apt install certbot python3-certbot-dns-cloudflare

2、设置cloudflare Token

vi .cerbot# cloudflare tokendns_cloudflare_api_token = your_cloudflare_tokenchmod 600 .cerbot

3、申请证书

certbot certonly --dns-cloudflare --dns-cloudflare-credentials ~/.certbot -d example.com

4、部署脚本

#!/bin/bash# 定义目标域名和目标目录DOMAIN="example.com"  # 替换为你的域名DEST_DIR="/path/to/destination"  # 替换为目标目录# 检查目标目录是否存在，不存在则创建if [ ! -d "$DEST_DIR" ]; then    mkdir -p "$DEST_DIR"fi# 从 Certbot 的默认目录复制证书文件到目标目录cp "/etc/letsencrypt/live/$DOMAIN/privkey.pem" "$DEST_DIR/privkey.pem"cp "/etc/letsencrypt/live/$DOMAIN/fullchain.pem" "$DEST_DIR/fullchain.pem"# 设置目标目录中的文件权限chmod 600 "$DEST_DIR/privkey.pem" "$DEST_DIR/fullchain.pem"echo "证书已成功复制到 $DEST_DIR"

6、调用脚本

certbot renew --deploy-hook "/path/to/your/script.sh"

Tailscale 是什么？

Tailscale 是一个基于 Wireguard 的带有多种网络工具的 P2P 组网工具。得益于其 P2P 的特性，Tailscale 还可以进行内网穿透，打破 NAT 的限制直达另一台主机。

DERP 是什么？

DERP是一个 Tailscale 自行开发的中继服务。当所处网络环境难以穿透（如校园网、移动大内网、4G、5G等）时，所有流量都会经由 DERP 中转至目标地址。

在默认情况下，Tailscale 官方已经提供了环大陆的官方 DERP 服务（见下方图 1），但是由于中国大陆的网络连通性等问题，官方并未提供大陆的 DERP 节点。为了确保大陆的打通成功率，我们需要自建一个 DERP 服务，来帮助我们“打洞”。

2. 安装 Docker 与 Docker compose

这段请自行参考 Docker 官方网站与其他作者写的部署教程，毕竟每个发行版都不尽相同。

curl -fsSL https://get.docker.com | bash -s docker或者curl -fsSL https://get.docker.com | bash -s docker --mirror Aliyun

3. 在 DERP 节点服务中部署 Tailscale 客户端

先安装

curl -fsSL https://tailscale.com/install.sh | sh

登录

tailscale login

4. 启动 Docker 镜像

可用的docker-compose.yaml

services:    derper:    image: fredliang/derper    restart: always    ports:      - 13443:443      - 3478:3478/udp    environment:      DERP_DOMAIN: "derp.example.com"      DERP_CERT_MODE: "manual"      DERP_ADDR: ":443"      DERP_VERIFY_CLENTS: "true"    volumes:      - /var/run/tailscale/tailscaled.sock:/var/run/tailscale/tailscaled.sock      - /home/derp:/app/certs

注意：本地路径 /home/derp 保存与域名相同名称的ssl证书和私钥，例如derp.example.com.cer,derp.example.com.key。

5. 配置 tailscale ACL

"derpMap": {"OmitDefaultRegions": false,//这里改成true就是只用自己的derp互联，建议不改，如果要跨网可以改成true"Regions": {"900": {"RegionID":   900,"RegionCode": "85","RegionName": "HK","Nodes": [{"Name":     "myderp","RegionID": 900,"HostName": "derp.example.com","DERPPort": 13443,"STUNPort": 3478 //这里改成stun的端口}],},},},

6. 测试

重新连接Tailscale，然后测试

tailscale netcheck

Connection closed by 140.82.116.3 port 22fatal: Could not read from remote repository.Please make sure you have the correct access rightsand the repository exists.

Google了一下错误信息，反正肯定是和防火墙有关，禁止了我们访问GitHub的22端口，通过查看GitHub的文档，可以使用HTTPS端口进行push代码。

测试HTTPS端口的SSH是否可行

首先，要测试通过 HTTPS 端口的 SSH 是否可行，请运行以下 SSH 命令：：

ssh -T -p 443 git@ssh.github.com

返回如下信息，表示你可以使用这个办法去规避22端口无法push的问题：

Hi <username>! You've successfully authenticated, but GitHub does not provide shell access.

修改SSH配置文件

打开.ssh/config文件，增加如下内容：

Host github.com    Hostname ssh.github.com    Port 443    User git

测试

Clone代码

git clone ssh://git@ssh.github.com:443/YOUR-USERNAME/YOUR-REPOSITORY.git

Push代码

git push

2024-11-26T09:05:39Z ERR Failed to dial a quic connection error="failed to dial to edge with quic: timeout: no recent network activity" connIndex=0 event=0 ip=198.18.0.502024-11-26T09:05:39Z INF Retrying connection in up to 2s connIndex=0 event=0 ip=198.18.0.502024-11-26T09:05:45Z ERR Failed to dial a quic connection error="failed to dial to edge with quic: timeout: no recent network activity" connIndex=0 event=0 ip=198.18.0.492024-11-26T09:05:45Z INF Retrying connection in up to 4s connIndex=0 event=0 ip=198.18.0.492024-11-26T09:05:54Z ERR Failed to dial a quic connection error="failed to dial to edge with quic: timeout: no recent network activity" connIndex=0 event=0 ip=198.18.0.502024-11-26T09:05:54Z INF Retrying connection in up to 8s connIndex=0 event=0 ip=198.18.0.50

网上查询了一下，大家的说法是NAT，防火墙，再就是客户端的协议方式，最后查了一下自己的网络，排除了NAT，防火墙问题，于是就按照下面的方式修改协议，在docker命令中增加--protocol http2即可，此时强制指定协议为http2，使用的是TCP，这样就不会被运营商阻断了。当然，也可以设置为–protocol auto ，开启自动切换，默认依然是quic，但是失败后可自动切换到http2。

sudo docker run cloudflare/cloudflared:latest tunnel --no-autoupdate run --protocol http2 --token <YOUR_TOKEN>

心想这样应该就可以了吧，结果又报了下面的错误：

2024-11-26T09:11:24Z ERR Unable to establish connection with Cloudflare edge error="TLS handshake with edge error: EOF" connIndex=0 event=0 ip=198.18.0.492024-11-26T09:11:24Z ERR Serve tunnel error error="TLS handshake with edge error: EOF" connIndex=0 event=0 ip=198.18.0.492024-11-26T09:11:24Z INF Retrying connection in up to 16s connIndex=0 event=0 ip=198.18.0.492024-11-26T09:11:32Z ERR Unable to establish connection with Cloudflare edge error="TLS handshake with edge error: EOF" connIndex=0 event=0 ip=198.18.0.502024-11-26T09:11:32Z ERR Serve tunnel error error="TLS handshake with edge error: EOF" connIndex=0 event=0 ip=198.18.0.502024-11-26T09:11:32Z INF Retrying connection in up to 32s connIndex=0 event=0 ip=198.18.0.502024-11-26T09:11:41Z ERR Unable to establish connection with Cloudflare edge error="TLS handshake with edge error: EOF" connIndex=0 event=0 ip=198.18.0.492024-11-26T09:11:41Z ERR Serve tunnel error error="TLS handshake with edge error: EOF" connIndex=0 event=0 ip=198.18.0.49

又是查网络发现这个issue说的靠谱，我家里是软路由透明代理，DNS应该是使用了旁路由的DNS，导致了这个问题，于是我把NAS的dns地址手动指定为我的主路由地址，再次运行docker，查看日志，it works!

