Hello World

可能是其他人有登入，則請其他人先退出
或是登入後因為網路不穩，造成連線不正常中斷，此時就必須要等timeout時間一到，才可以再登入
另外可以嘗試透過rsh重啟telnet 或是ssh服務來解決這個問題
首先確定netapp 的rsh 是否有開啟
找一台client測試以下指令
client# rsh filer_ip -l root@password df
如果有正常回應的話
輸入
client# rsh filer_ip -l root@password "options ssh.enable off"
client# rsh filer_ip -l root@password "options ssh.enable on"
或是
client# rsh filer_ip -l root@password "options telnet.enable off"
client# rsh filer_ip -l root@password "options telnet.enable on"
即可

acl trust {
  "localhost";
  "10.1.2.0"/24; #信任ip1
  "192.168.20.0"/24; #信任ip2
}

acl block {
  "10.9.9.0"/24; #黑名單1
  "192.168.9.0"/24; #黑名單2
}

sub vcl_recv {
  ## 只允許trust ip 連線到以下vhost
  if ((req.http.host == "intranet.example.com") || (req.http.host == "admin.example.com")) {
    if (client.ip !~ trust) {
      error 403;
    }
  }

  ## 禁止黑名單訪問網站
  if (client.ip ~ block) {
    error 403;
  }
....
...
}

FreeBSD + IPFW 當 NAT 供內部電腦上網

測試環境
client pc
ip: 10.2.3.100/255.255.255.0
gate way: 10.2.3.254

freebsd host:
os: FreeBSD 9.3-RELEASE x64
em0: x.x.x.x/255.255.255.0 (internet ip)
em1: 10.2.3.254/255.255.255.0

step1:
# cd /usr/src/sys/amd64/conf
將以下幾行加入 kernel , 並重新compile
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=5
options IPFIREWALL_DEFAULT_TO_ACCEPT
options IPDIVERT

step2:
編輯/etc/rc.conf
firewall_enable="YES"
firewall_type="OPEN"
natd_interface="em0" ##這裡是外部ip網卡的代號
natd_enable="YES"
gateway_enable="YES"

step3:
重開機，如果設定正常的話，在內部網路的client應該都可以透過freebsd上網了~

step4: (可省略)
# ipfw show
檢查是否有這一行
00050 34679 4765350 divert 8668 ip4 from any to any via em0

要把硬碟丟掉之前，又擔心硬碟資料外流
可以下載 centos live dvd，利用內建 shred 程式
將亂數重複抄寫到硬碟的磁區上
如此一來一般軟體很難救回來，可以比較放心的回收，但在精密的實驗室中仍有機會被還原資料

以下範例是預設值，並顯示抄寫的進度
[root@livedvd ~]# shred -v /dev/sda

 

保險一點，重複抄寫七次也可以
[root@livedvd ~]# shred -v -n7 /dev/sda

複寫過的硬碟，如果用fdisk 檢查的話，可以看到類似的畫面，想必裡面是一些很亂很亂的資料吧

 

以下的範例是自動產生1~100流水號，在前面加上sn字串並把不足五位數的以0補足

<?php

for ($i = 1; $i<=100 ; $i++){
  echo sprintf("sn-%05d", $i);
  echo "\n";
}

?>

輸出結果

sn-00001
sn-00002
......
sn-00100

 

PHP學習手冊

如果要顯示今天的日期
date "+%Y%m%d"
20150523

如果要顯示前一天的日期
date -v-1d "+%Y%m%d"

顯示後一天的日期
date -v+1d "+%Y%m%d"

安裝完VMware vSphere Client 5.5後
開啟程式時會很貼心的幫你轉成正體中文
如果比較習慣英文介面的，可以參考以下步驟
在桌面捷徑點右鍵->內容
目標->後面新增 -locale en_US後確定即可

 


實戰VMware vSphere 6.x企業私有雲建置：異地備援x軟體定義儲存x高可用性
作者： 顧武雄  
出版社：碁峰  
出版日期：2017/03/13
語言：繁體中文
定價：450元

Linux當記憶體用完時，就會用到swap空間，但如果連swap空間也不足時，往往系統就會出現很難預期的狀況，甚至無法登入維護
所以一個適當的swap空間是必須要的，但如果已經是線上服務無法重新劃分空間的時候怎麼辦
以下是線上建立一個swapfile的範例

