铁威马官方最近宣布了新版的TOS 5.0系统,开始让大家实施众测,我也来凑个热闹。帮助铁威马厂家测试一下这个新的系统。笔者测试的重点是“系统的启动安装过程”这个小小的环节,对该过程将做细致的系统性测试,并准备把该过程的详细测试报告写出来。在“那是云”论坛的“铁威马”板块上发表。对于希望了解TOS 5.0系统的朋友们,希望仔细阅读每个测试章节的结论和结束语。如果你赞同本文的观点,可以在评论区表是支持。如果你不赞同本文的观点,可以在评论区提出严肃的批判。“百花齐放,百家争鸣”,大家的目的都是为了帮助铁威马厂家的新产品更上一层楼。
【第一节】
测试前的准备以及必要的知识
以下是铁威马的官方论坛的介绍[1]:
如何安装 TOS 5 Beta?
下载 TOS 5 Beta 安装包:https://download2.terra-master.com/TOS_X642.0_5.0.58_Beta_00071_2203221829.ins
或者最新版:https://download2.terra-master.com/TOS_X642.0_5.0.62_Beta_00077_2203261106.ins
登录您的 TOS,前往控制面板 > 通用设置 > 恢复出厂设置, 勾选 “恢复出厂设置” 并点击 “应用”, 以将您原先的系统清除;
您的 TNAS 将自动重启,并进入初始化安装指引页面;如果您无法进入初始化安装页面,请使用 TNAS PC 重新搜索您的 TNAS 的IP 地址,在浏览器地址栏中输入该 IP 地址进行访问;
安装过程请选择 “手动安装”模式,上传安装包,然后等待安装完成;
系统安装完成后,系统将自动重启;待系统重启后,按照页面指引完成管理员设置即可完成系统安装;
系统安装后,您需要清除浏览器缓存,否则部分系统页面有可能无法正确显示。
注意事项:
Beta 版是程序的早期版本,包含大多数主要功能,但尚未完成,可能存在一些缺陷。此版本仅发布给部分特定人群或普通大众,以进行测试和收集反馈;
Beta 版本不宜在工作或生产环境中使用,如果您的 TNAS 设备正在运行业务或者存储重要的资料,请勿参与本次测试;
由于TOS 5 的根文件系统、存储挂载路径、应用的存储位置与启动方式均与其他版本不同。您无法通过更新的方式来安装 TOS 5,而是需要重新安装系统。重新安装系统理论不会删除您硬盘上的数据,但为了安全起见,请务必提前备份您的数据;
本次发布的Beta 版本仅适用于TNAS 的 x.86 系列机型(220 系列、221 系列、420 系列、421 系列、422 系列);
您当前的 TOS 系统版本要求不能低于 4.2.09;
TOS 5 Beta 需要适配新版本的 TNAS PC (Windows OS:V5.0.4/macOS:V5.0.4) 和 TNAS Mobile (Android:V5.0.1/iOS:V5.0.1) 使用。
根据上述的铁威马官方指导,测试前的准备必须要下载 TOS 5 Beta 安装包。笔者下载的是:TOS_X642.0_5.0.58_Beta_00071_2203221829.ins 这个安装包。这是测试准备要做的第一步。
因为笔者要将测试的重点放在系统的启动安装过程,因此分析研究这个安装包中最基础的Linux内核是如何引导启动的,查找这个中的Bug是测试的目的。还有就是内核启动后基于浏览器的管理又是如何进一步安装系统的,这个过程中有无Bug和安全漏洞,等等。根据笔者的测试经验,浏览器的管理是NAS的薄弱环节,Bug和漏洞常常会在这个环节中出现。进一步地测试会针对安装过程的环节。这个环节中的Bug也不容忽视,由于Bug引起的安装失败可能会导致硬件设备变成砖头,甚至需要返厂维修。
笔者准备将现有的TOS4.2.30版本,按照第二步的要求“前往控制面板 > 通用设置 > 恢复出厂设置, 勾选 “恢复出厂设置” 并点击 “应用”, 以将您原先的系统清除”去做。因为官方在注意事项中讲到“重新安装系统理论不会删除您硬盘上的数据,但为了安全起见,请务必提前备份您的数据”。为此笔者使用“Disk Cloning/Backup Tools for Linux”工具,可以直接恢复复原TOS4.2.30系统。
