2013年09月27日

asterisk很强大很好使,亲测可用,首先执行下面的操作:

For this install I am using Asterisk 11.0.1 and will be compiling from source on Ubuntu 12.04.1.

注意,这里的含有&&都可以分步做,更好哦。

Before you begin the install process you will want to be sure that your server OS is up to date. When the update completes the server will reboot.

 apt-get update && apt-get upgrade -y && reboot

Next you will want to resolve basic dependencies

apt-get install build-essential wget libssl-dev libncurses5-dev libnewt-dev  libxml2-dev linux-headers-$(uname -r) libsqlite3-dev

Download the source tarballs. These commands will get the current version of DAHDI, libpri and Asterisk.

cd /usr/src/
wget http://downloads.asterisk.org/pub/telephony/dahdi-linux-complete/dahdi-linux-complete-current.tar.gz
wget http://downloads.asterisk.org/pub/telephony/libpri/libpri-1.4-current.tar.gz
wget http://downloads.asterisk.org/pub/telephony/asterisk/asterisk-11-current.tar.gz

Extract the files from the tarballs

tar zxvf dahdi-linux-complete*
tar zxvf libpri*
tar zxvf asterisk*

Install DAHDI

cd /usr/src/dahdi-linux-complete*
make && make install && make config

Install libpri

NOTE: libpri 1.4.13 won’t compile on Ubuntu 12.04 due to a bug (https://issues.asterisk.org/jira/browse/PRI-145). See the video for how to apply a patch to fix the bug. (Edit: libpri 1.4.14 has been released with this bug fix included. If you are a using 1.4.14 or later you should not encounter this bug.)

cd /usr/src/libpri*
make && make install

Install Asterisk. Select your options when the menuselect command runs. Then select “Save & Exit” and the install will continue.

接下来这步会弹出菜单,上下左右键盘操作,回车选择或取消,
建议选上所有Application的组件和尽可能多的CORE支持,但注意单选和不要选择测试模式文件。

cd /usr/src/asterisk*
./configure && make menuselect && make && make install && make config && make samples

Start DAHDI

/etc/init.d/dahdi start

Start Asterisk and connect to the CLI

/etc/init.d/asterisk start
asterisk -rvvv

Verify your installation by checking for the DAHDI and libpri versions on the Asterisk CLI

*CLI> dahdi show version
DAHDI Version: 2.6.1 Echo Canceller: HWEC
*CLI> pri show version
libpri version: 1.4.13

Congratulations! You now have Asterisk 11 running on Ubuntu 12.04. To continue configuring Asterisk check out the quick start guide or take a look at the official Digium online training.

上面做完了,Asterisk就完事了,下面安装Asterisk-Gui。

2. 去http://downloads.asterisk.org/pub/telephony/asterisk-gui/releases/下载最新的Asterisk GUI

本人使用的是:http://downloads.asterisk.org/pub/telephony/asterisk-gui/releases/asterisk-gui-2.1.0-rc1.tar.gz而且没有出现后面说到的警告循环问题,警告一次后即完成文件生成。

3. 下载并解压缩

wget http://downloads.asterisk.org/pub/telephony/asterisk-gui/releases/asterisk-gui-2.1.0-rc1.tar.gz
tar zxvf asterisk-gui-2.1.0-rc1.tar.gz
4. 安装Asterisk GUI

$ ./configure
$ make
$ sudo make install

完成之后,可每执行一次下面的步骤,便运行make checkconfig进行配置完成检查,注意保持路径,也可以不执行下面的第5步,而直接执行配置检查,根据报错逐个修改,最后根据提示修改文件,创建用户名密码。

