搭建一個不被審查的串流站點 ; 論野生技術&二次元

搭建一個不被審查的串流站點

原標題：被害妄想症該如何生存

先看配置：

server {
        listen 80 default_server;
        listen [::]:80 default_server;
        listen 443 ssl default_server;

        root /usr/share/nginx/html;

        ssl_certificate certs/default.pem;
        ssl_certificate_key certs/default-nopass.key;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH;
        ssl_prefer_server_ciphers on;
}

server {
	listen 443 ssl spdy;

	ssl_certificate certs/real-cert.pem;
	ssl_certificate_key certs/real-cert-nopass.key;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
	ssl_ciphers EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH;
	ssl_prefer_server_ciphers on;

	root /usr/share/nginx/html;

	server_name example.com;
 
	location / {
                root /path/to/your/files;
                if (-d $request_filename) {
                        return 404;
                }
		try_files $uri $uri/ =404;
		charset utf-8; 
	}

               
        location ~ .*/$ {
                root /path/to/your/files;
                access_by_lua '
                        local coo = ngx.var.cookie_coo
                        if coo ~= "coo" then
                                ngx.exit(404)
                        end
                ';
                autoindex on;
                autoindex_exact_size off;
        }

}

server {

listen 80 default_server;

listen [::]:80 default_server;

listen 443 ssl default_server;

root /usr/share/nginx/html;

ssl_certificate certs/default.pem;

ssl_certificate_key certs/default-nopass.key;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH;

ssl_prefer_server_ciphers on;

}

server {

listen 443 ssl spdy;

ssl_certificate certs/real-cert.pem;

ssl_certificate_key certs/real-cert-nopass.key;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH;

ssl_prefer_server_ciphers on;

root /usr/share/nginx/html;

server_name example.com;

location / {

root /path/to/your/files;

if (-d $request_filename) {

return 404;

}

try_files $uri $uri/ =404;

charset utf-8;

}

location ~ .*/$ {

root /path/to/your/files;

access_by_lua '

local coo = ngx.var.cookie_coo

if coo ~= "coo" then

ngx.exit(404)

end

autoindex on;

autoindex_exact_size off;

}

假設：

審查機關擁有運營商級別的入侵檢測設備（比如GFW）

說明：

全站使用https，關閉SSLv3，關閉弱加密組件
default_server開啟80端口，使用自簽名證書；真實需要訪問的域名(example.com)必須使用有效的證書，或者在本地信任根證書。注意example.com不能開啟80端口，且與default_server使用的證書不能相同。不要使用泛域名證書。這是為了防止審查機關通過直連IP查看返回的證書中的Common Name來得到真實域名。這樣配置之後，直連IP https://xxx.xxx.xxx.xxx默認是返回自簽名證書，無法得到真實example.com。
選擇性開啟autoindex，通過cookie鑒別。注意也可以通過HTTP Basic Authenication認證。對匹配文件夾的uri（”/”結尾）做認證，示例中只有帶cookie coo=coo的請求才會返回autoindex，否則返回404。
在location /中禁用目錄末尾自動加斜杠，因為如果自動加斜杠，審查機關可以通過暴力猜測出服務器上有哪些目錄確實存在（返回了301到末尾加/的url）。方法是if (-d $request_filename)返回404。

也許永遠也用不上，也許哪天用上了

hhhhhhhhh我的博客開啟了全站HTTPS訪問並且之前是只配置了CHACHA20_POLY1305算法，為何要這樣做呢？
因為支持這種加密算法的瀏覽器只有webkit內核的瀏覽器，也就是說火狐什麼的瀏覽器打開，是空白頁面
GFW如果探測，會發現什麼呢？我也不知道。。。。。。手動doge一下[可憐]

fffonion on 2016 年 1 月 5 日 at 上午 7:16 said:

哈哈哈哈哈可以可以[doge]

話說串流是啥啊，我第一個反應是MMS 233333333333333333

fffonion on 2016 年 1 月 5 日 at 上午 7:15 said:

就…streaming #滑稽

上個CFCDN全站SSL差不多吧

fffonion on 2016 年 2 月 21 日 at 上午 1:03 said:

cf太慢了[饞嘴]

最近又被牆了一批，事實證明沒啥卵用。

fffonion on 2016 年 8 月 4 日 at 下午 1:03 said:

啥被牆了
- Qa on 2016 年 8 月 4 日 at 下午 2:12 said:
  
  某免費寫真資源站被牆奸了。司機會所
  - fffonion on 2016 年 8 月 5 日 at 上午 8:25 said:
    
    loli寫真嘛

這下真作死了，給IP上了個自簽證書。重啟服務器之前一直好好的。重啟服務器後…無論是IP還是網站都是一個莫名其妙的自簽證書。怎麼改配置都沒用了。IP自簽證書域名填的是baidu，網站證書是letsencrypt。

Qa on 2016 年 8 月 17 日 at 下午 8:05 said:

被服務商氣到了，八成是他們的問題。馬丹的，換個IP就好了。最近這個服務商太不穩定了。budgetvm
- fffonion on 2016 年 8 月 18 日 at 上午 12:08 said:
  
  budgetvm不是說有真.CN2
fffonion on 2016 年 8 月 18 日 at 上午 12:10 said:

咦你用的是nginx？nginx -V里有沒有寫TLS SNI support enabled
- Qa on 2016 年 8 月 18 日 at 上午 1:02 said:
  
  當然有這個模塊。確實是CN2。諮詢了下客服，說是被DDOS了…怪不得被替換的證書上寫的是DDOS防護，問題是DDOS攻擊隻影響了443端口。剛開始被替換證書，然後502提示被DDOS然後就打不開443了…80完全正常訪問。什麼奇葩玩意，DDOS還能這麼玩？後台流量也沒飆升啥的，懷疑人生了。再次諮詢了下客服他喵的真的是DDOS？客服還給了幾個IP給我說你可以加入防火牆白名單…流量清洗我服務器上加白名單能有用?….好奇葩啊。附圖
  - fffonion on 2016 年 8 月 18 日 at 上午 2:17 said:
    
    哈哈哈哈哈哈budget傳說中的ddos-filter證書，大概是給你套了個反代