最近在編寫 ESP32 程式，嘗試把 ESP32 連接上 iPhone 的 hotspot，一直無法成功，但是連接到辦公室的 router 卻沒有問題，困擾了半天後，原來是因爲 iPhone 的 hotspot 預設只接受 5GHz 的訊號，而 ESP32 的 wifi 硬件只支援 2.4GHz 訊號。只要在 iPhone 的 Settings 撥弄一個設定，兩者便成功連接了。

距離上次更新 HKPUG 相隔了四年，一段不短的日子啊！這段時間小弟從未放下對 IT 的熱誠，和對 IT 發展的關注，只是個人的時間有限，優先次序的問題令我難以抽時間寫 IT 文章。不過寫這些文章的其中一個目的，是給自己一個整理思緒的機會，一個總結思考和實驗的記錄，這些東西一旦不及時記下，很快便會遺忘，所以終於下定決心，從新執筆。

HKPUG 完成了從 WordPress 轉換到 Hugo 的工程，你們現在見到的 HKPUG 頁面都是由 Hugo 建立的靜態網頁。所有舊文章都已搬遷到新系統，不過訪客的留言則無法搬過來，對於曾經留言的朋友，只能說聲抱歉。

我使用 WordPress 作為 HKPUG 和其他網誌背後的系統，已經很多年，作為一個用家，對 WordPress 的簡單易非常欣賞，但是作為系統管理員，也是有多年經驗的開發人員，永遠對效能、簡單、反應速度有本能的執着，所以，我現在正把 HKPUG 和其他網誌，轉到 Hugo。

無數網上服務都依靠密碼來驗證用戶的身份，為了鼓勵用戶使用複雜的密碼，幾乎所有網站都有某些密碼政策，例如要求密碼最少 6 個字符，必須包含大小寫英文字母和標點符號等等。這些所謂密碼政策，絕大部份都是由自以為是安全專家的人構想，或者是懶惰的管理員從人家處抄過來使用。其實，真正有用的密碼政策只有一個，就是密碼的最短長度，其餘的通通是廢話。

最近有朋友使用 IBANSPORT 網站報名跑步比賽，事後向我猛吐苦水，說過程中一步一碰壁，幾乎每一步都撞到系統錯誤，雖然有錯誤訊息，但卻毫無幫助，令人不知何去何從。

IBANSPORT 是香港一間計時晶片公司，與很多體育團體合辦跑步比賽，很多賽事都必須在他們的網站報名，網站已經運作多年，我好奇之下造訪一下，結果令我大吃一驚。 簡單的說，為了保護大家的個人隱私，儘快把自己的資料刪除，不要再使用這個網站。

Diffie-Hellman 密鑰交換算法，簡稱 DH 算法，是整個互聯網安全性最重要的基石，無數通訊協定，包括 VPN、SSH、HTTPS 等等依賴它建立加密通道，DH 算法需要一些質數作為運算基礎，有研究人員發現，部份使用特定程序產生的 1024 bit 質數具有數學上的弱點，使用這些質數建立的加密通訊，比使用真正隨機產生的質數建立的加密通訊，容易破解一萬倍。

我們在第一篇文章討論了一些在 CentOS 7 中配置 SSH 的方法，那些都是比較容易實作、容易理解，對用戶體驗的影響也比較少。這一篇將會介紹比較複雜的配置，需要管理員按照具體情況做出適當決定，甚至有部分建議在安全性和用戶體驗方面較具爭議性。

SSH 通常是我們進入新伺服器的第一個應用程式，它也取代了 telnet 和 rsh 成為管理伺服器的最主要介面。儘管 SSH 預設使用加密通訊，登入的密碼和通訊內容都不容易被偷窺，預設的設定大致上安全，可惜由於需要兼顧舊用戶和舊系統，一些過時和不安全的選項仍然被開啟着，在國家級黑客橫行無忌的年代，系統中任何一顆鬆掉的螺絲都會致命，所以我們將會討論如何加強 SSH 的安全性。這一篇只討論基本的安全配置，比較容易理解，過程也比較簡單，對用戶的負面影響也比較少，較進階和較具爭議性的安全配置將會留待下一篇討論。

我在一篇關於 CentOS 7 安全設定的文章討論到安裝防火牆 firewalld，這是 CentOS 7 新引入的防火牆系統，代替沿用多年的 iptables，不過 firewalld 只能在 CentOS 7 的新內核使用，但是，如果你的 CentOS 7 不是運行最新的內核，便不能使用 firewalld，應該怎麼辦？