↧
美酒加咖啡
↧
人在纽约: 都市探险 街访唐人街老华侨
↧
↧
UDP 轉發、NAT type 和 Shadowsocks
在此之前
在此之前,我只關注 Shadowsocks 的 TCP 轉發,就算連 DNS 查詢我也是使用 TCP。由於 TCP 是有狀態的,穿越 NAT 基本沒有問題。
代理 UDP
問題出現在我在 Steam 購買了 PUBG 這款遊戲之後,不論是遊戲還是使用 Discord 的遊戲語音都需要使用到 Shadowsocks 的 UDP 代理功能。實現也有兩種方法,在 Windows 平台下有 SSTap,或者使用 Linux 作為網關,使用 ss-redir 配合 TPROXY 代理 UDP。
STUN 失敗與分析
就這樣使用了大半年遊戲一直很流暢,直到某一天使用 Facetime Audio 感到不流暢,由於當時關閉了代理,而使用 Facetime Audio 的兩台設備均在中國大陸,便猜測是走了 Apple 的 relay server。但仔細想了一下並不應該,兩台設備均在一層 NAT 之後,只要有一台設備是 Full cone NAT,基於 UDP 是可以實現 P2P 通信的。其中一台設備的環境是路由器有公網 IP,運行 Linux 作為 NAT 網關,NAT 測試是 Port-Restricted cone NAT,加上路由器和應用程式均支援 UPnP,是可以達到 Full cone NAT 的級別的。
一番調研
好像有什麼不對?經過後來一番研究,才發現上面的猜想完全錯誤了。
首先 Linux 默認是不支持 UPnP,需要安裝額外的程式。OpenWrt 一類的路由器系統會自帶 miniupnp 程式,但不會默認開啟。
此外,更大的誤會是,Linux 內核的 NAT 是 Symmetric NAT,但一些基於 Linux 的路由器系統通過 patch 實現了 Full cone NAT。
造成我判斷錯誤的原因是使用的 STUN 檢測工具對 NAT 類型的標準和 Linux 稍有差異。
brief introduction of NAT type
關於 NAT type,主要有四種類型。
假設有四台設備:
- A 機器在私網 192.168.0.4
- NAT 伺服器 210.21.12.140
- B 機器在公網 210.15.27.166
- C 機器在公網 210.15.27.140
現在,A 機器連線過 B 機器,假設是 A(192.168.0.4:5000)到 NAT(轉換後 210.21.12.140:8000)到 B(210.15.27.166:2000)。此外 A 從來沒有和 C 通訊過。則對於不同型別的 NAT,有下列不同的結果:
Full Cone NAT
C 發資料到 NAT(210.21.12.140:8000),NAT 會將資料包送到 A(192.168.0.4:5000)。因為 NAT 上已經有了 192.168.0.4:5000 到 210.21.12.140:8000 的對映。
Restricted Cone
C 無法和 A 通訊,因為 A 從來沒有和 C 通訊過,NAT 將拒絕 C 試圖與 A 連線的動作。但 B 可以通過 210.21.12.140:8000 與 A 的 192.168.0.4:5000 通訊,且這裡 B 可以使用任何埠與 A 通訊。如:210.15.27.166:2001 到 210.21.12.140:8000,NAT 會送到 A 的 5000 埠上。
Port Restricted Cone
C 無法與 A 通訊,因為 A 從來沒有和 C 通訊過。而 B 也只能用它的 210.15.27.166:2000 與 A 的 192.168.0.4:5000 通訊,因為 A 也從來沒有和 B 的其他埠通訊過。該型別 NAT 是埠受限的。
上面 3 種類型,統稱為 Cone NAT,有一個共同點:只要是從同一個內部地址和埠出來的包,NAT 都將它轉換成同一個外部地址和埠。
Symmetric NAT
只要是從同一個內部地址和埠出來,且到同一個外部目標地址和埠,則 NAT 也都將它轉換成同一個外部地址和埠;但如果從同一個內部地址和埠出來,到另一個外部目標地址和埠,則 NAT 將使用不同的對映,轉換成不同的埠。而且和 Port Restricted Cone 一樣,只有曾經收到過內部地址發來包的外部地址,才能通過 NAT 對映後的地址向該內部地址發包。
Cone NAT,有一個共同點:只要是從同一個內部地址和埠出來的包,NAT 都將它轉換成同一個外部地址和埠。Symmetric NAT 如果從同一個內部地址和埠出來,到另一個外部目標地址和埠,則 NAT 將使用不同的對映,轉換成不同的埠。
iptables 與 STUN
iptables 在轉換地址時,遵循如下兩個原則:
- 儘量不去修改源埠,也就是說,IP 偽裝後的源埠儘可能保持不變。
- 更為重要的是,IP 偽裝後只需保證偽裝後的(源地址,源埠,目標地址,目標埠)唯一即可。
仍以前例說明如下。
A 機器連線過 B 機器,假使是 A(192.168.0.4:5000)到 NAT(轉換後 210.21.12.140:5000)到 B(210.15.27.166:2000),此處 NAT 遵循原則,換後埠沒有改變。
如果此時 A 機器(192.168.0.4:5000)還想連線 C 機器 (210.15.27.140:2000),則 NAT 上產生一個新的對映,但對應的轉換仍然有可能為 A(192.168.0.4:5000)到 NAT(轉換後 210.21.12.140:5000)到 C(210.15.27.140:2000)。這是因為 NAT 到 B(210.15.27.166:2000)和 NAT 到 C(210.15.27.140:2000)這兩個目標地址不重複。因此,對於 iptables 來說,這是允許的。
| Source Server | Source | NAT | Destination Server | Destination |
|---|---|---|---|---|
| A | 192.168.0.4:5000 | 210.21.12.140:5000 | B | 210.15.27.166:2000 |
| A | 192.168.0.4:5000 | 210.21.12.140:5000 | C | 210.15.27.140:2000 |
在該例中,表面上看起來 iptables 似乎不屬於 Symmetric NAT,因為它看起來不符合 Symmetric NAT 的要求:如果從同一個內部地址和埠出來,是到另一個目標地址和埠,則 NAT 將使用不同的對映,轉換成不同的埠。 相反,倒是符合除 Symmetric NAT 外的三種 Cone NAT 的要求:從同一個內部地址和埠出來的包,NAT 都將它轉換成同一個外部地址和埠。加上 iptables 具有埠受限的屬性,所以好多檢測工具就把 iptables 報告為 Port Restricted Cone 了。
現在增加 D 機器在私網(192.168.0.5)。
A 機器連線過 B 機器,假使是 A(192.168.0.4:5000)到 NAT(轉換後 210.21.12.140:5000)到 B(210.15.27.166:2000)。
D 機器連線過 C 機器,假使是 D(192.168.0.5:5000)到 NAT(轉換後 210.21.12.140:5000)到 C(210.15.27.140:2000)。
如果此時 A 機器(192.168.0.4:5000)還想連線 C 機器 (210.15.27.140:2000),則 NAT 上產生一個新的對映,但對應的轉換則變為 A(192.168.0.4:5000)到 NAT(轉換後 210.21.12.140:5001)到 C(210.15.27.140:2000)。
| Source Server | Source | NAT | Destination Server | Destination |
|---|---|---|---|---|
| A | 192.168.0.4:5000 | 210.21.12.140:5000 | B | 210.15.27.166:2000 |
| D | 192.168.0.5:5000 | 210.21.12.140:5000 | C | 210.15.27.140:2000 |
| A | 192.168.0.4:5000 | 210.21.12.140:5001 | C | 210.15.27.140:2000 |
下面,我們再來分析一下 iptables 的埠受限的屬性。
A 機器連線過 B 機器,假使是 A(192.168.0.4:5000)到 NAT(轉換後 210.21.12.140:5000)到 B(210.15.27.166:2000)。
D 機器連線過 C 機器,假使是 D(192.168.0.5:5000)到 NAT(轉換後 210.21.12.140:5000)到 C(210.15.27.140:2000)。
| Source Server | Source | NAT | Destination Server | Destination |
|---|---|---|---|---|
| A | 192.168.0.4:5000 | 210.21.12.140:5000 | B | 210.15.27.166:2000 |
| D | 192.168.0.5:5000 | 210.21.12.140:5000 | C | 210.15.27.140:2000 |
現假設 iptables 不具有埠受限的屬性,則另一 E 機器在公網 (210.15.27.153:2000)向 210.21.12.140:5000 發包,應該能夠發到內部機器上。但事實是,當這個包到達 NAT(210.21.12.140:5000)時,NAT 將不知道把這個包發給 A(192.168.0.4:5000)還是 D(192.168.0.5:5000)。顯然該包只能丟棄,至此足以證明 iptables 具有埠受限的屬性。
所以,iptables 是貨真價實的 Symmetric NAT。
另闢蹊徑得 Full Cone NAT
如何在不修改 Linux 內核的情況下得到 Full Cone NAT?
除了 DMZ ,還可以使用 ss-redir 配合 TPROXY。Shadowsocks 在設計 UDP relay 之初就考慮到這個問題了。
ref:
- https://blog.chionlab.moe/2018/02/09/full-cone-nat-with-linux/
↧
支持 Mu API 的无侵入式多用户 Shadowsocks Server 中间件
使用 orvice/ss-panel管理ss的用户,Server 使用的是基于 Shadowsocks-Go 修改的 shadowsocks-go-mu。
但是 Shadowsocks-Go 版本已经多年没有更新了,而 orvice fork 的 Mu 版本连 UDP Relay 都不支持。后来逛 GitHub 发现了 shadowsocks-py-mu,作者介绍是基于 Shadowsocks-Python 版添加了兼容 Mu API 的功能。不过当时的版本在启用 OTA 和 UDP Relay 之后会有 Bug,和 Shadowsocks-libev 版本的 Client 连接时会出现 TCP RST 的问题。这个问题一度困扰了我好几个月,和朋友多次测试之后才定位到了 Python 版和 libev 版本的兼容问题。后来想着,要是 libev 版本能支持多用户功能就好了。
就这样有了 shadowsocks-munager- https://github.com/bazingaterry/shadowsocks-munager
Shadowsocks Python 版在设计当初就有为多用户作打算,以至于后来同样是 clowwindy 编写的 libev 版本也支持这样的接口。当然,也有 Python 的 fork 版本支持直接读取 MySQL 的,不过不在本文讨论范围。ss-manager 提供的 API 很简单,用 socket 通信,发 UDP 包,具体 Python 例子可以直接看 Wiki。
shadowsocks-munager 一开始的想法很简单,通过 Mu API 读用户端口密码,发 UDP 包通知 ss-manager 开启对应端口,实际上是 ss-manager 会新建一个 ss-server 进程。之后是获取从启动到现在每个端口的流量,减去上次的流量就知道这一时段跑了多少流量,通过 Mu API POST 回服务器即可。分析之后发现没什么技术难度,就是一个有限状态机,额外会有一些特殊情况,例如是欠费了,超流量了,新端口没有初始化之类的。技术栈也很简单,requests + sleep,全程同步阻塞操作。
实际上,上面描述的第一个版本已经稳定在好几台服务器上跑好几个月,只是 Pythonista 的毛病又犯了,实在是看不惯同步请求和 sleep 这么粗暴的做法,而且把用户数据丢在 Python Dict 上也让我踹踹不安。而让我下定决心重构的一个契机是,我们需要计算一个时间差里面网卡跑的流量而换算成网速,这个时间差就很微妙了,短了不准确,长则会阻塞其他操作,就算是 fork 出来一个线程干这件事也是不够优雅,IO 密集程序的归宿是异步。
关于异步 Python 异步框架也不少,我想到的第一个是 gevent 的 Monkey patching,不过打 patching 这件事太 evil 了,即使是 useful evil。后来看了看 Twisted,之前用 Scrapy 的时候稍稍了解过,当时为了实现一个简单的非阻塞 sleep,啪啪啪出来一堆代码把我吓呆了,pass pass。最后就是选了 Tornado,比较好上手,而且我主要都是 HTTP 请求,不会花很多时间在数据库的 IO,所以 Tornado 封装得恰到好处。选完异步框架,就顺便把数据储存的坑给填了,存这些读写频繁而又不特别对持久化有要求的数据,当然是选择 Redis 啦。
在设计上,抽象出了三个类,Munager、SSManager 和 MuAPI。
没有什么问题是套一个中间件解决不了的!
