根据letsencrypt最新消息,原定于2月底发布支持的新认证方式和泛域名支持证书,由于测试及认证,预计延迟两周发布。
https://community.letsencrypt.org/t/acmev2-and-wildcard-launch-delay/53654
拭目以待。
关于免费SSL证书的那些事儿
根据 Let’s Encrypt CA 的统计,截至 2017 年 11 月,Firefox 加载的网页中启用 HTTPS 的比例占 67%,比去年底的 45% 有巨大提升。浏览器开发商如 Mozilla, Google 准备采取下一步措施:将所有 HTTP 网站标记为不安全。
随着 HTTPS 的普及,给网站加个 SSL 证书已经是大势所趋而且很有必要了。
目前已经存在不少免费好用的 SSL 证书,因此,本文就来盘点一下关于免费 SSL 证书的那些事儿。
一、Let’s Encrypt
官方网站:https://letsencrypt.org/
点评:毫无疑问,Let’s Encrypt 是目前使用范围最为广泛的免费 SSL 证书,而且官方博客宣布,自 2018 年开始提供通配符 SSL 证书,也就是 wildcard certificates。这对于广大个人站长来说,无疑是个不错的利好消息。唯一的缺憾就是,Let’s Encrypt 发行的证书有效期只有 3 个月,虽然可以通过定时任务来自动续期。
如何申请?可以通过安装 LAMP 后,使用 lamp add 命令来自动创建 SSL 证书。也可以通过以下在线申请网站,手动申请证书。
在线申请网址1(中文):https://freessl.org/
在线申请网址2(英文):https://www.sslforfree.com/
在线申请网址3(英文):https://gethttpsforfree.com/
二、TrustAsia
官方网站:https://www.trustasia.com/
点评:TrustAsia 是国内一家新兴的 SSL 证书提供商,赛门铁克(Symantec)亚太区的白金合作伙伴。随着 Symantec 的 CA 业务被 DigiCert 收购完成,其证书链也从 Symantec 变为 DigiCert。现在也开始提供免费 1 年期的 DV SSL 证书。
在线申请网址:https://freessl.org/
三、AlwaysOnSSL
官方网站:https://alwaysonssl.com/
点评:AlwaysOnSSL 是一个新的免费和自动认证机构。它由 CertCenter 和 Digicert 运行,免费提供 6 个月的 DV SSL 证书。
在线申请网址:https://alwaysonssl.com/
四、Comodo
官方网站:https://www.comodo.com/
点评:在 Let’s Encrypt 没有问世之前,Comodo 的市场占有率是第一位。随着 Let’s Encrypt 的盛行,Comodo 在 DV SSL 市场占有率逐渐下降,但依然是 SSL 的龙头企业。目前 Comodo 也提供免费 90 天的免费 DV SSL 证书。
在线申请网址1:https://secure.instantssl.com/products/SSLIdASignup1a
在线申请网址2:https://www.100tb.com/
备注:100TB 免费提供 1 年期的 Comodo 证书,前提是需要注册为会员后才能在后台申请。100TB 的规定是,发行的证书只能在他们家的产品上使用,否则会有被吊销的风险。申请时,请自备 CSR(Certificate Signing Request),这里有 CSR 在线生成工具。参考网址:https://www.csr.sh/
五、Cloudflare
官方网站:https://www.cloudflare.com/
点评:Cloudflare 很早就开始提供免费 SSL 证书,前提是你的域名要放在 Cloudflare 解析,注册为 Free Plan 就可以。
备注:只要域名加入 Cloudflare Free Plan,解析 A 记录的时候,点击 Traffic to this hostname will go through Cloudflare,就可以了。一般情况下,这个免费的 Universal SSL 里会包含一大堆别人的域名(该证书也是 Comodo 发行的)。当然,如果你比较介意这个的话,可以付费购买其 Dedicated SSL Certificate ($5/month) 或 Dedicated SSL Certificate with Custom Hostnames ($10/month)。
六、AlphaSSL
官方网站:https://www.alphassl.com/
点评:其实 AlphaSSL 并不免费提供 SSL 证书,而且价格不菲。但是 AlphaSSL 跟 SingleHop 有合作关系,免费给 SingleHop 的客户发行证书,甚至包括通配符 SSL 证书。有人根据这个规则,开发了个自动发行证书的工具。详见:https://github.com/Vittfarne/ASSL
也就是说,只要你有了 SingleHop 的服务,就可以使用你的帐号密码以及该工具去当个活雷锋了。但是,不可避免地,这样的活雷锋是当不了多久的。一般其下场会因为滥用被 SingleHop 给关闭账户。
值得注意的是,如果你申请了这个 SSL 证书,就要有 SSL 证书随时可能被吊销的觉悟。
