原先为了节省资源，网站文件下载使用了蓝奏网盘。
之后写了几个脚本，网盘不太方便，觉得占用不了多少存储，直接在网站目录下创建了script目录存放脚本。
再之后github很多项目国内没法直接跑脚本，所以用得到的备份了一些脚本在script目录下。
最近备份博客发现，差不多有将近1G的文件了。

所以为了以后维护方便，我将文件全部整理了一遍，将使用二级域名down.baota.me提供服务。
不过文件存放目录有所改动，所以用户原先备份的脚本或者下载链接请到对应文章内重新获取。
如有失效链接，也请联系我修改更新。

由于杨小姐没时间整理和维护，所以他把源码开源了。
本项目是基于杨小姐的开源代码去授权的版本。
如有需要欢迎使用。
只简单测试了一下没发现问题，如有授权问题可以联系我继续修。

文档教程

全系文档：btHost 使用文档 · 看云
API文档：API接口文档

btHost-宝塔主机交流③群 512646927

项目地址

{cloud title="bthost开源去授权版" type="github" url="https://github.com/gacjie/bthost_open" password=""/}

本站下载

{cloud title="bthost_open_1.6.2_20210921" type="default" url="https://down.baota.me/project/bt_panel/service/bthost_open_1.6.2_20210921.zip" password=""/}

更新日志

20231108
更新首个版本

由于在一些开发测试时，域名没法解析，所以也不太方便申请正常的证书。
所以我写了这个工具，主要用于将自签CA证书更新到测试机的linux系统中。
同时也支持将系统CA证书库更新到最新版。
更新系统证书到最新也可以使用apt update && apt upgrade -y或yum makecache && yum update -y直接更新系统。

脚本命令

使用curl命令下载脚本

curl --insecure -sSL -o update_ca_cert.sh https://down.baota.me/system/linux/tools/update_ca_cert.sh && bash update_ca_cert.sh

使用wget命令下载脚本

wget --no-check-certificate -qO  update_ca_cert.sh https://down.baota.me/system/linux/tools/update_ca_cert.sh && bash update_ca_cert.sh

使用自签证书

1.固定文件路径
脚本默认会将/tmp/cacert.pem更新到系统中

2.指定文件
如您的文件路径为/root/cacert.pem 可以将文件路径添加到$1参数中 例子

bash update_ca_cert.sh /root/cacert.pem

更新日志

2024年07月06日
发布第一个版本

OpenSSH是一套用于安全网络通信的工具，提供了包括远程登录、远程执行命令、文件传输等功能

2024年7月1日，OpenSSH官方发布安全通告，披露CVE-2024-6387 OpenSSH Server远程代码执行漏洞。漏洞成因为条件竞争，因此若要成功利用该漏洞，需要经过多次尝试，并需要绕过相关系统保护措施（如ASLR），难度较高。

二、影响版本

8.5p1 <= OpenSSH < 9.8p1

对应发行版Debian 12、RHEL/AlmaLinux/RockyLinux/CentOS Stream 9、Ubuntu 22.04/23.10/24.04

对于dnf包管理器，可使用rpm -q openssh命令查看当前版本。
对于apt包管理器，可使用dpkg -l | grep openssh命令查看当前版本。

三、修复方案

大部分系统官方已发布软件包更新，运行apt update && apt upgrade -y或dnf makecache && dnf update -y升级openssh相关软件包到最新版本即可。

附部分发行版的修复版本号可供参考：
Ubuntu 22.04：8.9p1-3ubuntu0.10
Ubuntu 23.10：9.3p1-1ubuntu3.6
Ubuntu 24.04：9.6p1-3ubuntu13.3
Debian 12：9.2p1-2+deb12u3
AlmaLinux 9：8.7p1-38.el9.alma.2
RockyLinux9：8.7p1-38.el9_4.security.0.5

四、无法更新或更新后不是修复版本

若无法升级OpenSSH版本，可使用以下缓解措施：
在/etc/ssh/sshd_config中将LoginGraceTime设置为0。这会使sshd容易受到拒绝服务攻击（耗尽所有MaxStartups连接），但它可以避免此漏洞。

