准备：

阿里云服务器ESC，window客户端远程链接软件PUTTY，mac 直接命令行登录

mac如何链接进入ESC

1、ssh root@(ESC公网ip地址y14W05g17w）回车

2、输入实例登录密码（密码不显示）

39.96.4.34

3、成功之后如下图

4、fdisk -l 可查看数据盘信息

5、df -h 查看硬盘使用情况

6、ctr + d 退出当前命令行环境

配置权限

      每次登录都使用root显然是不安全的，因为他是最高权限，有可能会造成误删等操作所以我们

      需要配置root以及应用账号

1、adduser yg 添加用户名然后添加这个用户登录的密码可以默认和实例登录密码一致, 然后成功后会          提示输入一个名字

2、gpasswd -a yg sudo 给这个用户授权,yangguang这个用户他与sudo的角色调用系统命令

     这样就是具备了部分代理了超级权限才能够调用到的一些命令，但是必须输入密码，到

      这一步只是进入到了sudo这个组里边去，还没有完成

3、sudo visudo 然后在root下添加yg ALL(这条规则对所有数组生效）=(ALL（可以任何yg来

      执行命令）:ALL（yg可以任何的组来执行命令）) ALL（这个规则适用于所有命令），其实

      就是yg这个用户只要提供密码他可以通过sodu和root一样来运行任何root可以运行的命令，

      然后ctl+x,然后再按下sift+y保存,然后回车就好了

4、然后ssh yg@39.96.4.34即可登录

5、配置本地无密码SSH登录(未完成，太麻烦了，所以不想搞了）

     (1) 进入根目录pwd；查看是否有.ssh文件ls  -a；如果有cd .ssh进入,ls会看到id_rsa（私钥）， 

           id_rsa.pub（公钥），known_hosts这几个文件，没有的话就创建

     (2)  cp id_rsa id_rsa_backup 复制文件

     (3)  cp id_rsa.pub id_rsa_backup.pub 复制文件

     (4)  没有的.ssh文件的话新建 mkdir .ssh  ===>  生成公钥和私钥 ssh-keygen -t rsa -b 4096 -C 

              "邮箱"打印私钥cat id_rsa  打印公钥cat  id_rsa_pub

修改服务器默认登录端口，我们登录的时候默认不写是22为了安全要修改掉

1、ssh yg@39.96.4.34  进入，进入目录修改配置目录 sudo vi /etc/ssh/sshd_config

2、把Port修改为0-39999即可一般推荐1024-3999

3、然后在最后一行输入AllowUser yg，然后按下esc，然后再shift+：来保存

4、然后重启sudo service ssh restart

5、然后登录的时候 ssh -p （修改的port） yg@39.96.4.34 

6、当然这里变还可以做很多安全的的修改比如禁止root登录之类的

7、这里我本人为了方便记忆并没有修改还是原来的22

配置iptables(防火墙）和Fail2Ban增强安全性

sudo ufw status 查看状态  sudo ufw enable 开启  sudo ufw disable 关闭

1、新建iptables文件：sudo vi /etc/iptables.up.rules

*filter 过滤

1、-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT     

    允许所有建立起来的链接

2、-A OUTPUT -j ACCEPT     

      允许所有出去的流量，可以设置一些特定的规则

3、-A  INPUT -p tcp --dport 443 -j ACCEPT

      允许http,https协议这种请求的链接

4、-A  INPUT -p tcp --dport 80 -j AXXEPT

      所有的网站理论上来说你访问一台服务器都是从80端口进的所以要让80端口流量可进出

5、-A  INPUT  -p tcp -m state --state NEW --dport  22  -j ACCEPT 

     为ssh这种登录方式建立通道

6、-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT 

    允许外网（某台服务器上来pin到这台服务器上，方便我们来测试服务器有没有停机，网络不同，

    光缆断了）

9、-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7 

      记录下来被拒绝的请求对恶意访问网站的ip加以拦截

10、-A INPUT -p -tcp --dport 80 -i eth0 -m state NEW -m recent --set

11、-A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --update --seconds 60 --  

