博客 (12)

1. 购买 ECS
   

2. 解析域名、挂载磁盘（若有另购）、修改实例名称、配置安全组、设置快照策略、安装云监控插件并在应用分组添加服务器、云安全中心防勒索安装客户端并配置策略资产

3. 远程连接进入 ECS（若解析未生效可以先用 IP）（若新服默认使用 22 端口，可先在安全组临时放行 22 端口）

4. 修复系统漏洞（阿里云-云安全中心-漏洞管理）

5. 安装宝塔面板（本文以宝塔面板方案为例，选择任何你喜欢的环境部署方案都行）

6. 将磁盘挂载到目录（fdisk、df 命令参考：https://xoyozo.net/Blog/Details/SSH）

7. 临时放行宝塔面板端口，进入宝塔面板（http方式）

8. 配置面板 SSH、添加新的安全端口、面板设置

9. 更改 SSH 默认端口（参：https://xoyozo.net/Blog/Details/change-default-port）
   

10. 安装 nginx、PHP 等

11. 配置 PHP 扩展（Redis、sqlsrv（注意选择兼容的版本））

12. 创建网站，配置网站（路径、伪静态等）

13. 迁移网站文件（参：https://xoyozo.net/Blog/Details/SSH）

14. 仔细对比新旧网站的配置文件（特别是 .php 的访问权限，参：https://xoyozo.net/Blog/Details/nginx-location-if）

15. 设置写入目录（使用 rsync 同步的文件会同步用户和权限）

16. 解析域名（先改 hosts 测试网站功能）

17. 更改内网其它 ECS 上的 hosts

18. 关闭原 ECS（能马上发现问题，不然等运行一段时间才发现问题就麻烦点）
    

19. 设置 FTP
    

20. 迁移“计划任务”

21. 所有网站和软件的配置文件都要使用 WinMerge 进行对比
    

22. 移除“宝塔面板-安全”和“阿里云-ECS-安全组”中不用的端口
    

更多文章：

从零搭建一台阿里云 ECS（Windows Server）并迁移网站

默认端口带来安全隐患，建议更改为 50000-60000 之间的端口号。

Windows 远程桌面（RDP）(3389)

1. 在 Windows 防火墙中放行新端口：在“入站规则”中找到“Open RDP Port 3389”复制并粘贴该规则，修改端口和名称。

   若没有这个规则：新建规则 - 端口 - TCP - 特定本地端口（填写新的端口号）- 允许连接 - 名称

2. 如有其它防火墙或安全组也一并配置（如阿里云 ECS 的安全组）
   

3. 打开注册表（regedit），展开到：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp，右侧双击“PortNumber”切换到“十进制”，将 3389 改为新端口号

4. 重启生效

5. 在防火墙和安全组中禁止原默认端口

SSH (22) 之 CentOS

1. 在外部防火墙中放行新的端口号（如阿里云 ECS 的安全组）

2. 在内部防火墙中放行新的端口号（如 firewalld 或 iptables），使用宝塔面板的直接在面板“安全”页面设置即可

3. 打开 SSH 配置文件

   sudo vi /etc/ssh/sshd_config

4. 找到并编辑以下行

   #Port 22

5. 重新加载使生效

   sudo systemctl reload sshd

6. 在防火墙和安全组中禁止原默认端口

7. 建议使用 SSH 密钥对代替传统账号密码登录

FTP (21) 之 FileZilla Server Windows 版

1. 一般地，在 Windows Defender 防火墙中是以添加应用 filezilla-server.exe 的方式允许的，所以不需要更改端口。如果以端口方式允许的，那么在入站规则中允许新的端口。

2. 如有其它防火墙或安全组也一并配置（如阿里云 ECS 的安全组）

3. 打开 Administer FileZilla Server，打开菜单 - Server - Configure - Server listeners，右侧窗口中将 Port 改为新端口（强烈建议将 Protocol 改为“Require explicit FTP over TLS”，即禁止 FTP 协议，改为使用 FTPS 协议）

4. 从防火墙和安全组移除 21 端口

FTP (21) 之 Pure-Ftpd（宝塔面板）

1. 在防火墙中放行新的端口号（如阿里云 ECS 的安全组）

2. 进入宝塔面板，打开“安全”，添加端口规则 TCP

3. 在宝塔面板中进入软件商店，找到 Pure-Ftpd 并打开，切换到“配置修改”，搜索“Bind”，删除开头的“#”，将端口号 21 改为新端口号，保存（强烈建议将 TLS 项改为 2，即禁止 FTP 协议，仅允许 FTPS 协议）

