顯示文章

這裡允許您檢視這個會員的所有文章。請注意, 您只能看見您有權限閱讀的文章。


文章 - fz150n

頁: 1 2 [3] 4
61
mii-tool   直接執行就好了~

如果要看流量,可以裝 iptraf 囉?

62
Linux 討論版 / 是誰寄出的?
« 於: 2005-12-04 19:00 »
由DOCUMENT.ZIP的附加檔案看來,這應該是一封病毒信,如果你有防火牆的話,只開放主要建伺服器的Port 25,其他的一率禁止,接著在內網用telnet  25 port的方式,看一下那台主機回的是什麼訊息(我猜大概是windows server 內建的SMTP虛擬伺服器),不管是不是,循線找到之後通知使用者關掉應該就好囉?

63
如果只是要逛網站的話,IE真的會比較方便,不然在Windows上面安裝FireFOX也很好。

這麼說是因為:忽然之間要從Windows平台轉換到Linux平台,你問的問題是一定會遭遇的,因為Linux不是windows,當然,Windows也不會像Linux,如果你熟悉的是Windows平台,建議你多花更多的時間研究windows平台,windows其實也很厲害的,很多技術既先進也方便。

那既然想研究Linux或UNIX-like平台的話,就可能要先把M$灌輸給你的作業環境觀念拋到一旁,這樣你可能會比較容易進入Linux的世界。

64
可能有跑yum(自動升級),然後重新初使化過x-windows的設定檔。

只是猜啦~

如果你有備份的話,試著把etc的目錄全restore回去,應該也就會正常了。

一直都習慣用VNC,但是忽然之間卻不行了,我想,應該不會有靈異事件的,
如果當初建制vnc-server的人不是你的話,那你可能要問一下當初建制vnc的人
是怎麼幫你把VNC裝起來的,而且,裝VNC的時候,x-windows的組態又是如何配置。

65
Study-Area 公開討論版 / 我也投一票喔~
« 於: 2005-12-03 12:19 »
最近也在學Solaris,花了好久的時間裝了兩台起來,但是因為網路安裝一直設定不起來,就停了一陣子了。

拿光碟裝,實在太久了,我又沒有DVD可以用,所以才照著手冊想弄一台安裝伺服器,不過,每每到了tftp載入檔案時,就自動reboot了。

後來買了一本什麼"Solaris徹底研究的",我不是批評,只是,看完之後,我覺得好像看完一本介紹如何在Linux上面架設伺服器的書。

至於系統方面,我覺得新版的Java Desktop很屌,雖然很像Windows拉~不過
跟CDE比起來,漂亮多嚕~裝的時後記得把Companion CD那一片的東西也裝進去就可以看得到了。

初期當然也是要搞一下gcc拉~研究而已,不可能真的去買SUN的C compiler,
後來開始做些網路設定,看看SVC怎麼用之類的。

比如DHCP好了,跟以前在Linux上面地發行版本根本不一樣,看來應該是SUN自己改寫過的東西,不過,配合一下行介面,也還不難用。

因為常常會用JDS,所以我又另外裝了XManager這一套來用,原先我裝的X-Win32竟然不能正顯示中文,所以現在連到Solaris 10都是用XManager。

我猜啦~Xmanager應該是從Starnet分之出來的,長得好像,但是更好用!

上個禮拜辛苦把Oracle 10抓回來,也裝上了,雖然不是正統的裝法,但總算也裝起來了,現在正想用JDeveloper學JSP。

結論是,沒課可以上,其實也沒錢可以上啦,如果大家願意成立一個版來討論Solaris,當然很好,所以我也要投一票喔!!

66
Linux 討論版 / 還有人在用mailwatch嗎?
« 於: 2005-10-16 20:11 »
搞了半天,MailWatch的首頁沒有辦法顯示中文耶~

有沒有什麼技巧可以讓主旨或本文的部分出現中文呢?

謝謝!

比如說,我用outlook寄了一主旨為[測試]的信件,
mailwatch的資料庫會有這筆紀錄`:

Subject: =?big5?B?pKSk5bT6uNU=?=

可是在首頁的地方卻出現1而已,編碼的問題?或者可以用php的什麼函式
把主旨轉成中文呢?謝謝!

67
C:\Documents and Settings\Administrator>nslookup fell.no-ip.info
Server:  dns.hinet.net
Address:  168.95.1.1

Name:    fell.no-ip.info
Address:  61.31.133.54

看來有申請成功,只是網頁好像連不上,要不要看一下現在ADSL給你的IP是不是
跟nslookup查到的一樣喔~

68
Linux 討論版 / ssh 使用 pam 認證
« 於: 2005-09-26 21:34 »
參考一下囉~

前陣子被踹到怕了,索性就通通不允許用帳號登入,
Port改了,協定限定一個不好猜的port,加上一定要有鑰匙,
就不容易進來了。

就算沒有重要資料,誰想讓自己的電腦變駭客練習的場所呢?


1. 修改/etc/ssh/sshd_config

代碼: [選擇]
# Authentication:

AuthorizedKeysFile      .ssh/authorized_keys
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no


2. 產生一組金鑰
用puttygen產生,或者在console模式底下產生:

[root@somewhere]#  ssh-keygen -t rsa

連按三下enter,就會產生兩個檔案在:
/root/.ssh/id_rsa
/root/.ssh/id_rsa.pub

這樣又危險,當然也沒必要,還是直接用puttygen產生比較好,
別在重要的主機留下/root/.ssh/id_rsa

3. 把生成的公開金鑰貼到Linux主機底下的:

/root/.ssh/authorized_keys

(如果你沒改太多設定的話)

4. 留著私密金鑰,妥善保存,比如說putty好了,
只要到auth那個選項,把私密金鑰匯入,就可以直接登入啦!

詳情務必精讀netman關於sshd的精華文章!!!

