论野生技术&二次元 - 第2页共30页

#!/bin/bash
D=$(dirname $(readlink -f $0))
T=$(mktemp -d)
cd $T
F=GeoLite2-City
L=GeoLiteCityv6
# create license key from https://www.maxmind.com/en/accounts/current/license-key
LICENSE=xxxxx
wget "https://download.maxmind.com/app/geoip_download?edition_id=${F}-CSV&license_key=${LICENSE}&suffix=zip" -O ${F}-CSV.zip
unzip ${F}-CSV.zip
rm ${F}-CSV.zip
cd ${F}-CSV_*/
tail -n+2 ${F}-Blocks-IPv4.csv |
    awk -F, '{ split($1,a,"/"); split(a[1],a1,"."); m = 96+a[2]; printf("::ffff:%02x%02x:%02x%02x/%d,%s,%s,%s,%s,%s,%s,%s,%s\n"),a1[1],a1[2],a1[3],a1[4],m,$2,$3,$4,$5,$6,$7,$8,$9}' >> ${F}-Blocks-IPv6.csv
ls -lht
cd $T
zip ${F}-CSV.zip ${F}-CSV_*/*
python $D/geolite2legacy/geolite2legacy.py -i $T/${F}-CSV.zip -o $T/GeoLiteCity.dat -f /home/wow/geolite2legacy/geoname2fips.csv
python $D/geolite2legacy/geolite2legacy.py -i $T/${F}-CSV.zip -o $T/GeoLiteCityv6.dat -f /home/wow/geolite2legacy/geoname2fips.csv -6
for L in GeoLiteCityv6 GeoLiteCity; do
    if [[ -s $T/${L}.dat ]]; then
        cp $T/${L}.dat $D
    fi
done
rm -rf $T

#!/bin/bash

D=$(dirname $(readlink -f $0))

T=$(mktemp -d)

cd $T

F=GeoLite2-City

L=GeoLiteCityv6

# create license key from https://www.maxmind.com/en/accounts/current/license-key

LICENSE=xxxxx

wget "https://download.maxmind.com/app/geoip_download?edition_id=${F}-CSV&license_key=${LICENSE}&suffix=zip" -O ${F}-CSV.zip

unzip ${F}-CSV.zip

rm ${F}-CSV.zip

cd ${F}-CSV_*/

tail -n+2 ${F}-Blocks-IPv4.csv |

awk -F, '{ split($1,a,"/"); split(a[1],a1,"."); m = 96+a[2]; printf("::ffff:%02x%02x:%02x%02x/%d,%s,%s,%s,%s,%s,%s,%s,%s\n"),a1[1],a1[2],a1[3],a1[4],m,$2,$3,$4,$5,$6,$7,$8,$9}' >> ${F}-Blocks-IPv6.csv

ls -lht

cd $T

zip ${F}-CSV.zip ${F}-CSV_*/*

python $D/geolite2legacy/geolite2legacy.py -i $T/${F}-CSV.zip -o $T/GeoLiteCity.dat -f /home/wow/geolite2legacy/geoname2fips.csv

python $D/geolite2legacy/geolite2legacy.py -i $T/${F}-CSV.zip -o $T/GeoLiteCityv6.dat -f /home/wow/geolite2legacy/geoname2fips.csv -6

