这里源于多用户登录的时候,想要各自用户达成运行 systemd 以下效果:
123456# 常见的 systemd 启动服务sudo systemctl start nginx.service# 但是现在要求生成某个服务, 让其只允许启动自己家目录的应用, 类似如下:systemcl start owner-worker.service# 这个服务会根据当前登录的不同用户在自己 Home 目录下创建自己的工具目录
对于 Linux 这种多用户分配的时候, 需要自己与根据自己根目录生成不同开发配置等就需要这种效果.
常见的系统服务脚本都是放置于 /lib/systemd/system, 但是如果区分个人用户则是放置于 /lib/systemd/user 之中,
所以这里脚本已经放置于此:
12# 编写用户级别的启动服务sudo vim /lib/systemd/user/owner-worker.service
这里需要先科普下 systemd 模板声明变量, 建议先了解好内置模板变量再进行编写.
123456789101112131415161718192021# owner-work ...
这种请求针对某些合法接口的 CC(Challenge Collapsar) 攻击对某些接口进行重复合法访问, 能够有效利用 Nginx 来压低访问频率.
这里面基于 Nginx 的两个模块:
ngx_http_limit_conn_module: 单一IP的连接限制( 限制连接并发 )
ngx_http_limit_req_module: 单一IP的请求限制( 限制请求并发 )
ngx_http_limit_conn_module
用于对单个 IP 地址限制连接数, 只有正常处理HTTP标头的时候才会被计算为一个连接; 这种请求下, 可以识别出单个 IP
是否只请求连接而不进行任何处理卡住访问链接.
这里配置如下:
123456789101112131415161718192021222324252627282930313233# 这里是 HTTP 请求, 所以放置于 HTTP 块配置之中http { # 这里需要在内存之中定义内存区放置请求的标识区域, 注意重启会释放这块区域 # 关键点: # 1. 设置名为 `limitaddr` 的共享内存 ...
这里需要说明内部的环境需要区分:
开发测试环境(Development), 这里一般采用 Docker/虚拟机开发.
正式部署环境(Production), 这里习惯性由 Tomcat 托管 War 包或者直接 Jar 写入系统服务.
而且一般部署都是基于 Linux 环境, 所以基本上对于正式部署来说只需要处理 Linux 平台.
这里的采用平台是Debian系统, 剩下发行版大同小异; 且这里采用系统源安装, Java 版本采用系统默认版本来处理, 可以自己手动调整源安装
Java1.8.
对于正式服务器, 只需要安装 java 命令就行, 常规的直接命令挂起:
12# 最好不要安装 JDK, package.jar 是自己打的 Jar 包java -jar package.jar # 直接前台运行, 如果想正规启用需要编写成系统应用, 这里仅仅是作为测试不做展开.
Linux测试搭建
安装 Java/Jdk:
12345apt install -y default-jre # 安装默认Java运行时java -version # 安装成功之后就会显示 openjdk 输出 ...
现在因为某个原因, 导致本地 DNS 对网络影响特别严重, 所以建议本地如果有能力可以自己搭建 DNS 服务器来进行部署.
默认的 Ubuntu 之中会默认开启 systemd-resolved.service 监听 53 端口来做本地域名解析, 所以需要将他关闭:
1234567# 编辑默认服务文件sudo vim /etc/systemd/resolved.conf # 找到如下配置修改如下:# DNSStubListener=no# 之后重启下服务即可sudo systemctl restart systemd-resolved.service
之后直接采用 SmartDns 的服务进行管理:
12345# 直接系统服务安装sudo apt install smartdns -y # 安装之后就是编辑下配置文件sudo vim /etc/smartdns/smartdns.conf
需要配置文件如下:
123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495 ...
Nginx 支持IP端访问禁用启用访问, 直接在配置项目定义即可, 默认定义禁用IP名单:
12345# 创建禁用IP目录sudo mkdir /etc/nginx/block.d# 创建通用的IP禁用项目sudo vim /etc/nginx/block.d/normal.conf
常规文件格式:
12345678# 优先识别禁用不允许访问的IPdeny 68.183.69.58;# 禁用访问子网段: 68.183.69.0~68.183.69.255 的IPdeny 68.183.69.0/24;# 默认允许全部IP访问allow all;
这里推荐常规通用禁用IP的名单: blacklist
通用直接采用脚本处理下配置:
12345678# 调出所有IP访问附加上禁用IP数据curl https://sblam.com/blacklist.txt | sed -e '/^#/d' | awk '{print "deny "$0";"}' > /tmp/block.txt ...
