博客 (28)

在 Linux 上运行 .NET 网站，通过

HttpContext.Connection.RemoteIpAddress

获取客户端的 IP 地址，结果是

::ffff:127.0.0.1

解决方法：

打开 Program.cs 文件，在 var app = builder.Build(); 之前（尽量往前）添加以下代码：

if (OperatingSystem.IsLinux())
{
    builder.Services.Configure<ForwardedHeadersOptions>(options =>
    {
        options.ForwardedHeaders = ForwardedHeaders.XForwardedFor
                                    | ForwardedHeaders.XForwardedProto
                                    | ForwardedHeaders.XForwardedHost;

        // 清除 KnownNetworks 和 KnownProxies，表示信任来自本机的代理（如 Nginx）
        options.KnownNetworks.Clear();
        options.KnownProxies.Clear();
    });

    Console.WriteLine("ForwardedHeaders enabled (Running on Linux)");
}

然后在 app.UseRouting(); 之前添加以下代码：

if (OperatingSystem.IsLinux())
{
    app.UseForwardedHeaders();
    Console.WriteLine("UseForwardedHeaders() applied.");
}

其中，OperatingSystem.IsLinux() 用于判断只在 Linux 环境中生效，你可以视自身情况作判断。

.NET 项目发布到 Linux / CentOS / nginx 上，调用 RedirectToAction 方法跳转到 127.0.0.1:443，而不是正在访问的域名，怎么办？

打开该网站的 nginx 配置文件，找到反射代理配置（proxy_pass），将：

proxy_set_header Host 127.0.0.1:$server_port;

改为

proxy_set_header Host $host;

早前记录过在 CentOS 中部署 ASP.NET Core 网站，现在宝塔面板已经直接支持创建 .NET 网站了，再次记录一下。

本文环境：VS2022、.NET 9、宝塔面板v11。

一、在 VS 中创建一个 .NET 9 网站，项目名称例：WebApplication1

发布选项：

关于“生成单个文件”选项，若勾选，发布后的项目启动文件不带后缀名（.dll），尝试在宝塔面板 v11.0.0 中无法顺利启动。

二、在 Linux 服务器上创建目录：/www/wwwroot/WebApplication1/

将发布后的文件上传到这个目录上，最终的文件结构如下：

三、进入宝塔面板，在 网站-Net项目 中安装 .Net环境管理，这里以 9.0.201 为例：

四、添加项目

项目名称：随意

运行路径：项目所在目录，本例中为：

/www/wwwroot/WebApplication1

启动命令：使用 dotnet 命令，dotnet 命令可以不使用全路径（/www/server/dotnet/9.0.201/dotnet），第一个参数是项目启动文件，--urls 是反向代理的服务器和端口。服务器名可以是*也可以是localhost。例：

dotnet WebApplication1.dll --urls=http://*:5000

项目端口：与启动命令中的端口号一致

开机启动：一般会勾选

启动用户：尽量用 www，最小权限原则。

正常情况下，网站已启动，如果未启动，检查配置，根据报错内容排查问题。

五、配置网站

添加域名、SSL 证书等。

友情提示：

• 网站版本更新重新发布后，需要手动重启网站才能生效，习惯于发布到 IIS（会自动生效）的同学要特别注意。

• 新手尽量以空项目或默认项目来部署，避免因特殊原因导致一系列其它问题。

• nginx 反向代理并不会转发所有 Header，需要手动配置。

要在 Alibaba Cloud Linux 3 上设置开机启动 ossftp，你可以通过创建一个系统服务来实现。以下是具体步骤：

安装 ossftp：

按照阿里云官方文档安装 ossftp。

创建服务文件：

首先，你需要创建一个服务文件。使用以下命令创建一个新的服务文件：

sudo nano /etc/systemd/system/ossftp.service

编辑服务文件：

在打开的编辑器中，添加以下内容：

[Unit]
Description=OSS FTP Service
After=network.target

[Service]
ExecStart=/bin/bash /root/ossftp-1.2.0-linux-mac/start.sh
Restart=always
User=root

