10 Best Cloud, VPS and Shared Hosting Platform for China Market

1. AWS
   https://www.amazonaws.cn/
   
2. Sino
   http://www.sinohosting.net/
3. Alibaba
   https://www.alibabacloud.com/zh/pricing
   
4. 新一代数据中心
   https://www.gzidc.com/
5. 西部数码
   https://www.west.cn/
6. HaBangNet
   http://www.habangnet.com/
7. 金山云
   http://www.ksyun.com/
8. 腾讯云 (Tencent Cloud)
   https://cloud.tencent.com/?lang=zh
9. 百度云
   https://cloud.baidu.com/
10. 全民云
    https://www.ucloud.cn/

阿里云的 4.5美比 digitalocean 的 5.0 美元還便宜，阿里云給的 SSD 空間(25GB)比 digitalocean 還大.

阿里云定價：
https://www.alibabacloud.com/zh/pricing

Note: This guide is for Mac OS X and Linux users. If you are using Windows on your home computer, follow this guide instead.

Step One—Create the RSA Key Pair

ssh-keygen -t rsa

Step Two—Store the Keys and Passphrase

Once you have entered the Gen Key command, you will get a few more questions:

Enter file in which to save the key (/demo/.ssh/id_rsa):

You can press enter here, saving the file to the user home (in this case, my example user is called demo).

Enter passphrase (empty for no passphrase):

It’s up to you whether you want to use a passphrase The entire key generation process looks like this:

ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/demo/.ssh/id_rsa): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /demo/.ssh/id_rsa.
Your public key has been saved in /demo/.ssh/id_rsa.pub.
The key fingerprint is:
4a:dd:0a:c6:35:4e:3f:ed:27:38:8c:74:44:4d:93:67 demo@a
The key's randomart image is:
+--[ RSA 2048]----+
|          .oo.   |
|         .  o.E  |
|        + .  o   |
|     . = = .     |
|      = S = .    |
|     o + = +     |
|      . o + o .  |
|           . o   |
|                 |
+-----------------+

The public key is now located in /demo/.ssh/id_rsa.pub The private key (identification) is now located in /demo/.ssh/id_rsa

Step Three—Copy the SSH Keys

透過  cat ~/.ssh/id_rsa.pub 就可以拿到公開的 key

再把內容都加入(append)到要被 ssh 連進去的 server 的 ~/.ssh/authorized_keys 檔案裡，就可以讓其他台電腦不用打密碼連進 ssh server 了。

相關文章：

保衛 OpenSSH

中文版：https://wiki.centos.org/zh-tw/HowTos/Network/SecuringSSH

英文版：https://wiki.centos.org/HowTos/Network/SecuringSSH

OpenSSH（或者 Secure Shell）以經成為一個取代 telnet 協議作遠端存取用的現有標準。SSH 已經令 telnet 等協議多餘的，當中絕大部份原因是由於連線被加密，以及不再以純文字公開地傳送密碼。

然而，預設的 ssh 安裝並非完美。當你營運一個 ssh 伺服器時，有數個簡單的步驟可以明顯地加固你的安裝。

1. 採用難猜測的密碼／用戶名稱

如果你所營運的 ssh 是對外的，你首先會發現的事情，很可能就是駭客嘗試猜/測用戶名稱／密碼的記錄。駭客一般會掃描連接埠 22（ssh 預設聆聽的連接埠）來找尋執行 ssh 的機器，然後嘗試強行攻擊它。借著使用難猜測的密碼，我們希望任何攻擊在成功前會被記錄底及被留意到。

盼望你已經採用了難猜測的密碼。要不然，請嘗試選擁有以下特徵的密碼：

• 最少有 8 個字元
• 同時有大寫和小寫字母
• 同時有字母和數目字
• 有非英數的字元（例如 ! ” £ $ % ^ 等特別字元）

使用難測密碼的好處並不止於 ssh，它更會影響到系統安全的各個範疇。有關密碼的更多資訊可以在 CentOS 的文檔內找到：

http://www.centos.org/docs/4/html/rhel-sg-en-4/s1-wstation-pass.html

如果你完全沒法阻止你的用戶選用易猜測的密碼，請考慮以隨機產生或難猜測的字串作為用戶名稱。如果壞人不能猜測用戶名稱，他們便不能強加猜測密碼。然而，這只是隱晦資訊來換取安全，所以要留心用戶名稱透過用戶發送的電郵等途徑而被洩漏。