2024-11-26T09:20:02Z INF Initial protocol http22024-11-26T09:20:02Z INF ICMP proxy will use A.A.A.A as source for IPv42024-11-26T09:20:02Z INF ICMP proxy will use 0000::0000:0000:0000:0000 in zone eth0 as source for IPv62024-11-26T09:20:07Z INF Starting metrics server on 127.0.0.1:45025/metrics2024-11-26T09:20:08Z INF Registered tunnel connection connIndex=0 connection=xxxxxxxxx event=0 ip=198.41.200.193 location=sjc07 protocol=http2

歌词如下：

To you, yes, my love to you
Yes, my love to you, you, to you
私は私 貴方は貴方と
昨夜言ってた そんな気もするわ
グレイのジャケットに
見覚えがある コーヒーのしみ
相変らずなのね
ショーウィンドウに 二人映れば
Stay with me
真夜中のドアをたたき
帰らないでと泣いた
あの季節が 今 目の前
Stay with me
口ぐせを言いながら
二人の瞬間を抱いて
まだ忘れず 大事にしていた
恋と愛とは 違うものだよと
昨夜言われた そんな気もするわ
二度目の冬が来て
離れていった貴方の心
ふり返ればいつも
そこに 貴方を感じていたの
Stay with me
真夜中のドアをたたき
心に穴があいた
あの季節が 今 目の前
Stay with me
淋しさまぎらわして
置いたレコードの針
同じメロディ 繰り返していた
Stay with me
真夜中のドアをたたき
帰らないでと泣いた
あの季節が 今 目の前
Stay with me
口ぐせを言いながら
二人の瞬間を抱いて
まだ忘れず 暖めてた
Stay with me
真夜中のドアをたたき
帰らないでと泣いた
あの季節が 今 目の前
Stay with me
口ぐせを言いながら
二人の瞬間を抱いて
まだ忘れず 暖めてた
Stay with me
真夜中のドアをたたき
帰らないでと泣いた
あの季節が 今 目の前
Stay with me

• 将本地网络的服务暴露到公网，可以理解为内网穿透。 例如我们在本地服务器 192.168.1.1:3000 搭建了一个 Transmission 服务用于 BT 下载，我们只能在内网环境才能访问这个服务，但通过内网穿透技术，我们可以在任何广域网环境下访问该服务。相比 NPS 之类传统穿透服务，Tunnel 不需要公网云服务器，同时自带域名解析，无需 DDNS 和公网 IP。
• 将非常规端口服务转发到 80/443 常规端口。 无论是使用公网 IP + DDNS 还是传统内网穿透服务，都免不了使用非常规端口进行访问，如果某些服务使用了复杂的重定向可能会导致 URL 中端口号丢失而引起不可控的问题，同时也不够优雅。
• 自动为你的域名提供 HTTPS 认证。
• 为你的服务提供额外保护认证。
• 最重要的是——免费。

Tunnel 工作原理

Tunnel 通过在本地网络运行的一个 Cloudflare 守护程序，与 Cloudflare 云端通信，将云端请求数据转发到本地网络的 IP + 端口。

前置条件

• 持有一个域名
• 将域名 DNS 解析托管到 CF
• 内网有一台本地服务器，用于运行本地与 cloudflare 通信的 cloudflared 程序
• 一张境内双币信用卡（仅用于添加付款方式，服务是免费的）

开始

1. 打开 Cloudflare Zero Trust 工作台面板
2. 创建 Cloudflare Zero Trust ，选择免费计划。需要提供付款方式，使用境内的双币卡即可
   
   填写team name，随意填写
   
   选择免费计划
   
   添加付款方式
   
   填写信用卡信息（仅验证，不会扣款），完成配置
3. 完成后，在 Access Tunnels 中，创建一个 Tunnel。
   
   创建 Tunnel
4. 选择 Cloudflared 部署方式。
   Tunnel 需要通过 Cloudflared 来建立云端与本地网络的通道，这里推荐选择 Docker 部署Cloudflared 守护进程以使用 Tunnel 功能。
   
   获取 Cloudflared 启动命令及 Token
   点击复制按钮复制指令，在本地网络主机上运行命令。我们还可以加上--name cloudflared -d --restart unless-stop为Docker容器增加名称和后台运行。你可以使用下方我修改好命令来创建 Docker，注意替换你为自己的 Token（就是网页中—-token之后的长串字符）

docker run --name cloudflared -d --restart unless-stop cloudflare/cloudflared:latest tunnel --no-autoupdate run --token <YourToken>

5. 配置域名和转发URL
   为你的域名配置一个子域名（Subdomain），Path 留空，URL 处填写内网服务的IP加端口号。注意 Type 处建议使用 HTTP，因为 Cloudflare 会自动为你提供 HTTPS，因此此处的转发目标可以是 HTTP 服务端口。
   
   配置内网目标 IP+端口

完成

接着访问刚刚配置的三级域名，例如 https://app.yourdomain.com（是的，你没看错，是 https，cloudflare 已经自动为域名提供了 https 证书）就可以访问到内网的非公端口号服务了。一个 Tunnel 中可以添加多条三级域名来跳转到不同的内网服务，在 Tunnel 页面的 Public Hostname 中新增即可。

为你的服务添加额外验证

如果你觉得这种直接暴露内网服务的方式有较高的安全风险，我们还可以使用 Application 功能为服务添加额外的安全验证。

1. 点击 Application - Get started。
   
   创建 Application
2. 选择 Self-hosted。
   
   选择类型
3. 填写配置，注意 Subdomain 和 Domain 需要使用刚刚创建的 Tunnel 服务相同的 Domain 配置。
   
   配置三级域名
4. 选择验证方式。填写 Policy name（任意）。在 Include 区域选择验证方式，示例图片中使用的是 Email 域名的方式，用户在访问该网络时需要使用指定的邮箱域名（如@gmail.com）验证，这种方式比较适合自定义域名的企业邮箱用户。另外你还可以指定特定完整邮箱地址、IP 地址范围等方式。
   
