谈谈怎样正确认识事物
最近在抖音、知乎上偶尔会刷到一些解读《毛选》的内容,不提这些解读自身的质量高低,这些博主的一个观点我非常赞同,那就是老一辈革命家在认识问题、分析问题,以及对唯物辩证法的运用上,是要远远超过我们这些年轻人的,一方面是当时革命局势动荡剧烈,有充分的实践机会,另一方面是革命斗争极其残酷,大浪淘沙,能生存下来的都是精英。因此,学习这些经典著作,并站在他们当时的视角思考问题,非常有助于提升我们的认知水平。
WireGuard Over VLESS——一个更稳定的三层隧道
WireGuard 作为一个更现代、更先进的 VPN 实现,比起传统的 IPSec、OpenVPN 等,效率更高、搭建更便捷,且已经合并入 Linux 内核,安装使用更加方便,被越来越多地应用在跨境隧道的使用当中,例如国内和国外机器通过 WireGuard 打通隧道,变成伪 IPLC 专线,有了这一层 VPN 协议的包裹,在伪专线中跑各类 Socks、SS 等代理协议就会多了一层保护,不再是裸奔状态。
但是,WireGuard 使用 UDP 实现,本身并非为了规避审查而设计,与代理协议一样存在被识别、干扰、阻断的问题,而且 UDP 在晚高峰时段速度时高时低,稳定性堪忧。因此,十分有必要给 WireGuard 再套一个隧道。
构筑局部优势——浅谈应用安全「全局视野」建设
写在前面
如果将大中型企业的信息安全比作一座城池,那么,外部攻击者相当于城外汹涌而来,四面围困的『十万大军』,企业安全团队的安全建设工作就相当于要在这个城墙参差不齐且四处是豁口的大城外构筑一条防线,将这些攻击者牢牢挡在门外。
但是,外部攻击者数量庞大,源源不绝,只要找到一处薄弱点,就可长驱直入,而安全团队人力捉襟见肘,不仅要将防线建设的「滴水不漏」,还要时刻注意「内鬼」、「间谍」,这从一开始就是一场不对等的对抗。
面对这样的态势,防守方应该如何着手呢?借用军事理论的思想,在战略上,相对弱势的防守方应该集中力量,争取在每一个局部占据绝对优势,保证每一个具体战役的胜利。
这样,在全体上,我们是劣势(就数量来说),但在每一个局部上,在每一个具体战役上,我们是绝对的优势,这就保证了战役的胜利。随着时间的推移,我们就将在全体上转变为优势,直到歼灭一切敌人。
——《十大军事原则》
那么,具体到企业安全建设,应该怎样取得局部优势呢?
不难想到,对于企业安全团队,他们最大的优势是内部信息的透明。身处企业内部,能方便地知道总共有哪些域名,知道每个应用有哪些接口,分别对应了什么参数,知道所有的机器上都跑着什么进程,开放了什么端口服务,知道中间件、研发框架、三方依赖的具体情况等等,基于这样的信息差,企业安全可以将自己处于劣势的总人力用来提升最薄弱的地方。
但是,「能方便地知道」不代表已经知道,「信息透明」不代表获取到了信息。获取信息、消化信息,构建局部优势,打造企业安全「全局视野」,也是一个浩大的工程。本文将从这一主题入手,以「全局视野」为目标,理一理各类安全能力的演进思路。
macOS下IDEA、PyCharm、WebStorm等IDE的字体渲染问题
JetBrains 系列的 IDE ,在 2020.1.3 后的版本中,有较大几率会出现外接显示器上的字体渲染问题,反锯齿选项中的 Subpixel 会莫名其妙的消失,然后 fallback 到 Greyscale 上。
个人云服务架构升级实践
最近杂七杂八自己部署了好些应用,分布在几台机器上,分别管理各自的 HTTPS 证书、Nginx 配置非常繁琐,有些机器上装了 VeryNginx 当 WAF 用,有些机器又没装,显得很杂乱,决定改一下架构。
利用 GOST 搭建加密中转隧道
大陆网络出境环境日益恶劣,很多人都利用了国内的服务器来中转流量,比如采用阿里云、腾讯云等国内 BGP 线路中转流量落地到香港 PCCW、日本 NTT 等线路,相对于直接采购一条 CN2 线路有时候成本更低。
基本上大多数人都用的最简单的 iptables 或者 socat 转发,直接将收到的包转到落地节点,本来这并没有什么问题,但自 2020 年以来,墙不断发威,SS/SSR 直连会被非常迅速的识别并封禁。同时又有研究人员指出,SS 的普通流加密存在非常严重的中间人攻击,可以以一种很巧妙的方式轻易解密数据包。此时,构建一条加密中转隧道就成了必要的选择。
SSPanel V3 Mod UIM 对接 V2Ray 后端
除夕墙又封了一波,之前配的 SSR 单端口挂了,迁移端口后,想到现在 SSR 基本处于停止状态,新出的各类客户端很多也拒绝支持 SSR,最好能全部迁到原版 SS 上去,但是原版 SS 又不支持单端口多用户,在有些 IPLC 机器和 NAT 的机器上没法用,只能再看看 V2Ray 了。
腾讯云你不会写systemd就别瞎写
本来不想骂人的,但是腾讯云的这东西也写的太恶心了,已经破坏了系统正常功能,忍不住。
攻击未授权访问的 Flink 集群
Flink 是一个针对流数据和批数据的分布式处理引擎,与 Storm 一起广泛应用于分布式实时计算场景中,且在某些场景下 Flink 性能要优于 Storm。然而 Flink 默认提供的 Web UI 却不支持鉴权,这就引发了非常明显的未授权问题。
利用Cookie机制鉴别Tor Browser和爬虫
大概从8月6号中午开始,「暗网交易市场」的爬虫就开始疯狂报「登录失败」的错误,下午抽空修复了一下,发现deepmix的站长利用了一个Cookie机制配合Tor Browser的特性很巧妙地区分出正常访问和爬虫,记录一下浪费在这上面的两个小时。