本文环境：CentOS 7、nginx 1.16、ASP.NET Core 3.0

1. 安装 nginx，可以使用宝塔面板。

   创建网站，保证网站静态页面能够正常访问。

   必要时配置 SSL 证书。

2. 安装 ASP.NET Core 运行时：

   安装说明见：https://dotnet.microsoft.com/download，切换到 Linux，选择 Install .NET Core Runtime

   选择操作系统，按页面说明安装即可。

3. 发布一个 ASP.NET Core 项目到网站目录，运行应用程序：

   dotnet 应用的程序集文件名.dll

   必须先 cd 到项目所在目录再执行，否则“Content root path”不会指向网站根目录，从而导致无法访问静态文件。

   

   观察到端口为 5000（默认），该 Url 用于下一步设置反向代理。

4. 配置 nginx 反向代理：（使用宝塔面板时建议使用面板中提供的“反向代理”功能）

   location / {
      proxy_pass http://localhost:5000;
   }

5. 查看官方详细说明：使用 Nginx 在 Linux 上托管 ASP.NET Core

CloudFS 是一款将阿里云 OSS 对象存储挂载为 Linux 本地目录的工具软件，目前已经从阿里云市场下架了。

在云监控中查看到进程 cloudfs 占用大部分内存，可以打开文件 /usr/local/cloudfs/conf/cloudfs.conf 进行配置。

默认值：

BLOCK_SIZE=1048576

MAX_CACHE_LIMITS=10485760

根据实际情况进行修改，然后重启 cloudfs，相关命令：

启动：service cloudfs start

停止：service cloudfs stop

重启：service cloudfs restart

查看状态：service cloudfs status

打开配置文件：

vi /etc/sysconfig/network-scripts/ifcfg-eth0

将 ONBOOT 改成 yes 即可：

ONBOOT=yes

重启网络使配置生效：

service network restart

或

/etc/init.d/network restart

详细安装 VMware Tools 官方教程：在 Linux 虚拟机中手动安装 VMware Tools

〓 系统

功能	命令	--help	示例
关机	halt		halt
重启	reboot		reboot
系统监视器	top	系统时间, 运行天数, 当前登录用户数, 系统负载 总进程数, 运行中的, 睡眠的, 停止的, 未响应的 Cpu(s):us 用户, sy 系统, ni XX, id 空闲, wa 等待, hi XX, si XX Mem, 已使用, 空余, 缓冲 Swap, 已使用, 空余, 缓冲 快捷键： M 按占内存排序 P 按占Cpu排序 1 显示每个 Cpu k 杀死进程 q 退出	top
查看进程	ps	aux -ef	列出包含 java 的进程 ps aux |grep java  ps -ef |grep java
查看内存及 Swap 用量	free	-b,-k,-m,-g 按单位显示	free -m
查看系统时间	date	显示 CST 时间 -R 显示时区 -u 显示 UTC 时间	date
查看硬件时间	clock		clock
设置系统日期			date -s 月/日/年
设置系统时间			date -s 时:分:秒
将系统时间写入到硬件时间			clock -w
查看系统版本			cat /etc/*release
升级系统软件			yum update -y

〓 文件

功能	命令	--help	示例
进入目录	cd		cd .. # 上一层目录 cd /root # 根目录
列出目录	ls	白色：表示普通文件 蓝色：表示目录 绿色：表示可执行文件 红色：表示压缩文件 浅蓝色：链接文件 红色闪烁：表示链接的文件有问题 黄色：表示设备文件 灰色：表示其他文件	ls
创建目录	mkdir		mkdir XXX
删除目录	rm		rm -rf XXX
删除文件	rm		rm XXX
复制文件	cp		cp XXX YYY
复制目录	cp	-r 复制目录及目录内的所有项目 -v 详细显示进行的步骤	cp -rv XXX YYY
重命名文件	mv	-i: 若指定目录已有同名文件，则先询问是否覆盖旧文件; -f: 在mv操作要覆盖某已有的目标文件时不给任何指示;	mv 源文件 目标文件
移动文件	mv		mv 一个或多个文件 目标目录
下载文件	wget	下载到当前目录	wget http://XXX.tar.gz
计算文件/目录的磁盘用量	du	-a 不仅显示目录，同时显示文件 -h 容易阅读方式显示 --max-depth=N 可指定计算深度	du -ah --max-depth=1 | sort -n
查找文件	find		find /home -name *.apk

〓 tar

功能	命令	--help	示例
tar	tar	-z 是否压缩 -c 打包 -x 解包 -v 详细地列出处理的文件 -f	打包：tar -cvf abc.tar abc 解包：tar -xvf abc.tar 压缩打包：tar -zcvf abc.tar.gz abc 解压解包：tar -zxvf abc.tar.gz

