阅心笔记

Maddy Mail Server是一个GO语言开发的ALL-IN-ONE邮件系统，实现了Mail Transfer agent (MTA), Mail Delivery Agent (MDA), Mail Submission Agent (MSA), IMAP server等，说人话就是可以替换Postfix、Dovecot、Opendkim、OpenSPF、OpenDmarc等传统软件，主要功能是通过SMTP发送和接收邮件，通过IMAP实现客户端访问，也支持DKIM、SPF、DMARC、DANE、MTA-STS等邮件相关的安全和反垃圾协议。对比配置传统软件，即使是像MailCow、Mail-in-a-Box等基于docker的现成方案，安装、配置也足够简单、开箱即用，可以说是懒人必备。一、准备工作需要准备以下：域名 + nam...

- 阅读剩余部分 -

webdav可以通过HTTP协议对 Web 服务器进行文件读写，并支持文件的版本控制和写文件的加锁及解锁等操作，各平台都有客户端，支持的软件也多，对于没有复杂需求的跨平台网盘，是一个不错的选择。一、所需模块ngx_http_dav_module： nginx自带模块，默认未启用，支持webdav的PUT、DELETE、 MKCOL、COPY、MOVE等基础的方法nginx-dav-ext-module： 提供了额外的PROPFIND、OPTIONS、LOCK、UNLOCK方法支持headers-more-nginx-module： IOS、windows等默认客户端使用COPY、MOVE等方法时，$http_destination中的URI没有带上"/",导致出现无法删除、重命名文件或文件夹等错误，该模块可以修复该错误，兼...

- 阅读剩余部分 -

OpenSSH 可以使用tun/tap设备来创建一个加密隧道，SSH隧道类似mode TCP模式下的OpenVPN，对于有需求快速设置一个基于IP的VPN来说非常方便。使用SSH隧道的优点：不需要安装和配置额外的软件使用SSH认证并自带加密，不需要使其它VPN软件一样配置共享密钥或者证书兼容性强，可以建立二层隧道或三层隧道，所有3/4层协议如：ICMP、TCP/UDP 等都可支持配置过程简单当然也有缺点：基于TCP协议，其传输效率较低隧道依赖于单个TCP连接，容易中断或假死需要ROOT权限这里还要说明一下二层和三层的区别：layer 2 : 交换单元是帧，只识别MAC地址，只有交换功能，相关协议：Ethernet、VLAN、STP、PPP、FDDI、ARP（OSI模型）、MPLS（介于2层3层之间）等，在Linux中是...

- 阅读剩余部分 -

通常HTTP的性能分析是通过浏览器的开发者工具进行查看，但这种方式只能通过图形页面进行查看。如果想做性能监控或者在命令行下分析，可以通过curl命令来统计各阶段的耗时。我们先来看看一个HTTP请求的过程：(图片来自cloudflare)每次http请求经过这些过程： 客户端发起请求-->DNS解析-->TCP连接-->SSL等协议握手-->服务器处理-->内容传输-->完成查看curl 命令的手册，curl命令支持以下阶段的时间统计：time_namelookup : 从请求开始到DNS解析完成的耗时time_connect : 从请求开始到TCP三次握手完成耗时time_appconnect : 从请求开始到TLS握手完成的耗时time_pretransfer : 从请求开始到向服务器发送第一个GET请求开...

- 阅读剩余部分 -

Openssl命令用法比较多，整理了一下平时常用的命令，做了个流水账，方便以后复杂粘贴。一、生成公钥和私钥openssl genrsa -out nixops.me.key 2048 openssl rsa -in nixops.me.key -pubout -out nixops.me.crt一条命令生成：openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout nixops.me.key -out nixops.me.crt验证私钥和公钥：openssl rsa -check -in nixops.me.key openssl x509 -text -noout -in nixops.me.crt 二、生成私钥和证书请求文件csropenssl genrsa -out nixo...

- 阅读剩余部分 -

2020年12月8日，CentOS官方发布公告称CentOS 8将于2021年12月31日结束支持，取而代之的是CentOS Stream。以前centos作为RHEL的重新编译版，即下游发型版： Fedora -> RHEL -> CentOS现在是和Fedora一样专注于RHEL的上游测试分支: Fedora -> CentOS Stream -> RHELCentOS Stream发布方式改为滚动更新，不像传统的操作系统有着明确的系统版本号，而是在升级过程中使用来自上游的最新软件包版本以及内核功能等。其定位是吸收Fedora中测试稳定的软件，制作成相对稳定的滚动发型版，即给RHEL做测试，又为RHEL培养客户。对于稳定性要求不高的场景，可以直接从CentOS 8迁移至CentOS Stream。迁移之...

- 阅读剩余部分 -

wireguard是Linus Torvalds为数不多夸过的技术，称赞它是：it's a work of art。wireguard优点和缺点官网有很好的介绍，我简单总结一下，优点：快速 速度是比传统的IPsec和OpenVPN等快的多，已经合并到高版本的内核，性能更高现代 有良好的设计及考量简单 源代码只有三四千行，同时管理和配置也非常简单安全 使用了最先进的加密技术，并且经过多位密码学家的审查，而且由于简单，攻击面更小通用 跨平台，支持各种操作系统缺点：Wireguard专注实现简单可靠的加密，不关注流量混淆，容易被DPI检测到，同时由于特征明显，流量有可能被中继或在握手阶段阻断专注性能，只能使用UDP，不支持TCP模式，当然可以借助udptunnel和udp2raw等软件实现使用最先进的算法，没有专有硬件加速支持，有可能导致CPU使...

- 阅读剩余部分 -

正常的服务器都是使用 用户名+密码或者用户名+ssh key的方式登录，配合防火墙及合理的ssh配置，能达到很好的安全性。但是无论密码还是ssh key都是固定不变的，一旦被渗透等就会导致登录信息泄露，这时如果启用了多因子认证，就能防止黑客通过ssh登录。多因子认证是在原有的认证基础上，在加一个或多个基于时间不断变化的验证码、或生物指纹、面部识别的认证，只要这个信息不泄漏，即使原认证信息泄露也无法登录。最常见的多因子验证，就是谷歌的两步验证。类linux的系统中，很多软件都是使用pam模块做认证的，谷歌开源了google-authenticator-libpam工具，理论上支持pam认证的软件都可以启用谷歌两步认证。下面就说一下ssh配置两步认证的过程和一些玩法。一、编译centos 的epel源中有现成的包，debia...

- 阅读剩余部分 -