最新kloxo安装方法和安全配置

第一种
安装Kloxo和中文语言包,只要1行命令:

wget http://www.CTOHome.com/linux-vps-pack/kloxo_with_chinese_language.sh;sh ./kloxo_with_chinese_language.sh;

将上面1行复制,粘贴到您的linux ssh控制台里,回车,等待完成即可!

如果安装不成功,可能是有软件冲突。请进入您的VPS系统面板,重新安装centos5-x86的操作系统。然后重试。

第二种(有一定linux管理基础的人)包括安全

目前主流的国外vps以linux系统居多,因为linux系统是免费的,对服务商或用户来说都可以省一点钱,况且对于一般的网络应用,linux平台的性能和稳定性都大大优于win平台。唯一的不足就是linux平台的server不采用图形界面,易用性较差,大多数非专业人员配置、操控起来有难度,即使是专业人员,很多操作在命令行下也稍显繁琐,为了解决这个问题,就有了各种基于web的linux平台控制面板,将常用操作图形化,使之便于管理。

在众多linux发行版中,centos很不错,因为它是基于原来的Redhat Linux,是相对于RHEL(Red Hat Enterprise Linux,现已收费)的免费版本,性能优良,可用文档等资源也很丰富。而在众多的面板中,从资源占用、易用性等方面综合考虑,kloxo(原lxadmin)无疑最比较适合vps新手的,而且它的基本功能是免费的,唯一的商业限制是不能绑定超过40个域名(现在有破解补丁和开源版具体请在官网看),对一般用户来说完全够用。因此centos+kloxo平台是用vps搭建web服务非常不错的选择。

下面分几步来说明拿到vps后初始化设置的步骤,仅作简单记述以备忘。下面的方法主要来自网上收集。

——————————- 第一步 ——————————-

因为拿到的vps一般是安装了centos完全版的,自带有apache等组件,我们要使用kloxo自带的服务器组件,就需要先卸载自带的apache、mysql等。

卸载Mysql
# rpm -qa | grep mysql
mysql-3.23.58-9
php-mysql-4.3.4-11
mod_auth_mysql-20030510-4.1
mysql-server-3.23.58-9
说明:rpm -qa | grep mysql 命令是为了把mysql相关的包都列出来,卸载从最下面的一个包开始,直到卸载掉第一个为止。
比如:在这个例子中,我们应该先卸载mysql-server-3.23.58-9 方法如下:
rpm -e mysql-server
说明:rpm -e 是卸载rpm包的命令,后面是包名称,最后的版本号是不用打的,比如我们下一步卸载mod_auth_mysql-20030510-4.1包,方法如下:
rpm -e mod_auth_mysql

卸载Apache
# rpm -qa | grep httpd

卸载PHP
# rpm -qa | grep php

注意:卸载的时候如果卸载不掉,系统一般会提示包的依赖关系,并且列出依赖的包的名称,先卸载提示依赖的包就可以了。如果实在实在有卸载不掉的包,可以加-nodeps这个参数来卸载,比如我们卸载php-4.3.4-11,实在卸不掉了。就用:
rpm -e php-4.3.4-11 -nodeps
命令很强硬,应该行的。

——————————- 第二步 ——————————-

centos系统安全设置

1、更改SSH端口,最好改为10000以上,别人扫描到端口的机率也会下降
vi /etc/ssh/ssh_config
vi /etc/ssh/sshd_config
然后修改为port为需要的端口号
以root身份service sshd restart

2、删除系统臃肿多余的账号:
userdel adm
userdel lp
userdel sync
userdel shutdown
userdel halt
userdel news
userdel uucp
userdel operator
userdel games
userdel gopher
userdel ftp 如果你不允许匿名FTP,就删掉这个用户帐号
groupdel adm
groupdel lp
groupdel news
groupdel uucp
groupdel games
groupdel dip
groupdel pppusers

3、增加普通账号,并禁止root远程登录:
useradd newuser  //添加新用户
passwd newuser  //修改密码
usermod -G10 newuser
或usermod -G wheel newuser    //将用户加入wheel组,允许使用 su – 命令提权成root
vi /etc/ssh/sshd_config
添加一行:
PermitRootLogin no  //禁止root远程登录
vi /etc/pam.d/su
#auth required /lib/security/$ISA/pam_wheel.so use_uid   ← 找到此行,去掉行首的“#”
echo “SU_WHEEL_ONLY yes” >> /etc/login.defs  //以上为禁止不在wheel组的用户使用su -命令
重启sshd服务
#service sshd restart

