RockyLinux 9 使用usb硬碟備份,要避免硬碟進入休眠
過年要到了,小公司需要利用這時間進行系統備份,外接usb備份也很重要,備份完直接切斷usb硬碟連線,但我發現usb會進入休眠,不確定是否能終端機叫醒,因此乾脆直接改成不休眠狀態。
2013年有篇文章,有大佬分享心得
分類: 其他
又是windows 11,停用TLS 1.0、TLS 1.1,只支援1.2
windows 11 從2024年開始,預設就停用TLS 1.0、TLS 1.1了。
表姊公司dovecot 內送郵件伺服器沒有支援TLS 1.2,解法就兩種
- 啟用windows 11 TLS 1.0、TLS 1.1
https://learn.microsoft.com/en-us/windows/win32/secauthn/tls-10-11-deprecation-in-windows - 讓dovecot相容TLS 1.2
重點在Linux Server上的openssl 版本必須1.0.1或以上
dovecot啟用TLS 1.2 做法如下:
https://serverfault.com/questions/959186/error-performing-tls-handshake-with-dovecot-2-3-upgrade
我自己修改dovecot啟用TLS 1.2 做法如下:
- 產生dh.pem
openssl dhparam 4096 > /etc/dovecot/dh.pem - 修改 /etc/dovecot/conf.d/10-ssl.conf
ssl_dh =</etc/dovecot/dh.pem
ssl_min_protocol = TLSv1.2
ssl_cipher_list = ALL:!LOW:!SSLv2:!EXP:!aNULL
ssl_prefer_server_ciphers = yes
最後再更新我自己整合的郵件伺服器(綁定本地端微軟網域伺服器)
https://github.com/WilliamFromTW/docker-Postfix-AD
—
2024/01/10 (冏只隔一天又出現其他問題)
上次問題解決之後(windows 11其實有更新到24h2),後續又發現其他台windows 11未更新24h2,收發信還是有問題,但問題不太一樣
Jan 10 09:49:02 docker dovecot: pop3-login: Disconnected: Connection closed: SSL_accept() failed: error:1417A0C1:SSL routines:tls_post_process_client_hello:no shared cipher
我除了更新mail server的postfix 、dovecot、openssl (RockyLinux 8.8) 外,變更dovecot一些設定,就解決問題了。
- 啟用windows 11 的TLS 1.0 、TLS 1.1
依照微軟建議,我做成reg檔案,請按此下載匯入到windows啟用 - 更改dovecot設定,改成最小可支援 TLS 1.1 ,ssl_cipher_lis也修改(出處請參照這裡)
ssl_min_protocol = TLSv1.1
#ssl_cipher_list = ALL:!kRSA:!SRP:!kDHd:!DSS:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!PSK:!RC4:!ADH:!LOW:!DH@STRENGTH
ssl_cipher_list = ALL:!LOW:!SSLv2:!EXP:!aNULL
win11 22h2帶來的影響,無法連線MSSQL 2005
我表姊公司在1999年就開始使用高格EPR系統,這個系統使用當時開發windows程式的顯學 Borland 軟體架構(2-tier、3-tier),資料庫使用interbase 。
高格一路上升級,資料庫改成BDE+mssql 2005混合體,連線方式從netbeui改tcpip,用戶端作業系統從windown 98到windows 10也能使用。
我認為高格是一款很棒的軟體,不比我二姊公司現在還在使用生產力中心開發的老古董”excel 97 進銷存系統”差。
直到最近,表姊公司換新的筆電,原本依照步驟,將windows啟用.net framework 3.5、smb 1.0 ,安裝interbase、mssql 2005 client 就可以連到 mssql 2005 server,實際上安裝後,卻無法正常連線到資料庫;我找了很久找不出原因,只好google一下”win11 mssql 2005″,居然在ITHOME找到解法 https://ithelp.ithome.com.tw/questions/10212352(感謝 aaron3399、mihihi) ,只要利用 IISCrypto 這個軟體(備用下載),將win11被移除的加密方式加回來,就可以連上mssql 2005 server了,也讓高格能繼續生存下去。
加回來的加密協定:
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_3DES_EDE_CBC_SHAwindows uwp 檢查網際網路真是有夠麻煩的
有個網站寫得很好:
https://developerinsider.co/check-internet-connectivity-in-uwp
