通过CDP广播获得上游设备信息

2010-12-06 11:53 | Security | #Cisco

今天跟刘老师讨论交换机问题的时候想到的。记一下这条命令。

tcpdump -nn -v -i em0 -X -s 1500 -c 1 'ether[20:2] == 0x2000'

参与评论

如何：為北美地區 IP 地址增加 whois 記錄

2010-12-02 04:57 | Security

原則上，在 Internet 提供服務的機器，應提供對應的 whois 記錄，以便在出現問題時能夠與事主及時聯絡。北美地區的數字資源，例如 IP 地址、AS號等等，是由 ARIN 負責分配的。

阅读全文…( 本文约 381 字，阅读大致需要 1 分钟 )

旧金山总领事馆换护照攻略

2010-11-29 19:08 | Life | #chinese | #passport | #renew

📜 历史文件已不具备现实意义
本文内容可能已经过时，如有需求请自行 Google。

今天去中国驻旧金山总领事馆换了护照，这里记下过程，希望对别人有用。

需要准备的材料：

原护照原件。如果是正常换发，原护照所剩有效期应少于一年。
填妥的护照申请表。
原护照复印件。主要是护照第一页、来美签证页、包含最后一次出中国入美国境记录戳页，以及 I-94。
除了上述材料之外我还附了 I-797 复印件以及原件。I-797的复印件和护照复印件钉在了一起。我的理解是如果有 I-20、EAD或绿卡，和I-797应该是类似的。领事馆的说明上要求携带这些材料的原件，但实际办理时并没有向我索要。
照片：中国签证处进门左手边可以拍照，会给4张照片（所交材料中需要两张），收费为 $10 现金。注意：咨询了 Mountain View, Redwood City 和 Sunnyvale 的 Costco 1 hour photo，由于规格和美国及印度护照所需的照片不一样（中国护照需要小二寸照片），他们都不能拍摄中国护照所需规格的照片。
所需费用：护照本身 $55，回邮手续费 $5，这两部分费用需要在邮局或银行先购买现金支票（Money Order），收款人title为"Chinese Consulate"。此外，如果不希望回去取的话，需要提前到邮局买好 Express Mail 或 Priority Mail 的信封并付邮资、写好地址。根据表格，UPS和FedEx的预付邮资信封也可以使用，我个人这次选的是 Express Mail。

具体过程如下：

阅读全文…( 本文约 1066 字，阅读大致需要 3 分钟 )

在远程FreeBSD服务器上运行VirtualBox

2010-10-21 21:58 | Distributed Computing

📜 历史文件已不具备现实意义
现时提倡的安装方式为 pkg，本文并未对此进行更新。

VirtualBox可以在远程运行，并把界面通过 ssh 的 X11 转发放到管理员的桌面。

阅读全文…( 本文约 401 字，阅读大致需要 1 分钟 )

在服务器上运行的 ssh-agent

2010-10-11 10:53 | Security

之前 @quakelee 提的一个问题（通道上登录第二台机器作为跳板登录第三台机器，但不把ssh私钥传到中间那台机器上）。如果shell是csh，在 ~/.cshrc 中加入：

source ~/auth.csh
[ -e ${SSH_AUTH_SOCK} ] || ssh-agent -t 15m -c > ~/auth.csh && source ~/auth.csh

然后所有的 csh 就可以使用同一个ssh agent了。

阅读全文…( 本文约 294 字，阅读大致需要 1 分钟 )

基于 Supermicro X7SPA-H (Atom D510) 的路由器(3)

2010-10-01 10:45 | Hardware

📜 历史文件已不具备现实意义
本文介绍的是已经停产的硬件，内容已过时。

之前家里用的那个 Linksys WRT310N 路由器就有相当严重的问题（不排除是DD-WRT的问题），如果连续若干天不重启的话，无线网络的连接有时就会失败。部署新的路由器之后，设置了一个cron任务令其每天早上5:30重启：

30 5 * * * /usr/bin/ssh root@10.253.87.254 reboot > /dev/null 2>&1

当然，执行cron的那个用户需要使用ssh key来登录WRT310N，并事先将key传到WRT310N上面。

由于 FreeBSD 默认会对链路状态的变化进行记录，因此只要查看系统日志就可以知道cron是否真的执行了。

在之前的部分我们讨论过关于功耗的问题。在实际使用过程中，我发现 powerd(8) 对于 CPU 占用的计算是有问题的：它计算的是所有CPU的占用率之和，而比较合理的依据则是占用率最高的CPU的占用率。不过，对 Atom 来说 powerd 能够产生的影响有限，因此如果真在使用Atom系统的话不一定真的需要这个patch。下面这个patch可以让 powerd 更有效地 throttle CPU 的频率：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
Index: usr.sbin/powerd/powerd.c
===================================================================
--- usr.sbin/powerd/powerd.c    (revision 213306)
+++ usr.sbin/powerd/powerd.c    (working copy)
@@ -127,6 +127,7 @@
 {
        static long *cp_times = NULL, *cp_times_old = NULL;
        static int ncpus = 0;
+       int newload;
        size_t cp_times_len;
        int error, cpu, i, total;

