最近从WSL切换到WSL2之后发现无法ssh到VPS。 使用-vv选项查看，发现最后挂起前提示：

debug2: channel 0: open confirm rwindow 0 rmax 32768

然后Google了一下，发现这其实是路由器的问题。 具体原因就是： 当某些路由器位于NAT之后使用OpenSSH时。 在会话建立期间，在输入密码或交换密钥后，OpenSSH会在IP数据报中设置TOS（服务类型）字段。 部分路由器会被阻塞，导致SSH会话被无限期挂起。表现上来看就是ssh命令很少起作用或根本不起作用。

要解决这个问题其实也简单，临时方式就是在ssh命令后加选项-o IPQoS=0x00。

长期方式就是修改配置文件，修改~/.ssh/config或者/etc/ssh/ssh_config都行。

# vim /etc/ssh/ssh_config
Host *
  IPQoS 0x00

P.S. 另一个不推荐的做法就是使用ProxyCommand nc %h %p。

今年过了一个难忘的年。。。

珠海跨年之旅受疫情影响，提前结束。

回来之后天天在家，天天陪孩子玩。晚上闲下来发现去年整的profit VPS用起来太慢了，看不存在网站视频也就380p，离1080p差远了。。。

想起来之前的评论系统也没整，还有个cn域名也没用，就想着整个vps自建一个静态blog。。。

购买VPS并进行基本设置

其实profit也是够用了，不过眼瞅着快到期了，就想着换一个试试。对比了多家之后选择了Vultr的小VPS，首充送了50美刀，但是只有一个月的有效期，所以干脆买了一堆不同地方的VPS，测试完再删吧。

VPS的具体购买方式网上有很多教程了，各大主机厂商也提供了很多教程，就不赘述了。

Vultr官方提供了很多镜像选择，开始的适合还是和之前一样选择了FreeBSD，后来发现他们家有CenOS 8的官方镜像，就体验了下新版，由于笔记记得都是CentOS下的操作，所以以下介绍都按照CentOS 8来。

1. 修改密码并更新系统

VPS建好之后，用控制面板带的Console登录root账户，进行初步设置。

# Change root passwd
passwd

# Update
yum update

2. 初步设置SSH并添加常用普通用户

更新完系统后就要进行ssh设置以便客户端登录操作了，具体步骤如下：

vim /etc/ssh/sshd_config

首先修改了一部分配置。

# /etc/ssh/sshd_config
Port SSH_PORT_NUMBER  # 修改默认ssh端口
PermitRootLogin no # 禁止root用户登录

注意 修改端口号后需要修改对应的防火墙设置。

# SELinux 设置
semanage port -a -t ssh_port_t -p tcp SSH_PORT_NUMBER #SSH_PORT_NUMBER是上一步设置的ssh端口号
# firewall 设置
firewall-cmd --zone=public --add-port=SSH_PORT_NUMBER/tcp --permanent
# 使能firewall设置
firewall-cmd --reload
# 重启ssh服务
systemctl restart sshd  #restart ssh server

然后添加一个普通用户并设置密码。CentOS的adduser居然和useradd是一样的，囧，还是“小恶魔”的adduser好用 - -

# 添加用户king并添加到wheel组中
useradd king -G wheel -U
passwd king

由于禁止了root通过ssh登录，所以可以安装sudo以便刚才添加的用户进行日常维护。（此步骤不是必须的）

yum install sudo
visudo

参照文件注释编辑sudo的配置文件

# 允许wheel用户组以root身份运行所有命令
%wheel ALL=(ALL)

3. 上传SSH公钥并完善SSH设置

上述设置完成后，即可从客户端上传公钥文件,并用ssh方式登录服务器。

# 上传公钥文件
ssh-copy-id -i .ssh/xxx.pub king@SERVER_IP_ADDRESS -p SSH_PORT_NUMBER
# ssh登录至服务器
ssh  -i .ssh/xxx.pub king@SERVER_IP_ADDRESS -p SSH_PORT_NUMBER

上述测试成功后，即可禁用密码登录，并关闭浏览器管理面板登录的Console。

# /etc/ssh/sshd_config
# 禁用密码登录
PasswordAuthentication no

想用密钥+密码登录方式也可自行修改，然后重启ssh服务即可。

systemctl restart sshd

到这里服务器初步设置就基本完成了，之后的所有步骤都从客户端完成。

其他设置

再次提醒 以下的所有操作均在客户端完成，ssh登录方式如下：

ssh  -i .ssh/xxx.pub king@SERVER_IP_ADDRESS -p SSH_PORT_NUMBER

1. 安装fail2ban

安装fail2ban并设置把一切尝试ssh登录错的都给禁半天。

sudo yum install -y epel-release
# 安装fail2ban
sudo yum install fail2ban
# 修改fail2ban设置
sudo vim /etc/fail2ban/jail.local