在做这一步之前,笔者认为有必要先介绍一下TOS4.2.30版本的启动基本知识。该版本是通过GUN GRUB 2.02 引导Linux内核实施启动过程的,现在处于“运行状态”的内核版本是4.19.165+。获取内核版本号的方法很简单,在TOS4.2.30运行起来以后,通过ssh登录到系统,执行:uname -r 命令即可得到内核版本。
GUN GRUB 2.02的启动描述在grub.cfg文件中,笔者现在的TOS4.2.30系统的启动描述内容如下:
menuentry "UTOS-X86-S64${uefi}" --id gnulinux {
insmod mdraid1x # load raid1 support for grub
if [ -e (md/UTOSCORE-X86-S64)/boot/bzImage ]; then
echo "----------------------------"
echo "- booting from RAID system -"
echo "----------------------------"
set root=(md/UTOSCORE-X86-S64)
linux /boot/bzImage type=raid
else
echo "----------------------------"
echo "- booting form INIT system -"
echo "----------------------------"
set root=(hd0, gpt1)
linux /boot/bzImage type=usb
fi
}以上信息均为笔者的TOS4.2.30系统的公开信息。不存在任何超越权限获取信息的行为,这些必要知识只是为了在后续章节中讨论测试结果,评论测试系统的启动安装过程时,比较方便把问题描述清楚,更便于读者理解而已。
从上述的信息我们可以看到铁威马的Linux内核的启动过程仅仅执行这一个bzImage二进制文件,它会根据数据盘中是否已经设定了raid并安装了系统,而确定要执行“运行状态”或“安装状态”两种情况。通过“type=raid”或“type=usb”来告知内核。这就是铁威马内核的启动过程。
熟悉Linux系统的朋友们都知道,Linux内核启动一般由两个部分组成。内核的执行文件bzImage和初始文件系统initramfs。但铁威马内核只有一个文件,那么它的初始文件系统呢?答案很简单,铁威马厂家的设计是将初始文件系统绑定到执行文件bzImage之中了。Linux内核是容许这样构成系统的。这种做法有优点也有缺点,本文的目的是测试,不是分析铁威马内核启动设计的优缺点。对于超越本文范畴问题有兴趣的读者请自行上网查阅,这里就不做进一步讨论了。
笔者本次参加众测的重点是TOS5.0.58系统的启动和安装过程,根据上面介绍的必要知识,本文测试场景设计将主要针对“linux /boot/bzImage type=usb”这个过程中的各种情况。
后面的章节将针对每一种情况的测试场景作详细的测试报告。包括测试步骤设计,测试观察分析,测试结论,评论与建议,等等细节。对于本文的不妥之处敬请读者和铁威马厂家批评指正。
【第二节】
用TOS4.2.30系统做升级安装TOS5.0.58测试
测试步骤设计:按照官方的第二步的要求“前往控制面板 > 通用设置 > 恢复出厂设置, 勾选 “恢复出厂设置” 并点击 “应用”, 以将您原先的系统清除”,构建测试环境。通过Firefox浏览器安装TOS5.0.58系统。(当然还应当测试其他类型的浏览器,例如Chrome,Edge,IE等等。但这些不是笔者测试的重点,就暂时省略了。)