〓 磁盘

功能	命令	--help	示例
查看所有磁盘及分区	fdisk -l		fdisk -l
查看当前挂载	df	-h 按可阅读的方式打印数值和单位 -T 显示文件系统类型	df -hT
管理磁盘分区	fdisk /dev/***	进入后的操作说明： m 显示命令菜单 d 删除一个分区 n 创建一个分区（e 扩展分区；p 主分区） t 改变分区ID q 不保存退出 w 保存退出	fdisk /dev/vdb
格式化分区	mkfs.*** /dev/***N		mkfs.xfs /dev/vdb1
挂载分区	mount /dev/***N /***		mount /dev/vdb1 /www
卸载分区	umount /dev/***N		umount /dev/vdb1
开机自动挂载	vi /etc/fstab	配置文档格式：设备 挂载点 文件系统类型 defaults 0 0	打开：vi /etc/fstab 配置：/dev/vdb1 /www xfs defaults 0 0

〓 网络

功能	命令	--help	示例
查看 IP 配置	ifconfig		ifconfig
配置网卡 IP		配置文件目录：/etc/sysconfig/network-scripts/ 配置文件格式： DEVICE=eth0 / eth0:0 / ... # 在配置多线时若使用 cp 命令复制配置文件，必须修改此项以防止冲突 HWADDR=XX:XX:XX:XX:XX:XX # 网卡地址 TYPE=Ethernet # 以太网 UUID=******** ONBOOT=yes # 开机启动 NM_CONTROLLED=yes BOOTPROTO=static # 使用静态 IP IPADDR=192.168.1.2 # IP 地址 NETMASK=255.255.255.XXX # 子网掩码 GATEWAY=192.168.1.1 # 网关 DNS1=114.114.114.114 DNS2=8.8.8.8	vi ifcfg-XXXN(:N)
重启网卡		使配置生效	service network restart

〓 防火墙

功能	命令	--help	示例
配置 iptables		添加需要允许的端口的方法同 22 端口	vi /etc/sysconfig/iptables
重启使配置生效			service iptables restart

〓 用户/权限

功能	命令	--help	示例
添加用户	useradd	-g 组名 # 加入到该组 -s /bin/false #不允用户直接登录系统	useradd –g 组名 用户名 -s /bin/false
修改密码	passwd		passwd 用户
查看所有用户			cut -d : -f 1 /etc/passwd
查看可以登录系统的用户			cat /etc/passwd | grep -v /sbin/nologin | cut -d : -f 1
删除用户		-r, --remove                  remove home directory and mail spool	userdel 用户
添加用户组	groupadd		groupadd 组名
为组添加用户（用户必须已存在）	gpasswd		gpasswd -a 用户 组
将用户移出组	gpasswd		gpasswd -d 用户 组
查看用户所属组	groups		groups 用户
查看组中有哪些用户	groupmems		groupmems -g 组 -l
更改文件/目录所有者	chown	-R 递归处理所有的文件及子目录	chown -R 用户:组 ***
更改文件/目录权限	chmod	-R 以递归方式更改所有的文件及子目录	chmod -R 777 ***

〓 vi 编辑器

功能	命令	--help	示例
打开文件	vi		vi XXX
进入编辑模式		按 a/i/o/Insert 等
进入末行模式/命令模式		按 Esc后： :w 保存不退出 :q 退出（提示是否保存） :wq 保存并退出 :w XXX 另存到文件 XXX :q! 不保存退出

〓 计划任务

功能	命令	--help	示例
设置计划任务	crontab	详细步骤见本页底部	crontab -l # 查看计划任务 crontab -e # 编辑计划任务

〓 网站

功能	命令	--help	示例
简单审查日志	cat | grep		cat 日志文件 | grep 关键词1 | grep 关键词2 | more
日志分析	goaccess		见下文

〓 goaccess

功能	命令	--help	示例
安装	yum install goaccess
日志格式	NCSA Commbined Log Format		date_format %d/%b/%Y log_format %h %^[%d:%^] "%r" %s %b "%R" "%u"
参数	-f	需要解析的日志文件
参数	-e	指定 IP 地址统计
参数	-p	指定配置文件	可以将上面的日志格式内容保存到文件 ~/.goacessrc
参数	-H	显示 HTTP 协议信息
参数	-M	显示 HTTP 方法信息
生成文件			goaccess -f 日志文件 -p ~/.goaccessrc > 目标文件.htm

〓 lnmp

功能	命令	--help	示例
重启 LNMP			/root/lnmp restart
重启 MySQL			/etc/init.d/mysql restart
重启 PureFTPd			/root/pureftpd restart
安装 LNMP		http://lnmp.org/install.html
常见问题		http://lnmp.org/faq.html
状态管理命令		http://lnmp.org/faq/lnmp-status-manager.html
相关软件目录及文件位置		http://lnmp.org/faq/lnmp-software-list.html
防跨站、跨目录安全设置（仅支持 PHP 5.3.3 以上版本）		http://www.vpser.net/security/lnmp-cross-site-corss-dir-security.html
查看 Nginx 版本			nginx -V
查看 MySQL 版本			mysql -V
查看 PNP 版本			php -v
查看 Apache 版本			httpd -v
查内存			cat /proc/meminfo
php.ini			vim /usr/local/php/etc/php.ini
MySQL 配置文件			vim /etc/my.cnf
添加网站			/root/vhost.sh
添加 ProFTPd 用户			/root/proftpd_vhost.sh

