2017年4月

TP-LINK 842N V4刷OpenWrt并安装njit-client进行INODE认证

April 22, 2017

主要大致步骤如下:

1、硬改路由为8M+64M

2、编程器刷入不死Uboot

3、Uboot下刷入最新15.05OpenWrt固件

4、进入路由SSH,安装中文语言

5、编译安装njit-client  qos(可选)  shadowsocksr(可选)

 

 

 

前面1、2步骤不细讲,动手能力强的自行动手,相关教程到anywlan无线或者恩山无线搜索。动手能力差的随便淘宝一个硬改好的,也就20 -30左右。

 

3、下载最新openwrt原版固件https://downloads.openwrt.org/chaos_calmer/15.05.1/ar71xx/generic/openwrt-15.05.1-ar71xx-generic-tl-wr841n-v9-squashfs-sysupgrade.bin

重启路由器按住reset按钮直到led不停的闪烁,浏览器输入192.168.1.1进入Uboot,选择  固件更新-固件  选择刚刚下载好的固件,选择更新。

 

刷写完固件后路由自动重启,路由器重启完毕后,浏览器输入192.168.1.1,若能进入web管理界面,则固件刷写成功

 

4、进入路由SSH(推荐使用Xshell),安装luci中文语言包:opkg install luci-i18n-base-zh-cn   出现:* opkg_install_cmd: Cannot install package luci-i18n-base-zh-cn.时说明找不到安装包,使用:opkg update  更新源,重新安装:opkg install luci-i18n-base-zh-cn,安装完成后重启路由,进入web管理界面选择System - system - Language and Style - Language - 普通话 - Save & Apply

 

5、下载njit-client需要的依赖(根据系统版本下载)

https://downloads.openwrt.org/latest/ar71xx/generic/packages/base/libopenssl_1.0.2g-1_ar71xx.ipk

https://downloads.openwrt.org/latest/ar71xx/generic/packages/base/libpcap_1.5.3-1_ar71xx.ipk

https://downloads.openwrt.org/latest/ar71xx/generic/packages/base/zlib_1.2.8-1_ar71xx.ipk

njit-client根据自己的主控选择,如果没有的话请自行下载源码进行编译:

源码:https://github.com/liuqun/njit8021xclient

编译需要在linux系统下编译,相关编译教程请参考:http://www.7forz.com/1973/

 

将下载好的依赖及编译好的njit-client.ipk、njit8021xclient-web.ipk上传至/tmp文件夹(使用winscp连接,文件协议为scp)

连接SSH,进入/tmp文件夹:cd /tmp

安装njit-client:

opkg update

opkg install zlib_1.2.8-1_ar71xx.ipk

opkg install libopenssl_1.0.2g-1_ar71xx.ipk

opkg install libpcap_1.5.3-1_ar71xx.ipk

opkg install njit-client.ipk

opkg install njit8021xclient-web

所有安装完成后输入:njit-client,如果正常提示启动格式则为安装正常,如果报错提示类似can't load library 'libcrypto.so.1.1.0'

进入/usr/lib/:

cd /usr/lib

ln -s libpcap.so.1.3 libpcap.so.1.1.0      实际安装版本号为你安装的版本号

重新输入:njit-client提示  :

<span style="color: #ff6600;">命令行参数错误!</span>
<span style="color: #ff6600;">正确的调用格式例子如下:</span>
<span style="color: #ff6600;"> njit-client username password</span>
<span style="color: #ff6600;"> njit-client username password eth0</span>
<span style="color: #ff6600;"> njit-client username password eth1</span>
<span style="color: #ff6600;">(注:若不指明网卡,默认情况下将使用eth0)</span>

则安装完成,重启路由器,进入web管理界面

 

输入Inode的账号密码,网卡根据实际wan口的网卡选择,若校园网绑定MAC还需要在  接口-wan口里面克隆你电脑的MAC地址,完毕后点击连接进行Inode认证

 

如需要进行QOS限速及科学上网功能的则继续进入SSH:

opkg update

opkg install luci-app-qos

安装QOS完成

 

下面安装shadowsocksr:

根据路由主控型号下载自己的版本,若没有则自己进行交叉编译,与编译njit-client方法一致

http://www.right.com.cn/forum/thread-204802-1-1.html

源码:https://github.com/ywb94/openwrt-ssr

下载完成后上传至/tmp文件夹内

安装:opkg install luci-app-shadowsocksR_1.2.1_all.ipk

安装完成后重启路由器

 

 

 

以上所有步骤完成

 

最后上传本人使用到的所有固件,及适合AR71XX使用的插件,以及本人的科学上网公众号,回复 ”科学上网“ 免费获取科学上网账号密码

或者到博主科学上网小站注册账号获取科学上网:https://markss.club

 

https://pan.baidu.com/s/1nviDcvB

 

 

 

 

