一個使用Cloudflare API v4的動態DNS腳本

0   2436 轉為簡體

分享一個使用Cloudflare API v4的動態dns腳本(Gist地址本地下載)。

因為11月Cloudflare就要下線v1版本的API了,而Openwrt里的ddns-scripts並沒有支持新版[攤手],所以自己寫了一個。

僅依賴curl(可以改成wget)。支持v4和v6。會請求ip.yooooo.us得到公網IP地址,怕隱私泄露的可以自己搭一個

 

This is a DDNS script using Cloudflare APIv4 written in bash (Gist or Download directly).

I wrote this because Cloudflare is going to remove support for the old API on Nov. this year. And the ddns-scripts package in Openwrt is not yet supporting the new API [攤手].

This script only depends on curl (can be modified to use wget). It will use ip.yooooo.us to query IPv4 and IPv6. You can use this link to set up your own query server.

deluge各種問題導致狀態機抽風

6   2292 轉為簡體

遇到一個問題,設置了deluge分享率和做種時間到一定時間之後自動刪除種子。之前一直很好使的,最近發現到了指定的分享率或者做種時間之後,種子狀態變成了一直Paused或者一直Seeding。發現有這麼幾種問題導致deluge抽風:

狀態存檔的權限不對

是deluged沒有對狀態存檔~/.config/deluge/session.state和~/.config/deluge/state/*的寫權限導致的。

因為自身需求使用

#  start-stop-daemon -S -c user:www-data -k 000 -x /usr/bin/deluged — -d

啟動deluged,deluged具有user的euid和www-data的egid,而~是user:user的。所以就掛了233

直接添加種子下載地址導致一直Paused

deluge可以直接添加種子的http下載地址,取得種子之後自動開始下載,但是這樣有一定幾率產生萬年Paused。

解決辦法是自己下載種子之後返回磁力鏈添加到deluge。

 

Python float和decimal

2   1919 轉為簡體

在Windows上打包Python腳本時遇到一個需求,將浮點數轉成字符數組,比如輸入1.001,得到[‘1′,’0′,’0′,’1’]

一開始想當然地用了:

version = 2.001

v = list(str(int(version * 1000)))

發現好像哪裡不對,得到的v是[‘1’, ‘0’, ‘0’, ‘0’]。想了一想應該是浮點數的精度問題,因為一看version * 1000 = 1000.9999999999999

所以有這麼幾種解決方法:

v = list(str(int(round(version * 1000))))

或者:

v = list(str(version).replace(“,”, “”) + “000”)[:4]

或者用decimal模塊,decimal是固定小數點位數的,用的是十進制乘除法,所以(在設定的位數內)不會產生誤差:

from decimal import getcontext, Decimal

getcontext().prec = 4

v = list(str(Decimal(version) * 1000))

需要注意的是decimal會自動轉換科學計數法,可以用”%d” % Decimal(d)來得到原始值。

 

啟用yoooo.us

10   2116 轉為簡體

準備把之前用的一套(山寨)cdn用到博客和其他一堆亂七八糟的站上面,用了yoooo.us(4個o)來做cname。主要現在的yooooo.us還依賴cloudflare的服務沒法搬,所以另外註冊了一個放到cloudxns上根據運營商區分解析。現在電信走的是idcf;聯通移動和港澳台小夥伴是vultr日本;國外是cc的lax。韓國kt用來做冗餘。

所以對於你們來說,每次打開我的博客的時候,可以至少省一個字節的流量了。

被害妄想症如何保護服務器安全

15   1728 轉為簡體

自從有次過海關的時候電腦被TSA開包檢查硬盤還掉下來了之後,我的被害妄想症就越來越沒救了。

這篇文章假設有人可以物理接觸你的電腦,以及你所在的網絡不可信,這種情況下應該怎麼保護你的服務器數據安全。

 

  • 使用代理登錄SSH以隱藏服務器IP。如果有多台服務器,選擇一個位置最近的做跳板機,加密它的文件系統(OpenVZ再見)。設置另外機器的hosts.deny和hosts.allow為僅允許跳板機IP登錄;如果使用不支持tcpwrapper的服務如dropbear,需手動設置iptables。
  • 登錄跳板機的方式要和登錄另外機器的方式不同。
    • 使用密碼+google authenicator登錄跳板機,然後通過公鑰登錄別的機器。設置跳板機的sudo需要密碼,且設置為不同於當前賬戶的密碼;方法是在/etc/passwd中添加一行toor:x:0:0:root:/root:/usr/sbin/nologin,使用passwd修改toor的密碼,在/etc/sudoers中添加一行Defaults        runas_default=toor, runaspw。
    • 使用密鑰A登錄跳板機,使用另一個密鑰B登錄別的機器。密鑰B應保存在本地,通過ssh-agent轉發到跳板機。不同設備上的密鑰B可以設置不同的passphrase。dropbear不支持ed25519,而ecdsa據都市傳說可能存在NSA的後門。
  • 每三個月更換一次密鑰。
  • 保證密鑰的passphrase的強度;不使用任何雲服務保存密碼和密鑰;如果實在記性太差,在本地AES加密一次,然後做好偽裝(比如將二進制密文附到圖片文件之後或壓縮文件之前,[密文|!Rar…] 或 [\xFF\xD8…\xFF\xD9|密文])。
  • 設置fail2ban。
  • 監控跳板機/var/log/wtmp中的登錄IP。
  • 如果沒有必要,關閉SSH和其他各類開放端口。
  • 所有明文服務儘可能走tls。如果客戶端支持SNI,配置假證書以防止被猜測域名。可以使用lua-resty-sniproxy

歡迎交流