剛剛莫名其妙的接收到一個指令說Linux的 sudo 指令因為被發現有安全漏洞所以被安全部門要求要緊急升級sudo 指令包( rpm package),壓根來使用 Linux 都沒遇到過要update sudo的狀況,這還是頭一回,只是剛聽到時是有點雲裡霧裡的,摸不著是什麼情況。
簡單說這個漏洞是Qualys的研究人員發現的,屬於sudo的堆積緩衝溢位漏洞,漏洞編號是CVE-2021-3156。它在本機用戶傳送sudoedit -s及以單反斜線(\)結尾的指令行參數開採,任何本機使用者在未經驗證(即無需知道密碼)的情況下都能輕易完成。成功開採可造成權限擴張,無權限的本機用戶因此取得主機根權限,可能危及資料隱私或導致系統被變更或無法使用。
手動檢查自己的Linux機器是否有這個漏洞的方式是用非root account 下已下指令: $ sudoedit -s /
如果返回結果是:”not a regular file” ,那就代表需要update 你的 sudo rpm 版本 到 1.9.5p2 以上的版本 才能修復這個CVE-2021-3156權限提升漏洞。
之前我在自己的一篇小小筆記文章” 資安小名詞 SIEM 與 SOAR”中提到SOAR跟SIEM是什麼,簡單說SIEM就是透過Log分析找出可能發生問題的資安威脅並發出Alert的一個過程,而SOAR是幫助SIEM將過程自動化以因應愈來愈頻繁的資安攻擊還有挑戰。
只是光只有自動化SIEM的過程可能不夠,更進一步的我們可以把SOAR工具提升層級,也就是加入安全智能,即是自動化安全智能(Automate Security with Intelligence),讓公司的安全團隊可以有更多餘力把焦點放在更高價值的安全研究。
在Recorded Future 的這一篇介紹短文: ” Beyond SOAR: 5 Ways to Automate Security With Intelligence” 便提出了五個Automate Security with Intelligence 的好處,以回應更多的Security Treats。
Automate Intelligence Collection and Analysis
With natural language processing and machine learning, it becomes possible to scale collection and automatically analyze data across an incredibly broad range of open, closed, and technical sources.
NLP and ML 使得廣泛跨來源收集與自動分析資安事件所需的元素資料變得可能,讓自動化研究Threat跟IOC(危害指標) 的任務可以實現。
妳的臉總充滿笑容,
妳的眼中卻藏著沉重,
想問一句我就心痛,
妳的回答為何如此空洞?
我的心被懸在高空,
多想降落在妳的心中,
每當遇見妳的面容,
為何就是不敢肆意放縱!
真實的我到不了妳的眼中,
真實的妳也不曾讓我觸碰,
每當妳少了那甜甜笑容,
誰知道我的眼底心空,
藏滿多少祈求妳快樂的衝動!
為妳心疼,
為妳心痛,
真實的我只能關在心中,
希望妳能,
希望妳懂,
真實的妳給我一次觸碰,
[圖源] https://beigeetemple.pixnet.net/blog/post/344309029-%E9%81%93%E5%AE%B6%E9%A4%8A%E7%94%9F%EF%BC%9A%E9%A0%86%E6%87%89%E8%87%AA%E7%84%B6%E8%BF%94%E7%92%9E%E6%AD%B8%E7%9C%9F
莊子內七篇的第四篇叫人閒世,閒讀作間,也就是人間世的意思,這一篇文章開頭的故事是講顏回跟孔子說要去衛國感化暴君而被孔子教之應以心齋功夫面對的故事,雖然只是全篇的幾則精彩故事之一,但可說是道家與儒家對待政治時基本態度不同之所在,其所述之處理政治的態度也與儒家互補而足,也是道用於世的一個絕佳例證。
首先,該文中很明顯帶出儒道兩家之間對政治教學的態度上的不同,儒家教學生積極入世,以德化政治改善社會為己任,所以"學而優則仕",學習的最終目的是進入政府體制改善政治,而如何方可以入世?就得講求修身齊家方能治國平天下,但這些是方向性的理念,當儒家學子進入官場權力的世界中時,這些方向性的概念已經不會再為其帶來多少助益,憑藉的就是自身的修為與態度在官場文化中行德化之治,但往往因為不懂權力遊戲而危急自身,嚴重者足以致命。
所以道家就跳出來在權力鬥場之中如何安全的避開危險而改革政治的做法上著力,提供技術的解法讓儒生不至於因為不懂官場風險而蠻幹最後失去性命,人閒世的開頭便是提出在官場改革所需要知道的道理和做法。儒家提供了淑世的理念方向,道家則給予了做法上的細節,說明了道家雖然講求無為而治,實際上更在乎如何將道的作用體現在政治的作為,讓儒家與道家的理念產生互補而互不排斥。
以下網站參考自MakeUseOf的文章: 25 Insanely Useful Websites That'll Come in Handy Someday
我只有選一些我覺得對我還滿有用也許用得到的網頁,對其他網站有興趣的話你可以直接參考MakeUseOf的文章唷!