这里采用 Debian11 版本, 建议跟随最新版本来配置防止系统库不兼容
SteamCMD官方文档
SteamCMD安装
默认 Linux 发行版都没有配置32位系统库和非开源软件源, 有的 Steam 系统库依赖32位系统库和非开源软件源, 输入以下命令追加:
1234sudo dpkg --add-architecture i386 # 配置 32 位库sudo apt install -y software-properties-common # 启用非开源软件配置sudo add-apt-repository non-free # 配置启用非开源库sudo apt update -y # 更新软件
在配置好非开源的软件源之后就可以直接通过系统命令安装 Steam 命令行:
12# 安装steamcmd, 确认同意非开源协议即可( I Agree )sudo apt install -y steamcmd libsdl2-dev:i386
配置管理权限
这里需要配置专门管理 Steam 服务器的系统账号; 除非很有经验, 否则最好不要默认采用 root 账号管理配置服务, ...
这种方式实际上是特别有用且被人忽略的配置, 能够有效节约某些负载情况.
比如以下情况:
如果服务器宕机返回 404 错误但是要求返回 JSON 根据 POST 请求返回 JSON.
需要设置在某个页面只需要设置固定文本展示在页面
设置域名之下的展示 PUBLIC_KEY 来展示公钥数据提供准备解密文本
这种方法适合常规的固定字符串数据展示, 但是需要注意必须要在 http-server-location 块之中.
123456789101112131415161718192021222324252627282930313233343536373839404142434445464748# 必须在 http 块中配置http { ...... # 声明默认的 UTF-8 编码 charset utf-8; # 一般其他配置文件都是防止于 `/etc/nginx/conf.d/xxx.conf` # 这里当作其他配置选项设置 server{ listen 80; # 这里可以直接配置访问 ...
确保域名已经指向服务器IP, 如果采用 CloudFlare 等 CDN 隐藏真实IP地址需要先关闭.
初始化安装
这里用 root 权限来挂起这些服务, 主要是方便直接一键处理, 具体正式环境的实际最好创建低权限账号来调用.
首先是官方脚本安装, 输入以下命令行:
12sudo apt install -y socat curl # 安装网络请求软件sudo curl https://get.acme.sh | sh # 下载并安装 acme 脚本
sudo 代表使用最高权限安装, 会在生成的应用配置软件会在其家目录之中, 这也就是提到的可能涉及安全的点.
所有操作步骤没报错的时候, 就可以进行下一步配置命令:
12acme.sh --set-default-ca --server letsencrypt # 切换证书源为 letsencrypt 而非 zerossl( zerossl需要邮箱认证 )acme.sh --upgrade --auto-upgrade # 设置自动升级更新
这一步还是比较重要的, 新版本的 acme 里面默认配置 ZeroSSL 服务器作为证书服务器 ...
按照第三方原理来说, https 访问实际上通过第三方证书机构来认证访问过程, 个人可以自己扮演这个第三方证书机构来颁发证书, 同时只需要客户端信任自己颁发的证书就能直接进行 https 访问.
证书生成
这里首先需要在 Linux 上创建自己的 openssl 证书:
1234# 创建证书和私钥sudo openssl req -x509 -nodes -days 3650 -newkey rsa:4096 \-keyout /data/ssl/private.meteorcat.com.key \-out /data/ssl/private.meteorcat.com.crt
这里具体参数:
req: 生成证书指令,
-x509: 默认创建生成 X.509 证书.
-nodes: 不采用短密码对证书进行进一步加密.
-days 3650: 证书有效时间(单位: 天), 自己按照习惯常用调整时间.
-newkey rsa:4096: 证书加密密钥和加密方式, 这里按照采用4096位RSA密钥.
-keyout: 生成的私钥文件路径
-out: 生成的证书路 ...
Nginx 现在的代理转发功能已经日趋完善, 可以用来进行大规范的数据负载转发, 比较知名的方案就是 Nginx-Tomcat/Nginx-Jar
的转发负载架构.
常见的 Java 高并发负载也是通过 Nginx 挂起代理转发到不同 Jar 服务进行处理.
Nginx 有两种转发方式:
HTTP转发: 只针对 HTTP 数据转发, 可以通过设置代理头转发源客户端数据.
Stream转发: 针对 TCP/UDP 的数据流转发, 目前转发的时候无法识别源IP.
如果仅仅作为流量不需要做任何日志和IP判断可以采用 Stream 转发, 剩下只要不涉及这种情况完全不推荐( 应该采用专门的
HAProxy 转发数据 )
Stream转发
这里说明 Stream 转发两种方式: TCP/UDP:
12345678910111213141516171819# 注意 Stream 转发不会涉及 HTTP 模块, 所以不需要在 HTTP 之中编写http{ .......} # 这里直接和 http 模块一样, 创建出新的模块stream { ...
