March 2013 Archives

其实 FreeBSD 本身的 camcontrol(8) 内建了用来刷硬盘/SSD固件的 'fwdownload' 功能,不过因为正好也要稍微调整一下网络的配置,考虑了一下还是去机房本地做好了。

之前 Doug 的观点是刷固件有风险,所以没问题尽量别刷。不过,新版 smartmontools 没事就 nag 一下这事实在是很烦,加上网上找到的说明相当吓人:

The drives are clicking because they are recalibrating due to vibration, the reason they are only exhibiting this issue during idle is because the drive will only recalibrate when idle.

Doing a firmware update to CC35 should resolve this issue.

If it does not you should attempt to mount the drives in a different configuration, we have see using rubber washers can magnify the vibration.

所以还是升级一下好了。CC35 版本固件可以从 这里 下载。

今天和同事闲聊的时候同事提到的两个观点。

首先当然是分散风险:发生各种灾害的时候,数据中心越远意味着同时受灾的可能性越小。

然后是让自己更小心:机房离得远,你肯定不会有经常去那的意愿,是的,不管是自己的机器还是老板的机器,后一种情况其实会更有效一些。

不过,貌似即使这样,每个系统管理员仍然会有在自己家车库放个机柜的想法?之前听 霍总 说有本书上提到(大意是)这是个奇怪的行业,其他行业的人好像不太会有在自己家放一套工作的设备没事捣鼓捣鼓的想法......

这个 blog 的首页底部增加了两个图,用来测试访客是否启用了 DNSsec 验证。这项服务是由 Matthäus Wander 和 Torben Weis 提供的,点击这个连接可以检查自己的 DNS 缓存服务器是否会进行 DNSsec 验证。如果没有,可以参考我的这张 作弊条 来自行配置。

霍总几天前发表了一篇blog, Google的社会化梦想与Reader。我仔细想想,似乎也不全是 Google 的问题。

有人说,Google要做的是大众产品,而Reader是小众产品,哪怕它已经成为了半专业的工具,也并不会改变这个事实,甚至于,这反而是件火上浇油的事情。我基本上认同这个说法。

我认为很大程度上,用户的心态也是有问题的。 Google 做出强推 Google+,砍掉 Google Reader 的决定,背后自有其商业方面的考量,至于这决定是对,是错,从用户的角度你很难有立场说"Google这样做对了,或是这样做错了",能说的,最多也就是"Google这么做哥们很不爽"吧?

还有人去白宫网站发请愿。靠去白宫网站发个请愿,召集几万人签名是根本没用的,至少在我看来就是这样----想要改变一个公司基于商业考量做的决定,最有效的方法就是让这个决定看起来不那么符合其商业利益,其他一切一切的手段都是无关紧要的。

As many of you already know, Google have recently decided to shut down their Google Reader service, yet another move since the one happen in 2011 to push their -- failing, in my opinion -- Google+ product.

I have just removed Google+ from my iPhone, and shut down my Google+ account, as a protest sent in the "Please tell us why you're leaving" box, I say:

This is a protest because of Google's decision to shut down Google Reader.

Please join me if you are fan of Google Reader and not Google+, please speak up, do so by quitting Google+. I strongly feel regret with the fact that I didn't speak up vocally the last time they pushed Google+ into Google Reader. We need to speak loudly that, look, Google+ didn't work well, Google should be focused in fixing that, not to make Google Reader and other products harder to use, to accomplish certain product managers' KPI.

Lenovo T530

| 15 Comments | No TrackBacks

去年 公司给换了一台 Asus 笔记本,不过因为这个笔记本本质上是个台式机,不便于携带,因此我又买了一台 MacBook Pro 来自用。今年一月份到匹兹堡出差,发现还是需要一台能随身携带的笔记本,所以公司又订了一台 Lenovo T530。

我在 2008 年曾经对 Lenovo 产生了极坏的印象,并决定三年之内不买任何 Lenovo 产品。五年之后,我再一次成为了 Lenovo 笔记本的用户。

这款 T530 大体上沿袭了传统的 ThinkPad T 系列的设计,采用 Ivy Bridge 的 Core i5 处理器,可以选择内建显示和 nVidia 独立显卡。

系统预装了 Windows 7 操作系统,它唯一的使命是帮助升级一系列固件到最新版(主要是 UEFI BIOS);(题外话:不知道是不是现在品牌机都这毛病,上来推销一大堆东西,如 Office、Symantec Anti Virus 等等,并想尽一切办法让"购买"或"免费试用"看起来像是用户必然的选择,十分讨厌)。接下来,用一台 FreeBSD 系统上做的 U 盘启动,删掉现有分区,重做 GPT、建立启动分区和加密分区。

Lenovo T530 预设采用的是 UEFI 启动模式。目前,FreeBSD 尚未提供 UEFI 引导加载器(但这个项目已经 接近完工 了),因此采用 GPT 分区的磁盘会被 UEFI 固件认为是采用 EFI 启动(超微的 UEFI 固件没有这个问题)。因此,需要进入 UEFI 固件将引导模式改为 Legacy only。

目前初步使用发现一切正常。T 系列还是沿用了 Intel 以太网卡,没有学 Dell 用更便宜的 Broadcom 控制芯片,实测局域网可以跑满 1000Mbps 的带宽。无线网络方面因为选的是 Intel Advanced-N 6205,因此没有兼容方面的问题(ACPI模块可能需要稍微小修一下,等测试之后再说)。总体来说,这个笔记本跑 FreeBSD 应该是没有问题的。

检测中间人攻击

| 3 Comments | No TrackBacks

今天在邮件列表里看到 John Nagle (就是发明 TCP Nagle 算法的 那个 John Nagle)提到希望 OpenSSL 提供一些帮助自动检测中间人攻击的 方法。简单地说,因为中间人攻击会改变双方看到的加密流(密钥变了),因此,如果上层协议包含了加密流的某些特征,攻击者想要实施中间人攻击的成本就会大大增加。他同时举了一个例子,一种早期的加密电话会在话机上显示从密文开始的部分计算的两位数字,而通话双方则通过通话来确认数字相同,这样,中间人攻击的实施者就必须解析语音并替换掉相关的字词来避免被发现。

简单的例子是,比如准备发出 HTML/XML 之前,首先发出它们在加密之后的密文的 hash。攻击者如果简单地截获并重新加密文档,则攻击会被立即发现;如果缓冲并重新计算结果,必然会引入延迟;如果事先准备好文件并做好计算,则需要在看到文件之前就准备好这些资料(不过实际应用中,攻击者很可能会选择这么做)。这些都会增加实施中间人攻击的困难。

文中提到的马里兰州大学的论文也值得一读。

Monthly Archives

Pages

OpenID accepted here Learn more about OpenID
Powered by Movable Type 5.2.3