执行：/usr/local/nginx/sbin/nginx -t 检查配置是否正常，如果显示：

the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok;
configuration file /usr/local/nginx/conf/nginx.conf test is successful

则正常，否则按错误提示修改配置，错误提示会精确到哪一行的。然后执行：

/etc/init.d/nginx restart

第一步、确保VPN需要的系统服务是否正常

首先我们要做的是保证vpn起用的条件,”一停四开”

1.window自带的防火墙(windows firewall/internet connection sharing (ICS) 要停止

2.远程注册表服务（Remote Registry)必须开启

3.server服务 (Server)必须开启

4.route路由服务(Routing and Remote Access)必须开启

5.Workstation 服务必须开启

第二步、开始安装VPN服务

如果以上的做到了的话就可以配置vpn了,在管理工具中打开“路由和远程访问”

在列出的本地服务器上点击右键，选择“配置并启用路由和远程访问”。

在此，由于服务器是公网上的一台一般的服务器，不是具有路由功能的服务器，是单网卡的，所以这里选择“自定义配置”。下一步。

这里选“VPN访问”和“NAT 和基本防火墙”。下一步，配置向导完成。

点击“是”，开始服务。看启动了VPN服务后，“路由和远程访问”的界面

第三步、配置VPN的服务

下面开始配置VPN服务器,在服务器上点击右键，选择“属性”，

在弹出的窗口中选择“IP”标签，在“IP地址指派”中选择“静态地址池”。

然后点击“添加”按钮设置IP地址范围，这个IP范围就是VPN局域网内部的虚拟IP地址范围，每个拨入到VPN的服务器都会分配到一个范围内的IP，在虚拟局域网中用这个IP相互访问。

这里设置为10.240.60.1-10.240.60.10，一共10个IP，默认的VPN服务器占用第一个IP，所以，10.240.60.1实际上就是这个VPN服务器在虚拟局域网的IP。

IP已经设置完毕了，但是还有一个问题，拨号上去后会不能访问网页。那么就需要下面的设置了。

NAT/基本防火墙上右键选择“新增接口”如图：

选中后出现下图

选择“Local Area Connetcion”并确定。

(补充一下，“Local Area Connetcion”是汉化的英文版2003，中文版的话，应该是“本地网络”)

继续继续看图

按图上选择好就行了。

 第四步、增加用户

每个客户端拨入VPN服务器都需要有一个帐号，默认是windows身份验证，所以要给每个需要拨入到VPN的客户端设置一个用户，并为这个用户制定一个固定的内部虚拟IP以便客户端之间相互访问。

在管理工具中的计算机管理里添加用户，这里以添加一个vpn001用户为例

先新建一个叫“vpn001”的用户，创建好后，查看这个用户的属性，在“拨入”标签中做相应的设置，如图：

远程访问权限设置为“允许访问”，以允许这个用户通过VPN拨入服务器。

点选“分配静态IP地址”，并设置一个VPN服务器中静态IP池范围内的一个IP地址，这里设为10.240.60.2

如果有多个客户端机器要接入VPN，请给每个客户端都新建一个用户，并设定一个虚拟IP地址，各个客户端都使用分配给自己的用户拨入VPN，这样各个客户端每次拨入VPN后都会得到相同的IP。如果用户没设置为“分配静态IP地址”，客户端每次拨入到VPN，VPN服务器会随机给这个客户端分配一个范围内的IP。

补充一点，为了安全的话，用户的隶属最好改为Guests。

大家都学会了把，很简单哦，以后youtube.com能上了哦，嘿嘿！

创建日志分割脚本

1、登录SSH，创建cut_logs.sh文件

vi /root/cut_logs.sh

2、粘贴下面代码到cut_logs.sh，并保存

#!/bin/bash

# The Nginx logs path

logs_path=”/home/wwwlogs/”

mkdir -p ${logs_path}$(date -d “yesterday” +”%Y”)/$(date -d “yesterday” +”%m”)/

mv ${logs_path}www.juzihc.com.log ${logs_path}$(date -d “yesterday” +”%Y”)/$(date -d “yesterday” +”%m”)/juzihc_$(date -d “yesterday” +”%Y%m%d”).log

kill -USR1 $(cat /usr/local/nginx/logs/nginx.pid)

