启用 SPDY

之前 Frank 同学提到了这个问题，所以今天花了些时间来配置。 nginx 对 SPDY 的支持是一项比较新的特性，只有在 1.3.x 版本以上才支持。FreeBSD 的 nginx-devel 默认并不启用 SPDY，需要在 make config 的阶段启用。

Seagate Barracuda LP固件升级笔记

其实 FreeBSD 本身的 camcontrol(8) 内建了用来刷硬盘/SSD固件的 ‘fwdownload’ 功能，不过因为正好也要稍微调整一下网络的配置，考虑了一下还是去机房本地做好了。

之前 Doug 的观点是刷固件有风险，所以没问题尽量别刷。不过，新版 smartmontools 没事就 nag 一下这事实在是很烦，加上网上找到的说明相当吓人：

The drives are clicking because they are recalibrating due to vibration, the reason they are only exhibiting this issue during idle is because the drive will only recalibrate when idle.

Doing a firmware update to CC35 should resolve this issue.

If it does not you should attempt to mount the drives in a different configuration, we have see using rubber washers can magnify the vibration.

所以还是升级一下好了。CC35 版本固件可以从 这里 下载。

公司/家离机房远的两个好处

今天和同事闲聊的时候同事提到的两个观点。

首先当然是分散风险：发生各种灾害的时候，数据中心越远意味着同时受灾的可能性越小。

然后是让自己更小心：机房离得远，你肯定不会有经常去那的意愿，是的，不管是自己的机器还是老板的机器，后一种情况其实会更有效一些。

增加了一个 DNSsec 的数据采集

📜 历史文件已不具备现实意义

我认为不再需要收集更多数据了。

这个 blog 的首页底部增加了两个图，用来测试访客是否启用了 DNSsec 验证。这项服务是由 Matthäus Wander 和 Torben Weis 提供的，点击这个连接可以检查自己的 DNS 缓存服务器是否会进行 DNSsec 验证。如果没有，可以参考我的这张 作弊条 来自行配置。

从 Google Reader 关闭到冗余不做，日子甭过

霍总几天前发表了一篇blog， Google的社会化梦想与Reader。我仔细想想，似乎也不全是 Google 的问题。

有人说，Google要做的是大众产品，而Reader是小众产品，哪怕它已经成为了半专业的工具，也并不会改变这个事实，甚至于，这反而是件火上浇油的事情。我基本上认同这个说法。

我认为很大程度上，用户的心态也是有问题的。 Google 做出强推 Google+，砍掉 Google Reader 的决定，背后自有其商业方面的考量，至于这决定是对，是错，从用户的角度你很难有立场说"Google这样做对了，或是这样做错了"，能说的，最多也就是"Google这么做哥们很不爽"吧？

还有人去白宫网站发请愿。靠去白宫网站发个请愿，召集几万人签名是根本没用的，至少在我看来就是这样—-想要改变一个公司基于商业考量做的决定，最有效的方法就是让这个决定看起来不那么符合其商业利益，其他一切一切的手段都是无关紧要的。

Shutting down my Google+ account 请各位爱用 Google Reader 的同学一起删除自己的 Google+ 账户以示抗议

As many of you already know, Google have recently decided to shut down their Google Reader service, yet another move since the one happen in 2011 to push their – failing, in my opinion – Google+ product.

记一下PGP密钥的转移过程

今天上午，我和现任 FreeBSD 安全长官 Simon 完成了一次 PGP 密钥的转移，这里记一下过程。

由于这个密钥用于签署安全公告和声明等等，因此非常重要。发送方对于密钥做了三重加密：第一重是 GnuPG 本身的密钥密码；第二重是 AES；第三重是我本人的 PGP 公钥。加密后的结果放到了一台可信的中转服务器上，然后以安全方式取走；用我的 PGP 密钥解密之后，通过两个不同的渠道分别发送 AES 密钥；最后一步的密码采用加密方式发给我，我在解密成功之后，修改密码，并销毁全部中间文件。

Lenovo T530

去年 公司给换了一台 Asus 笔记本，不过因为这个笔记本本质上是个台式机，不便于携带，因此我又买了一台 MacBook Pro 来自用。今年一月份到匹兹堡出差，发现还是需要一台能随身携带的笔记本，所以公司又订了一台 Lenovo T530。

检测中间人攻击

今天在邮件列表里看到 John Nagle （就是发明 TCP Nagle 算法的 那个 John Nagle）提到希望 OpenSSL 提供一些帮助自动检测中间人攻击的 方法。简单地说，因为中间人攻击会改变双方看到的加密流（密钥变了），因此，如果上层协议包含了加密流的某些特征，攻击者想要实施中间人攻击的成本就会大大增加。他同时举了一个例子，一种早期的加密电话会在话机上显示从密文开始的部分计算的两位数字，而通话双方则通过通话来确认数字相同，这样，中间人攻击的实施者就必须解析语音并替换掉相关的字词来避免被发现。

简单的例子是，比如准备发出 HTML/XML 之前，首先发出它们在加密之后的密文的 hash。攻击者如果简单地截获并重新加密文档，则攻击会被立即发现；如果缓冲并重新计算结果，必然会引入延迟；如果事先准备好文件并做好计算，则需要在看到文件之前就准备好这些资料（不过实际应用中，攻击者很可能会选择这么做）。这些都会增加实施中间人攻击的困难。

dovecot的全文搜索

试了一下这个基于 CLucene 的全文搜索，似乎还不错。这里记一下过程。

首先是给 dovecot 安装 Lucene 插件，用 FreeBSD port 来安装的话，只需 make config，选择 LUCENE 然后 portmaster dovecot 即可。

配置也还算容易，我之前已经做了索引与数据分开，因此并不需要单独的配置，只需在 dovecot.conf 中增加：

• ← 上一页
• 下一页 →