4、更改下列文件权限,使任何人没有更改账户权限:
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow

5、编辑“host.conf”文件(vi /etc/host.conf)加入下面这些行:
order bind,hosts
multi on
nospoof on
chmod 600 /etc/xinetd.conf
vi /etc/xinetd.conf  禁止所有不需要的服务,如:ftp、telnet、shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth等等,也可以直接通过setup命令来设置服务项。
改变了“inetd.conf”文件之后,别忘了给inetd进程发一个SIGHUP信号:
killall -HUP xinetd
chattr +i /etc/xinetd.conf  //把inetd.conf设成不可改变,如果要改变xinetd.conf文件,你必须先清除这个不允许改变的标志:
chattr -i /etc/inetd.conf

又是为了服务器安全,可以配置防ping:

先用/sbin/ifconfig查看网卡信息,找到外网网卡名字,如venet0
运行
/sbin/iptables -A OUTPUT -o venet0 -p icmp -j ACCEPT
/sbin/iptables -A INPUT -i venet0 -p icmp –icmp-type echo-reply -j ACCEPT
/sbin/iptables -A INPUT -i venet0 -p icmp –icmp-type echo-request -j DROP
/sbin/service iptables save
看到OK后重启即可。

也可以通过使用MySQLTuner分析优化MySQL。MySQLTuner是一个Perl脚本,用来分析你的MySQL性能,并给出优化建议。

下载,执行:
# wget http://mysqltuner.com/mysqltuner.pl
# chmod +x mysqltuner.pl
# ./mysqltuner.pl

——————————- 第三步 ——————————-

安装kloxo
wget http://download.lxlabs.com/download/kloxo/production/kloxo-install-master.sh
sh ./kloxo-install-master.sh

yum install php-bcmath /*高精度数学运算组件,默认没安装,MD5运算时用到*/
yum check-update /*检查全部更新*/
yum update /*更新全部更新*/
yum clean all /*清理全部缓存的安装文件以节省空间*/

这就安装完了kloxo,可以web登陆面板了。
地址:https://yourdomain:7777/ /*安全连接*/
http://yourdomain:7778/ /*普通链接,常用*/
一般出于安全考虑要在面板里修改掉默认的7777和7778端口,修改后要ssh里运行:
/script/restart
重启kloxo服务使之生效。

下面就可以按照面板里的说明添加网站了。

CentOS下xen虚拟机的安装

我的试验环境:
1.使用root用户登陆
2.CentOS为原生dvd最小化安装
3.接入internet

一、安装xen
# yum –y install xen*
安装XEN需要的服务
# yum -y install kernel-xen*
安装XEN的相关内核
二、检查启动选项是否使用xen内核启动
1、检查 xen内核文件
安装是否正常:文件位于/boot
# ls –lh /boot
total 9.5M
-rw-r–r– 1 root root 61K Mar 16 08:19 config-2.6.18-8.el5
-rw-r–r– 1 root root 60K Mar 16 09:27 config-2.6.18-8.el5xen
drwxr-xr-x 2 root root 1.0K Aug 15 14:47 grub
-rw——- 1 root root 1.5M Aug 13 17:18 initrd-2.6.18-8.el5.img
-rw——- 1 root root 1.5M Aug 15 14:47 initrd-2.6.18-8.el5xen.img
drwx—— 2 root root 12K Aug 13 17:15 lost+found
-rw-r–r– 1 root root 79K Apr 1 22:49 message
-rw-r–r– 1 root root 82K Mar 16 08:20 symvers-2.6.18-8.el5.gz
-rw-r–r– 1 root root 83K Mar 16 09:28 symvers-2.6.18-8.el5xen.gz
-rw-r–r– 1 root root 865K Mar 16 08:19 System.map-2.6.18-8.el5
-rw-r–r– 1 root root 848K Mar 16 09:27 System.map-2.6.18-8.el5xen
-rw-r–r– 1 root root 1.7M Mar 16 08:19 vmlinuz-2.6.18-8.el5
-rw-r–r– 1 root root 2.0M Mar 16 09:27 vmlinuz-2.6.18-8.el5xen
-rw-r–r– 1 root root 269K Mar 16 07:51 xen.gz-2.6.18-8.el5
-rwxr-xr-x 1 root root 595K Mar 16 09:43 xen-syms-2.6.18-8.el5

