前言 Kubernetes 中大量用到了证书, 比如 ca证书、以及 kubelet、apiserver、proxy、etcd等组件,还有 kubeconfig 文件。 如果证书过期,轻则无法登录 Kubernetes 集群,重则整个集群异常。 为了解决证书过期的问题,一般有以下几种方式: 大幅延长证书有效期,短则 10年,长则 100 年; 证书快过期是自动轮换,如 Rancher 的 K3s,RKE2 就采用这种方式; 增加证书过期的监控,便于提早发现证书过期问题并人工介入 本次主要介绍关于 Kubernetes 集群证书过期的监控,这里提供 3 种监控方案: 使用 Blackbox Exporter 通过 Probe 监控 Kubernetes apiserver 证书过期时间; 使...阅读全文
Istio 1.1 已于今天发布了正式版,官方表示自推出 1.0 正式版后,用8个月的时间对整个产品进行了一些重大改进,其中包括来自华为,Google,IBM,VMware,RedHat,思科,SAP,Salesforce,Pivotal,SUSE,Datadog 和 LightStep 等厂商提供的修复和功能。 新特性主要有: 缺省关闭 Mixer 策略检查 从 Istio 的早期版本开始,关于如何关闭 Mixer 策略检查的讨论就没有停止过,现在社区已经达成共识,绝大多数场景中,对性能的需求,其重要性是大于对预检功能的需求的,因此 1.1 版本中,缺省安装会关闭 Mixer 的这一功能。 缺省开放 Egress 通信 新增...阅读全文
Apache APISIX Ingress Controller 是一款以 Apache APISIX 作为数据面的 Kubernetes Ingress Controller 开源工具,目前已经更新到 v1.3 版本,实现了如证书管理、负载均衡、金丝雀发布等功能。 长久以来,证书管理都不是一件简单的事情,虽然 Apache APISIX Ingress Controller 支持从 Kubernetes Secrets 资源中提取证书和私钥,并转换为 Apache APISIX 可识别的 SSL 对象,但这只是整个证书管理链中的一部分,证书的颁发、轮转、吊销逻辑依然需要管理员执行,尤其当证书数量比较多时,工作量往往并不小,因而会占用管理员不少的时间。 Cert Manager 是一款致力...阅读全文
》(LFS)是杰勒德·比克曼斯等人编写的久负盛名的安装Linux的教科书,描述了从源代码编译Linux系统的方法。这本书可以从在Linux From Scratch网站上免费下载到,下载链接如文末。书中详细地描述了如何从零开始构建一个完整的 Linux 系统,不过 LFS 包含的套件较少,一般来说 BLFS 提供的套件更多,其几个相关的子项目有如下这些: Beyond Linux From Scratch(BLFS) 标准LFS仅仅安装了足够让系统启动的基本软件,以及使新系统能够编译新软件包的开发工具。BLFS包括了更多的软件包,且都有相应指导。 Crosss Linux From Scratch(CLFS) 为需要进行交叉编译(即在一个平台上编译另一个平台的代码)的用户提供指导,正式版本为1.0...阅读全文
OpenSSH 8.2 发布了。OpenSSH 是 100% 完整的 SSH 协议 2.0 版本的实现,并且包括 sftp 客户端和服务器支持。此版本变化不少,其中有两个地方值得特别关注。一个是新特性,此版本增加了对 FIDO/U2F 硬件身份验证器的支持。 FIDO/U2F 是廉价硬件双因认证的开放标准,广泛应用于网站的身份验证。此版本通过新的公共密钥类型“ecdsa-sk”和“ed25519-sk”,以及相应的证书类型支持 FIDO 设备。 ssh-keygen(1) 可用于生成 FIDO 令牌支持的密钥,之后它们的使用方式与 OpenSSH 支持的任何其它密钥类型非常相似,只要在使用密钥时附加硬件令牌。 另一方面关于 SHA-1 哈希算法,此前该算法被发现构造前缀碰撞攻击成本已降至低...阅读全文
推荐的加密和散列证书,而不是使用不安全算法的老化证书。 不过,本周一时,DigiCert 的 Timothy Hollebeek 却反对将证书有效期缩短至 13 个月,他认为,缩短证书寿命确实带来的好处,但意味着要有更好的方法来确保证书是最新的和安全的,同时也存在一些麻烦,企业不得不每年续签一次付费证书,并且增加其成本。 换句话说,减少有效期可能会促使企业免费使用 Let's Encrypt TLS/SSL,就不会向 Digicert 这样的机构支付费用。Let's Encrypt 可以免费发放 90 天的 HTTPS 证书,使用提供的软件客户端来自动更新和部署证书,而由于几乎所有浏览器和操作系统都支持 Let's Encrypt TLS/SSL 证书,导致该服务正给向 HTTPS 证书收费...阅读全文
