Cyclists 发布的文章

Centos 7 卸载阿里云盾监控以及 firewall 屏蔽云盾 IP

阿里云 VPS 系统都自带了云盾监控程序,实质上是用来监控VPS是否安全,自动扫描进程、查杀病毒用的,会识别SS(R)进程。

想要安装 SS 服务必须要卸载云盾监控(不用重装),或者直接利用脚本一键重装您需要的纯净系统。

卸载阿里云盾监控

wget http://update.aegis.aliyun.com/download/uninstall.sh

chmod +x uninstall.sh

./uninstall.sh
wget http://update.aegis.aliyun.com/download/quartz_uninstall.sh

chmod +x quartz_uninstall.sh

./quartz_uninstall.sh

删除残留

pkill aliyun-service

rm -fr /etc/init.d/agentwatch /usr/sbin/aliyun-service

rm -rf /usr/local/aegis*

屏蔽云盾 IP

firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='140.205.201.0/28' reject"

firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='140.205.201.16/29' reject"

firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='140.205.201.32/28' reject"

firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='140.205.225.192/29' reject"

firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='140.205.225.200/30' reject"

firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='140.205.225.184/29' reject"

firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='140.205.225.183/32' reject"

firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='140.205.225.206/32' reject"

firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='140.205.225.205/32' reject"

firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='140.205.225.195/32' reject"

firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='140.205.225.204/32' reject"

firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='106.11.222.0/23' reject"

firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='106.11.224.0/24' reject"

firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='106.11.228.0/22' reject"

firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='140.205.201.0/24' reject"

firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='140.205.225.0/24' reject"

然后,就让我们一起畅游世界!

「全自动」LNMP1.5 无需升级至 1.6 快速开启 TLS1.3

最近在看一些 TLS 协议 1.3 版本的相关知识,为了用上更安全的传输协议...编译了不下于五次 nginx 和 openssl,网站也跟着崩溃,此教程主要说下如何在 lnmp1.5 上快速部署一个支持 TLS 1.3 协议版本的网站。

2008 年发布的 TLS1.2 传输协议至今也有十年的历史了,2018年下旬推出了速度更快更安全的 TLS1.3 传输协议,Chrome 70、Firefox 64 后续版本都率先支持基于 openssl 1.1.1 的 TLS1.3 传输协议,也是时候抛弃历史迎接新的未来!

TLS 1.3 相对于之前的版本,主要有两大优势:

Enhanced security: 安全性增强

Improved speed:速度提升

Nginx 底层使用的密码库是 OpenSSL,也就是说是否支持 TLS 1.3 版本,取决于 OpenSSL 库。

目前 Nginx 1.13 以上的版本支持 TLS 1.3 版本,而 OpenSSL 1.1.1 版本支持 TLS 1.3 版本。

本教程基于 lnmp1.5 一键包环境,系统为 centos 7.0 其它环境自测。

开始之前先备份当前生产环境,以备崩溃恢复之需。

开启方法:

利用 SSH 工具连接 VPS,输入以下命令下载 lnmp1.6 测试版;

wget http://soft.vpser.net/lnmp/lnmp1.6beta.tar.gz -cO lnmp1.6beta.tar.gz && tar zxf lnmp1.6beta.tar.gz && cd lnmp1.6

下载完之后会自动进入 lnmp1.6 文件夹,此刻请勿执行./install.sh lnmp

lnmp1.6 一键包已经正式支持 TLS1.3,所以直接利用 lnmp1.6里的升级脚本直接为 lnmp1.5 nginx 以及 openssl 进行升级即可。

接着用 lnmp1.6 文件夹里自带的升级脚本来升级 nginx;

./upgrade.sh nginx

输入您需升级的版本号,目前 nginx 官网最新版本为 1.15.9

nginx 版本号查询地址:https://nginx.org/en/download.html

之后会自动升级至你设置的 nginx 版本号以及 TLS1.3 所需要的 openssl 1.1.1 正式版。

20190302220309.png

本网站已自动升级 nginx 1.14.0 openssl 已升级至1.1.1a,TLS1.3 所需要的模块--with-openssl=/root/lnmp1.6/src/openssl-1.1.1a --with-openssl-opt='enable-weak-ssl-ciphers'已自动编译。

conf 加入以下配置;

ssl_protocols  TLSv1.1 TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_ciphers "TLS-CHACHA20-POLY1305-SHA256:TLS-AES-256-GCM-SHA384:TLS-AES-128-GCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:RSA+AES256:EECDH+ECDSA+3DES:EECDH+aRSA+3DES:RSA+3DES:!MD5";

