酷!學園

各位大大

小弟設定了 SSH 使用者只可以以 SFTP 登入並設了 Root Jail  以及容許以 SSH Tunnel 建立連線到服務器的其他服務，
以下是 sshd_config 的設定

Subsystem       sftp    internal-sftp
Match group remote_user
        ChrootDirectory /home/
        AllowTcpForwarding on
        ForceCommand internal-sftp -u 0002

當我把 SELinux 設定為 Disable 或 Permissive 以上的設定是沒有問題的，但當我把 SELinux 設定成 Enforcing，經過幾次的 sealert 後增加了幾個 Module 到 SELinux，在/var/log/message 及/var/log/audit/audit.log 都沒有發現錯誤的訊息了，而 /var/log/setroubleshoot 也沒有錯誤出現，但 SSH Tunnel 連線卻失敗(事實上我是用 Navicat 的ssh tunnel 連接 MySQL的)。

我的 SELinux 的設定是 Default 的，請問各位大大怎樣可以改變 SELinux 的 Loglevel 或從那裏可以知道多一點的資訊那裡違反了SELinux 的規則有待修正。

謝謝

各位大大

小弟近日因公司合併需要把兩個辦公室的服務器連起來。

網絡結構如下
總公司:
IP Range:  192.168.0.0/24
Server: Windows 2008 AD
Workstation: WinXP, Win 7

子公司:
IP Range: 192.168.0.0/24
Server IP: 192.168.0.10 (Windows 2003 AD)
Workstation: Win XP, Win 7

現在總公司的同事需要進入子公司的 Fileserver (Wiin 2003 AD)讀取資料，但因為網路重疊了而且兩邊都有服務器綁定了IP地址所以不能隨意更改IP Range，試過用SSH Tunnel Win XP 可以連到 Fileserver 及存取資料，但Win 7 就不知為何不可以接入，所以最後嘗試在子公司設置了一台OpenVPN Server。

OpenVPN 現在是用 TUN device 的設置(因為不是所有同事都需要)，當需要時才連接OpenVPN的。

OpenVPN Server 網路設定如下:
OS: CentOS 5.6
Server IP - eth0: 192.168.0.5/24
OpenVPN IP - tun0: 10.2.2.1/24


OpenClient Client 網路設定如下:
Client IP: 10.2.2.6 -10.2.2.20  /24

我在OpenVPN服務器內增加了以下 iptables 的規則:
iptables -v -A RH-Firewall-1-INPUT -i eth0 -s 192.168.0.0/24 -j ACCEPT
iptables -v -A RH-Firewall-1-INPUT -i tun0 -s 10.2.2.0/24 -j ACCEPT

iptables -v -t nat -A PREROUTING -d 192.168.0.0/24 -j NETMAP --to 10.2.2.0/24
iptables -v -t nat -A PREROUTING -i tun0 -d 10.2.2.0/24 -j NETMAP --to 192.168.0.0/24
iptables -v -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j NETMAP --to 10.2.2.0/24
iptables -v -t nat -A POSTROUTING -o tun0 -s 10.2.2.0/24 -j NETMAP --to 192.168.0.0/24

echo 1 > /proc/sys/net/ipv4/ip_forward

同事在總公司連接OpenVPN是成功的，可以ping 到 10.2.2.1，但10.2.2.10就失敗了。

請問各位大大我的 iptables 規則那裏出了錯，是不是不應用 NETMAP 呢？
如果要把 10.2.2.10 map to 192.168.0.10 或整個 10.2.2.0/24 map to 192.168.0.0/24 應該怎處理呢？

感謝各位

各位大大

小弟剛把 NT4 Domain 升級為 Windows 2008 Active Directory(PDC 由 NT4 -> 2003 -> 2008，沒有 BDC)，完成後有所 Workstation 及 其他 Server 都可以運作正常，其他 Server 的共享十分正常。

但當我在 2008 Server (ADC) 設定共享時出現了奇怪的問題，情況如下
我在 C:\ShareContent 設成共享，共用(Sharing) 權限設定為 Everyone "Full Control" "Change" "Read"，
安全(Security) 的設定是 (user) Administrator "Full Control", (group) CompanyUser "Read &execute, List folder contents, Read"。
而在 C:\ShareContent 內有三個 Folder，分別為 "Finance", "HR", "Marketing"，安全(Security) 的設定如下：

• Finance                (user) Administrator "Full Control", (group) FinanceGroup "Full Control"
• HR                        (user) Administrator "Full Control", (group) HRGroup "Full Control"
• Marketing             (user) Administrator "Full Control", (group) MarketingGroup "Full Control"

以上三個Folder的權限都沒有從父項繼承下來，以上設設置使用上是沒有問題，Marketing 的同事可以進入 Marketing 的 Folder 讀取裏面的資料，而其他也是，但Marketing 的同事可以進入 Finance 的Folder，雖然看不到裏面的資料(進入後空白一片，沒有檔案沒有folder)，但在 Windows 2000 或 2003 做相同的設置，當Marketing的同事進入Finance的Folder 時是會跳出 "拒絕存取" 的錯誤。

