PHPor 的Blog – 第75页

ftp proxy

ftp协议包含控制链路和数据链路以及主动模式和被动模式，使得ftp协议的代理变得复杂。而且ftp协议设计上没有考虑代理情况（协议上无法知道要连接的真实地址），包括ftp的client也多不支持代理，尤其是透明代理不方便实现，大概是没有一种标准的代理方式。常见的标识真实目标地址的方法是在用户名后面@server来实现

https://github.com/fredbcode/ftpproxy
apache mod_ftp_proxy
http://www.ftpproxy.org/
1. 似乎默认只能和xinetd一起工作
squid

VPN/auth/encrypt/pptp/l2tp/openvpn

VPN就安全吗？

vpn从概念上来讲只是“虚拟私有网络”，不意味着安全；如果需要auth，就安全了吗？也不一定，就如同web上的http服务，用户一般也需要登录，但是传输层都是明文；所以，还需要加密；~~最近使用pptp的时候就发现pptp是没有加密功能的，这样的vpn其实是不安全的~~。vpn设计的时候都会考虑到安全问题，而采用加密方式的。（原来在vpn的虚拟网卡上抓包看到了明文，就怀疑没有加密，其实应该在真实网卡上抓包来验证是否vpn通道是加密的）

killall 之困

缘起

多个相同名字的进程要全部杀死，很自然会用killall；但是，如果没杀死，将会很郁闷；

结论：

killall参考的是 /proc/pid/comm ;而我们看到的一般是/proc/pid/cmdline ;

如：php-fpm进程显示为：

而我们killall时，写法为：

killall php-fpm

为什么不需要 pool www ？ (因为killall 默认不是精确匹配的，-e选项可以精确匹配，man killall)

另外，我们执行top命令时，‘c’键可以切换命令行列的“短格式”和“长格式”;其实不是什么“短格式”和“长格式”，‘f’ 键可以看到，其实就是comm和cmdline的切换：

pptp 协议学习

缘起

今天要从阿里金融云pptp 到外部的vpn服务器，未能成功，tcpdump抓包结果为：开始几次tcp包交换之后，似乎变成了非tcp的ip协议了，只是开始不再回包，于是开始了解pptp协议。

后测试，发现阿里非金融云是可以pptp到外部服务器的。

分析结论：

阿里金融云不允许GRE; （阿里的弹性公网IP相关文档中有明确描述不支持GRE的，虽然我们用的不是弹性公网IP，或许实现是相同的）

GRE有什么安全问题吗？稍后再研究

PPTP: Point to Point Tunneling Protocol 点对点隧道协议

GRE: Generic Routing Encapsulation 通用路由封装

PPTP 的连接过程如下图:

参考资料：

http://blog.csdn.net/yu_xiang/article/details/9204211

http://blog.csdn.net/msptop/article/details/2451138

http://baike.baidu.com/link?url=KuQHEpUftD_nfw3KdWl-HhZMBxxI7uPHu3c0LQHhwBFfMYicwwiHvAd_oFitKks8wDN9LeaR1Wk3tDXU9HI_Uq

PHP 如何做文件上传下载服务

或许你会问：刚开始学习PHP的时候都会做文件的上传下载，难道这还有什么要研究的吗？

呃….有

为了方便讨论，这里基于nginx+fpm来讨论。

默认情况下：

对于文件上传下载服务，请求从开始到结束，需要全程有一个fpm进程来伺候的，如果同时有1000个文件上传的请求，则需要有1000个fpm进程来伺候；一般来讲，上传或下载文件都需要持续较长的时间，用一个进程来伺候一个请求不是浪费，是非常浪费

参考资料：

http://www.jb51.net/article/51854.htm

http://www.ttlsa.com/nginx/nginx-modules-upload-module/

强大的SO_REUSEPORT

一般来讲，一个（服务）进程listen了一个端口，如果重复启动，则会报端口被占用的错误，听起来也很合理。突然发现linux上出现了SO_REUSEPORT，似乎多个进程可以同时listen同一个端口。

测试脚本 server.php：

<?php
$socket  = socket_create(AF_INET, SOCK_STREAM, SOL_TCP);
socket_set_option($socket, SOL_SOCKET, SO_REUSEPORT, 1);
socket_bind($socket, "127.0.0.1", 2345);
socket_listen($socket);
while($s = socket_accept($socket)) {
    $str = socket_read($s, 2048, PHP_NORMAL_READ);
    socket_write($s, posix_getpid().":".$str);
    socket_close($s);
}

<?php

$socket = socket_create(AF_INET, SOCK_STREAM, SOL_TCP);

socket_set_option($socket, SOL_SOCKET, SO_REUSEPORT, 1);

socket_bind($socket, "127.0.0.1", 2345);

socket_listen($socket);

while($s = socket_accept($socket)) {

$str = socket_read($s, 2048, PHP_NORMAL_READ);

socket_write($s, posix_getpid().":".$str);

socket_close($s);

}

注意：

centos7上如果是yum安装的php，则posix模块的安装方式是： yum install -y php-process (这个名字不叫posix）
启动之后，如果用yum安装的nc来测试，会出现连接被refused的情况，这是因为centos7上的nc默认用的是tcp6（socket_create时使用AF_INET6），一个服务确定的是连接的3要素：协议、IP、端口；切记，tcp和tcp6是两种不同的协议；解决办法：添加 -4选项，即： nc -4 localhost 2345

执行:

php server.php &

既然设置了SO_REUSEPORT，则应该可以再启动一个吧？结果，同时启动两个，则两个进程都被stop了

再看：去掉 ‘&’ 来执行 php server.php ，不放打开多个terminal，我这里打开了两个，发现两个进程都没有再停止了

再打开一个terminal，执行：

while :; do echo “hello”|nc -4 localhost 2345;done

输出里面混杂出现两个进程的pid，证明：两个进程在同时提供服务了;

