已经不想总结这一年了，看看这一年我都折腾了哪些玩意吧

设备

阿里云轻量服务器

成都-200MB / 45元/月 / 2H2G 长期持有，按月续费部署网络相关应用和高SLA需求应用

小主机

大多数服务都部署在这台服务器上，不属于任何云厂商，放在我的电脑桌旁边

网络

Tailscale / Derp

使用 Tailscale 组网实现公网服务器访问家里的服务器，并通过在公网服务器设置反向代理，实现一部分公网访问（除非公网访问是必须的，否则优先只允许使用内网访问）。

我的derp节点部署在阿里云服务器上，使用tailscale官方的控制面。有迁移的想法但是由于网络属于基础设置，迁移涉及到非常多IP变动，所以一直懒得动，至少目前运行良好（指的是暂时没有连不上 login.tailscale.com 的情况）

工具

vaultwarden

最重要的程序，保存了我所有的密码、SSL密钥、两步验证器，需要保证最高级别的SLA。vaultwarden挂了我将无法登录几乎所有的网站。自从部署vaultwarden开始，我几乎为所有网站都使用了网站支持的最高位数的随机字符密码，并且尽可能使用两步验证、passkey、无密码账户。

vaultwarden运行在我的阿里云服务器上，vaultwarden保存了小主机PVE的登录密码，所以vaultwarden不可能运行在家中服务器上。

为了保证数据不丢失，我使用 docker-volume-backup 对vaultwarden的数据每日备份，并上传到腾讯云对象存储中。

RSS

• miniflux：RSS阅读器
• RSSHub：从不支持RSS的网站抓取RSS订阅
• nextflux：miniflux的UI界面

RSS是我获取信息最主要的方式，我的订阅包含了个人博客、HackerNews、大厂技术团队博客、几个主要的论坛、一些国内外新闻媒体、其他有趣的内容（每日图片等等）。

我将RSSHub部署在家里的服务器上，从家中服务器访问互联网会自动根据IP进行TProxy，IP质量和网络连接都有保证。

Certd

一个SSL证书更新工具，用于给Derp服务和Nginx服务器自动替换SSL证书，自动从 Let's Encrypt 获取证书并部署，配合简单的shell命令重启，目前运行良好。

Gitea

用于存储我的各种程序、Docker配置文件、笔记、Fork开源项目、以及一些不想发布到GitHub的代码

监控

Grafana

我部署了 Grafana、Prometheus、Loki 用于服务器监控、日志收集、网络监控等等功能。

监控我的所有服务器

监控NAS机械硬盘温度 我曾经写过一篇文章介绍我是如何监控机械硬盘温度的

总结

• 路由器/交换机：466 + 209 + 549 + 259 = 1500
• 显示器：3000
• 声卡：800
• NAS：主板CPU内存3000（去年买的不算），机箱 + 电源 = 1600
• 硬盘：SSD + HDD = 4500
• 服务器：5000
• 游戏：800

合计约：17200

路由器/交换机

精致小巧，拿到之后特别小。普通路由器只是开放了比较多的配置选项，但是我只用到了DHCP Option，其他的也没用到，千兆网络性能完全足够。 第一次用Mikrotik路由器，系统配置复杂还算能接受，用了两个月实在是搞不定旁路由所以还是咸鱼出了。

用来和Mikrotik配合做旁路由，信了网上的鬼话，以后再也不信了。

购入的第三款路由器，算是想明白了我想要的是什么，就是简单主路由。多网口的主路由太贵了，而且多一个网口也没啥用（一条宽带）。于是购买了这款双2.5G的路由器，性能只用来跑路由非常足够了，TUN下跑满500兆宽带 CPU占用30%，非常够用。

平平无奇的2.5G交换机，主要是便宜。缺点是交换机灯闪的不够快，看着不够高端，用着没发现问题，交换机存在感很低。两个光口买来从来没用上。

游戏

再也不买首发游戏了，为了第一天能玩到，多花了至少250块钱，实际上发售一个月之后价格就正常了，那时候买合适多了。再也不买首发游戏了。

存储

给电脑装了双系统，这块硬盘只用来安装Arch系统，性能一般，价格合适。优势是京东物流第二天就到了。

路由器的硬盘，主要是便宜+京东物流，128GB给路由器完全是浪费，半年下来最多用了5G。后面不给路由器装Docker 了，在8GB内存的路由器中，硬盘使用率几乎只有开关机了。