3、添加cut_logs.sh执行权限

chmod +x /root/cut_logs.sh

设置cut_logs.sh启动时间

执行命令crontab -e进入编辑状态
添加如下代码,每天0点01分启动。

01 00 * * * /root/cut_logs.sh

这样每天定时分割日志文件就设置成功了。当然如果你担心日志文件占太多空间，还可以执行压缩tar,并设置删除多少天前的日志文件。

先来个官方介绍

fail2ban可以监视你的系统日志，然后匹配日志的错误信息（正则式匹配）执行相应的屏蔽动作（一般情况下是调用防火墙屏蔽），如:当有人在试探你的SSH、SMTP、FTP密码，只要达到你预设的次数，fail2ban就会调用防火墙屏蔽这个IP，而且可以发送e-mail通知系统管理员，是一款很实用、很强大的软件！

正式开始防小人了啊

一、安装 Fail2ban 服务

下载rpmforge , 里面有大量最新的rpm包.

wget http://dag.wieers.com/rpm/packages/rpmforge-release/rpmforge-release-0.3.6-1.el5.rf.i386.rpm

rpm -ivh rpmforge-release-0.3.6-1.el5.rf.i386.rpm

yum安装吧～～！

yum install fail2ban

fail2ban noarch 0.8.2-3.el5.rf rpmforge 125 k
Installing for dependencies:
gamin
gamin-python

安装是十分简单的拉.

fail2ban 原理

fail2ban 调用 iptables 实时阻挡外界的攻击，按照你的要求在一段时间内找出符合条件的日志，然后动作。

二、设定fail2ban服务

fail2ban 的设定档在这里

/etc/fail2ban

fail2ban.conf 日志设定文档
jail.conf 阻挡设定文档

/etc/fail2ban/filter.d 具体阻挡内容设定目录

三、实施保护

1. 保护 SSH 拦截

先看看fail2ban是如何拦截的？

cat /etc/fail2ban/filter.d/sshd.conf

failregex = ^%(__prefix_line)s(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$
^%(__prefix_line)sFailed [-/\w]+ for .* from <HOST>(?: port \d*)?(?: ssh\d*)?$
^%(__prefix_line)sROOT LOGIN REFUSED.* FROM <HOST>\s*$
^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from <HOST>\s*$
^%(__prefix_line)sUser \S+ from <HOST> not allowed because not listed in AllowUsers$
^%(__prefix_line)sauthentication failure; logname=\S* uid=\S* euid=\S* tty=\S* ruser=\S* rhost=<HOST>(?:\s+user=.*)?\s*$
^%(__prefix_line)srefused connect from \S+ \(<HOST>\)\s*$
^%(__prefix_line)sAddress <HOST> .* POSSIBLE BREAK-IN ATTEMPT\s*$

fail2ban 使用了正则表达式找出:

Authentication failure/authentication failure

ROOT LOGIN REFUSED

refused connect from

POSSIBLE BREAK-IN ATTEMPT

not allowed because not listed in AllowUsers

以上的状况，可以根据你实际要求删减. 其中<HOST> 为建立连接的IP

开启 SSH 拦截

vi /etc/fail2ban/jail.conf

[ssh-iptables]

enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=收件者电邮地址, sender=寄件者电邮地址]
logpath = /var/log/secure
maxretry = 3
findtime = 300
bantime = 86400

fail2ban 会按照你的要求去查看/var/log/secure日志文件,然后在findtime = 300 “5分钟” 之内符合条件
的记录下来，如果到达了maxretry = 3 “3次符合条件” 就阻挡这个IP连接22端口 bantime = 86400 “一天的时间”.