利用dd指令建立一個4G大小的檔案
# dd if=/dev/zero of=/swapfile01 bs=8192 count=524288
524288+0 records in
524288+0 records out
4294967296 bytes (4.3 GB) copied, 97.5928 seconds, 44.0 MB/s

轉換為swap格式
# mkswap /swapfile01
Setting up swapspace version 1, size = 4294963 kB

編輯/etc/fstab，新增以下一行設定，讓下次重開機時可以自動掛載 swap
# vi /etc/fstab
/swapfile01 none swap sw 0 0

手動掛載剛剛建立的swap 空間
# swapon /swapfile01
或是
# swapon -a

重開機試試剛剛的 fstab 是否生效

如果netapp storage的raid硬碟壞到不能再壞一顆且已經沒有spare保護時
netapp會自動啟動保護機制，自己關機，預設值為24小時
有幾個解決方案
1. 在24小時內更換硬碟
2. 如果24小時內無法登換硬碟可以修改raid.timeout參數
如: options raid.timeout 72

example

192.168.100.100 vip
192.168.100.101 active server
192.168.100.102 standby server

/cfg/slb/real 101
rip 192.168.100.101
backup 192.168.100.102
ena

/cfg/slb/real 102
rip 192.168.100.100
ena

/cfg/slb/group 100
add 101

/cfg/slb/virt 100
vip 192.168.100.100
service 80/group 100
..
ena

 最後記得
apply
save

cd /usr/ports/www/apache22-worker-mpm ; make install

cd /usr/ports/lang/php5 ; make install
[x] Build FPM version

cd /usr/ports/lang/php5-extensions/ ; make install

cd /usr/ports/www/mod_fastcgi ; make install

建議fastcgi可以獨立一個設定檔
vi /usr/local/etc/apache22/extra/php-fpm.conf
<IfModule prefork.c>
LoadModule php5_module libexec/apache22/libphp5.so
AddType application/x-httpd-php .php .html
AddType application/x-httpd-php-source .phps
</IfModule>

<IfModule worker.c>
FastCGIExternalServer /usr/local/sbin/php-fpm -socket /tmp/php-fpm.sock -idle-timeout 900
AddHandler php-fastcgi .php
Action php-fastcgi /usr/local/sbin/php-fpm.fcgi
ScriptAlias /usr/local/sbin/php-fpm.fcgi /usr/local/sbin/php-fpm

<Directory /usr/local/sbin >
Options ExecCGI FollowSymLinks
SetHandler fastcgi-script
Order allow,deny
Allow from all
</Directory>
</IfModule>

DirectoryIndex index.php index.html

編輯apache設定檔
vi /usr/local/etc/apache22/httpd.conf
如果有Load php module的話，把他註解掉，保留LoadModule fastcgi_module
LoadModule fastcgi_module libexec/apache22/mod_fastcgi.so
#LoadModule php5_module libexec/apache22/libphp5.so

Include etc/apache22/extra/php-fpm.conf

編輯php-fpm.conf
listen = /tmp/php-fpm.sock
listen.owner = www
listen.group = www
listen.mode = 0660

編輯/etc/rc.conf
apache22_enable="YES"
php_fpm_enable="YES"

重開機或手動啟動service
/usr/local/etc/rc.d/php-fpm start
/usr/local/etc/rc.d/apache22 start

PHP學習手冊

最近有同事反映瀏覽網站出現 "WARNING: malicious javascript detected on this domain"

爬了一下，原來是跟 GitHub被 ddos 攻擊有關
使用者只要在中國境外瀏覽的網頁中有包含百度統計機制的javascript ，瀏覽器就會執行到被竄改過的js
你的瀏覽器就成了借刀殺人中的那把刀了

GitHub目前先把部分頁面換成alert("WARNING: malicious javascript detected on this domain");
來防止攻擊

#確定參數有啟用
netapp> options nfs.per_client_stats.enable on

#將counter歸零
netapp> nfsstat -z

#列出目前正在連線的client狀況
netapp> nfsstat -l

參考資料 https://library.netapp.com/ecmdocs/ECMP1511538/html/man1/na_nfsstat.1.html

環境:

linux nat server:
eth0: x.x.x.x (外網ip)
eth1: 192.168.0.254 (內網ip)

執行以下兩個指令後，即可生效
# sysctl net.ipv4.ip_forward=1
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

觀察是否生效
/etc/init.d/iptables status 或是 service iptables status
...
Chain POSTROUTING (policy ACCEPT)
num target prot opt source destination
1 MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0
...
 