       hitcount 150 -j DROP 

       在60s内发出了超过150次的请求

12、拒绝其他所有进到服务器的流量

       -A INPUT -j REJECT 

       -A FORWAED -j REJECT 

       COMMIT提交 然后保存提交

13、写好之后需要告诉iptables这个文件是在哪里,没有任何输出则成功

        sudo iptables-restore < /etc/iptables.up.rules

14、查看防火墙有没有启动

        sudo ufw status  ===> Status: inactive未激活  Status: active已激活

15、sudo ufw enable 激活防火墙

16、防火墙建立起来之后我们需要把一些路径设置一下让他可以开机之后自动启动

        sudo vi /etc/network/if-up.d/iptables 

        #!/bin/sh  指定这是一个可执行的脚本

        sudo iptables-restore /etc/iptables.up.rules

       给这个脚本执行的权限 sudo chmod +x /etc/network/if-up.d/iptables

17、如果好几台服务器都是在内网在这中间呢需要开放一些数据库或者其他第三方端口的访

       问的时候规则也需要相应的添加，允许某个端口或者某个某个协议对外网开放或者某个ip段

       来开放这时候我们就配置好了iptables

接下来配置Fail2Ban 

可以看作是一个防御性的动作库通过监控系统的监控文件，根据检测到的任何异常行为触发

不同的防御行为

1、安装 sudo apt-get install fail2ban

2、打开配置文件 sudo vi /etc/fail2ban/jail.conf

3、bantime 设置为 3600（可选）

4、destemail 可以修改为自己的邮箱ygcode@foxmail.com

5、action = %(action_mw)s

6、查看fail2ban有没有运行 sudo service fail2ban status

7、sudo service fail2ban start/stop(开启/关掉）

8、升级更新ubantu   sudo apt-get update && sudo apt-get upgrade (可选）

9、sudo iptables -F 清空当前iptables的配置规则

搭建node环境生产环境

1、可以先更新一下系统（可选）sudo apt-get update

2、安装相关的模块如果安装失败可以尝试一个一个安装

      sudo apt-get install 

   （1）、vim 一个类似于Vi的著名的功能强大，高度可定制的文本编辑器，

                在Vi的基础上改进和增加了很多特性

   （2）、openssl 计算机网络上的一个开源软件包，可用来进行安全通信，避免窃听，

               确认另一端接受者身份，这个包呗广泛应用在互联网的网页服务包上

   （3）、build-essential  安装了该软件包编译c/c++所需的软件包也都会被安装，

               因此如果想再Ubuntu中编译c/c++程序，只需要安装该软件包就可以了

    （4）、libssl-dev 

    （5）、curl  是一个利用URL语法在命令行下工作的文件传输工具

    （6）、git管理版本 部署项目的时候需要用到

    （7）、wget是一个从网络上自动下载文件的自由工具支持通过HTTP，HTTPS，FTP，

                三个常见的  TCP/IP协议下载，并可以使用HTTP代理，World Wide Web于get的结合

3、 使用wget安装nvm（github里边就有，node版本管理工具）

       wget -qO- https://raw.githubusercontent.com/creationix/nvm/v0.33.11/install.sh|bash

      安装成功后可nvm查看

4、使用nvm安装node (nvm install v10.13.0)  nvm use (版本号） nvm alias default （版本号）

      默认使用那个版本

5、下载源指定到cnpm  npm --registry=https://registry.npm.taobao.org install -g cnpm

6、增加文件监控数目

     echo fs.inotify.max_user_watches=524288 | sudo tee -a /etc/sysctl.conf && sudo sysctl -p

到此node安装完毕

1、下面我们安装一些常用的工具包 cnpm i pm2 webpack gulp grunt-cli -g

2、用户根目录下我们先创建一个文件vi app.js, 创建完之后vi app.js也可以进入编辑

      然后在里边输入,输入完成后按esc退出编辑模式，shift + ：保存然后wq！退出 node app.js测试

     const http = require('http')

      http.createServer(function(req,res){

         res.writeHead(200,{'Content-Type':'text/plain'}})

         res.end('测试')

      }).listen(80)

      console.log('-------')

3、node app.js启动失败可能是我们配置的防火墙有关 sudo vi /etc/iptables.up.rules打开

4、添加端口配置-A INPUT -p tcp --dport 8081 -j ACCEPT 然后重载防火墙配置

5、sudo iptables-restore < /etc/iptables.up.rules

7、如果我们的端口还是失败那么可以在esc里边配置安全组

 使用pm2 让Nodejs服务常驻

       pm2 start app就可以把这个服务跑起来，不仅可以常驻还可以在出现异常时重启

       pm2 stop app 关掉

       pm2 list 查看现在运行的node服务有哪些

       pm2 show app 显示详细信息

       pm2 logs 查看当前实时的日子

       ctr + c 退出

配置Nginx反向代理Nodejs端口

通过nginx可以实现多个应用实现端口代理和负载均衡，自动判断来自那个域名和ip地址的访问，根据配置的规则将这请求原封不动的转发给特定端口或特定机器，在案例中我们将80端口的请求都转发到node启动的8081端口处理

1、预装了appache服务器先

2、关掉 sudo service apache2 stop

3、移除apache  sudo apt-get remove apache2

4、更新ngix  sudo apt-get install nginx

5、cd /etc/nginx/     

6、ls 查看是否存在conf.d文件夹

7、cd conf.d

8、然后新建一个配置文件 …

9、考虑到以后会添加多个项目负载均衡的场景配置如下

      upstream wwygcode(应用的名字） {

         server 127.0.0.1:8081;

       }

       server { 

           listen 80;

          server_name  http://39.96.4.34/;(这个也可以不带这个协议39.96.4.34）

           location / { 

                 proxy_set_header X-Real-IP $remote_addr;

                 proxy_set_header X-Forward-For $proxy_add_x_forwarded_for;

                 proxy_set_header Host $http_host;

                 proxy_set_header X-Nginx-Proxy true;

                 proxy_pass http://wwygcode;// 把域名代理到集群上面或者应用名字上面

                 proxy_redirect off;

            } 

         }   

我的配置文件在wwygcode-com-8081.conf下

10、保存关闭回到上级目录 cd ..

