四:基本软件安装
主机系统安装完成,就是根据用户需要,进行软件的安装了。一般来说不管作个人云桌面,还是做游戏主机,或者安装其他业务服务软件,往往是都离不开基本的web服务组件。对于Windows主机,基本上可以在图形界面增加功能组件就可以,对于linux主机一般是安装lnmp。
1:Windows+IIS等组件
windows主机必须安装防毒软件,最好是安装火绒等软件,最起码要把 “Microsoft Defender防病毒”配置好(不怕死的也可以额考虑安装360全家桶)。之后就要进行IIS等组件的添加。 在桌面上右键点击 “此电脑”选择管理。 在出现的服务器管理器中,点击“添加角色和功能”。
在出现的界面中选择所需的角色组件。除WEB服务器IIS外,可以根据需要选择其他的,例如更新服务等等。下一步则会进一步细化的功能选项,比如.net运行框架,WEBDAV,Telnet等等详细条目。之后继续下一步直至安装完成即可。
IIS可以用来承载多种网络服务,包括web站点,Ftp服务,WebDav文件服务等等。也可以支持Php等程序。具体的操作需要进一步学习专项知识了。
2:Linux Debian安装Lnmp等
首先介绍一下LNMP, 它的本意是 Lunix Nginx MySql PHP 的字母缩写,所以lnmp其实是一个自动化集成安装这些组件的脚本项目。通过这个脚本用户可以把原本大量的繁琐复杂的安装和编译工作自动化完成。 Nginx 开始是一个轻量化的web服务程序。 Mysql是一个开源的轻量数据库服务,PHP是一个脚本话语言的运行库。 但是随着发展,LNMP在不断演化丰富,Nginx也已经发展成为一个多种业务服务的综合体。 目前Nginx不止可以进行web服务,还包括了网络通信服务,代理服务,端口控制,流媒体服务等等功能。 Lnmp也不知支持nginx了,它还增加了Apache,Pureftpd等等选项和组件。 它可以安装Apache替代nginx成为LAMP,甚至可以让nginx和apache共存,成为LNMPA。
原本lnmp的发展非常健康。但是不知道什么原因,lnmp的作者将站点出售了。以后的lnmp脚本出现了一些问题,甚至有人爆出脚本内安装的程序出现了挂马的情况。具体是脚本内挂的马,还是引用的NMP软件源代码被挂了马,没做研究不好说。 目前站长们都只用 1.9版本进行安装,不敢使用最新的2.1版。
Lnmp的安装包含了大量的资源整合,代码本地编译等工作,所以安装时间较长。根据配置和网络情况,安装过程可能持续20分钟到2小时。所以难免出现安装过程中,网络波动造成SSH断开的问题。如果网络断开,安装过程还会继续,但是重连SSH后,会进入一个新的会话环境,用户就看不到安装过程了,出现什么问题也无法得知和处理。所以需要 安装lnmp之前先安装screen。 一旦网络断开,重连SSH后,可以找回安装会话,回到进度之中。
apt-get install screen
有关 SCREEN的详细操作说明可以看这里。 安装screen完成后,运行
screen -S lnmp
之后再运行安装脚本
wget https://soft.lnmp.com/lnmp/lnmp1.9.tar.gz -O lnmp1.9.tar.gz && tar zxf lnmp1.9.tar.gz && cd lnmp1.9 && ./install.sh lnmp
进行一些基本的选择,就可以暂时离开等待安装完成了。如果网络掉线,可以重新连接SSH,再执行 screen -r lnmp 就会看到你的lnmp安装进程。有时候screen异常退出可能会提示状态为Attached,可以执行:screen -D -r lnmp 进行恢复。
如果你对这些组件不够了解,可以先全部使用默认安装,一路回车即可。 其中数据库和php提供的版本很多。版本越新,需要的运行环境就越高。所以不是越新的版本越好。老版本可以运行在512M内存的VPS上,而新版本可能需要2G内存才可以流畅运行。而太老的版本可能不能提供后续应用程序所需的全部功能。
lnmp安装完成后,是随主机启动自动运行的。 lnmp提供了一套快捷指令,可以控制网站(vhost),数据库,和各个组件的基本操作。常见的操作方式如下:
# 添加新站点 lnmp vhost add #列出现有站点 lnmp vhost list #重新启动nginx (修改配置文件后需要) lnmp nginx restart #添加SSL证书 (可以配置自动更新的免费SSL证书) lnmp SSL add # 添加数据库(本地) lnmp database add
有关lnmp指令更多的详细内容可参见这里。 nginx的配置文件是 “ /usr/local/nginx/conf/nginx.conf”,每个vhost站点的配置文件是“/usr/local/nginx/conf/vhost/站点名.conf” 。 很多详细的功能和配置都可以在这些配置文件内实现。 比如在nginx.conf文件中添加几行配置,就可以实现端口转发。
对于每个vhost站点的配置文件,一般是配置端口、主机名、默认首页、文件限制、反向代理等内容。文件内容很好理解,比较容易阅读。这里不展开详细说明了。
五:科学手段简述
科学上网的技术已经发展很多年了,各种技术层出不穷,复杂度也越来越大。VPN和 SSR这些技术早就不能用了。 现在的新技术都是走的代理和通信分离设计路线,再加上合理的伪装。比如v2和 naive这些。就是CS两端的程序不断更新,他们之间的通信协议也会不断演进,而且是支持多协议自由选择的。但是吧任你怎么变换组合,也无法跟国家队的算力对抗的。况且并不需要解密通信数据,只要符合流量特征,就可以被发现。所以还需要把流量伪装在海量的合理数据之中。最常见的就是藏在真实的的https通信中。因为https的流量特征天然符合科学需要的特征(单点量太大了还是盖不住的,小流量比较合适)。实现方法有两种。第一比较方便的是,首先有一个真实的,有效的https网站。然后配置出在这个网站内部有一个特定连接地址,是反代给v2或naive这些服务端的(它们使用websocket协议)。 那么客户端这边就是通过合法的真实的https去访问这个连接地址实现有效的隐藏。这里真实的https站点可以使用nginx或candy等轻量web服务搭配ssl证书实现。 另一种实现方法就是 让v2或naive自己实现web服务,当然这也需要有效的ssl证书。这样的优点是省去nginx的负担,减少资源开销,但是缺点是流量比较单一,特征容易提取。
最后如果加上 cloudflare这种cdn服务就更好了,不但可以隐藏真实IP地址,还可以使用动态线路。缺点就是免费的服务速度慢。
当然了,如果你的业务比较多,手里有多个主机,也可以自己实现多线路的服务。比如我就自己写了一个多线路转发程序,主机A通过主机 C D E F 四台主机随机选择两台建立连接,通过这两个转发主机再连接V2主机B(CDEF这些主机有海外的,也有内陆的) 。当然如果愿意,还可以再增加 一层中转主机,比如再有个 O P Q。这种网状线路,定时更换随机线路,会有效的分摊时间和流量上的特征。
六: 主机安全
1:软件安全
尽早安装安全防病毒软件,之后安装其他软件的时候也是尽量从官网下载。减少挂马之类的风险。当然有些东西还是需要使用第三方安装脚本或者集成项目的。那么还是要多搜索一下,看看有没有其他站长的安全反馈。并抽时间去cnnvd 信息流动库检索一下。
2:内网化与端口安全
像腾讯云之类的主机商,会提供内网互联的服务,也有免费的使用条件。那么就应该尽量的把主机间的通信向内网转移。防火墙放通内网地址的访问,限制外网的访问。对于其他云主机,没有直接的内网访问条件的话,也可以自己实现虚拟内网。比如通过frp,vpn等技术。 frp本来是做内网穿透的,但它也可以用来实现主机互联,让多个主机通过自己配置的内网地址互相访问。而一般的vpn技术目前使用会有受限的情况,比如你想让墙内外的主机通过vpn连接是肯定不行的,GFW专门就是卡这个的。国内主机上也不允许这种连接。但是如果只是国内主机使用vpn互联是允许的。
内网化和端口安全是相关的。 内网化的目的是尽量减少对外暴漏了公网端口,但总要有端口开放的,否则主机就没用了。如果有多个主机,理想最好是用带有审计功能的堡垒机进行统一的远程管理。但是堡垒机的价格都不便宜。 所以可以使用一些工具软件实现基本的堡垒服务。比如使用 BLADE.TFS 端口防护。TFS是集成了端口转发,和动态黑白名单控制的程序,支持 windows 和 linux 平台(基于.net开发,功能是跨平台的,可以发布为多种目标平台程序)。它会对指定端口的接入进行黑白名单检查,并计数,对于风险IP地址会自动封锁,也保护真实端口。使用场景就是通过主机A的一组端口,转发到本身的其他端口,或其他主机的业务端口,比如远程管理端口,数据库端口等。被转发的目的端口是不允许公网访问的,只允许特定主机A的IP连接。对端口的访问量限制通过配置文件设置,再指定时间段内超过访问量的ip地址会被临时封锁,并记入数据库。 管理员可以根据数据库统计信息,把流氓地址直接封锁为黑名单,永远禁止访问。对于确实因业务流量访问超限的IP地址,也可单开一个端口转发,指定业务IP不限量访问。
%
