运维部落

linux服务器，我们一般是通过ssh通道远程管理，这就需要我们开启ssh端口，如22。但开启端口有被暴力破解的风险，你会说可以设置复杂的密码或使用证书避免。就算破解不了密码，但openssh也可能会有漏洞，你会说可以更改ssh端口，但还是有可能被扫描出来。还有一种选择，我们可以只允许指定IP访问ssh，通过vpn登录管理服务器，但局限很明显，万一紧急情况vpn登录不上去了怎么办。(有条件的我们可以多设置几个指定ip访问，保险些。也推荐大家用这个方法，对我们做数据中心服务器提供商多设置几个ip允许访问当然没有什么问题，因为资源多。)资源少的可以有其他办法吗？答案是肯定的。

下面给出一种个人觉得比较满意的解决方案，即使用iptables的recent模块，通过密令临时开启ssh端口。当然，密令需要保管好，防止外泄。（其实这种办法个人来讲，并不是非常推荐。因为人长时间不连服务器容易健忘密令。哈）

1、iptables规则设定

1
2
3
4

#指定78字节的icmp数据包(包含IP头部20字节，ICMP头部8字节)通过被加入openssh列表。
iptables -A INPUT -p icmp --icmp-type 8 -m length --length 78 -m recent --set --name sshopen --rsource -j ACCEPT
#检查openssh列表是否存在你的来源IP，如果存在，即从第一次使用密令开始15秒钟内开启ssh端口22,超过15秒端口自动关闭，不再允许新连接，已连接的不会断开。
iptables -A INPUT -p tcp --dport 22 --syn -m recent --rcheck --seconds 15 --name sshopen --rsource -j ACCEPT

2、临时开启ssh端口密令

1
2

linux下:ping -s 50 host
windows下:ping -l 50 host

3、示例一个目前服务器上使用的iptables规则

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 123 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m length --length 50 -m recent --set --name sshopen --rsource -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 --syn -m recent --rcheck --seconds 15 --name sshopen --rsource -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 443  -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT

首先，确保服务器在安装过程中，选择安装openssh软件。
如没有进行安装，请使用以下命令进行安装：
apt-get install -y openssh-server

安装完成后，使用root登录系统：
编辑vim /etc/ssh/sshd_config文件，将PermitRootLogin的值改为yes

因为为root账户设置了密码，所以还要更改PermitEmptyPasswords为 no。然后：wq保存文件！

然后重启ssh服务，如下：
sudo service ssh restart

一些乱码文件不可以通过普通的rm命令进行管理。
可以通过删除i节点的方式删除。

1
2
3
4
5
6
7
8

[root@192_168_100_35 musicwap]# ls
??,?K?k?ͨa*.?J]?k?Φ??P???Z?b?A?R???X??u??.?????*H@B?T???xS*   查看乱码文件的i结点
[root@192_168_100_35 musicwap]# ls -liaha
54263996 -rw-rw-r-- 1 musicwap musicwap 0 Sep 20 16:57 ??,?K?k?ͨa*.?J]?k?Φ??P???Z?b?A?R???X??u??.?????*H@B?T???xS*
使用find命令找文件删除
[root@192_168_100_35 musicwap]# find . -inum 54263996 -exec rm {} -rf \;
[root@192_168_100_35 musicwap]# ls -a
. ..

现在已经删除了。

其他办法：   find . -inum 54263996  -delete   这个参数也可以删除的。

修改ubuntu的网卡IP地址可以通过两种方式来修改.

第一种方式静态修改.

进入 /etc/network/ 目录下.修改interfaces文件.

# The primary network interface
auto eth0
iface eth0 inet static
address 110.25.*.*
netmask 255.255.255.0
gateway 110.25.*.1

#auto eth0:0
#iface eth0:0 inet static
#address 110.25.*.*
#netmask 255.255.255.0

蓝字部分是我添加的.eth0:0类似于数组下标.接下来想绑定多个就可以以此类推eth0:1,eth0:2,eth0:3……..

第二种方式是动态修改.

