听说三体是在它获得雨果奖之后，身边有很多人看，并且评价很好。当时我也看了几天，发现没有很吸引我的地方，就放下没有继续看了。今年六七月份听《晓说2017》，矮大紧用了四期来讲三体，引起了我再看下去的兴趣。断断续续用了两个多月时间终于把它看完，现在仍感觉意犹未尽。文中天马行空的想象，却不感觉虚无缥缈，跌宕起伏的剧情，又总能看到现实的影子。下面对我读后的感受进行简要的总结。

科学与想象的融合

三体三部曲一步步为我们勾勒出了作者想象中宇宙的样子。宇宙中存在着无数的文明，从三体文明到毁灭三体星系的文明，再到如“神”一般存在的“歌者”，他们的科技水平都远远高于地球。作者为这些文明制定了两条基本的宇宙社会学公理，“第一，生存是文明的第一需要；第二，文明不断增长和扩张，但宇宙中的物质总量保持不变”，同时还引入了两个重要的概念：猜疑链和技术爆炸。基于这两条公理和两个概念，推导出了宇宙中零道德的黑暗森林状态。为了实施黑暗森林打击，打击者不惜以试图毁灭所有其他文明为代价，让整个宇宙降低维度（打击者首先适应低维空间）。因为降维攻击的存在，作者预测了宇宙经过不断降维后的多种可能，并将一百多亿年前没有战争的“田园时代”定义为十维空间。至此，作者建立起了一个宏大的、能够自圆其说的宇宙框架，将无限的时空、无数的文明，以及文明在宇宙中的生存发展状态囊括其中。

作者构建的宇宙基于上述假设并融合了大量的想象，而这些想象又建立在牢固、全面而综合的知识大厦上。从物理学到宇宙学，从心理学到社会学，从脑科学到信息学等等，大量的知识细节十分真实和严密，依托的现代科技和社会现象更让人感到真实感。作者几乎对每一个新技术、新概念，以及事件发生的合理性给出了解释，如三体使用“智子”监控地球的实现原理、“思想钢印”的原理、对“光粒”预警时间的解释、曲率驱动飞船的驱动原理等等，在故事发展中，作者通过一系列的铺垫将读者引入到设计好的陷阱中，并结合作者对人性的理解，构造出一个个出人意料又合乎情理的结局。此外，就宇宙社会学的两条公理来说，假使将宇宙映射为地球或生存环境，将宇宙文明映射为地球中的国家或组织，在一定程度上也适用于人类社会。并由此可推导出一系列的结论，如：没有永远的朋友，只有永远的利益；落后就要挨打；闭关锁国将受到他国侵犯等。

每个人都有想象宇宙的权利。在三体中，作者描绘了他心中的宇宙，多文明、多维空间、充满黑暗的斗争，作者怀着巨大的勇气质疑我们世界的科学规律，认为它们不过是宇宙斗争到现阶段的产物，恒定的光速会不断降低，数学定律也可能被打破。作者将科学与极限的想象完美融合，让人拍案叫绝。

‌‌生命与人生观的依存

三体在发现和了解了地球文明后，决定从生存条件残酷的三体星系向地球移民，并向地球发送了使用量子技术控制的“智子”，通过改变地球中高能粒子对撞的结果，影响前沿物理学的基础实验，防止经过四百地球年的星际航行后，三体舰队难以对抗人类社会因为“技术爆炸”发展的科技。技术封锁使得“地球人对微观维度的控制，被限制在五维以下”，粒子物理、量子力学、材料科学等众多科学领域无法发展。同时还有一个现象不能忽视，那就是大量的理论物理科学家也被这种封锁摧毁了，有些甚至选择了自杀。

“超弦模型”的提出者杨冬在她的遗书中写到：“一切的一切都导向这样一个结果：物理学从来就没有存在过，将来也不会存在。我知道自己这样做是不负责任的，但别无选择”。是的，她还有什么选择呢？一个将毕生的精力都放在物理学上的人，突然有一天她发现，她学习的、探索的这些物理规律竟然在时空上不是均匀分布的，相当于1+1=2在中国成立，在美国却不成立，这是怎样的可笑与荒谬。对于这些物理学家来说，物理学是他们思想世界的重要组成部分，是搭建起他们人生观的重要基石，而这时，这个基石动摇了、破碎了，导致的结果只能是人生观的轰然倒塌。胡适先生说人生观是对人生这场戏的看法；唐擘黄先生说人生观是一个人对于世界万物同人类的态度。当一个人的人生观倒塌了，也就是对于人生和世间万物的原有观念不成立了，这对一个人是怎样的催残，这时，离开这个世界或许是最轻松的选择。

‌‌道德与生存的矛盾

三体故事中出现了多次地球文明生死存亡的时刻。当死亡的威胁来自未来时，大多数的人类寄希望于领导者出谋划策。但每个人等待的都是自己的出路，逃亡计划、光速飞船计划等等这些只能让部分人活下去的计划，都在民众舆论的压力下被法律禁止了。而当死亡的威胁就在眼前时，保命几乎是所有人的第一反应。这种反应超过了理智，也盖过了道德，就像在“假警报”响起后，人们奋不顾身的冲向发射台，挤进穿梭机，其实大家都知道，收到警报就是收到了死亡的信号，即使上了穿梭机也难逃死亡的命运。更严重的是，人们在人群中启动发射穿梭机，而不顾被烧成了焦炭的人群。

生命权是人的基本人权，人们可以允许因为身份、地位、财富的不同而过不同的生活，但不允许出现在死亡面前的不平等。在追求自由、民主、平等的人类社会中，面对死亡时的这种现象几乎是必然的，于是当太阳系被“二向箔”攻击时，人们乘着远远达不到逃逸速度（光速）的飞船妄想逃亡，当看到光速飞船时，人们的反应不是庆幸人类没有灭绝，而是狰狞着企图拦截光速飞船。作者无情的披露着这种社会现象，又将宇宙中科技高度发达的文明定义为零道德的。似乎作者对想象中的未来充满了悲观的预测，于是外太空中幸存的战舰之间发生了黑暗战役，同伴间为了生存进行自相残杀，而这种从地球人到宇宙人的转变仅仅只需要五分钟。但是作者终究是现代的地球人，他多次让人类的代表程心在生存与道德之间选择，而她都“幼稚”得选择了道德。因为这些选择，绝大多数的人类都随着太阳系的毁灭而死亡，但程心作为地球人活了下来，并在最后为了大宇宙可能的美好未来，放弃了安逸的小宇宙生活。作者最终选择了责任，选择了道德，选择了宇宙中那个大写的人。

无知与傲慢的可悲

在作者描述的宇宙中，人类是何等的弱小。就像“射手假说”中的二维智能生物和“农场主假说”中的火鸡一样，人类科学家发现的定律、现象，可能只是更高等的生物给我们开的玩笑罢了，而人类以为掌握了真理。当人类第一次与三体文明的物质实体-水滴-进行接触时，因为拥有星际战舰而信心爆棚的人类以为这是三体发送过来和谈的礼物，却不知人类的太空力量即将面临灭顶之灾；当人类为黑暗森林打击做准备时，不顾从云天明故事中分析出的曲率驱动飞船和降低光速计划，认为掩体计划足够让人类永远的生存下去，却不知整个太阳系将会在三维世界消失。

从前的弱小和无知虽然限制了人类对科学的探索能力，但能够在宇宙中隐藏自己，可是傲慢却成为生存的障碍。作者怀着对人类聪明才智的充分肯定，描绘出科技不断发展进步的未来世界，但是远离了无知却走近了傲慢，带来的是人类在其他文明面前的绝望。作者充满了对宇宙的敬畏之心，无情的揭示了人类的傲慢是多么可悲的一件事。同时，作者用一个一个故事告诉我们，历史留给人类的教训是：人类永远不接受教训。

三体系列描述了作者对宇宙、对道德、对诗的理解，也推动着我们建立起自己的理解和思考。

Snort一款开源的网络入侵防御系统（IPS），可以实时分析和记录网络数据包。由Cisco在2013年将其收购，收购后对其源代码进行了重写，发布了Snort3或称Snort++版，带来很多新的特性。Cisco于2014年发布了OpenAppID，作为一个Snort中用于应用识别的组件。根据官方教程，对Snort3源码进行编译较为繁琐，本文介绍使用Docker快速运行Snort3和OpenAppID的方法。

