可用参数：

-b 　以Byte为单位显示内存使用情况。
-k 　以KB为单位显示内存使用情况。
-m 　以MB为单位显示内存使用情况。
-o 　不显示缓冲区调节列。
-s<间隔秒数> 　持续观察内存使用状况。
-t 　显示内存总和列。
-V 　显示版本信息。

上面是执行free -m 返回的结果，下面是对这些数值的解释：
total:总计物理内存的大小。
used:已使用多大。
free:可用有多少。
Shared:多个进程共享的内存总额。
Buffers/cached:磁盘缓存的大小。
第三行(-/+ buffers/cached):
used:已使用多大。
free:可用有多少。http://www.vpser.net VPS侦探
第四行是swap。

区别：第二行(mem)的used/free与第三行(-/+ buffers/cache) used/free的区别。这两个的区别在于使用的角度来看，第一行是从OS的角度来看，因为对于OS，buffers/cached 都是属于被使用，所以他的可用内存是191MB,已用内存是168MB,其中包括，内核（OS）使用+Application(X, oracle,etc)使用的+buffers+cached.

第三行所指的是从应用程序角度来看，对于应用程序来说，buffers/cached 是等于可用的，因为buffer/cached是为了提高文件读取的性能，当应用程序需在用到内存的时候，buffer/cached会很快地被回收。
所以从应用程序的角度来说，可用内存=系统free memory+buffers+cached。

如何看额定值：
cat /proc/meminfo

一，准备工作
1，登录进VPS控制面板，准备好随时重启VPS。
2，关闭Web Server先，过高的负载会导致后面的操作很难进行，甚至直接无法登录SSH。
3，以防万一，把设置的Web Server系统启动后自动运行去掉。
（如果已经无法登录进系统，并且重启后负载过高导致刚刚开机就已经无法登录，可联系管理员在母机上封掉VPS的IP或80端口，在母机上用虚拟控制台登录 进系统，然后进行2&3的操作，之后解封）

二，找出攻击者IP

1，在网站根目录建立文件ip.php，写入下面的内容。

<?php
$real_ip = getenv('HTTP_X_FORWARDED_FOR');
if(isset($real_ip)){
shell_exec("echo $real_ip >> real_ip.txt");
shell_exec("echo $_SERVER['REMOTE_ADDR'] >> proxy.txt");
}else{
shell_exec("echo $_SERVER['REMOTE_ADDR'] >> ips.txt");
}

echo '服务器受到攻击，正在收集攻击源，请在5分钟后访问本站，5分钟内多次访问本站有可能会被当作攻击源封掉IP。谢谢合作！';
?>

2，设置伪静态，将网站下的所有访问都rewrite到ip.php。
Nginx规则：

rewrite (.*) /ip.php;

Lighttpd规则：

url.rewrite = (
"^/(.+)/?$" => "/ip.php"
)

3，启动Web Server开始收集IP
进行完1和2的设置后，启动Web Server，开始记录IP信息。
收集时间建议为3到5分钟，然后再次关闭Web Server。
real_ip.txt，这个文件中保存的IP有80%以上都相同的，这个IP就是攻击者实施攻击的平台的IP。
proxy.txt，这个文件中保存的是攻击者调用的代理服务器的IP，需要封掉。
ips.txt，这里记录的是未表现出代理服务器特征的IP，根据访问次数判断是否为攻击源。

三，对上一段的补充
如果VPS上启用了WEB日志，可以查看日志文件的增长速度来判断是哪个站点被攻击。
如果没有启用日志，并且站点数量很少，临时启用日志也很方便 。
如果没有启用日志，并且站点数量过多，可以使用临时的Web Server配置文件，不绑定虚拟主机，设置一个默认的站点。然后在ip.php里加入下面一行

shell_exec(“echo $_SERVER['HTTP_HOST'] >> domain.txt”);

domain.txt里将保存被访问过的域名，被CC攻击的站点将在里面占绝大多数。

四，开始封堵IP
建立文件ban.php

<?
$threshold = 10;
$ips = array_count_values(file('ips.txt'));
$ban_num = 0;
foreach($ips as $ip=>$num){
if($num > $threshold){
$ip = trim($ip);
$cmd = "iptables -I INPUT -p tcp --dport 80 -s $ip -j DROP";
shell_exec($cmd);
echo "$ip baned!\n";
$ban_num ++;
}
}