这里直接使用 ifconfig 命令

sudo ifconfig eth0:0 110.25.*.* broadcast 110.25.*.255 netmask 255.255.255.0

注：

第一种方式在你修改重启之后不会失效.这种方式稍微操作不当,则会造成远程无法连接。
第二种方式虽然只对当前生效,重启之后就会失效.但是不会因为操作不当给自己造成的不便。

修改成功之后用ifconfig命令看一下
eth0
eth0:0 （多出一个eth0:0,查看与eth0的网关是否一样）
lo

#压缩
tar -czvf ***.tar.gz
tar -cjvf ***.tar.bz2
#解压缩
tar -xzvf ***.tar.gz
tar -xjvf ***.tar.bz2

+++++++++++++++++++++++++++++++++++++++++++++

简介

参数：

-c ：建立一个压缩档案的参数指令(create 的意思)；

-x ：解开一个压缩档案的参数指令！

-t ：查看 tarfile 里面的档案！

特别注意，在参数的下达中， c/x/t 仅能存在一个！不可同时存在！

因为不可能同时压缩与解压缩。

-z ：是否同时具有 gzip 的属性？亦即是否需要用 gzip 压缩？

-j ：是否同时具有 bzip2 的属性？亦即是否需要用 bzip2 压缩？

-v ：压缩的过程中显示档案！这个常用，但不建议用在背景执行过程！

-f ：使用档名，请留意，在 f 之后要立即接档名喔！不要再加参数！

例如使用『 tar -zcvfP tfile sfile 』就是错误的写法，要写成

『 tar -zcvPf tfile sfile 』才对喔！

-p ：使用原档案的原来属性（属性不会依据使用者而变）

-P ：可以使用绝对路径来压缩！

-N ：比后面接的日期(yyyy/mm/dd)还要新的才会被打包进新建的档案中！

–exclude FILE：在压缩的过程中，不要将 FILE 打包！

范例：

范例一：将整个 /etc 目录下的档案全部打包成为 /tmp/etc.tar

[root@linux ~]# tar -cvf /tmp/etc.tar /etc <==仅打包，不压缩！

[root@linux ~]# tar -czvf /tmp/etc.tar.gz /etc <==打包后，以 gzip 压缩

[root@linux ~]# tar -cjvf /tmp/etc.tar.bz2 /etc <==打包后，以 bzip2 压缩
# 特别注意，在参数 f 之后的档案档名是自己取的，我们习惯上都用 .tar 来作为辨识。

# 如果加 z 参数，则以 .tar.gz 或 .tgz 来代表 gzip 压缩过的 tar file ～

# 如果加 j 参数，则以 .tar.bz2 来作为附档名啊～

# 上述指令在执行的时候，会显示一个警告讯息：

# 『tar: Removing leading `/’ from member names 』那是关于绝对路径的特殊设定。

范例二：查阅上述 /tmp/etc.tar.gz 档案内有哪些档案？

[root@linux ~]# tar -tzvf /tmp/etc.tar.gz
# 由于我们使用 gzip 压缩，所以要查阅该 tar file 内的档案时，

# 就得要加上 z 这个参数了！这很重要的！

范例三：将 /tmp/etc.tar.gz 档案解压缩在 /usr/local/src 底下

[root@linux ~]# cd /usr/local/src

[root@linux src]# tar -xzvf /tmp/etc.tar.gz
# 在预设的情况下，我们可以将压缩档在任何地方解开的！以这个范例来说，

# 我先将工作目录变换到 /usr/local/src 底下，并且解开 /tmp/etc.tar.gz ，

# 则解开的目录会在 /usr/local/src/etc 呢！另外，如果您进入 /usr/local/src/etc

# 则会发现，该目录下的档案属性与 /etc/ 可能会有所不同喔！

范例四：在 /tmp 底下，我只想要将 /tmp/etc.tar.gz 内的 etc/passwd 解开而已

[root@linux ~]# cd /tmp

[root@linux tmp]# tar -xzvf /tmp/etc.tar.gz etc/passwd
# 我可以透过 tar -tzvf 来查阅 tarfile 内的文件名称，如果单只要一个档案，

# 就可以透过这个方式来下达！注意到！ etc.tar.gz 内的根目录 / 是被拿掉了！

范例五：将 /etc/ 内的所有档案备份下来，并且保存其权限！

[root@linux ~]# tar -czvpf /tmp/etc.tar.gz /etc
# 这个 -p 的属性是很重要的，尤其是当您要保留原本档案的属性时！

范例六：在 /home 当中，比 2005/06/01 新的档案才备份

[root@linux ~]# tar -N ’2005/06/01′ -czvf home.tar.gz /home

范例七：我要备份 /home, /etc ，但不要 /home/dmtsai

[root@linux ~]# tar –exclude /home/dmtsai -czvf myfile.tar.gz /home/* /etc

范例八：将 /etc/ 打包后直接解开在 /tmp 底下，而不产生档案！

[root@linux ~]# cd /tmp

[root@linux tmp]# tar -cvf – /etc | tar -xvf -
# 这个动作有点像是 cp -r /etc /tmp 啦～依旧是有其有用途的！