〓 nginx

功能	命令	--help	示例
启动/停止/重启	service nginx 或 /etc/rc.d/init.d/nginx		service nginx start service nginx stop service nginx restart
伪静态	在 .conf 文件中配置		rewrite ^(.*)/read-htm-(.*)\.html(.*)$ $1/read.php?$2.html? last; rewrite ^(.*)/thread-htm-(.*)\.html(.*)$ $1/thread.php?$2.html? last; rewrite ^(.*)-htm-(.*)$ $1.php?$2 last; rewrite ^(.*)/simple/([a-z0-9\_]+\.html)$ $1/simple/index.php?$2 last; rewrite ^(.*)/data/(.*)\.(htm|php)$ 404.html last; rewrite ^(.*)/attachment/(.*)\.(htm|php)$ 404.html last; rewrite ^(.*)/html/(.*)\.(htm|php)$ 404.html last;
防盗链	在 .conf 文件中配置	HttpRefererModule	location ~* \.(gif|jpg|png|swf|flv)$ { valid_referers none blocked *.0574bbs.com *.eyuyao.com 0574bbs.com eyuyao.com; if ($invalid_referer) { rewrite ^/ http://web1.eyuyao.com/yyad/src/3122.jpg; # return 404; } }
浏览器缓存	在 .conf 文件中配置		location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ { expires 30d; }

〓 vsftpd

功能	命令	--help	示例
安装			yum install vsftpd
查看是否已安装			rpm -q vsftpd
启动/停止/重启	service vsftpd		service vsftpd start service vsftpd stop service vsftpd restart
配置文件			vi /etc/vsftpd/vsftpd.conf

〓 MySQL

功能	命令	--help	示例
登录	mysql		mysql -u username -p
登出			exit
查看信息			status;
查询当前正在执行的 SQL 语句			show processlist;
删除指定时间之前的日志	PURGE		PURGE MASTER LOGS BEFORE '2015-1-1 0:00:00';

〓 scp 远程文件/目录传输命令 (yum install openssh-clients) 用法

scp 会把文件权限（读取/写入/执行）带过来，但所有者为当前执行 scp 命令的用户。

scp 低版本有许多漏洞，用完最好 yum remove openssh-clients

scp 采用直接覆盖的机制，如需判断文件无差异则跳过，应改用 rsync 命令。查看 rsync 详细使用方式及与 scp 对比

功能	命令	--help	示例
若远程服务器 SSH 端口非默认	scp	-P 端口号
下载远程服务器上的文件到本地	scp		scp 远程用户@远程服务器:远程文件 本地文件
下载远程服务器上的目录到本地	scp	-P 端口 -v 显示进度 -r 递归	scp -r 远程用户@远程服务器:远程目录 本地目录 实例：scp -r root@x.x.x.x:/a/b/ /c/d/ 结果：/c/d/b/，即将整个 b 复制到 d 下（注意与 rsync 命令的区别）
将本地文件上传到远程服务器	scp		scp 本地文件 远程用户@远程服务器:远程文件
将本地目录上传到远程服务器	scp	最终目录结构参：远程->本地	scp -r 本地目录 远程用户@远程服务器:远程目录

〓 rsync 远程文件/目录传输命令 (yum install rsync) 用法查看 rsync 详细使用方式及与 scp 对比

rsync 会把文件权限（读取/写入/执行）带过来，所有者也会带过来。

相比于 scp 最大的优势就是可以增量同步

功能	命令	--help	示例
下载远程服务器上的目录到本地	rsync	-a 递归 -v 详细 -p, -- perms 保持权限 -g, -- group 保持属组 -o, --owner 保持属主 -r 递归 --progress 打印 --delete 删除已不存在的文件 -u 表示仅更新较新的文件 -z 表示在传输过程中进行压缩 -e 'ssh -p 2222' 指定其它端口	rsync 远程用户@远程服务器:远程目录 本地目录 实例：rsync -avu --progress root@x.x.x.x:/a/b/ /c/d/ 结果：/c/d/，即将 b 内的文件(夹)复制到 d 下（注意与 scp 命令的区别）
将本地文件上传到远程服务器	rsync		rsync 本地文件 远程用户@远程服务器:远程文件
将本地目录上传到远程服务器	rsync	最终目录结构参：远程->本地	rsync 本地目录 远程用户@远程服务器:远程目录

〓 ftp 客户端 (yum install ftp)

功能	命令	--help	示例
登录	ftp		ftp 目标服务器
列出远程当前路径目录/文件	ls		ls
创建远程目录	mkdir		mkdir 目录名
删除远程目录（空）	rmrmdir		mkdir 目录名
进入远程目录	cd		cd 目录名
显示远程当前路径	pwd		pwd
重命名远程文件	rename		rename 原文件名 新文件名
上传文件	put		put 本地文件名
下载文件	get		get 远程文件名
批量下载文件	mget	需要单个确认
批量下载文件【lftp】	mirror	参数有很多	mirror
返回 shell（不退出）	!		!
返回 ftp（接上步）	exit ftp		exit ftp
结束	bye quit		bye quit