4. 切换到“服务”选项卡，点击“重启”

5. 从防火墙和安全组移除 21 端口

MySQL (3306) 之阿里云云数据库 RDS MySQL 版

1. 打开控制台 RDS 实例页，左侧菜单点击“白名单与安全组”，切换到“安全组”查看正在使用的安全组ID

2. （若使用了安全组）打开控制台 ECS 首页，左侧菜单点击“安全组”，找到这个安全组，放行新的端口

3. 打开控制台 RDS 实例页，左侧菜单点击“数据库连接”，点击“修改连接地址”，在弹出框中修改端口

4. 从防火墙和安全组移除原端口（确保没有其它实例正在使用此端口）

PolarDB (3306)

1. 打开控制台 PolarDB 集群实例页，左侧菜单点击“集群白名单”，切换到“安全组”查看正在使用的安全组ID

2. （若使用了安全组）打开控制台 ECS 首页，左侧菜单点击“安全组”，找到这个安全组，放行新的端口

3. 打开控制台 PolarDB 集群实例页，左侧菜单点击“基本信息”，点击“主地址”和“集群地址”的“配置”，在“网线信息”中点击“更多”更改端口

4. 从防火墙和安全组移除原端口（确保没有其它实例正在使用此端口）
   

MSSQL (1433) 之阿里云云数据库 RDS SQL Server 版

1. 打开控制台 RDS 实例页，左侧菜单点击“白名单与安全组”，切换到“安全组”查看正在使用的安全组ID

2. （若使用了安全组）打开控制台 ECS 首页，左侧菜单点击“安全组”，找到这个安全组，放行新的端口

3. 打开控制台 RDS 实例页，左侧菜单点击“数据库连接”，点击“修改连接地址”，在弹出框中修改端口

4. 从防火墙和安全组移除原端口（确保没有其它实例正在使用此端口）
   

Redis (6379) 之阿里云云数据库 Redis 版

1. 打开控制台 Redis 实例页，左侧菜单点击“白名单设置”，切换到“安全组”查看正在使用的安全组ID

2. （若使用了安全组）打开控制台 ECS 首页，左侧菜单点击“安全组”，找到这个安全组，放行新的端口

3. 打开控制台 Redis 实例页，在“连接信息”中点击“修改连接地址”，在弹出框中修改端口

4. 从防火墙和安全组移除原端口（确保没有其它实例正在使用此端口）
   

宝塔面板 (8888)

1. 在防火墙中放行新的端口号（如阿里云 ECS 的安全组）

2. 进入宝塔面板，打开面板设置，切换到“安全设置”页，找到“面板端口”，点击“设置”

3. 在防火墙和安全组中禁止原默认端口

IIS 管理服务（Web 部署）(8172)

1. 在 Windows 防火墙中放行新端口：在“入站规则”中找到“Web 管理服务(HTTP 流量入站)”因其为预定义规则且复制也无法修改，所以按其设置新建一个，并指定新的端口。

2. 如有其它防火墙或安全组也一并配置（如阿里云 ECS 的安全组）

3. 打开 IIS 管理器 - 管理服务，右侧停止，左侧修改端口，右侧启动

4. VS 中发布配置修改“服务器(E)”项添加端口

5. 在防火墙和安全组中禁止原默认端口

普通的 nginx http 反向代理 https 时是需要配置证书的，但我们又不可能由源域名的证书，所以要使用 nginx 的 stream 模块。普通的 nginx 反向代理属于第七层代理，而 stream 模块是第四层代理，通过转发的 tcp/ip 协议实现高功能，所以不需要证书。

我们这里以使用宝塔安装的 nginx 为例，其实其他系统也是类似，只要找到编译的 nginx 的源码目录就行了

编译前先将已经安装的 nginx 文件进行备份

通过 ps 命令查看 nginx 文件的路径。以下所有步骤都以自身 nginx 路径为准

# ps -elf | grep nginx
# cd /www/server/nginx/sbin/
# cp nginx nginx.bak

然后查看当前 nginx 编译的参数

/www/server/nginx/sbin/nginx -V

将 ./configure arguents：之后的内容复制到记事本备用（备注：我们这里其实使用的是 Tengine-2.3.1，所以下面的编译参数可能跟普通 nginx 不是很一样）