5. 修改/etc/asterisk/http.conf

enabled=yes

bindaddr=0.0.0.0      #0.0.0.0表示本机的所有IP都可以访问

bindport=8088

enablestatic=yes

修改/etc/asterisk/manager.conf

[general]

enabled = yes

webenabled = yes

port = 5038

bindaddr = 0.0.0.0

[admin]              #登录时的账户名称

secret=admin         #登录时的账户密码

read = system,call,log,verbose,command,agent,config,read,write,originate

write = system,call,log,verbose,command,agent,config,read,write,originate

6. 复制文件及创建连接 (这一步很重要,网上的很多教程都没有这一步,可能会导致”404 not found”, 权限不够等问题)

$ sudo cp -Rfv /var/lib/asterisk/* /usr/share/asterisk/
$ sudo mv /var/lib/asterisk /var/lib/asterisk_original
$ sudo ln -s /usr/share/asterisk  /var/lib/asterisk
$ sudo chmod 777 /usr/share/asterisk/* -R

7. 重启asterisk服务

此处务必要使用root, 否则虽然能启动asterisk,但是http server会总是disabled的状态。

同时asterisk -r是也需要root,否则会出现错误:Unable to connect to remote asterisk (does /var/run/asterisk/asterisk.ctl exist?)

$ sudo /etc/init.d/asterisk restart
$ sudo asterisk -r

进入asterisk操作界面后运行运行”http show status “可以查看Http服务状态

看到如下状态则成功了。

royn-VGN-Z690J*CLI> http show status
HTTP Server Status:
Prefix:
Server Enabled and Bound to 0.0.0.0:8088
Enabled URI’s:
/httpstatus => Asterisk HTTP General Status
/phoneprov/… => Asterisk HTTP Phone Provisioning Tool
/amanager => HTML Manager Event Interface w/Digest authentication
/arawman => Raw HTTP Manager Event Interface w/Digest authentication
/manager => HTML Manager Event Interface
/rawman => Raw HTTP Manager Event Interface
/static/… => Asterisk HTTP Static Delivery
/amxml => XML Manager Event Interface w/Digest authentication
/mxml => XML Manager Event Interface
Enabled Redirects:
None.

8. 登陆页面

http://localhost:8088/static/config/index.html

注意,修改完成配置文件manager.conf后,直接登录GUI将显示用户名或密码不正确,此时应该重新启动系统,然后登录,接着会看到一个配置更新的警告界面,之后再次登录,即可使用。

ID:admin Password: admin

这里还有要注意的,GUI的设置并不会立即生效,需要重新启动ASTERISK服务才能生效!

——–相关解决说明:

此时页面会陷入死循环,不断刷新,显示:

Your configuration will now be upgraded to work with the latest version of GUI.
这是asterisk-gui和asterisk 1.8不兼容导致的。

修改 /var/lib/asterisk/static-http/config/js/index.js重新登陆即可。

if ( resp_lower.contains(“branches/1.6″) || resp_lower.contains(“asterisk/1.6″) || resp_lower.contains(“svn-branch-1.6″) || resp_lower.contains(“svn-trunk-”) )
..

改为

replace:
if ( resp_lower.contains(“branches/1.6″) || resp_lower.contains(“asterisk/1.6″) || resp_lower.contains(“svn-branch-1.6″) || resp_lower.contains(“svn-trunk-”) || resp_lower.contains(“asterisk/1.8″) )

2013年06月19日

日前,美国《Network World》通过读者调查,选出了最受读者欢迎的网络管理工具,我们也将它们推荐给国内的网管员们,希望能助他们一臂之力,使他们轻松排除网络故障。

工具名称:SolarWinds Engineer Edition

网址www.solarwinds.net

推荐理由:有读者说:”在不到一小时的时间内,我从网站上下载并安装了SolarWinds的授权版本。不久后,我就可以制作线路使用报告了,而且线路使用和基本响应时间功能非常棒,此外,数据还被保存下来,使我可以一个星期、一个月或一年后查看数据。”

工具名称:NetWatch套件

公司名称:Crannog Software

网址:www.crannog-software.com/netwatch.html

推荐理由:有读者认为这种软件由简单但却有效的点解决方案构成,这些解决方案在使用和效力上超过了他们所有的更大型的网络管理产品。NetFlow Monitor是另一种解决流量可见性问题的低成本解决方案,但NetWatch使网管员可以通过简捷的点击过程定制创建网络地图。而且,这种软件基本上不需要培训和维护。

