Posts

TL;DR 由于bitnami在配置mariadb时设置了NetworkPolicy，这导致了只能从特定的端口访问pod。但是在istio中，由于不会绕过NetworkPolicy，导致使用istio时，需要的15008端口被阻挡。详细参考istio的介绍。可以设置bitnami的networkPolicy.enabled为false来解决。 具体情况 最近在尝试Service mesh，使用目前流行的Istio。但是在搭建数据库的时候出现了问题，我发现数据库的3306端口居然被禁止访问。 由于是开启了Istio才会出现禁止访问的情况，以此为线索直接搜索得到了一个看起来很相关的结果：Server First协议。 可是尝试了各种解决方法，问题照旧。同时解决的过程中也看到很多人在询问这个问题，更加坚定了是Istio出现了问题。 于是倒霉蛋在网上兜兜转转好几天，还是无解。甚至还尝试了PostgreSQL，想着说不定会没问题。当然这里还是用的bitnami的打包。就当要放弃的时候，看到一个postgres-operator的issue，抱着试一下的态度尝试了一下，发现居然顺利连接。 问题部分解决，下面只需要看看这两者之间的差异，就能知道原因了。当我自己部署bitnami的镜像，而不是他的Helm charts，我发现也是能正常使用的，这就奇怪了，难不成他还搞了什么奇怪的限制？ 翻看具体的实现，给我找到了一个关键文件networkpolicy.yaml。删除之后一切通畅，用这个再去查找，就能轻松找到具体的原因。

基于Hagb的develop分支 在qemu中模拟arm64执行 修改easyconnect为最新配置文件 修改Dockerfile，在CMD ["start.sh"]前加入 1 RUN busybox wget http://download.sangfor.com.cn/download/product/sslvpn/pkg/linux_767/EasyConnect_x64_7_6_7_3.deb && dpkg -x EasyConnect_x64_7_6_7_3.deb ec_7.6.3 && cp ec_7.6.3/usr/share/sangfor/EasyConnect/resources/conf/* /usr/share/sangfor/EasyConnect/resources/conf_backup 编译arm镜像 1 2 3 4 5 docker image build -f Dockerfile.build -t hagb/docker-easyconnect:build . docker image build \ --build-arg EC_URL=https://download.sangfor.com.cn/download/product/sslvpn/SSLVPN%E4%BF%A1%E5%88%9B%E5%AE%A2%E6%88%B7%E7%AB%AF/%E7%BB%9F%E4%BF%A1UOS%20%E6%B5%B7%E6%80%9D%E9%BA%92%E9%BA%9F990%20SSL%20VPN%E5%AE%A2%E6%88%B7%E7%AB%AF.zip \ --build-arg EC_DEB_PATH=02-升级包及安装文件/EasyConnect_UOS_arm64-20220302.deb \ --tag hagb/docker-easyconnect -f Dockerfile . 运行镜像 1 docker run --device /dev/net/tun --cap-add NET_ADMIN -ti -e PASSWORD=xxxx -v ecdata:/root -p 5901:5901 -p 1080:1080 -p 8888:8888 hagb/docker-easyconnect:latest

