最基本的物质需求得到满足之后，唯一能够不断增加个人幸福感的事情就是帮助他人

1、只允许在192.168.62.1上使用ssh远程登录，从其它计算机上禁止使用ssh

#iptables -A INPUT -s 192.168.62.1 -p tcp --dport 22 -j ACCEPT

#iptables -A INPUT -p tcp --dport 22 -j DROP

2、禁止本机代理服务
#iptables -A INPUT -p tcp --dport 3128 -j REJECT

3、除192.168.62.1外，禁止其它人ping我的主机

#iptables -A INPUT -i eth0 -s 192.168.62.1/32 -p icmp -m icmp --icmp-type echo-request -j ACCEPT
#iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request –j DROP

或

#iptables -A INPUT -i eth0 -s 192.168.62.1/32 -p icmp -m icmp --icmp-type 8 -j ACCEPT
#iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j DROP

4、DNAT和SNAT。

#echo 1 > /proc/sys/net/ipv4/ip_forward


#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 202.96.134.130:80
#iptables -t nat -A PREROUTING -i eth0 -p udp --dport 80 -j DNAT --to-destination 202.96.134.130:80

#iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 80 -s 192.168.52.0/24 -j SNAT --to-source 202.96.134.10:20000-30000
#iptables -t nat -A POSTROUTING -o eth1 -p udp --dport 80 -s 192.168.52.0/24 -j SNAT --to-source 202.96.134.10:20000-30000

5、发布内部网络服务器

要使因特网上的计算机访问到内部网的FTP服务器、WEB服务器,在做为防火墙的计算机上应添加以下规则:
#echo 1 > /proc/sys/net/ipv4/ip_forward

#发布内部web服务器
#iptables -t nat -A PREROUTING -p tcp -i eth1 -s 202.96.134.0/24 --dport 80 -j DNAT --to-destination 192.168.52.15:80
#iptables -t nat -A POSTROUTING -p tcp -o eth1 -s 192.168.52.15 --sport 80 -j SNAT --to-source 202.96.134.10:20000-30000

发布内部网ftp服务器
iptables -t nat -A PREROUTING -p tcp -i eth1 -s 202.96.134.0/24 --dport 21 -j DNAT --to-destination 192.168.52.14:21
iptables -t nat -A POSTROUTING -p tcp -o eth1 -s 192.168.52.14 --sport 21 -j SNAT --to-source 202.96.134.10:40000-50000　　

标签： examples, iptables

1. 对规则的操作
加入(append) 一个新规则到一个链 (-A)的最后。
在链内某个位置插入(insert) 一个新规则(-I)，通常是插在最前面。
在链内某个位置替换(replace) 一条规则 (-R)。
在链内某个位置删除(delete) 一条规则 (-D)。
删除(delete) 链内第一条规则 (-D)。

2. 指定源地址和目的地址
通过--source/--src/-s来指定源地址(这里的/表示或者的意思，下同)，
通过--destination/--dst/-d来指定目的地址。可以使用以下四中方法来指定ip地址：

a. 使用完整的域名，如 www.linuxaid.com.cn
b. 使用ip地址，如 192.168.1.1
c. 用x.x.x.x/x.x.x.x指定一个网络地址，如 192.168.1.0/255.255.255.0
d. 用x.x.x.x/x指定一个网络地址，如192.168.1.0/24这里的24表明了子网掩码的有效位数，这是 UNIX环境中通常使用的表示方法。

缺省的子网掩码数是32，也就是说指定192.168.1.1等效于192.168.1.1/32。

3. 指定网络接口

可以使用--in-interface/-i或--out-interface/-o来指定网络接口。从NAT的原理可以看出，对于PREROUTING链，我们只能用-i指定进来的网络接口；而对于POSTROUTING和OUTPUT我们只能用-o指定出去的网络接口。

-i：可以用于INPUT、FORWARD、PREROUTING链。
-o：可用于FORWARD、OUTPUT、POSTROUTING链。



4. 指定协议及端口

可以通过--protocol/-p选项来指定协议，如果是udp和tcp协议，还可--source-port/--sport和 --destination-port/--dport来指明端口。

5.
iptables -F -t nat：清除所有跟nat相关的规则
iptables -F：清除所有的规则。
iptables -X：清除指定的用户自定义chain。此时必须没有对该chain的引用。chain必须是空的，不包含任何规则。如果不给参数，就是删除所有table内非内置的规则。
iptables -Z：将所有chain的计数器清零。

iptables -P：为chain设置默认的target，可用的包括DROP和ACCEPT，这个target称为策略，所有不符合规则的包都被强制使用这个策略。
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

6、iptables中，目标规则REJECT和DROP的区别
DROP是丢弃，客户端得不到回应，REJECT拒绝并且返回包,客户端立即知道无法到达。

7、iptalbes不支持类似eth0:1这样的别名设备，可以尝试用别名设备的ip地址来进行控制。

标签： iptables

如果计算机中储存的数据对你来说可有可无，那么丢失数据并非天大的事。但对多数人来说，丢失数据可能影响深远，可能会导致金钱和时间的损失，精力的耗费，情绪的低落。通常，用户对数据保护不以为然是因为没有经历过丢失数据的情况，实际上备份数据应该是计算机上最重要的事情之一。重新安装和重新配置一个操作系统如今已经方便而快捷，但数据却是你思考和努力的产物，它可能代表着数年的辛勤工作。没有备份数据，你可能需要重新开始，而有时候有些数据是不可替代的。备份数据的方法很多，它们各有优劣。随着网速的提高，在线备份方案的吸引力越来越高，因为用户不用担心数据的丢失，可以在任何地方访问这些数据。数据备份供应商也提供了兼容Linux的在线备份方案，它们多数都提供了一些免费存储空间。linuxlinks的这篇文章介绍了7个优秀的Linux免费在线备份方案，包括：