69
Linux 討論版 / phplot的安裝建議
« 於: 2005-09-25 19:30 »
弄了半天,從之前為了灌rrdtool就搞gd搞了半天,快被氣死,
原來Fedora就已經把套件弄好放在哪裡,我還在那邊辛苦的
查編譯過程的錯誤。

使用Fedora的人,只要去下載Fedora提供的php-gd套件來裝就好了。

裝這工具是為了提供snort將偵測之後的圖畫出來,除了需要php支援
gd之外,還要有jpgraph等等,對安裝有興趣的人可寫信給我,
因為我還沒整理,明天又要交一堆投影片,所以~ :D

在安裝phplot最重要的是,開個視窗來查看php執行後的錯誤,比如說:

tail -f /var/log/httpd/acid-error_log

剛剛一直笨笨的,虛擬伺服器裡面竟然把logLevel設定成emeg,
想到之後,改成warn,照著出現的錯誤訊息去除錯,沒兩下就好了~

這是我的錯誤,還好已經排解了:

[client 1.2.3.4] PHP Warning:  main(/var/www/html/acid/phplot/phplot.php): failed to open stream: Permission denied in /var/www/html/acid/phplot/examples/inline_image.php on line 20, referer: http://1.2.3.4/phplot/examples/test_setup.php

是的,只是權限的問題,唉~
浪費太多時間了,真的重要的rule都還沒去察看,搞這gd跟phplot就夠了~

順便問一下,有人加入snort的會員嗎??

70
Linux 討論版 / 請問怎樣找出郵件兇手
« 於: 2005-09-18 14:11 »
黑客抓下來的檔案不但要保留,還要打開來欣賞,
小弟遇到的幾次,不知為何,還留下了一步一腳印呢~

所以,看他用哪個帳號登入的,然後去查一下:

.bash_history

你會發現,如果只是植入釣魚網頁,黑客第一件事會先抓工具跟網頁,
如果不懷好意,或者他取得的帳號是屬於權限較高的,大概就先
天翻地覆掃一遍你的網路,看看有沒有其他可利用的主機。

目錄的部份,好像也沒有更厲害的,大概就是利用:

mkdir "   "

這樣的方式,加個小蚯蚓啊之類的,產生一個空白的目錄,讓你找的
時候很難找。

因為得不到root的權限,或只是想拿你的mailserver當他的跳板,
所以應該只要照著歷史紀錄建立起來的目錄,逐一清除,應該
就還ok啦~

除了加強限制ssh client的來源之外,檢視一下passwd檔案裡頭
是否還有允許登入的帳號,如果有,記得補上/sbin/nologin。

欣賞一下黑客的程式碼:(所以學shell script是很重要的!)
代碼: [選擇]

#!/bin/bash
if [ -f ip.conf ]; then
rm -f ip.conf 1>/dev/null 2>/dev/null
fi
if [ $# != 1 ]; then
        echo "# usage: $0 <b class>"
        exit;
fi
echo "# Incepe distractia cu $1 pe port 22"
./scan $1 22
sleep 10
cat $1.pscan.22 |sort |uniq > ip.conf
oopsnr2=`grep -c . ip.conf`
echo "# Ia sa ne distram si noi cu $oopsnr2 servere."
echo "----------------------------------------"
./brute 100
rm -rf $1.pscan.22 ip.conf 1>/dev/null 2>/dev/null
echo "# Sa imi trag eu pula in ip-urile tale! Dami ceva mai k-lumea"

71
Linux 討論版 / 請問伺服器是否被入侵了?
« 於: 2005-09-18 13:52 »
剛剛看看了一下我的機器,好像也沒看到rpcbind相關的,
你可以把埠號查出來,然後看一下/etc/services

Google還是最方便的
The RPCBIND program maps RPC program and version numbers to universal addresses,thus making dynamic binding of remote ... The RPCBIND program is bound to a well-known address of each supported transport, and other programs register

不清楚的話,那就先關掉吧~

tcpwrapper不用加那麼多in啦~
它又不是代表"進來"的意思,別想太多,
只要在/etc/hosts.deny加這一行:

sshd: ALL  EXCEPT 211.75.66.33 192.168.1.,192.168.3.

這樣就會把除了211.75.66.33 這個IP,
以及192.168.1.0  192.168.3.0兩個網段以外的IP全擋掉啦!

然後看一下netman詳盡的SSH安全實作,應該就可以減低
被踹密碼的機會囉!

72
前言

最近很倒楣,兩三台客戶的主機莫名其妙被駭掉了,輕一點的是上層單位發信通告,
重一點的,還有網路刑事警察寄來的公文,當然,還聽過FBI發出的警告。

說實在的,系統帳號的密碼就算設得很複雜,防火牆規則看起來也挺嚴密的,駭客
總是有辦法侵入,高明的也就算了,因為實在太強了,但是如果變成人家練功的對象,
就會給它很肚爛了。

裝完nessus,不代表主機就不會被駭了,但至少,身為系統管理員,深度了解作業
系統的潛在問題,卻是刻不容緩的,不是嗎?

Nessus計畫已研發多年,集眾人之力提供各作業平台一個強而有利的弱點掃描引擎:

引用
Nessus is the world's most popular open-source vulnerability scanner used
in over 75,000 organizations world-wide. Many of the world's largest
organizations are realizing significant cost savings by using Nessus to
audit business-critical enterprise devices and applications.

The "Nessus" Project was started by Renaud Deraison in 1998 to provide to
the internet community a free, powerful, up-to-date and easy to use remote
security scanner. Nessus is currently rated among the top products of its
type throughout the security industry and is endorsed by professional
information security organizations such as the SANS Institute. It is
estimated that the Nessus scanner is used by 75,000 organizations world-wide.


很多英文介紹,重點只有一個:趕快把它裝起來!