我只要網路有通就好了,不須取得能否能連上網際網路的資訊
bool isNetworkConnected = NetworkInterface.GetIsNetworkAvailable();
老派java+eclipse+sprint boot遇到3DES加密問題
API,傳資料只用簡單的3DES加解密,但是java 預設只有3DES的PKCS5Padding,要達到PKCS7Padding(windows c# 只支援PKCS7Padding),就只能請Bouncy Castle幫忙,我使用bcprov-jdk15to18-1.78.1.jar、jdk17。
程式改寫大概如下:
// java 只有padding5,用bouncycastle,改寫成可使用padding7
static {
if(Security.getProvider("BC")!=null) Security.removeProvider("BC");
Security.addProvider(new BouncyCastleProvider());
}
// 使用CBC、PKCS7Padding
原本寫法
Cipher decryptCipher = Cipher.getInstance("DESede/CBC/PKCS5Padding");
改成
Cipher decryptCipher = Cipher.getInstance("DESede/CBC/PKCS7Padding","BC");
在Eclipse開發時很正常,正式執行時,出現以下錯誤:
jce cannot authenticate the provider bc
我查了一下原來jdk 17是17.0.9版,這問題於jdk 17.0.10(2024年1月)解決,就這麼剛好只差一版;最後,我升級至目前最新 jdk17.0.12版就解決了。參考來源
另外 windows uwp c#寫法也幾乎一至,因java是API,windows app為client,所以也就順手了解一下
public static String Encrypt3DesCbcPKCS7Padding(String sIV,String sSecretKey, String sData)
{
TripleDES tdes = TripleDES.Create();
IvParameterSpec ivSpec = new IvParameterSpec(System.Text.Encoding.UTF8.GetBytes(sIV));
SecretKeySpec secretKeySpec = new SecretKeySpec(System.Text.Encoding.UTF8.GetBytes(sSecretKey), "DESede");
Cipher encryptCipher = Cipher.GetInstance("DESede/CBC/PKCS7Padding", "BC");
encryptCipher.Init(Cipher.ENCRYPT_MODE, secretKeySpec, ivSpec);
return Base64.ToBase64String(encryptCipher.DoFinal(System.Text.Encoding.UTF8.GetBytes(sData)));
}
讓 nextcloud 有全文檢索能力FullText Search ElasticSearch
nextcloud 搜尋很好用,若能有全文檢索能力就更棒了,於是外掛 fulltextsearch_elasticsearch就登場了。
開發團隊只針對還在維護的nextcloud版本進行更新,也就是說一旦我們的nextcloud已經EOL了,就不會再收到ElasticSearch的更新。
以下是甘苦談
原本使用的nextcloud 25.x 能搭配ElasticSearch 7.x ,但遇到外掛存在非常嚴重效能低下問題(兩萬個檔案有設定分享,100人使用,建立索引表算一算需要至少三、四個月,太誇張了);由於nextcloud 25版已經停止維護,於是我只剩下升級nextcloud一途。
我的nextcloud架設在 CentOS 7,docker上面跑好多容器,很穩定;但nextcloud要升級到26時候,出現容器dns錯亂,無法進行dns查詢,只好先還原回25版。
初步認定是CentOS 7或docker版本過於老舊,但我不敢隨意升級docker,最後只能將nextcloud資料複製到新的虛擬主機(RockyLinux 9.4),測試由25升級到26,然後26升級27 結果就很正常,沒有出現dns錯亂問題。
移轉注意事項請參考「將nextcloud從CentOS7移轉到RockyLinux9。」
** 升級nextcloud到27,搭配新fulltextsearch外掛,初始索引要18小時,效率差了百倍以上。
開始安裝囉
安裝 ElasticSearch 8.x(ES 8) 引擎
Nextcloud 26或以上必須搭配 ES 8,最新docker版本可至此查詢 https://hub.docker.com/_/elasticsearch
#RockyLinux 9.4、docker 27.0.2
############## 檔案 ./docker-compose.yaml ################
version: "3.9"
services:
elasticsearch:
build:
context: .
