Lan Tian @ Blog

OpenSSL 在最新的测试版中提供了 TLS 1.3 的实验性支持，包括了一系列的性能和安全性优化。最新的 nginx 1.13 系列也相应的添加了 TLS 1.3 的相关选项。 不过由于 TLS 1.3 还处在草案状态，现在使用还是要踩一些坑的： TLS 1.3 目前有 18、19、20 三个版本的草案已经被 OpenSSL 等实现，而且它们互不兼容，也没有一个 SSL 的库把它们三合一。 目前 Chrome、Firefox 等浏览器广泛使用的是 18 版草案，但是这个版本的 OpenSSL 不支持 TLS 扩展，而 Certificate Transparency 需要用到它。 虽然最新的 nginx-ct 插件增加了 TLS 1...

DN42 全称 Decentralized Network 42（42 号去中心网络），是一个大型的 VPN 网络。但是与其它传统 VPN 不同的是，DN42 使用了大量在互联网骨干上应用的技术（例如 BGP），可以很好的模拟一个真实的网络环境。 正因为它的真实，使用 DN42 的门槛比较高。你要扮演一个 ISP（互联网服务提供商），注册一个 ASN 号码，注册 IPv4 和 IPv6 的地址池，并且使用 BGP 在自己的服务器上广播它们。你还要和其它的用户联系，和他们做 Peering（对接），一步步进入完整的 DN42 网络。 DN42 在 172.20.0.0/14 和 fd00::/8 上运行，而这两个 IP 段都是分配给内网使用的...

前言 天朝绝大多数 ISP 均不为用户提供 IPv6 地址，除了教育网。但是教育网的 IPv6 很不稳定（可能和我的学校有关），而且一旦离开学校就没有 IPv6 了，很不爽。 有一种方法是使用 HE.NET 的隧道服务。在 SixXS 关闭之后，他们是目前仅存的最大的 IPv6 隧道提供者，而且他们的服务完全免费。但是他们的服务并不适用于天朝的家庭网络环境，因为家庭网络普遍是动态 IP，并且部分运营商为了节省成本已经开始使用大内网，用户无法获取独立 IP，在同一内网就会产生冲突。 好消息是，我有好几台 VPS，均由 VPS 提供商或者 HE.NET 的隧道服务提供了 IPv6。这意味着我可以使用 VPN 方案...

前言 多台 Docker 服务器上的容器互通是一个不好解决的问题。如果自建一个 Overlay 网络，就需要在一台服务器上建立 etcd 之类的服务。但如果 etcd 所在的服务器挂了，整个网络就 GG 了。我用的便宜 VPS 有偶尔网络中断的情况，我自己搞崩也服务器是常有的事，所以我不能采取这种方式。 Docker 也有其它的基于 Overlay 的商业化组网方案，例如 Weave，但是对于个人用户来说这些方案的价格太高了（我只是搞来玩玩），所以也不考虑。 在这些网络结构上，etcd 或者 Weave 之类的中心服务器记录了每个容器所在的服务器和内部 IP，所以在任何容器上都可以直接 DNS 解析到其它容器...

东北大学网络中心在其网站上提供了一份 SSH 黑名单，列出了使用端口扫描工具扫描 SSH 端口的 IP 名单，貌似是由他们自己设立的蜜罐服务器检测统计的。同时，他们也提供了黑名单对应的 hosts.deny 文件的下载，允许用户使用 cron 一类的计划任务软件自动更新 SSH 黑名单列表并屏蔽这些扫描者（阻止它们登录）。 不确定这套系统是什么时候推出的，但是它至少已经运行了两年了。另外，它对于这些 IP 的屏蔽时间貌似是最后一次发现的 60 天内。 使用方法：在服务器上安装 cron，然后运行如下命令安装脚本： ldd `which sshd` | grep libwrap cd /usr/local/bin/ wget antivirus...

Android 系统有着用户可直接操作的存储空间，用户可以很方便地管理自己的文件（相比 iOS 而言）。但是某些软件也会在存储空间根目录直接建立大量的文件夹，影响了用户的文件管理，并对强迫症人群造成了极大的威胁。 于是我写了一个 Xposed 插件。插件 Hook 了 Android 的 File 类，当有程序尝试用 File 类读取或写入根目录的文件或文件夹，插件会检测这个文件或文件夹是否存在。如果存在，那么插件不做任何操作；如果不存在，那么插件就将操作重定向到 /Android/files 文件夹下。 相比于 XInternalSD，这样操作的优点是可以对付某些不自律的应用。这些应用不使用 Android 系统函数获取存储路径...

很多时候，在 WordPress、Typecho 等自建评论系统的网站中回复，只能靠自己不断访问来确定自己的评论有没有被别人回复。然而，对于大多数人来说这样做是非常麻烦的。 博主解决问题的常用方法，就是安装邮件提醒插件。当一名评论者的评论被回复，就会有邮件提醒评论者。 Typecho 上使用最广泛的插件是 CommentToMail，最早由 DEFE 开发，后来由 Byends Upd 接手。该插件通过常用的 PHP Mail，SendMail 或者 SMTP 来发送邮件。 但是，比起以前的注册一个邮箱来发提醒邮件，现在博主们也开始使用 Mailgun 之类的邮件平台。这类邮件平台提供 API 发信功能，不需要再进行复杂的 SMTP 发信设置，也不需要繁杂的处理代码...

Docker 是一个 Linux 下的容器管理软件。每个容器某种意义上相当于一个 OpenVZ VPS，可以将服务器上的各个应用隔离开来。这种隔离有助于同一软件不同版本，或是互相冲突的软件在同一服务器上运行，比如 MySQL 5.7，MySQL 5.6 和 MariaDB 10.1 可以在同一台服务器上的三个 Docker 容器中运行。 但是 Docker 比 OpenVZ 优秀的地方在于，它对 Linux 内核的版本要求要宽松的多。OpenVZ 的内核至今为止停留在 2.6.32（稳定版）和 3.10（开发版），但是 Docker 可以在 3.10 以上的任何版本 Linux 内核运行。我的服务器现在运行 Linux 4.9 内核（为了 BBR）...

起因 我最近在用 PHP 写一套自己的 VPS 监控系统，包括 VPS 端和显示端。今天下午 3 点，我给监控系统加上了监测 VPS 上服务的运行情况的功能。由于我的 VPS 统一使用 Debian 8 系统，我使用了 service --status-all 作为获取服务运行情况的方式。在测试正常后，我去干其它事了。 晚上 9 点多，我看到了 NodeQuery 于 7 点给我发的报警邮件，提示我的某台 VPS 内存占用过高。 我打开监控系统一看，这台 VPS 的内存占用达到了 400M / 500M。不仅如此，另一台 VPS 也内存暴涨，达到了 600M / 1G，但因为总内存大没有触发报警...

随着 Bilibili 用户的增多，不少小学生也进入了 B 站，并且发布了大量不合弹幕礼仪的弹幕，对其他用户观看视频造成了极大的影响。不少用户甚至因此彻底关闭弹幕，但不看弹幕用什么 B 站？我自己用 Python 3 写了个小程序以过滤掉小学生弹幕（同时这个程序也是最近编程课 Python 的练手）。程序可以在 https://github.com/xddxdd/bilibili-dmshield 看到。可以通过将 comment.bilibili.com 的 IP 通过 hosts 文件指向 127.0.0.1，或者通过 FoxyProxy 或者 SwitchyOmega 等插件将 comment.bilibili.com 的代理指向程序的代理端口，来使用过滤功能...