升级后还是没达到安全版本的
是因为软件源没有security（安全）源，需要手动更新源配置文件。

本周五 Red Hat 警告用户在最新版本的 xz-utils 数据压缩工具和库中发现了一个后门。程序在 5.6.0 和 5.6.1 版本中引入了恶意代码。这些恶意代码旨在允许未经授权的访问，而且这些受影响的版本已经被多个 Linux 发行版合并，但 RHEL 不受此影响。Red Hat 目前正在跟踪此供应链安全问题，编号为 CVE-2024-3094 (https://nvd.nist.gov/vuln/detail/CVE-2024-3094) ，严重性评分为 10/10 。

xz 是被 Linux 发行版广泛使用的压缩格式之一， xz-utils (LZMA-utils)是一个开源项目，2022 年起有个名为 Jia Tan 的账号开始向该项目贡献代码，然后逐步接手该项目成为项目的主要贡献者，也是该项目当前唯一的活跃贡献者。恶意代码经过混淆，只能在完整的下载包中找到，而无法在 Git 发行版中找到，因为缺少触发后门构建过程的 M4 宏。该恶意代码会修改系统中的 OpenSSH ，使攻击者可以使用精心构造的数据跳过 RSA 密钥检验，在未授权情况下授予攻击者不受限制的访问权限。

目前看这个后门仅影响部分 Debian/Ubuntu/Fedora/openSUSE 的预发布版本，且均已发布回退更新。

用 ArchLinux / macOS / 追新系统版本 的可能需要关注下

有一个 Linux 系统级别的漏洞已公布，该漏洞可让攻击者无需通过 SSH 验证即可登录服务器执行任意代码

Debian/Ubuntu 的检查命令:
apt list --installed 2>&1 | grep xz | grep -E '5.6.0|5.6.1' && echo "Check your system now" || echo "Everything is ok"

macOS 的检查命令:
brew info xz | grep xz | grep -E '5.6.0|5.6.1' && echo 'Check your system now' || echo 'Everything is ok'

• 显示 Everything is ok 即不受影响

如何修复:
降级 xz-utils 即可

macOS 修复:
brew install xz

相关链接:
https://avd.aliyun.com/detail?id=AVD-2024-3094 (中文)
https://nvd.nist.gov/vuln/detail/CVE-2024-3094
https://www.helpnetsecurity.com/2024/03/29/cve-2024-3094-linux-backdoor/

本文章转载自https://hostloc.com/thread-1289983-1-1.html

{alert type="info"}
为了方便部署，因此将原项目github.com/ddgth/cf2dns做成了宝塔插件。
功能上主要用于将CloudFlare CloudFront Gcore优选IP地址解析到您的域名记录中。
自cf2dns 1.5 240502版本起，支持三种部署方式，不再局限于宝塔插件。
宝塔安装cf2dns插件
python3部署运行cf2dns_global
GitHub Actions 运行cf2dns_actions
{/alert}

准备事项

{alert type="info"}
使用本教程前请先查看文章 CloudFlare SAAS(cname) 接入网站域名 使用SAAS功能接入后再查看本教程操作。
{/alert}
{callout color="#ff0000"}
域名
{/callout}
{card-describe title="描述"}
请将您的域名ns服务商修改更换为，腾讯云、阿里云、华为云国内版。
可以使用非网站域名使用cname方式，提供服务。
{/card-describe}
{callout color="#ff0000"}
宝塔Linux面板
{/callout}
{card-describe title="描述"}
需要一台安装了宝塔Linux面板的服务器用来安装插件。
{/card-describe}

项目地址

https://github.com/gacjie/cf2dns/

下载插件

https://github.com/gacjie/cf2dns/releases/latest

注意事项

{alert type="info"}
插件安装时请关闭宝塔系统加固插件，会终止安装脚本的执行。
插件只会更新电信、移动、联通三网线路的IP，因此还需要将回退源设置到默认线路上。
使用插件前请确保您的网站域名使用cname或saas方式接入，并且域名解析在dnspod、华为云、阿里云。
{/alert}

价格计费

插件免费提供授权码o1zrmHAF，可永久免费使用。
GacJieMonitor
HostMonit小店

安装插件

配置DNS接口信息

{card-describe title="描述"}
IPV6&IPV4：同时开启IPV6&IPV4支持将会请求2次接口消耗双倍积分。
腾讯云密钥获取 https://console.cloud.tencent.com/cam/capi
阿里云密钥获取 https://help.aliyun.com/document_detail/53045.html?spm=a2c4g.11186623.2.11.2c6a2fbdh13O53 注意需要添加DNS控制权限 AliyunDNSFullAccess
华为云后台获取 https://support.huaweicloud.com/devg-apisign/api-sign-provide-aksk.html
解析数量：这个是每个线路解析的IP，更移动联通电信三条线路。DNSPOD免费版只支持单线路2个IP，华为阿里可以设置5个
{/card-describe}