2. 停用 root 登入

SSH 伺服器的設定都儲存在 /etc/ssh/sshd_confg 這個檔案。要停用 root 登入，請確定你有以下一行：

# 阻止 root 登入：
PermitRootLogin no

然後請重新啟動 sshd 服務：

service sshd restart

你果你需要 root 的權限，請登入為一般用戶，然後使用 su 這個指令。

3. 限制用戶登入

SSH 登入可以局限給某些需要遠端存取的用戶。如果你的系統有很多用戶，一個合理的做法就是局限遠端存取給那真正有需要的用戶，藉以減低其他用戶採用易測密碼的影響。在 /etc/ssh/sshd_config 內加入 AllowUsers 一行，以空格隔開用戶名稱。例如：

AllowUsers alice bob

接著請重新啟動 sshd 服務。

4. 停用第 1 類協議

SSH 可以採用兩款協議：第 1 類及第 2 類協議。較舊的第 1 類協議的安全性較低，因此它應該被停用，除非你知道你必須要使用它。請在 /etc/ssh/sshd_config 檔內找尋以下一行，解除註釋，並作出如下修改：

# Protocol 2,1
Protocol 2

然後請重新啟動 sshd 服務。

5. 採用非標準的連接埠

根據預設值，ssh 在連接埠 22 聆聽進入的連線。一個駭客如果要斷定 ssh 是否在你的機器上運行，他最大可能就是掃描連接埠 22。一個有效混淆他的方法就是在非標準的連接埠上運行 ssh。任何未被使用的連接埠都可行，但首選的是 1024 以上的。很多人選用 2222 作為替代的連接埠（它很易記），正如 8080 經常被用作 HTTP 的替代連接埠。正正由於這個原因令它不是個好的選擇，因為任何掃描連接埠 22 的駭客亦不會放過連接埠 2222。隨機地選用一個未被使用的高位連接埠會比較合宜。要進行改動，請在你的 /etc/ssh/sshd_config 檔內加入以下一行：

# 在非標準的連接埠上執行 ssh：
Port 2345  #修改我

然後重新啟動 sshd 服務。請勿忘記在你的路由器及相關的防火牆規則裡作出任何必要的改動。譬如在 CentOS 7 你需要更改 firewalld：

$ firewall-cmd --add-port 2345/tcp
$ firewall-cmd --add-port 2345/tcp --permanent

又或者在 CentOS 6：

$ iptables -I INPUT -p tcp --dport 2345 -j ACCEPT

在 CentOS 6 及以上版本，你亦需要更新 selinux，並正確地標籤所選用的連接埠，否則 sshd 便無法存取它。舉個例說：

$ semanage port -a -t ssh_port_t -p tcp 2345 #請更改這處

因為 ssh 不再在標準的連接埠上聆聽連線，你須要告訴客戶端要連線到哪個連接埠。在指令行上執行 ssh 客戶端時，你可以用 -p 選項來指定連接埠：

$ ssh -p 2345 myserver

又或者如果你使用 konqueror 的 fish 協議，你可用：

fish://myserver:2345/remote/dir

如果你覺得每次連線時都要指定連接埠似乎很痛苦，你只需在你個人的 ~/.ssh/config 檔案裡加入一個指定連接埠的記錄：

 # 客戶端 ~/.ssh/config
Host myserver
HostName 72.232.194.162
        User bob
        Port 2345

~/.ssh/config 必須有以下存取權：

$ chmod 600 ~/.ssh/config

6. 在防火牆過濾 SSH

linux 裡有很多防火牆可以用，像是 iptables , ufw 或 firewall-cmd. 直接使用：

sudo ufw allow 22

上面的指令可以直接開啟某一個 port number.

