Posts

Linux 磁碟空間未釋放的解決方法

Linux 磁碟空間未釋放的解決方法使用 df -ah 命令 du -h --max-depth=1 du 的總和遠小於 df 得到的總量。程式使用的檔案資源被刪除後，程式仍在執行，導致檔案未真正刪除，無法釋放磁碟空間，也無法被統計到。 lsof |grep delete

Wednesday, July 10, 2019 閱讀

Sentry 原始碼開發筆記

Sentry 原始碼開發筆記 Formatting uWSGI requests logs PostgreSQL: Documentation: 9.3: The Password File

Wednesday, July 3, 2019 閱讀

openresty+redis 攔截高頻訪問 IP init_by_lua_block { redis = require "redis" client = redis.connect('127.0.0.1', 6379) } server { listen 8080; location / { access_by_lua_file /usr/local/nginx/conf/lua/block.lua; proxy_pass http://192.168.1.102:8000; } } -- Redis-based IP rate limiting / blocking for OpenResty (ngx_lua) -- NOTE: -- This script assumes a global `client` variable is used/stored. -- Make sure `redis` module is available and `client` is initialized somewhere. local function isConnected() return client:ping() end local function createRedisConnection() return redis.connect("127.0.0.1", 6379) end -- 如果發生 redis 連線失敗，將停止攔截（直接放行） if pcall(isConnected) then -- already connected (or ping succeeded) else -- not connected; try reconnect if pcall(createRedisConnection) then -- 斷開重連：會導致每次訪問都需要重連 redis -- 訪問量大時建議：關閉重連邏輯（pcall 不執行），直接 ngx.exit 放行/終止 client = createRedisConnection() else ngx.exit(ngx.OK) end end local ttl = 60 -- 監測週期（秒） local bktimes = 30 -- 在監測週期內達到觸發攔截的訪問量 local block_ttl = 600 -- 觸發攔截後攔截時間（秒） local ip = ngx.var.remote_addr local ipvtimes = client:get(ip) if ipvtimes then if ipvtimes == "-1" then -- blocked return ngx.exit(403) else local last_ttl = client:ttl(ip) -- ngx.say("key exist.ttl is ", last_ttl) if last_ttl == -1 then client:set(ip, 0) client:expire(ip, ttl) -- ngx.say("ttl & vtimes recount") return ngx.exit(ngx.OK) end local vtimes = tonumber(client:get(ip)) + 1 if vtimes < bktimes then client:set(ip, vtimes) client:expire(ip, last_ttl) -- ngx.say(ip, " view ", vtimes, " times") return ngx.exit(ngx.OK) else -- ngx.say(ip, " will be block next time.") client:set(ip, -1) client:expire(ip, block_ttl) return ngx.exit(ngx.OK) end end else -- key does not exist client:set(ip, 1) -- ngx.say(ip, " view 1 times") client:expire(ip, ttl) return ngx.exit(ngx.OK) end