請問這是 Windows 2008 改用了一個 "溫柔" 的方式拒絕還是我設定出了錯誤，會不會是 Group Policy 有東西要設定呢？

謝謝

各位大大

請問怎樣可以在 CentOS 設定 cronjob 在每個月的第一個星期一執行指令呢？

謝謝

各位大大

小弟公司在用 Windows 7 64bit 英文版，安裝了 MS Office 2007 繁體版(的確是奇怪的)，發覺 Word 內的中文繁簡轉換按鈕不見了，我也試過重新注冊 TCSCCONV.DLL 系統說注冊成功，但也是用不到。請問各位是不是這個 DLL 是需要配合系統的語言(要中文)還是64bit 要用其他方法注冊的呢？

Thanks

各位大大，小弟初學 JAVA 遇到亂碼問題有請各位賜教
小弟用 NetworkInterface.getDisplayName()讀取電腦所有網絡卡的MAC address 發現當有中文出現就會亂碼 (例如藍芽網絡設備)
程式碼如下

Enumeration interfaces = NetworkInterface.getNetworkInterfaces();
while(interfaces.hasMoreElements())
{
    NetworkInterface device = (NetworkInterface) interfaces.nextElement();
    if (device.getHardwareAddress() != null && !( device.isPointToPoint() || device.isLoopback() ) )
    {
        byte[] mac = device.getHardwareAddress();
        macaddress = new String();
        for (int i = 0; i < mac.length; i++)
        {
            macaddress += String.format("%02X%s", mac[i], (i < mac.length - 1) ? ":" : "");
        }
        System.out.println("[" + device.getDisplayName() + "]" + macaddress);
        System.out.println("[" + new String(device.getDisplayName().getBytes("UTF-8")) + "]" + macaddress);
        System.out.println("[" + new String(device.getDisplayName().getBytes("Big5")) + "]" + macaddress);
 
    }
}


Output:
[Marvell Yukon 88E8057 PCI-E Gigabit Ethernet Controller #2 - Packet Scheduler Miniport]:30:F0:A3:0F:06:00
[ÂŪ޸˸m ( ӤH°ϰìºô¸ô]:00:01:64:00:00:00
[ÂŪ޸˸m ( ӤH°ϰìºô¸ô]:00:01:64:00:00:00
[????m (??H�X??????]:00:01:64:00:00:00

正確 Output 應該是:
[Marvell Yukon 88E8057 PCI-E Gigabit Ethernet Controller #2 - Packet Scheduler Miniport]:30:F0:A3:0F:06:00
[藍芽裝置 (個人區域網路) #2]:00:01:64:00:00:00
[藍芽裝置 (個人區域網路) #2]:00:01:64:00:00:00
[????m (??H�X??????]:00:01:64:00:00:00

由 device.getDisplayName() 讀出的資料應該是 utf8 的但不知為何會出現亂碼，我其實是要把資料放入treenode 內，當然放入後是亂碼，所以試print 出 console試試看而發現了問題所在。
OS 是 Windows XP 中文版，JDK 1.6.20。

請各位大大賜教，謝謝

各位大大

小弟正用 CentOS 5.2，用 RPM 安裝了 Samba 3.0.33-3.15.el5_4.1，samba 並沒有掛上 ClamAV之類的東西。
這台服務器是 P4 2.8G 1G RAM
Samba 用 Winbind 連接到 Win NT4 的PDC 核對帳戶。
運作上沒有問題，可以正常存取檔案，不過當直接打開服務器的檔案，修改後保存會很慢。
保存一個 20K 的檔案要六秒多，但用檔案總管複製檔案相同的檔案不用一秒。
其實列出檔案也有慢的情況，只有十多個檔案或目錄也要兩，三秒才出現。

客戶端是 Windows XP SP3。

不知道那裏出了問題，懇請各位指點一下。

以下是 Samba 的 Config file
[global]
        dos charset = CP950
        unix charset = CP950
        workgroup = DOMAIN_NAME
        server string = FileServer
        security = domain
        obey pam restrictions = Yes
        password server = 192.168.0.11
        log file = /var/log/samba/%m.log
        max log size = 50
        client schannel = no
        client use spnego = no
        server signing = auto
        large readwrite = no
        printcap name = /etc/printcap
        dns proxy = No
        wins support = yes
        ldap ssl = no
        idmap uid = 10001-50000
        idmap gid = 10001-50000
        template homedir = /share/public/home/%U
        winbind use default domain = Yes
        winbind enum users = Yes
        winbind enum groups = Yes
        winbind nested groups = Yes
        printing = lprng
        print command = lpr -r -P'%p' %s
        lpq command = lpq -P'%p'
        lprm command = lprm -P'%p' %j
        lppause command = lpc hold '%p' %j
        lpresume command = lpc release '%p' %j
        queuepause command = lpc stop '%p'
        queueresume command = lpc start '%p'
        dos filetimes = Yes
        allow trusted domains = yes
        template shell = /bin/false

