centos 7 下安装openvpn

一、环境版本
1、CentOS 7.4
2、OpenVPN 2.4.6
3、easy-rsa 3.0

二、安装

yum install epel-release
yum install -y openssl openssl-devel lzo lzo-devel pam pam-devel automake pkgconfig makecache
yum install -y openvpn
yum install -y easy-rsa

三、添加openvpn配置用户

#启动openvpn的用户
groupadd openvpn
useradd -g openvpn -M -s /sbin/nologin openvpn 

四、创建配置文件

mkdir /etc/openvpn/
cp -R /usr/share/easy-rsa/ /etc/openvpn/
cp -r /usr/share/doc/easy-rsa-3.0.3/vars.example /etc/openvpn/easy-rsa/3.0/vars

五、修改easy-rsa密钥生成配置(修改第45、65、76、84-89、97、105、113、117、134、139、171、180、192行)

set_var EASYRSA "$PWD"
set_var EASYRSA_PKI "$EASYRSA/pki"
set_var EASYRSA_DN "cn_only"
set_var EASYRSA_REQ_COUNTRY "CN"
set_var EASYRSA_REQ_PROVINCE "BEIJING"
set_var EASYRSA_REQ_CITY "BEIJING"
set_var EASYRSA_REQ_ORG "OpenVPN CERTIFICATE AUTHORITY"
set_var EASYRSA_REQ_EMAIL "110@qq.com"
set_var EASYRSA_REQ_OU "OpenVPN EASY CA"
set_var EASYRSA_KEY_SIZE 2048
set_var EASYRSA_ALGO rsa
set_var EASYRSA_CA_EXPIRE 7000
set_var EASYRSA_CERT_EXPIRE 3650
set_var EASYRSA_NS_SUPPORT "no"
set_var EASYRSA_NS_COMMENT "OpenVPN CERTIFICATE AUTHORITY"
set_var EASYRSA_EXT_DIR "$EASYRSA/x509-types"
set_var EASYRSA_SSL_CONF "$EASYRSA/openssl-1.0.cnf"
set_var EASYRSA_DIGEST "sha256"

六、生成ca证书

cd /etc/openvpn/easy-rsa/3.0
./easyrsa init-pki
./easyrsa build-ca
#设置ca密码(输入两次):

#生成Diffie Hellman key exchange文件
./easyrsa gen-dh

#生成tls-auth key文件
cd /etc/openvpn
openvpn --genkey --secret ta.key

#使用gen-req来生成req
cd /etc/openvpn/easy-rsa/3.0
./easyrsa  gen-req wwwserver

#签发服务端证书
./easyrsa sign-req server wwwserver

#生成客户端用户
./easyrsa build-client-full www001

七、修改openvpn服务端配置

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/3.0/pki/ca.crt
cert /etc/openvpn/easy-rsa/3.0/pki/issued/wwwserver.crt
key /etc/openvpn/easy-rsa/3.0/pki/private/wwwserver.key
dh /etc/openvpn/easy-rsa/3.0.3/pki/dh.pem
tls-auth /etc/openvpn/ta.key 0
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 223.5.5.5"
push "dhcp-option DNS 114.114.114.114"
keepalive 10 120
cipher AES-256-CBC
comp-lzo
max-clients 50
user openvpn
group openvpn
persist-key
persist-tun
status openvpn-status.log
log-append openvpn.log
verb 3
mute 20

八、服务器防火墙和路由配置

在iptables中添加一条路由转发规则, 并保存:
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE
iptables-save

同时, 我们必须在sysctl中启用ip forward.
打开文件vi /etc/sysctl.conf, 并添加以下内容:
net.ipv4.ip_forward = 1
然后重启网络:
systemctl restart network.service

九、启动服务器

systemctl start openvpn@server
#启动时输入服务端证书密码:

十、客户端配置(下载客户端证书)

mkdir -p /etc/openvpn/client
cp -r /etc/openvpn/easy-rsa/3.0/pki/issued/www001.crt /etc/openvpn/client/
cp -r /etc/openvpn/easy-rsa/3.0/pki/private/www001.key /etc/openvpn/client/
cp -r /etc/openvpn/easy-rsa/3.0/pki/ca.crt /etc/openvpn/client/
cp -r /etc/openvpn/ta.key /etc/openvpn/client/ 

十一、修改客户端ovpn文件

client
dev tun
proto udp
remote xxx.xxx.xxx.xxx 1194 #改成外网IP
resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo
ca ca.crt
cert www001.crt
key www001.key
remote-cert-tls server
tls-auth ta.key 1
cipher AES-256-CBC
keepalive 10 120
verb 5

ps
1、如果是阿里云的专用网络,需要配置放行1194端口udp
2、如生成证书时输错密码(删除以下文件即可)

rm -rf /etc/openvpn/easy-rsa/3.0/pki/reqs/www001.req
rm -rf /etc/openvpn/easy-rsa/3.0/pki/private/www001.key

3、撤销证书

cd /etc/openvpn/easy-rsa/3.0
./easyrsa revoke www001

centos下php7安装imagick扩展

ImageMagick是一个用于查看、编辑位图文件以及进行图像格式转换的开放源代码软件套装。ImageMagick官方提供了多种开发语言的扩展或者类库。下面我们介绍一下在PHP7下如何安装扩展。

一、安装ImageMagick
我们这里选择ImageMagick-6.9.10-12版本,我们没有选择最新的7.0.x版本,是因为7.0.x版本官方做了大量的修动包括代码的目录结构等

wget https://www.imagemagick.org/download/releases/ImageMagick-6.9.10-12.tar.gz
tar -zxvf ImageMagick-6.9.10-12.tar.gz
cd ImageMagick-6.9.10-12
./configure
make && make install

二、选择手动方式安装imagick(php扩展)
我们这里选择最新稳定版(imagick-3.4.0)

wget https://pecl.php.net/get/imagick-3.4.0.tgz
tar -zxvf imagick-3.4.0.tgz
cd imagick-3.4.0
/usr/local/php/bin/phpize
./configure
make && make install

三、选择pecl方式安装imagick(php扩展)

pecl install imagick

四、修改php.ini 增加 extension,同时reload php-fpm 完成。

ps:
安装过程中可能出现以下问题
linux ‘….’:is not a valid libtool object”错误
解决方法

make clean

然后在重新执行命令,原因是编译的时候有问题重新编译一下文件就解决了

CentOS 安装 Docker CE

准备工作

一、系统要求
Docker CE 支持 64 位版本 CentOS 7,并且要求内核版本不低于 3.10。 CentOS 7 满足最低内核的要求,但由于内核版本比较低,部分功能(如 overlay2 存储层驱动)无法使用,并且部分功能可能不太稳定。

二、卸载旧版本
旧版本的 Docker 称为 docker 或者 docker-engine,使用以下命令卸载旧版本:

yum remove docker \
           docker-client \
           docker-client-latest \
           docker-common \
           docker-latest \
           docker-latest-logrotate \
           docker-logrotate \
           docker-selinux \
           docker-engine-selinux \
           docker-engine

三、使用 yum 安装
执行以下命令安装依赖包:

yum install -y yum-utils \
           device-mapper-persistent-data \
           lvm2

鉴于国内网络问题,强烈建议使用国内源,官方源请在注释中查看。
执行下面的命令添加 yum 软件源:

yum-config-manager \
    --add-repo \
    https://mirrors.ustc.edu.cn/docker-ce/linux/centos/docker-ce.repo