但是 Shadowsocks-Go 版本已经多年没有更新了,而 orvice fork 的 Mu 版本连 UDP Relay 都不支持。后来逛 GitHub 发现了 shadowsocks-py-mu,作者介绍是基于 Shadowsocks-Python 版添加了兼容 Mu API 的功能。不过当时的版本在启用 OTA 和 UDP Relay 之后会有 Bug,和 Shadowsocks-libev 版本的 Client 连接时会出现 TCP RST 的问题。这个问题一度困扰了我好几个月,和朋友多次测试之后才定位到了 Python 版和 libev 版本的兼容问题。后来想着,要是 libev 版本能支持多用户功能就好了。
就这样有了 shadowsocks-munager- https://github.com/bazingaterry/shadowsocks-munager
Shadowsocks Python 版在设计当初就有为多用户作打算,以至于后来同样是 clowwindy 编写的 libev 版本也支持这样的接口。当然,也有 Python 的 fork 版本支持直接读取 MySQL 的,不过不在本文讨论范围。ss-manager 提供的 API 很简单,用 socket 通信,发 UDP 包,具体 Python 例子可以直接看 Wiki。
shadowsocks-munager 一开始的想法很简单,通过 Mu API 读用户端口密码,发 UDP 包通知 ss-manager 开启对应端口,实际上是 ss-manager 会新建一个 ss-server 进程。之后是获取从启动到现在每个端口的流量,减去上次的流量就知道这一时段跑了多少流量,通过 Mu API POST 回服务器即可。分析之后发现没什么技术难度,就是一个有限状态机,额外会有一些特殊情况,例如是欠费了,超流量了,新端口没有初始化之类的。技术栈也很简单,requests + sleep,全程同步阻塞操作。
实际上,上面描述的第一个版本已经稳定在好几台服务器上跑好几个月,只是 Pythonista 的毛病又犯了,实在是看不惯同步请求和 sleep 这么粗暴的做法,而且把用户数据丢在 Python Dict 上也让我踹踹不安。而让我下定决心重构的一个契机是,我们需要计算一个时间差里面网卡跑的流量而换算成网速,这个时间差就很微妙了,短了不准确,长则会阻塞其他操作,就算是 fork 出来一个线程干这件事也是不够优雅,IO 密集程序的归宿是异步。
关于异步 Python 异步框架也不少,我想到的第一个是 gevent 的 Monkey patching,不过打 patching 这件事太 evil 了,即使是 useful evil。后来看了看 Twisted,之前用 Scrapy 的时候稍稍了解过,当时为了实现一个简单的非阻塞 sleep,啪啪啪出来一堆代码把我吓呆了,pass pass。最后就是选了 Tornado,比较好上手,而且我主要都是 HTTP 请求,不会花很多时间在数据库的 IO,所以 Tornado 封装得恰到好处。选完异步框架,就顺便把数据储存的坑给填了,存这些读写频繁而又不特别对持久化有要求的数据,当然是选择 Redis 啦。
在设计上,抽象出了三个类,Munager、SSManager 和 MuAPI。
- SSManager 负责管理每一个 ssserver,将每个端口的流量记录到 Redis,并提供接口查询每个端口的密码和加密方式。由于 ss-manager 没有提供查询的 API,实际是这部分的信息是序列化在 Redis ,由 SSManager 自行维护的。
- MuAPI 封装了和 sspanel 的 Mu API。
- Munager 是在 Top Level,负责定时从 MuAPI 读取当前用户信息,然后通知 SSManager 要增删那些端口;此外还需要从 SSManager 读取每个端口的流量,通过 MuAPI 写入计费系统;最后 Munager 还承担着一系列边缘功能,例如是服务器当前负载统计,网速统计,到各个节点的延时和丢包统计的功能。
↧
也许是世界上最小的便携式路由器
使用虚拟机虚拟一个LEDE路由器。
自从开始访问真正的互联网,VPN 和 Shadowsocks 便像是空气一样,毫不显眼,但是一旦失效,我就几乎活不下去。最记得有一次旅行途中,手机上的 VPN 失效无法启动,然后我就度过了一次漫长的,与互联网隔绝的旅行。
如果是 Shadowsocks 重度用户,几乎都会有这样一个体验,在桌面环境使用时,经常遇到不遵循系统代理的软件,在 Windows 上面更是严重,
![]()
![]()
![]()
添加桥接宿主机网卡的若干,数量取决于你是否需要多个 IP 均衡负载,这里需要创建虚拟机后完成。
![]()
![]()
![]()
VirtualBox 的 GUI 界面只支持配置 4 个网卡,使用 CLI 配置则可以添加最多 8 个网卡。
使用
通过
方便起见可以安装 luci 界面,
可以通过 Web 方式访问 http://192.168.100.1,就像管理普通 OpenWrt 路由器一样虚拟机。
此时默认路由已经是虚拟机。
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
这里是对比图,单个 IP 限速 1.2 MB/s,叠加前后对比。
![]()
![]()
将虚拟机以无 GUI 界面的方式运行。
如果是 Shadowsocks 重度用户,几乎都会有这样一个体验,在桌面环境使用时,经常遇到不遵循系统代理的软件,在 Windows 上面更是严重,
npm和 git等软件几乎都需要单独配置。这个问题可以通过在路由器使用 ss-redir解决,但是一旦离开日常的办公环境,没法部署路由器,访问网络就又成了难题。几经折腾之下,我尝试使用虚拟机运行 LEDE ,通过修改宿主机的路由表,让虚拟机作为宿主机的路由器,这样便可以随身携带一台高性能的路由器了。准备工作
部署环境
转换镜像
将下载好的 LEDE Firmware 转换成 VirtualBox 可用的磁盘文件。gunzip lede-x86-64-combined-ext4.img.gz
VBoxManage convertfromraw --format VDI lede-x86-64-combined-ext4.img lede.vdi
设置网卡
添加一张 Host-only 的网卡,这张是负责和虚拟机的 LAN 网段进行通讯的。
添加桥接宿主机网卡的若干,数量取决于你是否需要多个 IP 均衡负载,这里需要创建虚拟机后完成。
配置虚拟机
VirtualBox 的 GUI 界面只支持配置 4 个网卡,使用 CLI 配置则可以添加最多 8 个网卡。
# VBoxManage modifyvm {vmname} --bridgeadapter{0-7} {interface}
VBoxManage modifyvm LEDE --bridgeadapter6 en5
配置 LEDE
开机进入 LEDE,使用vim /etc/config/network设置 LAN 口的静态地址。config interface 'lan'
option type 'bridge'
option ifname 'eth0'
option proto 'static'
option ipaddr '192.168.100.1'
option netmask '255.255.255.0'
option ip6assign '60'
/etc/init.d/network restart使配置生效,如果没有配置错误,此时在宿主机使用 ping 192.168.100.1可以 ping 通虚拟机。通过
passwd设置 root 密码之后,可以使用 ssh root@192.168.100.1从宿主机 SSH 进入虚拟机。方便起见可以安装 luci 界面,
opkg update && opkg install luci。可以通过 Web 方式访问 http://192.168.100.1,就像管理普通 OpenWrt 路由器一样虚拟机。
部署 Host-only 网络
修改宿主机路由表。sudo route change default 192.168.100.1
可选操作
网络认证
例如校园网用户,可以使用sysuh3c之类的软件每一个端口进行认证,这类软件一般都支持指定网卡。部署 MWAN3
如果你的网络对单个 IP 有限速,可以通过多个网卡获取多个地址,然后使用 MWAN3 进行负载均衡。
这里是对比图,单个 IP 限速 1.2 MB/s,叠加前后对比。
Shadowsocks & ChinaDNS
解决 IP 封锁和 DNS 污染,可以参考这个网站。wget http://openwrt-dist.sourceforge.net/auto_install_lede.sh
chmod +x auto_install_lede.sh
./auto_install_lede.sh
Koolproxy 去广告
解决广告问题,可以参考这个网站。一些自动化脚本
VBoxManage startvm --type headless LEDE
VBoxManage controlvm LEDE poweroff
Known issues
桥接宿主机无线网卡获取不到 IP 地址
Bridging to a wireless interface is done differently from bridging to a wired interface, because most wireless adapters do not support promiscuous mode.1↧
↧
ESXi and Mini PC
The last choice of home network solution.
Intro
Four years ago, I replaced my Xiaomi router to Netgear R6300v2 since I need to run Shadowsocks on my router. After that, I bought a Mac mini and built a 15TB RAID storage system. I found that my network could only reach 20Mbps through Shadowsocks due to poor CPU performance of my Netgear R6300v2 after China Telecom offered me 100Mbps FTTH. I tried to add a fan to cool down the temperature but it's to no avail. Finally I replaced my router once again with a mini pc with four ethernet port and few UniFi AP.An OpenWrt is running in mini PC and a HASS and UniFi Controller is running in my Mac mini. I found that it's a waste of performance only running a OpenWrt in my dual core Celeron CPU, 4G RAM mini PC. Finally I found ESXi, a bare-metal hypervisor that installs directly onto a physical server. I'm going to install ESXi on my mini PC and all OS will be running in virtual machine.
Install ESXi
First you can download VMware vSphere Hypervisor (ESXi ISO) image for free after you registered for it.You can know about your devices compatibility in VMware Compatibility Guide. There is some third party driver for ESXi. You can customize your own ISO with drivers that are not originally included using ESXi-Customizer.