如果你只須由一個 IP 位址進行遠端存取（例如由辦工室進入家中的伺服器），請考慮在你的路由器或 iptables 內加入一條防火牆的規則，將連接埠 22 的存取權限制到特定的 IP 位址，藉此對連線進行過濾。舉個例說，在 iptables 內你可以用這類型的規則達至這個目的：

iptables -A INPUT -p tcp -s 72.232.194.162 --dport 22 -j ACCEPT

SSH 亦對 TCP 包裝函式有內置支援，因此 ssh 服務的存取權亦可同時用 host.allow 及 hosts.deny 來進行管制。

如果你無法限制來源地的 IP 位址，而必須公開 ssh 連接埠，那麼 iptables 依然可以透過記錄及攔截來自同一 IP 位址的重覆登入嘗試，幫助你阻止強行的攻擊。例如：

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name ssh --rsource
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent ! --rcheck --seconds 60 --hitcount 4 --name ssh --rsource -j ACCEPT

第一條規則利用 recent 模塊來記錄每個存取連接埠 22 的新嘗試。第二條規則檢查這個 IP 位址在過去 60 秒內有否嘗試 4 次或以上的連線，若然沒有更接納封包。注意這個規則須要輸入鏈採用 DROP 的預設政策。

如果你在非標準的連接埠上執行 ssh，請不要忘記對連接埠作出相應修改。情況許可的話，利用防火牆進行過濾是一個非常有效的方法來保衛 ssh 伺服器。

採用 FirewallD 服務的系統，可執行下列 firewall-cmd：

firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT_direct 0 -p tcp --dport 22 -m state --state NEW -m recent --set
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT_direct 1 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 30 --hitcount 4 -j REJECT --reject-with tcp-reset
firewall-cmd --reload

7. 採用公鑰／私鑰來驗證

採用加密金鑰來驗證提供兩大好處。首先，如果你應用公鑰／私鑰，是方便，因為你不用再輸入密碼（除非你用密碼來保護你的金鑰）。第二，當伺服器能進行金鑰對的驗證，你便可以完全停用密碼驗證，意即存取時靠賴授權的金鑰 —— 因此不再有猜測密碼的嘗試。

建立及在你的 ssh 伺服器上安裝金鑰對是個相對地簡單的過程。

首先，在你會用來連線到伺服器的客戶端上建立一對金鑰（你須要在每台用來連線的機器上這樣做）：

$ ssh-keygen -t rsa

這樣做會在你的（隱藏了的）~/.ssh 目錄內建立兩個檔案，名叫：id_rsa 及 id_rsa.pub。第一個檔案：id_rsa 是你的私鑰，而另一個：id_rsa.pub 是你的公鑰。

如果你不想每次連線時都被問及密碼（它是用來解開特定的公鑰），在建立金鑰對的時候，你只須按 enter 作為密碼。建立金鑰對時，是否以密碼加密純粹是你的決定。如何你不將金鑰加密，任何人奪得你的本地機器後，便自動擁有遠端伺服器的 ssh 存取權。此外，本地機器上的 root 能夠存取你的金鑰：但假若你不能信任 root（或者 root 已被攻佔），你已經大禍臨頭。將金鑰加密捨棄了不用密碼的 ssh 伺服器，來換取額外的安全，得來的就是輸入密碼來使用這條金鑰。你可利用 ssh_agent 這個程式進一步簡化這個程序。

現在為你的私鑰設定權限：

$ chmod 700 ~/.ssh
$ chmod 600 ~/.ssh/id_rsa

請將公鑰（id_rsa.pub）複製到伺服器上，然後安裝它在 authorized_keys 清單內：

$ cat id_rsa.pub >> ~/.ssh/authorized_keys

註：一旦你匯入了公鑰，你可以在伺服器上刪除它。

最後，設定伺服器上的檔案權限：

$ chmod 700 ~/.ssh
$ chmod 600 ~/.ssh/authorized_keys

如果 /etc/ssh/sshd_config 內的 StrictModes 被啟用（預設值），以上的權限是必須的。

請確保你已設置正確的 SELinux 脈絡：

$ restorecon -Rv ~/.ssh

現在當你登入伺服器的時候，你便不用再輸入密碼（除非你在建立金鑰對的時候輸入了一個密碼）。ssh 預設是會先利用金鑰進行驗證。如何它找不到金鑰，或驗證失敗，ssh 會回落到平常的密碼驗證。

