http://music.163.com/#/song?id=2645757
今天才知道博客里怎麼放歌
某某管家:從錯誤堆棧到root shell
從 MaxMind 新版 GeoIP 數據庫轉換舊版數據庫
因為MaxMind不再更新v1版的GeoIP數據庫,所以自己從v2的CSV文件轉格式。
使用的工具是https://github.com/fffonion/geolite2legacy。
城市和ASN數據庫可以從這裡下載,每日更新。也可以直接使用cidr.me來查詢,使用方法可以參閱這篇文章。
ASN數據來自HE BGP toolkit,可以同時查詢上一級的ASN。使用的工具是https://github.com/fffonion/GeoIPASNum-Generator。
另外這個老哥也有(每月?)更新的數據庫,但是IPv6+IPv4的數據庫有問題,應該用的是上游的轉換腳本(騙了個PR)。
注意從2019年12月30日開始,需要使用License Key下載數據庫。
附更新腳本:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 |
#!/bin/bash D=$(dirname $(readlink -f $0)) T=$(mktemp -d) cd $T F=GeoLite2-City L=GeoLiteCityv6 # create license key from https://www.maxmind.com/en/accounts/current/license-key LICENSE=xxxxx wget "https://download.maxmind.com/app/geoip_download?edition_id=${F}-CSV&license_key=${LICENSE}&suffix=zip" -O ${F}-CSV.zip unzip ${F}-CSV.zip rm ${F}-CSV.zip cd ${F}-CSV_*/ tail -n+2 ${F}-Blocks-IPv4.csv | awk -F, '{ split($1,a,"/"); split(a[1],a1,"."); m = 96+a[2]; printf("::ffff:%02x%02x:%02x%02x/%d,%s,%s,%s,%s,%s,%s,%s,%s\n"),a1[1],a1[2],a1[3],a1[4],m,$2,$3,$4,$5,$6,$7,$8,$9}' >> ${F}-Blocks-IPv6.csv ls -lht cd $T zip ${F}-CSV.zip ${F}-CSV_*/* python $D/geolite2legacy/geolite2legacy.py -i $T/${F}-CSV.zip -o $T/GeoLiteCity.dat -f /home/wow/geolite2legacy/geoname2fips.csv python $D/geolite2legacy/geolite2legacy.py -i $T/${F}-CSV.zip -o $T/GeoLiteCityv6.dat -f /home/wow/geolite2legacy/geoname2fips.csv -6 for L in GeoLiteCityv6 GeoLiteCity; do if [[ -s $T/${L}.dat ]]; then cp $T/${L}.dat $D fi done rm -rf $T |
如何成長為一個有價值的程序員
卡萊爾曾經說過,過去一切時代的精華盡在書中。我希望諸位也能好好地體會這句話。 現在,解決如何成長為一個有價值的程序員的問題,是非常非常重要的。 所以, 我認為, 莎士比亞在不經意間這樣說過,人的一生是短的,但如果卑劣地過這一生,就太長了。我希望諸位也能好好地體會這句話。 要想清楚,如何成長為一個有價值的程序員,到底是一種怎麼樣的存在。 那麼, 我們不得不面對一個非常尷尬的事實,那就是, 每個人都不得不面對這些問題。 在面對這種問題時, 本人也是經過了深思熟慮,在每個日日夜夜思考這個問題。 歌德在不經意間這樣說過,讀一本好書,就如同和一個高尚的人在交談。這句話語雖然很短,但令我浮想聯翩。 如何成長為一個有價值的程序員,發生了會如何,不發生又會如何。 既然如何, 在這種困難的抉擇下,本人思來想去,寢食難安。 如何成長為一個有價值的程序員,到底應該如何實現。 如何成長為一個有價值的程序員,發生了會如何,不發生又會如何。 那麼, 如何成長為一個有價值的程序員因何而發生?我們不得不面對一個非常尷尬的事實,那就是, 那麼, 馮學峰曾經說過,當一個人用工作去迎接光明,光明很快就會來照耀着他。這不禁令我深思。 問題的關鍵究竟為何? 這種事實對本人來說意義重大,相信對這個世界也是有一定意義的。 王陽明在不經意間這樣說過,故立志者,為學之心也;為學者,立志之事也。這句話語雖然很短,但令我浮想聯翩。 一般來講,我們都必須務必慎重的考慮考慮。 如何成長為一個有價值的程序員因何而發生?問題的關鍵究竟為何? 白哲特曾經說過,堅強的信念能贏得強者的心,並使他們變得更堅強。 這句話語雖然很短,但令我浮想聯翩。 王陽明在不經意間這樣說過,故立志者,為學之心也;為學者,立志之事也。這句話語雖然很短,但令我浮想聯翩。 那麼, 如何成長為一個有價值的程序員,到底應該如何實現。 馬克思在不經意間這樣說過,一切節省,歸根到底都歸結為時間的節省。我希望諸位也能好好地體會這句話。 在這種困難的抉擇下,本人思來想去,寢食難安。 如何成長為一個有價值的程序員的發生,到底需要如何做到,不如何成長為一個有價值的程序員的發生,又會如何產生。 每個人都不得不面對這些問題。 在面對這種問題時, 我們不得不面對一個非常尷尬的事實,那就是, 總結的來說, 在這種困難的抉擇下,本人思來想去,寢食難安。 莎士比亞在不經意間這樣說過,那腦袋裡的智慧,就像打火石里的火花一樣,不去打它是不肯出來的。這句話語雖然很短,但令我浮想聯翩。 在這種困難的抉擇下,本人思來想去,寢食難安。 查爾斯·史考伯在不經意間這樣說過,一個人幾乎可以在任何他懷有無限熱忱的事情上成功。 這啟發了我, 我們不得不面對一個非常尷尬的事實,那就是, 問題的關鍵究竟為何? 如何成長為一個有價值的程序員因何而發生?那麼, 如何成長為一個有價值的程序員的發生,到底需要如何做到,不如何成長為一個有價值的程序員的發生,又會如何產生。 我們一般認為,抓住了問題的關鍵,其他一切則會迎刃而解。 莎士比亞在不經意間這樣說過,意志命運往往背道而馳,決心到最後會全部推倒。這不禁令我深思。 要想清楚,如何成長為一個有價值的程序員,到底是一種怎麼樣的存在。 這種事實對本人來說意義重大,相信對這個世界也是有一定意義的。 帶着這些問題,我們來審視一下如何成長為一個有價值的程序員。 所謂如何成長為一個有價值的程序員,關鍵是如何成長為一個有價值的程序員需要如何寫。 我認為。
lua-resty-openssl: 基於FFI的Lua OpenSSL庫
支持OpenSSL 1.1.x, 1.0.x和1.0.2系列
lua-resty-acme: ACMEv2客戶端和Let’s Encrypt證書的自動化管理
