Zero's Blog

Nginx 访问本地文件 403

作者: Zero
时间: 2022-06-03
分类: 默认分类
评论

Rocky Linux 8 上安装 nginx 后对 nginx.conf 进行修改增加了一个 /var/www 路径的 root 配置，但用 curl 测试访问一个文件时却返回了 403 Forbidden。

2022/06/03 <masked> [error] <pid>#0: *1 open() "/var/www/.well-known/test" failed (13: Permission denied), client: <masked>, server: _, request: "GET /.well-known/test HTTP/1.1", host: "localhost"

用 namei 命令查看一下权限，没有发现问题。

# namei -om /var/www/.well-known/test
f: /var/www/.well-known/test
 dr-xr-xr-x root root /
 drwxr-xr-x root root var
 drwxr-xr-x root root www
 drwxr-xr-x root root .well-known
 -rw-r--r-- root root test

网上查阅资料发现可能是 SELinux 问题，故执行 setenforce 0 后再次测试，此时可以访问了。

但关闭 SELinux 并不是最合理的方案，进一步查找资料发现 https://www.nginx.com/blog/using-nginx-plus-with-selinux/ 这篇文章，文中介绍了 SELinux 对文件上下文的永久变更是通过 semanage fcontext 控制的，让我们来看一下目前系统的配置。

# semanage fcontext -l | grep httpd_sys_content_t
<trimmed>
/var/lib/trac(/.*)?                                all files          system_u:object_r:httpd_sys_content_t:s0
/var/www(/.*)?                                     all files          system_u:object_r:httpd_sys_content_t:s0
/var/www/icons(/.*)?                               all files          system_u:object_r:httpd_sys_content_t:s0
/var/www/svn/conf(/.*)?                            all files          system_u:object_r:httpd_sys_content_t:s0

# ls -Z /var/www/.well-known/test
unconfined_u:object_r:var_t:s0 /var/www/.well-known/test

可以发现 /var/www 目录下任意路径已经在 httpd_sys_content_t 的 file\_spec 中了但没有应用到文件上，所以直接用 restorecon 命令恢复文件和文件夹默认的安全上下文就行。

restorecon -Rv /var/www/.well-known

如何解码 openssl x509 输出的 \XX 字符串

作者: Zero
时间: 2022-05-20
分类: 工具盒
评论

使用 openssl x509 -text 解析带有 Unicode 字符的证书时，你会看到如下格式的输出。

Subject: C = TR, L = Gebze - Kocaeli, O = T\C3\BCrkiye Bilimsel ve Teknolojik Ara\C5\9Ft\C4\B1rma Kurumu - T\C3\9CB\C4\B0TAK, OU = Ulusal Elektronik ve Kriptoloji Ara\C5\9Ft\C4\B1rma Enstit\C3\BCs\C3\BC - UEKAE, OU = Kamu Sertifikasyon Merkezi, CN = T\C3\9CB\C4\B0TAK UEKAE K\C3\B6k Sertifika Hizmet Sa\C4\9Flay\C4\B1c\C4\B1s\C4\B1 - S\C3\BCr\C3\BCm 3

你可能会好奇这种 \C3 的转义方式是什么，查阅 OpenSSL 的 man 手册可以发现默认的显示格式为 oneline，相当于 RFC 2253 格式。

oneline
Display the name in one line, using a format that is more readable RFC 2253. It is equivalent to esc\_2253, esc\_ctrl, esc\_msb, utf8, dump\_nostr, dump\_der, use\_quote, sep\_comma\_plus\_space, space\_eq and sname options.
https://www.openssl.org/docs/man3.0/man1/openssl-namedisplay-options.html

从而找到对应的 RFC 文档

Lightweight Directory Access Protocol (v3): UTF-8 String Representation of Distinguished Names
https://datatracker.ietf.org/doc/html/rfc2253

还有其继任者 RFC 4514，这里就不展开了。那么要如何将这种 escape 的格式转为正常的 UTF-8 字符串呢？

参考 https://www.python-ldap.org/en/python-ldap-3.4.0/reference/ldap-dn.html，只需要安装 python-ldap 包后执行

import ldap.dn

s = r'C = TR, L = Gebze - Kocaeli, O = T\C3\BCrkiye Bilimsel ve Teknolojik Ara\C5\9Ft\C4\B1rma Kurumu - T\C3\9CB\C4\B0TAK, OU = Ulusal Elektronik ve Kriptoloji Ara\C5\9Ft\C4\B1rma Enstit\C3\BCs\C3\BC - UEKAE, OU = Kamu Sertifikasyon Merkezi, CN = T\C3\9CB\C4\B0TAK UEKAE K\C3\B6k Sertifika Hizmet Sa\C4\9Flay\C4\B1c\C4\B1s\C4\B1 - S\C3\BCr\C3\BCm 3'