2、检查grub配置
# cat /boot/grub/grub.conf
# grub.conf generated by anaconda
#
# Note that you do not have to rerun grub after making changes to this file
# NOTICE: You have a /boot partition. This means that
# all kernel and initrd paths are relative to /boot/, eg.
# root (hd0,0)
# kernel /vmlinuz-version ro root=/dev/sda3
# initrd /initrd-version.img
#boot=/dev/sda
default=1
timeout=5
splashimage=(hd0,0)/grub/splash.xpm.gz
hiddenmenu
title CentOS (2.6.18-8.el5xen)
root (hd0,0)
kernel /xen.gz-2.6.18-8.el5
module /vmlinuz-2.6.18-8.el5xen ro root=LABEL=/
module /initrd-2.6.18-8.el5xen.img
title CentOS (2.6.18-8.el5)
root (hd0,0)
kernel /vmlinuz-2.6.18-8.el5 ro root=LABEL=/
initrd /initrd-2.6.18-8.el5.img
修改其中的default=1为default=0,启用xen内核

3、重新启动计算机

4、重启后登录系统,检查XEN是否正常
4.1 执行# xm list
Name ID Mem(MiB) VCPUs State Time(s)
Domain-0 0 3919 4 r—– 16.9
出现上述结果表示xen启动正常

2.1 安装必须的工具
由于以前的安装是基于最小化安装,此时需要增加一个用于安装客户机系统的软件virt-manager,现在安装:
#yum –y install virt-manager
请注意由于此软件包为gnome下的图形管理程序,所以需要安装大量依赖包

百度网站首页无法访问(图)

百度无法正常访问,跳转到雅虎英文页面

网易科技讯 1月12日上午8点30分消息,据北京网易网友反应,百度今天早上7:00左右开始突然出现无法访问故障,域名无法正常解析。网易科技随后在IE和火狐浏览器下测试百度,也出现类似情况。

在网易论坛上,也有来自广东、武汉等其他城市的网友反映百度无法访问,或者打开后跳转到一个雅虎英文页面。

百度官方尚未对此事发表公告解释,百度相关人士向网易科技表示,故障“还在查,目前原因不知”。(更新:百度官方于10点45分左右时表示:由于baidu.com的域名在美国域名注册商处被非法篡改,导致www.baidu.com不能被正常访问)

(您可以通过跟贴留言告诉我们您所在地的百度访问状况。)

正在持续更新报道事件进展:

【8:58】 有网友报料并分析称:百度的主页也是被称为伊朗网络部队( Iranian Cyber Army)的组织篡改的,刚访问的时候界面是黑色的 上面有一条阿拉伯文,上面是一个横条图片和一个大图片均无法显示。和前一段时间被黑的twitter主页被黑的应该是同一个组织做的了。隔了几分钟我再次访问时就成了无法访问了,提示Unfortunately we are unable to process your request at this time. This error is usually temporary. Please try again later。

【9:00】 有业内人士分析指出:有网友曾经被定向到一个黑页“Iranian Cyber Army”上,域名被盗取或劫持的可能性相当大,不过百度如此大的请求数量是任何一个黑页服务器也无法抵御的,因此只能是访问失败。

【9:27】 百度相关人士向网易科技表示,故障“还在查,目前原因不知”。

【9:29】 国际在线报道称,百度多地无法访问 或因“伊朗网军”攻击

【9:30】 太原、天津、河南、烟台、长沙、成都、湖北、济南、沈阳、内蒙、厦门、重庆、成都、苏州等地网友均在跟贴留言反映无法访问百度。

【9:32】 网易江苏南京网友(ip:121.229.*.*)报料并分析称:我证实百度首页自6点多起就显示为前日Twitter被伊朗黑客攻克的画面。因为ping到百度网页实际指向一个伊朗IP(188.95.49.6),该 IP的网站可能实际使用英文yahoo下的租用空间,因此访问百度旗下网站时,会出现英文yahoo的出错信息页面。因此怀疑此次被黑是因为百度的域名被黑客控制了。目前百度一定是在陆续恢复解析,所以出现了各地逐渐恢复访问的情况。根据解析速度,如不出意外,全世界将在48小时内全部恢复访问。

