NSA 是如何破解大量加密信息的?

近几年有谣言说 NSA 可以解密已加密网络中的大部分数据。在 2012 年,James Bamford 发布了一篇 文章,引用了匿名的 NSA 前成员的说法,他证实“NSA已经取得了计算力的突破性进展,他们有能力破解当前已公开的加密算法”。斯诺登公布的文档也暗指像一些额外的线索和文档显示,NSA已经建立了大量的基础设备来拦截和解密 VPN 流量,它至少能解密一些 NSA 想要知道的 HTTPS 和 SSH 连接。

然而,对于这些超前的工作是如何运作的,技术小组是如何判断后门或逻辑缺陷的等问题,这些文档都没有说明。2015 年 10 月 13 日,在 ACM CCS 会议的安全研究分会场,我们和 12 个同行发布了一篇技术谜题揭秘报告

Diffie-Hellman 秘钥交换算法,是我们推荐使用的防御监听的算法。它是现代密码学的基石,VPN、HTTPS 网站、邮件和许多其他的协议都用在 Diffie-Hellman。我们的报告显示,通过数理理论的交汇和糟糕的协议实现,许多现实世界里的 Diffie-Hellman 用户在面对国家级攻击时都是脆弱的。这个事实稍微有点讽刺。

如果读者里有技术狂人,就会发现一些问题:如果客户端和服务端要使用 Diffie-Hellman,它们首先需要协定一个特殊形式的大素数。为什么不能每个人都用同样的素数?似乎不用问什么原因。实际上,许多应用倾向于使用标准的或者硬编码的素数。但算法从数学家到实现者之间,会丢失一个非常重要的细节:攻击者可以执行一个单点大规模计算来破解大素数,使用该大素数的个人连接很容易丢失。

你要问计算量有多大?大概是整个二战时期破解英格玛的计算规模(相较于那时候的计算量而言)。甚至连估算难度都很棘手,因为这个算法涉及到的内容太复杂,但我们有论文给出了一些保守的估算。对于最常用的 Diffie-Hellman(1024位),花了几亿美元来建造专门的破译机器,这能够每年破解一个 Diffie-Hellman 素数。

对情报机构而言,这值得么?一旦少量的大素数被滥用,那他们可解密的连接,将会很可观。破译一个通用的 1024 位大素数,将让NSA 能解密全球三分之二的 VPN 和四分之一的 SSH 服务器。破解两个1024 位大素数,将能够被动监听上百万个 HTTPS 网站中的20%。总而言之,在大规模计算上的一次投资,使它能够监听数以兆计的加密连接。

NSA 能够负担这些投资。在斯诺登泄露的部分文件里,有一份 2013 年的黑色预算的申请,文件显示 NSA 已经将“发展突破性的密码分析能力以打击敌对方密码系统和利用网络流量”提上了日程。它显示了 NSA 的预算大约一年有100 亿美元,其中超过 10 亿被用于计算网络技术开发和几个子项目中。

基于我们已有的证据来说,我们无法确切证明 NSA 已经完成了。然而,我们提出的 Diffie-Hellman 攻击方式,相较于其他可能性,更能解释在当前已知的技术水平下如何获得大规模破解的能力。例如,斯诺登发布的文档显示了 NSA 的 VPN解密设施 通过拦截加密连接,并使用超级计算机计算已知数据来得到密钥。这套系统的设计不遗余力的收集必要的特殊数据,为攻击 Diffie-Hellman 做准备。但它不适合 AES 或其他对称加密算法。这份文档清晰是显示了 NSA 使用其他类似软硬件“移植”的技术来破解特殊目标的加密算法,但这些并没有解释 NSA 大规模被动监听 VPN 信道的能力。

一旦 Diffie-Hellman 这种不牢靠的使用方式在标准和实现中被滥用,这个问题将会影响到许多年后,甚至给现有的安全推荐和我们新的调查带来影响。与此同时,其他强大的政府也有可能实现类似的攻击,假设他们还没那么做的话。