基本需要的檔案:
引用
   nessus-libraries-x.x.tar.gz
   libnasl-x.x.tar.gz
   nessus-core.x.x.tar.gz
   nessus-plugins.x.x.tar.gz

以上檔案請自行到官方網站抓取:

   http://www.nessus.org/download/index.php

依序安裝,不然會有錯誤。

一、基本安裝步驟(文字模式下的掃描-不使用圖形介面的工具)

   1. nessus-libraries
   
      [root@www] ./configure --prefix=/usr
      [root@www] make && make install
   我是比較懶啦,把預設安裝目錄指定成--prefix=/usr,就可以省掉其他參數設定,所以,如果你只有輸入./configure,沒有指定prefix,目錄會變成/usr/local/lib,所以要改一下/etc/ld.so.conf,把/usr/local/lib加到最後一行,然後執行:

      [root@www] ldconfig
   
   
   2. libnasl
   
      [root@www] ./configure --prefix=/usr
      [root@www] make && make install
   
   如果用預設安裝,目錄會變成/usr/local/lib,因此加上這個參數設定:
   
   [root@www] export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/usr/local/lib)
如果想每次登入都會生效,就把這行加到.bash_profile裡面
   
   
   3. nessus-core
   
      [root@www] ./configure --prefix=/usr --disable-gtk
      [root@www] make && make install
   
   4. nessus-plugins
      [root@www] ./configure --prefix=/usr
      [root@www] make;make install
   
   這樣就全部裝好啦!


二、安裝之後的設定
   
   1. 首先新增一個nessus專用的憑證:
   
   [root@www ]# nessus-mkcert
   /usr/var/nessus/CA created
   /usr/com/nessus/CA created
   -------------------------------------------------------------------------------
                           Creation of the Nessus SSL Certificate
   -------------------------------------------------------------------------------
   
   This script will now ask you the relevant information to create the SSL
   certificate of Nessus. Note that this information will *NOT* be sent to
   anybody (everything stays local), but anyone with the ability to connect to your
   Nessus daemon will be able to retrieve this information.
   
   在這邊輸入相關資料
   CA certificate life time in days [1460]:---------------------預設
   Server certificate life time in days [365]:------------------預設
   Your country (two letter code) [FR]: TW----------------------隨你
   Your state or province name [none]: TAIWAN-------------------隨你
   Your location (e.g. town) [Paris]: TAICHUNG------------------隨你
   Your organization [Nessus Users United]: ROICAT--------------隨你
   
   
   輸入完畢,程式會恭喜你一下:
   -------------------------------------------------------------------------------
                           Creation of the Nessus SSL Certificate
   -------------------------------------------------------------------------------
   
   Congratulations. Your server certificate was properly created.
   
   /usr/etc/nessus/nessusd.conf updated
   
   The following files were created :
   
   . Certification authority :
      Certificate = /usr/com/nessus/CA/cacert.pem
      Private key = /usr/var/nessus/CA/cakey.pem
   
   . Nessus Server :
       Certificate = /usr/com/nessus/CA/servercert.pem
       Private key = /usr/var/nessus/CA/serverkey.pem
   
   Press [ENTER] to exit
   
   
   2. 再來新增一個可登入nessus的帳號:
   
   [root@www ]# nessus-adduser
   
   Addition of a new nessusd user
   ------------------------------
   
   Login : renaud -------------------------------帳號名稱
   Authentication (pass/cert) [pass] : pass------選擇使用密碼認證
   Password : secret-----------------------------,總共要輸入兩遍,別忘了~
   
   User rules
   ----------
   nessusd has a rules system which allows you to restrict the hosts
   that renaud2 has the right to test. For instance, you may want
   him to be able to scan his own host only.
   
   Please see the nessus-adduser ( 8 ) man page for the rules syntax
   
   Enter the rules for this user, and hit ctrl-D once you are done :
   (the user can have an empty rules set)
   這個時候可以輸入你要的限制規則,如果不想設定,只要按ctrl-D就行了。
   
   底下三行是範例:
   deny 10.163.156.1
   accept 10.163.156.0/24
   default deny
   
   Login            : renaud
   Password         : secret
   DN       :
   Rules            :
   
   deny 10.163.156.1
   accept 10.163.156.0/24
   default deny
   
   問你以上資料對不對,對的話,輸入y然後 [enter] 就好啦~
   
   Is that ok (y/n) ? [y] y
   
   這次就沒有恭喜你了:
   user added.
   
   3. 啟動nessus server
   很簡單,只要你安裝的時候都有指定/usr那個目錄的話,只要輸入:
   
   [root@www ]# nessusd -D
   
   啟動之後,檢查一下有沒有正常啟動:
   
   [root@www ]# netstat -ant | grep 1241
   
   有這行就表示你成功啟動nessus伺服器了:
   tcp   0  0 0.0.0.0:1241    0.0.0.0:*    LISTEN
你可以不要用這個port,參考一下說明檔,把port改到別的地方。
   
   4. 開刀啦!

                不要一開始就去掃描別人的主機,不然可能會被當作駭客。

   先建立一個文字檔,裡頭包含你要掃描的ip或ip範圍,如:
   
      建立一個檔案:
      /root/ip-list
      
      內容如下:
      127.0.0.1
      192.168.1.0/24
   
   然後呢,因為會跑很久,如果你用putty等軟體,建議你先執行一下
   
      [root@www ]# screen
   
   如果有版權宣告,按一下[ENTER]就會回到terminal底下,注意你的
   視窗左上角會變成:
   
      [screen 0: bash] root@www:~
   
   接著輸入:
   
      [root@www ]# nessus -q -V -T html_graph localhost 1241 tony \
            yourpassword ip-list nessus-report.html
      
   開始掃描之後,你就可以先離開啦:
   
      先按ctrl + a
      然後按一下 d
      
   正常的話,你就會回到原本的那個Terminal底下,如果不放心的話,輸入:
   
      [root@www ]# screen -ls
      There is a screen on:
              3308.pts-0.www  (Detached)
      1 Socket in /tmp/screens/S-root.
   