[Install]
WantedBy=multi-user.target

这里的 ExecStart 指向你的 start.sh 脚本的路径。

保存并退出。

重新加载系统服务：

运行以下命令以重新加载系统服务，使新创建的服务生效：

sudo systemctl daemon-reload

启用服务开机启动：

使用以下命令启用服务，使其在系统启动时自动运行：

sudo systemctl enable ossftp.service

启动服务：

你可以立即启动服务以测试其是否正常工作：

sudo systemctl start ossftp.service

检查服务状态：

使用以下命令检查服务的状态，确保它正在运行：

sudo systemctl status ossftp.service

如果一切设置正确，ossftp 应该会在每次系统启动时自动运行。

如果在你的系统上没有安装 nano 编辑器，你可以使用其他文本编辑器，比如 vi 或 vim。

如果你需要安装 nano，可以使用以下命令：

sudo yum install nano

云服务器 ECS

云服务器 ECS - 安全组

云服务器 ECS - 快照 - 自动快照策略 - 关联云盘

云监控

云监控 - 应用分组：添加对应的服务器

云监控 - 主机监控 - 主机与插件操作 - 安装/升级Agent

云安全中心

云安全中心 - 漏洞管理 - 漏洞管理设置：根据操作系统勾选对应的 ECS

云安全中心 - 漏洞管理：一键扫描

云安全中心 - 防勒索：安装客户端并配置策略资产

云安全中心 - 主机规则管理：配置主机和防御策略，防暴力破解编辑策略

* 本文提及的部分功能可能需要付费

相关内容

如何搭建一台阿里云 ECS（Alibaba Cloud Linux / CentOS）

如何搭建一台阿里云 ECS（Windows Server）

以以下版本为例：

PHP 7.3

sqlsrv 5.6.0

步骤：

1. 安装 PHP 7.3

2. 加入微软的源

   curl https://packages.microsoft.com/config/rhel/7/prod.repo > /etc/yum.repos.d/mssqlrelease.repo

3. 安装微软 ODBC 驱动、命令行工具及开发包

   yum install msodbcsql mssql-tools unixODBC-devel

4. 下载 sqlsrc 扩展

   wget http://pecl.php.net/get/sqlsrv-5.6.0.tgz

5. 解压（注意最好是 wget 直接下载解压的，如果是 SFTP 上传的，用户是 root 编译会出错）

   tar -zxvf sqlsrv-5.6.0.tgz

6. 进入

   cd sqlsrv-5.6.0

7. /www/server/php/73/bin/phpize

8. ./configure --with-php-config=/www/server/php/73/bin/php-config

9. make && make install

10. 添加扩展

    echo "extension = sqlsrv.so" >> /www/server/php/73/etc/php.ini

11. 重新加载配置

    /etc/init.d/php-fpm-73 reload

http://pecl.php.net/package/sqlsrv

1. 购买 ECS
   

2. 解析域名（非网站域名）、修改实例名称、主机名

3. 设置阿里云（重要）

4. 远程连接进入 ECS（若解析未生效可以先用 IP）（若新服默认使用 22 端口，可在阿里云控制台登录系统，或先在安全组临时放行 22 端口）

5. 修复系统漏洞

6. 将磁盘挂载到目录（fdisk、df 命令参考：https://xoyozo.net/Blog/Details/SSH）

7. 安装宝塔面板（本文以宝塔面板方案为例，选择任何你喜欢的环境部署方案都行）。可以在阿里云控制台ECS实例页安装扩展程序

8. 临时放行宝塔面板端口，进入宝塔面板（http方式），或用命令更改宝塔面板端口

9. 配置面板 SSH、添加新的安全端口、面板设置

10. 更改 SSH 默认端口（参：https://xoyozo.net/Blog/Details/change-default-port）
    

11. 安装 nginx、PHP 等

12. 通过 lua 接入 WAF

13. 配置 PHP 扩展（Redis、sqlsrv（注意选择兼容的版本）、memcached 及端口）

14. 创建网站，配置网站（路径、伪静态等）

15. 迁移网站文件（参：https://xoyozo.net/Blog/Details/SSH）

16. 仔细对比新旧网站的配置文件（特别是 .php 的访问权限，参：https://xoyozo.net/Blog/Details/nginx-location-if）

