夏普 - Sharp G.

背景

正常来讲，我们在自动化发布的过程中难免会造成告警风暴，那么我们可以做些什么来规避这个问题呢，一个比较简单的方式就是在发布前禁用掉zabbix的触发器，发布完再启用，本篇博客就是在这个背景下进行创作的，本次用到的脚本如下所示：

 ~/Downloads/tmp  tree                       
.
├── main.py
├── zhtrigfinder.py
└── ztrigswitcher.py

0 directories, 3 files

代码分两块，一个是main.py，一个是github上的开源脚本zhtrigfinder.py和ztrigswitcher.py，仓库名叫q1x/zabbix-gnomes，感谢，该仓库年久失修，为了防止失联本人fork了一下，也在下面把源码直接贴了出来，请把两块代码放到同一级目录。

整个项目依赖python2，主要是这个七八年前的上古开源脚本zhtrigfinder.py和ztrigswitcher.py也依赖python2。

依赖安装

python2 -m pip install pyzabbix==1.0.0 requests==2.26.0

使用

上述脚本的后两个脚本依赖一个下面格式的配置文件：

[Zabbix API]
     username=johndoe
     password=verysecretpassword
     api=https://zabbix.mycompany.com/path/to/zabbix/frontend/
     no_verify=true

主代码main.py命令行参数如下：

 ~/Downloads/tmp  python main.py -h
usage: main.py [-h] [-k KEYWORDS] [-D] [-E]

A wrapper for zabbix …

… 阅读更多

背景

关于获取Hostloc的每日热帖推送的话题，本站已经写了两篇博客阐述了，分别是你想收到hostloc每日热帖的邮件么？以及如何越过Hostloc的防CC攻击机制获取其每日热帖，虽然这两个都是Python脚本，但是前者仅仅是一个简单的Python脚本，无法应对后来新增的防CC机制，而后者中的脚本很好的解决了这个问题，但是本篇博客用一种全新的思路来解决这个问题，具体就是用了一个把chrome的cdp协议封装成golang对象的库chromedp来调用无头的chrome浏览器来访问loc站点。

依赖

下面的脚本依赖了以下第三方github库，编译前自己安装一下。

"github.com/anaskhan96/soup"
"github.com/chromedp/chromedp"
"github.com/emersion/go-sasl"
"github.com/emersion/go-smtp"

代码

package main

import (
	"context"
	"encoding/base64"
	"fmt"
	"os"
	"runtime/debug"
	"strconv"
	"strings"
	"time"

	"github.com/anaskhan96/soup"
	"github.com/chromedp/chromedp"
	"github.com/emersion/go-sasl"
	"github.com/emersion/go-smtp"
)

func mailSend(mailBodyText string) {
	currentDate := time.Now().Format("2006-01-02")
	subject := fmt.Sprintf("%s Hostloc今日热帖", currentDate)
	subjectBase := base64.StdEncoding.EncodeToString([]byte(subject))
	from := ""
	to := …

… 阅读更多

背景

很早之前写过一篇叫 你想收到hostloc每日热帖的邮件么？的博客，但是没过多久这个就失效了，因为hostloc站点加了防CC攻击的机制，导致无法直接获取其网页源码了，下面分享一个可以越过防CC攻击的脚本，注意本脚本仅用来自用推送loc的热帖给自己，请不要用于其它用途。

依赖

pyaes==1.6.1
beautifulsoup4==4.10.0
html5lib==1.1

代码

import re
import textwrap
import requests
import time
import smtplib
from bs4 import BeautifulSoup
from email.mime.text import MIMEText
from pyaes import AESModeOfOperationCBC
from requests import Session as req_Session

HOST = 'smtp.qq.com'
PORT = 587
SENDER = ''
RECEIVER = ''
PWD …

… 阅读更多

场景

目前的例行发布做了发布前自动屏蔽触发器，发布后恢复的操作，由于有时候发布过程中某一步失败了，人工介入处理之后整个发布流程没有继续走完就会导致触发器未恢复。

代码

代码分两块，一个是main.py，一个是github上的开源脚本zhtrigfinder.py，仓库名叫q1x/zabbix-gnomes，感谢，该仓库年久失修，为了防止失联本人fork了一下，也在下面把源码直接贴了出来，请把两个代码放到同一级目录。

