日常运维中经常会接触到SSH（Secure Shell，安全外壳协议），通过SSH登录到要管理的服务器，通过各种命令完成整个服务器的维护，这个过程在内网中或者网络质量较高的时候总是很顺畅，但是当网络质量比较差的时候就会出现意外断开连接的情况了，比如比较常见的报错Socket error Event: 32 Error: 10053，这时候往往需要我们重新发起SSH连接，问题是新发起的连接无法继续上一个连接执行的命令，比如在断开连接前我们在虚拟终端执行了一个需要长时间等待的Shell命令，但是命令没执行完网络中断了，实际上此时的命令仍然在执行，如果遇到需要交互的部分还会停下来，只是我们新的连接将看不到命令的输出，可以通过ps aux | grep 进程名定位到进程。本文将介绍对于此类问题的应对方法供参考 1 终端的概念 1.1 什么是TTY TTY 是 Teletype 或 …

一些项目中对外服务需要开放一些API接口，常见也是最易用的就是使用GET方式向URL传参查询字符串（Query String），这种方式的缺点主要有①传输的数据需要进行URL编码（URL Encode）；②受到URL最大长度限制，超过限制则有可能被Web服务器拒绝；③一种可能的安全缺陷就是Web服务器的日志有可能暴露敏感信息，比如查询字符串传递了密码，虽然使用HTTPS加密传输的URL能够避免被中间人拦截识别敏感信息，但是无法避免服务器端Web应用日志记录的问题，敏感信息可能会通过日志暴露给审计人员或者攻击者。 可能有读者会考虑使用POST方法是不是能够避免这些问题，确实对于复杂数据传输场景使用POST方式更为合适，因为POST请求的载荷（Payload）主要位于HTTP请求的主体（Body）部分，除非特殊配置，否则有效避免了②和③，对于①，常见的POST主体编码是表单模式，常见提交表单就 …

nginx作为反向代理服务器一直以轻巧高效著称，在日常实践中我将其作为项目的反向代理应用前端并取得了不错的效果，这里记录nginx其中利用njs模块的脚本支持读取ipset黑名单（白名单）从而实现访问控制列表（Access Control List）的方法，做法仅供参考，如有想法欢迎评论提出。 1 主要背景 1.1 问题的提出 互联网环境日益复杂和危险，对于新上线的服务器主机来说，每天都将面临大量的漏洞扫描、DDoS攻击，对于配置不当或者存在安全漏洞的主机，很容易就会沦为跳板机或者挖矿机，继而攻击网络中其他主机或者白白消耗宝贵的计算资源，对于互联网威胁我认为有必要采取积极的防御策略。 1.2 基本的防御策略 主要有这几种手段：① 关注安全公告并及时打补丁避免漏洞；② 复杂的身份认证策略，避免弱口令存在于SSH或者数据库系统中，建议采取证书或者key方式完成认证流程；③ 最小权限划分原则，避 …