月度归档: 2016年8月

新增 OpenPGP Keyserver

PGP 公钥服务器已于 2019/07/02 关闭。

注意:域名已迁移至 pgp.ustc.edu.cn

PGP 公钥服务域名迁移至 pgp.ustc.edu.cn

新增 sks.ustclug.org,同时已加入 SKS Keyserver Pool。
SKS Keyserver Pool 监控信息:https://sks-keyservers.net/status/ks-status.php?server=sks.ustclug.org
SKS Keyserver 状态信息:https://sks.ustclug.org/pks/lookup?op=stats

GnuPG 用户可以设置 keyserver 服务器为 hkp://sks.ustclug.org 来直接使用。如:
gpg --keyserver hkp://sks.ustclug.org --refresh-keys

GnuPG 2 的用户可以将 sks.ustclug.org 加入配置文件中,方法:
.gnupg/dirmngr.conf 中加入 keyserver hkp://sks.ustclug.org
然后运行 gpgconf --reload dirmngr 使配置生效。

hkps 协议暂未支持,正在申请 hkps 证书中 🙂

update 2:

https/hkps 证书改为由 Let’s Encrypt 签发。

对应的 CA 请使用 DST RootCA X3

Linux 用户一般可以从 /usr/share/ca-certificates/mozilla/DST_Root_CA_X3.crt 这个地方获取 CA 文件。

update 1:

hkp 协议为 http 协议的子集(默认端口不同),所以 hkps 和 https 也是类似的(都使用 443 端口)。
SKS Keyserver Pool 的 hkps 要求使用的是 sks-keyservers.net CA 签发的证书(不被浏览器信任),所以我们决定保留使用 StartCom 签发的证书用于
443 端口,即用于 https 和 hkps 服务。

请使用 hkps 的同学在配置文件中加入 StartCom_Certification_Authority 这个 CA。

具体以 GnuPG 2.1.11 为例:


mkdir ~/.gnupg/trusted-certs
cp /usr/share/ca-certificates/mozilla/StartCom_Certification_Authority.crt ~/.gnupg/trusted-certs/StartCom_Certification_Authority.pem
# 注意 dirmngr 只认 pem 结尾的证书
echo "hkp-cacert ~/.gnupg/trusted-certs/StartCom_Certification_Authority.pem" >> ~/.gnupg/dirmngr.conf
echo "keyserver hkp://sks.ustclug.org" >> ~/.gnupg/dirmngr.conf
gpgconf --reload dirmngr

科大电信出口遭到攻击

2016年8月26日 17:45 科大电信出口遭受DDOS攻击,目前出口丢包率较高。

公网访问以下服务的电信接入点,将变得不稳定:

  • 开源镜像站
  • 权威DNS
  • LUG主页
  • LUG FTP
  • 防污染DNS
  • GitLab
  • 科大博客
  • 反向代理
  • LUG BBS
  • FreeShell(端口映射)

请用户暂时切换至教育网接入点或移动接入点。

P.S. 校内用户不受影响

update 2016.08.26 18:29:26: jameszhang联系电信封掉了受攻击的IP,服务恢复正常。总故障时间44分钟。

Gitlab 更新到 8.11.0

最近 Gitlab 发布了 8.11.0, 我们也随之进行了更新. 8.11.0 版本引入了一些比较好玩的特性, 在此想向大家介绍一下:

 

  • Issue board

Gitlab 给每个项目添加了一个叫 Issue board 的东西, 通过它你可以快速了解项目里所有 issue 的状态. 官方示例:

Issue Boards in GitLab 8.11

Issue Board 文档

  • 在线解决合并冲突

官方示例:

Merge Conflict Resolution in GitLab 8.11

  • Issue 以及 merge request 模板

项目根目录下的 .gitlab/ 或者 .gitlab/{issue_templates, merge_request_templates} 文件夹下的 markdown 文件可以被当做创建 issue 或 pull request 时的信息模板, 供用户选择. 官方示例:

Issue and Merge Request templates in GitLab 8.11

更多信息可参见官方关于 templates 的文档

  • /command

现在 Gitlab 支持在评论或者创建 PR 时, 通过 /label, /minestone 等命令更新项目的状态. 官方示例:

Slash commands in GitLab 8.11

Slash commands in GitLab 8.11

支持的命令列表

本文介绍了部分 Gitlab 8.11 新增的特性, 想了解更多可查看官方的 release note

 

 

新增HTTP 204服务

Android(安卓)操作系统从5.0版引入了一项网络评估机制,在连接wifi时尝试访问clients3.google.com/generate_204,以便探测网络是否需要认证。

但由于众所周知的原因,clients3.google.com在某些地区无法访问,导致Wifi图标上出现一个感叹号。

您可以尝试将clients3.google.com替换为LUG的提供的站点:http://204.ustclug.org。

使用方法:


adb shell "settings put global captive_portal_server 204.ustclug.org"

Homebrew Bottles源新增Tap仓库镜像

Homebrew Bottles源(二进制仓库)新增以下Tap镜像(之前只镜像了homebrew-core):

使用方法与Homebrew-bottles源相同,如果您已设置科大Homebrew-Bottles源,则无需额外操作。新用户请参考这个页面

USTC Blog 可以使用 Let’s Encrypt 证书了

Let’s Encrypt 是一个自由、免费、自动化的 SSL 证书颁发机构。只要有域名的控制权和一个 Web 服务器,就能申请到可信的 SSL 证书,给网站挂上小绿锁。除非你想要泛域名证书(即 *.example.com 这种)或者想要 EV 认证(绿色地址栏),Let’s Encrypt 颁发的证书不仅不需要花钱,整个申请过程还是完全脚本化的。

USTC Blog 今天针对第三方域名,增加了自动申请和续期 Let’s Encrypt 证书的功能。如果您希望给博客绑定第三方域名,将不再需要自己申请和上传证书及私钥,而可以让我们代为自动申请。

Let’s Encrypt 需要验证域名的所有者,因此请首先把域名 CNAME 到 p.blog.ustc.edu.cn,并等待一段时间以便 DNS 记录更新。然后登录 WordPress 后台,设置 => 常规,勾选 “Apply, install and renew Let’s Encrypt SSL certificate automatically”。

勾选之后下面的上传 SSL 证书部分会自动收起。

保存更改,等待十秒左右,Let’s Encrypt 证书应该就申请成功并安装到您的博客上了。随后您可以通过 https://your-domain.com 访问博客了。

如果申请失败,例如域名解析尚未生效(Let’s Encrypt 需要通过域名 HTTP 访问到 USTC Blog 上的验证文件),或者您的域名所申请 Let’s Encrypt 证书的数量超过 Let’s Encrypt 方面的限制,请稍候再试。

证书的有效期为三个月。到期前一段时间,USTC Blog 会自动续期。

由于 Let’s Encrypt 限制每个域名每个月不能申请超过 100 张证书,且不支持泛域名证书,我们目前无法为 *.blog.ustc.edu.cn 使用 Let’s Encrypt 证书,而是仍然使用 StartSSL 颁发的 OV 泛域名证书(*.blog.ustc.edu.cn)。

如果您在使用 Let’s Encrypt 过程中遇到任何问题,欢迎联系我们