可能是火星消息,Google的ACME服务并不需要信用卡就可以在Google Cloud激活使用
与Let's Encrypt和ZeroSSL的ACME类似,Google的ACME服务提供单张证书最多100条SAN,支持通配符域名,有效期为三个月,配合acme.sh/certbot可自动续期
相较于LE和ZeroSSL:
1. Google的证书有国内ocsp节点(也算是谷歌的传统艺能了,未备案域名放在自家国内的服务器上),对于Safari这类浏览器而言国内的加载速度会好一些
2. Google的GTS根有Global Sign的交叉签名,兼容性也不差
3. API稳定性足够(对说的就是你ZeroSSL瞎J8 502,虽然也不是不能理解免费服务容量有限)
具体怎么激活使用网上教程很多(官方文档也有),大致步骤就是在Google Cloud激活Public CA API以后通过Cloud Shell拿到EAB ID和EAB KEY,然后acme客户端内绑定即可使用,就不多赘述了
配额限制为每分钟25个新证书订单/每小时100个新证书订单(查看信息),这个限额是应用于项目级别,所以如果同一个项目(project)有多个ACME账号,他们将共享额度,但是实际上你可以在Google Cloud里面开多个项目,所以可以变相提高限额
(原文:Certificate Manager applies quotas at the Google Cloud project level. If you create two or more ACME accounts within the same Google Cloud project, those accounts share request quotas.)
与Let's Encrypt和ZeroSSL的ACME类似,Google的ACME服务提供单张证书最多100条SAN,支持通配符域名,有效期为三个月,配合acme.sh/certbot可自动续期
相较于LE和ZeroSSL:
1. Google的证书有国内ocsp节点(也算是谷歌的传统艺能了,未备案域名放在自家国内的服务器上),对于Safari这类浏览器而言国内的加载速度会好一些
2. Google的GTS根有Global Sign的交叉签名,兼容性也不差
3. API稳定性足够(对说的就是你ZeroSSL瞎J8 502,虽然也不是不能理解免费服务容量有限)
具体怎么激活使用网上教程很多(官方文档也有),大致步骤就是在Google Cloud激活Public CA API以后通过Cloud Shell拿到EAB ID和EAB KEY,然后acme客户端内绑定即可使用,就不多赘述了
配额限制为每分钟25个新证书订单/每小时100个新证书订单(查看信息),这个限额是应用于项目级别,所以如果同一个项目(project)有多个ACME账号,他们将共享额度,但是实际上你可以在Google Cloud里面开多个项目,所以可以变相提高限额
(原文:Certificate Manager applies quotas at the Google Cloud project level. If you create two or more ACME accounts within the same Google Cloud project, those accounts share request quotas.)
👍5
拿甲骨文开LXC给其他人用的建议屏蔽一下LXC容器到 169.254.169.254 的 80 端口访问,因为LXC内的用户有可能可以通过该接口获取你小鸡的metadata信息,这其中包括了你的租户ID和账户邮箱地址
返回的内容会包括:
可以选择使用iptable禁止转发特定流量,例如:
正常情况下169.254.0.0/16是link-local地址,按理来说不应该被转发,但是考虑到LXC容器网络配置一般伴随NAT,这可能就是另一个故事了(
curl -H "Authorization: Bearer Oracle" -L http://169.254.169.254/opc/v2/instance/
返回的内容会包括:
{
......
"definedTags": {
"Oracle-Tags": {
"CreatedBy": "<账户邮箱地址>",
"CreatedOn": "<小鸡创建时间>"
}
},
......
"tenantId": "<你的甲骨文租户id>"
}
可以选择使用iptable禁止转发特定流量,例如:
iptables -I FORWARD -s 10.0.3.0/24 -d 169.254.169.254 -p tcp --dport 80 -j DROP
正常情况下169.254.0.0/16是link-local地址,按理来说不应该被转发,但是考虑到LXC容器网络配置一般伴随NAT,这可能就是另一个故事了(
👍4
Faker的个人频道
拿甲骨文开LXC给其他人用的建议屏蔽一下LXC容器到 169.254.169.254 的 80 端口访问,因为LXC内的用户有可能可以通过该接口获取你小鸡的metadata信息,这其中包括了你的租户ID和账户邮箱地址 curl -H "Authorization: Bearer Oracle" -L http://169.254.169.254/opc/v2/instance/ 返回的内容会包括: { ...... "definedTags": { "Oracle-Tags":…
对于Azure的机器,Metadata接口会返回实例在创建时设置的管理员用户名,以及订阅ID
(最好不要有弱密码,或者账户默认用的密钥、系统配置好了防火墙,否则就有点难绷了)
curl -s -H Metadata:true --noproxy "*" "http://169.254.169.254/metadata/instance?api-version=2021-02-01" | jq
(最好不要有弱密码,或者账户默认用的密钥、系统配置好了防火墙,否则就有点难绷了)
CUniq储值卡满100HKD打8折
20G 365日内地与澳门上网卡 折后120.8HKD,支持eSIM,上网卡无需实名,内地漫游为联通4G/5G NSA,QCI 6
https://www.cuniq.com/global/travel-Internet/TravelInternetDetail?goodsId=1021006
慶賀國家隊巴黎奧運取得佳績,儲值卡享額外8折(購買儲值卡滿$100),優惠碼【PROUD8】。優惠期至2024年8月17日,受條款及細則約束。
20G 365日内地与澳门上网卡 折后120.8HKD,支持eSIM,上网卡无需实名,内地漫游为联通4G/5G NSA,QCI 6
https://www.cuniq.com/global/travel-Internet/TravelInternetDetail?goodsId=1021006
电信晚高峰国际出口这么堵是从什么时候开始的?
