前天有位客户的 Debian VPS 的 ssh 出现问题，无法正常连接，ssh IP 地址后出现如下错误：

ssh_exchange_identification: Connection closed by remote host

找客户要了 root 密码后登录检查 /etc/ssh/sshd_config 配置文件没有发现问题、防火墙关闭状态、sshd 进程也在，企图重启 sshd 出现如下报错：

# /etc/init.d/ssh restart
Error: Starting OpenBSD Secure Shell server: sshd/var/run/sshd must be owned
by root and not group or world-writable.

原因是 /var/run/sshd/ 运行时环境目录出现权限所属问题，删除这个目录后重启 sshd 就可以了：

# rm -rf /var/run/sshd/
# invoke-rc.d ssh restart

系统安全高手 Dan Rosenberg 发布了一段 C 程序，这段200多行的程序利用了 Linux Econet 协议的3个安全漏洞，可以导致本地帐号对系统进行拒绝服务或特权提升，也就是说一个普通用户可以通过运行这段程序后轻松获得 root shell，以下在 update 过的 Ubuntu 10.04 Server LTS 上测试通过：

$ uname -r
2.6.32-21-server

$ gcc full-nelson.c -o full-nelson
$ ./full-nelson 
[*] Resolving kernel addresses...
 [+] Resolved econet_ioctl to 0xffffffffa0131510
 [+] Resolved econet_ops to 0xffffffffa0131600
 [+] Resolved commit_creds to 0xffffffff8108b820
 [+] Resolved prepare_kernel_cred to 0xffffffff8108bc00
[*] Calculating target...
[*] Failed to set Econet address.
[*] Triggering payload...
[*] Got root!
#

由于 RHEL/CentOS 默认不支持 Econet 协议，所以测试没有通过：

$ uname -r
2.6.18-194.26.1.el5

$ gcc full-nelson.c -o full-nelson
$ ./full-nelson 
[*] Failed to open file descriptors.

如果在企业环境用 Ubuntu 的话可能会比较杯具了，几百个帐号里总可以找到一两个帐号被内部或外部人员通过上面这段程序拿到 root，这对服务器的危害是毁灭性的。前天还在说 Ubuntu 在内核方面无作为，现在想起来还有点后怕。VPSee 提醒正在使用多个普通帐号登录 Ubuntu VPS 的朋友及时升级或打内核补丁，出售 VPN/SSH 帐号、提供免费 SSH 的商家尤其要小心 “客户” 捣乱，使用其他 Linux 发行版的朋友也最好检查一下自己的 VPS 有没有这些高危漏洞。

Nginx 性能优异在于善于利用操作系统内核的各种特性，比如 aio/epoll/sendfile (Linux), kqueue (FreeBSD) 等。对于使用 VPS 做图片站的站长来说，使用 nginx 的 aio 特性会大大提高性能，图片站的特点是大量的读 io 操作，nginx aio 不用等待每次 io 的结果有助于并发处理大量 io 和提高 nginx 处理效率。

前段时间有位客户要用 nginx aio，他用 rpm 升级安装 nginx 到 0.8.5 版本时候发现 rpm 包里的 nginx 没有包含 Linux-native aio (asynchronous I/O) 的支持，所以需要下载 nginx 源代码并带上参数 –with-file-aio 编译。除了要带参数外，Linux 内核还必须有支持这一特性的 api，eventfd()，否则在 nginx 错误日志（/var/log/nginx/error.log）里会看到类似的报错：

eventfd() failed (38: Function not implemented)
worker process 1858 exited with fatal code 2 and can not be respawn

要让 nginx 使用 aio 特性还需要修改 nginx 配置文件：

# vi /etc/nginx/nginx.conf
...
location / {
aio on;
directio 1;
output_buffers 1 128k;
}
...

昨天另一客户遇到 nginx 启动配置都正确却无法看到网页的情况，VPSee 刚开始怀疑是他自己的 nginx 配置有误或者防火墙屏蔽了80端口，后来登录到他的 VPS 上发现 nginx 配置的确没问题，能正常启动，可以 telnet 80 端口，但是不能 get 到网页。打开 nginx 日志也发现 eventfd() failed 的错误提示。后来检查他的 Linux VPS 内核版本是 2.6.18，查了一下 man 帮助发现只有 2.6.22 以后版本才支持 eventfd，解决方法很简单，升级内核就可以了。

