OpenSSL Heartbleed (CVE-2014-0160) 解決方法

OpenSSL Heartbleed (CVE-2014-0160) 個 bug 都幾大件事下,因為理論上好多 web server 的 SSL certificate 都有機會出問題,所以安全起見都係 upgrade OpenSSL 後,重新 generate 新 SSL certificate。

所以在 Linux Harbour 先寫了篇英文 blog 詳細少少講多兩句,亦好歡迎俾 job 我地幫你做下。

簡單來講,如果 check 到有事,只需要 apt-get 或 yum upgrade 左個 OpenSSL 去,然後 confirm build date 係 2014年4月7日後,就即係你既OpenSSL安全了。

$ apt-get update && apt-get install -y libssl1.0.0 openssl

然後 generate 張新 SSL certificate 俾 Apache HTTP web server 用,然後 restart Apache HTTPD,搞掂!

$ openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/ssl-cert-snakeoil.key -out /etc/ssl/certs/ssl-cert-snakeoil.pem

上述方法我亦整左個 shell script 放左上 github

睇以上 procedures 就好似好簡單,但做落比平常 fix bug 較複雜,所以睇 Linux Harbour 果邊篇文,或者俾錢我幫你搞。 🙂

香港Linux軟件庫嚴重短缺

二十多年的自由軟件發展,隨著互聯網的發展下,打造出 Linux 和其他數之不盡的出色軟件。在 General Public License 等不同的 Open Source Licenses 授權下,Source Code 伴隨著自由軟件得以在世界各地自由使用和轉發。讓世界各地的開發者繼續改進軟件,並以相同 license 推出更好的軟件。

以 Linux 相關軟件為例,社群維護為主的 Linux distributions、自由軟件以至 Linux kernel 都在不同地方,主要是學術或非牟利機構自建伺服器作軟件庫 (software archives),並連接高速網絡分享給大眾。

香港已沒有 Linux 軟件庫了

在香港這個科技先進、網絡發達的城市,香港 Linux 軟件庫漸漸減少,到現在已經可以說沒有了。(沒錯! 事實是仍有一兩台的,但都是缺乏軟件更新、完整性和維護,教人如何使用呢 ???)

以往香港主要的 Linux 軟件庫,一直都是由兩三間商業公司 (主要是網頁寄存公司) 免費提供,有些網絡寬頻更達 1Gb 以上,可是在近兩三年已全部關閉或結業了。有一兩台是由幾位愛好者自費,購買電腦和租用 server co-location 服務來提供免費軟件庫服務,

現在只有一個慶幸,就是部份台灣以至日本學術機構的軟件庫,以光千網絡連接香港互聯網核心 – HKIX。 (香港人竟然要用到海外伺服器,你說可不可笑???)

說得更難聽,就是我們香港用戶現在要多佔別人的頻寬來下載和更新軟件。到底是海外頻寬仍有很多 ? 還是香港太過著重於利益 ? 所有機構內也沒有人會想到要提供本地免費Linux軟件庫 ?

早前 Launchpad 上,有用家回報 bug ticket – quite a few asian mirrors malfunctioning

最後的消息,香港以外的 Ubuntu 員工朋友跟我聯系過,我提供一些小建議和測試結果,希望先把 hk.archive.ubuntu.com 指往台灣某學術研究機構。 (目前因香港沒有 archive 而指往歐洲的。 orz) 但因為佔用別人伺服器和 (海外) 網絡資源,所以需要作一些口頭和書面的溝通和請求。 (請求後,香港會不會被海外的人看小呢 ? 香港連這些資源也沒有。)

所以,香港是有必要和急切,建立香港Linux軟件庫 (local archives)。

必需連接本地高速寬頻網絡

現今香港很多公司和家庭已安裝寬頻網絡,因此香港 Linux 軟件庫必需連接本地高速寬頻網絡,至少需要 1Gb 網絡速度才能負擔香港對 Linux 軟件的需要。

最完美的方案,當然是直接連接 HKIX。可是按目前 HKIX 政策, Linux 和自由軟件本身並不合乎成為 HKIX 成員。

而另一個接近完美方案,是直接連接中文大學網絡,差不多跟直接連接 HKIX 的速度沒有分別。最容易是跟電腦軟件相關的學系或電腦中心聯系,可是相關單位在十多年前,在活動場地上轉介城大後,並沒有人再跟香港 Linux 或 Open Source 社群接觸過。而我也曾因其他 Linux 和 Open Source 推廣交流事情上,曾電郵給其中一位中大講師,可是石沉大海,聽聞他「十分忙碌」。

退一步的方案是,聯系本地其他大學,只是網速上相比中大直連 HKIX,當然是慢一點了。如果這一步方案也不能,只可找商界、機構組織或個人了,可是資源很大機會比之前的方案更有限。如果低於 1Gb,那便會比較難吸引香港人,不用台灣伺服器而用香港了。