Dropbox(免费空间2GB)，Spideroak（免费空间2GB），Wuala（免费空间1GB），Canonical提供的Ubuntu One（免费空间2GB），ZumoDrive（免费空间2GB）等。

标签： 7 Backup Online Tools, Linux

Firefox 4的JavaScript引擎在SunSpider基准测试中的成绩已经超过了Chrome的V8和Safari的Nitro引擎。Mozilla使用的测试机器是基于AMD Phenom X6的Dell XPS 7100电脑，在SunSpider测试中，综合TraceMonkey和JaegerMonkey的Firefox 4(TM+JM)版测试得分为350.3 ms，Nitro为369.7 ms，V8为356.5 ms。在Google的V8基准测试中，Firefox 4(TM+JM)是2145.8 ms，落后于Chrome的1386.2 ms，但高于Webkit的2490.6 ms。

标签： Firefox 4, Javascript

Adobe发布了HTML5视频播放器，允许支持HTML5视频标签的浏览器播放原生的HTML5视频，不支持HTML5视频标签使用Flash播放视频。Adobe的HTML5视频播放器支持多平台，支持Internet Explorer、Firefox、Safari、Chrome和Opera，可以在不支持Flash的设备如苹果的iPhone和iPad上使用。

标签： Adobe, HTML5 Player

IPv4地址空间即将枯竭，必须迁移到IPv6。有互联网之父称号的Vint Cerf表示可以怪罪于他，采用IPv4的决定可以追溯到1976年。当时Vint Cerf是美国国防部高级研究计划署（DARPA）的项目经理，他的团队任务之一是决定阿帕网（ARPANET）数据包交换的地址空间大小。一些研究人员想采用128位的二进制地址空间，其他研究人员认为这太疯狂了，远远超出了需求，他们建议采用更小的空间，Cerf最终决定采用32位地址空间，总共提供大约43亿地址。他说，这对于实验来说已经绰绰有余，但问题是实验从未结束。

标签： ipv4, Vint Cerf

微软在推出Windows 7前已宣布了三年发布周期，即Windows 7的继任者可能在2012年10月左右发布。现在微软荷兰官网在纪念Windows 7上市一周年内的新闻稿（原文已经删除相关文字）中无意间证实了2012年10月发布时间表。目前对于Windows 8，外界所知不多，仅仅是微软CEO 鲍尔默前几天表示，Windows 8将是该公司风险最高的产品。根据时间表，微软可能在2012年1月左右发布beta版，4月发布RC版，7月RTM版。

标签： Windows8

苹果宣布停止更新自家的OS X版Java，并可能在未来放弃Java。这条消息引发了争议，一位开发者发邮件询问苹果未来的计划，据苹果CEO乔布斯回应，Sun/Oracle支持所有平台的Java，他们有自己的发布计划表，与苹果的计划表有差异，因此OS X上的Java总是落后于官方版本。Java之父James Gosling在博客上回应称，乔布斯的说法不对，他一点也没有透露苹果的真正意图。事实上，Sun/Oracle并不支持所有平台的Java，因为Java已经开源，OSX版由苹果维护，IBM平台由IBM维护，惠普的平台也是由惠普维护。苹果放弃Java的一个原因可能是因为Oracle正在起诉其它Java实现，维护和开发Java对苹果来说过于昂贵。

标签： Java, Mac OS X

last known good 允许Netscreen设备回滚到保存在flash的last known good配置文件。

标签： LKG, Netscreen

由于工作关系，喜欢捣鼓各种设备，今天看到桌面闲置一台DI-804HV久已，就萌发了折磨它的念头。

标签： DI-804HV, Dlink

Linus Torvalds宣布发布Linux kernel 2.6.36。2.6.36的开发周期为80天，恰好等于过去几年新版本发布时间间隔的平均值。主要的新特性包括：

支持Tilera处理器架构，KMS+KDB整合（暂时只支持Intel处理器），支持Intel Core i3/5平台的智能电源共享功能，AppArmor安全模块，LIRC红外控制器驱动子系统，用于杀毒软件应用程序的fanotify通知机制因为开发者在API上意见不一致而在最后时刻被禁用，等等。

标签： Linux Kernel 2.6.36

Google发布了Chrome浏览器的最新稳定版Chrome 7。Google在今年7月宣布将每6周发布Chrome的一个稳定版，Chrome 7的新特性包括：修正数百bug，更新HTML解析器，文件API，通过输入标签上传目录等。Chrome的开发者版本号早已突破了8。

标签： Chrome 7, google

Pidgin 是一个跨平台的即时通信客户端，使用GNU通用公共许可证发布。这款软件支持多个现时常用的即时通信协议，让用户可以用同一个软件登录不同的即时通信服务。Pidgin 2.7.4 更新：Add Deutsche Telekom, Thawte Primary, and Go Daddy Class 2 root CAs； Fix search path for Tk when compiling on Debian Squeeze；修复 purple_base16_decode() 函数所产生的程序崩溃问题；修复 MSN 图片传送错误的bug；修复删除UPnP映射时崩溃的问题；添加对 Gadu-Gadu 协议的支持；在菜单中添加一个语音和视频设置插件；修正 XMPP 协议；改进 Yahoo/Yahoo JAPAN 文件传输方案。

标签： Pidgin 2.7.4

本周一，协调互联网地址分配全球性组织NRO发出警告，在超过40亿个可利用的IPv4地址中，只剩下大约2亿个，也就是5%可供使用。但是类似的警告已经出现过很多次了，为什么末日始终没有到来？原因是一些持有IPv4地址段的机构会不时的释放出不需要的地址空间，比如MIT持有一个A级IPv4地址段，总共有16,777,216个可用地址，它真的需要这么多吗？ 现在，持有45.x.x.x地址段的Interop宣布，它将45/8地址段的99%可用地址转交给美国网络地址注册管理组织ARIN。现在全世界每月分配的IPv4地址大约1678万，相当于一个/8地址段，45/8地址段的释放将枯竭的日期又向后推迟了一个月。

