等了几天，盼到了。

坐地铁5号线，在“会展中心”站下，会场就在附近，好找。

先是在签到处说了身份证号码和手机号，妹纸说找不到信息，但可以现场报名，妹纸问有没有名片，我说没有。扫一下屏幕的二维码，现场提交个人信息，其中有“就职公司”之类的，我“发挥”一下，填了“安群网”，职位是“老总”，打印出来的二维码上，真有“安群网”，但可能顾及我的面子，“老总”的职位没打印出来。

之后呢，人多，所以坐扶手楼梯到了6楼，找到“文厅”，听“阿里云支持与服务专场”的演讲。

我在后边找一个“安静”的位坐下。听着大佬们讲，不时有人捧着手机拍屏幕上显示的演讲稿内容，但我仿佛是因为没睡午觉，眼前的PPT越来越模糊，声音慢慢变远，眼皮懒懒地想合上。瞌睡中，一个帅小伙说是卓游的技术总监，讲了阿里云适合他们业务的原因，挺不错的。四点多时，会场结束，我差不多最后，出门时，一个妹纸问，“你的牌牌呢？”，我从裤兜里掏出带有二维码的参会卡片，被“滴”了之后，换到了一本“hello world”的笔记（第二天送给小张了）。

我是特意穿着阿里云“more than just cloud”去的，但签到处的妹纸穿的是新版的"hello YunQi"，在离开下扶手楼梯时看到两个提着AOC设备的哥们也是老版的"just cloud"，再凑一个，可以上场打“吃鸡”游戏了。

1.yum update # 更新软件
2.hostname erow.org # 设置主机名
3.vi /etc/postfix/main.cf # 编辑 postfix 配置文件，设置 myhostname = erow.org
4.yum install stunnel # 安装 stunnel 软件，目的是转发465端口数据
5.vi /etc/stunnel/stunnel.conf # 编辑 stunnel 配置文件，内容如下：

[smtp-tls-wrapper]
accept = 11125
client = yes
connect = smtp.mxhichina.com:465

6.vi /etc/rc.d/init.d/stunnel # 编辑 stunnel 启动配置文件，内容如下：

#!/bin/bash
#
# Init Script to run stunnel in daemon mode at boot time.
#
# Author: Riccardo Riva - RPM S.r.l.
# Revision 1.0 - 2010 November, 11

#====================================================================
# Run level information:
#
# chkconfig: 2345 99 99
# description: Secure Tunnel
# processname: stunnel
#
# Run "/sbin/chkconfig --add stunnel" to add the Run levels.
# This will setup the symlinks and set the process to run at boot.
#====================================================================

#====================================================================
# Paths and variables and system checks.

# Source function library
. /etc/rc.d/init.d/functions

# Check that networking is up.
#
[ ${NETWORKING} ="yes" ] || exit 0

# Path to the executable.
#
SEXE=/usr/bin/stunnel

# Path to the configuration file.
#
CONF=/etc/stunnel/stunnel.conf

# Check the configuration file exists.
#
if [ ! -f $CONF ] ; then
echo "The configuration file cannot be found!"
exit 0
fi

# Path to the lock file.
#
LOCK_FILE=/var/lock/subsys/stunnel

#====================================================================

# Run controls:

prog=$"stunnel"

RETVAL=0

# Start stunnel as daemon.
#
start() {
if [ -f $LOCK_FILE ]; then
echo "stunnel is already running!"
exit 0
else
echo -n $"Starting $prog: "
$SEXE $CONF
fi

RETVAL=$?
[ $RETVAL -eq 0 ] && success
echo
[ $RETVAL -eq 0 ] && touch $LOCK_FILE
return $RETVAL
}

# Stop stunnel.
#
stop() {
if [ ! -f $LOCK_FILE ]; then
echo "stunnel is not running!"
exit 0

else

echo -n $"Shutting down $prog: "
killproc stunnel
RETVAL=$?
[ $RETVAL -eq 0 ]
rm -f $LOCK_FILE
echo
return $RETVAL

fi
}

# See how we were called.
case "$1" in
start)
start
;;
stop)
stop
;;
restart)
stop
start
;;
condrestart)
if [ -f $LOCK_FILE ]; then
stop
start
RETVAL=$?
fi
;;
status)
status stunnel
RETVAL=$?
;;
*)
echo $"Usage: $0 {start|stop|restart|condrestart|status}"
RETVAL=1
esac

exit $RETVAL

#--- End of file ---

7.chkconfig stunnel on # 启用 stunnel 服务
8.chmod +x /etc/init.d/stunnel # 为 stunnel 配置文件，添加执行权限
9.service stunnel start # 启动 stunnel 服务
10.mkdir /etc/postfix/sasl # 创建 sasl 目录
11.vi /etc/postfix/sasl/sasl_passwd # 创建邮箱账户登录信息配置文件，内容如下：

