2018 on Ricky

阿瓦隆(The Resistance：Avalon)

Mon, 24 Dec 2018 13:22:33 +0800

阿瓦隆(The Resistance：Avalon)

Linux CentOS 7 安裝字體庫 & 中文本體

Tue, 18 Dec 2018 22:13:40 +0800

Linux CentOS 7 安裝字體庫 & 中文本體

yum -y install fontconfig

這時在 /usr/shared 目錄就可以看到 fonts 和 fontconfig 目錄了（之前是沒有的）

在這之前我們還需要新建目錄，首先在 /usr/shared/fonts 目錄下新建一個目錄 chinese

mkdir /usr/shared/fonts/chinese

只需要將我們需要的字體拷貝出來並上傳至 linux 服務器 /usr/shared/fonts/chinese 目錄下即可，在這裏我選擇宋體和黑體（報表中用到了這兩種字體），可以看到是兩個後綴名為 ttf 和 ttc 的文檔

chmod -R 755 /usr/share/fonts/chinese

接下來需要安裝 ttmkfdir 來搜索目錄中所有的字體信息，並彙總生成 fonts.scale 文檔


yum -y install ttmkfdir

ttmkfdir -e /usr/share/X11/fonts/encodings/encodings.dir

vi /etc/fonts/fonts.conf

<dir>/usr/shared/fonts/chinese<dir>

刷新內存中的字體緩存

fc-cache

auth.log 中 sshd 這行的 SHA256 是什麼？

Mon, 17 Dec 2018 16:11:43 +0800

auth.log 中 sshd 這行的 SHA256 是什麼？

ssh-keygen -lf .ssh/id_rsa.pub

cat .ssh/id_rsa.pub |
 awk '{ print $2 }' | # 只取實際的 key 資料，不含前綴或註解
 base64 -d | # 以 base64 解碼
 sha256sum | # SHA256 雜湊（回傳十六進位）
 awk '{ print $1 }' | # 只取十六進位資料
 xxd -r -p | # 十六進位轉位元組
 base64 # 以 base64 編碼

Shell 中 `< <(command args)` 是什麼意思？

Sat, 17 Nov 2018 22:29:23 +0800

Shell 中 < <(command args) 是什麼意思？

 while IFS= read -r -d $'\0' file; do
 dosomethingwith "$file" # 對每個檔案進行處理
 done < <(find /bar -name *foo* -print0)