   选择验证方式
5. 完成添加
   

此时，访问 https://app.yourdomain.com 可以看到网站多了一个验证页面，使用刚刚设置的域名邮箱，接收验证码来访问。

评价

除了上述直接转发 http 服务之外，Tunnel 还支持 RDP、SSH 等协议的转发，玩法丰富，有待各位探索。作为一款免费的服务，简单的配置，低门槛使用条件，适合各位 Self-hosted 玩家尝试。不过要注意的是 Tunnel 在国内访问速度不快，并且有断流的情况，请酌情使用。

准备工作

找到你的”OneDrive客户ID”

打开浏览器，登录OneDrive，登录以后，地址栏的地址类似如下：
https://onedrive.live.com/?id=root&cid=ABCDEFGHIJKLMNOP

这个ABCDEFGHIJKLMNOP就是你的客户ID，选中复制到粘贴板，我们一会要用。

WinSCP 配置

启动WinSCP工具，在显示的登录对话框中，选择WebDAV，加密类型选择TLS/SSL Implicit encryption，主机名填写d.docs.live.net，用户名和密码填写你的OneDrive账号和密码。

注意：如果你的OneDrive账号启用了二次验证，需要去创建app应用密码

接下来，点击Advanced按钮，在Environment > Directories下面的Remote Directory中填写 /ABCDEFGHIJKLMNOP

点击OK按钮确认，再次点击Save按钮保存设置。

开始使用

双击保存的会话名称，就可以连接了。

以下硬件直通步骤仅针对PVE 8.0以上版本。

打开IOMMU

nano /etc/default/grub

英特尔CPU使用下面的引导参数:

GRUB_CMDLINE_LINUX_DEFAULT="quiet intel_iommu=on"

AMD CPU使用下面的引导参数:

GRUB_CMDLINE_LINUX_DEFAULT="quiet amd_iommu=on"

特别注意，如果你的网卡是PCIE转接的网卡，请多增加一个参数：
我的主机CPU是J4125,参数如下

GRUB_CMDLINE_LINUX_DEFAULT="quiet intel_iommu=on pcie_port_pm=off"

之后，更新grub配置文件

update-grub

2. 增加内核模块

nano /etc/modules

在modules文件中增加如下内容:

vfiovfio_iommu_type1vfio_pci

pve8.0以上版本不需要vfio_virqfd这个模块，因为模块目录压根就没有！！！

3. 更新 initramfs 归档文件

update-initramfs -k -u all

4. 重启pve

reboot

5. 验证IOMMU是否开启

dmesg | grep -e DMAR -e IOMMU

会看到

DMAR: IOMMU ENABLED

6. 可以新增虚拟机了，分配PCI设备，开机！

USB硬盘的直通，PVE确实很方便，直接qm disk set就可以了。

7. 如果你觉得local-lvm 和 lvm 两个分区容易造成空间浪费，可以合并成一个

   1、备份虚拟机
   2、删除虚拟机
   3、删除local-lvm
   命令：lvremove pve/data
   4、把local-lvm空间分配给Local
   命令：
   lvextend -l +100%FREE -r pve/root
   resize2fs /dev/mapper/pve-root
   5、删除local-lvm
   网页登陆，数据中心-存储-删除local-lvm
   6、编辑local，内容里添加 磁盘映像和容器，保存
   7、恢复虚拟机

internalportcfg="0xffffffff"usbportcfg="0x0000"

2. 群晖Photo安装后，无法显示HEVC，HEIF文件，需要安装Advanced Media Extensions，安装后还需要进行patch，才能显示对应文件的缩略图。

# DSM7.1 AME版本3.0.1-2004curl http://code.imnks.com/ame3patch/ame71-2004.py | python# DSM7.2 AME版本3.1.0-3005curl http://code.imnks.com/ame3patch/ame72-3005.py | python

patch以后，上传的照片就可以自动显示缩略图了。
3. Synology Photos人脸识别补丁(仅支持Synology Photos 1.6.x版本)
1、先停用Synology Photos套件
2、SSH连接群晖执行修复

wget http://code.imnks.com/face/PatchELFSharpchmod +x PatchELFSharp# support face and concept./PatchELFSharp "/var/packages/SynologyPhotos/target/usr/lib/libsynophoto-plugin-platform.so.1.0" "_ZN9synophoto6plugin8platform20IsSupportedIENetworkEv" "B8 00 00 00 00 C3"# force to support concept./PatchELFSharp "/var/packages/SynologyPhotos/target/usr/lib/libsynophoto-plugin-platform.so.1.0" "_ZN9synophoto6plugin8platform18IsSupportedConceptEv" "B8 01 00 00 00 C3"# force no Gpu./PatchELFSharp "/var/packages/SynologyPhotos/target/usr/lib/libsynophoto-plugin-platform.so.1.0" "_ZN9synophoto6plugin8platform23IsSupportedIENetworkGpuEv" "B8 00 00 00 00 C3"

3、重建索引

也许，这条路并不平坦。

新的域名 ikrazel.com

我使用的是immortalwrt，可以根据自己使用的版本进行更换。

首先，修改root密码

passwd

其次，修改dropbear的监听端口，避免与openssh监听端口冲突，其次呢，以防万一openssh启动不了，不至于进不了控制台。

uci set dropbear.@dropbear[0].Port=2222uci commit dropbear/etc/init.d/dropbear restart

测试一下2222端口是否能够登录成功，也可以通过终端工具再开一个窗口。

ssh -p 2222 root@192.168.1.1

安装openssh

opkg updateopkg install openssh-server openssh-client openssh-sftp-server

修改ssh配置文件，允许root登录

vi /etc/ssh/sshd_config

找到#PermitRootLogin without-password这行，替换为PermitRootLogin yes,之后保存退出。

然后设置开机自启并启动服务

/etc/init.d/sshd enable/etc/init.d/sshd start

最后用终端程序，从22端口连接路由器吧，应该没有问题了，可以连上了。

接下来就可以停用dropbear，甚至于删除它。

/etc/init.d/dropbear disable/etc/init.d/dropbear stopopkg remove dropbear

You will need a root CA cert and at least one SSL/TLS certificate. It can be self-signed or regular (such as Let’s Encrypt or another SSL/TLS certificate provider).

If you using frp via IP address and not hostname, make sure to set the appropriate IP address in the Subject Alternative Name (SAN) area when generating SSL/TLS Certificates.