17. 设置写入目录（使用 rsync 同步的文件会同步用户和权限）

18. 解析域名（先改 hosts 测试网站功能）

19. 更改内网其它 ECS 上的 hosts

20. 关闭原 ECS（能马上发现问题，不然等运行一段时间才发现问题就麻烦点）
    

21. 设置 FTP
    

22. 迁移“计划任务”

23. 所有网站和软件的配置文件都要使用 WinMerge 进行对比
    

24. 移除“宝塔面板-安全”和“阿里云-ECS-安全组”中不用的端口

25. 再次检查阿里云设置

26. 私网中若有 ECS 的 hosts 中域名直接绑定到私网 IP 的，做相应更改

27. 其它：ERP 添加到期提醒、WAF 增加该 ECS、备份工具增加该 ECS

更多文章：

从零搭建一台阿里云 ECS（Windows Server）并迁移网站

1. 购买 ECS
   

2. 解析域名（非网站域名）、挂载磁盘（若有另购）、修改实例名称、主机名

3. 设置阿里云（重要）

4. 远程连接进入 ECS（若解析未生效可以先用 IP）（若新服默认使用 3389 端口，可先在安全组临时放行 3389 端口）

5. 开启 Windows 防火墙（使用推荐设置）
   

6. Windows 更新、并在高级选项中开启（更新 Windows 时接收其它 Microsoft 产品的更新）

7. 安装 IIS：服务器管理器-添加角色和功能-勾选“Web 服务器(IIS)”包括管理工具

   建议勾选：

   默认已勾选项

   按需安装 IP 和域限制

   常见 HTTP 功能（不建议安装 WebDAV 发布）

   跟踪（即“失败请求跟踪”）
   

   请求监视器、日志记录工具、

   按需安装 ASP
   

   按需安装 ASP.NET 4.8（会同时勾选 .NET Extensibility 4.8、ISAPI 扩展、ISAPI 筛选器）

   按需安装 WebSocket 协议

   应用程序初始化（建议安装）

   管理服务（用于 Web 部署）

8. 细节：设置任务栏；设置桌面图标；个性化-颜色-勾选“标题栏和窗口边框”；设置输入法；

9. 更改远程桌面端口

10. 按需安装：

    下载 URL 重写（文件名：rewrite_amd64_zh-CN.msi）

    下载 MySQL Connector/NET（文件名：mysql-connector-net-8.0.19.msi）
    

    下载 ASP.NET Core 运行时 Hosting Bundle（文件名：dotnet-hosting-*.*.*-win.exe）
    

    下载 .NET 桌面运行时 Windows x64（文件名：windowsdesktop-runtime-*.*.*-win-x64.exe）

    下载 Web Deploy（文件名：WebDeploy_amd64_zh-CN.msi）

11. 服务：设置“ASP.NET State Service”自动启动
    

12. IIS 日志：路径（如 D:\wwwlogs），每小时（统一设置一个全局的就行了，不需要设置每个网站），按需勾选“使用本地时间进行文件命名和滚动更新”

13. IIS 导入证书：个人、允许导出证书。参

14. 设置默认网站的 https、设置默认网站跳转到指定网站。

15. 设置权限：设置网站所在分区（如 D 盘），安全，添加 IIS_IUSRS，全部拒绝（防止跨站）

16. 添加用户：为每个网站创建用户（既能防止跨站，又能跟踪进程），密码不能改、不过期，仅隶属于 IIS_IUSRS，并添加到每个网站的根目录，若用户创建失败看这里。

17. 创建网站：设置访问物理路径的用户；设置应用程序池的“标识”用户；编辑绑定：勾选需要服务器名称指示；检查域名是否绑全；设置写入目录的用户权限；设置写入目录的“处理程序映射”取消“脚本”。