<() 在手冊中稱為 process substitution，它類似於管線，但會傳遞 /dev/fd/63 這種形式的參數，而不是使用 stdin。

< 會從命令列指定的檔案讀取輸入。

這兩個運算子合起來的作用與管線完全相同，因此可以改寫為：

find /bar -name *foo* -print0 | while read line; do
 ...
done

Netcat（Linux nc 指令）網路管理者工具實用範例

Fri, 09 Nov 2018 00:17:47 +0800

Netcat（Linux nc 指令）網路管理者工具實用範例

傳送測試用的 UDP 封包到遠端伺服器

下面這行指令會傳送 UDP 的測試封包到指定的機器與連接埠，-w1 參數是指定 timeout 的時間為 1 秒。

echo -n "foo" | nc -u -w1 192.168.1.8 5000

開啟 UDP 連接埠接收資料

nc -lu localhost 5000

遠端機器的連接埠掃描（Port Scanning）

這行指令會掃描指定機器 1 ~ 1000 與 2000 ~ 3000 這兩個範圍的 TCP 連接埠，看看哪些埠號有開啟。

nc -vnz -w 1 192.168.233.208 1-1000 2000-3000

這行則是掃描 UDP 的連接埠

nc -vnzu 192.168.1.8 1-65535

在兩台主機之間複製檔案

假設現在有兩台主機，分別為 A 主機與 B 主機，若要將一個檔案從 A 主機複製到 B 主機，可以先在 B 主機（檔案接收者）上執行：

nc -l 5000 > my.jpg

vimrc設定教學

Sat, 03 Nov 2018 23:30:52 +0800

vimrc 設定教學
:set nu
- 顯示行號：對於 debug 相當有幫助!
:set ai
- 自動對齊縮排：如果上一行有兩個 tab 的寬度，按 enter 繼續編輯下一行時會自動保留兩個 tab 鍵的寬度。
:set cursorline
- 光標底線：光標所在的那一行會有底線，幫助尋找光標位置
:set bg=light
- 上色模式-針對亮背景上色
- 預設為亮背景(白色等)上色，但是終端機的初始背景色為深紫色，會出現文字失蹤 ( 例如註解為深藍色 ) 的情況。將這一行換成 :set bg=dark 即可。
:set tabstop=4
- 縮排間隔數 ( 預設為 8 個空白對齊 )
- 也就是說按一次 tab 鍵，游標會自動跳 4 格空白字元的寬度。雖有多個空格但實際上只有一個 tab 字元。
- 注意：也就是說，在其他環境下，看到 tab 字元，依舊是 8 個空白寬
:set shiftwidth=4
- 自動縮排對齊間隔數：向右或向左一個縮排的寬度

以下可以斟酌使用

:set mouse=a
- 啟用游標選取：游標可以直接選取文字，滾輪可以直接滑動頁面 ( 非移動游標 )。
- 可以取代用 v 選取字元的功能，配合 ctrl+insert ( 複製 ) 及 shift+inset ( 貼上 )，相當方便
:set mouse=""
- 停用游標選取：游標無法選取文字，滾輪只會移動光標的位置。
:set ruler
- ( 預設就有 ) 顯示右下角的行,列目前在文件的位置 % 的資訊
:set backspace=2
- ( 預設就有 ) 在 insert 模式啟用 backspace 鍵
:set formatoptions+=r
- 自動註解(注意：若要貼上的文件某一行有註解，會因為此項設定而讓其以下每一行都變成註解)
:set history=100
- 保留 100 個使用過的指令
:set incsearch
- 在關鍵字尚未完全輸入完畢前就顯示結果
- 如果覺得這功能太過熱心的話，可以使用 ctrl+n 來達成自動補完的功能

為什麼瀏覽器 user-agent string 總是包含 Mozilla/5.0 ?

Wed, 17 Oct 2018 12:03:04 +0800

快速結論

因為網站開發者可能會因為你是某瀏覽器(這裡是 Mozilla)，所以輸出一些特殊功能的程式碼(這裡指好的特殊功能)，所以當其他瀏覽器也支援這種好功能時，就試圖去模仿 Mozilla 瀏覽器讓網站輸出跟 Mozilla 一樣的內容，而不是輸出被閹割功能的程式碼。

使用 TC 和 Netem 模拟网络异常

Sat, 15 Sep 2018 16:17:26 +0800

使用 TC 和 Netem 模拟网络异常

Netem 与 TC 简要说明

Netem 是 Linux 2.6 及以上内核版本提供的一个网络模拟功能模块。该功能模块可以用来在性能良好的局域网中，模拟出复杂的互联网传输性能。例如:低带宽、传输延迟、丢包等等情况。使用 Linux 2.6 (或以上) 版本内核的很多 Linux 发行版都默认开启了该内核模块，比如：Fedora、Ubuntu、Redhat、OpenSuse、CentOS、Debian 等等。

TC 是 Linux 系统中的一个用户态工具，全名为 Traffic Control (流量控制)。TC 可以用来控制 Netem 模块的工作模式，也就是说如果想使用 Netem 需要至少两个条件，一是内核中的 Netem 模块被启用，另一个是要有对应的用户态工具 TC 。

所有的报文延迟 100ms 发送: $ tc qdisc add dev enp0s5 root netem delay 100ms
模拟丢包率: $ tc qdisc change dev enp0s5 root netem loss 50%
模拟包重复: $ tc qdisc change dev enp0s5 root netem duplicate 50%
模拟包损坏: tc qdisc change dev enp0s5 root netem corrupt 2%
模拟包乱序(每 5 个报文（第 5、10、15…报文）会正常发送，其他的报文延迟 100ms): tc qdisc change dev enp0s5 root netem reorder 50% gap 3 delay 100ms