      
   想回去剛剛分離的Terminal,那就輸入:
   
      [root@www ]# screen -r
   
   5. 解讀nessus產生的報告:
   
   把掃描完的檔案拉回你的電腦,用瀏覽器打開,就可以清楚的看到弱點偵測的報告嚕~
   趕快依照裡面的建議,把系統的漏洞修補起來。
   

三、安裝圖形化支援的nessus

常用Linux作業系統的人,好像都不太愛裝x-window,其實,用nessus的圖形介面
也蠻方便的說,對於沒有windows的人來說,用不著裝一整套的XFree86,只是,
安裝過程給它很麻煩就是了。

1. 抓檔案:
wget ftp://rpmfind.net/linux/fedora/core/updates/1/i386/XFree86-libs-data-4.3.0-55.i386.rpm
wget ftp://rpmfind.net/linux/fedora/core/updates/1/i386/XFree86-libs-4.3.0-55.i386.rpm
wget ftp://rpmfind.net/linux/fedora/core/updates/1/i386/XFree86-devel-4.3.0-55.i386.rpm
wget http://ftp.isu.edu.tw/pub/Linux/Fedora/linux/core/3/i386/os/Fedora/RPMS/fontconfig-devel-2.2.3-5.i386.rpm
wget http://ftp.isu.edu.tw/pub/Linux/Fedora/linux/core/3/i386/os/Fedora/RPMS/freetype-devel-2.1.9-1.i386.rpm
wget http://ftp.isu.edu.tw/pub/Linux/Fedora/linux/core/3/i386/os/Fedora/RPMS/pango-devel-1.6.0-7.i386.rpm
wget http://ftp.isu.edu.tw/pub/Linux/Fedora/linux/core/3/i386/os/Fedora/RPMS/atk-devel-1.8.0-2.i386.rpm
wget http://ftp.isu.edu.tw/pub/Linux/Fedora/linux/core/3/i386/os/Fedora/RPMS/glib2-devel-2.4.7-1.i386.rpm
wget http://ftp.isu.edu.tw/pub/Linux/Fedora/linux/core/3/i386/os/Fedora/RPMS/glib2-2.4.7-1.i386.rpm
wget http://ftp.isu.edu.tw/pub/Linux/Fedora/linux/core/3/i386/os/Fedora/RPMS/gtk2-2.4.13-9.i386.rpm
wget http://ftp.isu.edu.tw/pub/Linux/Fedora/linux/core/3/i386/os/Fedora/RPMS/gtk2-devel-2.4.13-9.i386.rpm

上面是有順序性的,所以,如果你的系統當初安裝時就沒有這些套件的話,請依序安裝。
當然,你可以直接把wget改成rpm -Uvh,這樣就省了一個步驟,只是如果出現套件相依問題時,
就比較麻煩了。

XFree86的三個套件不是最新的,如果你的系統已經存在xwindow,請不要蓋掉你原本的套件,
試著反序安裝回去,比如說,先抓gtk2-devel-2.4.13-9.i386.rpm回來安裝,然後按照
RPM的指示,再去找相關的套件回來用。

例如:

[root@www nessus]# rpm -ivh gtk2-devel-2.4.13-9.i386.rpm
warning: gtk2-devel-2.4.13-9.i386.rpm: V3 DSA signature: NOKEY, key ID 4f2a6fd2
error: Failed dependencies:
        XFree86-devel is needed by gtk2-devel-2.4.13-9.i386
        atk-devel >= 1.6.0-1 is needed by gtk2-devel-2.4.13-9.i386
        glib2-devel >= 2.4.0-1 is needed by gtk2-devel-2.4.13-9.i386
        pango-devel >= 1.4.0-1 is needed by gtk2-devel-2.4.13-9.i386

那你就可以按照它顯示出來的套件全裝好,再裝gtk2-devel-2.4.13-9.i386

所有檔案,可以到http://rpmfind.org/找找看,或到義守大學http://ftp.isu.edu.tw/找。


2. 重新編譯一次nessus-core

   [root@www nessus]# ./configure --prefix=/usr --enable-gtk --with-x
   [root@www nessus]# make&&make install
   
3. 啟動nessus server

   [root@www nessus]# nessusd -D

4. 啟動用戶端:
   4-1 直接在x-windows下執行:
      
      開一個終端顯示,然後輸入:
      
         [root@www nessus]# nessus &
      
      正常的話,就會跳出一個登入的畫面,然後只要輸入正確帳號密碼,即可登入。
      
   4-2 把畫面丟到windows作業系統:
   
   你需要安裝xwin32,可以到這邊下載:
   
      http://www.starnet.com/
      
      註冊之後,你會收到一封下載通知,然後按照指示下載就好了,因為是試用版,
      所以每次只有30分鐘的使用時間,時間到了,就要重新啟動。
      安裝好之後,只要點兩下把它啟動就好了,不用特別設定。
      
   4-3 進入nessus server
   
   使用putty或相關的ssh軟體,telnet應該也可以吧?好久不用telnet了:
   
      [root@www nessus]# export DISPLAY=你的windows的IP:0.0
      如:
      [root@www nessus]# export DISPLAY=210.95.8.88:0.0
      
      接著,還是一樣,輸入:
      
      [root@www nessus]# nessus &
      
      等一下下,如果你是透過Internet的話,時間會比較久,然後,
      一樣的登入畫面就會出現啦~
      
四、結論

常常遇到莫名其妙的入侵事件,也不知道自己的作業系統夠不夠牢固,藉著nessus
就至少可以清楚的知道自己的主機有哪些尚未修補起來的漏洞,好比說,今天我才
知道,原來libtiff那個看起來不起眼的套件,竟然也暗藏殺機啊~

所以囉~沒事就跑跑nessus,檢查一下自己的主機,定時做更新,做好平常的防護,
把主機被駭客入侵的危險性降到最低。

預防重於重灌啊!

