Nginx 配置多个域名共用 443 端口

Jul 03, 2024

要求：机器对外暴露一个 443 端口，内部根据不同的域名分别使用不同的 SSL 证书分流。 关键点：在预读取到 SNI 信息的时候，就分流到不同的内部服务上。 服务器上分别有 aaa.com 和 bbb.com 两个网站的证书，配置如下： …

使用 Dropbear 作为 SSH 服务器

Jul 02, 2024

OpenSSH 爆出了高危漏洞：CVE-2024-6387，影响的版本范围是 8.5p1 ~ 9.7p1 。 https://www.freebsd.org/security/advisories/FreeBSD-SA-24:04.openssh.asc 我刚升级的 FreeBSD 14.1 使用的 OpenSSH 版本是 9.7p1： $ sshd -V OpenSSH_9.7p1, OpenSSL 3.0.13 30 Jan 2024 目前还没有等到官方源的更新，赶紧使用 Dropbear 替换 OpenSSH 压压惊~ …

FreeBSD 使用 unbound 配置 DNS over TLS

Jun 29, 2024

安装 unbound ： $ sudo pkg install unbound 编辑 /etc/resolvconf.conf，让 DNS 解析转发到 unbound 监听的本地回环上： name_servers=127.0.0.1 修改后使配置立即生效：resolvconf -u 开始配置 unbound 服务，重新指定 unbound 的配置文件目录为 /var/unbound： …

给腾讯云轻量服务器全新安装 FreeBSD

Jun 22, 2024

腾讯云的轻量服务器不提供 FreeBSD，可以在初始化系统的时候先选择 Debian 然后再通过 mfsBSD 安装 FreeBSD。 Tips：以下操作会抹掉云系统的所有数据，需要备份好数据后再进行操作。 …

FreeBSD 启用 Rack 作为默认 TCP 栈

Jun 22, 2024

Netflix 使用 FreeBSD 作为流媒体服务器，RACK 协议栈也是他们使用的默认协议栈，而且做了优化。 加载 RACK 驱动 $ sudo kldload tcp_rack $ sudo sysctl net.inet.tcp.functions_default=rack 启动时自动加载 RACK sudo sysrc kld_list+="tcp_rack" 然后编辑 /etc/sysctl.conf，添加或编辑： …

Nginx 降低延迟的一些配置

Jun 17, 2024

首先需要明确需要低延迟的场景：是否需要频繁通讯，比如 IM 类型、WebSocket 类型、SSL 握手、端口转发以及 Keepalive 类型的连接。 开启 tcp_nodelay http { tcp_nodelay on; } stream { tcp_nodelay on; } tcp_nodelay 可以设定在 http 模块和 stream 模块，只要接收都数据就立即发送出去而不需要等待缓冲区满。 …

FreeBSD 配置 WireGuard

Jun 16, 2024

本文适用于 FreeBSD 13.2+ 从 FreeBSD 13.2 开始，WireGuard 驱动已经集成到系统里了，wg 命令默认是可用的。 只需要另外安装 wireguard-tools 就可以轻松配置 WireGuard 了： $ sudo pkg install wireguard-tools 生成所需的密钥 私钥： $ wg genkey CJGUcc1TUZztJr8iI59qIlAOHnPuEwazN9nvFn+Lt0E= 公钥： …

FreeBSD 设置固定的 DNS

Jun 13, 2024

在使用 DHCP 方式获取 IP 的方式下，使用固定的 DNS 地址，需要编辑 /etc/dhclient.conf # # This file is required by the ISC DHCP client. # See ``man 5 dhclient.conf'' for details. # # In most cases an empty file is sufficient for most people as the # defaults are usually fine. # supersede domain-name-servers 1.1.1.1, 8.8.8.8; 保存，重启后生效。 …

OpenSSL 创建自签名证书

Jun 10, 2024

由于 RSA 2048 已经不再安全，使用 RSA 4096 又太慢了，所以这次创建使用 ECC 384 算法的自签名证书。 openssl ecparam -genkey -name secp384r1 -out privkey.pem openssl req -new -key privkey.pem -out csr.pem -config server.cnf Tips: 查看完整的椭圆算法列表 openssl ecparam -list_curves，推荐使用的算法是 prime256v1 和 secp384r1，Let’s Encrypt 的 ECC 证书使用的是 prime256v1。 …

使用 Nginx 反向代理的时候和上游服务器也使用 SSL 连接

Jun 09, 2024

当 Nginx 反向代理和上游服务器部署在不同位置的时候，如果 Nginx 和上游服务器通过 HTTP 通讯，就会存在中间人攻击的安全隐患。 比较安全的方式是反向代理服务器和上游服务器之间也通过 SSL 加密通讯来保证数据安全。 …