标签： Interop, ipv4

exciting 写道 "Google的Creative Lab最近发布了一组介绍互联网上有趣应用的幻灯片(blogspot)，很精彩。"

幻灯片在Google Docs上（载入较慢），它介绍了HTML5应用、iPhone应用，3D投影、YouTube视频创建、大众合作项目等。例如：Radiohead乐队的大众合作项目，基于HTML5的交互式视频arcade fire；johnny cash project；视频创建项目inbflat.net；sour；kutiman；life in a day视频项目；短片制作分布式平台futureshorts；根据flickr照片地理位置标签的可视化项目：另一个可视化数据项目；bbc: dimensions；等等。

标签： google, Internet Slide

一位黑客发布了一个开源程序，让PS3游戏机恢复运行Linux的功能。AsbestOS在希腊语中意思是“野火烧不尽”，它是一个PS3 Linux引导程序，无需OtherOS选项，测试能在PS3或PS3 Slim下工作。目前它只支持网络引导内核，但足以从NFS共享或USB储存媒介启动一个Linux系统。AsbestOS源代码采用GPLv2许可，代码托管在git.marcansoft.com。

标签： AsbestOS, PS3

优秀的DOS环境模拟器DOSBox的新版本将包含一个引人注目的新特性：利用软件实现3dfx Interactive公司在1990年代生产的Voodoo图形显卡。负责该项目的程序员Kekko表示，他的目标是实现SST-1的完整而忠实的模拟，SST-1是3dfx在1996年10月推出的第一款Voodoo显卡的核心，它也是PC上第一款图形加速卡。

标签： 3dfx Voodoo, DosBox 0.73

Ars Technica测试了最新的Ubuntu 10.10 Maverick Meerkat，从安装（完成安装不到15分钟）到各项特性如软件中心、Shotwell照片管理软件等使用。作者的结论认为：Ubuntu 10.10在不断进步，朝着Canonical的长期设想一步步逼近。新的Unity环境表现瞩目，但要成为日常使用的真正有吸引力的桌面环境它还尚欠成熟。软件中心和安装程序Ubiquity的改进反映了Canonical提高Linux桌面可用性的努力。软件中心令人印象深刻，它为包管理工具的可用性设定了新的标准。它是Ubuntu与其它发行版的一个明显区别。

标签： Ubuntu 10.10

方案图如下：

配置步骤：

SSG520:
1、添加三层区段zone_test1

set zone id 100 "zone_test1"


2、设置接口基本信息

set interface "ethernet0/0" zone "zone_test1"

set interface ethernet0/0 ip 195.168.1.1/24
set interface ethernet0/0 route
set interface ethernet0/0 ip manageable

set interface ethernet0/0 manage ping
set interface ethernet0/0 manage ssh
set interface ethernet0/0 manage telnet
set interface ethernet0/0 manage snmp
set interface ethernet0/0 manage ssl
set interface ethernet0/0 manage web


set interface "ethernet0/2" zone "Untrust"

set interface ethernet0/2 ip 10.0.1.1/24
set interface ethernet0/2 route
set interface ethernet0/2 ip manageable


set interface ethernet0/2 manage ping
set interface ethernet0/2 manage ssh
set interface ethernet0/2 manage telnet
set interface ethernet0/2 manage snmp
set interface ethernet0/2 manage ssl
set interface ethernet0/2 manage web

3、建立tunnel接口
set interface "tunnel.1" zone "Untrust"
set interface tunnel.1 ip unnumbered interface ethernet0/2

4、设置地址，为policy做准备


5、添加vpn gateway和vpn，并绑定tunnel
set ike gateway "p1-VPN" address 10.0.2.1 Main outgoing-interface "ethernet0/2" preshare "b8T7jXayN9IQk3sjBvCRFCCE3rn4M+aNWQ==" sec-level standard



set vpn "p2-VPN" gateway "p1-VPN" no-replay tunnel idletime 0 sec-level standard
set vpn "p2-VPN" id 0x4 bind interface tunnel.1

6、设置规则

set policy id 1 from "Untrust" to "zone_test1"  "192.168.1.0" "195.168.1.0" "ANY" permit


7、设置必要的路由


set route 10.0.2.0/24 interface ethernet0/2 gateway 10.0.1.254
set route 192.168.1.0/24 interface tunnel.1

注意：一定不要添加
set route 192.168.1.0/24 interface ethernet0/2 gateway 10.0.1.254

否则，流量不会被加密。


SSG5:






3、建立tunnel接口

5、添加vpn gateway和vpn，并绑定tunnel

6、设置规则

set policy id 1 from "zone_test1" to "Untrust"  "192.168.1.0" "Any" "ANY" permit
set policy id 1 

标签： Juniper, Netscreen, Route-based VPN

如图：



主机192.168.1.100处于Trust区段，以192.168.1.1为默认网关。
主机10.0.1.100处于Untrust区段，以10.0.1.1为默认网关。
添加Trust->Untrust的any to any允许any的规则，可能
192.168.1.100ping不通10.0.1.100。

解决方案
添加静态路由：
目的地址：10.0.1.0/24
outgoing interface: eth0/0

其实这是一条默认添加的connection路由。

标签： Juniper, ScreenOS

实验拓扑如下图：
要求：
1、ssg5后的主机192.168.1.100可以访问ssg520后的主机192.168.1.100，两台主机均在NAT后，如图所示。
2、ssg520后的主机192.168.2.100可以访问ssg5后的主机192.168.2.100，两台主机均在NAT后，如图所示。


配置步骤：

SSG520:
1、添加三层区段zone_test1、zone_test2

set zone id 100 "zone_test1"
set zone id 101 "zone_test2"

