enchen

pluto实现分析(5)

本文档的Copyleft归yfydz所有，使用GPL发布，可以自由拷贝，转载，转载时请保持文档的完整性，严禁用于任何商业用途。
msn: [email protected]
来源： http://yfydz.cublog.cn

7. 内核接口

pluto可支持内核使用KLIPS或NETKEY实现IPSEC,前者的通信接口是PF_KEY, 后者的通信接口是netlink, 另外也支持内核无IPSEC的情况(NO_KERNEL), 不过则基本就没什么意义。

KLIPS的IPSEC实现是通过构造ipsec*虚拟网卡来实现的, 将数据从该网卡发送, 就意味着对数据进行加密; 从该网卡获取数据, 就是对数据包进行解密。因此安全策略实际是根据路由来进行的，因此配置加密路由就是配置安全策略，因此专门引入了eroute概念来描述这类路由。

7.1 初始化

/* programs/pluto/kernel.c */

void
init_kernel(void)
{
struct utsname un;

    /* get kernel version */
// 获取系统版本信息, 等同"uname -a"
    uname(&un);
    strncpy(kversion, un.release, sizeof(kversion));

    if (kern_interface == NO_KERNEL)
    {
        kernel_ops = &noklips_kernel_ops;
        return;
    }
// 初始化pfkey
    init_pfkey();

#if defined(KLIPS) && defined(KERNEL26_SUPPORT)
// 如果是自动选择
    if(kern_interface == AUTO_PICK)
    {
        bool linux_ipsec = 0;
        struct stat buf;
// 检查是否有"/proc/net/pfkey"文件,该文件是2.6的native linux下才有的
// KLIPS可以支持2.6, 但和2.6自带的NETKEY不能同时使用,只能2选1
        linux_ipsec = (stat("/proc/net/pfkey", &buf) == 0);
        if (linux_ipsec)
            {
  kern_interface = USE_NETKEY;
            }
        else
            {
                kern_interface = USE_KLIPS;
            }
    }
#endif

// 根据内核接口类型将内核操作结构初始化相应的KLIPS或NETKEY内核操作
    switch(kern_interface) {
#if defined(KERNEL26_SUPPORT)
    case USE_NETKEY:
openswan_log("Using NETKEY IPsec interface code on %s"
       , kversion);
kernel_ops = &linux_kernel_ops;
break;
#endif

#if defined(KLIPS)
case USE_KLIPS:
openswan_log("Using KLIPS IPsec interface code on %s"
, kversion);
kernel_ops = &klips_kernel_ops;
break;
#endif

    default:
openswan_log("kernel interface '%s' not available"
       , enum_name(&kern_interface_names, kern_interface));
exit(5);
    }
// 初始化操作
    if (kernel_ops->init)
    {
        kernel_ops->init();
    }

    /* register SA types that we can negotiate */
    can_do_IPcomp = FALSE; /* until we get a response from KLIPS */
// 登记PFKEY
    kernel_ops->pfkey_register();

// 如果没有定义策略生存期
    if (!kernel_ops->policy_lifetime)
    {
// 进行事件调度
        event_schedule(EVENT_SHUNT_SCAN, SHUNT_SCAN_INTERVAL, NULL);
    }
}

内核操作结构:

/* programs/pluto/kernel.h */

struct kernel_ops {
// 类型
enum {
         KERNEL_TYPE_NONE,
  KERNEL_TYPE_KLIPS,
  KERNEL_TYPE_LINUX,
} type;
// 名称
const char *opname;
// 是否有向内的加密路由
bool inbound_eroute;
// 是否有策略生存期
bool policy_lifetime;
// 回放窗口大小
        int replay_window;
// 通信描述符
int *async_fdp;

// 初始化
void (*init)(void);
// 登记
void (*pfkey_register)(void);
// 登记回应
void (*pfkey_register_response)(const struct sadb_msg *msg);
// 队列处理
void (*process_queue)(void);
// 消息处理
void (*process_msg)(void);
// 原始路由
bool (*raw_eroute)(const ip_address *this_host,
      const ip_subnet *this_client,
      const ip_address *that_host,
      const ip_subnet *that_client,
      ipsec_spi_t spi,
      unsigned int proto,
      unsigned int transport_proto,
      unsigned int satype,
      const struct pfkey_proto_info *proto_info,
      time_t use_lifetime,
      unsigned int op,
      const char *text_said);
// 添加SA
bool (*add_sa)(const struct kernel_sa *sa, bool replace);
// SA归组
bool (*grp_sa)(const struct kernel_sa *sa_outer,
         const struct kernel_sa *sa_inner);
// 删除SA
bool (*del_sa)(const struct kernel_sa *sa);
// 获取SPI
ipsec_spi_t (*get_spi)(const ip_address *src,
          const ip_address *dst,
          int proto,
          bool tunnel_mode,
          unsigned reqid,
          ipsec_spi_t min,
          ipsec_spi_t max,
          const char *text_said);
// 执行命令操作
bool (*docommand)(struct connection *c
        , struct spd_route *sr
        , const char *verb
        , struct state *st);
};

7.2 KLIPS内核操作结构

pluto和KLIPS的通信是通过PF_KEY类型的套接口来实现的, 关于内核中PF_KEY的实现可参考前面的文章(虽然KLIPS有自带的PF_KEY实现而不是linux内核自己的PF_KEY, 但基本是类似的), 用户层PF_KEY的编程处理也可见UNPv1e3。

7.2.1 结构定义

/* programs/pluto/kernel_pfkey.c */

const struct kernel_ops klips_kernel_ops = {
type: KERNEL_TYPE_KLIPS,
async_fdp: &pfkeyfd,
// 回放窗口为64
replay_window: 64,

pfkey_register: klips_pfkey_register,
pfkey_register_response: klips_pfkey_register_response,
process_queue: pfkey_dequeue,
process_msg: pfkey_event,
raw_eroute: pfkey_raw_eroute,
add_sa: pfkey_add_sa,
grp_sa: pfkey_grp_sa,
del_sa: pfkey_del_sa,
get_spi: NULL,
inbound_eroute: FALSE,
policy_lifetime: FALSE,
// 无初始化函数
init: NULL,
docommand: do_command_linux,
opname: "pfkey"
};

7.2.2 登记协议

// 登记IPSEC相关处理协议
static void
klips_pfkey_register(void)
{
// 登记AH,ESP,IPCOMP,IPIP这4种协议
    pfkey_register_proto(SADB_SATYPE_AH, "AH");
    pfkey_register_proto(SADB_SATYPE_ESP, "ESP");
    can_do_IPcomp = FALSE; /* until we get a response from KLIPS */
    pfkey_register_proto(SADB_X_SATYPE_COMP, "IPCOMP");
    pfkey_register_proto(SADB_X_SATYPE_IPIP, "IPIP");
}

7.2.3 登记回应

该函数处理内核返回的SADB_REGISTER消息, 可能是REGISTER操作后的回应, 也可能是内核主动发出的. 向内核发出REGISTER信息告诉内核pluto支持哪些协议和算法, 内核会返回结果告诉pluto内核又支持哪些协议和算法, 相当于一个协议支持类型的协商过程，一般来说内核的IPSEC实现是肯定要实现AH、ESP和IPIP的，IPCOMP可能会不支持；对于算法，认证算法要求支持MD5和SHA1，加密算法要支持DES，3DES。

/* Process a SADB_REGISTER message from the kernel.
* This will be a response to one of ours, but it may be asynchronous
* (if kernel modules are loaded and unloaded).
* Some sanity checking has already been performed.
*/
static void
klips_pfkey_register_response(const struct sadb_msg *msg)
{
    /* Find out what the kernel can support.
     * In fact, the only question at the moment
     * is whether it can support IPcomp.
     * So we ignore the rest.
     * ??? we really should pay attention to what transforms are supported.
     */
// 检查返回的消息类型
    switch (msg->sadb_msg_satype)
    {
    case SADB_SATYPE_AH:
// AH, 正常, 忽略
break;
    case SADB_SATYPE_ESP:
#ifdef KERNEL_ALG
// ESP, 登记内核能支持的加密认证算法
kernel_alg_register_pfkey(msg, sizeof (pfkey_buf));
#endif
break;
    case SADB_X_SATYPE_COMP:
/* ??? There ought to be an extension to list the
* supported algorithms, but RFC 2367 doesn't
* list one for IPcomp. KLIPS uses SADB_X_CALG_DEFLATE.
* Since we only implement deflate, we'll assume this.
*/
// 支持IP压缩协议
can_do_IPcomp = TRUE;
break;
    case SADB_X_SATYPE_IPIP:
// IPIP,支持,忽略
break;
    default:
break;
    }
}