Linux From Scratch (LFS) 和 Beyond Linux From Scratch (BLFS) 8.1 已发布,该版本提供了许多更新的软件包和一些修复程序。 官方在 发布说明 中说道: LFS 8.1, LFS 8.1 (systemd), BLFS 8.1, 和 BLFS 8.1 (systemd) 已正式发布,该版本是 LFS 和 BLFS 的主要更新。 LFS 8.1 包括了升级至 glibc-2.26, binutils-2.29, 和 gcc-7.2.0 这些更新。总共有 32 个包被更新,对引导脚本进行了修复,并在整本书中对文本进行了更改。 BLFS 版本包括大约 900 个软件包的更新。 此版本的更新超过 885 处,包括许多文字和格式的更改。该指南可...阅读全文
根据 Let’s Encrypt CA 的统计,截至 2017 年 11 月,Firefox 加载的网页中启用 HTTPS 的比例占 67%,比去年底的 45% 有巨大提升。浏览器开发商如 Mozilla, Google 准备采取下一步措施:将所有 HTTP 网站标记为不安全。 随着 HTTPS 的普及,给网站加个 SSL 证书已经是大势所趋而且很有必要了。目前已经存在不少免费好用的 SSL 证书,因此,本文就来盘点一下关于免费 SSL 证书的那些事儿。 一、Let’s Encrypt 官方网站:https://letsencrypt.org/ 点评:毫无疑问,Let’s Encrypt 是目前使用范围最为广泛的免费 SSL 证书,而且官方博客宣布,自 2018 年开始提供通配符 SSL...阅读全文
SSL是网络加密传输协议,安装SSL数字证书之后,就可以通过加密方式访问网站。SSL证书的作用主要是确保网络传输数据安全,GoDaddy 提供了的 SSL 证书服务比较受欢迎。下面,我将给大家介绍,如何使用30%的折扣码,在 GoDaddy 网站上购买 SSL 证书。 1.通过本优惠链接进入Godaddy官网,点击Logo右边的菜单,然后依次点击 “Web Security” → “SSL Certificates”,下拉后,我们可以看到这些选项, 国内用户访问的,多半会跳转到 sg.godaddy.com 下,可以不影响购买。页面上我们看到的价格,也是优惠前的价格。 2.GoDdaddy提供了多种 SSL证书,结合自己的需要选择。如果需要用通配符证书,选择第三个 Wildcard SSL...阅读全文
今天我们发布了Docker CE 17.06,它包含了诸多新特性、优化和bug修复。我们在四月份的DockeCon上公布了Moby项目,Docker CE 17.06是第一个完全构建在它基础上的Docker版本。变更日志中能看到完整的更新列表,我们来看看它的一些新特性。 我们也为这篇文章制作了一个视频版本。 多阶段构建 17.06 CE最大的特性是它的多阶段构建(multi-stage builds),它最初在四月的DockerCon被公布,现在已经达到了稳定版本。多阶段构建能从一个Dockerfile中构建出更加简洁、体积更小的Docker镜像。 多阶段构建通过构建过渡镜像并产生输出。这样就能在一个过渡镜像中编译代码,在最终的镜像中只使用它的输出。例如,Java开发者通常使用Apache...阅读全文
展,以允许应用类放置在共享存档中。 JEP 312: 线程局部管控。允许停止单个线程,而不是只能启用或停止所有线程。 JEP 313: 移除 Native-Header Generation Tool (javah) JEP 314: 额外的 Unicode 语言标签扩展。包括:cu (货币类型)、fw (每周第一天为星期几)、rg (区域覆盖)、tz (时区) 等。 JEP 316: 在备用内存设备上分配堆内存。允许 HotSpot 虚拟机在备用内存设备上分配 Java 对象堆。 JEP 317: 基于 Java 的 JIT 编译器(试验版本)。 JEP 319: 根证书。开源 Java SE Root CA 程序中的根证书。 JEP 322: 基于时间的版本发布模式。“Feature...阅读全文
为“从零开始构建的 Linux”。好吧!看起来很高大上 OTZ,可它到底是什么东西呢?感觉上它好像经常和 RedHat,Debain 这类发行版混在一起,那它应该也是个发行版吧! 这样理解其实也没有什么不对,但比起发行版来,它其实更像一本书。书本只提供知识,它只教你做,不会帮你做。这才是 LFS 和别的发行版的本质区别。这本书可以教你如何亦步亦趋的从零开始搭建一个具体而微的 Linux 系统,没错,就是从零开始,是不是有一种上帝视角的感觉呢? 那么在哪儿可以找到这本“书”呢?你可以在网上找到电子版,当然,乐意的话,你可以打印出来——不过,我认为这没必要。你只需要按照这本书的指导,一个字母都不要敲错,你就能在它手把手地指导下,打磨出你自己的 Linux 系统啦! LFS 是本好书吗? 是的...阅读全文
