阿熊的窝

apt升级的时候遇到如下错误：

[root@sbear ~]# apt-get install net-snmp-devel net-snmp-perl net-snmp-utils
Reading Package Lists... Done
Building Dependency Tree... Done
The following extra packages will be installed:
   beecrypt (4.1.2-10.1.1)
   beecrypt-devel (4.1.2-10.1.1)
   elfutils-devel (0.137-3.el5)
   elfutils-devel-static (0.137-3.el5)
   lm_sensors (2.10.7-4.el5)
   lm_sensors-devel (2.10.7-4.el5)
   net-snmp (5.3.2.2-7.el5)
The following NEW packages will be installed:
   beecrypt (4.1.2-10.1.1)
   beecrypt-devel (4.1.2-10.1.1)
   elfutils-devel (0.137-3.el5)
   elfutils-devel-static (0.137-3.el5)
   lm_sensors (2.10.7-4.el5)
   lm_sensors-devel (2.10.7-4.el5)
   net-snmp (5.3.2.2-7.el5)
   net-snmp-devel (5.3.2.2-7.el5)
   net-snmp-perl (5.3.2.2-7.el5)
   net-snmp-utils (5.3.2.2-7.el5)
0 upgraded, 10 newly installed, 0 removed and 13 not upgraded.
Need to get 0B/4176kB of archives.
After unpacking 15.9MB of additional disk space will be used.
Do you want to continue? [Y/n] y
Checking GPG signatures...               ############################## [100%]
E: Unknown signature /var/cache/apt/archives/beecrypt-4.1.2-10.1.1.x86_64.rpm: (SHA1) DSA sha1 md5 (GPG) NOT OK (MISSING KEYS: GPG#37017186) 
E: Unknown signature /var/cache/apt/archives/lm_sensors-2.10.7-4.el5.x86_64.rpm: (SHA1) DSA sha1 md5 (GPG) NOT OK (MISSING KEYS: GPG#37017186) 
E: Unknown signature /var/cache/apt/archives/net-snmp-5.3.2.2-7.el5.x86_64.rpm: (SHA1) DSA sha1 md5 (GPG) NOT OK (MISSING KEYS: GPG#37017186) 
E: Unknown signature /var/cache/apt/archives/beecrypt-devel-4.1.2-10.1.1.x86_64.rpm: (SHA1) DSA sha1 md5 (GPG) NOT OK (MISSING KEYS: GPG#37017186) 
E: Unknown signature /var/cache/apt/archives/elfutils-devel-static-0.137-3.el5.x86_64.rpm: (SHA1) DSA sha1 md5 (GPG) NOT OK (MISSING KEYS: GPG#37017186) 
E: Unknown signature /var/cache/apt/archives/elfutils-devel-0.137-3.el5.x86_64.rpm: (SHA1) DSA sha1 md5 (GPG) NOT OK (MISSING KEYS: GPG#37017186) 
E: Unknown signature /var/cache/apt/archives/lm_sensors-devel-2.10.7-4.el5.x86_64.rpm: (SHA1) DSA sha1 md5 (GPG) NOT OK (MISSING KEYS: GPG#37017186) 
E: Unknown signature /var/cache/apt/archives/net-snmp-devel-5.3.2.2-7.el5.x86_64.rpm: (SHA1) DSA sha1 md5 (GPG) NOT OK (MISSING KEYS: GPG#37017186) 
E: Unknown signature /var/cache/apt/archives/net-snmp-perl-5.3.2.2-7.el5.x86_64.rpm: (SHA1) DSA sha1 md5 (GPG) NOT OK (MISSING KEYS: GPG#37017186) 
E: Unknown signature /var/cache/apt/archives/net-snmp-utils-5.3.2.2-7.el5.x86_64.rpm: (SHA1) DSA sha1 md5 (GPG) NOT OK (MISSING KEYS: GPG#37017186) 
E: Error(s) while checking package signatures:
0 unsigned package(s)
10 package(s) with unknown signatures
0 package(s) with illegal/corrupted signatures
E: Handler silently failed

E: Unknown signature /var/cache/apt/archives/beecrypt-4.1.2-10.1.1.x86_64.rpm: (SHA1) DSA sha1 md5 (GPG) NOT OK (MISSING KEYS: GPG#37017186)
E: Unknown signature /var/cache/apt/archives/lm_sensors-2.10.7-4.el5.x86_64.rpm: (SHA1) DSA sha1 md5 (GPG) NOT OK (MISSING KEYS: GPG#37017186)
提示GPG证书问题，申请GPG证书后导入即可解决。

