弹霄博科

在之前的博客中，我记录了我通过 GREv6 的方式将北京和老家的局域网组在了一起。在今年的规划中，我期望组建一张更大的网，将自己不同环境下的服务器和节点有序的组织起来。 在朋友的推荐下，我选择了 EasyTier 作为 SDWAN 方案，进行组网配置。 EasyTier 是一款一个简单、安全、去中心化的内网穿透 SDWAN 组网方案，使用 Rust 语言和 Tokio 框架实现。它安全可靠，无中心节点依赖，全链路零拷贝，性能开销小，支持穿透、智能路由，支持多种平台（x86，arm 等等），最重要的一点，它对 IPv6 的支持非常好。 现网环境介绍和需求目前需要的是平替掉之前通过 GRE 方式实现的京冀的网络互联。北京和河北均支持移动运营商接入，所以还是打算两边走移动对接，这样可能会受到结算新政策的影响小一点。 北京河北的主路由器均是 Mikrotik 的 RouteOS，为了尽量减小对现网的调整，本次接入采用旁路方式进行接入，两方均旁挂在各自区域的主路由器下。河北区域采用虚拟机部署 EasyTier，北京则采用 RK3399 盒子进行接入。各自区域的 EasyTier 节点，我人为将其 ...

更多时候，我们会使用到 HTTPS。对于服务器端的 HTTPS 配置，需要配置密钥证书、加密算法套件、TLS 版本等信息。一直疑惑如何选择加密算法套件和 TLS 版本是如何选择和搭配的，工作中也遇到过因为 TLS 版本和加密套件选择有误带来的种种麻烦。今天抽了点时间，以最常见的服务器中间件组件 NGINX 为例，整理了协议常用的 HTTPS 配置，供大家参考使用。 SSL/TLS截止到目前，SSL/TLS 共推出过 6 个版本，SSL2/SSL3/TLS1.0/TLS1.1/TLS1.2/TLS1.3，其中 TLS1.3 是目前最新版本，SSL2 和 SSL3 由于存在过多的漏洞，现在已经被弃用了，在一些安全扫描中，会强制要求使用 TLS1.2 以上的版本。 CipherSuite在 NGINX 中，OpenSSL 负责处理 HTTPS 连接，提供 SSL/TLS 加密，确保数据在互联网上传输时的安全性。所以 NGINX 支持哪些加密算法套件是由 NGINX 所使用的 OpenSSL 来决定的。 我们可以 ...

我有几台盒式工控设备需要重装系统，这个设备不像传统服务器一样，没有 VGA、HDMI 输出，只有前面板一个 Console 接口。所以我们只能使用这个 Console 接口安装系统了。 默认我们下载的镜像，他会模式以显示方式输出内容，所以我们得手动调整一下。以 Ubuntu 为例，先用 Rufus 制作启动 U 盘，选 iso 模式即可，方便我们调整配置。 修改启动项配置 /boot/grub/grub.cfg，复制以下内容到文件对应位置，见贴图。 12345serial --unit=0 --speed=115200 --word=8 --parity=no --stop=1terminal_input serial consoleterminal_output serial consoleconsole=tty0 console=ttyS0,115200n8 保存，插到盒子上，选从 U 盘启动。 电脑使用 Console 线连接，配置对应 COM 端口号，波特率 115200,8n1。 然后你就可以看到文本安装操作系统的界面了，和使用 VGA 模 ...

这是雷池社区版动态防护功能小测的下篇。 雷池在 v6.2.0 版本中对动态防护功能的能力进行了进一步释放，新版本不仅支持了不限数量的动态加密，还在专业版中支持快速加解密，JS 防护能力也取消了数量限制。 今天我们以 v6.3.0 版本为例，分析一下雷池的 JS 动态混淆功能。 组件架构依托于 t1k-c 优秀的能力，可以对 Tengine 反代的 Response Type 及 Response Body 进行检测。负责 JS 加密的程序是 safeline-chaos，和之前 HTML 动态防护是同一个组件。 动态混淆测试我们先用一个最简单的例子，看一下动态混淆大概做了哪些工作。 这是原 JS 文件的代码： 123456789101112131415161718192021222324252627282930313233var $hello = 'world';// for leichifunction test(){console.log('hello leichi.');}let fun = function() ...

今天突然发现我的虚拟化管理平台 vSphere Web Client 无法打开了。提示 500 服务器错误，无法登录了。 随后我登录了 vCenter Server 的设备管理页面（Port 5480），去看是否有服务存在异常，发现页面并没有现实服务异常。抱着重启可以解决 99% 的问题，我就先重启了 vCenter Server 的 VM。 等到重启结束之后，vSphere Web Client 彻底打不开了。提示 No Healthy Upstream。 这种情况，一般是 vSphere 某些服务挂了，于是我又继续检查了服务。发现 vAPI 服务出现了告警，但是提示运行正常的。应该不是这个服务的问题。 对服务列表进行排序，发现很多启动类型为自动的服务当前运行状态均为停止。这就有些异常了。 为了更好的抓取日志，我们登录了 vCenter Server 的 SSH 终端。 切换到 shell 中执行 service-control --start --all 重启服务，果然有服务无法启动报错了。 这个服务无法启动，可能是因为证书过期导致的。 1for i in $(/usr/l ...