需要注意的点：

创建frps证书时，注意vps_ip和vps_domain两个参数，必须是真实的VPSip和域名。

准备openssl配置文件

一般情况下，该配置文件默认位置是/etc/pki/tls/openssl.cnf，如果找不到该文件可以使用如下配置文件。

cat > my-openssl.cnf << EOF[ ca ]default_ca = CA_default[ CA_default ]x509_extensions = usr_cert[ req ]default_bits        = 2048default_md          = sha256default_keyfile     = privkey.pemdistinguished_name  = req_distinguished_nameattributes          = req_attributesx509_extensions     = v3_castring_mask         = utf8only[ req_distinguished_name ][ req_attributes ][ usr_cert ]basicConstraints       = CA:FALSEnsComment              = "OpenSSL Generated Certificate"subjectKeyIdentifier   = hashauthorityKeyIdentifier = keyid,issuer[ v3_ca ]subjectKeyIdentifier   = hashauthorityKeyIdentifier = keyid:always,issuerbasicConstraints       = CA:trueEOF

创建ca证书

openssl genrsa -out ca.key 2048openssl req -x509 -new -nodes -key ca.key -subj "/CN=example.ca.com" -days 5000 -out ca.crt

创建frps服务端证书

openssl genrsa -out server.key 2048openssl req -new -sha256 -key server.key \    -subj "/C=XX/ST=DEFAULT/L=DEFAULT/O=DEFAULT/CN=server.com" \    -reqexts SAN \    -config <(cat my-openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:localhost,IP:VPS_IP,DNS:vps_domain")) \    -out server.csropenssl x509 -req -days 365 -sha256 \-in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial \-extfile <(printf "subjectAltName=DNS:localhost,IP:VPS_IP,DNS:vps_domain") \-out server.crt

创建frpc客户端证书

openssl genrsa -out client.key 2048openssl req -new -sha256 -key client.key \    -subj "/C=XX/ST=DEFAULT/L=DEFAULT/O=DEFAULT/CN=client.com" \    -reqexts SAN \    -config <(cat my-openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:client.com,DNS:example.client.com")) \    -out client.csropenssl x509 -req -days 365 -sha256 \    -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial \-extfile <(printf "subjectAltName=DNS:client.com,DNS:example.client.com") \-out client.crt

更新ca证书

Linux

cp ca.crt /usr/local/share/ca-certificatesupdate-ca-certificates

Windows
将ca证书导入受信任的根证书机构即可。

frps 服务端配置文件样例

[common]bind_addr = 0.0.0.0bind_port = 7000log_level = infolog_max_days = 3log_file = /var/log/frp/frp.logauthentication_method=tokentoken=123456789max_pool_count = 2000allow_ports = 2000-50000tls_only = truetls_cert_file = /usr/local/frp/server.crttls_key_file = /usr/local/frp/server.keytls_trusted_ca_file = /usr/local/frp/ca.crt

frpc客户端配置文件样例

[common]server_addr=vps_ipserver_port=vps_frps_端口protocol=tcptoken=123456789log_file = frpc.logpool_count = 500tls_enable = truetls_cert_file = "D:\ProgramFiles\frp\tls\xzcu.crt"tls_key_file = "D:\ProgramFiles\frp\tls\xzcu.key"tls_trusted_ca_file = "D:\ProgramFiles\frp\tls\ca.crt"[tcpsrv]type=tcplocal_ip = 127.0.0.1local_port = 8899remote_port= 12345use_compression = true

与 Let’s Encrypt 主要的不同点在于 BuyPass 证书每次签发有效期是 180 天（ Let’s Encrypt 是 90 天）。另外 BuyPass 不支持签发泛域名证书，但支持多域名。

由于目前 Let’s Encrypt OCSP 存在问题（ocsp.int-x3.letsencrypt.org 被干扰），严重拖慢网站速度，因此可以考虑替换为 BuyPass。

利用 ACME 申请

下载 ACME

curl https://get.acme.sh | bash

注册账号

./acme.sh --server https://api.buypass.com/acme/directory --register-account -m 'YOUR_EMAIL'

申请证书

可以选择手动 DNS 验证：

./acme.sh --server https://api.buypass.com/acme/directory --issue -d vircloud.net -d www.vircloud.net --dns --yes-I-know-dns-manual-mode-enough-go-ahead-please//添加完 DNS 验证后执行./acme.sh --server https://api.buypass.com/acme/directory --renew -d vircloud.net -d www.vircloud.net --dns --yes-I-know-dns-manual-mode-enough-go-ahead-please

也可以选择自动 DNS 验证（以 CloudFlare 为例）：[关于这部分的信息，可以参与DNSAPI]

export CF_Key="****"   #填写 CloudFlare 的 Global API Keyexport CF_Email="root@example.com" #填写 CloudFlare 注册邮箱./acme.sh --server https://api.buypass.com/acme/directory --issue -d vircloud.net -d www.vircloud.net --dns dns_cf

或者 HTML 验证：

./acme.sh --server https://api.buypass.com/acme/directory --issue -d vircloud.net -d www.vircloud.net --webroot  /var/www/example.com/public_html/

吊销证书

BuyPass 支持手动吊销证书，命令如下：

acme.sh --revoke -d vircloud.net -d www.vircloud.net --server 'https://api.buypass.com/acme/directory'

Certbot申请

certbot 安装

apt install certbot

注册账号

certbot register -m 'YOUR_EMAIL' --agree-tos --server 'https://api.buypass.com/acme/directory'

申请证书

可以选择DNS验证

certbot certonly --standalone --email 'YOUR_EMAIL' -d vircloud.net -d www.vircloud.net --server 'https://api.buypass.com/acme/directory'

也可以选择网页HTML验证

certbot certonly --webroot -w /var/www/example.com/public_html/ -d vircloud.net -d www.vircloud.net --server 'https://api.buypass.com/acme/directory'

然后根据提示，到对应的目录就可以找到证书。

自动续签

如果申请证书时选择了 HTML 验证，那么就可以实现自动续签。

手动执行续签：

certbot renew

计划任务续签

crontab -e30 */12 * * * /usr/bin/certbot renew -n -q >> /var/log/cerbot-renew.log

于是乎，重置路由器，不行。

只能换一个其他版本的openwrt了，于是换了一个版本，发现usb网卡拔插以后，只有如下信息：

[  524.423197] usb 2-1: USB disconnect, device number 2[  525.442946] usb 2-1: new SuperSpeed Gen 1 USB device number 3 using xhci_hcd

然后用lsusb命令查看结果如下：

root@OPENWRT 23:03 ~# lsusb -t/:  Bus 02.Port 1: Dev 1, Class=root_hub, Driver=xhci_hcd/1p, 5000M    |__ Port 1: Dev 3, If 0, Class=, Driver=, 5000M    |__ Port 1: Dev 3, If 1, Class=, Driver=, 5000M

显然，driver是空的，没有驱动啊，于是google了一下，说是要安装 kmod-usb-net-rtl8152这个软件包才行，于是在软件包里面搜索了一下，发现有两个包：