Thursday, June 27, 2019 閱讀

[Terraform] 入門學習筆記

Wednesday, June 26, 2019 閱讀

設定 Haproxy 以防止 DDOS 攻擊

設定 Haproxy 以防止 DDOS 攻擊 TCP syn flood attacks vi /etc/sysctl.conf # Protection from SYN flood net.ipv4.tcp_syncookies = 1 net.ipv4.conf.all.rp_filter = 1 net.ipv4.tcp_max_syn_backlog = 1024 Slowloris like attacks defaults option http-server-close timeout http-request 5s timeout connect 5s timeout client 30s timeout server 10s timeout tunnel 1h 限制每一個 user 的連線數量普通用戶瀏覽網站的網頁，或是從網站下載東西時，瀏覽器一般會建立 5-7 個 TCP 鏈接。當一個惡意 client 打開了大量 TCP 連線時，耗費大量資源，因此我們必須要限制同一個用戶的連線數量。但如果有很多使用者，是從某一個私有網段，透過 NAT 的方式連線到 Server 時，且實際上我們也不知道，到底哪一個會是 NAT 的轉址後的 IP，不知道該將哪個 IP 設定為白名單，這樣的限制就會造成問題，因此我們認為實際的環境，這樣的設定應該要保留不處理。以下是一個設定的範例，最重要的地方是在 frontend ft_web 區塊的設定。 global stats socket ./haproxy.stats level admin defaults option http-server-close mode http timeout http-request 5s timeout connect 5s timeout server 10s timeout client 30s listen stats bind 0.0.0.0:8880 stats enable stats hide-version stats uri / stats realm HAProxy Statistics stats auth admin:admin frontend ft_web bind 0.0.0.0:8080 # Table definition stick-table type ip size 100k expire 30s store conn_cur # Allow clean known IPs to bypass the filter tcp-request connection accept if { src -f /etc/haproxy/whitelist.lst } # Shut the new connection as long as the client has already 10 opened tcp-request connection reject if { src_conn_cur ge 10 } tcp-request connection track-sc1 src # Split static and dynamic traffic since these requests have different impacts on the servers use_backend bk_web_static if { path_end .jpg .png .gif .css .js } default_backend bk_web # Dynamic part of the application backend bk_web balance roundrobin cookie MYSRV insert indirect nocache server srv1 192.168.1.2:80 check cookie srv1 maxconn 100 server srv2 192.168.1.3:80 check cookie srv2 maxconn 100 # Static objects backend bk_web_static balance roundrobin server srv1 192.168.1.2:80 check maxconn 1000 server srv2 192.168.1.3:80 check maxconn 1000 限制每個 user 產生新連線的速率 Limiting the connection rate per user 惡意的使用者會在短時間內建立很多連線，但如果產生新連線的速度太高，就會消耗掉過多的資源服務一個使用者。

Monday, June 17, 2019 閱讀

白話 Kubernetes Runtime

Thursday, June 13, 2019 閱讀

Nginx 請求處理流程你了解嗎？

Nginx 請求處理流程你了解嗎？ 11 個處理階段 1）NGX_HTTP_POST_READ_PHASE：接收到完整的 HTTP 標頭後處理的階段，位於 URI 重寫之前。實際上很少有模組會註冊在該階段，預設情況下會被跳過。 2）NGX_HTTP_SERVER_REWRITE_PHASE：在 URI 與 location 匹配前修改 URI 的階段，用於重新導向。該階段執行 server 區塊內、location 區塊外的重寫指令。在讀取請求標頭的過程中，nginx 會根據 host 及埠號找到對應的虛擬主機設定。 3）NGX_HTTP_FIND_CONFIG_PHASE：根據 URI 尋找匹配的 location 設定項階段，使用重寫後的 URI 來查找對應的 location。需要注意的是該階段可能會被執行多次，因為也可能有 location 級別的重寫指令。 4）NGX_HTTP_REWRITE_PHASE：上一階段找到 location 後再次修改 URI，屬於 location 級別的 URI 重寫階段，也可能會被執行多次。 5）NGX_HTTP_POST_REWRITE_PHASE：防止重寫 URL 後導致的死循環，屬於 location 重寫的下一階段，用來檢查上階段是否有 URI 重寫，並根據結果跳轉到合適的階段。 6）NGX_HTTP_PREACCESS_PHASE：下一階段之前的準備，屬於存取權限控制的前一階段。一般也用於存取控制，例如限制存取頻率、連線數等。 7）NGX_HTTP_ACCESS_PHASE：讓 HTTP 模組判斷是否允許請求進入 Nginx 伺服器的存取控制階段，例如基於 IP 白名單/黑名單、使用者名稱密碼等的權限控制。 8）NGX_HTTP_POST_ACCESS_PHASE：存取控制的後一階段，根據上一階段的執行結果進行處理，向使用者送出拒絕服務的錯誤碼，用來回應上一階段的拒絕。 9）NGX_HTTP_TRY_FILES_PHASE：為存取靜態檔案資源而設置，try_files 指令的處理階段。如果沒有設定 try_files 指令，該階段會被跳過。 10）NGX_HTTP_CONTENT_PHASE：