$proxy_arr = array_unique(file('proxy.txt'));
foreach($proxy_arr as $proxy){
proxy = trim($proxy);
$cmd = "iptables -I INPUT -p tcp --dport 80 -s $proxy -j DROP";
shell_exec($cmd);
echo "$proxy baned!\n";
$ban_num ++;
}

echo "total: $ban_num ips\n";
?>

用下面的命令执行脚本（确保php命令在PATH中）

php ban.php

这个脚本依赖于第二段中ips.txt里保存的结果，当其中记录的IP访问次数超过10次，就被当作攻击源给屏蔽掉。如果是代理服务器，则不判断次数直接 封掉。
封完IP之后，把所有的网站设置恢复正常，站点可以继续正常运行了。

五，一些细节
为保持对操作过程的描述尽量简洁，没有在上面的内容中加入过多的解释，留在这段统一讲述。
1，关于“代理服务器”的一些本质
两个与TCP&HTTP协议相关的值，REMOTE_ADDR和HTTP_X_FORWARDED_FOR。
（1）REMOTE_ADDR总是取离Web服务器最接近的一台主机的IP，如果没有使用代理，这个值就是访问者本身的IP，如果使用了代理，这个值就是 代理服务器的IP，如果通过多个代理服务器进行的连接，这个值就是到达Web服务器前最后一台代理服务器的IP。
REMOTE_ADDR是由TCP/IP层决定的，不能修改不能伪造。
（2）HTTP_X_FORWARDED_FOR，因为这个值是属于HTTP部分，而不是TCP/IP，所以这个值不管是什么，都不影响数据的传输。事实 上，一般情况下，如果是访问者直接访问Web服务器，这个值为空；通过透明代理的时候，这个值会被代理服务器设置为访问者的IP；通过匿名代理连接时，这 个值可能为代理服务器的IP也可能是空的也有可能是随机的。
HTTP_X_FORWARDED_FOR可以被任意修改。大多数代理服务器都是透明代理，也就是说，会把这个值设置为最原始访问者的IP。

2，关于解决CC攻击的层面问题
按处理效率从高到低排列。
（由于本文是针对VPS服务器所写，而VPS简单来说就是服务器的低端替代品，内存和CPU等资源普遍偏低，当然是处理效率越高越好。）
（1）网络传输层。也就是本文所用的iptables，这个工具本身是工作于系统内核，在建立网络连接时直接把攻击者的连接给否了。在这一层面上将攻击源 处理掉后，消耗掉的资源几乎可以忽略不计。
（2）Web Server层，大多数Web Server都可以设置禁止访问的IP。在这一层上解决的意义和上面的差不多，但是效率要差些。
（3）脚本层，从脚本程序上制定适合于本身的策略过滤掉攻击源。网络上有很多流传的在这一层面的解决方案，但是不太适用于VPS，而且设置难度可能要增加 几倍或者几十倍。

3，为什么不是从日志收集IP？
主要是考虑两点，一是大多数VPS使用者都因为硬盘空间过小，经常清除日志很麻烦，而直接禁止了日志。
二是如果从日志收集IP，脚本复杂程度要高很多，而且可能要根据情况做些调整，考虑到将要读到本文的人大多数都未必掌握更多的技术，本文的目的就是按部就 班的依本文进行操作，即可解决问题。

六，其他
本文版权归DiaHosting所 有，转载请保留超链接。

在Linux中经常发现空闲内存很少，似乎所有的内存都被系统占用了，表面感觉是内存不够用了，其实不然。这是Linux内存管理的一个优秀特性，在这方 面，区别于 Windows的内存管理。主要特点是，无论物理内存有多大，Linux 都将其充份利用，将一些程序调用过的硬盘数据读入内存，利用内存读写的高速特性来提高Linux系统的数据访问性能。而Windows 是只在需要内存时，才为应用程序分配内存，并不能充分利用大容量的内存空间。换句话说，每增加一些物理内存，Linux 都将能充分利用起来，发挥了硬件投资带来的好处，而Windows只将其做为摆设，即使增加8GB甚至更大。

Linux 的这一特性，主要是利用空闲的物理内存，划分出一部份空间，做为 cache 和 buffers ，以此提高数据访问性能。VPS侦探 http://www.vpser.net

页高速缓存(cache)是 Linux内核实现的一种主要磁盘缓存。它主要用来减少对磁盘的I/O操作。具体地讲，是通过把磁盘中的数据缓存到物理内存中，把对磁盘的访问变为对物理 内存的访问。

磁盘高速缓存的价值在于两个方面：第一，访问磁盘的速度要远远低于访问内存的速度，因此，从内存访问数据比从磁盘访问速度更快。第二，数据一旦被访 问，就很有可能在短期内再次被访问到。