两块监控盘拿来组Raid1存放重要数据，重要的数据都不大，大的数据都不重要。 买NAS之前做好了功课，知道数据分类存储才能最大化利用存储空间，所以没有随大流上来就组Raid5。

7200转的空气盘绝对是最垃圾的，温度又高又吵，为了给这空气盘降温风扇转速都拉高了，5000转的空气盘还能买，7200转的空气盘我再也不买了。

当时觉得16TB挺贵的，现在年底硬盘涨价了还得谢谢自己买的早，现在看这价格也合适。 7200转就该买氦气盘，虽说声音也大但是至少温度低呀，温度低风扇转速可以调低点。 和上面的8T一起存电影用，加入了一个存储池没组Raid，数据随时可丢，丢了完全不心疼数据，只会心疼我的硬盘。

NAS

现在来看有更好的选择。空间太极限了，不是很好装，价格略贵，散热噪音一般。

买的第一个NAS电源，用了三个月风扇噪音太大了，疑似故障，联系厂家维修结果换了新的回来，新的都没拆封直接咸鱼出了，维修期间买了新电源。

价格贵，但是是模组电源，虽然每条线都用上了，是不是模组好像没啥用。 不过用的这几个月里一直都很安静，功率未知，只要安静就好。

声卡

为了搭配去年买的漫步者N300音响和PS5和新显示器，主要是为了聚合电脑音频和PS5音频。

一个声卡，音质没听出来差别，主要是为了方便切换电脑音频（USB输入）和PS5音频（音频分离器-光纤输入）。

显示器

质感好，很好用（我基本不调节），物有所值

为了用上HDR1000买了这款显示器，中途有一次维修，厂家最后换货了。故障是屏幕50%的区域疑似故障，一直闪烁，不能正常使用。 HDR效果还行，至少比原来的HDR400好太多了，Windows系统可以常开HDR显示，不会出现发白的情况。质感很好，有种苹果的感觉。

服务器

图片是在NodeSeek上交易服务器的金额，具体买服务器花了多少钱不好统计了，估计5000+？ 有了路由器开始买各种服务器，家里是电信宽带。 起初我也是抱着省钱的想法买服务器的，后面发现为了省钱买了一堆垃圾，各种不稳定不能用。后来想明白了，要么不买 要买就买最好的，后面只买DMIT/BWH，其他厂家统统不买。

最近尝试使用Claude Code进行了约20个小时的vibe code。最终获得了两个半成品的项目，一个是DNS服务器，一个是浏览器起始页。总共花费了约600000的Tokens，约500刀的额度。

我用AI实现了一个自动分类的DNS服务器，有关这个项目的详细功能可以查看这篇文章。 使用Go语言编写，GoLand实时观测实现进度，ArchLinux作为开发环境，总共花费时间大约在12小时，这12个小时中，大部分时间都在等待AI回复，实际用在测试和需求设计上的时间大约在2-3小时，我没有让AI进行测试，所有的测试都是我自己完成。实际完成度约90%（如果不算后续新想法额外增加的功能）。

另一个项目是浏览器起始页，实现了一个简单的网页，主要用来管理书签，增加了工作区功能，实现重点在界面样式，需要向AI准确说出想要的界面交互逻辑，并不容易，这部分大约花费了6-8小时，其余时间用在调试Forgejo工作流中，也就是项目部署阶段。实际完成度约80%。 这两个项目使用的都是我不熟悉的语言，后端比较熟悉使用Java语言和Spring框架，前端熟悉Vue，使用自己不熟悉的语言原因是，这些语言我看腻了也比较熟悉了，我怕忍不住自己上手写代码了。