O'Reilly 在出版了《Google运维解密(Site Reliability Engineering)》和《网站可靠性工作手册(The Site Reliability Workbook)》之后,出版了 Google 工程师的另一本有关网站可靠性的书《Building Secure and Reliable Systems》,这次强调的是安全。 针对设计、实现和维护系统的开发群体,Google 的工程师分享了设计从基础上安全的,可伸缩的可靠系统的方法。 前两本书都提供了 HTML 免费版本,而新书没有提供 HTML 版本,但提供了 PDF、EPUB 和 MOBI 版本。...阅读全文
Let’s Encrypt 将于 2018 年 1 月开始发放通配证书。通配证书是一个经常需要的功能,并且我们知道在一些情况下它可以使 HTTPS 部署更简单。我们希望提供通配证书有助于加速网络向 100% HTTPS 进展。 Let’s Encrypt 目前通过我们的全自动 DV 证书颁发和管理 API 保护了 4700 万个域名。自从 Let's Encrypt 的服务于 2015 年 12 月发布以来,它已经将加密网页的数量从 40% 大大地提高到了 58%。如果你对通配证书的可用性以及我们达成 100% 的加密网页的使命感兴趣,我们请求你为我们的夏季筹款活动(LCTT 译注:之前的夏季活动,原文发布于今年夏季)做出贡献。 通配符证书可以保护基本域的任何数量的子域名(例如...阅读全文
交互方式。 此示例里nginx以明文的方式在80端口发布gRPC,其中代理的gRPC在后端也是以明文的方式交互。 注意:Nginx是不支持在明文的端口上同时支持http1和http2的(想一想为什么?)。如果要支持这两种的http协议,需要设置为不同的端口。 以 TLS 加密方式发布 gRPC 服务 在生成环境建议使用Nginx是以加密的方式发布gRPC。这种情景需要在Nginx添加一个加密层。 在开发/测试环境可以使用自签名证书,关于自签名证书本文不做介绍。配置示例如下: server { listen 1443 ssl http2; ssl_certificate ssl/cert.pem; ssl_certificate_key ssl/key.pem; location...阅读全文
Server 的管理员访问权限。 此问题会影响以下版本的 Rancher:v2.0.0-v2.0.13,v2.1.0-v2.1.8 和 v2.2.0-2.2.1。 现在,Rancher v2.2.2 中提供了 CVE-2019-11202 的修复程序。Rancher v2.2.2 中,Rancher 在重新启动时将不会再重新创建一个管理员帐户。针对版本 v2.1.x 和 v2.0.x 的修复程序将在不久后发布。不过不用担心的是,对于所有的 Rancher 版本,只要通过禁用默认管理员帐户而不是完全删除它,就可以不受此漏洞影响。 通过 UI 轮换集群证书 在 Rancher 2.2.2 中,用户通过 UI 操作即可完成集群证书轮换了!在 Rancher 2.0 和 2.1 中,Rancher 配置集群的...阅读全文
SSL指的是安全套接层协议(以及传输层协议TLS),位于 TCP/IP 协议与各种应用层协议之间,为数据通讯提供安全支持。 ssl 在市面上多指的是安全证书,SSL证书是数字证书的一种,因为配置在服务器上,也称为服务器证书。 数字证书在广义上可分为:个人数字证书、单位数字证书、单位员工数字证书、服务器证书、VPN证书、WAP证书、代码签名证书和表单签名证书。我们这里介绍SSL证书的类型与区别。 DV(域名型)SSL证书:只验证域名,适合个人网站、博客等站点使用;在网络黑客、钓鱼威胁层出不穷,域名型SSL数字证书可有效保护通过互联网所发送的数据,为网络账户登录、邮件等机密信息资讯提供安全防护。安全级别较低。 OV(企业型)SSL证书:验证网站所属单位身份,适合于中型企业级用户使用;企业型证...阅读全文
据国外媒体报道,微软公司联合创始人比尔盖茨现在还是世界首富,目前个人财富高达900亿美元。 但比尔盖茨在2008年就退出了微软公司的日常管理,仅作为董事长继续保证公司的正常运营,而在2014年,也就是在他60岁的前一年,他又放弃了微软公司董事长一职。 在离开微软管理层之后,盖茨将大部分精力和财富都放到了慈善事业上,通过慈善活动,他也时常出现在公众的视野之中,但也有很多人好奇,曾经忙于微软公司事务的他,在退休之后的每一天又是怎么度过的? 事实上在2008年退休之后,如果没有慈善等需要外出的活动,他的一天基本都是在他那历时7年、耗资6300万美元打造的豪宅 “仙乐都2.0” 中度过的,他的一天从豪宅中醒来之后就算开始了。 在早餐方面,盖茨喜欢的早餐是可可泡芙,不过他的妻子梅琳达?盖茨却透露,盖...阅读全文