注意： 即使是多个进程在提供服务，netstat中看到的却只有一个进程在listen

（mac下测试相同脚本，结果是： netstat中可以看到多个进程在listen，但是实际测试却只有一个进程在提供服务，反正我也不同mac来提供线上服务，这里就不研究mac了)

问题：为什么我这个脚本不能推到后台执行？？？？？？？？

strace 跟踪发现，可能和标准输出有关系（这个应该也是centos7和前面版本的差异），把标准输出重定向走：

php server.php >/dev/null &

这样就不会停止了，之于标准错误、标准输入是否会有其他的影响，这个这里就不再研究了

总结：

SO_REUSEPORT 真心不错

参考资料：

http://www.blogjava.net/yongboy/archive/2015/02/04/422732.html

https://my.oschina.net/miffa/blog/390931

Git 安装

yum安装

$ yum install git

1	$ yum install git

源码安装：

安装依赖：

yum install expat-devel

1	yum install expat-devel

yum install zlib-devel perl-ExtUtils-MakeMaker asciidoc xmlto openssl-devel

1	yum install zlib-devel perl-ExtUtils-MakeMaker asciidoc xmlto openssl-devel

获取git源码：

git clone https://github.com/git/git.git

1	git clone https://github.com/git/git.git

安装：

cd git

cd git

make

make

参考：

http://git-scm.com/download/linux

http://www.tuicool.com/articles/eYZFFn

git-svn: http://chirking.iteye.com/blog/888651

outlook for mac

http://pan.baidu.com/s/1bnyVnSb

mysql query cache

查看配置：

查看使用情况：

Qcache_free_blocks: 表示查询缓存中目前还有多少剩余的blocks，如果该值显示较大，则说明查询缓存中的内存碎片过多了，可能在一定的时间进行整理

Qcache_free_memory: 查询缓存的内存大小，通过这个参数可以很清晰的知道当前系统的查询内存是否够用，是多了，还是不够用，DBA可以根据实际情况做出调整

Qcache_hits：命中多少

Qcache_inserts：写入多少

Qcache_lowmem_prunes：空间不够，挤出多少（？）

Qcache_not_cached：有多少查询因不符合条件而没有被写入cache （如：结果集太大、sql条件中使用了函数、select 1等等）

Qcache_queries_in_cache：当前缓存了多少查询

Qcache_total_blocks: 当前缓存的block数量

参考：

http://www.111cn.net/database/mysql/44889.htm

http://www.jb51.net/article/58537.htm

ssl证书

参考： https://www.myssl.cn/products/

使用chrome浏览器测试：（更新：好像现在都不显示为绿色了）

访问 github.com ，地址栏显示锁，也显示公司名称,这个属于EV型的SSL证书；非EV型的都不显示公司名称，尽管是OV的也不显示

2. 访问 https://www.beebank.com/ 地址栏显示锁，不显示公司名称，绿色说明页面中没有引用非https的资源

3. 访问 https://login.sina.com.cn/ 下面是已登录状态，没有锁，也不显示公司名称，(说明页面中包含了非https的资源）

未登录状态: 显示锁，不显示公司名称（奇怪不？）

https证书有DV，EV

DV 免费SSL证书(DV KuaiSSL)属于 Domain Validation SSL 或 DV SSL。是 WoSign 基础级 (Class 1) SSL证书产品，只验证域名所有权， 10分钟颁发，保证了网站的机密信息从用户浏览器到服务器之间的传输是高强度加密传输的，是不会被非法窃取和非法篡改的。

从 SSL 证书的诞生史可以看出：标准型 SSL 证书就是 Organization Validation SSL(OV SSL) ， DV SSL 证书是由于市场恶性竞争而形成的怪胎产品，已经严重伤害了用户对电子商务的在线信任 ( 有安全锁都不可信! ) 。

为了解决 DV SSL 被欺诈网站滥用的问题， Comodo 牵头全球各大证书颁发机构和各大主流浏览器厂商成立了一个 CA/浏览器论坛，推出了一个新的 SSL 证书产品来增强电子商务用户的在线信任和保证在线交易的安全，这就是 Extended Validation SSL Certificate, 简称为： EV SSL 证书。 EV SSL 证书采用全球统一严格验证身份标准来颁发 SSL 证书，不仅能像其他 OV SSL 证书一样能高强度加密在线用户的机密交易信息，而且还会非常显著地 ( 浏览器地址栏为绿色 ) 向在线用户表明他们 / 她们确实是正在与一个经过严格身份验证的网站进行在线交易，而不是一个假冒网站。 EV SSL 让浏览器地址栏变成绿色，绿色安全通道，增强在线信任，打造诚信网络，促成更多在线销售!

所以，推荐所有电子商务网站都部署 OV SSL 证书或 EV SSL 证书，特别推荐 EV SSL ，绿色地址栏，让用户更加信任您的网站，从而获得更多在线订单。

赛门铁克的EV证书还附带有每日网站而已软件扫描服务

难道EV类型不提供通配符证书？

关于单域名ssl证书需要注意：

1、当您位 www 前缀的域名申请证书的时候，默认是可以保护不带 www 的主域名，例如您位 www.sslzhengshu.com 申请证书，则 sslzhengshu.com 也默认会被保护；

2、当您位其他前缀的子域名申请证书时，则只能保护当前子域名不能保护不带前缀的主域名。

参考： https://www.sslzhengshu.com/article/post-35.html