DNS服务器项目

开发流程

在DNS服务器的项目中，按照以下步骤开发

1. 有一个想法，最初的DNS服务器设想，直接写服务最终运行需要使用的配置文件 config.yml
2. 根据配置文件写 README.md 解释配置文件中每个配置项的作用，后续README将作为项目的设计文档使用
3. 找AI优化README文档，结合自己的新想法和未考虑到的内容，更新设计文档、配置文件
4. 告诉ClaudeCode，根据设计文档实现整个项目
5. 手动Build并启动项目，让AI解决Build时期的错误，程序运行起来了
6. 开始进行测试、修改、测试、修改，直到完成

问题

问题一：没有告诉AI验证代码是否可用的逻辑，AI写了一部分代码之后直接就停止了，然而此时的代码中还存在着编译错误，于是我告诉AI每次完成之后都需要执行 build 但不要执行测试，后面才知道，由于这句话没有写入到 CLAUDE.md 导致AI老是忘记这计划，自己开始测试，然后测试中一直启动着程序导致端口被占用排查了好一会。

问题二：AI在偷懒，代码中留了好几个简化实现，测试期间发现少逻辑又得去找AI补充这部分逻辑，此时我已经发现两个简化实现了，我告诉AI不能简化实现，必须立即实现设计的功能，然而AI并没有全部实现，导致后面还在补充本来早应该实现的功能。

问题三：开发规范问题，在前期开发设计时明确指出了，需要统一日志的输出，然而实际情况是，一部分日志是fmt输出的，一部分是logger输出的，在后期我不得不用好几次的对话让AI将所有的fmt输出改为统一的logger输出

书签管理项目

有了上一次的经验，不敢让AI一次性实现整个项目了。AI生成的UI太相似了，以至于现在打眼一看就知道一个前端UI界面是不是AI写的，为了保持样式统一，这次明确说明了使用UI库。

开发流程

1. 有一个想法，写了大于500字的核心功能描述，并确认需要使用的开发语言和框架Nextjs+Postgres
2. 找AI先根据核心功能生成详细设计文档，并不断确认和优化文档，最终生成了约1000行的README作为设计文档，里面几乎将所有需要的功能都写到了。之后我在文档最后面补充了数据库连接信息，以及最重要的原则

### 代码规范  

- 只写必要的注释，注释需要精简，使用中文  
- 每次完成一步之后，都需要保证运行、编译成功、并提交代码
- 需要保证设计文档README.md和代码保持一致，需要同步更新

3. 创建文件夹，写入README.md文件，使用 /init 让Claude初始化项目
4. 让Claude补充详细设计文档，在文档最后添加详细的实现步骤，共分为几个阶段实现，每个阶段需要实现什么内容，并补充重要原则

## 17. AI 编码 Checklist  
  
> ⚠️ **重要规则：每完成一项任务后，必须：**  
> 1. 运行 `npm run build` 确保编译通过  
> 2. 立即 `git commit` 提交代码  
> 3. 提交信息格式：`feat: 完成 xxx` 或 `fix: 修复 xxx`  
>  
> 这确保代码库始终可运行，后续 AI 接手时有清晰起点。

5. 告诉根据README设计文档，实现阶段一的步骤123，并最终完成所有功能

问题

问题一：AI不使用UI库提供的组件，反而一直在使用alert这种来给页面弹提示消息，我是用shadcn UI，UI库里包含了消息提示的组件。

问题二：简化理解我的需求，每次需要修改的时候，我都会使用序号分点详细描述我想要实现的效果，大约300-500字左右，然而AI接受到之后，我一行100字左右的功能需求描述没压缩到了10个字左右，导致此次对话实现的功能和需求不符，导致了反复修改。

总结

我感觉可能会有用的一些建议

• 事实证明一次性生成整个项目是不现实的，一定需要给AI指定外部计划，让AI按照计划分布完成，每次只完成一部分功能
• 重要原则一定要预先定义，并且写入prompt，每次对话都需要牢记
• 让AI每一步执行完成都需要验证代码，提交代码
• 不要试图一次性提出多个改进，每次只提出一部分
• 前端使用UI库，避免最后样式不可控