Linux-native aio 比传统的 POSIX aio 功能更丰富一些，重要的一点是能通过内核加速提供高性能。直接用 Linux-native aio API 比较晦涩，为了方便使用和开发 Linux-native aio 应用程序我们可以用 libaio/libaio-devel 库。不过 nginx 的作者没有用这些库，因为 nginx 需要 eventfd()，而 libaio 库里只有 0.3.107 版本起才支持 eventfd；nginx 也没有用 glibc，因为 glibc 要到 2.8 版本才支持 eventfd()，为了减少对库的依赖性，nginx 干脆直接用 Linux-native aio API (system calls).

$ vi nginx-0.9.1/src/event/modules/ngx_epoll_module.c
...
#if (NGX_HAVE_FILE_AIO)

/*
 * We call io_setup(), io_destroy() io_submit(), and io_getevents() directly
 * as syscalls instead of libaio usage, because the library header file
 * supports eventfd() since 0.3.107 version only.
 *
 * Also we do not use eventfd() in glibc, because glibc supports it
 * since 2.8 version and glibc maps two syscalls eventfd() and eventfd2()
 * into single eventfd() function with different number of parameters.
 */
...

这里说到了 eventfd()，eventfd 是 Linux-native aio 其中的一个 API，用来生成 file descriptors，这些 file descriptors 可为应用程序提供更高效 “等待／通知” 的事件机制。和 pipe 作用相似，但比 pipe 更好，一方面它只用到一个 file descriptor（pipe 要用两个），节省了内核资源；另一方面，eventfd 的缓冲区管理要简单得多，pipe 需要不定长的缓冲区，而 eventfd 全部缓冲只有定长 8 bytes.

Linux 上的 /proc是一个虚拟文件系统，在系统启动后挂载在 /proc 上，/proc 包含了很多内核和系统信息用来展示 Linux 内核是如何展示硬件的，比如在 /proc/cpuinfo 里可以看到一些关于 CPU 的信息，其中的 flags 包含了很多用来表示 CPU 特征的参数：

$ cat /proc/cpuinfo | grep flags
flags		: fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts 
acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx rdtscp lm constant_tsc arch_perfmon pebs bts rep_good
xtopology nonstop_tsc aperfmperf pni dtes64 monitor ds_cpl vmx est tm2 ssse3 cx16 xtpr pdcm sse4_1 
sse4_2 popcnt lahf_lm arat tpr_shadow vnmi flexpriority ept vpid

具体每个 flag 缩写代表什么意思呢？关于 Linux 的最权威答案永远来自源代码，VPSee 在内核源代码里找到了每个 flag 的相关注释，通过这些注释可以很方便我们理解这些 flags 缩写：

