2020 on Ricky

WSL 2 的 .wslconfig 設定檔說明

Wed, 30 Dec 2020 21:24:12 +0800

安裝 WSL 2 的步驟：

加入 Windows Insider Program（此步驟不可省略）
啟用 WSL 必要元件
安裝 Linux 發行版本
設定 WSL 2 支援的 Linux 發行版本
WSL 2 問題排除：啟用壓縮功能的虛擬磁碟檔案無法轉換成 WSL 2 架構
安裝及啟動 Docker
安裝 Docker Desktop v2.2.1.0

# 啟用 WSL 必要元件
dism.exe /online /enable-feature /featurename:Microsoft-Windows-Subsystem-Linux /all /norestart
dism.exe /online /enable-feature /featurename:VirtualMachinePlatform /all /norestart

# 設定 WSL 2 支援的 Linux 發行版本
wsl --set-version ubuntu 2
wsl --set-default-version 2

編輯 %UserProfile%\.wslconfig 檔案

第 19 天 BGP 協定（1）

Wed, 30 Dec 2020 20:00:33 +0800

使用 oh-my-posh 美化 PowerShell 樣式

Thu, 10 Dec 2020 13:15:59 +0800

使用 oh-my-posh 美化 PowerShell 樣式

# 這會從 PowerShell Gallery 下載並安裝 posh-git 和 oh-my-posh 這兩個模組，前者是在命令列中顯示 Git 專案的相關資訊，後者則是美美的樣式套件
Install-Module posh-git -Scope CurrentUser
Install-Module oh-my-posh -Scope CurrentUser


# 接著我們要修改 PowerShell 啟動時所載入的設定檔，在 PowerShell 中輸入 $PROFILE 可得到當前使用者啟動 PowerShell 時，會載入的個人設定檔位置。
# 你的電腦可能沒有這個實體檔案，這時可以執行下面的指令，如果沒有該設定檔，則建立一個，然後使用 notepad 來開啟該設定檔。
if (!(Test-Path -Path $PROFILE )) { New-Item -Type File -Path $PROFILE -Force }
notepad $PROFILE

最後在該設定檔中加入下列指令

Import-Module posh-git
Import-Module oh-my-posh
Set-Theme Paradox

oh-my-posh 內建了很多樣式，你也可以使用 Get-Theme 這個 Cmdlet 指令取得 oh-my-posh 有提供的所有樣式及相關檔案位置

冰山一角的駭客工具介紹

Tue, 08 Dec 2020 21:50:47 +0800

冰山一角的駭客工具介紹

用 IIS、.NET 4.5 與 Octopus Deploy 建立 Windows Server Vagrant box

Thu, 03 Dec 2020 12:39:01 +0800

Ansible Network 的新 LibSSH 連線外掛取代 Paramiko，並支援 FIPS 模式

Wed, 25 Nov 2020 21:09:50 +0800

Ansible Network 的新 LibSSH 連線外掛取代 Paramiko，並支援 FIPS 模式

切換 Ansible Playbook 使用 LibSSH

# 安裝 LibSSH
pip install ansible-pylibssh

在 Ansible Playbook 中使用 LibSSH

方法 1. 在專案的 ansible.cfg 檔案中設定 ssh_type 參數使用 libssh

[persistent_connection]
ssh_type = libssh

方法 2: 設定 ANSIBLE_NETWORK_CLI_SSH_TYPE 環境變數

$ export ANSIBLE_NETWORK_CLI_SSH_TYPE=libssh

方法 3: 在 play 等級的 playbook 中設定 ansible_network_cli_ssh_type 為 libssh

用來測試 libssh 設定的 Playbook

- hosts: "changeme"
 gather_facts: no
 connection: ansible.netcommon.network_cli
 vars:
 ansible_network_os: cisco.ios.ios
 ansible_user: "changeme"
 ansible_password: "changeme"
 ansible_network_cli_ssh_type: libssh
 tasks:
 - name: run show version command
 ansible.netcommon.cli_command:
 command: show version

 - name: run show version command
 ansible.netcommon.cli_command:
 command: show interfaces

CentOS 7 掛載 Synology NAS 資料夾

Mon, 09 Nov 2020 12:12:32 +0800

CentOS 7 掛載 Synology NAS 資料夾

MacBook 设置 SSLKEYLOGFILE 环境变量解密 HTTPS 流量

Fri, 06 Nov 2020 20:02:54 +0800

MacBook 设置 SSLKEYLOGFILE 环境变量解密 HTTPS 流量

创建 keylogfile

mkdir ~/sslkeylogfile && touch ~/sslkeylogfile/keylogfile.log # 创建 keylogfile.log 文件
sudo chmod 777 ~/sslkeylogfile/keylogfile.log # 更改权限，确保 chrome 启动时能写入数据

配置环境变量

vim ~/.zshrc # 打开配置文件
export SSLKEYLOGFILE=~/sslkeylogfile/keylogfile.log # 配置环境变量
source ~/.zshrc # 使配置文件生效

配置 wireshark

perferences -> Protocols -> TLS

配置 TSL debug file 记录解密日志
配置 (Pre)-Master-Secret log filename 路径为 keylogfile.log 的绝对路径

使用 termial 启动 chrome

open -a 'Google Chrome' https://www.baidu.com/

注意：从 termial 启动 chrome，为了确保 chrome 可以读取 SSLKEYLOGFILE 环境变量。

使用 Ansible 透過 RestAPI 備份 FortiOS 設定

Tue, 03 Nov 2020 17:59:24 +0800

建立存取設定檔

FGTAWS0004BE1ADE # config system accprofile
FGTAWS0004BE1ADE (accprofile) # edit readOnly
new entry 'readOnly' added
FGTAWS0004BE1ADE (readOnly) # set sysgrp read
FGTAWS0004BE1ADE (readOnly) # end

在 Fortigate 建立 API 使用者

FGTAWS0004BE1ADE # config system api-user
FGTAWS0004BE1ADE (api-user) # edit api-admin
new entry 'api-admin' added
FGTAWS0004BE1ADE (api-admin) # set accprofile "readOnly"
FGTAWS0004BE1ADE (api-admin) # set vdom root
FGTAWS0004BE1ADE (api-admin) # config trusthost
FGTAWS0004BE1ADE (trusthost) # edit 1
new entry '1' added
FGTAWS0004BE1ADE (1) # set ipv4-trusthost 'ip_address_of_your_machine' 255.255.255.255
FGTAWS0004BE1ADE (1) # end
FGTAWS0004BE1ADE (api-admin) # end

產生 API token

FGTAWS0004BE1ADE # execute api-user generate-key api-admin
New API key: 'your_api_token'
NOTE: The bearer of this API key will be granted all access privileges assigned to the api-user api-admin.

測試

# fortigate.py
import requests
import urllib3 # disable security warning for SSL certificate
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning) # disable security warning for SSL certificate


def config_download(ipaddr, api_token, filename='backup.conf'):
 '''
 input: ipaddr(string) - target ip address of fortigate
 input: api_token(string) - api_token for api user(accprofile should have sysgrp.mnt)
 input: filename(string) - file name of the config to be saved. default backup.conf
 output: True if backup successfule. False if not successful.
 Tested on: Fortigate OnDemand on AWS - FortiOS6.0.4
 '''
 base_url = f'https://{ipaddr}/api/v2/'
 headers = {'Authorization': f'Bearer {api_token}'}
 params = {'scope': 'global'}
 uri = 'monitor/system/config/backup/'

 rep = requests.get(base_url + uri, headers=headers, params=params, verify=False)

 if rep.status_code != 200:
 print(f'Something went wrong. status_code: {rep.status_code}')
 return False

 with open(filename, 'w') as f:
 f.write(rep.text)

 return True

>>> import fortigate
>>>
>>> ip_addr = 'Fortigate_IP_Address'
>>> api_token = 'API_TOKEN'
>>>
>>> if (fortigate.config_download(ip_addr, api_token, 'backup20190215.conf')):
... print('Done!')
... else:
... print('Error!!')
...
Done!
>>>
>>> with open('backup20190215.conf', 'r') as f:
... f.readline()
...
'#config-version=FGTAWS-6.0.4-FW-build0231-190107:opmode=0:vdom=0:user=api-admin\n'
>>>

設定 Ansible inventory 與 playbook

$ cat hosts
[fortigate]
x.x.x.x access_token=w4q9qtfbGry3Nbc40kHjsk9mxG****
y.y.y.y access_token=tfy8c9b8Nxw6N3Q5Q5bg9z69dn****

$ cat fortigate_backup.yml
 - name: fortigate config backup
 connection: local
 hosts: fortigate

 tasks:
 - name: get current config
 uri:
 url: 'https://{{ ansible_host }}/api/v2/monitor/system/config/backup/?scope=global&access_token={{ access_token }}'
 return_content: yes
 validate_certs: no
 register: current_config

 - name: write config to local file
 local_action: copy content={{ current_config.content }} dest=./{{ inventory_hostname }}_{{ ansible_date_time.date }}.txt

