Posts

服务器的公钥只能确保拥有私钥的服务器（或人）能够解密信息，但它本身并不能确认服务器的身份。在实践中有很多种不同的方法来确保公钥确实来自受信任的服务器，在通常的SSL/TLS协商过程中，采用的方法是根据证书链来逐层验证公钥是否是有效的及其身份。简单地说，就是以安全的方法（例如安装光盘，或互相认证的签名等）事先将证书链上的某一个或某几个证书发给客户端，以便其验证最终用于服务器的安全证书。关于这一流程的具体细节，已经有很多文章进行了介绍，在此不再赘述。

如此，我们在实现采用SSL/TLS的服务器的时候，需要为证书准备的事项包括：

找到一家被客户端信任的、具备签发证书资质的发证机构。发证机构可以是根CA（对于浏览器来说，通常可以在安全选项中找到类似"查看证书"之类的选项），也可以是这些根CA认可的二级发证机构。
收集用于验证服务器身份的信息，例如服务器的FQDN，等
生成一对用于SSL/TLS的公钥/私钥。

有了这些信息，就可以制作证书申请（CSR）供发证机构去签名了。一般来说，发证机构需要首先验证申请人的身份信息，然后对CSR提交的信息进行核对和签名，并将签名之后的证书发给申请者，或供其下载。下面以 FreeBSD、OpenSSL 为例介绍从生成公钥/私钥对到签发、安装证书的全过程。

阅读全文…( 本文约 1666 字，阅读大致需要 4 分钟 )

胡适《赠与今年的大学毕业生》（1932）

2010-07-14 23:55 | Shared Chaos

一两个星期里,各地的大学都有毕业的班次，都有得多的毕业生离开学校去开始他们的成人事业。

学生的生活是一种享有特殊优待的生活，不妨幼稚一点，不妨吵吵闹闹，社会都能纵容他们，不肯严格的要他们负行为的责任。现在他们要撑起自己的肩膀来挑他们自己的担子了。在这个国难最紧急的年头，他们的担子真不轻！我们祝他们的成功，同时也不忍不依据自己的经验，赠他们几句送行的赠言，—-虽未必是救命毫毛，也许做个防身的锦囊罢！

阅读全文…( 本文约 3548 字，阅读大致需要 8 分钟 )

OpenLDAP断电导致故障修复一例

2010-07-13 08:22 | Life | #data recovery | #openldap

📜 历史文件已不具备现实意义
OpenLDAP 现已转为使用 lmdb。

今天帮陈总研究一个奇怪的问题的时候误操作导致机器停止ssh响应，遂请机房重启。由于机房做的是power cycle，导致部分数据丢失。先前在配置OpenLDAP时，忘记在其中配置checkpoint，另外也没有对这台机器的LDAP进行备份，因此只好尝试从现有的数据库中恢复。冗余不做，日子甭过；备份不做，十恶不赦！

记录一下修复过程。

第一件事是把出问题的数据库做一份备份：rsync -av /var/db/openldap-data/ /var/db/openldap-data.old/

接着尝试slapcat。出现下面的错误：

1
2
3
4
5
6
bdb(dc=********.com): file id2entry.bdb has LSN 1/1476384, past end of log at 1/374639
bdb(dc=********.com): Commonly caused by moving a database from one database environment
bdb(dc=********.com): to another without clearing the database LSNs, or by removing all of
bdb(dc=********.com): the log files from a database environment
bdb(dc=********.com): /var/db/openldap-data/id2entry.bdb: unexpected file type or format
bdb_db_open: database "dc=********.com": db_open(/var/db/openldap-data/id2entry.bdb) failed: Invalid argument (22).