2、设置接口基本信息

set interface "ethernet0/0" zone "zone_test1"

set interface ethernet0/0 ip 192.168.1.1/24
set interface ethernet0/0 route
set interface ethernet0/0 ip manageable

set interface ethernet0/0 manage ping
set interface ethernet0/0 manage ssh
set interface ethernet0/0 manage telnet
set interface ethernet0/0 manage snmp
set interface ethernet0/0 manage ssl
set interface ethernet0/0 manage web




set interface "ethernet0/1" zone "zone_test2"

set interface ethernet0/1 ip 192.168.2.1/24
set interface ethernet0/1 route
set interface ethernet0/1 ip manageable

set interface ethernet0/1 manage ping
set interface ethernet0/1 manage ssh
set interface ethernet0/1 manage telnet
set interface ethernet0/1 manage snmp
set interface ethernet0/1 manage ssl
set interface ethernet0/1 manage web




set interface "ethernet0/2" zone "Untrust"

set interface ethernet0/2 ip 10.0.1.1/24
set interface ethernet0/2 route
set interface ethernet0/2 ip manageable


set interface ethernet0/2 manage ping
set interface ethernet0/2 manage ssh
set interface ethernet0/2 manage telnet
set interface ethernet0/2 manage snmp
set interface ethernet0/2 manage ssl
set interface ethernet0/2 manage web

3、在非信任端口上设置MIP

set interface "ethernet0/2" mip 10.0.1.100 host 192.168.1.100 netmask 255.255.255.255 vr "trust-vr"
set interface "ethernet0/2" mip 10.0.1.200 host 192.168.2.100 netmask 255.255.255.255 vr "trust-vr"


4、设置地址，为policy做准备

set address "Untrust" "10.0.1.0" 10.0.1.0 255.255.255.0
set address "Untrust" "10.0.2.0" 10.0.2.0 255.255.255.0
set address "zone_test1" "192.168.1.0" 192.168.1.0 255.255.255.0
set address "zone_test2" "192.168.2.0" 192.168.2.0 255.255.255.0
set address "zone_test1" "192.168.1.100/32" 192.168.1.100 255.255.255.255

5、设置规则

set policy id 1 from "zone_test2" to "Untrust"  "192.168.2.0" "10.0.1.0" "PING" permit
set policy id 1
exit
set policy id 2 from "zone_test2" to "Untrust"  "192.168.2.0" "10.0.2.0" "ANY" permit
set policy id 2
exit
set policy id 3 from "Untrust" to "zone_test1"  "10.0.2.0" "MIP(10.0.1.100)" "ANY" permit
set policy id 3
exit
6、设置必要的路由。
set route 10.0.2.0/24 interface ethernet0/2 gateway 10.0.1.254


SSG5：












set address "Untrust" "10.0.1.0" 10.0.1.0 255.255.255.0
set address "Untrust" "10.0.2.0" 10.0.2.0 255.255.255.0
set address "zone_test1" "192.168.1.0" 192.168.1.0 255.255.255.0
set address "zone_test2" "192.168.2.0" 192.168.2.0 255.255.255.0
set address "zone_test2" "192.168.2.100/32" 192.168.2.100 255.255.255.255
set policy id 1 from "zone_test1" to "Untrust"  "192.168.1.0" "10.0.2.0" "PING" permit
set policy id 1
exit
set policy id 2 from "zone_test1" to "Untrust"  "192.168.1.0" "10.0.1.0" "ANY" permit
set policy id 2
exit
set policy id 3 from "Untrust" to "zone_test2"  "10.0.1.0" "MIP(10.0.2.200)" "ANY" permit
set policy id 3
exit

标签： Juniper, NAT, Netscreen

WPA-PSK[TKIP]

标签： WI-FI, wpa

Phoronix报道，Gallium3D开发者宣布Direct3D 10/11 COM API有了开源实现。

原生开源实现是基于Gallium3D，它不同于Wine项目是将Direct3D调用转化为OpenGL，而是可以直接与底层图形驱动会话，它可以更容 易的将Windows Direct3D 10/11游戏移植到Linux，并不需要借助Wine。该项目仍然处于早期阶段，不过令人感到讽刺的是：微软没有向XP用户提供Direct 10/11，而现在Linux却能支持。

标签： Gallium3D, Phoronix

开源关系数据库系统Firebird发布了2.5版。

Firebird 2.5的主要目标是新的线程架构SuperClassic，能更好的利用多核和多CPU环境，改进了处理大数据时的系统消耗；近实时的监视和分 析数据库变化；跨数据库查询；增强了用户管理等。

标签： Firebird 2.5, SuperClassic

LLVM编译器项目发布了V2.8版。新版经历了约6个月的开发，比前版提供了更多新特性和改进，包括核心了LLVM项目的广泛增强，尤其是Clang C+支持方面。此外LLVM 2.8加入了2个新的子项目libc++和LLDB。libc++是 一个全新的C++标准库实现，旨在提供更高的性能，支持 C++'0x标准，目前它只能与Clang++一同工作，但设计时也考虑了移植到其它编译器。LLDB是全新的模块调试基础架构。

标签： LLVM 2.8, Release

和摩托罗拉的新一代Android手机类似，定于10月6日上市的G2手机嵌入了芯片，阻止用户使用自制的MOD永久性修改系统。Android系统 本应该是一种完全开发的系统，但运营商却并不希望用户有太多的选择。根据XDA论坛的讨论，G2 的芯片可能用于重写Root分区，也可能是导致重启前的改动丢失。制造商HTC声称与它无关。

标签： HTC G2, MOD Limitation

标签编辑器是让用户编辑多媒体文件元数据的应用程序。元数据是与多媒体数据有关的数据，提供了标签、艺术家、指挥师、专辑、长度、歌词、嵌入图像等 储存在多媒体文件中的信息。最常见的音频标签格式是ID3，它又分为两种类型ID3v1和ID3v2。标签编辑器支持流行的数字音乐格式，常用于修正和组 织多媒体文件，如根据标签信息重命名文件、替换标签和文件名中的文字，输入/输出标签信息，创建播放列表等等。Linuxlinks的文章编撰了五款优秀的Linux音乐标签编辑器的名单，包括：完整支持ID3v1和ID3v2等大多数标签格式的编辑器Kid3，跨平台标签编辑器MusicBrainz Picard， 支持通过MusicBrainz服务器自动修正标签信息Pinky-Tagger等 等。

