2020/05/29

SSL Common Knowledge

網站掛上 SSL 已經是基本要求了,市面上也很多免費產品,像是 let’s encryptcloudflare 等等,這些服務都可以透過簡單的設定或申請讓你的網站擁有 SSL,不過還是不乏會有自己花錢購買憑證的需求,此文記錄一些重點事項。

申請流程需要生成兩個檔案

  1. 私有金鑰 – private key
  2. 簽署要求 – certificate signing request (CSR)

CSR 產生後上繳給 SSL 販賣廠商,完成後他會返回憑證以及中繼憑證,只要有 key、crt、以及 ca 就可以配置 apache 跟 nginx 了。

產生 key 與 csr

key 跟 csr 可以一起產生或者分開產生

一起產生
openssl req -nodes -newkey rsa:2048 -sha256 -keyout chan15.info.key -out chan15.info.csr

CSR 會詢問很多問題,必須填寫正確,否則之後使用會有問題

分開產生

先產生了 key

openssl genrsa -out server.key 2048

透過 key 產生 csr

openssl req -new -key server.key -out server.csr

憑證轉碼

憑證下來以後,大部分會拿到兩種檔案,一種是 cer,一種是 pfx,pfx 就是帶有私鑰的證書文件,多半會拿到的是 cer,用他來解出 crt。

cer -> crt
openssl x509 -in server.cer -out server.crt -inform DER
pfx -> crt and ca
openssl pkcs12 -in server.pfx -nokeys -out server.crt -nodes -password pass:123456
pfx -> key
openssl pkcs12 -in server.pfx -nocerts -out server.key -nodes -password pass:123456

驗證證書內容

openssl pkey -in server.key -pubout -outform pem | sha256sum
openssl x509 -in server.crt -pubkey -noout -outform pem | sha256sum
openssl req -in server.csr -pubkey -noout -outform pem | sha256sum

正常來說這三個檔案的 sha 值要相同

檢查 private key

openssl rsa -noout -text -check -in server.key

有時候我們要確認一下 key 有沒有 passphrase,否則直接安裝後他問密碼我們不知道那 http server 會直接開不了,假設這組 key 有密碼,而你也知道密碼,我們可以產一個沒有密碼的 key 出來。

openssl rsa -in server.key -out server.no_password.key

參考資料

openssl 指令 command line - 轉檔 pem/der/p7b/pfx/cer | SSORC.tw
[SSL 基礎]私有金鑰、CSR 、CRT 與 中繼憑證 | 哈部落

2020/01/15

jq

JSON 格式的應用現在已經隨處可見了,目前使用的程式語言都有相關支援的套件,如果要在 Linux 底下操作的話有一個非常好用的工具叫 jq,下面來展示應用範例

應用網址:https://jsonplaceholder.typicode.com/users

curl -s https://jsonplaceholder.typicode.com/users | jq .

我們會得到格式漂亮的結果

[
  {
    "id": 1,
    "name": "Leanne Graham",
    "username": "Bret",
    "email": "Sincere@april.biz",
    "address": {
      "street": "Kulas Light",
      "suite": "Apt. 556",
      "city": "Gwenborough",
      "zipcode": "92998-3874",
      "geo": {
        "lat": "-37.3159",
        "lng": "81.1496"
      }
    },
    "phone": "1-770-736-8031 x56442",
    "website": "hildegard.org",
    "company": {
      "name": "Romaguera-Crona",
      "catchPhrase": "Multi-layered client-server neural-net",
      "bs": "harness real-time e-markets"
    }
  }
]

而 jq 可以做 node 的搜寻,以上面那个例子

curl -s https://jsonplaceholder.typicode.com/users | jq .[0].name # "Leanne Graham"
curl -s https://jsonplaceholder.typicode.com/users | jq .[0].address.street # "Kulas Light"

使用 jq 的一些參數也可以達成 json encode 的功能:

test
#!/bin/bash

NAME=$1
AGE=$2

JSON_STRING=$(jq -n \
    --arg name "$NAME" \
    --arg age "$AGE" \
    '{name: $name, age: $age}')

echo $JSON_STRING
./test chan 40 # { "name": "chan", "age": "40" }

jq 没有驗證 json format 的功能,但我們可以利用一些 shell script 的特性辦到這件事

#!/bin/bash

function json_validator() {
    echo $1 | jq . &> /dev/null

    if [[ $? == 0 ]]; then
        echo "$1 is valid format"
    else
        echo "$1 is invalid format"
    fi
}

JSON='{"name": "chan"}'
json_validator "$JSON"
# {"name": "chan"} is valid format

JSON='{"name":}'
json_validator "$JSON"
# {"name":} is invalid format

jq 也可以使用自定義模組,在 ~/.jq 裡面可以將一些複雜但常用的內容先寫好

def blurry($f):
  ($f | ascii_upcase) as $ucf
  | to_entries[]
  | select((.key|ascii_upcase) | startswith($ucf))
  | .value;


def very_blurry($f):
  ($f | ascii_upcase) as $ucf
  | to_entries[]
  | select(.key | ascii_upcase | index($ucf))
  | .value;

這樣的話像搜尋 docker 的 config 的話就非常好用,像是 docker inspect test | jq '.. | blurry("config")?' | objects

搜尋語法
$ jq 'map(select(.id=="1234"))'
$ jq 'map(select(.id|index("1234")))'
$ jq 'map(select(.id|contains("1234")))'
$ jq 'map(select(.id|test("1234";"i")))'
$ jq 'map(select(.id|match("1234";"i")))'

