openbsd基本安装手册

作者:Timo

网上XSTAR的手册似乎是太麻烦了。

图解安装OpenBSD操作系统[XStar版]

openbsd4.2版本已经不需要自己手动来做ISO文档了,直接官网上就有现成做好的。

同时4.2增加几个新平台的支持 OpenBSD/sparc64. 和 OpenBSD/alpha.以及 OpenBSD/hppa.

增加了一些新的硬件驱动

对于CARP提供了更多的支持

具体更新内容可以查看http://www.openbsd.org/42.html#new

openbsd的分区方式跟freebsd其实是差不多的。可以使用M这样的单位。

说一下openbsd的分区大小

看了下官方文档的最小空间建议

(root) 60M

/usr 420M(no x) 550M (with x)

/var 25M

/tmp 50M

swap 32M

Advertisements

Apache RewriteRule的标志一览

转自http://www.utf.com.cn/article/s644

因为在学习rewrite,网上资料也很多,什么初级教程也很多,可几乎没有说明跟在RewriteRule之后的那些标志起什么作用的,前面搜索了下发现这篇文章,感觉不错,需要恶补一下。

1) R[=code](force redirect) 强制外部重定向
强制在替代字符串加上http://thishost[:thisport]/前缀重定向到外部的URL.如果code不指定,将用缺省的302 HTTP状态码。
2) F(force URL to be forbidden)禁用URL,返回403HTTP状态码。
3) G(force URL to be gone) 强制URL为GONE,返回410HTTP状态码。
4) P(force proxy) 强制使用代理转发。
5) L(last rule) 表明当前规则是最后一条规则,停止分析以后规则的重写。
6) N(next round) 重新从第一条规则开始运行重写过程。
7) C(chained with next rule) 与下一条规则关联
如果规则匹配则正常处理,该标志无效,如果不匹配,那么下面所有关联的规则都跳过。
8) T=MIME-type(force MIME type) 强制MIME类型
9) NS (used only if no internal sub-request) 只用于不是内部子请求
10) NC(no case) 不区分大小写
11) QSA(query string append) 追加请求字符串
12) NE(no URI escaping of output) 不在输出转义特殊字符
例如:RewriteRule /foo/(.*) /bar?arg=P1\%3d$1 [R,NE] 将能正确的将/foo/zoo转换成/bar?arg=P1=zed
13) PT(pass through to next handler) 传递给下一个处理
例如:
RewriteRule ^/abc(.*) /def$1 [PT] # 将会交给/def规则处理
Alias /def /ghi
14) S=num(skip next rule(s)) 跳过num条规则
15) E=VAR:VAL(set environment variable) 设置环境变量

信息安全从业参考

Author:
赵彦,http://blog.sina.com.cn/u/1258699773
Homepage:www.ph4nt0m.org
Mailto: ay4z3ro@hotmail.com
本版初稿只代表个人观点,仅供参考,对于迷信产生的后果,本人不承担任何责任
本文实际上并不能算是Career Planning,只是一些分类描述,唯一好处仅在于帮助你理解不同职位的技能要求,因为最近很忙,本文也远远达不到Body of  Knowledge的详细程度,计划在空闲时再补一篇真正的Career Roadmap

[漏洞挖掘/安全技术研究员]
研究对象:OS,网络,应用,通讯媒介及协议的安全漏洞和防御方法,偏重于底层技术,对技术要求最高,但不要求很全面,只需精通一两种流行的平台即可。其 研究成果经常为IDS/IPS/Vulnerability Scanner插件作分析等,最新的技术可能被转化到产品中实现商业价值,或可能承担技术最高的一部分专业安全服务。

主要技能:C\C++,ASM,OS kernel,调试器,反汇编、缓冲区溢出类,逻辑编程错误等

[安全产品开发]
和其他程序员一样,只不过是面向安全产品,有核心引擎也有界面开发,如何成为一个优秀的程序员就不用我废话了吧,网上的Proposal多的是

[产品工程师]
作为厂商的技术人员,一般是对自有产品做售后技术支持,如FW,VPN,IDS/IPS,Scanner,AV,AAAA,CF,UTM,SOC, Terminal Management,Vulnerability/Patch Management,Anti-DOS,Anti-Spam……该职位对技术要求一般,有一定的系统、网络基础,可以熟练部署产品即可,另外还有 Testing和Troubleshooting的能力也是比较重要的