测试观察分析:启动刚刚构建的测试环境系统,观察系统内核启动信息。打开Firefox浏览器,输入IP地址(笔者为了方便测试,事先通过路由器的DHCP给硬件设备的MAC分配了固定的IP地址。今后提到“输入IP地址”,均为此种情况),发现浏览器出现了一个加载initboot的进度条,加载完成后进入初始化安装界面。此时笔者关闭浏览器,清除浏览器缓存,重新打开浏览器就再也不会出现加载initboot的进度条了。关闭系统内核重启,再次打开浏览器,又会出现加载initboot的进度条。
笔者分析认为,每次重启TOS4.2.30升级安装内核,都会出现加载initboot的进度条。由于笔者观测到这个测试的细节,于是笔者怀疑可能bug,需要进一步确认,因此笔者打开了前台浏览器的跟踪,分析为什么会只出现一次出现加载initboot的进度条,而不是每次都出现该加载。
测试结论:初次重启TOS4.2.30升级安装内核,在浏览器的跟踪记录中会发现如下信息:
filename "X64.tar"
version "V4.9.8"
hash "7bca30fa4947c2d83608f687783d1504"
url http://dl.terra-master.com/cn/PATCH/X64.tar
关闭浏览器再次启动浏览器,如果不重新启动TOS4.2.30升级安装内核,就不会再有这个跟踪记录了。
关于这个“X64.tar”是个什么东西,是笔者通过后来的测试才确认的。(在此提前给出一下,以便解说清楚笔者的测试过程。"X64.tar"这个文件其实是安装任何版本的TOS系统的Bootloader。)
笔者再次分析认为,如果不重新启动TOS4.2.30的升级安装内核,虽然只有初次打开浏览器会出现加载initboot的进度条这个现象可以确认它不是一个bug。甚至可以说是一个良好的启动设计。
但为了测试的严谨性,因为这个测试结论是笔者在“联网状态”下测试的结果,因此笔者还需要补充“断网状态”下的情况。(模拟服务器宕机条件下的安装)。于是笔者在家庭的路由器后面组成的局域网内,切断了与internet的联系,再次新启动TOS4.2.30升级安装内核,打开浏览器,输入IP地址,看看是否还能进入初始化安装界面。以后提到的“断网状态”,均是指在家庭局域网内,切断了与internet的联系的状态。
再次测试结论:在“断网状态”的情况下,启动TOS4.2.30升级安装内核,仍然可以进入初始化安装界面,正常安装TOS5.0.58系统。
评论与建议:笔者对此有些迷惑不解,用TOS4.2.30升级安装TOS5.0.58系统的过程中,联网下载“X64.tar”这个Bootloader文件其实并没有意义啊。既然“断网状态”不能下载它也可以正常安装?为什么要在“联网状态”下多此一举呢?这不是“脱了裤子放屁”吗?不知道铁威马为什么要这样做?在解开迷惑之前笔者不能置评这个问题。
【第三节】
对TOS5.0.58系统做恢复出厂设置测试
测试步骤设计:将已经安装好的TOS5.0.58系统清除“前往控制面板 > 系统 >出厂设置, 勾选 “恢复出厂设置” 并点击 “应用”, 清除系统”,构建TOS5.0.58的恢复出厂设置测试环境。通过Firefox浏览器重新安装TOS5.0.58系统。
根据【第二节】的测试经验,此次首先做“联网状态”情况的测试,然后再做“断网状态” 情况的测试。
联网状态的测试观察分析:启动刚刚构建的测试环境系统,观察系统内核启动信息。打开Firefox浏览器,输入IP地址,发现浏览器上出现了一个30秒倒计时提示从服务器加载Bootloader的画面,截屏如下:
加载完成后进入初始化安装界面。如果笔者关闭浏览器,清除浏览器缓存,重新打开浏览器就再也不会出现加上述面了。关闭系统内核重启,再次打开浏览器,初次加载又会出现上述。这与用TOS4.2.30系统做升级安装TOS5.0.58时的表现完全相同。只是告知用户要从服务器加载一个Bootloader。为了确认该Bootloader是否与TOS4.2.30版本的相同。笔者再次打开了前台浏览器的跟踪,查看此时从服务器下载的Bootloader version: 1.0.1 是什么?