# 官方源
# $ sudo yum-config-manager \
#     --add-repo \
#     https://download.docker.com/linux/centos/docker-ce.repo

如果需要最新版本的 Docker CE 请使用以下命令:

yum-config-manager --enable docker-ce-edge

如果需要测试版本的 Docker CE 请使用以下命令:

yum-config-manager --enable docker-ce-test

安装 Docker CE
更新 yum 软件源缓存,并安装 docker-ce。

yum makecache fast
yum install docker-ce

或者

使用脚本自动安装
在测试或开发环境中 Docker 官方为了简化安装流程,提供了一套便捷的安装脚本,CentOS 系统上可以使用这套脚本安装:

curl -fsSL get.docker.com -o get-docker.sh
sh get-docker.sh --mirror Aliyun

执行这个命令后,脚本就会自动的将一切准备工作做好,并且把 Docker CE 的 Edge 版本安装在系统中。

启动 Docker CE

systemctl enable docker
systemctl start docker

建立 docker 用户组(如果使用root用户操作 可忽略)
默认情况下,docker 命令会使用 Unix socket 与 Docker 引擎通讯。而只有 root 用户和 docker 组的用户才可以访问 Docker 引擎的 Unix socket。出于安全考虑,一般 Linux 系统上不会直接使用 root 用户。因此,更好地做法是将需要使用 docker 的用户加入 docker 用户组。

建立 docker 组:

groupadd docker

将当前用户加入 docker 组:

usermod -aG docker $USER

退出当前终端并重新登录,进行如下测试。

测试 Docker 是否安装正确

docker version

添加内核参数
默认配置下,如果在 CentOS 使用 Docker CE 看到下面的这些警告信息:

WARNING: bridge-nf-call-iptables is disabled
WARNING: bridge-nf-call-ip6tables is disabled

请添加内核配置参数以启用这些功能。

tee -a /etc/sysctl.conf <<-EOF
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
EOF

然后重新加载 sysctl.conf 即可

sysctl -p

HTTPS中证书链不完整的解决方案

由于我们的部分业务场景是在微信(WebView)中打开https的web页面,在测试过程中却发现了一个问题,在Chrome中测试完全正常的https页面,在iOS的微信(WebView)中表现正常,但在Android中,不论是哪个版本的安卓系统,都不能正常打开页面,要么就是一片白,要么就是直接无法打开,解决这个问题,需要在服务器上配置完整的SSL证书链。
之后在Android自带的浏览器中测试,几乎所有的手机都出现下面这样的情况


证书链
看来Andorid的WebView不能打开页面应该是与这有关,造成这个问题的主要原因是我们服务器配置证书的证书链不全造成的。

证书链其实就是描述证书的签名环节,就比如是 A 颁发证书给 B ,B颁发证书给C,然后我们手里的就是证书C。当证书链不完整的情况下,也就是没有描述我们手中的证书C是由谁办法的,所以导致的浏览器不认为你这个证书是可信的授权证书。

每个设备中都会存有一些默认的可信的根证书,但很多CA是不使用根证书进行签名的,而是使用中间层证书进行签名,因为这样做能更快的进行替换(这句可能不对,原文是 because these can be rotated more frequently)。

如果你的服务器上没有中间件证书,这样的结果就是你的服务器上只有你的网站的证书,客户端的浏览器里只有CA的根证书,这样就会导致证书信任链不全,才导致了上面那两个截图中的问题。这种中间层证书不全的问题多出现在移动端的浏览器上(就我目前看,iOS8 iOS9 都没有出现问题,Andorid各个版本都有这个问题)。

当你服务器上的证书中的信任链不全的情况下,浏览器会认为当前的链接是一个不安全的,会阻止页面的打开。

解决方案
说清楚了原因,解决问题就很简单了,只要把我们的证书链补全就可以了。
从SSL证书服务商那里,你获得的crt证书文件大概是这个样子的:

-----BEGIN CERTIFICATE-----
    # 证书内容
-----END CERTIFICATE-----

在你补全中间层证书和根证书后,新的crt证书文件看起来是这样的:

-----BEGIN CERTIFICATE-----
    # 证书内容 1
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
    # 证书内容 2
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
    # 证书内容 3
-----END CERTIFICATE-----

这里包含了你的证书,以及从你的证书向上递归直至根证书的全部证书,这样就可以向浏览器证明你的链接是安全的。

补全证书链
比较方便的是使用这个在线的工具:
https://certificatechain.io
进入这个网站,粘贴进你的证书(只包含你的用户证书),或者上传你的证书,他就会给出补全后的证书文件,你只需要粘贴回你的文件或者下载覆盖就可以了,然后在服务器上重新部署就可以解决问题。
由于这里只需要上传证书,所以是安全的,不需要担心不安全的问题。
如果不喜欢用在线的工具,可以使用下面这个本地的工具,PHP写的,在命令行中运行:
Github ssl-certificate-chain-resolver

PS:
一般情况下
cert.pem 是证书
chain.pem 是证书链编码
fullchain.pem 是cert.pem和chain.pem的证书集合
privkey.pem 是私钥文件

MySQL: libmysqlclient.so.20: cannot open shared object file解决方法

import MySQLdb的时候报错“ImportError: libmysqlclient.so.20: cannot open shared object file: No such file or directory”

解决方法:
找到libmysqlclient.so.20,一般都在mysql安装目录/lib库里,做个软链接即可。

#64为系统
ln -s /usr/local/mysql/lib/libmysqlclient.so.20 /usr/lib64/libmysqlclient.so.20

#32位系统
ln -s /usr/local/mysql/lib/libmysqlclient.so.20 /usr/lib/libmysqlclient.so.20

nginx配置ssl及优化

https是一种超文本传输安全协议,主要是用SSL/TLS来加密数据包,以达到数据加密传输的作用,同时也能一定程度达到防劫持的效果。

隐藏不必要的信息
细心的朋友会发现,请求响应头,有这么一行 server: nginx,说明我用的是 Nginx 服务器,但并没有具体的版本号。由于某些 Nginx 漏洞只存在于特定的版本,隐藏版本号可以提高安全性。这只需要在配置里加上这个就可以了:

server_tokens  off;

另外,一些 WEB 语言或框架默认输出的 x-powered-by 也会泄露网站信息,他们一般都提供了修改或移除的方法,可以自行查看手册。如果部署上用到了 Nginx 的反向代理,也可以通过 proxy_hide_header 指令隐藏它:

proxy_hide_header  X-Powered-By;

禁用非必要的方法
一般情况下,只需要处理 GET、POST 两种请求方法,而 HTTP/1 协议还规定了 TRACE 这样的方法用于网络诊断,这也可能会暴露一些信息。所以我针对 GET、POST 以及 HEAD 之外的请求,直接返回了 444 状态码(444 是 Nginx 定义的响应状态码,会立即断开连接,没有响应正文)。具体配置是这样的:

if ($request_method !~ ^(GET|HEAD|POST)$ ) {
    return    444;
}

合理配置响应头

#减少点击劫持
add_header X-Frame-Options DENY;

#禁止服务器自动解析资源类型
add_header X-Content-Type-Options nosniff;

#防XSS攻击
add_header X-XSS-Protection "1; mode=block";

#HSTS策略
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

X-Frame-Options 用来指定此网页是否允许被 iframe 嵌套,deny 就是不允许任何嵌套发生。这部分内容更多信息
X-Content-Type-Options 用来指定浏览器对未指定或错误指定 Content-Type 资源真正类型的猜测行为,nosniff 表示不允许任何猜测。这部分内容更多信息
X-XSS-Protection 这个响应头是用来防范XSS的。最早我是在介绍IE8的文章里看到这个,现在主流浏览器都支持,并且默认都开启了XSS保护,用这个header可以关闭它。它有几种配置:
0:禁用XSS保护;
1:启用XSS保护;
1; mode=block:启用XSS保护,并在检查到XSS攻击时,停止渲染页面(例如IE8中,检查到攻击时,整个页面会被一个#替换);
浏览器提供的XSS保护机制并不完美,但是开启后仍然可以提升攻击难度,总之没有特别的理由,不要关闭它。
Strict-Transport-Security(简称为 HSTS)可以告诉浏览器,在指定的 max-age 内,始终通过 HTTPS 访问我的博客。即使用户自己输入 HTTP 的地址,或者点击了 HTTP 链接,浏览器也会在本地替换为 HTTPS 再发送请求。另外由于我的证书不支持多域名,我没有加上 includeSubDomains。关于 HSTS 更多信息。