查看并显示 enp0s5 网卡的相关传输配置

$ tc qdisc show dev enp0s5

Quagga Routing - 安裝、設定與建置 BGP

Tue, 14 Aug 2018 22:13:12 +0800

Quagga Routing - 安裝、設定與建置 BGP

Systemd 入门教程：实战篇

Thu, 09 Aug 2018 13:53:32 +0800

Systemd 入门教程：实战篇

$ systemctl cat sshd.service

[Unit]
Description=OpenSSH server daemon
Documentation=man:sshd(8) man:sshd_config(5)
After=network.target sshd-keygen.service
Wants=sshd-keygen.service

[Service]
EnvironmentFile=/etc/sysconfig/sshd
ExecStart=/usr/sbin/sshd -D $OPTIONS
ExecReload=/bin/kill -HUP $MAINPID
Type=simple
KillMode=process
Restart=on-failure
RestartSec=42s

[Install]
WantedBy=multi-user.target

[Unit] 区块：启动顺序与依赖关系

After 字段：表示如果 network.target 或 sshd-keygen.service 需要启动，那么 sshd.service 应该在它们之后启动。

相应地，还有一个 Before 字段，定义 sshd.service 应该在哪些服务之前启动。

注意，After 和 Before 字段只涉及启动顺序，不涉及依赖关系。

设置依赖关系，需要使用 Wants 字段和 Requires 字段

Wants 字段：表示 sshd.service 与 sshd-keygen.service 之间存在"弱依赖"关系，即如果"sshd-keygen.service"启动失败或停止运行，不影响 sshd.service 继续执行。

Requires 字段则表示"强依赖"关系，即如果该服务启动失败或异常退出，那么 sshd.service 也必须退出。

注意，Wants 字段与 Requires 字段只涉及依赖关系，与启动顺序无关，默认情况下是同时启动的。

Raid10 徹底崩壞 ,壞就壞在同組作Mirror硬碟一起故障。

Wed, 01 Aug 2018 18:21:20 +0800

CDN 相关 https 证书的申请

Tue, 24 Jul 2018 18:35:39 +0800

由于我们不能上传文件到 CDN 服务器，所以我们不能采用文件验证方式来申请 https 证书。所幸 Let’s Encrypt 支持 dns-01 challenge 通过 DNS 验证方式来申请 https 证书。我们使用 Dehydrated 配合 CloudFlare hook 来申请 https 证书。

# 首先 clone dehydrated 这个仓库

git clone https://github.com/lukas2511/dehydrated

# 在 clone 出来的 dehydrated 目录下创建 config 文件，内容参考 config 文件(https://github.com/dehydrated-io/dehydrated/blob/master/docs/examples/config)
# 在 config 文件的末尾加上 Cloudflare 相关的信息
echo "export CF_EMAIL=user@example.com" >> config
echo "export CF_KEY=K9uX2HyUjeWg5AhAb" >> config

# clone Cloudflare hook
mkdir hooks
git clone https://github.com/kappataumu/letsencrypt-cloudflare-hook hooks/cloudflare


# 安装依赖

pip install -r hooks/cloudflare/requirements-python-2.txt

# 创建 domains.txt 文件，每行一个域名

[root@db-slave01 dehydrated]# cat domains.txt
apk.kosungames.com
sp-res.kosungames.com
cpweb.kosungames.com

# 申请 https 证书

./dehydrated -c -k hooks/cloudflare/hook.py

# 使用 Python 脚本上传证书。脚本需在 dehydrated 目录下

#!/usr/bin/env python

from aliyunsdkcore import client
from aliyunsdkcdn.request.v20141111 import SetDomainServerCertificateRequest
import uuid