2020年，最新NGINX的ngx_http_geoip2模块以精准禁止特定国家或者地区IP访问

Tue, 27 Oct 2020 15:44:48 +0800

安装 geoip2 lib

cd /usr/local/src
rm -f libmaxminddb-1.4.2.tar.gz
wget https://github.com/maxmind/libmaxminddb/releases/download/1.4.2/libmaxminddb-1.4.2.tar.gz
tar -xzf libmaxminddb-1.4.2.tar.gz
cd libmaxminddb-1.4.2
yum install gcc gcc-c++ make -y
./configure
make
make check
sudo make install

echo '/usr/local/lib' > /etc/ld.so.conf.d/geoip.conf
sudo ldconfig

下载 ngx_http_geoip2_module 模块

cd /usr/local/src
wget https://github.com/leev/ngx_http_geoip2_module/archive/3.3.tar.gz
tar -xzf 3.3.tar.gz
mv ngx_http_geoip2_module-3.3 ngx_http_geoip2_module

# nginx集成
cd /usr/local/src
wget http://nginx.org/download/nginx-1.16.1.tar.gz
tar -zxf nginx-1.16.1.tar.gz
cd nginx-1.16.1
useradd -M -s /sbin/nologin www


yum install gcc gcc-c++ make pcre-devel zlib-devel openssl-devel -y
./configure --user=www --group=www --prefix=/usr/local/nginx \
--with-ld-opt="-Wl,-rpath -Wl,/usr/local/lib" \
--with-http_sub_module \
--with-http_realip_module \
--with-http_gzip_static_module \
--with-http_ssl_module \
--with-http_v2_module \
--add-module=/usr/local/src/ngx_http_geoip2_module

make
make install

geoip2 IP 地址库下载

2020 年最新 GeoLite2-City.mmdb 无法直接下载，必须注册 maxmind 账号

使用 Nginx HTTPS 與 Basic Auth 反向代理 VMware ESXi 6.5 修復 VMRC /screen

Sat, 17 Oct 2020 12:31:02 +0800

使用 Nginx HTTPS 與 Basic Auth 反向代理 VMware ESXi 6.5 修復 VMRC /screen

server {
 listen 80;
 server_name esxi.hackion.com;
 return 301 https://$server_name$request_uri;
}

server {
 listen 443 ssl;
 server_name esxi.hackion.com;

 ssl_certificate /mycert.crt;
 ssl_certificate_key /mykey.key;

 location / {
 auth_basic "Restricted Content";
 auth_basic_user_file /etc/nginx/.htpasswd;

 proxy_set_header Upgrade $http_upgrade;
 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
 proxy_set_header Host $host;
 proxy_set_header X-Real-IP $remote_addr;
 proxy_set_header Origin '';
 proxy_set_header Authorization ''; #Don't pass the Nginx Basic Auth to ESXi or it will break VMRC.
 proxy_pass_header X-XSRF-TOKEN;
 proxy_pass https://esxi_server;
 proxy_send_timeout 300;
 proxy_read_timeout 300;
 send_timeout 300;
 client_max_body_size 1000m;

 # enables WS support
 proxy_http_version 1.1;
 proxy_set_header Upgrade $http_upgrade;
 proxy_set_header Connection "upgrade";
 }
}

server {
 listen 443 ssl http2;

 # ssl_certificate and ssl_certificate_key are required
 ssl_certificate /etc/letsencrypt/live/myletsencryptdomain/fullchain.pem;
 ssl_certificate_key /etc/letsencrypt/live/myletsencryptdomain/privkey.pem;

 include /etc/nginx/snippets/ssl-params.conf;
 # removed DH params as my ssl-params.conf specifies to only use ECDHE key exchange.

 server_name fqdn.extern;

 location / {
 proxy_set_header Host $http_host;
 proxy_set_header X-Real-IP $remote_addr;

 proxy_ssl_verify off; # No need on isolated LAN
 proxy_pass https://vcenter.ip; # esxi IP Address

 proxy_http_version 1.1;
 proxy_set_header Upgrade $http_upgrade;
 proxy_set_header Connection "upgrade";

 proxy_buffering off;
 client_max_body_size 0;
 proxy_read_timeout 36000s;

 proxy_redirect https://fqdn.local/ https://fqdn.extern/; # read comment below
 # replace vcenter-hostname with your actual vcenter's hostname, and esxi with your nginx's server_name.
 }

 location /websso/SAML2 {
 proxy_set_header Host fqdn.local; # your actual vcenter's hostname
 proxy_set_header X-Real-IP $remote_addr;

 proxy_ssl_verify off; # No need on isolated LAN
 proxy_pass https://vcenter.ip; # esxi IP Address

 proxy_http_version 1.1;
 proxy_set_header Upgrade $http_upgrade;
 proxy_set_header Connection "upgrade";

 proxy_buffering off;
 client_max_body_size 0;
 proxy_read_timeout 36000s;
 proxy_ssl_session_reuse on;

 proxy_redirect https://fqdn.local/ https://fqdn.extern/; # read comment below
 # replace vcenter-hostname with your actual vcenter's hostname, and esxi with your nginx's server_name.
 }
}

針對特定 Commit Message 觸發 GitHub Actions

Sun, 11 Oct 2020 23:13:22 +0800

針對特定 Commit Message 觸發 GitHub Actions

現在，只要我推送 wip commit 或任何包含 wip 的 commit，就會在 GitHub Actions 中被標記為跳過。

jobs:
 format:
 runs-on: ubuntu-latest
 if: "! contains(github.event.head_commit.message, 'wip')"

任何包含 [build] 的 commit 會觸發這些工作，其他則會被跳過。

jobs:
 format:
 runs-on: ubuntu-latest
 if: "contains(github.event.head_commit.message, '[build]')"

使用 Vagrant 在 vSphere 部署多台 VM

Mon, 05 Oct 2020 09:53:03 +0800

使用 Vagrant 在 vSphere 部署多台 VM

vm1 = { 'name' => "PhotonVM1", 'ip' => "192.168.5.224" }
vm2 = { 'name' => "PhotonVM2", 'ip' => "192.168.5.225" }
vms = [ vm1, vm2]

Vagrant.configure(2) do |config|
 vms.each do |node|
 vm_name = node['name']
 vm_ip = node['ip']
 config.vm.define vm_name do |node_config|
 node_config.vm.network 'private_network', ip: "#{vm_ip}"
 node_config.vm.box = "dummy"
 node_config.vm.box_url = "./example_box/dummy.box"
 node_config.vm.provider :vsphere do |vsphere|
 vsphere.host = 'vc01.testlab.local'
 vsphere.compute_resource_name = 'esxi01.testlab.local'
 vsphere.name = vm_name
 vsphere.customization_spec_name = 'centos66'
 vsphere.template_name = 'PhotonTemplate'
 vsphere.user = 'administrator@vsphere.local'
 vsphere.password = 'password'
 vsphere.insecure = true
 end
 end
 end
end

Vagrantfile and Provider

Fri, 02 Oct 2020 19:41:23 +0800

用以下這個範例你只要使用 Vagrant up 加上 provider 參數，就可開啟不同來源的機器

例如我要開啟 Vsphere 的機器，我只要下 vagrant up --provider=vsphere

要開 AWS 的機器，我只要下 vagrant up --provider=aws

VAGRANTFILE_API_VERSION = "2"

Vagrant.configure(VAGRANTFILE_API_VERSION) do |config|
 # 我們定義一個 Ubuntu 的機器
 # box 的需求是對於 local 的 VM 才需要的
 # 所以在 provider 是 vmware_fusion 或 Virtualbox 時，才會用到這個設定
 config.vm.box = "hashicorp/precise64"

 # vmware_fusion
 config.vm.provider "vmware_fusion" do |v, override|
 override.vm.box = "precise64_vmware"
 v.gui = false
 end

 # vsphere
 config.vm.provider :vsphere do |vsphere|
 # 對於私有雲及公有雲，要clone 的vm 是儲存在雲端上的
 # 所以 box 使用 dummy box 來達到這個目的
 vsphere.vm.box = "nkhasanov/vsphere-simple"
 vsphere.host = 'YOURIP'
 vsphere.compute_resource_name = 'YOUR DATACENTER'
 vsphere.resource_pool_name = 'YOUR RESOURCE POOL'
 vsphere.insecure = true
 vsphere.template_name = 'VM TEMPLATE'
 vsphere.name = "#{YOUR_NAME}-test-machine"
 vsphere.user = 'administrator'
 vsphere.password = '$p1unK_Lab'
 vsphere.vm_base_path = 'vmware_template'
 vsphere.linked_clone = true
 end

 # virtual box
 config.vm.provider "virtualbox" do |vb|
 vb.gui = false
 end

 # aws
 config.vm.provider :aws do |aws, override|
 # aws configurations
 aws.access_key_id = "#{YOUR_AWS_ACCESS_KEY_ID}"
 aws.secret_access_key = "#{YOUR_AWS_ACCESS_KEY}"
 aws.keypair_name = "#{YOUR_NAME}"
 aws.security_groups = "#{YOUR_NAME}"
 aws.instance_type = "t2.small"
 aws.region = "us-east-1"
 # ubuntu 14.04 x64
 aws.ami = "ami-864d84ee"

 # override info
 override.ssh.username = "ubuntu"
 override.ssh.private_key_path = "#{YOUR_AWS_PRIVATE_KEY_PATH}"
 override.vm.synced_folder "#{YOUR_SYNC_FOLDER}", "/vagrant", type: "rsync"
 override.vm.box = "dimroc/awsdummy"
 end

end

LOCAL_BOXS = {
 "ubuntu1404x64" => "ubuntu/trusty64",
 "ubuntu1210x64" => "chef/ubuntu-12.10"
}