二，设置mutt发信参数
$ vim ~/.muttrc
写入下面的内容
set envelope_from=yes
set from=bak@diavps.com
set realname="DiaBak"
set use_from=yes
然后设置要接收邮件的Gmail，把bak@diavps.com加入白名单。

三，设置脚本
注意这几个目录
/etc/cron.hourly
/etc/cron.daily
/etc/cron.weekly
/etc/cron.monthly
这些目录下的文件可以分别每小时，每天，每周，每月自动执行一次。
如果是把脚本程序放置在上面的目录里，最好把权限设置为0700。
设置更复杂的执行条件可以使用crontab -e命令。详情请百度。

以每天执行为例
$ vim /etc/cron.daily/diabsk.sh
写入下面的内容
#!/bin/bash

# SETTING
TOEMAIL="bak@diavps.com";
COMMENT='blog database backup'
DIR='wordpress'
# END SETTING

TMP='/tmp/diabak/'${DIR}
ATTTMP='/tmp/diabakatt/'${DIR}

rm -rf $TMP
mkdir -p $TMP
cd $TMP

# Put files what you want to backup to $TMP

# Don't change anything below
YYYYMMDD=`date +%Y%m%d`
SUBJECT='DiaBak_of_'${DIR}'_'${YYYYMMDD};

rm -rf $ATTTMP
mkdir -p $ATTTMP
cd $ATTTMP

tar zcPf backup.tar.gz $TMP
rm -rf $TMP
split -b 20m -a 3 -d backup.tar.gz ${SUBJECT}.part
rm -f backup.tar.gz

for file in *
do
echo $COMMENT | mutt -a $file -s $SUBJECT $TOEMAIL
sleep 30s
done

rm -rf $ATTTMP

需要更改的内容已经加红
TOEMAIL为接收邮件的邮箱地址。
TOEMAIL为注释邮件，以邮件正文发送。
DIR为临时目录名，建议仅使用英文和数字。
# Put files what you want to backup to $TMP，这一行下面的命令根据需要自己补充，比如备份数据库可以把SQL文件导出到$TMP目录，备份文件可以复制文件到$TMP目录。

四，导出数据库的命令。
1.备份单个数据库
mysqldump --user=user --password=password --lock-all-tables dbname > backup.sql
2.备份多个数据库
mysqldump --user=user --password=password --lock-all-tables --databases dbname1 dbname2 > backup.sql
3.备份所有数据库
mysqldump --user=user --password=password --lock-all-tables --all-databases > backup.sql

--lock-all-tables选项可以在备份期间锁定数据库防止出现变化，进而导致多个有关系的表不同步，比如A表需要引用B表，备份完A表后，B 表发生了变化，之后才备份了B表，这样数据库就乱了。
备份上百M的数据库也只用了几秒而已，所以这个选项对网站运行影响不大。

五，重新组合备份的文件
Linux下
$ cat DiaBak* > bak.tar.gz
windows下
copy DiaBak_of_testfile_20100421.part001/b+DiaBak_of_testfile_20100421.part002/b bak.tar.gz
注意分卷后面会有三位数字，cat命令会按这些数字的顺序重新组合文件，所以数字不能乱。
copy命令同理，注意数字顺序。

六，其他
测试了一个600多M的文件，以20M的大小分成了31个包，通过脚本发送，用时十几分钟，期间网速保持在5Mbps到10Mbps之间，本机还有足够的 带宽，这个应该是GMAIL的上限了。
有些邮件需要过一个多小时才在Gmail显示出来。31个包全部收到。
如果哪位发现有比Gmail更适合备份的邮箱，期待与大家分享。

转载自：http://www.hostloc.com/thread-15597-1-1.html

Windows VPS都有图形化界面（GUI）的远程桌面，Linux VPS就只有SSH和像Hyper-VM这样的web面板。今天我就用一个闲置的VPS安装了KDE+Gnome+VNC的环境。
本教程使用D9hostVPS测试。

补图：

安装所需环境：
需要至少256m的可用内存（128也可以不过有点卡）
CentOS或类似OS（Debian的话改成apt-get应该也可以）

1，安装KDE

yum install kdepim
（或）安装Gnome(256内存可两个都安装)

yum groupinstall gnome-desktop
yum install gnome-session
2，安装VNC和其他

yum -y install vnc vnc-server firefox x11-xorg
yum -y install fonts-chinese

重要：要执行yum groupinstall "X Window System" "GNOME Desktop Environment" "KDE (K Desktop Environment)"
这个，不然不稳定
3，配置