HTTPS 安全配置
启用 HTTPS 并正确配置了证书,意味着数据传输过程中无法被第三者解密或修改。有了 HTTPS,也得合理配置好 Web Server,才能发挥最大价值。关于 HTTPS 这一块有以下配置:

worker_processes auto;

http {

    #配置会话超时时间
    ssl_session_timeout  10m;

    #配置共享会话缓存大小,视站点访问情况设定
    ssl_session_cache shared:SSL:10m;

    server {
        listen      443 ssl;
        server_name www.example.com;

        #设置长连接
        keepalive_timeout 70;

        #开启HTTPS协议(推荐使用listen指令的ssl参数来代替这个指令)
        #ssl on;

        #证书文件
        ssl_certificate www.example.com.crt;

        #私钥文件
        ssl_certificate_key www.example.com.key;

        #使用DH文件
        ssl_dhparam /etc/ssl/certs/dhparam.pem;

        #版本选择
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

        #定义算法
        ssl_ciphers EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:RSA+AES256:EECDH+ECDSA+3DES:EECDH+aRSA+3DES:RSA+3DES:!MD5;

        #优先采取服务器算法
        ssl_prefer_server_ciphers  on;

        #减少点击劫持
        add_header X-Frame-Options DENY;

        #禁止服务器自动解析资源类型
        add_header X-Content-Type-Options nosniff;

        #防XSS攻击
        add_header X-XSS-Protection "1; mode=block";

        #HSTS策略
        add_header Strict-Transport-Security "max-age=31536000;" always;
    }
}

最终效果在 ssllabs 中测试结果如下。

如何配置 ssl_ciphers 可以参考这个网站。需要注意的是,这个网站默认提供的加密方式安全性较高,一些低版本客户端并不支持,例如 IE9-、Android2.2- 和 Java6-。如果需要支持这些老旧的客户端,需要点一下网站上的「Yes, give me a ciphersuite that works with legacy / old software」链接,同时也可以使用 Mozilla 基金会 来生成配置。

另外 ssl_ciphers 还支持 CHACHA20 加密套件,只要 Nginx 编译时增加了 CHACHA20_POLY1305 加密算法即可,这是由 Google 开发的新一代加密方式,它有两方面优势:更好的安全性和更好的性能(尤其是在移动和可穿戴设备上)。下面有一张移动平台上它与 AES-GCM 的加密速度对比图(via):

启用 CHACHA20_POLY1305 最简单的方法是在编译 Nginx 时,使用 LibreSSL 代替 OpenSSL。用 Chrome 访问网站时,点击地址栏小锁显示的信息,可以看到加密方式使用的是不是 CHACHA20_POLY1305。
关于 CHACHA20_POLY1305 安全性和性能的详细介绍可以查看本文

补充:
1.使用 CHACHA20_POLY1305 的最佳实践是「仅针对不支持 AES-NI 的终端使用 CHACHA20 算法,否则使用 AES-GCM」。

2.我们通过 openssl 工具看一下 ssl_ciphers 具体包含哪些 Cipher Suites 例如:
openssl ciphers -V 'EECDH+AES128' | column -t