[root@sbear ~]# gpg --keyserver wwwkeys.eu.pgp.net --recv-keys 37017186   //从该网站申请公钥37017186
[root@sbear ~]# gpg --armor --export 37017186 >/root/key  //把该公钥存为key
[root@sbear ~]# rpm --import /root/key  //导入该公钥

mysql> ALTER TABLE `sbear` ADD PRIMARY KEY ( `a_id` , `b_id` ) ;
ERROR 1062 (23000): Duplicate entry ‘88-501200′ for key ‘PRIMARY’
建立联合主键时发现出错，88，501200已经早有多条记录了。主键建立失败，需要删除多余的记录，并且有多组这样的重复记录。

这时候使用“ignore”就能将多余的记录删除只保留一条，并且建立联合主键。

mysql> ALTER ignore TABLE `sbear` ADD PRIMARY KEY ( `a_id` , `b_id` ) ;
Query OK, 10824 rows affected (0.15 sec)
Records: 10824  Duplicates: 82  Warnings: 0

删除了82条多余的记录

一直以为ipv6还很遥远，最近种种迹象表明ipv6其实已经不远了，中国电信的cn2已经跑了一段时间，163骨干已经很长时间没扩容了，连长宽都在测试ipv6了。

中国电信已经邀请部分icp进行测试，各位需要行动起来了

使用xtrabackup 1.2进行增量备份的时候出现“Segmentation fault”错误提示，终止备份。

/usr/local/bin/xtrabackup –defaults-file=/etc/my.cnf –backup –target-dir=/u01/xtrabackup/2.1/ –incremental-basedir=/u01/xtrabackup/2/

https://bugs.launchpad.net/percona-xtrabackup/+bug/577017

下载了1.3 beta版本后解决

下午发生快网域名被和谐了，导致一堆使用其cdn的用户都跟着杯具。

目前cdn服务商都是采用让用户cname的方式来管理

盛大做电纸书了，个人感觉目前在国内也只有盛大才能把这块做起来，其他什么汉王等基本就是一个硬件厂商了。盛大同学加牛！

下面引述一则新闻：

“现在公布内测价格吧，998元。仅限3500台！”8月5日晚间12点，盛大文学CEO侯小强选择在自己的微博上，揭开盛大电子书的悬念。作为互联网企业，硬件从来就不是盛大的强项，不过其在数年前的盒子计划功败垂成后，仍然坚持第二次踏进同一条河流——名为“Bambook”的电子书能否成为陈天桥的“新盒子”？8月9日，盛大这款产品与消费者见面。此时，距离陈天桥在京首次公布盛大的“电子书战略”刚刚过去5个月。
侯小强告诉记者，盛大从一年半以前就开始了电子书的研发，“这对盛大而言其实挺困难的，因为我们是互联网的基因”。他说，硬件并不是互联网公司的强项，所以最终Bambook也会定位在互联网。

饥饿营销

当998元的内测价格最终公布时，国内厂商和用户普遍都吃了一惊。目前市面上汉王、大唐、华为等厂商生产的同类型电子书产品售价都在二三千元。侯小强之前也表示盛大电子书的成本为1800元。这意味着盛大每卖出一部电子书就要赔近千元。

“我们已经做好了每台亏千元的准备。”侯小强表示，“我们赌的是未来。”当然，盛大已经为这种亏本买卖划定了范围。现在低于千元的价格只是内测价，未来还会上调。侯小强说，盛大将通过这次内测评估内容能赚多少，硬件成本能降低到多少，再确定最终的售价。

在易观国际分析师方丽看来，这其实更符合盛大作为互联网公司的特性，“用低价的硬件迅速铺用户。未来再通过其他方式收回成本”。

事实上，价格过高一直是电子书终端用户规模上不去的重要原因。之前中移动手机阅读基地总经理戴和忠接受本报记者采访时就指出，目前电子书终端的价格仍然太高，如果电子阅读器的价格能低到1600元以下，则会带来用户的快速增长。

不过，盛大的补贴并非毫无限制。8月6日零时，盛大发布《Bambook内测告用户书》，公告了Bambook内测价及测试用户条件。用户书称，Bambook内测并不是针对所有人，而是会限定一个独特的人群，即盛大的老用户。

盛 大对“老用户”的认定，是用户注册满一年，且账号余额满50元。邀请码通过Bambook官网（bambook.sdo.com）发放，每日限量，符合条 件的用户通过官网申请。其他对Bambook有兴趣的用户，可以参加盛大集团各业务公司、各大论坛、Bambook官方微博等组织的相关活动，也有机会获 取邀请码。侯小强告诉记者，即将于9日开始的内测并没有具体的结束时间。