〓 iftop

流量监控工具 教程 

〓 GoAccess

实时网站日志分析工具 官网 

〓 Cacti

网络流量监测图形分析工具 官网  百科 

常见问题笔记

加硬盘

• 插入新硬盘

• 若有 RAID，则先设置，使操作系统能认到硬盘

• 使用 fdisk 命令对新设备进行分区

• 使用 mkfs 命令对新分区进行格式化

• 使用 mount 命令进行挂载

• 设置开机自动挂载（vi /etc/fstab）

更改 MySQL 数据库目录位置

• 停止 MySQL 服务

• 将原数据目录转移或复制到新位置（若是复制，则修改所有者使原来一致）

• 找到 my.cnf 配置文件（一般在 /etc/），修改 datadir 值为新路径

• 启动 MySQL 服务

502 Bad Gateway 问题排查

• 查看 PHP 日志，路径：/usr/local/php/var/log

• 一般为“server reached pm.max_children setting (10), consider raising it”连接数问题，在“/usr/local/php/etc”下的所有配置文件中查找并修改相关设置即可（如改成 1000）。

计划任务（实例：定时备份数据库并通过 FTP 同步至其它服务器）

• 创建可执行文件：vi dotask.sh

• dotask.sh 的内容示例：
  

  DATE_TIME=`date +%Y_%m_%d_%H%M%S`;
  FILE_NAME=数据库名_backup_$DATE_TIME.sql;
  cd /home/mysqlbackup/;
  mysqldump -u数据库用户名 -p数据库密码 数据库名>$FILE_NAME;
  tar -zcf $FILE_NAME.tar.gz $FILE_NAME;
  rm $FILE_NAME;
  
  ftp -v -n FTP地址 << END
  user FTP用户名 FTP密码
  bin
  put 本地目录文件 目标路径文件
  bye
  END
  

  
  文件名乱码问题可以在行末加“;”来解决

• 赋予执行权限：chmod 777 dotask.sh （ls 命令时呈绿色）

• 编辑计划任务：crontab -e

• crontab 书写规则：
  

  # 分 时 日 月 周 文件路径
  0 3 * * * /home/dotask.sh
  30 4 * * * /home/dotask2.sh
  

  
  更多帮助 

• 重启 crond：/etc/init.d/crond restart

netstat

• netstat -an | grep xxx.xxx.xxx.xxx 可查看此 IP 的 TCP 请求及端口

在网站开发过程中遇到上传图片等文件的功能，需要在服务器上设置该目录可写入，并且必须防止被上传 .php 等可执行的脚本文件。

根据文件所有者的不同，我们分两种情况讨论：

一、程序上传的用户与执行 PHP 的用户不同（例如程序代码通过 SSH 上传（root 用户），而 PHP 以 www 身份运行）

由于 Linux 上的文件默认权限是 644，目录默认权限是 755，所以在这种情况下，PHP 不能修改 root 上传的程序文件，也不能将客户端上传的图片文件保存到服务器上。

例如我们将客户端上传的文件指定到 /upload/ 目录，那么，

第 1 步，赋予它写入权限：

chmod 777 upload

递归所有子目录请加 -R 参数，但会将文件也更改为 777，赋予了执行权限，这是不建议的。文件若需写入权限请设为 666。

第 2 步，设置该目录下不允许执行 PHP：

我们无法保证客户端上传完全符合我们要求的文件，那么必须禁止任何文件的执行权限。（此处指 PHP 的执行权限，注意与 sh 执行权限的区别，后者由 chmod 命令修改）

nginx 的 .conf 文件配置示例：

location ~ /upload/.*\.(php|php5)?$
{
    deny all;
}

Apache 的 .htaccess 文件配置示例：

RewriteRule upload/(.*).(php)$ – [F]

特别注意：上面的代码必须加在 PHP 引用配置的上方才有效（如 nginx 的 PHP 引用配置 include enable-php-**.conf;）

默认 Linux 系统是大小写敏感的，所以规则中的正则表达式无须忽略大小写（但必须与实际的目录或文件名大小写一致），因为 MIME 类型中设置的是小写的 .php，那么类似大写的 .PHP 文件是不被 php-fpm 解释的，结果是被当作普通文本返回到客户端。

提问：有些目录需要设置为可写入，但里面还有正常的 php 文件，禁止执行会有问题吗？（例如 Discuz! 的 config 目录，ThinkPHP 的 Runtime 目录）

解答：以 Discuz! 为例，config 下面虽然有 config_*.php 等配置文件，但这些文件并非直接供客户端浏览，而是被其它 .php 文件引用（include 方式、IO 方式等），当 config 目录禁止执行 PHP 后并不会对它们造成影响。

我们在开发程序的过程中应避免在允许写入的目录下放置直接供客户端浏览的 .php 文件。

二、程序上传的用户与执行 PHP 的用户相同（例如程序代码通过 FTP 上传，且和 PHP 一样，都使用 www 用户）

常见于虚拟空间。这种情况下，通过 PHP 上传的文件可以保存到该网站下面的任何目录下（甚至是网站目录之外，即传说中的跨站），原因大家都懂，默认 755 中第一个是“7”，即所有者拥有写入权限。

