多个网站出现SSL认证故障

由于GlobalSign OCSP服务出现故障,导致USTC LUG旗下多个站点的SSL证书状态显示为“被吊销”。

目前暂无临时解决方案,静待缓存过期。

update 20161019: 对于macOS用户,请在终端中执行以下命令强制清除缓存:


sqlite3 ~/Library/Keychains/*/ocspcache.sqlite3 'DELETE FROM responses WHERE responderURI LIKE "%http://%.globalsign.com/%";'

科大电信出口遭到攻击

2016年8月26日 17:45 科大电信出口遭受DDOS攻击,目前出口丢包率较高。

公网访问以下服务的电信接入点,将变得不稳定:

  • 开源镜像站
  • 权威DNS
  • LUG主页
  • LUG FTP
  • 防污染DNS
  • GitLab
  • 科大博客
  • 反向代理
  • LUG BBS
  • FreeShell(端口映射)

请用户暂时切换至教育网接入点或移动接入点。

P.S. 校内用户不受影响

update 2016.08.26 18:29:26: jameszhang联系电信封掉了受攻击的IP,服务恢复正常。总故障时间44分钟。

LUG主页、GitLab故障公告

反向代理服务器于2016年3月30日 04:16 内核崩溃。于30日07:26强制重启后恢复。故障原因正在调查中。

事故过程:

2016-03-29 20:32  监控报警,www.ustclug.org无法正常访问。接到报警后,我尝试访问www.ustclug.org没有遇到故障。以为是误报。

2016-03-30 04:16  监控报警,git.ustclug.org等网站挂了一片。(此时正在与周公聊天)

2016-03-30 05:54  boj前辈在QQ群中报告了网站故障。

2016-03-30 07:07  早上醒来后看到一堆报警,于是查找故障原因。发现反代服务器kernel panic。

2016-03-30  07:27  对反代服务器所在的虚拟机执行reset命令,强制重启后服务恢复。

最后,向凌晨还在辛苦工作的boj致以最诚挚的问候和衷心的感谢(づ ̄ 3 ̄)づ)

LUG 主页服务器停机维护通知

近期,lug.ustc.edu.cn 服务器一块硬盘出现了坏道,造成部分数据损坏。

损坏数据多为 LUG 主页 wiki 生成的缓存,其他重要数据均已备份。而 Time Machine 的备份文件在另一块硬盘上,未受到任何影响。

为避免进一步的数据损失,技术部门将于2015年5月2日下午3:00开始对该服务器执行停机维护,更换损坏的硬盘。预计停机2小时,届时以下服务将不可用:

希望各位用户予以理解!

 

LUG 网络服务3月9日网络中断说明

由于 全校范围的网络故障,3 月 9 日下午 17:00 ~ 18:00 网络时断时续,3 月 10 日凌晨 0:00 ~ 6:00 大约每半小时断网一次。

昨天的故障和 3 月 5 日持续 45 分钟的故障,原因估计是 近代物理楼某接口发送大量 ARP 包导致核心交换机 CPU 过载,换句话说,就是核心交换机被拒绝服务攻击了。

现代交换机通常是使用 ASIC(专用芯片)或 FPGA 来做绝大部分数据包的转发,只有少数控制包(如 ARP、STP 包)要交给交换机 CPU 做处理,交换机的 CPU 通常计算能力非常有限。例如 MAC 地址学习功能一般是由 CPU 进行的,首先所有 ARP 包被发到 CPU,CPU 把 MAC 地址和物理端口的映射关系写入到 ASIC 或 FPGA 中的二层转发表。如果交换机收到大量 ARP 包,又没有在入站端口对 ARP 包进行限速,就会导致交换机 CPU 忙不过来。

非常抱歉近几天的网络故障给您带来的不便。同时强烈谴责(有意或无意)进行网络攻击的人,对全校师生造成了这么大的麻烦!

ustclug.org 换发新 SSL 证书

2015 年 1 月 6 日 zhsj 发现 Chrome 40 Beta 版里,ustclug.org 和 servers.ustclug.org 的地址栏不是小绿锁而是小黄锁,也就是不完全是安全连接。这是由于 Chrome 40 决定把证书失效时间不早于 2016 年 1 月 1 日,并且使用 SHA-1 数字签名算法的 SSL 证书认为是不安全的。推荐使用的是 SHA-256 数字摘要算法。

1 月 7 日,stephen 向 LUG 捐赠了 StartSSL Class 2 认证账号一枚,可用于颁发有效期两年的任意 SSL 证书。用该账号给 https://ustclug.org/https://servers.ustclug.org/ 换发了使用 SHA-256 和 RSA 2048 位数字签名的新 SSL 证书。

ustclug.org 新证书的基本信息(为防垃圾邮件用了图片):

感谢 stephen 的捐赠!

LUG 服务器停止支持 SSL 3.0 协议

根据 Google 最新发布的 安全建议,SSL 3.0 存在 POODLE 漏洞,导致 HTTPS 安全连接可能被中间人攻击。这是一个协议设计漏洞,而非软件 bug,因此不可能通过升级软件的方式解决。

目前 LUG 使用 SSL 的 Web 站点已经禁用不安全的 SSL 3.0 协议,只支持 TLS 协议(TLSv1、TLSv1.1、TLSv1.2)。

本修改导致 IE6 用户无法使用 LUG 站点的 HTTPS 服务。事实上我们使用的 StartSSL 证书也不被 Windows XP 信任(其中包括 IE6),在此只能对 IE6 用户说声抱歉了。

科大博客提供 Google Fonts 加速

由于 fonts.googleapis.com 在国内访问不稳定,USTC Blog 某些主题中的字体加载不出来。现在 LUG 提供了 Google Fonts 加速服务,已经把 WordPress 原始代码和用户主题内的 Google 字体和 CSS、JS 文件替换成了 LUG 的代理,以加速字体的显示。

事实上 360 网站卫士已经提供了 Google Fonts 加速服务(libs.useso.com),但不支持 HTTPS。HTTPS 博客内只能引用 HTTPS 资源,因此不能用他们的服务,只好自建了。我们的做法与他们类似,我们的服务器通过“国际专线”(你懂的)对用户的请求做代理,并修改 HTTP 响应内容中的 URL(例如 fonts.googleapis.com 中会引用 themes.googleusercontent.com 的资源)。感谢 雨路 和 stephen 的建议。

如果您的博客不在科大 LUG 上,也想使用加速服务,请在 WordPress 源码内进行如下替换:

  1. ajax.googleapis.com => ajax.lug.ustc.edu.cn
  2. fonts.googleapis.com => fonts.lug.ustc.edu.cn
  3. themes.googleusercontent.com => google-themes.lug.ustc.edu.cn

如果您的科大博客在此修改之后出现无法显示字体的问题,请联系我们:support (at) blog.ustc.edu.cn。