侯小强强调说，正式的价格肯定会高于998元的内测价，但会低于其他同类产品，“我们的成本要向上游要”。

对接“云中书城”

根据侯小强的构想，Bambook承担的作用还是为了盛大文学的版权销售，“主要还是要通过互联网，进入到盛大的云中书城消费”。侯小强向记者强调盛大的最终目的不是硬件。

“内 测”一直是网游行业流行的一个名词。一款新游戏正式上线之前，都要通过内测来评估用户的接受程度并发现游戏的漏洞。侯小强表示，Bambook之所以进行 内测，与盛大集团对Bambook的定位有关：Bambook不仅是一款硬件产品发布，更是一款互联网产品的发布，“因此，我们此次采用内测的概念去运 营，就是为了及时根据用户的反馈进行优化和升级”。

侯所说的升级主要是指其后台内容平台的升级。今年3月，盛大就公布了其为电子书专门搭建的名为“云中图书馆”的平台。当时，陈天桥亲自在京召开发布会，呼吁汉王、方正等硬件厂商加入。

如今，这一平台已被改名为“云中书城”。侯小强表示，盛大自己推出电子书硬件也是为了接入这个平台，让用户到云中书城消费内容。

据盛大方面介绍，Bambook搭载有3G、Wi-Fi和USB连接上网功能，同时应用了基于Andriod开发的WebOS系统，目的就是为了有利于互联网应用。

目前云中书城结合了盛大文学自身的网络原创内容以及采购的版权书籍，累计拥有600亿字内容、300万部作品，日更新1亿字。侯小强认为，Bambook通过与云中书城对接，可以为用户不断提供新内容，就像门户、搜索引擎、社区、网络游戏等其他互联网产品一样。

易观国际分析师方丽也认为，Bambook终端盈利多少并不重要，但是内容端的持续盈利才是盛大文学的核心所在，“做硬件本身是为了卖内容，通过低价硬件铺用户，从而扩大内容的销售渠道”。

在方丽看来，虽然以目前的条件，998元的售价很难通过版权运作实现盈利。但她认为，正式调整之后，Bambook可以结合盛大文学内容资源特点，寻找订阅的盈利模式，未来甚至可以探寻“免费终端+付费内容”的模式。

对此，侯小强表示，目前并没对电子书的内容消费有任何目标或者预期，一切要看内测的实际情况。

易 观国际分析认为，在电子书领域盛大文学打造的“内容+渠道+终端”模式已经形成了差异化特点。方丽表示，盛大文学旗下四大文学网站分别定位不同类型的用 户，阅读内容可以实现精准营销。同时，由于原创文学以连载为主，具有内容持续性强，用户粘性高，且无纸质阅读途径等特点。

不过，盛大并没有强制所有内容一定要通过其在线平台阅读。侯小强告诉记者，用户也可以自己将内容放入Bambook中，目前支持txt、ppt、pdf、html、umd、.doc等多种格式。

销售内容

从只做软件“云中书城”提供内容，到自己也做电子书硬件。盛大与其他电子书厂商的关系无疑发生了微妙的变化。

“从以前单纯的合作关系，转为了既合作又竞争的关系。”方丽表示，现在盛大文学作为版权内容提供商要和其他硬件厂商合作，而作为Bambook的提供商又和电子书厂商存在竞争关系。

侯小强并不认同竞争的说法。他认为，盛大自己做电子书硬件的想法很简单，有利于自己内容的销售，有利于产业链的发展。

方丽认为，厂商在进入一个领域时，由于只在产业链的某一个环节中，往往会发现受制于上下游。在她看来，盛大自己做硬件也是为了增加其在内容方面的话语权，“很多硬件厂商中既有盛大的也有其他的内容，自己做终端能把内容第一时间呈现，也能摸索最适合的模式”。

来 自清科的数据显示，2010年第一季度中国电子阅读器市场销量达到24.91万部，普遍高于分析师的预期。目前，国内市场除了汉王、方正、津科、华为、台 电等电子阅读厂商外，一些IT厂商如联想、华硕、LG、爱国者、纽曼、OPPO等厂商也相继跟进，呈现大浪淘沙的竞争格局。