我们的调查阐明了 NSA 两项任务间的矛盾,收集情报和保卫美国网络安全。假如我们的猜想是正确的,情报机构已经掌控了弱 Diffie-Hellman,帮忙修正这个问题仅是小小的一步而已。在防守方,NSA 推荐大家应该向椭圆曲线密码学过渡,椭圆曲线密码学没有已知的漏洞,但这一推荐在没有明确推论或证明的情况下,就被大多数人忽略了。这个问题太复杂,因为安全通过采取 NSA 推荐,表面上价值不高。看看这这个显而易见的影响:后门密码标准

这种状况让人人的安全都处于危险中。这种规模的漏洞是不加区别地影响着大家的安全,包括美国公民和公司,但我们希望,能有一种更清晰的技术,来了解 ZF 监控背后的密码机制,为大家能有更好的安全。

更多详情,请见我们的研究论文:《Imperfect Forward Secrecy: How Diffie-Hellman Fails in Practice》(更新:我们这篇论文获得了CCS 2015 最佳论文奖!)

J. Alex Halderman 是密歇根大学计算机科学与工程的助理教授,密歇根计算机安全和社会中心的主管。

Nadia Heninger 是宾夕法尼亚大学计算机与信息科学系助理教授。

NSA 是如何破解大量加密信息的?,首发于文章 – 伯乐在线

寻心10:没有人类的春天更像另外一种春天

水的书法决定了一个世界的格局。江河湖海,小溪池塘,凡水的点点滴滴,一笔一画,谁的偏旁部首,都爱建筑世界的施工,有水才有墨汁,有水才有原油。

春天为一粒行囊,打开一丝诗歌的出路,发芽。一粒山的种子,说出自己的枝枝叶叶偏旁部首一笔一画的书法组织,春天就生机了自己。

春行即兴

李华

宜阳城下草萋萋,涧水东流复向西。

芳树无人花自落,春山一路鸟空啼。

李华,唐代诗人。这首景物小诗,是诗人在春天经由宜阳时,对眼前景物有感,即兴抒发了国破山河在、花落鸟空啼的愁绪。但诗更展示了比坐着的感受更大的境界:世界无人时,它们有自己的完整。

寻心9: 平坦大道却是奇峰铺成

春天永恒也不是一件好事情,晚春就要下班。

草深, 草很资深,才有春天所有的存款。

林茂,树林花枝招展,树叶成熟如毕业证。

花落,鲜花丢下自己花瓣之力,要捧出自己的一颗心。

絮飞,没有翅膀,飞起来的,属于心。

晚春

守璋

草深烟景重,林茂夕阳微。

不雨花犹落,无风絮自飞。

守璋,南宋诗僧。

当时宋高宗曾亲书此诗而无比快乐。全诗不着一字写心灵,却情趣深妙。

首二句诗意地将世事一切皆因果相应,纳入句中,不留半点痕迹。后两句以白描手法,表现暮春花落絮飞的自然现象,却不落窠臼,揭示了宇宙万物的必然:花落并不是因为雨打而产生,絮飞也不因为风吹而出现,二者皆属于宇宙万物的必然规律。本质如此,生命无常,生命自有安排,不独花木如此,晚春如此,人也同此理。

寻心8:春天的支流牛角辫

过去的淳朴乡村,女孩子的牛角辫就像春天的支流。纯洁而朴素,没有更多的花样,恰恰这样,单调称为经久耐看的经典。

一树春风

苏东坡

一树春风有两般,南枝向暖北枝寒;

现前一段西来意,一片西飞一片东。

这是一首非常有趣的禅诗,核心意思是物我合一的哲学命题。在禅师心中,物我一体,外相山河大地即内在山河大地,大千世界即心内世界,物我已经没有分别,已完全融合。好比一棵植物,同样接受空气、阳光、水分,每一片叶子有不同的生机,但彼此又能无碍共存于同一株身体上。