整个项目依赖python2，主要是这个七八年前的上古开源脚本zhtrigfinder.py也依赖python2。

脚本依赖安装如下：

python2 -m pip install pyzabbix==1.0.0 requests==2.26.0

这两个脚本公用一个配置文件，格式如下：

[Zabbix API]
     username=johndoe
     password=verysecretpassword
     api=https://zabbix.mycompany.com/path/to/zabbix/frontend/
     no_verify=true

所以主代码main.py的运行方式如下：

python main.py -c zbx_prod.conf

另外，主代码中你只需要修改企业微信的群组chat_id和机器人公网请求地址，此外修改一下operation_dictoperation_dict这个字典中的zabbix agent的ip和触发器中关键字就行。

main.py代码如下：

# -*- encoding: utf-8 -*-
import subprocess
import argparse
import ConfigParser
import os
import os.path
import sys
import distutils.util
import requests
import json …

… 阅读更多

话不多说直接上脚本，自用的话替换一下脚本里面的API地址以及zabbix的用户名和密码即可。

#!/usr/bin/env python
# encoding=utf-8

import datetime
import json
import time

import requests


def getToken(url, post_headers, url_user, url_password):
    post_data = {
        "jsonrpc": "2.0",
        "method": "user.login",
        "params": {
            "user": url_user,
            "password": url_password
        },
        "id": 1
    }
    ret = requests.post(url, data=json.dumps(post_data), headers=post_headers)
    return json.loads(ret.text).get("result")


def timestamp_to_string(timestamp):
    # 转换成localtime
    time_local = time.localtime(timestamp)
    # …

… 阅读更多

啥也不说了，上脚本之前先说一下有种做成zabbix自动发现的方案不是很合适，因为线上的集群动不动就几千个queue，这样生成的zabbix监控项太多，综合各方面考虑都不是很合适，下面的方案是把结果写到文件里面，然后配置个让zabbix agent定时去扫关键字的模板，具体怎么弄就不赘述了，直接上我们的Python脚本哦。

# -*- coding: utf-8 -*-
import re
import subprocess
list_vhost_cmd = "/sbin/rabbitmqctl list_vhosts |grep -v 'Listing vhosts'"
list_vhost_result = subprocess.check_output(list_vhost_cmd, shell=True).strip().split('\n')
no_exception_count = 0
with open('./results.txt', 'w') as f:
    for vhost in list_vhost_result:
        list_queue_cmd = "/sbin/rabbitmqctl list_queues -p {0} |grep -Ev 'Listing queues|Timeout:|name\tmessages'".format(vhost)
        try:
            list_queue_result = subprocess.check_output(list_queue_cmd, shell=True).strip().split('\n') …

… 阅读更多

背景

最近发现用VSCode启动一个django项目后访问首页会报TemplateDoesNotExist错误，表现如下：

但是用Pycharm启动的就不会报这个错，经过一番研究，原来是setting.py中的TEMPLATES设置没有和BASE_DIR join一下，不完善的会导致报错的配置如下：

TEMPLATES = [
    {
        'BACKEND': 'django.template.backends.django.DjangoTemplates',
        'DIRS': 'templates',
        'APP_DIRS': True,
        'OPTIONS': {
            'context_processors': [
                'django.template.context_processors.debug',
                'django.template.context_processors.request',
                'django.contrib.auth.context_processors.auth',
                'django.contrib.messages.context_processors.messages',
                'blog.context_processors.add_variable_to_context',
            ],
            'string_if_invalid': 'InvalidVariable'
        },
    },
]

若要修复上述错误，需要按照如下配置：

TEMPLATES = [
    {
        'BACKEND': 'django.template.backends.django.DjangoTemplates',
        'DIRS': [os.path.join(BASE_DIR, 'templates')],
        'APP_DIRS': True,
        'OPTIONS': {
            'context_processors': [
                'django.template.context_processors.debug',
                'django.template.context_processors.request',
                'django.contrib.auth.context_processors.auth',
                'django.contrib.messages.context_processors.messages',
                'blog.context_processors.add_variable_to_context', …