7.2.4 队列处理

处理PF_KEY数据队列中的数据包

/* asynchronous messages from our queue */
static void
pfkey_dequeue(void)
{
// 遍历当前的数据链表
    while (pfkey_iq_head != NULL)
    {
// 获取链表头元素
pfkey_item *it = pfkey_iq_head;
// 进行相关异步处理
pfkey_async(&it->buf);
// 从链表中断开, 出队释放
pfkey_iq_head = it->next;
pfree(it);
    }

    /* Handle any orphaned holds, but only if no pfkey input is pending.
     * For each, we initiate Opportunistic.
     * note: we don't need to advance the pointer because
     * record_and_initiate_opportunistic will remove the current
     * record each time we call it.
     */
// 如果有不匹配所有连接的PF_KEY包, 就要启动OE过程了
    while (orphaned_holds != NULL && !pfkey_input_ready())
      record_and_initiate_opportunistic(&orphaned_holds->ours
     , &orphaned_holds->his
     , orphaned_holds->transport_proto
     , "%hold found-pfkey");

}

/* Handle PF_KEY messages from the kernel that are not dealt with
* synchronously. In other words, all but responses to PF_KEY messages
* that we sent.
*/
// 处理异步PF_KEY数据包
static void
pfkey_async(pfkey_buf *buf)
{
    struct sadb_ext *extensions[SADB_EXT_MAX + 1];
// 解析数据包, 失败的话返回
    if (pfkey_msg_parse(&buf->msg, NULL, extensions, EXT_BITS_OUT))
    {
plog("pfkey_async:"
     " unparseable PF_KEY message:"
     " %s len=%d, errno=%d, seq=%d, pid=%d; message ignored"
     , sparse_val_show(pfkey_type_names, buf->msg.sadb_msg_type)
     , buf->msg.sadb_msg_len
     , buf->msg.sadb_msg_errno
     , buf->msg.sadb_msg_seq
     , buf->msg.sadb_msg_pid);
    }
    else
    {
// 解析成功
DBG(DBG_CONTROL | DBG_KLIPS, DBG_log("pfkey_async:"
     " %s len=%u, errno=%u, satype=%u, seq=%u, pid=%u"
     , sparse_val_show(pfkey_type_names, buf->msg.sadb_msg_type)
     , buf->msg.sadb_msg_len
     , buf->msg.sadb_msg_errno
     , buf->msg.sadb_msg_satype
     , buf->msg.sadb_msg_seq
     , buf->msg.sadb_msg_pid));

// 根据数据包类型进行相关处理
switch (buf->msg.sadb_msg_type)
{
case SADB_REGISTER:
// 登记, 调用相关的登记回应处理函数
     kernel_ops->pfkey_register_response(&buf->msg);
     break;
case SADB_ACQUIRE:
// 请求, 内核需要pluto协商一个新的SA出来
     /* to simulate loss of ACQUIRE, delete this call */
     process_pfkey_acquire(buf, extensions);
     break;
#ifdef NAT_TRAVERSAL
case SADB_X_NAT_T_NEW_MAPPING:
// NAT穿越的映射信息
     process_pfkey_nat_t_new_mapping(&(buf->msg), extensions);
     break;
#endif
default:
     /* ignored */
     break;
}
    }
}

/* Processs a SADB_ACQUIRE message from KLIPS.
* Try to build an opportunistic connection!
* See RFC 2367 "PF_KEY Key Management API, Version 2" 3.1.6
* <base, address(SD), (address(P)), (identity(SD),) (sensitivity,) proposal>
* - extensions for source and data IP addresses
* - optional extensions for identity [not useful for us?]
* - optional extension for sensitivity [not useful for us?]
* - expension for proposal [not useful for us?]
*
* ??? We must use the sequence number in creating an SA.
* We actually need to create up to 4 SAs each way. Which one?
* I guess it depends on the protocol present in the sadb_msg_satype.
* For now, we'll ignore this requirement.
*
* ??? We need some mechanism to make sure that multiple ACQUIRE messages
* don't cause a whole bunch of redundant negotiations.
*/
// 应内核请求建立新SA
static void
process_pfkey_acquire(pfkey_buf *buf, struct sadb_ext *extensions[SADB_EXT_MAX + 1])
{
// 源地址结构
    struct sadb_address *srcx = (void *) extensions[SADB_EXT_ADDRESS_SRC];
// 目的地址结构
    struct sadb_address *dstx = (void *) extensions[SADB_EXT_ADDRESS_DST];
// 源端协议
    int src_proto = srcx->sadb_address_proto;
// 目的段协议
    int dst_proto = dstx->sadb_address_proto;
// 具体的源和目的地址
    ip_address *src = (ip_address*)&srcx[1];
    ip_address *dst = (ip_address*)&dstx[1];
    ip_subnet ours, his;
    err_t ugh = NULL;

    /* assumption: we're only catching our own outgoing packets
     * so source is our end and destination is the other end.
     * Verifying this is not actually convenient.
     *
     * This stylized control structure yields a complaint or
     * desired results. For compactness, a pointer value is
     * treated as a boolean. Logically, the structure is:
     * keep going as long as things are OK.
     */
// 条件检查
// 必须是内核请求
    if (buf->msg.sadb_msg_pid == 0 /* we only wish to hear from kernel */
// 源目的协议相同
&& !(ugh = src_proto == dst_proto? NULL : "src and dst protocols differ")
// 地址类型相同, 都是V4或V6
&& !(ugh = addrtypeof(src) == addrtypeof(dst)? NULL : "conflicting address types")
// 获取源地址子网
&& !(ugh = addrtosubnet(src, &ours))
// 获取目的地址子网
&& !(ugh = addrtosubnet(dst, &his)))
// 启动OE过程协商新SA, 因为这时两端可能是没有任何预设置共享密钥的
// 该函数的分析将在后续文章中
      record_and_initiate_opportunistic(&ours, &his, 0, "%acquire-pfkey");

// 获取子网失败返回
if (ugh != NULL)
plog("SADB_ACQUIRE message from KLIPS malformed: %s", ugh);

}

/* programs/pluto/nat_traversal.c */

// NAT穿越映射关系处理
void process_pfkey_nat_t_new_mapping(
struct sadb_msg *msg __attribute__ ((unused)),
struct sadb_ext *extensions[SADB_EXT_MAX + 1])
{
// NAT映射信息
struct _new_klips_mapp_nfo nfo;
// 源地址参数
struct sadb_address *srcx = (void *) extensions[SADB_EXT_ADDRESS_SRC];
// 目的地址参数
struct sadb_address *dstx = (void *) extensions[SADB_EXT_ADDRESS_DST];
struct sockaddr *srca, *dsta;
err_t ugh = NULL;

// SA信息结构
nfo.sa = (void *) extensions[SADB_EXT_SA];
// 如果地址信息不全, 错误, 返回
if ((!nfo.sa) || (!srcx) || (!dstx)) {
  openswan_log("SADB_X_NAT_T_NEW_MAPPING message from KLIPS malformed: "
   "got NULL params");
  return;
}
// 具体的源和目的地址
srca = ((struct sockaddr *)(void *)&srcx[1]);
dsta = ((struct sockaddr *)(void *)&dstx[1]);

// 只支持IPV4, 在V6下是没必要使用NAT的,因为V6地址肯定是足够用的
if ((srca->sa_family != AF_INET) || (dsta->sa_family != AF_INET)) {
  ugh = "only AF_INET supported";
}
else {
  char text_said[SATOT_BUF];
  char _srca[ADDRTOT_BUF], _dsta[ADDRTOT_BUF];
  ip_said said;

// 将源和目的地址端口信息填充到SA结构中
  initaddr((const void *) &((const struct sockaddr_in *)srca)->sin_addr,
   sizeof(((const struct sockaddr_in *)srca)->sin_addr),
   srca->sa_family, &(nfo.src));
  nfo.sport = ntohs(((const struct sockaddr_in *)srca)->sin_port);
  initaddr((const void *) &((const struct sockaddr_in *)dsta)->sin_addr,
   sizeof(((const struct sockaddr_in *)dsta)->sin_addr),
   dsta->sa_family, &(nfo.dst));
  nfo.dport = ntohs(((const struct sockaddr_in *)dsta)->sin_port);

  DBG(DBG_NATT,
   initsaid(&nfo.src, nfo.sa->sadb_sa_spi, SA_ESP, &said);
   satot(&said, 0, text_said, SATOT_BUF);
   addrtot(&nfo.src, 0, _srca, ADDRTOT_BUF);
   addrtot(&nfo.dst, 0, _dsta, ADDRTOT_BUF);
   DBG_log("new klips mapping %s %s:%d %s:%d",
    text_said, _srca, nfo.sport, _dsta, nfo.dport);
  );
// 对所有状态进行NAT映射调整
// 有关NAT穿越详细处理在后续文档中分析
  for_each_state((void *)nat_t_new_klips_mapp, &nfo);
}

if (ugh != NULL)
openswan_log("SADB_X_NAT_T_NEW_MAPPING message from KLIPS malformed: %s", ugh);
}

7.2.5 消息处理

实际上本质也是调用pfkey_async()函数.