ldap.dn.str2dn(s)
# Output:
# [[('C', 'TR', 1)], [('L', 'Gebze - Kocaeli', 1)], [('O', 'Türkiye Bilimsel ve Teknolojik Araştırma Kurumu - TÜBİTAK', 4)], [('OU', 'Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü - UEKAE', 4)], [('OU', 'Kamu Sertifikasyon Merkezi', 1)], [('CN', 'TÜBİTAK UEKAE Kök Sertifika Hizmet Sağlayıcısı - Sürüm 3', 4)]]

就能获得原始字符串了。

以上示例使用的证书：

编译 R for Data Science

作者: Zero
时间: 2022-04-30
分类: 默认分类
评论

首先用 conda 创建一个新环境并安装 R。

conda create -n r4ds_r4.1 r=4.1 r-devtools r-terra
conda activate r4ds_r4.1
rstudio

然后在 RStudio 的 Console 中执行以下命令，用 devtools 安装编译 r4ds 所需的包。

devtools::install_github("hadley/r4ds", dependencies = TRUE)

最后在 RStudio 中打开 r4ds.Rproj 项目，在菜单里选择 Build → Build All。

Update(2022-05-10): 用 conda 预先安装 DESCRIPTION 文件中提到的包可以减少 devtools 安装命令的耗时，因为可以跳过一部分包的编译。

MacPorts distfiles 机制替代 Git 子模块

作者: Zero
时间: 2022-04-30
分类: 默认分类
评论

虽然最理想的情况是所有依赖的项目都分别打包到不同的 port，但不同包对同一个依赖项目可能有不兼容的要求。OpenSSL、Boost 这种基础包可以通过拆包来解决兼容问题，例如 Boost 在 MacPorts 就打包了 boost169、boost171、boost173 等等很多个版本，但这也要求所有这些子包的使用方都要对编译 flags 进行修改，才能让编译器找到正确版本的依赖，导致整个过程非常复杂，维护也非常耗费时间。

一般使用方不多的库不会有分版本的 subport，为了提供一个小众软件要求的版本实现多版本并存有点得不偿失。此时如果项目的构建系统本来就把依赖 vendor 到 Git 子模块里，我们就可以通过 distfiles 的手段把依赖库的源代码拉下来放到子模块的文件夹里。通过 master_sites、distfiles-append、github 1.0 等关键字进行组合搜索可以找到 macports-ports 中可以参考的方案，最终效果如下。

PortGroup           github  1.0
PortGroup           meson   1.0

github.setup        joshkunz ashuffle 3.13.3 v
github.tarball_from archive
master_sites        ${github.master_sites}:ashuffle
distfiles           ${distname}${extract.suffix}:ashuffle

...

# BEGIN abseil (requires C++17 build)
set abseil_project  abseil-cpp
set abseil_version  20211102.0

master_sites-append https://github.com/abseil/${abseil_project}/archive/${abseil_version}:abseil
distfiles-append    ${abseil_project}-${abseil_version}${extract.suffix}:abseil
checksums-append    ${abseil_project}-${abseil_version}${extract.suffix} \
                    rmd160  bca4a16eaab1602cdc7ace8dd1ff82467b71b59e \
                    sha256  dcf71b9cba8dc0ca9940c4b316a0c796be8fab42b070bb6b7cab62b48f0e66c4 \
                    size    1884080

post-extract {
    foreach submodule [list subprojects/absl:${abseil_project}] {
        set submodule_target [lindex [split ${submodule} :] 0]
        set submodule_package [lindex [split ${submodule} :] 1]
        delete ${worksrcpath}/${submodule_target}
        move {*}[glob ${workpath}/${submodule_package}-*] ${worksrcpath}/${submodule_target}
    }
}
# END abseil

R 时间戳转换为日期

作者: Zero
时间: 2022-04-24
分类: 代码匠
评论

如果时间戳（date-time）都是 UTC 时区的话，可以使用 base 的 as.Date 函数。

如果时间戳时区不一致或非 UTC 时区，用 lubridate 包的 as_date 可以获得在对应时区下的日期，但性能比 as.Date 稍差。

Nginx 访问本地文件 403

如何解码 openssl x509 输出的 \XX 字符串

编译 R for Data Science

MacPorts distfiles 机制替代 Git 子模块

R 时间戳转换为日期

最新文章

最近回复

分类

归档

其它