内容如下：

--user=www --group=www --prefix=/www/server/nginx --add-module=/www/server/nginx/src/ngx_devel_kit --with-openssl=/www/server/nginx/src/openssl --add-module=/www/server/nginx/src/ngx_cache_purge --add-module=/www/server/nginx/src/nginx-sticky-module --add-module=/www/server/nginx/src/lua_nginx_module --with-http_stub_status_module --with-http_ssl_module --with-http_v2_module --with-http_image_filter_module --with-http_gzip_static_module --with-http_gunzip_module --with-ipv6 --with-http_sub_module --with-http_flv_module --with-http_addition_module --with-http_realip_module --with-http_mp4_module --with-ld-opt=-Wl,-E --with-pcre=pcre-8.42 --with-cc-opt=-Wno-error --add-module=/www/server/nginx/src/ngx-pagespeed

进入 src 目录

cd /www/server/nginx/src

我们在上面的内容中加入两个参数

./configure --user=www --group=www --prefix=/www/server/nginx --add-module=/www/server/nginx/src/ngx_devel_kit --with-openssl=/www/server/nginx/src/openssl --add-module=/www/server/nginx/src/ngx_cache_purge --add-module=/www/server/nginx/src/nginx-sticky-module --add-module=/www/server/nginx/src/lua_nginx_module --with-http_stub_status_module --with-http_ssl_module --with-http_v2_module --with-http_image_filter_module --with-http_gzip_static_module --with-http_gunzip_module --with-ipv6 --with-http_sub_module --with-http_flv_module --with-http_addition_module --with-http_realip_module --with-http_mp4_module --with-ld-opt=-Wl,-E --with-pcre=pcre-8.42 --with-cc-opt=-Wno-error --add-module=/www/server/nginx/src/ngx-pagespeed --with-stream --with-stream_ssl_preread_module

并执行它

然后

make && make install

重启 nginx

service nginx restart

nginx -V 看看模块是不是加载了

新建个站点，配置反向代理

卸载

使用 nginx.bak 文件替换掉自编译的 nginx 文件，替换后重启 nginx。

查看错误信息方式：

宝塔面板：网站 - 站点 - 网站日志 - 错误日志

或 /www/server/php/[版本]/var/log

本文记录于 2021 年 9 月。

版本选择原因：

• Alibaba Cloud Linux 完全兼容 CentOS，相比于 CentOS 较短的生命周期，Alibaba Cloud Linux 3 将于 2029 年 4 月 30 日结束生命周期。

• Discuz! X3.4 不支持 PHP 8.0，安装时即报错，打开页面时一片空白。

• MySQL 8.0 和阿里云 RDS 的 MySQL 7.5 不支持 MyISAM，而数据表 pre_common_member_grouppm 和 pre_forum_post 使用联合主键且自动递增字段不是第一主键，使用 InnoDB 引擎创建表时会报“1075 - Incorrect table definition; there can be only one auto column and it must be defined as a key”错误，而擅自更改主键次序会影响业务逻辑。因此，在必须选择阿里云 RDS 的情况下，只能选择 MySQL 5.6。（2023年8月注：查看如何更改为 InnoDB）

• Discuz! X3.5 正式版尚未发布（截止发稿），即便发布，插件也可能不能得到及时更新。相比之下，X3.4 首个版本发布距今已有 4 年，相关第三方插件已经非常成熟。