/* asynchronous messages directly from PF_KEY socket */
static void
pfkey_event(void)
{
pfkey_buf buf;

if (pfkey_get(&buf))
pfkey_async(&buf);
}

7.2.6 原始路由

// 因为KLIPS的eroute就对应安全策略, 所以则实际是实现安全策略的操作
// 但RFC2367中没有定义标准的安全策略的处理命令, 所以各种实现都是定
// 义自己的, 不同实现可能不同
// KLIPS将策略描述为流(FLOW), 即从某IP到某IP的数据进行加密处理
static bool
pfkey_raw_eroute(const ip_address *this_host
   , const ip_subnet *this_client
   , const ip_address *that_host
   , const ip_subnet *that_client
   , ipsec_spi_t spi
   , unsigned int proto UNUSED
   , unsigned int transport_proto
   , unsigned int satype
   , const struct pfkey_proto_info *proto_info UNUSED
   , time_t use_lifetime UNUSED
   , unsigned int op
   , const char *text_said)
{
    struct sadb_ext *extensions[SADB_EXT_MAX + 1];
    ip_address
sflow_ska,
dflow_ska,
smask_ska,
dmask_ska;
// 端口
    int sport = ntohs(portof(&this_client->addr));
    int dport = ntohs(portof(&that_client->addr));

// 本地子网信息
    networkof(this_client, &sflow_ska);
    maskof(this_client, &smask_ska);
    setportof(sport ? ~0:0, &smask_ska);

// 对方子网信息
    networkof(that_client, &dflow_ska);
    maskof(that_client, &dmask_ska);
    setportof(dport ? ~0:0, &dmask_ska);

// 构造SADB数据包头信息, 操作类型由op参数的低8位确定
    if (!pfkey_msg_start(op & ERO_MASK, satype
         , "pfkey_msg_hdr flow", text_said, extensions))
    {
return FALSE;
    }
// 非删除操作
    if (op != ERO_DELETE)
    {
// 构造SPI
if (!(pfkey_build(pfkey_sa_build(&extensions[SADB_EXT_SA]
      , SADB_EXT_SA
      , spi /* in network order */
      , 0, 0, 0, 0, op >> ERO_FLAG_SHIFT)
     , "pfkey_sa add flow", text_said, extensions)
// 构造本地主机地址
     && pfkeyext_address(SADB_EXT_ADDRESS_SRC, this_host
  , "pfkey_addr_s add flow", text_said, extensions)
// 构造对方主机地址
     && pfkeyext_address(SADB_EXT_ADDRESS_DST, that_host
    , "pfkey_addr_d add flow", text_said
    , extensions)))
{
     return FALSE;
}
    }
// 构造本地子网参数
    if (!pfkeyext_address(SADB_X_EXT_ADDRESS_SRC_FLOW, &sflow_ska
     , "pfkey_addr_sflow", text_said, extensions))
    {
return FALSE;
    }
// 构造对方子网参数
    if (!pfkeyext_address(SADB_X_EXT_ADDRESS_DST_FLOW, &dflow_ska
   , "pfkey_addr_dflow", text_said, extensions))
    {
return FALSE;
    }
// 构造本地子网掩码参数
    if (!pfkeyext_address(SADB_X_EXT_ADDRESS_SRC_MASK, &smask_ska
   , "pfkey_addr_smask", text_said, extensions))
    {
return FALSE;
    }

// 构造对方子网掩码参数
    if (!pfkeyext_address(SADB_X_EXT_ADDRESS_DST_MASK, &dmask_ska
   , "pfkey_addr_dmask", text_said, extensions))
    {
return FALSE;
    }

// 构造协议参数
    if (!pfkeyext_protocol(transport_proto
   , "pfkey_x_protocol", text_said, extensions))
    {
return FALSE;
    }
// 添加SADB结束信息, 发送内核, 处理回应
    return finish_pfkey_msg(extensions, "flow", text_said, NULL);
}

7.2.7 增加SA

// 可进行增加和替换SA操作
// 各种SA操作就是构造SADB数据包, 发送给内核, 然后接收内核回应, SADB数据包构造比较麻烦,
// 但都是标准例程, 可见UNPv1e3
static bool
pfkey_add_sa(const struct kernel_sa *sa, bool replace)
{
struct sadb_ext *extensions[SADB_EXT_MAX + 1];
bool success = FALSE;

// 构造消息头, 根据replace参数确定是增加还是替换操作
    success = pfkey_msg_start(replace ? SADB_UPDATE : SADB_ADD, sa->satype
         , "pfkey_msg_hdr Add SA"
         , sa->text_said, extensions);

// 构造失败返回
if(!success) return FALSE;

// 构造SADB结构参数:SPI, 回放窗口, 认证算法, 加密算法等
    success = pfkey_build(pfkey_sa_build(&extensions[SADB_EXT_SA]
      , SADB_EXT_SA
      , sa->spi /* in network order */
      , sa->replay_window, SADB_SASTATE_MATURE
      , sa->authalg, sa->encalg, 0)
     , "pfkey_sa Add SA", sa->text_said, extensions);
    if(!success) return FALSE;

// 构造SADB结构参数: 源地址
    success = pfkeyext_address(SADB_EXT_ADDRESS_SRC, sa->src
          , "pfkey_addr_s Add SA"
          , sa->text_said, extensions);
    if(!success) return FALSE;

// 构造SADB结构参数: 目的地址
    success = pfkeyext_address(SADB_EXT_ADDRESS_DST, sa->dst
          , "pfkey_addr_d Add SA", sa->text_said
          , extensions);
    if(!success) return FALSE;

    if(sa->authkeylen != 0) {
// 构造SADB结构参数: 认证密钥
success = pfkey_build(pfkey_key_build(&extensions[SADB_EXT_KEY_AUTH]
           , SADB_EXT_KEY_AUTH
           , sa->authkeylen * BITS_PER_BYTE
           , sa->authkey)
         , "pfkey_key_a Add SA"
         , sa->text_said, extensions);
if(!success) return FALSE;
    }

    if(sa->enckeylen != 0) {
// 构造SADB结构参数: 加密密钥
success = pfkey_build(pfkey_key_build(&extensions[SADB_EXT_KEY_ENCRYPT]
           , SADB_EXT_KEY_ENCRYPT
           , sa->enckeylen * BITS_PER_BYTE
           , sa->enckey)
         , "pfkey_key_e Add SA"
         , sa->text_said, extensions);
if(!success) return FALSE;
    }

#ifdef NAT_TRAVERSAL
    if(sa->natt_type != 0) {
// 构造SADB结构参数: NAT穿越类型
success = pfkey_build(pfkey_x_nat_t_type_build(
      &extensions[SADB_X_EXT_NAT_T_TYPE]
      , sa->natt_type),
         "pfkey_nat_t_type Add ESP SA"
         , sa->text_said, extensions);
DBG(DBG_KLIPS
     , DBG_log("setting natt_type to %d\n", sa->natt_type));
if(!success) return FALSE;

if(sa->natt_sport != 0) {
// 构造SADB结构参数: NAT穿越源端口
   success = pfkey_build(pfkey_x_nat_t_port_build(
      &extensions[SADB_X_EXT_NAT_T_SPORT]
      , SADB_X_EXT_NAT_T_SPORT,
      sa->natt_sport)
         , "pfkey_nat_t_sport Add ESP SA"
         , sa->text_said, extensions);
   DBG(DBG_KLIPS
       , DBG_log("setting natt_sport to %d\n", sa->natt_sport));
   if(!success) return FALSE;
}

if(sa->natt_dport != 0) {
// 构造SADB结构参数: NAT穿越目的端口
   success = pfkey_build(pfkey_x_nat_t_port_build(
      &extensions[SADB_X_EXT_NAT_T_DPORT]
      , SADB_X_EXT_NAT_T_DPORT
      , sa->natt_dport)
         , "pfkey_nat_t_dport Add ESP SA"
         , sa->text_said, extensions);
   DBG(DBG_KLIPS
       , DBG_log("setting natt_dport to %d\n", sa->natt_dport));
   if(!success) return FALSE;
}

if(sa->natt_type!=0 && !isanyaddr(sa->natt_oa)) {
// 构造SADB结构参数: NAT穿越OA参数
   success = pfkeyext_address(SADB_X_EXT_NAT_T_OA, sa->natt_oa
         , "pfkey_nat_t_oa Add ESP SA"
         , sa->text_said, extensions);
   DBG(DBG_KLIPS
       , DBG_log("setting nat_oa to %s\n", ip_str(sa->natt_oa)));
   if(!success) return FALSE;
}
    }
#endif
// 添加SADB结束信息, 发送内核, 处理回应
    return finish_pfkey_msg(extensions, "Add SA", sa->text_said, NULL);
}