If you forget to integrate SATA driver in to your ISO image, you can follow this instruction.
Install Virtual System
There is two way to install an operating system in ESXi. One is installing from an ISO image. The other is convert existing img file to an ESXi compatible vmdk file.Setup ESXi network
If you want use setup a router OS (eg. OpenWrt, RouterOS, iKuai) in your ESXi, you have setup at lease two vSwitch, one is for LAN and the other is for WAN. And the last thing you need to do is add port group to a vSwitch.It's recommended to set two network card with static IP and DHCP. So that you can reach your ESXi system easily as an LAN device via DHCP. And you can reach via static IP in case your router OS is broken.
Setup Additional Entropy
How to Setup Additional Entropy for Cloud Servers Using HavegedInstall UniFi Controller on Ubuntu
It's recommended to use Ubuntu 14.04 LTS.- Install JDK 1.8
- Install via APT
Thanks
↧
利用 Surge 访问局域网/内网
Surge 其实是一个带隧道的三层静态路由表。
怎么理解上面这一句话呢?Surge 的简单用法就是作为一个代理软件,附带网络调试功能,但实际上 Surge 支持多种代理,并且可以为不同的域名和 IP 编写复杂的规则,有点类似编写静态路由,而且 Surge 支持为域名和 IP 编写不同的规则,所以说比静态路由功能更加强大。
回到主题,为了在公网轻松访问家里的局域网,我做了下面这些微小的工作。
在路由器的 hosts 文件将域名解析到局域网 IP,例如是
回到主题,为了在公网轻松访问家里的局域网,我做了下面这些微小的工作。
- 利用公网 IP 和动态域名,在外网可以获取到家里的公网地址。
- 使用 ss-server 在路由器搭建代理。注意,直接把内网端口暴露在公网是极其危险的,即便是应用自带了有身份验证。为了保证不被暴力破解,我们需要用跳板访问内网,VPN 是常见的方法,但是配置太繁琐,一般来说 Shadowsocks 的对称加密已经足够安全了。
- 在路由器建立起代理,利用 Surge 编写规则,将特定的域名转发到访问局域网,例如我用了下面这一条规则:
DOMAIN-SUFFIX,home,Home,force-remote-dns。这样,所有*.home都会转发给对应的代理进行域名解析,然后发起请求。
# Home
10.0.0.1 router.home
10.0.0.249 mini.home
- 许多应用都会以 Raw TCP 的方式进行连接,例如是 SSH,此时不遵循系统代理配置,而 Surge 处理 Raw TCP 是通过自身的 Surge TUN,此时 App 会进行 DNS 本地解析并直接建立 TCP 连接。所以需要添加
force-remote-dns,让 Surge 通过 Fake IP 的方式强制转发Raw TCP。 - ss-server 为了性能的考虑,并没有使用
gethostbyname()而是 libudns,所以实际上并不会从/etc/hosts读取 hosts 解析。在这里,我是通过 dnsmasq 去完成的。
↧
57爆新聞 大学校園成「練兵場」,理大「圍城」,全港十面埋伏
↧
人大否决香港法官的判决,一国两制的法理终结;美国参院搁置法案,中美协议戏剧性休息
昨天,我们充满着希望充满着感激,香港的两位了不起的法官——
中国是一个没有宪法监督机制的国家,宪法只是一纸空文,
这个时候,全国人大和港澳办作出这么一个发言,
这些年来,香港和内地之间所产生的冲突,
当然,人们现在更关注的是香港年轻人的命运。在过去几个月中间,
跟1989年六四事件非常大的不同是,
这些年轻人不仅是很多人的心爱的子女,
在华盛顿,今天下午三点本来是通过快速通道的方式就《
美国的这样一个法案有多大程度上能够真正的帮助现在香港的抗争者
中美关系由于两国之间的力量对比有相当接近的地方,
↧
↧
中文独立播客列表
高质量的中文独立播客 https://typlog.com/podlist/
from https://github.com/typlog/china-indie-podcasts
-----
发现与推荐高质量的中文独立播客
- Website: https://typlog.com/podlist/
- OPML 订阅: https://typlog.com/podlist/opml.xml
- 談談獨立播客: https://lepture.com/zh/2019/indie-podcasts
如何提交
在data/里添加相应播客的信息,使用 JSON 格式.from https://github.com/typlog/china-indie-podcasts
-----
中文独立播客列表
一天世界
一天世界,昆乱不挡。比特新声
中文科技类播客迟早更新
探讨科技、商业、设计和生活之间混沌关系的播客节目交差点
科技人文主题播客津津乐道
由一群 IT 从业者创办的播客闲聊节目,经常出现的话题会包括生活、新科技、旅游和你所不了解的行业不动声色
不增不减,不垢不净。硬影像
《硬影像》由 IPN 出品,由罗登主持,是一个关注影像之一切的播客。谈论影像背后的技术,历史和哲理。博物志
一档关于博物馆的播客。疯投圈
从投资视角探讨商业现象背后的本质。做最好的中文商业类播客。声东击西
两个驻美记者主持的播客,带你看不一样的世界内核恐慌
《内核恐慌》是一档由 Rio 和吴涛主持的科技播客。号称硬核,可也没什么干货。想听的人听,不想听的人就别听。提前怀旧
一切未来终将成为过去。欢迎收听《提前怀旧》,一档由任宁和 Rio 主持的科技评论节目。Byte.Coffee
一档播客以及咖啡本人UX Coffee 设计咖
设计无处不在。在这个节目里,我们试图通过和设计这个世界的人们交谈,去探寻创造的过程、感受设计的力量。Anyway.FM 设计杂谈
Anyway.FM 设计杂谈是一档播客节目,由设计师 JJ Ying 和 Leon Gao 以及 Yuki Gu 主播,我们的目标是让你的听觉更懂视觉。无业游民
无业游民——The Unemployable,英文意思是「不能」被雇佣的人。我们相信,除了朝九晚五的全职工作,生活还有另一种打开方式。所建所闻
「所建所闻」是一档呈现建筑师在思考什么、建造什么的播客节目,尝试以专业的视角来讨论周围的建成环境。不可理论
一档带你用理论来理解生活的播客节目。宗旨是,不可用学术的方式做理论,不可用理论的方式谈理论。捕蛇者说
聊聊 Python,聊聊编程,聊聊人生生产力维基
一个关注时间管理、知识管理、目标管理、项目管理、精力管理和个人效能的播客.一树闲谈
一档摄影与艺术的跑题播客WEB VIEW
不囿于 WEB,不止于 VIEW麦迷说
一档由麦克拉伦车迷做的 F1 主题播客节目故事FM
在这里,我们用你的声音,讲述你的故事。海螺电台
「海螺电台」播客是一个记录行动和探索过程的创作计划迷于星际
一档适合星际旅行时收听的聊天节目Half+ 一知半解
We talk nothing.字谈字畅
《字谈字畅》(TypeChat)是全球首家用华语制作的字体排印主题播客节目,由 Type is Beautiful 出品,专注于字体、排印和其他文字设计相关的内容,涵盖历史知识和新闻轶事。折尔根播客
一档较为走心的陪伴型播客infoier | 设计乘数
《设计乘数》是由用户体验设计师龚子仪发起的媒体计划,他相信多学科整合的力量能够给设计带来乘数效应。播客试图讨论科技、社会、经济、心理等诸多话题,用设计的角度参与并不断进行探索。模糊地带
谈论性别与性取向话题,呈现自我的束缚与被束缚日语日语
一档日语主题的短语音娱乐节目,由网站riyu.io制作播出。我们希望能帮助你发现进而独立体会日语乃至语言的趣味。科技聚变
《科技聚变》(TechFusion)是一档科技主题播客节目,我们谈论有关互联网的一切。您可以访问 TechFusionFM.com 来找到我们,同时您也可以关注我们的 Twitter, Instagram 或微博 @TechFusionFM 。社会人科技评论
《社会人科技评论》是一档非公益性却也没啥营利预期的科技评论媒体。weak self
三個在 iOS 開發圈打滾的台灣工程師,專為 Apple/iOS 開發者而製作的 Podcast。味之道
《味之道》是由席妙雅主持的美食播客。美味是感性的体验,但同时需要开放的心态和眼界,以及精准的判断力。用味道来检验美食,不谈风月,不聊情怀。枫言枫语
一档由枫影 Justin Yan 主持的科技灌水播客。告别摄影
像谈论一场电影一样谈论摄影。洋泾浜
我是洋泾浜,请侬大声笑。↧
Play-with-Docker --在线使用/学习Docker
Play With Docker是一个运行在浏览器中的Docker Playground,只需要服务端部署好pwd服务,客户端无需安装任何环境,使用浏览器就可以在线体验 Docker。类似的还有近期上线的instantbox在线体验Linux发行版。按照官方readme或wiki部署起来,会有不少坑,接下来就开始填坑。
1.安装Docker 以及docker-compose,相信你已经完成了。
2.开启swarm需要指定ip
3.安装golang、dep、项目依赖:
4.拉取dind镜像,也即是工作台运行实例的模板镜像
5.修改监听地址和域名,如果部署在VPS上需要把localhost修改为域名或IP
vi api.go
在api.go文件的 config.ParseFlags()下面添加config.PlaygroundDomain = "YOU-IP or DOMAIN"
另外附上shell脚本中获取本机公网ip的方法:
5.最后一步
docker-compose up走起!几个坑:
1.服务器RAM低于1GB 经常会提示
fatal error: runtime: out of memory,代码没问题,是你的服务器内存太少了,开启SWAP可解决。如果自己编译go build的话也会遇到同样的错误,debug了好几遍发现是物理内存不足的问题。2.有些环境下会提示找不到
$GOPATH,而docker-compose.yml里使用了$GOPATH指定目录,可以换成绝对路径。↧
linux networking tool
3.httpie like curl but easier 4.
wget download files5.
tc one a linux router:slow down you brother's internet(and more more)6.
dig/nsloopup what's the ip for the domain (DNS requery)7.
whois is the domain registered 8.
ssh secure shell9.
scp copy file over a SSH connection10.
rsync copy only changed files (works over SSH)11.
ngrep grep your network12.
tcpdump show me all packets on port 8013.
wireshark look at those packets in a GUI14.
tshark command line super poweroful packets analysis15.
tcpflow capture & assemble TCP streams16.
ifconfig what's my ip address17.
route view and change route and more18.
ip replace ifconfig .route and more19.
arp see your arp table20.
mitmproxyspy on SSL connetcions your programs are making21.
nmap in network scanning port22.
zenmap GUI for nmap23.
pof identify OS of hosts connetcing to you24.
ftp/sftp copy files .sftp does if over SSH25.
netstat/ss/fuser"what port are server using?"26.
iptables setup firewall and NAT !27.
nfables new versiob of iptables28.
telnet like ssh but insecure29.
openvpn a VPN30.
nsenter enter a container process's network namespace31.
nc netcat ! make TCP connections manually32.
socat proxy a tcp socket a unix domain socket + lost more33.
hping3 contect ang TCP packet that server 34.
traceroute/mtr what server are on the way to what server?35.
tcptraceroute use tcp packets instad of icmp to traceroute36.
ethtool manage physical Ethernet connections + network cards37.
iw/iwconfig manage wireless network settings (see speed / frquery)38.
sysctl configure linux kernel network stack39.
openssl do literally anything with ssl cerficates40.
stunel make a ssl proxy for an insecure server41.
iptraf/nethogsl/iftop/ntop see what's is useing bandwidth42.
ab/nload/iperf benchmarking tools43.
python3 -m http.server server file from a directory44.
ipcalc easily see what↧
浅谈隐私保护的若干种措施
百度,你妈死了!!!!偷偷明文上传用户输入记录,还有你这么无耻的dog.