[homes]
        comment = Home Directories
        path = %H
        read only = No
        browseable = No
        locking = no
        posix locking = no
        csc policy = disable
        share modes = no
        level2 oplocks = no

謝謝

各位大大

請問Postfix 如何防止大量郵件寄入，我見列 Yahoo 及 Gmail 防止同一個 IP 短時間內寄入大量郵件。
我已以有Dspam (類似 spam assassin) 做郵件過濾，但它好像沒有防止同一個 IP 短時間內寄入大量郵件的工能。

請各位大大賜教。

Thanks

各位大大

小弟的Server 是用postfix 的想備份每一封寄出的郵件，並想每一個人都有一個folder獨立保存。
而同事寄件時是需要以sasl 作驗證才可寄出，請問可不可以用這個登入名作分開每一個寄件人作保存。

Thanks

各位大大

請問如果由NT4 domain 成功完全升級上 win2003 AD後，workstation 登入的domain 是否要更改，或有沒有需要重新rejoin domain.

Thanks

小弟公司有一台陳年 nt4 domain server(PDC)，有一台win 2000 server。
台陳年nt4 年時已高需要退役，但很特別本公司只有一台PDC並沒有BDC的。
台win2000只是一台普通Fileserver而已，並不是DC。
現新購了win2008 server想取代 nt4，我已看過不少的文件都說要不可直接升級。
要一步步上，而且步驟亦不簡單，其間錯了亦回不了頭。
最不幸的是我從未接觸過 AD，NT4 亦不精。

所以請問各位高手小弟以下的方案是否可行。
首先假設過程中沒有使用者在使用

1. 把win 2000　設成NT4 domain BDC
2. 把win 2000 與NT4 domain 同步帳戶資料 (User data)
3. 把WIN 2000 設成PDC
4. 把NT4設成BDC
5. 把WIN2000 doamin 轉為 AD ，win2000 並且成為 AD 的 Primary Domain Controller
6. 安裝新WIN2008在新server 並設定為 Backup Domain Controller
7. 用windows 的工具 (未知是什麼) 把user data複製到win2008
8. 把Win2008轉為Primary Domain Controller，win2000 Backup Domain Controller (??)

小弟有以下疑問
1. 當win2000成為 AD 的 Domain Controller 後，是否需要 Shut Down NT4，或應該什麼時候需要shut down nt4。
2. User login 是否與NT Domain 一樣，我見到win2008的書login name 好似email address.
3. 現在用的domain 名不是AD 要求的那種，像這個"company_a"，有 "_" 這個符號的，亦沒有 ".com" 這些尾巴。
    不知dns怎樣set，如果改了，workstation 會有什麼影響，不改可以嗎。
4.  當win2008成為domain controller 後 win2000 還可以成為 backup domain controller嗎?
    在書中說，"Windows 2008 網域內的網域控制站只能夠 Windows Server 2008" 所以有此疑問。
5. 小弟對以上的步驟都有點迷糊，尤其是doamin及ad 間的變化，所以請高手能指點或糾正，以及指出有那些地方需要注意。

萬分感謝。

請問各位大大，知不知 IPCop 或 SmoothWall 有沒有 live CD version，我在official site 找不到。
如果真的沒有，有沒有其他類似的產品，我只要一個Linux 的Firewall。

Thanks

各位大大

請問有無可能在 Windows login 前就自動建立 VPN 連線(用PPTP以及所有user都可以用那個連線及已保存密碼)。

Thanks

各位大大

小弟在看前輩用cname設定DNS時只會指向自己domain的host。
就算有三十個domain的www都指向同一個ip，都會在每一個domain中先定義好才用cname指向其他host。
例如:
a-domain.com
www in a 20.200.20.1
web in cname www

b-domain.com
www in a 20.200.20.1
web in cname www

看起來的而且確明確些，但當要轉ip時就麻煩了，很多都地方要改。
因為我真的要轉ip，這些修改最少要做兩次。

想請教一下，如果所有的設定都用cname 是不是有問題。
而在觀念上是不是有錯。

Thanks

剛爬完文見到其他朋友有同一個問題，但他是兩年多前問的。
http://phorum.study-area.org/index.php/topic,34434.html

現在我又有同一個問題，又是同一個情況。
希望各位大大可以給我一些題點及賜教。

我的情況是這樣的

現有一部 MAC Pro 2008年頭出的新形號，一部 QNAP TS-109 的NAS，硬盤是WD 640GB(忘了Model Number)，
當然這兩件東西是有Gigabit Ethernet port。
而這兩件東西都連到 Linksys SD2008這個Gigabit Switch，Cable 是用 Cat5e 的線，
不是自己夾的，是街買回來的，而且是用機夾的，線長只有3米，有打圈紮起。
用FTP test transfer rate 只有 25-30MegaByte/Second。
已打啟用 Jumbo Frame 9000，速度須然已特破了 100Mbit 的速度，但比Gigabit應有的速度有些距離。

這是公司用的，我已把問題收窄到最細了，但仍不明問題在那裏，請各位大大賜教一下。

謝謝