选择chaos这个词是因为~~实在很难找到一个更合适的词来形容这儿了……
在 这里 报名。截止日期为下周五。
Read more...今天发现一台国内的机器流量异常,检查发现这台机器上运行的 DNS 缓存服务被人用作了攻击的放大杠杆,这里简单记一下。
发现流量异常,首先当然是检查服务器上的 TCP 会话,发现了一些不太正常的东西,关闭之后流量减少,但仍然没有回到正常水平。
于是听包。这一听发现一大片:
07:39:53.271744 IP 158.XX.XX.238.53019 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)
07:39:53.271772 IP 158.XX.XX.238.53019 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)
07:39:53.271784 IP 158.XX.XX.238.53019 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)
07:39:53.271792 IP 158.XX.XX.238.53019 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)
07:39:53.274225 IP 92.XX.XX.148.31650 > XX.XX.XX.XX.53: 23600+ [1au] ANY? isc.org. (36)
07:39:53.274252 IP 92.XX.XX.148.31650 > XX.XX.XX.XX.53: 23600+ [1au] ANY? isc.org. (36)
07:39:53.274262 IP 92.XX.XX.148.31650 > XX.XX.XX.XX.53: 23600+ [1au] ANY? isc.org. (36)
07:39:53.274270 IP 92.XX.XX.148.31650 > XX.XX.XX.XX.53: 23600+ [1au] ANY? isc.org. (36)
07:39:53.291822 IP 158.XX.XX.238.13616 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)
07:39:53.291850 IP 158.XX.XX.238.13616 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)
07:39:53.291860 IP 158.XX.XX.238.13616 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)
07:39:53.291869 IP 158.XX.XX.238.13616 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)
07:39:53.291877 IP 92.XX.XX.148.56278 > XX.XX.XX.XX.53: 23600+ [1au] ANY? isc.org. (36)
今年的 Google Summer of Code 的学生报名还有两周左右就要开始了。 FreeBSD 今年已经确定参加,一些可供参考的项目在 这里 可以找到,我也提供了 一项提案。当然,有兴趣的同学也可以提出自己的想法,如果需要,我也可以帮你找到可能有兴趣的 FreeBSD committer。
参加 Google Summer of Code 的学生可以从 Google 获得五千美元的资助(参加 Google Summer of Code 的开源项目可获得每个项目五百美元的资助),这里是 FAQ,报名链接尚未生效,请继续关注。
(另外,持 F1 学生签证在美国境内的中国留学生也可以参加,参见 这里)。
Read more...之前 Frank 同学提到了这个问题,所以今天花了些时间来配置。 nginx 对 SPDY 的支持是一项比较新的特性,只有在 1.3.x 版本以上才支持。FreeBSD 的 nginx-devel 默认并不启用 SPDY,需要在 make config 的阶段启用。
由于之前已经全站基本都已经启用了 HTTPS,因此启用 SPDY 非常简单,只要把 listen 443 后面增加 ssl spdy 即可。
Read more...其实 FreeBSD 本身的 camcontrol(8) 内建了用来刷硬盘/SSD固件的 ‘fwdownload’ 功能,不过因为正好也要稍微调整一下网络的配置,考虑了一下还是去机房本地做好了。
之前 Doug 的观点是刷固件有风险,所以没问题尽量别刷。不过,新版 smartmontools 没事就 nag 一下这事实在是很烦,加上网上找到的说明相当吓人:
The drives are clicking because they are recalibrating due to vibration, the reason they are only exhibiting this issue during idle is because the drive will only recalibrate when idle.
Doing a firmware update to CC35 should resolve this issue.
If it does not you should attempt to mount the drives in a different configuration, we have see using rubber washers can magnify the vibration.
所以还是升级一下好了。CC35 版本固件可以从 这里 下载。
Read more...今天和同事闲聊的时候同事提到的两个观点。
首先当然是分散风险:发生各种灾害的时候,数据中心越远意味着同时受灾的可能性越小。
然后是让自己更小心:机房离得远,你肯定不会有经常去那的意愿,是的,不管是自己的机器还是老板的机器,后一种情况其实会更有效一些。
不过,貌似即使这样,每个系统管理员仍然会有在自己家车库放个机柜的想法?之前听 霍总 说有本书上提到(大意是)这是个奇怪的行业,其他行业的人好像不太会有在自己家放一套工作的设备没事捣鼓捣鼓的想法……
Read more...这个 blog 的首页底部增加了两个图,用来测试访客是否启用了 DNSsec 验证。这项服务是由 Matthäus Wander 和 Torben Weis 提供的,点击这个连接可以检查自己的 DNS 缓存服务器是否会进行 DNSsec 验证。如果没有,可以参考我的这张 作弊条 来自行配置。
Read more...霍总几天前发表了一篇blog, Google的社会化梦想与Reader。我仔细想想,似乎也不全是 Google 的问题。
有人说,Google要做的是大众产品,而Reader是小众产品,哪怕它已经成为了半专业的工具,也并不会改变这个事实,甚至于,这反而是件火上浇油的事情。我基本上认同这个说法。
我认为很大程度上,用户的心态也是有问题的。 Google 做出强推 Google+,砍掉 Google Reader 的决定,背后自有其商业方面的考量,至于这决定是对,是错,从用户的角度你很难有立场说"Google这样做对了,或是这样做错了",能说的,最多也就是"Google这么做哥们很不爽"吧?
还有人去白宫网站发请愿。靠去白宫网站发个请愿,召集几万人签名是根本没用的,至少在我看来就是这样—-想要改变一个公司基于商业考量做的决定,最有效的方法就是让这个决定看起来不那么符合其商业利益,其他一切一切的手段都是无关紧要的。
Read more...As many of you already know, Google have recently decided to shut down their Google Reader service, yet another move since the one happen in 2011 to push their – failing, in my opinion – Google+ product.
I have just removed Google+ from my iPhone, and shut down my Google+ account, as a protest sent in the “Please tell us why you’re leaving” box, I say:
This is a protest because of Google’s decision to shut down Google Reader.
Read more...
今天上午,我和现任 FreeBSD 安全长官 Simon 完成了一次 PGP 密钥的转移,这里记一下过程。
由于这个密钥用于签署安全公告和声明等等,因此非常重要。发送方对于密钥做了三重加密:第一重是 GnuPG 本身的密钥密码;第二重是 AES;第三重是我本人的 PGP 公钥。加密后的结果放到了一台可信的中转服务器上,然后以安全方式取走;用我的 PGP 密钥解密之后,通过两个不同的渠道分别发送 AES 密钥;最后一步的密码采用加密方式发给我,我在解密成功之后,修改密码,并销毁全部中间文件。
为了谨慎起见,这些密钥放在单独隔离的系统中另外管理。
Read more...