运行

vncserver
设定好你的密码，然后程序会建立一个.vnc的目录，一般情况下是/root/.vnc
杀掉VNC的进程并删除临时sockets

pkill -9 vnc
rm -rf /tmp/.X1*
然后编辑/root/.vnc/xstartup，在最后一行你会看到twm &，（不能去掉&）如果要运行KDE则将twm改成

startkde
Gnome则改成

gnome-session
现在重新开启vncserver

vncserver

（建议用gnome好一些）

然后你就可以用你的VNC客户端去登录了，如果没有的话可以去下载一个免费的RealVNC Viewer。

注意默认端口是：1

小内存建议用kde
转载自：http://ovear.info/post/16/

每个进程都会有一个PID，而每一个PID都会在/proc目录下有一个相应的目录，这是Linux（当前内核2.6）系统的实现。

一般后门程序，在ps等进程查看工具里找不到，因为这些常用工具甚至系统库基本上已经被动过手脚（网上流传着大量的rootkit。假如是内核级的木马，那么该方法就无效了）。

因为修改系统内核相对复杂（假如内核被修改过，或者是内核级的木马，就更难发现了），所以在/proc下，基本上还都可以找到木马的痕迹。

思路：
在/proc中存在的进程ID，在 ps 中查看不到（被隐藏），必有问题。

for i in /proc/[0-9]* ; do

讨论：

检查系统(Linux)是不是被黑，其复杂程度主要取决于入侵者“扫尾工作”是否做得充足。对于一次做足功课的入侵来说，要想剔除干净，将是一件分精密、痛苦的事情，通常这种情况，需要用专业的第三方的工具（有开源的，比如tripwire，比如aide）来做这件事情。

而专业的工具，部署、使用相对比较麻烦，也并非所有的管理员都能熟练使用。

实际上Linux系统本身已经提供了一套“校验”机制，在检查系统上的程序没有被修改。比如rpm包管理系统提供的 -V 功能：

rpm -Va

即可校验系统上所有的包，输出与安装时被修改过的文件及相关信息。但是rpm系统也可能被破坏了，比如被修改过。

转载自：http://www.bsdmap.com/2010/02/02/proc-usage/

在美国，80%的程序员和技术员都是基于Linux平台的。只有20%的技术员是Windows平台的，因此，技术人力成本就贵很多。
而就Windows操作系统本身，微软是要每月收取高额的正版授权费的。 这部分钱，无疑又转嫁到了消费者头上。
软件费用：Windows系统里的正版软件几乎都是要钱的，而Linux系统下的大部分软件都是免费的，这也导致成本的差距。
再其次，由于国外大部分站长都用Linux vps，那么Windows VPS市场就比较小，IDC要维持它就要投入更多的成本。
综上所述，在相同机房，相同配置的情况下，Widnows VPS就比Linux VPS贵多了。

为什么不选择Linux系统？

如果您的网站没有ASP程序，都是PHP+MySQL的程序，那么，为什么不选择Linux系统？ 安装一个Kloxo控制面板或者使用lnmp一键安装包，完美支持PHP+MySQL程序，还节约大量的金钱。

机房网络质量导致价格差异：如果是不同机房，那么差距就更大了。

举例来说：中国北京的机房带宽速度和质量，肯定比中国一些小城市的机房好很多。理所当然，价格也相差很多了。

VPS平台的差异导致价格不同：XEN VPS通常都比openVZ VPS要贵很多。

综上所述，如果你的程序是PHP的，或者能做成PHP的尽量还是用Linux的系统，虽然要学习Linux但是投入还是相当要小一些的。

sh ./kloxo-install-master.sh

国内主机可能安装要慢点了，因为是在线安装（更新源在国外），使用美国主机的朋友们很快就能安装完了。
安装完后你除了安好Lxadmin，同时也基本安好了Apache、Lighttpd、MySQL、Xcache、Bind、Djbdns等一系列服务器软件。

yum install php-bcmath /*高精度数学运算组件，默认没安装，MD5运算时用到*/
yum install  php-mhash
yum install php-mbstring
yum check-update (检查更新)
yum update (更新所有更新)
yum install php-bcmath (比较重要的php组件，默认没安装)
yum clean all （清理安装包）

基本完成，可以把终端关闭了。我们来登录Lxadmin，第一次登陆用户名和密码都是admin，地址：

https://IP:7777/  /*安全连接，不过默认证书不受IE信任*/

http://IP:7778/  /*还是用这个普通链接吧*/

Zend可以在Lxadmin后台的PHPConfig里启用，Apache可以从SwichProgram里选择，建议先选择lighttpd和bind然后再选回apache和djbdns，否则你会看到内存占用量很高。