一旦你檢查過可以用金鑰對來登入伺服器，你可以在你的 /etc/ssh/sshd_conf 檔內加入以下設定來停用密碼驗證：

# 停用密碼驗證，強制使用金鑰
PasswordAuthentication no

8. 常見問題（FAQ）

問：CentOS 採用 X 版的 OpenSSH，而最新版本是 Y 版。X 版藏有一個嚴重的安全性漏洞，我應否升級？

答：不應該。上游供應者有一個政策，會將最新版本的安全性修正反向移植到現有的發行版本內。只要你擁有最新的更新，你的 CentOS 發行版本已經得到全面修正。有關反向移植安全性修正的詳情，請參閱這裡：

http://www.redhat.com/advice/speaks_backport.html

問：我如何令 ssh 容讓以 NFS 共享用戶主目錄的機器採用無密碼的驗證？

答：SELinux 預設攔阻 root 存取以 NFS 共享、非公用的目錄及檔案，因此 ssh 無法讀取 ~/.ssh 內的用戶金鑰檔。若要批準存取權，請用以下指令更改 use_nfs_home_dirs 的設定值：

setsebool -P use_nfs_home_dirs 1

https://www.centos.org/forums/viewtopic.php?t=49194

9. 連結

http://www.centos.org/docs/5/html/Deployment_Guide-en-US/ch-openssh.html

http://www.dragonresearchgroup.org/insight/sshpwauth-tac.html

mysql Error: 'latin-1' codec can't encode character u

變成：

Error: (1366, "Incorrect string value:

先下指令看看 database schema:

SHOW VARIABLES WHERE Variable_name LIKE 'character\_set\_%' OR Variable_name LIKE 'collation%';

或指令：

show variables like 'char%';

原來 database 被設成 latin1, 所以會出錯，要解法如下：

Use the ALTER DATABASE and ALTER TABLE commands.

ALTER DATABASE databasename CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
ALTER TABLE tablename CONVERT TO CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;

Or if you’re still on MySQL 5.5.2 or older which didn’t support 4-byte UTF-8, use utf8 instead of utf8mb4:

ALTER DATABASE databasename CHARACTER SET utf8 COLLATE utf8_unicode_ci;
ALTER TABLE tablename CONVERT TO CHARACTER SET utf8 COLLATE utf8_unicode_ci;

原來，先下這2個指令，才能修改 connection charset, 之後建立的  database & table, charset 才會是對的。

mysql>

SET NAMES 'utf8';
SET CHARACTER SET utf8;

I would not suggest Richies answer, because you are screwing up the data inside the database. You would not fix your problem but try to “hide” it and not being able to perform essential database operations with the crapped data.

If you encounter this error either the data you are sending is not UTF-8 encoded, or your connection is not UTF-8. First, verify, that the data source (a file, …) really is UTF-8.

Then, check your database connection, you should do this after connecting:

SET NAMES 'utf8';
SET CHARACTER SET utf8;

Next, verify that the tables where the data is stored have the utf8 character set:

SELECT
  `tables`.`TABLE_NAME`,
  `collations`.`character_set_name`
FROM
  `information_schema`.`TABLES` AS `tables`,
  `information_schema`.`COLLATION_CHARACTER_SET_APPLICABILITY` AS `collations`
WHERE
  `tables`.`table_schema` = DATABASE()
  AND `collations`.`collation_name` = `tables`.`table_collation`
;

Last, check your database settings:

mysql> show variables like '%colla%';
mysql> show variables like '%charac%';

If source, transport and destination are UTF-8, your problem is gone;)

change database collation:

ALTER DATABASE <database_name> CHARACTER SET utf8 COLLATE utf8_unicode_ci;

change table collation:

ALTER TABLE <table_name> CONVERT TO CHARACTER SET utf8 COLLATE utf8_unicode_ci;

change column collation:

ALTER TABLE <table_name> MODIFY <column_name> VARCHAR(255) CHARACTER SET utf8 COLLATE utf8_unicode_ci;

More info:

• What are the diffrences between utf8_general_ci and utf8_unicode_ci?
• What’s the difference between utf8_general_ci and utf8_unicode_ci
• How to change collation of database, table, column?

自動修改所有table的 python script:

If you have this problem here’s a python script to change all the columns of your mysql database automatically.