世界上的事物从来都不可能独立,都共用一个世界共同的身体。所以人在世上,善待别人就是善待自己;善待万物就是在善待我们自己的生命与生存。

10 分钟服务器安全设置,Ubuntu安全设置入门

Bryan Kennedy 的《5分钟服务器安全设置》很好地介绍了对多数服务器攻击的防御对策。我们对他的方法做了一些修改,记录下来,作为推广我们的流程和最佳实践的一部分。还增加一些额外的解释,年轻的工程师们应该可以从中受益。

我每天上午检查 logwatch 邮件的时候,看到那些成百上千的登录尝试,几乎没有成功的,完全就像是一种享受。(有很多非常令人无语,比如用 1234 做 root 密码反反复复的登录)。这篇入门文章适用于 Debian/Ubuntu服务器,这是我们最喜欢的服务器发行版,通常我们这些服务器只是作为 docker 容器的宿主机,不过原理仍然适用。下一次我们再深入讲解如何保护专门用作 docker 宿主机的服务器。

在大规模系统上,当然最好是用 AnsibleShipyard 这类工具完全自动化配置。不过偶尔的,你只是搭建一台独立服务器或为一个 Ansible recipe 准备基准设置,这就是本文要涵盖的内容。

声明:本文仅仅是入门和基础,你需要根据自己的需求来扩展。

重要的事先说

我们还没给 root 设密码呢,密码要随机、要复杂。我们用一种密码管理软件的密码生成器,调至最复杂设定。PW 管理软件将密码加密保存,并且由一个很长的主密码保护着。这里提供了多项冗余措施——长、复杂、随机的密码 + 加密保存/另一个长密码保护。不管你是用 PW 管理软件或其他手段,要妥善保管密码并且要加密保存。你只有在忘了 sudo 密码时才会用到这个密码。

# passwd

* 注:在 HNRedit 上有很多关于 root 密码的讨论,值得一读。

下一步就需要更新软件库并升级系统、应用最新的补丁。我们后面有个章节专门介绍如何自动安装安全更新。

apt-get update
apt-get upgrade

添加用户

永远不要以 root 登录服务器。在用户名方面我们跟 Bryan 遵循类似的惯例,但是你可以根据自己的喜好使用任何惯例。在小团队里,大家共用一个用户名不是问题;但是队伍再大一些的话,最好是给不同的用户设定不同的权限级别,只给精心挑选的少数用户赋予 sudo 权限。

useradd deploy
mkdir /home/deploy
mkdir /home/deploy/.ssh
chmod 700 /home/deploy/.ssh

给用户 deploy 配置你喜欢的 shell,这里我们用 bash:

usermod -s /bin/bash deploy

记住, chmod 700 表示“所有者可以读、写、执行”。我们现在还在 root 帐号下,马上就要将此文件夹设为属于 deploy 用户和 deploy组,只有这个用户对  .ssh 文件夹有完全控制权。

使用 ssh key 验证

我们倾向于避免用密码登录服务器。Bryan 当初那份指南发表后,关于这个话题有很多讨论,但我愿意加入这个阵营。下面是一些要点:

  1. ssh keys 比密码更好,因为它包含并要求更多信息;
  2. 密码可以被暴力破解,猜测一个公钥基本上不可能,可以认为是完美的安全措施;
  3. 电脑丢失了怎么办?是的,你的私钥到了别人手里。不过废除 ssh-key 很容易,只需要将公钥从 authorized_keys 里删除。你还应该给你的私钥加上安全的、足够长的密码短语。见下一条;
  4. 以上这些都好用的前提是:必须用安全的、足够长的密码短语来保护你的私钥。重要的事情至少说两遍。

好了,我们把服务器密码验证抛到脑后吧。把你电脑里的 id_rsa.pub 的内容复制到服务器的 authorized keys 文件里。

vim /home/deploy/.ssh/authorized_keys

我们基于 Linux 安全性的“最少特权原则”来设置正确的权限:

chmod 400 /home/deploy/.ssh/authorized_keys
chown deploy:deploy /home/deploy -R

chmod 400 将文件权限设为“仅所有者可读”。第二个命令 chown ,使用户 deploy 和 组 depoly 成为它们家目录的所有者。我们先前提到过这个,记得吗?在设这这个目录权限为“所有者可以读、写、执行”的时候。

