在Ubuntu16.04上启用TCP-BBR BBR简介BBR 是 Google 推出的一个「TCP 拥塞控制算法」，它是以 Linux 内核模块的形式加载，可以最大化 Linux Server 的网络吞吐量。简单地说，开启 BBR 的 Linux Server 和不开启 BBR 的 Linux Server，在持续传输数据方面可以有非常大的不同。BBR 尽管还没有在主流发行版中默认开启，但 Google 已经在 YouTube 网站上实践了很久，可以说是很成熟的一样技术了。检测 BBR 是否开启在开始之前，先看看 BBR 是否已经启用了，执行这条指令可以返回当前 Linux 内核可以使用的 TCP 拥堵控制算法：sudo apt-get cleansudo apt-get updatesysctl net.ipv4.tcp_available_congestion_control例如，在我的Server上返回了如下内容：net.ipv4.tcp_available_congestion_control = cubic reno可以看到是没有BBR的，因为默认的 Ubuntu 16.04 用的是 Linux 4.4.0 内核，所以自然是看不到 BBR 的。我们再次确认下系统当前启用的拥塞算法：sysctl net.ipv4.tcp_congestion_control返回的内容是：net.ipv4.tcp_congestion_control = cubic可以看到系统使用的是 cubic 这个默认的算法。接下去我们通过最标准的模式来为这台 Ubuntu 16.04 启用 BBR安装 4.10+ 新内核BBR 只能配合 Linux Kernel 4.10 以上内核才能使用。但是在 Ubuntu 16.04 上怎么使用 4.10 呢？难道要手动下载和安装吗？不能！这会有一个安全隐患，手动下载安装的新内核，无法保证后续能得到及时的安全更新。那么怎么办？这里推荐使用 HWE 版本的内核，它就在官方源里。HWE，即：HareWare Enablement，是专门为在老的系统上支持新的硬件而推出的内核。你可以像安装其他软件包一样在 Ubuntu 16.04 里非常容易的安装它，只需要执行下面的命令：sudo apt-get install linux-generic-hwe-16.04对！只需要这样就OK了！安装好以后重启系统，然后输入：uname -a我的Server输出如下：Linux oneone 4.15.0-74-generic #83~16.04.1-Ubuntu SMP Wed Dec 18 04:56:23 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux可以看到系统内核已经升级到4.15.0了。为Ubuntu 16.04 启用 BBR接下来就可以为新内核装载 BBR 模块了，分别执行：sudo modprobe tcp_bbr echo "tcp_bbr" | sudo tee -a /etc/modules-load.d/modules.conf接下来我们再来查看系统支持的拥塞算法，可以看到BBR已经在里面了：sysctl net.ipv4.tcp_available_congestion_control返回：net.ipv4.tcp_available_congestion_control = reno cubic bbr接下来就正式启用BBR，把它设为系统的默认拥塞算法，分别执行：echo "net.core.default_qdisc=fq" | sudo tee -a /etc/sysctl.confecho "net.ipv4.tcp_congestion_control=bbr" | sudo tee -a /etc/sysctl.confsudo sysctl -p最后，再来验证一下是否设置成功，可以看到BBR已经是默认算法：sysctl net.ipv4.tcp_congestion_control返回：net.ipv4.tcp_congestion_control = bbr

centos7 安装bbr脚本 BBR（Bottleneck Bandwidth and Round-trip propagation time）是Google 提出的一种新型拥塞控制算法，可以使Linux服务器显著地提高吞吐量和减少TCP连接的延迟。Google已经开源了该算法，并提交到了Linux内核，从4.9开始，Linux内核已经用上了该算法。解决方案查看当前Centos的版本大于7.3即可cat /etc/redhat-release执行一键安装脚本wget --no-check-certificate -O /opt/bbr.sh https://github.com/teddysun/across/raw/master/bbr.sh && chmod 755 /opt/bbr.sh && /opt/bbr.sh安装完成后会提示重启系统立即重启，输入：y ，等待重启完毕失败请执行：yum install -y linux-firmware验证当前的TCP算法sysctl net.ipv4.tcp_available_congestion_control结果： net.ipv4.tcp_available_congestion_control = reno cubic bbr 输出结果包含bbr 表示成功查看BBR是否启动sysctl net.ipv4.tcp_congestion_control结果为： net.ipv4.tcp_congestion_control = bbr 查看BBR是否已经载入了系统模块lsmod | grep bbr结果为： tcp_bbr 20480 8

