大家下午好，

想查阅一下南山图书馆的放假时间，一登录他们的网站 (http://www.nslib.org/)，看到公告说图书馆被骇客攻击了，正在恢复中。

我就打电话去问了一下，工作人员说服务器运行的是 Windows 系统(怪不得经不起攻击)，我说为什么不使用 Unix
系统？他说网上续借系统使用的是 Unix 系统，没有问题。

如果图书馆允许，我都愿意去给他们的 IT 部门做一些义务工作。(只怕自己能力不够，呵呵)

龙黎

2009/1/20 Atommann <atommann在gmail.com>:
> 大家下午好，
>
> 想查阅一下南山图书馆的放假时间，一登录他们的网站 (http://www.nslib.org/)，看到公告说图书馆被骇客攻击了，正在恢复中。
>
> 我就打电话去问了一下，工作人员说服务器运行的是 Windows 系统(怪不得经不起攻击)，我说为什么不使用 Unix
> 系统？他说网上续借系统使用的是 Unix 系统，没有问题。
>
> 如果图书馆允许，我都愿意去给他们的 IT 部门做一些义务工作。(只怕自己能力不够，呵呵)

你想说明啥~~

-- 
Free as freedom, slack as Slackware.
vvoody

> 你想说明啥~~
有感而发：
1、Windows服务器脆弱，Unix强悍
2、这些骇客不应该攻击社会公益部门的网站
3、南图网站的安全性不够好
4、一些公益部门的 IT 工作可以做得更好

龙黎

Atommann schrieb:
> 大家下午好，
>
> 想查阅一下南山图书馆的放假时间，一登录他们的网站 (http://www.nslib.org/)，看到公告说图书馆被骇客攻击了，正在恢复中。
>
> 我就打电话去问了一下，工作人员说服务器运行的是 Windows 系统(怪不得经不起攻击)，我说为什么不使用 Unix
> 系统？他说网上续借系统使用的是 Unix 系统，没有问题。
>
> 如果图书馆允许，我都愿意去给他们的 IT 部门做一些义务工作。(只怕自己能力不够，呵呵)
>   
愿意做事是件好事，鼓励！

我觉得你从帮助以下机构下手比较好（要是我就会这样）：

   1. 非政府直属的从事有意义工作的机构（心理咨询台）；
   2. 各种非盈利机构（尤其是就近我有多个项目帮助环境相关的非盈利机构做事）；
   3. 对技术发展有影响力和推广作用的机构（学校）；

我不会去帮助政府，因为他们对解决他们的业务问题一般不感兴趣。

如果乐于成事的人，往往会事多，最后到只能取舍。但是往往也觉得充实。

安全性方面说win比*nix脆弱，个人并非很认同。配置得好的win服务器安全性不比*nix差。
Live与AOL两大服务都是运行在win平台上的，有关他们的安全漏洞与问题听得也不多。
很多WEB攻击都是应用层的行为，这层的攻击也许与使用什么OS无多大关系。
当然，SQLSVR的注入攻击也许容易成功，但如果前端程序实现不好，SQL注入对任何数据库都有效。

说这些话不是挑起OS之争，我喜欢Linux（使用了10年），也管理过大规模的SQLSVR（某门户网站的无线应用），最终的感觉就是安全在乎人的配置与管理理念。

--
yonghua peng
http://home.arcor.de/pangj/


--- On Tue, 1/20/09, Atommann <atommann在gmail.com> wrote:

> From: Atommann <atommann在gmail.com>
> Subject: Re: [zeuux-universe] 深圳南山图书馆网站被骇客攻击了
> To: "vvoody" <wxj.g.sh在gmail.com>
> Cc: zeuux-universe在zeuux.org
> Date: Tuesday, January 20, 2009, 1:22 PM
> > 你想说明啥~~
> 有感而发：
> 1、Windows服务器脆弱，Unix强悍

于 Tue, 20 Jan 2009 17:46:21 +0800 (CST)
yonghua <yonghua_peng在yahoo.com.cn> 写道:

> 安全性方面说win比*nix脆弱，个人并非很认同。配置得好的win服务器安全性不比*nix差。
> Live与AOL两大服务都是运行在win平台上的，有关他们的安全漏洞与问题听得也不多。


Linux例子更多啊。NSA还运行的Linux呢，你说哪个安全级别高呢？

> 很多WEB攻击都是应用层的行为，这层的攻击也许与使用什么OS无多大关系。


未必。如果系统本身就有问题，动不动就是被攫取管理权限，那这关系还真挺大的。


> 当然，SQLSVR的注入攻击也许容易成功，但如果前端程序实现不好，SQL注入对任何数据库都有效。
> 
> 说这些话不是挑起OS之争，我喜欢Linux（使用了10年），也管理过大规模的SQLSVR（某门户网站的无线应用），最终的感觉就是安全在乎人的配置与管理理念。

我不否认你的观点，但你要是把全部原因都归结都这上面那就不对了。否则NSA还搞SELinux干嘛？直接高薪
聘请几个资深管理员不就得了。

-- 
"Against stupidity, the gods themselves, contend in vain."

On Tue, 2009-01-20 at 14:58 +0800, zhangweiwu at realss.com wrote:
> 我觉得你从帮助以下机构下手比较好（要是我就会这样）：
> 
>    1. 非政府直属的从事有意义工作的机构（心理咨询台）；
>    2. 各种非盈利机构（尤其是就近我有多个项目帮助环境相关的非盈利机构做事）；
>    3. 对技术发展有影响力和推广作用的机构（学校）；
> 
> 我不会去帮助政府，因为他们对解决他们的业务问题一般不感兴趣。
> 
> 如果乐于成事的人，往往会事多，最后到只能取舍。但是往往也觉得充实。

Just recently there is a non-profit project for climate change actions
(somewhat environmental protection but not just in that sector) that
needs volunteer (no payment) to manage their communication platform/site
(drupal). if you will please contact me:)