获取镜像

可通过如下命令下载Snort3 with OpenAppID的容器镜像：

$ docker pull traceflight/snort3-with-openappid-docker

其中的镜像为根据我的Github项目中编写的Dockerfile文件构造而来，其中的组件和版本见下表。

监听主机网卡

首先获取待监听网卡名称：

$ ip a

使用docker的host模式监听指定网卡（假设为eth0），挂载本地路径（/var/log/snort）存放日志信息：

$ docker run -it --name snort --net=host \
    --cap-add=NET_ADMIN \
    -v /var/log/snort/:/var/log/snort/ \
    traceflight/snort3-with-openappid-docker \
    snort -c /usr/local/etc/snort/snort.lua \
    -A fast \
    -l /var/log/snort \
    -i eth0

分析Pcap数据

假设待分析的数据位于本机的/home/snort/data/文件夹中，运行snort挂载待分析文件，并对其进行分析。

$ docker run -it --rm -v /home/snort/data:/data \     
    -v /var/log/snort/:/var/log/snort/ \
    traceflight/snort3-with-openappid-docker \
    snort -c /usr/local/etc/snort/snort.lua \
    -A fast \ 
    -l /var/log/snort \
    -r /data/pcapfile.pcap

修改配置和规则

对规则和配置进行修改，需要挂载相应文件到镜像中，规则和配置文件的结构可参考我的Github项目。首先clone项目代码，获取文件夹结构，并在此基础上进行后续修改。

$ git clone https://github.com/traceflight/snort3-with-openappid-docker.git

自定义应用检测器

将自定义检测脚本放置在custom/lua文件夹中，然后重新build容器或挂载custom文件夹到/usr/local/etc/snort/appid/文件夹中。

使用自定义规则

配置文件和规则文件分别放置在项目中etc和rules文件夹内，添加自定义规则步骤如下：

• 创建规则

在rules/rules文件夹内创建规则文件local.rules。

• 修改配置

在etc/snort.lua配置文件中第6个部分（6. configure detection）中的rules变量内添加一行规则包含语句。

include $RULE_PATH/local.rules

• 挂载文件

运行时挂载

$ docker run -it -v `pwd`/etc/snort.lua:/usr/local/etc/snort/snort.lua \
    -v `pwd`/rules/:/usr/local/etc/snort/rules/ \
    traceflight/snort3-with-openappid-docker /bin/bash

或创建Dockerfile生成新的镜像

FROM traceflight/snort3-with-openappid-docker:latest
MAINTAINER yourname
ADD etc/snort.lua /usr/local/etc/snort/
ADD rules /usr/local/etc/snort/rules
RUN snort -V

使用snort注册版规则

在snort官方注册后，可下载注册版规则。将规则文件解压缩后，放在本项目对应文件夹中，然后修改etc/snort.lua文件中的appid变量值，指定appid路径。最后将文件夹挂载到路径下即可。

appid =
{
    -- appid requires this to use appids in rules
    app_detector_dir = '/usr/local/snort/appid',
}

使用中可能出现错误提示

ERROR: Cannot decode data link type 113

原因：libpcap在对Linux进行抓包时，若对any接口进行抓包，使用的格式为Linux cooked-mode capture (SLL)，snort不支持该格式。

解决方法：不对any接口进行抓包，对指定接口如eth0抓包即可。

SIOETHTOOL(ETHTOOL_GUFO) ioctl failed: Operation not permitted

原因：容器对监听本地网卡的权限不足。

解决方法：在docker运行时，添加参数`--cap-add=NET_ADMIN`。

当你看到这篇文章的时候，一定已经是七夕了。

算下来，我们谈恋爱到今天刚好过了500天。500天的时间不长不短，说它不长是因为也就一年多的时间，这不过是我们美好生活的几十分之一，在我们携手的漫长人生道路上，仅仅迈出了第一步。说它不短是因为这500天的时间里，经历了太多值得纪念和怀念的时刻，如果把纪怀的时间也算作这500天的延续，那将会是一辈子的时间。

我期待着和你走过后面的每一个500天，期待着我对你的每一个承诺实现时的快乐，期待生活中的每一次惊喜，也期待着点点滴滴的甜蜜。承诺很多，但宗旨只有一个，愿我的肩头是你劳累时的憩息，我的心头是你永远的归宿。

情长纸短，吻你万千。

Let's Encrypt于2018年3月14日在社区宣布支持通配符证书（Wildcard certificates）。

• ACME v2 and Wildcard Certificate Support is Live
• ACME v2 Production Environment & Wildcards

通配符证书可以使同一域名下的所有子域名使用同一个证书，对于拥有大量域名的用户来说，大大减少了证书申请和维护工作。下面简要介绍Let's Encrypt通配符证书的申请方法。

证书申请

Let's Encrypt使用ACME协议验证域名所有权并分配证书，为申请证书首先需要选取实现ACME协议的客户端。

Let's Encrypt证书申请时，需要验证域名的所有权，官方支持三种验证方式：

• http-01: 在域名对应的 Web 服务器下放置一个 HTTP well-known URL 资源文件。
• tls-sni-01: 在域名对应的 Web 服务器下放置一个 HTTPS well-known URL 资源文件。
• dns-01: 给域名添加一个 DNS TXT 记录。

申请Let's Encrypt通配符证书需要注意的事情如下：

• 必须使用dns-01验证方法。
• 必须使用支持ACME v2版本的客户端。
• 需要指定server路径: https://acme-v02.api.letsencrypt.org/directory
• *.example.com不包含example.com，需分别申请。
• *.example.com和www.example.com 不可同时申请，因为前者已包含后者。

官方给出了支持ACME v2的客户端列表，本文选取官方推荐的客户端Certbot，并使用Docker环境申请证书。

假设证书在本地的存放位置为letsencrypt文件夹，日志存放位置为log文件夹，执行如下命令申请证书：

$ docker run -it --rm \
  -v path/to/letsencrypt/:/etc/letsencrypt/  \
  -v path/to/log/:/var/log/letsencrypt/ \
  certbot/certbot:v0.26.1 \
    certonly \
   --email your@email.com \
   --agree-tos \
   --manual \
   --preferred-challenges dns-01 \
   --server https://acme-v02.api.letsencrypt.org/directory \
   -d *.yourdomain.com \
   -d yourdomain.com

替换其中的邮件和域名，运行后根据提示为域名添加DNS TXT记录，以验证域名所有权。生成的证书存放在本地letsencrypt文件夹中。

证书使用

申请的证书保存在letsencrypt/live/youdomain.com文件夹下，其中四个文件的说明如下：

• privkey.pem : 证书私钥。
• fullchain.pem: 大多数服务器使用的证书文件。
• chain.pem : 用于OCSP stapling（Nginx >=1.3.7）。
• cert.pem : 在进一步阅读相关文档前不要使用。

以Nginx服务器为例，在其配置文件中添加如下配置：

ssl on;
ssl_certificate path/to/letsencrypt/live/yourdomain.com/fullchain.pem;
ssl_certificate_key path/to/letsencrypt/live/yourdomain.com/privkey.pem;

证书更新

证书的有效期为90天，在到期前需要手动进行更新，Certbot中可使用renew对申请的证书进行更新，可执行命令如下：

$ docker run -it --rm \
  -v path/to/letsencrypt/:/etc/letsencrypt/  \
  -v path/to/log/:/var/log/letsencrypt/ \
  certbot/certbot:v0.26.1 \
    renew

当证书有效期小于30天时，该命令会对证书进行更新。为防止手动更新的麻烦，可创建脚本文件certbotrenew.sh如下：

#!/bin/bash
$ docker run -it --rm \
  -v path/to/letsencrypt/:/etc/letsencrypt/  \
  -v path/to/log/:/var/log/letsencrypt/ \
  certbot/certbot:v0.26.1 \
    renew

若使用的服务器为Nginx，在证书更新完成后，服务器不会自动加载证书，需要重启服务器。可创建crontab计划任务，定期执行脚本检查证书，若证书更新后（通过文件修改时间判断）自动重启服务器。脚本文件(checkservice.sh)如下：

#!/bin/bash
timestamp=`date`
echo $timestamp "====renew certbot====" >> path/to/renew.log
path/to/certbotrenew.sh
modifytime=`stat -c %Y path/to/letsencrypt/live/datarepo.cn/fullchain.pem`
nowtime=`date +%s`
if [ $[ $nowtime-$modifytime ] -lt 1800 ]; then
  echo $timestamp "====restart nginx====" >> path/to/renew.log
  path/to/restartnginx.sh
else
  echo $timestamp "====no need to restart====" >> path/to/renew.log

