写给SaaS创业公司的安全基础知识

头两天看到了写给SaaS创业公司的安全101,内容涵盖了不少,非常值得一读,其实不光是给SaaS企业了,其他公司一样适用。 我摘了几个贴在这里 密码共享和密码管理,所有系统都有一个终极的Admin账户,这个账户是共享的,防止这个人的单点故障,同时一旦共享了,那么密码是需要加密共享的,所以要有密码管理。 全盘加密,Mac/Windows都有很好的加密方法了,几乎一键加密。 买3个以上域名,第一个用于公开的品牌和企业的邮箱。第二个用于自己的SaaS服务,比如googleapis.com之类的。第三个域名用于内部的后勤支持,比如公司vpn等基础设施等等,而且这个域名最好匿名,这样别人就难以猜测了。营销邮件应该使用独立的域名,以防反垃圾系统标记后影响公司业务邮件来往。 所有地方都使用HTTPS API密钥,每一个客户都应该拥有不同的API钥匙对。 物理安全: 使用屏保,并且从屏保恢复需要输入密码。 不要使用U盘,这是入侵的最方便最直接的方法了。 企业内部沟通用Slack,客户间沟通用邮件,国内可以适用企业内部用BearyChat,客户沟通用邮件+微信。 认证服务支持SSO和OAuth 备份 冷备/热备/异地容灾 自动化备份 定期恢复演练 备份加密 防火墙和访问权限 服务访问需要认证,比如ElasticSearch, MongoDB, MySQL等 Review防火墙设置,只能允许必要的服务和端口开放。 自动扫描。 可以照这个列一个checklist,看看自己公司都做到了哪些?

重新使用Trello

知道[Trello](https://www.trello.com)这个服务真是时间不短了,但是一直没有怎么用这个东西,最近的事情多到脑子里装不下了,自己的OmniFocus只能给自己看,协同的事情还真是不太好做,所以呢这个Trello就重新用起来了。 他的官方有一个板子叫[trello resources](https://trello.com/b/nPNSBZjB/trello-resources),翻了一下确实有不少东西。 比如,在User case里有一些有趣的用法 – 用来计划减肥: [Lose Weight / Get in Shape](https://trello.com/b/tp7bnAod/lose-weight-get-in-shape) – 计划旅游: [Tours of Homes Atlanta area](https://trello.com/b/tNQbo4EM/tours-of-homes-atlanta-area), [Plan Your Holiday Vacation with Trello](http://www.benmccormack.com/blog/plan-your-holiday-vacation-with-trello), [Holiday Vacation Planning](https://trello.com/b/4sS0fQe7/holiday-vacation-planning) – 招聘:[How to hire a lot of talented people, very quickly](http://ryancarson.com/post/23990414000/how-to-hire-a-lot-of-talented-people-very-quickly)

启用Akismet

趁着收拾blog系统的时候,升级到了MovableType 6,同时也好好处理了一下之前的comments,发现即便是在启用验证码的情况下,依旧有不少Spam。 于是就启用了Akismet,不过我是下载回来之后些许改动,都放在了[github/mt-plugin-akismet](https://github.com/khsing/mt-plugin-akismet). 安装很简单, 1. 建立一个软链接到`mt-plugin-akismet/plugins/akismet` 2. 进入 System Overview -> Tools -> Plugins -> MT-Akismet -> Settings 3. 在API Key的位置上写上在[http://akismet.com](http://akismet.com)申请的API Key就好了。 自己试一下,看看Activelog有没有报错,如果没有点进新的Comments应该可以看到如下界面 另外也可以在akismet站上看得到统计信息。

招聘: 新浪招聘DevOps

职位:运维开发工程师 (需求2~3人) 工作地点:北京,中关村地区 * 工作职责 1. 分析日志和监控数据指标,发现和定位问题 1. 对系统故障进行长期的跟踪分析 * 任职要求: 1. 有3年以上Linux运维经验; 2. 精通Linux/UNIX等操作系统,有3年以上Linux平台操作经验; 熟悉Shell编程,熟悉Python或Ruby者优先; 3. 熟悉服务器监控软件,有较强的分析能力; 4. 熟悉rsyslog, scribe, flume等日志收集和处理系统; 5. 熟悉Nginx、Apache、Haproxy、LVS等软件日常操作和优化 6. 学习能力强,能快速了解掌握新技术 * 优先条件: 1. 熟悉Elasticsearch、Logstash者优先 有意者请联系我,邮箱:khsing.cn@gmail.com, 来信注明应聘职位,附上简历一份。