明确你的目的 yubikey可以用于多种用途，首先需要明确的是自己需要哪些用途，而这些用途又有着多种实现方法，并且实现的难度被使用的系统影响 最主要的用途大概是GPG认证加解密、SSH认证、OATH认证、无密码登录系统、密码管理器认证等 选择实现目的的方式 SSH认证可以通过GPG、FIDO2的SSH密钥(ed25519-sk和ecdsa-sk)、基于PIV(WinCrypt SSH)等方式实现，但是在不同系统上实现难度不同。个人推荐使用FIDO2，是支持程度最高的 Windows macOS Linux GPG 难 中 易 FIDO2 易 易 易 PIV 易 中 中 注：目前使用Cloudflare Tunnel代理的SSH无法和GPG方式共存 GPG设置 Windows Gpg4win用于设置PowerShell和Cmd下的GPG，Git Bash默认自带GPG套件，与PowerShell和Cmd完全独立。下载安装即可，但是注意密钥等配置两者不共通 macOS brew install gnupg pinentry-mac(干净无GUI) brew install gpg-suite-no-mail --cask(带有GUI，安装完整套件，不带付费的邮件插件) brew install gpg-suite --cask(带付费的邮件插件) 三者任选其一 Linux 默认自带 SSH各种实现方式 FIDO2 Windows 若要在PowerShell和Cmd下使用SSH，Windows默认的OpenSSH版本过低，需要手动安装。下载OpenSSH的msi安装包进行安装，配置环境变量Path，增加一条C:\Program Files\OpenSSH(这是新安装的SSH的路径)，删除原本的SSH的路径 Git Bash默认自带 IDE方面，IDEA等JetBrains家的软件使用的SSH库与系统的无关，新版本支持此方式 SSH客户端方面，目前只有PuTTY-CAC和termius付费版支持此方式 注意必须使用管理员模式打开软件才能使用 macOS macOS自带的OpenSSH在编译时去除了FIDO2的支持，通过brew install openssh即可覆盖。如果不行可以尝试修改环境变量export PATH=$(brew --prefix openssh)/bin:$PATH Linux 默认自带 PIV Windows下安装WinCrypt SSH即可，macOS和Linux默认自带 个人认为设置的步骤比FIDO2更加烦琐，且对软件的支持未知，不推荐使用 GPG Windows IDE方面，JetBrains家不支持此方式 ...

西部数据：晚高峰YouTube卡顿，720p画质；GitHub断流极其严重 ssrcloud：GitHub clone限速严重，只有几百KB/s；晚高峰延迟高 可乐云：审计规则严格，堪称墙中墙；延迟不稳定 胡桃云：延迟高，香港、台湾节点看YouTube时高时低，日本节点正常；全节点服务器经常崩溃；断流严重 ytoo：实际结算要付服务费，总计大约40一个月。有0.2倍率节点用的很正常，算下来一个月1000G流量

这部分代码能够骗过wmic bios get serialnumber，详细内容搜索hwid spoofer 以下是代码和编译完成的文件 hwid.rar

当在truenas中创建zvol并分配给虚拟机后，如果想要删除这个zvol就会出现错误 1 cannot destroy 'xxxxxxxx': dataset is busy 我从Dataset is Busy · Issue #4442 · openzfs/zfs · GitHub找到了解决办法 1 2 3 4 5 6 7 8 9 10 11 12 13 14 # pvdisplay --- Physical volume --- PV Name /dev/zd64 VG Name vg_name PV Size 20.00 GiB / not usable 4.00 MiB Allocatable yes PE Size 4.00 MiB Total PE 5119 Free PE 4863 Allocated PE 256 PV UUID HhldEE-NiiF-BiQH-2j9u-esRu-WIfC-uLmyYC # vgchange --activate n vg_name # vgexport vg_name # zfs destroy -r <name>

参考链接 Windows10-CustomKernelSigners/README.zh-CN.md at master · HyperSine/Windows10-CustomKernelSigners · GitHub GitHub - valinet/ssde: SSDE is a collection of utilities that help in having Windows load your custom signed kernel drivers when Secure Boot is on and you own the system's platform key, instead of using test mode. Stuck on step 2.5 (Guide to get out of the Boot Loop) · Issue #7 · HyperSine/Windows10-CustomKernelSigners · GitHub 简略步骤 根据链接1，操作到步骤2.4完成 根据链接2，从步骤2.5开始操作直到完成 注意事项 电脑的主板必须支持修改安全启动的Platform Key(PK)，我的华硕主板比较麻烦，需要先关闭安全启动，清除所有安全密钥，然后重启到bios，可以看到PK未加载。然后打开安全启动，加载自己的PK，不要忘了把下面的KEK等加载为主板的默认设置 ...