【9:37】 有网友在论坛发贴爆料并贴出百度域名被劫持的图片。

【9:40】 四川、福建、江苏、吉林、浙江等地网友跟帖反映无法访问百度。

【10:00】 网络故障导致“百度”成谷歌今日上升最快关键词。

【10:18】 瑞星安全专家分析认为,此次攻击黑客利用了DNS记录篡改的方式。根本原因在于目前互联网域名的DNS管理服务器安全性未受到应有的重视。并提醒称,目前绝大多数域名都存在类似安全风险,使得DNS存在很多安全隐患。(相关:金山安全专家详解DNS劫持)

【10:45】 百度官方表示:“由于baidu.com的域名在美国域名注册商处被非法篡改,导致www.baidu.com不能被正常访问,公司有关部门正在积极处理。Www.baidu.com.cn 能够正常访问。”

【11:00】 上海、广东、北京等地部分网络开始恢复对baidu.com的访问。

【11:50】 百度旗下网址导航站hao123.com将“百度”的链接域名更换为baidu.com.cn

【12:30】 网易有道搜索技术总监预计:百度搜索(baidu.com)下午3点左右全面恢复

【12:51】 百度CEO李彦宏在百度i贴吧上表态:史无前例,史无前例啊!

【13:28】 百度表示:百度北京地区今天中午服务恢复正常,全国其他地区的IP解析也正在恢复中。

【14:40】 伊朗使馆新闻参赞扎阿伊称,有关伊朗网军,伊朗政府也感到头疼,伊朗网军不代表官方立场。

【16:00】 截至目前,仍有大量网民反映:百度新闻搜索、空间、贴吧等服务仍不能通过*.baidu.com访问。

【17:00】 北京等地网友普遍反映已经可以顺利打开二级域名相关服务,同时仍有各地网友报告无法完全正常访问。

【18:00】 百度发表正式声明,称目前已经解决了大部分登录问题。对于部分中国网友基于义愤报复性攻击其他外国网站的做法,百度称“我们并不鼓励这样的做法,请大家保持冷静。”

地球上有一个很奇怪的国家

1。该国百姓收入是欧美的几十分之一,房价却要赶超欧美;

2。该国房子可以是自己的,但土地永远是国家的!最近又补充了一下:“房子是土地的一部分”!

3。该国的国际长途,从国内打到国外的价格是国外打到国内价格的10倍以上!

4。该国说“教育兴国”,“教育是根本”……,但教育经费投入之少与非洲穷国乌干达看齐,百姓自掏教育经费之多全球之冠!此谓优越性!

5。该国GWY的薪水不拿全国的平均水平,而是平均水平的3倍以上,此谓 “高薪养廉”; 6。该国全国GWY不交一分钱“养老金”,而退休后的养老金是全国其他人民的3倍以上。小泉纯一郎3个月没缴“养老金”,电视台作为丑闻天天放!此谓“百 步笑三步”。

7 。该国有很多企业叫国有企业,书上写公有制度下的国有企业是属于全国人民的。(老百姓不但没有拥有该企业,反而被其垄断的性质不断压榨)

8。禁止收看外国的电视节目!—(比塔利班的禁止收看电视可能要仁慈一点)

9。在这里开车撞了人最好确认撞死再报警,这样责任更小

10。在国内旅游也需要“签证”

11. 反对。。。。就要坐牢

12. 上市公司诈骗,股民受损失,但国家法院不受理此类赔偿!–(因为无法可依)

13. 禁止用自己买下的房子来作公司办公室

14. 去网吧上网要出示身份证。

15. ****刊物属于非法,但性用品商店到处都是。

16. 摩托车的行驶证(牌照)价格比摩托车本身高上好几倍。

17. 在国外能够浏览的互联网内容在该国可能就无法浏览–(不是你的电脑故障)

18. 电话打得越多越贵,没打电话也要你付钱

19. 医疗事故其实是由医院来裁决的–(法院参照医院所属的上级部门的鉴定报告来判决) 21。该国法官说的最多的一句话就是: “因还没有这方面的相关法律”