完整升级步骤：

1. 备份原网站程序、RDS 数据库；

2. 购买新的 ECS、RDS，挂载磁盘，安装云监控；

3. 迁移（或还原）数据库到新的 RDS；
   

4. 安装宝塔面板并配置；

5. 安装 nginx 及 PHP；

6. 创建网站、配置 SSL、伪静态、防盗链、可写目录禁执行等（.conf）；

7. 配置 hosts；

8. 上传原网站程序到新的站点目录下；

9. 按 Discuz! X 升级文档升级 X3.2 至 X3.4；详情见下文 ↓；

10. 配置 OSS、Redis、更新缓存等；

11. 测试论坛基本功能是否正常；检查附件是否正常显示；全面检查控制台配置；

12. 逐个开启插件并检查兼容性；

13. 按二开备忘录逐个按需进行二开；

14. 逐个修改调用论坛接口的项目及直接调用论坛数据库的项目；

15. 调试 MAGAPP 接口；

16. 尝试强制 https 访问；
    

17. 将以上所有修改后的程序保留备份；发布升级公告并关闭论坛；重复以上步骤；修改域名解析；开启论坛；
    

18. 配置 IP 封禁、定时器、日志、自动备份、配置其它 ECS 的 hosts 等；

19. 查看搜索引擎中收录的地址，是否有无法访问的情况；
    

20. 尝试将历史遗留的本地附件全部转移到 OSS；
    

Discuz! X 升级步骤及注意点：

• 升级前务必先修改 ./config/ 目录下的数据库/缓存连接信息，以防出现新站连接老库的情况；

• 按官方文档进行升级；
  

• 【问题】运行到 ./install/update.php?step=data&op=notification 时白屏。

  【排查】尝试切换到 PHP 5.6 后成功（但该版本过于陈旧不能使用）；尝试升级 CPU 和内存 PHP 7.4 上升级仍不成功。

  【原因】DB::result_first() 方法不对 SQL 语句追加“limit 1”，而是 SELECT 所有记录后在 PHP 端取第一条数据；

  【解决】打开文件 update.php，查找 elseif($_GET['op'] == 'notification')，该节点的功能是在表 home_notification 中查找 category <= 0 的数据并修复它，如果数据库中所有 category 都大于 0，直接注释其内部 if 代码段继续升级即可（或改为 if(false && ...)）。

• 【问题】发布主题遇到错误：(1062) Duplicate entry '*' for key 'pid'

  【原因】forum_post 中的 pid 不是自动增长的，而是由表 forum_post_tableid 中自动增长的 pid 生成的。如果生成的 pid 值已在 forum_post 表中存在，则会出现此错误。

  【解决】迁移数据库时应关闭论坛，以防止 forum_post 表有新数据插入。

• 【问题】打开帖子页面 ./thread-***-1-1.html 显示 404 Not Found，而 ./forum.php?mod=viewthread&tid=*** 可以正常打开

  【原因】未配置伪静态（可在宝塔面板中选择）

• 【问题】打开 UCenter 时报错：UCenter info: MySQL Query Error SQL:SELECT value FROM [Table]vars WHERE name='noteexists'

  【解决】打开文件 ./uc_server/data/config.inc.php 配置数据库连接

• 【问题】打开登录 UCenter 后一片空白

  【解决】将目录 ./uc_server/data/ 设为可写

• 需要将原来安装的插件文件移回 ./source/plugin/ 目录，并设置可写；

• 界面-表情管理，界面-编辑器设置-Discuz!代码

后续 Discuz! X3.4 R 小版本升级注意事项：

1. 确认插件是否支持新版本（如短信通）

2. 先创建一个新网站测试二开代码

3. 保留 /config/、/data/、/uc_client/data/、/uc_server/data/、/source/plugin/，其它移入 old

4. 上传文件

5. 移回其它需要的文件，如：

6. -- 勋章/loading/logo/nv 等：/static/image/common/

7. -- 表情：/static/image/smiley/

8. -- 水印：/static/image/common/watermark.*

9. -- 风格：/template/default/style/t2/nv.png 等

10. -- 默认头像：/uc_server/images/noavatar_***.gif

11. -- 根目录 favicon.ico 等
    

12. -- 及其它非 DZ 文件

13. 再次检查可写目录的写入权限和禁止运行 PHP 效果。

执行以下命令关闭面板 SSL 并重启宝塔面板：

rm -f /www/server/panel/data/ssl.pl && /etc/init.d/bt restart

本文环境：CentOS 7、nginx 1.16、ASP.NET Core 3.0

1. 安装 nginx，可以使用宝塔面板。

   创建网站，保证网站静态页面能够正常访问。

   必要时配置 SSL 证书。

2. 安装 ASP.NET Core 运行时：

   安装说明见：https://dotnet.microsoft.com/download，切换到 Linux，选择 Install .NET Core Runtime

   选择操作系统，按页面说明安装即可。

3. 发布一个 ASP.NET Core 项目到网站目录，运行应用程序：

   dotnet 应用的程序集文件名.dll

   必须先 cd 到项目所在目录再执行，否则“Content root path”不会指向网站根目录，从而导致无法访问静态文件。

   

   观察到端口为 5000（默认），该 Url 用于下一步设置反向代理。

4. 配置 nginx 反向代理：（使用宝塔面板时建议使用面板中提供的“反向代理”功能）

   location / {
      proxy_pass http://localhost:5000;
   }

5. 查看官方详细说明：使用 Nginx 在 Linux 上托管 ASP.NET Core

新项目上线，在 Windows XP 中使用 IE 访问网站，http 正常， https 提示“无法显示网页”，这是因为当前电脑不支持网站提供的 SSL 协议。遂简单整理了各 IE 版本在不同操作系统下 SSL/TLS 的支持情况，表格仅供参考，可能会因特殊情况而有所不同：