0.说在前面:百度李彦宏曾说过:“中国人对隐私问题的态度更加开放,相对来说也没那么敏感。如果他们可以用隐私换取便利和效率,在很多情况下他们就愿意这么做”。如果你不在乎个人隐私,愿意用个人隐私换取方便,那么这篇文章对你没有价值,浪费你的时间,请关闭退出就可以。
原则:尽量使用国外或开源的软件。
让美帝公司掌握了隐私数据要比让老大哥掌握了风险低,在国内让baidu这些毒瘤公司拿数据去卖假药什么的会造成伤害,还有可能被查水表,喝茶什么的。
而让Google掌握了吧,身在中国,Google拿你的数据在美国干些坏事也影响不到你。
同理,美国人用中国的手机和软件比用美国的风险低
如果你想最大化保护你的个人隐私,那么我建议你:
国产杀毒软件会以根据法律法规和危险警告识别监控上网站url,360杀毒软件曾拦截屏蔽过美国驻华大使馆某些特定网址。近期也拦截过996.icu以及github上996.icu的repo,并且做了个假的404网页,真他妈搞笑。杀毒软件有扫描磁盘全部内容的风险,如果你硬盘上有敏感隐私信息,不要使用这些国产杀毒软件。如果你在使用Windows10的话,那么自带的Windows Defence完全可以满足日常使用,有能力的也可以选择“裸奔”。如今免费盛行的国产杀毒软件早已沦为强制捆绑,广告推广,隐私收集的流氓软件。
拒绝使用和购买那些不提供解锁Bootloader的手机,比如华为,魅族,锤子,VIVO,OPPO等。如果你不想折腾的话,苹果无疑是最好的选择,而且要将苹果账号选择在美国,而非云上贵州。
因为解锁Bootloader进行root是摆脱手机厂商监控的第一步。因为安卓手机厂商为了盈利收集的隐私信息,并向第三方共享你的隐私信息以获取广告推广盈利。只有进行root才能卸载掉那些监控手机的预装app。随着大多数国产手机逐渐关闭解锁Bootloader和加大Root的难度,用户想要摆脱手机厂商的监控也越来越难。厂商希望没人Root,因为不解锁Bootloader和root,厂商就可以为所欲为了。国产手机都会自带某种“云服务”,选择和使用这些服务被手机厂商收集到的个人隐私信息也将更多。
对于解锁bootloader和root后的风险。使用Android手机和使用Linux并无多大区别。拥有root权限的风险只是将root权限授权给未知应用而已。只要你够细心这一点是可以避免的。
手机丢失后别人也可以使用你用的刷机办法解锁你的手机,窃取你手机里的隐私信息。那就祝愿你手机不会丢失吧 但也可以使用tasker解决,在手机丢失后执行一些操作,删除手机上的内容。比如设定sim卡ID以及,只要更换Sim卡就触发报警操作,发送短信触发GPS定位,返回GPS信息,摄像头拍照等等都可以通过tasker实现。
输入法作为文本信息输入的直接工具,就好比嘴一样与互联网说话沟通,如果输入法的记录被某些公司记录下来,就好比被人安装了窃听器一样。之前有报道过讯飞输入法拒绝翻译敏感词,早已证明这些党性十足的国产输入法会监控你的所有输入记录4,甚至监听你的麦克风百度输入法监听麦克风。使用google输入法的好处在于,因为墙的缘故,你的输入记录无法上传到Google服务器😂。
国产Android手机系统ROM,对原生安卓做了极大的修改以及夹带一些社会主义特色,7。建议刷上XDA社区的第三方开源的ROM,能力强的可以自己拿来源码来编译ROM,精简掉你不想要的app,事实证明,一个安卓7.1的AOSP ROM,仅仅需要50个系统app就可以完全满足日常使用。而国产手机ROM中系统app的数量往往在170-250个之间,其中包括大量无法卸载的垃圾流氓服务用来监控你,收集你的个人隐私。这也是为什么你的手机会越用越卡的原因。
开源社区的ROM不以盈利为目的,可以很少地收集你的信息,并不会向小米那样用于广告推广来盈利。当然第三方ROM质量上良莠不齐,要精心选择适合自己的ROM。
记住,个人隐私保护,保护的不是你自己,而是与你相关的人,你的家人和朋友。
不要以为大数据时代无隐私可言,隐私保护不当与不保护是两种完全不同的风险程度,你用隐私换取的那点便利最后也会面临隐私泄露的风险。
1.多家国产浏览器限制访问 996.ICU
2.多款国产浏览器封锁 996.ICU,中国程序员惹谁了?
3.如何评价新版MIUI浏览器拦截Github等网站?
4.科大讯飞的应用被发现拒绝翻译敏感词
5.苹果发布了一支新广告,想告诉你手机中的“小秘密”同样需要重视
6.IFW介绍
7.墙已经砌造国产ROM(MIUI)中,深入人心、无处不在
8.中国流行手机应用难以注销账号
9.不怕大厂「耍流氓」,想保护隐私的你可以这样管理 Android 权限
10.2017年中国Android手机隐私安全报告
11.letitfly
12.临时邮箱
13.云短信-在线接收短信
14.MAT介绍
15.除了自己,没有人能保护你的隐私
16.从 root 手机说起
0.说在前面:百度李彦宏曾说过:“中国人对隐私问题的态度更加开放,相对来说也没那么敏感。如果他们可以用隐私换取便利和效率,在很多情况下他们就愿意这么做”。如果你不在乎个人隐私,愿意用个人隐私换取方便,那么这篇文章对你没有价值,浪费你的时间,请关闭退出就可以。
原则:尽量使用国外或开源的软件。
让美帝公司掌握了隐私数据要比让老大哥掌握了风险低,在国内让baidu这些毒瘤公司拿数据去卖假药什么的会造成伤害,还有可能被查水表,喝茶什么的。
而让Google掌握了吧,身在中国,Google拿你的数据在美国干些坏事也影响不到你。
同理,美国人用中国的手机和软件比用美国的风险低
如果你想最大化保护你的个人隐私,那么我建议你:
1.浏览器
无论在移动端还是PC端,坚决不要使用任何国产浏览器,推荐使用开源软件Firefox或Chromium,Firefox是Mozilla非营利性组织维护的开源浏览器,能够在某种程度上保护你的隐私数据,它是非营利性组织,不以盈利为目的,不会向第三方或政府披露你的数据。作为上网浏览新闻,博客,网站的主力工具,每个浏览器都会记录着每个你访问的网站。国产浏览器会夹带着一些其他的私货,比如屏蔽掉一些政府敏感的网站,进行言论审查和互联网封锁。不仅如此,为了盈利商业公司的浏览器会向第三方共享你的隐私数据,而且还会根据法律法规向政府披露你的数据。在用户客户端进行这种行为真的是卑鄙无耻。尤其是那些参与屏蔽996.icu的浏览器1,你可以完全放弃他们了。2.杀毒软件
坚决不要使用国产杀毒软件,他们会监控你的上网纪录2(火绒除外,微点有待观察)。国产杀毒软件会以根据法律法规和危险警告识别监控上网站url,360杀毒软件曾拦截屏蔽过美国驻华大使馆某些特定网址。近期也拦截过996.icu以及github上996.icu的repo,并且做了个假的404网页,真他妈搞笑。杀毒软件有扫描磁盘全部内容的风险,如果你硬盘上有敏感隐私信息,不要使用这些国产杀毒软件。如果你在使用Windows10的话,那么自带的Windows Defence完全可以满足日常使用,有能力的也可以选择“裸奔”。如今免费盛行的国产杀毒软件早已沦为强制捆绑,广告推广,隐私收集的流氓软件。
3.安卓手机
解锁Bootloader进行root(但也面临着手机丢失后数据安全问题)。拒绝使用和购买那些不提供解锁Bootloader的手机,比如华为,魅族,锤子,VIVO,OPPO等。如果你不想折腾的话,苹果无疑是最好的选择,而且要将苹果账号选择在美国,而非云上贵州。
因为解锁Bootloader进行root是摆脱手机厂商监控的第一步。因为安卓手机厂商为了盈利收集的隐私信息,并向第三方共享你的隐私信息以获取广告推广盈利。只有进行root才能卸载掉那些监控手机的预装app。随着大多数国产手机逐渐关闭解锁Bootloader和加大Root的难度,用户想要摆脱手机厂商的监控也越来越难。厂商希望没人Root,因为不解锁Bootloader和root,厂商就可以为所欲为了。国产手机都会自带某种“云服务”,选择和使用这些服务被手机厂商收集到的个人隐私信息也将更多。
对于解锁bootloader和root后的风险。使用Android手机和使用Linux并无多大区别。拥有root权限的风险只是将root权限授权给未知应用而已。只要你够细心这一点是可以避免的。
手机丢失后别人也可以使用你用的刷机办法解锁你的手机,窃取你手机里的隐私信息。那就祝愿你手机不会丢失吧 但也可以使用tasker解决,在手机丢失后执行一些操作,删除手机上的内容。比如设定sim卡ID以及,只要更换Sim卡就触发报警操作,发送短信触发GPS定位,返回GPS信息,摄像头拍照等等都可以通过tasker实现。
4.输入法
杜绝使用国产输入法,在此推荐使用Google输入法。输入法作为文本信息输入的直接工具,就好比嘴一样与互联网说话沟通,如果输入法的记录被某些公司记录下来,就好比被人安装了窃听器一样。之前有报道过讯飞输入法拒绝翻译敏感词,早已证明这些党性十足的国产输入法会监控你的所有输入记录4,甚至监听你的麦克风百度输入法监听麦克风。使用google输入法的好处在于,因为墙的缘故,你的输入记录无法上传到Google服务器😂。
苹果用户
建议你将Apple账户进行转区到国外,国内的账户数据会存储在云上贵州那里,以供审查。Apple在隐私保护方面做的还是不错的。毕竟苹果是为了保护用户隐私敢直接和FBI硬杠的公司5。如果很在乎隐私保护而且不想折腾,那么苹果手机无疑是最好的选择。即便苹果收集到你的隐私数据,这些隐私数据也不会落到政府那里,前提是你的苹果账号在国外。6.安卓杀毒软件
你可以放心大胆地卸载掉所有xx安全管家,xx安全中心,xx安全,xx大师。基于Linux内核的安卓手机不需要任何杀毒软件的。想要安全,Root才是最彻底的方法,再次重申不要相信国内所谓“Root了很危险”这样的谣言,只要你有足够多的耐心和细心去研究,你就能够使用root权限把你的Android手机打造的固若金汤。那些所谓的安全管家,只不过是监控你手机,收集你隐私数据的工具而已。7.安卓手机ROM
选择更换开源ROM,LineageOS,AOSP,Resurrection Remix OS等开源的ROM。国产Android手机系统ROM,对原生安卓做了极大的修改以及夹带一些社会主义特色,7。建议刷上XDA社区的第三方开源的ROM,能力强的可以自己拿来源码来编译ROM,精简掉你不想要的app,事实证明,一个安卓7.1的AOSP ROM,仅仅需要50个系统app就可以完全满足日常使用。而国产手机ROM中系统app的数量往往在170-250个之间,其中包括大量无法卸载的垃圾流氓服务用来监控你,收集你的个人隐私。这也是为什么你的手机会越用越卡的原因。
开源社区的ROM不以盈利为目的,可以很少地收集你的信息,并不会向小米那样用于广告推广来盈利。当然第三方ROM质量上良莠不齐,要精心选择适合自己的ROM。
8.安卓权限管理
Root后使用Google原生安卓系统自带的IFW意图防火墙和App Ops(Application Operations)来对应用进行更加精细的权限管理,专治那些不给权限就不让运行的流氓app(比如支付宝,微信,QQ等)。也可以使用 MyAndroidTools,绿色守护,冰箱等 Android 神器来压制国内毒瘤 App。也可以使用开源软件应用管理伪造一些敏感信息,比如Android ID, IMIE ,手机号码。9.隐私政策
在注册和使用互联网服务时,一定要仔细阅读隐私政策/条款,是否有注销服务。如果临时使用可以考虑临时邮箱#12/短信接号网站#13注册。10.其他
远离那些在用户手机上建墙进行言论审查、自我阉割、网络封锁、敏感词屏蔽的杀毒软件、输入法、浏览器、手机、国产ROM等。记住,个人隐私保护,保护的不是你自己,而是与你相关的人,你的家人和朋友。
不要以为大数据时代无隐私可言,隐私保护不当与不保护是两种完全不同的风险程度,你用隐私换取的那点便利最后也会面临隐私泄露的风险。
reference
0.安全经验汇总1.多家国产浏览器限制访问 996.ICU
2.多款国产浏览器封锁 996.ICU,中国程序员惹谁了?