工具名称:WhatsUp Gold

公司名称:Ipswitch

网址www.ipswitch.com

推荐理由:用户对它的评价是具有非常昂贵的产品才拥有的很多功能,而价格却非常低廉。还有读者称:”我们能够在几分钟之内安装好软件,自动发现大多数网络设备,并开始向我们的文本电话机发送状态报警。此外,我们还监测不应出现问题的服务和Web内容变化。”

另一位用户还利用它”报告简单的服务水平协议状况,让我的用户无法在真正发生了多少次故障上弄虚作假。”

工具名称:Etherpeek NX、Sniffer Distributed

公司名称:WildPackets、NAI

网址www.wildpackets.comwww.networkassociates.com

推荐理由:一位读者推荐Etherpeek NX 2.0作为一种”价格低廉、功能优秀”的协议分析仪。Etherpeek NX 2.0帮助他解决断续出现的、复杂的应用问题。

另一种读者推荐的工具是来自NAI的Sniffer Distributed。他觉得如果工具包中缺少这种工具,他将无法生存。

工具名称:Packeteer PacketShaper

网址www.packeteer.com

推荐理由:一位读者说:”当用于应用或主机上时,我们对报告和配置的粒度感到满意。它使我们可以找到一条完全拥塞的768K bit/s WAN链路,有效地从它里面得到更多的带宽。”

工具名称:NMIS(网络管理信息系统)

网址www.sins.com.au/nmis/

推荐理由:它可以通过开放源代码GPL许可证免费使用,可以运行在Linux上。有读者说,它提供的支持”比我得到的任何支持都好。”该工具受到欢迎的另一个原因在于它带有仪表板的用户友好的Web界面,支持”在一个页面中以一种简要的、分级的和色块方式显示我所有200台网络设备的状态,从而使我可以轻松地找到问题的根源和范围。”

工具名称:Observer

公司名称:Network Instruments

网址www.networkinstruments.net

推荐理由:这款工具由于”是目前功能最强和最多样化的平台”而成为读者的选择。

工具名称:xsight

公司名称:Aprisma Spectrum

网址www.aprisma.com

推荐理由:有读者喜欢用Aprisma Spectrum公司的xsight来进行故障隔离,他说:”xsight与Attention Software一起使用可以令人信服地解决报警问题并向他人发出寻呼。”他还使用CiscoWorks来管理和维护他们的Cisco网络的防火墙和配置。

工具名称:MRTG

网址:www.mrtg.it

推荐理由:据一位读者称,多路由流量图形工具(MRTG)是其最爱,他说:”MRTG在收集有关网络带宽使用的统计数据和服务器监控方面表现非常棒。”MRTG不仅是免费的,而且还是通过GNU(通用公用许可)提供的。

工具名称:PingPlotter、FREEPing

公司名称: Nessoft、Tool4ever

网址www.pingplotter.comwww.tools4ever.com

推荐理由:PingPlotter是读者推荐的一项价格仅为15美元的Ping和Traceroute工具。一旦出现问题,这位读者就启动该程 序来查找问题出在哪里。FREEping是另一项读者推荐的可以免费下载的Ping工具。一位读者反映,这项工具”虽然非常简单,但却在掌握网络对象的可 达性方面非常有用。”

工具名称:OpenView

公司名称:HP

网址:www.openview.hp.com

推荐理由:HP OpenView受到推荐是因为它可以提供”非常好且非常易好用的映像”。另一个原因是”可以对其进行编程,来做你想要做的任何事情”,尤其是在出现问题时将相关性信息通过E-mail进行报警。

工具名称:NetScout

公司名称:NetScout

网址www.netscout.com

推荐理由:一位读者推荐NetScout,是因为它具有良好的故障检测和性能管理功能。这位读者说:”虽然它是软件和硬件的融合体,但却能与大多数的网络元件(交换机和路由器)协调工作,而且,大家从一个视图就能了解企业的运行状况。”