详情始末的参考网址:https://www.lowendtalk.com/discussion/comment/2306096/#Comment_2306096
在线申请网址:https://en.assl.space/
尾声:
自从 Let’s encrypt 开始提供免费DV SSL后,SSL 证书市场就已经开始洗牌了。
值得一提的是 StarCom 原本是一家以色列的证书商,提供免费和收费的 SSL 证书,后被国内公司 360 收购。曾在 CA 市场也有一席之地,StartCom 的问题在于被发现允许对证书的签发日期进行倒填,从而达到规避 SHA1 证书在 2016 年 1 月 1 日之后被浏览器警告的目的。最终于 2017 年 11 月 16 日,StartCom 宣布终止业务,自 2018 年 1 月 1 日起停止颁发新证书,并于 2020 年停止 OCSP 和 CRL 服务。
沃通(Wosign)也属于类似情况,被 Mozilla 认为 WoSign 最严重的问题是伪造(或者说人为设置)了证书签发日期,相继被 Mozilla 和 Chrome 不信任,最终导致出局。
最后,随着 https 的广泛被适用,我们也乐于看到越来越多的 CA 开始提供免费的 DV SSL 证书。
文章来源:秋水逸冰 » 关于免费SSL证书的那些事儿
如何卸载阿里云&腾讯云官方的监控软件服务(安骑士、云镜)
阿里云和腾讯云都提供了自己的安全保姆化方案,但是自从去年阿里云安骑士错误删除客户文件后,这类服务器软件一直处于褒贬不一的情况。中国的服务器安全确实缺口很大,但是也确实不能因为客户不作为就帮他打开家门加了个管家吧,虽然是免费的。
查询网上有提到的几种卸载方案,各位备用:
卸载云盾(安骑士)
curl -sSL http://update.aegis.aliyun.com/download/quartz_uninstall.sh | sudo bash sudo rm -rf /usr/local/aegis sudo rm /usr/sbin/aliyun-service sudo rm /lib/systemd/system/aliyun.service
代码备份
bash
#!/bin/bash
#check linux Gentoo os
var=`lsb_release -a | grep Gentoo`
if [ -z "${var}" ]; then
var=`cat /etc/issue | grep Gentoo`
fi
if [ -d "/etc/runlevels/default" -a -n "${var}" ]; then
LINUX_RELEASE="GENTOO"
else
LINUX_RELEASE="OTHER"
fi
stop_aegis(){
killall -9 aegis_cli >/dev/null 2>&1
killall -9 aegis_update >/dev/null 2>&1
killall -9 aegis_cli >/dev/null 2>&1
printf "%-40s %40s\n" "Stopping aegis" "[ OK ]"
}
stop_quartz(){
killall -9 aegis_quartz >/dev/null 2>&1
printf "%-40s %40s\n" "Stopping quartz" "[ OK ]"
}
remove_aegis(){
if [ -d /usr/local/aegis ];then
rm -rf /usr/local/aegis/aegis_client
rm -rf /usr/local/aegis/aegis_update
fi
}
remove_quartz(){
if [ -d /usr/local/aegis ];then
rm -rf /usr/local/aegis/aegis_quartz
fi
}
uninstall_service() {
if [ -f "/etc/init.d/aegis" ]; then
/etc/init.d/aegis stop >/dev/null 2>&1
rm -f /etc/init.d/aegis
fi
if [ $LINUX_RELEASE = "GENTOO" ]; then
rc-update del aegis default 2>/dev/null
if [ -f "/etc/runlevels/default/aegis" ]; then
rm -f "/etc/runlevels/default/aegis" >/dev/null 2>&1;
fi
elif [ -f /etc/init.d/aegis ]; then
/etc/init.d/aegis uninstall
for ((var=2; var<=5; var++)) do
if [ -d "/etc/rc${var}.d/" ];then
rm -f "/etc/rc${var}.d/S80aegis"
elif [ -d "/etc/rc.d/rc${var}.d" ];then
rm -f "/etc/rc.d/rc${var}.d/S80aegis"
fi
done
fi
}
stop_aegis
stop_quartz
uninstall_service
remove_aegis
printf "%-40s %40s\n" "Uninstalling aegis" "[ OK ]"