标签： 5 Linux Music Tag Editor

Mozilla发布了Firefox 4 Beta For Android和Maemo版。

Mozilla表示移动版基于Firefox 4桌面版相同的技术，同时为移动手机进行了优化，提供了备受欢迎的桌面版功能，如Firefox Sync、扩展和智能地址栏（Awesome Bar）。Firefox Sync允许用户同 步浏览器历史、密码、表格自动填充，书签和标签。

标签： android, Maemo, Mozilla Firefox

H-online报道，libc库glob()函 数实现中的一个漏洞可能会被用于远程瘫痪FTP服务器。很多FTP服务器允许匿名登录，因此都有可能成为拒绝服务攻击的受害者。安全专家 Maksymilian Arciemowicz指出，甚至Adobe和HP的 FTP服务器也受到了该漏洞的影响。 

 问题存在于GLOB_LIMIT，glob()函数用它限制内存使用量，但实际上并没有起作用。由于GLOB_LIMIT的无效，它可能导致系统主内存被 耗光，使系统变得十分缓慢，停止响应，甚至崩溃。

标签： FTP, libc, Vulnerability

知名安全专家Bruce Schneier对最近颇受媒体关注的Stuxnet蠕虫进行了全方面的回顾： 

Stuxnet是专门设计针对西门子公司某个特定型号可编程逻辑控制器（PLC）的Windows蠕虫，PLC通常是被计算机控制，Stuxnet会自动搜寻计算机上安装的SIMATIC WinCC/Step 7控制器软件。目前全世界感染了Stuxnet蠕虫的计算机共约5万台，西门子公司报告了14个被病毒感染的工业控制系统，多数是在德国。暂时还没有Stuxnet造成实际破坏的报告。现有的杀毒软件都能检测和移除Stuxnet 蠕虫。开发Stuxnet相当昂贵，安全专家估计需要8至10个人花6个月时间开发，此外还需要相关的实验室设备——在发布前肯定需要先进行测试。 

代码分析：
Stuxnet的一个注册表值“19790509”被认为和伊朗处决犹太人Habib Elghanain有关，但未必是真的。Stuxnet中发现的另一个数字是“0xDEADF007”，可能的意思是“Dead Fool”或“Dead Foot”，飞机引擎出故障时使用的术语。
 

标签： Bruce Schneier, Stuxnet

1976年，斯坦福大学的Martin Hellman、Ralph Merkle和Whitfield Diffie提出了公钥加密系统；一年后MIT的Ron Rivest、Adi Shamir和Leonard Adleman进一步发展了他们的理论，RSA算法因此诞生。然而事实上，英国的加密技术专家比他们的美国同行更早提出了公钥系统。

James Ellis、Clifford Cocks和Malcolm Williamson在70年代初发明了公钥加密系统，他们的发现被英国情报机构视为绝密。因此当美国人发明公钥系统后，他们的成就被历史所遗忘了。直到 90年末他们在加密技术方面的突破才为外界所知，并在最近得到了电气与电子工程师学会(IEEE)的认可，授予三人Milestone奖。 Clifford Cocks在接受采访时称，他是在《科学美国人》杂志上读到美国同行的研究。

标签： Public Key System

两个月前，Adobe发布了Android 版的FlashPlayer 10.1，而今天，Adobe又发布了Android 版的Adobe AIR。从此，用Flash为Android开发本地应用成为可能。ActionScript的性能固然还比不上java，但这 毕竟意味着开发者将可以一行代码也不用改就让使同一个应用跑在Windows, osX, Linux, Android, Meego, BlackBerry, iOS等多种系统上。使普通2D应用的跨平台开发成本大大降低。(iOS的仍然不支持Flashplayer插件，但9月9日得新规定已经解除对Flash本地应用的限制。新规定仅是针对软件开发商，但互连网上采用Adobe技术的网站仍被禁止浏览)。 相比Flashplayer，Adobe AIR有以下几点不同

• AIR程序可以放在Market里卖钱！！！
• AIR不止是flash，你同样可以用html5和JS开发应用，没错，HTML5+JS 的本地应用。
• AIR能调用更多的本地接口，文件，数据库，GPS，等等。

目前Adobe Flex框架编写的程序还无法移植到android的AIR环境中，这一问题将在Flex的下一次更新中解决。开发者们暂时只能用纯 ActionScript或者Flash IDE来开发Android版AIR程序。

标签： adobe air, android

.NET运行时开源实现Mono项目发布了2.8版。

主要的新 特性：完整支持C# 4.0语言（Mono 2.6提供了初步支持）；新的更高效的垃圾收集实现；整合了微软发布的多个开源.NET库——包括Dynamic Language Runtime和Managed Extensibility Framework；向前时间（AOT）编译支持x86，AOT编译能在编译时将.NET中间媒介代码直接转换为本地代码；另一个引入注目的特性是支持 LLVM。

标签： C# 4.0, Mono 2.8

微软副总裁、可信赖计算部门负责人Scott Charney发表了一篇文章(PDF)，提 出了“集体防御”概念，以接种疫苗和隔离的公共卫生保健模式去对抗僵尸网络。为了阻止感染病毒的电脑将病毒传染给联网的其它电脑，Charney 提议，为打了完整补丁、运行杀毒软件和防火墙的系统发出一份“健康证明”，表示没有恶意程序。有漏洞的系统需要打补丁或更新杀毒软件，而感染了病毒的系统 则可能会被禁止联网。