如果要移除nat設定，請執行以下兩行指令
# sysctl net.ipv4.ip_forward=0
# iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

但以上兩個指令重開機後，會回復到預設值
所以要寫進設定檔

# vi /etc/sysctl.conf
net.ipv4.ip_forward = 1

# /etc/init.d/iptables save 或是 service iptables save

個人電腦端設定:
只要把default gateway 指到192.168.0.254 即可

鳥哥的Linux私房菜：伺服器架設篇(第三版)(附光碟)
作者： 鳥哥  
出版社：碁峰  
 

為了安全性的考量，新版的 firefox預設已經不支援sslv3了，如果瀏覽sslv3伺服器會出現以下的錯誤訊息

無法安全地連線
Firefox 無法確保您在 10.1.1.1 上的資料安全，因為這台伺服器使用不再安全的 SSLv3 通訊協定。
進階資訊: ssl_error_unsupported_version

但，如果網路設備沒有辦法更新的話，可以暫時修改firefox的設定

步驟:
在網址列上輸入 about:config
firefox會好心的提醒你不要隨便亂搞，修改一定要小心
進去後找到 security.tls.version.min
修改設定值 1 -> 0

記得瀏覽完網頁後建議改為原來的設定值，確保你日後上網的安全


資安風險評估指南(第三版)
Network Security Assessment, 3E
作者： Chris McNab  
譯者： 江湖海
出版社：歐萊禮

cd /usr/ports/sysutils/htop
make install

如果出現以下錯誤訊息

FreeBSD 9.3 August 10, 1994 FreeBSD 9.3
root@api-02:/usr/ports/sysutils/htop # make install
===> htop-1.0.3 depends on file: /usr/local/bin/python2.7 - found
===> htop-1.0.3 depends on executable: python2 - found
===> htop-1.0.3 depends on file: /usr/local/bin/automake-1.15 - found
===> htop-1.0.3 depends on file: /usr/local/bin/autoconf-2.69 - found
===> htop-1.0.3 depends on shared library: libexecinfo.so - found (/usr/local/lib/libexecinfo.so.1)
===> Configuring for htop-1.0.3
***********************************************************
htop(1) requires linprocfs(5) to be mounted. If you don't
have it mounted already, please add this line to /etc/fstab
and run `mkdir -p /usr/compat/linux/proc; ln -s /usr/compat /compat; mount linproc`:
linproc /compat/linux/proc linprocfs rw,late 0 0
***********************************************************
*** [pre-configure] Error code 1

Stop in /usr/ports/sysutils/htop.
*** [install] Error code 1

Stop in /usr/ports/sysutils/htop.

修改/etc/fstab，並建立以下目錄即可

# vi /etc/fstab
linproc /compat/linux/proc linprocfs rw,late 0 0

# mkdir -p /usr/compat/linux/proc ; ln -s /usr/compat /compat ; mount linproc

# make install


硬漢之路：UNIX 完美淬鍊
作者： 張春曉  
出版社：佳魁資訊  
出版日期：2017/06/30

灰名單常用來阻擋打了就跑的spam
推測垃圾信發送人為了自己的效率，不會再retry的機制，發展出來的應變機制

1. 安裝postfix (略)

2. 安裝&設定 postgrey
cd /usr/ports/mail/postgrey
make install

vi /etc/rc.conf
postgrey_enable="YES"

vi main.cf
smtpd_recipient_restrictions =
   permit_sasl_authenticated,
   permit_mynetworks,
   check_policy_service inet:127.0.0.1:10023