for L in GeoLiteCityv6 GeoLiteCity; do

if [[ -s $T/${L}.dat ]]; then

cp $T/${L}.dat $D

done

rm -rf $T

如何成长为一个有价值的程序员

on 2019 年 11 月 6 日

流水账

3 4813 转为繁体

卡莱尔曾经说过，过去一切时代的精华尽在书中。我希望诸位也能好好地体会这句话。现在，解决如何成长为一个有价值的程序员的问题，是非常非常重要的。所以，我认为，莎士比亚在不经意间这样说过，人的一生是短的，但如果卑劣地过这一生，就太长了。我希望诸位也能好好地体会这句话。要想清楚，如何成长为一个有价值的程序员，到底是一种怎么样的存在。那么，我们不得不面对一个非常尴尬的事实，那就是，每个人都不得不面对这些问题。在面对这种问题时，本人也是经过了深思熟虑，在每个日日夜夜思考这个问题。歌德在不经意间这样说过，读一本好书，就如同和一个高尚的人在交谈。这句话语虽然很短，但令我浮想联翩。如何成长为一个有价值的程序员，发生了会如何，不发生又会如何。既然如何，在这种困难的抉择下，本人思来想去，寝食难安。如何成长为一个有价值的程序员，到底应该如何实现。如何成长为一个有价值的程序员，发生了会如何，不发生又会如何。那么，如何成长为一个有价值的程序员因何而发生?我们不得不面对一个非常尴尬的事实，那就是，那么，冯学峰曾经说过，当一个人用工作去迎接光明，光明很快就会来照耀着他。这不禁令我深思。问题的关键究竟为何? 这种事实对本人来说意义重大，相信对这个世界也是有一定意义的。王阳明在不经意间这样说过，故立志者，为学之心也；为学者，立志之事也。这句话语虽然很短，但令我浮想联翩。一般来讲，我们都必须务必慎重的考虑考虑。如何成长为一个有价值的程序员因何而发生?问题的关键究竟为何? 白哲特曾经说过，坚强的信念能赢得强者的心，并使他们变得更坚强。这句话语虽然很短，但令我浮想联翩。王阳明在不经意间这样说过，故立志者，为学之心也；为学者，立志之事也。这句话语虽然很短，但令我浮想联翩。那么，如何成长为一个有价值的程序员，到底应该如何实现。马克思在不经意间这样说过，一切节省，归根到底都归结为时间的节省。我希望诸位也能好好地体会这句话。在这种困难的抉择下，本人思来想去，寝食难安。如何成长为一个有价值的程序员的发生，到底需要如何做到，不如何成长为一个有价值的程序员的发生，又会如何产生。每个人都不得不面对这些问题。在面对这种问题时，我们不得不面对一个非常尴尬的事实，那就是，总结的来说，在这种困难的抉择下，本人思来想去，寝食难安。莎士比亚在不经意间这样说过，那脑袋里的智慧，就像打火石里的火花一样，不去打它是不肯出来的。这句话语虽然很短，但令我浮想联翩。在这种困难的抉择下，本人思来想去，寝食难安。查尔斯·史考伯在不经意间这样说过，一个人几乎可以在任何他怀有无限热忱的事情上成功。这启发了我，我们不得不面对一个非常尴尬的事实，那就是，问题的关键究竟为何? 如何成长为一个有价值的程序员因何而发生?那么，如何成长为一个有价值的程序员的发生，到底需要如何做到，不如何成长为一个有价值的程序员的发生，又会如何产生。我们一般认为，抓住了问题的关键，其他一切则会迎刃而解。莎士比亚在不经意间这样说过，意志命运往往背道而驰，决心到最后会全部推倒。这不禁令我深思。要想清楚，如何成长为一个有价值的程序员，到底是一种怎么样的存在。这种事实对本人来说意义重大，相信对这个世界也是有一定意义的。带着这些问题，我们来审视一下如何成长为一个有价值的程序员。所谓如何成长为一个有价值的程序员，关键是如何成长为一个有价值的程序员需要如何写。我认为。

lua-resty-openssl: 基于FFI的Lua OpenSSL库

on 2019 年 9 月 26 日

0 5303 转为繁体

FFI-based OpenSSL binding for OpenResty
https://github.com/fffonion/lua-resty-openssl
26 forks.
77 stars.
3 open issues.

Recent commits:

chore(tests) bump openssl to 1.1.1q and 3.0.5, Wangchong Zhou
release: 0.8.10, Wangchong Zhou
feat(x509) add get_signature_digest_name, Wangchong Zhou
release: 0.8.9, Wangchong Zhou
fix(aux/nginx) add nginx 1.21.4 and ngx_lua 0.10.21 to support matrix, Wangchong Zhou

支持OpenSSL 1.1.x, 1.0.x和1.0.2系列

lua-resty-acme: ACMEv2客户端和Let’s Encrypt证书的自动化管理

on 2019 年 9 月 21 日

0 7333 转为繁体

Automatic Let's Encrypt certificate serving and Lua implementation of ACMEv2 procotol
https://github.com/fffonion/lua-resty-acme
24 forks.
111 stars.
7 open issues.

Recent commits:

安装

使用opm：

opm install fffonion/lua-resty-acme

1	opm install fffonion/lua-resty-acme

opm中没有luaossl库，所以这种安装使用的是基于FFI的Openssl后端；需要OpenResty链接了大于等于1.1版本的OpenSSL。

也可以使用luarocks安装：

luarocks install lua-resty-acme

1	luarocks install lua-resty-acme

使用

以/etc/openresty目录为例，如果目录不存在，请自行修改。

生成一个账户密钥

openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:4096 -out /etc/openresty/account.key

1	openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:4096 -out /etc/openresty/account.key

生成一个默认证书

openssl req -newkey rsa:2048 -nodes -keyout /etc/openresty/default.pem -x509 -days 365 -out /etc/openresty/default.key

1	openssl req -newkey rsa:2048 -nodes -keyout /etc/openresty/default.pem -x509 -days 365 -out /etc/openresty/default.key

在Nginx配置的http 节插入以下内容

resolver 8.8.8.8;

lua_shared_dict acme 16m;

init_by_lua_block {
    require("resty.acme.autossl").init({
        -- setting the following to true
        -- implies that you read and accepted https://letsencrypt.org/repository/
        tos_accepted = true,
        -- uncomment following for first time setup
        -- staging = true,
        -- uncomment folloing to enable RSA + ECC double cert
        -- domain_key_types = { 'rsa', 'ecc' },
        account_key_path = "/etc/openresty/account.key",
        account_email = "此处填写邮箱",
        domain_whitelist = { "你的域名1", "你的域名2" },
    })
}
init_worker_by_lua_block {
    require("resty.acme.autossl").init_worker()
}

resolver 8.8.8.8;

lua_shared_dict acme 16m;

init_by_lua_block {

require("resty.acme.autossl").init({

-- setting the following to true

-- implies that you read and accepted https://letsencrypt.org/repository/

tos_accepted = true,

-- uncomment following for first time setup

-- staging = true,

-- uncomment folloing to enable RSA + ECC double cert

-- domain_key_types = { 'rsa', 'ecc' },

account_key_path = "/etc/openresty/account.key",

account_email = "此处填写邮箱",

domain_whitelist = { "你的域名1", "你的域名2" },

})