22。军队是属于某个政党的,不是国家的。

23。人民是不能直接参与投票选举领袖的。

24。一个国家可以有2种。。。。

25。每个公司中都有一个叫作党支部书记的职位——(当然,它是不负责公司业务的) 26。该国中有个叫作“离休干部”的阶层,可以享受高于普通公民的待遇。

27。新闻媒体是由某个。。投资的,但用的却是纳税人的钱

28。人民是不能随意改变居住地的——(户口)

29。该国的货币是不能在世界上流通的。

30。每对夫妇只允许生一个孩子。

31。党内行政警告处分可以用来代替刑事处分。

32。“失业”在该国被称之为 “下岗”。

33。该国没有商业电视台,但电视广告却比国外台多好几倍。

34。让老百姓知道的越少越好,这是该国的“既定国策”。

35。该国人口中有30%以上的文盲或准文盲。

36。该国的法制中有 “坦白从宽,抗拒从严”的政策

37。当地人会把非本地人称作为“外来盲流”。

38。该国的。。垄断很多产业,他们称之为“民族产业”——(电信,交通,媒体,水电煤,…)

39。该国的公民(大多数)认为爱国就是要爱党。

40.该国。。天天都在担心。。。

41.在英国,你说不拆,任何人不敢拆你的。在该国,你说不拆,肯定把你拆了。

42.该国有一种列车叫和谐号,和谐号列车提醒大家:乘客谷(歌)因不遵守列车规定已被驱逐下车,请车上乘客务必遵守规定,拉紧窗帘,不得观看窗 外风景。

43. 00000

44…….

45.该国总理说要控制房价,于是房价飙升;总理说要稳定物价,于是物价暴涨;总理说要查…..

46.该国从小学到大学思想品德考核第一条都是热爱祖国,热爱、党。我直到现在也没想明白爱不爱党跟一个人的思想品德有什么关系。纳税人养 活。。。,还强迫每个人必须爱它。这就好比我买了条狗,每天喂他吃喝,他不好好看门,我不仅连让它滚蛋的权利都没有,我还得爱它。神奇啊。

47.该国有种制度叫一国两制:屁民上网实名制,官员财产隐藏制。

48.该。。。。。

49.。。。。。。

50。该国的公民(大多数)看了这些只能无奈的笑笑。

经过我折腾了一天 100%成功的openvpn安装方法

服务端配置

SSH登陆VPS,我的系统是32的CentOS 5.4,如果用别的Linux发行版也差不多,有些命令需要修改下就是了。

OpenVPN需要TUN支持,大多数VPS默认都没有开启,你可以用这个命令检测:cat /dev/net/tun

如果返回信息为:cat: /dev/net/tun: File descriptor in bad state 说明正常,否则发个ticket给VPS公司让他们帮忙开吧。

另外如果你需要连上OpenVPN后能访问互联网,还需要iptables_nat模块支持,用这个命令检测:iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o venet0 -j MASQUERADE

如果返回信息为:iptables: Unknown error 4294967295 说明正常,否则同样需要发个ticket让VPS公司帮忙开通。

环境准备好之后,我们正式开始安装OpenVPN了。网上的教程绝大多数都是用源代码编译方式安装的,但我觉得这种方式不便于以后升级维护,这里我们使用yum来安装。

默认情况下centos的yum源没有OpenVPN的,先安装EPEL这个东西,使用命令:rpm -Uvh http://download.fedora.redhat.co … ease-5-3.noarch.rpm

成功后yum源里面就有OpenVPN了,直接使用命令yum -y install openvpn

这里就体现了yum安装的好处,比如OpenVPN需要lzo支持,安装的时候会检测系统,没有的组件会自动安装进去。

我们来找一下安装到哪去了,使用命令:locate easy-rsa

找出来了原来在这里:/usr/share/openvpn/easy-rsa 大家应该都是一样的。

我们把easy-rsa这个文件夹移出来,用命令:cp -R /usr/share/openvpn/easy-rsa /etc/openvpn/

然后cd /etc/openvpn/easy-rsa/2.0进入,生成OpenVPN需要的证书。

用vi vars来编辑环境变量,这里涉及到编辑器vi的用法,不会用就自己google一下。

把最后几行根据实际情况修改:

export KEY_COUNTRY=”CN”
export KEY_PROVINCE=”GD”
export KEY_CITY=”GZ”
export KEY_ORG=”Black-Xstar Net Empire”
export KEY_EMAIL=”webmaster [at] black-xstar.com”

