gdrive3 要設定的部分比較多也比較麻煩，不像前一版只要下載回來，gdrive about授權完成就可以了，跟著小蛙來一步一步設定吧。

下載 gdrive 套件

gdrive3 套件連結下載。

點進去之後找到 the release section，小蛙寫這篇文章的時候最新版本是 3.9.1，下載對應自己作業系統的版本

在 shell 環境中下，下載 gdrive、解壓縮，並移動到 /usr/sbin/ 讓他可以全域執行

wget https://github.com/glotlabs/gdrive/releases/download/3.9.1/gdrive_linux-x64.tar.gz
tar -xzvf gdrive_linux-x64.tar.gz
mv ./gdrive /usr/sbin/

設定 Google 帳號授權

這版本的 Google 授權跟上一版比較起來真的超級麻煩，github 主頁上也有完整且詳細授權教學 Create Google API credentials in 50 easy steps，有 50 個步驟看起來真的是超級麻煩 … 不過點進去看的話就會發現其實不到 50 個步驟啦！大約只有 28 個 (…. 還是很多啊！！！)

建立 Google Cloud 專案

首先進入到 Google Clound 控制台，第一次使用的話點擊左上角「選取專案」，然後「新增專案」，如果原本就有專案存在的話，使用既有的專案也可以。

輸入可以辨識的專案名稱，點擊建立，建立完成後右上角會跳出通知，點擊選取專案進入專案頁面

啟用 Google Drive API

在上方搜尋欄輸入「drive api」，點擊第一個搜尋結果「Google Drive API」，點擊「啟用」來使用 Google Drive API

設定 OAuth 同意畫面

成功啟用 Google Drive API 後，點擊左側選單「憑證」，點擊「設定同意畫面」

點擊「開始」設定 Google 驗證平台，輸入應用程式名稱及使用者支援電子郵件

目標對象選擇「外部」，填入聯絡資訊，同意條款後點擊「建立」

新增資料存取權

點擊「資料存取權」->「新增或移除範圍」

篩選條件輸入「Google Drive API」，下方範圍選擇 …/auth/drive 及 …/auth/drive.metadata.readonly 兩個，選完後點擊最下方「更新」

接著畫面會顯示剛剛選擇的那兩個，點擊 Save 儲存

新增目標對象

接著點擊「目標對象」->「Add users」

輸入要使用 gdrive3 的使用者

建立 Oauth 用戶端

點擊「用戶端」->「建立用戶端」，應用程式類型選擇「電腦版應用程式」，接著輸入自己可以辨認的名稱即可

建立完成，點擊「下載 JSON」可以把密鑰下載下來，要注意這邊的密碼要記起來，關閉這視窗之後就再也看不到這個密碼了，只能刪除重建一個新的喔。

發布應用程式

點擊左側「目標對象」->「發布應用程式」

確認後就完成 Google Drive API 的設定囉 ~

gdrive3 認證

這部分要依照「本機是否可以開啟瀏覽器」來區分，因為小蛙安裝在 VPS 上沒有辦法開啟瀏覽器來驗證，也不像前一版可以遠端驗證

因此這邊需要在 Windows 本機也安裝 gdrive，在本機驗證成功後，把設定檔匯出，在到 VPS 上匯入設定檔，這樣就能讓不能開瀏覽器的主機也能正常使用 gdrive，下面小蛙就示範怎麼執行這些步驟。

下載 Windows 版本的 gdrive，解壓縮後進入到目錄，接著執行gdrive account add，輸入上面取得的用戶端編號與用戶端密碼後，會得到一個連結，複製貼到瀏覽器進行認證

gdrive account add
# Client ID (輸入用戶端編號)
# Client secrent (輸入用戶端密碼)
# 取得驗證連結 (貼到瀏覽器進行認證)
# 驗證成功顯示 Logged in as xxxxx@gmail.com

輸入剛剛上面 Add user 中輸入的 gmail 帳號

遇到下面這個畫面沒關係，點擊顯示進階設定，點擊下方前往「GDrive3」(不安全)

兩個權限都勾選後點擊繼續

驗證成功

接著將驗證成功的檔案匯出，輸入gdrive export剛驗證成功的 gmail 帳號

把上面產生的檔案上傳到 VPS 主機上，使用gdrive account import匯入就成功囉~

gdrive3 基本使用

只要輸入gdrive就可以看到使用說明

# gdrive
Usage: gdrive <COMMAND>

Commands:
  about        Print information about gdrive
  account      Commands for managing accounts
  drives       Commands for managing drives
  files        Commands for managing files
  permissions  Commands for managing file permissions
  version      Print version information
  help         Print this message or the help of the given subcommand(s)

Options:
  -h, --help  Print help information

輸入gdrive files mkdir 資料夾名稱可建立資料夾，小蛙要用來放備份的，因此輸入gdrive files mkdir backup，建立一個名稱為 backup 的資料夾，接著會回傳一個 directory id，之後存取這個資料夾都是認這個 directory id 而不是資料夾名稱喔。

建立資料夾

# gdrive files mkdir backup
Created directory 'backup' with id: 1MuLg1nlmZwudTdW4MJqhNO1z88i9Vur2

到 Google 雲端硬碟可以看到成功建立了 backup 資料夾

上傳檔案

這一版不支援前一版可以gdrive sync upload 本機資料夾 雲端資料夾id直接同步整個本機資料夾內的檔案，只能透過以下指另一個一個上傳

gdrive files upload --parent 1MuLg1nlmZwudTdW4MJqhNO1z88i9Vur2 1.txt
gdrive files upload --parent 1MuLg1nlmZwudTdW4MJqhNO1z88i9Vur2 2.txt
...