我们顺利测试 deploy 用户并设置 sudo 之后,再回来禁止 root 登录和强制实行仅密钥认证。

测试 deploy 用户、设置 sudo

我们来测试一下用 deploy登录,同时不要关闭 root 帐号的 ssh 连接以备万一。如果没有问题,我们就用 root 用户给 deploy 设置密码,因为我们没会禁用密码登录,这个密码是 sudo 的时候用的。还是用一个密码管理器来生成一个复杂随机的密码、加密保存、在团队中共享(同步加密的 pw 文件)。

passwd deploy

设置 sudo 很简单,用这个命令打开 sudo 文件:

visudo

如下,在 root 用户下面添加 %sudo 组(在sudo文件里,用户名没有前缀,组名需要用 %前缀)。确保用 # 注释掉其他任何用户和组,新安装的系统一般不会有,但还是确认一下好。

root    ALL=(ALL) ALL
%sudo   ALL=(ALL:ALL) ALL

然后把 deploy 用户添加到 sudo 组。

usermod -aG sudo deploy

deploy 现在具备了sudo 权限,一般来说你需要退出并重新登录来使用这个权限,不过有个避免这个步骤的小伎俩:

exec su -l deploy

这个命令为 deploy 用户启动了一个新的交互 shell,并带有了 sudo 组的新权限。你需要输入 deploy 的密码,但是感觉上比注销再登录回来能更快些。「译者注:这个感觉我没有 😉 」

编辑注释:
感谢 Reddit 上的 ackackacksyn 指出来,不应该直接把用户加到 sudoer (即sudo file),而是要加入到具备 sudo 权限的组,文章已经按此修改。
感谢 /r/netsec 的 FredFS456 指出来,需要注销并重新登录才能使新加入的组权限生效,文章已经按此修改。

强制 ssh 密钥登录

服务器的 ssh 设置在这里:

vim /etc/ssh/sshd_config

你需要修改或添加下面这几行,我觉得它们相当的简单明了。你可以填上你用来登录的 IP ,我们有个用 OpenVPN 搭建的公司 VPN 服务器,带加密验证的,所以为了连接到服务器,你必须首先连上 VPN 。

PermitRootLogin no
PasswordAuthentication no
AllowUsers deploy@你的VPN或固定IP
AddressFamily inet

重新启动 ssh 服务来让这些规则生效,你很可能需要重新连接(这回就用 deploy 用户吧!)

service ssh restart

* 注:感谢 HN 上的 raimue 和 mwpmaybe 指出来,我们在后面要安装的 fail2ban现在还不支持 IPv6,所以我在 ssh_config 里添加了 AddressFamily inet 这一行,意思是只允许 IPv4。

设置防火墙

这里有两个阵营,一个直接使用 iptables,另一个使用一款叫做 ufw 的简便接口(在 iptables 之上的一个层,目的是简化操作)。对安全来说,简单化通常是更好的,DigitalOcean ufw 真心不错而且绝不只是个基本工具。

Ubuntu 上 ufw 是默认安装的,在 Debian 上只需要执行一下 sudo apt-get install ufw 。

默认情况下 ufw 应该拒绝一切入站连接、允许全部出站连接,但是这行不通(那样的话你怎么连进来呢?)。我们来一步步地显式允许我们视为OK的连接。

首先我们需要保证支持 IPV6 ,只需打开配置文件:

vim /etc/default/ufw

允许 IPv6

IPV6=yes

其它要打开的端口我们用 ufw 工具在命令行添加,这非常方便:

sudo ufw allow from 你的IP to any port 22
sudo ufw allow 80
sudo ufw allow 443
sudo ufw disable
sudo ufw enable

第一个命令是个冗余措施,保证只有从我们的 IP 才能连接 ssh标准端口,第二个和第三个用来打开 http 和 https 。

注:感谢 chrisfosterelli 指出来,如果你要设置第一条规则(你应该),要确保你有个固定 IP 或安全的 VPN,动态 IP 会在某天把你锁到服务器外面。[ 译者注:这是废话,但比较贴心,呵呵 ]