#! /usr/bin/env python
import MySQLdb

host = "localhost"
passwd = "passwd"
user = "youruser"
dbname = "yourdbname"

db = MySQLdb.connect(host=host, user=user, passwd=passwd, db=dbname)
cursor = db.cursor()

cursor.execute("ALTER DATABASE `%s` CHARACTER SET 'utf8' COLLATE 'utf8_unicode_ci'" % dbname)

sql = "SELECT DISTINCT(table_name) FROM information_schema.columns WHERE table_schema = '%s'" % dbname
cursor.execute(sql)

results = cursor.fetchall()
for row in results:
  sql = "ALTER TABLE `%s` convert to character set DEFAULT COLLATE DEFAULT" % (row[0])
  cursor.execute(sql)
db.close()

相關文章：

How to fix “Incorrect string value” errors?
http://stackoverflow.com/questions/1168036/how-to-fix-incorrect-string-value-errors

How to change the default collation of a database?
http://stackoverflow.com/questions/5906585/how-to-change-the-default-collation-of-a-database

下面這段 code：

import sys; 
print(sys.getdefaultencoding())
print(sys.stdout.encoding)

在 Mac OS 上執行結果：

ascii
UTF-8

在 Linux 上執行結果：

ascii
ANSI_X3.4-1968

在 Linux 上執行截圖：

我的完整  source code:

#!/usr/bin/env python
#encoding=utf-8

import sys; 
print(sys.getdefaultencoding())
print(sys.stdout.encoding)

import json

data='{"title": "Max Yao\u7684Dropboxlike"}'
json_obj = None
try :
    json_obj = json.loads(data)
    print json_obj['title']
except Exception as err:
    print "err", err
    json_obj = None

應急解法：

in the “/etc/environment” file，add line:

PYTHONIOENCODING=utf8

但這段加了，其實沒什麼作用，主要的解法，還是在字串都要記得加  u“xxxx”, 全部改用 unicode, 避免混合使用 str 和  unicode.

下一個 Error:

mysql Error: ‘latin-1’ codec can’t encode character u

解法：
http://stackoverflow.com/questions/3942888/unicodeencodeerror-latin-1-codec-cant-encode-character

I ran into this same issue when using the Python MySQLdb module. Since MySQL will let you store just about any binary data you want in a text field regardless of character set, I found my solution here:

Using UTF8 with Python MySQLdb

Edit: Quote from the above URL to satisfy the request in the first comment…

“UnicodeEncodeError:’latin-1′ codec can’t encode character …”

This is because MySQLdb normally tries to encode everythin to latin-1. This can be fixed by executing the following commands right after you’ve etablished the connection:
db.set_character_set(‘utf8’)
dbc.execute(‘SET NAMES utf8;’)
dbc.execute(‘SET CHARACTER SET utf8;’)
dbc.execute(‘SET character_set_connection=utf8;’)
“db” is the result of MySQLdb.connect(), and “dbc” is the result of db.cursor().

相關文章：

Why should we NOT use sys.setdefaultencoding(“utf-8”) in a py script?
http://stackoverflow.com/questions/3828723/why-should-we-not-use-sys-setdefaultencodingutf-8-in-a-py-script

有關 Python 2 和 Sublime Text 中文 Unicode 編碼問題的分析與理解
https://read01.com/jjkMx.html

有关 Python 2 和 Sublime Text 中文 Unicode 编码问题的分析与理解
http://blog.csdn.net/saghir/article/details/50396660

解法：

This is not ideal and it would be far better to have a clean workflow instead of doing this. But for curiosity, this could be informative to people that would wonder if it’s possible.

Yes it is, using a combination of error_page, rewrite, map, proxy_intercept_errors and proxy_redirect directives and $upstream_http var pattern.