AWS_AMIS = {
 "ubuntu1404x64" => "ami-864d84ee",
 "ubuntu1210x64" => "ami-02df496b",
 "windows2012r2x64" => "ami-9ade1df2",
 "windows2012x64" => "ami-5ce32034",
 "windows2008r2x64" => "ami-2ae02342",
 "windows2008x64" => "ami-5e24e936",
 "windows2003r2x64" => "ami-b0e320d8"
}

VAGRANTFILE_API_VERSION = "2"

Vagrant.configure(VAGRANTFILE_API_VERSION) do |config|
 config.vm.box = "precise64_vmware"

 # vmware_fusion
 config.vm.provider "vmware_fusion" do |v, override|
 override.vm.box = "precise64_vmware"
 v.gui = false
 v.vmx["memsize"] = "1024"
 v.vmx["numvcpus"] = "2"
 end

 # vsphere
 config.vm.provider :vsphere do |vsphere|
 vsphere.vm.box = "nkhasanov/vsphere-simple"
 vsphere.host = '#{}'
 vsphere.compute_resource_name = '#{}'
 # vsphere.resource_pool_name = 'YOUR RESOURCE POOL'
 vsphere.insecure = true
 vsphere.template_name = 'qasus-tw-centos7x64-01'
 vsphere.name = "#{YOUR_NAME}-test-machine"
 vsphere.user = 'administrator'
 vsphere.password = '#{}'
 vsphere.vm_base_path = 'vmware_template'
 vsphere.linked_clone = true
 end

 # virtual box
 config.vm.provider "virtualbox" do |vb|
 vb.gui = false
 vb.memory = 1024
 vb.cpus = 2
 end

 # aws
 config.vm.provider :aws do |aws, override|
 # aws configurations
 aws.access_key_id = "#{YOUR_AWS_ACCESS_KEY_ID}"
 aws.secret_access_key = "#{YOUR_AWS_ACCESS_KEY}"
 aws.keypair_name = "#{YOUR_NAME}"
 aws.security_groups = "#{YOUR_NAME}"
 aws.instance_type = "t2.small"
 aws.region = "us-east-1"
 # ubuntu 14.04 x64
 aws.ami = "ami-864d84ee"

 # override info
 override.ssh.username = "ubuntu"
 override.ssh.private_key_path = "#{YOUR_AWS_PRIVATE_KEY_PATH}"
 override.vm.synced_folder "#{YOUR_SYNC_FOLDER}", "/vagrant", type: "rsync"
 override.vm.box = "dimroc/awsdummy"
 end

 # VMs
 (1..MAX_VM_NUMBER).each do |i|
 # define linux
 config.vm.define "l#{i}" do |node|
 # aws
 node.vm.provider :aws do |aws|
 aws.tags = {
 "Name" => "#{YOUR_NAME}-linux-#{i}"
 }
 end
 # local
 # node.vm.network "private_network", ip: "192.168.33.%d" % (i+2)
 node.vm.hostname = "ftan-linux-#{i}"
 end
 # define windows
 config.vm.define "w#{i}" do |node|
 node.vm.provider :aws do |aws|
 aws.ami = "ami-2ae02342"
 aws.tags = {
 "Name" => "#{YOUR_NAME}-windows-#{i}"
 }
 end
 end
 end

 # define customer
 YOUR_CUSTOMIZED_VM.each do |vm|
 config.vm.define "%s" % vm["name"] do |node|
 # aws
 node.vm.provider :aws do |aws|
 aws.ami = AWS_AMIS[vm["platform"]]
 aws.tags = {
 "Name" => "#{YOUR_NAME}-%s" % vm["name"]
 }
 end
 # vmware fusion
 # vmware workstation
 node.vm.provider :vmware_fusion do |fusion|
 fusion.vm.box = LOCAL_BOXS[vm["platform"]]
 fusion.vm.hostname = "#{YOUR_NAME}-%s" % vm["name"]
 end
 # vsphere
 # azure
 end
 end
end

如何設定時區與NTP服務在RHEL7/CentOS7

Tue, 29 Sep 2020 11:41:43 +0800

如何設定時區與 NTP 服務在 RHEL7/CentOS7

chrony 包含兩個程序，chronyd 是一個可以在啟動時啟動的守護進程，chronyc 是一個命令行界面程序，可用於監控 chronyd 的性能並在運行時更改各種運行參數。

注意 ntpd 和 chronyd 擇一就可，不要同時運作。

設定時區

~# timedatectl set-timezone Asia/Taipei
~# timedatectl
 Local time: Tue 2018-03-27 14:13:38 CST
 Universal time: Tue 2018-03-27 06:13:38 UTC
 RTC time: Tue 2018-03-27 06:13:40
 Time zone: Asia/Taipei (CST, +0800)
 NTP enabled: no
NTP synchronized: no
 RTC in local TZ: no
 DST active: n/a

設定 chronyd

# 安裝
~# yum install -y chrony

# 配置設定檔
~# cat /etc/chrony.conf
# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
server 0.tw.pool.ntp.org iburst --->改成本地的伺服器
server 1.tw.pool.ntp.org iburst --->改成本地的伺服器
server 2.tw.pool.ntp.org iburst --->改成本地的伺服器
server 3.tw.pool.ntp.org iburst --->改成本地的伺服器

# 啟動服務和設為開機時啟動
~# systemctl enable chronyd
~# systemctl start chronyd

racking 參數顯示有關系統時間效能

~# chronyc tracking
Reference ID : 3DD8996B (61-216-153-107.hinet-ip.hinet.net) --->表示現在同步的時間伺服器，如果沒有id表示沒有同步
Stratum : 4 --->表示計算機有多少"跳hop" 表示本地的是第四層
Ref time (UTC) : Tue Mar 27 06:03:38 2018 --->最後一次測量的時間
System time : 0.000040356 seconds fast of NTP time --->調整系統時間
Last offset : +0.000163738 seconds
RMS offset : 0.000163738 seconds
Frequency : 21.384 ppm fast
Residual freq : +0.000 ppm
Skew : 675.319 ppm
Root delay : 0.008527911 seconds
Root dispersion : 0.066466033 seconds
Update interval : 2.0 seconds
Leap status : Normal --->Normal要顯示此值, Insert second, Delete second or Not synchronised.

~# chronyc sources -v
210 Number of sources = 4

 .-- Source mode '^' = server, '=' = peer, '#' = local clock.
 / .- Source state '*' = current synced, '+' = combined , '-' = not combined,
| / '?' = unreachable, 'x' = time may be in error, '~' = time too variable.
|| .- xxxx [ yyyy ] +/- zzzz
|| Reachability register (octal) -. | xxxx = adjusted offset,
|| Log2(Polling interval) --. | | yyyy = measured offset,
|| \  | | zzzz = estimated error.
|| | | \
MS Name/IP address Stratum Poll Reach LastRx Last sample
===============================================================================
^* 59-124-29-241.hinet-ip.h> 3 6 37 24 -1462us[-2363us] +/- 49ms
^+ 61-216-153-107.hinet-ip.> 3 6 37 23 -556us[ -556us] +/- 64ms
^? 59-125-122-217.hinet-ip.> 0 7 0 - +0ns[ +0ns] +/- 0ns
^- 61-216-153-105.hinet-ip.> 3 6 37 23 -280us[ -280us] +/- 64ms

看同步源頭的資訊

~# chronyc sourcestats -v
210 Number of sources = 4
 .- Number of sample points in measurement set.
 / .- Number of residual runs with same sign.
 | / .- Length of measurement set (time).
 | | / .- Est. clock freq error (ppm).
 | | | / .- Est. error in freq.
 | | | | / .- Est. offset.
 | | | | | | On the -.
 | | | | | | samples. \
 | | | | | | |
Name/IP Address NP NR Span Frequency Freq Skew Offset Std Dev
==============================================================================
59-124-29-241.hinet-ip.h> 6 5 135 -0.454 4.553 -784us 66us
61-216-153-107.hinet-ip.> 6 6 135 +4.455 19.761 +622us 247us
59-125-122-217.hinet-ip.> 0 0 0 +0.000 2000.000 +0ns 4000ms
61-216-153-105.hinet-ip.> 6 4 136 +8.965 42.440 +1250us 495us

將系統時間寫到硬體(主機板上的時間)上

~# hwclock --systohc
~# date ; hwclock
Tue Mar 27 14:07:57 CST 2018
Tue 27 Mar 2018 02:07:58 PM CST -0.938012 seconds

Ansible 簡介

Sat, 26 Sep 2020 16:57:21 +0800

認識 Ansible

簡介

安裝部署工具、設定管理工具等
同類型工具：Chef、Puppet、SaltStack
不需要 Agent、透過 ssh
Linux 有 python 即可 ( ssh port )
Win 啟用 winrm 即可 ( 5986 port )
- https://docs.ansible.com/ansible/latest/user_guide/windows_winrm.html#inventory-options
資料夾結構簡單易懂、官方文件豐富易懂、模組多支援設備多、易撰寫

安裝

pip install ansible
- pip3 install ansible
yum install ansible
apt-get install ansible
apk add ansible

