論野生技術&二次元 - 第2頁共30頁

#!/bin/bash
D=$(dirname $(readlink -f $0))
T=$(mktemp -d)
cd $T
F=GeoLite2-City
L=GeoLiteCityv6
# create license key from https://www.maxmind.com/en/accounts/current/license-key
LICENSE=xxxxx
wget "https://download.maxmind.com/app/geoip_download?edition_id=${F}-CSV&license_key=${LICENSE}&suffix=zip" -O ${F}-CSV.zip
unzip ${F}-CSV.zip
rm ${F}-CSV.zip
cd ${F}-CSV_*/
tail -n+2 ${F}-Blocks-IPv4.csv |
    awk -F, '{ split($1,a,"/"); split(a[1],a1,"."); m = 96+a[2]; printf("::ffff:%02x%02x:%02x%02x/%d,%s,%s,%s,%s,%s,%s,%s,%s\n"),a1[1],a1[2],a1[3],a1[4],m,$2,$3,$4,$5,$6,$7,$8,$9}' >> ${F}-Blocks-IPv6.csv
ls -lht
cd $T
zip ${F}-CSV.zip ${F}-CSV_*/*
python $D/geolite2legacy/geolite2legacy.py -i $T/${F}-CSV.zip -o $T/GeoLiteCity.dat -f /home/wow/geolite2legacy/geoname2fips.csv
python $D/geolite2legacy/geolite2legacy.py -i $T/${F}-CSV.zip -o $T/GeoLiteCityv6.dat -f /home/wow/geolite2legacy/geoname2fips.csv -6
for L in GeoLiteCityv6 GeoLiteCity; do
    if [[ -s $T/${L}.dat ]]; then
        cp $T/${L}.dat $D
    fi
done
rm -rf $T

#!/bin/bash

D=$(dirname $(readlink -f $0))

T=$(mktemp -d)

cd $T

F=GeoLite2-City

L=GeoLiteCityv6

# create license key from https://www.maxmind.com/en/accounts/current/license-key

LICENSE=xxxxx

wget "https://download.maxmind.com/app/geoip_download?edition_id=${F}-CSV&license_key=${LICENSE}&suffix=zip" -O ${F}-CSV.zip

unzip ${F}-CSV.zip

rm ${F}-CSV.zip

cd ${F}-CSV_*/

tail -n+2 ${F}-Blocks-IPv4.csv |

awk -F, '{ split($1,a,"/"); split(a[1],a1,"."); m = 96+a[2]; printf("::ffff:%02x%02x:%02x%02x/%d,%s,%s,%s,%s,%s,%s,%s,%s\n"),a1[1],a1[2],a1[3],a1[4],m,$2,$3,$4,$5,$6,$7,$8,$9}' >> ${F}-Blocks-IPv6.csv

ls -lht

cd $T

zip ${F}-CSV.zip ${F}-CSV_*/*

python $D/geolite2legacy/geolite2legacy.py -i $T/${F}-CSV.zip -o $T/GeoLiteCity.dat -f /home/wow/geolite2legacy/geoname2fips.csv

python $D/geolite2legacy/geolite2legacy.py -i $T/${F}-CSV.zip -o $T/GeoLiteCityv6.dat -f /home/wow/geolite2legacy/geoname2fips.csv -6