73
建議一下:

這麼做大概是因為原本分割區不大,所以想移到另一個硬碟去,

1. 把mysql停掉;
2. 把第二顆硬碟mount到任何一個目錄,比如說/mysql
3. 把資料拷貝到/mysql
4. umount原本的/var/lib/mysql及/mysql
5. 重新把第二顆硬碟mount到/var/lib/mysql
6. 檢查/var/lib/mysql的權限是否為mysql
7. /etc/my.cnf就別更動了,然後啟動mysql就好啦~

應該不難的,試試看。

74
是這樣的,我嚐試用一個排程的指令稿,把/var/lib/mysql
tar 到另一台提供samba主機,大概的環境是這樣的:

client : RHEL 3.0 with kernel-2.4.21-4ELsmp and samba-client-3.0.0
Server : Fedora core 2 with kernel 2.6.5-1.358smp (EXT3 format)
Script : tar zvcf /mnt/ntserver/mysql-backup.tgz /var/lib/mysql(其中一段)

錯誤訊息是:(到達2Gb上限時)
./backup-db.sh: line 17: 3465 Broken pipe
tar zvcf /mnt/ntserver/mysql-"$NOW".tgz /var/lib/mysql

所以,你比較頃向是samba版本限制的問題?還是limits.conf設定上有誤呢?

我今天試著改用cp的方式,結果更慘,不但到了2Gb就停了,搞到reboot都會
出現超過檔案大小限制的錯誤,偏偏那又是遠端主機,還得星期一去手動reboot..

Google我找了很多文章,結果都沒下文,一般都是討論說升級到samba 3.0就
可以了,但是我的的確都是3.0的說~

後來發現原來系統本身除了/etc/security/limits.conf有限制之外,sysctl裡面
也有一個,不過,我現在暫時沒辦法求證,等星期一才知道了~

75
剛剛查了一下,這是我的rpm:

samba-3.0.0-15H
samba-client-3.0.0-15H
samba-common-3.0.0-15H

請問一下我還可以怎麼確認呢?謝謝~

76
前面有一個 . 喔~
/home/fz150n/.openwebmail

drwx------  8 fz150n mail 4096  2&curren;&euml; 24 01:53 .
drwx------  5 fz150n tony 4096  3&curren;&euml; 12 19:57 ..
drwx------  2 fz150n mail 4096  2&curren;&euml; 19 16:57 db
-rw-------  1 fz150n mail 3164  2&curren;&euml; 19 16:57 history.log
-rw-------  1 fz150n mail 2029  2&curren;&euml; 19 16:51 openwebmailrc
drwx------  2 fz150n mail 4096 12&curren;&euml; 25 16:58 pop3
-rw-------  1 fz150n mail    8  2&curren;&euml; 19 16:51 release.date
drwx------  2 fz150n mail 4096  2&curren;&euml; 19 16:51 webaddr
drwx------  2 fz150n mail 4096 12&curren;&euml; 25 16:57 webcal
drwx------  2 fz150n mail 4096 12&curren;&euml; 25 16:57 webdisk
drwx------  2 fz150n mail 4096  2&curren;&euml; 19 16:56 webmail

77
最近嚐試把檔案備份到網路上的某個samba分享目錄,
結果,傳到一半,就因為2Gb的限制而停止了,
後來我試著去/etc/security/limits.conf修改,可是,
好像也沒有幫助,2GB就停了,請問該怎麼處理呢?

我現在加的一行是這樣的:

#*               soft    core            0
#*               hard    rss             10000
#@student        hard    nproc           20
#@faculty        soft    nproc           20
#@faculty        hard    nproc           50
#ftp             hard    nproc           0
#@student        -       maxlogins       4
root             hard    fsize           0
# End of file

是不是我設定有誤呢?

78
Linux 討論版 / 一直沒辦法安裝.....
« 於: 2005-03-09 21:18 »
我記得安裝Linux時有一個選項:safe
所以,當你到了第一個安裝畫面時,輸入
linux safe或safe試試看。
先前我遇到VIA 1.3G的CPU時,安裝RedHat 9.0就是
用這個方式裝的。

但是!

參考而已,你應該到Mandrake專門討論區去問一下比較好,
不然就買本書回來看,一定可以裝的吧,我想~

79
Linux 討論版 / SOHO - 3 NICs with ShoreWall HOWTO
« 於: 2005-03-09 21:09 »
SUBJECT : SOHO - 3 NICs with ShoreWall HOWTO

[ENVIRONMENT]

   OS:
   Linux related OS with Netfilter support(iptables)
   Fedora recommend.
   
   NIC:
   ADSL with dynamic IP(ppp0 - eth0)
   one interface with LAN(eth1)
   one interface with DMZ(eth2)
   
   EX:
   eth0 : 192.168.1.254/24
   eth1 : 172.26.1.254/24
   eth2 : 10.0.0.254/24


[MAIN STEP]

First of all,have you linux installed and config all your NICs and adsl.

Main Shorewall configuration files can be found here:

/etc/shorewall/

   0. shorewall.conf
   1. interfaces
   2. zones
   3. policy
   4. rules
   5. masq

[CONTENT]
0. Config your network :

   [root@fz150 ~]ifconfig eth0 192.168.1.254 netmask 255.255.255.0 up
   [root@fz150 ~]ifconfig eth1 172.26.1.254 netmask 255.255.255.0 up
   [root@fz150 ~]ifconfig eth2 10.0.0.254 netmask 255.255.255.0 up
   
   To permanent have these config work, edit each NIC files here:
   /etc/sysconfig/network-scripts/ifcfg-ethX
         DEVICE=eth0
         BOOTPROTO=static
         BROADCAST=192.168.1.255
         IPADDR=192.168.1.254
         NETMASK=255.255.255.0
         NETWORK=192.168.1.0
         ONBOOT=yes
         TYPE=Ethernet

   And of course, the ADSL connection utility :
   (You may have this stuff installed, so try to 'rpm -qa | grep pppoe' first.)
   
   If you don't, get here:
   [root@fz150 ~]wget http://www.roaringpenguin.com/penguin/pppoe/rp-pppoe-3.5.tar.gz
   [root@fz150 ~]tar xzvf rp-pppoe-3.5.tar.gz
   [root@fz150 ~]cd rp-pppoe-3.5
   [root@fz150 ~]./go

   If you have rp-pppoe installed, then just create you link account by :
   [root@fz150 ~]adsl-setup
   Follow the installation steps.
   
   Connect to your ISP:
   [root@fz150 ~]adsl-start
   
   Make simple test like 'ping' to ensure your adsl line works fine.
   
   If this step fails, check your adsl account information, and ensure you
   have iptables stopped.
   