2.保护FTP拦截

FTP的服务端种类这里有4种：proftpd、wuftpd、vsftpd、pure-ftpd
注意你自己的FTP使用的种类，好操作哦
这里以 vsftpd 为例子，只要学会一种，大家就能举一反三了。

cat /etc/fail2ban/filter.d/vsftpd.conf

failregex = vsftpd(?:\(pam_unix\))?(?:\[\d+\])?:.* authentication failure; .* rhost=<HOST>(?:\s+user=\S*)?\s*$
\[.+\] FAIL LOGIN: Client “<HOST>”\s*$

这里表示错误地输入用户名／密码的FTP连接.

vi /etc/fail2ban/jail.conf

[vsftpd-iptables]

enabled = true
filter = vsftpd
action = iptables[name=VSFTPD, port=ftp, protocol=tcp]
sendmail-whois[name=VSFTPD, dest=you@mail.com]
logpath = /var/log/vsftpd.log
maxretry = 3
bantime = 864000

3. POP3 保护拦截

cat /etc/fail2ban/filter.d/courierlogin.conf

failregex = LOGIN FAILED, .*, ip=\[<HOST>\]$

这里表示错误地输入用户名／密码的pop3连接.

开启 pop3 保护

vi /etc/fail2ban/jail.conf

[POP3]

enabled = true
filter = courierlogin
action = iptables[name=pop3, port=110, protocol=tcp]
logpath = /var/log/maillog
bantime = 1800
findtime = 300
maxretry = 15

大家应该懂得如何看了吧？ 我不写拉！好累。参数可以按照你实际要求修改噢～！

4 SMTP 保护拦截

cat /etc/fail2ban/filter.d/couriersmtp.conf

failregex = postfix/smtpd.* warning: unknown\[<HOST>\]: SASL LOGIN authentication failed: authentication failure

这里表示错误地输入用户名／密码的smtp连接.

vi /etc/fail2ban/jail.conf

[SMTP]

enabled = true
filter = couriersmtp
action = iptables[name=smtp, port=25:366, protocol=tcp]
logpath = /var/log/maillog
bantime = 1800
findtime = 300
maxretry = 15

参数可以按照你实际要求修改.

四、看看iptables

iptables -L -nv

pkts bytes target prot opt in out source destination
0 0 fail2ban-pop3-ssl tcp — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:995
773 83329 fail2ban-postfix tcp — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
299 12660 fail2ban-pop3 tcp — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:110
301 12740 fail2ban-ftp tcp — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
3354 253K fail2ban-SSH tcp — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
438 33979 fail2ban-httpd tcp — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 5703 packets, 829K bytes)
pkts bytes target prot opt in out source destination

Chain fail2ban-SSH (1 references)
pkts bytes target prot opt in out source destination
3354 253K RETURN all — * * 0.0.0.0/0 0.0.0.0/0

Chain fail2ban-ftp (1 references)
pkts bytes target prot opt in out source destination
301 12740 RETURN all — * * 0.0.0.0/0 0.0.0.0/0

Chain fail2ban-httpd (1 references)
pkts bytes target prot opt in out source destination
438 33979 RETURN all — * * 0.0.0.0/0 0.0.0.0/0

Chain fail2ban-pop3 (1 references)
pkts bytes target prot opt in out source destination
299 12660 RETURN all — * * 0.0.0.0/0 0.0.0.0/0

Chain fail2ban-pop3-ssl (1 references)
pkts bytes target prot opt in out source destination
0 0 RETURN all — * * 0.0.0.0/0 0.0.0.0/0

Chain fail2ban-postfix (1 references)
pkts bytes target prot opt in out source destination
773 83329 RETURN all — * * 0.0.0.0/0 0.0.0.0/0

Chain fail2ban-smtp (0 references)
pkts bytes target prot opt in out source destination
0 0 RETURN all — * * 0.0.0.0/0 0.0.0.0/0

如何监察呢？

watch -n 1 fail2ban-client status POSTFIX (这里的POSTFIX对应你在设置文件内的设定，更换能查看更多)

Status for the jail: POSTFIX
|- filter
| |- File list: /var/log/maillog
| |- Currently failed: 2
| `- Total failed: 22
`- action
|- Currently banned: 0
| `- IP list:
`- Total banned: 0