@@ -151,7 +152,7 @@
                return (error);

        if (load) {
-               *load = 0;
+               *load = newload = 0;
                for (cpu = 0; cpu < ncpus; cpu++) {
                        total = 0;
                        for (i = 0; i < CPUSTATES; i++) {
@@ -160,8 +161,10 @@
                        }
                        if (total == 0)
                                continue;
-                       *load += 100 - (cp_times[cpu * CPUSTATES + CP_IDLE] -
+                       newload = 100 - (cp_times[cpu * CPUSTATES + CP_IDLE] -
                            cp_times_old[cpu * CPUSTATES + CP_IDLE]) * 100 / total;
+                       if (*load < newload)
+                               *load = newload;
                }
        }

对路由器这样的设备来说，当有软件 bug 的时候，我们往往希望系统自己恢复并报告问题，而不是等待用户去用调试器现场调试。想要达到这个目的，可以使用 watchdog 机制。在这款主板上有两个 watchdog，其中系统没有自带的那个 Winbond watchdog 的驱动如下：

阅读全文…( 本文约 3111 字，阅读大致需要 7 分钟 )

对齐操作和非对齐操作

2010-09-30 14:16 | Kernel

操作是否对齐是一个简单而容易忽略的性能（有时是可靠性）问题。对齐主要是指读写操作不产生不必要地跨越存储设备上原生存储单元的访问，这里的存储单元说的是在访问路径上的任何设备，它可以是外存，也可以是内存，甚至是CPU附近或内建的快取缓存，等等。

阅读全文…( 本文约 1145 字，阅读大致需要 3 分钟 )

关于备份

2010-09-28 20:24 | Security

指望硬盘不挂掉是很拼人品的事情（附带说一句，从某种意义上说，21世纪的硬盘质量并没有下降，只是单位容量出现故障的概率没有显著提高，而硬盘容量的扩大使得单块硬盘的故障率看起来提高了，但是如果我们从单位容量的故障率来看，坏损率并没有非常显著的增长）。所以想要长久地保存数据，就必须采用各式各样的冗余和备份手段。冗余和备份是不一样的，前者往往会采用同样的访问控制逻辑，提供在线或近线的数据存储，强调的是数据访问的及时性；而后者则强调的是数据的可恢复性。

关于访问控制

一般来说，不希望备份与原始数据采取相同的访问控制机制。例如，对网站来说，可以读写数据库的那个 Web 访客的数据库账户，很可能并不能直接读写网站的备份数据。有时，备份甚至是以一种"外科手术"的方式进行的：对文件系统做快照，然后将快照打包发到异地的另一套系统。

阅读全文…( 本文约 1155 字，阅读大致需要 3 分钟 )

出现钓支付宝鱼的网站了

2010-09-26 12:14 | Security

今天看到一则消息说，百度搜索支付宝会找到一个钓鱼网站（现在应该已经撤掉了）。去那个钓鱼网站看了一眼，发现居然是装的正版支付宝插件。

相信插件能保护客户的安全的人可以洗洗睡了，你们根本不配说「安全」两个字，除了供一两个三流技术人员拿大量客户计算机的安全开玩乐和练手之外，这些控件没有价值。

参与评论

基于 Supermicro X7SPA-H (Atom D510) 的路由器(2)

2010-09-26 11:01 | Development

续前。

除了硬件上直接采用的降噪措施之外，一些软件方面的配置也可以提高其效果。

首先是BIOS中的配置。风扇转速最低可调整为"Energy Saving"（即使用30%的频率）。启用Active Power State之后，可节省大约2W左右的耗电（这个选项的默认值是Disabled）。

然后是FreeBSD本身的配置。我个人采用的配置包括：

禁用硬盘的APM。WD的这款硬盘默认的APM值为128，这样它每隔大约10秒没有操作时就会将磁盘转速降低。这类操作对磁盘的寿命有一定影响（一般来说磁盘的机械部分支持10万到20万次这样的操作），因此可将其设为254；
启用磁盘的AAM。这个配置的好处是让磁盘控制其磁头臂的加速度，其效果是减少噪音，并且有一定的节能效果。注意：实际测试显示这个设置产生的节能效果基本上可以忽略不计，并且会稍微降低一些性能。磁盘的AAM数值设置为128（默认为254）；
将经常写的日志放到 /tmp （使用tmpfs）；
将收集entropy（随机数种子）的频率由每11分钟一次降低到每天一次；
启用 AHCI 磁盘驱动；将ahci通道的pm_level全部设置为5（设备在闲置125ms之后可申请通道链路进入SLUMBER模式）
禁用APIC时钟。
禁用AT RTC时钟。
对于没有驱动的PCI设备，将其置入D3模式（停电）。

上述设置，除了ahci部分之外，可将系统闲置时的功耗降低到17W左右。

以下是实现中采用的loader.conf相关的部分：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10

hint.apic.0.clock=0
hint.atrtc.0.clock=0
hw.pci.do_power_nodriver=3
hint.ahcich.0.pm_level=5
hint.ahcich.1.pm_level=5
hint.ahcich.2.pm_level=5
hint.ahcich.3.pm_level=5
hint.ahcich.4.pm_level=5
hint.ahcich.5.pm_level=5

阅读全文…( 本文约 4499 字，阅读大致需要 9 分钟 )