remove_quartz
printf "%-40s %40s\n" "Uninstalling aegis_quartz" "[ OK ]"另有强删方案:
#!/bin/bash
rm -rf /usr/local/aegis
for A in $(ps aux | grep Ali | grep -v grep | awk '{print $2}')
do
kill -9 $A;
done屏蔽云盾 IP
而后检查服务器记录时发现一堆 Alibaba.Security.Heimdall 的访问记录。网上查询发现是云盾。
根据官方介绍:
云盾会通过公网模拟黑客入侵攻击,进行安全扫描。所以服务器有安全防护时,需要对云盾扫描ip进行放行。
赶快屏蔽!
此处使用 UFW, iptables 用户请自己找一下添加方法。注意:如果已有接受 80 端口之类的规则,新增的拒绝 IP 规则在其后将不会生效。所以要在 /etc/ufw/before.rules 设置。
sudo nano 编辑此文件并找到 # End required lines,在其后添加:
# Block Ali Yun Dun https://help.aliyun.com/knowledge_detail/37436.html -A ufw-before-input -s 140.205.201.0/28 -j DROP -A ufw-before-input -s 140.205.201.16/29 -j DROP -A ufw-before-input -s 140.205.201.32/28 -j DROP -A ufw-before-input -s 140.205.225.192/29 -j DROP -A ufw-before-input -s 140.205.225.200/30 -j DROP -A ufw-before-input -s 140.205.225.184/29 -j DROP -A ufw-before-input -s 140.205.225.183/32 -j DROP -A ufw-before-input -s 140.205.225.206/32 -j DROP -A ufw-before-input -s 140.205.225.205/32 -j DROP -A ufw-before-input -s 140.205.225.195/32 -j DROP -A ufw-before-input -s 140.205.225.204/32 -j DROP
保存后运行 sudo ufw reload。完毕!
据说腾讯云云镜也有类似问题:转:
#!/bin/bash
#fuck tx process
rm -rf /usr/local/sa
rm -rf /usr/local/agenttools
rm -rf /usr/local/qcloud
process=(sap100 secu-tcs-agent sgagent64 barad_agent agent agentPlugInD pvdriver )
for i in ${process[@]}
do
for A in $(ps aux | grep $i | grep -v grep | awk '{print $2}')
do
kill -9 $A
done
done
chkconfig --level 35 postfix off
service postfix stop
echo ''>/var/spool/cron/root
echo '#!/bin/bash' >/etc/rc.local文章转载:
https://www.cmsky.com/uninstall-aliyun-monitoring
https://blog.whe.me/post/uninstall-aliyun-monitoring.html
参考文献:
使用国内Mariadb源安装RPM包
最近在国内云下载Mariadb,发现默认的源实在太慢。
经过查询发现可以使用国内源头。单独设置。推荐中科大源。
sudo vi /etc/yum.repos.d/MariaDB.repo # MariaDB 10.1 CentOS repository list - created 2016-12-31 08:44 UTC # http://downloads.mariadb.org/mariadb/repositories/ [mariadb] name = MariaDB baseurl = https://mirrors.ustc.edu.cn/mariadb/yum/10.1/centos73-amd64/ gpgkey = https://mirrors.ustc.edu.cn/mariadb/yum/RPM-GPG-KEY-MariaDB gpgcheck = 1
编译错误安装错误 no acceptable C compiler found in $PATH
编译错误安装错误 no acceptable C compiler found in $PATH
可能是没有安装gcc编译器
yum -y install gcc
./configure: line 25001: make: command not found编译错误 Centos下安装g++
CENTOS编译安装软件时候command is not found,可能是没有正确安装g++编译器.