# /etc/fail2ban/jail.local
[DEFAULT]
# Ban hosts for 12 hour:
bantime = 43200
findtime = 600
maxretry = 2

# Override /etc/fail2ban/jail.d/00-firewalld.conf:
banaction = iptables-multiport

[sshd]
enabled = true

启动fail2ban服务并添加默认启动。

sudo systemctl start fail2ban
sudo systemctl enable fail2ban

2. 安装代理软件并设置

该部分笔记都有记录，不便于发表在blog中，概述如下：

• 在/etc/yum.repos.d中添加源，需要注意系统版本对应的源不同
• 更新并安装主程序和混淆插件
• 修改默认配置文件
• 测试安装与设置（由于使用多端口设置，不能使用ss-server，应该使用ss-manager)
• 创建自启动服务（需要修改***.service文件中的User等字段，和ExecStart等）
• 添加防火墙规则

# Update firewall rule
firewall-cmd --zone=public --add-port=xxx1-xxx3/tcp --permanent
firewall-cmd --zone=public --add-port=xxx1-xxx3/udp --permanent
firewall-cmd --reload
sudo systemctl start YOURSERVICE
sudo systemctl enable YOURSERVICE

3. 添加BBR支持

具体是啥可自行Google，不过Vultr的CenOS 8默认已经开啦。就从之前的笔记粘贴过来啦。

开启BBR详细步骤如下，如果内核版本低于4.9需要更新内核，不想编译的添加源就行，老Gentoo用户表示不想多说什么了，哈哈

uname -r
# 版本号低于4.9需要更新内核并重启
sudo rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org
sudo rpm -Uvh http://www.elrepo.org/elrepo-release-7.0-2.el7.elrepo.noarch.rpm
sudo yum --enablerepo=elrepo-kernel install kernel-ml -y
# 默认启动项（grub2）
sudo egrep ^menuentry /etc/grub2.cfg | cut -f 2 -d \'  # 确保第一行就是新版内核并且版本号高于4.9
sudo reboot

版本号高于4.9的可直接开启，具体步骤如下：

# sudo echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf
echo 'net.core.default_qdisc=fq' | sudo tee -a /etc/sysctl.conf
# sudo echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf
echo 'net.ipv4.tcp_congestion_control=bbr' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

测试一下吧

sudo sysctl net.ipv4.tcp_available_congestion_control
# output should be:
net.ipv4.tcp_available_congestion_control = reno cubic bbr

sudo sysctl -n net.ipv4.tcp_congestion_control
# output should be:
bbr

lsmod | grep bbr
#output should be
tcp_bbr xxxx xx

后记

此次VPS设置设置说了个七七八八，就当是个记录吧。还有在VPS部署Git服务器等部分笔记，整理整理回头再发吧。。。

最近工作还是很忙碌的，晚上回来之后就想折腾一会。发现国内的多说、友言之类都已经挂了，搜索过程中看到有人在用GitHub Issue 搭建评论系统，简直是人才啊。看着看着就看到用GitHub作图床的blog了。想到前几天GitHub 对个人用户功能扩容，想来微软爸爸也是不差钱的，用GitHub作图床也不是不行啊，今天建了个Repo测试一下。

测试图片链接

想到之后可以发一些截图之类的，这样确实是不错滴。

想想我的擅长，好像就是各种平台下各类软件的安装和卸载，哈哈，但是这个好像不能当正事写出来哈。回头还是写一些简单的学习记录吧。争取早日开工～～～～～～～

给台式机整了一个SSD，感觉台式机也飞起来啦，哈哈哈～～～

笔记本和台式机之间的Synergy也连起来了，一套键鼠走天下的日子又开始了。。。默认浏览器又换回了Chrome，配合着cVim用着也挺顺手的，没想到大G+居然也要关闭了。。。今年过滴着实艰难，好在这一年总算是过去了，今年一年都是蹭着各Cloud的新用户福利1美元或者0美元体验整的科学on net，哈哈。。。过完年不那么拮据了就可以整个VPS玩了～～～

家里的小鱼已经繁衍了很多代了，鱼缸里也能算是密密麻麻了，哈哈～最近晚上天天都在微软模拟飞行X，感觉荒废了很多时间啊。。。

明年还是要好好学习，还有很多事情需要解决呢～～～

分清主次，逐个击破，哈哈！加油咯～～～

没发现居然过去一年多了。。。 俺家儿子也一岁多了。。。。

去年笔记本坏了之后很久都没有再开机了，前段时间好友送了一个台式机，装着原来的硬盘能开机了，还是原来的配方，还是熟悉的味道，哈哈～～～～

顺道去淘宝买了一块二手主板，把笔记本修好了- -修好之后发现大Gentoo居然更新了新的profile，我的13年还是14年装的系统，更新起来感脚很费电啊 - -

于是俺昨天就备份了以前的home，折腾了一下折腾到Arch Linux了。。。

昨天今天配置了下，弄起来跟之前的系统没什么大差别了。。。

从Gentoo换过来的感脚就是不用自己编译的方式安装软件真是速度快，感觉电脑飞起来了~~~

不习惯的就是常常敲出emerge、怀念eselect。。。

还有Firefox最新版插件中心不再支持Vimperator，从介绍中挑了个Tridactyl，先用着看吧。。。

另外Synergy也变更了收费方式，好在我支持过老版本的，不过昨天两台电脑没配起来，回头慢慢整吧；ruby的taobao镜像也改到ruby-china了，看来这一年也是发生了不少变化啊。。。

家也搬了，孩子也有了，专心工作ing……