因此，除了做到上述设置，我们必须严格控制客户端上传文件的保存路径，做到以下几点：

必须更改客户端上传的文件名，而非直接使用原文件名；

不得从客户端文件名获取扩展名，或者只控制允许的后缀名。

最可靠的文件类型判别方式是分析文件签名，参考：文件签名表，以防篡改后缀名欺骗。

举个早期的栗子：上传文件名为 abc.asp;.jpg，未改文件名保存到服务器，浏览器直接访问该文件，IIS 6 当作 abc.asp 来解析。

在 IIS 中编辑网站绑定时，提示“至少一个其他网站正在使用同一 HTTPS 绑定，而此绑定用另一个证书配置。确实要重用此 HTTPS 绑定并将其他网站重新指定为使用新证书吗?”，那么所有网站都必须使用同一个域名证书吗？

否。只要在绑定 https 域名的时候勾选“需要服务器名称指示”就行了。

使用证书链检测工具检测结果证书链（Certificate chain）不完整怎么办？

这个问题我在两台相同版本 CentOS 和相同版本宝塔面板的 Linux 服务器上遇到过，一台证书链完整，一台证书链不完整。

使用宝塔自带的 SSL 证书导入的方式可能出现这种情况（个例），关闭之，并手动配置 nginx 的 conf 文件；而再有一台，手动配置不生效，宝塔自带 SSL 成功，因此请自行尝试。

我也在两台相同版本的 Windows Server 2012 R2 上（IIS 8.5）遇到过，一台证书链完整，一台证书链不完整。

解决思路：在命令提示符中键入 mmc，打开：文件 - 添加/添加管理单元，选择“证书”添加，选择“计算机帐户”，确定。展开“证书”

在“个人 - 证书”中可以看到我们导入的域名证书，查看它的颁发者，确保在“中间证书颁发机构 - 证书”（或“受信任的根证书颁发机构”）中能够找到，找到后继续找该证书的颁发者，一直找到根证书。一般会有多个中间证书，形成一个完整的证书链，如果证书有缺失，那么尝试重新导入域名证书，或向供应商索要中间证书。

有任何改动后，在命令提示符中执行 iisreset 来重启 IIS（IIS 管理器中的“重新启动”可能重启得不彻底），并且找到网站 - 绑定 - 删除 https 类型的绑定并重新添加，以使证书生效。

检测证书链完整后，继续摸索过程中发现，删除某中间证书，然后在 IIS 中重新绑定，会自动生成中间证书，难道是域名证书中已经包含了中间证书和根证书等完整的证书链，还是 Windows 会自动下载安装这些证书呢？

在开发支付宝支付/微信支付时回调 Url 无法接收数据。

可能是证书链不完整，建议用工具检测：GeoCerts™ SSL Checker，并用上述方法补全。

>> 遇到新问题将不断补充本文 <<

本文不定时更新！

A： MySQL 执行 SHOW FULL PROCESSLIST 

Q： 查看连接数和慢查询，适用于 MySQL 数据库无法连接 1040

A： iftop -i eth0

Q： 查看占用带宽的IP（命令：iftop -i eth0 -F ip/24），添加到安全组、防火墙、宝塔的黑名单中。

命令 grep -l "x.x.x.x" /www/wwwlogs/*.log 可以在 wwwlogs 目录下的所有 .log 文件中查找指定的恶意 IP。

A： goaccess -f xxx.log

Q： 实时分析网站日志，查看请求最多的IP

A： net.xoyozo.weblog 日志分析工具

Q： 自制的 Web 日志分析工具，可按多种方式排序，纠出可疑访问

A： 重启 web 服务器

Q： 有时候能解决 CPU 和内存消耗的问题，如果一会儿又升高，则需要找另外的原因

Q： 500 服务器内部错误

502 Bad Gateway

504 Gateway Time-out

A： 查看 php 日志，可能的路径：

/usr/local/php/var/log/php-fpm.log

/www/server/php/[版本]/var/log/php-fpm.log

Q： RDS MySQL IOPS 使用率高的原因和处理

A： 根据时间点查看慢查询

Q： Discuz! 论坛界面错乱、表情不显示、模块缺失、登录失败、发帖失败等等

A： 进入管理中心 - 工具 - 更新缓存，能解决大部分问题

Q： Discuz! 浏览帖子提示“没有找到帖子”