centos:
gcc:
yum install gcc
g++:
yum install gcc-c++ #或者 yum install make #或者 yum groupinstall "Development Tools" #或者 yum install gcc gcc-c++ kernel-devel
— 或者
— 或者
configure: error: cannot find Boost headers version >= 1.35.0
当 configure出现configure: error: cannot find Boost headers version >= 1.35.0错误时,意味着安装boost-devel出现问题。
解决方案:
UBUNTUN/DEBIAN
# sudo apt-get -y install libboost-all-dev
CENTOS:
# yum install boost-devel
在线更新Ubuntu
1、终端下执行命令
$ sudo apt-get update && sudo apt-get dist-upgrade
2、重启系统以完成更新的安装
$ sudo init 6
3、用命令安装更新管理器核心update-manager-core,如果服务器已安装则可以跳过
$ sudo apt-get install update-manager-core
4、编辑/etc/update-manager/release-upgrades配置文件,设置Prompt=lts
$ sudo vi /etc/update-manager/release-upgrades
5、启动升级进程
$ sudo do-release-upgrade -d
6、按下“Y”,点击回车,开始升级过程
7、随着升级的系统,必须重启某些服务,选择Yes并继续
8、系统会提示删除过时的包,输入“Y”,并在升级过程完成后,使用以下命令重新启动服务器:
$ sudo init 6
现在Server已经升级到Ubuntu Server 16.04(Xenial Xerus)LTS。
Debian或Ubuntun wget下载证书无法验证
Debian或Ubuntun wget下载证书无法验证,出现如下类似错误:
ERROR: cannot verify URL’s certificate, issued …….’: Unable to locally verify the issuer’s authority.
解决方案:1.增加下载附件参数 –no-check-certificate
2.更新安装根证书
$ sudo apt-get install ca-certificates
手把手教你在CoreOS部署一个WordPress程序
摘要:你可能听过服务器操作系统CoreOS的名字,那你试过在上面建立个小程序么?今天,我们就来手把手地教你建立一个简单的WordPress程序。
CoreOS是一个专门为大规模服务器部署定制的Linux精简系统,它将操作系统和应用程序完全分离,从而降低操作系统和应用程序的耦合度,同时解决了现有Linux服务器在容器资源、权限管理方面出现的问题。就目前来说,CoreOS会是未来操作系统的发展趋势。
那你有没有亲自在CoreOS上部署一个应用程序呢?相信大多数人都没有过这样的经验,在CoreOS上建立一个应用程序可以说是非常辛苦及沮丧的。因为在开始建立程序之前你首先必须了解所有不同的技术。
下面,我们将手把手地教你来创建一个简单的WordPress应用程序,采用MySQL作为服务器,在CoreOS上运行。
1. 安装CLI来控制CoreOS
如果你的电脑是Mac,可以在本机安装fleetctl和etcdctl来控制CoreOS集群:
$ brew install go etcdctl $ git clone https://github.com/coreos/fleet.git $ cd fleet $ ./build $ mv bin/fleetctl /usr/local/bin/
2. 安装本地集群
使用部署虚拟化开发环境Vagrant来安装本地集群很容易:
$ git clone https://github.com/CenturyLinkLabs/coreos-vagrant $ cd coreos-vagrant/cluster $ vagrant up --provision
现在集群就安装好了,简单吧!下面就让我们来检查一下本地fleetctl:
$ fleetctl list-machines MACHINE IP METADATA 09fd0a88... 10.0.2.15 - 77763947... 10.0.2.15 - f31c383c... 10.0.2.15 -
真棒,它起作用了!3. 使用fleet部署一个应用程序
fleetctl命令可把应用程序部署到CoreOS集群的节点中,但要为fleet写服务文件真的是太糟糕了。幸运的是,你不必自己编写,你可以使用yaml format来生成服务文件:
$ sudo gem install bundler fig2coreos
$ cat fig.yml
web:
image: ctlc/wordpress
ports:
- 80:80
environment:
DB_USER: root