• kmod-usb-net-rtl8152
• kmod-usb-net-rtl8152-vendor

第一个包，无法安装，因为缺少必要的一个固件包，如下图：

于是只能安装第二个包，安装完成以后，重新拔插一次USB网卡，识别出来了

opkg install  kmod-usb-net-rtl8152-vendor

然后再看一下lsusb的输出信息

root@OPENWRT 23:12 modules.d# lsusb -t/:  Bus 02.Port 1: Dev 1, Class=root_hub, Driver=xhci_hcd/1p, 5000M    |__ Port 1: Dev 5, If 0, Class=, Driver=r8152, 5000M

Great! Driver有内容了！

Tip: lsusb命令属于usbutils这个包

opkg install usbutils

顺便推荐一个固件，精简但非常好用的固件，安装好后，apps非常少，然后你可以根据需要在老板提供的软件仓库中搜索安装，用什么安装什么，非常方便。

https://bf.supes.top/

而且，还可以让自己的VPS发挥一点作用，对于长期持有的域名，真的不失为一个很好的用途，你们说呢？

Maddy Mail Server implements all functionality required to run a e-mail server. It can send messages via SMTP (works as MTA), accept messages via SMTP (works as MX) and store messages while providing access to them via IMAP. In addition to that it implements auxiliary protocols that are mandatory to keep email reasonably secure (DKIM, SPF, DMARC, DANE, MTA-STS).
It replaces Postfix, Dovecot, OpenDKIM, OpenSPF, OpenDMARC and more with one daemon with uniform configuration and minimal maintenance cost.

Maddy是一款用Go语言开发的邮件服务器，它实现了运行电子邮件服务器所需的所有功能。

Maddy用一个具有统一配置和最低维护成本的守护进程取代了Postfix、Dovecot、OpenDKIM、OpenSPF、OpenDMARC 等程序。

准备工作

• 一台25端口没有被封的VPS
• 一个域名
• Maddy程序，最新版本：0.5.2

域名配置

登录你的域名控制面板，新增几条DNS解析记录，这里我以CloudFlare为例。

注意：以下例子中的IP和域名请替换为你自己的！

首先添加一条A记录，指向你的VPS，名称这里以mail为例。

然后，添加一条MX记录，指向上一步的那个域名

再添加一条TXT记录，名称_dmarc，记录值：v=DMARC1; p=none; rua=mailto:webmaster@example.com

再添加一条TXT记录，名称@，记录值：v=spf1 mx ~all

DNS配置完了，先别关闭浏览器窗口，最后还要增加一个DKIM的TXT记录。

安装前检查

务必确认VPS的25，465，587，993，143端口没有被占用以及这些端口有没有被服务器商家屏蔽。

有一些VPS的DEBIAN10 默认安装了exim4，需要卸载掉。

apt remove exim4apt autoremove

安装Maddy

首先，安装必需的软件包

apt -y updateapt -y install acl zstd wget certbot

下载最新的maddy包并解压

wget https://hub.fastgit.org/foxcpp/maddy/releases/download/v0.5.2/maddy-0.5.2-x86_64-linux-musl.tar.zstunzstd maddy-0.5.2-x86_64-linux-musl.tar.zsttar -xvf maddy-0.5.2-x86_64-linux-musl.tarcd maddy-0.5.2-x86_64-linux-musl/

创建需要用到的目录，复制相应的文件到对应的目录：

mkdir /etc/maddycp maddy.conf /etc/maddycp maddy maddyctl /usr/local/bincp systemd/*.service /etc/systemd/system

新增maddy用户，主要是为了跑maddy服务，请不要使用root用户跑服务！

useradd -mrU -s /sbin/nologin -d /var/lib/maddy -c "maddy mail server" maddy

申请SSL证书

certbot certonly --standalone --agree-tos --no-eff-email --email xxxxx@example.com -d mail.example.com

配置 ACL权限，允许maddy用户读取证书及证书私钥。

setfacl -R -m u:maddy:rx /etc/letsencrypt/{live,archive}

配置maddy

nano /etc/maddy/maddy.conf

修改如下的配置

$(hostname) = mail.example.com$(primary_domain) = example.com$(local_domains) = $(primary_domain)tls file /etc/letsencrypt/live/mail.example.com/fullchain.pem /etc/letsencrypt/live/mail.example.com/privkey.pem

启动maddy

启动并设置开机自启动服务

systemctl enable --now maddy.service

检查服务状态

systemctl status maddy.service

配置DKIM

在第一次成功启动maddy后，maddy会生成dkim密钥文件，需要在DNS解析配置一下。

cat /var/lib/maddy/dkim_keys/example.com_default.dns

内容类似如下：

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAx9mN47......

打开Cloudflare新增一条TXT记录，名称default._domainkey，记录值就是/var/lib/maddy/dkim_keys/example.com_default.dns的内容。

增加邮箱用户

先增加一个邮箱用户

maddyctl creds create webmaster@example.com

还需要创建一个imap本地存储账户与之关联，电子邮件的地址务必与用户账号的地址保持一致：

maddyctl imap-acct create webmaster@example.com

安装完成

附：EMAIL客户端配置

用户名：webmaster.com
密码：（增加邮箱账号时新建的密码）
IMAP: mail.example.com:993 SSL/TLS
SMTP: mail.example.com:465 SSL/TLS

前期准备

• 公网服务器一台
• 域名一个，并且指向该公网服务器
• 域名指向该公网服务器，并申请好 TLS 证书（可使用 Let’s Encrypt 申请）

Docker 部署

Docker Hub 镜像地址：https://hub.docker.com/r/adguard/adguardhome

安装好 Docker 后下载镜像，以下任选其一

docker pull adguard/adguardhome:latest  # 稳定版docker pull adguard/adguardhome:edge  # 最新的版本，可能不稳定

新建配置目录和工作目录

mkdir /root/adguardhome/{workdir,confdir}

启动镜像，完成后进入配置页面：HostIP:3000

docker run --name adguardhome \  -v /root/adguardhome/workdir:/opt/adguardhome/work \  -v /root/adguardhome/confdir:/opt/adguardhome/conf \  --restart always \  -p 443:443 -p 853:853 -p 3000:3000 -p 53:53/udp -p 53:53/tcp \  -d adguard/adguardhome:edge