# vi /home/vpsee/linux-2.6.31.8/arch/x86/include/asm/cpufeature.h
...
/* Intel-defined CPU features, CPUID level 0x00000001 (edx), word 0 */
#define X86_FEATURE_FPU         (0*32+ 0) /* Onboard FPU */
#define X86_FEATURE_VME         (0*32+ 1) /* Virtual Mode Extensions */
#define X86_FEATURE_DE          (0*32+ 2) /* Debugging Extensions */
#define X86_FEATURE_PSE         (0*32+ 3) /* Page Size Extensions */
#define X86_FEATURE_TSC         (0*32+ 4) /* Time Stamp Counter */
#define X86_FEATURE_MSR         (0*32+ 5) /* Model-Specific Registers */
#define X86_FEATURE_PAE         (0*32+ 6) /* Physical Address Extensions */
#define X86_FEATURE_MCE         (0*32+ 7) /* Machine Check Exception */
#define X86_FEATURE_CX8         (0*32+ 8) /* CMPXCHG8 instruction */
#define X86_FEATURE_APIC        (0*32+ 9) /* Onboard APIC */
#define X86_FEATURE_SEP         (0*32+11) /* SYSENTER/SYSEXIT */
#define X86_FEATURE_MTRR        (0*32+12) /* Memory Type Range Registers */
#define X86_FEATURE_PGE         (0*32+13) /* Page Global Enable */
#define X86_FEATURE_MCA         (0*32+14) /* Machine Check Architecture */
#define X86_FEATURE_CMOV        (0*32+15) /* CMOV instructions */
                                          /* (plus FCMOVcc, FCOMI with FPU) */
#define X86_FEATURE_PAT         (0*32+16) /* Page Attribute Table */
#define X86_FEATURE_PSE36       (0*32+17) /* 36-bit PSEs */
#define X86_FEATURE_PN          (0*32+18) /* Processor serial number */
#define X86_FEATURE_CLFLSH      (0*32+19) /* "clflush" CLFLUSH instruction */
#define X86_FEATURE_DS          (0*32+21) /* "dts" Debug Store */
#define X86_FEATURE_ACPI        (0*32+22) /* ACPI via MSR */
#define X86_FEATURE_MMX         (0*32+23) /* Multimedia Extensions */
#define X86_FEATURE_FXSR        (0*32+24) /* FXSAVE/FXRSTOR, CR4.OSFXSR */
#define X86_FEATURE_XMM         (0*32+25) /* "sse" */
#define X86_FEATURE_XMM2        (0*32+26) /* "sse2" */
#define X86_FEATURE_SELFSNOOP   (0*32+27) /* "ss" CPU self snoop */
#define X86_FEATURE_HT          (0*32+28) /* Hyper-Threading */
#define X86_FEATURE_ACC         (0*32+29) /* "tm" Automatic clock control */
#define X86_FEATURE_IA64        (0*32+30) /* IA-64 processor */
#define X86_FEATURE_PBE         (0*32+31) /* Pending Break Enable */

/* AMD-defined CPU features, CPUID level 0x80000001, word 1 */
/* Don't duplicate feature flags which are redundant with Intel! */
#define X86_FEATURE_SYSCALL     (1*32+11) /* SYSCALL/SYSRET */
#define X86_FEATURE_MP          (1*32+19) /* MP Capable. */
#define X86_FEATURE_NX          (1*32+20) /* Execute Disable */
#define X86_FEATURE_MMXEXT      (1*32+22) /* AMD MMX extensions */
#define X86_FEATURE_FXSR_OPT    (1*32+25) /* FXSAVE/FXRSTOR optimizations */
#define X86_FEATURE_GBPAGES     (1*32+26) /* "pdpe1gb" GB pages */
#define X86_FEATURE_RDTSCP      (1*32+27) /* RDTSCP */
#define X86_FEATURE_LM          (1*32+29) /* Long Mode (x86-64) */
#define X86_FEATURE_3DNOWEXT    (1*32+30) /* AMD 3DNow! extensions */
#define X86_FEATURE_3DNOW       (1*32+31) /* 3DNow! */
...

/* Intel-defined CPU features, CPUID level 0x00000001 (ecx), word 4 */
...
/* VIA/Cyrix/Centaur-defined CPU features, CPUID level 0xC0000001, word 5 */
...
/* More extended AMD flags: CPUID level 0x80000001, ecx, word 6 */
...

仅有 flags 缩写和注释不足以理解 flag 的含义，但是足够发挥个人的 googleability 了，比如直接搜索 msr 不会得到任何有用信息，但是利用上面的注释搜索 Model-Specific Registers（google “Model-Specific Registers”）就会得到很多信息，学习的过程就是不断提高 googleability 的过程：）

因为版权的问题，使用 GPL 协议的 Linux 内核无法直接使用 CDDL 协议的 ZFS 文件系统，有一个办法可以绕过这个问题，就是先把 ZFS 代码编译成版权为 CDDL 的内核模块，然后 Linux 内核加载一个 CDDL 协议的内核模块，很高兴已经有人（ZFS on Linux）这么做了，所以我们终于有了原生的 Linux ZFS 文件系统。在 Linux 上和 ZFS 相似的还有一个 Btrfs 文件系统，被称为 Linux 下一代文件系统，起初是由 Oracle 开发的，有意思的是 Oracle 收购 SUN 后又得到了 ZFS，不过因为 Btrfs 使用的是 GPL 协议，所以不管 Oracle 的态度如何，对 Btrfs 的影响有限。