[技术顾问/售前工程师]
作为厂商的售前,须对自有的产品和解决方案非常熟悉,售前偏重于架构/方案设计,Presentation,Documentation以及其他 Presale Engineering的能力(如投标、销售推介技能),一般需要多年工作经验,有售后或者研发背景,对特定行业的理解-如曾在电信、金融或者SI的工作 经验能增强竞争力,如能对专业安全技术服务及咨询服务有所掌握,会使你的知识背景更强势,项目管理技能也是必要的。

[安全服务工程师]
个人觉得在安全工程领域,产品选型和部署相对简单,门槛较高的是专业安全服务,先不论当前行业内的安全服务技术人员实际水平如何,我只是就我的理解谈一下 以下职位的技能需求。如渗透测试、安全加固、安全外包/安全监控,应急响应,高级安全技术培训,风险评估等要求技术人员对主流的操作系统平台,网络设备, 数据库,企业应用有一定程度的掌握,并且需要融入对安全和攻防技术的理解,另外安全服务人员最好需要有信息安全管理和项目管理的知识。沟通表达以及文档撰 写能力都是必须的。

[安全架构师]
之前的售前工程师和安全服务工程师也要写整体解决方案,但从专业程度来说,他们还达不到安全架构师的技术高度,安全架构师须熟悉IT基础设施、容灾备份, 大型企业级应用,安全集成,网络设计规划,网络安全产品典型部署,熟悉各种通信标准及协议,需要了解安全趋势和客户的整体安全需求,既有深度又有广度,需 要较多的经验和技术。

[信息安全咨询顾问]
信息安全既有技术也有管理的问题,如传统的Strategy、HR、IT consulting一样,Information Security Consulting也是专业服务中的主要业务,如:Risk Assessment、ISMS building、SOX Compliance……
信息安全不可能脱离企业自身的业务和实际需求,否则便成了空中楼阁,信息安全管理应该是以企业管理为上层引导,信息安全管理为中间支柱,下层以计算机及通信技术为基础依托的三层结构,当然出售的最终产物是三层融合的整体解决方案,咨询顾问一般需要以下技能:
熟悉各类安全标准–BS7799,ISO13335,CC,SSE-CMM,IATF,SP800……
相关的知识领域—IT Governance,ITIL/ITSM,MOF,COBIT,SOA,COSO……
咨询体系–企业经营管理,流程管理,人力资源管理,信息战略,法律法规
基本技能–沟通表达、文档、项目管理
技术体系–All above(不要因为我说了这句话趋之若鹜哦)

[CHO]
这里并不是指人力资源总监,而是传说中的Chief Hacker Officer–首席黑客官,在国外某些公司设有此类职位,是更加纯技术的职位,从名字就可以看出他的技术偏向哪里,实际上应该是安全教科书中的 Whitehat,从Know your enemy的角度讲,反黑的的能力也确实强

[CSO/CISO]
一般只有较大的组织机构才单独设有首席安全官或首席信息安全官,在没有独立设置CSO职位的情况下,信息安全通常属于CIO/CTO/COO考虑的范畴, 实际上也由他们扮演CSO的角色,因此换个角度—信息安全管理咨询应该是in CXO’s perspective,实际上高级咨询顾问到甲方即可成为CSO

通用且有一定竞争力的认证:
CISSP,CISM,CISA,BS7799LA

可供职的厂商:
国内专业安全公司:绿盟科技、启明星辰、天融信、联想网御、安氏
国外安全公司:ISS、Mcafee、Symantec、Checkpoint、TrendMirco
各大IT公司:Microsoft、HP、IBM、Cisco、Juniper、F5、Various vendors
会计事务所:PWC、E&Y、KPMG、DTT……
咨询公司:Accenture
甲方:如电信移动、金融、各大门户、电子商务以及IT系统对内部运营起到关键作用的企业

薪酬:
职位当然是影响Salary的重要因素,除此之外,审计师/咨询顾问、安全架构师和研究员的工资较高,外企的工资一般比国内企业高,在甲方的工资不一定有 乙方高,主要看所在行业、企业盈利程度和对信息安全的重视程度,但乙方高薪职位通常来说比甲方更忙碌,其实质也是用时间换工资,从行为经济学看未必很实 惠。