Debian && Ubuntu无法使用root登陆ssh

April 14, 2017

原来新版本里面sshd_config里面有了限制

nano /etc/ssh/sshd_config

# Authentication:
LoginGraceTime 120
#PermitRootLogin without-password    #找到这里,把它注释
PermitRootLogin yes                  #改为yes  然后重启ssh,没有这一行时手动添加
StrictModes yes

service ssh restart

如何正确配置Nginx+PHP

April 10, 2017

对很多人而言,配置Nginx+PHP无外乎就是搜索一篇教程,然后拷贝粘贴。听上去似乎也没什么问题,可惜实际上网络上很多资料本身年久失修,漏洞百出,如果大家不求甚解,一味的拷贝粘贴,早晚有一天会为此付出代价。

假设我们用PHP实现了一个前端控制器,或者直白点说就是统一入口:把PHP请求都发送到同一个文件上,然后在此文件里通过解析「REQUEST_URI」实现路由。

此时很多教程会教大家这样配置Nginx+PHP:

server {
    listen 80;
    server_name foo.com;

    root /path;

    location / {
        index index.html index.htm index.php;

        if (!-e $request_filename) {
            rewrite . /index.php last;
        }
    }

    location ~ \.php$ {
        include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME /path$fastcgi_script_name;
        fastcgi_pass 127.0.0.1:9000;
        fastcgi_index index.php;
    }
}

这里面有很多错误,或者说至少是坏味道的地方,大家看看能发现几个。

我们有必要先了解一下Nginx配置文件里指令的继承关系:Nginx配置文件分为好多块,常见的从外到内依次是「http」、「server」、「location」等等,缺省的继承关系是从外到内,也就是说内层块会自动获取外层块的值作为缺省值(有例外,详见参考)。

参考:UNDERSTANDING THE NGINX CONFIGURATION INHERITANCE MODEL

让我们先从「index」指令入手吧,在问题配置中它是在「location」中定义的:

location / {
    index index.html index.htm index.php;
}

一旦未来需要加入新的「location」,必然会出现重复定义的「index」指令,这是因为多个「location」是平级的关系,不存在继承,此时应该在「server」里定义「index」,借助继承关系,「index」指令在所有的「location」中都能生效。

参考:Nginx Pitfalls

接下来看看「if」指令,说它是大家误解最深的Nginx指令毫不为过:

if (!-e $request_filename) {
    rewrite . /index.php last;
}

很多人喜欢用「if」指令做一系列的检查,不过这实际上是「try_files」指令的职责:

try_files $uri $uri/ /index.php;

除此以外,初学者往往会认为「if」指令是内核级的指令,但是实际上它是rewrite模块的一部分,加上Nginx配置实际上是声明式的,而非过程式的,所以当其和非rewrite模块的指令混用时,结果可能会非你所愿。

参考:IfIsEvil and How nginx “location if” works

下面看看「fastcgi_params」配置文件:

include fastcgi_params;

Nginx有两份fastcgi配置文件,分别是「fastcgi_params」和「fastcgi.conf」,它们没有太大的差异,唯一的区别是后者比前者多了一行「SCRIPT_FILENAME」的定义:

fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;

注意:$document_root 和 $fastcgi_script_name 之间没有 /。

原本Nginx只有「fastcgi_params」,后来发现很多人在定义「SCRIPT_FILENAME」时使用了硬编码的方式,于是为了规范用法便引入了「fastcgi.conf」。

不过这样的话就产生一个疑问:为什么一定要引入一个新的配置文件,而不是修改旧的配置文件?这是因为「fastcgi_param」指令是数组型的,和普通指令相同的是:内层替换外层;和普通指令不同的是:当在同级多次使用的时候,是新增而不是替换。换句话说,如果在同级定义两次「SCRIPT_FILENAME」,那么它们都会被发送到后端,这可能会导致一些潜在的问题,为了避免此类情况,便引入了一个新的配置文件。

参考:FASTCGI_PARAMS VERSUS FASTCGI.CONF – NGINX CONFIG HISTORY

此外,我们还需要考虑一个安全问题:在PHP开启「cgi.fix_pathinfo」的情况下,PHP可能会把错误的文件类型当作PHP文件来解析。如果Nginx和PHP安装在同一台服务器上的话,那么最简单的解决方法是用「try_files」指令做一次过滤:

try_files $uri =404;

参考:Nginx文件类型错误解析漏洞

依照前面的分析,给出一份改良后的版本,是不是比开始的版本清爽了很多:

server {
    listen 80;
    server_name foo.com;

    root /path;
    index index.html index.htm index.php;

    location / {
        try_files $uri $uri/ /index.php$is_args$args;
    }

    location ~ \.php$ {
        try_files $uri =404;

        include fastcgi.conf;
        fastcgi_pass 127.0.0.1:9000;
    }
}

实际上还有一些瑕疵,主要是「try_files」和「fastcgi_split_path_info」不够兼容,虽然能够解决,但方案比较丑陋,具体就不多说了,有兴趣的可以参考问题描述

补充:因为「location」已经做了限定,所以「fastcgi_index」其实也没有必要。

 

原文:https://huoding.com/2013/10/23/290