注:如果您服务器上建立了多个站点(二级域名),需将全部站点 conf 配置文件里都加入以上配置才能生效。

之后重启 nginx 服务,用 chrome 或者 Firefox 通过审查元素查看证书相关信息即可看到网站已开启 TLS1.3 传输协议。

20190302221241.png

全自动编译,无需手动输入编译模块以及修改某些信息,适合不想在生产环境升级至 lnmp1.6 又想使用 TLS1.3 协议,比网络上的教程更加安全高效,更加适合小白党。

(全系列)极路由官方固件增刷 SS 插件

20190302004504.png

  1. 开启极路由开发者模式:

安装Shadowsocks插件需要开启开发者权限。以下为申请方法:

1/浏览器输入192.168.199.1 (注:'192.168.199.1'是极路由的默认管理IP,如果有修改请改为修改后的IP),进入极路由管理页面,点击进入云平台。

2/云平台选择 '路由器信息'。

3/滚动到页面底部,高级设置处,点击+号展开高级设置。

4/点击蓝色的申请按钮,进入申请页面。

5/这里需要绑定手机,输入手机号获取短信验证码。

6/验证成功后,进入微信验证页面,按照极路由官方提示,完成微信认证。

7/验证成功之后,即开通开发者模式。

  1. SSH登录极路由:

Windows: 使用PuTTY或xShell登录 (个人比较偏好xShell),具体使用方法网上很多,请自行搜索!

  1. 便捷脚本安装:
cd /tmp
echo "127.0.0.1 hiwifiss.ml" > /etc/hosts.d/aa;rm -f /tmp/install.sh;/etc/init.d/dnsmasq restart;curl -k https://raw.githubusercontent.com/uwtom/SSR-HiWifiOS/master/install.sh -o install.sh;chmod +x /tmp/install.sh && sh /tmp/install.sh
  1. 完成安装后重启极路由:

可以在PuTTY或xShell命令行输入'reboot',回车确认;或者拔掉极路由电源等一会再插上,最直接有效的方法!:)

跑步,归根结底就是一种生活方式

这是我家喵喵,以及奖牌镇楼!

20190228222112.jpg

20190228222121.jpg

刚接触跑步的时候也忘了什么时候了,粗略一算大概也有五年以上的时间了,那时候还是我兄弟带我跑步的,一开始是拒绝的,因为累。

从刚开始的 1km 到后来的 3km 5km 10km...最远跑过 30km,就像着了魔一样,慢慢的打开了新的生活方式,乐趣无穷。

刚开始觉得跑步就是跑步,也没觉得对自己有啥改变,纯粹就是跑着玩。

跑了一段时间后,慢慢的适应了,有时候也问自己为什么要跑步?

最开始因为跑着玩以及健康,又在兄弟的引领下,已顺利成为又一张标榜生活品质的标签。

然而当人们跨过跑步最初的门槛,穿上跑鞋,每日奔跑,会越来越发现跑步这件事已经远远超越了运动的范畴。

除了最基本的健康需要,跑步逐渐成为了一种生活状态,一个全新的视角,一个自我审视的机会,甚至一种文化,一种精神,一门哲学。

当人们终日背负各种压力疲惫不堪时,跑步让我们惊喜,发现这沉重的肉身竟然深埋着源源不断的潜能。原来每个人的身体都是一个宇宙,一座能量堆,无边无际。惊喜的同时,也让人感觉到自己的强大。

人在跑步的时候,其实都变得格外简单,“停下来还是坚持?”“跑完要奖励一下自己!”“好想休息啊!”想法短促到没有转折,平铺直叙,好像回归到儿时的思维方式,或者干脆就是什么都没想。

该如何才能让正常人理解“我们享受单调、重复与痛苦”这件事呢?这种看似有悖人类天性的事却成了跑步人共同的情结,也成为跑步文化的基调。

一双筷子,承载着中国人的情感和记忆

以筷子为情感载体,串起广东西关老屋、上海长宁现代家庭、福建永定客家土楼、黑龙家佳木斯东胜农家、四川宣汉乡村等场景,描述中国人过春节的生活情感与情节,承载着中国特有的传统与美德,呼吁大家珍惜与家人、亲友的每一次团聚,弘扬分享、感恩、明礼、孝敬等中华几千年传承的文化。

一双筷子,承载了中国人数千年的情感。

以小见大、见微知著,让筷子传承的浓浓中国味继续感动你我,让这份关爱和在意伴随每一个人的生活。

视频源自 2014 年春晚 CCTV 公益广告《筷子篇》.

祝愿看到此文章的网友们新年快乐,大年三十儿一家人团团圆圆,笑开颜!