# 要注意的地方在于输出档变成 – 而输入档也变成 – ，又有一个 | 存在～

# 这分别代表 standard output, standard input 与管线命令啦！

# 这部分我们会在 Bash shell 时，再次提到这个指令跟大家再解释啰！

++++++++++++++++++++++++++++++++++++++++++++

tar如何解压文件到指定的目录？

tar czvf mysql.tar.gz /var/lib/mysql
压缩的文件，我想解压到当前目录下，而不是绝对路径下，该如何解压？
tar cxvf mysql.tar.gz 的话，会覆盖 /var/lib/mysql 下全部文件吧？我现在就一个表坏了，想单独恢复一个表的资料，而不是恢复全部数据库，所以要解压到指定的目录下，再把那个表资料找不来恢复。
============================================

#tar zxvf mysql.tar.gz -C /home/aaa
============================================
tar zxvf mysql.tar.gz -C /home/aaa
这样的话，解压后的目录结构是怎么样的？
/home/aaa/var/lib/mysql 吗？
============================================
试下就知道了….
============================================

归档里面的所有文件均是相对引用，归档解压缩（释放）在了当前目录。归档文件总是释放到当前目录，为的是防止破坏文件系统中重名的文件。
所以，楼主的解压缩不会覆盖/var/lib/mysql，只会释放在当前目录先，即./var/lib/mysql如果想覆盖的话，在归档和解压时请使用-P参数：
tar zcvf mysql.tar.gz -P /var/lib/mysql
tar -Pzxvf mysql.tar.gz
============================================

问题描述：当SSH远程连接到服务器上，然后运行一个服务 ./catalina.sh start，然后把终端开闭（切断SSH连接）之后，发现该服务中断，导致网页无法访问。

解决方法：使用nohup命令让程序在关闭窗口（切换SSH连接）的时候程序还能继续在后台运行。

Unix/Linux下一般比如想让某个程序在后台运行，很多都是使用& 在程序结尾来让程序自动运行。比如我们要运行mysql在后台：

/usr/local/mysql/bin/mysqld_safe –user=mysql &

但是加入我们很多程序并不象mysqld一样做成守护进程，可能我们的程序只是普通程序而已，一般这种程序使用& 结尾，但是如果终端关闭，那么程序也会被关闭。但是为了能够后台运行，那么我们就可以使用nohup这个命令，比如我们有个test.php需要在后台运行，并且希望在后台能够定期运行，那么就使用nohup：

nohup /root/test.php &
　　提示：
　　[~]$ appending output to nohup.out
　　嗯，证明运行成功，同时把程序运行的输出信息放到当前目录的nohup.out 文件中去。
nohup命令说明：

　　用途：不挂断地运行命令。
　　语法：nohup Command [ Arg ... ] [　& ]
　　描述：nohup 命令运行由 Command 参数和任何相关的 Arg 参数指定的命令，忽略所有挂断（SIGHUP）信号。在注销后使用 nohup 命令运行后台中的程序。要运行后台中的 nohup 命令，添加 & （ 表示“and”的符号）到命令的尾部。
　　无论是否将 nohup 命令的输出重定向到终端，输出都将附加到当前目录的 nohup.out 文件中。如果当前目录的 nohup.out 文件不可写，输出重定向到 $HOME/nohup.out 文件中。如果没有文件能创建或打开以用于追加，那么 Command 参数指定的命令不可调用。如果标准错误是一个终端，那么把指定的命令写给标准错误的所有输出作为标准输出重定向到相同的文件描述符。
　　退出状态：该命令返回下列出口值：
　　126 可以查找但不能调用 Command 参数指定的命令。
　　127 nohup 命令发生错误或不能查找由 Command 参数指定的命令。
　　否则，nohup 命令的退出状态是 Command 参数指定命令的退出状态。
　　nohup命令及其输出文件
　　nohup命令：如果你正在运行一个进程，而且你觉得在退出帐户时该进程还不会结束，那么可以使用nohup命令。该命令可以在你退出帐户/关闭终端之后继续运行相应的进程。nohup就是不挂起的意思( n ohang up)。
　　该命令的一般形式为：nohup command &
　　使用nohup命令提交作业
　　如果使用nohup命令提交作业，那么在缺省情况下该作业的所有输出都被重定向到一个名为nohup.out的文件中，除非另外指定了输出文件：（也就是说自定义输出的文件名）
　　nohup command > myout.file 2>&1 &
　　在上面的例子中，输出被重定向到myout.file文件中。
　　使用 jobs 查看任务。
　　使用 fg %n　关闭。
　　另外有两个常用的ftp工具ncftpget和ncftpput，可以实现后台的ftp上传和下载，这样我就可以利用这些命令在后台上传和下载文件了。
思考：问题1为什么ssh一关闭，程序就不再运行了？
元凶：SIGHUP 信号
让我们来看看为什么关掉窗口/断开连接会使得正在运行的程序死掉。