7.2.8 SA归组

static bool
pfkey_grp_sa(const struct kernel_sa *sa0, const struct kernel_sa *sa1)
{
struct sadb_ext *extensions[SADB_EXT_MAX + 1];

// 和前面类似, 依次构造SADB数据头(GRPSA命令类型), SPI, 目的地址, SATYPE2,
// EXT_SA2, 目的地址2和结束符, 然后发送内核, 这是直接将所有过程串一起写了
return pfkey_msg_start(SADB_X_GRPSA, sa1->satype
, "pfkey_msg_hdr group", sa1->text_said, extensions)

    && pfkey_build(pfkey_sa_build(&extensions[SADB_EXT_SA]
     , SADB_EXT_SA
     , sa1->spi /* in network order */
     , 0, 0, 0, 0, 0)
, "pfkey_sa group", sa1->text_said, extensions)

&& pfkeyext_address(SADB_EXT_ADDRESS_DST, sa1->dst
, "pfkey_addr_d group", sa1->text_said, extensions)

&& pfkey_build(pfkey_x_satype_build(&extensions[SADB_X_EXT_SATYPE2]
, sa0->satype)
, "pfkey_satype group", sa0->text_said, extensions)

    && pfkey_build(pfkey_sa_build(&extensions[SADB_X_EXT_SA2]
     , SADB_X_EXT_SA2
     , sa0->spi /* in network order */
     , 0, 0, 0, 0, 0)
, "pfkey_sa2 group", sa0->text_said, extensions)

&& pfkeyext_address(SADB_X_EXT_ADDRESS_DST2, sa0->dst
, "pfkey_addr_d2 group", sa0->text_said, extensions)

&& finish_pfkey_msg(extensions, "group", sa1->text_said, NULL);
}

7.2.9 删除SA

static bool
pfkey_del_sa(const struct kernel_sa *sa)
{
struct sadb_ext *extensions[SADB_EXT_MAX + 1];
// 和前面类似, 依次构造SADB数据头(DELETE命令类型), SPI, 源地址, 目的地址,
// 和结束符, 然后发送内核, 这是直接将所有过程串一起写了
return pfkey_msg_start(SADB_DELETE, proto2satype(sa->proto)
, "pfkey_msg_hdr delete SA", sa->text_said, extensions)

    && pfkey_build(pfkey_sa_build(&extensions[SADB_EXT_SA]
     , SADB_EXT_SA
     , sa->spi /* in host order */
     , 0, SADB_SASTATE_MATURE, 0, 0, 0)
, "pfkey_sa delete SA", sa->text_said, extensions)

&& pfkeyext_address(SADB_EXT_ADDRESS_SRC, sa->src
, "pfkey_addr_s delete SA", sa->text_said, extensions)

&& pfkeyext_address(SADB_EXT_ADDRESS_DST, sa->dst
, "pfkey_addr_d delete SA", sa->text_said, extensions)

&& finish_pfkey_msg(extensions, "Delete SA", sa->text_said, NULL);
}

7.2.10 执行命令

/* programs/pluto/sysdep_linux.c */
// 这是系统相关的, 就只对linux有效, 这是执行一个shell命令脚本来启动或停止连接
bool
do_command_linux(struct connection *c, struct spd_route *sr
   , const char *verb, struct state *st)
{
// shell命令空间
    char cmd[1536];     /* arbitrary limit on shell command length */
    const char *verb_suffix;

    /* figure out which verb suffix applies */
    {
        const char *hs, *cs;
// 主机类型
        switch (addrtypeof(&sr->this.host_addr))
        {
            case AF_INET:
                hs = "-host";
                cs = "-client";
                break;
            case AF_INET6:
                hs = "-host-v6";
                cs = "-client-v6";
                break;
            default:
                loglog(RC_LOG_SERIOUS, "unknown address family");
                return FALSE;
        }
// 地址参数
        verb_suffix = subnetisaddr(&sr->this.client, &sr->this.host_addr)
            ? hs : cs;
    }

    /* form the command string */
    {
// 各种命令参数空间
        char
            nexthop_str[sizeof("PLUTO_NEXT_HOP='' ")+ADDRTOT_BUF],
            me_str[ADDRTOT_BUF],
            myid_str[IDTOA_BUF],
            srcip_str[ADDRTOT_BUF+sizeof("PLUTO_MY_SOURCEIP=")+4],
            myclient_str[SUBNETTOT_BUF],
            myclientnet_str[ADDRTOT_BUF],
            myclientmask_str[ADDRTOT_BUF],
            peer_str[ADDRTOT_BUF],
            peerid_str[IDTOA_BUF],
            peerclient_str[SUBNETTOT_BUF],
            peerclientnet_str[ADDRTOT_BUF],
            peerclientmask_str[ADDRTOT_BUF],
            secure_myid_str[IDTOA_BUF] = "",
            secure_peerid_str[IDTOA_BUF] = "",
            secure_peerca_str[IDTOA_BUF] = "",
            secure_xauth_username_str[IDTOA_BUF] = "";

        ip_address ta;

nexthop_str[0]='\0';
if(addrbytesptr(&sr->this.host_nexthop, NULL)
    && !isanyaddr(&sr->this.host_nexthop))
{
     char *n;
     strcpy(nexthop_str, "PLUTO_NEXT_HOP='");
     n = nexthop_str + strlen(nexthop_str);
     addrtot(&sr->this.host_nexthop, 0,
      n, sizeof(nexthop_str)-strlen(nexthop_str));
     strncat(nexthop_str, "' ", sizeof(nexthop_str));
}

        addrtot(&sr->this.host_addr, 0, me_str, sizeof(me_str));
        idtoa(&sr->this.id, myid_str, sizeof(myid_str));
        escape_metachar(myid_str, secure_myid_str, sizeof(secure_myid_str));
        subnettot(&sr->this.client, 0, myclient_str, sizeof(myclientnet_str));
        networkof(&sr->this.client, &ta);
        addrtot(&ta, 0, myclientnet_str, sizeof(myclientnet_str));
        maskof(&sr->this.client, &ta);
        addrtot(&ta, 0, myclientmask_str, sizeof(myclientmask_str));

        addrtot(&sr->that.host_addr, 0, peer_str, sizeof(peer_str));
        idtoa(&sr->that.id, peerid_str, sizeof(peerid_str));
        escape_metachar(peerid_str, secure_peerid_str, sizeof(secure_peerid_str));
        subnettot(&sr->that.client, 0, peerclient_str, sizeof(peerclientnet_str));
        networkof(&sr->that.client, &ta);
        addrtot(&ta, 0, peerclientnet_str, sizeof(peerclientnet_str));
        maskof(&sr->that.client, &ta);
        addrtot(&ta, 0, peerclientmask_str, sizeof(peerclientmask_str));

secure_xauth_username_str[0]='\0';
if (st != NULL && st->st_xauth_username) {
  size_t len;
strcpy(secure_xauth_username_str, "PLUTO_XAUTH_USERNAME='");

  len = strlen(secure_xauth_username_str);
  remove_metachar(st->st_xauth_username
    ,secure_xauth_username_str+len
    ,sizeof(secure_xauth_username_str)-(len+2));
  strncat(secure_xauth_username_str, "'", sizeof(secure_xauth_username_str)-1);
}

        srcip_str[0]='\0';
        if(addrbytesptr(&sr->this.host_srcip, NULL) != 0
           && !isanyaddr(&sr->this.host_srcip))
        {
            char *p;
            int   l;
            strncat(srcip_str, "PLUTO_MY_SOURCEIP=", sizeof(srcip_str));
            strncat(srcip_str, "'", sizeof(srcip_str));
            l = strlen(srcip_str);
            p = srcip_str + l;

            addrtot(&sr->this.host_srcip, 0, p, sizeof(srcip_str));
            strncat(srcip_str, "'", sizeof(srcip_str));
        }