其中restartnginx.sh为重启Nginx服务器的命令。

创建crontab计划任务，每周五0点0分执行checkservice.sh。

0 0 * * 5 path/to/checkservice.sh

当前主流的软件开发相关资源都保存在国外的服务器中，由于这样或那样的原因，国内开发者在使用某些资源时，存在难以访问或访问较慢的现象，下面总结了一些实际遇到的访问较慢的资源，及对应加速方法。后续如再遇到新的问题，将更新在这里。

Linux软件源

Linux换用国内软件源后，能够大大提高软件安装速度，下面介绍Ubuntu和Centos使用阿里源的方法。

ubuntu

图形界面配置
依次选择：系统设置 -> 软件和更新 选择下载服务器 -> "mirrors.aliyun.com"
手动更改
备份原软件源文件：

# cp /etc/apt/sources.list /etc/apt/sources.list.bak

使用编辑器打开文件：/etc/apt/sources.list

# vi /etc/apt/sources.list

将其中的archive.ubuntu.com替换为mirrors.aliyun.com，在vi编辑器中可使用如下命令：

:%s#archive.ubuntu.com#mirrors.aliyun.com#g

然后保存文件，并运行如下命令更新资源：

# apt update

Centos

以Centos7为例，首先备份原软件源文件：

# mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.bak

下载新的资源文件：

# wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo

更新缓存：

# yum makecache

Docker镜像

使用阿里云容器加速器，首先注册阿里云帐号，然后在加速器页面https://cr.console.aliyun.com/#/accelerator 中获取加速器地址，并按照官方提示进行配置。CentOS和Ubuntu的配置方法如下：

$ sudo mkdir -p /etc/docker
$ sudo tee /etc/docker/daemon.json <<-'EOF'
{
  "registry-mirrors": ["https://xxxxxxxx.mirror.aliyuncs.com"]
}
EOF
$ sudo systemctl daemon-reload
$ sudo systemctl restart docker

NPM源

可使用淘宝NPM镜像代替官方版本。安装cnpm命令行工具代替npm：

$ npm install -g cnpm --registry=https://registry.npm.taobao.org

pip源

以使用阿里源为例，使用如下命令创建配置文件即可：

$ mkdir ~/.pip
$ tee ~/.pip/pip.conf <<- 'EOF'
[global]
index-url = https://mirrors.aliyun.com/pypi/simple/
[install]
trusted-host=mirrors.aliyun.com
EOF

Github

在使用git clone命令下载github中的项目时，可能会遇到下载速度超级慢的情况，可使用修改Host文件方式，指定github.com和github.global.ssl.fastly.net两个域名的IP地址，以提高访问速度。
github.com和github.global.ssl.fastly.net对应的IP地址可在IPAddress.com中查询，当前两个域名对应的IP地址为192.30.253.112和151.101.113.194，因此在/etc/hosts文件中，追加两条记录：

192.30.253.112 github.com
151.101.113.194 github.global.ssl.fastly.net

时间是上天给每个人最公平的财富，每个人的资源总量都差不多，但是如果你不珍惜它就会离你而去。总觉得自己还是个毛头小子，转眼间竟已快到而立之年，人生也有了另一半的陪伴。责任愈大压力愈重，越发觉得生活需要计划，人生需要规划。最近尝试使用时间管理软件，下面总结一下使用的体会。

理论方法

通过搜集资料，遵循如下的事项/时间管理方法：

两分钟原则

任何事情如果花的时间少于两分钟，那么马上就去做，否则将其记录在待办事项中。两分钟是一个分水岭，这样的时间和正式地推迟一个动作所花的时间差不多。

GTD

由David Allen于2001年发表的《Getting Things Done》一书中提出的时间管理方法。在这本书的第一版中主要流程为： 搜集（collect）、处理（process）、组织（organize）、计划（plan）和执行（do）。具体流程如下图所示：

后来将五个阶段重新定义为：获取（capture）、阐明（clarify）、组织（organize）、回顾（reflect）、执行（engage）。
获取：收集说有需要引起注意的事项。
阐明：判断收集的事项是否可执行（actionable），如果不可执行则删除该事项；如果可执行，判断下一步行动能否在2分钟内完成，如果能完成则立即执行，否则若可以指派他人办理则指派他人，其余放置在待办事项中。
组织：对待办事项进行分类，如：待打电话、待发邮件、待办差事等。
回顾：经常对待办事项进行回顾。
执行：按照计划采取适当的方法去做。

四象限法

四象限法则是时间管理理论的一个重要观念，应有重点地把主要的精力和时间集中地放在处理那些重要但不紧急的工作上，这样可以做到未雨绸缪，防患于未然，四象限分类如下图所示：

番茄工作法

番茄工作法（Pomodoro Technique）是二十世纪八十年代末由Francesco Cirillo提出的一种时间管理方法。该方法使用一个定时器来分割出一个一般为25分钟的工作时间和5分钟的休息时间，而那些时间段被称为pomodori，为意大利语单词 pomodoro（中文：番茄）的复数。
番茄工作法有五个基本步骤：

1. 决定待完成的任务
2. 设定番茄工作法定时器至 n 分钟（通常为25分钟）。
3. 持续工作直至定时器提示,记下一个x。
4. 短暂休息3-5分钟。
5. 每四个x，休息15-30分钟。

软件选择

为了实践这些管理方法，需要查找具有相应功能的软件。主要的功能包括：

• 能够添加待办事项（todo）
• 能够添加重复事项
• 能够设置提醒
• 能够对待办事项进行四象限分类
• 能够支持番茄工作法
• 支持跨设备同步（移动终端、网页）

通过搜集试用相关的时间管理软件，发现功能较为完备的主要为番茄土豆和奇妙日程两个软件。两个软件的简单对比如下：
番茄土豆
优点：界面简洁、美观，使用方便、易于上手，用户量大、服务稳定，支持添加标签，跨平台支持好。
缺点：四象限需手动添加标签进行分类，部分功能需要付费使用，如子任务、设置提醒。
奇妙日程
优点：功能丰富，原生支持四象限分类，预设待办事项类别，支持设置重复事项，具有每日回顾功能。
缺点：用户量相对小，网页版体验较差，存在服务不稳定的风险。

为了有效将相关理论付诸实践，最后我选择了功能较为丰富的奇妙日程软件。

一周使用体验

一周使用下来，对我的主要影响如下：

• 减轻了我的拖延症。将拖了几周的事情记录下来并制定计划后，按时完成了这些事情。
• 提高了做事的专注度。由于待办事项都记录在软件中，在按照计划做事时，头脑能够专注于当前在做的事情。

希望今后能够坚持使用，用科学的理论方法指导实践。

今天是我们恋爱一周年的纪念日，这一年我们经历了很多，学业、工作和生活都掀开了新的篇章。一切都那么快，又那么自然，生活的酸甜苦辣我们一起品尝，人生的喜怒哀乐我们一起感受，脚下的路我们一起探索，欣赏着路边的风景，奔向美好的未来。

制作了一段H5动画，记录我们的点滴回忆，送给我的宝贝，也祝福我们恩爱永远。

恋爱一周年快乐

下面是我在南京航空航天大学计算机科学与技术学院读本科快要毕业的时候（2013年4月18日），写给学院陈院长的一封电子邮件。现在又翻出来重新读一读自己写的内容，记下曾经的一些想法，自己也反思反思思考问题的思路哪些还需要改进。

陈院长：

您好，我是信息安全专业大三的学生王军。关于我们学院的一些事情，我想跟您谈谈自己的一些看法。其实有没有必要写这封邮件，我也想了很久，一直在犹豫。昨天您上课的时候说了我们学院的一些现状，包括有些老师不愿意要我们南航的研究生之类的情况，也说了一些解决的措施。我想，我在学院学习生活的这三年，虽然对于学院的了解不会有您那么广泛，但是应该会有一些您没有经历过，或者没有注意到的情况。所以我还是决定要给您写这封邮件。

这三年中，我是普通的学生，在班里当过班委，在学院当过部长，也在科协当过半个学期的主席，一个学期的秘书长。感觉自己对于学院学生工作，包括科创这一块了解的还算比较多。