A： 进入数据库，修复表 pre_forum_post 或分表

Q： CPU 100% 或内存 100%，负载100+

A： 原因有很多，以下是一些建议：

Windows 在任务管理器中查看进程

当前是否有正常的大流量访问（譬如民生类论坛的某个帖子突然火了）特别是重启无效的情况

对比网站日志大小可大致确定哪个网站被大量恶意请求。

观察：命令 top

排查：通过关闭网站来确定是某网站的问题，通过关闭功能确定是某功能的问题，如果 nginx 崩溃请参下条

案例：通过修改 mobcent 文件夹名确定是安米的文件被疯狂请求导致的，更新插件和 mobcent 包解决问题。

如果都是正常访问，top 看到很多 php-fpm，而且个个占用 CPU 还不小，那么根据服务器硬件配置来修改 php 的并发量，如宝塔面板在 php 设置 - 性能调整 页，300 并发方案的推荐配置是：

max_children：300
start_servers：30
min_spare_servers：30
max_spare_servers：180

另外，memcached 或 redis 的配置也可以进行相应的修改。

另一个案例是 kswapd0 进程占满 CPU，原因是内存不足导致 swap 分区与内存频繁交换数据。同样调整 php 的设置即可。

也可以通过 iftop 来查询占用带宽较多的 IP 并封禁（出方向），如果 CPU 能降下来，那这个 IP 就是罪魁祸首。

Q： 阿里云 ECS 的 CPU 突然达到 100%，并持续到次日 0:00 左右

A： 可能 ECS 是 t5 规格，受 CPU 积分制度限制，积分耗尽时 CPU 不工作。解决方法是更换其它规格产品或升配。

Q： ASP.NET 所在服务器 CPU 突然达到 50% 或 100%，并持续

A： 首先确定哪个网站，再依次排查网站各功能。可能是 HttpWebRequest 请求远程数据时长时间未返回结果导致的程序阻塞。

Q： nginx 服务停止

A： 查看 nginx 日志

WDCP 路径：/www/wdlinux/nginx-1.0.15/logs/error.log

Q： 公网出带宽 100%，其它指标正常

A： Windows 在任务管理器-性能-资源监视器-网络 查看占用带宽的进程PID，然后在任务管理器-详细信息中的找到对应的用户（如果为每个网站分别创建了用户，就能知道是哪个网站占用了带宽）；如果是被 PID 为 4 的 System 占用大部分带宽，也可以尝试重启 IIS 来解决。

CentOS 使用 nethogs 查看占用带宽的进程PID和USER，如果为每个网站分别创建了用户，就能知道是哪个网站占用了带宽，否则只能一个个关闭网站来判断，不知道大家有没有好的方法？当然还可以直接用 iftop 命令查看占用带宽的 IP。另外，查看每个网站在那个时间段的日志文件的大小也能大概看出是哪个网站被采集了。

A： Linux 显示每个用户会话的登入和登出信息

utmpdump /var/log/wtmp

参考：http://www.tulaoshi.com/n/20160331/2050641.html

Q： RDS 的 CPU 100%

A： 如果是突然持续占满（同时伴随 ECS 资源使用率下降，页面出现 502），很大可能是受攻击（或社交网站推送突发事件等），查看“慢查询”，添加相关索引；如果是 Discuz! 论坛，可尝试修复优化表 pre_common_session。

如果是数日缓步上升，或新项目上线，考虑 SQL 慢查询，思路：MySQL / SQL Server。

MySQL：SHOW FULL PROCESSLIST

SQL Server：sp_who

Q： php 网站的服务器，内存在数天内缓慢上升

A： 大概是 php-fpm 占用过多，或进程数太多

更改 php 的配置（如 max_spare_servers），执行：service php-fpm reload

Q： 进程 cloudfs 占用内存过多

A： 参：https://xoyozo.net/Blog/Details/cloudfs-cache

Q： RDS 磁盘占用过大

A： 参：https://xoyozo.net/Blog/Details/how-to-use-rds

Q： ECS 受到 DDoS 攻击怎么办？

A： 参：https://xoyozo.net/Blog/Details/aliyun-ddos-without-bgp

Q： 如果 ECS 和 RDS 各项指标都没有异常，但网页打开慢或打不开502，TTFB 时间很长，是什么原因？（ECS 的 CPU 100%，RDS 的连接数上升，也可参考此条）

A： 数据库有坏表，尝试优化/修复表（慢 SQL 日志中锁等待时间较长的表？），或主备切换。show full processlist 时看到许多

DELETE FROM pre_common_session WHERE  sid='******'  OR lastactivity<******  OR (uid='0' AND ip1='*' AND ip2='*' AND ip3='*' AND ip4='*' AND lastactivity>******)

Q： Discuz! 创始人(站长)密码被改

A： 数据库找到 pre_ucenter_members 表，复制其它的已知登录密码的账号，复制其 password 和 salt 两个字段的值到创始人账号中，创始人账号即可用该密码登录了。

Q： 通过 iftop 观察到，Discuz! 网站从 RDS 数据库到 ECS 网站服务器私网流量非常大，远大于公网流量

A： 可能是缓存出问题了，尝试卸载重装 Redis 来解决。

Q： 宝塔面板中安装的 Redis 经常自动停止

A： 尝试卸载重装 Redis 来解决。

Q： 马甲客户端出现“您的网络有些问题”