[圖片來源] 壹讀 - read01.com
昨夜複讀孟子又讀到孟子這句話:"非禮之禮,非義之義,大人弗為。"(孟子.離婁章句下.第六則),以前沒有多想非禮之禮是指什麼禮?非義之義又是指何義?大概就是簡單領略一下不是真的禮就不要去守,並非真的義就不去行,但對具體內容卻不曾細思。
再翻閱其他篇章,才偶有所得,這一句話其實就是教人做人不要鄉愿!孔子說:"鄉愿,德之賊也"。
[圖片來源] 厭世哲學家: https://m.facebook.com/hateworldphilosopher/photos/a.866919160105317/934546463342586/?type=3&locale2=pt_BR
第三節 4-5段
何謂天生?何事人為?在天生與人為的環境之中,我們應該明白如何順天生之情而養身其中,不受人為所干擾,方是養生之道。
最近心血來潮,我終於又把四書的中庸給翻過一遍,事實上最近也在複習論語跟孟子,接下來就要重新看一遍大學了。
中庸這本書以前小時候傻傻的看不懂,以為其中的中庸之道應該很玄,應該會提到很多我所認知的中庸之道的詳解與延伸,但現在多看了一些書了,也有些年紀了,再翻一遍才深深感嘆,這本中庸可一點也不中庸阿!
其實論中庸的背景大概也就可以知道這本書也許與我所想的中庸大有出入,首先這本書是出自禮記的漢儒之手,雖然相傳是孔子的孫子子思所寫,但論其內容,考其經文,遂可見其思想與孔孟有差,雖大致提倡的為學處世之道與儒家相差無幾,但其中篇章內容亦難免可看出受陰陽道術之說所染,如鬼神之為德一章便明顯與儒家敬鬼神而遠之的求實精神不符,而其中所講中庸之道更近乎完全未提,充其量中庸一書只能當作是漢儒的世界觀,並不能從中窺得儒家的中庸思想,雖然如此,其對與"中"這個字的闡述還是有所發揮的。
中庸一書,經過朱熹先生的注解之後,在開頭處便落款稱"不偏之謂中,不易之謂庸",但待我讀完中庸全部篇章,發現通篇根本沒提到中庸到底是什麼?唯首章有提到”喜怒哀樂之未發,謂之中;發而皆中節,謂之和”的所謂"中和"之說,其餘並未論及具體的中庸是為如何,所以其實朱熹先生的開頭導文之中庸,是跟中庸一書的中庸沒什麼關聯的,而我也認為中庸應該是朱熹先生所指的中庸。
但其實儒家也論中庸,只是其重心點為仁義與禮讓,中庸之道並未被突顯罷了,雖然如此,中庸一書也有許多地方點出儒家的中庸論點,在此是值得拿來梳理賞析一下的。
如標題所說,今天來寫寫我突然想到的這篇論語中第十九章 子張 篇的 「子夏曰:"大德不踰閑,小德出入可也"。」。
雖然,只是短短的幾個字,翻譯起來也很簡單,就是:「子夏說:"大節之行為只要不逾越法律規範,小節之行為稍有出入也沒關係"。」 許多人在現在的解讀來說,通常會解釋為:「成大事,不拘泥於小節」,也就是做是大處要細心,小處粗心一點無傷大雅。
這樣的解釋也是我多年來對這一篇章內容的解釋,但今天早上在動腦想事情時,突然覺得似乎並不是這一回事哪!如果照我以往的認知,其實不拘小節幾個字很容易被誤會或誤用為"平常做事隨便一點沒關係"。
那麼,今天我對此番話重新有了另一番體悟是:"任何事情的處理方式,都是先捉準背後的大鋼,有一個清楚的目標原則,在這目標原則不被違背的情況下,其他細節小事或可調整,或可變化,但並非一成不變而致墨守成規,反過來危害最初想達成的目標"。
這個意思呢就是說我們在對待處理一個問題的時候,必然有一個目的,要達成這個目的,就必須先設定好一個標準原則(或說是遊戲規則;或說是策略),在這個原則之下,我們所有的行為都是彈性的,並非一成不變或不能改變,如此才能夠避免擇善固執,好心做壞事的現象發生。
