#!/bin/bash
by:key1088
time1=`date -d '-1 days' +%d/%b/%Y` #昨天的时间,与apache日志时间一样的格式
time2=`date +%Y%m%d -d '-1 days'` #昨天的时间,年月日 例:2011/02/11
echo $time2 >> /stats/ipstream
awk -v day="$time1" '$4~day{print}' /usr/local/apache/logs/access_log|awk '{print $1}'|sort|uniq|wc -l >> /stats/ipstream
iptables之7层过滤封QQ、MSN、P2P
环境vmware-NAT连接上网。
192.168.2.0 192.168.20.0
clent —–>eth0-[linux]-eth1——-[nat]—-intener
by:key1088
准备
1.内核源码
2.iptables 源码
3.netfilter-L7 filter
4.l7-protocols
安装
1.给内核打补丁.编译内核。我使用的2.6.28的内核。
patch -pl < /root/netfilter-layer7-v2.22/kernel-2.6.25-2.6.28-layer7-2.22.patch
编译内核
make menuconfig
选项
General setup —
Prompt for development and/or incomplete code/drivers
Networking —
Networking options —
Network packet filtering framework (Netfilter) —
Core Netfilter Configuration —
<M> Netfilter connection tracking support
<M> "layer7" match support
Layer 7 debugging output
IP: Netfilter Configuration —
<M>FULL NAT #别忘记这个不然没有nat table
make
make moduls_install
make install
2.安装Layer 7协议
cd l7-protocols-2009-05-28/
make install
3.编译iptables
./configure –with-ksoure=/usr/src/linux-2.6.28/
make
make install
4.检测。重启选择启动那个内核。
iptables -V #你的iptables 版本
iptables -m layer7 –help #看看有layer7选项吗
lsmod|grep layer7 #看看有相应的模块吗
iptables -t nat -L #其他tables能不能用。
iptables -t mangle -L
iptables -L
5.测试
iptables -t nat -A POSTROUTING -s 内网ip -j SNAT –to 外防火墙IP #客户端能正常上网,上QQ
iptables -t mangle -I PREROUTING -m layer –l7proto qq -j DROP #退下QQ,看看能不能使用。
6.相应语法
iptables -t mangle -I PREROUTING -m layer7 –l7proto edonkey -j DROP
iptables -t mangle -I PREROUTING -m layer7 –l7proto bittorrent -j DROP
iptables -t mangle -I PREROUTING -m layer7 –l7proto qq -j DROP
iptables -t mangle -I PREROUTING -m layer7 –l7proto msnmessenger -j DROP
iptables -t mangle -I PREROUTING -m layer7 –l7proto xunlei -j DROP
iptables -t mangle -I PREROUTING -m layer7 –l7proto kugoo -j DROP
iptables -t mangle -I PREROUTING -m layer7 –l7proto yahoo -j DROP
参考地址:
http://lzy821218.blog.51cto.com/209800/307349
Squid是一种在Linux系统下使用的优秀的代理服务器软件,很多时候都用到它。代理性能也很棒。
开始吧:
by:key1088
squid代理分为三种
1.传统代理
2.透明代理
3.反向代理(web加速)
下面一一简单讲解,也便于自己以后记忆,网上很多教程都是过时的,建议还是去官方看看权威的。
squid在那?官方下载。
我用的是squid-3.0.STABLE25
tar xvf squid-3.0.STABLE25.tar.gz
cd squid-3.0.STABLE25
./configure --prefix=/usr/local/squid --enable-linux-tproxy --enable-linux-netfilter --localstatedit=/cache
make
make install
1.传统代理
客户端浏览器 修改代理端口
http_port 3128
2.透明代理
要使用透明代理,编译的时候必须添加--enable-linux-tproxy --enable-linux-netfilter
图:
192.168.2.0 192.168.20.0
clent ----->eth0-[linux]-eth1-------
透明代理就是用防火墙把访问80的数据重定向到squid代理端口上面
