酷!學園

做為一位系統管理者，一定要時常注意系統的健康狀態。

前一陣子公司有位同仁的 email 密碼設的太簡單了，所以，被猜到並且被盜用來濫發垃圾信件。Mail 的 log 量又非常的大，所以也不可能每天去檢視所有的紀錄。一直到幾天後，收到有寄出的 email 被退件，而原因就是我們的 mail server 被列在某個黑名單上。我再進一步去查，才發現原來有帳號已經被盜用了好幾天。由於使用的流量/頻寬與時間都沒有太大，所以，從流量上來看，並不能很容易的察覺有異常。

其他系統方面的善後與設定我就不多著墨了。但是，我就開始思考與尋找適合的工具來幫我處理這部份的問題。在努力的尋找下(迷之音，先前不夠努力，Orz)，我找到了 pflogsumm！

由於該套件有包含在 Debian 內，所以安裝非常簡單：

    apt-get install pglogsumm

安裝好後，先寫一個 bash script，我定的路徑及檔名(/usr/local/sbin/postfix_report.sh)：

    #!/bin/sh
    PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

    pflogsumm /var/log/你的maillog檔 | formail -c -I"Subject: Mail Statistics" -I"From: pflogsumm@example.com" -I"To: 收件人@example.com" -I"Received: from mx.example.com ([192.168.xxx.xxx])" | sendmail postmaster@example.com

    exit 0

以上的 script，請將所有的 domain / email / IP，更改為適當資訊。存檔後再 chmod 即可。

Script 寫好後，現在剩下的就是如何執行，什麼時候執行？

由於資料的來源是 mail log，所以我們必須要檢視一下 mail log 的設定，不同 distribution 的 mail log 的設定方式可能會有些許不同。Debian 使用的是 rsyslog。所以，postfix 的 mail log 是在 /etc/logrotate.d/rsyslog 進行設定：

    /var/log/mail.info
    /var/log/mail.warn
    /var/log/mail.err
    /var/log/mail.log
    {
    rotate 14
    daily
    missingok
    notifempty
    compress
    delaycompress
    sharedscripts
    prerotate
    /usr/local/sbin/postfix_report.sh
    endscript
    postrotate
    invoke-rc.d rsyslog reload > /dev/null
    endscript
    }

 

上面的範例，可以自己的需求來進行調整。而且，直接在 rotate 之前呼叫我的 shell script，會比使用 crontab 來呼叫更為簡單而且乾淨。

以上，所有的設定就完成了。

之後，收到信件的內容大致如下：

    Grand Totals
    ------------
    messages

    1923 received
    3131 delivered
    4 forwarded
    8 deferred (68 deferrals)
    3 bounced
    6673 rejected (68%)
    0 reject warnings
    0 held
    0 discarded (0%)
    253674k bytes received
    372125k bytes delivered
    551 senders
    297 sending hosts/domains
    163 recipients
    67 recipient hosts/domains


    Per-Day Traffic Summary
    date received delivered deferred bounced rejected
    --------------------------------------------------------------------
    Sep 8 2010 1555 2597 47 3 4597

    Per-Hour Traffic Daily Average
    time received delivered deferred bounced rejected
    --------------------------------------------------------------------
    0000-0100 29 52 2 0 137

    Host/Domain Summary: Message Delivery
    sent cnt bytes defers avg dly max dly host/domain
    -------- ------- ------- ------- ------- -----------
    2589 315653k 42 2.4 s 62.3 h example.com

    Host/Domain Summary: Messages Received
    msg cnt bytes host/domain
    -------- ------- -----------
    586 116367k example.com

    Senders by message count
    ------------------------
    156 webmaster@example.com

    Recipients by message count
    ---------------------------
    374 example@example.com

    Senders by message size
    -----------------------
    26552k example@example.com

    Recipients by message size
    --------------------------
    39781k example@example.com

    message deferral detail
    -----------------------
    smtp (total: 68)

    message bounce detail (by relay)
    --------------------------------
    gmail-smtp-in.l.google.com[74.125.127.27]:25 (total: 1)

    message reject detail
    ---------------------
    cleanup
    header (total: 29)
    29 Date: Tue, 19 Jan 2038 11:14:07 +0800

    message reject warning detail: none

    message hold detail: none

    message discard detail: none

    smtp delivery failures: none

它所整理出來的資訊非常容易閱讀，而且，有異常就很容易發現。系統管理者就可以進一步的去做追查及因應。

參考資料來源：
http://www.howtoforge.com/postfix-monitoring-with-mailgraph-and-pflogsumm-on-debian-lenny

最近購買了一顆 Seagate 晶鑽 2.5吋 500GB 行動硬碟要拿來在 Linux 下做備份資料用。

當然啦，最基本的一定是先建 Partition，再來就是 mkfs.ext3。到此為止都還算順利。

開始使用就先 copy 約 80GB 的資料進去。等到隔天複製完了再把它卸載，收起來。 過了幾天，把硬碟接上，並進行掛載。咦？有錯誤訊息？

    EXT3-fs warning (device sde1): ext3_clear_journal_err: Filesystem error recorded from previous mount: IO failure
    EXT3-fs warning (device sde1): ext3_clear_journal_err: Marking fs in need of filesystem check.
    EXT3-fs warning: mounting fs with errors, running e2fsck is recommended
    EXT3 FS on sde1, internal journal
    EXT3-fs: mounted filesystem with ordered data mode.

