什么是KMS?

Key Management Service（简称：KMS），这个功能是在 Windows Vista 之后的产品中的一种新型产品激活机制，目的是为了 Microsoft 更好的遏制非法软件授权行为 (盗版)。 [scode type=”green”] KMS 激活有两种方法，分别为 vlm­csd 和 py-kms，本文使用 vlm­csd 进行搭建 [/​scode]

为什么要自建KMS激活服务？

虽然现在网络上已经涌现了大批的激活工具，但是存在许多不安定因素，例如后门或者病毒等，会造成较大的安全隐患，而自己搭建 Kms 激活服务则可以避免这类问题～

注意：只能激活 VL 版本的 Windows VL，就是 VOL，Volume Licensing for Organizations 的缩写，中文翻译为团体批量许可证

环境：CentOS 7.5 [but­ton color=”suc­cess” icon=”glyph­icon glyph­icon-file”]Vlmcsd[/but­ton] 首先使用下面命令确认机器的 CPU 架构

1

cat /proc/cpuinfo

这是我机器的信息

1.png

首先从Github下载项目文件

1
2

yum -y install wget
wget https://github.com/Wind4/vlmcsd/releases/download/svn1111/binaries.tar.gz

解压安装包

1

tar -xvf binaries.tar.gz

如果你机器的架构为 Intel，cd 到如下目录，否则的话需要在 binaries 目录内找到对应你机器 CPU 架构的目录

1

cd binaries/Linux/intel/static

启动服务

1

./vlmcsd-x64-musl-static

如果你的机器不是 64 位系统，则需要内找到对应系统位数的可执行文件来运行 因为 vlmcsd 运行后会占用 1688 端口，请在防火墙放行 1688 端口，或者关闭防火墙，所以我们可以输入以下命令查看是否成功启动：

1

netstat -lnp

激活

以管理员身份运行 CMD

1
2
3

slmgr /skms 你服务器的IP或者域名
slmgr /ato
slmgr /xpr

到这你的 KMS 服务应该可以正常使用了，激活周期为 180 天，到期后如果你的 KMS 服务器还在运行，Windows 将自动进行激活

0x01 前言

如果说 HTTP/​2 是当前互联网 Web 发展的讨论热点之一，那么下一个热点应该就是 TLS 1.3 了。 上次加密协议更新至今已有八年多，TLS 1.3 的最终版本现已于 2018 年 8 月发布。

0x02 当前的TLS协议存在问题

老版本的 SSL 协议被公认在完整性校验、密钥协商过程中有重大缺陷，因此，2011 年与 2015 年 IETF 小组相继声明禁止使用 SSL 2.0、3.0。 TLS 协议针对此前披露的漏洞做了相应的处理，但是因为其复杂性，还没有一个版本能真正保证绝对的安全。

目前最新版本的 TLS 1.2 发布距今已有九年时间，在此期间，许多 SSL/​TLS 协议的新漏洞被发现，比如针对其压缩机制的 CRIME 漏洞，针对 CBC 块加密模式的 BEAST 漏洞（主要是针对 SSL 3.0 和 TLS 1.0），早已不再是当初设计者认为的那么安全，人们迫切需要新的协议将其代替。

0x03 TLS 1.3有哪些变化？

• TLS1.3 大幅提高安全性，还简化了握手过程，使第一次握手时只需要一个RTT，并在第二次访问时提供了 0-RTT 模式，提高了性能降低服务器压力。
• 支持0-RTT数据传输
• 废弃了3DES、RC4、AES-CBC等加密组件。废弃了SHA1、MD5等哈希算法。
• 不再允许对加密报文进行压缩、不再允许双方发起重协商，密钥的改变不再需要发送change_cipher_spec报文给对方。
• 握手阶段的报文可见明文大大减少。

0x04 TLS 1.3完整握手工作流

• +表示该报文中值得注意的extension
• *表示该内容也可能不被发送
• {} 表示该内容使用handshake_key加密
• [] 表示该内容使用application_key加密

0x05 速度优势

在 Web 性能方面，TLS 和加密连接总是增加了一些开销。HTTP / 2 肯定有助于解决这个问题，但 TLS 1.3 通过 TLS 错误启动和零往返时间（0-RTT）等功能帮助加速加密连接。

简单地说，使用 TLS 1.2，需要两次往返才能完成 TLS hand­shake。使用 1.3 时，它只需要一次往返， 从而将加密延迟减少一半。这有助于这些加密连接感觉比以前更快一点。

0x06 如何为自己站点启用TLS 1.3

演示环境:

