TLS 最佳实践

 1. 协议版本的选择

   SSL 已经淡出互联网的舞台

   TLS 1.0 ，1.1 也是如此

   TLS 1.2 ，1.3 是目前 HTTPS 建立链接的主流协议

   为什么 1.2 还要提供呢， TLS 1.2 是 2008 年推出的，不支持的话，会有很多老旧设备不能访问，所以为了兼容。

   1.3 的加密套件由于TLS 1.3 只接受使用 ECDHE 算法进行密钥交换（并不会在 Cipher Suite 中体现），并且使用ECDSA 进行身份认证，全部支持了 PFS，所以 1.3 目前非常的安全。如果不是用密钥交换的话，就只能用 PSK 。

    

 2. 证书方面的选择

也许你可能只知道 RSA 签名的证书，但是那是老的方式了，现在已经出现 ECC 证书，而且效率各方面都比 RSA 更好，比如支持 PFS (FS) 其实它俩的是一个意思。

 那介绍完 ECC 之后，重点来了,  在 TLS 1.2 中会出现下面的两种情况：

   - 服务端配置 ECC 证书后，就可以支持 ECDHE 密钥交换算法

   - 服务端配置 RSA 证书后，可以同时支持 RSA 跟 ECDHE 的算法

 所以证书方面的配置最好能提供两个证书的支持，提供最大程度的兼容。

 支持 ECC 证书的话，还有一个好处，SSLLABS 可以拿到 A 以上的评分

 Tips：TLS 1.3 的证书没有要求, 也就是说 RSA 证书 或者 ECC 证书都可以

3. ECC 相关的算法

以下算法需要服务端提供 ECC 证书，才可以支持

ECDH   

ECC（椭圆曲线）的 DH（Diffie-Hellman）算法，计算速度快，不支持 PFS

ECDHE

       跟 RSA 一样也是一种密钥交换算法，比 ECDH 多个 E，支持了 PFS

ECDSA

      一种非对称加密算法，用于数字签名，ECC 证书上面附的签名就是 ECDSA 公钥，同理，

      RSA 证书上面附的签名就是 RSA 公钥。

由于 256 位 ECC Key 在安全性上等同于 3072 位 RSA Key，加上 ECC 运算速度更快，ECDHE 密钥交换 + ECDSA 数字签名无疑是最好的选择。

所以就有三种主流的方法：

• - RSA 密钥交换（无需签名）；
• - ECDHE 密钥交换、RSA 签名；
• - ECDHE 密钥交换、ECDSA 签名；

4. 加密套件的顺序跟 TLS 版本的关系

    TLS 1.3 的加密套件放在最上面 （Chome dev tools - Security 可以查看当前的 tls 版本）

    TLS 1.2 的放在下面

5. nginx 的 TLS 配置

https://ho600.readthedocs.io/zh_TW/master/technology_sharing/how_to_get_a_plus_rating_on_ssllabs_com.html

参考链接：

https://blog.csdn.net/mrpre/article/details/77868633

https://cloud.tencent.com/developer/article/1420663

https://mdnice.com/writing/138185b5b5a1428bb59022a33082d68f

https://www.idczone.net/news/2708.html/

https://blog.csdn.net/mrpre/article/details/78025940

异地就医费用报销 -- 指南

 广东省政务服务网
（给广东从业者，哈哈哈，希望你不会用到）

1. 先登录

2. 搜索“门诊费用报销” --  本市级“在线办理” -- “选择要报销的地方”

