notsobad

stages:
  - test

workflow:
  rules:
    - if: $CI_PIPELINE_SOURCE == 'merge_request_event'

pylint-error-only:
  stage: test
  script:

notsobad

如何限制指定进程访问指定网络？

参考了https://unix.stackexchange.com/questions/68956/block-network-access-of-a-process ，其中netns是docker在用的方法，配置比较复杂，比较简单的方法是创建专门的group，在iptable增加针对group的限制。

# 新增一个组
groupadd no-lan

# 验证下组
sg no-lan id

notsobad

今天读了篇论文《Cookies Lack Integrity: Real-World Implications 》 （ https://www.usenix.org/system/files/conference/usenixsecurity15/sec15-paper-zheng-updated.pdf ），里面有涉及到CDN相关的，提到了我们的服务，我就分析了下。

CDN服务商一般给客户提供一个专用域名，每个客户一个独立的子域名，子域名供不同的客户使用，假设某cdn服务商使用cname.cdn-site.com的不同子域名给不同客户提供服务：

A客户： 28d4198.cname.cdn-site.com
B客户：18f3191.cname.cdn-site.com

这两个域名正常情况下是给客户配置DNS解析，用户配置cname记录到这些域名的，不会直接使用这些域名
但是实际上，这些域名是可以直接访问的，假如A客户域名下托管了一段js，这段js执行如下代码：
document.cookie="name=test;Path=/;domain=.cdn-site.com";

notsobad

# python http408.py 127.0.0.1 80 25
import socket
import time
import sys

HOST = sys.argv[1]
PORT = int(sys.argv[2])
DELAY = int(sys.argv[3])

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

notsobad

#coding=utf-8
# https://zh.wikipedia.org/wiki/%E8%92%99%E6%8F%90%E9%9C%8D%E7%88%BE%E5%95%8F%E9%A1%8C
import sys
import random

stay = 0
change = 0
MAX_TRY = int(sys.argv[1])

for i in range(MAX_TRY):

notsobad

直播

http://www.jianshu.com/p/8ea016b2720e http://www.jianshu.com/p/b8db6c142aad

https://www.v2ex.com/t/213713 http://www.infoq.com/cn/articles/alibaba-broadcast-platform-technology-challenges http://www.jianshu.com/p/dd73132ea5e2

https://www.zhihu.com/question/42162310

notsobad

docker run -v `pwd`:/data/ -e NODE_TLS_REJECT_UNAUTHORIZED=0 --rm -ti elasticdump/elasticsearch-dump \
  --input=https://user:[email protected]/dir/ \
  --input-index=index/type \
  --searchBody="{\"query\":{\"term\":{\"key\": \"xxxx\"}}}" \
  --output=/data/xxx.json \
  --size=1000 \
  --concurrency=5 \
  --type=data

notsobad

# https://askubuntu.com/questions/1049302/wired-ethernet-not-working-ubuntu-18-04
# ubuntu 18.04 桌面版，发现每次重启后，有线网络是off的状态，需要点击connect，才能连接，查了下，有不少人遇到同样问题，下面这个方法可以解决问题

service network-manager stop
rm /var/lib/NetworkManager/NetworkManager.state
service network-manager start

notsobad

WORK_DIR = /root/notsobad/jupyter/work
CONTAINER_NAME = jupyter

init :
        docker run -d --name $(CONTAINER_NAME) -p 8888:8888 -e NB_UID=1000 -e JUPYTER_ENABLE_LAB=yes -v "$(WORK_DIR)":/home/jovyan/work jupyter/tensorflow-notebook start-notebook.sh --NotebookApp.password='sha1:XXX:XXXX'

start :
        docker start $(CONTAINER_NAME)
stop :
        docker stop $(CONTAINER_NAME)

notsobad

# 过滤tls1.0的client hello数据包，参考https://www.netmeister.org/blog/tcpdump-ssl-and-tls.html


tcpdump -ni eth0 '((tcp[((tcp[12] & 0xf0) >>2)] = 0x16) && (tcp[((tcp[12] & 0xf0) >> 2)+1] = 0x03) && (tcp[((tcp[12] & 0xf0) >> 2)+9] = 0x03) && (tcp[((tcp[12] & 0xf0) >> 2)+10] = 0x01))'