User
Vpn)
Xray это прокси
Потому что могут. И никто их не разгоняет, а дает право «высказаться».
Действительно. Не правильный роутинг стоял в клиенте.
Для shadowrocket так, regex не хочет ни в какую
У вас в статье ru через warp, а не напрямую.
Напрямую на клиенте можно настроить.
да, но тогда права на файлы нужно выдавать 644/755 как минимум, а если это важный конфиг с ключами? потому что dynamicuser работает без создания пользователей в системе, следовательно права 600/700 на файл некому выдать.
Доверие китайским программистам:
по умолчанию у китайцев все от рута запускается. лучше это пофиксить.
выставить на исполняемый файл:
setcap 'cap_net_bind_service,cap_net_admin=eip' /bin/wireproxy
поправить unit systemd:
CapabilityBoundingSet=CAP_NET_ADMIN CAP_NET_BIND_SERVICE AmbientCapabilities=CAP_NET_ADMIN CAP_NET_BIND_SERVICE User=nobody NoNewPrivileges=true
и исполняемый файл.
это же относится к xray, 3x-ui и т.п
Нет возможности влиять на свой банк?)
enpass
скомпилить или залить готовый бинарник. все сохранится. если не трогать пути к конфигам.
@Tyrkin
Так ( вручную) обновилось. Вопрос: как это прописать для обновления автоматом? - это первое.
# systemctl status certbot-renew.timer
● certbot-renew.timer - Run Certbot twice daily
можно исправить reload на restart или тут что то другое
можно. reload перечитывает конфиг. restart делает килл и запуск процесса заново.
https://habr.com/ru/news/738790/comments/#comment_25832422
Можно так
Делаешь inbound socks в локальном xray, далее в openvpn-клиенте прописываешь:
socks-proxy yy.yy.yy.yy 1080
Потом в локальном xray outbound xtls по внешнему айпи до vps.
На просторах нашел принудительное указание протоколов. Для исключения заведомо уязвимых. Конечно и в этих со временем нароют.
KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256 Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com
при смене ключей на сервере, на клиенте можно воспользоваться
ssh-keygen -R hostname
удалит старый отпечаток и добавит новый.
не упомянули, что можно выбрать тип ключа через
ssh-keygen [-t dsa | ecdsa | ecdsa-sk | ed25519 | ed25519-sk | rsa]
Рекомендуется использовать ed25519, а не rsa.
Достаточно на машине, откуда запускается клиент ssh, сделать ssh-keygen и вместо старой пары ключей сгенерить новый. Залогинившись по старому
ssh-keygen
старый ключ надо бекапнуть, чтоб случайно не перезаписать новым.
chatgpt блокирует подключение с большинства датацентров, не важно какой хостер.
не спорю, я про vision, которого пока хватает)
таким образом попробовал - все работает. alireza x-ui 1.5.0
вы указываете /root/cert, а сертификаты в /root/certs?
пропишите напрямую в /etc/letsencrypt/live/domain/
Вы зачем делаете симлинк на симлинк можно спросить?)
Vpn)
Xray это прокси
Потому что могут. И никто их не разгоняет, а дает право «высказаться».
Действительно. Не правильный роутинг стоял в клиенте.
Для shadowrocket так, regex не хочет ни в какую
У вас в статье ru через warp, а не напрямую.
Напрямую на клиенте можно настроить.
да, но тогда права на файлы нужно выдавать 644/755 как минимум, а если это важный конфиг с ключами? потому что dynamicuser работает без создания пользователей в системе, следовательно права 600/700 на файл некому выдать.
по умолчанию у китайцев все от рута запускается. лучше это пофиксить.
выставить на исполняемый файл:
setcap 'cap_net_bind_service,cap_net_admin=eip' /bin/wireproxy
поправить unit systemd:
CapabilityBoundingSet=CAP_NET_ADMIN CAP_NET_BIND_SERVICE
AmbientCapabilities=CAP_NET_ADMIN CAP_NET_BIND_SERVICE
User=nobody
NoNewPrivileges=true
и исполняемый файл.
это же относится к xray, 3x-ui и т.п
Нет возможности влиять на свой банк?)
enpass
скомпилить или залить готовый бинарник. все сохранится. если не трогать пути к конфигам.
@Tyrkin
# systemctl status certbot-renew.timer
● certbot-renew.timer - Run Certbot twice daily
можно. reload перечитывает конфиг. restart делает килл и запуск процесса заново.
https://habr.com/ru/news/738790/comments/#comment_25832422
Можно так
Делаешь inbound socks в локальном xray, далее в openvpn-клиенте прописываешь:
socks-proxy yy.yy.yy.yy 1080
Потом в локальном xray outbound xtls по внешнему айпи до vps.
На просторах нашел принудительное указание протоколов. Для исключения заведомо уязвимых. Конечно и в этих со временем нароют.
при смене ключей на сервере, на клиенте можно воспользоваться
ssh-keygen -R hostname
удалит старый отпечаток и добавит новый.
не упомянули, что можно выбрать тип ключа через
ssh-keygen [-t dsa | ecdsa | ecdsa-sk | ed25519 | ed25519-sk | rsa]
Рекомендуется использовать ed25519, а не rsa.
старый ключ надо бекапнуть, чтоб случайно не перезаписать новым.
chatgpt блокирует подключение с большинства датацентров, не важно какой хостер.
не спорю, я про vision, которого пока хватает)
таким образом попробовал - все работает. alireza x-ui 1.5.0
вы указываете /root/cert, а сертификаты в /root/certs?
пропишите напрямую в /etc/letsencrypt/live/domain/
Вы зачем делаете симлинк на симлинк можно спросить?)