        {
            struct pubkey_list *p;
            char peerca_str[IDTOA_BUF];

            for (p = pubkeys; p != NULL; p = p->next)
                {
                    struct pubkey *key = p->key;
                    int pathlen;

                    if (key->alg == PUBKEY_ALG_RSA && same_id(&sr->that.id, &key->id)
                        && trusted_ca(key->issuer, sr->that.ca, &pathlen))
                        {
                            dntoa_or_null(peerca_str, IDTOA_BUF, key->issuer, "");
                            escape_metachar(peerca_str, secure_peerca_str, sizeof(secure_peerca_str));
                            break;
                        }
                }
        }
// 构造shell命令, 具体执行脚本是_updown
        if (-1 == snprintf(cmd, sizeof(cmd)
      , "2>&1 "   /* capture stderr along with stdout */
      "PLUTO_VERSION='1.1' "    /* change VERSION when interface spec changes */
      "PLUTO_VERB='%s%s' "
      "PLUTO_CONNECTION='%s' "
      "%s"      /* possible PLUTO_NEXT_HOP */
      "PLUTO_INTERFACE='%s' "
      "PLUTO_ME='%s' "
      "PLUTO_MY_ID='%s' "
      "PLUTO_MY_CLIENT='%s' "
      "PLUTO_MY_CLIENT_NET='%s' "
      "PLUTO_MY_CLIENT_MASK='%s' "
      "PLUTO_MY_PORT='%u' "
      "PLUTO_MY_PROTOCOL='%u' "
      "PLUTO_PEER='%s' "
      "PLUTO_PEER_ID='%s' "
      "PLUTO_PEER_CLIENT='%s' "
      "PLUTO_PEER_CLIENT_NET='%s' "
      "PLUTO_PEER_CLIENT_MASK='%s' "
      "PLUTO_PEER_PORT='%u' "
      "PLUTO_PEER_PROTOCOL='%u' "
      "PLUTO_PEER_CA='%s' "
      "PLUTO_CONN_POLICY='%s' "
      "%s "
      "%s "       /* PLUTO_MY_SRCIP */
      "%s"        /* actual script */
      , verb, verb_suffix
      , c->name
      , nexthop_str
      , c->interface->ip_dev->id_vname
      , me_str
      , secure_myid_str
      , myclient_str
      , myclientnet_str
      , myclientmask_str
      , sr->this.port
      , sr->this.protocol
      , peer_str
      , secure_peerid_str
      , peerclient_str
      , peerclientnet_str
      , peerclientmask_str
      , sr->that.port
      , sr->that.protocol
      , secure_peerca_str
      , prettypolicy(c->policy)
      , secure_xauth_username_str
      , srcip_str
      , sr->this.updown == NULL? DEFAULT_UPDOWN : sr->this.updown))
        {
            loglog(RC_LOG_SERIOUS, "%s%s command too long!", verb, verb_suffix);
            return FALSE;
        }
    }

DBG(DBG_CONTROL, DBG_log("executing %s%s: %s"
, verb, verb_suffix, cmd));

    {
        /* invoke the script, catching stderr and stdout
         * It may be of concern that some file descriptors will
         * be inherited. For the ones under our control, we
         * have done fcntl(fd, F_SETFD, FD_CLOEXEC) to prevent this.
         * Any used by library routines (perhaps the resolver or syslog)
         * will remain.
         */
__sighandler_t savesig;
        FILE *f;

savesig = signal(SIGCHLD, SIG_DFL);
// 读取shell命令执行结果
f = popen(cmd, "r");

        if (f == NULL)
        {
            loglog(RC_LOG_SERIOUS, "unable to popen %s%s command", verb, verb_suffix);
     signal(SIGCHLD, savesig);
            return FALSE;
        }

        /* log any output */
        for (;;)
        {
            /* if response doesn't fit in this buffer, it will be folded */
            char resp[256];
// 将执行结果记录到日志
            if (fgets(resp, sizeof(resp), f) == NULL)
            {
                if (ferror(f))
                {
                    log_errno((e, "fgets failed on output of %s%s command"
                        , verb, verb_suffix));
      signal(SIGCHLD, savesig);
                    return FALSE;
                }
                else
                {
                    passert(feof(f));
                    break;
                }
            }
            else
            {
                char *e = resp + strlen(resp);

                if (e > resp && e[-1] == '\n')
                    e[-1] = '\0';       /* trim trailing '\n' */
                openswan_log("%s%s output: %s", verb, verb_suffix, resp);
            }
        }

        /* report on and react to return code */
        {
            int r = pclose(f);
     signal(SIGCHLD, savesig);
// 善后处理
            if (r == -1)
            {
                log_errno((e, "pclose failed for %s%s command"
                    , verb, verb_suffix));
                return FALSE;
            }
            else if (WIFEXITED(r))
            {
                if (WEXITSTATUS(r) != 0)
                {
                    loglog(RC_LOG_SERIOUS, "%s%s command exited with status %d"
                        , verb, verb_suffix, WEXITSTATUS(r));
                    return FALSE;
                }
            }
            else if (WIFSIGNALED(r))
            {
                loglog(RC_LOG_SERIOUS, "%s%s command exited with signal %d"
                    , verb, verb_suffix, WTERMSIG(r));
                return FALSE;
            }
            else
            {
                loglog(RC_LOG_SERIOUS, "%s%s command exited with unknown status %d"
                    , verb, verb_suffix, r);
                return FALSE;
            }
        }
    }
    return TRUE;
}

...... 待续 ......

你可能感兴趣的:(职场,休闲)