3.如何评价新版MIUI浏览器拦截Github等网站?
4.科大讯飞的应用被发现拒绝翻译敏感词
5.苹果发布了一支新广告,想告诉你手机中的“小秘密”同样需要重视
6.IFW介绍
7.墙已经砌造国产ROM(MIUI)中,深入人心、无处不在
8.中国流行手机应用难以注销账号
9.不怕大厂「耍流氓」,想保护隐私的你可以这样管理 Android 权限
10.2017年中国Android手机隐私安全报告
11.letitfly
12.临时邮箱
13.云短信-在线接收短信
14.MAT介绍
15.除了自己,没有人能保护你的隐私
16.从 root 手机说起
↧
↧
与互联网相关的基金会和组织
考古挖掘一些知名的开源软件/自由软件基金会和非营利性组织的发展、以及他们成功运作的方式。所以这篇文章大概是罗列出以后要写的文章.引用 NASA 的 purposes 致敬这些与互联网息息相关的组织 For the Benefit of All
基金会及维护的项目
数据来源
- The Linux Foundation - Nonprofit Explorer - ProPublica
- Free Software Foundation Inc - Nonprofit Explorer - ProPublica
- Mozilla Foundation - Nonprofit Explorer - ProPublica
- Wikimedia Foundation Inc - Nonprofit Explorer - ProPublica
- Software In The Public Interest Inc - Nonprofit Explorer - ProPublica
- Openstack Foundation - Nonprofit Explorer - ProPublica
- Apache Software Foundation - Nonprofit Explorer - ProPublica
- Python Software Foundation - Nonprofit Explorer - ProPublica
- Gnome Foundation Inc - Nonprofit Explorer - ProPublica
- Open Networking Foundation - Nonprofit Explorer - ProPublica
- The Freebsd Foundation - Nonprofit Explorer - ProPublica
- Open Source Initiative - Nonprofit Explorer - ProPublica
- Tor Project Inc - Nonprofit Explorer - ProPublica
- Freedom Of The Press Foundation - Nonprofit Explorer - ProPublica
- Committee To Protect Journalists Inc - Nonprofit Explorer - ProPublica
- World Wide Web Foundation - Nonprofit Explorer - ProPublica
- Epic - Nonprofit Explorer - ProPublica
- Electronic Privacy Information Center - Nonprofit Explorer - ProPublica
- Epic Foundation Inc - Nonprofit Explorer - ProPublica
- Software Freedom Conservancy Inc - Nonprofit Explorer - ProPublica
- Software Freedom Law Center Inc - Nonprofit Explorer - ProPublica
- Internet Archive - Nonprofit Explorer - ProPublica
- Risc V Foundation - Nonprofit Explorer - ProPublica
- Creative Commons Corporation - Nonprofit Explorer - ProPublica
- Internet Security Research Group - Nonprofit Explorer - ProPublica
↧
一些精彩的博客
公司 or 社区
阿里中间件团队博客
运维笔记
星知苑
Yo! 服务器
勾陈安全实验室SecWiki
众成翻译
Open-Source Security Architecture
前端导航
leansoftX.com
轻时代
Letitfly
编程一小时
美团技术团队
https://t.goodrain.com/
http://jm.taobao.org/
https://www.ibm.com/developerworks/cn/topics/
https://www.yuque.com/xytech
http://blog.umcloud.com/category/ceph/page/2/
http://www.youruncloud.com/blog/0_10.html
https://leansoftx.com/Blog/Index
https://open.leancloud.cn/
https://open.leancloud.cn/salary-2018/
https://blog.fundebug.com/
https://edu.aliyun.com/roadmap/cloudnative
https://tencentcloudcontainerteam.github.io/archives/
http://tengine.taobao.org/book/
https://www.souyunku.com/
https://community.emc.com/mobile/mobile-access.jspa#jive-place-content?content=%2Fapi%2Fcore%2Fv2%2Fspaces%2F2815
https://unordered.org/
Blog
老钱文集软件那些事儿
HuoJu's BLOG
酷 壳 – CoolShell
Aylei's Blog
依云's Blog
青木のJava小屋
David Dai | Backend Developer
带你玩转Docker
JAMIN ZHANG
David Dai | 分类: DevOps
Chris Chan's BLOG
ChenJian Blog
浮生若梦
birdben
宋净超 | Jimmy Song
梦旭随想
约伊兹的萌狼乡手札
宇宙的心弦
Scateu Blog - S.B.
王子亭的博客
Felix's Blog
SA-Logs
WRFLY'S BLOG
結城浩
ZGQ's Blog
VOID001'S WOWO
Cheson Blog
君看一叶舟,出没风波里
Wenzi
zoues
没有math.h我们能干啥?
3NICE
柳婼 の blog
Kiwenlau
EZLippi-浮生志
just4fun
K.I.S.S
Sukka Lab
gythialy
开源小站
Smells Like Teen Spirit
吴良超的学习笔记
Post
白话 Kubernetes RuntimeStack Overflow 2019 程序员调查
记一次Kubernetes/Docker网络排障
互联网之子 Aaron Swarts 想要看到的世界
开源是自由的,永远
穿越寒冬的独行者
Facebook、隐私、监听广告以及我们如何失去自由的互联网的
https://jhuo.ca/post/the_old_internet_is_end/
到底谁才是真正的隐形战友——开源软件和OpenSSL的真实故事
回应破破的桥《针对OpenSSL捐助的讨论》
墙、感染、信任和欺骗
对深度王勇的回应
CPU性能排名
隐形战友
Docker安全扫描工具
《Docker 实践》阅读笔记
《Prometheus Book》阅读笔记
学习T神的《像黑客一样使用Linux命令行》
Linux IO 监控与深入分析
闲谈线上俩k8s环境同等limits下pod启动时间不一样解决过程
Jenkins的安装(docker)和简单的使用
LINUX PID 1 和 SYSTEMD
与Linus Torvalds“并列”,虚拟化天才程序员法布里斯贝拉
使用 Travis CI 自动更新 GitHub Pages
英雄联盟
除了自己,没有人能保护你的隐私
给妹子看的 Arch Linux 桌面日常安装
方法论、方法论——程序员的阿喀琉斯之踵
关于高通 9008 刷机的研究
c语言 - 进程间通信 Unix Domain Socket
docker save与docker export的区别
关于/var/run/docker.sock
通过对缓存测速提取信息的旁路攻击
Docker Network—Bridge 模式
Git内部存储原理
tools
装了啥 | 看片、杀毒、效率办公……这 34 款 Windows 应用,每一款都是神器KoolClash
↧
linux系统安全检查
- 检查是否禁止 ssh 密码登录、是否禁止root用户远程登录
- 修改 ssh 默认端口号、添加 ssh 防火墙白名单规则
- 添加 ssh 远程登录IP白名单、禁止白名单以外IP登录
- 防火墙默认规则、确保过滤所有传入端口、只开放服务端口
- 开启系统权限审计日志、认证登录日志
- 日志收集与监控服务运行状态
- 检查进程运行用户的权限
- 外部安全扫描(nmap扫描端口)
- 系统运行服务检查
- 检查 SSH 与 PGP 的私钥
- 文件系统完整性检查
- 检查系统安全更新
- 检查时钟是否同步为北京时间
- 检查是否需要开启swap,预防业务高峰时期内存不足引起OOM
3.应用服务器安全检查
- 统一设置40X错误页面、禁止输出服务器状态信息
- 检查Tomcat后台管理弱口令或禁用Tomcat后台默认应用
- Web服务器配置文件检查、避免端口或域名冲突
- 删除 Tomcat 默认安装的应用
- 设置禁止列出目录,防止直接访问目录时由于找不到默认页面,而列出目录下的文件的情况
- 确保生产环境与开发环境所需的依赖一致
搞企业先扫描,扫描器商业好;默密码都知道 ,社工库找一找;
邮箱号先列好,九头蛇跑一跑 ;搞不定放大招,发邮件凭伪造;
没邮箱搞网站 ,二级域皆可爆;老漏洞没修好,新漏洞刷一票 ;
干研发 Git 找,源代码全都要;CDN 可以跳, 防火墙可以撬;
堡垒机可以秒,云防护可以秒 ;是企业都可搞
此处引用自 考えるF4n9X
4.数据库安全检查
- 确保数据库连接的正确性
- 检查连接数据库用户的权限、开启数据库连接用户审计
- 上线前数据库做一次备份
- 检查数据库监听地址和端口、禁止监听外网IP地址
5.代码控制
- 使用sonar进行代码质量检测
- 备份旧数据、做好回滚准备
- jar包版本检查、检查内部jar包引用
- 检查 webshell 漏洞、SQL 注入漏洞等
6.监控和日志收集
- 确保监控和日志收集的数据正确
- 确保异常监控警报可以触发并做好处理措施
7.监控
- 确保监控服务正常运行
- 确保监控指标采集正常
- 确保监控报警系统面对突发事故时能准时准确地通知到相应人员
↧
一段在法律与技术冲突的地方捍卫自由的历史
题记
本篇文章翻译自 eff.org官网上的 A History of Protecting Freedom Where Law and Technology CollideA History of Protecting Freedom Where Law and Technology Collide
一段在法律与技术冲突的地方捍卫自由的历史
The Electronic Frontier Foundation was founded in July of 1990 in response to a basic threat to speech.
