顯示文章

這裡允許您檢視這個會員的所有文章。請注意, 您只能看見您有權限閱讀的文章。


文章 - sclin2k

頁: 1 [2] 3
31
之前一直遇到 ASUS M6、M2 這兩個系列的筆電在安裝無線網路驅動程式後,就會造成 Windows 系統藍色畫面,一直重覆開機。現在發現不能使用 ASUS 所提供的無線網卡驅動程式,我自已在系統安裝完成後,先驅動其他的設備,無線網卡不驅動。直接連上 Windows update 的更新網站,選用 Windows 所提供的無線網卡驅動程式。安裝完成後無線網卡驅動了,也不會造成系統藍色畫面。雖然已經是舊筆電了,但還是提供給大家參考,不知其他人是否有不同的解決方法提供給大家。

32
switch  上的 port 設定是否正確。

33
問題似乎解決了。我發現上面我原先貼的 jail.conf設定:named-refused 裡;
少了一行設定值:ignoreip 的設定值,所以 server 上的 jail.conf 乾脆 ignoreip 這行也把它刪除。發現它似乎可以自動產生 iptables policy 了,目前正在觀察中 ;D

34
謝謝您的回應。
上述這些動作及設定都有正確產生,而且我的 POSTFIX、SASL policy 都是正常可運作。
之前忘了說明了,fail2ban 如果我手動 restart 是可以擷取到 log 檔內 query 的主機 IP,而且可產生 iptables policy。但它應該可以自動觸發檢查 dns query deny 的行為,進而自動產生 iptables policy。而不須要人的介入。我的 fail2ban Named rule 似乎無法自動觸發??

35
Linux 討論版 / fail2ban 無法擋掉 dns query
« 於: 2009-12-16 11:18 »
近來發現有遠端不明主機一直在 query 我的 dns server。雖然 dns 主機己經 deny 了。但想更進一步將不明主機在被deny後利用iptables擋掉,以免它一直測試。
網路上有一個套件:fail2ban,我己經用它來阻擋 postfix、sasl 的攻擊,是正常可work。但是用在 dns 的部份一直無法正常產生 iptables policy。在網路上搜尋很多資料,但很少有用在 dns 部份的。

系統的基本資料(都是使用預設值):
log資料:/var/log/named/security.log
16-Dec-2009 10:35:20.960 client 66.238.93.161#35319: query (cache) './NS/IN' denied

jail.conf設定:
[named-refused-udp]
enabled  = true
port = domain,953
protocol = udp

filter   = named-refused
action   = iptables-multiport[name=Named, port="domain,953", protocol=udp]
           sendmail-whois[name=Named, dest=test@mydomain.com.tw, sender=fail2ban@mydomain.com.tw]
logpath  = /var/log/named/security.log
maxretry = 1

[named-refused-tcp]
enabled  = true
port = domain,953
protocol = tcp

filter   = named-refused
action   = iptables-multiport[name=Named, port="domain,953", protocol=tcp]
           sendmail-whois[name=Named, dest=test@mydomain.com.tw, sender=fail2ban@mydomain.com.tw]
logpath  = /var/log/named/security.log
maxretry = 1

filter設定:
_daemon=named
__pid_re=(?:\[\d+\])
__daemon_re=\(?%(_daemon)s(?:\(\S+\))?\)?:?
__daemon_combs_re=(?:%(__pid_re)s?:\s+%(__daemon_re)s|%(__daemon_re)s%(__pid_re)s?:)

__line_prefix=(?:\s\S+ %(__daemon_combs_re)s\s+)?

failregex = %(__line_prefix)sclient <HOST>#\S+: query(?: \(cache\))? '.*' denied\s*$


36
終於找到問題了,原來是 FileZilla FTP軟體的〈檔名篩選器〉的設定沒有啟用。
之前的版本是不會顯示隱藏檔的,但不知最近的版本為什麼沒有套用我之前的設定???!!!

37

我是說你是否開了這個參數喔... 有的話要拿掉。

更新前,參數是沒開啟的。

38
補上我的設定檔:
ServerName         "FTP Server"
ServerIdent         off "FTP Server ready."
ServerType         inetd
DefaultServer         on
AccessGrantMsg         "User %u logged in."
DeferWelcome         off

VRootEngine                     on
DefaultRoot         ~ !adm
VRootAlias                      etc/security/pam_env.conf /etc/security/pam_env.conf

AuthPAM            on
AuthPAMConfig         proftpd
AuthOrder         mod_auth_pam.c* mod_auth_unix.c
PersistentPasswd      on

IdentLookups         off
UseReverseDNS         off

Port            21

Umask            022

RootLogin         off
LoginPasswordPrompt      on
MaxLoginAttempts      3
MaxClients  10  "Sorry, max %m users -- try again later"
PassivePorts                    65000 65500