或者是批量把資料夾下的資料都上傳可透過以下指令，不過這樣會在原本要上傳的 backup 資料夾下又在建立一個 backup 資料夾 …

~/backup# gdrive files upload --parent 1MuLg1nlmZwudTdW4MJqhNO1z88i9Vur2 --recursive ./
Found 2 files in 1 directories with a total size of 70 B
Creating directory 'backup' with id: 1elbAeqJGIA_h8VeKSGveWWuyVL_vZevp
Uploading file 'backup/1.txt' with id: 1HuMgkjhnLwWnCkub3hwfU2WVXvC-o3IQ
Uploading file 'backup/2.txt' with id: 1S76vQWzWtR1AzR-IzxDMPBh2RBzNAvOB
Uploaded 2 files in 1 directories with a total size of 70 B

大概 gdrive 的教學就到這邊，如果遇到參數不知道怎麼下的時候，只要在最後面加上-h就可以看到指令教學。

這篇文章 gdrive3 : Google Drive CLI Client 最早出現於 記下來。

小蛙收到的需求是要架設 FTP Sever ，建立一個特定使用帳號，並將該帳號的家目錄設定在特定路徑下，該文章完全符合小蛙的需求，照著做之後把過程中文化並記錄下來，開始吧！

安裝 vsftp

這邊使用較輕巧且設定簡單的 vsftp，透過以下指令進行安裝

sudo apt update
sudo apt install vsftpd

安裝完成後可輸入systemctl status vsftpd查看是否正常安裝及運作

設定 vsftp

vsftp 的設定檔在/etc/vsftpd.conf，小蛙這邊將進行以下 5 項設定，第 6 項傳輸加密部份因為沒有要用到，這邊就不另外提了。

sudo vim /etc/vsftpd.conf

1. 存取限制

設定禁止匿名者登入，以及本地帳號皆可使用

anonymous_enable=NO
local_enable=YES

2. 允許上傳

若要讓使用者上傳檔案，須將以下設定開啟

write_enable=YES

3. 限制目錄切換

基於安全性問題，想將使用者限制在特定區域，避免有心人士的非法行為，加上以下這兩項設定

chroot_local_user=YES
allow_writeable_chroot=YES

4. 被動連線 (PASV)

FTP Server 可以設定 (1) 主動模式 及 (2) 被動模式，在設定檔加入pasv_min_port及pasv_max_port兩個參數可限縮被動模式使用的 port 區間。

兩種模式各有優缺點，主動模式對伺服器來說比較安全，但對用戶端來說卻是可能帶來危險，因此很可能被用戶端的防火牆所阻擋了。使用被動模式雖然解決了用戶端的問題，但相對的伺服器必須開啟一定範圍的通訊埠供用戶端連線，好在目前絕大部分的 FTP 伺服器軟體，皆可以由管理者決定開啟哪些範圍的通訊埠。

FTP 主動模式與被動模式

pasv_min_port=30000
pasv_max_port=31000

5. 限制登入

除了上面設定的本機使用者可以登入外，也可以使用下面這些設定，僅讓清單上的使用者登入 FTP，我們將設定檔放在/etc/vsftpd.user_list內，檔案內一行為一個使用者帳號

userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO

6. 傳輸加密

小蛙這次設定沒有要用到，可參考原文進行設定。

設定防火牆

設定好 vsftp 之後，安全起見還是要把防火牆設定起來，FTP 需要開啟 port 20, port 21 以及上面設定的被動模式 port 區間

sudo ufw allow 20:21/tcp
sudo ufw allow 30000:31000/tcp

建立及設定 FTP 使用者

剛剛我們設定了只有/etc/vsftpd.user_list清單上的使用者才可以登入 FTP，現在就來新增一個 FTP 專用帳號

1. 新增使用者

使用adduser建立一個使用者 newftpuser (帳號換成自己要的)，並且把該使用者加入到允許登入清單中

sudo adduser newftpuser
echo "newftpuser" | sudo tee -a /etc/vsftpd.user_list

禁止 Shell 登入

由於只想讓該帳號使用 FTP 的功能，不希望該帳號透過 SSH 的方式登入進主機，新增一個名為 ftponly 的 Shell

echo -e '#!/bin/sh\necho "This account is limited to FTP access only."' | sudo tee -a  /bin/ftponly
sudo chmod a+x /bin/ftponly