测试结论:初次重启TOS5.0.58安装内核,在浏览器的跟踪记录中会发现如下信息:
filename "common_bootloader_V5.1.5.img"
hash "2681d9c63cc6c7e93597a939040907df"
url http://dl.terra-master.com/cn/PATCH/common_bootloader_V5.1.5.img
看来TOS5.0.58的Bootloader version: 1.0.1与TOS4.2.30的X64.tar升级安装使用的是不同的Bootloader。至少名称是不一样的,内容是否一样笔者不能确认。TOS4.2.30是X64.tar文件,TOS5.0.58是common_bootloader_V5.1.5.img文件。虽然bootloader不同,但两者的表现基本上是一致的,从浏览器的界面不同这一点来看,笔者猜想大概率两者的Bootloader内容是不同的。新版的Bootloader是否有bug或漏洞,还需要继续深入测试。
接下来再做“断网状态” 情况的测试。让我们看看测试的情况如何。
断网状态测试观察分析:为了保证测试的一致性,笔者重构了TOS5.0.58测试环境系统内核,观察系统内核启动信息。打开Firefox浏览器,输入IP地址,发现浏览器也还是出现了一个30秒倒计时的从服务器加载Bootloader的画面。但倒计时结束后表现出了不同于TOS4.2.30升级安装的情况。TOS5.0.58内核在“断网状态”情况下,不能进入初始化安装界面了。取而代之的是如下截图画面:
此时容许以用户手动方式加载Bootloader。笔者为了继续测试后续的情况,手动加载了common_bootloader_V5.1.5.img这个文件。测试顺利,可以成功进入初始化安装界面。
测试结论:TOS5.0.58内核“断网状态” 的表现与TOS4.2.30系统做升级安装不同。TOS5.0.58内核额外提供了这个容许用户手动加载Bootloader的界面。笔者在【第二节】的评论与建议中迷惑不解的问题,现在有了明确的答案。TOS5.0.58内核启动安装时,一定需要从服务器中获取Bootloader。如果无法获取,安装过程就不能继续完成。所以TOS5.0.58内核“断网状态”下需要提供用户手动加载Bootloader的界面。这也是Bootloader version: 1.0.1与Bootloader X64.tar的不同之处。同时笔者猜想,TOS4.2.30系统不提供这个功能肯定是它拥有内置预装的Bootloader。联网状态下实施“换装”或者叫“更新”,“断网状态”下就使用内置预装的Bootloader。这样就不需要提供户手动加载Bootloader的界面了。
根据笔者40年的计算机软硬件开发经验,认为对这个用户手动加载Bootloader的页面需要进一步的测试,查看它是否会带来安全上的漏洞。为此笔者又设计了如下的测试。
由于NASYUN的篇幅限制,请看楼下,【第四节】 【TOS5.0.58用户手动加载Bootloader页面的安全漏洞测试】,精彩继续!
【第四节】
TOS5.0.58用户手动加载Bootloader页面的安全漏洞测试
测试步骤设计:为了测试用户手动加载Bootloader页面有无安全上的漏洞,笔者需要制作一个可以在任何机器硬件上用的TOS5.0.58启动盘,模拟攻击Bootloader页面。(包括虚拟机,例如:VMware,和实体机,例如:“蜗牛星际矿渣机”等等。)根据【第一节】介绍的必要知识,制作铁威马系统的启动盘只需要两个文件即可,bzImage和grub.cfg。获取的方法也非常简单,可以直接从TOS_X642.0_5.0.58_Beta_00071_2203221829.ins 这个安装包中提取。命令如下:
tar -xf TOS_X642.0_5.0.58_Beta_00071_2203221829.ins ./boot/bzImage ./boot/grub.bz2
tar -xf grub.bz2 ./boot/grub/grub.cfg
拿到了bzImage和grub.cfg文件后,把它们放入GUN GRUB 2.02引导之中,启动盘就做好了。笔者打算使用“蜗牛星际矿渣机”实施验证这个测试设计,因此,做了一个USB启动盘。本文的目的是测试,关于具体启动盘的制作细节,已经超出了本文的范畴,就不在此介绍了。有兴趣的读者可以参考笔者在“那是云”论坛中的相关文章。