def upload(domain):
 cli = client.AcsClient("LTAI7zSXga2D", "ed03Mt9xcNkRgmadx0XtpyDje", "cn-hongkong")
 request = SetDomainServerCertificateRequest.SetDomainServerCertificateRequest()
 request.set_accept_format("json")
 request.set_DomainName(domain)
 request.set_CertName(domain + str(uuid.uuid1()))
 #request.set_CertName(domain)
 #certificate = open("certs/" + domain + "/fullchain.pem").read()
 certificate = open("certs/" + domain + "/cert.pem").read()
 with open("certs/" + domain + "/chain.pem") as f:
 f.readline()
 f.readline()
 chain = f.read()
 certificate += chain
 key = open("certs/" + domain + "/privkey.pem").read()
 request.set_ServerCertificateStatus('on')
 request.set_ServerCertificate(certificate)
 request.set_PrivateKey(key)

 result = cli.do_action_with_exception(request)

domain_file="domains.txt"
with open(domain_file) as f:
 for line in f:
 domain = line.split()[0]
 upload(domain)

Nginx 访问日志中记录毫秒级别的时间精度

Tue, 24 Jul 2018 18:31:42 +0800

Nginx 的 access log 可以记录毫秒级的时间戳，但是是以 EPOCH 开始的毫秒数，比如 1503544071.865, 另一个变量 $time_local 记录的是秒级别的时间格式，比如 24/Aug/2017:11:07:51 +0800，在业务量大的时候，我们需要记录毫秒精度的时间格式，比如 24/Aug/2017:11:07:51.865 +0800, 这个可以通过 Lua 实现。

首先需要在 nginx.conf 中定义一个变量，叫做 time_millis，并初始化为空。类似于使用 auto-ssl 获取证书的时候需要指定一个 fallback 的自签证书。

 map $host $time_millis {
 default '';
 }

如果不定义这个变量，在 log_format 中引用的时候会报错。

使用 Lua 获取毫秒数，并追加到 $time_local 的末尾。

 log_by_lua_block {
 millis = string.gsub(ngx.var.msec, "(%d+).(%d+)", "%2")
 ngx.var.time_millis = string.gsub(ngx.var.time_local, "(.+) (.+)", "%1." .. millis .. " %2")
 }

在 log_format 中将 $time_local 改为 $time_millis

http {
 map $host $time_millis {
 default '';
 }

 log_by_lua_block {
 millis = string.gsub(ngx.var.msec, "(%d+).(%d+)", "%2")
 ngx.var.time_millis = string.gsub(ngx.var.time_local, "(.+) (.+)", "%1." .. millis .. " %2")
 }

 log_format main '$remote_addr - $remote_user [$time_millis] "$request" '
 '$status $body_bytes_sent "$http_referer" '
 '"$http_user_agent" $msec "$http_x_forwarded_for" $host $request_time $upstream_response_time $scheme "$request_body"';
}