將我們建立的/bin/ftponly加入到 shell 清單中

echo "/bin/ftponly" | sudo tee -a /etc/shells

接著把 newftpuser 的 shell 指定為/bin/ftponly

sudo usermod newftpuser -s /bin/ftponly

完成後如果嘗試使用該帳號登入 SSH，就會看到以下訊息 ~

打完收工！同場加映，因為小蛙還要重新設定使用者家目錄，透過以下指令即可完成。

sudo usermod -d /my/new/path newftpuser

這篇文章 Ubuntu 安裝及設定 vsftp 最早出現於 記下來。

升到一半狂噴錯，但已回不了頭，之後下 apt update 都會噴以下錯誤

W: GPG error: http://dl.google.com/linux/chrome/deb stable InRelease: 由於無法取得它們的公鑰，以下簽章無法進行驗證： NO_PUBKEY 4EB27DB2A3B88B8B
W: The repository 'http://dl.google.com/linux/chrome/deb stable InRelease' is not signed.
N: Data from such a repository can't be authenticated and is therefore potentially dangerous to use.
N: See apt-secure(8) manpage for repository creation and user configuration details.

根據這篇文章 GPG error: Release: The following signatures were invalid: BADSIG 的方法嘗試回復 apt-get

sudo apt-get clean
sudo mv /var/lib/apt/lists /tmp
sudo mkdir -p /var/lib/apt/lists/partial
sudo apt-get clean
sudo apt-get update

錯誤訊息變成這個

W: An error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: http://dl.google.com/linux/chrome/deb stable InRelease: 由於無法取得它們的公鑰，以下簽章無法進行驗證： NO_PUBKEY 4EB27DB2A3B88B8B
W: 無法取得 http://dl.google.com/linux/chrome/deb/dists/stable/InRelease，由於無法取得它們的公鑰，以下簽章無法進行驗證： NO_PUBKEY 4EB27DB2A3B88B8B
W: Some index files failed to download. They have been ignored, or old ones used instead.

看起來好像是因為公鑰過期，查了該討論串裡的其他方法，發現下面這指令像是可以更新公鑰，死馬當活馬醫的心態試試看居然成功了！

apt-key adv --refresh-keys --keyserver keyserver.ubuntu.com

可喜可賀～！但 VPS 還是沒辦法升上去 >< (殘念)，不過至少讓 apt-get 恢復正常了！

這篇文章 W: GPG error: 由於無法取得它們的公鑰，以下簽章無法進行驗證： NO_PUBKEY 4EB27DB2A3B88B8B 最早出現於 記下來。

某次遇到 Ubuntu 20.04 安裝完一切後，過不久發現原本好好的功能突然出問題，查了一下才發現原本的設定不一樣了，到底發生什麼事？一度懷疑被其他工程師更新了，只好硬著頭皮快點把問題修復，讓網站上線，之後就忘記這件事情。

直到最近有一台新機器也是安裝完畢後，過不久使用 nginx + phpfpm 的網站自己突然就掛了，一直噴 pagespeed module not found 的錯誤 …？一度懷疑是不是主機被入侵 … 經過仔細盤查後才發現原來這台也是 Ubuntu 20.04，預設會開啟自動更新 …

根據 Ubuntu 關閉自動更新 及 How To Disable Automatic Updates on Ubuntu 20.04 LTS 這兩篇文章，關閉自動更新很簡單，只要把以下設定都改為 0 就可以了！

vim /etc/apt/apt.conf.d/20auto-upgrades

APT::Periodic::Update-Package-Lists "0";
APT::Periodic::Download-Upgradeable-Packages "0";
APT::Periodic::AutocleanInterval "0";
APT::Periodic::Unattended-Upgrade "0";

這篇文章 關閉 Ubuntu 自動更新 最早出現於 記下來。

開啟 Notepad++ 後，切換到 Authentication 頁籤 -> 勾選「Try private key file authentication」-> 選取透過 登入 ssh 免輸入帳號密碼 產生的 Private Key (小蛙的例子是 test.key.ppk)

點擊連線後會發生以下錯誤

Connecting
[SFTP] Host key accepted
[SFTP] Invalid private key file or incorrect passphrase
[SFTP] Error during authentication: Access denied for 'none'. Authentication that can continue: publickey
Unable to connect
Disconnected

原因是 Notepad++ 不支援預設產出的 ppk 這種格式，只要再開啟 PuTTYgen 或 MobaKeyGen (可參考 登入 ssh 免輸入帳號密碼)，點擊 Load 載入要轉換的 ppk (例如 test.key.ppk) -> Conversions -> Export OpenSSH Key

轉換後的 Private Key 會長類似這樣，在 Notepad++ 使用這把私鑰就可以正常連線了。

-----BEGIN RSA PRIVATE KEY-----
...
...
...
-----END RSA PRIVATE KEY-----

這篇文章 Notepad++ NppFTP 使用 key 登入的問題 最早出現於 記下來。

TWCA 官網列出申請 SSL 憑證總共有 6 個步驟，接下來小蛙會著重在第 3 步：上傳 CSR (WEB) 以及第 6 步：安裝與設定 1.電子憑證 2.認證標章 (但不會使用認證標章)

申請 TWCA SSL 憑證：上傳 CSR (WEB)