在Linux/Unix中，有这样几个概念：

进程组（process group）：一个或多个进程的集合，每一个进程组有唯一一个进程组ID，即进程组长进程的ID。
会话期（session）：一个或多个进程组的集合，有唯一一个会话期首进程（session leader）。会话期ID为首进程的ID。
会话期可以有一个单独的控制终端（controlling terminal）。与控制终端连接的会话期首进程叫做控制进程（controlling process）。当前与终端交互的进程称为前台进程组。其余进程组称为后台进程组。

根据POSIX.1定义：

挂断信号（SIGHUP）默认的动作是终止程序。

当终端接口检测到网络连接断开，将挂断信号发送给控制进程（会话期首进程）。

如果会话期首进程终止，则该信号发送到该会话期前台进程组。

一个进程退出导致一个孤儿进程组中产生时，如果任意一个孤儿进程组进程处于STOP状态，发送SIGHUP和SIGCONT信号到该进程组中所有进程。（关于孤儿进程参照：http://blog.csdn.net/hmsiwtv/article/details/7901711 ）

结论：因此当网络断开或终端窗口关闭后，也就是SSH断开以后，控制进程收到SIGHUP信号退出，会导致该会话期内其他进程退出。

简而言之：就是ssh 打开以后，bash等都是他的子程序，一旦ssh关闭，系统将所有相关进程杀掉！！ 导致一旦ssh关闭，执行中的任务就取消了

例子：
我们来看一个例子。打开两个SSH终端窗口，在其中一个运行top命令。

1
[root@tivf09 root]# top
在另一个终端窗口，找到top的进程ID为5180，其父进程ID为5128，即登录shell。

1
[root@tivf09 root]# ps -ef|grep top
2
root 5180 5128 0 01:03 pts/0 00:00:02 top
3
root 5857 3672 0 01:12 pts/2 00:00:00 grep top
使用pstree命令可以更清楚地看到这个关系：

1
[root@tivf09 root]# pstree -H 5180|grep top
2
|-sshd-+-sshd—bash—top
使用ps-xj命令可以看到，登录shell（PID 5128）和top在同一个会话期，shell为会话期首进程，所在进程组PGID为5128，top所在进程组PGID为5180，为前台进程组。

1
[root@tivf09 root]# ps -xj|grep 5128
2
5126 5128 5128 5128 pts/0 5180 S 0 0:00 -bash
3
5128 5180 5180 5128 pts/0 5180 S 0 0:50 top
4
3672 18095 18094 3672 pts/2 18094 S 0 0:00 grep 5128
关闭第一个SSH窗口，在另一个窗口中可以看到top也被杀掉了。

1
[root@tivf09 root]# ps -ef|grep 5128
2
root 18699 3672 0 04:35 pts/2 00:00:00 grep 5128
问题2 为什么守护程序就算ssh 打开的，就算关闭ssh也不会影响其运行？

因为他们的程序特殊，比如httpd –k start运行这个以后，他不属于sshd这个进程组 而是单独的进程组，所以就算关闭了ssh，和他也没有任何关系！

1
[root@CentOS5-4 ~]# pstree |grep http
2
|-httpd
3
[root@CentOS5-4 ~]# pstree |grep top
4
|-sshd-+-sshd—bash—top
结论：守护进程的启动命令本身就是特殊的，和一般命令不同的，比如mysqld_safe 这样的命令 一旦使用了 就是守护进程运行。所以想把一般程序改造为守护程序是不可能，

问题3 使用后台运行命令& 能否将程序摆脱ssh进程组控制呢 也就是ssh关闭，后台程序继续运行？

我们做一个试验:

1
find / -name ‘*http*’&
利用ctrl+d 注销以后 再进入系统 会不会看见这个命令再运行?
答案是 :命令被中止了!!