Keep in mind that it’s going far off the path nginx is designed to be driven on.

map $upstream_http_location $redirect_uri {
    "~http://[^/]+/(?<location_uri>.*)$" "$location_uri";
}

upstream origin {
    server origin1.com;
}

server {

    listen 80;
    server_name nginx-front.com;

    proxy_set_header Host "origin1.com";
    proxy_redirect http://origin1.com/ /;

    location ~ ^/hls/(\w+)\.mp4\.m3u8$ {
        proxy_pass http://origin/m3ugen/segsrc/$1.mp4;
        proxy_intercept_errors on;
        error_page 301 302 = @handler;    
    }

    location @handler {
        rewrite ^ /$redirect_uri break;
        proxy_pass http://origin;
    }

}

location /some/uri/ {
    error_page 302 = @fallback;
    proxy_intercept_errors on;
    proxy_pass ...;
}
location @fallback {
    rewrite ^ /some/other/uri last;
}

I succeeded in solving a more generic case when a redirect location can be any external URL.

server {
    ...

    location / {
        proxy_pass http://backend;
        # You may need to uncomment the following line if your redirects are relative, e.g. /foo/bar
        #proxy_redirect / /;
        proxy_intercept_errors on;
        error_page 301 302 307 = @handle_redirects;
    }

    location @handle_redirects {
        set $saved_redirect_location '$upstream_http_location';
        proxy_pass $saved_redirect_location;
    }
}

Alternative approach, which is closer to what you describe, is covered in ServerFault answer to this question: http://serverfault.com/questions/641070/nginx-302-redirect-resolve-internally

修改 sample:
https://gist.github.com/sirsquidness/710bc76d7bbc734c7a3ff69c6b8ff591

資料來源：
http://serverfault.com/questions/641070/nginx-302-redirect-resolve-internally

首先要在 wordpress 裡安裝 Polylang 外掛(Plugins)：
https://wordpress.org/plugins/polylang/

裝好外掛後，要先新增語言(Langages)。

由於 zh_TW, zh_CN 預設用的代碼都是 zh, 不能2個都用zh, 所以我改用 tw 和 cn, 理論上用 chs / cht 也不錯。

翻譯一些字串：

翻譯文章：

編輯文章的介面，會多一個 Languages 區塊：

最後一個步驟，把語言切換按鈕放進畫面裡，理論上這一步可以省略，可以改用自行輸入的文字區塊的 widgets 加到想要區塊，裡面固定連到某一個語言的首頁。

資料來源：

http://www.wpbeginner.com/beginners-guide/how-to-easily-create-a-multilingual-wordpress-site/

    <Directory /var/www/html/>

        Options -Indexes

        AllowOverride All

    </Directory>

修改之後的畫面：

解法1: 放到 /etc/rcS.d/ 目錄下

這個解法，部份的linux系統無法使用.

先寫一個 .sh 的 shell command, ex: maxserver.sh 放到 /etc/init.d/maxserver.sh

檔案內容如下：

#!/bin/sh
/root/myserver-folder/start.py &>/dev/null &

說明：&>/dev/null & 讓指令丟到背景跑

再讓 /etc/rcS.d/S90myserver.sh 連到 /etc/init.d/myserver.sh

ln -s /etc/init.d/myserver.sh /etc/rcS.d/S90myserver.sh

說明： ln 第1個檔案是隨意找地方放，第2個是放到  /etc/rcS.D/ 目錄裡， S90 是指這個 service 是 啟用中的Serivce 執行的順序是 90 號。

列出所以的serivce

How do you get a list of all starting services?

service --status-all

然後使用指令 service myserver.sh 就可以看到我們的服務了。

解法2: Create a systemd Service

指令:

sudo nano /etc/systemd/system/S15dropboxlike.service

上面的檔案內容:

• Unit: It stores the metadata and other information you want to store related to the script.
• Service: Tells the system to execute the desired service, which will run on startup.
• Install: Allows the service to run the WantedBy directory at the startup to handle the dependencies.

啟用服務的指令:

chmod 644 /etc/systemd/system/S15dropboxlike.service
systemctl enable S15dropboxlike.service

檢查你的服務狀態:

service S15dropboxlike status

如果你有修改 .service changed on disk. Run ‘systemctl daemon-reload‘ to reload units. 當然也可以用 reboot 指令.

下面解法3同解法2.