產生主機 KEY 及 CSR 憑證請求檔

首先進到 /etc/ssl/ 產生金鑰 (private key)

cd /etc/ssl/
openssl genrsa -out server.key 2048

使用這把金鑰產生 CSR 憑證請求檔

openssl req -new -key ./server.key -out server.csr

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]: TW (國家縮寫)
State or Province Name (full name) [Some-State]:Taiwan (國家名稱全名)
Locality Name (eg, city) []:Taichung (城市名稱)
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Noter (公司名稱) 
Organizational Unit Name (eg, section) []:IT (部門名稱)
Common Name (e.g. server FQDN or YOUR name) []:noter.tw (網域名稱)
Email Address []:noter.tw@gmail.com (電子郵件)

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:Noter (選用的公司名稱)

2024-05-21 補充，因為每年都要產生一次，有時候忘記 CSR 要輸入的東西，就可以使用以下指令來看查看之前產生 CSR 時填入的資訊

openssl req -in example.csr -noout -text

上傳 CSR

經過上述步驟後，在 /etc/ssl/ 下會多出 server.key 及 server.csr，回到 TWCA 官網 第 3 點的描述

請將CSR檔案中的內容複製到下方的空欄中，注意複製的範圍應包括「—–BEGIN NEW CERTIFICATE REQUEST—–」到「—–END NEW CERTIFICATE REQUEST—–」的宣告文字。

透過 cat 印出剛剛產生的 CSR

cat server.csr

-----BEGIN CERTIFICATE REQUEST-----
...
...
...
-----END CERTIFICATE REQUEST-----

複製「—–BEGIN NEW CERTIFICATE REQUEST—–」到「—–END NEW CERTIFICATE REQUEST—–」範圍的文字，貼到 TWCA 官網中點擊繼續

確認紅框內的資訊後，輸入密碼、選擇驗證網域的方式、及表單編號

點擊繼續後即上傳完成

驗證網域所有權

小蛙這邊使用的是「網站檔案驗證」(上一步選擇的)，收到操作手冊與驗證檔

在網站根目錄建立對應的資料夾及 whois.txt 檔案，並將 email 附件中的 whois.txt 貼上，也可以直接把附件中的檔案解壓縮後，直接上傳到網站根目錄中。例如小蛙的網站根目錄是 /var/www/html/

mkdir -p /var/www/html/.well-known/pki-validation/
vim /var/www/html/.well-known/pki-validation/whois.txt

完成後確定從 email 給的連結可以看到剛剛的 whois.txt 檔案，即可與 TWCA 聯繫進行下一步。

安裝與設定 1.電子憑證 2.認證標章

等待 TWCA 審核完成後收到一封 email 及一個壓縮檔，解壓縮後包含我們前面產生的檔案，共有以下

1. server.key 伺服器金鑰
2. server.csr TWCA CSR 憑證申請檔
3. root.cer 根憑證
4. server.cer 伺服器憑證
5. uca.cer 中繼憑證

這邊會用到的為 1, 4, 5 三個檔案，如果收到的檔案是 uca_1.cer 跟 uca_2.cer，可先透過 cat uca_2.cer uca_1.cer > uca.cer 將檔案合併成一個。

以小蛙自己的環境 Apache2.4 為例，首先複製一份預設的檔案出來改

cp /etc/apache2/sites-available/000-default.conf /etc/apache2/sites-available/000-default-le-ssl.conf
vim /etc/apache2/sites-available/000-default-le-ssl.conf

<IfModule mod_ssl.c>
<VirtualHost *:443>
        ServerName 改成 TWCA 申請 SSL 的網址
        ServerAdmin webmaster@localhost
        DocumentRoot /var/www/html/

        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined

        Include /etc/letsencrypt/options-ssl-apache.conf  # 這個是因為小蛙有使用 letsencrypt
        SSLCertificateFile /etc/ssl/server.cer            # 加上這個
        SSLCertificateKeyFile /etc/ssl/server.key         # 加上這個
        SSLCertificateChainFile /etc/ssl/uca.cer          # 加上這個
</VirtualHost>
</IfModule>

儲存後啟用該站點，檢查沒問題後重起 apache 就完成囉！

a2ensite 000-default-le-ssl.conf
apache2ctl configtest
Syntax OK
service apache2 graceful

增加安全性系列：

• 向 TWCA 申請 SSL 憑證 (Ubuntu, Apache)
• Ubuntu 16.04 升級 phpMyAdmin 並開啟二階段驗證( 2FA )
• Ubuntu 16.04 安裝 fail2ban

這篇文章 向 TWCA 申請 SSL 憑證 (Ubuntu, Apache) 最早出現於 記下來。

第一次使用 VPS 是前同事把他不要的 VPS 給小蛙玩，用了之後決定自己也買一台，從以前到現在總共用過 DirectSpace、linode、ChicagoVPS、HiFormance、Racknerd、Pacificrack、DesiVPS、Artic Host、Liveinhost、Hostflyte … 等，這些裡面有些過程很慘痛，有些到現在小蛙還在使用，大部份都是較低價的虛擬主機，不過低價主機真的要靠運氣，聽小蛙娓娓道來～