=> 大约2015年前后,那会儿的主要问题是海外互联段(X-F)的容量不够,所以电信的CN2 GT(跨境段163,海外互联CN2)在当时是一个卖点(比如北美C3 CN2 GT等,OpenVZVPS,时代的眼泪啊)。2017年之后到现在的主要容量瓶颈在于跨境段(C-I),于是主卖产品变成了CN2 GIA(因为有单独的跨境段容量)
这么有实力为什么不多扩容像移动联通一样有冗余为止?
=> 1. 因为需要工信部批准。像21年移动出口爆炸、去年电信跨境段扩容,运营商侧的网络设备其实已经准备好一段时间了,但是设备到位后并不能立刻就能上线。跨境段由于墙的存在,扩容跨境段意味着墙实际上也需要扩容。
=> 2. 扩容容量制定和时间上是有一定的滞后性的,比如在当时看来扩1T可能足够,但是实际上由于一些实际需求的用量增长(比如某些网站视频、应用分发等原本可以通过CDN消化的流量,由于不能在国内合法托管,或者觉得国内网络环境不可信不乐意使用国内CDN,所以只能放在国外),可能一年甚至半年时间不到增长的用量马上就把这部分给吃掉了,叠加前面说的工信部审批的时间,所以很多时候能观察到的就是,电信163去年11月扩容,今年年中的时候部分方向又开始丢包了。
=> 3. 设备从计划制定到招标上架也是有成本的(经济和时间成本都有)
=> 4. 国内的大客户一般都有一定程度的QoS保障,大客户没有批量投诉就可以了,家宽作为相对不那么赚钱的”低价值业务”,丢就先丢着吧(此处配图:罗老师,又不是不能用.jpg)
(如有遗漏或者错误欢迎补充/斧正)
=> 大约2015年前后,那会儿的主要问题是海外互联段(X-F)的容量不够,所以电信的CN2 GT(跨境段163,海外互联CN2)在当时是一个卖点(比如北美C3 CN2 GT等,
这么有实力为什么不多扩容像移动联通一样有冗余为止?
=> 1. 因为需要工信部批准。像21年移动出口爆炸、去年电信跨境段扩容,运营商侧的网络设备其实已经准备好一段时间了,但是设备到位后并不能立刻就能上线。跨境段由于墙的存在,扩容跨境段意味着墙实际上也需要扩容。
=> 2. 扩容容量制定和时间上是有一定的滞后性的,比如在当时看来扩1T可能足够,但是实际上由于一些实际需求的用量增长(比如某些网站视频、应用分发等原本可以通过CDN消化的流量,由于不能在国内合法托管,或者觉得国内网络环境不可信不乐意使用国内CDN,所以只能放在国外),可能一年甚至半年时间不到增长的用量马上就把这部分给吃掉了,叠加前面说的工信部审批的时间,所以很多时候能观察到的就是,电信163去年11月扩容,今年年中的时候部分方向又开始丢包了。
=> 3. 设备从计划制定到招标上架也是有成本的(经济和时间成本都有)
=> 4. 国内的大客户一般都有一定程度的QoS保障,大客户没有批量投诉就可以了,家宽作为相对不那么赚钱的”低价值业务”,丢就先丢着吧(此处配图:罗老师,又不是不能用.jpg)
(如有遗漏或者错误欢迎补充/斧正)
🤷♀10👏3😱2🎅1
微软官方8月13日披露Windows系统TCP/IP协议栈严重安全漏洞,编号 CVE-2024-38063,影响所有支持的Windows版本,攻击者可以通过特制的IPv6数据包触发远程代码执行(RCE),无需用户交互或身份验证。
目前未发现漏洞被在野利用的情况,临时解决方案为禁用IPv6,建议用户尽早更新系统安装安全补丁。
MSRC
目前未发现漏洞被在野利用的情况,临时解决方案为禁用IPv6,建议用户尽早更新系统安装安全补丁。
MSRC
👍2
特别提醒:请不要轻信以 onmicrosoft.com 的地址发来的邮件
这个域名是微软提供给租户使用的默认域名,你在注册Azure或者Office E3/E5的时候就会要你填写一个租户域名(比如 nishitiancai.onmicrosoft.com),这种默认域名在搭配带有Exchange许可的订阅(例如A1/A1P/E3/E5,包括开发者订阅)的时候可用于发送邮件至外部用户,本质上来说是任何人都可以注册的域,毕竟空租户也可以注册。
微软官方的邮件一般都在 microsoft.com 或者其子域名下面,也许不全在,但是绝不可能会存在以 onmicrosoft.com 结尾的默认租户域名发送的“官方邮件”。
先前已有用户在Teams上收到这种以 onmicrosoft.com 默认域冒充的“微软员工”账号发来的诈骗消息并有造成财产损失,此外也有以此默认域名发送钓鱼邮件的恶意用户。
这个域名是微软提供给租户使用的默认域名,你在注册Azure或者Office E3/E5的时候就会要你填写一个租户域名(比如 nishitiancai.onmicrosoft.com),这种默认域名在搭配带有Exchange许可的订阅(例如A1/A1P/E3/E5,包括开发者订阅)的时候可用于发送邮件至外部用户,本质上来说是任何人都可以注册的域,毕竟空租户也可以注册。
微软官方的邮件一般都在 microsoft.com 或者其子域名下面,也许不全在,但是绝不可能会存在以 onmicrosoft.com 结尾的默认租户域名发送的“官方邮件”。
先前已有用户在Teams上收到这种以 onmicrosoft.com 默认域冒充的“微软员工”账号发来的诈骗消息并有造成财产损失,此外也有以此默认域名发送钓鱼邮件的恶意用户。
❤5👍1