   **REMEMBER!** If you don't have static IP for your adsl connection, then the outgoing
   INTERFACE will be ppp0, or you may get in trouble when you do MASQUERADE for your
   LAN and DMZ hosts.
   
1. install shorewall :
[root@fz150 ~]wget http://voxel.dl.sourceforge.net/sourceforge/shorewall/shorewall-2.2.0-1.noarch.rpm
[root@fz150 ~]wget http://shorewall.net/pub/shorewall/Samples/samples-2.2.0/three-interfaces.tgz
[root@fz150 ~]rpm -ivh shorewall-2.2.0-1.noarch.rpm
[root@fz150 ~]tar xzvf three-interfaces.tgz -C /etc/shorewall

If those link are no longer exist, go visit http://www.shorewall.net/ and download relatedd files.

2. /etc/shorewall/shorewall.conf (orderly)

   STARTUP_ENABLED=Yes
   IPTABLES=/sbin/iptables
   FW=fw
   IP_FORWARDING=On
   CLAMPMSS=Yes
   ADMINISABSENTMINDED=Yes
   DISABLE_IPV6=Yes
   
3. /etc/shorewall/interfaces
   #ZONE   INTERFACE       BROADCAST       OPTIONS
   net     ppp0            -               routefilter,norfc1918
   loc0    eth0            detect
   loc     eth1            detect
   dmz     eth2            detect
   #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
   
4. /etc/shorewall/zones
   #ZONE   DISPLAY         COMMENTS
   net     Net             Internet
   loc0    Local0          Local Networks(ppp0)
   loc     Local           Local Networks(eth1)
   dmz     DMZ             Demilitarized Zone(eth2)
   #LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE

5. /etc/shorewall/policy
   #SOURCE         DEST            POLICY          LOG LEVEL       LIMIT:BURST
   loc             net             ACCEPT          info
   loc             dmz             ACCEPT          info
   fw              net             ACCEPT
   dmz             net             ACCEPT          info
   net             all             DROP            info
   all             all             REJECT          info
   #LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE

6. /etc/shorewall/rules
   DNAT            net             dmz:10.0.0.77   tcp     smtp,pop3,http

   ACCEPT          fw              net             tcp     53
   ACCEPT          fw              net             udp     53

   ACCEPT          loc             fw              tcp     22
   ACCEPT          loc             dmz             tcp     22
   ACCEPT          loc             dmz             tcp     80
   ACCEPT          loc             net             tcp     53
   ACCEPT          loc             net             tcp     80
   ACCEPT          loc             net             tcp     25
   ACCEPT          loc             net             tcp     110
   ACCEPT          loc             fw              tcp     80
   ACCEPT          loc             fw              tcp     3306
   ACCEPT          dmz             net             tcp     53
   ACCEPT          dmz             net             udp     53

   ACCEPT          net             fw              icmp    8
   ACCEPT          loc             fw              icmp    8
   ACCEPT          dmz             fw              icmp    8
   ACCEPT          loc             dmz             icmp    8
   ACCEPT          dmz             loc             icmp    8
   ACCEPT          dmz             net             icmp    8
   ACCEPT          fw              net             icmp
   ACCEPT          fw              loc             icmp
   ACCEPT          fw              dmz             icmp
   ACCEPT          net             dmz             icmp    8       # Only with Proxy ARP and
   ACCEPT          net             loc             icmp    8       # static NAT

7. /etc/shorewall/masq
   #INTERFACE              SUBNET          ADDRESS         PROTO   PORT(S) IPSEC
   ppp0                    eth1
   ppp0                    eth2
   #LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE

8. Start your shorewall and enjoy it!

   [root@fz150 ~]shorewall start
   
   Glance round the output process, make changes if necessary.

80
Linux 討論版 / 請問防火牆問題
« 於: 2005-03-09 21:08 »
啊?咱Linux上面兒,不就Netfilter而已嗎?

弄片光碟版的防火牆,設定檔存到USB去,
重要的是,該裝的,該"拍去"的全都已經弄好了,
開完機,照自己的環境設定一下網卡,大概也就ok拉~

不然,規模不大,弄個IP-Sharing也很厲害了,真的!

懶得弄或怕自己弄得不夠安全,到上網抓redWall, sentry等等,
其實還蠻好用的。

不然,如果不想學太複雜的iptable指令,小弟先前寫了一篇
Shorewall的安裝,您可以參考看看,懶得打中文,所以只有英文版的。

我把它放在樓下。

81
Linux 討論版 / 我的phpMyAdmin
« 於: 2005-03-06 16:08 »
因為我也常裝來用,可是又很怕被連進來,因為通常mysql的密碼都沒設定,
所以,我把我的作法貼出來:
1. 增加一個http的設定檔:
/etc/httpd/conf.d/myadmin.conf

代碼: [選擇]
Alias /myadmin/ /var/www/html/myadmin/
<Directory "/var/www/html/myadmin">
    DirectoryIndex index.php
    Options FollowSymLinks MultiViews
    AllowOverride AuthConfig
    Order allow,deny
    Allow from all
</Directory>


2. 將phpmyadmin解壓縮之後,丟到apache的文件根目錄:
/var/www/html/myadmin/  (名字隨便取)

3. 建立兩個檔案:
/var/www/html/myadmin/.htaccess
代碼: [選擇]
AuthUserFile   /var/www/html/myadmin/.htpasswd
AuthName "Private Directory"
AuthType Basic
require valid-user


/var/www/html/myadmin/.htpasswd
這個要用指令產生比較方便:
代碼: [選擇]
[root@fz150n myadmin] htpasswd -c .htpasswd fz150n
輸入兩次密碼。

4. 重新啟動apache
代碼: [選擇]
[root@fz150n myadmin] service httpd restart

5. 將瀏覽器指過去:
http://your.site/myadmin/
就會問密碼了,密碼錯了,就進不去了。

會這樣弄,實在不曉得他要我改的東西是什麼:
引用
必須在設定檔內設定 $cfg['PmaAbsoluteUri'] !
設定檔內有關設定 (root登入及沒有密碼) 與預設的 MySQL 權限戶口相同。 MySQL 伺服器在這預設的設定運行的話會很容易被入侵,您應更改有關設定去防止安全漏洞。
The mbstring PHP extension was not found and you seem to be using multibyte charset. Without mbstring extension phpMyAdmin is unable to split strings correctly and it may result in unexpected results.