安装必备软件包：

# yum install kernel-devel rpm-build

下载、编译和安装 SPL 包：

# wget http://github.com/downloads/behlendorf/spl/spl-0.5.1.tar.gz
# tar zxvf spl-0.5.1.tar.gz
# cd spl-0.5.1
# ./configure
# make rpm

# rpm -Uvh *.x86_64.rpm

加载 splat 模块到内核，并测试：

# /sbin/modprobe splat

# splat -t kmem:all
------------------------------ Running SPLAT Tests ------------------------------
                kmem:kmem_alloc           Pass  
                kmem:kmem_zalloc          Pass  
                kmem:vmem_alloc           Pass  
                kmem:vmem_zalloc          Pass  
                kmem:slab_small           Pass  
                kmem:slab_large           Pass  
                kmem:slab_align           Pass  
                kmem:slab_reap            Pass  
                kmem:slab_age             Pass  
                kmem:slab_lock            Pass  
                kmem:slab_overcommit      Pass  
                kmem:vmem_size            Pass

下载、编译和安装 ZFS 包：

# wget http://github.com/downloads/behlendorf/zfs/zfs-0.5.1.tar.gz
# tar zxvf zfs-0.5.1.tar.gz
# cd zfs-0.5.1
# ./configure
# make pkg

# rpm -Uvh *.x86_64.rpm

加载 zfs 模块到内核，并测试：

# /sbin/modprobe zfs

# /usr/libexec/zfs/zpios-sanity.sh 
status    name        id	wr-data	wr-ch	wr-bw	rd-data	rd-ch	rd-bw
-------------------------------------------------------------------------------
PASS:     file-raid0   0	64m	64	112.68m	64m	64	4.81g
PASS:     file-raid10  0	64m	64	10.46m	64m	64	876.71m
PASS:     file-raidz   0	64m	64	12.14m	64m	64	780.49m
PASS:     file-raidz2  0	64m	64	17.68m	64m	64	14.66m
PASS:     lo-raid0     0	64m	64	1.30g	64m	64	876.71m
PASS:     lo-raid10    0	64m	64	666.67m	64m	64	14.65m
PASS:     lo-raidz     0	64m	64	1.10g	64m	64	876.71m
PASS:     lo-raidz2    0	64m	64	492.31m	64m	64	876.71m

如果上述加载内核模块有问题，建议重启系统后重新加载试一下，并检查是否模块加载成功：

# reboot

# /sbin/modprobe splat
# /sbin/modprobe zfs

# lsmod
Module                  Size  Used by
zfs                   866368  0 
zcommon                75504  1 zfs
znvpair                82432  2 zfs,zcommon
zavl                   40576  1 zfs
zlib_deflate           52825  1 zfs
zunicode              353664  1 zfs
splat                 160848  0
...

如果没有多余的硬盘玩 ZFS 的话，可以按照 “ZFS 的简单使用” 介绍的方法创建几个文件充当硬盘，简单玩一下 Linux 下的原生 ZFS 支持。

如果打开 VPS 的 ssh 登录日志（/var/log/secure）就一定会发现有无数无聊的人无数次的试探 ssh 密码，对付这种 brute force 密码探测，用一个特殊字符、大小写字母加数字混合的无规律12位密码就能搞定，所以对安全很在意的用户不用太担心自己 VPS 被黑，用一个好密码就基本可以解决这类问题。VPSee 最近常遇到客户被自己 iptables 或错误的 sshd 配置锁在外面的事情，比如有客户用了很复杂的 ssh 配置文件，加上一些辅助工具比如 fail2ban, sshdfilter 等，并且用 iptables 来过滤，把一个很简单的事情搞得很复杂，结果不小心把自己锁在外面了。注重安全性是好的，太过就不必了，简单就好。安全是一大块，甚至是一个大的研究方向，非常复杂，需要综合考虑，真正容易出问题的地方在应用，比如 PHP 程序、WordPress 插件等，比如上次 “备份 WordPress 博客到 Dropbox” 的一个 WordPress 插件就有安全问题。所以应该多花精力在应用程序的安全性上，应用的安全性问题最多，黑客也多是从应用下手的。

Dragon Research Group 发布了一个 Linux/SSH 密码认证的报告， 统计了一些最常用的 Linux/SSH 用户名和密码，下图截取自 DRG SSH Username and Password Authentication Tag Clouds，看看有没有自己常用的密码，有的话赶快换吧。