for L in GeoLiteCityv6 GeoLiteCity; do

if [[ -s $T/${L}.dat ]]; then

cp $T/${L}.dat $D

done

rm -rf $T

如何成長為一個有價值的程序員

on 2019 年 11 月 6 日

流水賬

3 4812 轉為簡體

卡萊爾曾經說過，過去一切時代的精華盡在書中。我希望諸位也能好好地體會這句話。現在，解決如何成長為一個有價值的程序員的問題，是非常非常重要的。所以，我認為，莎士比亞在不經意間這樣說過，人的一生是短的，但如果卑劣地過這一生，就太長了。我希望諸位也能好好地體會這句話。要想清楚，如何成長為一個有價值的程序員，到底是一種怎麼樣的存在。那麼，我們不得不面對一個非常尷尬的事實，那就是，每個人都不得不面對這些問題。在面對這種問題時，本人也是經過了深思熟慮，在每個日日夜夜思考這個問題。歌德在不經意間這樣說過，讀一本好書，就如同和一個高尚的人在交談。這句話語雖然很短，但令我浮想聯翩。如何成長為一個有價值的程序員，發生了會如何，不發生又會如何。既然如何，在這種困難的抉擇下，本人思來想去，寢食難安。如何成長為一個有價值的程序員，到底應該如何實現。如何成長為一個有價值的程序員，發生了會如何，不發生又會如何。那麼，如何成長為一個有價值的程序員因何而發生?我們不得不面對一個非常尷尬的事實，那就是，那麼，馮學峰曾經說過，當一個人用工作去迎接光明，光明很快就會來照耀着他。這不禁令我深思。問題的關鍵究竟為何? 這種事實對本人來說意義重大，相信對這個世界也是有一定意義的。王陽明在不經意間這樣說過，故立志者，為學之心也；為學者，立志之事也。這句話語雖然很短，但令我浮想聯翩。一般來講，我們都必須務必慎重的考慮考慮。如何成長為一個有價值的程序員因何而發生?問題的關鍵究竟為何? 白哲特曾經說過，堅強的信念能贏得強者的心，並使他們變得更堅強。這句話語雖然很短，但令我浮想聯翩。王陽明在不經意間這樣說過，故立志者，為學之心也；為學者，立志之事也。這句話語雖然很短，但令我浮想聯翩。那麼，如何成長為一個有價值的程序員，到底應該如何實現。馬克思在不經意間這樣說過，一切節省，歸根到底都歸結為時間的節省。我希望諸位也能好好地體會這句話。在這種困難的抉擇下，本人思來想去，寢食難安。如何成長為一個有價值的程序員的發生，到底需要如何做到，不如何成長為一個有價值的程序員的發生，又會如何產生。每個人都不得不面對這些問題。在面對這種問題時，我們不得不面對一個非常尷尬的事實，那就是，總結的來說，在這種困難的抉擇下，本人思來想去，寢食難安。莎士比亞在不經意間這樣說過，那腦袋裡的智慧，就像打火石里的火花一樣，不去打它是不肯出來的。這句話語雖然很短，但令我浮想聯翩。在這種困難的抉擇下，本人思來想去，寢食難安。查爾斯·史考伯在不經意間這樣說過，一個人幾乎可以在任何他懷有無限熱忱的事情上成功。這啟發了我，我們不得不面對一個非常尷尬的事實，那就是，問題的關鍵究竟為何? 如何成長為一個有價值的程序員因何而發生?那麼，如何成長為一個有價值的程序員的發生，到底需要如何做到，不如何成長為一個有價值的程序員的發生，又會如何產生。我們一般認為，抓住了問題的關鍵，其他一切則會迎刃而解。莎士比亞在不經意間這樣說過，意志命運往往背道而馳，決心到最後會全部推倒。這不禁令我深思。要想清楚，如何成長為一個有價值的程序員，到底是一種怎麼樣的存在。這種事實對本人來說意義重大，相信對這個世界也是有一定意義的。帶着這些問題，我們來審視一下如何成長為一個有價值的程序員。所謂如何成長為一個有價值的程序員，關鍵是如何成長為一個有價值的程序員需要如何寫。我認為。

lua-resty-openssl: 基於FFI的Lua OpenSSL庫

on 2019 年 9 月 26 日

0 5302 轉為簡體

FFI-based OpenSSL binding for OpenResty
https://github.com/fffonion/lua-resty-openssl
26 forks.
77 stars.
3 open issues.

Recent commits:

chore(tests) bump openssl to 1.1.1q and 3.0.5, Wangchong Zhou
release: 0.8.10, Wangchong Zhou
feat(x509) add get_signature_digest_name, Wangchong Zhou
release: 0.8.9, Wangchong Zhou
fix(aux/nginx) add nginx 1.21.4 and ngx_lua 0.10.21 to support matrix, Wangchong Zhou

支持OpenSSL 1.1.x, 1.0.x和1.0.2系列

lua-resty-acme: ACMEv2客戶端和Let’s Encrypt證書的自動化管理

on 2019 年 9 月 21 日

0 7331 轉為簡體

Automatic Let's Encrypt certificate serving and Lua implementation of ACMEv2 procotol
https://github.com/fffonion/lua-resty-acme
24 forks.
111 stars.
7 open issues.

Recent commits:

安裝

使用opm：

opm install fffonion/lua-resty-acme

1	opm install fffonion/lua-resty-acme

opm中沒有luaossl庫，所以這種安裝使用的是基於FFI的Openssl後端；需要OpenResty鏈接了大於等於1.1版本的OpenSSL。

也可以使用luarocks安裝：

luarocks install lua-resty-acme

1	luarocks install lua-resty-acme

使用

以/etc/openresty目錄為例，如果目錄不存在，請自行修改。

生成一個賬戶密鑰

openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:4096 -out /etc/openresty/account.key

1	openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:4096 -out /etc/openresty/account.key

生成一個默認證書

openssl req -newkey rsa:2048 -nodes -keyout /etc/openresty/default.pem -x509 -days 365 -out /etc/openresty/default.key

1	openssl req -newkey rsa:2048 -nodes -keyout /etc/openresty/default.pem -x509 -days 365 -out /etc/openresty/default.key