SSHD服务启动失败 一台在线才5天的服务器，用 lastb |wc -l 统计了下，有近十万次的暴力破解登录失败记录。隧想改下 sshd 的监听端口，免得招蜂引蝶。打开配置文件 /etc/ssh/sshd_config 把默认的22端口改成高位端口后，用 systemctl restart sshd.service 重启sshd服务失败。报错如下：Job for sshd.service failed because the control process exited with error code. See "systemctl status sshd.service" and "journalctl -xe" for details.systemctl status sshd.service 的输出如下：● sshd.service - OpenSSH server daemon Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; vendor preset: enabled) Active: activating (auto-restart) (Result: exit-code) since 四 2018-09-27 10:10:42 CST; 38s ago Docs: man:sshd(8) man:sshd_config(5) Process: 47324 ExecStart=/usr/sbin/sshd -D $OPTIONS (code=exited, status=255) Main PID: 47324 (code=exited, status=255) 9月 27 10:10:42 english systemd[1]: sshd.service: main process exited, code=exited, status=255/n/a 9月 27 10:10:42 english systemd[1]: Failed to start OpenSSH server daemon. 9月 27 10:10:42 english systemd[1]: Unit sshd.service entered failed state. 9月 27 10:10:42 english systemd[1]: sshd.service failed.没啥有用的提示，再看 journalctl -xe-- Unit sshd.service has begun starting up. 9月 27 10:12:07 english sshd[47352]: error: Bind to port 23389 on 0.0.0.0 failed: Permission denied. 9月 27 10:12:07 english sshd[47352]: error: Bind to port 23389 on :: failed: Permission denied. 9月 27 10:12:07 english sshd[47352]: fatal: Cannot bind any address. 9月 27 10:12:07 english systemd[1]: sshd.service: main process exited, code=exited, status=255/n/a 9月 27 10:12:07 english systemd[1]: Failed to start OpenSSH server daemon. -- Subject: Unit sshd.service has failed -- Defined-By: systemd说我没权限绑定 23389 端口，老夫是 root 咋会没权限呢？/var/log/messages 里面没有啥有用的提示， /var/log/secure 里面的提示跟上面显示一样，没权限。两头雾水。经验告诉我，当日志里面没明显提示，而服务又是和安全相关的时候，锅往 selinux 上甩准没错，果然 getenforce 返回的是 Enforcing 。执行 setenforce 0 关闭 selinux 后，一切正常。最后提醒下，修改 sshd 配置文件属于高危操作，要慎之又慎，如上文，端口改成23389后，你重启sshd服务让修改生效，重启这个动作分解是这样的：1、停止SSHD服务2、用修改后的新配置文件启动SSHD服务，而此时配置文件有误，无法启动SSHD。无法启动SSHD服务，这想想都刺激呢？若是云服务器还好，可以通过web控制台的console连接上去操作，若是托管在IDC机房的机器，只能去机房接显示器了。比较安全的方法就是用一个脚本每隔20分钟把正确的sshd配置文件覆盖回来，然后启动SSHD服务，当你确认修改成功后，再取消掉这个脚本。

centos7 配置使用证书登录 1.切换到需要使用证书登陆的用户2.生成证书 -t 指定使用的加密方法ssh-keygen -t rsa3.将公钥写入到authorized_keyscat /root/.ssh/id_rsa.pub >> /root/.ssh/authorized_keys4.设置权限，很重要chmod 600 /root/.ssh/authorized_keys chmod -R 700 /root/.ssh5.修改sshd_config 配置文件，编辑该文件，需要root权限，然后重启sshdvim /etc/ssh/sshd_config修改前：修改为：重启SSHsystemctl restart sshd6.下载私钥，使用xshell登陆7.关闭密码登陆vim /etc/ssh/sshd_config修改前：修改为：重启SSHsystemctl restart sshd8.授权多个服务器使用该证书登陆，要确保都有同一个用户直接将刚刚生成的id_rsa_pub 追加到需要授权登陆的服务器中的aurhorized_keys需要提示 该证书未在远程计算机上注册，有两种可能1.没有追加成功2.authorized_keys的权限必须是600

centos7修改root用户密码 一 如果知道旧密码，已经登录进去了，则 使用命令修改即可，修改即刻生效，不需要重启1.修改系统用户root密码[root@ITCATS-01 ~]# passwd 更改用户 root 的密码 。 新的 密码：2.修改系统非root用户密码：huazi[root@ITCATS-01 ~]# cat /etc/passwd //查看当前所有用户，自己创建的用户，在最后 ...... huazi:x:1000:1000:HUAZI:/home/huazi:/bin/bash [root@ITCATS-01 ~]# passwd huazi 更改用户 huazi 的密码 。 新的 密码二 如果不知道旧密码，则需要重启系统，通过如下方式修改重启系统，在开机过程中，快速按下键盘上的方向键上和下。目的是告知引导程序，我们需要在引导页面选择不同的操作，以便让引导程序暂停。按键盘 e 键，进入编辑模式，找到 linux16 的那一行。将光标一直移动到 LANG=en_US.UTF-8 后面，空格，再追加 init=/bin/sh 。这里特别注意，需要写在UTF-8后，保持再同一行，并注意空格。由于屏幕太小，会自动添加\换行，这个是正常的。二 按下Ctrl+X 进行引导启动(单用户模式启动)，成功后进入该界面。然后输入以下命令1 挂载根目录mount -o remount, rw /2 选择要修改密码的用户名，这里选择root用户进行修改，可以更换为你要修改的用户passwd root3 输入2次一样的新密码，注意输入密码的时候屏幕上不会有字符出现。如果输入的密码太简单，会提示警告: BAD PASSWORD：The password fails the dictionary check - it is too simplistic/systematic） ，可以无视它，继续输入密码，不过建议还是设置比较复杂一些的密码，以保证安全性。4 更新系统信息touch /.authorelabel5 最后输入以下命令重启系统即可exec /sbin/init 或 exec /sbin/reboot