#长毛象站长联谊会 — Public Fediverse posts

长毛象公开了一个严重程度为High的安全漏洞，并已经在最新版本中修复。

https://github.com/mastodon/mastodon/security/advisories/GHSA-xfrj-c749-jxxq

这个漏洞可以被用来发现长毛象服务器本地网络的其他服务，可能会泄露服务器所有者的隐私或其它非公开信息。希望各位站长尽快升级。

#长毛象站长联谊会

仔细想了想，长毛象或多或少是鼓励tribalism的。或者叫搞小圈子。

看英文实例，很多都是有一个特别的主题或者context。吸引兴趣话题接近的人在一起，从而达到——联邦宇宙互联互通，我们的小圈圈更加互通。

很多App都支持同时登录好几个实例，应该也反应了英文用户喜欢注册多个实例账号，在切换实例的时候切换嘟嘟的主题。

但是在中文毛象圈里绝大部分的实例都是不限主题的，顶多就是UI和Mod哲学的细微区别。我想本质上是因为“使用中文”本身就是一个小圈子，而且活跃人数也实在是不多，一旦进一步细分就显得更加冷清，

此外还有个大国特色：对身份安全（也就是账号的匿名性）的担忧和GFW也影响着中文毛象的生态：类似“马斯洛需求层次理论”，当话随便说、站随便上的环境都不能保证时，潜意识的想法就是“有个能安全说话的地方就不错了”，而不会去更进一步的追求“去不同的地方专门聊不同的话题”。没这个心情。

看来中文毛象确实是一个独特而脆弱的生态，值得中文实例们自己好好建设和维护。

#长毛象中文使用指南
#长毛象站长联谊会

(Update: the proposal has been scrapped. 新规计划已取消。)

#MstdnParty #MstdnPlus users: I plan to add a new rule mandating the use of #AltText in images. The proposal is available below. Any feedback is welcome!

本人将于旗下的两个站点近期计划出台一项新规，将替代文本（又称图像描述）的使用义务化。具体细则请参照下方的链接。欢迎各位用户提出宝贵建议！

https://mpp.bus-hit.me/alt-text/

#MastoAdmin #a11y #accessibility #长毛象站长联谊会

整理了一张个人认为比较适合Fedi建站的平价S3对象存储提供商价格比较表，希望有帮助。

#长毛象运维 #长毛象建站 #S3 #对象存储 #登基 #长毛象站长联谊会

@[email protected] @[email protected]
注意本次攻击事件不是黑猫服务器所为，请不要因此攻击黑猫服务器及其成员
相关公告

Note that this attack is not done by Kuroneko server, please do not attack Kuroneko server and its staff for this reason
Related Announcement

#长毛象站长联谊会 #什么值得b #什么值得ban #联邦宇宙避雷针 #MastoAdmin #FediBlock #FediBlockMeta #Admin #Spam

万能的互联网或许有mastodon实例迁移postgres db到另一台服务器上的blog吗
#admin
#长毛象站长联谊会

希奇！发布2024年9月 #运营白皮书：

希奇！平台：
目前希奇！除了长毛象主站，还附属有博客平台 https://write.c7.io ，和试运行网盘 https://drive.c7.io 。
额外的站点特色详见 https://c7.io/about

希奇！运营技术情况：
* 服务器基本配置：Dell 独立服务器，56 cores 256GB memory
* 服务器托管：LV Fiberhub机房，1Gbps网络
* 存储：Optane cached ZFS RaidZ2
* 数据备份：每20分钟snapshot，每日异地备份。

希奇！运营资金情况：
* 服务器托管、带宽：$101/m
* 服务器硬件更新：$200/yr
* 域名费用：$40/yr
* CDN + DDoS 防火墙（cloudflare）：$0 for now
* Antispam（Cleantalk）：$12/yr

