关于ShadowsocksR和Shadowsocks的安全性

前一段时间关于Shadowsocks的事情闹得沸沸扬扬的,最近显然大批小白已经被吸引到所谓的「Shadowsocks增强版」(ShadowsocksR)那边去了。作为用C++/Qt实现Shadowsocks业余开发者,打算对这两个炸子鸡简单地发表一下自己的看法。

Continue reading 关于ShadowsocksR和Shadowsocks的安全性

Windows下三分钟搭建Shadowoscks服务器端

之前在V2EX上有人问为啥没人做个在Windows上一键运行Shadowsocks服务器端的程序,我只想说……这是因为没人关注我的libQtShadowsocks项目啊!(脑补暴走漫画表情)

所以本文要来告诉这些想要帮别人的“小白”,轻轻松松只要三分钟,无痛@#@%#*(什么鬼?)让Shadowsocks服务端在你的Windows机器上跑起来!不用自己编译,不用安装什么Python、.Net的。

Continue reading Windows下三分钟搭建Shadowoscks服务器端

QCA 2.1.0在Windows上用MinGW的编译过程

QCA是Qt Cryptographic Architecture的缩写,简而言之就是安全组件(如OpenSSL)的Qt封装,方便Qt程序调用,而不用写一大串C代码。QCA自然是开源的,而且好像是KDE的一个project(反正代码是在KDE的git服务器上)。

时隔四年,QCA总算发布了新版本,虽然是小版本号的变化(2.0.3 -> 2.1.0),但却是非常重要的更新!!!首先支持使用Qt5了,其次使用CMake而不是qmake来管理了。如果不支持Qt5的话,我也不会关心QCA的…………

但是目前主流Linux发行版的官方仓库还是2.0.3版的QCA,而且这次也没有Windows builds下载,只有源码包,好在编译不太麻烦,下面就记录了本次编译的过程(环境:Windows 8.1 x64 Pro, MinGW64 4.9.1 x64, MSYS, Qt 5.3.2 x64 static, OpenSSL 1.0.1j x64 static, CMake 3.1.0)。这次要编译的就是静态链接的QCA,如果你要编译动态链接的QCA,上面的工具链必须也是动态链接的!

Continue reading QCA 2.1.0在Windows上用MinGW的编译过程

即日起提供Google学术搜索反向代理服务

Google在大陆是彻底沦陷了,虽然鄙人马上就肉翻了,但是不能置广大同胞于水深火热之中啊,特别是目前无可替代的Google学术搜索(有关部门也真是弱智,居然一口气直接封*.google.com……)。并不是每个人都会爬墙出去的,所以临走前送一个小福利,让大家能顺利访问Google学术搜索,助力科研!

先上普罗大众小白都能看懂的使用指南,技术部分在文章后半段。

Continue reading 即日起提供Google学术搜索反向代理服务

OpenShift新推出无月使用费的Bronze计划

Red Hat旗下,业界领先的PaaS平台OpenShift最近推出一款全新的「铜牌」(Bronze)计划。(受不了自己的这股新闻联播腔了……)

Bronze和之前的Silver最大的区别在于:Silver每月掏20美金作为Red Hat的商业技术支持费用。而Bronze则不用缴纳此项「月费」,但也无法享受Red Hat的技术支持(和Free一样只有社区支持)。Free/Bronze/Silver三个计划的对比在官网这里能很好的看出来。

Continue reading OpenShift新推出无月使用费的Bronze计划

本WordPress博客内容现已完全沉浸在SSL保护之中

访问本站的筒子们有没有发现地址栏上优雅动人的绿色小锁呢(昨天还是黄色小三角形)?:D 现在您在本站访问的全部内容都通过HTTPS传输了哦~通过http协议访问也会被直接跳转到https(除网络爬虫和IE 9以下用户)。

想知道怎么做到的吗?嗯,本文就是来分享一下的。大体上都可以照着底下给出的参考文章来操作,我在这里补充一些细节。

Continue reading 本WordPress博客内容现已完全沉浸在SSL保护之中

Fedora禁用/去除SELinux的办法

本文介绍三个层次的去SELinux办法,最简单的是修改SELinux配置实现禁用的效果(SELinux不会再运行),高阶一点的去除selinux-policy并在内核中将安全配置改成DAC,第三个即最彻底的则是自己搭建koji环境编译不依赖于libselinux的Fedora(同样适用于RHEL、CentOS等发行版及其衍生发行版)……