自动应用安全更新

我喜欢这个,安全更新并不完美,但及时安装补丁还是更好些。

apt-get install unattended-upgrades
vim /etc/apt/apt.conf.d/10periodic

照下面的例子编辑文件10periodic :

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Download-Upgradeable-Packages "1";
APT::Periodic::AutocleanInterval "7";
APT::Periodic::Unattended-Upgrade "1";

我基本同意 Bryan 的说法,禁用普通更新,只启用安全更新。因为你不希望一个应用在你毫无察觉的时候 down 掉,只是因为某个软件包被更新了。相反,安全更新很少在应用程序方面产生噩梦般的依赖问题。

vim /etc/apt/apt.conf.d/50unattended-upgrades

这样修改文件:

Unattended-Upgrade::Allowed-Origins {
    "Ubuntu lucid-security";
    //"Ubuntu lucid-updates";
};

到这里你已经准备就绪了。

fail2ban

1087378

Fail2ban 软件包主动拦阻可疑行为。根据官方 wiki,Fail2ban 扫描日志文件(比如:/var/log/apache/error_log ),通过在 iptables 添加规则来阻止那些有恶意迹象(多次密码错误,探寻漏洞等…)的 IP。

Fail2Ban 自带多种协议过滤器(HTTPS, STMP, SSH等),它还与 ApacheNginx等众多服务集成,提供一定程度的 DDoS 或暴力破解防护。不过使用的时候要小心,因为封堵 DDoS 攻击的源地址,可能也会阻止正常用户一段时间。它带有大量的配置选项,包括集成SendMail,当某个 IP 被封堵时发出邮件通知。你尽可以点击上述这些链接,看看哪些选项对你的胃口。

我们来安装这个软件,作为开始,只用默认配置来保护 ssh:

apt-get install fail2ban

双重认证

构建任何敏感系统时,双重认证(2 Factor Authentication, 2FA)不是额外的要求,而是必须的。理论上,如果你强制启用 2FA (加上以上所有措施),那么为了登录你的服务器(应用程序漏洞除外),攻击者必须:

  1. 获得你的证书来登录VPN
  2. 获得你的电脑、拿到你的私钥
  3. 获得你私钥的密码短语
  4. 获得你的电话以遍完成双重认证

这就需要跨越不少的障碍了,即使都得手了,攻击者还是需要 deploy 用户的密码才能通过 sudo 获得 root 权限,而密码可是用 AES 加密保存的。

安装这个软件包

apt-get install libpam-google-authenticator

运行这个命令来设置,根据提示配置:

su deploy
google-authenticator

2FA非常简单,而且增加了很强的一层安全性。

Logwatch

这不仅仅是个简单的小快乐和监控工具,用来事后查看服务器发生了什么。Logwatch 监控你的日志文件,经过配置后,它可以每天发送格式精美的报告邮件。邮件内容看起来非常有喜感,你会惊讶每天有那么多要进入你服务器的企图。我装这个软件包没有别的原因,就是给团队显示一下好的安全性配置有多么重要。

DigitalOcean 有一篇关于 logwatch 安装配置的详细文档,但是如果时间限制在 10 分钟以内,我们只会完成安装,然后配置 cron 计划任务来每天发送邮件。

apt-get install logwatch

添加 cron 计划任务

vim /etc/cron.daily/00logwatch

把这一行加进去:

/usr/sbin/logwatch --output mail --mailto you@example.com --detail high

完工!

