2013 年,爱德华·斯诺登披露了棱镜计划,于是人们,包括盖子自己终于学会了如何正确配置 TLS;2014 年,各研究者纷纷加入到 Linux 安全的研究行列中,随着一篇“炮打司令部,我的一个 exploit”的 Bug 报告,以前那种“随便配置个 Linux 服务器让它跑”的欢乐时光已经彻底结束,真是让各运维苦不堪言,都快患上 Shell Shock 了,人们不得不以正确的态度开始对待安全;2015 年,越来越多的安全审计也被提上日常。
在这样的背景环境下,学习并应用的安全技术是多多益善的。因此,我在今年初部署了一台实验性的服务器,用于测试 PaX 技术。如今,虽然 grsecurity 以盖子的能力完全掌握还需要时间,但 PaX 已经完成测试可以部署了,而盖子的服务器运行了两年时间,也暴露出来一些问题。
因此盖子进行了一次大型服务器维护。而凑巧,在服务器进行维护之前的 8 月 15 日,忽然被 GFW 屏蔽了!一天之后,服务器也进入了关机维护状态,以至于不少人出现了“这服务器怎么挂了代理也不能翻墙访问”的错觉。
长话短说,这此维护的摘要如下(随着维护的进行,可能会更新):
- 发行版切换到 Gentoo Hardened 稳定版
- 全面启用 PaX 和其它系统加固措施
- 服务器 IP 被 GFW 屏蔽,目前的新 IP 切换至 106.187.50.120。IP 配置和解析记录的切换将逐步进行,若要了解细节或需要帮忙,欢迎联系我。
-
服务器 SSH 密钥重新生成:
- RSA 指纹:SHA256:rdiQjAfAIG1OsgmKgSZgLeslb50QqcjsIa4oi2WnsA8
- ED25519 指纹:SHA256:LGohlHLSTIP/PRW16JwNdQbjXrV887VZKeseJeGG2uQ
-
禁用不活跃、以及不使用 PHP 用户的
php-fpm进程,一些用户已经长期不活跃,还有一些用户不需要使用 PHP。但php-fpm却被盖子配置成默认运行,消耗系统资源。以下用户的 PHP 已被默认禁用。盖子计划未来对不活跃用户进行清理。- alleria0218
- cnzh2005
- colin4124
- ffddybz
- grinv
- huangtao728
- lengbamboo
- pynix
- roowe
- tianyu
- wangfeitong
- xinmuontheway
-
严禁运行 SSH 端口转发,以及 Shadowsocks 等代理服务器。这是服务器最后的备用 IP,作死的行为将导致服务器完全不可用。我会定期进行进程审计。
2016年05月18日 — 23:03
Its like you read my mind! You seem to know a lot about this, like you wrote the book in it or sognihtem. I think that you can do with some pics to drive the message home a little bit, but instead of that, this is fantastic blog. An excellent read. I will definitely be back.
2015年08月30日 — 22:34
明明改了nginx配置为何还是报Unknown domain…
2015年08月31日 — 08:46
不会是忘记执行
sudo /etc/init.d/nginx reload了吧 😀2015年11月08日 — 20:11
还是这个问题……你可以帮我看一眼,配置是/etc/nginx/sites-available/paperairplane.tk.conf
我的那几个harrychen.tk啥的反正就是访问不到…
2015年11月13日 — 22:53
前一阵时间
nginx貌似有些问题,目前服务器已经重启过,此问题是否消失?如果没有的话我去看个究竟。2015年08月28日 — 16:40
Test comment from Emacs
2017年04月08日 — 04:42
It works!
But… http://wp.me/p8n5HQ-3s