因为他依然属于这个ssh进程组 就算加了&也无法摆脱！！
[root@CentOS5-4 ~]# pstree |grep find
|-sshd-+-sshd—bash—find

结论就是：只要是ssh 打开执行的一般命令，不是守护程序，无论加不加&，一旦关闭ssh，系统就会用SIGHUP终止

问题4 nohup能解决的问题

但是为了能够再注销以后 依然能后台运行，那么我们就可以使用nohup这个命令，我们现在开始查找find / -

1
name ‘*http*’&
，并且希望在后台运行，

那么就使用nohup：nohup find / -name “*httpd*”

此时默认地程序运行的输出信息放到当前文件夹的nohup.out 文件中去

加不加&并不会影响这个命令 只是让程序 前台或者后台运行而已

延伸：Linux命令nohup+screen命令

如果想在关闭ssh连接后刚才启动的程序继续运行怎么办，可以使用nohup。但是如果要求第二天来的时候，一开ssh，还能查看到昨天运行的程序的状态，然后继续工作，这时nohup是不行了，需要使用screen来达到这个目的。

虽然nohup很容易使用，但还是比较“简陋”的，对于简单的命令能够应付过来，对于复杂的需要人机交互的任务就麻烦了。

其实我们可以使用一个更为强大的实用程序screen。流行的Linux发行版（例如Red Hat Enterprise Linux 4）通常会自带screen实用程序，如果没有的话，可以从GNU screen的官方网站下载。

1）使用

执行screen ， 按任意键进入子界面;

我用ping命令开始执行,如果下班了，但是想关闭ssh以后ping继续运行，那么按ctrl+a 再按d 这样暂停了子界面，会显示[detached]的字样，这时候 我回到了父界面；

用screen –ls查看目前子界面的状态screen -ls

There is a screen on: 22292.pts-3.free (Detached)

1 Socket in /tmp/screens/S-root，这里的22292其实是子界面的pid号；

如果回到子界面 用screen –r 22292，一下子弹到了ping 的子界面；

2）更多帮助

可以通过C-a（ctrl+a）?来查看所有的键绑定，常用的键绑定有：

C-a ?

显示所有键绑定信息

C-a w

显示所有窗口列表

C-a C-a

切换到之前显示的窗口

C-a c

创建一个新的运行shell的窗口并切换到该窗口

C-a n

切换到下一个窗口

C-a p

切换到前一个窗口(与C-a n相对)

C-a 0..9

切换到窗口0..9

C-a a

发送C-a到当前窗口

C-a d

暂时断开screen会话

C-a k

杀掉当前窗口

C-a [

进入拷贝/回滚

其他常用选项：

-c file

使用配置文件file，而不使用默认的$HOME/.screenrc

-d|-D [pid.tty.host]

不开启新的screen会话，而是断开其他正在运行的screen会话

-h num

指定历史回滚缓冲区大小为num行

-list|-ls

列出现有screen会话，格式为pid.tty.host

-d -m

启动一个开始就处于断开模式的会话

-r sessionowner/ [pid.tty.host]

重新连接一个断开的会话。多用户模式下连接到其他用户screen会话需要指定sessionowner，需要setuid-root权限

-S sessionname

创建screen会话时为会话指定一个名字

-v

显示screen版本信息

-wipe [match]

同-list，但删掉那些无法连接的会话

网上搜索xampp+开启Gzip，方法一大堆，不过都是基于apache 2.2的，当前最新的xampp 1.8.1使用的apache 2.4，httpd.conf完全不同，自然开启Gzip的方法也不同。

要使用Gzip网站压缩，在xampp 1.8.1 httpd.conf 除了要开启mod_deflate外，还要开启mod_filter。
其次Gizp的设置（httpd.conf的末尾增加代码），我用的是这段：

1
2
3
4
5

<IfModule mod_deflate.c>
DeflateCompressionLevel 9
AddOutputFilterByType DEFLATE text/html text/plain text/xml application/x-httpd-php
AddOutputFilter DEFLATE css js
</IfModule>

收录架构

i386
x86_64
SRPMS
收录版本

所有版本

更新时间

每4小时更新一次

使用说明

首先备份/etc/yum.repos.d/CentOS-Base.repo

mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup

下载对应版本repo文件, 放入/etc/yum.repos.d/(操作前请做好相应备份)

• CentOS7
• CentOS6
• CentOS5

运行以下命令生成缓存

yum clean all
yum makecache
相关链接

官方主页: http://www.centos.org/
邮件列表: http://www.centos.org/modules/tinycontent/index.php?id=16
论坛: http://www.centos.org/modules/newbb/
文档: http://www.centos.org/docs/
Wiki: http://wiki.centos.org/
镜像列表: http://www.centos.org/modules/tinycontent/index.php?id=32

