MENU

兼总条贯 知至知终

谈谈怎样分析和解决问题

与上篇 《谈谈怎样正确认识事物》 一样,这次我们继续学习党内元老的文章。李瑞环,1987年当选为中共中央政治局委员,1989年至2002年担任中共中央政治局常委,为第八、九届全国政协主席(1993年-2003年)。1978年,李瑞环同志发表了一篇文章,名为《要精心再精心地分析和解决矛盾》,重点讲述了在知道建设毛主席纪念堂期间,如何活学活用矛盾分析方法,在半年内多快好省地建设好毛主席纪念堂。

原文全程干货,清晰明了,因此不做过多的发散和阐述,只节选关键节点并梳理层次逻辑,强烈建议通读原文。

Read More

谈谈怎样正确认识事物

最近在抖音、知乎上偶尔会刷到一些解读《毛选》的内容,不提这些解读自身的质量高低,这些博主的一个观点我非常赞同,那就是老一辈革命家在认识问题、分析问题,以及对唯物辩证法的运用上,是要远远超过我们这些年轻人的,一方面是当时革命局势动荡剧烈,有充分的实践机会,另一方面是革命斗争极其残酷,大浪淘沙,能生存下来的都是精英。因此,学习这些经典著作,并站在他们当时的视角思考问题,非常有助于提升我们的认知水平。

Read More

WireGuard Over VLESS——一个更稳定的三层隧道

WireGuard 作为一个更现代、更先进的 VPN 实现,比起传统的 IPSec、OpenVPN 等,效率更高、搭建更便捷,且已经合并入 Linux 内核,安装使用更加方便,被越来越多地应用在跨境隧道的使用当中,例如国内和国外机器通过 WireGuard 打通隧道,变成伪 IPLC 专线,有了这一层 VPN 协议的包裹,在伪专线中跑各类 Socks、SS 等代理协议就会多了一层保护,不再是裸奔状态。

但是,WireGuard 使用 UDP 实现,本身并非为了规避审查而设计,与代理协议一样存在被识别、干扰、阻断的问题,而且 UDP 在晚高峰时段速度时高时低,稳定性堪忧。因此,十分有必要给 WireGuard 再套一个隧道。

Read More

构筑局部优势——浅谈应用安全「全局视野」建设

写在前面

如果将大中型企业的信息安全比作一座城池,那么,外部攻击者相当于城外汹涌而来,四面围困的『十万大军』,企业安全团队的安全建设工作就相当于要在这个城墙参差不齐且四处是豁口的大城外构筑一条防线,将这些攻击者牢牢挡在门外。
但是,外部攻击者数量庞大,源源不绝,只要找到一处薄弱点,就可长驱直入,而安全团队人力捉襟见肘,不仅要将防线建设的「滴水不漏」,还要时刻注意「内鬼」、「间谍」,这从一开始就是一场不对等的对抗。
面对这样的态势,防守方应该如何着手呢?借用军事理论的思想,在战略上,相对弱势的防守方应该集中力量,争取在每一个局部占据绝对优势,保证每一个具体战役的胜利。

这样,在全体上,我们是劣势(就数量来说),但在每一个局部上,在每一个具体战役上,我们是绝对的优势,这就保证了战役的胜利。随着时间的推移,我们就将在全体上转变为优势,直到歼灭一切敌人。
——《十大军事原则》

那么,具体到企业安全建设,应该怎样取得局部优势呢?
不难想到,对于企业安全团队,他们最大的优势是内部信息的透明。身处企业内部,能方便地知道总共有哪些域名,知道每个应用有哪些接口,分别对应了什么参数,知道所有的机器上都跑着什么进程,开放了什么端口服务,知道中间件、研发框架、三方依赖的具体情况等等,基于这样的信息差,企业安全可以将自己处于劣势的总人力用来提升最薄弱的地方。
但是,「能方便地知道」不代表已经知道,「信息透明」不代表获取到了信息。获取信息、消化信息,构建局部优势,打造企业安全「全局视野」,也是一个浩大的工程。本文将从这一主题入手,以「全局视野」为目标,理一理各类安全能力的演进思路。

Read More

个人云服务架构升级实践

最近杂七杂八自己部署了好些应用,分布在几台机器上,分别管理各自的 HTTPS 证书、Nginx 配置非常繁琐,有些机器上装了 VeryNginx 当 WAF 用,有些机器又没装,显得很杂乱,决定改一下架构。

Read More

利用 GOST 搭建加密中转隧道

大陆网络出境环境日益恶劣,很多人都利用了国内的服务器来中转流量,比如采用阿里云、腾讯云等国内 BGP 线路中转流量落地到香港 PCCW、日本 NTT 等线路,相对于直接采购一条 CN2 线路有时候成本更低。

基本上大多数人都用的最简单的 iptables 或者 socat 转发,直接将收到的包转到落地节点,本来这并没有什么问题,但自 2020 年以来,墙不断发威,SS/SSR 直连会被非常迅速的识别并封禁。同时又有研究人员指出,SS 的普通流加密存在非常严重的中间人攻击,可以以一种很巧妙的方式轻易解密数据包。此时,构建一条加密中转隧道就成了必要的选择。

Read More

SSPanel V3 Mod UIM 对接 V2Ray 后端

除夕墙又封了一波,之前配的 SSR 单端口挂了,迁移端口后,想到现在 SSR 基本处于停止状态,新出的各类客户端很多也拒绝支持 SSR,最好能全部迁到原版 SS 上去,但是原版 SS 又不支持单端口多用户,在有些 IPLC 机器和 NAT 的机器上没法用,只能再看看 V2Ray 了。

Read More

攻击未授权访问的 Flink 集群

Flink 是一个针对流数据和批数据的分布式处理引擎,与 Storm 一起广泛应用于分布式实时计算场景中,且在某些场景下 Flink 性能要优于 Storm。然而 Flink 默认提供的 Web UI 却不支持鉴权,这就引发了非常明显的未授权问题。

Read More