看看那些垃圾邮件者真是好无聊！不断地试探我的邮件服务器呢。

五、看看fail2ban的日志

cat /var/log/fail2ban.log | grep ‘] Ban ‘

2012-01-07 20:22:44,575 fail2ban.actions: WARNING [POSTFIX] Ban ip地址

就以看到过去有那些IP拦截了，以及是那个服务。

cat /var/log/fail2ban.log | grep ‘] Unban ‘

可以查看什么时候解的。

最后附上一些设置的中文解释

默认fail2ban.conf里面就三个参数，而且都有注释。
#默认日志的级别
loglevel = 3
#日志的目的
logtarget = /var/log/fail2ban.log
#socket的位置
socket = /tmp/fail2ban.sock
jail.conf配置里是fail2ban所保护的具体服务的配置，这里以SSH来讲。
在jail.conf里有一个[DEFAULT]段，在这个段下的参数是全局参数，可以被其它段所覆盖。
#忽略IP,在这个清单里的IP不会被屏蔽
ignoreip = 127.0.0.1 172.13.14.15
#屏蔽时间
bantime = 600
#发现时间，在此期间内重试超过规定次数，会激活fail2ban
findtime = 600
#尝试次数
maxretry = 3
#日志修改检测机制
backend = auto
[ssh-iptables]
#激活
enabled = true
#filter的名字，在filter.d目录下
filter = sshd
#所采用的工作，按照名字可在action.d目录下找到
action = iptables[name=SSH, port=ssh, protocol=tcp]
mail-whois[name=SSH, dest=root]
#目的分析日志
logpath = /var/log/secure
#覆盖全局重试次数
maxretry = 5
#覆盖全局屏蔽时间
bantime = 3600

再附上一些高级应用的方法

fail2ban-client也可以直接定义运行中的fail2ban参数
比如增加屏蔽时间为一天

fail2ban-client set ssh-iptables bantime 86400

重新读入配置文件

fail2ban-client reload

其它还有很多用法，可以不带参数执行fail2ban-client查看更多选项。

因为fail2ban的框架，所以可以执行修改filter或者action来满足自己的特殊需要，比如我希望改变fail2ban默认的iptables规则插入方式，那么我就可以到action.d目录下，找到希望修改的action，这里的例子是iptables.conf

默认actionstart的iptables规则有一条是

iptables -I INPUT -p –dport -j fail2ban-

这样就把fail2ban的规则插到INPUT链的最前面，而我希望自己写的一条iptables -A INPUT -p ALL -s 1.2.3.4/32 -j ACCEPT一直作为第一条规则从而使自己的IP作为信任IP不受防火墙后面规则的限制。那么就要修改fail2ban的启动规则，把上面那条改为

iptables -I INPUT 2 -p –dport -j fail2ban-

这样fail2ban就会把自己的规则作为INPUT链的第二条规则插入，而不影响第一条。

这里只是一个很简单的例子，你可以根据自己的规则，对action做更多的修改。

而在filter.d目录里就是一些日志的正则式匹配规则，系统自带了一些常见软件的匹配，如
sshd,apache,postfix,vsftpd,pure-ftpd等等。来看看sshd的规则，就能了解这些filter应该怎么写，你就可以用fail2ban来保护更多自己的服务。
sshd.conf的内容

[Definition]
failregex = Authentication failure for .* from
Failed [-/\w]+ for .* from
ROOT LOGIN REFUSED .* FROM
[iI](?:llegal|nvalid) user .* from
ignoreregex =

可以看到，每行一则正则式，对应各种错误认证，如果你的sshd版本错误认证日志项不太一样，可以修改这里的，或者加入更多。
完全设置完毕后，过了一段时间，查看日志/var/log/fail2ban.log，嘿嘿～