国际版配置

{card-describe title="描述"}
由于我没有国际版账户，因此没法开发测试，已知阿里云华为云可以把地域改为账号所在地域即可使用国际版账号。
华为云可用地区区域代码
https://developer.huaweicloud.com/endpoint?DNS
阿里云可用地区区域代码
https://help.aliyun.com/document_detail/2355662.html?spm=a2c4g.2355663.0.0.6a5e1e84twtIER
{/card-describe}

网站域名

{card-describe title="描述"}
默认的域名为示例域名，请自行删除。
域名必须提前添加接入到您使用的NS解析服务商。
{/card-describe}

配置IP数据服务商

{card-describe title="描述"}
CDN服务商：GacJieMonitor数据接口支持CloudFlare、CloudFront、Gcore。HostMonit只支持CloudFlare。
数据服务商：GacJieMonitor(monitor.gacjie.cn)，HostMonit(hostmonit.com)。
KEY：KEY字段为数据接口的授权KEY，默认o1zrmHAF为免费KEY可永久免费使用。
GacJieMonitor付费KEY购买请加Q群699927761联系群主，以获得独享优选IP。
积分：保存时自动从接口获取积分余额数据。
{/card-describe}

设置计划任务

{card-describe title="描述"}
插件不会自动配置计划任务
请配置好插件设置以及需要更新的域名后自行手动添加到宝塔计划任务中
脚本命令：btpython /www/server/panel/plugin/cf2dns/cf2dns.py
请设置15分钟以上的执行频率
配置好计划任务后，请执行一次查看日志是否运行正常。
{/card-describe}

由于CloudFlare官方IP是泛播路由，意味着同一个IP在不同地区不同运营商所链接的机房是不同的。
因此公共优选域名并不适合非网站用途，如果需要建议使用CloudflareSpeedTest项目自行测试本地最优的IP地址。

准备事项

使用本教程前请先查看文章 CloudFlare SAAS(cname) 接入网站域名 使用SAAS功能接入后再查看本教程操作。

挑选域名

由于CNAME地址会有被污染、域名所有者不维护等情况，为了方便更新，该列表会单独一个页面展示。本文章将使用cloudflare.182682.xyz域名来做示例优选域名。
1.CloudFlare公共优选Cname域名列表
CloudFlare公共优选Cname域名地址
2.炸了吗HTTP网站测速工具
炸了吗HTTP网站测速工具
3.使用工具测试优选域名在您网站的速度

4.建议说明
1.挑选时不要只看小地图，应该根据平均访问速度，最大访问速度，失败节点数等综合判断。
2.因为有些非官方的优选IP不支持80或者443端口。
因此测试时建议对http、https链接单独测试。
3.如果您的网站并发过低建议使用慢速监测。
快速测试：模拟用户同时访问指定网站
慢速监测：模拟用户依次访问指定网站

解析域名

通过SAAS验证后，可直接替换回退源为优选域名，但出于风险考虑我比较建议分线路解析。
1.国外线路解析到回退源域名是为了避免CF增加监测系统，自动删除已添加的网站域名。
2.优选域名一般都会只优选国内线路，因此国外线路大概率没有进行优选。
3.默认回退源域名一般情况下，国外访问最近策略，会比自定义IP效果要好。
【可选】将优选域名解析到国内线路上

补充截图用于校验设置

【可选】将搜索引擎线路设置为源站或者其他IP
在loc有用户反馈，公共cname可能会将搜索引擎蜘蛛线路解析到其他服务器来劫持蜘蛛。
因此我们可以自定义搜索引擎线路来避免这种情况的发生，需要说明不是所有DNS支持设置搜索引擎线路。

资源缓存功能是CDN核心功能，也是加速的关键。
网上经常说CDN可以网站加速、节约带宽等优点，大部分都是建立在缓存上面。
但由于每个网站的情况不同，并不是所有网站都适合缓存，因此缓存规则仅供参考，还需要自行修改编写属于自己网站的缓存规则。