测试观察分析:在“断网状态”下,使用笔者制作的TOS5.0.58系统USB启动测试盘,启动“蜗牛星际矿渣机”。打开Firefox浏览器,输入IP地址,浏览器出现了一个30秒倒计时的从服务器加载Bootloader的画面,倒计时结束后出现了用户手动加载Bootloader的画面,继续手动加载common_bootloader_V5.1.5.img这个文件。则出现了如下截图画面:
不容许继续在“蜗牛星际矿渣机”进行安装过程了。
测试结论:TOS5.0.58的用户手动加载Bootloader测试过程“看似”没有安全漏洞。可是仔细思索一下呢?笔者认为还是有些问题的。例如:如果把这个common_bootloader_V5.1.5.img文件修改一下呢?谁能保证这个地方不出问题呢?对比TOS4.2.30的启动安装盘的Bootloader“X64.tar”,不论在“联网状态”和“断网状态”都没有开放这个界面,因此也没有这个安全漏洞的顾虑。
为了检验笔者的关于安全漏洞的猜想,笔者分析了一下common_bootloader_V5.1.5.img这个Bootloader version: 1.0.1。真是“不看不知道,一看吓一跳”。这个Bootloader中的文件都没有做任何加密处理,全部都是明码的执行脚本。笔者轻松修改了一下,轻易就可以实施在“蜗牛星际矿渣机”上安装TOS5.0.58系统了。因为笔者撰写本文是为了帮助厂家众测TOS5.0系统,对于披露如何利用“安全漏洞” 超出了本文的范畴,暂不在此讨论。对于有兴趣研究,学习有关这个问题的朋友,可以另行讨论研究。
笔者记得曾经在“那是云”的“铁威马”版块发表过一篇关于“群晖,威联通,铁威马,华芸的漏洞分析比较;与CVE公共漏洞和暴露机构”的文章[2]。有兴趣的读者可以看一看作为参考。
“浏览器管理这一部分”向来是各类NAS系统的薄弱环节。世界上各种网站被黑客攻击的新闻层出不穷。就连“那是云”论坛网站前些日子也被攻击过。相对于网站这样完全不透明的黑匣子,NAS的浏览器管理这一部分可以说是一个灰匣子,是半透明的,因为不止一个人拥有相同品牌的NAS系统。如果黑客想要查找某个品牌NAS系统的漏洞,他只要买一个就可以拆开分析研究。因此攻击NAS系统比攻击网站更容易。
对于TOS5.0.58这个Bootloader的改动,铁威马厂家内测时QA的技术人员有没有提出过“内部质疑”,有没有对用户手动加载Bootloader页面测试过模拟攻击?有没有详细的QA技术报告?厂家可以内部调查一下。
细极思恐,铁威马TOS5.0.58的这个“安全漏洞”,不只是可以轻松修改了一下Bootloader,轻易实施在“蜗牛星际矿渣机”上安装TOS5.0.58系统这么简单的问题。这里笔者想再引申一步讨论一下这个问题,因为在启动安装阶段的权限往往非常高,通常是root权限运行状态。如果此时向系统中安装一个木马呢?那么你的这个NAS系统日后就会变成人人宰割的“肉鸡”。
关于初始化安装NAS系统,笔者更倾向于“断网状态”下来做。举一个简单易懂的例子解释笔者的观点,初始化时你要输入账号,密码吧,如果处在“联网状态”,账号,密码被偷偷传递出去了呢?这种担心在“断网状态”是绝对不会发生的吧。
评论与建议:笔者在众测时为厂家发现了这个“重大的安全漏洞”隐患。建议厂家尽快修补该漏洞。选项包括:可以对Bootloader version: 1.0.1中的明码的执行脚本实施加密处理。关闭Bootloader version: 1.0.1的用户手动加载界面。恢复成TOS4.2.30的启动安装盘那样的Bootloader,等等。
【第五节】
TOS5.0.58安装过程的密码设定Bug
测试步骤设计:在安装过程的密码设定页面中,根据现在流行的趋势:密码长度,字符组成的要求规定:长度至少8个字符,至少包括1个大写字母,1个小写字母,一个数字,以及一个特殊字符。设计输入Az1$kill。该页面的截图如下:
测试观察分析:输入Security Email地址后,输入获取的验证码。但密码设定页面不接受Az1$kill这个密码。如果把它换成Az12kill去掉特殊字符,就可以执行下一步了。但安装完成后,运行过程中的安全检查会提示“密码有风险”,要求修改密码。这时可以改成Az1$kill这个密码。系统是可以接受该密码。
测试结论:笔者认为这是TOS5.0.58过程的一个Bug。猜想问题出在前台的javascript程序中。