@snullp 承诺每月支付站点运营费用。此外也欢迎捐款支持本站https://liberapay.com/sNullp/ 。

希奇！运营承诺：
希奇！承诺运营至一年后，亦即2025年9月。半年后再次发布的白皮书会更新本承诺。

下一次的白皮书明年3月见哟！

#长毛象站长联谊会

新版mastodon添加了支持数据库加密，需要编译前运行 RAILS_ENV=production bin/rails db:encryption:init 命令生成
ACTIVE_RECORD_ENCRYPTION_DETERMINISTIC_KEY
ACTIVE_RECORD_ENCRYPTION_KEY_DERIVATION_SALT
ACTIVE_RECORD_ENCRYPTION_PRIMARY_KEY
后在 .env.production文件中添加。然后才能编译。

并且至少还需要添加TRUSTED_PROXY_IP= 127.0.0.1 和其他反向代理IP才能正常运行。
https://docs.joinmastodon.org/admin/config/#db-encryption-support
#长毛象站长联谊会 #运维

有人试过用storj做长毛象对象存储的吗？价格还行：

https://www.storj.io/pricing

$0.004/GB/月存储 + $0.007/GB/月egress，目前看本站egress大概是存储的1/10，换算过来总开销不到$0.005/GB/月。

#长毛象站长联谊会

#长毛象站长联谊会 #运维

@board 由于一条帖写不下，这里再开一条。

目前已知的问题有：新 Mastodon 实例通过 mastodon:setup 创建后，管理员账号不会自动批准，需要用户使用指令，

tootctl modify <用户名> --approved

以上便是这次补丁主要的更新，顺便附上此更新原文的连接：https://github.com/mastodon/mastodon/releases/tag/v4.2.8

#长毛象站长联谊会 #运维

@board v4.2.8 更新带来了新的安全补丁，建议各位站长及时更新。

主要添加的功能有，站点会在管理员离线一周后，自动将站点切换至审核注册模式。当站点在环境变量种使用了 EMAIL_DOMAIN_ALLOWLIST（邮件白名单） 时此功能不会启用。该功能也可以通过在环境变量中设置 DISABLE_AUTOMATIC_SWITCHING_TO_APPROVED_REGISTRATIONS=true 关闭。个人建议不使用第三方工具管理站点的管理员将此功能保持开启，或是通过设置EMAIL_DOMAIN_ALLOWLIST（邮件白名单）的方式关闭。

另外，新 Mastodon 实例创建后会默认关闭注册，需要通过指令 tootctl settings registrations open 开启，这也包括了之前从未修改过注册模式的站长（注册模式为默认）。

以及来自官方对于此次问题给出的解决方法有：

- 手动审核新用户注册
- 屏蔽已知 SPAM 严重的邮件方（比如 any.pink）
- 设置 hCaptcha 等验证方式

#长毛象站长联谊会 #spam #运维
各位站长们大家好！针对近期的SPAM，我写了一个小patch根据SPAM的某些特征（包含 荒らし.com、@多名用户）以阻止spam流入

与目前其他的措施所不同，这个patch可以防止SPAM在推送时流入实例（但不能防止如直接从搜索栏粘贴SPAM推文从而使Mastodon拉取嘟文等极端情况），从而减轻站长处理Report、封禁用户等一系列流程（某种程度上也意味着来源实例无法发现Spam）。

希望能对站长们有所帮助！

https://github.com/dragonfly-club/mastodon-antispam

#长毛象站长联谊会 #spam 每天做的事就是根据我自己的通知和大家的举报ban各种实例，已经ban了74个了，这个日子什么时候是个头。。。大家看到了就点举报吧，我每天统一处理一两次，好像也没有其他更好的办好，如果受不了的朋友，可以在选项里关闭来自陌生人的@

临时搓的Mastodon对抗SPAM批量处理脚本：

1. 从用户的举报里自动甄别、封禁外站的spam用户并Limit被入侵的外站实例。
https://gist.github.com/o3o-ca/ef4dd0f68aa0f5706b0eb8cc396028e8