AllowRetrieveRestart      on
AllowStoreRestart      on

MaxInstances         10

User            nobody
Group            nobody

UseSendfile         no

ScoreboardFile         /var/run/proftpd.score

<Global>
  AllowOverwrite      yes
  <Limit ALL SITE_CHMOD>
    AllowAll
  </Limit>
</Global>

LogFormat         default   "%h %l %u %t \"%r\" %s %b"
LogFormat         auth   "%v [%P] %h %t \"%r\" %s"

39
有這個 ListOptions -a 這個參數,但設定了沒作用,隱藏檔還是顯示出來。

上面忘了提:proftpd 我是利用 super deamon 啟動的,使用 FileZilla 連線。

40
日前因為 CentOS 5.3 內建的 proftpd server 在離線後,secure log 會出現:Unable to open config file: /etc/security/pam_env.conf 的錯誤訊息。一時手癢就把它換成 proftpd-1.3.2a-5.el5 版本,但發現連線後目錄內的隱藏檔(dot 開頭的檔案)全都顯示出來,無法隱藏。

上網找了許久,還是沒找到答案。請大家幫忙提無資料,在 proftpd.conf 要設定什麼參數,才可將 dot 開頭的檔案隱藏。
謝謝!!!

41
沒事還是不要挖洞給自己跳吧,很久沒用,為甚麼要刪掉?

因為 ftp 帳號是依照業務人員的客戶名稱而建立,會刪除的原因是...................,而使用人員又不會通知 MIS,
導致有些帳號放著不知如何處理。所以就想用 shell 解決,當然,做之前要先公佈給大家知道系統會有這個動作

既然是會先公告, 那何不在該月最後一天24:00前, 直接自動刪除超過一個月沒登入的帳號  ;D ;D

這樣太殘忍了啦!!
因為這是用來和客戶交換一些較大的檔案,使用的頻率有時不會那麼頻繁,所以才要可查詢三~六個月的使用狀況。
因為不會程式,只會用簡單的指令查詢,然後擷取要的資料作判斷。目前已可以抓出資料,還可以識需要調整時間限制。

42
沒事還是不要挖洞給自己跳吧,很久沒用,為甚麼要刪掉?

因為 ftp 帳號是依照業務人員的客戶名稱而建立,會刪除的原因是...................,而使用人員又不會通知 MIS,
導致有些帳號放著不知如何處理。所以就想用 shell 解決,當然,做之前要先公佈給大家知道系統會有這個動作。

43
我想到一個方法,不知可不可行。
利用 stat 指令 查詢使用者家目錄的 Access、Modify、Change 時間記錄,作為判斷是否未使用,
再擷取資料比較判斷。

44
我的 wtmp 只有一個月內的記錄,其他的 log 也沒保留三~六月個。
看來只能找時間和問使用者哪些帳號已經荒廢不用了。
謝謝大家!!

45
Linux 討論版 / 刪除久未登入的使用者帳號
« 於: 2009-09-09 09:34 »
大家好!!
公司 FTP 伺服器上有很多經年累月留存下的使用者帳號,因為使用者所申請的帳號是無法登入主機,
只能使用 FTP 上傳、下載檔案。

麻煩大家提供個方向,要如何找出哪些帳號是很久沒有使用的。

PS:last 指令預設只能查詢到當月份的登入、登出記錄,我需要查到至少 3~6 個月。


46
可以先試一下 yum clean all ,網路上有人提到這是一個 bug,我自已遇到兩次。清除之前的更新記錄就OK了

47
GOOGLE 搜尋一下 fail2ban 這個軟體,網路上有介紹可以擋這一類的攻擊(SSH、POSTFIX、FTP、SASL)。

48
Linux 討論版 / 回覆: spawn 功能變數
« 於: 2009-07-18 10:48 »
原來我一直在捨近求遠,而且還找錯方向。

謝謝了!!

49
Linux 討論版 / spawn 功能變數
« 於: 2009-07-17 23:55 »
 ???很久前有前輩提供了一支 block_ssh.pl 的程式,提到在 /etc/hosts.allow 內加入
sshd : ALL : spawn (/usr/bin/block_ssh.pl %c %d)
我的問題是:%c 所代表的意思是什麼??

我在鳥哥的網站上只查到:%a (address) %d (daemon) %h (hostname),網路上一直查不到 %c 是什麼變數??


50
唉!!!各位大哥有所不知呀!!線路多不代表一定很重要。
有二條是ADSL,和一條頻寬不大的專線。所以只很盡量不讓它斷線或塞車。才會弄的這麼複雜。

51
郵件主機名稱:AAA.COM.TW

如果只有一台 mail server,但怕其中一條線路斷線。所以每條線路都可以傳送 mail,
中間有一台 load Balance 設備可以切換線路。
那每條線路上的 mail server ip,在DNS 上的『正、反解』 該如何設定呢???
是每一個 ip 都設一樣的主機名稱,如:AAA.COM.TW,還是需要設定成不同的主機名稱,如:AAA1.COM.TW,AAA2.COM.TW
主線路 IP 的DNS正、反解,有請 ISP 讓我們自已管理,另外二條ADSL(員工上網用+備援)是各在不同的線路,有向 ISP申請反解設定。

我的想法是:公司的DNS上郵件主機在不同的線路,設成不同的主機名稱,讓斷線時信件可以走不同的線路進來。

再向 ISP 廠商申請該條線路的 IP 反解與郵件主機的名稱相同。

理由是:主機只有一台,信件傳送出去時,表頭所帶的主機名稱為該台主機的名字,設成相同的名稱再反解時,就可
           對映到與主機相同的名稱。這樣的作法不知可不可行???