18. 重复上面两步

19. 检查所有网站用户是否仅隶属于 IIS_IUSRS（在“组”页面双击 Users 和 IIS_IUSRS 查看成员）

20. 在应用程序池列表页面检查 CLR 版本、管托管道模式和标识；在网站列表页面检查绑定和路径
    

21. 设置 Web 部署

22. 设置“IP 地址和域限制”

23. 废弃旧服时再次检查：IIS 中各功能设置、hosts、安装的应用程序、启动项、任务计划程序、服务、防火墙等

24. 更改默认端口

25. 接入 WAF

26. 解析各网站域名

27. 其它：资源管理器-选项-查看-去掉“始终显示图标，从不显示缩略图”前的勾

28. 再次检查阿里云设置

29. 私网中若有 ECS 的 hosts 中域名直接绑定到私网 IP 的，做相应更改

30. 在备份工具中添加该服务器的所有备份项

31. 其它：到期日期提醒、

>> 关于域名解析

因各地域名解析生效时间不可控，一般国内域名 1 天内，国际域名 2 天内。

• 若网站数据库在 RDS、上传文件在 OSS，则解析 48 小时后直接停止原网站即可；（比较理想的）

• 文件上传到 ECS 的可使用 FTP 等工具定时同步文件，或直接停止原网站。（网友会遇到新文章中图片无法显示等问题）

• 还有一种方法是新网站提前解析一个备用域名，确保完全生效后再修改正式域名的解析，原网站无条件跳转到备用域名，如果数据库中有保存完整网址路径的，关闭原网站并解绑备用域名之后，进行批量替换。（缺点是可能会影响在搜索引擎的网站权重）

• 部分有定时器的网站要注意，如果两个网站的定时器都正常开启会导致意外的，需要停止其中一个网站的定时器。
  

当然每种方法都有优缺点，选择可以接受且方便的一种即可。

更多文章：

从零搭建一台阿里云 ECS（Alibaba Cloud Linux / CentOS / Linux）并迁移网站

默认端口带来安全隐患，建议更改为 50000-60000 之间的端口号。

Windows 远程桌面（RDP）(3389)

1. 在 Windows 防火墙中放行新端口：在“入站规则”中找到“Open RDP Port 3389”复制并粘贴该规则，修改端口和名称。

   若没有这个规则：新建规则 - 端口 - TCP - 特定本地端口（填写新的端口号）- 允许连接 - 名称

2. 如有其它防火墙或安全组也一并配置（如阿里云 ECS 的安全组）
   

3. 打开注册表（regedit），展开到：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp，右侧双击“PortNumber”切换到“十进制”，将 3389 改为新端口号

4. 重启生效

5. 在防火墙和安全组中禁止原默认端口

SSH (22) 之 CentOS

1. 从阿里云控制台登录服务器（如果未设置 root 密码则先设置），直接跳到第 4 步

2. 在外部防火墙中放行新的端口号（如阿里云 ECS 的安全组）

3. 在内部防火墙中放行新的端口号（如 firewalld 或 iptables），使用宝塔面板的直接在面板“安全”页面设置即可

4. 打开 SSH 配置文件

   sudo vi /etc/ssh/sshd_config

5. 找到并编辑 Port 行的端口号并启用，改为其它端口号

   #Port 22

6. 重新加载使生效

   sudo systemctl reload sshd

7. 在防火墙和安全组中禁止原默认端口

8. 建议使用 SSH 密钥对代替传统账号密码登录

FTP (21) 之 FileZilla Server Windows 版

1. 一般地，在 Windows Defender 防火墙中是以添加应用 filezilla-server.exe 的方式允许的，所以不需要更改端口。如果以端口方式允许的，那么在入站规则中允许新的端口。

2. 如有其它防火墙或安全组也一并配置（如阿里云 ECS 的安全组）

3. 打开 Administer FileZilla Server，打开菜单 - Server - Configure - Server listeners，右侧窗口中将 Port 改为新端口（强烈建议将 Protocol 改为“Require explicit FTP over TLS”，即禁止 FTP 协议，改为使用 FTPS 协议）