工具名称:Servers Alive

公司名称:Woodstone

网址:www.woodstone.nu/salive/

推荐理由:一位读者称,它之所以喜欢Servers Alive,是因为它很简单,能够很好地完成网络事件任务和进行状态监控,此外,它

的安装相对来讲也很容易。他经营着一个小网络,发现这个简单而便宜的工具在他的小网络环境里运行得非常好,并可通过邮件组获得支持。

工具名称:SNMPc Enterprise

公司名称:Castlerock Computing

网址www.castlerock.com

推荐理由:一位用户在推荐SNMPc Enterprise时表示:”与其他的大家伙相比,它更加易用,而且相当便宜。它的可扩展性非常惊人,使用它的新版本更容易管理网络管理系统本身。”他 认为该工具的唯一不足就是,它只能在Windows下运行。但你只需花极少的时间就可以习惯这个软件包,一旦习惯了之后,用起来就更加容易了。

工具名称:NexVu

公司名称:NexVu

网址www.nexvu.com

推荐理由:有读者称NexVu”是我们曾使用过的工具之中最有趣的一项工具,它可以是性能监控工具、协议分析工具、RMON探头以及终端服务器……所有这些功能都融为一体”。作为探测工具的备份选择,它非常具有吸引力。此外,它还可以提供有关该读者的Siebel应用系统的实时性能报告。

工具名称:Qcheck、Chariot

公司名称:NetIQ

网址www.netiq.com

推荐理由:有一位读者在推荐NetIQ Qcheck和Chariot时称,Qcheck是一项免费工具,”它超级简单,能够极快地对两个主机之间的网络性能进行检查,与故障检修工具一样棒”。 他说他的求助台使用的就是这种工具。它要求在被测主机上安装endpoint代理。这些endpoint是免费的,而且可供各种各样的系统使用。他说:” 我曾要求在我们企业里的每台台式机和 服务器上装载这样的endpoint,从而减少了故障检修的次数。”关于Chariot,他说,Chariot”可以对我们所能想象得到的任何网络进行压 力测试。它在概念设计和论证方面表现的非常好。添加Sniffer插件之后,就可以使用实际数据对网络进行测试,更不用说它的易用性了。”提醒大家注意的 是,在把这种工具交给未经培训的新手之时,你必须格外小心,因为它”几乎可以把任何网络都给踩成碎片”。

1, 从网上下载perl
http://www.activestate.com/Products/ActivePerl/

2,从下面的网站下载MRTG的zip文件
http://mirrors.kingisme.com/MRTG/

3, 在所装的服务器上安装snmp服务:

4, 如果需要监控服务器,且服务器有防火墙,记得将所监控的服务器UDP 161端口打开!

步骤:

1,解压mrtg文件到D:\mrtg-2.13.2目录

2,cmd中cd 到:D:\mrtg-2.13.2\bin

3,运行以下语句,不出任何错时,表示OK了。

perl cfgmaker public@10.91.50.254 --global "WorkDir: D:\mrtgReport" --output mrtg.cfg

public缺省,不要随意改动;

10.91.50.254可设为自己的交换机地址;

workdir为报表生成的目录;

mrtg.cfg是cfgmaker生成的config文件,默认在bin目录

多个设备监控时,运行:

perl cfgmaker public@10.91.50.254 public@10.91.50.253 public@localhost --global "WorkDir: D:\mrtgReport" --output mrtg.cfg

4,为了让MRTG每个五分钟监视一次,在DOS下MRTG/bin目录用下面的命令:

echo runasDaemon:yes>>mrtg.cfg
echo Interval:5>>mrtg.cfg

5, 使用indexmaker生成报表首页:

perl indexmaker mrtg.cfg>D:\mrtgReport\index.htm

6, 运行MRTG:

perl mrtg --logging=mrtg.log mrtg.cfg

如果之前有做错,会提示很多文件找不到之类的错误,重复执行此语句3次左右,就可以清除。

7,将IIS打开,添加网站,将D:\mrtgReport路径设为主目录,连接http试试看!