电子前哨基金会成立于 1990 年 7 月,皆在应对基本的言论威胁。
The United States Secret Service conducted a series of raids tracking the distribution of a document illegally copied from a BellSouth computer that described how the emergency 911 system worked, referred to as the E911 document.
美国特勤局进行了一系列的突击搜查,追踪一份来自南方贝尔公司电脑非法复制文档的分发情况。这份文档描述了紧急 911系统的工作原理,称之为E911文档。
The Secret Service believed that if "hackers" knew how to use the telephone lines set aside for receiving emergency phone calls, the lines would become overloaded and people facing true emergencies would be unable to get through.
特勤局认为,如果“黑客”知道如何使用空闲的通信线路来接听紧急电话,则通信线路将变得超负荷,面对真正紧急情况的人将因此无法打通电话。
One of the alleged recipients of the E911 document was the systems operator at a small games book publisher out of Austin, Texas, named Steve Jackson Games.
E911 文档的嫌疑接收者之一,是德克萨斯州奥斯汀市史蒂夫·杰克逊游戏的小型游戏图书发行商的系统操作员。
The Secret Service executed a warrant against the innocent Jackson and took all electronic equipment and copies of an upcoming game book from Steve Jackson Games' premises.
特勤局对无辜的杰克逊执行了逮捕令,并从史蒂夫·杰克逊游戏公司取走了所有电子设备和一本即将发行的游戏书籍的副本。
Steve Jackson panicked as he watched the deadline come and go for his latest release and still hadn't received his computers back.
史蒂夫·杰克逊为发行游戏书籍最后期限的来临惊慌失措,因为他要发布他的最新的版本,但他的电脑仍未归还。
He was forced to lay off nearly half of his staff.
他被迫解雇了将近一半的员工。
In the end, the Secret Service returned all of Steve Jackson's computers and decided not to press charges against the company, since they were unable to find any copies of the E911 document on any of the computers.
最后,特勤局归还了史蒂夫·杰克逊所有的计算机,因为他们无法在任何计算机上找到 E911 文档的任何副本,所以就决定不对这家公司提起诉讼。
In the meantime, Steve Jackson's business was nearly ruined.
与此同时,史蒂夫·杰克逊的游戏生意几乎破产。
And when he and his employees had the opportunity to investigate the returned computers, they noticed that all of the electronic mail that had been stored on the company's electronic bulletin board computer, where non-employee users had dialed in and sent personal messages to one another, had been individually accessed and deleted.
当他和他的员工们事后调查归还的计算机时,他们注意到特勤局访问并删除了所有存储在公司 BBS 上的电子邮件,而这些电子邮件是用户用来相互通信用的。
Steve Jackson was furious, as he believed his rights as a publisher had been violated and the free speech and privacy rights of his users had been violated.
史蒂夫·杰克逊感到作为出版商的权利受到侵犯以及用户的言论自由和隐私权也遭到侵犯而愤怒。
Steve Jackson tried desperately to find a civil liberties group to help him, to no avail.
史蒂夫·杰克逊竭尽所能找一个公民自由组织来帮助他,但无济于事。
Unfortunately, none of the existing groups understood the technology well enough to understand the importance of the issues.
不幸的是,现有的组织中没有一个充分了解有关技术以意识到这些问题的重要性。
In an electronic community called the Whole Earth 'Lectronic Link (now WELL.com) several informed technologists understood exactly what civil liberties issues were involved.
在一个名为“全球电子链接”的电子社区(现为WELL.com)中,几位见多识广的技术专家确切地知晓涉及的公民自由问题。
Mitch Kapor, former president of Lotus Development Corporation, John Perry Barlow, Wyoming cattle rancher and lyricist for the Grateful Dead, and John Gilmore, an early employee of Sun Microsystems, decided to do something about it.
米奇·卡普尔,莲花开发公司前总裁,约翰·佩里·巴洛,怀俄明州养牛主,《感恩之死》的抒情作家,以及太阳微系统公司的早期雇员约翰·吉尔莫尔,决定对此采取一些行动。
They formed an organization to work on civil liberties issues raised by new technologies.
他们成立了一个组织,致力于解决新技术带来的公民自由问题。
On the day they formally unveiled the new organization, they announced that they were representing Steve Jackson Games and several of the company's bulletin board users in a lawsuit they were bringing against the United States Secret Service.
在电子前哨基金会宣布正式成立的当天,他们宣布他们代表史蒂夫·杰克逊游戏公司和几位公司的 BBS 用户,对美国特勤局提起了诉讼。
The Electronic Frontier Foundation was born!
由此电子前哨基金会诞生了!
The Steve Jackson Games case turned out to be an extremely important one in the development of a proper legal framework for cyberspace.
事实证明,史蒂夫•杰克逊游戏案对网络空间法律框架的制定极为重要。
For the first time, a court held that electronic mail deserves at least as much protection as telephone calls.
法院首次裁定,电子邮件至少应该得到与电话一样多的保护。
We take for granted today that law enforcement must have a warrant that particularly describes all electronic mail messages before seizing and reading them.
今天我们理所当然地认为,执法部门在扣押和阅读所有电子邮件之前,必须持有特别描述这些电子邮件的搜查令。
The Steve Jackson Games case established that principle.
而正是史蒂夫·杰克逊游戏案确立了这一 判例。
The Electronic Frontier Foundation continues to take on cases that set important precedents for the treatment of rights in cyberspace.
电子前哨基金会继续受理为网络空间权利处理树立重要先例的案件。
In our second big case, Bernstein v. U.S. Dept. of Justice, the United States government prohibited a University of California mathematics Ph.D. student from publishing on the Internet an encryption computer program he had created.
在我们的第二个重大案件,即伯恩斯坦诉美国司法部案中,美国政府禁止加州大学的一名数学博士生在互联网上分发他创建的一个加密软件。
Encryption is a method for scrambling messages so they can only be understood by their intended recipients.
加密技术是一种加扰信息的方法,这样信息只能被它们的目标接收者理解。
Years before, the government had placed encryption on the United States Munitions List, alongside bombs and flamethrowers, as a weapon to be regulated for national security purposes.
数年前,政府已经将加密技术与炸弹、火焰喷射器一同置于军需品清单,作为国家安全目的的管制武器。
Companies and individuals exporting items on the munitions list, including software with encryption capabilities, had to obtain prior State Department approval.
公司或个人出口军需品清单上的物品,具有加密功能的软件,必须事先获得(美国)国务院的批准。
Encryption export restrictions crippled American businesses and damaged the free speech rights of individuals.
加密技术出口限制削弱了美国企业,并侵犯了个人的言论自由。
Critical for ecommerce, companies use encryption to safeguard sensitive information, such as credit card numbers, which they send or receive over electronic networks.
企业使用加密技术来保护信用卡号码等敏感信息并通过网络发送或接收,因此加密技术对电子商务至关重要。
Companies also secure access to software programs and provide system security using encryption.
使用加密技术,公司还可以保护对软件程序的访问,并确保系统的安全。
By limiting the export of encryption, technologies, and methods, the U.S. government drove development of security software overseas, where American companies were unable to compete.
通过限制加密、技术和方法的出口,美国政府将安全软件的开发逼到了海外,使得美国公司无法与国外公司竞争 。
The State Department was unsympathetic to Bernstein's situation and told Bernstein he would need a license to be an arms dealer before he could simply post the text of his encryption program on the Internet.
(美国)国务院并同情伯恩斯坦,并告诉伯恩斯坦,他需要获得军火商的许可证才能将他的加密软件的代码发布到互联网上。
They also told him that they would deny him an export license if he actually applied for one, because his technology was too secure.
(美国)国务院还告诉伯恩斯坦,如果他真的申请出口许可证,那么他们将会拒绝,因为他的技术太安全了。
The Electronic Frontier Foundation pulled together a top-notch legal team and sued the United States government on behalf of Dan Bernstein.
电子前哨基金会召集了一个顶尖的法律团队,代表伯恩斯坦起诉美国政府。
The court ruled, for the first time ever, that written software code is speech protected by the First Amendment.
法院有史以来第一次裁定,编写的软件代码是受宪法第一修正案保护的言论。
The court further ruled that the export control laws on encryption violated Bernstein's First Amendment rights by prohibiting his constitutionally protected speech.
法院进一步裁定,有关加密技术出口管制的法律 禁止伯恩斯坦发表受宪法保护的言论,因此侵犯了伯恩斯坦的第一修正案权利。
As a result, the government changed its export regulations.
因此,美国政府改变了他的出口条例。
Now everyone has the right to "export" encryption software -- by publishing it on the Internet -- without prior permission from the U.S. government.
现在,每个人都有权利通过在互联网上发布加密软件而无需事先获得美国政府的许可。
Once again, the Electronic Frontier Foundation led the charge to establish important cyberspace rights.
电子前哨基金会再次领导确立了重要的网络空间权利
Today's Issues
While many early battles over the right to communicate freely and privately stemmed from government censorship, today EFF is fighting for users on many other fronts as well.
虽然早期许多关于自由和私密通讯权利的斗争源于政府的审查制度,但今天 EFF 也在许多其他领域为用户而战。
Today, certain powerful corporations are attempting to shut down online speech, prevent new innovation from reaching consumers, and facilitating government surveillance.
今天,某些互联网巨头正试图封杀网络言论,阻止新创新惠及消费者,并为政府监控提供便利。
We challenge corporate overreach just as we challenge government abuses of power.
我们挑战公司的越权,就像我们挑战政府的权力滥用一样。
We also develop technologies that can help individuals protect their privacy and security online, which our technologists build and release freely to the public for anyone to use.
我们技术人员还开发了保护个人隐私和网络安全的技术,这些技术免费向公众开放以供所有人使用。
In addition, EFF is engaged in major legislative fights, beating back digital censorship bills disguised as intellectual property proposals, opposing attempts to force companies to spy on users, championing reform bills that rein in government surveillance, and much more.