首先我想说说科创的问题，我在科协工作三个学期了，既作为科创申报者，参与申报了科创基金，也作为科创基金管理者，参与了一期科创的整个管理审核过程。我切实感受到学院对于科创的重视程度，也从中发现了学院在科创基金管理上面的一些问题。我们的科创基金应该是我们一直引以为傲的内容，但是每年的花花绿绿总是昙花一现，我觉得问题有下面几个方面。首先，体制建设，这是根本的方面，是建设的基础。现在的科创管理问题很多，如科创中期审查的时间是由科协和辅导员临时决定，学生事先不知道；审查时的评委老师，是由科协或者辅导员在审查前几天一个一个打电话询问，而且还会有很多不确定等等。这就体现在体制不健全上面，在一个被重视的、健全的组织中，事务不应该是由人临时发起的，而应该是由时间、规定发起的。我看到在学院的科创基金管理办法中是有一些规定的，但是实施的时候并没有按照规定实施。对于体制的建设我觉得，首先真正成立科创基金管理委员会，由一位领导牵头，各个研究所都要出老师参与进来，也要有学生，如科协主席，可以给老师一个头衔，叫科创基金管理委员会委员之类，也可以有一个的激励措施，学院承诺的每年20万的科创基金，每年都没有用完过，用它来进行体制建设也是用在合适的方面。委员会先审查通过科创基金管理办法，把它确定下来，科创申报、中期审查、解题审查的时间和形式等等都固定在文字上。委员会委员对于科创基金的运营有相应的责任和义务，例如，担当科创审查时的评委，这应该作为评委老师的一项例行事务。每年要记录学院所有老师带科创的情况，评选优秀科创指导教师，并有奖励机制。关于科创基金，还想说说题目产生的方法，现在是每年由老师出题目，然后同学们去申请，还有一些同学自己想的题目。我觉得这样的题目产生很混乱，不好管理，而且不易出精品。老师的题目当然都很不错，有个问题就是传承问题，这个不必说。我觉得题目产生上，还有一个很好的途径，就是在每期科创申报前由委员会讨论产生，根据近一两年的发展状况，参考一些全国性甚至国际性的比赛中的内容，提出一些更贴近实际的题目，然后委员会指派指导老师。这些题目涉及最新的技术，而且更可能在今后的比赛中派上用场。

其次我还想说说学习风气这个问题，其实问题很早就有了而且很严重。当仅仅是把学习成绩作为学风反馈的工具时，必然会有局限性和滞后性。滞后性是很明显的，学期结束了或者考研结束了才能够意识到出了问题。局限性也是很明显的，首先考试对于学生的考核就是有局限的，其次，老师也总是希望自己的学生能够有好的成绩，选修课且不说，专业课的老师也不想为难大家，因为自己一门课压低了学生的绩点，我觉得作为大学老师这样做是无可厚非的，既然老师无过，那就是成绩作为反馈工具的局限了。所以我希望学院的领导能够在学生学习的过程中，去切实感受学习风气。要了解真实的学风，在查课的前一天就把通知发下去，这样看到的往往是假象。仅仅去查课，看哪些同学没有到，这样的效力是短时的。我觉得任课老师的反馈，比查课更有效。能够更多的从同学那里了解情况，不仅仅是学生代表，每个人都可以是了解的对象，会更贴近现实。除了反馈工具的问题外，不得不说的是管理，因为我觉得这个问题至关重要。我觉得我们的学生经过了初中高中六年的磨练，大多数的学生已经形成了希望被管理的习惯，说得难听一点就是奴性。我不否认有些人确实能够做到严于自律，也不否认自立自主对于一个人成长的重要性，但是现实是很多人不能做到这些。我相信学院很重视对管理人员的选拔，刘xx辅导员，学生会副主席，有丰富的学生工作经验，而且人踏实肯干；唐xx辅导员，更是学生会主席研究生会主席，工作能力毋庸置疑。他们都能够和同学们打成一片，和学生建立良好的关系，但是有些问题是不能回避的，作为本校或者本院的学生，对于学校或者学院的一些陋习他们可能习以为常，从而意识不到，或者意识到了也视而不见。陈院长，恕我不敬，您之前上课时的一个做法我就不能赞同，您对同学们说：现在的事情，往往是“做得好，不如说的好”，让我们把一个简单的作品包装一下，就可以拿去参加比赛。我知道您是鼓励我们大家去参加比赛，但是这样说，我不能赞同。我知道，事实确实是这个样子的，现在的社会就是很浮躁，很形式化。每个人都有自己的生活方式，年轻人更应该试图改变这种浮华。我从阙导那里、刘导那里、唐导那里、段然学长那里都听到过类似的话，我一直以为他们是在投机取巧，或许也能说是一种出成绩的捷径，当您也在向我们宣传这些时，我认识到了，这是我们学院的陋习。结果就是，学院的很多事情都是看上去很华丽，但是事实很空洞，内容很干瘪。我们把大量的时间都放在了宣传上，放在做海报、挂横幅、拍照片、写宣传稿、发新闻上，让别人知道我们都做过什么，和其他院攀比，看到四院搞个活动我们也马上搞一个类似的，可能这个活动根本没有什么影响，只是为了在字面上不比别人少些东西。我固然知道宣传的重要性，但是包装适可而止即可，华而不实的活动，学生不会愿意去参加，我相信如果把更多的精力放在活动的内容上，不会出现在发新闻的时候还要挑照片，看看哪个角度显得人比较多，这种情况。对于两位辅导员，他们管理的是我们学院的希望，我觉得他们还缺少点什么，那就是威望和高度的责任感。三年来给我印象最深、影响最大的一个辅导员是王xx辅导员，这些印象有：不苟言笑、无数的会议、连续好几天查寝查课、每次在院办看到厉声批评人、不厌其烦的说同样的事情等等等等，这些在大一的时候看来不可理解、厌烦的事情，现在想想每一件事都透露着王导的态度与责任，他对每一个学生都有自己深深的责任感，都会尽自己所能去帮助。威望这个东西，可能不是每个人都有，不是通过批评、打骂换来的，您在课堂上一站，我们下面的学生没有人敢翘课；王导的一个眼神，一个在下面谈笑的人会马上严肃、闭嘴、坐好，如果换做刘导，我猜学生可能冲刘导笑一笑然后闭嘴、坐好，虽然都闭嘴坐好了，但前者是一种敬畏，后者可能仅仅是尊敬。一个负责任但没有威望的领导，足以完成一项任务，不足以领导一个团队。我觉得亮剑里的一段话说的很有道理：“英雄或是优秀军人的出现，往往是由集体形式出现，而不是由个体形式出现。理由很简单，他们受到同样传统的影响。养成了同样的性格与气质。任何一支部队都有着它自己的传统。传统是什么？传统是一种性格、是一种气质！这种传统与性格，是由这种部队组建时首任军事首长的性格与气质决定的。他给这支部队注入了灵魂。从此不管岁月流失，人员更迭，这支部队灵魂永在。”

每个人都有自己的生活方式，没有对错。我也只是用一个学生的眼光去客观的看待学院的一些事情，无意伤害任何一个人。只是希望学院能够更好~~

2013年4月18日

王军

Kibana是一个开源的分析与可视化平台，可以用来搜索、查看、交互存放在Elasticsearch索引里的数据，使用各种不同的图表、表格、地图等，kibana能够很轻易地展示高级数据分析与可视化结果。

Kibana提供了Coordinate Map和Region Map两种基于地图的数据可视化方法，其地图由Elastic Maps Service提供服务。而在实际的使用场景下，有时无法连接外部互联网，因此无法使用该服务，本文介绍一种通过自行搭建GeoServer为Kibana提供地图服务的方法。

GeoServer介绍

GeoServer是一个基于java开发的软件服务器，使用开放地理空间联盟（Open Geospatial Consortium，OGC）提出的标准，可提供WMS兼容的地图服务。允许用户查看和编辑地图数据。利用 GeoServer 可以方便的发布地图数据，允许用户对特征数据进行更新、删除、插入操作，通过 GeoServer 可以比较容易的在用户之间共享空间地理信息。

运行Kibana

为了实验，本文使用Docker搭建了最简单的Kibana环境，运行命令如下：

$ docker run -d --name myelasticsearch \
   docker.elastic.co/elasticsearch/elasticsearch:6.2.3
$ docker run -d --link myelasticsearch:elasticsearch \
   -p 5601:5601 \
   --name  kiban \
   docker.elastic.co/kibana/kibana:6.2.3

运行GeoServer

首先在Natural Earth中下载SHP格式的地图数据，将其解压缩到本地，然后运行如下命令：

$ docker run -d --name geoserver \
   -p 8080:8080 \
   -v `pwd`/natural_earth_vector:/opt/geoserver/data_dir/data/ \ 
   kartoza/geoserver