HA command

Sat, 21 Jul 2018 14:45:29 +0800

load merge relative terminal
# 全新設備上面沒啟用過HA 必須先定義Cluster ID
# ClustartID 必須獨立，不可以與其他SRX重複，因為HA會建立一組Virtual MAC Address ，而這個ID數值會對其產生影響，重複有可能導致MAC address 重複而出現不可預期的錯誤
#
request system zeroize
# 以下command 必須在 > 模式使用
set chassis cluster cluster-id <ID範圍 0~ 255> node 0 # 這個是在 node 0 的設備下的
set chassis cluster cluster-id <ID範圍 0~ 255> node 1 # 這個是在 node 1 的設備下的
在secondary node 下 這個command
request chassis cluster configuration-synchronize
# 等待機器重開機後，會出現Hold 或stanby 字樣 ，看到Cluster 是否有起來
show chassis cluster status
# 這個是RETH interface 建立好才會出現，必須先做config才會有
show chassis cluster interfaces
# 以下command 則是在 Config mode 下使用 ，先把設定檔建起來
---
# 這邊需要 backup-router 是給 HA裡面的Standby Device 的管理介面 (fxp) 一筆routing 可以回應，預設Standby 不會啟用routing engine，所以需要這筆設定
set groups node0 system host-name SRX-node0
set groups node0 system backup-router 10.10.0.254
set groups node0 system backup-router destination 0.0.0.0/0
set groups node0 interfaces fxp0 unit 0 family inet address 10.10.0.2/24
set groups node1 system host-name SRX-node1
set groups node1 system backup-router 10.10.0.254
set groups node1 system backup-router destination 0.0.0.0/0
set groups node1 interfaces fxp0 unit 0 family inet address 10.10.0.3/24
set apply-groups "${node}"
set system time-zone Asia/Taipei
set chassis cluster control-link-recovery
set chassis cluster reth-count 10
set chassis cluster heartbeat-interval 2000
# 另外建議在建置期間先將IPv6 打開，可以使用以下指令，因為日後開啟IPv6功能則必須要將設備重開機
set security forwarding-options family inet6 mode flow-based
# 這邊的interface 號碼要看每一台Chassis 的型號不同而會有所不同
# 最簡單的識別方式是看那台設備的Slot 有幾個，像SRX550HM 是 0~ 8都有擴充可以使用，所以預設HA會在 9開始 ，所以會是 ge-9/x/x
set chassis cluster redundancy-group 0 node 0 priority 150
set chassis cluster redundancy-group 0 node 1 priority 100
set chassis cluster redundancy-group 0 interface-monitor ge-0/0/3 weight 150
set chassis cluster redundancy-group 0 interface-monitor ge-0/0/5 weight 150
set chassis cluster redundancy-group 0 interface-monitor ge-9/0/3 weight 100
set chassis cluster redundancy-group 0 interface-monitor ge-9/0/5 weight 100
set chassis cluster redundancy-group 1 node 0 priority 150
set chassis cluster redundancy-group 1 node 1 priority 100
set chassis cluster redundancy-group 1 interface-monitor ge-0/0/3 weight 150
set chassis cluster redundancy-group 1 interface-monitor ge-0/0/5 weight 150
set chassis cluster redundancy-group 1 interface-monitor ge-9/0/3 weight 100
set chassis cluster redundancy-group 1 interface-monitor ge-9/0/5 weight 100
# 這裡是作為Redundancy group: 1 的 Data sync 設定 ，請務必設定上去才會啟用ge-0/0/2 的 heartbeat link
set interfaces fab0 fabric-options member-interfaces ge-0/0/2
set interfaces fab1 fabric-options member-interfaces ge-9/0/2
# 設定interface 加入reth Group
set interfaces ge-0/0/3 gigether-options redundant-parent reth0
set interfaces ge-0/0/4 gigether-options redundant-parent reth0
set interfaces ge-9/0/3 gigether-options redundant-parent reth0
set interfaces ge-9/0/4 gigether-options redundant-parent reth0
set interfaces ge-0/0/5 gigether-options redundant-parent reth1
set interfaces ge-9/0/5 gigether-options redundant-parent reth1
set interfaces reth0 vlan-tagging
# 務必要將RETH 加入 data sync Group 裡面，不然不會動
set interfaces reth0 redundant-ether-options redundancy-group 1
# 特別注意，在SRX雖然是LACP Passive mode ，在Switch 請務必使用LACP Activate mode
set interfaces reth0 redundant-ether-options lacp passive
set interfaces reth0 redundant-ether-options lacp periodic slow
set interfaces reth1 redundant-ether-options redundancy-group 1
set interfaces reth1 unit 0 family inet address 202.99.240.100/26

與 DDoS 奮戰：nginx, iptables 與 fail2ban

Fri, 20 Jul 2018 18:47:42 +0800

與 DDoS 奮戰：nginx, iptables 與 fail2ban

[Juniper Firewall] command

Wed, 27 Jun 2018 00:58:01 +0800

下列操作命令在操作模式下使用，或在配置模式下 run show…

查看當前防火牆 session 數

show security flow session | match 10.22.12.104
show security flow session source-prefix 10.22.12.104