职业发展路线
研究员-高级安全研究员
开发程序员-项目经理
产品工程师-安全服务工程师-售前技术顾问
产品工程师-安全服务工程师-安全服务项目经理
产品工程师、安全服务工程师、技术顾问有两个发展方向:
1.        偏技术方向—安全架构师
2.        偏管理方向—咨询顾问
甲方和乙方的角色切换,如果对当前的视角失去了兴趣,不妨换个角度,如果结婚了寻求安定不想出差可以去甲方
当然以上只是理论公式,现实生活中的“天花板”在哪里有机会可以自己去体验一下

知识体系结构
大体分为技术体系和管理体系吧
技术体系:
对攻防技术的理解
OS、Network、Application、Data protection and related
TCP/IP protocol suits
研究偏重底层技术,架构偏重网络

安全管理体系:
各种信息安全技术/管理标准,审计及内部控制标准
传统管理学大集合
咨询及审计

其他:
对客户业务的理解
表达沟通,文档,演讲,项目管理和销售技能

快速成长理论

作者:ayazero

写于大学四年级


———————————–
快毕业来了,留点什么吧。

本来只是为了少数人写这篇文章,现在的心情很平静,我会尽可能照顾大多数人。很多人进了大学之后很迷茫,空虚没有目标,没有动力,逐渐成了这种生活的奴隶,也有其他诸如一些高考不如意来到这里的,整日抱怨环境不好之类的…..

看看现实生活,看看你们周围的人,再想想自己小时候的大理想,想想自己的成长过程,很明显你会发现:大多数人随着年龄的增大,与他们的梦想离越来越远,直至像太阳一样遥远,然后被迫把目标一次次的无条件压低。现实生活中会遇到各种困难,各种压力,如果每一次都选择妥协,那么结果只有一个:那就是失败!

希望我写的东西能解决你们大学时代的困惑,尤其对于那些有理想的人。说实话,我到大四的寒假才开始明白一些东西,开化得太晚了,那些大一大二学弟学妹们如果现在就能抓住”核心”,大学四年,完全有可能成为牛人。

本帖只接受本人的追加,如有任何评论可以另外发帖


1.目标

在你做任何事之前,你必须先解决这个问题。没有明确的目标,或者大方向不正确会直接导致失败或发展速度缓慢。这个 道理非常简单,如果今天学一点这个,明天又学一点那个,最后烂而不专就等于平庸,或者更可怕的就是虚度光阴,最后什么都没有,如果很难确定目标,就先从兴 趣开始吧,
这里我举个例子:
我比较擅长Linux,加上信通学院的一些基础课,从表面看来是适合做嵌入式的,
而我最擅长关乎网络安全的东西,这是我的兴趣所在(有兴趣学起来会不累一点)
但是从现在的情况看来,显然嵌入式是高收入的行业,并且前景非常好,但我还是选择后者,因为我觉得即使作嵌入式钱多,但是因为我兴趣不大,就很难有突破性的进展,相反安全方面我有信心到达高层领域,最后无论是金钱还是技术都会反超。(笔者现在已不做安全)
所以,选择什么分支,应该尽可能考虑得远一点,以上列举的只是其中一种发展模式,有时候也没必要限定要学什么。

目标的高低、范围
如果你的目标是做班上第一,当你取得比周围的人更好的成绩时你会觉得满足。
但如果你是想做全校第一,那么只有当你比大多数人都强的时候才会觉得满足,此时你已经比前者强。你必须考虑一个问题:你毕业之后和你竞争的是中国千千万万 的毕业生,你跟他们比会有优势吗?如果之前一直自我满足,直到毕业时把自己置身于大环境中时才发现自己的弱点就有点为时太晚了。又如果你以业界的牛人为目 标,不停的追赶,譬如你觉得他写的文章看不懂,像天书,你就会有学习的动力,即使毕业时你仍没有赶上“牛人”,但回头看时你已超越并甩掉了很多人,你已经 脱颖而出。再过分一点,如果你以世界顶尖水平为目标(无论是技术专家还是商业天才),我想你的生活会有足够的动力,我很佩服那样的人。

你的视野应该尽可能的广阔!