配置GeoServer

登录GeoServer

通过http://localhost:8080/geoserver访问GeoServer页面，并使用初始用户名密码admin/geoserver登录。：

新建工作区

点击左侧工作区，选择新建工作区，并填写相应内容，然后点击提交：

添加数据存储

点击左侧数据存储，选择添加新的数据存储，然后在新建数据源页面中，选择Directory of spatial files (shapefiles)：

在编辑的矢量数据源页面中填写相应内容，并在Shapefiles文件的目录选择框中，选择data_dir/data/10m_cultural/文件夹，点击确定：

发布图层

依次选择图层->添加新的资源，在新建图层中选择刚刚创建的图层，点击图层ne_10m_admin_0_countries后面的发布按钮：

在编辑图层页面的数据标签中，填写相应的内容，其中Native Bounding Box内容通过点击下面的从数据中计算获得，纬度/经度边框内容通过点击下面的Compute from native bounds获得：

在页面上方切换到发布标签，选中所有的Avilable Styles，然后点击中间的向右侧的箭头，然后点击下方的保存按钮：

查看地图

点击左侧的Layer Preview，然后点击图层后面的OpenLayers，即可查看地图：

配置Kibana

创建Index Pattern

使用Kibana需要首先创建Index Pattern，用于收集和检索Elasticsearch中的数据，本文使用Kibana和Elasticsearch中X-pack插件产生的数据作为实验，创建的Index Pattern为.monitoring-*。

使用GeoServer

选择Kibana页面左侧的Visualize选项卡，点击Create a visualization，然后选择Coordinate Map，在左侧选择.monitoring-*作为检索数据源，然后选择Options标签，并选中下方的WMS compliant map server：

然后填写GerServer服务相关的数据，即可使用GeoServer：

Harbor是VMWare开源的企业级容器镜像仓库。它扩展了Docker Registry的功能，包括安全性、认证和管理等功能。Harbor支持设置多个仓库并在仓库间复制镜像。另外，Harbor提供了高级的安全属性，包括用户管理、访问控制、行为审计、镜像漏洞扫描等。

官方给出的特点如下：

• 基于角色的访问控制（RBAC）
• 基于策略的镜像复制
• 镜像漏洞扫描
• LDAP/AD集成支持
• 镜像删除和垃圾回收
• Notary镜像真实性确认
• 图形用户接口
• 审计
• 易于部署

下面给出在Linux中进行在线安装的方法。

前期准备

官方给出了安装Harbor主机的软硬件需求。其中硬件需求基本都能满足，软件需求包括：Python 2.7或更高版本；Docker engine 1.10或更高版本，可根据官方教程安装Docker CE：https://docs.docker.com/engine/installation/；Docker Compose 1.6.0或更高版本，安装教程见：https://docs.docker.com/compose/install/；Openss最新版。同时需要443、4443和80端口开放。

安装过程

Harbor安装过程主要为三步：

1. 下载安装包；
2. 修改配置文件harbor.cfg；
3. 运行install.sh并启动Harbor。

下载安装包

在Harbor官方项目的release页面下载安装包。本文下载的在线安装包harbor-online-installer-<version>.tgz。然后对其解压：

$ tar xvf harbor-online-installer-<version>.tgz

修改配置

在修改配置前首先需要获取证书，为网络传输增加TSL加密。这样不仅可以提高镜像库数据传输的安全性，同时在Harbor中启用Notary进行镜像真实性确认，要求启用https。

使用者可在CA购买授权的证书，也可使用Let's Encrypt提供的免费证书。

采用文章Docker环境中使用Let's Encrypt为Nginx提供免费SSL证书中的方法生成证书。假设证书存放位置为：/data/certbot/letsencrypt。

配置文件为解压后文件夹中的harbor.cfg文件。配置参数很多，详细说明见官方文档。本文仅做必要的配置如下：

• hostname： your.domain.com
• ui_url_protocol： https
• ssl_cert： /data/certbot/letsencrypt/live/your.domain.com/fullchain.pem
• ssl_cert_key： /data/certbot/letsencrypt/live/your.domain.com/privkey.pem

安装和使用Harbor

安装Harbor

使用如下命令安装Harbor，并启用Notary（镜像真实性确认）和Clair（镜像漏洞扫描）。更多关于Notary的信息参考https://docs.docker.com/engine/security/trust/content_trust/，关于Clair的信息参考https://coreos.com/clair/docs/2.0.1/。

$ sudo ./install.sh --with-notary --with-clair

注意：如果运行可能出现错误提示，要求安装Docker Compose，而实际已经安装。这是因为docker-compose文件只放在了/usr/local/bin/文件夹下，不在root用户的环境变量中，因此可将docker-compose复制到/usr/sbin/文件夹中：

sudo cp /usr/local/bin/docker-compose /usr/sbin/docker-compose

使用Harbor

安装完成后即可通过浏览器访问Harbor了，在浏览器中输入your.domain.com，使用初始用户名密码admin/Harbor12345登录Harbor。

在系统管理/用户管理中创建用户；在项目窗口中新建项目test，访问级别设置为私有，并在项目中新建成员。

在需要使用Harbor的机器中，使用docker login登录仓库，用户名密码为刚创建用户的用户名和密码，并向项目test中推送镜像：

$ docker login your.domain.com
$ docker push your.domain.com/test/image:tag

Harbor运行管理

可以使用docker-compose命令停止或启动Harbor，下面给出相关的命令。（需要在harbor解压缩的文件夹中运行）

停止Harbor：

$ sudo docker-compose stop
Stopping nginx ... done
Stopping harbor-jobservice ... done
Stopping harbor-ui ... done
Stopping harbor-db ... done
Stopping registry ... done
Stopping harbor-log ... done

重新启动Harbor：

$ sudo docker-compose start
Starting log ... done
Starting ui ... done
Starting mysql ... done
Starting jobservice ... done
Starting registry ... done
Starting proxy ... done

如修改配置文件，需要在重新启动前执行prepare脚本文件更新Harbor需要的配置信息：

$ sudo docker-compose down -v
$ vim harbor.cfg
$ sudo prepare
$ sudo docker-compose up -d

删除Harbor容器，同时保留镜像和数据：

$ sudo docker-compose down -v

删除镜像和数据：

$ rm -r /data/database
$ rm -r /data/registry

在安装了Clair和Notary时，Harbor的启动和停止需要指定额外的文件：

$ sudo docker-compose -f ./docker-compose.yml \
  -f ./docker-compose.clair.yml \
  -f ./docker-compose.notary.yml [ up|down|ps|stop|start ]

在很多场景下，需要自行搭建本地Docker镜像库，用于存储和维护开发的应用镜像。Docker官方提供了两种Registry：一种为Docker Registry，另一种为Docker Trusted Registry（DTR），其中后者为商业版本，较前者增加了LDAP集成、安全扫描等功能，为付费套餐的一部分，本文介绍第一种镜像库安装方法。

安装Docker CE

安装方法参考官方教程，在Kali Linux中安装可参考博客Kali 2018.1 中安装Docker CE。

创建data文件夹

创建文件夹存放镜像库中的内容：

$ mkdir data

使用基础认证

创建文件夹存放密码文件，假设创建的用户名为testuser，密码为testpassword：

$ mkdir auth
$ docker run \
  --entrypoint htpasswd \
  registry:2 -Bbn testuser testpassword > auth/htpasswd

增加TLS加密支持

使用基础认证时，必须要增加TLS加密支持，否则用户的登录信息将通过明文传输。下面分别介绍持有证书、使用Let's Encrypt免费证书和使用自签名证书的配置方法。

持有证书

满足下列条件条件：

• 拥有注册的域名https://your.domain.com。
• 域名指向的主机443端口可访问
• 从认证机构（CA）获取证书

1. 创建certs文件夹

$ mkdir certs

讲证书.crt和.key文件复制到certs文件夹中，下文假设文件名分别为domian.crt和domain.key。

2. 启动registry容器

$ sudo docker run -d \
  --restart=always \
  --name registry \
  -v `pwd`/data:/var/lib/registry \
  -v `pwd`/auth:/auth \
  -v `pwd`/certs:/certs \
  -e "REGISTRY_AUTH=htpasswd" \
  -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \
  -e "REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd" \
  -e "REGISTRY_HTTP_ADDR=0.0.0.0:443" \
  -e "REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt" \
  -e "REGISTRY_HTTP_TLS_KEY=/certs/domain.key" \
  -p 443:443 \
  registry:2

使用Let's Encrypt免费证书

Docker Registry官方支持使用Let's Encrypt提供免费的可信证书，但在2018年1月开始，Let's Encrypt出于安全性考虑，取消了TLS-SNI challenge，因此根据官方教程使用Let's Encrypt为Docker Registry提供认证已经无法工作，见官方issue，Docker开发者正在解决该问题。