小蛙在下面這篇文章有分享一些心得，包括怎麼挑選以及怎麼買可以更便宜

用過那麼多家，心得？

小蛙回憶一下各家 VPS 的差別跟優缺點（有些是很久以前使用過的，以下為很主觀的感受）

DirectSpace

官網：https://directspace.net/

是小蛙最早使用的 VPS 主機，有著便宜的價錢，小蛙在使用上沒有什麼問題，原本也覺得會一直用下去，直到有一次遇到主機不停斷線，每次斷線都維持一段時間，資料也救不回來，陷入了無限重灌地獄，於是放棄了這家。由於是非常早期使用的，小蛙不清楚現在品質有沒有改善，不過也不太敢再去嘗試了～

linode

官網：https://www.linode.com/

非常穩定又老牌的一家公司，網路上有非常多人使用以及推薦，小蛙之前都是買最低規格一年份方案，來跑一些負載量比較不重的服務，後來就不確定還有沒有這些方案了，不過 linode 的穩定性應該還是不容質疑的。

ChicagoVPS

官網：https://www.chicagovps.net/

小蛙用最最最久的 VPS（看第一筆付費紀錄是在 2012 年），當時在 LowEndBox 上看到不少人推薦，於是就買了下來，使用上大致上沒有遇到什麼大問題，用了那麼久偶爾還是會遇到無法連線的問題（這很難避免，再穩的主機都可能會遇到，重點是常不常以及容不容易出問題），曾幾次在 Black Friday 黑色星期五時看到更划算的方案果斷交換，目前小蛙使用 2014 年撿到的方案：記憶體 2GB、流量 2TB 及儲存空間 30GB，3 年只要 49 元美金（現在已經很難撿到這種優惠了，後續價格提高且提供更穩定的品質也是一件好事！）

HiFormance

官網：無、掛了、跑路了。

HiFormance 曾經一度是小蛙非常喜歡的主機商，因為它規格高又非常便宜、連線速度各方面都很棒，當時小蛙在 LowEndBox 上看到 HiFormance 越來越便宜的方案，沒有警覺還很開心，現在想想真的是太笨了，直到有一天，本來都會回覆的客服面對一堆當機及無法連線時都沒有回應 …

Hostflyte

官網：https://hostflyte.com/

這是小蛙買的第一台 KVM 虛擬主機，之前都是 OpenVZ 架構，買這台是為了可以練習 docker，結果沒用幾個月這家又開始出狀況，上網查了一下才知道它跟 HiFormance 同一個金主，小蛙寫這篇文章的時候 Hostflyte 又復活了，不確定是有新的金主接盤了還是什麼狀況，不過小蛙當時因為整個 Hostflyte 跑路而也放棄這家主機

Racknerd

官網：https://www.racknerd.com/

也是小蛙想要有 KVM 虛擬主機、加上在 LowEndBox 上看到這家超級便宜、規格又高，於是跳進去買的，現在在 LowEndBox 上還是可以看到 Racknerd 很活躍，經常推出便宜方案以及特殊活動方案，讓小蛙有種 HiFormance 的感覺（一朝被蛇咬，十年怕草繩），希望金主不要步上 HiFormance 的後塵。目前 Racknerd 仍在服役中，小蛙從台灣連美西的主機，使用起來有時有種卡頓的感覺，不清楚原因，小蛙同樣在美西的 ChicagoVPS 不會有這種感覺。

Pacificrack

官網：https://pacificrack.com/

以下四個主機上是小蛙用來跑特定服務而租的主機，會買它們主要是便宜或是在「特定區域」，Pacificrack 在小蛙把服務設定好，就讓它放著固定跑，很少動到這台，目前仍正常服役中。

DesiVPS

官網：https://www.desivps.com/

同 Pacificrack，因特殊目的而購買，使用上沒有什麼特別的感覺，可能因為租用距離台灣比較線路不友善的荷蘭，因此操作時的頓挫非常明顯。

Artic Host

官網：https://www.artichost.com/

貌似跑路了，目前官網連不上，小蛙收到的最後一封信是 2021 年 7 月 2 日。

Liveinhost

官網：https://www.liveinhost.com/

買了英國及法國的 Windows 主機，除了距離太遙遠之外，也可能是記憶體太少，遠端操作起來非常卡頓，台灣使用者要買的話要特別注意線路速度的問題。

以上是小蛙自己實際使用過的 VPS 以及主觀感受，希望對正好要租用 VPS 朋友們有幫助，最近正忙著把機器搬到 Vultr 上，之後再找時間補上 Vultr 的介紹。

