比尔盖子 博客

服务器维护初步结束

2013 年,爱德华·斯诺登披露了棱镜计划,于是人们,包括盖子自己终于学会了如何正确配置 TLS;2014 年,各研究者纷纷加入到 Linux 安全的研究行列中,随着一篇“炮打shell司令部root,我的一个 exploit”的 Bug 报告,以前那种“随便配置个 Linux 服务器让它跑”的欢乐时光已经彻底结束,真是让各运维苦不堪言,都快患上 Shell Shock 了,人们不得不以正确的态度开始对待安全;2015 年,越来越多的安全审计也被提上日常。

在这样的背景环境下,学习并应用的安全技术是多多益善的。因此,我在今年初部署了一台实验性的服务器,用于测试 PaX 技术。如今,虽然 grsecurity 以盖子的能力完全掌握还需要时间,但 PaX 已经完成测试可以部署了,而盖子的服务器运行了两年时间,也暴露出来一些问题。

因此盖子进行了一次大型服务器维护。而凑巧,在服务器进行维护之前的 8 月 15 日,忽然被 GFW 屏蔽了!一天之后,服务器也进入了关机维护状态,以至于不少人出现了“这服务器怎么挂了代理也不能翻墙访问”的错觉。

长话短说,这此维护的摘要如下(随着维护的进行,可能会更新):

  • 发行版切换到 Gentoo Hardened 稳定版
  • 全面启用 PaX 和其它系统加固措施
  • 服务器 IP 被 GFW 屏蔽,目前的新 IP 切换至 106.187.50.120。IP 配置和解析记录的切换将逐步进行,若要了解细节或需要帮忙,欢迎联系我。
  • 服务器 SSH 密钥重新生成:

    • RSA 指纹:SHA256:rdiQjAfAIG1OsgmKgSZgLeslb50QqcjsIa4oi2WnsA8
    • ED25519 指纹:SHA256:LGohlHLSTIP/PRW16JwNdQbjXrV887VZKeseJeGG2uQ
  • 禁用不活跃、以及不使用 PHP 用户的 php-fpm 进程,一些用户已经长期不活跃,还有一些用户不需要使用 PHP。但 php-fpm 却被盖子配置成默认运行,消耗系统资源。以下用户的 PHP 已被默认禁用。盖子计划未来对不活跃用户进行清理。

    • alleria0218
    • cnzh2005
    • colin4124
    • ffddybz
    • grinv
    • huangtao728
    • lengbamboo
    • pynix
    • roowe
    • tianyu
    • wangfeitong
    • xinmuontheway
  • 严禁运行 SSH 端口转发,以及 Shadowsocks 等代理服务器。这是服务器最后的备用 IP,作死的行为将导致服务器完全不可用。我会定期进行进程审计。

Categories: 建站那点事

置顶引言 » « 为什么 os.path 可以被直接导入

6 Comments

  1. Its like you read my mind! You seem to know a lot about this, like you wrote the book in it or sognihtem. I think that you can do with some pics to drive the message home a little bit, but instead of that, this is fantastic blog. An excellent read. I will definitely be back.

  2. 明明改了nginx配置为何还是报Unknown domain…

  3. Test comment from Emacs

发表评论

Your email address will not be published.

To create code blocks or other preformatted text, indent by four spaces:

    This will be displayed in a monospaced font. The first four 
    spaces will be stripped off, but all other whitespace
    will be preserved.
    
    Markdown is turned off in code blocks:
     [This is not a link](http://example.com)

To create not a block, but an inline code span, use backticks:

Here is some inline `code`.

For more help see http://daringfireball.net/projects/markdown/syntax

Copyright © 2017 比尔盖子 博客

匿名浏览:http://x4wttqqrkud5pttgqlpxgevtr4rbqpa6lkwdiw3o3m6q4deeldgq.b32.i2p
警告:残留有明网混合资源,访问前请自行屏蔽明网流量

Theme by Anders NorenUp ↑