怪了，我不可能沒有卸載就拔 USB 插頭的，怎麼會有這種問題咧？

後來直接觀察 log，第一時間的判斷就是，硬碟去睡覺了。睡了之後，叫不醒。便開始 Google 資料了。

Google 後，證實為 Seagate 自作聰明，會讓硬碟 Spindown。要在 Windows 下才會叫的起來。在 Linux，Mac 下，都會有叫不醒的問題。國外有蠻多討論的。也有人用 crontab 很頻繁的去動一下硬碟，讓它不要昏過去。不過，這方式實在不漂亮，我不太能接受，所以，繼續尋找解決方案。

後來找到一篇用 sdparm 去修改硬碟的設定值，就姑且一試：

先檢查硬碟的狀態：

    # sdparm -a /dev/sde
    /dev/sde: Seagate Portable 0130
    Power condition mode page:
    IDLE 0 [cha: n, def: 0, sav: 0]
    STANDBY 1 [cha: y, def: 1, sav: 1]
    ICT 0 [cha: n, def: 0, sav: 0]
    SCT 3000 [cha: y, def:3000, sav:3000]

更改硬碟 STANDBY 的值：

    # sdparm --clear STANDBY -6 /dev/sde
    /dev/sde: Seagate Portable 0130

啟動硬碟：

    # sdparm --command=start /dev/sde
    /dev/sde: Seagate Portable 0130

最後確認硬碟的狀態：

    # sdparm -a /dev/sde
    /dev/sde: Seagate Portable 0130
    Power condition mode page:
    IDLE 0 [cha: n, def: 0, sav: 0]
    STANDBY 0 [cha: y, def: 1, sav: 1]
    ICT 0 [cha: n, def: 0, sav: 0]
    SCT 3000 [cha: y, def:3000, sav:3000]

 

這兩天測試，複製資料，複製完後就丟著不管它，放一整個晚上，隔天也不會有叫不醒的情形。所有的 mount，umount 都可以正常操作，沒有任何的錯誤訊息。

以上資料僅供參考，如果操作後有任何得問題恕不負責。

參考來源：
http://alienghic.livejournal.com/382903.html

The latest auto update patch KB951748 (Windows all versions) cuts
connectivity for all users with ZoneAlarm set to 'high' security for the
internet zone

Workaround :
- Uninstall KB951748
- shutdown ZoneAlarm
- temporarily set ZoneAlarm 'security level' to medium

資料來源：
http://www.securityfocus.com/archive/1/494108

大家玩的開心喔！

[14:35:46] [phantom]女兒愛上 Tux？ says:
剛才一台噴墨印表機
流出不明濃稠液體～～
還沒解決

[14:37:01] 老 jou says:
是白色的嗎？

[14:37:10] [phantom]女兒愛上 Tux？ says:
不是耶
[14:37:11] 老 jou says:
那可能是您把人家怎樣了

[14:37:22] [phantom]女兒愛上 Tux？ says:
有點像藍黑
深綠黑
但是不是黑

[14:37:34] 老 jou says:
@_@
[14:37:48] 老 jou says:
積太久沒通了？
[14:38:04] 老 jou says:
好可怕的顏射

和壞人粥相處要小心呀，一不小心就會被帶壞～～～

詳情請見：
http://taiwan.cnet.com/news/software/0,2000064574,20108628,00.htm

另外，HP 的網站：
http://h20219.www2.hp.com/services/cache/76815-0-0-225-121.html

說真的，隨然說支援的層級不同於付費版本的 Linux (RH, SuSE)。
不過，聊勝於無吧？

說真的，前一陣子有想要看一台 Server for Debian (不論是大廠或組裝的)，想要確定硬體的支援度真的不是一件容易的事...

同事剛買一台 Acer NB...
說保固 30 天無亮，暗點。剛才發現有一點怪怪的，去維修站。
結果，他說這是......... 灰點！！！不在保固內！
 :lol:  :lol:  :lol:  :lol:  :lol:

哇咧....

這兩天看我的 log 發先了他的蹤跡。
乖乖，沒事抓了近 17MB 的東西。真是名奇妙！

上 Google 查查他到底是啥玩意，結果發現：
他是來自於大陸的"搜狗"

以下是我找到的一些資訊：
User Agent transmitted to the visited web server :
    * sogou spider

IP address range : from 220.181.0.0 to 220.181.255.255
URL for more information : http://corp.sohu.com/s2005/imwp-en.shtml
Access control options understood by the robot : unknown


居然沒提供如何 disallow 他進來的資訊！！！
雖然 17MB 不多，可是沒提供 disallow 的資訊，強迫大家中獎是不對的吧？

真是不速之客呀！用 iptables 完全 deny 它任何的 access。一勞永逸！

順便再次強調一下，定期的看 log 是很重要的！

OpenOffice 2.0 出來囉! 終於出來囉!
 

一台電腦用 USB 接一台硬碟, 一接上, 電腦直接 shutdown. 從此不醒人事...
一台WinXP(H)電腦未正常關機, 就 boot 不進 Windows...
Orz...

有時候會 timeout...

只有我這有這種狀況嗎?

看到這家店的店名... 忍不住拍了下來.
不知道它的 mark 會不會是一隻企鵝. :lol:

Moto 變成 gentoo?



然後... 睡覺了...

Bad Gateway

The proxy server received an invalid response from an upstream server.

不曉得有沒有人去參觀過這個展?

今年想去看看...
http://www.secutech.com/isecutech

我買了一台二手的 DLT 40 來玩.

在 Linux 下用 Mondo 來做 backup.
現在正在實驗中...

在我 backup 資料到 tape 後, 假設, 這卷資料我不需要了.
我需要 mt -f /dev/st0 erase 嗎?
還是直接再丟新的資料進去就可以?

這兩天可能會找一台機器來試試看.