的语言,你只需要将问题讲清楚即可。 - 有时候工具不好用也会影响的文档写作。如果没有一个很好的写作工具将写文档嵌入到开发工作流程中的话,写作确实会增加工作的负担。 - 大多数人将写文档看做是工作的额外负担。 我代码都没时间写,哪有时间写文档!,这其实是错误的观念,文档虽然前期有投入,但能让你代码的后期维护成本大幅降低,磨刀不误砍柴工这个道理相信大家都还是能理解的。 ## 如何产出高质量文档 ## 既然理解了好文档的重要性,我们如何保证在时间的长河中维护好一份文档,这里有些相关的方法论,大家可以参考下。 ## 像管理代码一样管理文档 ## 对于如何写出好代码,整个技术圈已经有好多经验的总结了,比如书籍《重构》《代码简洁之道》…… 针对各种编程语言,也有相关的规范,比如国外的Google C...阅读全文
SAN(Subject Alternative Name) 是 SSL 标准 x509 中定义的一个扩展。使用了 SAN 字段的 SSL 证书,可以扩展此证书支持的域名,使得一个证书可以支持多个不同域名的解析。 这里以 Google.com 为例,证书中所包含的 SAN 扩展域名,可以用这个命令列出: echo | openssl s_client -connect google.com:443 2>&1 | openssl x509 -noout -text | awk -F, -v OFS="\n" '/DNS:/{x=gsub(/ *DNS:/, ""); $1=$1; print $0}'...阅读全文
今天我们公布了Kubernetes 1.7,这一里程碑版本引入了更为强大的安全性、存储以及扩展性因素,旨在满足Kubernetes在广泛企业环境下所面临的实际需求。 这次发布的版本中安全方面的改进包括加密的Serect,Pod到Pod通讯的网络策略,限制kubelet访问的节点授权器(node authorizer),和客户端/服务端 TLS 证书轮换。 对于在Kubernetes上伸缩数据库的用户,这次版本有一个重要特性向StatefulSet添加了自动化的更新,并增强了对DaemonSet的更新。同时我们宣布对本地存储和用于更快速伸缩StatefulSet的加速模式(burst mode)的alpha支持。 同时,对于高级用户,这次版本中的API聚合允许用户提供的API服务器和...阅读全文
此版本在与上游服务握手时提供特定证书以提高安全性,这样做的意义包括: 能够使用证书与上游服务握手使得 Kong 在需要强大的身份验证保证的行业中更加出色,例如金融和医疗保健服务。更高的安全性。通过提供可信证书,上游服务将确定传入请求是由 Kong 转发的,而不是恶意客户端。更简单的合规性。开发者友好。可以使用 Kong 将需要相互 TLS 身份验证的服务转换为更加开发者不相关的方法(例如,OAuth)。 此外,Kong 1.3 还开源了 Sessions 插件,此前它仅在 Kong Enterprise 中提供,该插件结合其它身份验证插件,允许 Kong 记住之前已经过验证的浏览器用户。 OpenResty 的版本升级到 1.15.8.1,该版本基于 Nginx 1.15.8。此版本在关闭上...阅读全文
Let’s Encrypt是一家得到Mozilla Firefox和Google Chrome支持的自动化证书颁发机构。今天该机构宣布了一项新措施,从而进一步保护用户免受网络攻击的侵害。这项新功能称之为多角度域验证(multi-perspective domain validation),可帮助证书颁发机构(CA)证明申请人对他们想要获得证书的域具有掌控权。 单角度域验证方式 多角度域验证方式 域验证并不是什么新问题,但在验证过程中还存在很多的漏洞,这意味着网络攻击者可以诱使CA机构错误的颁发证书。通过多角度域认证,网络攻击者需要同时破坏三个不同的网络路径,这不仅大大提高了安全系数,而且在互联网拓扑社区中也能更快发现网络攻击行为。 在新闻稿中,Let’s Encrypt特别感谢了普林斯顿大...阅读全文
去年GitHub突然宣布开源代码也要受美国出口管制EAR让全球程序员都担心了,不过Linux基金会现在可以确认开源技术不受美国管制了。 软件开发方面,开源技术已经成为全球共识,很多项目都是全球各地的程序员合作开发的,不仅有美国及欧洲程序员,中国不少公司及开发者也是全球开源社区的重要组成,任何一方如果强硬限制,那么整个开源社区就存在断链的风险。 本周,Linux基金会在官网上发表了一份白皮书《了解开源科技和美国出口管制》,中英文双版介绍了美国出口管制的限制,最重要的是这个指南明确了“公开发布给全世界享用的开源技术是不受制于美国出口管制EAR,开源至今仍然是一个最为便利的全球协作的模式。” EAR第734.7条款指出,当可被公众获取且无进一步传播限制时,未被归类为密级事项的『技术』或『软件』属...阅读全文