dockerfile: ./docker/es/Dockerfile
container_name: elasticsearch
environment:
- discovery.type=single-node
- xpack.security.enabled=false
- xpack.security.http.ssl:enabled=false
ports:
- 9200:9200
- 9300:9300
networks:
- elastic
restart: always
volumes:
- indexdata:/usr/share/elasticsearch/data
# 索引過的資料將存放到 /usr/share/elasticsearch/data裡面
networks:
elastic:
driver: bridge
volumes:
indexdata:
driver: local
###########################################################
################ 檔案 ./docker/es/Dockerfile ###############
FROM elasticsearch:8.14.2
# ingest-attachment 一定要安裝
RUN bin/elasticsearch-plugin install ingest-attachment
###########################################################
# 執行容器
docker-compose up -d
安裝完畢,瀏覽器測試一下引擎是否正常 http://ip:9200/ ,事後需填入到nextcloud外掛設定裡面。
nextcloud 安裝外掛 fulltextsearch
#若安裝出問題,請移除app後,再刪除以下資料庫資料,之後就可以正常安裝了
drop table oc_fulltextsearch_indexes;
drop table oc_fulltextsearch_ticks;
delete from oc_appconfig where appid='fulltextsearch';
delete from oc_appconfig where appid='fulltextsearch_elasticsearch';
delete from oc_appconfig where appid='files_fulltextsearch';
delete from oc_appconfig where appid='files_fulltextsearch_tesseract';
DELETE FROM oc_migrations WHERE app='fulltextsearch';
DELETE FROM oc_preferences WHERE appid='fulltextsearch';
外掛設定
外掛安裝完畢,還需要填入引擎網址、與索引名稱,其他預設值即可。
「檢查」外掛設定是否正常
docker exec -t --user www-data <nextcloud容器名稱> php occ fulltextsearch:check
「測試」外掛設定是否正常
docker exec -t --user www-data <nextcloud容器名稱> php occ fulltextsearch:test
一切正常後,就可以開始建立索引表了,這裡建議定期重做索引。
docker exec -t --user www-data <nextcloud容器名稱> php occ fulltextsearch:index這裡強烈建議nextcloud裡面所有的文件,只要是「掃描.產生的PDF檔」,需要先利用acrobat adobe pro或adobe線上文字辨識功能(OCR),進行一次自我辨識
第一次初始化索引建立後,nextcloud就可以使用
最後還需要額外執行live指令,針對後續異動的檔案進行索引
# 自動索引官方沒建議怎做,我自己是在容器本體VM(RL9.4)利用console常駐執行
# 這樣做比較麻煩,需要注意重開後需要手動做
docker exec -t --user www-data <nextcloud容器名稱> php occ fulltextsearch:live** 有一次我要刪除原本的索引,一直失敗,搞了很久很久很久很久,才發現要先進入容器下指令才有用
docker exec -t --user www-data <nextcloud容器名稱> php occ fulltextsearch:reset
** nextcloud存放檔案的目錄,新增「 .noindex」,就可以不做index
** nextcloud若有安裝tesseract ocr這個外掛,記得再進nextcloud容器,安裝相關程式(此功能我一直沒成功過)
apt install tesseract-ocr tesseract-ocr-chi-tra-vert tesseract-ocr-chi-tra tesseract-ocr-chi-sim tesseract-ocr-script-viet tesseract-ocr-script-hant tesseract-ocr-script-hant-vert
wordpress 6.5.5 出現ERR_TOO_MANY_REDIRECTS error
場景
- 有對外IP充當反向代理程式VM(CentOS 7.9)
httpd reverse proxy 2.4.6 - 無對外IP,內部vm (RockyLinux 9.4)
Docker CE + Container WordPress 6.5.5
讓反向代理程式連到wordpress,網頁測試居然出現ERR_TOO_MANY_REDIRECTS 錯誤
爬文之後,要在wordpress的wp-config.php加上
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] === 'https') {
