可能是其他人有登入,則請其他人先退出
或是登入後因為網路不穩,造成連線不正常中斷,此時就必須要等timeout時間一到,才可以再登入
另外可以嘗試透過rsh重啟telnet 或是ssh服務來解決這個問題
首先確定netapp 的rsh 是否有開啟
找一台client測試以下指令
client# rsh filer_ip -l root@password df
如果有正常回應的話
輸入
client# rsh filer_ip -l root@password "options ssh.enable off"
client# rsh filer_ip -l root@password "options ssh.enable on"
或是
client# rsh filer_ip -l root@password "options telnet.enable off"
client# rsh filer_ip -l root@password "options telnet.enable on"
即可
helloworld
目前分類:系統管理 (418)
- Jul 30 Thu 2015 16:53
"NetApp Too many users logged in! Please try again later." 解決方式
- Jul 16 Thu 2015 13:55
在varnish設定ACL, deny or allow some ip address
acl trust {
"localhost";
"10.1.2.0"/24; #信任ip1
"192.168.20.0"/24; #信任ip2
}
acl block {
"10.9.9.0"/24; #黑名單1
"192.168.9.0"/24; #黑名單2
}
sub vcl_recv {
## 只允許trust ip 連線到以下vhost
if ((req.http.host == "intranet.example.com") || (req.http.host == "admin.example.com")) {
if (client.ip !~ trust) {
error 403;
}
}
## 禁止黑名單訪問網站
if (client.ip ~ block) {
error 403;
}
....
...
}
- Jun 18 Thu 2015 12:10
FreeBSD + IPFW 當 NAT 供內部電腦上網
FreeBSD + IPFW 當 NAT 供內部電腦上網
測試環境
client pc
ip: 10.2.3.100/255.255.255.0
gate way: 10.2.3.254
freebsd host:
os: FreeBSD 9.3-RELEASE x64
em0: x.x.x.x/255.255.255.0 (internet ip)
em1: 10.2.3.254/255.255.255.0
step1:
# cd /usr/src/sys/amd64/conf
將以下幾行加入 kernel , 並重新compile
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=5
options IPFIREWALL_DEFAULT_TO_ACCEPT
options IPDIVERT
step2:
編輯/etc/rc.conf
firewall_enable="YES"
firewall_type="OPEN"
natd_interface="em0" ##這裡是外部ip網卡的代號
natd_enable="YES"
gateway_enable="YES"
step3:
重開機,如果設定正常的話,在內部網路的client應該都可以透過freebsd上網了~
step4: (可省略)
# ipfw show
檢查是否有這一行
00050 34679 4765350 divert 8668 ip4 from any to any via em0
- Jun 17 Wed 2015 11:08
使用 shred 刪除硬碟資料
要把硬碟丟掉之前,又擔心硬碟資料外流
可以下載 centos live dvd,利用內建 shred 程式
將亂數重複抄寫到硬碟的磁區上
如此一來一般軟體很難救回來,可以比較放心的回收,但在精密的實驗室中仍有機會被還原資料
以下範例是預設值,並顯示抄寫的進度
[root@livedvd ~]# shred -v /dev/sda
保險一點,重複抄寫七次也可以
[root@livedvd ~]# shred -v -n7 /dev/sda
複寫過的硬碟,如果用fdisk 檢查的話,可以看到類似的畫面,想必裡面是一些很亂很亂的資料吧
- May 27 Wed 2015 16:08
php 補0 - 快速建立n位數的流水號
以下的範例是自動產生1~100流水號,在前面加上sn字串並把不足五位數的以0補足
<?php
for ($i = 1; $i<=100 ; $i++){
echo sprintf("sn-%05d", $i);
echo "\n";
}
?>
輸出結果
sn-00001
sn-00002
......