我想,應該還是有比較優的作法~

82
Linux 討論版 / openwebmail公用網路磁碟~
« 於: 2005-03-06 13:34 »
哈~我自己在耍白痴,這樣是可以的啦~
真是抱歉,好像灌水一樣。

引用
比如說,我在/底下開一個叫做share的檔案夾,然後在/home/fz150n
建立一個/share的連結,比如說:

# ln -s /share /home/fz150/webdisk/share

可是,當我登入openwebmail的webdisk之後,那個連結是看不到的?


這是我的openwebmail的設定:
代碼: [選擇]
webdisk_rootpath                  /webdisk
webdisk_lsmailfolder              no
webdisk_lshidden                  no
webdisk_lsunixspec                no
webdisk_lssymlink                 yes
webdisk_allow_symlinkout          yes
webdisk_symlinkout_display        @

往後只要把想要共享的檔案,放到/share底下,然後幫user建立一個連結就行了。

至於要讓每個user都可以寫入的話,應該可以把所有的user放到同一個群組,
然後對/share修改相關權限,應該也可以達成。

83
是這樣的,小弟想開一個共用目錄,然後在每個user的webdisk檔案夾,
建立一個連結,可是,好像只要超過了/home/~之後,連結就不能使用了說?

比如說,我在/底下開一個叫做share的檔案夾,然後在/home/fz150n
建立一個/share的連結,比如說:

# ln -s /share /home/fz150/webdisk/share

可是,當我登入openwebmail的webdisk之後,那個連結是看不到的?

這個功能能達成嗎?

84
那個clamav你是用rpm還是碳球裝的呢?
兩個的路徑不一樣,所以,如果你用RPM:

主程式在:
/usr/bin/clamav-config
/usr/bin/clamdscan
/usr/bin/clamscan
/usr/bin/freshclam
/usr/bin/sigtool
/usr/sbin/clamd

病毒定義檔在這兒
/var/lib/clamav/


碳球板的主程式:
/usr/local/bin/
/usr/local/sbin/

病毒定義檔:
/usr/local/share/clamav/

好的,確定了掃毒程式的位置,看一下這個檔案:
/etc/MailScanner/virus.scanners.conf

代碼: [選擇]
clamav          /usr/lib/MailScanner/clamav-wrapper     /usr/local
clamavmodule    /bin/false                              /tmp


看看是不是有對應到你的掃毒程式。

我個人是比較偏好clamavmodule,官方網站說這樣效率比較好?
其實我也不知道啦,反正run起來還ok就是了,我裝的是:

clamav-0.81.tar.gz
Mail-ClamAV-0.13.tar.gz

如果您試的結果還是有問題,看看是否可以把幾個相關的設定檔波上來,
大家幫你看。

對耶~很奇怪,我的MailWatch上面,到現在還是出現亂碼,
是不是有其他撇步啊?順便敎一下~呵呵~

85
Linux 討論版 / 請問openwebmail
« 於: 2005-03-06 13:06 »
剛開始想用Openwebmail?還是先前用過,然後現在要用新版的呢?

建議回官方網站,按照你的作業系統版本,把所有相關套件抓回來重新安裝,
一般會卡在這裡,大概都是套件不夠齊全,少東少西的。

如果以在FC3安裝最新版的Openwebmail 2.5來說,

主程式在這裡:
http://www.openwebmail.org/openwebmail/download/redhat/rpm/release/

相關套件在這裡:
http://www.openwebmail.org/openwebmail/download/redhat/rpm/packages/fc3/
先裝套件,然後上主程式,裝完,先別init,把
/var/www/cgi-bin/openwebmail/etc/defaults/dbm.conf改成:

代碼: [選擇]
dbm_ext                 .db
dbmopen_ext             .db
dbmopen_haslock         no

然後再init,應該就好了。

接下來,就可以編輯一些主要的設定檔openwebmail.conf,
改成zh_TW.Big5啦~還是把iconset改成:Cool3D.Chinese.Traditional,
上一下clamav,spammassassin等等,功能就粉齊全的啦!

86
Linux 討論版 / 請問pptp 連線問題
« 於: 2005-03-06 12:50 »
這個問題我遇過,後來我是裝了這兩個套件才正常:

1. kms-2.0.5-1.noarch.rpm
2. ernel_ppp_mppe-0.0.5-2dkms.noarch.rpm

這要麻煩你上Google找一下,按順序裝上就好了。

至於/etc/pptpd.conf,大概只有這兩行而已:

localip 172.26.1.254                  #你的網卡IP
remoteip 172.26.1.231-238        #要分配給PPTP撥入的用戶IP範圍

啟動PPTPD之後,看一下netstat -ant是否有Port 1723,有的話,
直接用你的XP撥撥看,應該就通了。

但是會有一個問題,當遠端撥入的用戶是藏在NAT後面的時候,
就要採用L2TP,可是我怎麼裝就是裝不起來,大家一起研究看看~

87
剛剛不死心,開了三個putty的視窗看log
代碼: [選擇]
tail -f /var/log/openwebmail.log
tail -f /var/log/httpd/error_log
tail -f /var/log/clamd.log

發現是因為掃毒的關係,新版的clamav(0.8以上)已經沒有--mobox的選項,
所以/var/www/cgi-bin/openwebmail/etc/openwebmail.conf 改成這樣:

代碼: [選擇]
enable_viruscheck               yes
viruscheck_pipe    /usr/bin/clamdscan --disable-summary --stdout -
viruscheck_source_allowed       all

這是對於使用安裝clamav rpm版本,可以到這邊抓:
http://crash.fce.vutbr.cz/crash-hat/

如果使用原始檔安裝的話,應該是這樣:
代碼: [選擇]
enable_viruscheck               yes
viruscheck_pipe    /usr/local/bin/clamdscan --disable-summary --stdout -
viruscheck_source_allowed       all


