美金博客

电影：<O Brother, Where Art Thou?>

<man of constant sorrow >

歌词：

Feat. Dan Tyminski
(In constant sorrow through his days )
I am a man of constant sorrow
I’ve seen trouble all my day.
I bid farewell to old Kentucky
The place where I was born and raised.
(The place where he was born and raised )
Hartford John
For six long years I’ve been in trouble
No pleasures here on earth I found
For in this world I’m bound to ramble
I have no friends to help me now.
(chorus) He has no friends to help him now
It’s fare thee well my old lover
I never expect to see you again
For I’m bound to ride that northern railroad
Perhaps I’ll die upon this train.
(chorus) Perhaps he’ll die upon this train.
You can bury me in some deep valley
For many years where I may lay
Then you may learn to love another
While I am sleeping in my grave.
(chorus) While he is sleeping in his grave.
Maybe your friends think I’m just a stranger
My face you’ll never see no more.
But there is one promise that is given
I’ll meet you on God’s golden shore.
(chorus) He’ll meet you on God’s golden shore.

转载一篇isc的文档:

http://www.isc.org/index.pl?/sw/bind/docs/support_bulletin_200707.php

ISC Support Bulletin - July 2007
Document last updated: 2007-07-30

There has been some confusion surrounding the changes to the “allow-recursion” and “allow-query-cache” options made with BIND 9.4.1-P1.

This document will attempt to clarify the change and the impact that it makes on BIND servers.

In BIND 9.3, there was no segregation of queries between cache and authoritative data.

The release of BIND 9.4 added fine-grained differentiation between queries against authoritative data (”allow-query”) and cached data (”allow-query-cache”). This allows more precise control, particularly if you do not want your clients to use any cached data, for example, in an authoritative-only nameserver.

Prior to the release of BIND 9.4.1-P1, the default action of “allow-recursion” and “allow-query-cache” was to permit the query. The P1 patch to BIND 9.4.1 caused two changes in this behavior:

1) If not explicitly set, the ACLs for “allow-query-cache” and “allow-recursion” were set to “localnets; localhost;”.

2) If either “allow-query-cache” or “allow-recursion” was set, the other would be set the same value.

Upgrading from the BIND 9.3 branch to BIND 9.4.1-P1 will significantly restrict those servers that were previously recursive servers for more than “localhost; localnets;” unless configuration changes are made.

To retain the behavior prior to BIND 9.4.1-P1, the following entries should be created in your named.conf file:
Code:

 options {
     ...
     allow-recursion { any; };
     allow-query { any; };
     allow-query-cache { any; };
     ...
 };

We strongly advise against this configuration because clients spoofing queries can use your servers to launch distributed denial-of-service attacks.

The recommended method is to create ACLs that match hosts that should be allowed access to cache and recursion on the servers. For example, if you wanted to provided recursion and access to the cache to clients you trusted, you could list them in an ACL such as the following:
Code:

 acl "trusted" {
     192.168.0.0/16;
     10.153.154.0/24;
     localhost;
     localnets;
 };

 options {
     ...
     allow-query { any; };
     allow-recursion { trusted; };
     allow-query-cache { trusted; };
     ...
 };

软件有bug比较常见，协议有漏洞一般还是比较少。距离7月8日发现的DNS协议漏洞已经过去一周时间了，似乎互联网上并未爆出由此次DNS漏洞引发的重大安全新闻。这得益于发现漏洞的大牛Dan Kaminsky低调的处理风格：没有率先公开漏洞，而是先召集了相关DNS server软件厂商来出相关的patch，并声称即便对补丁反向工程也没什么用。

DNS安全无小事，关于此次协议漏洞的中文说明可以看delphij的Blog。计算机技术发展的太快，很多原有的协议设计已经慢慢的捉襟见肘了，就像Bill Gates声称640k memory对任何人都够用一样，成为历史的速度太快了。

每次在清晨迎着太阳从客户机房出来的时候，我就常常想放弃这个职业。

先假想这样一个场景：

作为工程师赶到用户机房现场，发现了一个棘手的问题，希望办公室的同事可以一起帮助解决。这个时候你常用的做法:
1,打电话，却发现有些问题经常说不清楚，毕竟同事不在现场。
2,发邮件，这种异步的工作方式，效率很是低下。
3, IM软件上贴信息，再配合上打电话。这种方式好些，但常常发现你认为无关紧要的，没有贴上来/提及的信息居然是问题的关键，从而影响了问题解决的速度。

现在有了一个更好的选择了：Sun Shared Shell 在SUN的网站上有个非常容易记忆的URL： http://www.sun.com/123

上面是原理示意图，简单的来说就是如下步骤：

前提：
1,你所在的网络可以登录到目标服务器上(通过telnet/ssh)，并且可以访问到SUN的网站（通过proxy亦可）并且有mysun的帐号(免费注册)，浏览器支持JAVA。
2, 你的同事可以访问到SUN的网站，并且有mysun的帐号(免费注册)，浏览器支持JAVA。
步骤：
1, 访问http://www.sun.com/123 ，点击  Launch Shared Shell » 运行弹出的JAVA程序。

如图，左端是mysun帐号的登录栏，右面则指定你需要登录的目标服务，可以选择ssh或者 telnet方式。

2,登录后出现如下窗口，最上方是登录后的目标服务器的terminal，左下是与其他人聊天的窗口，右下是与会者。
你在terminal中的键入的命令及输出，与会者都能及时的看到，甚至可以用右上角的铅笔做标记。

上图的实例中，与会者仅有我自己，其他人则是要靠邀请来的。

3, 邀请他人点击上方工具栏中的conference->invite…

将这个生成的Invitation Key告知你要邀请的同事，他在登录mysun帐号的同时就可以参与近来了。而且还有三个级别的权限设置，不仅可以让同事只读你的操作，更能让他亲自操刀帮你解决问题。
这个SUN Shared shell工具可以完整保留操作记录到本地机器，另外更重要的一点是：客户机与SUN网站之间的信息流是完全SSL加密的，不用担心安全问题。

这个工具的创意我们完全可以找到新的用途：

1, 网络培训/授课。让所有与会者打开skype的语音会议，老师做为Initiator，在实验室中就可以给世界各地的学生们来上一堂UNIX管理/编程的课程，还可以给学生亲自动手的机会。

2, 穿透内网的工具…这个就不细说了，自己想像吧。

3, 考虑到这个通讯加密的特性，完全可以利用它作为临时的私秘聊天室，避开老大哥的耳目，这个也不细说了。

黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑恐惧黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑;(黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑l0l黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑暗黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑-_-!黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑:(黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑help黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑*黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑->黑黑黑黑黑黑黑黑黑黑黑x黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑黑亡