… 阅读更多

前言

如果你的bitwarden只托管了一些不重要的密码的话，可以看一下本站之前写的一篇博客（保姆级免Nginx反代配置带SSL证书Bitwarden服务端），基本也够安全的了，因为Bitwarden_RS/Vaultwarden(下文简称Bitwarden)底层采用的rocket tls最低支持版本是1.2，而不是1.0或1.1，具体看这里的官方文档。

但是如果你的自建bitwarden托管了你的支付宝微信、银行卡、信用卡等全部身家，甚至几百个比特币的钱包的私钥，那前面提到的博客就不行了，我们必须再提高安全性，毕竟我们的服务暴露在了公网，一旦被不怀好意的人渗透了可就真的麻烦了。

终极加固实战

首先声明一下，一定一定一定要首先优先配置两步验证，这是最基础的安全措施，本文不再赘述~

另外本人遵循 "eat your own dog food"原则，本文全篇介绍的东西在本人自建的Bitwarden服务器上全部有应用到。

本人作为一名渣渣Linux运维小学生，着实才疏学浅，本文不能涵盖所有加固措施，遗漏的地方还望大家在评论区留言指出来，本人再补充进正文。

我们的加固涉及到了以下方面：

• 禁止注册和邀请用户
• 禁止显示密码提示
• 基于Nginx实现禁止ip访问 （防止类似于shedon的邪恶搜索引擎搜索到，以及脚本小子扫描ip段）
• 基于腾讯云控制台和Nginx讲解如何配置ECC算法的ssl证书，舍弃掉RSA算法的证书（ECC算法的破解难度要更高，比RSA算法要更上一个台阶），网上搜到的博客试了好几个都不行，我这里的一步到位
• 让docker进程以非root用户运行，这里踩了一个坑，折腾了个把小时
• 最后一步几乎将自建Bitwarden的安全性更上了一个台阶，那就是给后台的URL加上随机字符串，使得使用默认的后台地址无法访问
• 最最后，由于我们的前端流量由Nginx承载，所以Nginx也要加固一下,下述共涉及 屏蔽Nginx的版本号减少攻击面、对Http请求方法进行限制、防止点击劫持、启用HSTS强制https访问、防止跨站攻击和摒弃不安全的ssl cipher且server端主动选择cipher共计6个方面。

基于某些考虑我们没有涉及的：

• 配置fail2ban，自动封锁暴力破解者，这个有时候很容易在自己连续输入错几次密码后把自己给封了，即使你可以在手机上访问vps解封也比较繁琐，如果你按照本篇博客设置下来的话，配置fail2ban的意义也不是很大了。
• docker的ssl挂载目录设置只读权限，因为我们采用了ECC算法的证书，而Bitwarden底层采用的rocket tls实现是不支持解析的，所以我们要移除掉相关设置，不用担心，本篇博客将会介绍如何用Nginx来实现解析ECC算法的证书
• 舍弃掉你的主域名来作为服务入口，而是配置一个含有随机字符串的二级域名，这也是一个很不错的加固方式，本文也不再赘述

上述所有的加固措施在Bitwarden_rs/vaultwarden的官方wiki中都有提到，大神没必要再付费看我下面的描述了，不过如果你对上述加固措施不太熟悉的话，亦或者自己踩了很多坑搞不定的话，还是墙裂建议看看下面的描述的。

Tips：下述命令和Nginx指令比较零星，对技术不太熟悉的朋友很容易弄混淆，本人贴心的把docker的完整启动命令和关键指令含有注释的Nginx的完整配置分别贴了出来。

最简单备份指南

其实就是新建一个git私有仓库，然后写一个每天打包并自动push到远程仓库的脚本，再配置成定时任务就行了，国内vps推荐使用的gitee，国外的可以用github，

注意！！！ 仓库一定要建成私有的哦 注意！！！

脚本如下：

cd /data && tar czvf bitwarden_backup_$(date '+%Y%m%d_%H%M').tgz bw-data/ && …

… 阅读更多