0xC0,0x2F  -  ECDHE-RSA-AES128-GCM-SHA256    TLSv1.2  Kx=ECDH  Au=RSA    Enc=AESGCM(128)  Mac=AEAD
0xC0,0x2B  -  ECDHE-ECDSA-AES128-GCM-SHA256  TLSv1.2  Kx=ECDH  Au=ECDSA  Enc=AESGCM(128)  Mac=AEAD
0xC0,0x27  -  ECDHE-RSA-AES128-SHA256        TLSv1.2  Kx=ECDH  Au=RSA    Enc=AES(128)     Mac=SHA256
0xC0,0x23  -  ECDHE-ECDSA-AES128-SHA256      TLSv1.2  Kx=ECDH  Au=ECDSA  Enc=AES(128)     Mac=SHA256
0xC0,0x13  -  ECDHE-RSA-AES128-SHA           SSLv3    Kx=ECDH  Au=RSA    Enc=AES(128)     Mac=SHA1
0xC0,0x09  -  ECDHE-ECDSA-AES128-SHA         SSLv3    Kx=ECDH  Au=ECDSA  Enc=AES(128)     Mac=SHA1

加强 HTTPS 安全性
HTTPS 基础配置采取的默认加密算法是 SHA-1,这个算法非常脆弱,安全性在逐年降低,在 2014 年的时候, Google 官方博客就宣布在 Chrome 浏览器中逐渐降低 SHA-1 证书的安全指示,会从 2015 年起使用 SHA-2 签名的证书,可参阅 Rabbit_Run 在 2014 年发表的文章:《为什么Google急着杀死加密算法SHA-1》

为此,主流的 HTTPS 配置方案应该避免 SHA-1,可以使用 迪菲-赫尔曼密钥交换(D-H,Diffie–Hellman key exchange)方案。

首先在目录 /etc/ssl/certs 运行以下代码生成 dhparam.pem 文件:

openssl dhparam -out dhparam.pem 2048

关于 ssl_dhparam 的配置,可以参考这篇文章:Guide to Deploying Diffie-Hellman for TLS

SSLv3 已被证实不安全,所以在 ssl_protocols 指令中,我并没有包含它。
将 ssl_prefer_server_ciphers 配置为 on,可以确保在 TLSv1 握手时,使用服务端的配置项,以增强安全性。

golang 100行代码实现区块链原型

有人说今年(2018年)是区块链技术元年,作为一种新兴的技术,它不仅弯道超车盖过了人工智能、大数据的风头,而且发展速度更是一日千里。各大厂商都相继推出区块链服务,你可能觉得难以置信。不管你信不信,当你还在熟睡时,有一群人还在挑灯夜战。

在周未闲来无事,虽然之前网上也有各版本的区块链代码,还是动手用golang写了一下,简单实现了区块链的原型。代码如下:

package main

import (
	"crypto/sha256"
	"encoding/json"
	"fmt"
)

//Block 结构
type Block struct {
	Index        int
	Timestamp    string
	Data         string
	PreviousHash string
	Hash         string
}

//CalculateHash 计算HASH
func (b *Block) CalculateHash() string {
	s := fmt.Sprintf("%d%s%s%s", b.Index, b.PreviousHash, b.Timestamp, b.Data)
	sum := sha256.Sum256([]byte(s))
	return fmt.Sprintf("%x", sum)
}

//BlockChain 结构
type BlockChain struct {
	Chain []*Block
}

//NewBlockChain 创建区块链
func NewBlockChain() *BlockChain {
	bc := &BlockChain{}
	bc.Chain = append(bc.Chain, bc.CreateGenesisBlock())
	return bc
}

//CreateGenesisBlock 创建创世块
func (bc *BlockChain) CreateGenesisBlock() *Block {
	b := &Block{
		Index:        0,
		Timestamp:    "2018-01-01",
		Data:         "Genesis Block",
		PreviousHash: "0",
	}
	b.Hash = b.CalculateHash()
	return b
}

//GetLatestBlock 最新区块
func (bc *BlockChain) GetLatestBlock() *Block {
	return bc.Chain[len(bc.Chain)-1]
}

