openwrt的sysupgrade和factory固件的区别

openwrt的固件一般分两种类型:factory原厂固件、sysupgrade固件

factory多了一些验证的东西,用于在原厂固件的基础上进行升级。

普通家用路由一般不是openwrt固件,如果要将家用路由升级为openwrt固件,就可以用factory刷到路由上。sysupgrade是在openwrt路由基础上升级固件,无论你是原厂固件或者本身就是openwrt固件,要升级到openwrt,factory都适用,但是sysupgrade只能用在升级,TTL救砖的时候就不能用sysupgrade。sysupgrade不包含数据分区,factory带,factory预留原厂分区,sysupgrade只包含openwrt分区。

阅读剩余部分 -

使用CloudFlare开启HTTP严格传输安全(HSTS)

HTTP Strict Transport Security (通常简称为HSTS, RFC 6797) 是一项网络安全技术,旨在帮助安全的HTTPS的Web服务器免受降级攻击。虽然HSTS能有效抵御网络攻击,但由于部署它相对困难导致这项技术尚未被广泛采用。CloudFlare的目的是改变这一点。

降级攻击(也称为SSL剥离攻击)是Web应用程序的严重威胁。这种类型的攻击是借助中间人发动攻击,攻击者可以将网页浏览器从一个正确配置的HTTPS Web服务器重定向到受Web攻击者控制的Web服务器。一旦攻击者成功地重定向用户,用户的个人隐私数据,包括Cookies,都可能会受到侵害。因为纯粹的SSL加密办法无法抵御这种攻击,所以才催生了HSTS技术。

SSL剥离攻击: 绕过SSL的保护然后发动攻击。

HSTS工作原理: 强制客户端使用 HTTPS 访问网站。过程如下:

  1. 用户第一次访问开启了 HSTS 功能的网站
  2. 在浏览器中留下一个包含 max-age 的HSTS缓存 Strict-Transport-Security
  3. 用户在 max-age 保质期内再次访问网站,浏览器就会根据缓存中的HSTS设置自动跳转到HTTPS页面

CloudFlare提供的HSTS配置参数如下:

  • Enable HSTS (Strict-Transport-Security): On/Off.
  • Max Age (max-age): 即HSTS缓存的“生存时间”。一般建议设置成6个月,这样才能获得 Qualys SSL Labs 的 A+ 评级。Web浏览器会缓存和执行政策HSTS此值的持续时间。如果你将这个值设置为“0”,将会禁用HSTS功能。
  • Apply HSTS Policy to subdomains (includeSubDomains): 将HSTS网站策略应用到每个子域名。

阅读剩余部分 -

生产线上的nginx如何添加未编译安装模块

正在生产线上跑着web前端是nginx+tomcat,现在有这样一个需求,需要对网站的单品页面和列表页设置缓存,不同的页面设置不同的缓存,但是由于开始没有安装ngx_cache_purge这个模块,现在没法直接往配置文件里边写,这时候,就需要在线安装ngx_cache_purge此模块,下边就说下怎么在线编译安装新模块。

安装步骤:

1.首先看下内核和系统的版本号。

1

2

3

4

5

6

7

8
[root@vmware1 ~]# uname -a
Linux vmware1 2.6.18-308.el5 #1 SMP Tue Feb 21 20:06:06 EST 2012 x86_64 x86_64 x86_64 GNU/Linux
[root@vmware1 ~]# lsb_release -a
LSB Version:    :core-4.0-amd64:core-4.0-ia32:core-4.0-noarch:graphics-4.0-amd64:graphics-4.0-ia32:graphics-4.0-noarch:printing-4.0-amd64:printing-4.0-ia32:printing-4.0-noarch
Distributor ID: CentOS
Description:    CentOS release 5.8 (Final)
Release:        5.8
Codename:       Final

阅读剩余部分 -

CentOS查看内核版本,位数,版本号

1)[root@localhost ~]# cat /proc/version

Linux version 2.6.18-194.el5 (mockbuild@builder10.centos.org) (gcc version 4.1.2 20080704 (Red Hat 4.1.2-48)) #1 SMP Fri Apr 2 14:58:14 EDT 2010

2)

[root@localhost ~]# uname -a

linux localhost.localdomain 2.6.18-194.el5 #1 SMP Fri Apr 2 14:58:14 EDT 2010 x86_64 x86_64 x86_64 GNU/Linux

3)

[root@localhost ~]# uname -r

2.6.18-194.el5

2. 查看linux版本:

1) 列出所有版本信息,

[root@localhost ~]# lsb_release -a

LSB Version:    :core-3.1-amd64:core-3.1-ia32:core-3.1-noarch:graphics-3.1-amd64:graphics-3.1-ia32:graphics-3.1-noarch