最近帮朋友接了个小项目，客户在他们的美国机房租了几台服务器，然后想在上面做上网用的代理服务器，供客户在国内使用。具体需求如下：

1、客户的这台服务器具有多个出口ip地址

2、客户希望使用认证的方式使用代理服务器上网

3、客户希望通过不同的认证用户实现从不同的出口ip访问网络

4、隐藏代理信息，隐藏真实上网ip

此客户需求相当明确，根据上面罗列，条理也很清晰。本文的目的就是向大家介绍笔者实现这个需求的思路和步骤。

作者简介：刘晗昭，网名蚊子（博客），某通信业国企系统工程师，熟悉各种主流开源软件的使用，部署和组合应用，以及主流网站架构。目前关注系统架构和系统优化。

笔者使用了Squid来实现这一需求。Squid是一种在Linux系统下使用的优秀的代理服务器软件，还可以用在AIX、Digital Unix、FreeBSD、HP-UX、Irix、NetBSD、Nextstep、SCO和Solaris等系统上。更多关于squid的介绍就不在这里多讲了，有需要的去官方网站上看吧，51CTO也有这方面的专题。

这里先看下我设计的逻辑图：

根据图中所示，红色的用户1会通过红色的出口ip1访问internet，绿色的用户2会通过绿色的出口ip2访问internet，用户3和用户4同样对应相应颜色的出口访问internet。

接下来根据上面的需求进行逐一的分解。

一、需求分析

1、服务器具有多个出口ip地址

这个没什么可说的，客户的出口ip为：

10.100.10.1
10.100.10.2
10.100.10.3
2、使用认证的方式使用代理服务器上网

这里要用到squid的认证功能。squid的认证功能大类包括basic_auth，digest_auth，external_acl，negotiate_auth，ntlm_auth这5种（注：squid-2.7.STABLE9版本），每个大类下面还有具体的认证方式，如NCSA，LDAP，DB等等，具体支持哪些可以去这些目录下面看。

笔者在这里主要介绍的是NCSA的方式，此种认证方式类似apache的auth认证方式，通过用户名密码来验证，密码文件也是通过htpasswd程序来创建。后面会给出具体配置。

3、通过不同的认证用户实现从不同的出口ip访问网络

先说实现不同出口ip访问网络，这个主要是依靠squid的tcp_outgoing_address配置实现的，此参数可以根据source ip或者用户名的不同，分配不同的出口ip出去。

如此一来，搭配第二个需求中的用户验证，正好就可以实现第三个需求了。后面会给出具体的配置。

4、隐藏代理信息，隐藏真实上网ip

这个需求很多人应该都想到使用什么配置文件了，对，就是squid的header_access这个参数。主要就是隐藏掉HTTP_VIA，VIA和X-forwarded-for。后面会给出具体配置。

二、安装配置

首先要做的就是下载一个squid安装包（下载地址）。笔者这里使用的是2.7 STABLE9，操作的当前目录是/tmp，下面所有涉及到目录的都是基于此目录。squid源文件路径是/tmp/squid-2.7.STABLE9.tar.gz

安装步骤如下：

tar zxvf squid-2.7.STABLE9.tar.gz
cd squid-2.7.STABLE9
./configure –prefix=/usr/local/squid –enable-async-io=320 –enable-icmp –enable-delay-pools –enable-kill-parent-hack –enable-snmp –enable-arp-acl –enable-htcp –enable-cache-digests –enable-removal-policies=heap,lru –enable-default-err-language=Simplify_Chinese –enable-x-accelerator-vary –enable-follow-x-forwarded-for –with-aufs-threads=320 –with-pthreads –with-dl –with-maxfd=65536 –enable-basic-auth-helpers=DB,NCSA –enable-digest-auth-helpers=password –enable-large-cache-files –with-large-files
make
make install
如果以上步骤中无报错，squid就被正确安装完毕了。

接下来执行：

cd /usr/local/squid/
#（之后的所有操作均在此目录下完成）
grep -v “^#” etc/squid.conf.default|uniq > etc/squid.conf
将创建一份未注释的配置文件。

接下来编辑此文件

vi etc/squid.conf
修改编辑的内容如下：

在

20 acl CONNECT method CONNECT
21
22 http_access allow manager localhost
这两行中间加入：include “/usr/local/squid/etc/auth.conf”。auth.conf文件的内容后面会有详细介绍。

在

32 icp_access deny all
33
34 http_port 3128
这两行中间加入：always_direct allow all，意思是对所有ip过来的请求都允许转发。