$_SERVER['HTTPS'] = 'on';
}
再不行,要加上
if (isset($_SERVER['HTTP_X_FORWARDED_HOST']) && isset($_SERVER['HTTP_X_FORWARDED_PORT'])) {
$_SERVER['HTTP_HOST'] = $_SERVER["HTTP_X_FORWARDED_HOST"];
$_SERVER['SERVER_PORT'] = $_SERVER["HTTP_X_FORWARDED_PORT"];
}
來源 https://lukashermann.dev/writing/wordpress-too-many-redirects/
Nextcloud又一個坑,使用onlyoffice造成的
上次提到我又回歸使用 onlyoffice 75.1版,過了一段安穩日子後,沒想到居然遇到有個pdf,裡面小圖片不見的靈異現象,我還罵同事眼睛業障重,叫同事把看不到圖的那個pdf檔案,直接下載改用adobe reader看看,結果是「要不是我親眼所見,我是萬萬不能相信啊」,還真的連我都業障重,onlyoffice就是看不到小圖片,而adobe reader可以。
後來我先解除onlyoffice檢視pdf檔案設定,改使用nextcloud外掛 pdf.js, 就可以看到原本看不到的小圖片了,坑真的很多很大。
問題雖暫時解決,但pdf.js 功能太少了,不能鎖下載,也不能有浮水印,Gold害。
在沒有更好的處理方案前,我只好先搞定“公司規定不能下載PDF”的規定;最後手動修改程式,直接暴力停用pdf.js的下載功能
環境是:nextcloud 26,pdf.js 2.6
vi /var/www/html/apps/viewer/js/viewer-main.js
# 找到以下字串,將紅色部分刪掉
,e.canDownload?t(“NcActionLink”,{attrs:{download:……,e._v(” “),e.canDelete?…
cd /var/www/html/apps/files_pdfviewer
egrep -r "toolbarViewerRight" .|more
# 找到toolbarViewerRight 後面加上 hidden='true'
另外,安裝完pdf.js 我不確定是否要執行”啟用” javascript功能,但還是記下來好了(官網有特別提到此指令)
docker exec --user www-data -it nextcloud2 php occ config:app:set files_pdfviewer enable_scripting --value=yes
「FydeOS – 为中国用户打造的ChromeOS」初體驗
公司希望Android撰寫的測試程式移植到windows平台上,但是這樣做很耗時,程式要重新開發; 因此我想到讓筆電或電腦桌機能夠直接執行android, 這樣就能解決問題了。
我排除已知的解決方案之一-Android模擬器、windows 11模擬andorid不考慮(因為要停用了)。
最後我希望類似chrome book 使用chrome OS直接支援android 的方式,沒想到還真的找到了 –FydeOS
安裝FydeOS有些眉角要注意的:
- 筆電-panasonic CF-NX3,12G Ram
- 官方安裝方式,我要連續安裝好幾次才成功
- 安裝時,我的舊電腦BIOS先調整非UEFI才能安裝,安裝後再調回UEFI,才能啟用開發者模式(v18版)
- 安裝時,我使用本機帳號,不線上註冊
- 安裝完畢,FydeOS系統成功開機,啟用Android位置權限失敗,後來發現安裝Open GApps,GApps會將Play商店裝起來,才能啟用位置權限
- Play商店無法登入(未通過Play防護安全認證)
- 其他方面很順,簡直就是chrome book
修改註冊表以停用切換中文輸入法(shift鍵)
話說我一度以為酪梨醬解決了切換中文輸入的問題,結果並沒有,真是掉漆。
後來我只能退而求其次,使用酪梨醬之前,先關掉左邊shift鍵來停用主機本體的中文切換,這樣就可以解決遠端連線切換問題;使用完畢後,再還原主機本體的左邊shift鍵。
這樣做法對我來說不是很難,但難的是”會忘記”切換回來,所以我也不用問麻瓜了,自己都不能接受這做法。
於是我再再退而求其次,找到透過「修改註冊表」的方式,來「停用/啟用」切換中文輸入法。
# dos 指令
# 0x00000001 (啟用)、0x00000002 (停用)
powershell -Command Set-ItemProperty -Path 'HKCU:\Software\Microsoft\IME\15.0\IMETC' -Name 'Left Shift Usage' -Value 0x00000002這樣或許我就可以寫個簡單的windows程式,或是批次檔案,一旦執行,會先關閉左邊shift鍵切換中文功能,然後召換chrome瀏覽器帶出酪梨醬網址,使用完畢後,程式或是批次檔案會自動回原回原本的設定,這樣就不會再忘記切換回來了。
# dos 指令 (存成bat檔案)
powershell -Command Set-ItemProperty -Path 'HKCU:\Software\Microsoft\IME\15.0\IMETC' -Name 'Left Shift Usage' -Value 0x00000002
powershell -NoProfile -Command ^
Start-Process -passthru chrome.exe '酪梨醬網址' ; ^
while ((get-process -name chrome).count -ne 0){}
powershell -Command Set-ItemProperty -Path 'HKCU:\Software\Microsoft\IME\15.0\IMETC' -Name 'Left Shift Usage' -Value 0x00000001