Distributor ID: CentOS

Description:    CentOS release 5.5 (Final)

Release:        5.5

Codename:       Final

注:这个命令适用于所有的linux,包括Redhat、SuSE、Debian等发行版。

2) 执行cat /etc/issue,例如如下:

[root@localhost ~]# cat /etc/issue

CentOS release 5.5 (Final)

Kernel r on an m

3) 执行cat /etc/redhat-release ,例如如下:

[root@localhost ~]# cat /etc/redhat-release

CentOS release 5.5 (Final)

查看系统是64位还是32位:

阅读剩余部分 -

微软官方的 Windows + IE 虚拟机镜像

微软官方的虚拟机镜像,用于测试网站在 IE/Edge 下面的显示效果。对于国内用户,正好当作沙盒,专放 BAT 各家的垃圾软件,以及网银。

自带 90 天的激活,到期后再次激活即可,激活方法在虚拟机的桌面上。

https://dev.windows.com/en-us/microsoft-edge/tools/vms/windows/

支持 Windows, Mac, Linux

目前提供的系统 + IE 版本有:

IE6 on XP
IE7 on Vista
IE8 on XP
IE8 on Win7
IE9 on Win7
IE10 on Win7
IE10 on Win8
IE11 on Win81
IE11 on Win7
MSEdge on Win10

镜像格式有

VirtualBox
Vagrant
HyperV
VPC
VMware

阅读剩余部分 -

Nginx的SSL证书安全设置

使用最新版本的openssl

禁用 SSLv2 和 SSLv3
这两个协议都是不安全的, 我们应该在服务器上禁用这两个协议。添加一下代码到网站的配置文件, lnmp的网站配置文件位于 /usr/local/nginx/conf/vhost 目录

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

使用安全的Cipher Suite
将以下代码放在网站的配置文件里面

ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';

以上设置不支持Winxp/IE6 ,如果你想网站同时Winxp/IE6的话可以使用使用以下的Cipher Suite

ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";

额外的安全设置,请添加如下代码

ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
 

阅读剩余部分 -

This site works only in browsers with SNI support

上周启用了 https,昨天偶然使用 IE8 竟然打不开我的网站了,连链接都没有建立,刷新、清缓存、InPrivate 都不行,换 Chrome 也不行,还好 Chrone 有错误提示:
ERR_SSL_VERSION_OR_CIPHER_MISMATCH

唯有我常用的 Firefox 可以正常打开,忘了说,我的操作系统是 Windows XP。

我的主题对 IE 家族做了特殊照顾,向下兼容到 IE6,如果单单是 IE8 以下的浏览器打不开这还能接受,但是 Chrome 也打不开,这就不能接受了。Google 一下 ERR_SSL_VERSION_OR_CIPHER_MISMATCH 这个错误,在 nginx 网站找到一个答案,说要启用 SNI。然而,这并不是造成以上问题的原因,真正的原因是 cloudflare 的免费CDN 对使用 TLS 协议封装加密的 https 做了限制,要求客户端浏览器必须支持 TLS 的 SNI 扩展,而 XP 系统上 IE、chrome 都不支持 SNI。

SNI 是什么

简单来说 SNI 是 TLS 的一个功能扩展,有了 SNI 就可以在单个 IP 上启用多个 SSL 证书,现实一点说就是可以在只有一个 IP 地址的 VPS 上建立两个或更多的 https 网站了。

阅读剩余部分 -

Nginx 配置上更安全的 SSL & ECC 证书 & Chacha20 & Certificate Transparency

文章修订记录

  • 2016.03.03: 补充了 Chacha20 和 Certificate Transparency 相关的配置
  • 2015.12.07: 关于 ECC 证书的补充
// Generate RSA key
openssl genrsa -out private.key 4096

// Generate ECC key
openssl ecparam -genkey -name secp384r1 -out private-ecc.key

// Generate CSR
openssl req -new -sha384 -key private-ecc.key -out www_pupboss_com.csr

关于 ECC 证书,好处就不多说了,256 位的证书加密强度比 2048 位的 RSA 都高,还避免了性能消耗 吗?。

谷歌一搜  ECC 证书 ,首页已经被沃通承包了,他不断夸大自己的数据,说 ECC 如何如何好,对移动设备友好,兼容 XP Android 2.1.x 等等等等,其实生产环境并没发现有什么优势,正常的 ECC 反而不兼容 Android 2.x,XP。

沃通颁发的 ECC 证书是经过特殊处理的(如果他的 ECC 证书真的兼容 XP Android 2.1.x),猜测是采用了传说中的双证书。

阅读剩余部分 -

最新文章

归档

其它

链接

meiyoutongji