Kobayashi 最近的时间轴更新
手机挂影梭竟然只能上 V2EX 了,我到底做错了什么!?是只有 V2EX 没有走 socks 通道吗,可我用的是全局啊
2015-03-26 17:26:17 +08:00
Kobayashi

Kobayashi

V2EX 第 89959 号会员,加入于 2015-01-05 00:26:08 +08:00
今日活跃度排名 2354
根据 Kobayashi 的设置,主题列表被隐藏
二手交易 相关的信息,包括已关闭的交易,不会被隐藏
Kobayashi 最近回复了
是,没必要,因为代理不使用你本地解析出来的结果。
https://blog.skk.moe/post/what-happend-to-dns-in-proxy/
2 天前
回复了 shinichii 创建的主题 DNS 谈谈我的 DNS 治污方案
> 小鸡一号位于不远的异国他乡,运行 AdGuard Home,作用是从源头得到尽可能干净安全的 DNS
机器多的没处用吗?直接本地 DoT 、DoH 或者代理转发 DNS 请求到国外公共 DNS 不就行。都是转发 DNS 请求,你开台机器转发和本地直接转发没区别。你搞台机器在国外完全多此一举。
你可以直接用 Overture 把一号机的活儿干了。不过我更推荐 mosdns,没有 overture 那种只能引入 2 个配置文件的限制。另外他们 DoT 、DoH 实现上游不一样。历史上 overture 出现过 DoT 实现 bug,一个 DoT 到 8.8.8.8 花了我 1s…… 而 mosdns 还自己实现了连接复用。coredns 就更算了,连个好的 IP 过滤实现都没有,每次还得重新编译。

> 如果想更纯,国内也可以加密,但不知道实际意义有多大,我觉得有点太过于极端
这个通常不需要,国内走加密不是为了应对 DNS 污染,而是运营商 DNS 劫持。这个涉及运营商网间收费。比如,你移动宽带用户访问我联通宽带资源,联通就要收移动的钱。小运营商为了省钱会自己建立一些反代缓存,通过 53 口 NAT DNS 劫持把用户请求导过来。不过,这个要不要防劫持还有待商议,因为小运营商网络不是很好,很多网都是租来的,你不打到它的反代上速度肯定会变慢。

> 当然你可以在二号上套娃一个 AdH,但分流不太方便,没有 Overture 灵活
部署一个 AdGuadHome 做记录统计和去广告,上游指向同机器上 overture 而不是外网 DNS.

> 比如缓存设置多大、用 DoT 还是 DoH 、是否有更好的 AdH 替代品等等。
缓存单人 500 条就够用,我从来没打满过。家庭用我觉得 1000 条肯定够。
以前我用的是 dnsmasq/unbound+chinadns. dnsmasq 和 unbound 做转发功能没 mosdns 多,但设计的其他方面比 overture 、mosdns 这种业余的肯定要专业。dnsmasq 和 unbound 都可以查询一些统计信息,里边就包括缓存信息。

> 希望能抛砖引玉,看看还有没有优化空间(那么只有砸钱了)。
你 DNS 转发到小鸡一号,和直接 DoT 、DoH 到外网公共 DNS 没有什么区别。小鸡一号完全没必要。

扩展一下关于 EDNS Client Subnet,我自己是不开这个。因为不仅要去污染,还要走代理。代理是不使用你本地解析的 IP 的,甚至都不需要解析到没有污染的 IP,只要能正确分流即可。参考 https://blog.skk.moe/post/what-happend-to-dns-in-proxy/
比如 Surge 就没实现 Clash 那种 DNS 分流加无污染。

所以严格来说,完全可以不做 DNS 无污染。电脑上我会部署 mosdns 。如果你部署在路由上,想要记录查询请求,前边套一个 adguardhome 即可。
这都是 ClashX 干的,强制覆盖了你配置文件中的一些参数。还有 DNS,我设置监听在 127.0.0.1,他丫的非要监听在 0.0.0.0.
不爽可以换 CFW 或者直接 clash-premium TUI.
3 天前
回复了 Kingfish404 创建的主题 macOS 是时候开发一个隐藏刘海的 App 了?
苹果的解决方案是把状态栏加宽,我干……
@monkeydev 跨 Windows *nix 不要使用 zip,换 tar 或者 7z.
zip 格式设计时没有考虑存储文件系统编码。*nix 下文件名、文件夹名都是 UTF-8 编码,中文 Windows 下大概是 GBK 之类的。直接解压对方压缩的 zip 时,会使用自己文件系统的编码,解压必然失败。