挑战,尽管之前的 PostgreSQL 版本已经做了一些工作来减轻清理的开销。 PostgreSQL 13 通过引入用于索引的并行化清理来继续改进清理系统 。具体来说,VACUUM 命令能够并行处理索引。可以使用 VACUUM 命令上的新 PARALLEL 选项(或 vacuumdb 上的 --parallel)来访问其功能,该选项允许用户指定用于清理索引的并行 Worker 进程的数量。要注意的是,这不适用于 FULL 选项。由于管理员可以选择要运行的并行 Worker 进程的数量,因此可以针对特定的工作负载调整此新功能的使用。除了这些性能优势之外,数据插入现在还可以触发自动清理过程。 复制插槽(Replication slots),用于防止在复制副本接收到预写日志(WAL, write...阅读全文
JEP 317: 基于 Java 的 JIT 编译器(试验版本) JEP 319: 根证书。开源 Java SE Root CA 程序中的根证书 JEP 322: 基于时间的版本发布模式。“Feature releases” 版本将包含新特性,“Update releases” 版本仅修复 Bug...阅读全文
美国证监会规定上市公司公开披露各种信息时要提交统一格式的文件,又叫Form(一般翻成“表格”)。根据不同的情况要提交不同的表格,比较重要的是S-1(招股书)或F-1(外国公司招股书),10-K(年报)、10-Q(季报)、8-K(重大事件)。 问题问到的三种Form的具体含义: 6-K Report of foreign private issuer pursuant to Rule 13a-16 or 15d-16 under the Securities Exchange Act of 1934(注册地不在美国的外国公司披露特定财务信息) 20-F Registration statement / Annual report / Transition report(注册...阅读全文
Let's Encrypt官方发布庆祝博文,宣布于2020年2月27日颁发了第10亿份证书。博文中回顾了从第1亿份证书到今天最新里程碑的过程,并反思了这些年互联网行业的发展。 在博文中首先指出的是,当前Web的加密程度要比以往高出很多。在2017年6月,全球使用HTTPS的网站只有58%,美国地区为64%。而今天全球有81%的网页加载使用HTTPS,美国地区更是高达91%。这是一个了不起的成就,这表明每个人都有更多的隐私和安全保护。 Let's Encrypt服务的企业规模也有所增加,在2017年6月该机构为4600万个网站提供服务,不过当时机构只有11名员工,年度预算为261万。而今天该机构为1.92亿个网站提供服务,拥有13名全职员工,年度预算约为335万美元。 这意味着只增加2名新员...阅读全文
序创建沙箱并重新启动自己,更多的主安装和更新速度,支持将应用程序标记为EOL(生命周期结束) ,以及一个新的权限验证模型。 Flatpak 1.0可以公开主机的TLS(传输层安全)证书到沙箱应用程序,支持最新的OCI捆绑包规范,允许沙箱应用程序请求访问主机的SSH(Secure Shell)代理,以安全访问Git存储库或远程服务器,并允许应用程序访问蓝牙设备。 此外,通过USB闪存驱动器或本地网络安装Flatpak应用程序的P2P安装方法现在默认启用,并且在所有版本中都得到支持。在Flatpak 1.0中实现了一个新的后备X11权限,允许X11访问在X11会话中运行的Flatpaks应用程序。 Flatpak 1.0还引入了一个名为flatpak-spawn的新工具,可用于运行主机命令并从应...阅读全文
斯曾在2000年为 Linus Torvalds 提供一份工作,条件是他停止在 Linux 上的开发。Linus 拒绝了。 13、Linux 有多成功?它的长期竞争对手微软,在90年代初曾试图“熄灭”该项目,到现在却在利用 Linux 进行服务器业务,甚至在为内核开发做贡献! 14、说到贡献,谷歌、英特尔、华为、三星、红帽、Canonical 和 Facebook 是近年来 Linux 内核开发的主要贡献者。 15、Linus 出生于芬兰,一个双语国家,并认为瑞典语是他的“母语”。他说,由于发音不同,他常常觉得用英语说话“不舒服”,但却更喜欢阅读英文书籍。 16、Linux 可能是现在最大的自由软件项目(参见第一条),不过在1991年首次发布时,它仅有约 10 万行代码。 17、在重新调整其...阅读全文
当时预计该项目将在2020年就会投入使用,但除了要处理跨越各大洲之间的长电缆的复杂问题外,项目负责人当时可能没有为COVID-19全球大流行做好准备。这条近4000英里的电缆总容量为每秒250Tb--或者说足以传输 "整个数字化的美国国会图书馆每秒三次"。与一些老旧的电缆不同,Dunant使用了12对光纤,再加上围绕最大化其带宽的一些技术创新,才实现了这些数字。"谷歌致力于满足对云服务和在线内容的爆炸性需求,这种需求有增无减,"谷歌云基础设施高级总监Mark Sokol说。"凭借创纪录的容量和传输速度,Dunant将帮助用户在任何地方访问内容,并补充互联网上最繁忙的路线之一,以支持谷歌云的发展。Dunant是一项了不起的成就,如果没有SubCom和谷歌员工、合作伙伴和供应商的奉献,他们在今...阅读全文