《投行人生》读书笔记小蘑菇的树洞
《投行人生》----作者詹姆斯-A-朗德摩根斯坦利副主席40年的职业洞见-很短小精悍的篇幅，比较适合初入职场的新人。第一部分成功的职业生涯需要规划1.情商归为适应能力分享与协作同理心适应能力，更多的是自我意识，你有能力识别自己的情并分辨这些情绪如何影响你的思想和行为。2.对于初入职场的人的建议，细节，截止日期和数据很重要截止日期，一种有效的方法是请老板为你所有的任务进行优先级排序。和老板喝咖啡的好
2022-04-18 Apbenz
语重心长的和我说，不要老是说不行，人至而立之年危机四伏，内在的，外在的，感觉就是心力憔悴，让人无所适从。面对职场的无情，突然好羡慕干体力劳动的外卖小哥。难道命运是想让我去送外卖了吗？干体力活才能让我活下去？fastadmin打卡成功,淘宝金币任务完成。ㅏㅓㅗㅜㅡㅣㅐㅔㅑㅕㅛㅠㅢㅒㅖY行。야자여자요리우유의사얘기예
上班族可以做线上副业兼职有哪些？盘点7个适合上班族做的副业兼职！高省APP大九
对于许多上班族来说，工资往往不能满足他们的生活需求，因此许多人开始寻找副业来增加收入。以下是一些适合普通人的副业赚钱路子，希望能给您带来一些灵感。1、做好物推荐现在很多职场人其实有大量的个人时间，只不过这些个人时间比较碎片化，他们不能够很好的利用起来，其实可以利用这些碎片化的时间去做副业，比如做好物推荐。在网上有很多的平台，比如头条抖音等等都开通了一个商品的分销功能，只要你发布相关的视频或者文章，
2020年学习什么知识比较好？互联网行业依然是发展较佳编程仔
2019年余额已不足，不少职场人心里也在盘点这一年的工作得失，琢磨新一年的奋斗策略，是继续冲刺还是换个跑道？今年跳槽更难吗？image互联网行业一直以相对较丰厚的薪酬和广阔的发展前景吸引着各界人才。但最近，互联网行业寒冬、互联网企业裁员等话题再次引起热议。正在从前些年的高速发展期转向发展调整期的互联网行业真的步入了“寒冬”？该行业依旧具有吸引力吗？什么职位又最热门呢？image互联网行业仍保持较高
研究表明，中年人“失业”成为了趋势，关键原因有这4点舒山有鹿
01在职场中，一直存在这么一个定律——35岁中年失业定律。很多人都特别疑惑，35岁还未到中年期，为什么人们会把“中年”跟“失业”挂钩呢？有句话，说得很现实：“35岁之前辞职，叫跳槽；35岁之后辞职，叫失业。”一般来说，35岁失业和40岁失业的本质是差不多的。只要他们还未升到管理层，便被单位辞退，就证明他们只能“另谋出路”了。况且，随着环境的愈发复杂，行业问题的频频发生，线下商业的不景气，那中年人找
极度休闲的一天淡泊孤峰
国庆国庆，普天同庆。在家躺着看大家游山玩水，长辈走亲戚，我的微信一天没几条消息，标准结局，习惯了。哈利波特系列电影真不错，童年总幻想着像主角哈利一样，像《龙族》少年楚子航浪迹江湖，风云天下。而现在却败给华为ICT大赛题还有永无止境的代码视频，唉，真可笑！
2020年最新程序员职业发展路线指南，超详细！编程流川枫 11 编程语言程序员互联网 IT 职业
【文章来源微信公众号：每天学编程】01、程序员的特性技术出身的职场人特性很明显，与做市场、业务出身的职场人区别尤其明显。IT行业中常见的一些职场角色：老板、项目经理、产品经理、需求分析师、设计师、开发工程师、运维工程师等。开发工程师具有如下特征：1、逻辑思维清晰、严谨和细腻；但是有时不容易转弯，有些程序员容易较劲、钻牛角尖。2、性格偏内向、不善于沟通、表达和交际；但是在网络聊天工具上，有些显为幽默
40岁的java程序员，还有出路吗？ cesske java 开发语言
目录前言一、现状与挑战二、出路与机遇三、案例分析与启示四、结语前言40岁Java程序员的出路：挑战与机遇并存在科技日新月异的今天，IT行业始终保持着高速的发展态势，而Java作为其中的重要一员，其地位依然稳固且充满挑战。对于一位40岁的Java程序员而言，面对职业生涯的“中年危机”，是否还有出路？本文将从多个维度探讨这一问题，旨在为这一群体提供思考和启示。一、现状与挑战职场竞争加剧随着技术的不断发
【Death Note】网吧战神之7天爆肝渗透测试死亡笔记_sqlmap在默认情况下除了使用 char() 函数防止出现单引号 2401_84561374 程序员笔记
网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。需要这份系统化的资料的朋友，可以戳这里获取一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！特殊服务端口2181zookeeper服务未授权访问
2020-03-24 艺鹰空间设计
从欧美的复古奢华，到现代极简的北欧风，一个太沉闷，一个略单调，设计师梁博，在自己的作品中融入一点点的复古元素，即能保留现代风格的清爽和功能上的便利，又可以收获复古的奢华和优雅，简直是太完美的搭配！古典风格住宅，设计师重新设计，厨房和起居室结合在一起，走廊和厨房起居室之间的墙从地板到天花板变成了一个透明隔断，给空间带来了更多的空气和光线。主卧室的设计颇有高级酒店的味道，左侧设置了休闲椅，右侧则有办公
看的信息越来越多，我却越来越焦虑了…… 灰咖儿
01看的信息越多，我感到越来越焦虑不知道为什么，有了手机作为消遣，却让人越来越感到焦虑。抖音、快手、知乎、小红书、、今日头条、喜马拉雅、得到……手机里装着越来越多的APP，每一个打开都是扑面而来的信息，除了纯粹的消遣，还为了能够学点东西、提高自己。但是要学的东西实在太多了，大到国际形势、国内经济、历史人文，小到股市分析、楼市信息、潮装搭配、美妆教学、生活技巧、健身诀窍、职场生存，每一个似乎都值得一
莆田鞋十大良心微商推荐，莆田鞋推荐微商排名一览表腕表鞋屋
莆田鞋是广受欢迎的一种休闲鞋，因其舒适耐穿而备受消费者喜爱。在如今的微商市场中，有许多卖家代理莆田鞋，但是有些卖家并不那么负责，售卖的鞋子品质堪忧。因此，今天我们就来盘点一下莆田鞋的十大良心微商，为大家推荐一些靠谱的卖家。微信:726865(下单赠送精美礼品)1.小尼鞋铺小尼鞋铺是一家专注于莆田鞋销售的微商店铺，主打高品质的鞋子，深受用户好评。2.快乐小屋快乐小屋作为一个专业的莆田鞋代理店，拥有丰
手机小游戏开发红匣子实力推荐
随着智能手机的普及，手机小游戏已经成为人们日常生活中不可或缺的一部分。从简单的消除游戏到复杂的策略游戏，手机小游戏为玩家提供了丰富的娱乐体验。本文将为您介绍手机小游戏开发的基本概念、工具和技术。开发-联系电话：13642679953（微信同号）1.游戏类型手机小游戏可以分为多种类型，如益智游戏、休闲游戏、动作游戏、策略游戏等。开发者可以根据自己的兴趣和技能选择合适的游戏类型进行开发。2.开发工具手
十年坚持做一件事，是怎样一种体验作家格格
01今天，偶然看到了雨果奖得主郝景芳的故事。之前，我只觉得她是清华才女，天赋异能。今天才发现，原来她惊人的才华背后，也有不为人知的付出与汗水。许多人知道“郝景芳”这个名字，都是从2016年的雨果奖开始。但很少有人知道，在那之前，她其实已经坚持写作了十年。如果说在校读博还能为她提供比较宽松的环境（尽管她学的是和写作完全无关的经济管理），毕业后进入职场，写作便成为一桩难以继续的事情。拿着四千块的工资，
期待2021 宝藏姑娘王婷
即将到来的2021年，将是我自己坚持早起修炼硬本领的第7年。我感激这几年的清晨时光，这段时光里有我对自己的全部承诺，我立志要做的事情，都走向了趋于理想的状态，这几年拼命的硬核修炼阶段，帮助我拉开了职场中我与别人的差距，我也成了专业领域那个最年轻走向管理岗位的人。几年前我也抱怨，为什么别人会这么想我，为什么这件事情会如此理解我，利用早起时光沉淀自己，疯狂读书写作学习输入与输出，我渐渐意识到之前的所有
火箭少女Yamy出道最大敌意来自老板？遭遇职场PUA，该如何应对柔力量
01从Yamy发的微博中我们可以知道，她虽然在网上总被人说“丑”、“年纪大”，但是她都会用作品说话来肯定自己却没想到这两年来公司老板徐明朝对她的态度忽冷忽热，两极分化十分严重甚至在员工大会上背着她和其他员工对她进行人身攻击。会议内容被好心的同事偷偷录下来给Yamy后，她忍受不了提出了解约却被老板以“情况了解，不要作死”回绝了这件事持续发酵，昨日19点，老板徐明朝也在公众平台发声信中态度相当诚恳，言
致即将逝去的2020年斯丹钰
婚姻生活没有想象中那么完美…有时候特别痛恨小时候受的那些教育为什么要被灌输：结婚就好了结婚根本不是那么一件容易的事情…结婚是一种全新生活方式的开始是每一个人学习的新课程很讨厌传统思想中：女人的价值不就是为了生儿育女的吗！我觉得女人哪怕你不是想走所谓的事业型但是你一定要拥有一技之长无论你身在职场，还是想退隐江湖哪天再回来…至少你能在这个时代和这个社会生存下去那时候再来谈你的精神你要的所有其它的东西不
06月04日或许你也这样想
躺下来就已经是凌晨了，感觉真的很疲惫，还有好多好多被交代的任务没完成，大脑混乱眼皮也不听使唤耷拉下来，黑眼圈也不知道掉到哪里去了…只感觉一身的疲惫，作为一个心思敏感的职场小白我真的觉得这段时间身体是如此的煎熬精神是如此的压抑，晚上回来从八点多加班到十一点多，一整天都对着电脑脸也开始变得蜡黄剪了短发头发也油的更快了，说话也变得如此的小心翼翼，这应该是初入职场正常的状态吧，这个时候就愈发需要陪伴和沟通
职场内卷，太累了！7个方法让你“破局”（收藏）张涔汐
文|张涔汐上上个周，涔汐做了一场直播，关于个人如何快速成长的话题。涔汐实力宠粉，把直播干货分享给大家了。话不多说，上干货。我们先思考一个问题，为什么有些人在职场三年五载，还是老样子呢？因为他们总是指望别人能教他，就如同《天道》的王庙村村民，没事儿往教堂跑，指望上帝保佑发财，期待高人指点脱贫致富一个道理。如果你想要在短短时间内，获得成长。01摒弃指望别人教你成长的观念，保持成长思维很多人面试的过程中
类似拳头游戏的官网有哪些除了拳头游戏官网还有哪些好用？会飞滴鱼儿