电脑配置

提升系统流畅度

Nvidia显卡会自动进入低功耗模式，导致浏览器上下滚动时有较大延迟，并且系统动画也不流畅，锁定显卡频率即可

我的显卡是RTX4060TI，为了使显卡保持在Performance Level 2,至少需要设置Graphics Clock为405以上，设置Memory Transform Rate到10002以上

这里的600,3015是最小值和最大值

sudo nvidia-smi -lgc 600,3105
sudo nvidia-smi -lmc 2000,10002

或者使用以下命令，设置强制最大性能模式

sudo nvidia-settings -a "[gpu:0]/GPUPowerMizerMode=1"

以上设置在重启后会失效，配置自启动

sudo vim /etc/systemd/system/nvidia-gpu-oc.service

[Unit]
Description=Set NVIDIA Clock Limits
After=multi-user.target

[Service]
Type=oneshot
ExecStart=/usr/bin/nvidia-smi -lgc 1200,3105
ExecStart=/usr/bin/nvidia-smi -lmc 2000,10002
RemainAfterExit=yes

[Install]
WantedBy=multi-user.target

sudo systemctl daemon-reload
sudo systemctl restart nvidia-gpu-oc.service
sudo systemctl status nvidia-gpu-oc.service

或者设置最大功耗（二选一即可）

sudo vim ~/.config/autostart-scripts/nvidia-powermizer.sh

#!/bin/bash
nvidia-settings -a "[gpu:0]/GPUPowerMizerMode=1"

chmod +x ~/.config/autostart-scripts/nvidia-powermizer.sh

按键映射/输入法切换

习惯了Mac输入法切换模式，Capslock切换输入法 同时会将Ctrl+V改为Shift+Insert 这里暂时使用 Input Remappere 来解决，等我后面找到更好的 再来更新吧

输入法问题

https://www.bilibili.com/opus/931225106804375591

设置下面的环境变量

sudo vim /etc/environment

写入下面这四行

XMODIFIERS=@im=fcitx  
GTK_IM_MODULE=fcitx  
SDL_IM_MODULE=fcitx  
QT_IM_MODULE=fcitx

设置中选择虚拟键盘 选择启动器的这个选项

键盘映射

使用keyd，实现以下目标

• CapsLock键取消原逻辑，重新映射为left ctrl + left shift + space。用于切换输入法
• 映射left shift + CapsLock 为切换全局大小写
• 映射left alt + c为left ctrl + insert
• 映射left alt + v为left shift + insert
• 映射left alt + x为left ctrl + x

安装keyd

yay -S keyd

配置

vi /etc/keyd/default.conf

[ids]  
* 
  
[main]  
capslock = C-S-space  

leftshift = layer(shift)  

leftalt = layer(alt)  
  
[shift:S]  
capslock = capslock  
  
[alt:M]  
c = C-insert  
v = S-insert  
x = C-x

JetBrains点击错位

Help → Edit Custom VM Options 添加

-Dawt.toolkit.name=WLToolkit

https://github.com/hyprwm/Hyprland/issues/4888 https://www.polar-labs.com/idea-intellij-based-ides-under-wayland/

更新中......

已经不用arch了，已放弃

PGP

Pretty Good Privacy (PGP)。直译为 "相当好的隐私"，是一种常用于邮件的加密协议，特点是非对称加密，加密一方使用公钥进行加密，本地邮件客户端收到邮件之后，使用私钥进行解密。PGP加密防止了最终收件邮箱保存用户明文邮件的问题，邮件服务提供商很可能会收集你的邮件用于AI模型的训练等等，产生可能的隐私问题。

加密步骤

• 发送方随机生成一个会话密钥，并使用该密钥对邮件进行加密
• 使用公钥加密会话密钥，将会话密钥共享给接收方，发送邮件
• 接收方使用私钥解密获取会话密钥，使用会话密钥解密邮件