清科分析认为，中国电子阅读器终端价位下降将成为一种不可逆转的趋势，2010年第二季度部分电子阅读器终端的价格将实现10%-20%的降幅，甚至更大。

《21世纪经济报道》

互联网的N国演义 各路诸侯混战，看图说话

提供免费国内redhat apt源及ISO下载，需要的同学可以使用，或者有什么需求可以留言，把apt库建得更好。

apt自动配置脚本下载：http://apt.cnlinux.net/conf/auto_config_apt.sh

目前只支持redhat as5.4 x64跟x86版本

iso下载地址：

http://iso.cnlinux.net/rhel/as5/rhel-server-5.4-i386-dvd.iso
http://iso.cnlinux.net/rhel/as5/rhel-server-5.4-x86_64-dvd.iso

单位有一批dell r410的服务器，都是2个物理cpu（intel E5504），每个cpu都是4核，可在系统里边只看到共4个CPU，正常的话应该是8个才对。

系统中看到只有4个CPU

原来bois里边Number of Cores per Processor默认设置是DUAL，需要改为ALL才能8个核都用上，如果使用虚拟技术的话，还需要把Virtualization Technology打开才行。按dell的r410官方文档却说Number of Cores per Processor默认是ALL，可实际是dual

设置Number of Cores per Processor为all后重启机器即可看到8个核了。

漏洞介绍：nginx是一款高性能的web服务器，使用非常广泛，其不仅经常被用作反向代理，也可以非常好的支持PHP的运行。80sec发现其中存在一个较为严重的安全问题，默认情况下可能导致服务器错误的将任何类型的文件以PHP的方式进行解析，这将导致严重的安全问题，使得恶意的攻击者可能攻陷支持php的nginx服务器。

漏洞分析：nginx默认以cgi的方式支持php的运行，譬如在配置文件当中可以以

location ~ \.php$ {
root html;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
include fastcgi_params;
}

的方式支持对php的解析，location对请求进行选择的时候会使用URI环境变量进行选择，其中传递到后端Fastcgi的关键变量SCRIPT_FILENAME由nginx生成的$fastcgi_script_name决定，而通过分析可以看到$fastcgi_script_name是直接由URI环境变量控制的，这里就是产生问题的点。而为了较好的支持PATH_INFO的提取，在PHP的配置选项里存在cgi.fix_pathinfo选项，其目的是为了从SCRIPT_FILENAME里取出真正的脚本名。
那么假设存在一个http://www.80sec.com/80sec.jpg，我们以如下的方式去访问

http://www.80sec.com/80sec.jpg/80sec.php

将会得到一个URI

/80sec.jpg/80sec.php

经过location指令，该请求将会交给后端的fastcgi处理，nginx为其设置环境变量SCRIPT_FILENAME，内容为

/scripts/80sec.jpg/80sec.php

而在其他的webserver如lighttpd当中，我们发现其中的SCRIPT_FILENAME被正确的设置为

/scripts/80sec.jpg

所以不存在此问题。
后端的fastcgi在接受到该选项时，会根据fix_pathinfo配置决定是否对SCRIPT_FILENAME进行额外的处理，一般情况下如果不对fix_pathinfo进行设置将影响使用PATH_INFO进行路由选择的应用，所以该选项一般配置开启。Php通过该选项之后将查找其中真正的脚本文件名字，查找的方式也是查看文件是否存在，这个时候将分离出SCRIPT_FILENAME和PATH_INFO分别为

/scripts/80sec.jpg和80sec.php

最后，以/scripts/80sec.jpg作为此次请求需要执行的脚本，攻击者就可以实现让nginx以php来解析任何类型的文件了。

POC： 访问一个nginx来支持php的站点，在一个任何资源的文件如robots.txt后面加上/80sec.php，这个时候你可以看到如下的区别：

访问http://www.80sec.com/robots.txt

HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Thu, 20 May 2010 10:05:30 GMT
Content-Type: text/plain
Content-Length: 18
Last-Modified: Thu, 20 May 2010 06:26:34 GMT
Connection: keep-alive
Keep-Alive: timeout=20
Accept-Ranges: bytes

访问访问http://www.80sec.com/robots.txt/80sec.php

HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Thu, 20 May 2010 10:06:49 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: keep-alive
Keep-Alive: timeout=20
X-Powered-By: PHP/5.2.6

其中的Content-Type的变化说明了后端负责解析的变化，该站点就可能存在漏洞。

漏洞厂商：http://www.nginx.org

解决方案：

我们已经尝试联系官方，但是此前你可以通过以下的方式来减少损失

关闭cgi.fix_pathinfo为0

或者

if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
}

另外发现php 4.xx不存在cgi.fix_pathinfo，同时测试也没发现此漏洞可用
本文来自：http://www.80sec.com/nginx-securit.html