• 面板：宝塔面板 6.8.3
• 系统：Centos 7.5
• Nginx：1.15.6

修改网站配置文件

1
2
3
4
5
6

//替换
ssl_ciphers TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:RSA+AES256:EECDH+ECDSA+3DES:EECDH+aRSA+3DES:RSA+3DES:!MD5;
//替换
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
//增加
add_header Strict-Transport-Security "max-age=31536000";

0x07 开启成功

TIM图片20181216133616.png

0x08 总结

TLS 1.3 使用了复杂的密钥导出过程，增强了最终使用的密钥的安全性。同时简化了所使用的加密算法，废弃了 RC4、3DES、MD5、SHA1、AES-CBC 等加密算法，删除了压缩、重协商等具有漏洞的机制，大大精简了协议。 因此，TLS 1.3 如果能够得到普及，网络数据的传递将会变得更加安全、隐秘，TLS 1.3 的推广需要每一位开发者、运营者的认可和支持。

目前 TLS 1.3 虽然还在草案阶段，但是其基本原理和思想已经应用在了实际生活中，chrome 等浏览器都已准备好了对其的支持，期待 TLS 1.3 正式成为一个协议规范的那一天。

请注意，本文编写于 216 天前，最后修改于 188 天前，其中某些信息可能已经过时。

0x01 服务安装

1

yum install bind -y

0x02 修改named.conf

1
2
3
4
5

vim /etc/named.conf
 //监听端口，默认为127.0.0.1,修改为any,监听所有地址的53端口，或删除此行配置，默认监听所有地址的53端口
 listen-on port 53 { any; };，
 //允许查询DNS服务器的来源，默认为localhost，修改为any代表允许所有来源，或删除此行配置，默认允许所有来源
 allow-query     { any; };

1
2
3
4
5
6
7
8
9
10
11
12

vim /etc/named.rfc1912.zones
#编辑named.rfc1912.zone，在末尾添加如下内容
#正向解析
zone "hello.com" IN {
        type master;
        file "mydomain.com.zone";
};
#反向解析
zone "1.168.192.in-addr.arpa" IN {
        type master;
        file "mydomain.com.local";
};

0x03 创建正解析文件

1
2
3

#复制模板
cd /var/named
cp -p named.localhost mydomain.com.zone

1
2
3
4
5
6
7
8
9
10

$TTL 1D
@       IN SOA  mydomain.com.  admin.mydomain.com (
                                        1       ; serial
                                        1D      ; refresh
                                        1H      ; retry
                                        1W      ; expire
                                        3H )    ; minimum
@        IN    NS   dns.mydomain.com.
dns     IN     A    192.168.1.125
@        IN    A     192.168.1.122

0x04 创建反解析文件

1
2

#复制模板
cp -p named.localhost mydomain.com.local

1
2
3
4
5
6
7
8
9
10

$TTL 1D
@       IN SOA  mydomain.com.  admin.mydomain.com (
                                        1       ; serial
                                        1D      ; refresh
                                        1H      ; retry
                                        1W      ; expire
                                        3H )    ; minimum
@        IN    NS     dns.mydomain.com.
125     IN    PTR   dns.mydomain.com.
122     IN    PTR   mydomain.com.

0x05 主配置文件语法检查

1

named-checkconf -z /etc/named.conf

0x06 权限修改

1
2
3
4

#由于文件是在root用户下创建，named无法读取
#需要修改文件权限，否则会出现server can't find *: SERVFAIL错误
chown named mikuac.cn.zone
chown named mikuac.cn.loacl

0x07 端口开放

1
2
3
4

#开放TCP与UDP 53端口
firewall-cmd --permanent --add-port=53/tcp
firewall-cmd --permanent --add-port=53/udp
firewall-cmd --reload

0x08 服务启动

1

systemctl start named

0x01 Pi-Hole简介

Pi-Hole是一个比较好用的自建DNS去广告方案，除阻止广告外，Pi-hole还提供了一个信息丰富的Web界面，可显示网络上正在查询的所有域的统计信息。

0x02 开始安装

Pi-Hole GitHub地址 Pi-Hole文档

Pi-Hole 的安装还是比较简单的，只需要一行命令

1
2
3
4

#安装Curl
yum -y install curl
#安装Pi-Hole
curl -sSL https://install.pi-hole.net  bash

开始安装

推荐使用的PHP版本，直接YES

提示系统上正在运行SELinux，一定要关闭SELinux，否则Web管理界面无法正常运行！！！

1
2
3
4
5
6

#临时关闭SELinux
setenforce 0
#永久关闭SELinux
vim /etc/sysconfig/selinux
#SELINUX=enforcing 改为 SELINUX=disabled
reboot