網站架設系列文章：

• 盤點那些曾經陪伴過小蛙的 VPS 虛擬主機
• 如何挑選 VPS + 最划算的買法
• 手把手教你如何購買 VPS
• 第一次買 KVM 虛擬主機
• 血的教訓 – HiFormance 跑路了 …
• 為自己申請一個域名 – HiNet 為例
• Cloudflare – 超強大的免費 CDN (?)
• 使用 Cloudflare 代管你的域名
• Ubuntu 16.04 設定環境語言編碼，讓中文可以正常顯示
• Ubuntu 16.04 安裝 fail2ban
• 一個腳本每天自動備份
• Linux tar 完整備份、增量備份及差異備份比較
• nginx + SSL Certificate – 讓 http 變身成為 https
• SSL For Free – 免費又有綠色鎖頭的 SSL Certificates
• Certbot 申請 SSL certificate 錯誤問題
• Certbot 錯誤：ACMEv1 is deprecated and you can …
• Ubuntu 18.04 安裝 AWStats 來統計網站流量
• PCHome 買網址續約流程

這篇文章 盤點那些曾經陪伴過小蛙的 VPS 虛擬主機 最早出現於 記下來。

小蛙在新主機上使用 wget 的時候發現沒辦法正常使用，會出現以下訊息

root@vultr:~# wget https://www.google.com.tw/

ERROR: cannot verify www.goog.com.tw's certificate, issued by ‘....’:
  Unable to locally verify the issuer's authority.
To connect to www.google.com.tw insecurely, use `--no-check-certificate'.

試了 wget --no-check-certificate 之後的確可以存取了，不過有些也有用到 wget 的套件內容就沒辦法這樣處理了，必須從根本上解決。例如：使用到 file_get_contents 的 simple_html_dom 也沒辦法使用

Warning: file_get_contents(): SSL operation failed with code 1. OpenSSL Error messages:
error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed in simple_html_dom.php on line 82

Warning: file_get_contents(): Failed to enable crypto in simple_html_dom.php on line 82

Warning: file_get_contents(https://xxx...): failed to open stream: operation failed in simple_html_dom.php on line 82

Fatal error: Uncaught Error: Call to a member function find() on bool in parseC.php:106
Stack trace:
#0 {main}
  thrown in parseC.php on line 106

上 serverfault.com 查到以下這個方法：

1. 下載 ca-certificates
   sudo apt install ca-certificates
2. 編輯使用 wget 的時候使用的設定檔
   sudo vim /etc/wgetrc
3. 在檔案最下面加入
   ca_directory=/etc/ssl/certs

打完收工，再試一次 wget 不會再噴錯了，留給有需要的人（感謝 Jared 大大，參考自：Why wget doesn’t verify SSL certificates? @ serverfault.com）

這篇文章 Unable to locally verify the issuer’s authority. To connect to … insecurely, use `–no-check-certificate’. 最早出現於 記下來。

這篇文章查了一些資料，參考了 如何將資料從 Linux 裝置備份至 Synology NAS？ Linux 使用 rsync 遠端檔案同步與備份工具教學與範例、Using SSH key authentification on a Synology NAS for remote rsync backups、 Logging RSYNC output to file、Linux 設定 crontab 例行性工作排程教學與範例，加上小蛙自己設定時候遇到的狀況，留給有需要的朋友參考。

Synology NAS？

Synology NAS 提供了很方便的 client，在有 GUI 的環境裡直接設定好目錄，只要檔案有所變動就會自動同步到 NAS 上，而且跟 Google 雲端硬碟一樣，檔案每次變動的歷程都會記錄著，如果檔案改壞了要找回某個時間點的版本，超級方便！雖然 client 也支援 Linux，不過沒有 GUI 的 Sever 版本就沒有了，只適用於有桌面環境的 Linux。

沒有桌面環境的 Linux 怎麼辦？

沒有桌面環境的 Linux 也不用擔心，像小蛙今天要使用的就是沒有桌面環境的 Ubuntu 16.04 LTS，Synology 官方的文件提到可以用 CIFS 或 NFS 掛載的方式，或是不透過掛載，直接將資料 rsync 進 NAS 裡，雖然一樣可以將資料同步到 NAS 裡，但跟官方提供的 client 比起來，少了檔案變動會自動同步的功能，必須要自己設定 crontab 定期進行同步 (雖有一點不怎麼完美，但比完全用不了又好上不少！)

操作主要分成 NAS 環境上的設定以及要同步伺服器上的設定，有些步驟會交叉到，小蛙就順著流程講下去。

開啟 rsync 服務

首先開啟瀏覽器用在 administrators 群組內的使用者登入 NAS -> 控制台 (1) -> 檔案服務 (2) -> 啟動 rsync 服務 (3) -> 套用 (4)

指定 rsync 權限給特定使用者

進入使用者帳號 (1) -> 選取要使用 rsync 的使用者 (2) -> 點擊編輯按鈕 (3)

設定可讀寫的資料夾，切換到權限頁籤 (1) -> 找到要 rsync 的使用者，將可讀寫打勾 (2) -> 按下確定

為了要讓 rsync 免輸入帳號密碼，在這邊先暫時把要進行 rsync 的帳號加入 administrators 群組，等等完成設定後再還原設定。

開啟家目錄與資源回收桶

小蛙原本接手的時候這兩個都沒開，家目錄如果沒開的話會造成 SSH 沒辦法不輸入帳號密碼自動登入，而資源回收桶沒開的話則會無法留住刪除檔案的記錄，如果誤刪檔案時還能救回來，非常方便建議打開。