iptables 端口转发只能在nat上面设置
所以我们要使用SNAT
客户端设置:
网关:squid服务器的ip
DNS:正常DNS
服务器:
首先开启透明模式
http_port 3128 transparent
echo 1 > /proc/sys/net/ipv4/ip_forward
用iptables开启NAT转换,现在客户端就能上网了。
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth1 -j SNAT --to 192.168.20.128
端口转发80-->3128
iptables -t nat -A PREROUTING -s 192.168.2.0/24 -p tcp --dport 80 -j REDIRECT --to-ports 3128
3.反向代理(web加速)
用squid 为web服务器( apache nginx lighttpd)提供加速
写主要的配置
一个站点的时候:
cache_peer 127.0.0.1 patent 80 0 no-query originserver
http_port 192.168.2.1:80 accel defaultsite=192.168.2.1
apache:
listen 127.0.0.1:80 #这样和192.168.2.1:80不冲突
如果是其他的web server。监听127.0.0.1就可以
同服务器多个站点
Virtual Host :
acl our_sites dstdomain www.shoujizt.com wap.shoujizt.com
cache_peer_access myAccel allow our_sites
cache_peer_access myAccel deny all
cache_peer 127.0.0.1 parent 80 0 no-query originserver name=myAccel login=PASS
http_port 192.168.2.1:80 accel vhost
更多的反向代理配置详细请看
http://wiki.squid-cache.org/ConfigExamples Reverse Proxy (Acceleration)
以上就是三种代理方式,只是把主要用到的东西写上去,大体框架就是这些。
上面配置都是写上去的,难免有错误。如有什么错误,及改正请给予留言。
#转载请注明出处 hi.baidu.com/key1088
by:key1088
red5是一种开源免费的服务器端软件,用于flash流媒体服务,有5大功能
* 将音频(mp3)和视频(flv)转换成流
* 录像(输出为flv格式)
* 共享对象(这个比较爽)
* 视频直播(flv格式)
* 远程调用
1.安装
下载百度或google一下,就行。
red5是纯java的。所以要安装java平台,安装jdk,sun官方下就行。
注意版本,1.6或1.5都行。1.7不支持应用。
安装jdk很简单,我用的centos 5.5.。
如果你用源码安装,要下载apache-nat。
2.调试
设置环境变量,源码jdk的需要,rpm的就不需要了。
服务器必须要连接外网,因为要下载测试应用。
我下载的选项是other。为tar.gz包,直接解压就可以用了。
shell>chmod +x *.sh
shell>./red5.sh
一直输出,没有错误就差不多吧。
3.访问。
http://$ip:5080 测试能访问吗。
http://$ip:5080/installer/ 安装测试应用。你是什么版本的jdk就选择什么版本的。
http://$ip:5080/demos/ 测试选项。你可以选择你测试的东西。
http://$ip:5080/demos/BallControl.html 共享对象
上面这个应用,效果为。你打开多个浏览器,连接成功后。
移动任意一个窗体内的图标,其他窗体内的图标也会一起移动。
测试OK。
前些日子在VMWare上安装CentOS时,没有选装GNOME桌面组件,最近忽然想加上,不想通过网络方式安装,折腾了半天从本地给装上了,备忘一下
1、如果连接上网络,可以直接使用yum groupinstall "GNOME Desktop Environment"
2、本地安装方式:
a)将光盘加载到本地 mount /dev/cdrom /mnt/cdrom
b)在/etc/yum.repos.d/目录下,有两个文件
CentOS-Base.repo和CentOS-Media.repo
其中CentOS-Base.repo记录着网络上的yum源的地址和路径信息等
CentOS-Media.repo记录着可以从本地作为yum源的介质和路径。
修改CentOS-Media.repo
[c5-media]
name=CentOS-$releasever - Media
baseurl=file:///media/CentOS/
file:///media/cdrom/
file:///media/cdrecorder/
file:///mnt/cdrom #增加这句
gpgcheck=1
enabled=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-beta
编辑完成后保存,执行以下命令
yum –disablerepo=* –enablerepo=c5-media update
c)执行yum –disablerepo=* –enablerepo=c5-media grouplist 查看哪些组件可以选装(X Window System和GNOME Desktop Environment);
执行yum –disablerepo=* –enablerepo=c5-media groupinstall "GNOME Desktop Environment",