好啦,完成这一切之后,你的主要漏洞关注点将是你的应用程序和服务,这完全是另一盘菜了。

10 分钟服务器安全设置,Ubuntu安全设置入门,首发于文章 – 伯乐在线

寻心7:低头看到天堂的高度

在泥泞处,很深的脚印里,有清澈的水,水穿着脚印,如同穿着靴子。而天空,在这靴子里洗澡、玩耍,最好的兼职,用作天空的儿童乐园,这就是传说的天堂,一个脚印就可以作为无限大的世界。

终日看天

守珣

终日看天不举头,桃花烂漫始抬眸。

饶君便有遮天网,透得牢关即便休。

这是首开悟诗。作者是借灵云的桃花悟道诗而开悟。作者守珣(1064-1134),浙江安吉人,宋临济宗杨岐派禅师。佛鉴慧勤禅诗法嗣,亦深得圆悟克勤禅诗赏识,世称佛灯禅师。

修行中低头,低调,终日看天不举头,却获得了身心的自由自在,为何?天,即天道,即佛性,因为佛性无处不在,无时不睹,故修禅时不用举头即可见道。桃花烂漫始抬眸,佛性大显的时候抬头即可明心见道。

寻心6: 二月早春就想少女情窦初开

那些常青藤的句子肚子里面,常常有流水的地铁在穿越漫游,无数的神仙天使与说不出来的秘密乘客,在上面快乐漂流。一旦地铁流出常青藤,就脱下隧道的衣服,绽开为小溪流的宽银幕躺着的瀑布,一场电影在流动。

绝句

志南

古木阴中系短篷,杖藜扶我过桥东。

沾衣欲湿杏花雨,吹面不寒杨柳风。

志南、南宋初期诗僧,因为这首描写二月春景的诗让人记住。

二月早春,骷髅返春。枯树的骷髅,都知道要穿新衣服。田野知道要用花朵的新饭碗,吃新鲜饭。

这首诗,前两句写诗人的行踪,后两句写诗人眼中的春光。

前两句的妙处,在雨用笔身为只会,予人以清凉幽静的美感:古木、溪水、篷船、杖藜、小桥和无事的老僧组合在一起,演奏出神奇的力量,构成一幅浑然天成的游春图。杖藜扶我过桥东,诗意地表现了汉文明哲学思想里生命的最高境界,即我们心灵所崇尚的物我合一的佳境,即天人合一。

后两句给人感觉是清新悠然:小桥东边,杏花就像烟一样,杨柳就像线一样,细雨就像酥油一样,和风就像丝一样。那杏花烟雨,欲沾人衣而不湿,快意人生;那杨柳和风,吹在人脸上,感觉凉美而不觉寒冷。其实这只是自然菜拥有的力量。

寻心5:一粒歌能走多远

一粒种子一粒歌,这粒歌能走多远?就看它心里行程安排。它首先要保持一粒冰的骨头,然后要拔出闪电作为发芽,然后金蝉脱壳,灵魂出窍,走得更远,把自己藏起来,藏在根、苗上。苗即自己的庙。

一粒种子能走多远?它走到过去,走回祖先身上,返回最先版本的自己。这样,一粒生命的灵性,在进行璀璨的旅行。

春歌

无门慧开

春有百花秋有月,夏有凉风冬有雪;

若无闲事挂心头,便是人间好时节。

 

这个作品,对于如何做人、处世、安身立命做了很好的启示。要单纯、要快乐、要自由、不要压力太大,增强心理素质,克服成长过程中不必要的恐惧因素。

圆满的人生,在每一个阶段,都有自己值得肯定的足迹。所谓圆满,都属于遗憾的艺术。每一个人,在自己的不同阶段,都会有自己的遗憾,不要紧,只要不是致命的遗憾,下一个人生阶段还来得及圆满、圆梦。

寻心4:花朵的饭碗,吃立正的面条,并用面条洗澡

一杯酒里面,挤满多少感叹号,那些感叹号被喝酒的人喝进肚子里以后,就会从嘴里爬出来,重新发芽,发出自己的声音。

很多人的心情都一样,心情就像同一种笔画,在不同的人身上,写下相同的感受。

看山,看水,山水给人的情感,其实为人自己的情感。只不过,人从山水里面,把自己的感慨取回来,就像从邮局取回自己的包裹。

同一个山水,杜牧感叹自己的心情,与李白的心情一样。

念昔游三首(其三)

杜牧

李白题诗水西寺,古木回岩楼阁风。

半醒半醉游三日,红白花开山雨中。

 