Colab notebook版本（save到Google Drive，站长无需在本地配置Python环境就能在浏览器里跑）：
https://colab.research.google.com/drive/1C8jFuFZybYIVnCPHBf1CYPqSE-B5CgCO?usp=sharing

2. 从Mastodon数据库里找出可能的spammers并批量封禁：
https://colab.research.google.com/drive/14bWBtlUPG9c5n_bMymp5iMlf5Wmz8a-p?usp=sharing

#长毛象站长联谊会

发个老本行知识：Mastodon套Cloudflare后用户IP变成CF IP的解决方案：

将nginx反代配置中的2处：
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
替换为
proxy_pass_request_headers on;

原理：CF会把客户正确的IP放在这两个header里。不需要nginx再添油加醋。

#cloudflare
#长毛象站长联谊会

根据@[email protected]整理的列表加上一些最近的变更整理出来的受影响实例，可以参考一下
（刚刚好像没发出去，再确认一下）

@[email protected]

mastodon-swiss.org
mastouille.fr
dw.n1l.dev
misskey.kuromame048.net
cunnyborea.top
dw.n1l.dev
minidisc.tokyo
social.cutefunny.net
piaille.fr

@board #长毛象站长联谊会
刚刚在本人管理的mstdn.plus检测到了spam攻击，现于上方公示其帐号注册规律（请查看原帖），请各站点管理员即时采取措施。一言以蔽之，各帐号目前只使用tempmail.plus旗下的临时邮箱域名，但IP似乎属于各个Tor出口节点。

根据@[email protected]整理的列表加上一些最近的变更整理出来的受影响实例，可以参考一下

@[email protected]

mastodon-swiss.org
mastouille.fr
dw.n1l.dev
misskey.kuromame048.net
cunnyborea.top
dw.n1l.dev
minidisc.tokyo
social.cutefunny.net
piaille.fr

@board
关于这次长毛象黑猫spamming，第一个被攻击的实例站长表示已经手动清理了所有垃圾用户：https://m.mxin.moe/@mxin

同为中文实例，我想大家还是网开一面，解除实例级封禁吧。

#长毛象站长联谊会

spam所在的实例一直在增加。
我来开个帖子，请大家遇到新增的spam实例时就回复到这个帖子下面，方便所有人处理。
下面是目前的实例列表：

m.mxin.moe
dw.n1l.dev
misskey.kuromame048.net
cunnyborea.top
dw.n1l.dev
minidisc.tokyo
social.cutefunny.net
piaille.fr

@i 谢谢你，不知道以后类似信息能不能带上 #长毛象站长联谊会 这个tag方便大家搜索呢。

@board 我麻了。长毛象又是一个紧急安全更新！
https://github.com/mastodon/mastodon/releases/tag/v4.2.6

2/16又来一个: https://github.com/mastodon/mastodon/releases/tag/v4.2.7

现在最新的安全版本是 4.2.7, 4.1.15, 4.0.15, 3.5.19。

我还没有时间分析这次的风险程度，大家自行判断吧。希望以后不要老有这种紧急更新了吓死人。

以后我会使用 #长毛象站长联谊会 公布任何运维方面的信息，站长们可以多多关注。

长毛象小站的实用修改：让“ #探索 ”（ #expolore ）不再空白。

Mastodon的探索功能是为数不多的“算法”。如果某小站的跨实例沟通能力还不是很强的话，会导致这个页面经常是空白的。

简单来说这个算法就是程序 https://github.com/mastodon/mastodon/blob/main/app/models/trends/statuses.rb 文件中开头的几个参数（threshold, score_halflife, decay_threshold）在控制。

一个满足条件（公开，etc）的嘟文点赞数和转发数相加就是他的原始分数，如果超过了threshold那么就会经过一个score_halflife半衰期衰减算法，如果之后分数仍高于decay_threshold那么就符合条件了。

