这份计划书的目标只有一个:构建一个在这个世界上只有你能看见、只有你能掌控、绝对安静的数字避难所。

我们将这个项目命名为:Project Deep Silence (深默计划)

📂 项目名称:Deep Silence (个人私有化博客构建方案)

1. 核心架构设计 (Architecture)

设计哲学: 零信任 (Zero Trust)、隐身 (Stealth)、极简 (Minimalism)。

  • 服务端: 廉价云服务器 (1核1G足够,推荐 Debian 12)。
  • 应用层: Typecho (轻量、高效、PHP 驱动)。
  • 防御层: Nginx + OpenSSL (自建 CA + mTLS 双向认证)。
  • 网络层: 高位非标准端口 + 防火墙白名单/隐身。

2. 实施路线图 (Roadmap)

第一阶段:基础设施与防御工事 (The Bunker)

目标: 建立一个黑客进不来、扫描器扫不到的服务器环境。

  1. 购买与初始化:
  2. 购买海外或国内云服务器(不用备案,因为不绑定公开域名,只用 IP)。
  3. 系统选 Debian 12 (最稳定、最干净)。
  4. 关键操作: 修改 SSH 默认端口(如改到 22222),禁止 root 密码登录,仅允许 SSH Key 登录。
  5. 构建 CA 帝国 (核心安全):
  6. 参考之前提供的 OpenSSL 命令。
  7. 生成 Root CA (根证书)。
  8. 签发 Server Cert (服务器证书)。
  9. 签发 Client Cert (你的专属通行证)。
  10. 动作:Root CA 私钥冷备份到 U 盘,从服务器上彻底删除,绝不联网。
  11. 部署 Nginx 门禁:
  12. 配置监听高位端口 (如 24433)。
  13. 开启 ssl_verify_client on (mTLS)。
  14. 配置只允许 TLSv1.3 协议 (放弃兼容性,追求最高安全)。
  15. 效果: 任何没有证书的连接,在 TCP 握手阶段直接被 DROP。

第二阶段:应用净化与逆向 (The Code)

目标: 利用 Typecho 搭建博客,并对其源码/主题进行“手术”,去除所有外部依赖。

  1. 部署 Typecho:
  2. 推荐使用 Docker Compose 部署 (Nginx + PHP-FPM + MariaDB),方便以后一键迁移。
  3. 数据库不开放外部端口,仅限容器间通信。
  4. 主题逆向与净化 (你提到的逆向环节):
    既然你会逆向,不要直接用别人的主题,去 GitHub 找一个喜欢的开源主题,然后开始“手术”:
  5. 斩断外链: 搜索源码中的 http://https://
  6. 移除 Gravatar: 头像服务会被墙或泄露隐私,改为本地调用或直接写死一张图片。
  7. 本地化字体: 很多主题引用 Google Fonts,下载字体文件(.woff2)放到本地目录引用,切断与 Google 的连接。
  8. 移除 CDN: 把 jQuery 等 JS 库全部下载到本地服务器加载。
  9. 去版权与后门检查: 检查 footer.phpfunctions.php,删除作者链接(既然是私有的,不需要留版权),检查有无加密的 eval()base64_decode() 恶意代码。

第三阶段:全终端接入 (Access Control)

目标: 让你的设备无感接入。

  1. PC 端 (Windows/Mac):
  2. 导入 Root CA 到“受信任的根证书颁发机构”。
  3. 双击安装 Client.p12
  4. 浏览器访问 https://IP:24433,永久保存证书选择。
  5. 移动端 (iOS/Android):
  6. iOS 需要安装描述文件并开启“针对根证书的完全信任”。
  7. 安装 .p12 个人证书。
  8. (可选) 使用快捷指令,一键打开特定 IP 网址。

3. 运维与应急 (Ops & Failsafe)

你最需要担心的是:把自己锁在门外。

  1. 证书过期预案:
  2. 虽然我们签了 100 年,但设备换了怎么办?
  3. 策略: 将生成的 .p12 文件和密码,保存在一个安全的、即使断网也能找到的地方(如 KeepAss 数据库、加密的 U 盘)。
  4. 紧急通道 (Backdoor for Yourself):
  5. 万一你在网吧,手里没证书,又必须看博客怎么办?
  6. 策略: 在 Nginx 开一个备用的、极度隐蔽的端口(如 59999),不开启 mTLS,但开启 Basic Auth (账号密码) 且设置超长超复杂的密码,配合 Fail2Ban(输错3次封 IP 24小时)。平时在防火墙层面把这个端口关掉,需要时通过 SSH 临时打开。
  7. 数据备份:
  8. Typecho 的核心只是 /usr/themes (主题)、/usr/uploads (图片) 和 数据库。
  9. 写一个简单的 Shell 脚本,每周 tar 打包一次,通过 rclone 加密上传到 Google Drive 或 S3,或者直接定时发邮件给自己。

4. 总结与补充建议

核心操作清单 (Checklist)

  • [ ] 购买服务器 & 安全加固 (SSH Key only)。
  • [ ] 本地生成 CA、服务器证书、客户端证书 (100年有效期)。
  • [ ] 部署 Nginx + Typecho (Docker化)。
  • [ ] 配置 Nginx 开启 mTLS + 高位端口监听。
  • [ ] 净化主题代码 (本地化所有资源,去除所有外链)。
  • [ ] 客户端导入证书测试。
  • [ ] 销毁 CA 私钥的在线副本 (非常重要)。

极客补充玩法

  • IP 漂移: 如果你的云服务商支持 API 换 IP,可以写个脚本,每月自动换一次服务器 IP,彻底让黑客找不到北。
  • 纯静态化: 如果你追求极致速度,可以用插件把 Typecho 生成纯 HTML 静态站。Nginx 只推静态文件,连 PHP 都不用跑,攻击面直接归零。
  • 暗网化 (Tor): 既然已经这么硬核了,可以在服务器上跑一个 Tor Hidden Service。除了 mTLS 访问 IP,你还可以通过 .onion 地址访问。这是真正的物理隐匿(连服务器 IP 均不可追踪)。

一句话总结:
这不仅仅是一个博客,这是你在互联网荒原上建立的一个私人核掩体。没人知道它在哪,没人能进去,只有你手里握着那把唯一的数字钥匙。祝玩得开心!

CA mTLS Port Knocking

Last modification:January 12, 2026
© Allow specification reprint
If you think my article is useful to you, please feel free to appreciate