“水西寺”即天宫水西寺,是宣州泾县水西山中很有名的一座寺院。李白曾游到此,并题有《游水西简郑明府》一诗。李白诗中这么写:“清湍鸣回溪,绿竹绕飞阁;凉风日潇洒,幽客时憩泊”,写了这一山寺佳境。

蒙蒙雨雾,山花盛开,红白相间,幽香扑鼻;似醉若醒的诗人,漫步在这一带有浓烈自然野趣的景色中,显得陶然自得,心灵的到安慰。

寻心3:燕子是春天的鼠标

很多人喜欢小巷子,喜欢那里的宁静,那样古老的城市建筑,有着古典之美。实际上,是时光成就了这样的安静与美丽,也是时光雕刻了人间的怀念与伤感。

《乌衣巷》是经典水墨,经典木刻,是一支怀念的歌谣,那样淡淡的,温馨的禅意,成为了人们心灵的燕子,轻轻飞翔。

乌衣巷

刘禹锡

朱雀桥边野草生,乌衣巷口夕阳斜。

旧时王谢堂前燕,飞入寻常百姓家。

 

乌衣巷在今南京市东南,秦淮河南岸。东晋时王导、谢安等豪门世族就居住在这里。朱雀桥在乌衣巷附近,是当时的交通要道。写其今日衰败景象,写昔日繁荣,形成强烈的对照。

从前的燕子飞来,总是在王、谢等豪门世族宽敞的宅子里筑巢。如今旧世族的楼台亭阁荡然无存,燕子也只能住在寻常百姓家了。

寻心2:一朵花绽开一个寺庙

新华看世界,只为怀孕正果。鲜花的目光,都穿上香气。

寺院的春天,让游人得到沐浴。人间在寺院里的到清洗。寺院就像洗衣机,把人间洗干净。

 

开善寺

阴铿

鹫岭春光遍,王城野望通。

登临情不极,萧散趣无穷。

莺随入户树,花逐下山风。

栋里归云白,窗外落晖红。

名石何年卧,枯树几春空?

淹留惜未及,幽桂在芳丛。

 

 

这首诗以工笔写景,丛“登临情不及”说起,以“淹留惜未及”结尾,中间部分景色描写,表现对大自然风光的迷恋。

前四句着眼钟山全景,写开善寺春光遍野,诗人游兴盎然。鹫岭即灵鹫山,本为中印佛教圣地,如来曾在此讲经,因开善寺亦为佛门禅院,所以此处借指钟山。野山野水,自然的野性,才是尊重它们的生命。

后四句是全诗的精华部分,意象精妙,用词洗炼,是诗歌史上传诵的写景名句。

“淹留惜未及,幽桂在芳丛”借用《淮南小山 招隐士》中的“桂树丛生兮山之幽”“攀援桂枝兮聊淹留”“王孙兮归来,山中兮不可久留”等句,表达不能久留于此,辜负美景,深以为憾。

寻心1: 种子开门春天到

那些春天,早在冬天的时候,就用空荡荡的寂寞,守住了寒冷的阵地,在枯枝上,在田野上,在枯草上,寂寞的叽叽喳喳喊了很长的时间,终于喊来了春天,春天说出声音来,说出心灵来,说出颜色来,说出新鲜的衣服来。

种子纷纷往坑里跳,埋没自己,让自己隐没于黑暗中,然后自己开门,让自己内部的客人于世界,出来看看。
终日寻春

无尽藏比丘尼

终日寻春不见春,芒鞋踏破岭头云。

归来偶把梅花嗅,春在枝头已十分。
我们寻找人生的价值以及幸福,修行者求道,都好比寻找春天。

寻找春天的人,从清晨找到夜晚,走遍千山万水,磨破鞋底,仍然看不见春天的踪影。

心灰意懒,回到家中,庭院中早开的寒梅,清香从花朵身上泼水一样泼出来,忍不住深深地一吸,原来春天早就悄悄地绽开在寒梅枝上了。

幸福无所不在,心的大道无所不在,处处可以体会,甚至吃饭、睡觉、走路、行进之间都有道的存在,在启示世人,不要错过这些伟大的开启与暗示。