没找到命令行安装的方法,只能在nautilus中鼠标双击安装。安装后可以看到新的词库和皮肤。 搜狗输入法的设置界面 自行调整设置的其它选项,然后就能愉快地使用了。 搜狗输入法(更换皮肤后) 文/匿蟒(简书作者) 原文链接:http://www.jianshu.com/p/424fe8e7109e...阅读全文
-bindata/go-bindata 这类第三方开源库来实现。 而从 Go1.16 起,通过 go:embed 就可以快速实现这个功能: import _ "embed" //go:embed hello.txt var s string print(s) 通过对变量 s 声明 go:embed 指令,使其在编译时读取当前目录下的 hello.txt 文件。 最终变量 s 就会输出 hello.txt 文件中的字符串内容。 新增 io/fs 的支持 新增了标准库 io/fs,正式将文件系统相关的基础接口抽象到了该标准库中。 以前的话大多是在 os 标准库中,这一步抽离更进一步的抽象了文件树的接口。在后续的版本中,大家可以优先考虑使用 io/fs 标准库。 调整切片扩容策略 Go1.16 以前的...阅读全文
今天,Debian开发者兼Ububtu成员Julian Andres Klode宣布,他计划在2017年1月1日关闭对APT资源库的SHA-1支持。业界反对SHA-1(安全散列算法)加密已有多时,其被普遍用于签发数字内容、证书吊销列表(CRL)和数字证书。但到2017年1月1日的时候,事情可能会对浏览互联网的老用户产生影响。 需要指出的是,SHA-1加密也被用于签发基于Debian的操作系统的高级包工具(APT)资源库,比如热门的Ubuntu和Linux Mint。 这些经过SHA-1签名的资源,将于明年年初自动被Ubuntu 16.04 LTS(Xenial Xerus)和Ubuntu 16.10(Yakkety Yak)给拒绝。 Julian Andres Klode在邮件公告中称...阅读全文
:~# apt-get install dovecot-common dovecot-pop3d dovecot-imapd dovecot可以支持POP3和IMAP(plain text),以及加密POP3S和IMAPS(secured)。默认情况下,dovecot将创建和使用SSL加密的自签名证书。证书可以根据需求手动创建或导入。在本教程中,将使用dovecot生成的自签名证书。 POP/IMAP:准备配置文件 根据需要修改下面的参数。 root@mail:~# vim /etc/dovecot/conf.d/10-mail.conf ## the location of the mailbox is specified in 'mbox' format ## mail_location...阅读全文
(canary)和分阶段(phased)推出部署(rollout);本地持久卷(Local Persistent Volume)。当前以Alpha版发布,允许用户通过标准的PersistentVolumeClaims/PersistentVolume接口及StatefulSets中的StorageClasses访问本地存储卷;DaemonSets。该特性用于确保给定的Pod对每个节点准确地执行和运行一次,现已添加了rollback和history功能;新提供的StorageOS Volume插件,它可在本地的或附加的节点存储上提供在整个集群范围内高可用的持久卷。 在可扩展性方面,1.7中以Beta版的形式添加了API聚合层,允许用户在他们的集群中添加Kubernetes风格的预先构建的、用户定义的或是第...阅读全文
也预想了这种情况,在没有项目负责人的情况下,技术委员会主席和项目秘书有权做出各种决定,前提是他们能够达成一致。信中对这种情况表示乐观:“由于 Debian 开发人员向来以‘非争论群体’著称,所以达成一致应该不成问题。”但很明显这种不确定因素过高的方案不是一个良策。 联系一下此前 Debian 包维护者 Michael 对社区的不满,他认为 Debian 整个开发评估流程都非常迟缓,比如补丁的评估没有截止日期,有时候他会收到通知说几年前递交的补丁现在合并了;赋予维护者的个人自由度太高,一些维护者可以出于个人喜好拒绝合作等,这些都对 Debian 的发展产生不好的影响。 就像 Michael,许多人都认为社区内部给予开发者的自由度过高,并且带来不好的影响。按照前边对于 Debian 领导人实权的...阅读全文
Nginx(发音同 engine X)是一款轻量级的 Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,并在一个 BSD-like 协议下发行,可以在 UNIX、GNU/Linux、BSD、Mac OS X、Solaris,以及 Microsoft Windows 等操作系统中运行。 nginx 1.16.0 稳定版已发布,包含来自 1.15.x 主线分支的新功能和错误修复: 针对流模块(stream module)中的 UDP 代理改进随机负载均衡方法(random load balancing method)支持 TLS 1.3(TLS 1.3 early data)动态加载 SSL 证书等 下载地址: http://nginx.org/en...阅读全文