回到控制台 -> 進入使用者帳號 (1) -> 上方進階設定 (2) -> 拉到最下面把啟動家目錄服務 (3) 及 啟動資源回收桶 (4) 都打勾，點選下方套用。

啟用 SSH 功能

回到控制台左側選單拉到最下面的終端機 & SNMP (1) -> 啟動 SSH 功能 (2) -> 套用 (3) 來開啟 SSH 功能

測試使用 SSH 登入

現在到要進行檔案同步的 Ubuntu 中進行連線測試，此刻還是要輸入密碼的，如果剛剛沒有將此帳號加入 administrators 群組，這邊就會出現連線被拒絕無法連線的錯誤，如果畫面跟小蛙一樣可以連進去就表示以上的設定都是正確的。

root@xxx:~# ssh myaccount@nas_domain
The authenticity of host 'nas_domain (xx.xx.xx.xx)' can't be established.
ECDSA key fingerprint is SHA256:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'nas_domain,xx.xx.xx.xx' (ECDSA) to the list of known hosts.
myaccount@nas_domain's password:
myaccount@nas_domain:~$

建立基本 SSH 所需檔案

NAS 一開始沒有 .ssh 資料夾，所以我們要建立一個 .ssh 資料夾跟 authorized_keys 檔案，並且設定正確的權限

# 建立必須的檔案與資料夾
myaccount@nas_domain:~$ cd ~
myaccount@nas_domain:~$ mkdir .ssh
myaccount@nas_domain:~$ touch .ssh/authorized_keys

# 設定正確權限
myaccount@nas_domain:~$ chmod 0711 ~
myaccount@nas_domain:~$ chmod 0711 ~/.ssh
myaccount@nas_domain:~$ chmod 0600 ~/.ssh/authorized_keys

設定讓 SSH 接受公鑰驗證登入

預設 SSH 是透過帳號密碼登入的，這邊要免輸入帳號密碼的話，要將設定改成接受特定公鑰登入的方式

myaccount@nas_domain:~$ sudo su
Password: 輸入 myaccount 的密碼
ash-4.3# vim /etc/ssh/sshd_config

# 把下面兩行前面的 # 拿掉後 :wq 存檔離開
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys

# 重啟 sshd DSM 7 以前的
#ash-4.3# synoservicectl --restart sshd

# 重啟 sshd DSM 7 以後的要用這個
ash-4.3# /usr/syno/bin/synosystemctl restart sshd.service

# 退出回到要備份資料的伺服器上
ash-4.3# exit
exit
myaccount@nas_domain:~$ exit
logout
Connection to nas_domain closed.
root@xxxx:~#

建立伺服器公私鑰

回到要進行 rsync 的伺服器上，如果還沒有建立過 ssh key 的話，可以使用 ssh-keygen -t rsa 進行建立 (亦可參考 登入 ssh 免輸入帳號密碼 建立金鑰的方式)

root@xxxxxxx:~# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx root@xxxxxxx
The key's randomart image is:
+---[RSA 2048]----+
+----[SHA256]-----+

將公鑰複製到 NAS 上

成功建立金鑰後要把公鑰存入前面我們在 NAS 建立的 authorized_keys 裡面

root@xxxxxxx:~# ssh-copy-id myaccount@nas_domain
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
myaccount@nas_domain's password:

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh 'myaccount@nas_domain'"
and check to make sure that only the key(s) you wanted were added.

到這邊就基本完成了，設定正確的話，再試一次真的不用輸入密碼了

root@xxxxxxx:~# ssh myaccount@nas_domain
myaccount@nas_domain:~$

關閉 SSH 及離開 administrators 群組

這時候可以把 myaccount 從 administrators 群組移除比較安全，除非這個帳號有其他需要用到較高權限的地方，別忘了也把 SSH 功能關閉，除非有必要用到才留著。

使用 rsync 同步

輸入以下指令 --delete 意思是同步的話也要把遠端檔案移到資源回收桶，不加 --delete 的話只會把有變動的檔案同步過去，移除的檔案還是會存在 NAS 上喔！--exclude 是要排除不加入同步的檔案 / 資料夾，NAS 上還要排除資源回收桶 #recycle 及 @eaDir 路徑，不然前者會造成刪除的檔案無法找回，後者則是會不停噴錯 (雖不影響使用但看起來很討厭)

-e ssh 是用剛剛我們設定的私鑰進行連線，如此就可以不用輸入密碼，/var/www/ 是要進行同步的路徑，最後面的 mydir/ 是上面設定可讀寫的資料夾

rsync -avh --delete --exclude '#recycle/' --exclude '@eaDir' -e ssh /var/www/ myaccount@nas_domain::mydir/

Logging RSYNC output to file 提到可以加入 --log-file=/path/file.log 與 --progress 可以將執行過程輸出到檔案，不過如果檔案非常大的話，這個 log 檔也會非常大喔！小蛙提供這個做法，可以做完 rsync 之後有個參考依據，知道那些檔案成功哪些檔案出問題，自己視情況斟酌是否加入。

