也谈 12306 泄密

12306 官方把这次密码泄露事件推给了第三方刷票工具,但也有安全专家把原因归结为“撞库”。
但我认为在这次事件中,12306 是负有责任的:
1、已订票单过于容易被取消。事实上就是登录进去账号之后点几下就能把订单给取消了,完全没有进行身份验证——比如短信形式的二次验证。
2、www.12306.cn 是一个反人类的网站,变相在鼓励用户使用第三方工具。我之前已经说过这个垃圾网站有多恶心。不管这次密码泄露是第三方工具还是“撞库”,这都应该给 12306 和用户敲响警钟,12306 应该认真考虑做个可用的网站出来,而用户也该意识到使用第三方工具的风险。
3、12306 没有任何措施保护已经失窃的账号。如果我没有理解错的话,12306 不是一个普通的商业网站,是依靠税收建立的,意味着其实每个公民都有“投资”,但是结果是 12306 这帮人对“投资人”都没有一丁点责任心,至少你应当可以把那些账号锁定,要求用户以其它更安全的方式验证身份后解锁。(当然我不是在说商业网站在这种情况下就应该撒手不管)。结果呢?就是有用户被他人给退票了。
总而言之,12306 就是个只会推卸责任,没有一点安全意识的人在管理。你要是以前不懂,但俗话说得好“吃一堑,长一智”,以后也该聪明点了,但是现在我看不出它有任何改进。

另一个越来越不喜欢 Debian 的理由

Debian 现在就完全没有个稍微能快那么一丁点的 repo 了,http.debian.net 更是扯淡,直接给我返回的是奇慢无比的俄国站点。。。
都不知道该怎么说了,反正这点上面 yum 真的是比 apt 要好很多。

CentOS 7 修改 MariaDB 的最大打开文件数

记一下这个坑

最近将一个 php 环境迁移到了 CentOS 7,一开始一切都好,但是网站正式上线后一段时间却老是出现 php-fpm 进程繁忙的情况了。

刚开始以为是 php-fpm 哪里配错了,后来才发现是 MariaDB 的问题,日志里面一直在报达到了最大打开文件数。看了下,发现最大可以打开文件数是 1024,确实小了。

limits.conf 里面是早就把限制调高了的,所以在 /etc/my.cnf 里面加了一行

open-file-limits = 10240

结果重启后却还是 1024。

最终是在 /usr/lib/systemd/system/mariadb.service 里面找到了线索

# It's not recommended to modify this file in-place, because it will be
# overwritten during package upgrades.  If you want to customize, the
# best way is to create a file "/etc/systemd/system/mariadb.service",
# containing
#       .include /lib/systemd/system/mariadb.service
#       ...make your changes here...
# or create a file "/etc/systemd/system/mariadb.service.d/foo.conf",
# which doesn't need to include ".include" call and which will be parsed
# after the file mariadb.service itself is parsed.
#
# For more info about custom unit files, see systemd.unit(5) or
# http://fedoraproject.org/wiki/Systemd#How_do_I_customize_a_unit_file.2F_add_a_custom_unit_file.3F
# For example, if you want to increase mariadb's open-files-limit to 10000,
# you need to increase systemd's LimitNOFILE setting, so create a file named
# "/etc/systemd/system/mariadb.service.d/limits.conf" containing:
#       [Service]
#       LimitNOFILE=10000

需要由 systemd 来提高最大可以打开文件数。

于是按照提示创建了 /etc/systemd/system/mariadb.d/limits.conf 加入了

[Service]
LimitNOFILE=65535

结果发现还是老样子

最终,再把 /etc/my.cnf 里面的 open-file-limits = 10240 删除掉才行。。。