20012-01-07 17:42:49,681 fail2ban.actions: WARNING [ssh-iptables] Ban 219.235.231.76
20012-01-07 17:48:00,823 fail2ban.actions: WARNING [ssh-iptables] Ban 60.191.63.180
20012-01-07 18:42:50,456 fail2ban.actions: WARNING [ssh-iptables] Unban 219.235.231.76
20012-01-07 18:48:01,424 fail2ban.actions: WARNING [ssh-iptables] Unban 60.191.63.180
20012-01-07 23:14:43,921 fail2ban.actions: WARNING [ssh-iptables] Ban 59.42.210.176
20012-01-08 00:14:44,797 fail2ban.actions: WARNING [ssh-iptables] Unban 59.42.210.176
20012-01-08 01:49:14,241 fail2ban.actions: WARNING [ssh-iptables] Ban 58.143.242.123
20012-01-08 02:49:15,236 fail2ban.actions: WARNING [ssh-iptables] Unban 58.143.242.123
20012-01-08 07:20:54,717 fail2ban.actions: WARNING [ssh-iptables] Ban 210.51.22.207
20012-01-08 08:20:55,297 fail2ban.actions: WARNING [ssh-iptables] Unban 210.51.22.207s

写到这里基本上就结束了，不过有一个要提醒大家一下哦，256MB的VPS运行这个有些吃力，用不用就看你自己的选择了。

任务管理器截图

顺便写一下这家VPS的配置

1.5GB RAM

45GB Disk Space

2TB Transfer

1 IP

Windows 2008
US East Coast

$22.95 USD Monthly
$229.50 USD Annually

是不是很贵呢，呵呵，收来的二手货

购买的话 连接在这里www.thrustvps.com,各位放心，这家是没有推介费的。

远程终端登录

1. 下载:SSH Secure Shell Client

2. 安装后桌面会出现两个图标:

SSH Secure Shell Client是用来登录ssh的终端,双击运行后,在左上角点击”Quick connect”:

在弹出窗口中输入你的VPS IP地址,用户名(一般来说是root用户),端口(默认的端口是22):

第一次连接VPS的话会弹出一个窗口,询问你是否保存密钥,点yes.

在弹出的窗口中输入你的root密码,然后就能登录VPS的远程终端了.

上传下载文件

1. 点击桌面上的SSH Secure File Transfer Client图标,类似于上一步的流程登录系统.
2. 登录成功后就能通过sftp服务上传和下载文件了.

#cat /dev/net/tun

返回以下信息,表示tun开启,可以安装openvpn服务:

cat: /dev/net/tun: File descriptor in bad state

然后查看PPP权限是否开通

cat /dev/ppp

返回以下结果表面ppp正常:

cat: /dev/ppp: No such device or address

如果返回结果不是上面的情况，最好发TK联系你VPS的客服，开通PPP权限。

2. 下载CentOS VPN一键安装脚本

wget http://www.sjbeta.com/shell/vpn_centos.sh

bash vpn_centos.sh

运行脚本后，有三个提示：
1. 安装VPN服务
2. 修复VPN服务
3. 添加VPN用户

一般首次安装使用第一个选项，即“安装VPN服务”，输入1后回车，等一会安装完毕后系统会生成一个默认用户名为“vpn”，密码为随机的用户名。

3. 添加用户

您的VPN服务可能像提供给更多人使用，可以添加用户：

bash vpn_centos.sh

输入3后回车，然后输入需要添加的用户名和密码即可。

4. 修复VPN服务

可能有时候VPN服务损坏无法开启，选择2可以修复VPN服务。

#cd ~
#wget http://www.sjbeta.com/shell/l2tp_centos.sh

开始安装

#bash l2tp_centos.sh

脚本会给出3个选项，分别是： 1. 安装L2TP VPN服务 2. 修复VPN服务 3. 添加VPN用户 当然第一次要首先运行第一步，输入1，然后回车。不到一分钟时间L2TP VPN服务就安装完毕，最后的信息还会提示脚本默认创建一个用户名为vpn，密码为随机6位密码的用户。 3. 添加VPN用户

#bash l2tp_centos.sh

这次直接输入3，回车。分别输入你要添加的用户名和密码，然后这个用户就添加到系统中了。 4. 修复VPN服务 有时候VPN服务会连接出错，这时候需要重新运行脚本，输入2，然后回车，最好能reboot一次VPS。