标签： Botnet, microsoft

照片管理软件是帮助用户管理数字照片的计算机应用程序。收藏了大量照片的人都有体会，编目和寻找特定图片是一项颇费时的任务，因此优秀的管软件可以减少时间浪费。Linuxlinks介绍了七款优秀的Linux照片管理免费软件，包括：Google的照片分享和管理工具Picasa，KDE4桌面下的照片管理和编辑软件digiKam，GNOME桌面下的照片管理工具F-Spot；UI类似Apple Aperture和Adobe Lightroom的开源照片管理软件blueMarine等等。

标签： 7 Linux Photo Management

由于一直在用的E71充电的时候会出现莫名其妙的严重发热情况后，前段时间买了HTC Desire，才发现Android比Symbian好许多，无论是开放性，软件，应用集成度，甚至是更多可选的第三方固件，都比Symbian强很多。

“我们现在已经没有了任何开发基于Symbian基金会标准和该操作系统的新产品计划。”索尼爱立信伦敦总部发言人Aldo Liguori在接受电话采访时说明了他们的现状，这也证实了之前索爱CTO Jan Uddenfeldt接受报纸采访时所公布的内容。
Symbian是目前全球最畅销的智能手机操作系统，主要由诺基亚不断推动其发展。但是据Gartner统计，Symbian今年第二季度的市场份额已经跌至41.2%，相比去年同期的51%大幅下降。

标签： SonyEricssen, Symbian1

9月23日流行社交网站Facebook遭遇了建站以来最严重的下线事故，持续时间大约有2.5小时。Facebook发表声明公布了技术细节，称下线最主要原因是数据库控制机制陷入了死循环，由于太多的错误信息和修复请求，验证配置值的自动系统无法处理，最后他们不得不让网站下线以阻止涌向数据库的流量。只有当数据库恢复后，故障的根本原因解决后，Facebook才能逐渐允许更多用户访问网站。

标签： facebook, Offline

Marvell宣布了其新一代高端处理器ARMADA 628，拥有三个A9级芯片，同时整合了GPU，每秒能处理2亿个三角形，相比下索尼PS3主机的图形能力是每秒处理2.5亿个三角形图像，这意味着你将能在掌上电脑上实现主机级的游戏表现，播放1080p视频。ARMADA 628还支持DirectX、Open GL ES 2.0和Open VG 1.1，支持的移动操作系统包括RIM OS、Android、Linux、Windows Mobile，以及Adobe Flash。

ARMADA 628芯片中只有两个能运行在最高1.5GHz下，第三个降频到624MHz，从本质上，它是2.5核系统级芯片。相对于其它的移动芯片，如NVIDIA Tegra 2的GPU能力是每秒处理9000万个三角形图像，苹果的A4处理器据称每秒处理2800万个三角形。ARMADA 628的卓越性能显示它有可能用于平板电脑，甚至是笔记本。

标签： ARMADA 628, Marvell

Lifehacker的一篇文章声称，Chrome正超过Firefox成为高级用户的浏览器选择。理由是：在不被注意的情况下解决问题，如安装扩展无需重启，每个标签独立进程，一个标签崩溃不会影响其它标签；更新频繁，每六周便有一个稳定版释出；用户体验上佳，在一系列测试中领先于其它竞争对手；浏览器同步；整合Google服务。Firefox的优势越来越少，主要是开发工具Firebug和屏蔽广告的扩展Adblock Plus等。

标签： chrome, firefox

《MIT技术评论》报道（中文版），匹兹堡新创企业Dynamics在DEMO大会上透露了两款可编程信用卡。可编程信用卡可以显示有用的信息，提供额外安全功能，甚至可通过重写磁条实现一卡多户。其中一款名为“多账户”的信用卡正面设有两个按钮，按下后指示灯亮，可将信息写到磁条内。“按下这个按钮卡是你的，按下另一个就是别人的。”Dynamics公司Jeff Mullen说，“这种卡与普通信用卡在尺寸、厚度上完全一样，即便是在高使用频度下，内置的锂离子聚合物电池也可使用四年。这种卡完全防水，丢到洗衣机里也不会损坏。”另一款“隐藏信息”的信用卡拥有一个键盘和一个六位黑白显示器，用来显示卡的特征码。用户在卡上的四个按钮输入正确的 PIN码后，卡号将完整显示，同时磁条内会写入用户信息。卡号和磁条内的信息在短暂时间后将过期。Dynamics公司正在研究在信用卡上应用E-ink显示屏，用以延长显示时间。

标签： Programmable Credit Card

前不久黑客们借到USB破解了PS3，随后破解方法的开源版本PSGroove发布，很快被移植到Nokia N900、Palm Pre和Android智能手机上，索尼更新了固件屏蔽了USB设备。然而PS3破解大战仍在延续，黑客现在已成功的将PSGroove移植到官方的 Sixaxis/DualShock 3游戏手柄上，索尼想屏蔽自家手柄吗？

标签： JailBreak, PS3

Ars Technica详细报道了Intel试水通过软件付费解锁CPU：通过Pentium G6951 CPU，Intel在大众市场试验新的商业概念：可升级性。Pentium G6951是一款低端型号的处理器，售价90美元，双核，2.8GHz、3 MB缓存，规格上和Pentium G6950相同。特别之处是购买50美元的解锁代码后，你可以增加1 MB缓存，以及支持超线程的功能，解锁后的G6951摇身变为G6952，规格上接近最低端的Core i3处理器2.93 GHz Core i3-530。作为试点计划的一部分，这种处理器将在第四季度由特选零售商在美国、加拿大、荷兰和西班牙的市场上销售。G6951必须搭配两款特殊的Intel主板DH55TC和DH55PJ，拥有可升级的BIOS和互联网接入，Intel在解锁前需要对解锁代码和OEM的ID进行认证。解锁后的系统性能有可能能提高25%。除Intel外，Asus和苹果也都做过付费软件解锁硬件之类的事情。