注意，第一次进入配置页面需要配置监听端口，配置好后注意修改容器启动时端口的映射，并以新的命令重新启动容器

上游服务器设置

进入 Adguard Home 控制台，找到「设置 - DNS 设置」

「上游 DNS 服务器」可填入公共 DNS 服务器

国内外常用的公共 DNS 如下：

「Bootstrap DNS 服务器」填入一到两个常规 或者 运行商 DNS 服务器就可以，如223.5.5.5和119.29.29.29。

在 「DNS 服务设定中」，勾选「使用客户端的子网地址（EDNS）」，可以使查询的客户端得到离其最近的网站 IP 解析。

DoH & DoT 设置

进入「设置 - 加密设置」

勾选「启用加密」，填写准备的域名，「HTTPS 端口」和「DNS-over-TLS 端口」均可自定义，如有改正记得重新修改容器启动时的端口映射配置。

证书可以选择「设置证书路径」和「粘贴证书内容」，按要求配置。

配置完成后可以使用「https://域名」访问控制台

去广告设置

进入「过滤器 - DNS 封锁清单」

附一些常用的规则：

• HalfLife，规则合并自 EasylistChina、EasylistLite、CJX’sAnnoyance 合并规则：https://gitee.com/halflife/list/raw/master/ad.txt
• EasyPrivacy，隐私保护：https://easylist-downloads.adblockplus.org/easyprivacy.txt
• I don’t care about cookies，我不关心 Cookie 的问题，屏蔽网站的 cookies 相关的警告：https://www.i-dont-care-about-cookies.eu/abp/
• anti-AD，自称是目前中文区命中率最高的广告过滤列表：https://gitee.com/privacy-protection-tools/anti-ad/raw/master/easylist.txt
• 乘风广告、视频过滤规则：https://gitee.com/xinggsf/Adblock-Rule/raw/master/rule.txt、https://gitee.com/xinggsf/Adblock-Rule/raw/master/mv.txt

至此配置完成。

使用普通 DNS 解析，在客户端填入服务器的 IP 即可，若要使用 DoH 和 DoT 则需使用另外的工具。

最新版的 Chrome 已经支持使用 DoH 解析，在 Chrome 中找到「设置 - 安全 - 使用安全 DNS」，按规则填入域名即可

如下图：

解决办法：

1. 打开开始-运行-输入regedit，回车

2. 打开注册表管理器，依次HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\OneDrive的文件夹。

3. 将DisableFileSyncNGSC的DWORD值改为0。

4. 重启电脑之后，启动OneDrive。

• 一台域外VPS
• 一个域名
• 将域名解析到VPS的IP上。

1. 开启bbr优化

wget -N --no-check-certificate "https://github.000060000.xyz/tcp.sh" && chmod +x tcp.sh && ./tcp.sh

先输入11，启用bbr+fq加速，然后输入22，应用优化方案，之后需要重启VPS。

2. 安装xray

bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ install

3. 安装acme脚本

curl https://get.acme.sh | bash

4. 创建Geo脚本

vi /usr/local/bin/xray-geo

#!/bin/bashrm -fr /usr/local/share/xray/geo*.datwget -O /usr/local/share/xray/geoip.dat https://cdn.jsdelivr.net/gh/Loyalsoldier/v2ray-rules-dat@release/geoip.datwget -O /usr/local/share/xray/geosite.dat https://cdn.jsdelivr.net/gh/Loyalsoldier/v2ray-rules-dat@release/geosite.datecho 'Geo Files have been updated'systemctl restart xrayecho 'Xray service restarted'

给予可执行权限

chmod +x /usr/local/bin/xray-geo

5. 申请SSL证书及安装证书

申请证书

/root/.acme.sh/acme.sh --issue -d www.example.com --standalone

安装证书

/root/.acme.sh/acme.sh --install-cert -d www.example.com --fullchain-file /usr/local/etc/xray/example.cer --key-file /usr/local/etc/xray/example.keychown nobody.root /usr/local/etc/xray/example.*

为了便于未来自动更新证书，可以创建如下脚本，放入crontab自动执行。

vi /usr/local/bin/xray-renew

文件内容：

#!/bin/bash/root/.acme.sh/acme.sh --install-cert -d www.exmaple.com --fullchain-file /usr/local/etc/xray/example.cer --key-file /usr/local/etc/xray/example.keyecho "Xray Certificates Renewed"chown nobody.root /usr/local/etc/xray/example.*echo "User&Group Changed for Xray"systemctl restart xrayecho "Xray Restarted"