市外就医的住院/门诊医疗费用报销须知

• 1、此功能不包括生育医疗费用审核报销申请。
• 2、门诊费用报销与住院费用报销请分别申请。
• 3、多次门诊费用可以一次性申请，请将需申请报销的多张门诊收据/发票按时间先后排序，将时间最早的门诊收据/发票日期录入“费用起始日期”，将时间最晚的门诊收据/发票日期录入“费用终止日期”。
• 4、多次住院费用需按单次住院信息分别申请。请将单次住院的入院时间录入“费用起始日期”，将单次住院的出院时间录入“费用终止日期”。
• 5、通过此平台申请报销业务，只视为预申请，具体办理情况以经办机构受理为准。预审核结果将通过短信告知，请根据短信内容进行下一步办理。预审核通过，请您在7个工作日内联系快递上门收件办理，或在7个工作日内携带资料至窗口办理，我中心在正式受理后将继续为您办理后续业务，否则您将被视为自愿放弃本次预申请；预审核不通过，将对您的预申请做退件处理。
• 6、参保人应在费用发生或出院之日起十二个月内申请报销，逾期不予报销。申请时间以窗口提交资料时间为准。根据疫情防控的需要，我局延长医疗费用现金报销业务的申请时限，在2019年产生医疗费用的参保人，可持票据等资料在疫情结束后的1年内申请报销。
• 7、市外住院起付线已按规定办理转诊或备案的为400元，未按规定办理转诊或备案的为1000元。未达起付线标准的住院费用，仅能按报销标准报销床位费。
• 8、本功能仅限申请本人医疗费用预审核，为他人代办时需用该参保人的个人网页登录并进行申请。
• 9、参保人应当凭医疗费用的原始凭证申请报销，市医疗保险机构对已报销的凭证不予审核报销。
• 10、申报人提交的材料必须真实、合法、有效。如经查实有隐瞒、欺骗或提供虚假材料的，将依照相关法律法规追究责任。

跨网段 DNAT

 

PC的网关地址与做DNAT的路由器是不一样的.

这样的话需要先在 nat prerouting 做 DNAT

再 nat postrouting 做 SNAT

iptables -t nat -A PREROUTING -i pppoe-wan -p tcp --dport 23389 -j DNAT --to-destination 192.168.199.168:3389

iptables -t nat -A POSTROUTING -s 0.0.0.0/0 -d 192.168.199.0/24 -o tincl01 -j SNAT --to 10.88.1.2

pycharm preferences 没有project setting

 这种神奇的情况，我是先退出pycharm，然后 remove recent prject， 再重新open，就解决了。

jumper server 解决 administratively prohibited (open failed)

有时候连接ssh会报错误：

复用SSH连接（root@测试机（172.16.1.116））[连接数量: 11]
Connect asset 测试机（172.16.1.116） error: ssh: rejected: administratively prohibited (open failed)

解决这个问题的方法是，关闭koko的连接复用功能  github discuss

具体方法：

docker exec -it jms_koko bash
vi koko/config.yml 
   # 是否复用和用户后端资产已建立的连接(用户不会复用其他用户的连接)
   REUSE_CONNECTION: false
   保存退出，重启 jms_koko
docker stop jms_koko && docker start jms_koko

R7000 刷 freshtomato 网速提升问题

 R7000 刷 freshtomato 网速问题

 之前刷 2020.2 版本，iPhone7 ，iPhone 11，speedtest测试只能达到300Mbps，这个与802.11ac支持的网速可是差远了。

后来出了2020.3  , 2020.4, 2020.5的版本，更新了wifi的驱动。（注意升级版本的时候，要选择after flashing，erase all NVRAM data）升级到2020.5后，还是那样的网速。

最后发现是  Advanced > Miscellaneous and turning on CTF or FastNAT on FreshTomato. 这个设置，没有开启。

开启CTF后就跑到家里电信宽带的极限了，我拉的是电信500m的下行带宽，speedtest可以跑到560mbps。

看着家里的宽带跑满很舒服😀😀👽

在jenkins限制有漏洞的应用程序发布

1. java 会用到 pom.xml文件去寻找依赖包
2. pom.xml会有版本信息
3. 检查fastjson 是不是 > 1.2.67版

    <dependencies>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.58</version>
        </dependency>
    </dependencies>

4. 是， 就构建通过
5. 不是，就构建失败