December 2012 Archives

新年

| No Comments | No TrackBacks

正好聽到這首 "Somewhere Only We Know":

I walked across an empty land
I knew the pathway like the back of my hand
I felt the earth beneath my feet
Sat by the river and it made me complete

Oh simple thing where have you gone?
I'm getting old and I need something to rely on
So tell me when you're gonna let me in
I'm getting tired and I need somewhere to begin

I came across a fallen tree
I felt the branches of it looking at me
Is this the place we used to love?
Is this the place that I've been dreaming of?

Oh simple thing where have you gone?
I'm getting old and I need something to rely on
So tell me when you're gonna let me in
I'm getting tired and I need somewhere to begin

And if you have a minute why don't we go
Talk about it somewhere only we know?
This could be the end of everything
So why don't we go
Somewhere only we know?
Somewhere only we know?

Oh simple thing where have you gone?
I'm getting old and I need something to rely on
So tell me when you're gonna let me in
I'm getting tired and I need somewhere to begin

And if you have a minute why don't we go
Talk about it somewhere only we know?
This could be the end of everything
So why don't we go?
So why don't we go?

Ah-ah-ah
Ah-ah-ah

This could be the end of everything
So why don't we go
Somewhere only we know?
Somewhere only we know?
Somewhere only we know?

段子

| 1 Comment | No TrackBacks

转自 Techweb:据一位不愿透露姓名的程序员说,基本上所有项目经理的所有要求都能总结为下面这样一幅对联儿----上联:多态重构模块化;下联:注释解耦跨平台。横批:无Bug...

FreeBSD基金会2012年终募捐

| 2 Comments | No TrackBacks

截止到目前为止, FreeBSD 基金会共募得本年度捐款 $461,119,距本年度的预定目标 $500,000 还差 $38,881 美元。今年 FreeBSD 基金会资助了相当多的项目,包括 Pawel Jakub Dawidek (pjd@) 的 Capsicum 框架、分布式审计服务 auditstd、与我厂一起资助了 Bjoern Zeeb (bz@) 对 FreeBSD IPv6 协议栈的性能剖析、Edward Tomasz Napierala (trasz@) 的在线 UFS 扩容,作为中介机构接受了 Semihalf 的 NAND 闪存文件系统和存储棧,并资助了与此相关的移植工作。此外,FreeBSD 基金会也资助了全球范围内与 FreeBSD 开发有关的一系列会议,包括欧洲的 EuroBSDCon、亚洲的 AsiaBSDCon、加州 MeetBSD、加拿大 BSDCan、澳大利亚的 BSDDay 等,并在硅谷和剑桥大学分别举行了 Vendor Summit 和 Developer Summit。

FreeBSD 基金会每年会增加 10% 到 25% 的资金投入,这些投资的成长离不开广大 FreeBSD 用户和开发人员对于基金会的直接资助支持。作为符合美国税法 501(c)3 条款的公益非盈利慈善法人,在美国境内的捐款人通常都可获得全额联邦应税收入抵免。

捐款网址: http://www.freebsdfoundation.org/donate/

其他信息请参见 捐款将用来做什么基金会2012年12月公告如何申请资助基金会财报

FreeBSD.org 这次的入侵事件

| 2 Comments | No TrackBacks

我回国之前, FreeBSD 安全团队内部正在准备一项重要的安全公告,不过这次不是由于 FreeBSD 的代码本身,而是由于 FreeBSD 项目集群中的一部分受到了入侵。这份公告后来于 11 月 17 日正式 发表

经过事后分析,这次入侵,最早可以追溯到在今年大约9月的时候的一次针对某家公司的入侵。攻击者通过穷举的方式获得了这家公司一台机器的 root 账户,并获得了对应的 master.passwd 文件。根据事后的日志分析,攻击者应该是通过离线破解的方式得到了这台机器上所有用户的密码明文(旧式 FreeBSD 系统预设的散列方式是 salted MD5),并以这台机器为跳板扫描了一系列的其他系统,并找到了一位 committer 的未经保护的 ssh 私钥。这个私钥令攻击者获得了另外一台服务器的权限(其中包括一台机器上的 root 权限),并在那台服务器上进一步获得了另外一位 committer 的未经保护的 ssh 私钥。

那位 committer 的 ssh 私钥拥有 FreeBSD 用于联编预编译包的 Pointyhat 集群的 root 权限,而这个集群尽管和 FreeBSD.org 集群在一定程度上是隔离的,但在最初建立时,为了方便,以只读方式挂载了 FreeBSD.org 集群所有用户 /home 目录的 Filer。由于两组集群上都启用了内核审计机制 (audit),集群管理员发现,有人以 root 的身份访问了部分用户的 /home 目录,并很可能复制走了一些私钥文件。

至此,我们认为整个集群已出现了重大安全风险,应立即停止有风险的服务器的运行,并根据备份对全部文件进行审计。除了切断了大部分服务器的电源之外,扫描并停用了所有在 FreeBSD.org 集群上存有私钥的公钥的登录权限,对某些系统上运行的操作系统替换成了经过审计的 -CURRENT。

由于时间关系,不可能对每个二进制包都重新做审计,因此比较简便的办法,便是全部删去,从备份中恢复没有问题的,并重新联编其他的二进制包。为了尽快恢复服务,这次经过讨论还做出了准备提前淘汰 CVSup 的计划。

公众可见的变化包括:

  • 未来的所有 CVS 导出,都会变成以 "svnexp" 的身份进行。这个脚本会将 svn 中的代码取出,并 commit 到 CVS 中。
  • 全部 FreeBSD.org 目前依赖 CVS 的服务,都会过渡到采用 svn 作为源头。未来将不会再提供 CVS 和 CVSup 服务。
  • 目前 pkgng 网站还没有恢复,具体恢复时间还没有确定。
  • FreeBSD 9.1-RELEASE 将在包联编完之后正式发布。
  • 部分 committer 访问 FreeBSD.org 集群的权限可能受到了影响。由于目前对个人身份的认定很大程度上依赖于 PGP 签名而不是个人身份证件,相关的恢复作业进行了相当久的时间。

我从这次事件中学到的教训是:

  • 设置有效的入侵检测系统十分重要,及时检测入侵,可以有效阻止伤害继续加深(FreeBSD -CURRENT提供了新的分布式审计机制 auditstd,可以作为入侵检测的辅助手段);
  • 现有采用 MD5 的系统应立即升级到采用 SHA512 或 Blowfish 散列;
  • 避免使用弱密码,以及在不同的地方使用同一个密码;
  • 保存 SSH 私钥时,应进行加密,并且使用强密码;
  • 根据角色采用不同的 SSH 私钥,如果使用 SSH authentication agent,应令私钥在一定时间内过期;
  • 正确实施的二元认证,可以帮助拖延攻击者的脚步和令入侵检测系统及时发现问题;
  • 充足的离线备份非常重要;

Monthly Archives

Pages

OpenID accepted here Learn more about OpenID
Powered by Movable Type 5.2.11