标签： Intel, Unlock

InfoWorld的一篇文章整理出OpenOffice.org之外的10款优秀跨平台（Linux、Windows和OS X）开源生产力工具，因为多数人并不需要OpenOffice.org那样整合了字处理、表格、幻灯片制作等完整的生产力工具，他们只需要其中一项功能：

字处理软件AbiWord 2.8.6；开源桌面排版系统Scribus 1.3.8；整合浏览器、电子邮件、IRC和HTML编辑器的SeaMonkey 2.0.6；图像编辑软件GIMP 2.6；另一个比较简单的图像处理软件Paint.NET 3.5.5(Windows，不开源)；Adobe Illustrator的替代Inkscape 0.48；流程图和图表绘制工具Dia 0.97；思维导图工具FreeMind；时间管理GTD-Free；任务管理Task Coach 1.1.3。

标签： 10 Product Force Software, Cross-Platform

标签： Ubucompilator 1.0 beta

Skype发布了Android版本(通过Android手机访问www.skype.com/m或Android应用程序商店)。

从今天开始，Android 2.1或Android 2.2的用户可以免费使用Skype与其他Skype用户通话，在用户间对发或群发、接收短信。Skype 3G通话也可以在美国以外的地区使用，不过，在美国本土使用WiFi通话将受到限制。虽然skype公司自己也推出自有手机，但是国际通话仍然会收费，通话质量也是差强人意，也很难大面积推广skype电话，相信此次通过推出android版本，能大幅度推广Skype。Skype公司表示，新推出的Skype应用程序已经通过HTC Desire、HTC Legend、 Nexus One、摩托罗拉XT720和摩托罗拉里程碑的测试，其他android手机应该也没有问题。不过，Skype在三星的Galaxy S运行上仍存在些小问题，但是已经向用户保证会尽快解决它们，让所有android用户都能顺畅使用Skype的服务。

标签： android, Skype

KDE 4.5.2 是 KDE 4.5 系列的第二个维护版本，主要特性有：1.优化和修复 KWin 提高稳定性。2.改进 KSharedDataCache 的可扩展性，提高性能。3.新的共享数据高速缓存的使用，提高了图标加载速度。4.更新翻译。5.修复bug。

标签： KDE 4.5.2

openSUSE Goblin团队宣布发布基于上网本桌面环境MeeGo的Smeegol 1.0。OpenSUSE Smeegol 1.0 特性:1.Smeegol基于MeeGo特色界面，使用OpenSUSE框架。2.使用Banshee1.8.0媒体播放器。3.对社区网站的全方位支持，包括Facebook，Twitter，MySpace，Flickr和Digg。4.使用NetworkManager管理网络链接。5.Smeegol1.0包含了FireFox和Chromium网络浏览器。6.使用Evolution或者compartmentalise来管理你的PIM数据。7.Smeegol1.0有32位和64位版本。

标签： OpenSUSE Smeegol 1.0

从官方介绍来看，SparkleShare 就是一个 DropBox 的开源替代品，具备了 DropBox 应有的特性，包括同步、版本控制等等。它还有更多的优点，比如可以自建服务器、与 Gnome 友好集成、完全免费等等。另外，按照官方计划，SparkleShare 将会支持 Linux 、Win 及 Mac 平台，但目前只有 Linux 版本。虽然它还没有提供可用的二进制包，但已经是一个可用的测试版了，只要稍加编译就可使用，安装过程请看后面的介绍。 目前 SparkleShare 支持通过自建的 Git 服务器、Github、Gitorius 及 Gnome Project 来同步及存储文件，从以上这些服务的特性来看，严格意义上说 SparkleShare 相当于是一个源代码控制管理软件 Git 的前端程序。详细介绍及安装使用方法。

标签： Dropbox, SparkleShare

索尼公司发出一份在纽约市举办的媒体活动邀请函，时间是10月12日，活动内容是介绍“世界第一台互联网电视”。索尼的“互联网电视”是第一批支持Goole TV的家用视听娱乐产品之一，搜索巨人承诺会整合Google搜索和Youtube视频到电视中。Google是在今年五月的Google I/O上向外公布了Google TV，它与英特尔、索尼、Dish Network、罗技、百思买和Adobe合作推出电视机、机顶盒等消费类产品。索尼生产电视机、机顶盒和蓝光播放器；罗技提供遥控器和无线键盘，英特尔将提供芯片，Dish Network提供卫星网络服务，Best Buy则是零售商。

标签： Google TV, Sony

在旧金山举行的黑莓开发者大会上，RIM公司总裁兼联席CEO Mike Lazaridis正式宣布了备受期待的平板电脑：BlackBerry PlayBook。PlayBook平板搭配了双核的1GHz CPU，内存1GB，屏幕为7英寸，分辨率1024x600，厚9.7毫米，有一个HDMI和USB端口，支持1080p视频，浏览器基于WebKit，支持Flash，它将运行一个由QNX开发的全新操作系统。PlayBook上市时不带3G接入，但可以通过蓝牙借道现有的黑莓手机上网。

标签： Blackberry PlayBook, Rim

维基百科正式宣布，它将与P2P-Next合作，利用P2P技术发行视频，减少运营成本。维基百科称，托管视频的成本远远高于文字和图像，带宽的费用可能会耗光基金会的预算，因此他们选择P2P-Next探索新一代的内容发行平台。用户浏览视频将需要安装插件Swarmplayer，Firefox(Windows、Mac、Ubuntu) 用户现在能下载Swarmplayer 2.0插件的beta版，IE的插件将在不久后推出。维基百科网站将用一段Javascript脚本检测用户有没有安装插件，如果没有，用户将直接从服务器上观看视频；如果安装了Swarmplayer，用户可以从网络中其他用户那里下载视频。Swarmplayer技术与通常的BT技术并不相同，它采用了一个混合式的HTTP/BitTorrent模式，先通过HTTP从维基百科服务器上抓取文件的第一部分片段，然后通过BitTorrent填上其它部分。