1. 开场童谣（表演者：邓鸣贺）
2. 《东西南北大拜年》
①《欢乐中国年》（表演者：李谷一、王珞丹、冯绍峰、蔡卓妍、主持人）
②《闹秧歌》（表演者：胡宝善、胡军一家）
③《小拜年》（表演者：胡海泉一家、陈羽凡、白百何夫妇）
④《采茶舞曲》（表演者：沙溢、胡可夫妇）
⑤《祝福你》（表演者：张卫健、张茜夫妇）
3. 绛州鼓乐《鼓韵龙腾》（表演者：山西绛州鼓乐团、河南登封少林塔沟武术学校）
4. 群口相声《小合唱》（表演者：周炜、佟铁鑫、吕继宏、王宏伟、刘和刚）
5. 创意钢琴《金蛇狂舞》+ 歌曲《龙的传人》（表演者：王力宏、李云迪）
6. 创意儿童节目《除夕的传说》（表演者：韩庚）
7. 歌曲《万物生》（表演者：萨顶顶）
8. 小品《天网恢恢》（表演者：蔡明、王宁、常远、郭丰周）
9. 舞蹈《龙凤呈祥》（领舞：李倩、张傲月）
10. 短片《回家过年》
11. 歌曲《好久没回家》（表演者：陈坤）
12. 歌曲《叫一声爸妈》（表演者：宋祖英）
13. 小品《荆轲刺秦》（表演者：黄宏、邵峰、沙溢）
14. 杂技《空山竹语》（表演者：李振宇、左朝峰、袁飞）
15. 民族歌舞《追爱》（表演者：雷佳、沙呷俊楠、湖南魅力湘西歌舞团、中国邮政艺术团）
16. 小品《今天的幸福》（表演者：沈腾、黄杨、艾伦）
17. 歌曲《因为爱情》（表演者：王菲、陈奕迅）
18. 《魔术》（表演者：刘谦）
19. 现代芭蕾《天鹅湖》（表演者：俄罗斯TODES舞团）
20. 相声剧《爱的代驾》（表演者：冯巩、牛莉、闫学晶）
21. 歌曲《把幸福给你》（表演者：孙楠）
22. 小品《面试》 （表演者：郭冬临、魏积安、傅浚琪、何军）
23. 儿童节目《玩具总动员》（哈尔滨工业大学机器人创新基地）
24. 戏曲节目《戏迷一家亲》（表演者：刘佩琦、李明启、高长志、张杰、李沛泽、李泽林）
25. 相声《奋斗》（表演者：曹云金、刘云天）
26. 歌曲《新贵妃醉酒》（表演者：李玉刚）
27. 短片《春晚记忆》
28. 歌曲《致敬30年》
①《冬天里的一把火》（表演者：金美儿）
②《故乡的云》（表演者：费翔）
③《爱的奉献》（表演者：韦唯、吴秀波）
④《常回家看看》（表演者：蔡国庆、王珞丹）
⑤《前门情思大碗茶》（表演者：李谷一）
⑥《我的中国心》（表演者：张明敏）
29. 舞蹈《雀之恋》（表演者：杨丽萍、王迪）
30. 歌曲《大爱》（表演者：刘欢）
31. 歌曲《我要回家》（表演者：朱之文）
32. 舞蹈《老妈妈》（表演者：四川广元老妈妈艺术团）
33. 歌曲《好人就在身边》（表演者：谭晶）
34. 舞蹈《舞动冰凌》（表演者：吉林省歌舞团）
35. 歌曲《思乡曲》（表演者：蒋大为）
36. 歌曲《远方的家》（表演者：张也）
37. 歌舞《中国美》（表演：玖月奇迹、玉米提、万玛尖措、薛一村子、赛娜、柴森森、李杨、苏宁
38. 舞蹈《眷恋》（表演者：胡启志）
39. 歌曲《天下一家》（表演者：王莉、廖昌永）