授予可执行权限

chmod +x /usr/local/bin/xray-renew

增加计划任务

crontab -e

在文件中增加如下内容，意思是每个星期五的凌晨2点执行一次 xray-renew 脚本。

0 2 * * 5 bash /usr/local/bin/xray-renew

可看下图

6. 生成UUID，修改配置文件

在命令提示符下输入下面的命令，就会返回一个新生成的UUID，将这个UUID保存一下。

root@nerd:~# xray uuidf47cdd50-7468-4758-afb8-1fd3a4887a49

在下面的xray配置文件中，修改所有的uuid为上面生成的UUID。

{    // 1_日志设置    "log": {        "loglevel": "warning",        "access": "/var/log/xray/access.log",        "error": "/var/log/xray/error.log"    },    // 2_路由设置(白名单)    "routing": {        "rules": [            {              "type": "field",              "outboundTag": "Reject",              "domain": [                "geosite:category-ads-all"              ]            },            {              "type": "field",              "outboundTag": "Direct",              "domain": [                "geosite:private",                "geosite:apple-cn",                "geosite:google-cn",                "geosite:tld-cn",                "geosite:category-games@cn"              ]            },            {              "type": "field",              "outboundTag": "Proxy",              "domain": [                "geosite:geolocation-!cn"              ]            },            {              "type": "field",              "outboundTag": "Direct",              "domain": [                "geosite:cn"              ]            },            {             "type": "field",             "outboundTag": "Proxy",             "network": "tcp,udp"            }        ]    },    // 3_DNS设置    "dns": {        "hosts": {          "dns.google": "8.8.4.4",          "doh.pub": "119.29.29.29"        },        "servers": [          "https://dns.google/dns-query",        {          "address": "https+local://223.5.5.5/dns-query",          "domains": [            "geosite:cn",            "geosite:icloud",            "geosite:category-games@cn"          ],          "expectIPs": [            "geoip:cn"          ]        },        {          "address": "https://1.1.1.1/dns-query",          "domains": [            "geosite:geolocation-!cn"          ]        }      ]    },    // 4_入站设置    "inbounds": [        {            "port": 8443,            "protocol": "vless",            "settings": {                "clients": [                    {                        "id": "uuid", // 填写你的 UUID                        "flow": "xtls-rprx-direct",                        "level": 0,                        "email": "love@example.com"                    }                ],                "decryption": "none",                "fallbacks": [                    {                        "dest": 1310, // 默认回落到 Xray 的 Trojan 协议                        "xver": 1                    },                    {                        "path": "/ws1169", // 必须换成自定义的 PATH                        "dest": 1234,                        "xver": 1                    },                    {                        "path": "/vst1170", // 必须换成自定义的 PATH                        "dest": 2345,                        "xver": 1                    },                    {                        "path": "/vmw1171", // 必须换成自定义的 PATH                        "dest": 3456,                        "xver": 1                    }                ]            },            "streamSettings": {                "network": "tcp",                "security": "xtls",                "xtlsSettings": {                    "alpn": [                        "http/1.1"                    ],                    "certificates": [                        {                            "certificateFile": "/usr/local/etc/xray/example.cer", //SSL证书                            "keyFile": "/usr/local/etc/xray/example.key" //ssl密钥                        }                    ]                }            }        },        {            "port": 1310,            "listen": "127.0.0.1",            "protocol": "trojan",            "settings": {                "clients": [                    {                        "password": "mima", // 填写你的密码                        "level": 0,                        "email": "love@example.com"                    }                ],                "fallbacks": [                    {                        "dest": 80 // 或者回落到其它也防探测的代理                    }                ]            },            "streamSettings": {                "network": "tcp",                "security": "none",                "tcpSettings": {                    "acceptProxyProtocol": true                }            }        },        {            "port": 1234,            "listen": "127.0.0.1",            "protocol": "vless",            "settings": {                "clients": [                    {                        "id": "uuid", // 填写你的 UUID                        "level": 0,                        "email": "love@example.com"                    }                ],                "decryption": "none"            },            "streamSettings": {                "network": "ws",                "security": "none",                "wsSettings": {                    "acceptProxyProtocol": true, // 提醒：若你用 Nginx/Caddy 等反代 WS，需要删掉这行                    "path": "/ws1169" // 必须换成自定义的 PATH，需要和分流的一致                }            }        },        {            "port": 2345,            "listen": "127.0.0.1",            "protocol": "vmess",            "settings": {                "clients": [                    {                        "id": "uuid", // 填写你的 UUID                        "level": 0,                        "email": "love@example.com"                    }                ]            },            "streamSettings": {                "network": "tcp",                "security": "none",                "tcpSettings": {                    "acceptProxyProtocol": true,                    "header": {                        "type": "http",                        "request": {                            "path": [                                "/vst1170" // 必须换成自定义的 PATH，需要和分流的一致                            ]                        }                    }                }            }        },        {            "port": 3456,            "listen": "127.0.0.1",            "protocol": "vmess",            "settings": {                "clients": [                    {                        "id": "uuid", // 填写你的 UUID                        "level": 0,                        "email": "love@example.com"                    }                ]            },            "streamSettings": {                "network": "ws",                "security": "none",                "wsSettings": {                    "acceptProxyProtocol": true, // 提醒：若你用 Nginx/Caddy 等反代 WS，需要删掉这行                    "path": "/vmw1171" // 必须换成自定义的 PATH，需要和分流的一致                }            }        }    ],    // 5_出站设置    "outbounds": [        // 5.1 第一个出站是默认规则，freedom就是对外直连（vps已经是外网，所以直连）        {            "tag": "direct",            "protocol": "freedom"        },        // 5.2 屏蔽规则，blackhole协议就是把流量导入到黑洞里（屏蔽）        {            "tag": "block",            "protocol": "blackhole"        }    ]}

建议copy出来，粘贴到notepad等文本编辑器中修改，修改好后，复制全文，粘贴到xray的/usr/local/etc/xray/config.json文件中，或者，另存为config.json并上传到/usr/local/etc/xray目录中。

7. 更新资源文件并重启

xray-geo

8. 检查服务是否在监听中

ss -lptun

查看监听端口

great! 服务已经启动了。现在可以在你本地的openwrt或者客户端中配置并使用了，客户端的配置我就不赘述了。

《全文完》

准备工作

首先，备份数据库，并且，导出XML文件，XML文件是用来在新安装的wordpress中导入的，因为mysql导出的SQL，无法直接用到PostgreSQL的。

导出完成后，reinstall操作系统吧，装好后，可以使用oneinstack之类的脚本，或者，自己安装PostgreSQL，php，nginx这些，还比脚本之类的快一点，效率为上，直接手工apt安装即可。

域名提前做好解析。

1. 安装必需的库

apt install curl wget gnupg2 ca-certificates lsb-release socat git

2. 安装PostgreSQL

# 引入postgreSQL官方源sh -c 'echo "deb http://apt.postgresql.org/pub/repos/apt $(lsb_release -cs)-pgdg main" > /etc/apt/sources.list.d/pgdg.list'# 导入密钥签名:wget --quiet -O - https://www.postgresql.org/media/keys/ACCC4CF8.asc | apt-key add -# 更新软件包库:apt-get update# 安装PostgreSQL.# 如果要安装特定版本，那就用'postgresql-12' 或者 'postgresql':apt-get -y install postgresql

3. 修改PostgreSQL本地认证

vi /etc/postgresql/12/main/pg_hba.conf//对于local的认证修改为md5local   all             all                                     md5

4. 启动数据库

systemctl enable postgresqlsystemctl start postgresql

5.安装php

apt install php7.3 php7.3-curl php7.3-fpm php7.3-gd php7.3-json php7.3-mbstring \php7.3-mysql php7.3-opcache php7.3-pgsql php7.3-xml php7.3-xmlrpc php7.3-zip

6. 安装nginx

# 添加nginx官方源echo "deb http://nginx.org/packages/debian `lsb_release -cs` nginx" \    | tee /etc/apt/sources.list.d/nginx.list# 导入源签名密钥curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -# 更新软件仓库apt update# 安装nginxapt install nginx

7. 安装acme.sh

curl  https://get.acme.sh | sh

8. 生成dhparam文件

mkdir /etc/nginx/sslopenssl dhparam -out /etc/nginx/ssl/dhparam.pem 2048

9. 创建普通用户

useradd -m -d /web wwwmkdir /web/{wwwroot,wwwlogs}chown -R www.www /web

10. 修改配置文件

nginx配置文件

user  www www;worker_processes auto;worker_cpu_affinity auto;error_log  /var/log/nginx/nginx_error.log  crit;pid        /var/run/nginx.pid;#Specifies the value for maximum file descriptors that can be opened by this process.worker_rlimit_nofile 51200;events    {        use epoll;        worker_connections 51200;        multi_accept off;        accept_mutex off;    }http    {        include       mime.types;        default_type  application/octet-stream;        server_names_hash_bucket_size 128;        client_header_buffer_size 32k;        large_client_header_buffers 4 32k;        client_max_body_size 50m;        sendfile on;        sendfile_max_chunk 512k;        tcp_nopush on;        keepalive_timeout 60;        tcp_nodelay on;        fastcgi_connect_timeout 300;        fastcgi_send_timeout 300;        fastcgi_read_timeout 300;        fastcgi_buffer_size 64k;        fastcgi_buffers 4 64k;        fastcgi_busy_buffers_size 128k;        fastcgi_temp_file_write_size 256k;        gzip on;        gzip_min_length  1k;        gzip_buffers     4 16k;        gzip_http_version 1.1;        gzip_comp_level 2;        gzip_types     text/plain application/javascript application/x-javascript text/javascript text/css application/xml application/xml+rss;        gzip_vary on;        gzip_proxied   expired no-cache no-store private auth;        gzip_disable   "MSIE [1-6]\.";        #limit_conn_zone $binary_remote_addr zone=perip:10m;        ##If enable limit_conn_zone,add "limit_conn perip 10;" to server section.        server_tokens off;        access_log off;include /etc/nginx/conf.d/*.conf;}

php.conf

vi /etc/nginx/php.conf

location ~ [^/]\.php(/|$)        {            fastcgi_pass  unix:/run/php/php7.3-fpm.sock;            fastcgi_index index.php;            include fastcgi_params;            fastcgi_split_path_info ^(.+?\.php)(/.*)$;            set $path_info $fastcgi_path_info;            fastcgi_param PATH_INFO       $path_info;            try_files $fastcgi_script_name =404;        }