PGP使用

可以直接付费使用支持 PGP 加密的邮件服务提供商的服务，例如：

• mailbox.org
• Proton Mail

在了解到PGP之前，我主要使用阿里企业邮箱，我会将我拥有的所有邮箱的所有邮件都转发到阿里企业邮箱中，并在本地使用outlook邮箱客户端查看邮件。在意识到阿里云能看到所有的邮件之后，我觉得对数据进行加密，以防止潜在的隐私问题。 最终我的方案如下：

• 所有的邮件都会经过simplelogin使用PGP加密之后，转发到阿里企业邮箱
• 不再使用 Outlook、Gmail 等主邮箱直接注册网站，只使用别名邮箱注册（如果网站不支持别名邮箱，我会重新注册 Outlook 账号）
• 客户端使用 Thunderbird 解密邮件

PGP配置

Simplelogin

SimpleLogin 提供邮箱别名服务，充值会员后，用户可以创建无限个别名邮箱。新注册网站时，我始终使用别名邮箱注册。安装这个 Chrome 插件后，可以直接在右键菜单中生成包含当前网页域名的邮箱地址。

同时还提供别名邮件回信功能，实现发信和收信时始终隐藏真实邮件地址。

Thunderbird

Thunderbird 是由 Mozilla 开发维护的开源免费邮件客户端，支持邮件收发的 PGP 加解密功能，同时支持共享自己的公钥和获取对方公钥。

生成PGP公私钥

在 Thunderbird 的账户设置中，找到"端到端加密"选项，点击"添加密钥"即可生成 PGP 密钥对

配置公钥

生成密钥对后，复制公钥内容，填写到 SimpleLogin -> Mailboxes -> Pretty Good Privacy (PGP) 配置中即可

共享公钥

公钥发布后，当有人需要发送邮件到这个邮箱时，可以查询到公钥。如果能够查找到我方共享的公钥，即可发送一封经过 PGP 加密的邮件，只有我方的私钥才能解密 在 Thunderbird 中填写收件人邮箱地址后，会自动查询是否存在已发布的公钥，如果存在即可使用 PGP 加密发送邮件

关于隐私保护

历史总是告诉我们人类不会吸取任何经验教训，那就不要等到泄露的时候才想起了隐私保护，到那个时候，保护不保护已经无所谓了。所以还是得在泄露之前提高隐私保护意识。

Anubis

Anubis是一个网站防护工具，其工作原理类似常见的Cloudflare验证，会在用户进入网站之前对客户端进行检查。客户端需要完成一定难度的Hash计算，服务器验证计算结果后放行，Hash计算代表了客户端可能需要执行几千几万次的计算，而服务器验证只需执行一次，对服务器开销小。 当有网络爬虫、CC攻击想进入源站时，需要在攻击者的客户端（比如无头浏览器中）进行一定量的Hash计算，攻击者一般会在一台物理机中运行多个配置了代理的无头浏览器，这些Hash计算会拖垮攻击者的服务器，从而迫使攻击者放弃或降低攻击频率。 现代设备通常都具有一定的算力，这些任务对于这些客户端来说，通常只需要几毫秒或几秒钟即可完成，用户只需要等待一段时间，不需要进行任何操作，成功后会自动进入实际后端服务。

工作原理

Hash计算

和经典的比特币挖矿一致，客户端需要使用一个确定的字符串加上任意数字，进行 sha256 计算，得到的 64 位hash值的前x个数为 0，x就是difficulty

const hash = await sha256(`${challenge}${nonce}`);

整体流程

客户端第一次访问时，会根据访问者的IP、ASN、User-Agent，服务器的工作负载，计算出一个数值 weight，之后通过 weight 匹配不同难度的Hash计算任务给客户端。客户端完成计算后，由服务器进行验证，成功之后放行到真正的后端服务，同时返回 Set-Cookies 以保存一段时间验证结果，当用户下次访问时，可复用上次的验证结果。

与NGINX搭配

流量从 80/443 端口进入之后，先交给Anubis进行拦截，验证完成之后再交还回NGINX进行后续流程。在单个服务器内通过unix socket进行交互。

安装/配置

此处以Debian 12 系统为例

安装Anubis

下载并安装

请在Github获取最新的版本号

wget -O /tmp/anubis.deb https://github.com/TecharoHQ/anubis/releases/download/v1.21.3/anubis_1.21.3_amd64.deb && apt install /tmp/anubis.deb

