第508页

SSH和ShadowSocks是如何防止中间人攻击的？

https引入CA的概念，目的就是防止中间人攻击。顺着这条路，想到SSH协议和ShadowSocks是如何防止中间人攻击的？上网查了一下SSH的知识，并梳理了SS的运行原理，这两个都有了答案。 SSH 虽然有著名的DH密钥交换算法，但SSH原理上不能抵御中间人攻击。然而实际上，SSH使用TOFU（参考 1）安全模型等同于做到了防中间人攻击。SSH的首次连接会下载服务端的公钥，用户确认后公钥将被保存并信任。下次访问时客户端将会核对服务端发来的公钥和本地保存的是否相同，不同就发出中间人攻击的警告拒绝连接，除非用...

期权知识 2020-08-20 637 0
使用Let’s Encrypt获取免费证书

https已经走向主流（那些烦人的运营商弹窗广告终于消停的差不多了），目前已经可以做到0成本获取SSL证书。国内的阿里云、腾讯云等云计算厂商提供了申请免费证书的服务，按照官方给出的步骤即可在一天之内拿到免费的证书。如果你需要便宜一点的泛域名证书，可以参考这篇文章。本文介绍如何从Let’s Encrypt获取免费证书。前提是有一个域名（例如qiquanji.com）和一台vps，域名没备案且vps在国内，可能无法申请成功，解决办法请参考这篇文章。本文教程基于CentOS 7操作系统，如果你的环境与本博客的有...

期权知识 2020-08-20 642 0
修复gitlab权限泄露漏洞

昨天看到oschina上的报道，gitlab存在权限泄露漏洞。幸运的是官方同时释放出新版并给出了修复方案。私人的代码仓库基于gitlab搭建，所以也必须修复，以防被恶意利用。打开gitlab的官方博客的更新说明，内容基本上和 oschina的报道一致。于是按照官方指引修复：更新gitlab到最新版: yum update -y gitlab-ce 新建 /opt/gitlab/embedded/service/gitlab-rails/lib/tasks/reset_token.rake...

期权知识 2020-08-20 660 0
docker使用小结

2014年有个项目需要研发人员配置统一开发环境，权衡后选择了成熟的vagrant。当时docker正在风头上，但生态远没有今日成熟，这个原因导致了docker落选。因为没有现实使用价值，这也是我一直没去了解docker的原因。近期运维部署方面工作增加，又想起docker。月初从官方的文档开始，再到《Docker–从入门到实战》开源版的电子书，对docker有了初步的了解。看文档中产生的疑惑点通过搜索引擎查找答案，加上在服务器上动手实践，目前的docker技能已经可以在正式环境中使用了。关注点和vag...

期权知识 2020-08-20 704 0
配置更安全的https连接

使用Let’s Encrypt的免费证书讲述了如何从Let’s Encrypt获取免费证书，配置nginx来支持用https方式访问站点。昨晚想到https安全性的问题，查阅资料后更新了配置，提高了本站的安全性。使用使用Let’s Encrypt的免费证书中的nginx配置，在 ssl labs 上只能获得B级的评分，主要问题是存在弱密钥DH降级攻击风险，问题详情可参考 weakdh 网站。解决方案如下：生成不低于2048位的dh对（推荐4096位）：openssl dhparam -out dh...

期权知识 2020-08-20 536 0
一加3T救砖过程

还是不习惯H2OS，想着把新到手的一加手机3T刷上LineageOS用。没想到前期准备不足，导致刷机后变砖了。变砖后手机黑屏，无法进入fastboot或者recovery模式，按任何键都没有反应。上网搜了一下，一加3系列出现这个现象还挺普遍。庆幸的是有现成的工具可以救砖，通过救砖工具，终于把手机救回来。以下是手机救砖过程。准备工作下载一加3T救砖工具，密码是：nrza。或者搜索“一加3T 救砖工具”，找一个靠谱的下载。救砖步骤将下载的zip压缩包解压，进入“固件”文件夹，双击运行...

期权知识 2020-08-20 552 0
重新生成服务端SSH密钥

好几台vps用同一个镜像生成，里面的软件配置都一样。省事的地方是可以用同一个ssh密钥直接登录，不安全的点则是SSH服务端共用密钥，万一某个vps出事了，其他也容易崩盘。安全起见，应该重新生成服务端密钥。打开/etc/ssh/sshd_config，搜索”host”，发现有如下配置： # HostKey for protocol version 1 #HostKey /etc/ssh/ssh_host_key # HostKeys for protocol version 2 #HostKey /etc/s...

期权知识 2020-08-20 723 0
一加3T刷LineageOS

续前文“一加3T救砖过程”，手机在刷机过程中变砖了，为了刷系统需先救砖，救砖之后再刷机~ 本人的一加手机时国行版本，预装H2OS系统，开机后升级至H2OS 3.0(安卓版本7.0)。以下是刷最新每夜版LineageOS的过程。准备工作部分工具和链接页面需要翻墙才能访问，为了照顾翻墙不便的朋友，以下列表中的必备工具已经上传到百度云盘。链接：http://pan.baidu.com/s/1eRJNRmM 密码：fzmf。下载adb和fastboot工具（如果已安装前略过），链接：https://...

期权知识 2020-08-20 819 0
如何三天看完540页的微观经济学？

在公众号上看到曹大的文章：微观经济学读书笔记，看完后对曹大的看书效率佩服得五体投地。根据文中的信息，曹大“正常开会，写文章，接待合作伙伴和朋友”，并且“睡的很多”（留言评论），每天抽出了2-3个小时啃书。经过三天，看完了曼昆教授540页的《微观经济学》。佩服曹大学习效率的同时，也对曹大旺盛的精力表示汗颜。开会、写文章、接待朋友、睡得很多、看书2-3个小时，这些事可以发生在同一天。普通人一天之内完成其中的任何三件，完全可以理直气壮德认为过了充实的一天。更弱的像我等渣渣，早上从家里梦游到公司，傍晚拖着疲惫的身躯...

期权知识 2020-08-20 509 0
SSH端口转发实现穿透内网

今天遇到RD要在外网访问内网服务器的需求。公司用的电信宽带，浮动ip，直接路由器端口转发这条路行不通。联想到ssh端口转发，配合一个外网固定ip的服务器作为跳板，结合SSH隧道，就能成功实现内网穿透。本文介绍具体操作步骤。 SSH端口转发实现穿透内网假设有本地内网服务器A，外网服务B（固定IP）。为了进行端口转发，需要从A ssh连到B（建立隧道）并监听端口。达到该目的的命令是： ssh -R 外网监听端口:本地服务器:本地端口 username@host 例如要将B上的8081端口请求转发到A，则...

期权知识 2020-08-20 712 0