伺服器贊助或社群用家捐獻資金

在伺服器方面,是另一個問題,但相比起網速,這個問題比較細,也比較容易得到解決。單純社群用的網頁和電郵伺服器,十多年前,我擔任香港 Linux 用家協會創會會長期間,在得到委員和友好幫助下,HKLUG 得到當時 Compaq 贊助 AlphaServer 一台,今時今日,硬件 (主要是 harddisk) 已經壞了多年。到 7/8 年前,當時最活躍的 Linux 和 Open Source 協會 OAKA,單憑幾十名會員的一年會費,自購一台 PC 作伺服器,由一間公司提供公司網絡來連接互聯網,同樣,幾年前這台 PC 也宣告壞了。從這兩例子可見,相信香港 Linux 和 Open Source 社如能找到合適的網絡供應者,找商業公司 (例如各大 vendor) 或一眾用家捐錢,沒有 server 贊助,只少也能購買 PC 吧。

以下我列出一少部份國際知名自由軟件 (還有更多尚未列出),這些自由軟件急需在香港設立完整軟件庫,並以高速網絡連接本地互聯網。

希望透過本文能帶起大家以至大眾對此關注,以便我或各位社群朋友/用家跟進。

Linux 20 年與我

某年初入中學,好像在硬銷入會 (學會) 下需要選報一些活動。當初也曾考慮入電腦學會,進入重門深鎖的電腦室接觸電腦,但想到家中沒有電腦,就報了籃球和圖書館。後來在音樂考試中,被選中參加了合唱團一段時間。

回想 1991 年的暑假後,學校圖書館的一個角落,多了幾台電腦。便利用圖書館內的電腦書藉和那些電腦,來自學電腦,從 DOS 指令到 GWBASIC 編程,在第一個月便在圖書館寫了第一個自己的 GWBASIC 簡單遊戲程式  (不是抄書的)。

那年互聯網未普及至香港學校,在香港的撥號電子佈告版 (dailup BBS)  也不多。

想不到同年差不多的時間,在地球的另一處,芬蘭赫爾辛基大學的 Linus Torvalds 在 comp.os.minix 新聞組發佈第一個 Linux kernel 版本。

當年曾經從圖書館的電腦書藉得知,UNIX 是一個比 DOS 強勁得多的作業系統 (OS),那時我知道 ls、rm 那些指令,甚麼是 root,支援 multi-user….。但那時的 UNIX 系統只能在大型電腦內操作,所以當時學無所用。直到 1997 年擁有撥號上網帳號後,我在 newsgroup 上得知 Linux 可在 PC 上執行,便開始認識 Linux 以至 open source 了。從那時起,Linux 和 open source 就一直影響著我。

今年是 Linux 20 週年,香港 Linux 用家協會 (HKLUG) 也成立了 14 年。我使用了電腦和編程也有 20 年了,我也踏足了 Open Source 社群 14 年了。

昨天 Linus Torvalds 決定選擇把原訂下一個的 Kernel 版本 2.6.40,改為 3.0-rc1。因為 2.6 版本在 7 年多以來,已經推出了 40 個版本了,所以早前他在考慮下一個版本改為 2.8 或 3.0。功能沒變,只是版本編號改變而已。

20 年來,就是 Linux kernel 的出現,補了當時 open source 的 GNU (GNU’s Not UNIX) 計劃唯一所缺的部份,也就是操作系統的核心。從此就改變世界,推廣 open source 的軟件開發概念,一直急速帶動 open source 成為軟件界不可或缺的一方。

假如 open source 沒有出現在我生命當中,我到底會做甚麼 ? 生活又會如何 ? 我已不可能知道。

14 年前,open source 出現在我生命當中,讓我的技術認知更多,就像找到有一個新的突破,同時讓我對傳統的電腦學感到很沉悶煩厭,也成為我當年退學的主因之一。雖然身於香港本地社群,也藉著 HKLUG 這個對外門戶,我身在香港便能接觸到外地,來自不同地方的 Open Source 以至 IT 人員,見識也廣闊了一些。

今年八月,我打算第一次到台北參加當地 COSCUP 會議。將來我也希望多參加外地 (例如新加坡、日本、澳洲、歐洲、美國等等)  舉行的大型 opensource 活動 (例如 PyCONDrupalCon…)。

對我來說 open source 並不是宗教,所以我沒有像 Richard M. Stallman (RMS) 那種內心只有 Free & Open Source Software 的心態,當然肯定 RMS 是 open source 很重要的一員。但我肯定 open source 一直影響著我,到現在已影響著大眾每天的生活,十幾年來從 web server,到 firefox、openoffice、wordpress 等軟件,到家用 router、settop box,到近 2 年的 Android。

最後說 open source 的發展,不斷遠超著當初大家的想像。