标签： P2P, Wikipedia

Nautilus 是Gnome默认的文件管理器。它给你提供了文件的图形化显示。Nautilus允许你从一个综合界面来配置桌面。Nautilus支持像浏览本地文件系统一样浏览FTP站点、Windows SMB共享、Files transferred over shell protocol、WebDAV服务器和SFTP。另外，Nautilus还支持书签，窗口背景，徽标，备忘和扩展脚本，并且用户可以选择是图标视图还是列表视图。

标签： Nautilus 2.32.0

GPU在通用计算方面有巨大的潜力，恶意程序作者自然不会放过这一利器。AMD和NVIDIA已放出了开发工具，让开发者使用类C语言开发能在GPU上执行的代码。现在，希腊和美国哥伦比亚大学的研究人员演示了GPU恶意程序实现的可行性(PDF)。影响恶意程序寿命——也就是逃脱现有杀毒软件检测——的两个主要技术是包装和多态性，恶意程序作者常常利用模糊代码和反调试技巧阻碍安全研究人员进行逆向工程和代码分析。目前无论是恶意程序作者还是杀毒软件开发商，他们的重点是放在IA-32指令架构上，它是目前最常用的代码执行环境。而在GPU上执行通用代码的能力为恶意程序作者打开了一扇新的大门。研究人员指出，GPU还能让恶意程序具有更强大的攻击能力，例如通过屏幕像素定期收集用户屏幕上显示的私人数据，或者让屏幕显示错误，或者在访问恶意网站时看到表面正常的信息。

标签： GPU, MALware

更新连连，Add-ons Builder和Jetpack SDK相继发布新版本。根据官方消息：不久之后，Add-ons Builder将登陆AMO（addons.mozilla.org）。这会是一个里程碑的事件。什么是Add-ons Builder?简化了扩展的编写，集成了开发环境。今后这部分新浮现出的扩展会告别安装必须重启的年代...Jetpack SDK 0.8（增三种API）： Windows API （操作窗口和标签页）；Page Mods API（向页面注入JS，类似GM）； Panel and Page Worker APIs（类似异步或者线程）。
Add-ons Builder 1.0a5：syntax highlighting（语法高亮）；SDK version selection（Jetpack 版本选择）。

标签： Add-ons Builder, Jetpack SDK

9月28日，OpenOffice.org社区宣布成立一个独立基金会The Document Foundation。声明称，在太阳微系统公司（Sun）作为主要资助人期间OOo项目经历十年的增长后，这是OOo项目结构的一个重大转变。成立The Document Foundation的目的是保证开源项目的独立性，增加竞争力，推动创新。甲骨文公司在收购Sun后获得了OpenOffice.org资产，它已经受邀成为基金会的成员之一。根据此前的决定，The Document Foundation选择“LibreOffice”作为未来办公软件的名称。LibreOffice现已发布了一个beta版本(Windows/Linux/OSX)。新基金会的支持者包括Canonical、Google、 Novell和Red Hat。

标签： openoffice, The Document Foundation

Fedora 14 Beta正式发布：发布beta是Fedora 14开发的最重要转折点，在正式发布前的主要任务将是修正bug。beta版本的主要特性包括：GNUstep开发环境、Boost 1.44、D编程加入了D编译器(LDC)和D标准运行时库(Tango)、Eclipse Helios、支持亚马逊EC2云计算、NetBeans 6.9、KDE 4.5、MeeGo 1.0、Perl 5.12、Rakudo Star、Python 2.7、Sugar 0.90、Ruby 1.8.7、Memory调试工具、快速保存和载入JPEG图像libjpeg-turbo、虚拟桌面SPICE等。Osnews的报道指出，支持MeeGo和Sugar暗示了未来出现Fedora平板的可能性。

标签： Fedora 14 BETA

phpMyFAQ是一个多语言，完全数据库驱动的FAQ系统。它支持多种数据库来存储所有数据，需要 PHP4.1或更高的版本来访问些数据。phpMyFAQ还提供一个带有WYSIWYG编辑器的内容管理系统，一个图片管理器，灵活的多用户支持，一个新闻系统，用户跟踪，一个模板系统，PDF支持，一个备份系统和一个易于使用的安装脚本。详细如下：phpMyFAQ 主要更新：修复 XSS漏洞(建议所有用户升级)；增加对斯洛伐克语言的支持；改善后台界面；修复嵌入 Google Analytics代码所引发的bug。

标签： phpMyFAQ 2.6.9

微软公司发布了一系列补丁（不同操作系统/不同NET Framework版本），修复了一个影响所有版本ASP.Net的安全漏洞。上周微软承认ASP.NET Web应用程序处理加密会话cookies过程存在漏洞，可能会导致信息泄漏。目前用户需要手动下载补丁，微软将会在未来几天利用Windows Update和Windows Server更新服务发行补丁。Ars Technica报道称ASP.NET并不是唯一受该漏洞影响的，Apache MyFace和Ruby On Rails都存在相同的问题。

标签： ASP.NET, Security Update

标签： 1K JavaScript Demo

1972年美国喜剧演员乔治·卡林在“永远别在电视上说的七个字”（Seven Words You Can Never Say On Television）中列出的七个英语词汇。当时这七个词汇被普遍认为不适合用于大众传播媒体上，尤其是无线电视台和广播电台的节目。

38年后，你可能已经注意到，Google Instant允许你输入搜索关键词同时自动进行搜索，但有些关键词Google会拒绝即时搜索，你必须按下“回车”键。2600网站公布了一个Google Instant的黑名单，除了著名的“七大脏词”外，有的被屏蔽词是因为涉及到种族主义，有的似乎是Google过于敏感了。

标签： 7 Fuck Words, Google Instant

Google正式推出免费的短域名服务，官方博客称：依托与Google的基础设施和技术，goo.gl将比其它短域名服务更快更安全，而且能够为用户提供长时间的服务。 这对于bit.ly来说是一个不小的冲击。

标签： google, Shorten Domain Name