}

init_worker_by_lua_block {

require("resty.acme.autossl").init_worker()

}

首次配置时，建议将init_by_lua_block中的staing = true取消注释，以防错误过多触发限流；测试通过后再加回注释使用生产API。

在需要使用证书的server节插入

server {
    server_name example.com;

    # required to verify Let's Encrypt API
    lua_ssl_trusted_certificate /etc/ssl/certs/ca-certificates.crt;
    lua_ssl_verify_depth 2;

    # fallback certs, make sure to create them before hand
    ssl_certificate /etc/openresty/default.pem;
    ssl_certificate_key /etc/openresty/default.key;

    ssl_certificate_by_lua_block {
        require("resty.acme.autossl").ssl_certificate()
    }

    location /.well-known {
        content_by_lua_block {
            require("resty.acme.autossl").serve_http_challenge()
        }
    }
}

server {

server_name example.com;

# required to verify Let's Encrypt API

lua_ssl_trusted_certificate /etc/ssl/certs/ca-certificates.crt;

lua_ssl_verify_depth 2;

# fallback certs, make sure to create them before hand

ssl_certificate /etc/openresty/default.pem;

ssl_certificate_key /etc/openresty/default.key;

ssl_certificate_by_lua_block {

require("resty.acme.autossl").ssl_certificate()

}

location /.well-known {

content_by_lua_block {

require("resty.acme.autossl").serve_http_challenge()

}

CentOS/Fedora等系统的根证书在/etc/ssl/certs/ca-bundle.crt，请根据实际情况修改lua_ssl_trusted_certificate。

保存后，reload nginx。

在一般情况下，domain_whitelist必须配置，以防止恶意请求通过伪造SNI头进行拒绝服务攻击。

如果要匹配一系列域名，可以使用__index来实现。比如下面的例子仅匹配example.com的子域名：

domain_whitelist = setmetatable({}, { __index = function(_, k)
    return ngx.re.match(k, [[\.example\.com$]], "jo")
end}),

domain_whitelist = setmetatable({}, { __index = function(_, k)

return ngx.re.match(k, [[\.example\.com$]], "jo")

end}),

RSA+ECC双证书

将init_by_lua_block中的domain_key_types = { 'rsa', 'ecc' }取消注释后，即可同时申请两套证书。

为了让申请到证书前的握手不出错断开，给Nginx配置默认的ECC证书

openssl ecparam -name prime256v1 -genkey -out /etc/openresty/default-ecc.key	
openssl req -new -sha256 -key /etc/openresty/default-ecc.key -subj "/" -out temp.csr	
openssl x509 -req -sha256 -days 365 -in temp.csr -signkey /etc/openresty/default-ecc.key -out /etc/openresty/default-ecc.pem

openssl ecparam -name prime256v1 -genkey -out /etc/openresty/default-ecc.key

openssl req -new -sha256 -key /etc/openresty/default-ecc.key -subj "/" -out temp.csr

openssl x509 -req -sha256 -days 365 -in temp.csr -signkey /etc/openresty/default-ecc.key -out /etc/openresty/default-ecc.pem

然后在server节中原有的ssl_certificate下增加两行

ssl_certificate /etc/openresty/default-ecc.pem;
ssl_certificate_key /etc/openresty/default-ecc.key;

1 2	ssl_certificate /etc/openresty/default-ecc.pem; ssl_certificate_key /etc/openresty/default-ecc.key;

关于加密套件等的选择可借助搜索引擎。

TLS-ALPN-01

0.5.0开始支持tls-alpn-01，可以支持在只开放443端口的环境里完成验证。方法是通过蜜汁FFI偏移找到当前请求的SSL结构，然后设置了新的ALPN。需要多个stream server多次proxy，拓扑结构如下：

                                         [stream unix:/tmp/nginx-tls-alpn.sock ssl]
                                     Y / 
[stream 443] --- ALPN是acme-tls ?
                                     N \
                                         [http unix:/tmp/nginx-default.sock ssl]

[stream unix:/tmp/nginx-tls-alpn.sock ssl]

Y /

[stream 443] --- ALPN是acme-tls ?

N \

[http unix:/tmp/nginx-default.sock ssl]

第一个stream server打开了443端口，根据请求的ALPN分发到不同的后段；如果是acme-tls则转发到我们的库，否则转发到正常的https。

示例配置见Github。