将49 broken_vary_encoding allow apache行后面的所有内容删除，加上如下内容

forwarded_for off
#隐藏x-forwarded-for头
header_access HTTP_VIA deny all
#隐藏HTTP_VIA头
header_access VIA deny all
#隐藏VIA头
cache_effective_group daemon
#设置squid执行的用户组，这里使用了系统自带的daemon用户组
cache_effective_user daemon
#设置squid执行的用户，这里使用了系统自带的daemon用户

visible_hostname test
#设置错误页面中出现的服务器名称，可自行更改
cache_dir aufs /usr/local/squid/cache 100 16 256
#设置squid的缓存，可自行调整
cache_store_log none
#关闭store.log
都修改添加完毕后，保存退出。

紧接着我们来创建auth.conf。

vi /usr/local/squid/etc/auth.conf
输入如下内容

# 设置验证相关的配置内容，指定密码文件
1 auth_param basic program /usr/local/squid/libexec/ncsa_auth /usr/local/squid/etc/passwd
2 auth_param basic children 10 #设置验证子进程数
3 auth_param basic credentialsttl 2 hours #设置验证有效期
4 auth_param basic casesensitive off #设置是否区分大小写
5
# 后面这三行分别定义了三个用户组。每个用户组指定了一个用户文件。
6 acl usergroup1 proxy_auth “/usr/local/squid/etc/ip1user”
7 acl usergroup2 proxy_auth “/usr/local/squid/etc/ip2user”
8 acl usergroup3 proxy_auth “/usr/local/squid/etc/ip3user”
9
# 后面三条允许这三个组的用户可以访问网络
10 http_access allow usergroup1
11 http_access allow usergroup2
12 http_access allow usergroup3
13
# 这三条用来分配哪个组的用户走哪个出口ip
14 tcp_outgoing_address10.100.10.1 usergroup1
15 tcp_outgoing_address10.100.10.2 usergroup2
16 tcp_outgoing_address 10.100.10.3 usergroup3
编辑完成后保存退出。

接下来是创建用户文件，vi /usr/local/squid/etc/ip1user，填入如下内容

user1
user2
保存退出。这里用户数量不限，每个用户名占用一行。

如果一开始没有那么多用户，建议使用touch命令将文件创建好，不然启动squid的时候会出错。

接下来创建用户的密码文件，第一次创建密码文件请使用下面的命令

htpasswd -cb /usr/local/squid/etc/passwd user1 111111
倒数第二个字段是用户名，最后一个字段是用户对应的密码

如果之前创建过了密码文件，使用下面的命令就可以了

htpasswd -b /usr/local/squid/etc/passwd user2 111111
命令解释同上。

到此为止，配置文件等相关工作就基本完成了。下面来说说squid的初始化工作。

首先，mkdir cache，创建cache目录

然后执行，chown -R daemon.daemon，变更当前目录及所有子目录的的属主与属组。笔者这里使用系统自有的daemon用户和组。

这些工作都做好之后呢，就来执行 sbin/squid -z对squid进行初始化，如果没有报错信息呢，初始化工作就算是做完了，下面启动squid服务即可了，启动命令为

sbin/squid -ND &
然后通过下面的命令查看一下3128端口是否启动

netstat -ln|grep 3128
如果出现下面的内容，说明squid服务已经正常运行了

tcp 0 0 0.0.0.0:3128 0.0.0.0:* LISTEN
到此为止，一个支持用户身份验证的多出口代理服务器就完全配置完毕了，赶快打开浏览器，配置好代理服务器，测试一下吧。看看浏览网页是否会弹出验证的提示。