评论与建议:这不是一个非常严重的Bug。但会影响用户体验,希望尽早修复。
【第六节】
TOS5.0.58安装过程不能100%稳定成功
测试步骤设计:测试分两种情况:(1)用TOS4.2.30系统做升级安装TOS5.0.58,(2)用TOS5.0.58系统做恢复出厂设置后重新安装。
测试观察分析:(1)用TOS4.2.30系统做升级安装TOS5.0.58的测试笔者重复做了两次,每次都能完美成功。但(2)用TOS5.0.58系统做恢复出厂设置后重新安装时,笔者的第一次安装到74%时失败了。但不用重启系统,只是在浏览器上点击刷新,就可以回到进入初始化安装界面,继续再次安装,直至成功,如果还是不成功,可再次重复此过程。为了确认测试的可重复性,笔者再次做重复测试,但这次安装到90%时失败了,再次安装才成功完成。笔者观察发现,失败点是随机的,不可重复。
测试结论:笔者认为用TOS4.2.30系统做升级安装TOS5.0.58可以稳定成功。但用TOS5.0.58系统做恢复出厂设置后重新安装时。不能保证100%稳定成功。笔者猜想这个bug可能又是与Bootloader version: 1.0.1。但笔者无法验证自己的猜想。因为失败点是随机的,不可重复。
评论与建议:根据笔者的经验,这个bug是比较难修复的。建议厂家对Bootloader version: 1.0.1进行更细致的QA测试。
【第七节】
检查TOS5.0.58运行环境的内核版本
测试步骤设计:在【第一节】测试前的准备以及必要的知识中,我们已经检查了TOS4.2.30运行环境的内核版本。TOS4.2.30内核是4.19.165+。那么TOS5.0.58运行环境的内核版本是什么呢?让我们执行uname -r 命令检查一下吧。检查的结果是:TOS5.0.58内核也是4.19.165+。也就是说:“TOS5.0.58”没有升级Linux的内核。版本TOS5.0仅仅是升级“浏览器管理这一部分”。
测试观察分析:本节内容一目了然,分析就省略了。
测试结论:似乎应当把TOS5.0.58改为TOS4.3.58更符合铁威马的版本命名规律,笔者为自己的观点提出如下论据,此结论仅仅是笔者的观点而已,不妥之处敬请批评指正。
历史的回顾:让我们来观察一下铁威马的TOS系统的版本及升级历史:
TOS4.0.X的Linux内核版本是4.4.59。
TOS4.1.X的Linux内核版本是4.13.16。
TOS4.2.X的Linux内核版本是4.19.165+
TOS5.0.X的Linux内核版本是4.19.165+
以上述观察为依据,让我们分析一下铁威马的版本命名规律:
主版本号对应Linux内核主版本号。
次版本号对应铁威马的“浏览器管理部分”。例如:4.0.X的Web管理界面与4.1.X就明显不同。4.1.X与4.2.X也是这种情况。这是大家用目共睹的。但TOS5.0.X可能要打破这个规律了。
第三版本号对应铁威马厂家的TOS系统修补的升级。
请恕笔者“直言不讳”,以下的评论可能会让铁威马厂家感到不愉快。但“忠言逆耳”,笔者参加众测的目的,是为了帮助厂家对新产品把关,对广大消费者负责。对厂家的新产品“阿谀奉承,溜须拍马”是不负责任的众测行为。笔者不记得了,哪位伟人曾经说过一句名言:“科学来不得半点虚伪和骄傲”,笔者参加众测也是这个态度。
这个“TOS 5.0众测”版本能称之为“5.0”吗?该TOS 5.0.X没并有升级Linux内核版本,仅仅给TOS4.2.X换了一个Web界面。换汤不换药,这种新瓶装旧酒的方法。是不是有点“自欺欺人”的感觉呢?笔者帮助厂家查了一下当前可以稳定运行的Linux发布的最新内核版本。情况截图:
现在已经有Linux 5.17.1的稳定内核发布了。如果铁威马不想打破自己的版本命名规律,完全可以选用Linux 5.x 内核啊。换句大白话说,与4.2.X使用完全相同的Linux内核,尽管叫做TOS5.0.X,其核心部分并没有升级。当然打破自己的版本命名规律,给新系统起什么名字那是厂家的权力,笔者无权说三道四。只能感叹一声,呵!呵!但愿消费者不要把TOS5.0.X 视为假冒伪劣产品。
其实消费者的眼睛是雪亮的,并不会受到新产品的华丽名字和推销广告词的迷惑。但如果众测人员不负责任,为新产品推销做“托儿”,就会极大地损害厂家和消费者的利益。也不符合专业精神。
【第八节】
回顾参加众测的历史事件和厂家的态度