安裝
使用opm:
|
1 |
opm install fffonion/lua-resty-acme |
opm中沒有luaossl庫,所以這種安裝使用的是基於FFI的Openssl後端;需要OpenResty鏈接了大於等於1.1版本的OpenSSL。
也可以使用luarocks安裝:
|
1 |
luarocks install lua-resty-acme |
使用
以/etc/openresty目錄為例,如果目錄不存在,請自行修改。
生成一個賬戶密鑰
|
1 |
openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:4096 -out /etc/openresty/account.key |
生成一個默認證書
|
1 |
openssl req -newkey rsa:2048 -nodes -keyout /etc/openresty/default.pem -x509 -days 365 -out /etc/openresty/default.key |
在Nginx配置的http 節插入以下內容
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
resolver 8.8.8.8; lua_shared_dict acme 16m; init_by_lua_block { require("resty.acme.autossl").init({ -- setting the following to true -- implies that you read and accepted https://letsencrypt.org/repository/ tos_accepted = true, -- uncomment following for first time setup -- staging = true, -- uncomment folloing to enable RSA + ECC double cert -- domain_key_types = { 'rsa', 'ecc' }, account_key_path = "/etc/openresty/account.key", account_email = "此處填寫郵箱", domain_whitelist = { "你的域名1", "你的域名2" }, }) } init_worker_by_lua_block { require("resty.acme.autossl").init_worker() } |
首次配置時,建議將init_by_lua_block中的staing = true取消注釋,以防錯誤過多觸發限流;測試通過後再加回注釋使用生產API。
在需要使用證書的server節插入
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
server { server_name example.com; # required to verify Let's Encrypt API lua_ssl_trusted_certificate /etc/ssl/certs/ca-certificates.crt; lua_ssl_verify_depth 2; # fallback certs, make sure to create them before hand ssl_certificate /etc/openresty/default.pem; ssl_certificate_key /etc/openresty/default.key; ssl_certificate_by_lua_block { require("resty.acme.autossl").ssl_certificate() } location /.well-known { content_by_lua_block { require("resty.acme.autossl").serve_http_challenge() } } } |
CentOS/Fedora等系統的根證書在/etc/ssl/certs/ca-bundle.crt,請根據實際情況修改lua_ssl_trusted_certificate。
保存後,reload nginx。
在一般情況下,domain_whitelist必須配置,以防止惡意請求通過偽造SNI頭進行拒絕服務攻擊。
如果要匹配一系列域名,可以使用__index來實現。比如下面的例子僅匹配example.com的子域名:
|
1 2 3 |
domain_whitelist = setmetatable({}, { __index = function(_, k) return ngx.re.match(k, [[\.example\.com$]], "jo") end}), |
RSA+ECC雙證書
將init_by_lua_block中的domain_key_types = { 'rsa', 'ecc' }取消注釋後,即可同時申請兩套證書。
為了讓申請到證書前的握手不出錯斷開,給Nginx配置默認的ECC證書
|
1 2 3 |
openssl ecparam -name prime256v1 -genkey -out /etc/openresty/default-ecc.key openssl req -new -sha256 -key /etc/openresty/default-ecc.key -subj "/" -out temp.csr openssl x509 -req -sha256 -days 365 -in temp.csr -signkey /etc/openresty/default-ecc.key -out /etc/openresty/default-ecc.pem |
然後在server節中原有的ssl_certificate下增加兩行
|
1 2 |
ssl_certificate /etc/openresty/default-ecc.pem; ssl_certificate_key /etc/openresty/default-ecc.key; |
關於加密套件等的選擇可藉助搜索引擎。
TLS-ALPN-01
0.5.0開始支持tls-alpn-01,可以支持在只開放443端口的環境里完成驗證。方法是通過蜜汁FFI偏移找到當前請求的SSL結構,然後設置了新的ALPN。需要多個stream server多次proxy,拓撲結構如下:
|
1 2 3 4 5 |
[stream unix:/tmp/nginx-tls-alpn.sock ssl] Y / [stream 443] --- ALPN是acme-tls ? N \ [http unix:/tmp/nginx-default.sock ssl] |
第一個stream server打開了443端口,根據請求的ALPN分發到不同的後段;如果是acme-tls則轉發到我們的庫,否則轉發到正常的https。
示例配置見Github。
