Gwokshing Cheung

    相信不少朋友已经发现，在升级到Debian9之后，那个熟悉的开机启动项rc.local已经不见了，在自定义一些开机启动项目时变得不是那么方便了。好在这个功能并不是被砍掉了，而是默认没有开启，把它重新开启即可。     看一下这个服务的状态，默认是没有开启的。 systemctl status rc-local     现在来开启它，首先创建一个rc.local文件，里面包含下记内容，注意这16行是同一个命令，一次性全部复制到命令终端执行。 cat <<EOF >/etc/rc.local #!/bin/sh -e # # rc.local # # This script is executed at the end of each multiuser runlevel. # Make sure that the script will "exit 0" on success or any other # value on error. # # In order to enable or disable this script just change the execution # bits. # # By default this script does nothing.   exit 0 EOF     授予执行权限 chmod +x /etc/rc.local     启动 rc-local 服务 systemctl start rc-local     现在再看看服务状态，显示已经激活。 systemctl status rc-local     需要开机启动的项目可以添加到rc.local的exit 0前面。     转载自      Debian 9.x stretch 解决 /etc/rc.local 开机启动问题

        自从两会开始之后，我的梯子服务器直接被tcp阻断了，新建了一个用两天又被封了端口，无奈之下研究起怎么伪装流量，然后发现可以通过SSR的端口转发，和服务器上的网站共用端口，配合对应的混淆方式可以减少被gfw发现的可能。首先我们得先把网站和ssr建好，可以参考前面的博文。 超简单的自建SSR教程 Typecho建站记（一）---初建 Typecho建站记（二）---ssl加密及域名转发         用winscp软件登陆到服务器，进入到ssr文件夹（默认在root/shadowsocksr），找到user-config.json，右击修改，端口设置为443，混淆和协议参数按下图配置，新增将"redirect":""修改为 "redirect" : ["*:443#127.0.0.1:1443"], （注意包括最后的逗号）。可以复制我的配置，把ip地址和密码改掉就可以了。 {     "server": "*.*.*.*",     "server_ipv6": "::",     "server_port": 443,     "local_address": "127.0.0.1",     "local_port": 1080,     "password": "passwd",     "method": "aes-128-ctr",     "protocol": "auth_aes128_sha1",     "protocol_param": "",     "obfs": "tls1.2_ticket_auth",     "obfs_param": "",     "speed

        网站建好之后，考虑到服务器的安全性，我们需要禁用掉不必要的端口，减少被黑的可能性，因此就需要安装防火墙了。虽然Debian9自带的iptables也可以配置防火墙规则 ，但是配置起来比较复杂，因此我使用配置起来比较简单的ufw。         运行下面的命令安装ufw apt install ufw -y         初始化ufw配置（默认禁止所有入站，同意所有出站） ufw default deny incoming ufw default allow outgoing         允许ssh访问连接，否则启用防火墙后将无法通过ssh管理服务器（默认ssh管理端口为22，如果你的是其他，请自行修改）。 ufw allow 22         允许web服务的访问连接，默认为80和443两个端口。 ufw allow 80 ufw allow 443         查看防火墙状态和规则，此时未启用则会显示Status: inactive，启用后则会显示相应的规则 。 ufw status verbose         启用防火墙 ufw enable         至此已经配置好了防火墙，但是如果我们以后要修改的话，还可能会用到下面的命令。          删除对应端口的访问权限 ufw delete allow 80         甚至直接停止防火墙 ufw disable         或者重置防火墙（会删除所有配置的规则） ufw reset 参考文章： 如何在Debian 9上使用UFW设置防火墙

      上一篇博文中我已经把typecho站点建好，但是此时的站点是没有经过ssl加密，有可能会被运营商劫持或被中间人攻击，另外没有加密的网站在搜索引擎中的权重相对是比较低的，因此给网站加上ssl加密还是很有必要的。这里我用Certbot自动配置lets-encrypt的证书，在debian9系统中实现。         添加ssl加密         因为certbot需要用到stretch-backports，而stretch-backports在Debian自带源中是没有的，需要添加源，注意下面四行是一个命令，全部复制到终端后执行即可。 cat >> /etc/apt/sources.list<<EOF # backports deb http://deb.debian.org/debian stretch-backports main EOF         然后执行更新 apt update         安装certbot apt install certbot python-certbot-apache -t stretch-backports -y         运行certbot certbot --apache         运行后会有对话框，按下图选择对应的选项即可。         至此ssl加密已经设置完成，而且域名转发也开启了，但是此时的转发是不够完美的，还需要自己再添加规则。         完善域名转发         前面在购买域名的时候我们添加了两条解析记录，现在又设置了加密，这样的话就会出现4个网址组合，如下示例： http://example.com http://www.example.com https://example.com https://www.example.com         这样对我们的访客是不友好的，而且搜索引擎也会将这当做四个不同的网站来收录，无形中降低了网站在搜索引擎中的排名。因此我们需要把这四个域名统一起来，这里就需要用到域名转发了。上面设置ssl加密的时候，certbot已经设置好了其中一个http网址的转发，因此我们把另外一个网址添加到转发规则里面就可以了

        前面我有用ghost建过网站，但是一段时间后发现，发现有一个不好的地方就是ghost没有自带评论功能，虽然可以添加第三方评论，但如果以后要迁移的话，肯定会比较麻烦，于是研究了一下其他博客平台，wordpress臃肿需求服务器的配置比较高，而typecho简洁需求配置低，综合考虑下我选择了typecho，顺便说一下我的系统是debian9。 一、域名解析         因为现在普通的域名都不会很贵（一般一年12刀以下），因此我不建议用免费的。找一个域名商买下你想要的域名（我在谷歌域名买的），进入域名管理---dns设置，按下图添加两条解析记录，DATA就是你vps的ip地址。 二、环境搭建         typecho需要有web服务（nginx，apache等），数据库（mysql，sqlite等）以及php环境，因为我的vps配置比较差，所以我用了apache+sqlite+php的搭配。         安装apache： apt update apt install apache2 -y          安装sqlite apt install sqlite3 -y         安装php环境 apt install php php-dev php-curl php-pear php-mysql libapache2-mod-php php-mcrypt php-gd php-mbstring php-pdo php-sqlite3 -y 三、下载解压typecho         进入网页安装位置var/www/html cd /var/www/html         下载typecho wget http://typecho.org/downloads/1.1-17.10.30-release.tar.gz         解压typecho tar -zxvf 1.1-17.10.30-release.tar.gz         进入解压后的typecho文件夹，将其中的文件移动到var/www/html，然后授予权限。 cd build mv * /var/www/html ch