之前公務電腦剛換成 Windows 10 後,就有發現內建的 VPN 連線沒辦法連回家裡的 Synology VPN Server,不過因為想繞過的東西通常是網站,而 SSH tunnel 還是可以穩定運作,所以也就置之不理,但最近為了 prepare 以後可能會用到的狀況,還是研究了一下怎麼解決。
Synology
在 Synology NAS 上用 Shell Script Renew Let's Encrypt
2016.05.09 Update: Synology DSM 6.0 發佈之後,就已內建整合 Let’s Encrypt 憑證的申請、更新及管理,在多個 domains, virtual hosts 也可以成功運作,更加方便。
因為 Let’s Encrypt 官方的 python script 沒辦法直接在 Synology NAS 上執行,所以之前得透過另一台 Linux 機器來取得憑證,很快的,三個月的憑證期限就要到了,而這三個月內,又出現了另一個非官方但更方便的工具 – letsencrypt.sh,它是 BASH script,只需要一些大部份機器上都有的 command line tools 就可以執行,拿到 Synology NAS 上測試,的確可以成功的取得憑證,詳述方法如下:
在 Synology NAS 上設定 Let's Encrypt 憑證
2016.05.09 Update: Synology DSM 6.0 發佈之後,就已內建整合 Let’s Encrypt 憑證的申請、更新及管理,在多個 domains, virtual hosts 也可以成功運作,更加方便。
2016.01.28 Update: 現在有一個非官方但更方便的工具 – letsencrypt.sh,它是 BASH script,只需要一些大部份機器上都有的 command line tools 就可以執行,在 Synology NAS 上也可以成功的取得憑證,方法請參見:在 Synology NAS 上用 Shell Script Renew Let’s Encrypt
Let’s Encrypt 是一個最近新興的 certificate authority (CA), 他們的一個宏高的理想是 “encrypt the entire web”,提供免費的 SSL 憑證,在幾天前,他們開始了 Beta Program,填個資料就可以參加,我收到確認信後,也試著安裝了一下。
和一般的 CA 不同(例如之前申請過的 StartSSL),不是透過 web 來下載,他們提供了一個 python script 讓使用者可以方便的取得憑證,但在 Synology NAS 上並沒有辦法成功的安裝與執行,參考了 mgoerges 的做法,透過另一台機器取得後,再 import 進 DSM 中,以下簡要的記錄一下步驟:
[Synology DSM] 手動刪除 IP Block List
Synology DSM 有個功能,可以自動把重複過多的錯誤連線 IP Block 掉,藉此來阻斷一些網路攻擊。最近因為改了密碼,結果在登入的過程中,不小心把自己的 IP 給擋掉,這下有點尷尬,如果能夠在短時間內想起密碼的話, 改 IP 後繼續 try 應該是最簡單的方法,但我是用 vpn 連回去的,ip 似乎沒辦法直接改,不過幸好我的 ssh 是用 key 來連線的,還可以動,記錄一下如何用 command line 來刪除被 block 的 ip 資料。
SynoLocker 事件
本月月初,出現了一個專門針對 Synology NAS 的勒索軟體 – SynoLocker,它利用舊版的 DSM 漏洞入侵用戶的 NAS,然後對機器裡的文件進行加密,並對使用者勒索。到目前為止似乎已經告一個段落,稍微記錄一下。(詳細內容可參考 iThome 的報導)
Upgrade DSM 5.0
其實 DSM 5.0 早在上個月就發表了,不過整個三月都很忙,根本不敢隨便升級,怕搞爛了 NAS 得額外花不少時間處理,拖著拖著,最近剛巧碰上 Heartbleed 安全事件,反正不管原本 4.3 就要 patch 或是要直接升級 5.0,早晚都要更新,就一鼓作氣解決了,幸好過程一切順利,跟平時的 minor upgrade 沒差多少。
在 Synology NAS 中指定 PHP 的 curl.cainfo
前一陣子蔡 p 的網站流量爆量,不論怎麼 upgrade VPS 的規格依舊抵擋不住熱情的讀者 DDoS,xdite 有一系列的文章分享怎麼讓 wordpress-based blog 可以慢慢的擴充上去,其中我最有興趣的大概是 CloudFlair 的免費 CDN 服務。