下面给出按照官方教程，使用Let's Encrypt进行认证的运行命令，现在已无法正常使用，待后续有新的进展后更新该部分内容：

$ touch letsencrypt.json
$ sudo docker run -d \
  --restart=always \
  --name registry \
  -v `pwd`/data:/var/lib/registry \
  -v `pwd`/auth:/auth \
  -v `pwd`/certs:/certs \
  -v `pwd`/letsencrypt.json:/etc/docker/registry/letsencrypt.json \
  -e "REGISTRY_AUTH=htpasswd" \
  -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \
  -e "REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd" \
  -e "REGISTRY_HTTP_ADDR=0.0.0.0:443" \
  -e "REGISTRY_HTTP_TLS_LETSENCRYPT_CACHEFILE=/etc/docker/registry/letsencrypt.json" \
  -e "REGISTRY_HTTP_HOST=https://your.domain.com" \
  -e "REGISTRY_HTTP_TLS_LETSENCRYPT_EMAIL=your@email.com" \
  -p 443:443 \
  registry:2

该方法已经无法正常使用，下面给出另一种可用的方法。采用文章Docker环境中使用Let's Encrypt为Nginx提供免费SSL证书中的方法生成证书。

然后运行Registry容器

$ sudo docker run -d \
  --restart=always \
  --name registry \
  -v `pwd`/data:/var/lib/registry \
  -v `pwd`/auth:/auth \
  -v /data/certbot/letsencrypt:/certs \
  -e "REGISTRY_AUTH=htpasswd" \
  -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \
  -e "REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd" \
  -e "REGISTRY_HTTP_ADDR=0.0.0.0:443" \
  -e "REGISTRY_HTTP_TLS_CERTIFICATE=/certs/live/your.domain.com/fullchain.pem" \
  -e "REGISTRY_HTTP_TLS_KEY=/certs/live/your.domain.com/privkey.pem" \
  -p 443:443 \
  registry:2

即可成功使用Let's Encrypt证书，证书有效期为90天，其更新方法见文章Docker环境中使用Let's Encrypt为Nginx提供免费SSL证书。

使用自签名证书

在没有CA发布的证书时，可使用自签名证书，该方法仅建议在测试或开发环境中使用。

1. 生成自签名证书

$ mkdir -p certs
$ openssl req \
  -newkey rsa:4096 -nodes -sha256 -keyout certs/domain.key \
  -x509 -days 365 -out certs/domain.crt

在交互过程中，使用域名your.domain.com作为CN。如没有注册的域名，可自行选取域名，然后更改本机的hosts文件，添加该域名到自身的解析。

2. 使用与持有证书相同的命令运行Registry

$ sudo docker run -d \
  --restart=always \
  --name registry \
  -v `pwd`/data:/var/lib/registry \
  -v `pwd`/auth:/auth \
  -v `pwd`/certs:/certs \
  -e "REGISTRY_AUTH=htpasswd" \
  -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \
  -e "REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd" \
  -e "REGISTRY_HTTP_ADDR=0.0.0.0:443" \
  -e "REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt" \
  -e "REGISTRY_HTTP_TLS_KEY=/certs/domain.key" \
  -p 443:443 \
  registry:2

3. DNS设置（仅无注册域名时）

对于没有注册域名的用户，可自行选取域名，确保第1步中CN设置与其相同。然后更改hosts文件，添加解析。

本机添加解析记录：在本机的/etc/hosts文件中，127.0.0.1一行后添加your.domain.com。

其他运行Docker daemon的主机：在其/etc/hosts文件中，添加your.domain.com到Registry主机IP地址的解析。

4. 其他主机导入证书

其他需要使用Docker Registry服务的主机中，需要导入Registry的证书，使其信任Registry主机。

将domain.crt文件复制为其他主机的/etc/docker/certs.d/your.domain.com/ca.crt文件。

使用本地Registry

1. 在Docker Hub中下载镜像

$ sudo docker pull alpine

2. 修改tag

容器镜像的tag由两个部分构成，第一个部分包括主机名和端口，第二个部分为镜像名和版本号，版本号缺省情况下为latest。

$ sudo docker tag alpine your.domain.com/alpine

3. 登录本地Registry

使用创建的用户名testuser和密码testpassword登录本地Registry。

$ sudo docker login your.domain.com

4. Push镜像到本地Registry

$ sudo docker push your.domain.com/alpine

5. 删除本机保存的镜像

$ sudo docker rmi alpine
$ sudo docker rmi your.domain.com/alpine

6. 在本地Registry中拉取镜像

$ sudo docker pull your.domain.com/alpine

为网站增加SSL层加密，可以有效保护网站内容，防止包括用户账户等敏感信息泄露事件的发生。在这个隐私泄漏泛滥的社会，很有必要为自己的网站增加SSL加密功能。

获取SSL证书通常需要向权威的证书注册机构（Registry Authority，CA）申请，然后由证书认证机构（Certification Authority，CA）签发，市面上一般的SSL证书价格昂贵，对于个人网站来说负担较重。本文介绍一种在Docker环境中，从认证机构Let's Encrypt获取免费SSL证书，并应用在Nginx服务器中的方法。

Let's Encrypt简介

Let's Encrypt作为一个公共且免费的SSL项目逐渐被广大用户传播和使用，由Mozilla、Cisco、Akamai、IdenTrust、EFF、Facebook等组织人员发起，主要的目的也是为了推进网站从HTTP向HTTPS过度的进程，兼容包括FireFox、Chrome在内的主流浏览器。

安装Docker CE

本文运行Nginx和生成证书均在Docker环境中，因此首先需要安装Docker运行环境，安装方法参考官方教程，或参考我的博客Kali 2018.1 中安装Docker CE，对于Debian系统只需要去掉其中的修改配置文件章节即可。

使用Certbot生成SSL证书

Certbot软件实现了Let's Encrypt认证，下面介绍使用Certbot生成SSL证书的方法。

Certbot以插件形式提供多种证书生成方式，包括apache、nginx、webroot、standalone、DNS plugins、manual等。由于本文使用Docker环境下运行Certbot，官方版本中没有安装Nginx插件，本文使用webroot形式产生SSL证书。

创建文件/文件夹

1. 使用webroot插件需要在${webroot-path}/.well-known/acme-challenge路径下创建临时文件，且需要能够通过网络访问该文件夹。本文中Nginx和Certbot在Docker环境中运行，因此可以在本地创建该文件，然后挂载到Nginx和Certbot容器中指定的路径下。创建文件夹：

$ mkdir -p ./nginx/html/.well-known/acme-challenge/

2. 创建文件夹certbot用于存放生成的秘钥信息。

$ mkdir ./certbot/

启动Nginx容器

为了能够通过网络访问${webroot-path}/.well-known/acme-challenge文件夹，需要启动Nginx服务器，并进行相应的配置。

创建文件夹存放配置文件：

$ mkdir -p ./nginx/conf.d/

创建Nginx配置文件：

$ touch ./nginx/conf.d/default.conf
$ vi ./nginx/conf.d/default.conf

在default.conf文件中编辑如下内容：

server {
    listen 80;
    server_name your.domain.com;
    location ^~ /.well-known/acme-challenge/ {
        root  /usr/share/nginx/html;
    }
}

然后启动Nginx容器：

$ sudo docker run -d --name nginx -p 80:80 -p 443:443 \
  -v `pwd`/nginx/conf.d/:/etc/nginx/conf.d/ \
  -v `pwd`/nginx/html/:/usr/share/nginx/html/ \
  -v `pwd`/certbot/letsencrypt/:/etc/nginx/letsencrypt/ \
  nginx:alpine

生成SSL证书

假设Nginx容器挂载了本地的文件夹，用于存放其部署的网页信息，文件夹路径为：./nginx/html/。生成SSL证书的命令如下：

（更改其中的your.domain.com和your@email.com）

$ sudo docker run -it --rm \
  -v `pwd`/certbot/letsencrypt/:/etc/letsencrypt/ \
  -v `pwd`/nginx/html/.well-known/acme-challenge/:/var/www/acm-challenge/ \
  -v `pwd`/nginx/html/:/var/www/html/ \
  -v `pwd`/certbot/log/:/var/log/letsencrypt/ \
  certbot/certbot \
    certonly --webroot -w /var/www/html/ \
    -d your.domain.com --renew-by-default \
    --email your@email.com --agree-tos

当然，Nginx也可只作为反向代理服务器使用，此时可能不需要挂载本地文件夹，这种情况下可直接将/var/www/acm-challenge/作为webroot参数，执行命令如下：