A： 原因有许多，其中一个就是新建了一个数据表，然后 /source/class/table/ 下面丢失了对应的文件，具体可以找官方排查原因。

Q： 排查服务器安全需要检查哪些日志？

A： Web日志、登录日志（/var/log/secure）等。

Q： 带宽波形以几分钟为周期呈锯齿状波动是什么原因？

A： 该现象主要由防火墙流量管控机制与检测周期设置共同作用所致。防火墙基于预设的带宽阈值执行安全防护策略，当检测到流量峰值超过设定阈值时，将自动触发限流策略拒绝后续请求。待流量回落至安全阈值后，系统自动恢复服务访问权限。若防火墙的带宽采样检测周期设置过长（如以分钟为单位的检测间隔），将导致系统对实时流量变化的响应出现迟滞。这种周期性的检测机制会使带宽监控数据在阈值临界点附近呈现规律性的锯齿状波动特征。

优化建议：可通过调整防火墙的流量检测周期至更小时间粒度（如10-15秒），或采用动态流量整形策略，以实现更平滑的带宽控制效果。

补充说明：对于阿里云监控数据的调用，建议注意接口调用频率管控。高频调用云监控API接口将触发阿里云的API计费策略，可能产生额外的资源消耗成本。

其它案例

1. 某台 ECS 上的多个网站出现 502，查询到 CPU / 内存 / 带宽 都比平时高，但都未满。用 iftop 看到连接的一个远程 Redis 占用内网带宽非常高。尝试重启远程 Redis 未果。尝试重启 ECS 上的 nginx 未果。尝试重启 ECS 未果。进入 ECS 的宝塔面板，重启 PHP 有效。

知其然，才能使其安——王震

 

常见的攻击手法

SQL 注入

文件上传

弱口令

Nday 攻击

XSS

社会工程学

等等……

 

被黑原因总结

不知道	不及时	不在意
不知道自用系统安全动态	不及时更新系统安全补丁	不在意个人信息安全
不知道常见黑客攻击手段	不及时修复漏洞	不在意用户数据安全
不知道该如何修复	不及时排查被黑系统	不在意各种安全软件提示、提醒
不知道今后该如何防御		不在意细节

 

那些年，醉人的“三字经”

网站渗透娱乐版	针对企业的实战版
进谷歌 找注入 没注入 就旁注 没旁注 用0day 没0day 猜目录 没目录 就嗅探 爆账户 找后台 传小马 放大马 拿权限 挂页面 放暗链 清数据	搞企业 先扫描 默认密 都知道 社工库 找一找 邮箱号 先列好 九头蛇 跑一跑 搞不定 放大招 发邮件 凭伪造 没邮箱 搞网站 二级域 皆可爆 老漏洞 没修好 新漏洞 刷一票 干研发 Git 找 原代码 全都要 CDN 可以跳 防火墙 可以撬 堡垒机 可以绕 云防护 可以秒 是企业 没有哪家搞不了

 

攻击手法统计

Nday攻击：45%

漏洞攻击：35%

其他攻击：15%

0day攻击：5%

 

一些箴言

80%的安全问题都是已知的安全问题，但是能抵御已知安全问题的网站只有20%

弱口令虽然看起来很弱，但是忽视弱口令只会让你的网站变得更弱

没有百分之百的安全，你所做的一切不是为了让自己无坚不摧，只是让自己不再弱不禁风

80%的系统安全问题都是可以通过升级补丁来解决，但是能做到这点的人只有20%

SQL注入存在十几年了，依然是主流攻击手段，可见安全比的不是谁更先进，而是谁更细心

不要得罪你的开发人员，这就跟你吃饭不要得罪服务员一样，你不知道他下一秒会不会在你的菜里吐口水

 

还有一句

永远不要觉得你安装的安全防护软件真的可以保护你的安全

 

服务器安全注意事项

不安装不必要的软件

排查所有系统弱口令

关闭不常用的端口

控制目录权限

不在服务器上下载、打开非官方提供软件

不在服务器上打开他人发来的网页链接

 

如何排查暗链？

利用查看网站的源代码来检查黑链

使用站长工具“网站死链检测”功能来检查黑链

用 FTP 查看网站文件的修改时间来检查黑链

接入 webscan.360.cn 检测

 

后门排查

Windows 下，D 盾、安全狗、主机卫士

Linux 下，Seay 一句话扫描脚本、主机卫士 Linux 版

用 FTP 查看网站文件的修改时间来排查恶意后门

接入 webscan.360.cn 等在线检测

 

安全类书籍推荐

《Web 安全深度剖析》——张炳帅 著

《白帽子讲 Web 安全》——吴瀚清 著

《Web 前端黑客技术揭秘》——钟晨呜（余弦）著

《黑客攻防技术宝典 Web 实战篇》——国外某黑客 著

 

联系方式

官网：www.flsec.com

最小化安装 CentOS 6.4，配置网络

一条一条执行：
yum -y update
yum -y install wget
yum -y install vim
yum -y install screen
screen -S lnmp

安装 LNMP：http://lnmp.org/install.html
下载安装一条龙

不要升级各软件，以防不测

PHP 防跨站：执行一段命令，替换 vhost.sh 文件，以后添加网站就会自动添加 HOST 防跨站、跨目录的配置

更改数据库路径（/home/mysql/var）
http://bbs.vpser.net/thread-1558-1-1.html 第20条
端口（为了 pureftpd 能安装成功，还是不要改端口了）

