安全 Archives - 甬洁网络科技

OpenWrt 命令行设置 WireGuard 配置

昨天在微信上发了一个视频教程，都是基于浏览器配置的。原先的私钥已经泄露，所以，今天要修改一下演示里面的私钥。我们直接在命令行里修改即可。

# 生成 key
# umask 077; wg genkey|tee privatekey|wg pubkey >publickey
# uci set network.wg0.private_key=$(cat privatekey)
# uci commit network
# /etc/init.d/network restart

# 如果是纯粹修改私钥，在 OpenWrt 端就做以上修改即可，如果需要修改其他 network 参数：
network.@wireguard_wg0[0]=wireguard_wg0
network.@wireguard_wg0[0].public_key='xxxx'
network.@wireguard_wg0[0].allowed_ips='0.0.0.0/0'
network.@wireguard_wg0[0].endpoint_host='endpoint.mydomain.com'
network.@wireguard_wg0[0].endpoint_port='51820'
network.@wireguard_wg0[0].persistent_keepalive='25'
network.@wireguard_wg0[0].route_allowed_ips='1'
network.wg0=interface
network.wg0.proto='wireguard'
network.wg0.private_key='private-key'
network.wg0.addresses='10.1.1.111/24'
#

WireGuard Ubuntu 上安装

$ sudo add-apt-repository ppa:wireguard/wireguard (Ubuntu 1910 之后不需要运行）
$ sudo apt install wireguard
$ sudo modprobe wireguard
$ sudo wg show

# 创建 Key Pair 
$ sudo -s
# cd /etc/wireguard; umask 077; wg genkey | tee privatekey | wg pubkey > publickey

服务器端，创建 /etc/wireguard/wg0.conf

[Interface]
PrivateKey = 私钥文本内容
# 服务器端 VPN VLAN 的 IP 地址，带掩码
# 确保 iptable 里面的 eth0 和自己使用的 网卡界面名一致
Address = 10.0.0.1/24, fd86:ea04:1115::1/64
ListenPort = 51820
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE; ip6tables -A FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE; ip6tables -D FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
SaveConfig = true

用 ufw 管理防火墙，并打开包转发

$ sudo ufw allow 22/tcp
$ sudo ufw allow 51820/udp
$ sudo ufw enable
$ sudo ufw status verbose
$ sudo wg-quick up wg0
$ sudo systemctl enable wg-quick@wg0
$ sudo wg show
$ cat << EOF >> /etc/sysctl.conf
net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding=1
EOF
$ sysctl -p

以上为服务器配置完成，下面为客户端（可以是 Windows/Mac/iOS/Android等）创建配置文件：

先安装 qrencode 软件包， apt -y install qrencode，生成 png 文件发送给客户端扫码即可配置。

Todo: 部署客户端脚本

把 CentOS7 上的 docker 1.12 升级到 docker-ce 18.03

升级的过程比较简单明了， docker-ce 的官方文档有比较详细的介绍。现在把我自己的升级过程介绍一下，并把遇到的问题以及解决办法，也分享一下。

1. 停止原来的所有运行的 docker， #docker stop xxx
2. 删除原来的 docker 软件包，

yum remove docker \
                  docker-client \
                  docker-client-latest \
                  docker-common \
                  docker-latest \
                  docker-latest-logrotate \
                  docker-logrotate \
                  docker-selinux \
                  docker-engine-selinux \
                  docker-engine

3. 添加新的 Repo:

yum-config-manager \
    --add-repo \
    https://download.docker.com/linux/centos/docker-ce.repo

可选

yum-config-manager --enable docker-ce-edge

yum-config-manager --enable docker-ce-test

4. 安装新的 docker-ce，并启动：

 yum install docker-ce

 systemctl start docker

以上就是一个完整的更新过程。

然而，在升级以后，发现原来的容器不见了。解决的办法是：去 /var/lib/docker/containers/dockxxxxHASHxxxx
修改 hostconfig.json 把其中的 “Runtime”:”docker-runc”
修改成： “Runtime”:”runc”
重启 docker 服务。

其实我们也会在 syslog 里找到这样的报错信息：
dockerd: time=”2018-03-03T11:37:24.024568022+08:00″ level=error msg=”Failed to start container dockxxxxHASHxxxx: no such runtime ‘docker-runc'”

这样，我们就可以找回原来的 docker 了。
# docker container ls -a

另外一种部署 Certbot 的办法

如果还没有安装过 pip ，就用 yum install python-pip 安装，然后就升级 pip:
# pip install –upgrade pip

查看官方版本 # pip search certbot ;
卸载yum安装的certbot和pyOpenSSL： # yum remove certbot pyOpenSSL;
pip安装certbot: # pip install certbot certbot-nginx certbot-apache
1. 如果遇到 Python.h或者pyconfig.h找不到的错误，# yum install -y python-devel；
2. 如果找不到opensslv.h头文件，# yum install -y openssl-devel；
查看所有已经安装的证书： # certbot certificates。

添加或者 renew 单独证书：
# certbot --apache -d mydomain.yj777.cn certonly

Renew 所有证书，可以把下面的行写到 cronjob。

15 3 1,15 * * /usr/bin/certbot renew –quiet

== 2018/1/20 后记：

如果运行 certbot certificates 看到错误：certbot ImportError: No module named OpenSSL
可以考虑，重新安装 pyOpenSSL 模块。

也就是先 pip uninstall certbot pyOpenSSL

再 pip install cerbot 即可， pyOpenSSL 会自动安装。

== 2018/2/5 后记：

遇到 " OSError: ctypes.util.find_library() did not manage to locate a library called 'augeas'" 错误：

yum install augeas-libs

遇到：“ImportError: No module named ndg.httpsclient.ssl_peer_verification” 错误：
pip install ndg-httpsclient

遇到：“UnknownExtra: requests 2.6.0 has no such extra feature ‘security’” 错误：
# pip install acme –upgrade

以上基本上能解决大部分的 certbot(Let’s Encrypt）安装和升级中发现的问题，如果还有问题，就点击联系我们，留言吧。我们会提供有偿的支持服务。

如果是在 CentOS6 上部署的话，需要先升级 Python:

# yum install -y epel-release

# yum install -y python34

# 因为yum安装时没能同时安装pip与setuptools，所以我们要手动安装，这里采用拿第三方包解决问题

# curl -O https://bootstrap.pypa.io/get-pip.py

# sudo python3 get-pip.py
然后就可以运行 pip 命令了。

— 补充：
原先 Apache 认证器的，如果 Web 服务器切换成 Nginx 了，可以直接用
# /usr/local/bin/certbot renew –nginx -d domain_name –no-redirect
更新证书

crontab 的写法，每周三，凌晨 4:00 更新：
00 4 * * 3 /usr/local/bin/certbot renew –quiet –noninteractive –installer nginx –pre-hook “service nginx stop” –post-hook “service nginx start”