實際測試看看，修改的檔案跟刪除的都成功了！

root@xxxxxxx:~# rsync -avh --delete --exclude '#recycle/' --exclude '@eaDir' -e ssh /root/backup/ myaccount@nas_domain::mydir/
sending incremental file list
./
deleting www1
deleting www
mod-pagespeed-stable_current_amd64.deb

sent 8,311,426 bytes  received 56 bytes  2,374,709.14 bytes/sec
total size is 8,309,240  speedup is 1.00

正式跑起來看看

儲存下來的 log 檔內容長這樣

找回刪掉的檔案

這個小蛙卡了半天 … 要找回刪除的檔案必須要是 administrators 群組內的人才可以，如果想要用原本執行 rsync 的那個帳號的話，就不要把上面的 myaccount 從 administrators 群組移除，或是考量安全性，維持從 administrators 群組中移除 myaccount，要找回刪除資料的時候再透過 administrators 的其他帳號處理了。

而且要透過 Synology Drive (1)，進入資源回收桶 (2) -> 右手邊有一個我的檔案 (3) -> 選到剛剛設定的空間，就可以看到被刪除的檔案囉！

加入 crontab 定期執行

小蛙要備份的檔案非常多，第一次會跑很久，就先直接下上面提到的指令讓他跑，跑完之後視需求設定到 crontab 內，讓 rysnc 每 10 分鐘將小蛙 /var/www/ 下有變動的檔案都同步到 Synology NAS 上，crontab 設定的方式如下 (更多使用方式與說明可參考 Linux 設定 crontab 例行性工作排程教學與範例)

root@xxxxxx:~# crontab -e

*/10 * * * * rsync -avh --log-file=/path/file.log --delete --exclude '#recycle/' --exclude '@eaDir' -e ssh /root/backup/ --progress

今天介紹的 如何將資料從 Linux 裝置 備份 至 Synology NAS ？ 就到這邊啦！記下來給有需要的朋友參考。

網站架設系列文章：

• 盤點那些曾經陪伴過小蛙的 VPS 虛擬主機
• 如何挑選 VPS + 最划算的買法
• 手把手教你如何購買 VPS
• 第一次買 KVM 虛擬主機
• 血的教訓 – HiFormance 跑路了 …
• 為自己申請一個域名 – HiNet 為例
• Cloudflare – 超強大的免費 CDN (?)
• 使用 Cloudflare 代管你的域名
• Ubuntu 16.04 設定環境語言編碼，讓中文可以正常顯示
• Ubuntu 16.04 安裝 fail2ban
• 一個腳本每天自動備份
• Linux tar 完整備份、增量備份及差異備份比較
• nginx + SSL Certificate – 讓 http 變身成為 https
• SSL For Free – 免費又有綠色鎖頭的 SSL Certificates
• Certbot 申請 SSL certificate 錯誤問題
• Certbot 錯誤：ACMEv1 is deprecated and you can …
• Ubuntu 18.04 安裝 AWStats 來統計網站流量
• PCHome 買網址續約流程

這篇文章 如何將資料從 Linux 裝置 備份 至 Synology NAS 最早出現於 記下來。

使用免費的 SSL 就要承受每三個月過期一次的麻煩，但是想想三個月過期一次就可以省一大筆錢，似乎又還蠻划算的～之前遇到很多種奇怪的狀況，這篇記錄一下第一次遇到這種 ACMEv1。

小蛙覺得奇怪，怎麼去年三月到現在已經正常運行那麼久了，卻在這時候突然失靈，輸入 certbot run 的指令後出現 ACMEv1 is deprecated and you can bla bla bla 通常附上的連結點過去都沒什麼結果，直接把相關問題丟 Google 比較實在。

經過一番查詢後才知道原來是 certbot 的版本更新了，原本使用的 ACMEv1 已經不能使用，好友網站是 Ubuntu 16.04 LTS，更新也很簡單

apt-get install --only-upgrade certbot

期間可能會連帶更新例如 python3 等相依的套件，等他跑完就完成了！

網站架設系列文章：

• 盤點那些曾經陪伴過小蛙的 VPS 虛擬主機
• 如何挑選 VPS + 最划算的買法
• 手把手教你如何購買 VPS
• 第一次買 KVM 虛擬主機
• 血的教訓 – HiFormance 跑路了 …
• 為自己申請一個域名 – HiNet 為例
• Cloudflare – 超強大的免費 CDN (?)
• 使用 Cloudflare 代管你的域名
• Ubuntu 16.04 設定環境語言編碼，讓中文可以正常顯示
• Ubuntu 16.04 安裝 fail2ban
• 一個腳本每天自動備份
• Linux tar 完整備份、增量備份及差異備份比較
• nginx + SSL Certificate – 讓 http 變身成為 https
• SSL For Free – 免費又有綠色鎖頭的 SSL Certificates
• Certbot 申請 SSL certificate 錯誤問題
• Certbot 錯誤：ACMEv1 is deprecated and you can …
• Ubuntu 18.04 安裝 AWStats 來統計網站流量
• PCHome 買網址續約流程

這篇文章 Certbot error: ACMEv1 is deprecated and you can … 最早出現於 記下來。