用https代替git-ssh来push

~~最近发现推送代码到github总是要账户名和密码,大多给出的解决办法是用ssh代替https就解决了,而且说是just simply。鄙人觉的这简直就是不负责任的解决办法(虽然之前我也是这么解决的),我忍你很久了。正确的方法是在家目录放一个`.netrc`的文件(win用户自动绕开,我不会告诉你们是在家目录放_netrc的),内容如下~~ machine github.com login password REF: [StackOverflow:Git push requires username and password](http://stackoverflow.com/a/14417827/437840) Update: 前面的方法请绕行,目前的做法是`git config –global credential.helper osxkeychain`.

tmux是神器

用了這麼長時間的tmux,今天才發現這貨有這個兇殘能力,結對編程的夥伴們有福了 tmux new -s pair 開另外一個電腦或者窗口,然後繼續 tmux new-session -t pair -s pair2 享受人生吧

Google和Reader

Google Reader这个使用多年的产品在2013.7.1就画上句号了。 GR一经发布我就从bloglines迁移过来了,基本上是我继Gmail之后使用最为频繁的Google服务了。要说呢这是Google提供的服务,人家说关也就关了,但是这同时也是一个企业的信任问题。我使用GR是对Google的一种信任,现在这些信任都荡然无存了,谁知道你会不会关闭其他的我信任的服务,比如Gmail。所以,我要开始考虑脱离Gmail,特别是注册时留的email地址,我可不想在其他网站找回密码的时候,出现Gmail的帐户被封之类的悲剧(已经有人遭遇了),自建邮箱系统或者使用Google Apps(因为我可以通过换MX记录来换服务)都是可以接受的选择。 [GR的关闭是因为G+](http://qr.ae/TPGOz),G+是Page上台后Google强推的社交平台。GR的Share功能是我最喜欢的功能,甚至代替了我自己的DailyRead文件夹,可惜这个功能在G+上线不久后就牺牲了。Page有了社交情节,而且这情节影响到了整个公司。James在[Why I left Google](http://blogs.msdn.com/b/jw_on_tech/archive/2012/03/13/why-i-left-google.aspx)中把Google区分成了老Google和现在的x新Google,老Google是一家广告公司,用好的内容来吸引广告主,就像电视行业那样。老Google招聘优秀的人才并且激发他们的创新热情,新Google看起来不是这样,像是一个家长,觉的孩子们做错事了就要逼迫他们”改正”,新Google正在用G+尝试修复错过社交平台的错误。 当年Page回到CEO的时候我是很期待的,尤其是Google退出中国这事儿,认为Google是要强势回归到过去的那个Google,现在看来不是我想象的那样。Page做了几件最明显的事情:统一界面、G+,都是强势的自上而下的推进下去的。并不是说自上而下不好,但是自上而下的东西就和KPI一样,为了完成而完成,乐趣就没有了。 凡事其实错过了就是错过了,Google错过了社交平台就是错过了,这种错过无法修复只能接受,然后向前看,Move on。而Page想修复这个错误是在做无用功,是在给Google开倒车。霍矩写的[Google的社会化梦想与Reader](http://blog.devep.net/virushuo/2013/03/19/googlereader.html)更透彻。现在的Google已经不是当年的Google了。 既然Google做出了选择,我也做出了选择,不再使用Google+,删除Google+帐号,为逃离Gmail做好准备。

编程和沟通(Programming and communication)

译文 > 一般程序员和伟大程序员的区别不是精通多少编程语言,也不是他们选择Python或Java。而是他们能通过写清晰的注释和技术细节来交流想法,让其他程序员理解他们的代码,这意味着其他程序员可以使用他们的代码而不是重写一套。除此之外,他们的代码毫无用处。给用户写清晰的技术文档,就可以让他们了解这些代码的作用,这也是让用户看到那堆代码价值的唯一途径。 —-Jeol Spolsky 原文 > The difference between a tolerable programmer and a great programmer is not how many programming languages they know, and it’s not whether they prefer Python or Java. It’s whether they can communicate their ideas. By writing clear comments and technical specs, they let other programmers understand their code,…

Magic Trackpad & Mouse

最近朋友送给我一个Magic Mouse,马上用了起来,再结合之前自己买的Trackpad说说感受。 – Mouse的手感并不是很好,手心的位置没有紧实感,设计上给美学开了道。 – Mouse上面那个双指左右滑动的手势真心不太习惯。 – Mouse单指左右划的Scroll手势容易被误操作,这在网页里就回退了。 – Trackpad有点费手指,另外就是画图的时候真心就不行了。 – Trackpad的手势比Mouse多而且用起来要自然的多。 – Trackpad可以三指轻点查字典,Mouse就没有这个function了,只能`Command+Control+D`。

About learning on the Internet

讀英文文檔,英文不好就練習 用Google.com,Google.com.hk也不要用 先翻官方文檔,再去社區。先搜索,再提問 如果搜到了好的文章,或者有別的文章提到這個文章了,但是文章已經不存在了,就去web archive看看 關注一些Conf,不能現場去聽但是大多都有slide或者video,這些東西未必能直接解決問題,但是提供了很多的思路。