将MRTG 配置为系统服务

使用windows 2003 resource kit中的Instsrv.exe和srvany.exe。首先安装win2003 rerouse kit

将srvany.exe拷贝到D:\mrtg-2.13.2\bin 目录
1.添加srvany.exe为服务

D:\mrtg-2.13.2\bin>instsrv MRTG "D:\mrtg-2.13.2\bin\srvany.exe"

2. 配置srvany:

在注册表HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/MRTG中,添加一个parameters子键。在该子键中添加以下项目:

Application的字串值,内容为c:\perl\bin\perl.exe —该值为perl程序目录。

AppDirectory的字串值,内容为D:\mrtg-2.13.2\bin\ —-该值为MRTG程序目录。

AppParameters的字串值,内容为mrtg –logging=mrtg.log mrtg.cfg

3.管理工具—服务中,找到MRTG服务,启用服务。

MRTG就可以全天监视制定主机的网络信息了。

最后,保存以上语句为txt文档,每次交换机端口有变或是需增加监控端,重复执行这些语句即可:

perl cfgmaker public@10.91.50.254 --global "WorkDir: D:\mrtgReport" --output mrtg.cfg
echo runasDaemon:yes>>mrtg.cfg
echo Interval:5>>mrtg.cfg
perl indexmaker mrtg.cfg>D:\mrtgReport\index.htm
perl mrtg --logging=mrtg.log mrtg.cfg
2013年05月31日

现在世界上所有的黑客猜密码的时候,都会试试“对马电池订书钉”(correcthorsebatterystaple)这个密码。可能各位网友看了题图和这句话后,会有点懵。其实“对马电池订书钉”出自 XFCD 发表的漫画名为“密码强度”……

“对马电池订书钉”图解:

但是……这幅漫画显然太低估黑客们的实力了:

本周,Ars 网站邀请了三位黑客破解了16,000多个 hash 过的密码成功率90%!

黑客告诉你,你的密码不是因为又臭又长就安全,而是因为没人惦记你,所以暂时安全。
咳,然后是献给好学网友们的正文:

3月,博客作者 Nate Anderson,下载了一份侧漏的暴库密码表,内含超过16,000个 hash 过的真实密码,经过百度知道的简单培训,结果只花了大概能煎3个蛋的功夫,破解了其中一半的密码。这给所有人提了一个警醒:如果一个没有经过任何训练的网友,就能达到这个程度,想一下一个职业黑客能搞出多大动静。

不用自行脑补了,我们请来了三位职业黑客,使出浑身解数,来破解 Anderson 练手的那份密码表,展开了终极 PK。你会看到包括数字,大小写,标点符号的长密码是如何被快速破处出的。

这份密码表里总共有16,449个 hash 过(MD5)的密码。任何负责的网站,都不会明文存储用户的密码信息,而是用 MD5 加密,这种加密过程是不可逆的,也就是说,就算拿到MD5密文,也不可能直接“反求”出原文。比如“passwd” 被 hash 过以后,密文是“5f4dcc3b5aa765d61d8327deb882cf99”。

虽然 Anderson 的47%破解率已经非常不错,但对于职业黑客来说,还是不足挂齿。为了证明这点,我们请来他们来演示一下,说真的,他们没有让我们失望。就算三个里成绩最差的一个——他用最弱的硬件,花了一个小时,用最小的字典,中间还接受了一次采访,也搞定62%的密码,而最好成绩是90%。