本默认,要注意选择DD镜像模式,不然U盘启动后找不到安装文件; 二、安装PVE(1-8这里用的网上图片,6.1/6.2安装和5.2基本一致,就没有截图) 1、进入ISO启动,选择“Install Proxmox VE” 2、同意协议,点击“I agree” 3、选择硬盘,点击“Next” 4、设定国家、时区和键盘,Country输入China即可,点击“Next” 5、设置管理员root账号密码和邮箱 6、设定主机名,IP,网关,掩码和DNS 7、安装完提示重启(重启前请先移除ISO启动) 8、启动完成后的控制台,会提示控制台访问URL 9、PVE默认端口为8006,可以导入自己的SSL证书 10、PVE安装完毕,进入系统界面...阅读全文
少 256 种颜色的终端,新识别的颜色名称包括:粉色、紫色、淡紫色、珊瑚绿、薄荷色、青柠色、桃色、橙色和拿铁色。在一些现有的常见颜色上也有新的“明亮”颜色变体,只需加上前缀’light’即可支持在颜色名称前使用”bold”或”italic”前缀来获得对应的样式新增书本模式(–bookstyle),其中任何以空格开头的行都将被视为新段落的开始增加对 Markdown, Haskell 和 Ada 语法的支持增加了许多其他选项/命令,并进行修改 详情查看发布公告。...阅读全文
岗回了成都,成都是个远离核心的待发展的技术部,当时人就 20,30 号人吧。 回去后,由于原来是在杭州负责核心 A1 系统,大家都还挺羡慕,都还挺给面子的。所以,变得越来越自信。 当你自信后,同样你会越来越勇敢,越来越开放。当时,也看了些敏捷的书,虽然从来没有完整的看完一本敏捷的书,现在我对敏捷也是半懂不懂,依然很讨厌职业的咨询师,喊喊口号,比如 TDD,说实话,我就很难看到 TDD 的模式,在如此复杂的业务系统成功过。 当时对于敏捷最深刻的一点就是:反馈环。怎么去利用反馈坏不断是提升自己,自己缩短反馈坏,让自己成长的更快。 回成都后,我变得更为开放,这种开放,让我收获更多,在交流,不断的学**中,成长更快。从一个基本是完成任务型的技术人员,渐渐去思考更全局,更开放性的内容。 成都远离核心...阅读全文
Ian Murdock 走了,但 Debian 常在。今天就从与 Ian Murdock 的访谈来回顾一下 Ian 的 Debian 往事。 Debian 社区前几日宣布,Debian 的著名创始者 Ian Murdock 已经去世,死因至今不明。到官方公布具体死因之前,恐怕我们多猜测也无益。今天,不如让我们一起来回顾一下 Murdock 对免费软件的发展做出的贡献。 1999 年 11 月,我曾有幸与 Murdock 有过一次访谈。我为写《Rebel Code:Linux and the Open Source Revolution》这本书共做过 50 多次访谈,这就是其中一回。虽说在书中我只引用了 Murdock 所说的寥寥几句,不过如今,借着这个时机,我想用 Murdock 自己的话...阅读全文
我的Debian是用来工作的,因此用的是稳定源。稳定源的优点是,软件经过充分的测试,处于稳定版本。这种状态对于绝大多数软件,都是最合适的。 但是,对于一些需要最新版本的软件来说,稳定源太过于滞后。 官网不仅连接不稳定,二进制发布包也不够全。 目前(2016),Debian的稳定源只能安装go1.3版本。如果需要最新的版本,只能自行从源码编译安装。 卸载旧版本 sudo apt-get remove golang sudo apt-get autoremove 源码下载 git clone https://github.com/golang/go.git 如果没有Git,必须自行解决;如果没有gcc,也需要自行安装。 此外,golang/go这个库实在太大,近200MB。完整从GitHub上...阅读全文
OpenSSL 1.1.1 已发布,这是新的长期支持版本(LTS),开发团队承诺至少提供五年支持。自 1.1.0 发布以来,已有超过 200 位个人贡献者提交了近 5000 个 commits。OpenSSL 1.1.1 最重要的变化就是添加对 TLS v1.3 (RFC8446) 的支持。 TLS v1.3 的优势包括: 由于减少了客户端和服务器之间所需的往返次数,缩短了连接时间。 在某些情况下,客户端能够立即开始将加密数据发送到服务器而无需与服务器进行任何往返(称为 0-RTT 或“early data”)。 由于删除了各种过时和不安全的加密算法及握手加密,提高了安全性。 OpenSSL 1.1.1 其他亮点包括: 完全重写 OpenSSL 随机数生成器以引入以下功能: The...阅读全文