52
自已回覆一下,剛剛又試了其他方法,已經成功了。
發現是權限的問題,只要改成紅字的語法就可以了。

#!/bin/bash
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:~/bin
export PATH

FILE="/tmp/Del_List.txt"

read -p "Please input delete user name: " user
username=${user:?Please input a UserName}

userdel -r $username

su -c "sed -i 's/$username//g' $FILE"
su -c "sed -i '/^$/d' $FILE"

53
大家好;
下列的 script 是在刪除user後,並利用sed直接修改另一個檔案的內容,但一直無法成功。
菜鳥查不出問題,所以請大家幫忙。謝謝大家!!!

#!/bin/bash
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:~/bin
export PATH

FILE="/tmp/Del_List.txt"

read -p "Please input delete user name: " user
username=${user:?Please input a UserName}

userdel -r $username

sed -i 's/$username//g' $FILE
sed -i '/^$/d' $FILE

54
X240 我是沒用過,但有用過 5100 的。
可以查看一下伺服器機板上是否有訊息燈號,再對照著看機殼側板上的燈號說明.

55
Linux 討論版 / 如何防止SSH被TRY?
« 於: 2007-09-11 14:16 »
可以看一下
Vixual 網路視野 網站所分享出的文件(http://www.vixual.net/wikka/wikka.php?wakka=Archive2005030201)

56
肉腳版 / CentOS5 DNS設定一問??
« 於: 2007-09-06 14:31 »

57
Windows 討論版 / WSUS 3.0使用上的小問題......
« 於: 2007-07-26 16:24 »
WSUS v3 應該不能用 web 登入,安裝過程它會要求安裝 ReportViewer.exe 這個 tools。裝好之後就可以正常在伺服器上啟動 console 的畫面了(啟動伺服器上的 (終端伺服器)這樣就可以遠端登入)。
PS: WSUS v3 只能安裝在 Windows 2003 server 以上

至於 client 無法登入 wsus , 我的作法是編寫好一個 登入檔,在user登入網域時執行 script 讓它寫入 user 的電腦, user 重新開機後隔些時候就可以連上 WSUS 了。

58
目前又找到了一份 在 Vixual 網路視野 網站所分享出的文件(http://www.vixual.net/wikka/wikka.php?wakka=Archive2005030201)。

測試結果良好。

感謝前輩分享造福人群!!!

59
下面這個 shell 是我從 netman 大大在 http://phorum.study-area.org/viewtopic.php?t=33194 (sshd 安全設定 ( 設定"禁止使用ssh名單" )) 這篇分享拿來套用在我的 ftp server 上。但我發現它跑了一陣子(上班時間2,3個小時)之後伺服器就無法回應 USER 連線的要求。原因是每個 USER 連線後都會執行三個下面 shell 的 process, USER 多的話就造成伺服器無法回應。我是一個 shell 的菜鳥,看不出問題,只好來請各位幫忙。

我的機器是 CPU : PII 266MHz, RAM 512M

#!/bin/bash

PATH=/sbin:/bin:/usr/sbin:/usr/bin

LOG_FILE=/var/log/secure
KEY_WORD="Maximum login"
PERM_LIST=/etc/firewall/bad.list.perm
LIMIT=5
MAIL_TO=root
IPT_SAV="$(iptables-save)"
bad_list=$(egrep "$KEY_WORD" $LOG_FILE | awk -F \( '{print $2}' | cut -d [ -f 1 | xargs)

for i in $(echo -e "${bad_list// /\n}" | sort -u)
do
        hit=$(echo $bad_list | egrep -o "$i" | wc -l)
        [ "$hit" -ge "$LIMIT" ] && {
                echo "$IPT_SAV" | grep -q "$i .*-j DROP" || {
                        echo -e "\n$i was dropped on $(date)\n" | mail -s "DROP by ${0##*/}: $i" $MAIL_TO
                        iptables -D INPUT -s $i -j DROP &> /dev/null
                        iptables -I INPUT -s $i -j DROP
                }
                egrep -q "^$i$" $PERM_LIST || echo $i >> $PERM_LIST
        }
done

基本上我只改了 search 的關鍵字和加了一行 iptables -D , 會加這一行是因為上面的 shell 每隔一段時間就會把之前阻擋的 ip 再寫一次到 iptables 的 INPUT,一直重覆寫,所以我先讓它刪除己經存在的 rule。

60
用 X-WIN32 遠端連進去

頁: 1 [2] 3