常用模組

常用模組 - ping

常用模組 - shell / command

在 Ubuntu 22.04|20.04|18.04 安裝 PowerDNS 與 PowerDNS-Admin

Fri, 25 Sep 2020 09:38:17 +0800

安裝 PowerDNS

$ sudo apt update
$ sudo apt install mariadb-server -y

$ sudo mysql -u root

CREATE DATABASE powerdns;
GRANT ALL ON powerdns.* TO 'powerdns'@'localhost' IDENTIFIED BY 'Str0ngPasswOrd';
FLUSH PRIVILEGES;
USE powerdns;
CREATE TABLE domains (
 id INT AUTO_INCREMENT,
 name VARCHAR(255) NOT NULL,
 master VARCHAR(128) DEFAULT NULL,
 last_check INT DEFAULT NULL,
 type VARCHAR(6) NOT NULL,
 notified_serial INT UNSIGNED DEFAULT NULL,
 account VARCHAR(40) CHARACTER SET 'utf8' DEFAULT NULL,
 PRIMARY KEY (id)
) Engine=InnoDB CHARACTER SET 'latin1';

CREATE UNIQUE INDEX name_index ON domains(name);


CREATE TABLE records (
 id BIGINT AUTO_INCREMENT,
 domain_id INT DEFAULT NULL,
 name VARCHAR(255) DEFAULT NULL,
 type VARCHAR(10) DEFAULT NULL,
 content VARCHAR(64000) DEFAULT NULL,
 ttl INT DEFAULT NULL,
 prio INT DEFAULT NULL,
 change_date INT DEFAULT NULL,
 disabled TINYINT(1) DEFAULT 0,
 ordername VARCHAR(255) BINARY DEFAULT NULL,
 auth TINYINT(1) DEFAULT 1,
 PRIMARY KEY (id)
) Engine=InnoDB CHARACTER SET 'latin1';

CREATE INDEX nametype_index ON records(name,type);
CREATE INDEX domain_id ON records(domain_id);
CREATE INDEX ordername ON records (ordername);


CREATE TABLE supermasters (
 ip VARCHAR(64) NOT NULL,
 nameserver VARCHAR(255) NOT NULL,
 account VARCHAR(40) CHARACTER SET 'utf8' NOT NULL,
 PRIMARY KEY (ip, nameserver)
) Engine=InnoDB CHARACTER SET 'latin1';

CREATE TABLE comments (
 id INT AUTO_INCREMENT,
 domain_id INT NOT NULL,
 name VARCHAR(255) NOT NULL,
 type VARCHAR(10) NOT NULL,
 modified_at INT NOT NULL,
 account VARCHAR(40) CHARACTER SET 'utf8' DEFAULT NULL,
 comment TEXT CHARACTER SET 'utf8' NOT NULL,
 PRIMARY KEY (id)
) Engine=InnoDB CHARACTER SET 'latin1';

CREATE INDEX comments_name_type_idx ON comments (name, type);
CREATE INDEX comments_order_idx ON comments (domain_id, modified_at);


CREATE TABLE domainmetadata (
 id INT AUTO_INCREMENT,
 domain_id INT NOT NULL,
 kind VARCHAR(32),
 content TEXT,
 PRIMARY KEY (id)
) Engine=InnoDB CHARACTER SET 'latin1';

CREATE INDEX domainmetadata_idx ON domainmetadata (domain_id, kind);


CREATE TABLE cryptokeys (
 id INT AUTO_INCREMENT,
 domain_id INT NOT NULL,
 flags INT NOT NULL,
 active BOOL,
 content TEXT,
 PRIMARY KEY(id)
) Engine=InnoDB CHARACTER SET 'latin1';

CREATE INDEX domainidindex ON cryptokeys(domain_id);


CREATE TABLE tsigkeys (
 id INT AUTO_INCREMENT,
 name VARCHAR(255),
 algorithm VARCHAR(50),
 secret VARCHAR(255),
 PRIMARY KEY (id)
) Engine=InnoDB CHARACTER SET 'latin1';

CREATE UNIQUE INDEX namealgoindex ON tsigkeys(name, algorithm);

$ sudo systemctl disable systemd-resolved
$ sudo systemctl stop systemd-resolved

$ ls -lh /etc/resolv.conf
lrwxrwxrwx 1 root root 39 Jul 24 15:50 /etc/resolv.conf -> ../run/systemd/resolve/stub-resolv.conf
$ sudo unlink /etc/resolv.conf

$ echo "nameserver 8.8.8.8" | sudo tee /etc/resolv.conf

新增 Ubuntu 22.04|20.04|18.04 的 PowerDNS 官方套件庫。

Ubuntu 18.04 透過 netplan 設定網路卡 IP

Fri, 18 Sep 2020 13:00:05 +0800

Ubuntu 18.04 透過 netplan 設定網路卡 IP

照上面的說明看了一下 /etc/netplan 目錄，查閱一下 /etc/netplan/50-cloud-init.yaml，如下：

# This file is generated from information provided by
# the datasource. Changes to it will not persist across an instance.
# To disable cloud-init's network configuration capabilities, write a file
# /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg with the following:
# network: {config: disabled}
network:
 ethernets:
 ens192:
 dhcp4: true
 ens224:
 dhcp4: true
 version: 2

看來可以關閉 cloud network，但是我其實也沒有要用 cloud-init，乾脆移除它，如下：

sudo apt-get remove cloud-init

然後把 /etc/netplan/50-cloud-init.yaml 改成下面這樣：

# This file is generated from information provided by
# the datasource. Changes to it will not persist across an instance.
# To disable cloud-init's network configuration capabilities, write a file
# /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg with the following:
# network: {config: disabled}
network:
 ethernets:
 ens192:
 addresses: [192.168.32.231/24]
 gateway4: 192.168.32.1
 nameservers:
 addresses: [8.8.8.8, 8.8.4.4]
 dhcp4: no
 ens224:
 dhcp4: true
 version: 2

這幾年 yaml 深得大眾的心，設定檔就是要用 yaml 格式才是潮，解說一下上述幾個設定：

openvpn部署之部署基於AD域認證

Thu, 17 Sep 2020 13:15:33 +0800

# 安裝openvpn
yum install openvpn -y
yum -y install openssl openssl-devel -y
yum -y install lzo lzo-devel -y
yum install -y libgcrypt libgpg-error libgcrypt-devel

# 安裝openvpn認證插件
yum install openvpn-auth-ldap -y

# 安裝easy-rsa
# 由於openvpn2.3之後，在openvpn裏面剔除了easy-rsa文件，所以需要單獨安裝
yum install easy-rsa
cp -rf /usr/share/easy-rsa/2.0 /etc/opevpn/

# 生成openvpn的key及證書
# 修改 `/opt/openvpn/etc/easy-rsa/2.0/vars` 參數
export KEY_COUNTRY="CN" # 國家
export KEY_PROVINCE="ZJ" # 省份
export KEY_CITY="NingBo" # 城市
export KEY_ORG="TEST-VPN" # 組織
exportKEY_EMAIL="81367070@qq.com" # 郵件
export KEY_OU="baidu" # 單位

source vars
./clean-all
./build-ca
./build-dh
./build-key-server server
./build-key client1


# 編輯openvpn服務端配置文件：`/etc/openvpn/server.conf`
port 1194
proto udp
dev tun
ca keys/ca.crt
cert keys/server.crt
key keys/server.key # This file should be kept secret
dh keys/dh2048.pem
server 10.8.0.0 255.255.255.0 //客戶端分配的ip地址
push "route 192.168.1.0 255.255.255.0" //推送客戶端的路由
push "redirect-gateway" //修改客戶端的網關，使其直接走vpn流量
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
plugin /usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so "/etc/openvpn/auth/ldap.conf"
client-cert-not-required
username-as-common-name
log /var/log/openvpn.log


# 修改openvpn-ldap-auth的配置文件 `/etc/openvpn/auth/ldap.conf`
# /etc/openvpn/auth/ldap.conf

<LDAP>
 # LDAP server URL
 # 更改爲 AD 服務器的 IP
 URL ldap://172.16.76.238:389

 # Bind DN (If your LDAP server doesn't support anonymous binds)
 # BindDN uid=Manager,ou=People,dc=example,dc=com
 # 更改爲域管理的 DN, 可以通過 ldapsearch 進行查詢
 # -h 的 ip 替換爲服務器 ip，-D 換爲管理員的 dn，-b 爲基礎的查詢 dn，* 爲所有
 # ldapsearch -LLL -x -h 172.16.76.238 -D "administrator@xx.com" -W -b "dc=xx,dc=com" "*"
 BindDN "cn=administrator,cn=Users,dc=xx,dc=com"

 # Bind Password
 # Password SecretPassword
 # 域管理員的密碼
 Password passwd

 # Network timeout (in seconds)
 Timeout 15

 # Enable Start TLS
 TLSEnable no

 # Follow LDAP Referrals (anonymously)
 FollowReferrals no

 # TLS CA Certificate File
 # TLSCACertFile /usr/local/etc/ssl/ca.pem

 # TLS CA Certificate Directory
 # TLSCACertDir /etc/ssl/certs

 # Client Certificate and key
 # If TLS client authentication is required
 # TLSCertFile /usr/local/etc/ssl/client-cert.pem
 # TLSKeyFile /usr/local/etc/ssl/client-key.pem

