Zhiqiang::He

November 05, 2005

Bookmark system - 几个不错的书签系统

作为一个严重依赖Internet和Computer的工作人员，尤其是开发者，有几个工具实在是必不可少的：

• Blog | 博客/网志
  用于记录生活，感情，开发的日记，经验等，借用老虎庙的一句话：Blog是个人杂志
• BookMark | 在线书签
  用于记录各种有趣，有意义，有用的链接，信息，相当于记事本。但比记事本又功能简单一些。对于常上网的人，太有意义了。
• Email Box | 邮箱/邮件系统
  没有电子邮件，难以想象今天的网络沟通会是怎样。至少一个稳定可靠，速度快容量大的免费邮箱是标配，奢侈点的话可以架自己的邮件系统。
• Album | 电子相册
  除非不使用计算机，否则一定有大量的图片，包括自己的照片要管理，必须有一个好的电子相册来管理这些资源。

暂时就想到这些。

Blog系统目前使用的是MovableType (MT) ，觉得足够用了。暂时没有更换的意思。

Mailbox，邮箱目前使用了hotmail/163.com的免费邮箱，以及自己的私人邮箱（hzqbbc.com）。前者是作为一般用途，如果私人邮箱挂了，就转用免费邮箱。私人邮箱优点就是100%自己控制，要多大有多大，不会随便拒收邮件。当然，得花时间管理。

Album，原来用的是一个perl写的简单个人相册系统，感觉还可以。不过迁移新机器后，没空装ImageMagic，而且觉得还是有不少缺陷，所以暂时没在使用，等待新的更好的。

说了那么多，这最后的书签就是今天的主角。

最流行的书签莫过于美味书签：del.icio.us 了，其域名就是delicious的分解。而使用del.icio.us是非常方便，很多网站都支持它，甚至浏览器也有相关的插件，甚是方便。

但作为自己，什么都想自己造，所以自然希望有一个可以自己建立的书签系统。到google搜索了一下，发现了几个不错的实现。

http://sourceforge.net/projects/frassle/
http://sourceforge.net/projects/scuttle/

前者是基于perl的实现，包含了书签和blog功能，而后者则是单纯的一个php书签系统。

有时间，打算装来玩玩，看哪个更好些。感觉现在创新的东西太多，新知识新信息太多，连了解都没时间，试问何来研究的时间？确实是有点郁闷了。

相关链接

http://www.360doc.com/
http://del.icio.us/<?a>
http://www.duduwolf.com/post/183.asp
https://www.chipmark.com/ (IE/firefox 插件)

Posted by hzqbbc at 12:29 PM | Comments (2)

July 20, 2005

SELinux Introduce - SELinux技术简介

在Redhat Enterprise Linux 4.0或Fedora Core 2 Linux以上版本的Linux中，有不少用户经常会遇到诸如apache的Permission denied，X windows打不开等等问题，抛开一些常规配置错误外，很大一部分原因是因为激活了SELinux的缘故。

什么是SELinux？SELinux全称是Security Enhanced Linux，由美国国家安全部(National Security Agency)领导开发的GPL项目，它拥有一个灵活而强制性的访问控制结构，旨在提高Linux系统的安全性，提供强健的安全保证，可防御未知攻击，据称相当于B1级的军事安全性能。比MS NT所谓的C2等高得多。

应用SELinux后，可以减轻恶意攻击或恶意软件带来的灾难，并提供对机密性和完整性有很高要求的信息很高的安全保障。

SELinux vs Linux
普通Linux安全和传统Unix系统一样，基于自主存取控制方法，即DAC，只要符合规定的权限，如规定的所有者和文件属性等，就可存取资源。在传统的安全机制下，一些通过setuid/setgid的程序就产生了严重安全隐患，甚至一些错误的配置就可引发巨大的漏洞，被轻易攻击。

而SELinux则基于强制存取控制方法，即MAC，透过强制性的安全策略，应用程序或用户必须同时符合DAC及对应SELinux的MAC才能进行正常操作，否则都将遭到拒绝或失败，而这些问题将不会影响其他正常运作的程序和应用，并保持它们的安全系统结构。

SELinux on Redhat Linux
在RHEL4.0或FC3以上的版本中，可以在安装时就选择是否激活SELinux，系统自动会安装相应的内核、工具、程序等。由于SELinux的MAC机制将极大的影响了现有引用，因此RHEL4/FC3中已预配置了大量兼容现有应用的安全策略。

SELinux的配置相关文件都在/etc/selinux下，其中/etc/selinux/targeted目录里就包含了策略的详细配置和context定义，以下是主要文件及功用：

/etc/selinux/targeted/contexts/*_context 默认的context设置
/etc/selinux/targeted/contexts/files/* 精确的context类型划分
/etc/selinux/targeted/policy/* 策略文件

使用Redhat 默认的策略对正常应用带来的影响比较小，兼容性相对比较好。对于需要提供虚拟主机或大量应用的用户而言，则会带来不小的麻烦，需要仔细阅读SELinux的手册进行调整。

其中Fedora Core 的官方网站上有相关的Apache/SELinux的策略调整文档，建议web用户仔细阅读。

激活SELinux的操作系统，需要对策略和模式进行变更时，一般不需要重启动即可获得变化，主要就是透过libselinux软件包实现。libselinux包含了对策略的控制/管理工具，其中getsebool/setsebool是读取/设置SELinux 布尔值的工具，getenforce/setenforce则是设置强制性的工具。

Why SELinux?
毫无疑问：安全！如今Internet上病毒、攻击层出不穷，信息安全受到了严重威胁，而普通Linux的安全性要做得很好并不容易，且没有一个中央化的安全体系结构，因此使用SELinux可以使用强制的访问控制来进行小颗粒度的权限控制，并提高系统的稳定性，简化了防系统崩溃的调整工作，达到信息保密和完整性的要求。

SELinux主要的改进在于：

对内核对象和服务的访问控制

对进程初始化、继承和程序执行的访问控制

对文件系统、目录、文件和打开文件描述的访问控制

对端口、信息和网络接口的访问控制。

SELinux still difficult
控制的东西越多使用起来就越容易复杂，SELinux也不例外，目前SELinux还在不断完善中，管理和控制策略并不是一件轻松的事，需要丰富的系统知识和经验，并且必须仔细阅读SELinux相关的文档，做大量的尝试。

相关链接

NSA SELinux官方主页
SELinux 手册及HOWTO
SELinux介绍
SELinux文档及论文
Customize Apache SELinux Policy
SELinux FAQ
由新的SELinux安全级别产生的问题及解决方法

Posted by hzqbbc at 01:56 AM | Comments (0)