新手建议用Apache，99%能正常支持.htaccess的rewrite规则。

安装中文语言包看一参考本文：http://www.vpser.net/vps-cp/vps-lxadmin-chinese.html

安装完后需要修改/etc/httpd/conf/httpd.conf  查找：AddDefaultCharset UTF-8 改为：AddDefaultCharset OFF ，这样就会引起网页的乱码问题。

1、打开 /etc/ssh/sshd_config 文件，找到一个参数为 ClientAliveCountMax，它是设定用户端的 SSH 连线闲置多长时间后自动终止连线的数值，单位为分钟。

2、如果这一行最前面有#号，将那个#号删除，并修改想要的时间。

3、修改后保存并关闭文件，重新启动 sshd:

/etc/rc.d/init.d/sshd restart

因为个人原因，LNMP经过几次跳票终于发布了，此次发布的是在Debian或者Ubuntu下的Nginx、PHP、MySQL、phpMyAdmin、Zend一键安装包,可以在VPS、独立主机上轻松的安装LNMP生产环境。

LNMP V0.3 for Debian/Ubuntu软件版本说明(2009年11月10日更新)：
Nginx：0.7.63
PHP：5.2.10
MySQL：5.0.51a
Zend Optimizer ：3.3.9
eaccelerator：0.9.5.3

使用说明：(请尽量选用32位，D64位问题已经解决，可以正常使用)
如果系统预安装Apahce或你已经安装Apache，请先运行 killall apache2 ，再执行 apt-get remove apache2 ，删除Apache！(此步已经再V0.3新版添加，可以不用操作。)
登陆Linux,下载LNMP压缩包，并解压. (一些朋友可能不知道怎么弄，登陆VPS或者主机，

执行命令 wget http://soft.vpser.net/lnmp/lnmp0.3.tar.gz ,将lnmp0.3.tar.gz下载到VPS中，执行 tar zxvf lnmp0.3.tar.gz解压LNMP一键安装包)。
执行命令 cd lnmp0.3
然后32位系统执行./debian.sh  64位系统执行./debian64bit.sh ，输入要绑定的域名，回车后。程序会自动安装编译Nginx、PHP、MySQL、phpMyAdmin、Zend这几个软件。安装大约10分钟左右需要设置MySQL root用户的密码。

如果需要安装eaccelerator，执行./eaccelerator.sh 就可以了。

程序安装路径：
MySQL :   /usr/bin
MySQL数据库: /var/lib/mysql
PHP :     /usr/local/php
Nginx :   /usr/local/nginx
PHPMyAdmin /home/wwwroot/phpmyadmin
Web目录    /home/wwwroot/

添加虚拟主机：

修改/usr/local/nginx/conf/nginx.conf 文件

在

server
 {
  listen  80;
  server_name  status.lnmp.org;

  location / {
   stub_status on;
   access_log   off;
  }
 }

后面添加上下面代码：

server
 {
  listen       80;
  server_name www.lnmp.org;
  index index.html index.htm index.php;
  root  /web/www/abc;

  location ~ .*\.(php|php5)?$
   {
    fastcgi_pass  unix:/tmp/php-cgi.sock;
    #fastcgi_pass  127.0.0.1:9000;
    fastcgi_index index.php;
    include fcgi.conf;
   }

  location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
   {
    expires      30d;
   }

  location ~ .*\.(js|css)?$
   {
    expires      12h;
   }

  access_log   off;
 }

再执行kill -HUP `cat /usr/local/nginx/logs/nginx.pid`虚拟机就生效了。

通过下面这几个链接查看phpinfo和管理MySQL
phpinfo： http://domain.name/phpinfo.php
PHP探针：http://domain.name/p.php
phpMyAdmin：http://domain.name/phpmyadmin

此版本为测试版本，已经在DiaVPS、RASHOST、Linode、SWVPS、thenynoc.com、rapidxen、BoxVPS、VMware Debian最小化安装 上测试成功。

演示站点：http://www.vpser.net

QQ交流群：VPS群：7617036   Linux群：12327692

反馈网址：CentOS/RedHat版 http://blog.licess.cn/lnmp/
Debian/Ubuntu版 http://blog.licess.cn/lnmp-debian-ubuntu/

交流论坛： http://bbs.vpser.net
下载地址：http://soft.vpser.net/lnmp/lnmp0.3.tar.gz
友情提示：Linux下操作请注意大小写。