如果非要死磕 zip:

- 少量 GUI app (如 macOS 下 Entropy 和 The Unarchiver )对 zip 解压加入了编码猜测支持,而不是直接使用当前文件系统的编码。
- 某些 TUI 支持解压 zip 时指定编码,如 unzip-iconv (patch 版 unzip, -O, -I 参数),unarchive (The Unarchiver 应用底层命令行工具,-e gb18030)
5 天前
回复了 Wanerlove 创建的主题 程序员 gitee ssh 抽风了嘛
更正:

- bitbucket 还需要指定 HostKeyAlgorithms +ssh-rsa
- 另外上条回复末尾 bitbucket 不支持椭圆曲线应该是错误的,不能只依据 host key algorithms 判断
5 天前
回复了 Wanerlove 创建的主题 程序员 gitee ssh 抽风了嘛
@chengfeng 基本是正确的。严格来说不是 RSA 被废弃,RSA 公钥仍然安全,废弃的只是认证过程中的 ssh-rsa 签名格式,或者说哈希算法。

自从 OpenSSH 7.2,rsa-sha2-* 取代 ssh-rsa 作为默认的 ssh host key algorithm 签名算法。8.2 时通知 ssh-rsa 之后将废弃,8.8 正式废弃了 ssh-rsa.

https://security.stackexchange.com/a/226133/203193
> The RFC8332 RSA SHA-2 signature algorithms rsa-sha2-256/512. **These algorithms have the advantage of using the same key type as "ssh-rsa" but use the safe SHA-2 hash algorithms.** These have been supported since OpenSSH 7.2 and are already used by default if the client and server support them.

另外影响的只是 ssh-rsa hash 算法格式,RSA 公钥(即 id_rsa 文件)仍然使用 ssh-rsa 格式。 因为 RSA 公钥不依赖 hash 函数。

https://www.ietf.org/rfc/rfc8332.txt
> Since RSA keys are not dependent on the choice of hash function, the new public key algorithms reuse the "ssh-rsa" public key format as
defined in [RFC4253]:

https://superuser.com/a/1488613/733022
> RSA keys themselves are neither "SHA1" nor "SHA2" - the key format doesn't involve any hash algorithm at all. The private key just consists of two large numbers, and unlike certificates, there is no attached signature.

https://superuser.com/a/1556861/733022
> The key format has not changed. The only thing that changes is the signature format that's sent during each authentication handshake.

---

回归原问题,OpenSSH 8.8 客户端默认不提供 ssh-rsa hash function,而远端服务端不接受非 ssh-rsa 外的 rsa-sha2-*. 协商失败。

目前已知受影响的有 gitee.com, bitbucket.org.

测试方法: ssh -T [email protected] -vv 或者 ssh -T [email protected] -vv 开启 debug2 级别日志。在结果中检索 'host key algorithms',注意有 2 条匹配,一条客户端的,一条服务端的。

gitee: ssh-rsa,ssh-dss,ecdsa-sha2-nistp256,ssh-ed25519. OpenSSH 服务端没有支持 rsa-sha2-*.
bitbucket 就更狠了: ssh-rsa,ssh-dss. 根本就不支持任何椭圆曲线签名算法。
8 天前
回复了 hijoker 创建的主题 SSH 有没有这样的一个 ssh 命令行工具
fzf 配置好后自带此功能,不过触发通过 ssh ** 双星后按 Tab 补全。
补全内容来自文件 ~/.ssh/config ~/.ssh/config.d/* /etc/ssh/ssh_config
源码在 https://github.com/junegunn/fzf/blob/master/shell/completion.bash
8 天前
回复了 siwadiya 创建的主题 GitHub ssh github 突然报 Connection closed?
export GIT_SSH_COMMAND="ssh -vvv"
关于   ·   帮助文档   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2174 人在线   最高记录 5497   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 9ms · UTC 12:29 · PVG 20:29 · LAX 05:29 · JFK 08:29
♥ Do have faith in what you're doing.