4. 从防火墙和安全组移除 21 端口

FTP (21) 之 Pure-Ftpd（宝塔面板）

1. 在防火墙中放行新的端口号（如阿里云 ECS 的安全组）

2. 进入宝塔面板，打开“安全”，添加端口规则 TCP

3. 在宝塔面板中进入软件商店，找到 Pure-Ftpd 并打开，切换到“配置修改”，搜索“Bind”，删除开头的“#”，将端口号 21 改为新端口号，保存（强烈建议将 TLS 项改为 2，即禁止 FTP 协议，仅允许 FTPS 协议）

4. 切换到“服务”选项卡，点击“重启”

5. 从防火墙和安全组移除 21 端口

MySQL (3306) 之阿里云云数据库 RDS MySQL 版

1. 打开控制台 RDS 实例页，左侧菜单点击“白名单与安全组”，切换到“安全组”查看正在使用的安全组ID

2. （若使用了安全组）打开控制台 ECS 首页，左侧菜单点击“安全组”，找到这个安全组，放行新的端口

3. 打开控制台 RDS 实例页，左侧菜单点击“数据库连接”，点击“修改连接地址”，在弹出框中修改端口

4. 从防火墙和安全组移除原端口（确保没有其它实例正在使用此端口）

PolarDB (3306)

1. 打开控制台 PolarDB 集群实例页，左侧菜单点击“集群白名单”，切换到“安全组”查看正在使用的安全组ID

2. （若使用了安全组）打开控制台 ECS 首页，左侧菜单点击“安全组”，找到这个安全组，放行新的端口

3. 打开控制台 PolarDB 集群实例页，左侧菜单点击“基本信息”，点击“主地址”和“集群地址”的“配置”，在“网线信息”中点击“更多”更改端口

4. 从防火墙和安全组移除原端口（确保没有其它实例正在使用此端口）
   

MSSQL (1433) 之阿里云云数据库 RDS SQL Server 版

1. 打开控制台 RDS 实例页，左侧菜单点击“白名单与安全组”，切换到“安全组”查看正在使用的安全组ID

2. （若使用了安全组）打开控制台 ECS 首页，左侧菜单点击“安全组”，找到这个安全组，放行新的端口

3. 打开控制台 RDS 实例页，左侧菜单点击“数据库连接”，点击“修改连接地址”，在弹出框中修改端口

4. 从防火墙和安全组移除原端口（确保没有其它实例正在使用此端口）
   

Redis (6379) 之阿里云云数据库 Redis 版

1. 打开控制台 Redis 实例页，左侧菜单点击“白名单设置”，切换到“安全组”查看正在使用的安全组ID

2. （若使用了安全组）打开控制台 ECS 首页，左侧菜单点击“安全组”，找到这个安全组，放行新的端口

3. 打开控制台 Redis 实例页，在“连接信息”中点击“修改连接地址”，在弹出框中修改端口

4. 从防火墙和安全组移除原端口（确保没有其它实例正在使用此端口）
   

宝塔面板 (8888)

1. 在防火墙中放行新的端口号（如阿里云 ECS 的安全组），或直接在私网其它 ECS 上的浏览器上直接访问原 8888 端口的地址

2. 进入宝塔面板，打开面板设置，切换到“安全设置”页，找到“面板端口”，点击“设置”

3. 在防火墙和安全组中禁止原默认端口

IIS 管理服务（Web 部署）(8172)

1. 在 Windows 防火墙中放行新端口：在“入站规则”中找到“Web 管理服务(HTTP 流量入站)”因其为预定义规则且复制也无法修改，所以按其设置新建一个，并指定新的端口。

2. 如有其它防火墙或安全组也一并配置（如阿里云 ECS 的安全组）

3. 打开 IIS 管理器 - 管理服务，右侧停止，左侧修改端口，右侧应用、启动

4. VS 中发布配置修改“服务器(E)”项添加端口（域名:端口），第一次连接接受证书

5. 在防火墙和安全组中禁止原默认端口

命令语法

grep [options] [pattern] file

-r 包含所有子目录

例：

grep -r 要找的内容 /www/