 # Cipher Suite
 # The defaults are usually fine here
 # TLSCipherSuite ALL:!ADH:@STRENGTH
</LDAP>

<Authorization>
 # Base DN
 # 查詢認證的基礎 dn
 BaseDN "dc=boqii-inc,dc=com"

 # User Search Filter
 # SearchFilter "(&(uid=%u)(accountStatus=active))"
 # 其中 sAMAccountName=%u 的意思是把 sAMAccountName 的字段取值爲用戶名，
 # 後面 "memberof=CN=myvpn,DC=xx,DC=com" 指向要認證的 vpn 用戶組，
 # 這樣任何用戶使用 vpn，只要加入這個組就好了
 SearchFilter "(&(sAMAccountName=%u)(memberof=CN=myvpn,DC=boqii-inc,DC=com))"

 # Require Group Membership
 RequireGroup false

 # Add non-group members to a PF table (disabled)
 # PFTable ips_vpn_users

 <Group>
 # BaseDN "ou=Groups,dc=example,dc=com"
 # SearchFilter "(|(cn=developers)(cn=artists))"
 # MemberAttribute uniqueMember
 # Add group members to a PF table (disabled)
 # PFTable ips_vpn_eng

 BaseDN "ou=vpn,dc=boqii-inc,dc=com"
 SearchFilter "(cn=openvpn)"
 MemberAttribute "member"
 </Group>
</Authorization>

拷貝/etc/openvpn/key目錄下的ca.crt證書，以備客戶端使用。

Docker 小技巧：使用 Docker Config

Mon, 14 Sep 2020 11:13:23 +0800

Docker 小技巧：使用 Docker Config

FROM nginx:1.13.6
COPY nginx.conf /etc/nginx/nginx.conf

使用 Docker CLI，可以從這個設定檔建立一個 config，並將它命名為 proxy。

$ docker config create proxy nginx.conf
mdcfnxud53ve6jgcgjkhflg0s

$ docker config inspect proxy
[
 {
 "ID": "x06uaozphg9kbnf8g4az4mucn",
 "Version": {
 "Index": 2723
 },
 "CreatedAt": "2017-11-21T07:49:09.553666064Z",
 "UpdatedAt": "2017-11-21T07:49:09.553666064Z",
 "Spec": {
 "Name": "proxy",
 "Labels": {},
 "Data": "dXNlciB3d3ctZGF0YTsKd29y...ogIgICAgIH0KICAgIH0KfQo="
 }
 }
]

使用 Config

$ docker network create --driver overlay front
$ docker service create --name api --network front lucj/api
$ docker service create --name proxy \
 --network front \
 --config src=proxy,target=/etc/nginx/nginx.conf \
 --port 8000:8000 \
 nginx:1.13.6

服務更新

當設定內容需要修改時，常見做法是建立新的 config（使用 docker config create），然後更新服務以移除舊的 config 並加上新的 config。對應的服務指令是 --config-rm 與 --config-add。

Fortigate 在 HA 模式下的管理介面

Tue, 08 Sep 2020 09:47:47 +0800

Fortigate 在 HA 模式下的管理介面

先啟用此功能

config system ha
set ha-mgmt-status enable
config ha-mgmt-interfaces
edit 1
set interface wan2
set gateway 192.168.147.254
next
end
end

別忘了設定預設閘道。這個介面是隔離的，需要獨立的路由設定。

接著為叢集中的每個節點設定獨立 IP

System1

config system interface
edit wan2
set ip 10.11.101.101/24
set allowaccess https ping ssh snmp
next
end

System2

config system interface
edit wan2
set ip 10.11.101.102/24
set allowaccess https ping ssh snmp
next
end

FortiOS 5.6 起新增

從 FortiOS 5.6 開始，有一種新的方式可以直接存取每台設備。這是 In-Band 的方法，不需要保留介面。

在任意介面設定管理用 IP 位址。這個位址不會在叢集中同步。

System1

使用 Vagrant 自動調整 VirtualBox 磁碟大小

Tue, 25 Aug 2020 09:40:34 +0800

Vagrant.configure(2) do |config|
config.vm.box = "centos/7"
config.disksize.size = '20GB'
end

$ sudo parted /dev/sda resizepart 2 100%

$ sudo lvextend -l +100%FREE /dev/centos/root

$ sudo xfs_growfs /dev/centos/root

自動化部分

Vagrant.configure(2) do |config|
common = <<-SCRIPT
sudo parted /dev/sda resizepart 2 100%
sudo pvresize /dev/sda2
sudo lvextend -l +100%FREE /dev/centos/root
sudo xfs_growfs /dev/centos/root
SCRIPT
config.vm.define "node01" do |node1|
node1.vm.hostname = "node01"
node1.vm.network "private_network", ip: "192.168.56.121"
config.vm.provision :shell, :inline => common
end
end

vagrant plugin install vagrant-disksize

Vagrantfile

# Fail if the vagrant-disksize plugin is not installed
unless Vagrant.has_plugin?("vagrant-disksize")
 raise 'vagrant-disksize is not installed!'
end
Vagrant.configure("2") do |config|
 config.vm.provider "virtualbox" do |vb|
 vb.name = "DISKEXTEND"
 vb.memory = 2048
 vb.cpus = 2
 end
 config.vm.define :"DISKEXTEND" do |t|
 end
 config.vm.hostname = "DISKEXTEND"
 config.vm.box = "bento/ubuntu-18.04"
 # Increase the default disk size of the bento image (64GB) to 96GB
 config.disksize.size = "96GB"
 # Run a script on provisioning the box to format the file system
 config.vm.provision "shell", path: "disk-extend.sh"
end

佈署腳本：disk-extend.sh

#!/bin/bash
echo "> Installing required tools for file system management"
if [ -n "$(command -v yum)" ]; then
 echo ">> Detected yum-based Linux"
 sudo yum makecache
 sudo yum install -y util-linux
 sudo yum install -y lvm2
 sudo yum install -y e2fsprogs
fi
if [ -n "$(command -v apt-get)" ]; then
 echo ">> Detected apt-based Linux"
 sudo apt-get update -y
 sudo apt-get install -y fdisk
 sudo apt-get install -y lvm2
 sudo apt-get install -y e2fsprogs
fi
ROOT_DISK_DEVICE="/dev/sda"
ROOT_DISK_DEVICE_PART="/dev/sda1"
LV_PATH=`sudo lvdisplay -c | sed -n 1p | awk -F ":" '{print $1;}'`
FS_PATH=`df / | sed -n 2p | awk '{print $1;}'`
ROOT_FS_SIZE=`df -h / | sed -n 2p | awk '{print $2;}'`
echo "The root file system (/) has a size of $ROOT_FS_SIZE"
echo "> Increasing disk size of $ROOT_DISK_DEVICE to available maximum"
sudo fdisk $ROOT_DISK_DEVICE <<EOF
d
n
p
1
2048
no
w
EOF
sudo pvresize $ROOT_DISK_DEVICE_PART
sudo lvextend -l +100%FREE $LV_PATH
sudo resize2fs -p $FS_PATH
ROOT_FS_SIZE=`df -h / | sed -n 2p | awk '{print $2;}'`
echo "The root file system (/) has a size of $ROOT_FS_SIZE"
exit 0

gitbook常用的插件

Tue, 18 Aug 2020 09:48:41 +0800

gitbook 常用的插件

Google 搜尋運算子：完整清單（44 個進階運算子）

Fri, 14 Aug 2020 14:21:06 +0800

Google Search Operators: The Complete List (44 Advanced Operators)

可用

搜尋運算子	用途	範例
`" "`	搜尋包含特定字詞或片語的結果。	`"steve jobs"`
`OR`	搜尋與 X 或 Y 相關的結果。	`jobs OR gates`
`\|`	與 `OR` 相同。	`jobs \| gates`
`AND`	搜尋與 X 與 Y 相關的結果。	`jobs AND gates`
`-`	排除包含特定字詞或片語的結果。	`jobs -apple`
`*`	萬用字元，可匹配任何字詞或片語。	`steve * apple`
`( )`	將多個搜尋條件分組。	`(ipad OR iphone) apple`
`define:`	查詢字詞或片語的定義。	`define:entrepreneur`
`cache:`	查看網頁的最新快取版本。	`cache:apple.com`
`filetype:`	搜尋特定檔案類型（例如 PDF）。	`apple filetype:pdf`
`ext:`	與 `filetype:` 相同。	`apple ext:pdf`
`site:`	只搜尋特定網站的結果。	`site:apple.com`
`related:`	搜尋與指定網域相關的網站。	`related:apple.com`
`intitle:`	搜尋標題包含特定字詞的頁面。	`intitle:apple`
`allintitle:`	搜尋標題包含多個字詞的頁面。	`allintitle:apple iphone`
`inurl:`	搜尋 URL 中包含特定字詞的頁面。	`inurl:apple`
`allinurl:`	搜尋 URL 中包含多個字詞的頁面。	`allinurl:apple iphone`
`intext:`	搜尋內容包含特定字詞的頁面。	`intext:apple iphone`
`allintext:`	搜尋內容包含多個字詞的頁面。	`allintext:apple iphone`
`weather:`	查詢某個地點的天氣。	`weather:san francisco`
`stocks:`	查詢股票代碼的股價資訊。	`stocks:aapl`
`map:`	強制顯示地圖結果。	`map:silicon valley`
`movie:`	搜尋電影資訊。	`movie:steve jobs`
`in`	單位換算。	`$329 in GBP`
`source:`	在 Google 新聞中搜尋特定來源的結果。	`apple source:the_verge`
`before:`	搜尋特定日期之前的結果。	`apple before:2007-06-29`
`after:`	搜尋特定日期之後的結果。	`apple after:2007-06-29`