简单禁用

也是网上随便能搜到的,即便是简单禁用都有四种甚至更多途径,这里介绍两种。其一是内核启动参数加上:

selinux=0

另一种则是修改SELinux的配置文件/etc/selinux/config,如下:

SELINUX=disabled
SELINUXTYPE=minimum

以上二选一都能达到禁用SELinux的效果,在终端下执行下面这条语句可以查看是否成功禁用SELinux(注:selinuxenabled是libselinux包中的命令)

if selinuxenabled; then echo Enabled; else echo Disabled; fi

部分卸载、内核清除

这个网上别家就找不到了~~

Continue reading Fedora禁用/去除SELinux的办法

IP子网段和子网掩码

自从小的Amazon EC2上的Instance一工作,就有各种无聊的动物尝试SSH暴力破解登录,很遗憾啊(我都快说无数遍了),我用的是key的验证登录方式,不是一般的password,要破解出来估计我都因为经济压力关掉我的instance了。

不过为了减轻系统的运作压力,我启用了ipfilter(见我之前关于NetBSD开启ipfilter简易防火墙的文章)。因为我的这个进程只打算对我自己开放,就用来翻翻墙,离线下载境外文件罢了,博客还是继续扔在免费的PaaS——大Red Hat的OpenShift上。所以呢,所以呢,我决定直接ban掉尝试暴力登录IP所在的整个C类子网段(即255.255.255.0)。我也是被逼无奈开始学习这IPv4的知识,下面记一下直接结果,至于中间神马几个bit几个bit的运算过程就省掉了。

对于255.255.255.0这种子网掩码,C类网段,最多可存在254个主机的,它的shorthand是/24;

对于255.255.0.0这种子网掩码,B类网段,最多可存在256×256个主机地址,它的shorthand是/16;

对于255.0.0.0这种子网掩码,那就是A类网段了,shorthand是/8!

 

当然我不可能用A类去封杀登录IP,那样杀伤面积太大了点,容易误伤到我自己,所以目前我还是直接ban掉整个C类网段。等我摸清楚我自己的IP地址变化规律后,就直接白名单了事了,省得一个个抓起来杀。

话说对于这些闲着蛋疼的hacker下次应该用洪水攻击弄死他们!

本文内容参考自Digi Pro ,以上若有纰漏还请指正。

配置NetBSD防火墙ipfilter

不看不知道,一看吓一跳,今天SSH连上服务器之后,顺带看了一下各个log,翻到/var/log/authlog的时候,心中一百只草泥马奔腾(略夸张哈哈)。

有一品德低下的电脑操作人员尝试暴力登录,对此我是呵呵啊,哥不是用的密码验证方式,而是用的SSH的私钥(key)验证的啊,你扫描致死都是进不来的。更可笑的是这哥们尝试的用户名除了root就是CUCU、git还有ubuntu,抱歉啦,哥用的是NetBSD,打死都不可能创建一个用户名是ubuntu,NND鄙视一万次。

好吧,鄙视归鄙视,从authlog记录的IP地址查到是煤矿省的,不管了,赶紧上防火墙block掉这个IP!

NetBSD是自带ipfilter的,但是默认没有激活这项服务,首先当然是在/etc/rc.conf里面加上ipfilter=YES一行,然后就是编辑/etc/ipf.conf这个文件(没有则新建,/etc/ipf6.conf则是针对IPv6的)。详情可以看NetBSD官方的文档。下面贴出在下的ipf.conf文件的内容以供参考。

pass out on any all
block in quick from 218.26.XX.XXX to any

第一行是放行所有出去的数据包,第二行是阻止从218.26.XX.XXX(保护这傻逼的隐私,最后几位数就不写出来了)这个IP到任意IP(任意IP当然就包括了本机IP啦)的所有数据包。

完成之后,/etc/rc.d/ipfilter start就可以启动服务了(因为添加到/etc/rc.conf了,所以重启的话ipfilter也会自动启动的)!