几个注意点：

• 宝塔面板（5.9.0）不支持 SSL 3.0 和 TLS 1.0，官方说已经恢复了 TLS 1.0 的支持，但我在 ssl_protocols 中添加 TLSv1 仍然不生效。后参考此文配置成功（同时更改 ssl_protocols 和 ssl_ciphers 项）

• 详细的支持请前往 MySSL.com 检测，“客户端握手模拟”小节中查看各操作系统和浏览器版本的测试结果

在 IIS 中编辑网站绑定时，提示“至少一个其他网站正在使用同一 HTTPS 绑定，而此绑定用另一个证书配置。确实要重用此 HTTPS 绑定并将其他网站重新指定为使用新证书吗?”，那么所有网站都必须使用同一个域名证书吗？

否。只要在绑定 https 域名的时候勾选“需要服务器名称指示”就行了。

使用证书链检测工具检测结果证书链（Certificate chain）不完整怎么办？

这个问题我在两台相同版本 CentOS 和相同版本宝塔面板的 Linux 服务器上遇到过，一台证书链完整，一台证书链不完整。

使用宝塔自带的 SSL 证书导入的方式可能出现这种情况（个例），关闭之，并手动配置 nginx 的 conf 文件；而再有一台，手动配置不生效，宝塔自带 SSL 成功，因此请自行尝试。

我也在两台相同版本的 Windows Server 2012 R2 上（IIS 8.5）遇到过，一台证书链完整，一台证书链不完整。

解决思路：在命令提示符中键入 mmc，打开：文件 - 添加/添加管理单元，选择“证书”添加，选择“计算机帐户”，确定。展开“证书”

在“个人 - 证书”中可以看到我们导入的域名证书，查看它的颁发者，确保在“中间证书颁发机构 - 证书”（或“受信任的根证书颁发机构”）中能够找到，找到后继续找该证书的颁发者，一直找到根证书。一般会有多个中间证书，形成一个完整的证书链，如果证书有缺失，那么尝试重新导入域名证书，或向供应商索要中间证书。

有任何改动后，在命令提示符中执行 iisreset 来重启 IIS（IIS 管理器中的“重新启动”可能重启得不彻底），并且找到网站 - 绑定 - 删除 https 类型的绑定并重新添加，以使证书生效。

检测证书链完整后，继续摸索过程中发现，删除某中间证书，然后在 IIS 中重新绑定，会自动生成中间证书，难道是域名证书中已经包含了中间证书和根证书等完整的证书链，还是 Windows 会自动下载安装这些证书呢？

在开发支付宝支付/微信支付时回调 Url 无法接收数据。

可能是证书链不完整，建议用工具检测：GeoCerts™ SSL Checker，并用上述方法补全。

>> 遇到新问题将不断补充本文 <<

网站的“防跨站攻击”默认是开启的，对应网站根目录下存在 .user.ini 文件，可阻止该网站程序读写网站目录外的文件或目录。

通过 FTP 上传或通过 PHP 创建的文件（夹）的用户（组）都是 www:www，目录权限 755，文件权限 644

PHP 不需要“执行”权限，因为这个“执行”权限是针对 sh 的

因此 PHP 在该站任何位置具有写入权限

理想的权限控制是：pure-ftp 使用另外的用户（组），譬如 ftp:ftp

这样使用 www:www 的 PHP 就无法随意创建文件，只能在开放了“公共权限”中的“写入”权限的目录中创建。

查看系统用户组：cat /etc/group

查看系统用户：cut -d : -f 1 /etc/passwd

查看 pure-ftp 帮助：

/www/server/pure-ftpd/bin/pure-pw --help

修改 FTP 用户的所有者和组：

/www/server/pure-ftpd/bin/pure-pw usermod FTP用户名 -u 所有者 -g 组

重启 pure-ftp

上述命令经简单测试并没有更改 FTP 用户的所有者和组……

退而求其次的做法是通过 SSH 用 root 来上传网站程序代码，并开放上传目录的“写入”权限

还有重要的一点，在网站的配置文件中禁止这些有“写入”权限的目录中的 PHP 运行权限！（参：在 CentOS (Linux) 中设置目录写入权限，并禁止执行 php）