此外,EFF 还参与了重大的立法斗争,阻止伪装成知识产权法案的网络审查法案通过,反击强迫公司监视用户的企图, 力推改革限制政府监视的法案,等等。
We are working with advocates worldwide to create a global digital environment that upholds both human rights and Constitutional rights, and we continue to take on cutting-edge legal cases to win victories for user rights.
我们正在与世界各地的倡议者们合作,去创造一个既维护人权又维护宪法权利的数字世界,我们继续受理前沿的法律案件,为用户权利赢得胜利。
↧
↧
香港理大被围第三日 示威者顽抗 反送中民气不散
香港理工大被港警重重包围三日,在又一个黎明到来之际,仍然有数十名争取民主的示威者在抵抗,他们已经疲惫不堪但意志坚定,拒绝周二晚间香港当局发出的要他们投降的喊话,也不畏惧北京当局越来越清晰的准备干预的威胁。
法新社报道,示威者担心被捕担心被包围大学的警方打伤,最后一批激烈的抗议者在夜幕降临之后仍然坚守。
香港当局下令包围理工大,开始于周日,理大一幕,成了6月爆发反送中运动以来最持久最暴力也是最惨烈的学生与武装到牙齿的警察对抗的场景。
面对警方死围迫降迫使他们离开的企图,他们还之以燃烧弹,砖块。警方已经发出警告,如果警方遭到“致命武器”攻击,他们将不惜动用实弹射击,示威者手中的“致命武器”就是燃烧弹和砖块。
他们一天比一天疲乏。面对夜晚的低温,许多大学生和高中生包裹在单薄的被单中,躺在校园的小径上。
遭受死围的示威者不顾一切生命危险出逃,不少示威者周一晚间通过吊绳,从天桥上滑下,在骑摩托的市民的接应下逃走,但警方很快堵死了通道;星期二,还有一些示威者从地下臭气熏天的排水沟逃走。一些示威者对记者表示,外面的人无法帮助我们,我们只有自己想尽一切办法。星期二,二十多名示威者躲开警方监视,先躲入靠近校园的房屋,然后逃走。其中一名17岁的少年对记者说:“如果我被抓住,他们会以暴乱罪的名义判我十年徒刑,但是如果我停止示威,形同我在一个更大的狱中度过我的一生”
示威者被包围在校园里的命运引发香港众多市民的同情,星期一,数千名市民出现在九龙多处,响应“去理大,救学生”号召,上街堵路,试图“围卫堵赵”,借以分散警力,让受困理大的示威者设法逃出。
中央社香港报道:让人惊讶的是,在梳士巴利道上,数以千计的示威者自动组织起几条长长的人链,把头盔、雨伞、砖块和制作汽油弹所用的玻璃瓶、砂糖和白电油等物质,不断传递到前线。人链中的示威者并没有太多装备,多数只戴着口罩,许多人还穿着衬衫,套装,好像是下班后直接赶过来。根据法新社前线报道的记者,这其中许多人都是工作的,上班时上班,下半时投身到抗争队伍中来。这场“去理大,救学生”的抗争,超过100名示威者被捕。
记者观察到,校园现在已缺粮缺水,示威者随时担心警察突袭,一股绝望的情绪正在弥漫。一座墙壁上,涂着“不自由毋宁死”。到处堆放着乱摆的桌椅,制造燃烧弹的瓶子,四散的垃圾桶。墙壁被之前爆发的火灾烧得漆黑。但是,最坚定、最激进的示威者还在坚守。一位疲惫不堪的王姓学生含着眼泪解释:“如果我放弃了,那么,我还好去见那些为争取自由而牺牲一切的手足吗?”他还说,“如果我的前途终结了,我并不害怕,只要其他人能够踏着我们的躯体,继续前行,斗争到底”。
自理大陷入警方包围以来,香港特首林郑月娥周二第一次发表讲话,她称,暴乱者必须放弃暴力,交出武器,听从警方命令和平走出。林郑月娥称,她保证所有走出的未成年人都不会被捕,18岁以上的成年人,则以参与暴乱的罪名控罪,最高可判十年徒刑。
警方称,在最近二十四小时,已逮捕1000余名示威者,占反送中以来被拘捕人士的20%。
一位遭围的理大学机械的学生表示,“哪怕我们同意走出,他们照样把我们关进监狱”,“他们给外界发出一种信息,似乎有两种观点,其实他们就一种观点,就是监狱。”
随着时间推移,继续坚守的示威者在不断减少,根据法新社现场记者观察,周二下午,示威者仍有一百多人。
联合国人权署周二敦促香港当局“寻求和平解决之路”,解除对大学的包围。联合国人权署发言人在新闻发布会上表示,借助于极端暴力,也包括对警察使用暴力,是令人非常遗憾和不可接受的。
中国人民解放军驻港部队这个周末走出军营,清扫街道,有关中国军队干预香港的传说甚嚣尘上。
北京当局周二严厉抨击香港高院有关‘禁蒙面法’违宪的裁决,北京称,这一裁决削弱了港府。北京称,唯一只有中国人大常委会才有权力对一个法律是否合乎基本法做出解释。
香港学校已关闭一周。当局宣布,交通状况有所改善,使得大部分学校周三起重新开课。
中央社前方记者报道,“没有人知道理大内的示威者最终是否能全部离去?也没有人知道这场运动能持续到何时?唯一可以确定的,这股反送中民气,没有消散。”
--------------------------
共匪这个瘟神一定不得好死。
法新社报道,示威者担心被捕担心被包围大学的警方打伤,最后一批激烈的抗议者在夜幕降临之后仍然坚守。
香港当局下令包围理工大,开始于周日,理大一幕,成了6月爆发反送中运动以来最持久最暴力也是最惨烈的学生与武装到牙齿的警察对抗的场景。
面对警方死围迫降迫使他们离开的企图,他们还之以燃烧弹,砖块。警方已经发出警告,如果警方遭到“致命武器”攻击,他们将不惜动用实弹射击,示威者手中的“致命武器”就是燃烧弹和砖块。
他们一天比一天疲乏。面对夜晚的低温,许多大学生和高中生包裹在单薄的被单中,躺在校园的小径上。
遭受死围的示威者不顾一切生命危险出逃,不少示威者周一晚间通过吊绳,从天桥上滑下,在骑摩托的市民的接应下逃走,但警方很快堵死了通道;星期二,还有一些示威者从地下臭气熏天的排水沟逃走。一些示威者对记者表示,外面的人无法帮助我们,我们只有自己想尽一切办法。星期二,二十多名示威者躲开警方监视,先躲入靠近校园的房屋,然后逃走。其中一名17岁的少年对记者说:“如果我被抓住,他们会以暴乱罪的名义判我十年徒刑,但是如果我停止示威,形同我在一个更大的狱中度过我的一生”
示威者被包围在校园里的命运引发香港众多市民的同情,星期一,数千名市民出现在九龙多处,响应“去理大,救学生”号召,上街堵路,试图“围卫堵赵”,借以分散警力,让受困理大的示威者设法逃出。
中央社香港报道:让人惊讶的是,在梳士巴利道上,数以千计的示威者自动组织起几条长长的人链,把头盔、雨伞、砖块和制作汽油弹所用的玻璃瓶、砂糖和白电油等物质,不断传递到前线。人链中的示威者并没有太多装备,多数只戴着口罩,许多人还穿着衬衫,套装,好像是下班后直接赶过来。根据法新社前线报道的记者,这其中许多人都是工作的,上班时上班,下半时投身到抗争队伍中来。这场“去理大,救学生”的抗争,超过100名示威者被捕。
记者观察到,校园现在已缺粮缺水,示威者随时担心警察突袭,一股绝望的情绪正在弥漫。一座墙壁上,涂着“不自由毋宁死”。到处堆放着乱摆的桌椅,制造燃烧弹的瓶子,四散的垃圾桶。墙壁被之前爆发的火灾烧得漆黑。但是,最坚定、最激进的示威者还在坚守。一位疲惫不堪的王姓学生含着眼泪解释:“如果我放弃了,那么,我还好去见那些为争取自由而牺牲一切的手足吗?”他还说,“如果我的前途终结了,我并不害怕,只要其他人能够踏着我们的躯体,继续前行,斗争到底”。
自理大陷入警方包围以来,香港特首林郑月娥周二第一次发表讲话,她称,暴乱者必须放弃暴力,交出武器,听从警方命令和平走出。林郑月娥称,她保证所有走出的未成年人都不会被捕,18岁以上的成年人,则以参与暴乱的罪名控罪,最高可判十年徒刑。
警方称,在最近二十四小时,已逮捕1000余名示威者,占反送中以来被拘捕人士的20%。
一位遭围的理大学机械的学生表示,“哪怕我们同意走出,他们照样把我们关进监狱”,“他们给外界发出一种信息,似乎有两种观点,其实他们就一种观点,就是监狱。”
随着时间推移,继续坚守的示威者在不断减少,根据法新社现场记者观察,周二下午,示威者仍有一百多人。
联合国人权署周二敦促香港当局“寻求和平解决之路”,解除对大学的包围。联合国人权署发言人在新闻发布会上表示,借助于极端暴力,也包括对警察使用暴力,是令人非常遗憾和不可接受的。
中国人民解放军驻港部队这个周末走出军营,清扫街道,有关中国军队干预香港的传说甚嚣尘上。
北京当局周二严厉抨击香港高院有关‘禁蒙面法’违宪的裁决,北京称,这一裁决削弱了港府。北京称,唯一只有中国人大常委会才有权力对一个法律是否合乎基本法做出解释。
香港学校已关闭一周。当局宣布,交通状况有所改善,使得大部分学校周三起重新开课。
中央社前方记者报道,“没有人知道理大内的示威者最终是否能全部离去?也没有人知道这场运动能持续到何时?唯一可以确定的,这股反送中民气,没有消散。”
--------------------------
共匪这个瘟神一定不得好死。
↧
令人振奋的消息:美国参议院无异议通过《香港民主与人权法案》(哈哈,共匪有‘好日子’过了)
各界所关注的《香港人权与民主法案》于美东时间星期二(11月19日)傍晚6时左右正式以无异议的方式在参议院获得通过。(北京时间2019年11月20日早上6点)
由鲁比奥参议员所提出的《香港人权与民主法案》在参议院获得两党40位议员联署。在法案即将通过之前,来自两党多位参议员星期二在院会发言,高调支持香港自6月9日由反对《逃犯条例》修例所引发但已演变成争取更广泛民主诉求的抗议运动。
“今天,美国参议院向那些为他们长期珍视的自由而抗争的香港人传递了一个明确的信息:我们听到了你们的声音,我们持续与你们站在一起,北京破坏你们的自治,我们不会袖手旁观,”来自佛罗里达州的共和党参议员鲁比奥(Sen. Marco Rubio,R-FL)在院会发言时说,“这项法案的通过是重要的一步,将追究中国和香港政府官员侵蚀香港自治和侵犯人权的行为。”