防火墙加端口
vim /etc/sysconfig/iptables
service iptables restart

FreeTDS：使 php 支持 mssql

安装 PureFTPd
添加FTP用户时，UID和GID必须>1000，譬如添加一个xWeb组和用户：
groupadd -g 2000 xWeb
useradd -u 2000 -g xWeb -s /sbin/nologin -M userDefault
useradd -u 2001 -g xWeb -s /sbin/nologin -M userFang
useradd -u 2002 -g xWeb -s /sbin/nologin -M user2
useradd -u 2003 -g xWeb -s /sbin/nologin -M user3
然后 chown xUser:xWeb -R /home/wwwroot/网站目录
这样PHP木马就不能上传。非www用户每站一个，防止跨站
要写入的目录chown为www用户，这样PHP能创建目录及上传文件，允许公共写入，使FTP能操作写入（未验证PHP创建的新目录FTP有没有写入权限，即继承），所有要写入的目录必须 deny all

chown userFang:xWeb -R /home/wwwroot/fang.eyuyao.com/
chown www:www -R /home/wwwroot/fang.eyuyao.com/uploads/
chown www:www -R /home/wwwroot/fang.eyuyao.com/eyy/src/
chown www:www -R /home/wwwroot/fang.eyuyao.com/index/Runtime/
chown www:www -R /home/wwwroot/fang.eyuyao.com/admin/Runtime/
—————————————————————————————————
#设置目录不允许执行PHP（其实是使符合正则的路径不可读）
#找到网站的 .conf 配置文件，在 location ~ .*\.(php|php5)?$ 的上面插入：
location ~ /upload/.*\.(php|php5)?$
    {
        deny    all;
    }

#支持 ThinkPHP（使用 rewrite）
location ~ /index\.php/.*$
    {
        if (!-e $request_filename) { 
            rewrite  ^/index\.php(/.*)$  /index.php?s=$1  last;
            break;
        }
    }
—————————————————————————————————
重启 LNMP    /root/lnmp restart
重启 MySQL    /etc/init.d/mysql restart
重启 PureFTPd    /root/pureftpd restart
查看 Nginx 版本    nginx -V
查看 MySQL 版本    mysql -V
查看 PNP 版本    php -v
查看 Apache 版本    httpd -v
查内存        cat /proc/meminfo
php.ini        vim /usr/local/php/etc/php.ini
iptables 路径    /etc/sysconfig/iptables
MySQL 配置文件    vim /etc/my.cnf
添加网站        /root/vhost.sh
添加ProFTPd用户    /root/proftpd_vhost.sh
—————————————————————————————————
遇到问题：
中文URL问题解决方案，FTP用强制UTF-8，单个文件传。否则在win下打包的zip在linux下解压后，编码不是utf-8，导致打开URL 404
能用记事本打开的文件若包含中文，应另存为 utf-8 编码。

ThinkPHP 项目修改配置文件后，必须删除 /index/Runtime/* 缓存文件！！！

检查目前硬盘状态：fdisk -l

关机并插入新硬盘

对新硬盘分区：fdisk /dev/sdb （假设新硬盘为sdb）
    m    显示命令菜单
    d    删除一个分区
    n    创建一个分区（e 扩展分区；p 主分区）
    t    改变分区ID
    q    不保存退出
    w    保存退出

对新硬盘格式化：mkfs.ext4 /dev/sdb1（这个数字是分区时指定的，fdisk -l 中可查）

创建挂载目录：mkdir /挂载点

挂载分区：mount /dev/sdb1 /挂载点
（卸载分区：umount /dev/sdb1）

开机自动挂载：
vi /etc/fstab

--------------------------------------------------------------------------------------------
相关命令：
df -hT        查看已挂载设备的用量及类型
fdisk -l    查看分区类型等
free -m        查看内存及 swap 用量
--------------------------------------------------------------------------------------------
若在两块硬盘的电脑上重新安装系统，则默认建立 LVM 卷组，如下：

设备                大小        挂载点/RAID/卷    类型            格式
LVM 卷组
    VolGroup        390540
        lv_root        51200        /        ext4            √
        lv_home        335452        /home        ext4            √
        lv_swap        3888                swap            √
硬盘驱动器
    sda
        sda1        500        /boot        ext4            √
        sda2        152126        VolGroup    physical volume (LVM)    √
    sdb
        sdb1        238417        VolGroup    physical volume (LVM)    √

总结：VolGroup 逻辑卷组的大小是 sda2 和 sdb1 大小之和。（因为 sda2 和 sdb1 的挂载点都是 VolGroup）
VolGroup 视为一个硬盘整体再分成 lv_root、lv_home、lv_swap 等分区。
交换分区也在逻辑卷内，其类型是 swap。
除了 swap 和 LVM 类型，其它分区基本是 ext4 类型了。
若在仅有一块硬盘的电脑上重新安装系统，也是按这种格局分区，
只是硬盘驱动器那只能看到一块硬盘，且 VolGroup 的大小就是那个类型为 LVM 的分区的大小。