/etc/nginx/fastcgi_params文件

新增一行在最后一行

fastcgi_param  SCRIPT_FILENAME    $document_root$fastcgi_script_name;

php-fpm

编辑/etc/php/7.3/fpm/pool.d/www.conf文件，使用如下配置即可

[www]listen = /run/php/php7.3-fpm.socklisten.backlog = -1listen.allowed_clients = 127.0.0.1listen.owner = wwwlisten.group = wwwlisten.mode = 0666user = wwwgroup = wwwpm = dynamicpm.max_children = 10pm.start_servers = 2pm.min_spare_servers = 1pm.max_spare_servers = 6pm.max_requests = 1024pm.process_idle_timeout = 10srequest_terminate_timeout = 100request_slowlog_timeout = 0slowlog = /var/log/slow.log

8. 启动nginx，php-fpm

systemctl enable php7.3-fpmsystemctl enable nginxsystemctl restart php7.3-fpmsystemctl restart nginx

9. 签发ssl证书

source .bashrcacme.sh --issue -d www.mydomain.com --standalone

如无意外，应该会看到签发的证书的具体位置，例如/root/.acme.sh/www.mydomain.com/fullchain.cer和/root/.acme.sh/www.mydomain.com/www.mydomain.com.key。但是我们还需要将证书安装到nginx的ssl目录，而不是直接使用上面目录的证书，会有权限问题，再者目录会发生变化。

acme.sh --install-cert -d www.example.com \--key-file       /etc/nginx/ssl/www.mydomain.com.key \--fullchain-file /etc/nginx/ssl/fullchain.cer \--reloadcmd     "service nginx force-reload"

10. 给nginx增加虚拟主机

新建配置文件 vi /etc/nginx/conf.d/mydomain.conf

server        {        listen          80;        server_name www.mydomain.com mydomain.com;        return 301 https://www.mydomain.com$request_uri;}server        {        listen 443 ssl http2;        #listen [::]:443 ssl http2;        server_name     www.mydomain.com mydomain.com;        index index.html index.htm index.php default.html default.htm default.php;        root  /web/wwwroot/www.mydomain.com;    location / {        try_files $uri $uri/ /index.php?$args;        index  index.php;    }        ssl_certificate /etc/nginx/ssl/fullchain.cer;        ssl_certificate_key /etc/nginx/ssl/www.mydomain.com.key;        ssl_session_timeout 5m;        ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;        ssl_prefer_server_ciphers on;        ssl_ciphers "TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5";        ssl_session_cache builtin:1000 shared:SSL:10m;        ssl_dhparam /etc/nginx/ssl/dhparam.pem;        #error_page   404   /404.html;        # Deny access to PHP files in specific directory        location ~ /(wp-content|uploads|wp-includes|images)/.*\.php$ { deny all; }        include php.conf;        location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$        {            expires      30d;        }        location ~ .*\.(js|css)?$        {            expires      12h;        }        location ~ /.well-known {            allow all;        }        location ~ /\.        {            deny all;        }        access_log  /web/wwwlogs/mydomain.log;}

11. 测试虚拟主机是否工作正常

新建一个phpinfo测试脚本vi /web/wwwroot/www.mydomain.com/t.php

<?php3    phpinfo();?>

用浏览器打开 http://www.mydomain.com/t.php 验证

• 是否如我们期待跳转到https
• 是否能解析php脚本

如无意外，你应该能看到地址栏的小锁子了，并且PHP成功解析。

12. 为Wordpress创建数据库

su - postgrespsqlpostgres=# create database your_database;postgres=# create user your_user with password ‘your_password’;postgres=# grant all privileges on database your_database to your_user;postgres=# \q

OK. 至此数据已经成功创建了。现在你就可以试试登录数据库。

psql -U your_user -WPassword:psql (12.4 (Debian 12.4-1.pgdg100+1))Type "help" for help.your_database=>your_database=> \q

13. 下载最新的wordpress版本

cd /web/wwwroot/www.mydomain.comwget https://wordpress.org/latest.tar.gz -O - | tar -zvxmv wordpress/* ./rm -fr wordpress

14. 安装pg4wg插件

cd /web/wwwroot/www.mydomain.com/wp-contentgit clone https://github.com/gmercey/PG4WP.gitcp PG4WP/db.php ./db.php

15. 调整目录和文件的权限

因为nginx和php-fpm都是以www用户权限跑的，所以需要将web目录下的文件和目录，调整权限，否则无法安装，更新插件，主题等。

chown -R www.www /web

16.配置wordpress数据库信息

默认会有一份wp-config-sample.php的文件，cp一份作为我们配置的起点。

vi wp-config-sample.php wp-config.php

修改如下内容：

/** The name of the database for WordPress */define('DB_NAME', 'your PostgreSQL database name will go here');/** MySQL database username */define('DB_USER', 'your PostgreSQL database username will go here');/** MySQL database password */define('DB_PASSWORD', 'your PostgreSQL database password will go here');/** MySQL hostname */define('DB_HOST', 'localhost');

17. 安装wordpress

用浏览器打开https://www.mydomain.com/wp-admin/install.php启动wordpress安装程序。

需要注意一下，一定要安装php-mysql 这个扩展，如果不装，wordpress安装开始就报错了。

18. 导入xml

安装完成后，就开始导入吧！

全文结束

今天我想分享一种不一样的加速方式，就是通过proxifier软件。

因为我这边需要使用proxifier将连接到办公室的网络代理到本地，所以平时在家里都是经常打开这个软件的。

proxifier可以从我的网盘下载，或者，从百度上搜索下载，很方便的。安装完成后，运行程序，如下图：

然后添加代理服务器，保存一下。

接下来就是配置规则了，我研究了一下，原本以为是通过git.exe```上传下载的，结果发现是```ssh.exe，既然知道了，配置一条根据应用程序代理的规则，很简单了。

配置以后，试试吧，是不是速度飞起来了？ 🙂