与上篇 《谈谈怎样正确认识事物》 一样,这次我们继续学习党内元老的文章。李瑞环,1987年当选为中共中央政治局委员,1989年至2002年担任中共中央政治局常委,为第八、九届全国政协主席(1993年-2003年)。1978年,李瑞环同志发表了一篇文章,名为《要精心再精心地分析和解决矛盾》,重点讲述了在知道建设毛主席纪念堂期间,如何活学活用矛盾分析方法,在半年内多快好省地建设好毛主席纪念堂。
原文全程干货,清晰明了,因此不做过多的发散和阐述,只节选关键节点并梳理层次逻辑,强烈建议通读原文。
最近在抖音、知乎上偶尔会刷到一些解读《毛选》的内容,不提这些解读自身的质量高低,这些博主的一个观点我非常赞同,那就是老一辈革命家在认识问题、分析问题,以及对唯物辩证法的运用上,是要远远超过我们这些年轻人的,一方面是当时革命局势动荡剧烈,有充分的实践机会,另一方面是革命斗争极其残酷,大浪淘沙,能生存下来的都是精英。因此,学习这些经典著作,并站在他们当时的视角思考问题,非常有助于提升我们的认知水平。
WireGuard 作为一个更现代、更先进的 VPN 实现,比起传统的 IPSec、OpenVPN 等,效率更高、搭建更便捷,且已经合并入 Linux 内核,安装使用更加方便,被越来越多地应用在跨境隧道的使用当中,例如国内和国外机器通过 WireGuard 打通隧道,变成伪 IPLC 专线,有了这一层 VPN 协议的包裹,在伪专线中跑各类 Socks、SS 等代理协议就会多了一层保护,不再是裸奔状态。
但是,WireGuard 使用 UDP 实现,本身并非为了规避审查而设计,与代理协议一样存在被识别、干扰、阻断的问题,而且 UDP 在晚高峰时段速度时高时低,稳定性堪忧。因此,十分有必要给 WireGuard 再套一个隧道。
如果将大中型企业的信息安全比作一座城池,那么,外部攻击者相当于城外汹涌而来,四面围困的『十万大军』,企业安全团队的安全建设工作就相当于要在这个城墙参差不齐且四处是豁口的大城外构筑一条防线,将这些攻击者牢牢挡在门外。
但是,外部攻击者数量庞大,源源不绝,只要找到一处薄弱点,就可长驱直入,而安全团队人力捉襟见肘,不仅要将防线建设的「滴水不漏」,还要时刻注意「内鬼」、「间谍」,这从一开始就是一场不对等的对抗。
面对这样的态势,防守方应该如何着手呢?借用军事理论的思想,在战略上,相对弱势的防守方应该集中力量,争取在每一个局部占据绝对优势,保证每一个具体战役的胜利。
这样,在全体上,我们是劣势(就数量来说),但在每一个局部上,在每一个具体战役上,我们是绝对的优势,这就保证了战役的胜利。随着时间的推移,我们就将在全体上转变为优势,直到歼灭一切敌人。
——《十大军事原则》
那么,具体到企业安全建设,应该怎样取得局部优势呢?
不难想到,对于企业安全团队,他们最大的优势是内部信息的透明。身处企业内部,能方便地知道总共有哪些域名,知道每个应用有哪些接口,分别对应了什么参数,知道所有的机器上都跑着什么进程,开放了什么端口服务,知道中间件、研发框架、三方依赖的具体情况等等,基于这样的信息差,企业安全可以将自己处于劣势的总人力用来提升最薄弱的地方。
但是,「能方便地知道」不代表已经知道,「信息透明」不代表获取到了信息。获取信息、消化信息,构建局部优势,打造企业安全「全局视野」,也是一个浩大的工程。本文将从这一主题入手,以「全局视野」为目标,理一理各类安全能力的演进思路。
JetBrains 系列的 IDE ,在 2020.1.3 后的版本中,有较大几率会出现外接显示器上的字体渲染问题,反锯齿选项中的 Subpixel 会莫名其妙的消失,然后 fallback 到 Greyscale 上。
最近杂七杂八自己部署了好些应用,分布在几台机器上,分别管理各自的 HTTPS 证书、Nginx 配置非常繁琐,有些机器上装了 VeryNginx 当 WAF 用,有些机器又没装,显得很杂乱,决定改一下架构。
大陆网络出境环境日益恶劣,很多人都利用了国内的服务器来中转流量,比如采用阿里云、腾讯云等国内 BGP 线路中转流量落地到香港 PCCW、日本 NTT 等线路,相对于直接采购一条 CN2 线路有时候成本更低。
基本上大多数人都用的最简单的 iptables 或者 socat 转发,直接将收到的包转到落地节点,本来这并没有什么问题,但自 2020 年以来,墙不断发威,SS/SSR 直连会被非常迅速的识别并封禁。同时又有研究人员指出,SS 的普通流加密存在非常严重的中间人攻击,可以以一种很巧妙的方式轻易解密数据包。此时,构建一条加密中转隧道就成了必要的选择。
除夕墙又封了一波,之前配的 SSR 单端口挂了,迁移端口后,想到现在 SSR 基本处于停止状态,新出的各类客户端很多也拒绝支持 SSR,最好能全部迁到原版 SS 上去,但是原版 SS 又不支持单端口多用户,在有些 IPLC 机器和 NAT 的机器上没法用,只能再看看 V2Ray 了。
本来不想骂人的,但是腾讯云的这东西也写的太恶心了,已经破坏了系统正常功能,忍不住。
Flink 是一个针对流数据和批数据的分布式处理引擎,与 Storm 一起广泛应用于分布式实时计算场景中,且在某些场景下 Flink 性能要优于 Storm。然而 Flink 默认提供的 Web UI 却不支持鉴权,这就引发了非常明显的未授权问题。