$ sudo docker run -it --rm \
  -v `pwd`/certbot/letsencrypt/:/etc/letsencrypt/ \
  -v `pwd`/nginx/html/.well-known/acme-challenge/:/var/www/acm-challenge/ \
  -v `pwd`/certbot/log/:/var/log/letsencrypt/ \
  certbot/certbot \
    certonly --webroot -w /var/www/acm-challenge/ \
    -d your.domain.com --renew-by-default \
    --email your@email.com --agree-tos

生成的证书位于./certbot/letsencrypt/文件夹中。该证书的有效期为90天，后文会介绍如何自动的在失效前更新证书。

配置并启动Nginx容器

本文将证书所在目录挂载到Nginx容器的/etc/nginx/letsencrypt/路径下，将./nginx/html/挂载到/usr/share/nginx/html路径下，修改Nginx配置文件default.conf如下：

server {
    listen 80;
    server_name your.domain.com;
    # 重定向到443端口
    location / {
      return 301 https://your.domain.com$request_uri;
    } 
    location ^~ /.well-known/acme-challenge/ {
        root  /usr/share/nginx/html;
    }
}
server {
    listen       443 ssl http2;
    server_name  your.domain.com;
    ssl on;
    # 添加SSL证书
    ssl_certificate /etc/nginx/letsencrypt/live/your.domain.com/fullchain.pem;
    ssl_certificate_key /etc/nginx/letsencrypt/live/your.domain.com/privkey.pem;
    
    location / {
        proxy_pass  your.domain.com:port;
        ...
    }
}

停用并删除运行的Nginx容器，并重新运行：

$ sudo docker stop nginx
$ sudo docker rm nginx
$ sudo docker run -d --name nginx -p 80:80 -p 443:443 \
  -v `pwd`/nginx/conf.d/:/etc/nginx/conf.d/ \
  -v `pwd`/nginx/html/:/usr/share/nginx/html/ \
  -v `pwd`/nginx/log/:/var/log/nginx/ \
  -v `pwd`/certbot/letsencrypt/:/etc/nginx/letsencrypt/ \
  nginx:alpine

自动更新证书

基于上述Nginx的配置，使用如下命令可检查证书是否即将失效，如失效则会更新证书，并将日志保存在本地./certbot/log/文件夹中。

$ sudo docker run -it --rm \
  -v `pwd`/certbot/letsencrypt/:/etc/letsencrypt/ \
  -v `pwd`/nginx/html/.well-known/acme-challenge/:/var/www/acm-challenge/ \
  -v `pwd`/nginx/html/:/var/www/html/ \
  -v `pwd`/certbot/log/:/var/log/letsencrypt/ \
  certbot/certbot \
    renew --webroot -w /var/www/html/

为了使电脑能够自动检查并更新证书，可通过创建计划任务crontab实现。首先创建更新脚本certbotrenew.sh，保存在./certbot/shell/路径下，文件内容为：

#!/bin/bash
docker run -it --rm \
  -v `pwd`/certbot/letsencrypt/:/etc/letsencrypt/  \
  -v `pwd`/nginx/html/.well-known/acme-challenge/:/var/www/acm-challenge/ \
  -v `pwd`/nginx/html/:/var/www/html/ \
  -v `pwd`/certbot/log/:/var/log/letsencrypt/ \
  certbot/certbot \
    renew --webroot -w /var/www/html/

为该文件增加执行权限：

$ chmod +x path/to/certbotrenew.sh

然后使用root用户创建crontab：

# crontab -e

添加如下内容：

0 0 * * 5 /path/to/certbotrenew.sh

即每周五的0点0分执行脚本certbotrenew.sh，检查证书是否即将过期，在有效期还有30天时会更新证书。

最近电脑上重新安装了Kali Linux，Kali基于Debian Testing分支进行开发，从2016年开始以滚动版形式发布新版本，版本均命名为Kali Rolling。最新发布的Kali 2018.1使用 Kernel 4.14.12和GNOME 3.26.2，经实验，可安装Debian 9 （stretch）支持的软件。

参考Docker官方在Debian上的安装教程和一些资料，下面给出在Kali 2018.1中安装Docker CE的方法。

卸载旧版本Docker

Docker 从 17.03版本之后分为社区版CE（Community Edition）和企业版EE（Enterprise Edition）。其中社区版为免费版本，包含了完整的Docker平台，非常适合开发人员和运维团队构建容器APP；企业版为付费版本，主要提供了安全性方面的增强。本文安装版本为Docker CE。

首先卸载旧版本Docker：

$ sudo apt-get remove docker docker-engine docker.io

安装Docker CE

Docker官方给出了三种方法：

• 通过设置Docker的仓库（repositories）安装。这种方法使用的最多，且安装后便于升级，推荐使用该方法。
• 通过下载DEB包手动安装。这种方法通常在离线环境下使用，通过该方法安装的软件在升级时也需要手动下载安装。
• 使用脚本安装。这种方法通常用在测试和开发环境中。

其中第二种方法可在官方库 Debian stretch版本的pool/stable/路径下，选择对应系统的安装包，然后使用dpkg -i命令进行安装。

第三种方法中，脚本里通过查看/etc/os-release等文件内容，或使用lsb_release等命令获取发行版本进行安装，而Kali中获取的版本均为Kali Rolling，为Docker不支持的版本，需要对相关配置文件进行修改。

本文重点介绍使用第一种方式安装的方法，同样需要修改配置文件，理论上通过修改后，也可使用第三种方法提供的脚本进行安装。

修改配置文件

切换到root用户:

1. 修改/etc/debian_version内容为

9.0

2. 修改/etc/lsb-release内容为

DISTRIB_ID=Debian
DISTRIB_RELEASE=9
DISTRIB_CODENAME=stretch
DISTRIB_DESCRIPTION="Debian GNU/Linux 9 (stretch)"

3. 修改/etc/os-release内容为

PRETTY_NAME="Debian GNU/Linux 9 (stretch)"
NAME="Debian GNU/Linux"
ID=debian
VERSION="9 (stretch)"
VERSION_ID="9"
ID_LIKE=debian
ANSI_COLOR="1;31"
HOME_URL="https://www.debian.org/"
SUPPORT_URL="https://www.debian.org/support"
BUG_REPORT_URL="https://bugs.debian.org/"

设置Repository

1. 更新apt索引

$ sudo apt-get update

2. 添加Docker官方GPG key

$ curl -fsSL https://download.docker.com/linux/debian/gpg | sudo apt-key add -

3. 添加stable版的repository（也可添加其他版本）

$ sudo add-apt-repository \
   "deb [arch=amd64] https://download.docker.com/linux/debian \
   $(lsb_release -cs) \
   stable"

安装Docker CE

1. 更新apt索引

$ sudo apt-get update

2. 安装最新版本Docker CE

$ sudo apt-get install docker-ce

3. 在生产系统中应安装指定版本Docker CE

首先获取可用的版本：

$ apt-cache madison docker-ce

然后根据获取的版本号安装：

$ sudo apt-get install docker-ce=<版本号>

4. 验证

通过运行hello-world镜像验证是否成功安装。

$ sudo docker run hello-world

运行上述命令如果出现如下错误：

docker: Error response from daemon: Get https://registry-1.docker.io/v2/: net/http: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers).

如不是因为设置代理等造成的错误，可重新启动docker，再次尝试。

$ sudo systemctl daemon-reload 
$ sudo systemctl restart docker
$ sudo systemctl status docker
$ sudo docker pull hello-world

5. 设置Docker开机自启动

$ sudo systemctl enable docker

6. 使用非root用户运行docker

$ sudo groupadd docker
$ sudo usermod -aG docker $USER

命令执行后，需要注销当前用户，重新登录后即可使用。

7. 使用阿里云容器加速器

首先注册阿里云帐号，然后在加速器页面https://cr.console.aliyun.com/#/accelerator 中获取加速器地址，并按照官方提示进行配置。CentOS和Ubuntu的配置方法如下：

$ sudo mkdir -p /etc/docker
$ sudo tee /etc/docker/daemon.json <<-'EOF'
{
  "registry-mirrors": ["https://xxxxxxxx.mirror.aliyuncs.com"]
}
EOF
$ sudo systemctl daemon-reload
$ sudo systemctl restart docker

更新Docker CE

首先运行命令更新apt索引：

$ sudo apt-get update

然后根据上文提到的方法安装新版本。

对于想搭建自己博客的人来说，可选择的平台有很多，比如功能强大的WordPress、可运行在GitHub Pages上的静态博客平台Hexo和jekyll，以及本文介绍的博客平台Ghost。各平台各有优劣，本文不作赘述，重点介绍如何自己搭建一个可用的Ghost博客。