//AddBlock 增加区块
func (bc *BlockChain) AddBlock(newBlock *Block) {
	newBlock.Index = bc.GetLatestBlock().Index + 1
	newBlock.PreviousHash = bc.GetLatestBlock().Hash
	newBlock.Hash = newBlock.CalculateHash()
	bc.Chain = append(bc.Chain, newBlock)
}

//IsChainValid 区块是否有效
func (bc *BlockChain) IsChainValid() bool {
	for i := 1; i < len(bc.Chain); i++ {
		currentBlock := bc.Chain[i]
		previousBlock := bc.Chain[i-1]

		if currentBlock.Hash != currentBlock.CalculateHash() {
			return false
		}

		if currentBlock.PreviousHash != previousBlock.Hash {
			return false
		}
	}
	return true
}

func main() {
	bc := NewBlockChain()
	bc.AddBlock(&Block{Timestamp: "2018-02-01", Data: `{"amout":10}`})
	bc.AddBlock(&Block{Timestamp: "2018-03-01", Data: `{"amout":20}`})
	bc.AddBlock(&Block{Timestamp: "2018-04-01", Data: `{"amout":30}`})

	blockchain, _ := json.MarshalIndent(bc, "", "\t")
	fmt.Println(string(blockchain))

	fmt.Println("is BlockChain valid ", bc.IsChainValid())
}

rust-lang环境安装

一、安装Rust
1、如果你之前使用了一个有Windows下GUI安装向导的.msi文件安装了Rust,请到控制面板->程序与功能(添加/删除程序)里卸载。

2、设置安装路径。默认它会把Rust装到你的~/.rustup 里,依赖库下载到~/.cargo 里。需要修改的话,设置环境变量RUSTUP_HOME 和 CARGO_HOME 分别修改这两个值(例如D:\.rustup和D:\.cargo)。

RUSTUP_HOME=D:\.rustup
CARGO_HOME=D:\.cargo

4、配置代理#1:国内有些地区访问Rustup的服务器不太顺畅,可以配置中科大的Rustup镜像:设置环境变量

RUSTUP_DIST_SERVER=http://mirrors.ustc.edu.cn/rust-static
RUSTUP_UPDATE_ROOT=http://mirrors.ustc.edu.cn/rust-static/rustup

安装过程中出现以下选项
Proceed with installation (default)
Customize installation
Cancel installation
选(Customize installation)进行自定义安装 会一步一步问你
1)个问你是否用 default host tripe 我选的是 x86_64-pc-windows-gnu(https://github.com/rust-lang-nursery/rustup.rs/#other-installation-methods) 下面有一大堆版本可以选。
假设你是Windows环境,打算编译64位程序,你应该用的是:

x86_64-pc-windows-msvc

x86_64-pc-windows-gnu

这两个各有优缺点:
x86_64-pc-windows-msvc是基于微软的链接器的,稳定性比较好,缺点是依赖的第三方库比较难弄,而且安装时你还需要再装一个微软的Visual C++ Build Tools(含Windows SDK;如果你机器上有Visual Studio就不用装Build Tools了);到这里去下载 http://landinghub.visualstudio.com/visual-cpp-build-tools ,装2015的。(2017的用起来会有点麻烦,Rust团队会在2017年8月解决。如果你看到这篇文章晚于那个时候了,装2017也可以)
x86_64-pc-windows-gnu是基于gnu开发工具的windows移植版本的,潜在的bug会多一些,但是第三方库反而容易弄(MSYS2的问题回头再说)
如果需要的话,可以两个都装的,这里你选一个版本就好。
2)个会问你 用哪个版本(stable/beta/nightly/none)我输入 stable
3)个会问你是否 默认修改环境变量 (这个无所谓了可以后期改) 我选是

5、在. cargo 文件夹根目录下创建一个 config 文件 没有任何文件后缀, 内容为:

[registry]
index = "https://mirrors.ustc.edu.cn/crates.io-index/"
[source.crates-io]
registry = "https://github.com/rust-lang/crates.io-index"
replace-with = 'ustc'
[source.ustc]
registry = "https://mirrors.ustc.edu.cn/crates.io-index/"

6、将 cargo 加入 path 环境变量:

%CARGO_HOME%\bin

前期工作就可以了 那么打开 cmd 输入
检查 rustup 有无安装成功

rustup -v
cargo -v

二、安装工具链
因为RLS必须使用nightly版本,所以需要同时安装以下两个工具链

stable-x86_64-pc-windows-gnu
nightly-x86_64-pc-windows-gnu

三、安装相关工具

cargo install rustfmt
cargo install rustsym
cargo install racer

四、项目管理
Rust中一般使用cargo管理项目,比如:
创建项目

cargo new hellorust --bin

编译项目

cargo build --release

运行项目

cargo run --release

清理项目

cargo clean

五、给vscode安装rust插件
1、打开vscode,然后按CRTL+P打开面板,然后安装以下两个插件

ext install vscode-rust
ext install rust

然后按提示进行安装即可

2、vscode-rust安装过程中,提示如下错误(没有报错略过)
toolchain ‘nightly-x86_64-pc-windows-gnu’ does not contain component ‘rls’ for target ‘x86_64-pc-windows-gnu’
需要添加rustup的工具链如下,打开cmd工具输入以下命令

rustup component add rls-preview --toolchain nightly

3、设置vscode其中toolchain必须为nightly版本

"rust.mode": "rls",
"rust.rls": {
    "useRustfmt": true
},
"rust.rustup": {
    "toolchain": "nightly-x86_64-pc-windows-gnu",
    "nightlyToolchain": "nightly-x86_64-pc-windows-gnu"
}

go build 常见编译优化

一般情况下,go build 可以直接编译程序,无需额外的参数设定。
但在编译生产环境下使用的可执行程序时候,go build 的一些参数还是很有用的。

减小编译后可执行程序的大小

go build -ldflags '-w -s'

说明:
-w 禁止生成debug信息,注意使用该选项后,无法使用 gdb 进行调试
-s 禁用符号表
可以使用 go tool link –help 查看 ldflags 各参数含义

禁止gc优化和内联

go build -gcflags '-N -l'

说明:
-N 禁止编译优化
-l 禁止内联,禁止内联也可以一定程度上减小可执行程序大小
可以使用 go tool compile –help 查看 gcflags 各参数含义

Go Get安装一些第三方库-网络问题

由于限制问题,国内使用 go get 安装 golang 官方包可能会失败,如我自己在安装golint时,出现了以下报错:

$ go get -u -v golang.org/x/lint/golint
Fetching https://golang.org/x/lint/golint?go-get=1
https fetch failed: Get https://golang.org/x/lint/golint?go-get=1: dial tcp 216.239.37.1:443: connectex: A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond.

不翻墙的情况下怎么解决这个问题?其实 golang 在 github 上建立了一个镜像库,如 https://github.com/golang/lint 即是 https://golang.org/x/lint 的镜像库
获取 golang.org/x/lint 包,其实只需要以下步骤:

mkdir -p $GOPATH/src/golang.org/x
cd $GOPATH/src/golang.org/x
git clone https://github.com/golang/lint.git

#执行go install
go install golang.org/x/lint/golint

ps
go get实际是从互联网上下载或更新指定的代码包及其依赖包,并对它们进行编译和安装。所以上面的步骤需要手动go install一下代码包。
go get常用的辅助参数。

-insecure 允许非安全下载,主要是针对没有HTTPS的HTTP路径。
-u 这个很常见,有更新的话会覆盖本地的package,默认不会覆盖的。
-v 显示Log,即verbose.
-t 同时下载需要运行测试的package.
-d 只下载,但不安装package.