11、进入文件 sudo vi nginx.conf

12、看到include /etc/nginx/conf.d/*.conf;代表会把conf.d下面的配置文件都加载进来

13、退出，然后测试配置文件看看写的对不对 sudo nginx -t(conf.d文件下）

14、sudo nginx -s reload ===> 重启nginx

15、配置完之后我们node app 后访问的就是app.js 输出的内容this is test....，而不是默认的ngix页面了

安装mogodb

1、登录服务器 ssh yg@39.96.4.34

2、https://docs.mongodb.com/manual/tutorial/install-mongodb-on-ubuntu/

3、把1，2，3，4里边的东西复制粘贴到服务器打开的命令行理就行

NOTE

Depending on user permissions, you may need to sudo mkdir -p <directory> instead of mkdir-p <directory>. Use or omit sudo as appropriate. See your linux man pages for information on mkdir and sudo.

Create a directory where the MongoDB instance stores its data. For example:

sudo mkdir -p /data/db

Create a directory where the MongoDB instance stores its log. For example:

sudo mkdir -p /var/log/mongodb

The user that starts the MongoDB process must have read and write permission to the directories.

4、在第四步安装的时候会很慢所以我们可以指定镜像

     cd 进入 /etc/apt/sources.list.d/mongodb-org-4.0.list

     pwd

     sudo vi mongodb-org-4.0.list  然后修改为https://mirrors.aliyun.com/mongodb/apt/ubuntu

     然后cd 回到根路径

      sudo apt-get update

      然后安装mogondb（第四步）

5、开启服务 sudo service mongod start 检查是否开启成功（cat /var/log/mongodb/mongod.log)

      mongo的时候会提示 connect failed，这是因为我们的防火墙配置的原因 

      sudo vi /etc/iptables.up.rules

      进入防火墙

      # mongodb connect

-A INPUT -s 127.0.0.1 -p tcp --destination-port 27017 -m state --state NEW,ESTABLISHED -j ACCEPT  进入流量可以冲27017端口进入到mongodb

-A OUTPUT -d 127.0.0.1 -p tcp --source-port 27017 -m state --state ESTABLISHED -j ACCEPT

然后载入 sudo iptables-restore < /etc/iptables.up.rules 然后在输入mongo就成功了

sudo service mongod stop (终止）sudo service mongod start/restart（开启/重启）

但是呢现在还有个问题就是mongodb默认是泡在27017端口上的我们需要改一下

修改默认端口  sudo vi /etc/mongod.conf 这里我改的是19999

修改之后我们mongo链接就失败了原因我们的防火墙没有更新,然后再链接是27017端口肯定是不行的我们需要指定端口 mongo --port 19999就成功了

为数据库配置读写权限

1、首先为mongodb设置一个超级权限

   （1）mongo --port 19999 进入数据库命令行环境

   （2）use admin 切换到这个数据库

   （3）给用户设置角色

      对整个mongodb的数据库设置一个超级权限，role那部分千万别敲错，这个管理员是

      可以管理所有数据库的

           db.createUser({user:'vue_ssr',pwd:'XXXX',roles:[{role:'userAdminAnyDatabase',db:'admin'}]}

           role：userAdminAnyDatabase（超级权限）readWrite（可读可写）read（读）

          让vue_ssr这个用户对admin数据库有超级权限

   （4）在admin的这个数据库下面对用户登录进行授权 db.auth('vue_ssr','XXXX')  回车为1成功

   （5）切换到admin下面通过超级管理员vue_ssr对其他数据库进行授权（想为一个数据库

            创建管理员首先需要到admin下通过超级管理员的认证授权）

            use admin 

            db.auth('vue_ssr','XXXX') 

            use vue_ssr(切换到其他数据库）

            db.createUser({user:'ygssr',pwd:'yg14w0517w',roles:[{role:'readWrite',db:'vue_ssr'}]})然后

            创建管理员

            db.createUser({user:'ygssrRead',pwd:'y14w05y17w',roles:[{role:'read',db:'vue_ssr'}]})然后

            可以创建一个备份管理员只读

            退出 exit

            这时候mongodb的用户虽然已经创建了但是还不能验证，因为没有把他的验证模式开起来

           下面是开启  

         sudo vi /etc/mongod.conf

         找到#security:把#去掉在下面写上

          authorization: 'enabled'  授权/开启

          sudo service mongod restart   重启monggodb，让配置生效

          mongo --port 19999

           show dbs 这时候就会报错这是因为我们没有权限执行脚本

          怎么做呢 use admin    db.auth('ygssr','yg14w0517w') 返回1  show  dbs列出数据库名称就ok了

          db.vue_ssr.insert({name:'aaa'})就ok了 

          访问具体某个数据库  mongo 127.0.0.1:19999/vue_ssr -u ygssr -p yg14w0517w

          show tables

          db.users.find({})    看看是否检索出来

          db.system.users.find();查看刚刚添加的所有用户