保存后运行. vars设置生效。

接下来运行./build-ca server创建证书颁发机构。

Generating a 1024 bit RSA private key
……………………++++++
….++++++
writing new private key to ‘ca.key’
—–
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [CN]:回车
State or Province Name (full name) [GD]:回车
Locality Name (eg, city) [GZ]:回车
Organization Name (eg, company) [Black-Xstar Net Empire]:回车
Organizational Unit Name (eg, section) []:回车
Common Name (eg, your name or your server’s hostname) [Black-Xstar Net Empire CA]:回车
Name []:回车
Email Address [webmaster@black-xstar.com]:回车

注意红色的地方,需要按回车的。

创建CA之后来生成服务器证书,输入./build-key-server server

Generating a 1024 bit RSA private key
…++++++
……………++++++
writing new private key to ‘server.key’
—–
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [CN]:回车
State or Province Name (full name) [GD]:回车
Locality Name (eg, city) [GZ]:回车
Organization Name (eg, company) [Black-Xstar Net Empire]:回车
Organizational Unit Name (eg, section) []:回车
Common Name (eg, your name or your server’s hostname) [server]:回车
Name []:回车
Email Address [webmaster@black-xstar.com]:回车

Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:回车
An optional company name []:回车
Using configuration from /etc/openvpn/easy-rsa/2.0/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject’s Distinguished Name is as follows
countryName            RINTABLE:’CN’
stateOrProvinceName    RINTABLE:’GD’
localityName           RINTABLE:’GZ’
organizationName       RINTABLE:’Black-Xstar Net Empire’
commonName             RINTABLE:’server’
emailAddress          :IA5STRING:’webmaster@black-xstar.com’
Certificate is to be certified until Nov 18 17:25:15 2019 GMT (3650 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

同样注意红色字的部分,是需要人工输入的。

服务器证书生成完了,我们来生成客户端证书,理论上每个OpenVPN用户都有独立的证书,我们先来生成一个试试。

输入命令:./build-key client1,这里的client1是客户端名称,如果第二个就是client2了。

Generating a 1024 bit RSA private key
…….++++++
………++++++
writing new private key to ‘client1.key’
—–
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [CN]:回车
State or Province Name (full name) [GD]:回车
Locality Name (eg, city) [GZ]:回车
Organization Name (eg, company) [Black-Xstar Net Empire]:回车
Organizational Unit Name (eg, section) []:回车
Common Name (eg, your name or your server’s hostname) [client1]:回车
Name []:回车
Email Address [webmaster@black-xstar.com]:回车

Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:回车
An optional company name []:回车
Using configuration from /etc/openvpn/easy-rsa/2.0/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject’s Distinguished Name is as follows
countryName            RINTABLE:’CN’
stateOrProvinceName    RINTABLE:’GD’
localityName           RINTABLE:’GZ’
organizationName       RINTABLE:’Black-Xstar Net Empire’
commonName             RINTABLE:’client1′
emailAddress          :IA5STRING:’webmaster@black-xstar.com’
Certificate is to be certified until Nov 18 17:31:21 2019 GMT (3650 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

注意红色字的部分,和上面生成服务器证书差不多。

最后生成Diffie Hellman参数:./build-dh,这个需要一点时间的。

完成上面的过程后,把/etc/openvpn/2.0/keys里面的东西下载回来。

接下来我们开始配置OpenVPN了,我的配置文件只是一个参考,可以根据实际情况修改。

首先cd ..回到上一级目录,然后vi server.conf新建一个配置文件,输入下面内容:

port 443
proto tcp
dev tun
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/server.crt
key /etc/openvpn/easy-rsa/2.0/keys/server.key
dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
push “redirect-gateway def1″
push “dhcp-option DNS 208.67.222.222″
push “dhcp-option DNS 208.67.220.220″
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3

其中DNS服务器地址可以换成主机商的,也可以和我一样用opendns。另外我有了tcp协议和443端口,是为了方便我在cmwap下使用,也可以换别的。

到这里为止OpenVPN就配置好了,接下来我们设置外网访问。

输入vi /etc/sysctl.conf开始编辑,找到net.ipv4.ip_forward = 0改成net.ipv4.ip_forward = 1保存。然后执行sysctl -p这个命令。

输入iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT –to-source 1.2.3.4添加规则,注意最后1.2.3.4改成你的VPS的IP地址。

