折腾阿里云笔记-CSDN博客

近期洒家买了个阿里云云服务器ECS玩玩，虽然国内的服务器网速快，但是毕竟在天朝，有的地方玩得也是有些不爽。以下是洒家这两天折腾的记录。

域名

洒家只是搞一个自己用的服务器，因此只需一个免费域名： http://www.freenom.com/ ，用Freenom DNS Server 填上自己的IP即可。

绕过备案

洒家弄好之后，用域名访问，出现了喜闻乐见的温馨提示：

该网站暂时无法访问

尊敬的用户，您好

很抱歉，该网站暂时无法访问，可能由以下原因导致：

原因一：未备案或未接入；根据《非经营性互联网信息服务备案管理办法》，网站需要完成备案或接入。请登录代备案管理系统进行操作。

原因二：网站内容与备案信息不符或备案信息不准确；根据《非经营性互联网信息服务备案管理办法》，网站内容需要与备案信息一致，且备案信息需真实有效。建议网站管理员尽快修改网站信息。

工信部备案查询点此进入，购买云计算产品可领取优惠券

备案？备个屁！

由于众所周知的原因，天朝的网站需要备案，但是过程极其繁琐。如果不备案，通过域名访问就会出现有一定概率干扰正常访问。

不管为了自由或者省事，想绕过备案干扰访问的话，可以（不知道能不能从原理上干掉过滤）：

1. HTTP服务器监听其他的端口。目前来看好像只过滤80端口。

缺点：影响美观

2. 用HTTPS，加密流量就不会被搞（如果过滤发生在“中间人”位置）

搞一个HTTPS证书

仍然为了免费，洒家选择了 https://startssl.com/

参考这篇教程，内容有点过时，但是过程基本一致： http://www.oschina.net/translate/switch-to-https-now-for-free?cmp

然而洒家做完了之后点击原文发现了2016年的更新： https://konklone.com/post/switch-to-https-now-for-free ，原作者现在已经不推荐使用startssl，转而推荐SSLMate等。各位看官可以考虑一下。

基本流程大概就是注册，安装两个客户端证书，然后选择 Web Server SSL/TLS Certificate。为了验证网站所有权，有两种方式：（假如你的域名为example.com）

1. 向 webmaster@example.com 等邮箱地址发一封邮件

2. 下载一个 example.com.html 放到网站根目录，startssl 会发出请求验证你的控制权

显然2更简单，然而由于上述备案的干扰，洒家尝试了很多遍都无法正常验证通过（似乎是100%失败的节奏）。无奈开始搭邮件服务器。

搭邮件服务器

由于毫无经验，瞎JB折腾一晚上 Postfix + dovecot + mysql，总是收不到邮件，总是被退信。一筹莫展之际，洒家考虑到目的只是接收一封邮件，想到有没有轻量级的程序实现了SMTP协议？随便一搜（https://muffinresearch.co.uk/fake-smtp-server-with-python/），得到了一条命令：

sudo python -m smtpd -n -c DebuggingServer localhost:25

关掉postfix、devecot服务，启动命令，还是收不到，于是洒家凭感觉改成：

sudo python -m smtpd -n -c DebuggingServer 0.0.0.0:25

发送邮件，验证码瞬间出现在终端上。

。。。。。。

十多个配置文件瞎折腾一晚上，竟然不敌一条命令。

心疼运维。

可见对于只是接收一封邮件这种小事就不要挑战杂乱无章的各种配置文件了。

继续申请证书

下面只需要粘贴一份CSR即可。用openssl的命令，或者startssl提供的工具生成：

程序会得到一个私钥，保存好备用。把CSR粘贴到网站上，即可下载证书。

安装证书

激活Apache的SSL模块，配置/etc/apache2/mods-enabled/ssl.conf。（略）

继续搞配置文件，以Apache为例，编辑 /etc/apache2/sites-enabled/000-default.conf

SSLCertificateChainFile 中继证书
SSLCertificateFile 服务器证书
SSLCertificateKeyFile 私钥文件

配置完上传私钥和证书，重启HTTP服务软件。

Let's Encrypt 更推荐的免费证书

2017年2月22日

由于谷歌已经不信任沃通的证书，洒家今日在StartCom上申请的证书直接验证失败。折腾了两天浏览器才发现是证书本身的问题，只好另请高明使用Let's Encrypt的证书。

Let's Encrypt 的玩法非常简单，有官方推荐的工具使用ACME协议，也有其他的一些工具。

官方的工具： https://certbot.eff.org/

以Ubuntu 16.04 为例，安装：

$ sudo apt-get install python-letsencrypt-apache

使用：

$ sudo letsencrypt --apache

另外洒家用的版本并不能识别/etc/apache2/sites-enabled/里面一个文件多个Virtual Host的情况，所以洒家把它们分成了多个文件，一个文件一个ServerName,就可以识别了。

网络上的爬虫和恶意攻击者

洒家查看日志发现，网络上有很多乱七八糟的爬虫和恶意的攻击者（弱口令攻击SSH）。

下图：远程登录SSH失败的：

下图：网站上线就受到了来自世界各地的HTTP访问

缓解方法：

/robots.txt 防止有道德的爬虫

SSH尝试弱口令的：屏蔽某些IP

Visual Attacker

为了方便地查看，洒家造了个轮子 Visual Attacker （前端使用百度Echarts）

洒家写了4个功能:

HTTP 访问(按IP地址记次数)
HTTP 访问(按地理位置记次数)
成功远程登录(按IP地址记次数)
失败远程登录(按IP地址记次数)

实现不难，此处洒家就不贴代码了。

autoBanIp

[2016年9月16日 Update]洒家看着攻击者心痒痒，写了个自动ban ssh 弱口令的脚本：

等几天看看效果如何。

2016-9-20 Update

自动封IP脚本还是有效果的，活捉一只中国上海的攻击者。

还有一些国外的攻击者，今天每个IP只尝试3次。为了不干扰洒家自己的正常使用，必须写更复杂的规则才能处理。

2016年10月7日 Update

最近了解到，有个更完备的程序叫 fail2ban http://www.fail2ban.org/wiki/index.php/Main_Page 。有了这个就不用重复制造轮子了。

绑定多个域名

2016-9-19 Update

洒家前几天收到阿里云邮件，免费送 .top 域名，就搞了一个玩玩。万网规定：

2016年7月18日8点起，.com/.net域名注册成功后必须进行域名实名认证，否则域名会处于Serverhold状态，无法正常使用。

似乎并不影响 .top 域名，反正洒家做完也能正常解析。

瞎填了一通信息模板，申请了一个域名，然后加了几个子域名。洒家又申请了一张证书，搞到服务器上。

Apache设置，以Ubuntu为例，只需要设置

/etc/apache2/sites-enabled/000-default.conf，增加：

<VirtualHost *:443>
        ServerName MyDomain.top
        DocumentRoot /var/www/html
        SSLEngine on
        SSLCertificateChainFile /path/to/chain.crt
        SSLCertificateFile /path/to/top.crt
        SSLCertificateKeyFile /path/to/top.key
        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>

然后重启 apache2 服务即可访问。