如果对 ssh 还不放心的话可以采用下面几个简单做法来进一步增强 ssh 的安全性，不过要记住的是下面的技巧不能替代一个好的密码：

• 修改和配置 DenyUsers, AllowUsers, DenyGroups, AllowGroups 只允许相关人员登录 ssh；
• 生成 public/private key，修改 AuthorizedKeysFile，采用 ssh key 的方式登录 ssh；
• 禁止 PasswordAuthentication no；
• 禁止 root 直接登录，PermitRootLogin no；
• 修改 ssh 的默认端口 22 为其他数字（比如 2012）。

我们这两天监测到一位客户的 VPS 持续维持 100% 的 CPU 利用率很长一段时间，然后昨天客户向我们报告他的 VPS 无法登录了，从我们这边来看他的 VPS 正在运行，而且网络也有反应，只不过 CPU 利用率满负荷而已，VPSee 收到客户消息的第一反应是客户的 VPS 被 CC (Challenge Collapsar) 攻击了，后来客户告诉我们他没有做网站，只是开了一些 shell 帐号供别人通过 ssh 使用，这有可能是其中某个帐号（被黑了以后）放了 fork 炸弹，这是非常简单而且很常用的一类恶意程序，原理很简单，就是通过不停的 fork 进程来达到消耗 Linux 系统所有资源的目的，使得系统无法（没有资源）运行其他程序。比如被 fork 炸了以后，就会出现：

-bash: fork: retry: Resource temporarily unavailable

下面就是一个最简单的 bash fork 炸弹：

: () { : | : & } ; :

上面几个符号看上去很复杂，其实如果写成下面这个样子就好懂了，: 是函数名，执行一个调用自己的递归并且 pipe 到自己，& 表示后台执行程序，最后的一个 : 是在函数外调用和执行 : () 这个函数的意思：

: () {
    : | : &
}; :

如何避免 fork 炸弹呢？方法很简单，只要限制每个用户可以调用的进程数就可以避免，这个可以通过修改 vi /etc/security/limits.conf 文件来设定：

# vi /etc/security/limits.conf

vpsee           hard    nproc           32
@student        hard    nproc           32
@faculty        hard    nproc           64

上面的配置文件意思是说限制 vpsee 这个用户只能 fork 32 个进程；然后限制 student 这个用户组的每个成员最多能 fork 32 个进程；限制 faculty 这个用户组的每个成员最多能 fork 64 个进程。不过要事先检查系统是否有 pam_limits.so 这个模块以及是否已经加载：

# ls /lib64/security/pam_limits.so 
/lib64/security/pam_limits.so

# vi /etc/pam.d/login
session    required     pam_loginuid.so

如果自己是 Linux 普通用户，不是 root 用户不能修改 limits.conf 和重启系统的话，可以用 ulimit 来临时限制自己允许创建的进程数，ulimit 有 Hard 和 Soft 两种方法限制，用 Hard 的话可以减少最大可用的进程数，但是就不能重新增大这个限制了；用 Soft 的话可以自己自由增大和减小限制（ulimit，-H 和 -S 的详细说明可以参看 man ulimit）。不同的 Linux 版本对这个 ulimit -u 的默认值不同，在 CentOS 上默认情况下最大运行进程数是 8256，在 Fedora 上是 1024，所以这个要看不同的发行版本，不过这个无所谓，反正可以改，不过改成32后就不能再改成比32更大的了（比如64），只能再改成比32小的，ulimit 不带 -H 和 -S 参数的时候同时设置 Hard 和 Soft：

$ ulimit -u
8256
$ ulimit -u 32
$ ulimit -u 64
-bash: ulimit: max user processes: cannot modify limit: Operation not permitted

$ ulimit -a
core file size          (blocks, -c) 0
data seg size           (kbytes, -d) unlimited
scheduling priority             (-e) 0
file size               (blocks, -f) unlimited
pending signals                 (-i) 8256
max locked memory       (kbytes, -l) 32
max memory size         (kbytes, -m) unlimited
open files                      (-n) 1024
pipe size            (512 bytes, -p) 8
POSIX message queues     (bytes, -q) 819200
real-time priority              (-r) 0
stack size              (kbytes, -s) 10240
cpu time               (seconds, -t) unlimited
max user processes              (-u) 32
virtual memory          (kbytes, -v) unlimited
file locks                      (-x) unlimited