sn-00100
- May 23 Sat 2015 22:12
Linux date指令取得n天前日期
如果要顯示今天的日期
date "+%Y%m%d"
20150523
如果要顯示前一天的日期
date -v-1d "+%Y%m%d"
顯示後一天的日期
date -v+1d "+%Y%m%d"
- May 05 Tue 2015 13:19
VMware vSphere Client切換成英文介面
安裝完VMware vSphere Client 5.5後
開啟程式時會很貼心的幫你轉成正體中文
如果比較習慣英文介面的,可以參考以下步驟
在桌面捷徑點右鍵->內容
目標->後面新增 -locale en_US後確定即可
實戰VMware vSphere 6.x企業私有雲建置:異地備援x軟體定義儲存x高可用性
作者: 顧武雄
出版社:碁峰
出版日期:2017/03/13
語言:繁體中文
定價:450元
- Apr 23 Thu 2015 10:08
線上新增Linux swap空間
Linux當記憶體用完時,就會用到swap空間,但如果連swap空間也不足時,往往系統就會出現很難預期的狀況,甚至無法登入維護
所以一個適當的swap空間是必須要的,但如果已經是線上服務無法重新劃分空間的時候怎麼辦
以下是線上建立一個swapfile的範例
利用dd指令建立一個4G大小的檔案
# dd if=/dev/zero of=/swapfile01 bs=8192 count=524288
524288+0 records in
524288+0 records out
4294967296 bytes (4.3 GB) copied, 97.5928 seconds, 44.0 MB/s
轉換為swap格式
# mkswap /swapfile01
Setting up swapspace version 1, size = 4294963 kB
編輯/etc/fstab,新增以下一行設定,讓下次重開機時可以自動掛載 swap
# vi /etc/fstab
/swapfile01 none swap sw 0 0
手動掛載剛剛建立的swap 空間
# swapon /swapfile01
或是
# swapon -a
重開機試試剛剛的 fstab 是否生效
- Apr 21 Tue 2015 16:23
NetApp出現 System Notification from filer (SHUTDOWN PENDING (degraded mode)) CRITICAL
如果netapp storage的raid硬碟壞到不能再壞一顆且已經沒有spare保護時
netapp會自動啟動保護機制,自己關機,預設值為24小時
有幾個解決方案
1. 在24小時內更換硬碟
2. 如果24小時內無法登換硬碟可以修改raid.timeout參數
如: options raid.timeout 72
- Apr 14 Tue 2015 15:15
Alteon L4 swicth real server active/standby HA
example
192.168.100.100 vip
192.168.100.101 active server
192.168.100.102 standby server
/cfg/slb/real 101
rip 192.168.100.101
backup 192.168.100.102
ena
/cfg/slb/real 102
rip 192.168.100.100
ena
/cfg/slb/group 100
add 101
/cfg/slb/virt 100
vip 192.168.100.100
service 80/group 100
..
ena
最後記得
apply
save
- Apr 07 Tue 2015 15:09
freebsd + apache + fastcgi + php-fpm
cd /usr/ports/www/apache22-worker-mpm ; make install
cd /usr/ports/lang/php5 ; make install
[x] Build FPM version
cd /usr/ports/lang/php5-extensions/ ; make install
cd /usr/ports/www/mod_fastcgi ; make install
建議fastcgi可以獨立一個設定檔
vi /usr/local/etc/apache22/extra/php-fpm.conf
<IfModule prefork.c>
LoadModule php5_module libexec/apache22/libphp5.so
AddType application/x-httpd-php .php .html
AddType application/x-httpd-php-source .phps
</IfModule>
<IfModule worker.c>
FastCGIExternalServer /usr/local/sbin/php-fpm -socket /tmp/php-fpm.sock -idle-timeout 900
AddHandler php-fastcgi .php
Action php-fastcgi /usr/local/sbin/php-fpm.fcgi
ScriptAlias /usr/local/sbin/php-fpm.fcgi /usr/local/sbin/php-fpm
<Directory /usr/local/sbin >
Options ExecCGI FollowSymLinks
SetHandler fastcgi-script
Order allow,deny
Allow from all
</Directory>
</IfModule>
DirectoryIndex index.php index.html
編輯apache設定檔
vi /usr/local/etc/apache22/httpd.conf
如果有Load php module的話,把他註解掉,保留LoadModule fastcgi_module
LoadModule fastcgi_module libexec/apache22/mod_fastcgi.so
#LoadModule php5_module libexec/apache22/libphp5.so
Include etc/apache22/extra/php-fpm.conf
編輯php-fpm.conf
listen = /tmp/php-fpm.sock
listen.owner = www
listen.group = www
listen.mode = 0660
編輯/etc/rc.conf
apache22_enable="YES"
php_fpm_enable="YES"
重開機或手動啟動service
/usr/local/etc/rc.d/php-fpm start
/usr/local/etc/rc.d/apache22 start
- Apr 02 Thu 2015 15:38
瀏覽器出現 "WARNING: malicious javascript detected on this domain"
最近有同事反映瀏覽網站出現 "WARNING: malicious javascript detected on this domain"
爬了一下,原來是跟 GitHub被 ddos 攻擊有關
使用者只要在中國境外瀏覽的網頁中有包含百度統計機制的javascript ,瀏覽器就會執行到被竄改過的js
你的瀏覽器就成了借刀殺人中的那把刀了
GitHub目前先把部分頁面換成alert("WARNING: malicious javascript detected on this domain");
來防止攻擊
- Mar 27 Fri 2015 10:20
列出netapp連線中的nfs clients
#確定參數有啟用
netapp> options nfs.per_client_stats.enable on
#將counter歸零
netapp> nfsstat -z
#列出目前正在連線的client狀況
netapp> nfsstat -l
參考資料 https://library.netapp.com/ecmdocs/ECMP1511538/html/man1/na_nfsstat.1.html
- Mar 20 Fri 2015 11:24
利用CentOS當NAT讓內部電腦上網
環境:
linux nat server:
eth0: x.x.x.x (外網ip)
eth1: 192.168.0.254 (內網ip)
執行以下兩個指令後,即可生效
# sysctl net.ipv4.ip_forward=1
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
觀察是否生效
/etc/init.d/iptables status 或是 service iptables status
...