前提准备 拥有可用于驱动签名的证书或者{% post_link Winodws安装自签名驱动 %} 安装Visual Studio 2019，勾选使用C++的桌面开发 安装Windows SDK，对应WDK版本 安装Windows WDK, Windows 10, version 2004 https://go.microsoft.com/fwlink/?linkid=2128854 安装QT5和VS的QT插件(可选，编译界面用)(QT6应该也行) 在VS中安装带有Spectre缓解的C++ MFC 从GitHub上下载最新的安装包和对应的源代码 使用安装包安装 编译 用VS打开Sandboxie\SandboxDrv.sln 选择verify.c 修改KphVerifySignature函数，在函数开头直接return 0; 选择Release,x64，编译出SbieDrv.sys 驱动签名 在VS的Developer Command Prompt中执行 1 signtool sign /v /a /f 证书.pfx /p "证书密码" SbieDrv.sys 覆盖驱动 重命名原始的SbieDrv.sys为其他名字，替换为修改过的SbieDrv.sys，然后重启既可 输入捐赠证书 例如： 1 2 3 4 NAME: 123 LEVEL: CONTRIBUTOR DATE: 01.01.2200 SIGNATURE: 1111

前提准备 购买sandboxie-plus的捐赠版本，一年18欧元，或者破解 以下均以v1.1.3捐赠版本为例 沙盒配置 基础配置 新建一个数据保护加固型沙盒，确认勾选以下选项 常规选项-管理员权限-撤销管理员和Power Users用户组的权限 常规选项-管理员权限-使应用程序认为自己已被提权运行 资源访问-资源访问权限策略-隐私模式 如果想要将QQ微信程序或者聊天记录等放在主机上而不是沙盒的文件夹内，那么在资源访问-资源访问权限规则中添加路径，并选择开放权限。这样就相当于在沙箱上面打了个洞，QQ微信能直接访问这些文件，而不是访问沙箱内的虚拟文件(默认存放在Sandbox文件夹中) 在资源访问-资源访问权限规则中添加安装包或绿化版所在的路径，选择开放权限。也可以放置在C:\Sandbox\YOUR-ID\SANDBOX-ID\user\Public下(YOUR-ID和SANDBOX-ID取决于你的用户名和沙箱名字)，只要沙箱内能访问到就行，安装完后可以直接删除 在C:\Sandbox\YOUR-ID\SANDBOX-ID\user\current下创建Desktop文件夹，这样可以避免QQ微信的资源管理器白屏 如果想要把聊天记录放在沙箱中就再创建一个Documents文件夹 按照正常流程打开安装包或者绿化版既可。注意绿化版直接打开源文件既可，不需要也没有权限绿化 在必沙程序中添加QQ微信程序所在的目录，如果安装在沙盒内就跳过 在停止行为中添加引导程序为WeChat.exe或者QQ.exe，这样在QQ微信退出的时候，沙盒内所有程序都会退出 推荐勾选常规选项-文件选项-沙盒删除选项-保护此沙盒受删除或清空，防止不小心删除 大功告成！QQ微信的所有操作都不会影响到真实系统的对应文件，只会修改沙盒文件夹内的数据 高级配置 这样配置完之后打开沙箱的资源管理器一看，发现还是能够访问到C:\Program Files,C:\Program Files (x86),C:\Windows，不过QQ微信对这些都是只读的，更改不会影响到真实系统。如果不想让QQ微信访问到这些文件夹里面的内容，可以增加以下设置 由于QQ微信是需要使用Program Files这些文件夹里面的某些程序的，因此不能直接屏蔽C:\Program Files\*，那如果在加上允许C:\Program Files\xxxx可以么？ 按照sandboxie-plus的特异性规则来说按理是可行的，因为允许的规则特异性高，应当优先匹配。不过实际上会导致整个Program Files无法访问，没有效果。因此QQ微信是无论如何都能看到你安装的程序名的，能做的只是屏蔽他们进一步查看里面的内容。 对于想要隐藏的程序，以7-Zip为例，添加C:\Program Files\7-Zip的封锁权限，不过程序太多，更好的办法是直接修改沙盒的配置文本，加上ClosedFilePath=C:\Program Files\7-Zip。搭配ls指令，可以方便的生成配置文件，不过要注意不能将QQ微信需要的文件夹屏蔽了，这就需要自己尝试了。