总体来说可通过两个docker run命令，分别运行Ghost博客和Nginx服务器即可，但运行前需要进行相关的配置。

1. 前期准备

搭建该平台需要准备如下的内容：

• 一个公网可访问的服务器，如可使用阿里云服务器。服务器建议安装64位的Linux系统，并安装docker。
• 一个域名，也可不使用域名，直接通过IP地址访问。本文以本博客使用的域名blog.datarepo.cn为例。

2. 配置并运行Ghost博客

使用Docker安装Ghost可以省掉配置环境的繁琐过程。但需要将配置信息、主题及博客内容存储在本地，以防止Docker运行停止造成的数据丢失。

下面是Ghost中存放这些信息的路径：

• 配置文件：/var/lib/ghost/config.production.json和/var/lib/ghost/config.development.json
• 主题：/var/lib/ghost/content/themes/
• 博客内容：/var/lib/ghost/content/

配置修改

Ghost的官方容器镜像中有默认的配置文件，需要对其进行修改，主要是“url”和“mail”两个字段。配置修改方式为两种，一种是在容器中修改，然后重新打包为新的镜像；另一种为在本地创建文件，然后挂载到容器中，以替换容器中的文件。本文选用第二种方法。

本地创建配置文件：config.production.json和config.development.json

# touch config.production.json 

在config.production.json文件中添加如下内容，其中邮箱以163邮箱为例。也可直接下载config.production.json，并对相应的字段进行修改：

{
  "url": "yoururl",
  "server": {
    "port": 2368,
    "host": "0.0.0.0"
  },
  "database": {
    "client": "sqlite3",
    "connection": {
      "filename": "/var/lib/ghost/content/data/ghost.db"
    }
  },
  "mail": {
    "transport": "SMTP",
    "from": "youremail",
    "options": {
       "host": "smtp.163.com",
       "secureConnection": true,
       "port": 465,
       "auth": {
         "user": "youremail",
         "pass": "yourpassword"
       }
    }
  },
  "logging": {
    "transports": [
      "file",
      "stdout"
    ]
  },
  "process": "systemd",
  "paths": {
    "contentPath": "/var/lib/ghost/content"
  }
}

然后复制config.production.json文件：

# cp config.production.json config.development.json

在Ghost容器中，config.development.json为指向config.production.json的链接文件，理论上只需要修改config.production.json文件，但如果本地挂载该文件后，config.development.json文件的链接会发生错误，造成无法启动。

使用Gitalk作为评论组件

由于国内的多说已经关闭，国外Disqus访问不稳定，本文选用Gitalk作为评论组件。Gitalk是基于Github issue和Preact实现的开源评论组件。实现效果见本博客最下方，或Gitalk的Demo。

为了添加评论组件，首先下载Ghost博客的默认主题Casper：

# mkdir content/themes/
# cd content/themes/
# git clone https://github.com/TryGhost/Casper.git

添加评论组件需要创建Github Application，并修改casper/post.hbs文件，配置方法详见Gitalk项目主页教程。

修改后的post.hbs可参考文件post.hbs中的Gitalk comment component一段，并根据官方教程修改其中的字段。

使用Gitalk需要有github账号，并且在一篇文章发表之后，需要点开文章并初始化评论，其他人才可以使用。

解决Gitalk出现validation error错误问题

需要注意的是，在Gitalk的配置中，id 字段需要格外注意，官方推荐的写法为location.pathname ，确保每一个文章都有不同的id 值。该字段用于在github中创建当前文章对应的issue，作为label添加到issue中，如果该字段设置为固定值，则只能创建一个issue，即所有文章共享相同的评论，显然这样是不可接受的。

同时，还需要注意的是，github在2018年2月份对issue中label的字符长度进行限制，如果id 字段过长(超过50个字符)，则会创建issue失败，打开文章后会显示validation error，详见官方issue 。

为了解决该问题，可以在创建文章时修改URL，使其总长度小于50字符。或者采用官方issue中DOUBIGROUP给出的方法，将id字段设置为location.pathname的md5值，具体方法为，在casper/post.hbs添加：

<script src="https://cdn.bootcss.com/blueimp-md5/2.10.0/js/md5.min.js"></script>

并将id字段设置为：md5(location.pathname)。

中文摘要截取问题

当前Ghost博客对中文的支持较差，Casper主题在主页中使用post-card作为单个文章的展示，图片后的文字默认截取33个单词，但是不支持对中文字数的截取，通常会在图片后放大段的文字，展现效果不够美观。

本文参考Ghost 调教日志 - 解决中文摘要的截取问题对Ghost和Casper主题代码进行了修改。包括excerpt.js文件和post-card.hbs文件，修改后的文件见excerpt.js和post-card.hbs
。

其中excerpt.js文件为Ghost博客中的代码文件，通过本地文件挂载的形式对原文件进行覆盖，post-card.hbs为Casper博客中的文件，可直接替换掉本地文件casper/partials/post-card.hbs。

图片超出文档范围问题

默认情况下由于Ghost CSS样式文件问题，博客中引入的图片会超出文章的总宽度，本文参考Ghost 调教日志 - 解决图片超过文章宽度方法，在Ghost后台中插入代码解决。

在后台Settings/Code injection的Blog Header中加上如下内容：

<style type="text/css">
.post-full-content img {
    max-width: none !important;
    width: 100% !important;
}
</style>

文章第一段显示字体过大的问题

Casper主题中文章的第一段字体和正文相比较大，这样浏览起来不够美观，尤其是在手机端浏览时。参考上面的做法，使用代码注入的方式，覆盖原来的CSS文件中的代码片段。

在后台Settings/Code injection的Blog Header中的</style>前插入如下内容：

.post-template .kg-card-markdown > p:first-child {
    font-size: 1em !important;
    line-height: 1.5em;

运行Ghost镜像

切换到config.production.json文件所在的目录，执行docker run命令运行Ghost镜像，并挂载本地文件：

# docker run -d --name blog -p 2368:2368 \
   -v `pwd`/content/:/var/lib/ghost/content/ \
   -v `pwd`/content/themes/:/var/lib/ghost/content/themes/ \
   -v `pwd`/config.production.json:/var/lib/ghost/config.production.json \
   -v `pwd`/config.development.json:/var/lib/ghost/config.development.json \
   -v `pwd`/excerpt.js:/var/lib/ghost/current/core/server/helpers/excerpt.js \
   ghost:alpine

上述命令指定容器名为blog ，监听端口为默认的2368 ，并分别挂载了博客内容、主题、配置文件和更改的代码文件。

运行上述命令之后，即可通过http://yoururl:2368端口访问博客了。

如果使用阿里云服务器，还需要设置安全组策略，打开2368端口的访问。

3. 配置并运行Nginx服务器

常见的网站一般通过端口80来进行访问，实际上在上述命令中，可直接将端口映射改为-p 80:2368 。但是为了使服务器能够提供尽量多的Web服务，本文没有改变端口映射，而是使用Nginx进行反向代理，将访问二级域名blog.datarepo.cn 80端口的流量转发到Ghost服务端口。

本地创建Nginx配置文件default.conf ：

# mkdir conf.d
# cd conf.d
# touch default.conf

添加如下内容：

server {
    listen       80;
    server_name  yoururl;
   
    location / {
        proxy_pass  http://yoururl:2368;
        proxy_set_header           Host $host;
        proxy_set_header  X-Real-IP  $remote_addr;
        proxy_set_header           X-Forwarded-For $proxy_add_x_forwarded_for;
        client_max_body_size  100m;
    }
}

切换到包含conf.d的文件夹下，运行Nginx服务：

# docker run -d —name webserver -p 80:80 \
   -v `pwd`/conf.d/:/etc/nginx/conf.d/ \
   nginx:alpine

运行后，即可通过http://yoururl访问博客了。

4. 博客使用

博客的管理页面为http://yoururl/ghost。

登录后可创建用户、通过前文配置的邮箱邀请用户、撰写并发布文章、对博客进行定制等。

需要注意的是，当前Ghost博客的编辑器在iPhone和iPad中无法输入中文，只能在其他地方输入中文后，粘贴到编辑器中，在电脑端不受影响。该问题是Ghost使用的开源markdown编辑器CodeMirror中的bug，详见issue。遗憾的是，这个问题在2015年就发现了，到现在依然没有解决。

Enjoy the fun of writing.

记得婚后第一次过情人节，还是在河北老家，他说带我去大河堤上兜风，我给的回礼则是四张兑换券，可以凭券兑换相应的服务，嘻嘻…今天是白色情人节，百度上说这是情人节的延续，但是我觉得和他在一起的每一天都是情人节，因为每天都很幸福👻