尝试使用BerkeleyDB的修复工具修复：

1
2
3
4
5
# db_recover-4.6 -vvf
Finding last valid log LSN: file: 1 offset 374639
recovery 0% completeRecovery starting from [1][374527]
recovery 67% completeRecovery complete at Tue Jul 13 16:41:59 2010
Maximum transaction ID 800000c0 Recovery checkpoint [1][374639]

slapcat发现问题依旧。搜索Google发现答案基本上都是从备份中恢复，看了一下Oracle的网站，关于这类问题也没有很好的办法。尝试将bdb文件dump出来再load回去：

1
2
3
4
5
db_recover-4.6 -vvf
db_dump-4.6 id2entry.bdb > /tmp/id2entry.dump
rm id2entry.bdb
db_load-4.6 id2entry.bdb < ~/id2entry.dump
db_recover-4.6 -vvf

再次slapcat，发现对另一文件报错，用类似的方法修补之后，slapcat成功。

将slapcat的输出导出到一个文件中： slapcat > /tmp/my.ldif

然后，删除OpenLDAP数据目录：rm /var/db/openldap-data/_* /var/db/openldap-data/[a-z]*

最后，重新使用导出的ldif文件恢复：slapadd -l /tmp/my.ldif。

至此，恢复完成。

阅读全文…( 本文约 1071 字，阅读大致需要 3 分钟 )

FreeBSD 1U服务器参考配置

2010-07-12 19:17 | *nix and Win32 Kernel

📜 历史文件已不具备现实意义
本文介绍的是已经停产的硬件，内容已过时。

此配置确认可配合 FreeBSD/amd64 8.1-RELEASE 使用。实际运行时功率少于100W（110V电的情况下电流小于0.9A），供参考。

阅读全文…( 本文约 678 字，阅读大致需要 2 分钟 )

测试SSL

2010-07-12 05:00 | Development

周末抽时间对网站做了一些调整。主要是把网站迁移到nginx上，不过遇到一些问题。Movable Type以FCGI::Spawn运行的时候，有时会反复出现先前的页面（例如，在mt.cgi上登录时，在提交登录之后仍会出现登录界面，而不是正常完成登录）。用ktrace看了一下FastCGI进程，结果发现之前看到的资料里面有相当多的小问题，但这个问题最终没有解决，暂时起了一个Apache来以cgi方式处理来绕过问题了。

阅读全文…( 本文约 239 字，阅读大致需要 1 分钟 )

如何：为小于 /24 的 IPv4 网段实现反解析

2010-05-22 22:04 | Security | #DNS | #IP address | #Protocols

以前一直以为这事必须由ISP以个案的方式去做，最近跟北美一家ISP接触加上查阅资料以后发现其实早就有办法，原理和普通的域名解析类似，也是可以使用delegate和glue去把解析权移交给持有IP的客户，从而减少ISP自己的负担，在这里记一笔。

阅读全文…( 本文约 785 字，阅读大致需要 2 分钟 )

FAST 2010第二天

2010-02-26 21:14 | Development | #Distributed File System | #FlashMemory | #Fusion-io

今天的话题都是我比较感兴趣的。

开场的Keynote是eBay的Oliver Ratzesberger的 Enterprise Analytics on Demand。eBay每天的数据增量是50TB，而每天的数据处理量是50PB。这个presentation讲了相当多的规划方面的细节。

第一篇 DFS: A File System for Virtualized Flash Storage 介绍的是一个把卷管理（并不完全是：包含了Flash的wear leveling）和文件系统集成在一起的设计。FusionIO公司提供了一种直接在PCIe接口上插的存储设备。类似这样的设计，感觉是未来Flash文件系统必须要走的一条路。

第二篇 Extending SSD Lifetimes with Disk-Based Write Caches 是一个很有意思的设计：现时磁盘的反复擦写寿命要远好于Flash，因此，在磁盘上做一个顺序写入的日志，然后再择机将数据擦写回Flash。不过这篇论文讨论的具体方案还有一定的改进余地。

第三篇 Write Endurance in Flash Drives: Measurements and Analysis 是关于 Flash 寿命的衡量方法。

阅读全文…( 本文约 542 字，阅读大致需要 2 分钟 )