # 顯示應用程序的全部信息
 pm2 logs # 顯示全部應用程序的日誌
 pm2 stop all # 中止全部的應用程序
 pm2 stop 0 # 中止 id爲 0的指定應用程序
 pm2 restart all # 重啓全部應用
 pm2 delete all # 關閉並刪除全部應用
 pm2 delete 0 # 刪除指定應用 id 0
 pm2 startup # 建立開機自啓動命令

　　【2】部署

　　[注意]官網有詳細的部署流程，詳細狀況移步至此

　　首先，在服務器用戶目錄下，新建一個www目錄，用於存放後端代碼

mkdir www

　　若是使用sudo命令建立目錄

sudo mkdir www

　　則須要手動改變該目錄權限爲可讀寫

sudo chmod 777 www

　　而後，在本地後端項目目錄下，如/server，新建一個ecosystem.json文件，內容以下

{
  "apps" : [{
    "name"      : "mall",
    "script"    : "./bin/www",
    "env": {
      "COMMON_VARIABLE": "true"
    },
    "env_production" : {
      "NODE_ENV": "production"
    }
  }],
  "deploy" : {
    "production" : {
      "user" : "xxx",
      "host" : ["1.2.3.4"],
      "port" : "22",
      "ref"  : "origin/master",
      "repo" : "git@git.coding.net:ehuo0123/mall.git",
      "path" : "/home/xxx/www/mall",
      "post-deploy" : "source ~/.nvm/nvm.sh && cd server && cnpm install && pm2 startOrRestart ecosystem.json --env production",
      "ssh_options": "StrictHostKeyChecking=no",
      "env"  : {
        "NODE_ENV": "production"
      }
    }
  }
}

　　而後，在本地git目錄下，更新git

git add .
git commit -m 'change ecosystem'
git push origin master

　　接着，在本機的/server目錄下，執行下列命令

pm2 deploy ecosystem.json production setup

　　出現以下標識，表示設置成功

　　接着，使用以下代碼，使服務器從git代碼託管平臺獲取最新的代碼，且使用pm2自動部署

pm2 deploy ecosystem.json production

　　注意：在window環境下，若是在vscode的集成終端中輸入命令，會有以下錯誤提示

if (fn === null) throw new Error("Callback was already called.");

　　使用git bash則正常顯示

　　出現以下代碼，表示部署成功

　　【3】升級

　　使用npm升級nodejs版本後，須要從新安裝cnpm及pm2

npm install -g cnpm --registry=https://registry.npm.taobao.org

cnpm install pm2 -g

　　雖然pm2命令可使用了，可是pm2守護的nodejs版本仍然是舊版本的nodejs，這時須要在pm2部署文件中指定node版本

"exec_interpreter": "~/nvm/versions/node/v8.11.2/bin/node"

　　這時，pm2能夠正常工做了

mongodb設置

　　【1】修改mongodb的27017端口

　　爲了提升服務器的安裝，修改mongodb數據庫默認的27017端口，爲其餘端口，如20000

　　打開/etc/mongod.conf文件

sudo vi /etc/mongod.conf

　　修改27017端口爲20000

　　若是想讓本地電腦訪問mongodb服務器，則須要註釋bindIp，由於bindIp:127.0.0.1表示只容許主機訪問，即只容許服務器訪問

　　而後，重啓mongod服務便可

sudo service mongod restart

　　【2】建立管理員

　　下面爲mongodb建立管理員及爲每個數據庫建立一個用戶

　　首先，切換到admin數據庫，建立管理員

db.createUser({user: "admin",pwd: "123456",roles:[{role: "root",db: "admin"}]})

　　而後，驗證管理員權限

db.auth("admin","123456")

　　接着，進入mall數據庫，併爲mall數據庫建立一個mall用戶

use mall;
db.createUser({user: "mall",pwd: "123456",roles:[{role: "dbOwner",db: "mall"}]})

　　而後在當前mall數據庫下，對建立的用戶進行權限認證

　　更改mongob.conf裏的內容

security:
    authorization: 'enabled'

　　而後，重啓mongod服務

sudo service mongod restart

　　使用用戶名和密碼來登陸mongo客戶端

mongo 127.0.0.1:20000/mall -u mall -p 123456

　　【3】數據備份

　　在用戶目錄下，創建backup目錄，進入backup目錄

mkdir backup
cd backup

　　建立一個名稱爲backup.sh的腳本，來對數據庫進行定時備份

#!/bin/sh

backUpFolder=/home/xxx/backup date_now=`date +%Y_%m_%d_%H%M` backFileName=mall_$date_now cd $backUpFolder mkdir -p $backFileName mongodump -h 127.0.0.1:20000 -d mall -u mall -p 123456 -o $backFileName tar zcvf $backFileName.tar.gz $backFileName rm -rf $backFileName

　　而後在backup目錄下，執行sh backup.sh命令來執行腳本文件

sh backup.sh

　　結果以下圖所示

　　輸入date，能夠查看當前系統時間

　　下面來建立定時任務，輸入crontab -e來開啓定時任務，而後選擇2

　　[注意]必定要在root權限下設置，不然不生效

sudo crontab -e

　　在打開的nano編輯器中輸入以下命令，表示在01:46分，執行以下腳本。

46 01 * * * sh /home/xiaohuochai/backup/backup.sh

　　而後，按下ctrl+X，按下shif+Y，回車，便可完成定時任務的設置

　　由下圖可知，01:46分確實生成了一個包文件

　　【4】上傳到七牛雲

　　下面將備份的包文件上傳到七牛雲進行存儲

　　一、首先，修改backup.sh文件

#!/bin/sh

backUpFolder=/home/xxx/backup
date_now=`date +%Y_%m_%d_%H%M`
backFileName=mall_$date_now

cd $backUpFolder
mkdir -p $backFileName

mongodump -h 127.0.0.1:20000 -d mall -u mall -p 123456 -o $backFileName

tar zcvf $backFileName.tar.gz $backFileName

rm -rf $backFileName

NODE_ENV=$backUpFolder@$backFileName node /home/xxx/backup/upload.js

　　二、在backup目錄下，安裝七牛模塊

　　[注意]必定要本地安裝，而不能全局安裝

npm install qiniu

　　三、在backup目錄下，建立upload.js文件，內容以下

var qiniu = require("qiniu");

var accessKey = '你的accesskey';
var secretKey = '你的secrestkey';
var mac = new qiniu.auth.digest.Mac(accessKey, secretKey);

var bucket = '存儲空間的名稱';
var options = {
  scope: bucket,
};
var putPolicy = new qiniu.rs.PutPolicy(options);
var uploadToken=putPolicy.uploadToken(mac);


var config = new qiniu.conf.Config();
//不一樣的區域，取值不一樣，華東爲z0
config.zone = qiniu.zone.Zone_z0;

var parts = process.env.NODE_ENV.split('@');
var key =  parts[1] + '.tar.gz';
var localFile =  parts[0] + '/' + key;

var formUploader = new qiniu.form_up.FormUploader(config);
var putExtra = new qiniu.form_up.PutExtra();
formUploader.putFile(uploadToken, key, localFile, putExtra, function(respErr,
  respBody, respInfo) {
  if (respErr) {
    throw respErr;
  }
  if (respInfo.statusCode == 200) {
    console.log(respBody);
  } else {
    console.log(respInfo.statusCode);
    console.log(respBody);
  }
});