前天有一位新客户购买我们的 VPS 后多次在上面源码编译和安装 Nginx+PHP+FastCGI+MySQL 不成功，遇到一些问题，总的来说分为两类，一个是包依赖问题，一个是 MySQL 目录的权限设置问题。昨天这位客户给我们发来一个论坛链接很细致的描述了他的安装过程和遇到的问题，可惜后面回帖的人都没说到重点，还有一位回帖人居然是我们的客户，呵呵，世界好小。VPSee 决定花点时间写个教程，可能对其他的 Linux/VPS 用户也有帮助。我们的 VPS 和那些使用 SolusVM 控制面板和模版的 VPS 服务商不同，我们自己制作 VPS 模版，采用最小化安装，不添加任何乱七八糟的东西，保持最简和干净，所以 VPS 上只装有必备的软件包和库，在编译 Nginx+PHP+FastCGI+MySQL 之前必须先安装一些编译时需要的软件包和库。

记得以前有位客户问过为什么我们的 VPS 上连基本的 gcc 工具都没有？为什么我们采用最小化安装？为什么我们没有提供那些都安装好的模版？有3个原因，1、不需要 gcc Linux 也可以运行，所以 gcc 不是必须的，这满足我们最小化的要求；2、安全，如果有人得到 Linux 普通用户帐号可以下载、通过 gcc 编译和运行一些后门代码以得到 root 权限或者干坏事，所以不是必要的话不推荐安装 gcc 等编译工具，同样的道理也适用我们对其他工具的要求；3、定制，每个人的要求是不同的，有的人喜欢 nginx，有的人喜欢 apache，所以我们采用最小化安装，把选择留给客户。我们认为最小化可以带来简单、安全和灵活。

下面的操作步骤在我们的 256MB Debian 5.0 VPS 上测试通过，Nginx/PHP/MySQL 都采用当前最新稳定源代码版本。

安装必备软件包

# aptitude install libtidy-dev curl libcurl4-openssl-dev libcurl3 \
libcurl3-gnutls zlib1g zlib1g-dev libxslt1-dev libzip-dev libzip1 \
libxml2 libsnmp-base libsnmp15 libxml2-dev libsnmp-dev libjpeg62 \
libjpeg62-dev libpng12-0 libpng12-dev zlib1g zlib1g-dev libfreetype6 \
libfreetype6-dev libbz2-dev libxpm-dev libmcrypt-dev libmcrypt4 \
sqlite3 bzip2 build-essential libreadline5-dev libedit-dev autoconf

编译和安装 MySQL

下载和编译 MySQL，但是先不要安装：

# wget http://mysql.mirror.rafal.ca/Downloads/MySQL-5.1/mysql-5.1.50.tar.gz
# tar zxvf mysql-5.1.50.tar.gz
# cd mysql-5.1.50

# ./configure \
 --prefix="/usr/local/mysql-5.1.50" \
 --enable-thread-safe-client \
 --with-extra-charsets=all
# make

需要改几个权限问题才能安装 MySQL，否则会出现 Access denied for user ‘root’@’localhost’ (using password: NO) 经典问题：

# groupadd mysql 
# useradd -g mysql mysql

# cp support-files/my-small.cnf /etc/my.cnf
# vi /etc/my.conf
...
[mysqld]
user = mysql 
...

# chown -R mysql:mysql /usr/local/mysql-5.1.50/
# chmod 777 /tmp

安装和启动 MySQl，修改 root 密码，登录 MySQL：

# cd mysql-5.1.50
# make install

# /usr/local/mysql-5.1.50/bin/mysql_install_db --user=mysql
# /usr/local/mysql-5.1.50/bin/mysqld_safe &
# /usr/local/mysql-5.1.50/bin/mysqladmin -u root password 'new-password'
# /usr/local/mysql-5.1.50/bin/mysql -u root -p