DB_PASSWORD: qa1N76pWAri9
links:
- db
db:
image: ctlc/mysql
ports:
- 3306:3306
environment:
MYSQL_DATABASE: wordpress
MYSQL_ROOT_PASSWORD: qa1N76pWAri9
$ fig2coreos myapp fig.yml coreos-files
$ cd coreos-files
$ ls
db-discovery.1.service
db.1.service
web-discovery.1.service
web.1.servicefleetctl客户端工具使用的是etcd系统的Key/Value存储形式,以分享配置和服务发现。下面教大家如何把程序部署到集群中:
$ fleetctl start db.1.service $ fleetctl list-units UNIT LOAD ACTIVE SUB DESC MACHINE db.1.service loaded active running Run db_1 9c008961.../10.0.2.15 $ fleetctl start web.1.service $ fleetctl list-units UNIT LOAD ACTIVE SUB DESC MACHINE db.1.service loaded active running Run db_1 9c008961.../10.0.2.15 web.1.service loaded active running Run web_1 9c008961.../10.0.2.15
现在程序就运行了,但是还没有注册etcd的服务,幸运的是fig2coreos生成的服务发现文件可以帮助我们:
$ fleetctl start db-discovery.1.service
$ fleetctl start web-discovery.1.service
$ fleetctl list-units
UNIT LOAD ACTIVE SUB DESC MACHINE
db-discovery.1.service loaded active running Announce db_1 9c008961.../10.0.2.15
db.1.service loaded active running Run db_1 9c008961.../10.0.2.15
web-discovery.1.service loaded active running Announce web_1 9c008961.../10.0.2.15
web.1.service loaded active running Run web_1 9c008961.../10.0.2.15
$ etcdctl ls --recursive
/services
/services/web
/services/web/web_1
/services/db
/services/db/db_1
$ etcdctl get /services/web/web_1
{ "host": "core-03", "port": 80, "version": "52c7248a14" }
$ etcdctl get /services/db/db_1
{ "host": "core-03", "port": 3306, "version": "52c7248a14" }这样就完成了!如果你使用的是Vagrant 1.5及Vagrant Cloud,那么你就可以实现 WordPress程序并看到它可以实行了:
$ cd ~/coreos-vagrant/cluster/
# find out which box is hosting your port 80
$ etcdctl get /services/web/web_1
{ "host": "core-03", "port": 80, "version": "52c7248a14" }
$ vagrant share core-03 --http 80
==> core-03: Detecting network information for machine...
core-03: Local machine address: 192.168.65.2
core-03: Local HTTP port: 80
core-03: Local HTTPS port: disabled
==> core-03: Checking authentication and authorization...
==> core-03: Creating Vagrant Share session...
core-03: Share will be at: quick-iguana-4689
==> core-03: Your Vagrant Share is running! Name: quick-iguana-4689
==> core-03: URL: http://quick-iguana-4689.vagrantshare.com下面就是做好的效果图:
其实我们可以在CoreOS上能做很多事,今天这个只是基础,感兴趣的你可以动手试一试
原文链接:http://www.csdn.net/article/2014-03-26/2818984