Chain POSTROUTING (policy ACCEPT)
num target prot opt source destination
1 MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0
...
如果要移除nat設定,請執行以下兩行指令
# sysctl net.ipv4.ip_forward=0
# iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
但以上兩個指令重開機後,會回復到預設值
所以要寫進設定檔
# vi /etc/sysctl.conf
net.ipv4.ip_forward = 1
# /etc/init.d/iptables save 或是 service iptables save
個人電腦端設定:
只要把default gateway 指到192.168.0.254 即可
鳥哥的Linux私房菜:伺服器架設篇(第三版)(附光碟)
作者: 鳥哥
出版社:碁峰
- Mar 18 Wed 2015 10:37
firefox不支援sslv3通訊協定
為了安全性的考量,新版的 firefox預設已經不支援sslv3了,如果瀏覽sslv3伺服器會出現以下的錯誤訊息
無法安全地連線
Firefox 無法確保您在 10.1.1.1 上的資料安全,因為這台伺服器使用不再安全的 SSLv3 通訊協定。
進階資訊: ssl_error_unsupported_version
但,如果網路設備沒有辦法更新的話,可以暫時修改firefox的設定
步驟:
在網址列上輸入 about:config
firefox會好心的提醒你不要隨便亂搞,修改一定要小心
進去後找到 security.tls.version.min
修改設定值 1 -> 0
記得瀏覽完網頁後建議改為原來的設定值,確保你日後上網的安全
資安風險評估指南(第三版)
Network Security Assessment, 3E
作者: Chris McNab
譯者: 江湖海
出版社:歐萊禮
- Mar 13 Fri 2015 16:50
freebsd 安裝htop
cd /usr/ports/sysutils/htop
make install
如果出現以下錯誤訊息
FreeBSD 9.3 August 10, 1994 FreeBSD 9.3
root@api-02:/usr/ports/sysutils/htop # make install
===> htop-1.0.3 depends on file: /usr/local/bin/python2.7 - found
===> htop-1.0.3 depends on executable: python2 - found
===> htop-1.0.3 depends on file: /usr/local/bin/automake-1.15 - found
===> htop-1.0.3 depends on file: /usr/local/bin/autoconf-2.69 - found
===> htop-1.0.3 depends on shared library: libexecinfo.so - found (/usr/local/lib/libexecinfo.so.1)
===> Configuring for htop-1.0.3
***********************************************************
htop(1) requires linprocfs(5) to be mounted. If you don't
have it mounted already, please add this line to /etc/fstab
and run `mkdir -p /usr/compat/linux/proc; ln -s /usr/compat /compat; mount linproc`:
linproc /compat/linux/proc linprocfs rw,late 0 0
***********************************************************
*** [pre-configure] Error code 1
Stop in /usr/ports/sysutils/htop.
*** [install] Error code 1
Stop in /usr/ports/sysutils/htop.