功能详解

我们在不使用CDN时，网络链路应该是这样的。
用户浏览器 --链接-- 源站服务器 --返回-- 用户浏览器
使用CDN不缓存时的网络链路
用户浏览器 --链接-- CDN边缘节点 --链接-- 源站服务器 --返回-- CDN边缘节点 --返回-- 用户浏览器
所以CDN不缓存时，网站是否加速取决于您的源站线路有多差劲。
使用CDN缓存时的网络链路
第一次访问：用户浏览器 --链接-- CDN边缘节点 --链接-- 源站服务器 --返回-- CDN边缘节点（此时会缓存资源到节点） --返回-- 用户浏览器
第二次访问：用户浏览器 --链接-- CDN边缘节点（输出缓存） --返回-- 用户浏览器
可以看到缓存后因为不必回源，因此用户请求CDN节点后，直接返回了网页，这样减少了回源的这段时间。

默认缓存

CloudFlare默认会缓存2小时以下资源，因此这些资源并不需要手动配置缓存。
.7z .csv .GIF .MIDI .PNG .TIF .ZIP
.AVI .DOC .GZ .MKV .PPT .TIFF .ZST
.AVIF .DOCX .ICO .MP3 .PPTX .TTF
.APK .DMG .ISO .MP4 .PS .WEBM
.BIN .EJS .JAR .OGG .RAR .WEBP
.BMP .EOT .JPG .OTF .SVG .WOFF
.BZ2 .EPS .JPEG .PDF .SVGZ .WOFF2
.CLASS .EXE .JS .PICT .SWF .XLS
.CSS .FLAC .MID .PLS .TAR.XLSX

缓存首页以及html页面

指定域名全站缓存(适合下载站图片站)

设置缓存时间

建议：
浏览器TTL不要设置太长时间，否则网站更新后浏览器缓存更新不及时会带来很多问题。
边缘TTL可随意设置，如果设置的时间比较长，别忘记到cf控制台清理缓存。

检查资源是否命中缓存

可以访问指定页面-右键-审核元素，打开调试控制台。HIT状态为缓存命中，如果是其他的可自行翻译。

{alert type="info"}
CloudFlare SAAS，简单来说是为了给自助建站类似的网站，而提供的用户自定义域名接入的功能。
比如您做一个系统，可以给用户开通分站等功能，您希望通过api的方式将您的用户自己的域名解析到CloudFlare当中，而不是直接解析到源站。
考虑到本文章是为了让大家使用自选IP,因此在思路上将不会以上述分站的逻辑来解释说明。
{/alert}

准备事项

{callout color="#ff0000"}
CloudFlare账户
{/callout}

{card-describe title="描述"}
注册不难就不说了。不过需要贝宝以及海外银行卡认证来开通CloudFlare SAAS（自定义主机名）功能。
{/card-describe}

{callout color="#ff0000"}
网站域名
{/callout}
{card-describe title="描述"}
用于建站并使用自选IP的域名，并且该域名的DNS解析服务器不能使用CloudFlare，因为严格来讲CloudFlare是支持DNS解析的CDN服务，您使用该DNS解析会造成CDN配置冲突。
请注意如果你使用www或者@主机名做站，您应该理解为这是两个网站域名，如www.youname.com、youname.com。
文章示例中会使用web.baota.me，域名在华为云解析。
{/card-describe}

{callout color="#ff0000"}
回源域名
{/callout}
{card-describe title="描述"}
该域名NS将被CloudFlare接管，因此无法用于自选IP等用途。
如果您要接入的网站域名较多，请尽可能的选择长久使用的域名，而不是年抛域名。
不然年抛域名到期后需要耗费很多时间用来迁移域名。
可以使用 6位数字.xyz，价格便宜可以续费10年。
需要注意不是所有二级域名都支持ns接入到CloudFlare的。可以在下面文章中查看并获取其他后缀的域名。
CloudFlare可NS方式接入的免费、低价域名
本文章将使用在dash.gacjie.cn注册的baota.free.hr域名。（目前该项目已经停止注册free.hr域名，请勿注册账号。）
{/card-describe}

回源域名NS接入到CloudFlare

{message type="info" content="如果您的回源域名已经NS添加到CloudFlare，此步可以跳过。"/}

{callout color="#ff0000"}
1.将回源域名(baota.free.hr)添加到CloudFlare,应该不难就不一步一步的写了。
{/callout}
{callout color="#ff0000"}
2.复制ns服务器信息
{/callout}

{callout color="#ff0000"}
3.1.将CF提供的ns服务器信息更新到域名那边
{/callout}

{callout color="#ff0000"}
3.2.如果你没有域名也可以直接注册
{/callout}
{card-describe title="描述"}
该域名NS将被CloudFlare接管，因此无法用于自选IP等用途。
CloudFlare可NS方式接入的免费、低价域名
{/card-describe}