/usr/local/etc/rc.d/postgrey restart

/usr/local/etc/rc.d/postfix restart

3. 觀察maillog , 的確有達到預期的效果，如果符合條件會先送450 , 請對方晚點再送一次

Mar 13 14:07:52 mail postfix/smtpd[51893]: connect from mail.xx.uz[94.141.xx.138]
Mar 13 14:07:54 mail postfix/smtpd[51893]: Anonymous TLS connection established from mail.xx.uz[94.141.xx.138]: TLSv1 with cipher AES128-SHA (128/128 bits)
Mar 13 14:07:56 mail postgrey[96122]: action=greylist, reason=new, client_name=mail.xx.uz, client_address=94.141.xx.138, sender=xx@oo.xx, recipient=xx@xx.com
Mar 13 14:07:56 mail postfix/smtpd[51893]: NOQUEUE: reject: RCPT from mail.xx.uz[94.141.xx.138]: 450 4.2.0 <xx@xx.com>: Recipient address rejected: Greylisted, see http://postgrey.schweikert.ch/help/mail.xx.com.html; from=<xx@oo.xx> to=<xx@xx.com> proto=ESMTP helo=<mail.xx.uz>
Mar 13 14:07:57 mail postfix/smtpd[51893]: disconnect from mail.xx.uz[94.141.xx.138]

4. 相信每一種antispam的技術一定都不敢保證100%的攔截率或是 0%的誤攔率
灰名單的優點是可以阻擋想打了就跑的spam、在對方下次retry前可以爭取時間，這段時間如果對方ip被列入rbl,即可透過rbl阻擋
缺點是公司mis可能會被抱怨，為什麼對方已經寄出來我很久才收到??或是為什麼我有重要的信沒收到(可能是透過程式發送的郵件，沒有設計retry機制)
另外如果是因為對方帳號被盜用，而且是正常的mail server, 且還沒被列入rbl ，這個機制就破功了orz

postfix 安裝設定..略

安裝clamav
/usr/ports/security/clamav/
make install
除了預設值外，另外再勾選 [X]MILTER Compile the milter interface

更新病毒碼
/usr/local/etc/rc.d/clamav-freshclam onestart
預設路徑 /var/db/clamav/

修改/usr/local/etc/postfix/main.cf
#anti virus
smtpd_milters = unix:/var/run/clamav/clmilter.sock

啟動clamav
/usr/local/etc/rc.d/clamav-clamd onestart
/usr/local/etc/rc.d/clamav-milter onestart

重啟postfix
/usr/local/etc/rc.d/postfix restart

修改/etc/rc.conf
clamav_freshclam_enable="YES"
clamav_clamd_enable="YES"
clamav_milter_enable="YES"

測試病毒信，可以在eicar下載測試樣本
發現有病毒的信件不會退信，會放在queue中

86F2111FDF24! 1201 Tue Mar 10 13:28:14 xxx@xxx.xxx.xx
xxx@xxx.xxx.xx

maillog會出現以下類似訊息

Mar 10 13:28:14 xxx postfix/smtpd[68336]: 86F2111FDF24: client=unknown[10.1.1.1]
Mar 10 13:28:14 xxx postfix/cleanup[68229]: 86F2111FDF24: message-id=<54FE80ED.7070108@xxx.xxx.xx>
Mar 10 13:28:14 xxx postfix/cleanup[68229]: 86F2111FDF24: milter-hold: END-OF-MESSAGE from unknown[10.1.1.1]: milter triggers HOLD action; from=<xxx@xxx.xxx.xx> to=<xxx@xxx.xxx.xx> proto=ESMTP helo=<[10.2.2.2]>

如果要清理queue的話，可以下指令清理

postsuper -d ALL ，清理全部queue
或是
postsuper -d QueueID ，清理單一封

EPEL(Extra Packages for Enterprise Linux) Repo可以讓類RedHat Linux，(如CentOS)可以輕鬆安裝官方沒有收錄的工具

安裝方式

首先查看自己的Linux版本
# cat /etc/issue
CentOS release 6.6 (Final)

# uname -a
Linux lab1.mybox.tw 2.6.32-504.el6.x86_64 #1 SMP Wed Oct 15 04:27:16 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux

首先瀏覽 http://mirror01.idc.hinet.net/EPEL/
找到適合的Linux版本所在的目錄，下載epel-release-*.rpm

以這個版本為例
# wget http://mirror01.idc.hinet.net/EPEL/6/x86_64/epel-r...

安裝剛剛下載回來的rpm
# rpm -ivh epel-release-*-*.noarch.rpm

or
yum -y install epel-release

如果是freebsd透過ports安裝預設路徑的話
指令如下
/usr/local/lib/webmin/changepass.pl /usr/local/etc/webmin admin 1234
上述指令會將admin的密碼修改為1234