[localhost]:11125 postmaster@erwo.org:password

12.postmap /etc/postfix/sasl/sasl_passwd # 生成postfix密码配置文件
13.chmod 600 /etc/postfix/sasl/* # 为了保护smtp的登录信息，需要修改上边两个文件为root用户只读写
14.vi /etc/postfix/main.cf # 修改 /etc/postfix/main.cf 文件，修改 relayhost = [localhost]:11125 , 添加SMTP信息：

relayhost = [localhost]:11125

#### SMTP
# Enable SASL authentication
smtp_sasl_auth_enable = yes
# Disallow methods that allow anonymous authentication
smtp_sasl_security_options = noanonymous
# Location of sasl_passwd
smtp_sasl_password_maps = hash:/etc/postfix/sasl/sasl_passwd
# Enable STARTTLS encryption
# smtp_tls_security_level = encrypt
# Location of CA certificates
smtp_tls_CAfile = /etc/ssl/certs/ca-bundle.crt
smtp_generic_maps = hash:/etc/postfix/generic

15.因为多数免费邮箱限定发信人是登录名（如postmaster@erwo.org），所以在 /etc/postfix/generic 文件里填写可能发信的地址，如：apache

apache postmaster@erwo.org

16.postconf -e 'smtp_host_lookup = dns, native' # 设置postfix dns解析
17./etc/init.d/postfix restart # 重启postfix
18.tail /var/log/maillog # 如有错误，可查看日志

参考：https://randomcentos.wordpress.com/2015/04/21/installing-stunnel-client-on-centos-6-6/

场景：日常用ssh远程登录到Debian，用vi来查看配置文件或日志文件，如nginx的，需要复制一些文本内容。

过程：

1. Debian 8 系统里，vi 命令是 vi “原版”程序

   [root@iZj6c8af]# whereis vi
   vi: /bin/vi /usr/share/man/man1/vi.1.gz
   [root@iZj6c8af]# ls -l /bin/vi
   -rwxr-xr-x. 1 root root 907248 Jul 24  2015 /bin/vi
   [root@iZj6c8af]#

2. 但在Debian 9系统里，vi命令是指向 vim 了

   root@AY130221:~# whereis vi
   vi: /usr/bin/vi /usr/share/man/man1/vi.1.gz
   root@AY130221:~# ls -l /usr/bin/vi
   lrwxrwxrwx 1 root root 20 Oct 25 14:08 /usr/bin/vi -> /etc/alternatives/vi
   root@AY130221:~# ls -l /etc/alternatives/vi
   lrwxrwxrwx 1 root root 18 Oct 25 14:11 /etc/alternatives/vi -> /usr/bin/vim.basic

3. vim 相对于 vi 来说，可以提供额外的一些功能，如语法高亮显示等。对于本人的使用习惯，默认的vim配置，当用鼠标选中两个或多个字符时，会自动进入可视化（VISUAL），在vim程序中复制和粘贴，不是复制到本地
4. vi ~/.vimrc # 创建个人的vim配置文件
5. syntax on # 添加这行内容，目的是增加语言高亮显示功能，但清除在vim中鼠标选定等功能
6. 再次运行vi测试，可以在ssh里用鼠标选定和复制文本内容到本地了

参考：

• https://wiki.debian.org/vim
• http://blog.csdn.net/sinkary/article/details/7531747
• https://unix.stackexchange.com/questions/318824/vim-cutpaste-not-working-in-stretch-debian-9

FUDforum是用PHP写的网上论坛程序，支持多种数据库。本例是在Debian 9，php7.0 和 PostgreSQL 9.6 环境里的安装实践。

过程：

1. apt-get update # 更新软件仓库
2. apt-get install nginx # 安装nginx，如果提示启动失败，请注释掉默认站点监听ipv6的配置行
3. apt-get install php7.0-fpm php7.0-pgsql php7.0-mbstring php7.0-pspell # 安装php7.0及相应组件

4. /etc/nginx/sites-enabled/default # 修改默认站点的配置内容，如添加php支持，增加SSL访问等，本例部分内容如下：

        # pass PHP scripts to FastCGI server
        #
        location ~ \.php$ {
                include snippets/fastcgi-php.conf;
        #
        #       # With php-fpm (or other unix sockets):
                fastcgi_pass unix:/var/run/php/php7.0-fpm.sock;
        #       # With php-cgi (or other tcp sockets):
        #       fastcgi_pass 127.0.0.1:9000;
        }

5. apt-get install postgresql postgresql-client # 安装PostgreSQL服务端及客户端
6. su postgres # 从当前root用户切换到postgres用户
7. psql # 登录到PostgreSQL控制台