解法3:

在 CentOS 可以直接修改 /etc/rc.d/rc.local

以前在 Redhat 及 CentOS 要設定開機自動執行的 Shell Script, 一般都會在檔案 /etc/rc.d/rc.local 加入需要執行的 Shell Script 或指令, 但在 CentOS 7 開始, /etc/rc.d/rc.local 預設權限改為 644, 即沒有執行權限, 為甚麼會這樣, 可以開啟 CentOS 7 的 /etc/rc.d/rc.local 看看, 裡面有 Redhat 的說明:

#!/bin/bash
# THIS FILE IS ADDED FOR COMPATIBILITY PURPOSES
#
# It is highly advisable to create own systemd services or udev rules
# to run scripts during boot instead of using this file.
#
# In constrast to previous versions due to parallel execution during boot
# this script will NOT be run after all other services.
#
# Please note that you must run 'chmod +x /etc/rc.d/rc.local' to ensure
# that this script will be executed during boot.

可以看到這個檔案在 RHEL 及 CentOS 7 只為了解決兼容性, Redhat 建議還是自行建立 systemd 服務或者 udev rules 較好, 如果真的需要使用 rc.local, 只要執行 chmod 給予 rc.local 可執行權限即可:

# chmod +x /etc/rc.d/rc.local

執行以上指令後, 下次開機便會自動執行 rc.local 內的指令或 Shell Script.

在 CentOS ，或是 Ubuntu 18之後的系統，請使用指令

systemctl enable your-service-name

會自動產生一個 your-service-name.service 檔案在路徑：/run/systemd/generator.late/ 目錄下。預設不是 run as root ，會造成重開機之後，不是root 權限，無法使用部份系統資源。

預設的 .service 設定值：

[Unit]
Documentation=man:systemd-sysv-generator(8)
SourcePath=/etc/init.d/myserver.sh

[Service]
Type=forking
Restart=no
TimeoutSec=5min
IgnoreSIGPIPE=no
KillMode=process
GuessMainPID=no
RemainAfterExit=yes
ExecStart=/etc/init.d/myserver.sh start
ExecStop=/etc/init.d/myserver.sh stop

請修改檔案的內容, 並移動到 /etc/systemd/system/ 下如：

I have created a service file at /etc/systemd/system/ as follows:

[Unit]
Description=MaxServer
After=ssh.service network.target
SourcePath=/etc/init.d/myserver.sh

[Service]
User=root
Group=root
Type=forking
Restart=no
TimeoutSec=30
IgnoreSIGPIPE=no
KillMode=process
GuessMainPID=no
RemainAfterExit=yes
ExecStart=/etc/init.d/myserver.sh start

[Install]
WantedBy=multi-user.target

接著再使用 systemctl enable myserver 就可以 enable service.

如果你的 service 需要在 mysql 之後才啟用，請使用這一行：

After=mysql.service

在修改好並移檔案路徑之後，請再下一次指令：

systemctl enable your-service-name

就可以知道，自己的服務有沒有啟用成功，並使用reboot 指令測試是否真的在重啟系統之後，有正確地被自動啟動。

相關文章

Centos 7 Script to install as Linux Service
https://stackoverflow.max-everyday.com/2017/09/centos-7-script-to-install-as-linux-service/

用下面指令查看 apache log:

tail -n 15 /var/log/apache2/error.log

[Tue Feb 07 00:00:35.176718 2017] [mpm_prefork:notice] [pid 1393] AH00171: Graceful restart requested, doing restart
AH00112: Warning: DocumentRoot [/var/lib/letsencrypt/tls_sni_01_page/] does not exist
AH00112: Warning: DocumentRoot [/var/lib/letsencrypt/tls_sni_01_page/] does not exist
AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1. Set the 'ServerName' directive globally to suppress this message
(98)Address already in use: AH00072: make_sock: could not bind to address [::]:443
(98)Address already in use: AH00072: make_sock: could not bind to address 0.0.0.0:443
[Tue Feb 07 00:00:35.374235 2017] [mpm_prefork:alert] [pid 1393] no listening sockets available, shutting down
[Tue Feb 07 00:00:35.374243 2017] [:emerg] [pid 1393] AH00019: Unable to open logs, exiting
[Tue Feb 07 00:00:43.772645 2017] [core:warn] [pid 7398] AH00098: pid file /var/run/apache2/apache2.pid overwritten -- Unclean shutdown of previous Apache run?
[Tue Feb 07 00:00:43.774845 2017] [mpm_prefork:notice] [pid 7398] AH00163: Apache/2.4.18 (Ubuntu) OpenSSL/1.0.2g configured -- resuming normal operations
[Tue Feb 07 00:00:43.774879 2017] [core:notice] [pid 7398] AH00094: Command line: '/usr/sbin/apache2'
[Tue Feb 07 00:05:35.586000 2017] [mpm_prefork:notice] [pid 7398] AH00169: caught SIGTERM, shutting down

查看 /etc/logrotate.d/apache2

先修改上面的 /etc/init.d/apache2 reload 為 /etc/init.d/apache2 restart 之後，明天的 00:00 時候再試看看 apache 會不會又crash.