确信实现目标的价值:
有些人尽管也很努力,可能他们整天都抱着书本,有那样的优等生,一直成绩很好,他一直以为自己比别人强,但是在面临社会考验时成了失败者,努力没有得到预 期的回报,自尊心一下子受挫,当然这个说法不好,优等生一般会在“结果”那一面上处于中上层次,但是更多的事实证明,TOP层次的不是优等生,而是真正有 “实力”的人。你应该明确的知道你的付出会有多少收益,且不谈金钱上的(一定有人要说我拿钱当便准),以你得到多少能力上的提高为标准。每年的毕业大军数 量相当可观,你可以向你们的学长咨询一下:一个优等生在招聘会上值多少?
我不是让你不好好学习,也不是让你退学,打好基础是应该的,但你应该明白通过什么样的方式能让自己拥有绝对优势

如果你明白了利害关系,就可以确定目标了
不是为了一定要赚多少钱,而是你想成为什么?

2.方法论
远期目标是为了保证大方向的正确,生活的动力。而每个阶段的近期目标又是必须的,睡觉之前应该想想明天要完成什么。你不可能跟着老师一辈子,也没有人会一 辈子都教你下一步该做什么。如果你想有所建树,超越老师是必然的,尊敬老师是应该的,但是一个学生如果从来都不想超越他的老师,很难想象他的未来会有什 么。

学会自己学习比具体学到什么知识细节重要的多!

很多技术明天就会过时,想凭学校里学的一点东西出来混一辈子简直就是幻想。在这个时代你没有选择,你必须成为自己的老师
你应该首先解决如下问题:
对于你自己的奋斗方向,应该学哪些东西,有哪些基础是必须的,按照什么次序学,以什么样的方式能学的最快,解决了这些就差不多了,这些问题的答案从何而 来?可以请教真正的高手,寻找大师的回答,如果别人因为你太菜而不愿意理你,你可以从网上寻觅那些宝贵的经验,通读高手们的经历和发展过程,根据自己的特 点,总结出适合自己的方法。
平时应该读一些杂志报刊之类的东西,应该了解业界的动态,而不能做一个“空想社会主义者”,这也是为了现在的付出今后能有所回报。
人是一种主观性的动物,自我揭剖有时是困难的,但是为了快速成长。你必须这样做,必须经常优化,改造自己,原先的学习方法不够好就要改进,原先的观念不正确就要纠正,吸收别人的优点变成自己的也是一种能力。不是让你有借口逃课,听好的老师上课会事半功倍,但是无论如何,现在开始培养引导自己的能力。方法论的内容有很多,以后想到再慢慢补充吧

3.精神意志
现实中总是说的人多,做的人少,定目标容易,做起来有时候是很枯燥的,你能忍受寂寞吗?甚至在别人不理解时那就是一种孤独。
要坚持自己的想法,不要太在乎周围人的看法,这世界注定真理掌握在少数人手中,这不是说脱离人民群众,而是你比别人预见的更多,金字塔的形状决定了不可能有很多人理解你。

这个可能跟人的性格有关,我也不知道该说什么了,其实想说很多,但是不愿意打字了。

如果你没有特殊的经历,天生不是那种意志力很强的人,建议去书店找些伟人的故事,读些成功人士的自传,多少会有些帮助。大概是我动画看多了,主人公又酷又帅,强到极点,我实在不愿意做一个没有色彩的人,开个玩笑。付出一点,这是值得的,实际上也不会特别辛苦或是想象中的多么痛苦,你照样可以玩游戏,泡 MM,一定提高EQ.

记住:如果你想得到很多,你必须付出更多!