2024年7月，我向CCF计算机博物馆捐赠了两个批次共计十四件计算机设备，包括服务器、防火墙、路由器、交换机、存储设备以及网络局域网设备等。 在计算机博物馆各位老师的帮助下，使得捐赠过程非常顺利，再此表示感谢，希望计算机博物馆早日落成！ CCF计算机博物馆开工于2021年，位于浙江省东阳市横店镇，占地面积119.88亩，建筑面积超过6万平方米，建成后将成为世界最大的计算机博物馆。 在此也帮博物馆做一个征集，若您家中或者单位有老旧废弃的计算相关物品，若您对计算机科学知识的普及有热情，或者对如何展示未来计算技术有兴趣，欢迎与 CCF 计算机博物馆取得联系。 藏品捐赠 荣誉墙

由于一些原因，本站在今年上半年只允许 CN 的 IP 访问，目前已恢复境外访问，境外访问由 cloudflare 提供 Pages 服务，图床由 cloudflare r2 提供。 目前 Blog 的架构为： 由 DNSPod 进行 DNS 级别的分流 国内 Web：腾讯云COS + 腾讯云CDN 图床：七牛云OSS + 七牛云CDN !国内 Web：cloudflare Pages 图床：cloudflare R2 发布流程： 本地 Push 源文件到 CODING，触发 CI，生成 cn.tar.gz 和 global.tar.gz 的包，发布到对应平台，并执行七牛云到 Cloudflare R2 的同步。

自带的 LoongOS 目前还没有源，软件有限。所以我们可以去借用 Loongnix 系统来启动久久派，使用 apt 方式安装一些常用的软件。 获取最新的 Loonginx 镜像，可以加 中科云的 QQ 群获取。QQ 群号：876920347，见群文件共享。 以 loongnix_base_20230605.tar.gz 为例。 我手头没有 EMMC 版本的板卡，所以本文以 TF 板卡为例。EMMC 版本可以先从 U 盘引导启动为 LiveCD。然后再写入到 EMMC 中。 烧录 Loonginx 镜像需要一个 Linux 环境，可以是 Arm X86 或者 3A6000 只要是 Linux 就行。 TF 卡转 USB，挂载到 Linux 环境中，使用 fdisk 命令修改为 GPT 分区表，并创建一个分区。 例如我这边是 TF 卡接到 Linux 环境中是 /dev/sdb，我们 fdisk /dev/sdb，来修改分区吧和创建分区，可以按 h 看帮助操作。 创建好之后，我们把这个分区格式化成 ext4，PMON 支持引导 ext4 文件系统的分区。mkfs.ex ...

龙芯 2K0300 芯片是一款基于 LA264 处理器核的多功能 SoC 芯片，可广泛适用于工业控制、通信设备、信息家电和物联网等领域。该芯片采用高集成度设计，可提供丰富的功能接口，满足多场景应用需求，同时支持低功耗技术，能够在低能耗条件下进行高效处理。芯片主频 1GHz，片内集成 16 位 DDR4 内存控制器，并集成丰富的外设接口：USB2.0、GMAC、LCD 显示、I2S 音频、高速 SPI/QSPI、ADC、eMMC、SDIO 和其他工控领域常用接口。 深圳中科云基于龙芯 2K0300 方案推出了龙芯嵌入式开发板龙芯 99 派。TF 卡版本的开发板 99 元，WIFI 版本的开发板 109 元。这可能是龙芯截止目前最具性价比的开发板了。 购买链接 - 淘宝 SZ 中科云 正常情况下，TF 卡版本的开发板，到手之后 NOR Flash 自带 LoongOS 系统。但是可能种种原因吧，他并起不来，我们就需要自己把系统安装到 TF 卡上来启动系统。 交流群QQ：876920347 从串口连接开发板根据相关文档，连接开发板串口，波特率 115200,8N1。 制作 TF ...

5 月底，雷池社区版 WAF 发布了动态防护功能。传送门：雷池社区版发布动态防护能力 毕竟需要测试这个功能，我先理解了一下动态防护的功能逻辑，应该是一种将后端返回的 HTML（JS）代码进行加密返回到前端，并在浏览器中完成解密、渲染来展示网页原有逻辑的功能。 老规矩，先看动态防护的优势1、在一定程度上保护了前端代码的隐私性，后端只返回加密的 JS 代码，然后由浏览器解析完成真实页面的渲染。 2、能阻止爬虫行为，一些爬虫框架不支持 JS 代码执行，所以无法获取页面的真实内容，就被盾住了。 3、Anti 漏扫，一些漏扫就专门扫框架版本号，只要正则查找到框架版本号就说有漏洞也不做漏洞验证，通过动态加密可以把这部分内容混淆掉，自然就不会被漏扫报漏洞了。 动态防护引入后对网页的影响雷池给网页赋予了新的技术特性，我们应该理解在实现这个特性的基础上可能会产生额外的开销。 1、由于引入了动态加密，加密后的数据会在浏览器中进行解密，所以解密速度和电脑配置以及浏览器内核有关，整体上会感觉页面载入会变慢。雷池这边处理的还比较友好，执行解密的过程会展示等待页面。 2、这个和好处 2 的相对的。开启这个功能，将 ...