結果隔了一天，還是又掛了，新的 Error Log 還是長一樣：

[Wed Feb 08 00:00:33.919348 2017] [mpm_prefork:notice] [pid 12057] AH00171: Graceful restart requested, doing restart
AH00112: Warning: DocumentRoot [/var/lib/letsencrypt/tls_sni_01_page/] does not exist
AH00112: Warning: DocumentRoot [/var/lib/letsencrypt/tls_sni_01_page/] does not exist
AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1. Set the 'ServerName' directive globally to suppress this message
(98)Address already in use: AH00072: make_sock: could not bind to address [::]:443
(98)Address already in use: AH00072: make_sock: could not bind to address 0.0.0.0:443
[Wed Feb 08 00:00:34.029522 2017] [mpm_prefork:alert] [pid 12057] no listening sockets available, shutting down
[Wed Feb 08 00:00:34.029536 2017] [:emerg] [pid 12057] AH00019: Unable to open logs, exiting
[Wed Feb 08 00:00:42.448650 2017] [core:warn] [pid 16845] AH00098: pid file /var/run/apache2/apache2.pid overwritten -- Unclean shutdown of previous Apache run?
[Wed Feb 08 00:00:42.450795 2017] [mpm_prefork:notice] [pid 16845] AH00163: Apache/2.4.18 (Ubuntu) OpenSSL/1.0.2g configured -- resuming normal operations
[Wed Feb 08 00:00:42.450817 2017] [core:notice] [pid 16845] AH00094: Command line: '/usr/sbin/apache2'
[Wed Feb 08 00:00:52.544625 2017] [mpm_prefork:notice] [pid 16845] AH00169: caught SIGTERM, shutting down

在 /var 目錄下指令：

grep -r 'tls_sni_01_page' *

發現是 letsencrypt renew 的排程讓 apache2 掛掉。

重新研究一下 certbot 的指令：
https://certbot.eff.org/docs/using.html#manual

發現使用 standalone 會啟動一個暫時的 web server  來取得憑證。

https://certbot.eff.org/docs/using.html#standalone

standalone:
  Spin up a temporary webserver

certonly 參數如下：

certonly:
  Options for modifying how a cert is obtained

  --tls-sni-01-port TLS_SNI_01_PORT
                        Port used during tls-sni-01 challenge. This only
                        affects the port Certbot listens on. A conforming ACME
                        server will still attempt to connect on port 443.
                        (default: 443)
  --http-01-port HTTP01_PORT
                        Port used in the http-01 challenge.This only affects
                        the port Certbot listens on. A conforming ACME server
                        will still attempt to connect on port 80. (default:
                        80)
  --csr CSR             Path to a Certificate Signing Request (CSR) in DER or
                        PEM format. Currently --csr only works with the
                        'certonly' subcommand. (default: None)

certbot certonly --standalone -d example.com --tls-sni-01-port 443 --http-01-port 80

新的版本的 certbot 用起來更簡單：

certbot certonly --cert-name your-domain-name

nginx 請修改 config 裡：

  # 啟用 SSL
  ssl on;

  # 設定 SSL 憑證
  ssl_certificate /etc/letsencrypt/live/your-domain-name/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/live/your-domain-name/privkey.pem;

官方教學：

https://certbot.eff.org/lets-encrypt/ubuntuxenial-other

相關文章：

How to know why my server crashes?
http://askubuntu.com/questions/405655/how-to-know-why-my-server-crashes

Apache reload/graceful restart causes Apache segfault
https://talk.plesk.com/threads/apache-reload-graceful-restart-causes-apache-segfault.335534/