清除當前 session

clear security flow session all

查 OID

show snmp mib walk decimal 1.3.6.1.2.1.2.2.1.2

查看當前軟體版本號

show system software

查看系統啟動時間

show system uptime

查看硬體板卡及序列號

show chassis haredware

查看硬體板卡當前狀態

show chassis environment

查看路由表

show route

設備商的 Administrative distance / Route preference 預設值比較

查看 ARP 表

show arp

查看系統 log

show log messages

查看所有介面運行狀態

show interface terse

查看介面運行細節資訊

show interface ge-x/y/z detail

動態統計介面資料包轉發資訊

monitor interface ge-x/y/z

檢查 ALG 開啟情況

Switch版本更新

Thu, 14 Jun 2018 12:28:29 +0800

事前準備:

插 console

將更新檔丟到 usb 裡

使用前可先使用 show version 查看當前版本

更新 SOP:

將裝有更新檔的 usb 插入要更新版本的 Switch 上，此時畫面會顯示偵測到 device name
將 usb 裡的更新檔複製到 switch 的 flash 裡面: copy usbflash0(device name):更新檔 flash:
1. 此時按 enter 後他會問你檔名是否要用這個，再按一次 enter 即可，看到一堆 ccccccccc 就代表有在複製
複製完後，dir flash 查看底下有沒有剛剛複製過去的更新檔
conf t 進入編輯模式，boot system flash:更新檔 ，指定 Switch 使用新版的 IOS 來開機
exit 離開編輯模式，show boot，確定是否使用新版的 IOS 來開機
write memory，套用設定至 Running-Config
reload
大概會跑 15~20 分鐘左右，等他跑完就可以查看版本是否升級成功

copy usbflash0:cat.bin flash:
copy usbflash0:cat.bin flash0-2:
software install file flash:cat.bin switch 1-2
software clean

防火牆更新

Tue, 12 Jun 2018 07:48:48 +0800

事前準備:

插 console

將更新檔丟到 usb 裡

使用前可先使用 show version 查看當前版本

更新 SOP:

start shell
su成root身分
建資料夾mkdir /var/tmp/usb(名字可自取)
插入 USB，這邊要注意 da 後面的數字，目前是 da1
掛載 mount -t msdos /dev/da1s1 /var/tmp/usb (如果是 da0，就要變成 da0s1，以此類推)
跑完後 cd /cf/var/tmp/usb/da2s1/ (usb)
1. ls (junos-srxsme-15.1X49-D120.3-domestic.tgz)
cli 切換成 operational mode
1. request system software add /var/tmp/usb/da2s1/junos-srxsme-15.1X49-D120.3-domestic.tgz
request system reboot
show version

最好用的 V2Ray 一鍵安裝腳本 & 管理腳本

Thu, 08 Feb 2018 10:56:54 +0800

如何在 Switch 上啟用 snmp 設定

Sun, 04 Feb 2018 14:48:12 +0800

如何在 Switch 上啟用 snmp 設定

以 snmp-server 為主要指令

C3750(Config)#snmp-server community RO

指的是 SNMP 協定時互相溝通的密碼 RO 指的是 Read Only (SNMP 工具不允許修改設定) RW 指的是 Read and Write (SNMP 工具可以修改設定)

C3750(config)#snmp-server group SNMP_ROA v3 priv match exact

設定 SNMP Group 名： SNMP_ROA
Version ： V3
最高的 priv

C3750(config)#snmp-server user cater SNMP_ROA v3 auth MD5 cisco12345 priv des56 test12345

這行設定跟 PRTG 設定有關聯，一定要記清楚

使用者：cater
隸屬 Group 為：SNMP_ROA
驗證模式：MD5
密碼(MD5) ：cisco12345 (PRTG 要求要 8 碼以上)
Priv 驗證密碼：test12345 (PRTG 要求要 8 碼以上)

C3750(config)#snmp-server host 192.168.3.100 version 3 priv cater

A10

Wed, 10 Jan 2018 03:44:14 +0800

A10 Link Aggregation

802.3ad LACP

A10 trunk can config a maximnm of 16 LACP trunks per device.

interface ethernet 1
lacp trunk 1 mode active
lacp timeout long
!
interface ethernet 2
lacp trunk 1 mode active
lacp timeout long

Static Link Aggregation

None LACP.

Up to 8 static trunks.