不穩定

搜尋運算子	用途	範例
`#..#`	搜尋數字範圍內的結果。	`iphone case $50..$60`
`inanchor:`	搜尋反向連結錨點文字包含特定字詞的頁面。	`inanchor:apple`
`allinanchor:`	搜尋反向連結錨點文字包含多個字詞的頁面。	`allinanchor:apple iphone`
`AROUND(X)`	搜尋兩個字詞或片語在彼此 X 個字以內的頁面。	`apple AROUND(4) iphone`
`loc:`	搜尋指定地區的結果。	`loc:"san francisco" apple`
`location:`	在 Google 新聞中搜尋特定地點的新聞。	`location:"san francisco" apple`
`daterange:`	搜尋特定日期範圍的結果。	`daterange:11278-13278`

不可用（Google 已正式移除）

搜尋運算子	用途	範例
`~`	包含同義詞（2013 已移除）。	`~apple`
`+`	搜尋包含精確字詞或片語的結果（2011 已移除）。	`jobs +apple`
`inpostauthor:`	在 Google Blog Search 中搜尋特定作者的文章（已停止）。	`inpostauthor:"steve jobs"`
`allinpostauthor:`	與 `inpostauthor:` 相同，但不需要加引號。	`allinpostauthor:steve jobs`
`inposttitle:`	在已停用的 Google Blog Search 中搜尋標題包含特定字詞的文章。	`inposttitle:apple iphone`
`link:`	搜尋連到特定網域或 URL 的頁面（2017 已移除）。	`link:apple.com`
`info:`	查詢特定頁面或網站的資訊（2017 已移除）。	`info:apple.com`
`id:`	與 `info:` 相同。	`id:apple.com`
`phonebook:`	搜尋某人的電話號碼（2010 已移除）。	`phonebook:tim cook`
`#`	在 Google+ 上搜尋主題標籤（2019 已移除）。	`#apple`

确定虚拟化技术的简便方法

Wed, 29 Jul 2020 21:11:45 +0800

确定虚拟化技术的简便方法

`dmidecode -s system-product-name`

虚拟化技术

VMware 工作站

root@router:~# dmidecode -s system-product-name
VMware Virtual Platform

虚拟盒子

root@router:~# dmidecode -s system-product-name
VirtualBox

Qemu 与 KVM

root@router:~# dmidecode -s system-product-name
KVM

Qemu（模拟）

root@router:~# dmidecode -s system-product-name
Bochs

Microsoft 虚拟 PC

root@router:~# dmidecode | egrep -i 'manufacturer|product'
Manufacturer: Microsoft Corporation
Product Name: Virtual Machine

维尔图佐

root@router:~# dmidecode
/dev/mem: Permission denied

en

root@router:~# dmidecode | grep -i domU
Product Name: HVM domU

`/dev/disk/by-id`

如果您没有 dmidecode 运行权，则可以使用： ls -1 /dev/disk/by-id/

[分享]鑰匙圈 - 五七步槍刺刀鞘的墬子

Fri, 10 Jul 2020 12:32:27 +0800

[分享]鑰匙圈 - 五七步槍刺刀鞘的墬子

SSH 证书登录教程

Wed, 08 Jul 2020 13:39:48 +0800

SSH 证书登录教程

证书登录的流程

SSH 证书登录之前，如果还没有证书，需要生成证书。具体方法是：

用户和服务器都将自己的公钥，发给 CA
CA 使用服务器公钥，生成服务器证书，发给服务器
CA 使用用户的公钥，生成用户证书，发给用户。

有了证书以后，用户就可以登录服务器了。整个过程都是 SSH 自动处理，用户无感知。

用户登录服务器时，SSH 自动将用户证书发给服务器。
服务器检查用户证书是否有效，以及是否由可信的 CA 颁发。
SSH 自动将服务器证书发给用户。
用户检查服务器证书是否有效，以及是否由信任的 CA 颁发。
双方建立连接，服务器允许用户登录。

生成 CA 的密钥

虽然 CA 可以用同一对密码签发用户证书和服务器证书，但是出于安全性和灵活性，最好用不同的密钥分别签发。所以，CA 至少需要两对密钥，一对是签发用户证书的密钥，假设叫做 user_ca，另一对是签发服务器证书的密钥，假设叫做 host_ca。

# 生成 CA 签发用户证书的密钥
# 会在~/.ssh目录生成一对密钥：user_ca（私钥）和user_ca.pub（公钥）
# 各个参数含义如下
# -t rsa：指定密钥算法 RSA。
# -b 4096：指定密钥的位数是4096位。安全性要求不高的场合，这个值可以小一点，但是不应小于1024。
# -f ~/.ssh/user_ca：指定生成密钥的位置和文件名。
# -C user_ca：指定密钥的识别字符串，相当于注释，可以随意设置。
$ ssh-keygen -t rsa -b 4096 -f ~/.ssh/user_ca -C user_ca


# 生成 CA 签发服务器证书的密钥
# 会在~/.ssh目录生成一对密钥：host_ca（私钥）和host_ca.pub（公钥）
# 现在，~/.ssh目录应该至少有四把密钥。
# - ~/.ssh/user_ca
# - ~/.ssh/user_ca.pub
# - ~/.ssh/host_ca
# - ~/.ssh/host_ca.pub
$ ssh-keygen -t rsa -b 4096 -f host_ca -C host_ca

服务器安装 CA 公钥

# 为了让服务器信任用户证书，必须将 CA 签发用户证书的公钥`user_ca.pub`，拷贝到服务器
$ scp ~/.ssh/user_ca.pub root@host.example.com:/etc/ssh/

然后，将下面一行添加到服务器配置文件 `/etc/ssh/sshd_config`

TrustedUserCAKeys /etc/ssh/user_ca.pub

上面的做法是将user_ca.pub加到/etc/ssh/sshd_config，这会产生全局效果，即服务器的所有账户都会信任user_ca签发的所有用户证书。

如何使用 Chrome 開發人員工具擷取網頁畫面與製作長截圖？

Thu, 02 Jul 2020 09:07:34 +0800

如何使用 Chrome 開發人員工具擷取網頁畫面與製作長截圖？

開啟 Chrome 開發人員工具
按下右上角的 more_vert，並選擇 filter_none 將它改成獨立視窗
Ctrl + Shift + P(Command + Shift + P)
輸入 screenshot
1. Capture area screenshot：區域擷圖，選擇後你的滑鼠指標會變成 add，用它在網頁中框選出一個範圍即可擷圖。
2. Capture full size screenshot：長截圖，延遲一秒左右後將會自動完成擷圖，就是這麼簡單。
3. Capture node screenshot：節點擷圖，它類似長擷圖，但只有螢幕有顯示到的地方有影像，其餘都是空白。在文章後段我們會放預覽圖讓你比較一下差異。
4. Capture screenshot：普通擷圖，會自動擷取視窗看得到的網頁。如果剛剛沒有讓開發者工具變成獨立視窗的話，這邊的擷圖結果就會被影響。

BIRD 与 BGP 的新手开场

Mon, 22 Jun 2020 09:38:55 +0800

Git内部原理介绍

Tue, 02 Jun 2020 08:39:08 +0800

Git 内部原理介绍

Python玩转各种多媒体，视频、音频到图片

Sun, 31 May 2020 17:48:10 +0800

Python 玩转各种多媒体，视频、音频到图片

Aliyun CDN Cache Rules

Tue, 12 May 2020 21:51:55 +0800

Abount Ansible Hosts

Tue, 12 May 2020 19:46:04 +0800

# hosts 可以這樣寫

$ ansible 'max-compute[!3:9][0:3][0:3]' -m setup --list-hosts
 hosts (4):
 max-compute10
 max-compute13
 max-compute20
 max-compute23
$ ansible 'max-compute[!3:9][0:4][0:4]' -m setup --list-hosts
 hosts (3):
 max-compute10
 max-compute14
 max-compute20
$ ansible 'max-compute[!0:3]' -m setup --list-hosts
 hosts (6):
 max-compute4
 max-compute5
 max-compute6
 max-compute7
 max-compute8
 max-compute9

plugin: gcp_compute
projects:
 - project-XXX
zones:
 - asia-east1-a
 - asia-east1-c
 - asia-east1-b
 - asia-east2-a
 - asia-east2-c
 - asia-east2-b
auth_kind: serviceaccount
service_account_file: /root/.ssh/sa001.json
filters:
 - status="RUNNING"
hostnames:
 - name
groups:
 nginx: "'nginx' in name"
 cassandra: "'cassandra' in name"
 redis: "'redis' in name"
 misc: "name in ('noc', 'mt-center')"
 prod: "'prod' in name and 'gke' not in name"
 all: "'gke' not in name"
 search: "'search' in name"

cht_domain:
 "{{ 'web.qat.cht' if ansible_default_ipv4['network'] == '192.168.40.0'
 else 'ap.qat.cht' if ansible_default_ipv4['network'] == '192.168.50.0'
 else 'db.qat.cht' if ansible_default_ipv4['network'] == '192.168.60.0'
 else 'qat.cht' }}"

nginx 添加第三方nginx_upstream_check_module 模块实现健康状态检测

Sun, 26 Apr 2020 20:05:37 +0800

nginx.conf

 http {
 upstream cluster {
 # simple round-robin
 server 192.168.0.1:80;
 server 192.168.0.2:80;

 check interval=5000 rise=1 fall=3 timeout=4000;
 #check interval=3000 rise=2 fall=5 timeout=1000 type=ssl_hello;
 #check interval=3000 rise=2 fall=5 timeout=1000 type=http;
 #check_http_send "HEAD / HTTP/1.0\r\n\r\n";
 #check_http_expect_alive http_2xx http_3xx;
 }
...