在Nginx配置的http 節插入以下內容

resolver 8.8.8.8;

lua_shared_dict acme 16m;

init_by_lua_block {
    require("resty.acme.autossl").init({
        -- setting the following to true
        -- implies that you read and accepted https://letsencrypt.org/repository/
        tos_accepted = true,
        -- uncomment following for first time setup
        -- staging = true,
        -- uncomment folloing to enable RSA + ECC double cert
        -- domain_key_types = { 'rsa', 'ecc' },
        account_key_path = "/etc/openresty/account.key",
        account_email = "此處填寫郵箱",
        domain_whitelist = { "你的域名1", "你的域名2" },
    })
}
init_worker_by_lua_block {
    require("resty.acme.autossl").init_worker()
}

resolver 8.8.8.8;

lua_shared_dict acme 16m;

init_by_lua_block {

require("resty.acme.autossl").init({

-- setting the following to true

-- implies that you read and accepted https://letsencrypt.org/repository/

tos_accepted = true,

-- uncomment following for first time setup

-- staging = true,

-- uncomment folloing to enable RSA + ECC double cert

-- domain_key_types = { 'rsa', 'ecc' },

account_key_path = "/etc/openresty/account.key",

account_email = "此處填寫郵箱",

domain_whitelist = { "你的域名1", "你的域名2" },

})

}

init_worker_by_lua_block {

require("resty.acme.autossl").init_worker()

}

首次配置時，建議將init_by_lua_block中的staing = true取消注釋，以防錯誤過多觸發限流；測試通過後再加回注釋使用生產API。

在需要使用證書的server節插入

server {
    server_name example.com;

    # required to verify Let's Encrypt API
    lua_ssl_trusted_certificate /etc/ssl/certs/ca-certificates.crt;
    lua_ssl_verify_depth 2;

    # fallback certs, make sure to create them before hand
    ssl_certificate /etc/openresty/default.pem;
    ssl_certificate_key /etc/openresty/default.key;

    ssl_certificate_by_lua_block {
        require("resty.acme.autossl").ssl_certificate()
    }

    location /.well-known {
        content_by_lua_block {
            require("resty.acme.autossl").serve_http_challenge()
        }
    }
}

server {

server_name example.com;

# required to verify Let's Encrypt API

lua_ssl_trusted_certificate /etc/ssl/certs/ca-certificates.crt;

lua_ssl_verify_depth 2;

# fallback certs, make sure to create them before hand

ssl_certificate /etc/openresty/default.pem;

ssl_certificate_key /etc/openresty/default.key;

ssl_certificate_by_lua_block {

require("resty.acme.autossl").ssl_certificate()

}

location /.well-known {

content_by_lua_block {

require("resty.acme.autossl").serve_http_challenge()

}

CentOS/Fedora等系統的根證書在/etc/ssl/certs/ca-bundle.crt，請根據實際情況修改lua_ssl_trusted_certificate。

保存後，reload nginx。

在一般情況下，domain_whitelist必須配置，以防止惡意請求通過偽造SNI頭進行拒絕服務攻擊。

如果要匹配一系列域名，可以使用__index來實現。比如下面的例子僅匹配example.com的子域名：

domain_whitelist = setmetatable({}, { __index = function(_, k)
    return ngx.re.match(k, [[\.example\.com$]], "jo")
end}),

domain_whitelist = setmetatable({}, { __index = function(_, k)

return ngx.re.match(k, [[\.example\.com$]], "jo")

end}),

RSA+ECC雙證書

將init_by_lua_block中的domain_key_types = { 'rsa', 'ecc' }取消注釋後，即可同時申請兩套證書。

為了讓申請到證書前的握手不出錯斷開，給Nginx配置默認的ECC證書

openssl ecparam -name prime256v1 -genkey -out /etc/openresty/default-ecc.key	
openssl req -new -sha256 -key /etc/openresty/default-ecc.key -subj "/" -out temp.csr	
openssl x509 -req -sha256 -days 365 -in temp.csr -signkey /etc/openresty/default-ecc.key -out /etc/openresty/default-ecc.pem

openssl ecparam -name prime256v1 -genkey -out /etc/openresty/default-ecc.key

openssl req -new -sha256 -key /etc/openresty/default-ecc.key -subj "/" -out temp.csr

openssl x509 -req -sha256 -days 365 -in temp.csr -signkey /etc/openresty/default-ecc.key -out /etc/openresty/default-ecc.pem

然後在server節中原有的ssl_certificate下增加兩行

ssl_certificate /etc/openresty/default-ecc.pem;
ssl_certificate_key /etc/openresty/default-ecc.key;

1 2	ssl_certificate /etc/openresty/default-ecc.pem; ssl_certificate_key /etc/openresty/default-ecc.key;

關於加密套件等的選擇可藉助搜索引擎。

TLS-ALPN-01

0.5.0開始支持tls-alpn-01，可以支持在只開放443端口的環境里完成驗證。方法是通過蜜汁FFI偏移找到當前請求的SSL結構，然後設置了新的ALPN。需要多個stream server多次proxy，拓撲結構如下：

                                         [stream unix:/tmp/nginx-tls-alpn.sock ssl]
                                     Y / 
[stream 443] --- ALPN是acme-tls ?
                                     N \
                                         [http unix:/tmp/nginx-default.sock ssl]

[stream unix:/tmp/nginx-tls-alpn.sock ssl]

Y /

[stream 443] --- ALPN是acme-tls ?

N \

[http unix:/tmp/nginx-default.sock ssl]

第一個stream server打開了443端口，根據請求的ALPN分發到不同的後段；如果是acme-tls則轉發到我們的庫，否則轉發到正常的https。

示例配置見Github。