免费在线游戏网站为我们的日常休闲娱乐提供了丰富多样的游戏体验。有些游戏平台相当优质，同时还提供实时动态、活动福利等。现在让我们一起探寻哪些免费在线游戏网站值得你投入时间和精力，沉浸在游戏的世界中，畅玩各种好玩的游戏。2024最火的免费游戏网站排行榜大全───┅┈━━━━━━━━┅┈─────────────Top1──────────游戏名字：游戏豹官网-特点-：手机游戏门户网站日活跃量：1.3w
王政君：职场大忌，你对我“好”，我便对你好沧笙踏歌Yolanda
一只是个普通人在历史这个职场上，有很多女人，混得特别好，原因主要有以下几种：1.长的美：美的惊艳了历史，参见四大美女。适合做公关，前台等工作。2.才华横溢者：李清照，鱼玄机，秦淮八艳等。适合文案，编辑类工作。3.政治手腕：吕雉，武则天，太平公主等。适合做领导，雷厉风行。4.贤良淑德：马皇后，长孙皇后等。适合做贤内助，看似温柔，实则刚强。但是对于大部分女人来说，她们可能既不太漂亮，也不太丑，更没多少
Elaine 100天职场进化 | 2分钟小测试，让你知道你的能力优势！职场E姐
人们应当如何了解自己的能力优势呢？你可以通过工作观察法，从过去的工作中找到隐藏的线索。1、你最喜欢工作的哪些部分？2、最不喜欢工作的哪些部分？3、如果不考虑经济问题，你最喜欢做的三件工作或事情是什么？思考他们之间有什么共性？4、在工作中，你对什么最有兴趣去学习？并且学习得非常不错，有很明显的成果？5、在工作中，你对哪些事情感觉困难？哪些学得非常认真但总是很吃力而且掌握不好？6、除了你现在的工作，你
如何处理好同事之间的关系一米六男模
从毕业到职场的转变，就好像是走向人生的另一个模式-生存模式。同事之间的关系，关切到我们未来自身的发展。在职场上，脑子时刻处于急转弯的状态，应付着周围不同的人际关系。身在职场让我懂得一点，那就是，人与人之间的利益就是:价值等价交换。当然，只有妥善的处理好自己人际关系，才能让自己的职场之路更加的顺畅。当然，也并非都是如此。进入公司的几个月以来，大家的真诚相待，让我明白，人与人之间的相互信任，是友好相处
人在单位，要是你有这几个举动，相信你一辈子都只能身处“底层” 舒山有鹿
职场，那是每个人都避免不了的话题。你要谋生，那么你就要去给老板打工；你要成家立业，那你最基本的就是要找到工作；你要过上好日子，那你还是要去混职场。身为一个打工人，相信我们最期望的，应该就是早日升职加薪。可是，在这复杂的时代当中，升职加薪听起来很平常，可要想实现这个目标，那是很难的。你会发现，你的老板就动动嘴皮子，下面的员工就得拼死拼活为他干活；你会发现，你的老板总是提拔那些不怎么优秀的摸鱼者，却把
《生活》——浮世心镜 2023-10-14 零下1度的刺猬
周末的休息的日子总是让人感到很是惬意，一方面是有着轻松的感受为主，另一方面也是因为心境的调整作用，泡上一茶壶的金骏眉，而后沉浸平静的心境当中，任由时间自由的流淌，好似这个世界就是这样安详宁静，久违的舒适感受慢慢荡漾开来。算算上次有这样泡茶休闲的时刻，好像已经过去有个把月的时间了，我发现自己说说不想着忙碌和奔波了，但其实还是在不知不觉的被带入到社会发展的快节奏当中去，多数时候我还是不够慢下来，还是会
跟领导谈加薪？这3点你做不好，再多口舌也没用！哈默老师
在职场中，每个人都希望自己能够涨薪水，早点升职，挣更多的钱。一般来说，涨工资这件事情都掌握在领导手里，只要领导愿意给你提薪，你的工资肯定低不了，节节高升没问题。但是，对于领导来说，一方面他们事情很多，有时候意识不到要给你涨工资；另一方面，如果你不主动提的话，他们也可能会装傻，毕竟这与他实际利益并没有很大联系，领导们总是想着多一事不如少一事。那么，员工就必须要懂得为自己争取权益。当你觉得自己的工资，
变态单职业手游网站有哪些单职业版本手游网站排行榜大全会飞滴鱼儿
免费在线游戏网站为我们的日常休闲娱乐提供了丰富多样的游戏体验。有些游戏平台相当优质，同时还提供实时动态、活动福利等。现在让我们一起探寻哪些免费在线游戏网站值得你投入时间和精力，沉浸在游戏的世界中，畅玩各种好玩的游戏。2024最火的免费游戏网站排行榜大全───┅┈━━━━━━━━┅┈─────────────Top1──────────游戏名字：游戏豹官网-特点-：手机游戏门户网站日活跃量：1.3w
初入职场之漏洞百出—2020-11-22 Sail2019
这是正式入职的第22天，很慌张，越是慌张越是漏洞百出。我今年已经30岁，一直在当学生，这是我正式工作的开始。30岁才初入职场，很多东西才开始学习，原来觉得很简单的事情，现在却手忙脚乱。确实应了一句话，永远没有真正的换位思考。原来以为那些工作自如、生活自如的偶像是付出了10倍努力，现在才知道也学他们付出了更多我们所不知的努力、精力，也积累了很多属于自己的财富。现在不多谈前辈，就谈我自己。我们昨天课题
如何找到自己的优势小小世界大大精彩
今天来跟大家聊一聊如何寻找自我优势的话题！首先发现优势有什么意义呢？如果只是弥补自己的短板只是会让自己成为一个普通人，而如果发掘自己的优势并将它发挥到极致的时候才能够脱颖而出。那么问题来了，在职场中很多时候我们不清楚自己擅长什么，优势到底在哪？今天就来帮助大家解决如何寻找自己的优势的问题，闲话少叙，直接来干货！1.成就事件法。首先在纸上记下曾经你觉自己做过的有成就或者别人认可的三件事。然后问自己为
对职场新人来说，这些坑绝对不能踩！凝海心理
对职场新人来说，试用期有哪些常见坑绝对不能踩？1、对同事过于热情新人在试用期里，一定要把握好人际关系这个度，和同事之间从陌生到熟悉是一个循序渐进的过程，切不可急于求成，否则只会适得其反。2、“草莓族”不受欢迎典型的“草莓族”，经不起任何挫折和打击。团队需要的是可以一起并肩作战的战友，而不是可爱的洋娃娃或是需要呵护照料的花骨朵。尽快把自己看成是社会人、职业人，你所做的所表现的，不再是由着自己的性子来
Dom 周华华 JavaScript html
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml&q
【Spark九十六】RDD API之combineByKey bit1129 spark
1. combineByKey函数的运行机制 RDD提供了很多针对元素类型为(K,V)的API，这些API封装在PairRDDFunctions类中，通过Scala隐式转换使用。这些API实现上是借助于combineByKey实现的。combineByKey函数本身也是RDD开放给Spark开发人员使用的API之一首先看一下combineByKey的方法说明：
msyql设置密码报错：ERROR 1372 (HY000): 解决方法详解 daizj mysql 设置密码
MySql给用户设置权限同时指定访问密码时，会提示如下错误： ERROR 1372 (HY000): Password hash should be a 41-digit hexadecimal number；问题原因：你输入的密码是明文。不允许这么输入。解决办法：用select password('你想输入的密码');查询出你的密码对应的字符串，然后
路漫漫其修远兮吾将上下而求索周凡杨学习思索
王国维在他的《人间词话》中曾经概括了为学的三种境界古今之成大事业、大学问者，罔不经过三种之境界。“昨夜西风凋碧树。独上高楼，望尽天涯路。”此第一境界也。“衣带渐宽终不悔，为伊消得人憔悴。”此第二境界也。“众里寻他千百度，蓦然回首，那人却在灯火阑珊处。”此第三境界也。学习技术，这也是你必须经历的三种境界。第一层境界是说，学习的路是漫漫的，你必须做好充分的思想准备，如果半途而废还不如不要开始。这里，注
Hadoop(二)对话单的操作朱辉辉33 hadoop
Debug： 1、 A = LOAD '/user/hue/task.txt' USING PigStorage(' ') AS (col1,col2,col3); DUMP A; //输出结果前几行示例： (>ggsnPDPRecord(21),,) (-->recordType(0),,) (-->networkInitiation(1),,)
web报表工具FineReport常用函数的用法总结（日期和时间函数）老A不折腾 finereport 报表工具 web开发
web报表工具FineReport常用函数的用法总结（日期和时间函数）说明：凡函数中以日期作为参数因子的，其中日期的形式都必须是yy/mm/dd。而且必须用英文环境下双引号(" ")引用。 DATE DATE(year,month,day):返回一个表示某一特定日期的系列数。 Year:代表年，可为一到四位数。 Month:代表月份。
c++ 宏定义中的##操作符墙头上一根草 C++
#与##在宏定义中的--宏展开 #include <stdio.h> #define f(a,b) a##b #define g(a) #a #define h(a) g(a) int main() { &nbs
分析Spring源代码之，DI的实现 aijuans spring DI 现源代码
(转) 分析Spring源代码之，DI的实现 2012/1/3 by tony 接着上次的讲，以下这个sample [java] view plain copy print
for循环的进化 alxw4616 JavaScript
// for循环的进化 // 菜鸟 for (var i = 0; i < Things.length ; i++) { // Things[i] } // 老鸟 for (var i = 0, len = Things.length; i < len; i++) { // Things[i] } // 大师 for (var i = Things.le
网络编程Socket和ServerSocket简单的使用百合不是茶网络编程基础 IP地址端口