编译和安装 PHP

先下载 PHP 软件包，然后配置、编译，这里采用 php 5.2 分支的最新稳定代码：

# wget http://www.php.net/get/php-5.2.13.tar.bz2/from/us.php.net/mirror
# tar jxvf php-5.2.13.tar.bz2
# cd php-5.2.13

# ./configure \
 --prefix="/usr/local/php-5.2.13" \
 --with-mysql="/usr/local/mysql-5.1.50" \
 --with-gd \
 --with-ttf \
 --with-openssl \
 --enable-mbstring \
 --enable-fastcgi
# make && make install

编译和安装 Nginx

下载、配置和编译安装 nginx，注意编译 nginx 需要额外安装几个软件包：

# wget http://nginx.org/download/nginx-0.7.67.tar.gz
# tar zxvf nginx-0.7.67.tar.gz

# aptitude install libgcrypt11-dev libpcre3 libpcre3-dev libssl-dev

# cd nginx-0.7.67
# ./configure  --prefix="/usr/local/nginx-0.7.67"  --with-http_ssl_module
# make && make install

编译和安装 FastCGI

Nginx 需要 FastCGI 的支持才能运行 PHP 脚本，从 lighttpd 下载、编译和安装 spawn-fcgi：

# wget http://www.lighttpd.net/download/spawn-fcgi-1.6.2.tar.bz2
# tar jxvf spawn-fcgi-1.6.2.tar.bz2

# cd spawn-fcgi-1.6.2
# ./configure --prefix="/usr/local/php-5.2.13"
# make && make install

启动 FastCGI：

# /usr/local/php-5.2.13/bin/spawn-fcgi -a 127.0.0.1 -p 9000 \
-u www-data -g www-data -f /usr/local/php-5.2.13/bin/php-cgi \
-P /var/run/fastcgi-php.pid

编辑 Nginx 的配置文件，让 php 脚本被发送到 FastCGI 服务器由 FastCGI 处理，然后启动 nginx：

# vi /usr/local/nginx-0.7.67/conf/nginx.conf
...
        # fix nginx/php/fastcgi important security issue
        # http://cnedelcu.blogspot.com/2010/05/nginx-php-via-fastcgi-important.html
        location ~ \..*/.*\.php$ {
            return 403;
        }

        # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
        location ~ \.php$ {
            #root           html;
            root           /usr/local/nginx-0.7.67/html;
            fastcgi_pass   127.0.0.1:9000;
            fastcgi_index  index.php;
            fastcgi_param  SCRIPT_FILENAME  /usr/local/nginx-0.7.67/html$fastcgi_script_name;
            include        fastcgi_params;
        }
...

# /usr/local/nginx-0.7.67/sbin/nginx -c /usr/local/nginx-0.7.67/conf/nginx.conf

安装 Nginx+FastCGI+PHP 完后测试一下是否 PHP 页面能否被正确解析，在 html 下创建一个含有 phpinfo(); 函数的文件，最后打开浏览器检查下面的 index.php 能否被正确执行。：

# vi /usr/local/nginx-0.7.67/html/index.php
phpinfo();

编译源代码需要消耗大量内存，我们只建议 256MB 或以上 VPS 用户使用源码方式安装。

作为长期的电脑使用者，肯定会有误删文件的经历，在 Mac OS X 和 Windows 上删除的文件都会默认进 “回收站”。在 Linux 上如果事先没有用别名（alias）修改默认的 rm 功能，rm 后文件就会丢失，幸运的是，在一般的删除文件操作中，Linux 并不会立即清空存储该文件的 block 内容，而只会释放该文件所占用的 inode 和 data block，Linux 上 rm 的过程其实就是将 inode bitmap 和 data block bitmap 中的相应标识设为空闲状态的过程，并不涉及到真正的数据，这也是为什么在 Linux 下删除大文件这么快速的原因，因为大文件所占的磁盘根本就没有清空。所以，如果我们能找到文件对应的 inode，由此查到相应的 data block，就可能从磁盘上把已删除的文件恢复出来，很多文件/磁盘恢复工具都是这么做的。