今天到此为止,为了照顾大多数,好像已经偏离我的原意、已经没有味道了,晕

不要轻易下结论什么事是不可能的,事实往往是很少有人敢去做而已

学会站在别人的立场上思考问题,


洞察力和决断力是必要的,你知道什么应该做,什么不应该做,什么应该隐藏,什么应该表现,这样就能少走弯路,加快发展速度,只有你的发展速度比别人快,你才可能拥有优势。

如果你能看到自己的未来,并以此规划你的人生(是奋斗的人生,当然不是享受的人生),差不多已经成功一半了。这个时期,如果你在走一条和别人不同的路,一定会有人嘲笑你,不要理他们。

有空的时候应该想想:我要做什么,我能做什么,我要成为什么

证书有用吗? 80%不值钱

4 前进的速度

也许你的对手水平比你高,但是如果他三年做到的事你两年就做到了,那么超越是必然的事!
只要你有“相对速度”,你就应该有信心。所谓闻道有先后,术业有专攻,也就是这个道理,我们应该努力成为有潜力更有优势的那种类型,当然任何时候你也应该看到别人的这种优势,任何时候你都没有资格嘲笑一个水平暂时比你低却有天才潜质的人。

我想很多研究生、博士生,他们的水平跟他们学习的时间是不成正比的,所以不用被他们的那些所谓的头衔和学历吓坏,你应该有自信在更年轻得时候拥有比他们更高的成就,谁说本科生不能成为研究生的上司,谁说本科生不能给博士生授课?
如果你觉得低学历很难“升官”,那是你的能力有问题,EQ太低!
(很抱歉,拿我的学长们开刀,不过我想那些真正有实力的学长是不会在意我说的话的)

看到一双不服输的眼神,看到一个奋起直追孩子,心里竟然有种莫名的感动。

人生往往因为一个小小的决定而改变,如果你选择屈服或放弃,就等于把人生曲线的斜率降低,而且这还是你亲手干的,多次这样之后就永远平庸了,所以面对困难的时候应该想一想:我要选择哪条路?
伟人之所以成功,就是因为他们敢做一般人没有勇气尝试的事,其他人在说”不”的时候已经把自己前进的路斩断了(罪魁祸首不是别人,正是最大的敌人–你自己),人的意识和精神状态基本决定了他今后在社会群体中将扮演什么角色.

大学里或许有很多不公平,甚至有些事让你伤心,也许你长的不漂亮,也许你没有钱
选择消沉吗?那么你完了!

如果你奋斗,一切都会改变,太阳并不为了你而照耀,但是当你充满自信的时候他会格外灿烂,当你成功的时候,你甚至会觉得那片天空就是你的!

现金流量表的原理和应用

如果你有三种可以依赖的度量方法,应该就是员工满意度、顾客满意度和现金进账

现金问题就好像开着汽车,只晓得仪表板上的时速表,却没有注意邮箱没油了。

回收现金是企业经营的最基本原则。

企业的现金存量(stock)与现金流量(flow)可能有极大的不同。

造成现金改变的活动有三大类:

  1. 经营活动:指的是所有能影响利润率的营业活动,例如销售及发放薪资费用
  2. 投资活动:主要指取得或者处分长期资产的活动。例如购买土地、厂房、设备或者出售既有固定资产
  3. 筹资活动 :包括企业的借款、还款、支付现金股利、购买公司库藏股及现金增资等活动。

现金流量表的概念框架

资产=负债+所有者权益

现金+非现金资产=负债+所有者权益

现金=负债+所有者权益-非现金资产

现金流量表的编制可分为“直接法”和“间接法”。

国际上大部分公司是以间接法来编制现金流量表。间接法则由利润表的净利润金额出发,经过加减相关项目的调整,最后得到经营活动现金净流入或净流出的金额。至于投资及活动的现金流量不存在调整问题。

刘备公司现金流量表

会计期间终止日:200612余额31

直接法

间接法

经营活动现金

收取顾客货款

支付员工薪资

支付货款

经营活动现金净流入

35000

-20000

-3200

11800

经营活动现金

净利

应收账款增加

应付薪资增加

应付账款增加

经营活动现金净流入

9000

-2200

3000

2000

11800

投资活动现金

计算机设备投资

投资活动现金净流出

-3000

-3000

投资活动现金

计算机设备投资

投资活动现金净流出

-3000

-3000

筹资活动现金

支付现金股利

筹资活动净流出

-11600

-11600

筹资活动现金

支付现金股利

筹资活动净流出

-11600

-11600

本期现金净减少

现金余额(200611

现金余额(2006121

-2800

4000

1200

本期现金净减少

现金余额(200611

现金余额(2006121

-2800

4000

1200

间接法调整项说明:

  • 由净利加回折旧费用

净利=(收入-不含折旧费用的费用)- 折旧费用

净利=(现金收入-现金支出)- 折旧费用

(现金收入-现金支出)=净利+折旧费用

经营活动现金净流入=(现金收入-现金支出)

经营活动现金净流入=净利+折旧费用

= 21W+2W

由于折旧费用并没有造成实质现金的支出,在应计基础观念下,净利的计算高估了今年经营活动现金的流出,进而低估了经营活动现金的净流入。

  • 由净利加回处理资产损失

净利=(收入-费用)-处理资产损失

净利=(现金收入-现金支出)- 处理资产损失

(现金收入-现金支出)= 净利+处理资产损失

经营活动现金净流入=(现金收入-现金支出)

经营活动现金净流入 = 净利 + 处理资产损失

= 21W + 1W

处理资产损失虽然列入净利的减项,实际上公司今年并没有为此造成任何现金支出。因此在调整过程中,必须由净利加回处理资产损失。同理可知,如果处理资产有利得,也必须将利得从净利中扣除,才能计算出经营活动的现金流量。

  • 经营性应收应付项目的调整

应收账款增加:代表没有收到钱,会对现金产生不利的影响,因此调增为负向;反之,若应收账款减少,代表已经收回现金,将对现金产生有利影响,因此调整项为正向。

存货增加:代表还没有收到钱,会对现金产生不利的影响,因此调整为负向;反之,若存货减少,代表已经销售,将对现金产生有利影响,因此调整为正向。

应付账款增加 :代表还没付钱,会对现金产生有利影响,因此调整为正向。反之,若应付账款减少,代表已经付出现金,将对现金产生不利的影响,因此调整为负向。

从利润表中看出企业竞争力

1. 营业收入

由营收及获利持续增长看竞争力,注意各种地方闲置

2. 净利润

长期稳定的营收及获利增长,是企业竞争力的最具体表现。

3. 由每人营业额增长看竞争力

4. 成本控制

5. 销售成本/销售收入

6. 销售和管理费用/营收  (越低越好)

7. 利润率 (净利/营收) (越高越好)

8. 毛利率

毛利率的或高或低,是衡量企业采用“差异化”策略是否成功的良好指标。

9. 获利增长率与营收增长率的比较

10. 存货金额增长率必须小于营收增长率的比较

11. 提升资产报酬率(资产报酬率的定义是净利除以平均资产金额(或期末资产)) (越高越好)

12. 资产周转率: 营收/总资产 (总资产可定义为“平均资产”或“期末资产”)

流动资产周转率(营收/流动资产)和固定资产周转率(营收/固定资产)

13. 存货周转率: 销售费用/期末存货金额(或销售费用/平均存货金额)

存货周转率越高,代表存货管理的效率越好。

利润表目录解读

收入(revenues)

  1. 净销售(net sales)

净销售=销售收入-销售退回与折让-销售折扣

2.   其它收入(other revenues)

成本与费用(costs and expenses)

  1. 销售成本(cost of sales)

计算有3种方式:先进先出法,后进先出法,加权平均法

2.  营运销售、销售与管理费用 (Operating, selling、general and administrative expenses)

营业利润 (operating profits)

销售毛利减去营业费用就是营业利润

利息费用 (interest expense)

指短期商业本票及长期负债等产生的利息费用

所得税费用 (income tax expense)

少数股东损益 (minority interest income)

在编制合并报表时,子公司股东权益中不属于母公司直接或间接持有部分,称为少数股东损益。

继续经营部门净利 (profits from continuing operations)

停业部门部门净利 (profits from discontinued operations)

是指当年度停止营业的部门,在该年度所产生的营业净利润。

净利润 (net income)

一般称为“纯利”或“盈余”(earnings)。净利润是收入减去所有费用的剩余。

每股收益 (earnings per share,简称 EPS)

每股收益=(净利-优先股股利)/ 平均流通在外股票数量

  1. 平均流通在外股票数量

举例来说,假设2007年1月1日时,某公司流通在外的普通股为5000股,7月1日发行新股3000股,总流通股数为8000股,则2007年的平均流通股数为6500股(5000*6/12+8000*6/12=6500)

每股现金股利(Dividends per common share)

每股现金股利=该年度现金股利/平均流通在外股票数量