不能直连Github，可以使用加速域名，或者手动下载上传到服务器

wget -O /tmp/anubis.deb https://ghfast.top/https://github.com/TecharoHQ/anubis/releases/download/v1.21.3/anubis_1.21.3_amd64.deb && apt install /tmp/anubis.deb

修改 /etc/anubis/default.env，内容如下

BIND=/run/anubis/instance.sock
BIND_NETWORK=unix
SOCKET_MODE=0666
TARGET=unix:///run/nginx/nginx.sock

复制默认策略文件，暂不修改

cp /usr/share/doc/anubis/botPolicies.yaml /etc/anubis/botPolicies.yaml

systemd运行

创建service文件

vi /etc/systemd/system/anubis.service

[Unit]
Description=Anubis Bot Protection
After=network.target

[Service]
EnvironmentFile=/etc/anubis/default.env
ExecStart=/usr/bin/anubis \
  -bind /run/anubis/instance.sock \
  -bind-network unix \
  -socket-mode 0666 \
  -target unix:///run/nginx/nginx.sock \
  -metrics-bind 127.0.0.1:9091 \
  -metrics-bind-network tcp \
  -policy-fname /etc/anubis/botPolicies.yaml

Restart=always
User=www-data
Group=www-data

[Install]
WantedBy=multi-user.target

创建目录

mkdir -p /run/anubis /run/nginx

修改权限

此处的用户和NGINX相同

chown www-data:www-data /run/anubis /run/nginx

启用Anubis

systemctl enable --now anubis.service

确保已经成功运行

systemctl status anubis

配置NGINX

此处提供一份可用NGINX，请自行修改扩展

user  root;
worker_processes auto;
pid /run/nginx.pid;

events {
    worker_connections 1024;
}

http {
    upstream anubis {
        server unix:/run/anubis/instance.sock;
    }

    server {
        listen 443 ssl http2;
        server_name uptime.vio.vin;

        ssl_certificate     /etc/ssl/violet/certs/all.vio.vin.cert.pem;
        ssl_certificate_key /etc/ssl/violet/certs/all.vio.vin.key.pem;

        location / {
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_pass http://anubis;
        }
    }

    server {
        listen unix:/run/nginx/nginx.sock;
        server_name uptime.vio.vin;

        location / {
            proxy_pass http://10.115.15.178:3001;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
        }
    }
}

• upstream：定义上游服务器为anubis
• 第一个server：监听 443 入站连接，传输给anubis，传输客户端IP用于IP相关策略判断
• 第二个server：anubis验证通过之后，实际反向代理的位置

至此，基础配置已完成，默认情况下低风险客户端难度为 2，高风险为 4

Bot策略

官网文档：https://anubis.techaro.lol/docs/admin/policies 需要调整 botPolicies.yaml 文件 默认的botPolicies.yaml 配置文件：https://github.com/TecharoHQ/anubis/blob/main/data/botPolicies.yaml

bots中定义了多个规则，可以看到已经通过import导入了一部分规则，这部分的文件可以在 /usr/share/doc/anubis/data/bots 中找到

默认的规则如下，可以仿照这些规则写自己的规则

可配置匹配规则

匹配请求头

/usr/share/doc/anubis/data/bots/cloudflare-workers.yaml

- name: cloudflare-workers
  headers_regex:
    CF-Worker: .*
  action: WEIGH
  weight:
    adjust: 15

匹配User-Agent

/usr/share/doc/anubis/data/bots/headless-browsers.yaml

- name: lightpanda
  user_agent_regex: ^LightPanda/.*$
  action: DENY
- name: headless-chrome
  user_agent_regex: HeadlessChrome
  action: DENY
- name: headless-chromium
  user_agent_regex: HeadlessChromium
  action: DENY

