SSH 登录太慢可能是 DNS 解析的问题，默认配置下 sshd 初次接受 ssh 客户端连接的时候会自动反向解析客户端 IP 以得到 ssh 客户端的域名或主机名。如果这个时候 DNS 的反向解析不正确，sshd 就会等到 DNS 解析超时后才提供 ssh 连接，这样就造成连接时间过长、ssh 客户端等待的情况，一般为10-30秒左右。有个简单的解决办法就是在 sshd 的配置文件（sshd_config）里取消 sshd 的反向 DNS 解析。

# vi /etc/ssh/sshd_config
UseDNS no
# /etc/init.d/sshd restart

对于一个每日 PV 不超过1万的小博客来说，性能不是问题，一般的 VPS 都可以搞定，稳定性远比性能要重要。服务器 down 掉，会导致博客不能访问，不能更新，长时间 down 的话会失去读者，影响自己的写作计划/情绪，影响pagerank等等。前段时间 Hyperv 报漏洞，导致 FsckVPS 的很多客户丢失重要数据，长时间都不能恢复。小博客/网站的性能不是那么重要，每天没有那么多的访问压力。

为了给博客增加可靠性，给博客做个简单镜像是必要的，幸运的是我们的要求不高，不需要那些什么实时热备份，均衡负载，透明切换等高科技，只需要每隔一段时间同步一下博客以及数据库就可以了，很少有人能坚持每天写一篇博客，能每天写两篇就算牛博了，所以每天同步一次就够了。这里将讨论如何用 rsyn，ssh 和 mysqldump 来同步博客和数据库。

约定

为了更好的描述细节，这里作以下约定：

继续阅读 »

VPS 好比一个 Internet 上的独立服务器，有 root 权限，有独立 IP，完全暴露在 Internet上，所以用 root 登录 VPS 操作时要特别注意安全问题，这年头无聊的人太多了，如果你对安全问题还有犹豫，抱有“我这个小站没人理”的想法，那么打开 /var/log/secure 看看有多少 IP 多少次企图登录你的服务器？

我刚开通的一个 VPS 还来不及用，过几天打开 /var/log/secure 一看，发现 n 个 IP 访问了 n 次。一个 IP 地址为 213.115.115.113 的机器1天内2600多次猜测用户名/密码企图登录。这是 log 文件片段：

Jun 28 13:49:23 blog sshd[3462]: Received disconnect from 213.115.115.113: 11: Bye Bye
Jun 28 13:49:24 blog sshd[3695]: Invalid user radu from 213.115.115.113
Jun 28 13:49:24 blog sshd[3703]: input_userauth_request: invalid user radu
Jun 28 13:49:24 blog sshd[3695]: pam_unix(sshd:auth): check pass; user unknown
Jun 28 13:49:24 blog sshd[3695]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=static-213-115-115-113.sme.bredbandsbolaget.se
Jun 28 13:49:26 blog sshd[3695]: Failed password for invalid user radu from 213.115.115.113 port 51310 ssh2
Jun 28 13:49:26 blog sshd[3703]: Received disconnect from 213.115.115.113: 11: Bye Bye
Jun 28 13:49:27 blog sshd[3910]: Invalid user raducu from 213.115.115.113
Jun 28 13:49:27 blog sshd[3921]: input_userauth_request: invalid user raducu
Jun 28 13:49:27 blog sshd[3910]: pam_unix(sshd:auth): check pass; user unknown
Jun 28 13:49:27 blog sshd[3910]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=static-213-115-115-113.sme.bredbandsbolaget.se
Jun 28 13:49:30 blog sshd[3910]: Failed password for invalid user raducu from 213.115.115.113 port 52740 ssh2
Jun 28 13:49:30 blog sshd[3921]: Received disconnect from 213.115.115.113: 11: Bye Bye
Jun 28 13:49:31 blog sshd[5280]: Invalid user raul from 213.115.115.113
Jun 28 13:49:31 blog sshd[5293]: input_userauth_request: invalid user raul
Jun 28 13:49:31 blog sshd[5280]: pam_unix(sshd:auth): check pass; user unknown
Jun 28 13:49:31 blog sshd[5280]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=static-213-115-115-113.sme.bredbandsbolaget.se
Jun 28 13:49:33 blog sshd[5280]: Failed password for invalid user raul from 213.115.115.113 port 54742 ssh2
Jun 28 13:49:34 blog sshd[5293]: Received disconnect from 213.115.115.113: 11: Bye Bye
Jun 28 13:49:35 blog sshd[5540]: Invalid user robert from 213.115.115.113
Jun 28 13:49:35 blog sshd[5570]: input_userauth_request: invalid user robert
Jun 28 13:49:35 blog sshd[5540]: pam_unix(sshd:auth): check pass; user unknown
Jun 28 13:49:35 blog sshd[5540]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=static-213-115-115-113.sme.bredbandsbolaget.se
Jun 28 13:49:37 blog sshd[5540]: Failed password for invalid user robert from 213.115.115.113 port 56483 ssh2

所以安全问题不可小觑。有2种方式可以增加 root 登录 VPS 时的安全性，这2种方式绑在一起用最好，如果怕麻烦的话至少要用其中的1种。

禁止 root 直接登录 sshd

继续阅读 »