完成后用/etc/init.d/iptables save保存iptables设置,然后/etc/init.d/iptables restart重新启动下。

重要。。首先vi /etc/openvpn/server.conf

输入以下内容

port 443
proto tcp
dev tun
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/server.crt
key /etc/openvpn/easy-rsa/2.0/keys/server.key
dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
push “redirect-gateway def1″
push “dhcp-option DNS 208.67.222.222″
push “dhcp-option DNS 208.67.220.220″
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3

把OpenVPN添加到开机启动,用vi /etc/rc.local进入编辑,在后面加入/usr/sbin/openvpn –config /etc/openvpn/server.conf &这一行。

需要在服务器上完成的操作到这里就结束了,输入openvpn –config /etc/openvpn/server.conf &启动。

客户端配置
和PPTP不一样,OpenVPN需要安装客户端才行,在http://www.openvpn.net/index.php/open-source/downloads.html下载最新版本的Windows Installer安装。

然后在下载回来keys文件夹里面找到ca.crt、client1.crt和client1.key这三个文件,放到C:\Program Files\OpenVPN\config里面。

同时在这里面新建一个名字为“client1.ovpn”的文本文件,输入下面内容:

client
dev tun
proto tcp
remote 1.2.3.4 443
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
ns-cert-type server
comp-lzo
verb 3

把第四行的1.2.3.4换成VPS的IP地址,然后保存。

在开始菜单里面找到OpenVPN GUI并运行,Vista和Win7下需要管理员身份运行。点Connect后等一下,是不是成功连上去了?

打开youtube或twitter(follow我@ovear)试试,爽吧!

如何开启DREAMHOST的ZEND以及PHP.INI配置

今天搞了半天的才搞懂了DH空间配置PHP.INI 开启ZEND 开启采集函数allow_url_fopen
1.本文以putty修改dreamhost虚拟主机为例讲解如何配置PHP.INI:
1)用 ssh 方式登录到你的网站(登陆方法搜索本站其它教材),找到以你的网站名命名的目录,例如 ppfeel.net(网站总目录),在它下面用 mkdir 命令创建一个子目录 cgi-bin(也可以用FTP创建);
mkdir ~/ppfeel.net/cgi-bin/

2)把默认的 php.cgi 和 php.ini 文件复制到 cgi-bin 目录下,可以从 DreamHost 的系统目录中拷贝,例如:
cp /dh/cgi-system/php5.cgi ovear.cn/cgi-bin/php.cgi
cp /etc/php5/cgi/php.ini ovear.cn/cgi-bin/php.ini  上面是php5 的例子,如果你用的是 php4,则要从 /dh/cgi-system/php.cgi 和 /etc/php/cgi/php.ini 分别获取 DreamHost 的默认 php.cgi 和 php.ini 文件;

2.采集必不可少的allow_url_fopen函数很多主机是不支持的,Dreamhost的allow_url_fopen函数默认不开启,但是可以自己开启,下面介绍下如何开启此功能
1)用FTP编辑 php.ini 文件,把 allow_url_fopen = Off 改为 allow_url_fopen = On 并保存;

2)在网站总目录下建一个(如果已经存在就修改).htaccess 文件,例如 ppfeel.net/.htaccess 文件,在文件中添加
AddHandler php-cgi .php
Action php-cgi /cgi-bin/php.cgi

3)修改文件的访问权限(用ftp修改):
ppfeel.net/.htaccess 改为644
ppfeel.net/cgi-bin 改为755
ppfeel.net/cgi-bin/php.cgi 改为750
ppfeel.net/cgi-bin/php.ini 改为644
3.因为Dreamhost默认是安装了Zend Optimizer的,只要激活即可
用ftp打开php.ini,ctrl+f搜索
zend_extension=”/usr/local/dh/apache/template/phpext/ZendExtensionManager.so”
zend_extension=”/usr/local/dh/apache/template/phpext/zend_optimizer5/ZendOptimizer.so”

在后面加上
zend_optimizer.enable_loader = 1
;zend_optimizer.enable_loader = 1
zend_optimizer.optimization_level=15
;zend_optimizer.license_path =
; Local Variables:
; tab-width: 4
; End:

到此,就全部结束了~

世界,你好!

欢迎使用 WordPress。这是系统自动生成的演示文章。编辑或者删除它,然后开始您的博客!