修改/etc/fstab,並建立以下目錄即可
# vi /etc/fstab
linproc /compat/linux/proc linprocfs rw,late 0 0
# mkdir -p /usr/compat/linux/proc ; ln -s /usr/compat /compat ; mount linproc
# make install
硬漢之路:UNIX 完美淬鍊
作者: 張春曉
出版社:佳魁資訊
出版日期:2017/06/30
- Mar 13 Fri 2015 15:08
postfix + 灰名單
灰名單常用來阻擋打了就跑的spam
推測垃圾信發送人為了自己的效率,不會再retry的機制,發展出來的應變機制
1. 安裝postfix (略)
2. 安裝&設定 postgrey
cd /usr/ports/mail/postgrey
make install
vi /etc/rc.conf
postgrey_enable="YES"
vi main.cf
smtpd_recipient_restrictions =
permit_sasl_authenticated,
permit_mynetworks,
check_policy_service inet:127.0.0.1:10023
/usr/local/etc/rc.d/postgrey restart
/usr/local/etc/rc.d/postfix restart
3. 觀察maillog , 的確有達到預期的效果,如果符合條件會先送450 , 請對方晚點再送一次
Mar 13 14:07:52 mail postfix/smtpd[51893]: connect from mail.xx.uz[94.141.xx.138]
Mar 13 14:07:54 mail postfix/smtpd[51893]: Anonymous TLS connection established from mail.xx.uz[94.141.xx.138]: TLSv1 with cipher AES128-SHA (128/128 bits)
Mar 13 14:07:56 mail postgrey[96122]: action=greylist, reason=new, client_name=mail.xx.uz, client_address=94.141.xx.138, sender=xx@oo.xx, recipient=xx@xx.com
Mar 13 14:07:56 mail postfix/smtpd[51893]: NOQUEUE: reject: RCPT from mail.xx.uz[94.141.xx.138]: 450 4.2.0 <xx@xx.com>: Recipient address rejected: Greylisted, see http://postgrey.schweikert.ch/help/mail.xx.com.html; from=<xx@oo.xx> to=<xx@xx.com> proto=ESMTP helo=<mail.xx.uz>
Mar 13 14:07:57 mail postfix/smtpd[51893]: disconnect from mail.xx.uz[94.141.xx.138]
4. 相信每一種antispam的技術一定都不敢保證100%的攔截率或是 0%的誤攔率
灰名單的優點是可以阻擋想打了就跑的spam、在對方下次retry前可以爭取時間,這段時間如果對方ip被列入rbl,即可透過rbl阻擋
缺點是公司mis可能會被抱怨,為什麼對方已經寄出來我很久才收到??或是為什麼我有重要的信沒收到(可能是透過程式發送的郵件,沒有設計retry機制)
另外如果是因為對方帳號被盜用,而且是正常的mail server, 且還沒被列入rbl ,這個機制就破功了orz
- Mar 10 Tue 2015 13:39
postfix + clamav 掃毒
postfix 安裝設定..略
安裝clamav
/usr/ports/security/clamav/
make install
除了預設值外,另外再勾選 [X]MILTER Compile the milter interface
更新病毒碼
/usr/local/etc/rc.d/clamav-freshclam onestart
預設路徑 /var/db/clamav/
修改/usr/local/etc/postfix/main.cf
#anti virus
smtpd_milters = unix:/var/run/clamav/clmilter.sock
啟動clamav
/usr/local/etc/rc.d/clamav-clamd onestart
/usr/local/etc/rc.d/clamav-milter onestart
重啟postfix
/usr/local/etc/rc.d/postfix restart
修改/etc/rc.conf
clamav_freshclam_enable="YES"
clamav_clamd_enable="YES"
clamav_milter_enable="YES"
測試病毒信,可以在eicar下載測試樣本
發現有病毒的信件不會退信,會放在queue中
86F2111FDF24! 1201 Tue Mar 10 13:28:14 xxx@xxx.xxx.xx
xxx@xxx.xxx.xx
maillog會出現以下類似訊息
Mar 10 13:28:14 xxx postfix/smtpd[68336]: 86F2111FDF24: client=unknown[10.1.1.1]
Mar 10 13:28:14 xxx postfix/cleanup[68229]: 86F2111FDF24: message-id=<54FE80ED.7070108@xxx.xxx.xx>
Mar 10 13:28:14 xxx postfix/cleanup[68229]: 86F2111FDF24: milter-hold: END-OF-MESSAGE from unknown[10.1.1.1]: milter triggers HOLD action; from=<xxx@xxx.xxx.xx> to=<xxx@xxx.xxx.xx> proto=ESMTP helo=<[10.2.2.2]>
如果要清理queue的話,可以下指令清理
postsuper -d ALL ,清理全部queue
或是
postsuper -d QueueID ,清理單一封
- Mar 06 Fri 2015 17:51
install epel on CentOS
EPEL(Extra Packages for Enterprise Linux) Repo可以讓類RedHat Linux,(如CentOS)可以輕鬆安裝官方沒有收錄的工具
安裝方式
首先查看自己的Linux版本
# cat /etc/issue
CentOS release 6.6 (Final)
# uname -a
Linux lab1.mybox.tw 2.6.32-504.el6.x86_64 #1 SMP Wed Oct 15 04:27:16 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux
首先瀏覽 http://mirror01.idc.hinet.net/EPEL/
找到適合的Linux版本所在的目錄,下載epel-release-*.rpm
以這個版本為例
# wget http://mirror01.idc.hinet.net/EPEL/6/x86_64/epel-r...
安裝剛剛下載回來的rpm
# rpm -ivh epel-release-*-*.noarch.rpm
or
yum -y install epel-release
- Mar 02 Mon 2015 10:39
webmin忘記admin密碼
如果是freebsd透過ports安裝預設路徑的話
指令如下
/usr/local/lib/webmin/changepass.pl /usr/local/etc/webmin admin 1234
上述指令會將admin的密碼修改為1234