大概这几条路: 1)自己做开源项目,足够好,然后鼓励你的关注者给你donate,老外常年用paypal收打赏。厉害一点,直接有人给你包了。 2)用心写各种demo或者教程,好看易懂,勤维护,也有人给你打赏,写的多了还可以出书,类似阮一峰和廖雪峰。 3)多做前端,写几个自己开发的工具类app,笔记啊,图片识别的类似小工具,真的好用,可以加一些小广告,或者开启升级付费的功能。 4)开直播做培训,口条要好,一定要把一些教程练得特别熟练,表演的好像阿里P8以上那种其实都可以自己手写一个新的jvm的大牛但是想普惠众生,而江湖隐退来开课办班,帮助大家提高技能和基本功,这种目前好多人在做。 5)程序员都在用的AWS有好消息!AWS(亚马逊云计算)中国区新用户注册即可免费使用12个月云服务产品啦!每注册一...阅读全文
Linstedt进一步解释说,通过这样做,它将保持Flash项目的生存和安全。他已经开发出一套可视化方法,将SWF和FLA文件转换为HTML5,Canvas,WebGL或Webassembly。开发者的另一个建议是独立的浏览器,可以播放Flash内容。 此外,参与请愿的开发者认为,Adobe可能有一些许可的组件不能被公开使用。尽管如此,Linstedt仍然希望这不会是一个障碍,他们呼吁Adobe请简单地留下某些组件被删除的说明,开发者将绕过它们,或者用开源替代方法来替换它们。 目前,这份请愿书已经获得了近4677份签名,签名数量正在稳步上升。即使在Adobe宣布到2020年结束对Flash的支持之前,苹果,谷歌,Mozilla 和 微软等公司也默认在各自的浏览器中阻止了 Flash 内容...阅读全文
在 direct 里面的目标都走上级. --intelligent=intelligent,blocked 和 direct 里面都没有的目标, 智能判断是否使用上级访问目标. 特点: 链式代理, 程序本身可以作为一级代理, 如果设置了上级代理那么可以作为二级代理, 乃至 N 级代理. 通讯加密, 如果程序不是一级代理, 而且上级代理也是本程序, 那么可以加密和上级代理之间的通讯, 采用底层 tls 高强度加密, 安全无特征. 智能 HTTP,SOCKS5 代理, 会自动判断访问的网站是否屏蔽, 如果被屏蔽那么就会使用上级代理 (前提是配置了上级代理) 访问网站; 如果访问的网站没有被屏蔽, 为了加速访问, 代理会直接访问网站, 不使用上级代理. 域名黑白名单,更加自由的控制网站的访问方式...阅读全文
在以前,很多从其他语言转过来 Go 语言的同学会问到,或是踩到一个坑。就是以为 Go 语言所打包的二进制文件中会包含配置文件的联同编译和打包。 结果往往一把二进制文件挪来挪去,就无法把应用程序运行起来了。因为无法读取到静态文件的资源。 无法将静态资源编译打包进二进制文件的话,通常会有两种解决方法: 第一种是识别这类静态资源,是否需要跟着程序走。第二种就是考虑将其打包进二进制文件中。 第二种情况的话,Go 以前是不支持的,大家就会去借助各种花式的开源库,例如:go-bindata/go-bindata 来实现。 但从在 Go1.16 起,Go 语言自身正式支持了该项特性,今天我们将通过这篇文章快速了解和学习这项特性。 基本使用 演示代码: import _ "embed...阅读全文
润滑 它。 例如,QUIC 鼓励终端在 版本协商 中使用一系列的诱饵值,来避免假设它的实现永远不变化(就像在 TLS 实现中经常遇到的导致重大问题的情况)。 网络和用户 除了避免僵化的愿望外,这些变化也反映出了网络和它们的用户之间关系的进化。很长时间以来,人们总是假设网络总是很仁慈好善的 —— 或者至少是公正的 —— 但这种情况是不存在的,不仅是 无孔不入的监视,也有像 Firesheep 的攻击。 因此,当那些网络想去访问一些流经它们的网络的用户数据时,互联网用户的整体需求和那些网络之间的关系日益紧张。尤其受影响的是那些希望去对它们的用户实施政策干预的网络;例如,企业网络。 在一些情况中,他们可以通过在它们的用户机器上安装软件(或一个 CA 证书,或者一个浏览器扩展)来达到他们的目的。然而...阅读全文
Go 官方刚刚发布了 Go 1.15.7 和 Go 1.14.14,以解决最近报告的安全问题。建议所有用户都更新到以下版本之一(如果不确定哪个版本,请选择 Go 1.15.7)。具体修复的安全问题如下:1、cmd/go:使用 cgo 的包可能会在构建时导致任意代码执行。当 Windows 上使用 cgo 时,go 命令可以在构建时执行任意代码。运行 “go get” 或任何其他构建代码的命令时,可能会发生这种情况。只有构建不受信任的代码(而不执行代码)的用户才会受到影响。除 Windows 用户外,这还可能影响在 PATH 中使用了 “.” 的 Unix 用户,在模块外部或禁用模块模式下运行 “go get”或构建命令。具体 issue:https://github.com/golang...阅读全文