Thursday, March 7, 2019 閱讀

阿瓦隆(The Resistance：Avalon)

Monday, December 24, 2018 閱讀

Linux CentOS 7 安裝字體庫 & 中文本體

Linux CentOS 7 安裝字體庫 & 中文本體 yum -y install fontconfig 這時在 /usr/shared 目錄就可以看到 fonts 和 fontconfig 目錄了（之前是沒有的）在這之前我們還需要新建目錄，首先在 /usr/shared/fonts 目錄下新建一個目錄 chinese mkdir /usr/shared/fonts/chinese 只需要將我們需要的字體拷貝出來並上傳至 linux 服務器 /usr/shared/fonts/chinese 目錄下即可，在這裏我選擇宋體和黑體（報表中用到了這兩種字體），可以看到是兩個後綴名為 ttf 和 ttc 的文檔 chmod -R 755 /usr/share/fonts/chinese 接下來需要安裝 ttmkfdir 來搜索目錄中所有的字體信息，並彙總生成 fonts.scale 文檔 yum -y install ttmkfdir ttmkfdir -e /usr/share/X11/fonts/encodings/encodings.dir vi /etc/fonts/fonts.conf <dir>/usr/shared/fonts/chinese<dir> 刷新內存中的字體緩存 fc-cache

Tuesday, December 18, 2018 閱讀

auth.log 中 sshd 這行的 SHA256 是什麼？

auth.log 中 sshd 這行的 SHA256 是什麼？ ssh-keygen -lf .ssh/id_rsa.pub cat .ssh/id_rsa.pub | awk '{ print $2 }' | # 只取實際的 key 資料，不含前綴或註解 base64 -d | # 以 base64 解碼 sha256sum | # SHA256 雜湊（回傳十六進位） awk '{ print $1 }' | # 只取十六進位資料 xxd -r -p | # 十六進位轉位元組 base64 # 以 base64 編碼

Monday, December 17, 2018 閱讀

Shell 中 `< <(command args)` 是什麼意思？

Shell 中 < <(command args) 是什麼意思？ while IFS= read -r -d $'\0' file; do dosomethingwith "$file" # 對每個檔案進行處理 done < <(find /bar -name *foo* -print0) <() 在手冊中稱為 process substitution，它類似於管線，但會傳遞 /dev/fd/63 這種形式的參數，而不是使用 stdin。 < 會從命令列指定的檔案讀取輸入。這兩個運算子合起來的作用與管線完全相同，因此可以改寫為： find /bar -name *foo* -print0 | while read line; do ... done

Saturday, November 17, 2018 閱讀

Netcat（Linux nc 指令）網路管理者工具實用範例

Netcat（Linux nc 指令）網路管理者工具實用範例傳送測試用的 UDP 封包到遠端伺服器下面這行指令會傳送 UDP 的測試封包到指定的機器與連接埠，-w1 參數是指定 timeout 的時間為 1 秒。 echo -n "foo" | nc -u -w1 192.168.1.8 5000 開啟 UDP 連接埠接收資料 nc -lu localhost 5000 遠端機器的連接埠掃描（Port Scanning）這行指令會掃描指定機器 1 ~ 1000 與 2000 ~ 3000 這兩個範圍的 TCP 連接埠，看看哪些埠號有開啟。 nc -vnz -w 1 192.168.233.208 1-1000 2000-3000 這行則是掃描 UDP 的連接埠 nc -vnzu 192.168.1.8 1-65535 在兩台主機之間複製檔案假設現在有兩台主機，分別為 A 主機與 B 主機，若要將一個檔案從 A 主機複製到 B 主機，可以先在 B 主機（檔案接收者）上執行： nc -l 5000 > my.jpg

Friday, November 9, 2018 閱讀