网站域名的顶级域名解析到非CF的DNS域名解析系统

{alert type="info"}
这里就不详细说明了，更换ns服务器跟回源域名NS接入到CloudFlare差不多。
{/alert}

回源域名创建回退源地址

{card-describe title="描述"}
source可以是@也可以是任意的子域名前缀，但我比较建议使用子域名创建。
111.111.111.111是你的网站源服务器，您可以改为您的源站IP地址。
代理状态(小云朵),请务必开启，如果关闭您后续添加在自定义主机名里面的网站域名将全部回源。
{/card-describe}

自定义主机名添加回退源地址

{card-describe title="描述"}
source.baota.free.hr是上一步创建的回退源地址，请改为您创建的域名。
{/card-describe}

自定义主机名添加网站域名

{callout color="#ff0000"}
1.确保回退源已经生效，然后点击右上角的添加自定义主机名。
{/callout}

{callout color="#ff0000"}
2.填写您的网站域名，这里的web.baota.me是示例域名，您可能要添加www.youname.com、youname.com或者其他的二级域名。
{/callout}

{callout color="#ff0000"}
3.复制自定义主机名的 DCV 委派提供的信息用来下一步的域名验证。
{/callout}

{callout color="#ff0000"}
4.到您的网站域名NS解析服务商，添加DCV 委派验证记录。
{/callout}

{card-describe title="描述"}
演示截图配置的网站为web.baota.me。
主机名为_acme-challenge.web值为web.baota.me.9cf4d41f99889e0c.dcv.cloudflare.com
如果配置的网站为baota.me。
主机名为_acme-challenge值为baota.me.9cf4d41f99889e0c.dcv.cloudflare.com
如果配置的网站为www.baota.me。
主机名为_acme-challenge.www值为www.baota.me.9cf4d41f99889e0c.dcv.cloudflare.com
上述仅用于演示，请自行替换为自己的dcv信息。
{/card-describe}
{callout color="#ff0000"}
5.添加网站域名的解析记录指向回退源
{/callout}

{callout color="#ff0000"}
6.使用ITDOG访问一次网站域名
{/callout}

{card-describe title="描述"}
主机名一共有两种验证方式
预验证：即txt或者http验证方式，但需要等待一段时间的Cloudflare官方扫描。
实时验证：即将主机名正确的cname到回退源地址。
本教程使用实时验证方式。为了加快验证，因此用测速工具来完成正常解析请求。
{/card-describe}
{callout color="#ff0000"}
7.正常情况下，刷新一下CloudFlare自定义主机名页面，应该已经完成验证了，如果没有可能要等待一段时间，或者需要检查上述配置是否出错。
{/callout}

{callout color="#ff0000"}
8.补一张图用于解析配置检查
{/callout}

{card-describe title="描述"}
解析配置检查图片里面主机名带baota.me是华为云解析系统自动添加的，使用其他解析的时候需要注意。
{/card-describe}

本文章提供的域名收集网络分享过的域名。
因为公共cname可能会被污染，正常的网站域名不会收集。
由于CloudFlare官方IP是泛播路由，不同线路乃至地区访问，所连接的机房会不同。
因此非正经网站用途的朋友，自行使用CloudflareSpeedTest项目优选本地最快的IP。
部分第三方IP的优选域名，因为443或者80不通，不适合做站因此并未收录。

选择建议

CloudFlare每隔一段时间会调整变更路由线路。
因此请尽可能的选择更新频率高的cname域名。

风险说明

在loc有用户反馈，公共cname可能会将搜索引擎蜘蛛线路解析到其他服务器来劫持蜘蛛。
1.如果您的DNS支持，建议将搜索引擎线路，修改为您的网站源站或者其他IP地址。
2.使用宝塔cf2dns插件更新CloudFlare优选IP，只会更新移动联通电信三网线路。
在nodeseek有用户反馈，非CF官方反代IP有篡改增加违法违规网页的情况，会因为违规导致域名被禁用。
请做网站的用户，不要选择使用任何第三方反代IP，除非您自建的反代IP。

关于ktff大佬的cname争议说明

freeyx.cloudflare88.eu.org、yx.887141.xyz是我收集于hostloc、nodeseek两个论坛的cname。
经过评论中部分用户的回复得知，这俩cname应该是抄袭的，因为原作者的维权谴责，目前这俩canme应该是要删除解析。
经过狗哥搜索发现，目前speed.marisalnc.com这个cname应该是ktff原作者提供的地址。

域名列表 【优选cname域名使用教程】