2019/12/30

yum 套件管理

我在這篇文章寫過 yum 跟 apt 的使用差異比較,這篇來討論一下 yum 對於 repo 的管理方式,雖然很多方面 centos 都比 ubuntu 麻煩許多,但 centos 的 yum 在某些方面對於 repo 的管理更加的方便。

首先,如果你沒有這個指令,請先透過 yum 安裝,yum -y install yum-utils,一般我們會這樣操作

$ yum repolist all # 查詢有哪些 repo
$ yum repolist enabled # 哪些 repo 有啟用
$ yum repolist disabled # 哪些 repo 沒有啟用

今天假設我的本機電腦 PHP 版本是 7.1,我有安裝 7.3 的 repo,我要更換版本到 7.3 的話指令如下:

$ sudo yum-config-manager --disable remi-php71
$ sudo yum-config-manager --enable remi-php73
$ sudu yum install php
$ php -v
PHP 7.3.13 (cli) (built: Dec 17 2019 10:29:15) ( NTS )

打完收工,至於 repo 怎麼安裝只要打上要裝的 package 加上 yum repo 等關鍵字幾乎都找的到。

2019/12/20

merge object

jQuery 有一個 $.extend 功能我覺得相當好用,假設你有兩個 object,{'name': 'chan', 'sport': 'basketball'},新的屬性是 {'sort': 'baseball'}, 透過 $.extend(object1, object2) 可以得到 {'name': 'chan', 'sport': 'baseball'},今天要在三個語言實現這個功能,但我要另外加一個內容是,如果新的內容是空字串就不覆蓋。

PHP
<?php  
  
$data = [  
    'name' => 'chan',  
    'sport' => 'basketball'  
];  
$newData = [  
    'name' => '',  
    'sport' => 'baseball'  
];  
$mergeObject = function($object1, $object2) {  
    return json_encode(  
        array_merge(  
            $object1,  
            array_filter(  
                $object2,  
                function($item) {  
                    return $item != '';  
                } 
            )  
        )  
    );  
}; 
  
echo $mergeObject($data, $newData); // {"name":"chan","sport":"baseball"}  
python
# coding=utf-8  
  
import json  
  
data = {  
    'name': 'chan',  
    'sport': 'basketball'  
}  
new_data = {  
    'name': '',  
    'sport': 'baseball'  
}  
  
  
def merge_object(object1, object2):  
    x = object1.copy()  
    n = {}
  
    for key, value in object2.items():  
        if value != '':  
            n[key] = value  
  
    x.update(n)  
  
    return json.dumps(x)  
  
  
print(merge_object(data, new_data)) # {"sport": "baseball", "name": "chan"}
node.js
let data = {  
    'name': 'chan',  
    'sport': 'basketball'  
};  
let newData = {  
    'name': '',  
    'sport': 'baseball'  
};  
let objectFilter = (object1, object2) => {  
    let n = {};  
  
    for (let i in object2) {  
        let value = object2[i];  
  
        if (value !== '') {  
            n[i] = value;  
        }  
    }  
  
    return JSON.stringify(Object.assign(object1, n));  
};  
  
console.log(objectFilter(data, newData)); // {"name":"chan","sport":"baseball"}

2019/07/23

Apache Docker 權限問題

最近在練習使用 docker 建立產品環境,遇到一個權限問題,container 的內容是隔離的,但我們網站有可能會修修改改,如果每次改好才 cp 進去的話很麻煩,所以我採用的方式是將 apache container 內的 /var/www/ 目錄掛出來,直接在本機編輯檔案,如果是靜態網站的話都還好,如果需要用到寫入權限的時候會發生問題。

本機檔案的權限是 root:root,但 container 內的 apache 的權限是 www-data:www-data,所以透過 apache 執行檔案遇到 root:root 時 755 是沒有作用的,開 777 又不妥,目前綜合網路的解法就是在本機建立一個帳號,確定他的 uid,然後將 container 內的 www-data 帳號 uid 改相同,就可以解決這件事,步驟如下

$ useradd -u 3000 docker -g docker
$ chown docker -R /var/www/

Dockerfile

RUN usermod -u 3000 www-data

這樣的話外部的檔案權限就是 docker:root,而 container 內會是 www-data:root,後面 root 可以忽略,寫入權限就完成了。

2019/07/10

Docker Compose Note

Docker Compose Document

version: '3'

services:
    redis:
      image: redis
      container_name: redis
      networks:
        default:
          ipv4_address: '172.18.0.12'
    nginx:
      image: nginx
      container_name: ngx
      volumes:
        - default:/data/
      networks:
        default:
          ipv4_address: '172.18.0.11'
      ports:
        - '8080:80'
      depends_on:
        - redis

networks:
  default:
    external:
      name: chan-network

volumes:
  default:
    external:
      name: chan-volume

tmux script

#!/bin/sh

SERVICE=apache_watcher

tmux has-session -t $SERVICE

if [[ $? != 0 ]]; then
	tmux new -s $SERVICE -d

	tmux split-window -h
	tmux split-window -v -t $SERVICE:0.1
	tmux split-window -v -t $SERVICE:0.0

	tmux send-keys -t $SERVICE:0.0 'htop'  C-m
	tmux send-keys -t $SERVICE:0.2 'nload' C-m
	tmux send-keys -t $SERVICE:0.3 'sudo apachetop' C-m

	tmux clock-mode -t $SERVICE:0.1
	tmux resize-pane -R 30
fi

tmux a -t $SERVICE