笔者若干年前曾准备在“那是云”论坛发表“【老骥伏枥-猪年大礼包】嵌入式Linux逆向工程,剖解铁威马教程 ”。但后来仅仅是发布了一个“摘要”[3]。因为与厂家沟通发表全文时,被厂家一直拒绝至今。
这次厂家终于容许笔者发表本文了。但是笔者还是要吐槽几句,请看如下截图:
那次也是为了配合铁威马NAS新产品抢先内存的官方活动,有此截图可以证明。“那是云”网站的文章还在,也可以证明。不论文章的题目如何,从哪个角度和侧面观察评测系统,其目的都是帮助厂家检验新产品的性能,找出存在的问题,让厂家修补漏洞,改进产品。更何况笔者专门撰写了“【第四讲】关于铁威马TOS系统的优缺点和改进建议”。铁威马厂家直接枪毙了文章。根本没有机会了解笔者对产品评论。铁威马厂家的这种固步自封的傲慢态度,能开发出一流的产品吗?伟人说过“百花齐放,百家争鸣”天塌不下来。在NAS产品领域的一流产品中,也有像“群晖”,“铁威马”厂家这样活生生的例子。它们都没有枪毙过笔者的文章啊。
因此笔者这次参加众测之前,就向厂家事先提交了沟通报告“铁威马TOS 5.0众测以及分析它的启动安装过程的写作计划”[4]。并请求“那是云”论坛与厂家联系沟通。铁威马厂家的技术水平是大家有目共睹的,笔者估计这次发表的“众测结果报告”可能不会令厂家满意。所以采取了事先沟通的方法,在得到厂家同意后发表后,才参与众测的。笔者以前曾经是专业技术人员,“实话实说”是笔者的做人准则。
【结束语】
本文的所以引用,都在“参考文献”中注明了出处,以供读者查阅。有兴趣的读者可以在参考文献中直接点击链接(hyperlink)查看。
根据笔者仅仅对“TOS 5.0系统的启动安装过程”这一个小小部分测试(众测)。就发现了“重大安全漏洞”,大大小小的Bug,随机的不可重复的bug,等等。唉!这笔者该如何去赞美这个TOS 5.0系统呢?因此只能撰写这个详细的众测结果报告以飨读者。也是为了进行教学, 研究和技术交流吧。
笔者曾经在日本学习工作过若干年,在QA管理,测试报告撰写等等场合,会受到日本人办事认真严谨的影响。不知到厂家是否喜欢和接受笔者的这种态度。
不了解厂家的QA测试人员是如何管理的,对于TOS 5.0的厂方测试是否有像笔者这样的测试报告。对产品的质量有案可查。如果没有,可以把笔者的测试报告作为培训教材。
对于笔者此次参加众测,所作的工作和付出的辛勤劳动不知道厂家是否满意。不过笔者自己认为,“没有辛劳也有苦劳”是吧。
最后,笔者要感谢“那是云”论坛帮助笔者与厂家沟通,并提供场地让笔者发表文章。自从笔者2016年开始与“那是云”论坛合作以来已经六年多的时间了。笔者先后在“那是云”论坛的多个板块上发表过文章。其中包括:“Mybooklive板块”,“群晖板块”,“威联通板块”,“万由板块”,“兮克板块”和“铁威马板块”。如果整理一下的话,都可以编辑出一个“那是云论坛老骥伏枥NAS教程杂文集”了。
仅仅在“铁威马板块”这已经是第三篇文章了。可能有些文章已经“沉底”了。有些朋友没机会看到。有兴趣的读者可以在参考文献中直接点击链接(hyperlink)查看。
参考文献:
[1] 铁威马官网 https://www.terra-master.com/cn/tos5beta
[2] 【老骥伏枥-原创】群晖,威联通,铁威马,华芸的漏洞分析比较;与CVE公共漏洞和暴露机构 http://www.nasyun.com/thread-65212-1-1.html
[3] 【老骥伏枥-猪年大礼包】嵌入式linux逆向工程,剖解铁威马教程 http://www.nasyun.com/thread-64917-1-1.html
[3] 铁威马全新TOS 5全球公测,正在进行!(第6楼) “铁威马TOS 5.0众测以及分析它的启动安装过程的写作计划” http://www.nasyun.com/thread-78237-1-1.html
作者自述:
老骥伏枥是一个退休老人,在家抱孙子是主要任务。闲暇之余凭着40年的计算机软硬件开发经验和自己拥有的技术专利,为NASYUN论坛写些劲爆话题的文章来消磨时间。本人写过商业软件,也写过商业软件开源软件。有丰富的系统集成,软件开发(从各类汇编语言到高级语言)经验。在嵌入式linux逆向工程研究领域也有一定的造诣。是一个尊重知识产权,热心奉献社区论坛志愿者。此文绝对是都是本人【原创】,其目的是进行教学, 研究和技术交流,把自己的经验传授给大家。作为一个退休老人,只想发挥点余热。如果你对本文的观点有不同意见,可以回帖喷我,本人从不固步自封,固持己见。