8. 在控制台执行以下命令，创建 fuduser 用户，创建 fuddb 数据库，且授予fuduser用户管理fuddb数据库

   CREATE USER fuduser WITH PASSWORD 'aqtest888';
   CREATE DATABASE fuddb OWNER fuduser;
   GRANT ALL PRIVILEGES ON DATABASE fuddb to fuduser;

9. 下载好FUDforum安装包，本例解压到/var/www/html的路径，且创建好/var/www/FUDforum的目录存储论坛的缓存等文件，并设置好权限
10. 在浏览器里访问 install.php，开始安装
11. 检测安装环境
12. 安装第一步，检测访问网址和存储路径
13. 安装第二步，填写数据库访问信息
14. 安装第三步，设置cookies域名，不过这里出现了数据库查询失败的警告
15. 安装第四步，设置论坛主题和显示语言，这里选择了默认的主题和简体中文的语言
16. 安装第五步，设置论坛管理员用户名，密码和邮箱地址
17. 删除网站目录里的 install.php , uninstall.php， upgrade.php 和 fudforum_archive 文件，完成安装
18. 论坛前、后台浏览，内容显示正常

参考：

• http://www.ruanyifeng.com/blog/2013/12/getting_started_with_postgresql.html
• http://fudforum.org/forum/

strongSwan能提供方便、快捷的加密和认证，适合远程办公，信息交换等场合。

环境：Debian 9，经典网络的阿里云ECS实例。
目的：服务端使用SSL证书，客户端凭用户名和密码登录。

过程：

1. apt-get update # 更新软件仓库
2. apt-get install strongswan # 安装 strongswan (5.5.1-4+deb9u1)
3. apt-get install libcharon-extra-plugins # 安装额外的 plugin，支持Windows客户端常用的MSCHAPV2加密

4. /etc/ipsec.conf # 编辑配置文件，添加相应的连接配置内容，如下例

    config setup
       # strictcrlpolicy=yes
       uniqueids=never
   
    conn sample-with-ca-cert
     left=%defaultroute
     leftsubnet=0.0.0.0/0
     leftcert=1_yun.anqun.org_bundle.crt
     right=%any
     rightauth=eap-mschapv2
     rightsourceip=10.2.0.0/16
     rightsendcert=never
     eap_identity=%any
     auto=add
   
    conn networkmanager-strongswan
     keyexchange=ikev2
     left=%defaultroute
     leftauth=pubkey
     leftsubnet=0.0.0.0/0
     leftcert=1_yun.anqun.org_bundle.crt
     right=%any
     rightauth=pubkey
     rightsourceip=10.2.0.0/16
     rightcert=client.cert.pem
     auto=add  
   
    conn ios_ikev2
     keyexchange=ikev2
     rekey=no
     leftid=yun.anqun.org
     leftsendcert=always
     leftsubnet=0.0.0.0/0
     leftcert=1_yun.anqun.org_bundle.crt
     right=%any
     rightauth=eap-mschapv2
     rightsourceip=10.2.0.0/16
     rightsendcert=never
     eap_identity=%any
     dpdaction=clear
     fragmentation=yes
     auto=add
   
    conn windows7
     keyexchange=ikev2
     rekey=no
     left=%defaultroute
     leftauth=pubkey
     leftsubnet=0.0.0.0/0
     leftcert=1_yun.anqun.org_bundle.crt
     leftsendcert=always
     right=%any
     rightauth=eap-mschapv2
     rightsourceip=10.2.0.0/16
     rightsendcert=never
     eap_identity=%any
     auto=add

5. 将SSL证书中的ca文件保存在 /etc/ipsec.d/cacerts 目录，SSL证书中的服务器文件保存在 /etc/ipsec.d/certs , SSL证书的私匙保存在 /etc/ipsec.d/private
6. /etc/ipsec.secrets # 编辑内容，写明私匙文件名称及用户名和密码等
7. /etc/sysctl.conf # 如需经服务端转发，请在该文件中添加 net.ipv4.ip_forward=1
8. iptables -t nat -A POSTROUTING -s 10.2.0.0/16 -o eth1 -j MASQUERADE # 如需iptables筛选流量，请根据出网网卡及用户端IP段设置
9. 在Windows 7系统及安装有strongSwan应用的安卓手机里测试，可成功连接
10. 如苹果客户设备没有收到DNS配置信息，可以在 /etc/strongswan.d/charon.conf 里设置dns1和dns2的值

参考：

• https://raw.githubusercontent.com/quericy/one-key-ikev2-vpn/master/one-key-ikev2.sh
• https://wiki.strongswan.org/issues/2352
• https://packages.debian.org/stretch/libcharon-extra-plugins
• https://wiki.strongswan.org/issues/1043