因為抓外部的信會經過掃毒,如果管線錯誤,也就沒有辦法把信正確的抓回來。

不過,還是有點不穩就是了(沒裝speedy_suidperl喔~)
[Sun Feb 27 15:17:04 2005] [error] [client 210.163.99.130] Premature end of script headers: openwebmail-main.pl, referer: http://test.local/cgi-bin/openwebmail/openwebmail-prefs.pl

[Sun Feb 27 15:36:05 2005] [error] [client 210.163.99.130] Premature end of script headers: openwebmail-main.pl, referer: http://test.local/cgi-bin/openwebmail/openwebmail-main.pl?sessionid=tony*-session-0.898815726003708&folder=INBOX&page=1&longpage=0&sort=date&keyword=&searchtype=subject&action=listmessages

先用再說好了,如果還是常常會除現這樣的error,再想辦法灌回去舊版的好了。

88
先前在Fedora Core 2上面安裝Openwebmail 2.41,一切都好好的,
結果,最近幫朋友安裝FC3加上Openwebmail 2.5之後,就沒有辦法
收取外部pop3,目前已經改用fetchmail來替代。

我試著用tcpdump看看按下"收取外部信件"的按鈕時,是否有動作,
結果是有的,但是看來只有跟遠端pop3伺服器"溝通",並沒有真的
把信抓回來。

另外,Openwebmail動不動就會出現Internal server error,只要
reload一下網頁,又可以正常顯示了。

還有,照先前在README提的方法安裝好speedy_suidperl之後,
無法啟用speedy_suidperl的功能說~

請問有人也遇到相同的問題嗎?

還是灌FC2好了?

89
感激感激~

為避免ppp啟動時會設定預設路由,所以我在
ifcfg-pppX裡面,把defroute的選項取消掉,
NAT Masquerade的部分,把它丟給Shorewall去做,
其餘的部分,全部寫成一支程式來執行。

昨天晚上還是沒試出來,因為所有的連線都固定從某一條線出去,
不能上網嘛~又可以PING外面的主機,說GOOGLE不能連嘛~
到義守大學抓檔案又好好的??

我今天回家要再好好試一下,一條線給他同時撥兩條出去看看。

謝謝~

90
我試了好久,可是,還是怪怪的,雖然可以上網,可是時好時壞,
真的,好奇怪:

我的環境是這樣的:

Fedora Core 3
P-200
128 RAM
三張網卡
兩條ADSL非固定制,ppp0 and ppp1

目的:希望內部上網時,可以經由兩條ADSL負載平衡,如果可以,
希望也可以在其中一條線路斷掉的時候,自動切到另外一條?

*請別照著我的設定去做,底下的規則並沒有成功!

eth0 -> ppp0
eth1 -> 172.26.1.0/24  NAT for my local network
eth2 -> ppp1

Shorewall 2.2.0
rp-pppoe 3.65


/etc/shorewall/interfaces

net     ppp0            -               routefilter
net     ppp1            -               routefilter
loc     eth1            detect
dmz     eth2            detect

/etc/shorewall/zones
#ZONE   DISPLAY         COMMENTS
net     Net             Internet
loc     Local           Local Networks
dmz     DMZ             Demilitarized Zone
pptp    PoPToP          PPTP client
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE

/etc/shorewall/masq
#INTERFACE              SUBNET          ADDRESS         PROTO   PORT(S) ppp0                    eth1
ppp1                    eth1
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE

這是我的一些運行中的資料:
[root@fz150 ~]# ip route list
218.163.96.254 dev ppp1  scope link  src 218.163.104.146
220.141.32.254 dev ppp0  scope link  src 61.225.194.52
10.0.0.0/24 dev eth2  proto kernel  scope link  src 10.0.0.254
172.26.1.0/24 dev eth1  proto kernel  scope link  src 172.26.1.254
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.254
169.254.0.0/16 dev eth0  scope link
default via 218.163.96.254 dev ppp1
default equalize
        nexthop via 220.141.32.254  dev ppp0 weight 5
        nexthop via 218.163.96.254  dev ppp1 weight 10

[root@fz150 ~]# ip rule show
0:      from all lookup local
32762:  from 218.163.104.146 lookup T2
32763:  from 61.225.194.52 lookup T1
32764:  from 218.163.115.249 lookup T2
32765:  from 61.225.193.41 lookup T1
32766:  from all lookup main
32767:  from all lookup default

[root@fz150 ~]# ip route show table T1
218.163.96.254 dev ppp1  scope link
220.141.32.254 dev ppp0  scope link  src 61.225.194.52
172.26.1.0/24 dev eth1  scope link
127.0.0.0/8 dev lo  scope link
default via 220.141.32.254 dev ppp0

[root@fz150 ~]# ip route show table T2
218.163.96.254 dev ppp1  scope link  src 218.163.104.146
220.141.32.254 dev ppp0  scope link
172.26.1.0/24 dev eth1  scope link
127.0.0.0/8 dev lo  scope link
default via 218.163.96.254 dev ppp1

還有從網路上抄來的一小段:
iptables -t filter -N keep_state
iptables -t filter -A keep_state -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A keep_state -j RETURN
iptables -t nat -N keep_state
iptables -t nat -A keep_state -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A keep_state -j RETURN
iptables -t nat -A PREROUTING -j keep_state
iptables -t nat -A POSTROUTING -j keep_state
iptables -t nat -A OUTPUT -j keep_state
iptables -t filter -A OUTPUT -j keep_state
iptables -t filter -A INPUT -j keep_state
iptables -t filter -A FORWARD -j keep_state

有沒有比較好的方式,或者,已經有人做到了呢?
這個方式真的有用嗎:
default equalize
        nexthop via 220.141.32.254  dev ppp0 weight 5
        nexthop via 218.163.96.254  dev ppp1 weight 10

還是,PPP根本就不行這樣玩?

頁: 1 2 [3] 4