一般来说二进制文件、库文件等删除后都可以从其他 Linux 拷贝恢复，不是很要紧，如果自己辛苦写的脚本或者配置文件误删了就杯具了。误删这种蠢事经常在 VPSee 身上发生，最近一次是在今年年初的时候，开了 screen 多次 ssh 到不同服务器上，在前后切换的过程中删除了一个很肯定的配置文件，后来发现删的文件是对的，可惜在一台错误的服务器上，本来应该在 A 服务器上删除 file.txt 结果在 B 服务器上删除了 file.txt，多个 screen 和 ssh 把自己搞晕了，而且主机名没有安排好，多台机器都是用的 localhost，不利于识别当时的环境。如果使用 Linux 的时候不幸误删了一个文本文件怎么办呢？

先临时建一个文本文件 vpsee.log 做测试，然后删除这个文件：

$ echo "important log file for vpsee.com" > vpsee.log

$ cat vpsee.log 
important log file for vpsee.com

$ rm vpsee.log

如果能记住刚才删除文件中的某个关键字的话可以用 grep 搜索整个 /dev/sda1，-a 标志位的意思是把 /dev/sda1 这个分区看成是文本形式的（分区本身是二进制形式的），-B 10 -A 100 的意思是如果找到关键字就打印出其前10行和后100行的内容：

# grep -a -B 10 -A 100 'vpsee.com' /dev/sda1 > tmp.txt

在一堆 @ 之间可以找到我们刚才删除的内容：

$ vi tmp.txt
...
@$^@^@^@^@^@^@^@^@^@^@^@^A^@^@^@^@^@^@^@Ç^@^@^@^A^@^@^@^@^@^@^@^@^@^@^@È^K^@^@^@
^@^@^@^@^@^@^@^@^@^@^@^A^@^@^@^@^@^@^@^Q^@^@^@^C^@^@^@^@^@^@^@^@^@^@^@È^K^@^@×^@
^@^@important log file for vpsee.com
@                                                                               
@            
...

当然，如果误删了二进制、doc、png/jpg/gif 之类的文件，可以用一些第三方 ext2/ext3 文件恢复工具帮助恢复文件，比如 TestDisk, PhotoRec 等。

现在的 Linux 比10年前要成熟的多，但有时候还是会出现莫名其妙、无法解释的 kernel panic 情况。对于大部分 Linux 用户来说出现 kernel panic 重启一下就可以了，但是对于系统管理员和那些做虚拟主机、共享主机、OpenVZ VPS 主机的 hosting 服务商来说出现未知的 kernel panic、导致系统挂掉可能就不太友好，如果没有 KVM over IP 的话，系统挂掉后 hosting 服务商需要自己先反馈到上一级的独立服务器提供商，比如提交 ticket 或者打电话，然后独立服务器供应商还要时间验证你的资料、处理你的 ticket，最后才到真正的数据中心，一般晚上（中国的白天）数据中心只有几个人值班，到最后处理完你的重启请求可能已经过了20多分钟了，这20分钟的 downtime 时间你还要给你自己的客户写信解释情况，问题是这20分钟还是理想情况，如果你碰到一个很烂的独立服务器提供商或数据中心，处理 ticket 要以小时或天为单位来计，或者如果你是 one man、晚上正在睡觉没有收到 kernel panic 报警，这样的话花的时间就会更多。那么有没有办法让 Linux 服务器遇到 kernel panic 情况自动重启呢？VPSee 在这里介绍一个简单有效的小技巧：

编辑 /etc/sysctl.conf 文件，并定义遇到 kernel panic 20秒后自动重启 Linux：

# vi /etc/sysctl.conf
kernel.panic = 20

Linux 这么神奇？遇到 kernel panic 自己都挂了还能自己重启？来看看 Linux 内核里面这部分代码是怎么工作的，最好最权威的资料永远来自内核源代码：

# vi linux-2.6.31.8/kernel/panic.c

...
 if (panic_timeout > 0) {
                /*
                 * Delay timeout seconds before rebooting the machine.
                 * We can't use the "normal" timers since we just panicked.
                 */
                printk(KERN_EMERG "Rebooting in %d seconds..", panic_timeout);

                for (i = 0; i < panic_timeout*1000; ) {
                        touch_nmi_watchdog();
                        i += panic_blink(i);
                        mdelay(1);
                        i++;
                }
                /*
                 * This will not be a clean reboot, with everything
                 * shutting down.  But if there is a chance of
                 * rebooting the system it will be rebooted.
                 */
                emergency_restart();
        }
...