分类 杂记 下的文章

同样是梅雨季节
特意去买了把伞
一把很大的伞

还好,
我没见到雨
也没见着你

学校的毕业典礼毫无意义,我甚至没有穿过一次学位服,没拍过一张毕业照,本科是,研究生也是
我回到三年前的地方,给自己补上了一半的毕业典礼

(也许是)度过了 二十余年来最难熬的一个春天

八年前的今天,刚到北京的我几乎没怎么休息,凌晨三点爬起来,去大街小巷里乱窜。
高考完的我已经接近一天一夜没合眼了,却莫名其妙坐着高铁来到这里。

我迫切地想知道自己为何而生,为何而活;我觉得这里或许有答案,可惜至今也未曾找到。

这八年里,我仿佛在进行一种很新颖的现代人类迁徙活动,跟着喜欢的人到处跑,「飞蛾扑火,猴子捞月」。
我问自己的生活,为什么天天在忙,可不知道在忙什么;它热情礼貌但一问三不知。

这八年里,我学会了讲脏话、开黄腔,学会了欺骗、攀比和占有;而欲望在不断膨胀。我曾经把它们视作绝不可以触碰的禁忌,却在八年里被轻易附身同化。

我依旧记得八年前进京的高铁上,有那么一瞬间的心悸与惊悚感觉,让坐在窗边的我以为自己穿越了时间。
后来,我坐了无数次高铁离京,再也没能穿越回去。

那时候我的背景音乐是「清白之年」
现在我只敢听「莫怕莫怕」

若希望保护服务器的安全,及IP地址尽可能不对外暴露,总结了部分可能是最合适的个人站点安全实践。(没错,此实践并非实践)

核心的思想是利用cloudflare这个赛博菩萨作为我们的防火墙。

用户 <--> Cloudflare <--> 服务器

下面两种方式的区别主要在于 Cloudflare 是如何与我们的服务器进行通讯的。

  1. 使用cloudflare zero trust 的 tunnel,将服务器中的某个端口通过cloudflare的隧道转发出去。这种方式可以完全隐蔽本机,不需要对外暴露任何接口(因为tunnel是服务器主动建立到cloudflare的,后续cloudflare会通过这个tunnel把用户的请求转发到本机对应端口)。这是我的大部分应用所采用的方式。P.S. 它还可以自动处理https的问题,你只需要把http服务开到某个端口,cloudflare会自动处理 用户 <--> Cloudflare 这段连接的https配置及相关证书。
  2. 使用cloudflare的普通代理方式。即将域名在cloudflare解析,cloudflare将转发用户的访问请求。与tunnel的区别是,cloudflare会「像一个正常的用户一样访问你的服务器」,然后把服务器的响应再返回给用户。这种代理方式无法处理服务器IP已经暴露的情况(攻击者依旧可以手动指定访问域名的IP地址来绕过cloudflare,直接访问你的源服务器)。
    更安全的做法是打开nginx的源ssl证书验证,限定只有来自cloudflare的请求才可以访问源服务器参考。这种方法对站点的侵入性最小,在配置个人网站的时候,除了对访问者ssl证书做一个限定,不需要修改任何其他配置。

Cloudflare是个赛博菩萨。

我一直觉得openwrt上面挂ss/r之类的解决方案不太fancy
相当于把家里的网络都交给了路由器上的没有多高稳定性的ss/r,让路由器同时承担路由以及ss/r的加解密负载。

- 阅读全文 -

  1. 1
  2. 2