 check
 syntax: *check interval=milliseconds [fall=count] [rise=count]
 [timeout=milliseconds] [default_down=true|false]
 [type=tcp|http|ssl_hello|mysql|ajp|fastcgi]*

 默认配置：interval=3000 fall=5 rise=2 timeout=1000 default_down=true type=tcp*
...

interval：检测间隔 3 秒
fall: 连续检测失败次数 5 次时，认定 relaserver is down
rise: 连续检测成功 2 次时，认定 relaserver is up
timeout: 超时 1 秒
default_down: 初始状态为 down,只有检测通过后才为 up
type: 检测类型方式 tcp
1. tcp :tcp 套接字,不建议使用，后端业务未 100%启动完成,前端已经放开访问的情况
2. ssl_hello：发送 hello 报文并接收 relaserver 返回的 hello 报文
3. http: 自定义发送一个请求，判断上游 relaserver 接收并处理
4. mysql: 连接到 mysql 服务器，判断上游 relaserver 是否还存在
5. ajp: 发送 AJP Cping 数据包，接收并解析 AJP Cpong 响应以诊断上游 relaserver 是否还存活(AJP tomcat 内置的一种协议)
6. fastcgi: php 程序是否存活

example

CS 視覺化：實用的 Git 指令

Thu, 16 Apr 2020 20:20:16 +0800

CS 視覺化：實用的 Git 指令

字串欄位被轉成 True（型別 string）

Wed, 15 Apr 2020 21:34:09 +0800

活久见！Linux命令行居然也可以用来查看图像？

Tue, 14 Apr 2020 22:01:02 +0800

活久见！Linux 命令行居然也可以用来查看图像？

FIM

sudo apt-get install fim

控制 FIM 中图像的常用快捷键：

PageUp / Down：上一个图像/下一个图像
+/-：放大/缩小
a：自动缩放
w：合适宽度
h：合适身高
j / k：向下平移/向上平移
f / m：翻转/镜面反射
r / R：旋转（顺时针和逆时针）
ESC / q：退出

Viu

cargo install viu

Lsix

sudo apt-get install imagemagick

wget https://github.com/hackerb9/lsix/archive/master.zip

使用 docker-compose 部署到遠端 Docker 主機

Wed, 25 Mar 2020 19:30:54 +0800

使用 docker-compose 部署到遠端 Docker 主機

手動部署：複製專案檔案、安裝 docker-compose 並執行

$ scp -r hello-docker user@remotehost:/path/to/src
$ ssh user@remotehost
$ pip install docker-compose
$ cd /path/to/src/hello-docker
$ docker-compose up -d

使用 DOCKER_HOST 環境變數設定目標引擎

$ cd hello-docker
$ DOCKER_HOST="ssh://user@remotehost" docker-compose up -d

使用 docker context

$ docker context create remote ‐‐docker "host=ssh://user@remotemachine"
remote
Successfully created context "remote"

$ docker context ls
NAME DESCRIPTION DOCKER ENDPOINT KUBERNETES ENDPOINT ORCHESTRATOR
default * Current DOCKER_HOST… unix:///var/run/docker.sock swarm
remote ssh://user@remotemachine

$ cd hello-docker
$ docker-compose ‐‐context remote up -d

应大多数人要求写下kubeadm的基础使用

Tue, 24 Mar 2020 16:00:34 +0800

Vim 小技巧 - 在 Linux 上用 Vim 編輯遠端檔案

Sat, 14 Mar 2020 15:43:38 +0800

Vim 小技巧 - 在 Linux 上用 Vim 編輯遠端檔案

在 Linux 上用 Vim 編輯遠端檔案

$ vim scp://sk@192.168.225.22/info.txt

user@remotesystem:port（例如 sk@192.168.225.22）
單斜線 (/) - 若要編輯位於遠端系統 $HOME 目錄的檔案，需要在遠端系統的 IP 或主機名後加上一個斜線，用來分隔檔案路徑。
雙斜線 (//) - 若要指定檔案完整路徑，必須使用雙斜線。例如，你要編輯遠端系統 /home/sk/Documents/ 目錄下的 info.txt，命令會是：vim scp://sk@192.168.225.22//home/sk/Documents/info.txt
如果沒有 ssh/scp 權限，可以改用其他協定，例如 ftp：vim ftp://user@remotesystem/path/to/file

在 Vim 工作階段內編輯遠端檔案

:e scp://sk@192.168.225.22/info.txt

Python 安裝模組問題

Wed, 04 Mar 2020 15:43:38 +0800

無法安裝 python-ldap

python-ldap

https://www.python-ldap.org/en/latest/installing.html

$ pip install python-ldap
In file included from Modules/LDAPObject.c:9:


Modules/errors.h:8: fatal error: lber.h: No such file or directory

Debian/Ubuntu: sudo apt-get install libsasl2-dev python-dev libldap2-dev libssl-dev
RedHat/CentOS:

sudo yum install python-devel openldap-devel
sudo yum groupinstall "Development tools"

molecule

$ pip install molecule
error: command 'gcc' failed with exit status 1


 ----------------------------------------
Command "/usr/bin/python2 -u -c "import setuptools, tokenize;__file__='/tmp/pip-install-I5DGC3/psutil/setup.py';f=getattr(tokenize, 'open', open)(__file__);code=f.read().replace('\r\n', '\n');f.close();exec(compile(code, __file__, 'exec'))" install --record /tmp/pip-record-Fy7V4X/install-record.txt --single-version-externally-managed --compile" failed with error code 1 in /tmp/pip-install-I5DGC3/psutil/

RedHat/CentOS:

yum -y install gcc gcc-c++ kernel-devel
yum -y install python-devel libxslt-devel libffi-devel openssl-devel

ansible

$ pip install ansible
ImportError: No module named pkg_resources

yum install -y python-setuptools

`import pandas`

ModuleNotFoundError: No module named '_bz2'

apt-get install -y libbz2-dev
yum install -y bzip2-devel

`from .cv2 import *`

ImportError: libSM.so.6: cannot open shared object file: No such file or directory
ImportError: libXrender.so.1: cannot open shared object file: No such file or directory
ImportError: libXext.so.6: cannot open shared object file: No such file or directory

Ubuntu:

apt-get install libsm6
apt-get install libxrender1
apt-get install libxext-dev

CentOS:

yum install libSM
yum install libXrender-devel
yum install libXext

vagrant筆記

Wed, 26 Feb 2020 10:52:19 +0800

1 General 1.1 Path 下載的 box 預設放在~/.vagrant.d/boxes 裡 guest machine 的 data 放的地方根據 VM 設定而不同可開啟 VirtualBox 查看，VirtualBox 預設是在~/VirtualBox\ VMS

1.2 Shared Folder guest machine 的/vagrant 將會自動 mount 到 host machine 的放 Vagrantfile 的那個 folder 此功能需要 guest machine 的 Box 的 VB guest additions 版本與 VM 中的一樣若出現錯誤則需要更新 box 或用這個非官方的 plugin: https://github.com/dotless-de/vagrant-vbguest

2 Uninstall 2.1 REMOVING THE VAGRANT PROGRAM

rm -rf /Applications/Vagrant
rm -f /usr/bin/vagrant
sudo pkgutil --forget com.vagrant.vagrant

2.2 REMOVING USER DATA rm -rf ~/.vagrant.d 3 Command https://www.vagrantup.com/docs/cli/

Percona config

Fri, 07 Feb 2020 21:13:57 +0800

# Percona Server template configuration


[mysqld]
#
# Remove leading # and set to the amount of RAM for the most important data
# cache in MySQL. Start at 70% of total RAM for dedicated server, else 10%.
# innodb_buffer_pool_size = 128M
#
# Remove leading # to turn on a very important data integrity option: logging
# changes to the binary log between backups.
# log_bin
#
# Remove leading # to set options mainly useful for reporting servers.
# The server defaults are faster for transactions and fast SELECTs.
# Adjust sizes as needed, experiment to find the optimal values.
# join_buffer_size = 128M
# sort_buffer_size = 2M
# read_rnd_buffer_size = 2M
port=3306
datadir=/data/mysql
socket=/data/mysql/mysql.sock
pid_file=/data/mysql/mysqld.pid