网络编程;TCP/IP协议网络:实现计算机之间的信息共享,数据资源的交换协议:数据交换需要遵守的一种协议,按照约定的数据格式等写出去端口:用于计算机之间的通信每运行一个程序，系统会分配一个编号给该程序，作为和外界交换数据的唯一标识 0~65535 查看被使用的
JDK1.5 生产消费者 bijian1013 java thread 生产消费者 java多线程
ArrayBlockingQueue：一个由数组支持的有界阻塞队列。此队列按 FIFO（先进先出）原则对元素进行排序。队列的头部是在队列中存在时间最长的元素。队列的尾部是在队列中存在时间最短的元素。新元素插入到队列的尾部，队列检索操作则是从队列头部开始获得元素。 ArrayBlockingQueue的常用方法：
JAVA版身份证获取性别、出生日期及年龄 bijian1013 java 性别出生日期年龄
工作中需要根据身份证获取性别、出生日期及年龄，且要还要支持15位长度的身份证号码，网上搜索了一下，经过测试好像多少存在点问题，干脆自已写一个。 CertificateNo.java package com.bijian.study; import java.util.Calendar; import
【Java范型六】范型与枚举 bit1129 java
首先，枚举类型的定义不能带有类型参数，所以，不能把枚举类型定义为范型枚举类，例如下面的枚举类定义是有编译错的 public enum EnumGenerics<T> { //编译错，提示枚举不能带有范型参数 OK, ERROR; public <T> T get(T type) { return null;
【Nginx五】Nginx常用日志格式含义 bit1129 nginx
1. log_format 1.1 log_format指令用于指定日志的格式，格式： log_format name(格式名称) type(格式样式) 1.2 如下是一个常用的Nginx日志格式： log_format main '[$time_local]|$request_time|$status|$body_bytes
Lua 语言 15 分钟快速入门 ronin47 lua 基础
- - 单行注释 - - [[ [多行注释] - - ]] - - - - - - - - - - - 1. 变量 & 控制流 - - - - - - - - - - num = 23 - - 数字都是双精度 str = 'aspythonstring'
java-35.求一个矩阵中最大的二维矩阵 ( 元素和最大 ) bylijinnan java
the idea is from: http://blog.csdn.net/zhanxinhang/article/details/6731134 public class MaxSubMatrix { /**see http://blog.csdn.net/zhanxinhang/article/details/6731134 * Q35 求一个矩阵中最大的二维
mongoDB文档型数据库特点开窍的石头 mongoDB文档型数据库特点
MongoDD: 文档型数据库存储的是Bson文档-->json的二进制特点：内部是执行引擎是js解释器，把文档转成Bson结构，在查询时转换成js对象。 mongoDB传统型数据库对比传统类型数据库：结构化数据，定好了表结构后每一个内容符合表结构的。也就是说每一行每一列的数据都是一样的文档型数据库：不用定好数据结构，
[毕业季节]欢迎广大毕业生加入JAVA程序员的行列 comsci java
一年一度的毕业季来临了。。。。。。。。正在投简历的学弟学妹们。。。如果觉得学校推荐的单位和公司不适合自己的兴趣和专业，可以考虑来我们软件行业，做一名职业程序员。。。软件行业的开发工具中，对初学者最友好的就是JAVA语言了，网络上不仅仅有大量的
PHP操作Excel – PHPExcel 基本用法详解 cuiyadll PHP Excel
导出excel属性设置//Include classrequire_once('Classes/PHPExcel.php');require_once('Classes/PHPExcel/Writer/Excel2007.php');$objPHPExcel = new PHPExcel();//Set properties 设置文件属性$objPHPExcel->getProperties
IBM Webshpere MQ Client User Issue (MCAUSER) darrenzhu IBM jms user MQ MCAUSER
IBM MQ JMS Client去连接远端MQ Server的时候，需要提供User和Password吗？答案是根据情况而定，取决于所定义的Channel里面的属性Message channel agent user identifier (MCAUSER)的设置。 http://stackoverflow.com/questions/20209429/how-mca-user-i
网线的接法 dcj3sjt126com
一、PC连HUB (直连线)A端：（标准568B）：白橙，橙，白绿，蓝，白蓝，绿，白棕，棕。 B端：（标准568B）：白橙，橙，白绿，蓝，白蓝，绿，白棕，棕。二、PC连PC （交叉线）A端：(568A)：白绿，绿，白橙，蓝，白蓝，橙，白棕，棕； B端：（标准568B）：白橙，橙，白绿，蓝，白蓝，绿，白棕，棕。三、HUB连HUB&nb
Vimium插件让键盘党像操作Vim一样操作Chrome dcj3sjt126com chrome vim
什么是键盘党？键盘党是指尽可能将所有电脑操作用键盘来完成，而不去动鼠标的人。鼠标应该说是新手们的最爱，很直观，指哪点哪，很听话！不过常常使用电脑的人，如果一直使用鼠标的话，手会发酸，因为操作鼠标的时候，手臂不是在一个自然的状态，臂肌会处于绷紧状态。而使用键盘则双手是放松状态，只有手指在动。而且尽量少的从鼠标移动到键盘来回操作，也省不少事。在chrome里安装 vimium 插件
MongoDB查询（2）——数组查询[六] eksliang mongodb MongoDB查询数组
MongoDB查询数组转载请出自出处：http://eksliang.iteye.com/blog/2177292 一、概述 MongoDB查询数组与查询标量值是一样的，例如，有一个水果列表，如下所示： > db.food.find() { "_id" : "001", "fruits" : [ "苹
cordova读写文件（1） gundumw100 JavaScript Cordova
使用cordova可以很方便的在手机sdcard中读写文件。首先需要安装cordova插件：file 命令为： cordova plugin add org.apache.cordova.file 然后就可以读写文件了，这里我先是写入一个文件，具体的JS代码为： var datas=null;//datas need write var directory=&
HTML5 FormData 进行文件jquery ajax 上传到又拍云 ileson jquery Ajax html5 FormData
html5 新东西：FormData 可以提交二进制数据。页面test.html <!DOCTYPE> <html> <head> <title> formdata file jquery ajax upload</title> </head> <body> <
swift appearanceWhenContainedIn:(version1.2 xcode6.4) 啸笑天 version
swift1.2中没有oc中对应的方法： + (instancetype)appearanceWhenContainedIn:(Class <UIAppearanceContainer>)ContainerClass, ... NS_REQUIRES_NIL_TERMINATION; 解决方法：在swift项目中新建oc类如下： #import &
java实现SMTP邮件服务器 macroli java 编程
电子邮件传递可以由多种协议来实现。目前，在Internet 网上最流行的三种电子邮件协议是SMTP、POP3 和 IMAP，下面分别简单介绍。　　◆ SMTP 协议　　简单邮件传输协议(Simple Mail Transfer Protocol,SMTP)是一个运行在TCP/IP之上的协议，用它发送和接收电子邮件。SMTP 服务器在默认端口25上监听。SMTP客户使用一组简单的、基于文本的
mongodb group by having where 查询sql qiaolevip 每天进步一点点学习永无止境 mongo 纵观千象
SELECT cust_id, SUM(price) as total FROM orders WHERE status = 'A' GROUP BY cust_id HAVING total > 250 db.orders.aggregate( [ { $match: { status: 'A' } }, { $group: {
Struts2 Pojo（六） Luob. POJO strust2
注意：附件中有完整案例 1.采用POJO对象的方法进行赋值和传值 2.web配置 <?xml version="1.0" encoding="UTF-8"?> <web-app version="2.5" xmlns="http://java.sun.com/xml/ns/javaee&q
struts2步骤 wuai struts
1、添加jar包 2、在web.xml中配置过滤器 <filter> <filter-name>struts2</filter-name> <filter-class>org.apache.st