那么对于小站来说，可以把这几个参数酌情改小。例如附图所示。改完之后重启Mastodon服务就成功啦！

#长毛象站长联谊会

本站已紧急更新至Mastodon v4.2.5！🚨

这次是一个关键的安全更新，好几天前就收到警告推送，原因是这个：https://github.com/mastodon/mastodon/security/advisories/GHSA-3fjr-858r-92rw

各位站长抓紧时间呀！

#长毛象站长联谊会

总结了一下搭建一个小型实例(100人以下)需要的成本，以及各个components的功能和相对成本，给想要建站的友友们参考 :kawaii_siamesesticker_10:​

https://byte.otter.homes/zh-tw/post/running-mastodon-costs/

TLDR

在不考虑人工的时间成本、学习成本、搭建成功后的运营成本，仅计算需要支付金钱的项目，同时最低限度保持100以下用户可用的前提下，搭建长毛象站点需要付费的项目有：

• 域名: 10 - 15 USD/年, 0.8 - 1.3 USD/月
• VPS: 60 - 120 USD/年，5 - 10 USD/月
• Email服务: 0 （可选）
• 对象储存: 0 （可选）
• CDN: 0 (可选)

总计 70 - 135 USD/年, 5.8 - 11.3 USD/月 (508 - 980 RMB/年, 42 - 82 RMB/月)

#长毛象站长联谊会
#otterhomes

科特迪瓦国家域名故障已经2天了，目前所有的 .ci 域名都失去了解析。

fedi站长们如果需要和这些使用 .ci TLD 的中文实例重新建立通讯，可以临时在服务器的hosts文件里加上：

154.12.239.54 neko.ci
154.12.239.54 sakura.ci
104.21.40.187 me.ns.ci

这些实例的用户也可以在自己电脑本地的hosts文件添加上述地址的解析来临时恢复访问，Windows/Mac的操作方式示例：
https://its.uiowa.edu/support/article/117861

Re: https://neko.ci/notes/9l4f5sp8y7

【更新】 .ci ccTLD恢复正常啦

#长毛象站长联谊会

@board #长毛象站长联谊会
还是来求助，我重新clone了一个repo重新build docker image，现在虽然web跑起来了但是功能都有问题，怀疑是db migration的原因但是重跑migration也没有效果。感谢大家了 :suica_014:​

#长毛象站长联谊会
@board 求助misskey的站长们，本来想更新一下misskey的版本，但是不知道为什么更新之后container就无法启动了，报错找不到semver这个package。
一开始我删掉了package/backend里的node_modules, 但是重新build docker image之后也没有重新安装modules :suica_014:​

距离上次希奇！发布 #运营白皮书 已经过去半年啦，是时候根据约定更新一下了：

希奇！运营技术情况：
* 服务器基本配置：Dell 独立服务器，32 cores 128GB memory
* 服务器托管：LA商业机房，1Gbps网络
* 长毛象数据存储：Optane cached ZFS RaidZ2+异地备份
* 长毛象媒体存储：目前和数据存储一致，但是未来会做一个新的长毛象跨实例共享存储服务：https://c7.io/@snullp/109979065663923473

希奇！开启了Elasticsearch全文搜索支持，并对中文优化。

希奇！运营资金情况：
* 服务器托管、带宽：$183/m
* 服务器硬件更新：$100/yr
* 域名费用：$40/yr
* CDN + DDoS 防火墙（cloudflare）：$0 for now

@snullp 承诺每月支付站点运营费用。此外也欢迎捐款支持本站https://liberapay.com/sNullp/ 。

希奇！运营承诺：
希奇！承诺运营至一年后，亦即2024年9月。半年后再次发布的白皮书会更新本承诺。

下一次的白皮书明年3月见哟！

#长毛象站长联谊会

👆 Context👆
我也想在这里提倡一下别的长毛象实例写一个自己的 #运营白皮书 （如果还没有的话），让我们一起增加象友对中文长毛象的信心，联邦化的长毛象可以和中心化的微博服务一样可靠！

@board
#长毛象站长联谊会