# 服务端编码
character_set_server=utf8mb4
# 服务端排序
collation_server=utf8mb4_general_ci
# 强制使用 utf8mb4 编码集，忽略客户端设置
skip_character_set_client_handshake=1
# 日志输出到文件
log_output=FILE
# 开启常规日志输出
general_log=1
# 常规日志输出文件位置
general_log_file=/var/log/mysql/mysqld.log
# 错误日志位置
log_error=/var/log/mysql/mysqld-error.log
# 记录慢查询
slow_query_log=1
# 慢查询时间(大于 1s 被视为慢查询)
long_query_time=1
# 慢查询日志文件位置
slow_query_log_file=/var/log/mysql/mysqld-slow.log
# 临时文件位置
tmpdir=/data/mysql_tmp
# 线程池缓存(refs https://my.oschina.net/realfighter/blog/363853)
thread_cache_size=30
# The number of open tables for all threads.(refs https://dev.mysql.com/doc/refman/5.7/en/server-system-variables.html#sysvar_table_open_cache)
table_open_cache=16384
# 文件描述符(此处修改不生效，请修改 systemd service 配置)
# refs https://www.percona.com/blog/2017/10/12/open_files_limit-mystery/
# refs https://www.cnblogs.com/wxxjianchi/p/10370419.html
#open_files_limit=65535
# 表定义缓存(5.7 以后自动调整)
# refs https://dev.mysql.com/doc/refman/5.6/en/server-system-variables.html#sysvar_table_definition_cache
# refs http://mysql.taobao.org/monthly/2015/08/10/
#table_definition_cache=16384
sort_buffer_size=1M
join_buffer_size=1M
# MyiSAM 引擎专用(内部临时磁盘表可能会用)
read_buffer_size=1M
read_rnd_buffer_size=1M
# MyiSAM 引擎专用(内部临时磁盘表可能会用)
key_buffer_size=32M
# MyiSAM 引擎专用(内部临时磁盘表可能会用)
bulk_insert_buffer_size=16M
# myisam_sort_buffer_size 与 sort_buffer_size 区别请参考(https://stackoverflow.com/questions/7871027/myisam-sort-buffer-size-vs-sort-buffer-size)
myisam_sort_buffer_size=64M
# 内部内存临时表大小
tmp_table_size=32M
# 用户创建的 MEMORY 表最大大小(tmp_table_size 受此值影响)
max_heap_table_size=32M
# 开启查询缓存
query_cache_type=1
# 查询缓存大小
query_cache_size=32M
# sql mode
sql_mode='STRICT_TRANS_TABLES,NO_ZERO_IN_DATE,NO_ZERO_DATE,ERROR_FOR_DIVISION_BY_ZERO,NO_AUTO_CREATE_USER,NO_ENGINE_SUBSTITUTION'


########### Network ###########
# 最大连接数(该参数受到最大文件描述符影响，如果不生效请检查最大文件描述符设置)
# refs https://stackoverflow.com/questions/39976756/the-max-connections-in-mysql-5-7
max_connections=1500
# mysql 堆栈内暂存的链接数量
# 当短时间内链接数量超过 max_connections 时，部分链接会存储在堆栈内，存储数量受此参数控制
back_log=256
# 最大链接错误，针对于 client 主机，超过此数量的链接错误将会导致 mysql server 针对此主机执行锁定(禁止链接 ERROR 1129 )
# 此错误计数仅在 mysql 链接握手失败才会计算，一般出现问题时都是网络故障
# refs https://www.cnblogs.com/kerrycode/p/8405862.html
max_connect_errors=100000
# mysql server 允许的最大数据包大小
max_allowed_packet=64M
# 交互式客户端链接超时(30分钟自动断开)
interactive_timeout=1800
# 非交互式链接超时时间(10分钟)
# 如果客户端有连接池，则需要协商此参数(refs https://database.51cto.com/art/201909/603519.htm)
wait_timeout=600
# 跳过外部文件系统锁定
# If you run multiple servers that use the same database directory (not recommended),
# each server must have external locking enabled.
# refs https://dev.mysql.com/doc/refman/5.7/en/external-locking.html
skip_external_locking=1
# 跳过链接的域名解析(开启此选项后 mysql 用户授权的 host 方式失效)
skip_name_resolve=0
# 禁用主机名缓存，每次都会走 DNS
host_cache_size=0

ini




########### REPL ###########
# 开启 binlog
log_bin=mysql-bin
# 作为从库时，同步信息依然写入 binlog，方便此从库再作为其他从库的主库
log_slave_updates=1
# server id，默认为 ipv4 地址去除第一段
# eg: 172.16.10.11 => 161011
server_id=161011
# 每次次事务 binlog 刷新到磁盘
# refs http://liyangliang.me/posts/2014/03/innodb_flush_log_at_trx_commit-and-sync_binlog/
sync_binlog=100
# binlog 格式(refs https://zhuanlan.zhihu.com/p/33504555)
binlog_format=row
# binlog 自动清理时间
expire_logs_days=10
# 开启 relay-log，一般作为 slave 时开启
relay_log=mysql-replay
# 主从复制时跳过 test 库
replicate_ignore_db=test
# 每个 session binlog 缓存
binlog_cache_size=4M
# binlog 滚动大小
max_binlog_size=1024M
# GTID 相关(refs https://keithlan.github.io/2016/06/23/gtid/)
#gtid_mode=1
#enforce_gtid_consistency=1


########### InnoDB ###########
# 永久表默认存储引擎
default_storage_engine=InnoDB
# 系统表空间数据文件大小(初始化为 1G，并且自动增长)
innodb_data_file_path=ibdata1:1G:autoextend
# InnoDB 缓存池大小
# innodb_buffer_pool_size 必须等于 innodb_buffer_pool_chunk_size*innodb_buffer_pool_instances，或者是其整数倍
# refs https://dev.mysql.com/doc/refman/5.7/en/innodb-buffer-pool-resize.html
# refs https://zhuanlan.zhihu.com/p/60089484
innodb_buffer_pool_size=7680M
innodb_buffer_pool_instances=10
innodb_buffer_pool_chunk_size=128M
# InnoDB 强制恢复(refs https://www.askmaclean.com/archives/mysql-innodb-innodb_force_recovery.html)
innodb_force_recovery=0
# InnoDB buffer 预热(refs http://www.dbhelp.net/2017/01/12/mysql-innodb-buffer-pool-warmup.html)
innodb_buffer_pool_dump_at_shutdown=1
innodb_buffer_pool_load_at_startup=1
# InnoDB 日志组中的日志文件数
innodb_log_files_in_group=2
# InnoDB redo 日志大小
# refs https://www.percona.com/blog/2017/10/18/chose-mysql-innodb_log_file_size/
innodb_log_file_size=256MB
# 缓存还未提交的事务的缓冲区大小
innodb_log_buffer_size=16M
# InnoDB 在事务提交后的日志写入频率
# refs http://liyangliang.me/posts/2014/03/innodb_flush_log_at_trx_commit-and-sync_binlog/
innodb_flush_log_at_trx_commit=2
# InnoDB DML 操作行级锁等待时间
# 超时返回 ERROR 1205 (HY000): Lock wait timeout exceeded; try restarting transaction
# refs https://ningyu1.github.io/site/post/75-mysql-lock-wait-timeout-exceeded/
innodb_lock_wait_timeout=30
# InnoDB 行级锁超时是否回滚整个事务，默认为 OFF 仅回滚上一条语句
# 此时应用程序可以接受到错误后选择是否继续提交事务(并没有违反 ACID 原子性)
# refs https://www.cnblogs.com/hustcat/archive/2012/11/18/2775487.html
#innodb_rollback_on_timeout=ON
# InnoDB 数据写入磁盘的方式，具体见博客文章
# refs https://www.cnblogs.com/gomysql/p/3595806.html
innodb_flush_method=O_DIRECT
# InnoDB 缓冲池脏页刷新百分比
# refs https://dbarobin.com/2015/08/29/mysql-optimization-under-ssd
innodb_max_dirty_pages_pct=50
# InnoDB 每秒执行的写IO量
# refs https://www.centos.bz/2016/11/mysql-performance-tuning-15-config-item/#10.INNODB_IO_CAPACITY,%20INNODB_IO_CAPACITY_MAX
innodb_io_capacity=500
innodb_io_capacity_max=1000
# 请求并发 InnoDB 线程数
# refs https://www.cnblogs.com/xinysu/p/6439715.html#_lab2_1_0
innodb_thread_concurrency=60
# 再使用多个 InnoDB 表空间时，允许打开的最大 ".ibd" 文件个数，不设置默认 300，
# 并且取与 table_open_cache 相比较大的一个，此选项独立于 open_files_limit
# refs https://dev.mysql.com/doc/refman/5.7/en/innodb-parameters.html#sysvar_innodb_open_files
innodb_open_files=65535
# 每个 InnoDB 表都存储在独立的表空间(.ibd)中
innodb_file_per_table=1
# 事务级别(可重复读，会出幻读)
transaction_isolation=REPEATABLE-READ
# 是否在搜索和索引扫描中使用间隙锁(gap locking)，不建议使用未来将删除
innodb_locks_unsafe_for_binlog=0
# InnoDB 后台清理线程数，更大的值有助于 DML 执行性能，>= 5.7.8 默认为 4
innodb_purge_threads=4

go-mysql-elasticsearch 基準測試

Mon, 20 Jan 2020 09:18:00 +0800

go-mysql-elasticsearch

Page: /

Cannot set command timeout per task with network_cli

Tue, 14 Jan 2020 16:34:03 +0800

- name: run command
 ios_command:
 commands:
 - show version
 vars:
 ansible_command_timeout: 40