服务器维护初步结束

2013 年，爱德华·斯诺登披露了棱镜计划，于是人们，包括盖子自己终于学会了如何正确配置 TLS；2014 年，各研究者纷纷加入到 Linux 安全的研究行列中，随着一篇“炮打shell司令部root，我的一个 exploit”的 Bug 报告，以前那种“随便配置个 Linux 服务器让它跑”的欢乐时光已经彻底结束，真是让各运维苦不堪言，都快患上 Shell Shock 了，人们不得不以正确的态度开始对待安全；2015 年，越来越多的安全审计也被提上日常。

在这样的背景环境下，学习并应用的安全技术是多多益善的。因此，我在今年初部署了一台实验性的服务器，用于测试 PaX 技术。如今，虽然 grsecurity 以盖子的能力完全掌握还需要时间，但 PaX 已经完成测试可以部署了，而盖子的服务器运行了两年时间，也暴露出来一些问题。

因此盖子进行了一次大型服务器维护。而凑巧，在服务器进行维护之前的 8 月 15 日，忽然被 GFW 屏蔽了！一天之后，服务器也进入了关机维护状态，以至于不少人出现了“这服务器怎么挂了代理也不能翻墙访问”的错觉。

长话短说，这此维护的摘要如下（随着维护的进行，可能会更新）：

• 发行版切换到 Gentoo Hardened 稳定版
• 全面启用 PaX 和其它系统加固措施
• 服务器 IP 被 GFW 屏蔽，目前的新 IP 切换至 106.187.50.120。IP 配置和解析记录的切换将逐步进行，若要了解细节或需要帮忙，欢迎联系我。

• 服务器 SSH 密钥重新生成：

  • RSA 指纹：SHA256:rdiQjAfAIG1OsgmKgSZgLeslb50QqcjsIa4oi2WnsA8
  • ED25519 指纹：SHA256:LGohlHLSTIP/PRW16JwNdQbjXrV887VZKeseJeGG2uQ

• 禁用不活跃、以及不使用 PHP 用户的 php-fpm 进程，一些用户已经长期不活跃，还有一些用户不需要使用 PHP。但 php-fpm 却被盖子配置成默认运行，消耗系统资源。以下用户的 PHP 已被默认禁用。盖子计划未来对不活跃用户进行清理。

  • alleria0218
  • cnzh2005
  • colin4124
  • ffddybz
  • grinv
  • huangtao728
  • lengbamboo
  • pynix
  • roowe
  • tianyu
  • wangfeitong
  • xinmuontheway

• 严禁运行 SSH 端口转发，以及 Shadowsocks 等代理服务器。这是服务器最后的备用 IP，作死的行为将导致服务器完全不可用。我会定期进行进程审计。