指定表达式

/usr/share/doc/anubis/data/bots/aggressive-brazilian-scrapers.yaml

- name: deny-aggressive-brazilian-scrapers
  action: WEIGH
  weight:
    adjust: 20
  expression:
    any:
      # Internet Explorer should be out of support
      - userAgent.contains("MSIE")
      # Trident is the Internet Explorer browser engine
      - userAgent.contains("Trident")
      # Opera is a fork of chrome now
      - userAgent.contains("Presto")
      # Windows CE is discontinued
      - userAgent.contains("Windows CE")
      # Windows 95 is discontinued
      - userAgent.contains("Windows 95")
      # Windows 98 is discontinued
      - userAgent.contains("Windows 98")
      # Windows 9.x is discontinued
      - userAgent.contains("Win 9x")
      # Amazon does not have an Alexa Toolbar.
      - userAgent.contains("Alexa Toolbar")
      # This is not released, even Windows 11 calls itself Windows 10
      - userAgent.contains("Windows NT 11.0")
      # iPods are not in common use
      - userAgent.contains("iPod")

匹配客户端IP

/usr/share/doc/anubis/data/clients/mistral-mistralai-user.yaml

# Acts on behalf of user requests
# https://docs.mistral.ai/robots/
- name: mistral-mistralai-user
  user_agent_regex: MistralAI-User/.+; \+https\://docs\.mistral\.ai/robots
  action: ALLOW
  # https://mistral.ai/mistralai-user-ips.json
  remote_addresses: [
    "20.240.160.161/32",
    "20.240.160.1/32",
  ]

匹配GEOIP

- name: countries-with-aggressive-scrapers
  action: WEIGH
  geoip:
    countries:
      - BR
      - CN
  weight:
    adjust: 10

匹配ASN

- name: aggressive-asns-without-functional-abuse-contact
  action: WEIGH
  asns:
    match:
      - 13335 # Cloudflare
      - 136907 # Huawei Cloud
      - 45102 # Alibaba Cloud
  weight:
    adjust: 10

匹配后动作

ALLOW和DENY不再解释

CHALLENGE

- name: generic-bot-catchall
  user_agent_regex: (?i:bot|crawler)
  action: CHALLENGE
  challenge:
    difficulty: 16 # impossible
    report_as: 4 # lie to the operator
    algorithm: slow # intentionally waste CPU cycles and time

• name：名称，可自定义
• user_agent_regex：正则表达式匹配User-Agent
• action：动作，立即进行客户端挑战
• challenge：客户端挑战配置
  • difficulty：难度，16 表示计算出的hash值前 16 位为 0，不可能完成（比特币的前导 0 个数为 19-20），在客户端完成 16 位的计算可能需要几万年甚至更久（攻击者看着 99%的CPU陷入沉思）
  • report_as：用户在界面上看到的难度数值（你甚至可以骗他，这个进度条怎么一直卡在 99%不走呢）
  • algorithm：采用的Hash算法，slow故意折磨CPU

WEIGH

调整请求的权重，正数为增加权重，负数为减少权重，后续会进入到 thresholds 中，针对不同的请求设置不同的CHALLENGE

0-10 的权重，进行快速算法，几乎不需要等待

- name: mild-suspicion
  expression:
    all:
      - weight > 0
      - weight < 10
  action: CHALLENGE
  challenge:
    algorithm: metarefresh
    difficulty: 2
    report_as: 2

其他

根据服务器负载动态调整

示例在配置文件中已给出，有需要可以启用

  ## System load based checks.
  # If the system is under high load, add weight.
  - name: high-load-average
    action: WEIGH
    expression: load_1m >= 10.0 # make sure to end the load comparison in a .0
    weight:
      adjust: 20

  # If your backend service is running on the same operating system as Anubis,
  # you can uncomment this rule to make the challenge easier when the system is
  # under low load.
  #
  # If it is not, remove weight.
  - name: low-load-average
    action: WEIGH
    expression: load_15m <= 4.0 # make sure to end the load comparison in a .0
    weight:
      adjust: -10

测试页面

为了方便在大家的浏览器中挖矿方便大家测试，我准备了这些界面 建议用隐私窗口打开，否则会使用上一次的结果

参考文献

https://lock.cmpxchg8b.com/anubis.html