参议院外交委员会主席、来自爱达荷州的共和党人里施(Sen. Jim Risch,R-ID)也在发言中称法案的通过是“美国参议院今天表明立场,支持香港人民。”
参议院外交委员会首席民主党成员、来自新泽西州的参议员梅嫩德斯(Sen. Bob Menendez,D-NJ)说:“香港目前的局势已濒临失控点,希望这项法案成为数百万计的人一剂强心针,他们一直在耐心等待美国可以再次成为他们的灯塔,在他们捍卫自己的基本权利和自治的努力中,与他们团结在一起。香港政府必须采取适当措施,缓和目前的局势,满足香港人民的追求民主的愿望,包括针对警方执法暴力问题成立独立调查委员会。这项法案清楚表明,美国将坚定且毫不含糊地支持香港人民合理的诉求渴望。”
来自田纳西州的共和党参议员(Marsha Blackburn,R-TN)也在发言中说,法案发出了美国与香港抗议者站在一起的讯号。她谴责了北京的威权统治。她说:“重要的是,要知道,中国在世界最恶名昭著的人权侵犯者的榜首赢得了它的一席之地。过去几个星期来,香港陷入的混乱和流血及时地提醒人们威权统治所带来的恐怖、极端的恐怖。没有问责,就不会有改变。北京需要知道,我们把焦点放在了问责。”
参议院少数党领袖、来自纽约州的民主党人舒默(Senate Minority Leader Chuck Schumer,D-NY)在院会发言中说:“北京的执政党继续蔑视香港的司法独立,同时对从中国一端到另一端的少数族群进行残暴压制,在此之际,美国支持香港公民的民主权利至关重要。”
他接着说:“中国人民,我们与你们站在一起支持自由。香港的孩子们、学生们和成年人,我们与你们站在一起。那些只是想践行自己宗教信仰的维吾尔人,我们与你们站在一起。自由必将胜利,中国的体制不是必将改变就是必将失败。”
《香港人权与民主法案》众议院版本今年9月在众议院获得一致通过。不过,由于参众两院目前所通过的版本并不一致,因此两院仍需进行协调,双方版本达成一致之后才能送交到白宫等待总统签字,正式生效成为法律。如果要让法案在今年年底前生效,议员们必须加快行动,包括可能让众议院全盘接受参议院的版本而无须来回整合。
由鲁比奥参议员所提出的《香港人权与民主法案》在参议院获得两党40位议员联署。在法案即将通过之前,来自两党多位参议员星期二在院会发言,高调支持香港自6月9日由反对《逃犯条例》修例所引发但已演变成争取更广泛民主诉求的抗议运动。
“今天,美国参议院向那些为他们长期珍视的自由而抗争的香港人传递了一个明确的信息:我们听到了你们的声音,我们持续与你们站在一起,北京破坏你们的自治,我们不会袖手旁观,”来自佛罗里达州的共和党参议员鲁比奥(Sen. Marco Rubio,R-FL)在院会发言时说,“这项法案的通过是重要的一步,将追究中国和香港政府官员侵蚀香港自治和侵犯人权的行为。”
参议院外交委员会主席、来自爱达荷州的共和党人里施(Sen. Jim Risch,R-ID)也在发言中称法案的通过是“美国参议院今天表明立场,支持香港人民。”
参议院外交委员会首席民主党成员、来自新泽西州的参议员梅嫩德斯(Sen. Bob Menendez,D-NJ)说:“香港目前的局势已濒临失控点,希望这项法案成为数百万计的人一剂强心针,他们一直在耐心等待美国可以再次成为他们的灯塔,在他们捍卫自己的基本权利和自治的努力中,与他们团结在一起。香港政府必须采取适当措施,缓和目前的局势,满足香港人民的追求民主的愿望,包括针对警方执法暴力问题成立独立调查委员会。这项法案清楚表明,美国将坚定且毫不含糊地支持香港人民合理的诉求渴望。”
来自田纳西州的共和党参议员(Marsha Blackburn,R-TN)也在发言中说,法案发出了美国与香港抗议者站在一起的讯号。她谴责了北京的威权统治。她说:“重要的是,要知道,中国在世界最恶名昭著的人权侵犯者的榜首赢得了它的一席之地。过去几个星期来,香港陷入的混乱和流血及时地提醒人们威权统治所带来的恐怖、极端的恐怖。没有问责,就不会有改变。北京需要知道,我们把焦点放在了问责。”
参议院少数党领袖、来自纽约州的民主党人舒默(Senate Minority Leader Chuck Schumer,D-NY)在院会发言中说:“北京的执政党继续蔑视香港的司法独立,同时对从中国一端到另一端的少数族群进行残暴压制,在此之际,美国支持香港公民的民主权利至关重要。”
他接着说:“中国人民,我们与你们站在一起支持自由。香港的孩子们、学生们和成年人,我们与你们站在一起。那些只是想践行自己宗教信仰的维吾尔人,我们与你们站在一起。自由必将胜利,中国的体制不是必将改变就是必将失败。”
《香港人权与民主法案》众议院版本今年9月在众议院获得一致通过。不过,由于参众两院目前所通过的版本并不一致,因此两院仍需进行协调,双方版本达成一致之后才能送交到白宫等待总统签字,正式生效成为法律。如果要让法案在今年年底前生效,议员们必须加快行动,包括可能让众议院全盘接受参议院的版本而无须来回整合。
来源: 美国之音
↧
“中国之治”是危及人类的恶治
在香港危机难以收场的时刻,《纽约时报》又发表了有关新疆集中营的中共秘密文件,无疑对习近平自诩的“中国之治”投下了另一枚重磅炸弹。这些文件揭露的事实,对于珍重和向往自由的人来说,更加坚定了他们对“中国之治”是恶治的认知,但我也看到这样一个事实,那就是对于不少信仰“好死不如赖活”的中国人来说,这些秘密文件所揭露的黑暗事实,并不能改变他们支持中共的所谓“爱国”立场,因为对他们来说,中共在新疆大规模兴建集中营,是应对伊斯兰恐怖主义分子的有效手段。我在《纽约时报》的读者评论中看到,持这种看法的读者指出,中共这种做法比起美国在阿富汗和伊拉克大量杀伤无辜百姓,要强的多。
生活的经验告诉我,要说服这些无法理解自由秩序的人,是困难的。尽管如此,我还是坚信,信仰“不自由毋宁死”的人,仍要不遗余力地宣扬自由的道理,因为我们现在有更多的理由相信,通往奴役秩序的道路不仅意味着自由的死亡,也意味着人类的死亡。那些支持习近平“中国之治”的人,那些反对台湾和香港人民自治、反对中国大陆人民实行地方民主自治的“爱国者”,往往持有这样几个假设:第一,有序比无序强,而对中国来说,自由就意味着无序;第二,中国搞不了民主,也无意挑战西方的民主,但不容西方挑战“具有中国特色”的奴役秩序,因为现在的“中国之治”是唯一适合中国人的秩序。对这些人,仅仅说“民主是好东西”是无用的,而必须有针对性地展开说理,随着时局的变化,或许还能影响他们中的一些人。
“有序比无序强”,这句话是真理,因为人性的逻辑是,如果只能在无序和被奴役之间做选择,会有很多人选择被奴役,但人性也有这样一个逻辑,如果能在自由和被奴役两种秩序间做选择,就可能有足够多的人选择为自由而抗争,尽管不一定成功。那么,当世界面临着自由和奴役两种秩序的竞争时,人性的逻辑意味着什么呢?那种以为两种秩序会“井水不犯河水”的想法并不符合人性的逻辑,人性的逻辑是,“不是东风压倒西风,就是西风压倒东风”,或者是两种秩序的对抗导致人类同归于尽。自由秩序与奴役秩序最根本的区别,就在于自由秩序有机会自我纠错,而奴役秩序则几乎不可能。因此,今天人类文明的主要危险,主要来自奴役秩序的自我毁灭给自由秩序带来的风险,而“中国之治”正是这种风险最集中的表现。
我并不认为支持“中国之治”的人真信中国能以输出奴役秩序代替西方的自由秩序,他们相信的是,中共能以“同归于尽”的威胁来维持中国现存的奴役秩序。但香港治理危机的全面爆发和新疆治理危机的深度暴露,充分揭示了“中国之治”反人类的恶治本质,从而为支持自由秩序的人说服那些仍在自欺欺人的“爱国者”们,提供了重要的契机。我们可以对他们说,你可以不爱自由和民主,但你真的不在乎你的未来和你子孙的未来吗?
生活的经验告诉我,要说服这些无法理解自由秩序的人,是困难的。尽管如此,我还是坚信,信仰“不自由毋宁死”的人,仍要不遗余力地宣扬自由的道理,因为我们现在有更多的理由相信,通往奴役秩序的道路不仅意味着自由的死亡,也意味着人类的死亡。那些支持习近平“中国之治”的人,那些反对台湾和香港人民自治、反对中国大陆人民实行地方民主自治的“爱国者”,往往持有这样几个假设:第一,有序比无序强,而对中国来说,自由就意味着无序;第二,中国搞不了民主,也无意挑战西方的民主,但不容西方挑战“具有中国特色”的奴役秩序,因为现在的“中国之治”是唯一适合中国人的秩序。对这些人,仅仅说“民主是好东西”是无用的,而必须有针对性地展开说理,随着时局的变化,或许还能影响他们中的一些人。
“有序比无序强”,这句话是真理,因为人性的逻辑是,如果只能在无序和被奴役之间做选择,会有很多人选择被奴役,但人性也有这样一个逻辑,如果能在自由和被奴役两种秩序间做选择,就可能有足够多的人选择为自由而抗争,尽管不一定成功。那么,当世界面临着自由和奴役两种秩序的竞争时,人性的逻辑意味着什么呢?那种以为两种秩序会“井水不犯河水”的想法并不符合人性的逻辑,人性的逻辑是,“不是东风压倒西风,就是西风压倒东风”,或者是两种秩序的对抗导致人类同归于尽。自由秩序与奴役秩序最根本的区别,就在于自由秩序有机会自我纠错,而奴役秩序则几乎不可能。因此,今天人类文明的主要危险,主要来自奴役秩序的自我毁灭给自由秩序带来的风险,而“中国之治”正是这种风险最集中的表现。
我并不认为支持“中国之治”的人真信中国能以输出奴役秩序代替西方的自由秩序,他们相信的是,中共能以“同归于尽”的威胁来维持中国现存的奴役秩序。但香港治理危机的全面爆发和新疆治理危机的深度暴露,充分揭示了“中国之治”反人类的恶治本质,从而为支持自由秩序的人说服那些仍在自欺欺人的“爱国者”们,提供了重要的契机。我们可以对他们说,你可以不爱自由和民主,但你真的不在乎你的未来和你子孙的未来吗?
↧