下面一路回车过去就行

首选DNS服务器,选Google就可以（忘了截图，从网上找了张）

广告过滤列表，可以根据自己需求选择，默认全选****广告过滤列表，可以根据自己需求选择，默认全选

选择协议，由于我暂时无IPV6，所以只勾选IPV4

确认IP信息

继续回车

是否安装Web管理界面，选择安装

这个也装，否则Web管理界面无法正常使用

日志，直接回车

隐私设置，默认即可

接下来继续等待安装完成

开放防火墙http和dns端口权限给Pi-Hole

安装完成，显示了默认密码，根据所显示信息上的地址与密码进入Web管理界面

以下为Web管理界面

点击左侧Login即可进入设置界面

至此，安装部分告一段落，使用教程后续会更新。

GitHub：全球最大开源托管站，微软旗下。 jsDelivr：免费、稳定的CDN PicGo：开源的图床，支持win、linux等系统。

下面是设置教程，很简单，基本就是鼠标点下就行。

一、Github上的设置

1、新建github仓库 进入 https://github.com/ ，点击绿色的 New

2、获取token 打开 https://github.com/settings/tokens，点击右侧的 Generate new token，获取的一串字符就是token（麻烦保存好）

二、PicGo设置

根据需要下载：https://github.com/Molunerfinn/picgo/releases，下面是win下的设置。 PicGo-Setup-2.2.2.exe下载：https://www.lanzous.com/ia1xh8j

三、jsDelivr的CDN使用 前缀为 https://cdn.jsdelivr.net/gh/ ，后面是github用户名和仓库

演示（8M）：https://cdn.jsdelivr.net/gh/guonning/low/img/opo0328a.jpg

可一键安装BBR、BBR2、BBR Plus、锐速等。安装是先安装内核，然后再启用加速。

建议SSH下，root用户。

一、安装证书 apt-get -y install ca-certificates 或 yum -y install ca-certificates

二、安装

1、不卸载内核（安全，若出现不能启动等，可VNC换启动内核）

wget -O tcpx.sh “https://github.com/ylx2016/Linux-NetSpeed/raw/master/tcpx.sh" && chmod +x tcpx.sh && ./tcpx.sh

或

1

wget -N --no-check-certificate "https://zhujiwiki.com/wp-content/uploads/2020/02/tcpx.sh" && chmod +x tcpx.sh && ./tcpx.sh

2、卸载内核（节省空间，强迫症）

wget -O tcp.sh “https://github.com/ylx2016/Linux-NetSpeed/raw/master/tcp.sh" && chmod +x tcp.sh && ./tcp.sh

或

1

wget -N --no-check-certificate "https://zhujiwiki.com/wp-content/uploads/2020/02/tcp.sh" && chmod +x tcp.sh && ./tcp.sh

三、相关问题

1、双持bbr+锐速 bbr 添加

1
2
3

echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf
echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf
sysctl -p

编辑锐速文件

nano /appex/etc/config

2、提示Abort kernel removal? 选择No

开源页面：https://github.com/ylx2016/Linux-NetSpeed/releases

简介

Github作为全球最大的同性交友网站，一直广受开发者们的喜爱，但是由于某些不可描述的原因，在访问、克隆、拉取、推送的时候，经常莫名其妙的不好使，速度慢的让人无法忍受。解决这个问题（克隆、拉取、推送）的一个途径就是通过代理，绕过 某长城 。

配置本地代理

关于代理服务器的事儿就不多说了，要么买，要么租vps自己搭建。一下内容的先决条件是你拥有一个好使的代理服务。 用shadowsocks开启代理后，右键点击托盘中的纸飞机，选择选项配置：

设置一个本地代理端口号，如果需要局域网其它用户也通过此代理，需要勾选 允许来自局域网的连接 选项：

设置git代理

通过以下命令设置git的代理：

1
2

git config –global http.proxy ‘socks5://ip:1080’
git config –global https.proxy ‘socks5://ip:1080’

这里需要注意的是，如果本机使用的话，ip用127.0.0.1即可,局域网ip能不能用我没有测试。如果需要取消代理，可以用下面的代码：

1
2

git config –global –unset http.proxy
git config –global –unset https.proxy

基于原 Brook端口转发 一键管理脚本 的修改版，增加对动态域名的支持，开启监控后自动更新域名IP。

基于iptables防火墙，记得安装iptables。

安装Brook，然后配置端口转发，最后启动Brook。

wget https://zhujiwiki.com/wp-content/uploads/2020/01//brook-pf-mod.sh && chmod +x brook-pf-mod.sh
./brook-pf-mod.sh

转自：https://github.com/yulewang/brook/

1、卸载 firewalld 和 ufw

apt remove firewalld ufw

或

yum remove firewalld ufw

然后重启。

2、安装iptables

yum install -y iptables
yum update iptables
yum install iptables-services

iptables配置文件：/etc/sysconfig/iptables