另外还可以登录proxy checker工具网站查看使用不同的用户组的用户，是否上网ip不一样，同时这个页面还能查看当前上网方式是否使用了代理。

如何用BIND, GeoIP, Nginx, Varnish来创建你自己的高效的CDN网络？
CDN，意思是Content Distrubtion Network，意思是内容分发网络，简单的说，就是全地域范围内的负载均衡，全地域的概念可以是全国，也可以是全世界。由统一的DNS服务器进行地址转发，选择离用户最近的地区服务器进行负载均衡。本质上是从一个机房内的负载均衡扩展到了全世界范围内的负载均衡。同时可以将本地化的内容，由当地的服务器实现。做浏览器的地区自动选择。
比如在中国，被人为划分成两大区域，北方是网通，南方是电信。这两个网络之间互访是比较慢的。作为大型网站，一种解决办法是将全部服务器架设在双线或三线ISP处，由ISP来提供路由上的选择。这样做，线路的成本会比较高。另一种办法就是将服务器架设在两边，南方一台，北方一台，然后由服务器自己选择，如果IP在电信，就转发请求到南方的服务器，如果是网通就转发到北方的服务器。
再扩大范围，可以将美国来的请求交由美国服务器处理，这样也缩短了用户在路由上的等待时间。这就是内容分发网络。
而作为这个网络上的所有节点，都可以当成虚拟服务器来看待。至于在各地的服务器如何做负载均衡，可以由各节点之间完成。
准备工作如下：你需要下载如下软件以实现上述功能
Nginx，BIND，GeoIP，Varnish
接下来是编译和安装bind9和geoip
# tar -xzvf bind-9.2.4.tar.gz
# tar -xzvf GeoIP-1.4.6.tar.gz
# cd GeoIP-1.4.6
# ./configure –prefix=/usr/local/geoip
# make
# make install
# cd ..
# patch -p0 < bind-9.2.4-geodns-patch/patch.diff //给bind9打补丁，让bind9直接支持geoip库
# cd bind-9.2.4
# CFLAGS=”-I/usr/local/geoip/include” LDFLAGS=”-L/usr/local/geoip/lib -lGeoIP” ./configure –prefix=/usr/local/bind
# make
# make install
装好bind后我们来制作named.conf
view “us” {
// 匹配北美的客户端 US & Canada
match-clients { country_US; country_CA; };
// Provide recursive service to internal clients only.
recursion no;
zone “cdn.xianglei.com” {
type master;
file “pri/xianglei-us.db”;
};
zone “.” IN {
type hint;
file “named.ca”;
};
};
view “latin” {
// 匹配到南美国家
match-clients { country_AR; country_CL; country_BR; };
recursion no;
zone “cdn.xianglei.com” {
type master;
file “pri/xianglei-latin.db”;
};
zone “.” IN {
type hint;
file “named.ca”;
};
};
照此办理，你也可以匹配到欧洲，非洲等等，然后来开始制作nginx和varnish
注意，以上内容是你要在主节点服务器上做的，主节点服务器只负责对DNS请求进行转发。
约定一下，我们将Bind服务器叫做动态节点服务器，Nginx+Varnish叫做边界服务器。
以下内容是副节点服务器需要做的，也就是实际在某个地区放置的服务器
# ./configure –prefix=/usr/local/nginx –with-http_realip_module
# make
# make install
并配置Nginx
http {
include mime.types;
default_type application/octet-stream;
sendfile on;
keepalive_timeout 65;
upstream dynamic_node {
server 1.1.1.1:80; # 1.1.1.1 是主DNS节点的IP地址
}
server {
listen 8080;
server_name cdn.xianglei.net;
location ~* \.(gif|jpg|jpeg|png|wmv|avi|mpg|mpeg|mp4|htm|html|js|css|mp3|swf|ico|flv)$ {
proxy_set_header X-Real-IP $remote_addr;
proxy_pass http://dynamic_node;
proxy_store /var/www/cache$uri;
proxy_store_access user:rw group:rw all:r;
}
以上我们用nginx只对静态文件进行缓存，将静态文件缓存在/var/www/cache文件夹下，如果你没有的话，需要创建这个文件夹。并且nginx监听的是8080端口，这是因为，我们需要用varnish来监听80端口进行动态文件的转发。这里实际上是用nginx做了一个静态文件的反向代理和缓存的服务器，而真正让用户能够看到网页和动态文件的反向代理是varnish，而静态和动态文件的分开存放，能将效率提升不少。
最后我们来配置varnish服务。
# tar -xzvf varnish-2.1.2.tar.gz
# ./configure –prefix=/usr/local/varnish
# make
# make install
然后是varnish的选项
backend default {
.host = “127.0.0.1″;
.port = “8080″;
}
sub vcl_recv {
if (req.url ~ “\.(js|css|jpg|jpeg|png|gif|gz|tgz|bz2|tbz|mp3|ogg|swf)$”) {
return (lookup);
}
}
sub vcl_fetch {
if (req.url ~ “\.(js|css|jpg|jpeg|png|gif|gz|tgz|bz2|tbz|mp3|ogg|swf)$”) {
unset obj.http.set-cookie;
}
}
其他的配置内容可参看varnish的配置文章。
总结：
这样做的好处在于：
1.从根源上解决了DNS在轮询上的不确定性，能够做到在DNS上的快速响应。也避免了过去用Nginx+GeoIP时的负载高的问题。毕竟DNS的计算要比Nginx小多了。
2.降低大网站的服务器负载压力和运营成本，毕竟F5BigIP和双线路的价格和服务费都太高了。
3.易扩展性强，如某地区负载压力大，只需在该地区增加边界服务器组的web server即可完成，无需考虑跳转问题。