如果提示 Error: Missing Dependency: libgaim.so.0 is needed by package nautilus-sendto ,
则在光盘CentOS目录下执行rpm -Uvh nautilus-sendto-0.7-5.fc6.i386.rpm,
如果提示有依赖关系,加上–nodeps选项,再执行yum –disablerepo=* –enablerepo=c5-media groupinstall "GNOME Desktop Environment"即可,
安装GNOME的时候,yum会自动按照依赖关系把X Window安装上去的。
d)启动gnome desktop命令:startx
编译Mysql时configure: error: No curses/termcap library found 的错误解决方法
在编译Mysql时
./configure –prefix=DIR
,如果出现了以下错误:
……
checking for tgetent in -ltermcap… no
checking for termcap functions library… configure: error: No curses/termcap library found
debian:
说明 curses/termcap 库没有安装
apt-cache search curses | grep lib
安装 libncurses5-dev ,然后重新运行配置
apt-get install libncurses5-dev
centos:
光盘里面有libtermcap包,安装就OK。
可怜,debian源里面居然没有。
wget http://geco.phys.columbia.edu/~rubab/iraf/termcap-compat_1.2.3_i386.deb
wget http://geco.phys.columbia.edu/~rubab/iraf/libc5_5.4.46-15_i386.deb
wget http://geco.phys.columbia.edu/~rubab/iraf/ldso_1.9.11-15_i386.deb本地服务器架构为LAMP的。以下设置多多少少会增加不多安全。
1.账号安全
禁用不需要的用户和系统账号,或者shell设置为/sbin/nologin,宿主目录为/dev/null,权限放低。
密码不能设置简单,密码最好不要与自己的信息有关系,日期、名称、电话、网址。最好为一句话,好记,又不容易被社工。
2.服务安全
禁用不需要的服务,修改常用的服务端口(自己用的话)。
3.mysql安全
在php中不要使用root连接。新建一个用户,只需要给 “增删改查” 功能。
多个数据库应创建不同的用户。除去所有远程连接权限。有必要时,关闭连接端口3306。只是本地连接的话,监听完全没有必要。
如果有mysql的0day,远程溢出也不好使。
4.php安全
如果php安全模式对现有的php程序没有影响,请开始安全模式。
禁止php函数。例如:system,passthru,dl,exec,shell_exec,popen,phpinfo,proc_open,chmod,chown,chroot,dir,opendir,readdir,scandir。前面红色的,我认为是很重要的。就算拿到webshell提权也不好提,列出文件函数也要禁止,dl这个还是比较有趣的。
5.apache安全
apache程序的uid用户,禁止登陆。
禁止某些目录执行php程序。
php网页程序,这个安全就不好说了。上传,注入,跨站。网站路径最好 “奇异”一点,后台要保护好。
6.权限设置。
chmod 700 gcc g++ perl php make 禁止一些开发工具。防止写代码编译提权(提前得到shell)。
chmod 700 wget chmod rpm yum 。。 禁止一些下载工具和权限控制程序 ,防止上传 提权程序,加执行权限。提权。
chmod 700 ping ifconfig netstat ps 。。 禁止一下系统配置命令,和网络命令。
以上就我所总结的,没有很大的0day,服务器不会被占用的。防止拿到webshell,那就是php网站程序的问题了。
如有什么地方错误,请大家指正。我也是初学者。
互联网是不安全,当今是,将来也是。加密和解密都是相对的,都是有难度系数也确定的。
GPG 有两个key,一个是公钥,一个是私钥。公钥加密,私钥解密。
要想加密,必须拥有自己或者别人的公钥key。
要想解密,必须拥有该加密文件的私钥key和密码。
简单的记录一下。
1.生成密钥对。(本机)
shell >gpg –gen-key #生成密钥对
shell>gpg -K #查看私钥
shell>gpg –list-keys #查看公钥
主要是加密种类、名称、日期、密码等
2.导出公钥。(本机)
shell>gpg –export -a -r [key1088]> pub.key #导出名字为key1088的公钥。
把生成的公钥,发送到目标电脑。
3.导入目标(目标)
shell>gpg –import [pub.key] #导入名字为pub.key的文件
shell>gpg –list-keys #查看公钥,有没有key1088公钥。
4.加密(目标)
shell>gpg -e -r [key1088] test.txt #使用key1088的公钥,加密test.txt文件 ,生成一个名字为test.txt.asc
shell>gpg [test.txt.asc] #失败!!会提示没有密钥。只有蜜月才可以解密。
把加密文件,发送到本机,进行解密。
5.解密(本机)
shell>gpg [test.txt.asc] #输入密码方可解密。
查找一个目录下的一个目录下的隐藏文件
find PATH -name ".*" -type f
name 匹配要用双引号" ".
可以查看 被rootkit 或web页面所应藏的webshell和back door。