这个三人黑客团队包括一名密码破解软件专家,一名安全顾问,和一名匿名自由黑客。其中最牛的一名黑客是来自S.C.G., 使用一台只配置一块 AMD 7970 GPU 的家用电脑,花了20小时破解了90%,共14,734个密码。免费 GPU 密码破解软件 oclHashcat-plus(参加测试的黑客都使用这款软件)的开发负责人,Jens Steube 也取得了不俗的成绩,他在一个多小时的时间里,用一台双 AMD 6690 GPU 的机器,搞定了 13,486个密码,占全部的82%!另外一名诨号 moniker radix 的黑客,用一块 AMD 7970,搞定62%的密码,也差不多花了1个小时,如果不是被我们打扰接受采访,他应该能取得更好的成绩。

黑客穷举破解密码所用的“字典”里,包括了很多密码明文,这些常用的密码字符组合,来自于很多大型网站的用户数据中,包括像“123456”,“password”之类,这些属于弱暴了的密码,还有稍微好一点的,像“p@$$word”、“123456789j”、“LETMEin3”等也同样不堪一击。在这些字典里,你还能找到一些理论上强悍的密码,比如“LOL1313le”、“1368555av”、[Oscar+emmy2]之类:

截图里展示了一部分黑客字典中的密码组合。像这次参与PK的黑客手里的字典,有接近1亿种常见密码。但像“momof3g8kids”、“Coneyisland9/”这样的密码,虽然不在他们的字典里,一样没能幸免,他们是怎么做到的呢?答案来自于两个方面:网站没能保护用户密码的 MD5 信息,和用户没有使用足够强壮的密码。
嗖嗖地,妥妥的

“这些弱暴的密码”radix说道,他不愿意透露真名,“说明他们真的不是很在乎自己的密码安全,别用 MD5 加密,这对他们来说其实并不难”。

MD5 算法,是一种快速简单的的“报文编译”方法,由它生成的密文,也是黑客最喜欢拿来练手的对象,一块 GPU 显卡,就能在1秒钟内遍历8亿个字符组合,比较起来看,加密过程就费时费力的多,比如在苹果 Mac OSX 系统,和大多数基于Unix的系统上采用的 SHA512 加密算法,一个明文密码需要经过5,000次 hash。这点小障碍也就让一块 GPU 每秒少跑了2,000次而已,类似的还有 bcrypt,scrypt,和 PDKDF2。

另外一个漏洞就是用户自己,选择好记的单词当作密码,好记就代表容易被破,比如“momof3g8kids”看上去好记又难猜,但实际上,“mom”、“kids”都是每一个黑客手里必备的破解词汇。越来越彪悍的硬件和软件,能让黑客轻而易举地不断尝试这些词汇的各种组合,除非用户细心设计,否则好记的密码就是正中黑客下怀。

而且必须指出,这次三名黑客并不知道这份密码表是从哪个网站得来的,这就等于封杀了他们的一项技能。一般,当得到一份 hash 过的密码表后,他们第一个步就是“去那个网站看看他们的密码设置要求和强度”radix说道,如果黑客知道这个网站的密码强度和其它约定,这就大大减小了他们的工作强度,让黑客可以有针对性地采取破解策略。
破解步骤

要细说他们是如何破解强密码的,那就需要对他们三个人的方法和策略进行比较分析,因为他们的硬件和方法都不太一样,也不能说得哪个人的水平更高一些,打个比方,这是一场游戏通关,那么一关定比一关难,第一轮破解,一般能搞定其中50%的密码,后面的成功率就越来越少,到最后的阶段,他们只能纯靠运气,得到几百个密码明文。

举例来讲,在 Goseney 动手的第一阶段,只花了16分钟,就干掉了10,233个 hash 密文,也就是62%的样子。他先用6位以内的密码开路,用暴力穷举法对付1~6个字符的密码组合由95个字符组成的密码,包括26个小写,26个大写,10个数字,33个符号。猜完一轮这样的排列组合(956 + 955 + 954 + 953 + 952+95 个),只花了2分32秒就得到了1,316个正确结果。

当密码长度超过6位,Gosney 开始改变策略,用精心挑选的字典进行穷举。因为随着密码长度的增加,字符组合成指数级增长。1小时能搞定所有6位密码,但要遍历更长的密码,可能要花费数周,甚至数年。所以,对于暴力穷举破解的方法,有一种说法叫:“长度防火墙”:

暴力穷举可以很好地对付6位以下的密码,但对于8位以上的密码,就算开动 Amazon 的 EC2 云计算也无能为力。

黑客当然不会一条道走到黑,Gosney 下一步的暴力穷举将只针对7~8位,全小写字母的情况。这将大大减少穷举所需时间,而且收获也不少,成功破解1,618个密码。接着他继续尝试7~8位全大写的情况,又得到了708个结果。因为他们的排列组合是268+267,每一步只许41秒。最后,他尝试全部由数字组成长度从1~12位的情况,得到312个密码,耗时3分21秒。

用光了以上入门级暴力破解法,黑客 Gosney 这才开始拉开架势,拿出自己潜心调教多年的“字典”,通过在 HashCat 软件中内置的“best64”规则(一种基于密码统计学的破解行为模式),他能在9分04秒内,跑完了6,228个 hash 密文,然后他利用上一步破解所得到的所有明文密码,通过另一组名叫“d3ad0ne”的规则过滤获得“字符组合特征”,让他在一秒钟内,又得到了51个密码明文。

“正常情况下,我先用暴力穷举法,完成1~6位的密码破解,因为就算是单 GPU,也能几乎瞬间完成用 MD5 加密的密码”。Gosney 在邮件中解释道:

因为这一步很快就能完成,所以,我的字典几乎都是6位以上的密码组合。这可以让我节省不少磁盘空间,也可以利用GPU的蛮力,加快我之后用字典破解的速度。对于数字组合也是这样,我可以很快破解纯数字的密码,所以在我的字典里没有任何数字组成的密码,然后才是我的字典文件+bast64规则文件。我们的目的就是先挑软柿子捏。

从简单密码下手对于被“掺盐”(cryptographic salt)的密码特别有用。“掺盐”是用来对付黑客的“彩虹表”(一种明文和密文对应的穷举表)和类似的字典技术,掺盐就是在用户密码后面,再加上随机字符,然后再 hash 的技术。除了防御彩虹表,掺盐也减慢了暴力穷举法的破解速度。

但“掺盐”的关键在于,只有在掺入不同的盐巴(字符)情况下,才能明显减慢破解速度。这就意味着,掺盐的效果,会随着破解的进行而逐渐降低。黑客可以通过破解简单密码的结果,逐渐排除盐巴的干扰。当然,这次PK活动使用的密码没有被掺盐。

经过第一轮的摧枯拉朽,10,233个hash密文已经告破,进入第二个阶段,黑客开始采用“混合破解的策略”。就和之前提到的游戏通关的比喻一样,随着难度的增大,第二阶段需要花费的时间会大大增加,而且战果也会减少,准确的说,只有2,702个密码告破,耗时5小时又12分钟。

就和名字一样“混合破解法”,结合了暴力穷举和字典破解两种路数,这大大拓展的字典所涵盖的组合种类,并且把组合数量控制在能接受的范围里。第一轮,黑客在所有字典条目的后面,加上两个随机字符包括符号和数字,这样在11分25秒内,有破获585个密码。第二轮加上3个随机字符,耗时58分钟,得到527个结果,第三轮再接再厉,加上四个随机数字,25分钟内又得到435个密码明文,第四轮,加上四个随机字符包括一个数字和三个小写字母,再斩获451个密码明文。

面对可观的战果,Gosney 认为,这只用了一张GPU卡的结果而已。

“你注意到我们只加上了2~3个长度的随机字符,但到4个长度,我们只能用数字了,因为只有1块显卡的 GPU,想要跑完+4位随机字符和数字的组合会耗费很长时间,所以我只能放弃。”

毫无疑问,说这话的 Gosney,已经用这台 25GPU 交火的怪兽机搞过更长的密码,他在去年10月透露了这台名叫“镭池”机器:

因为 GPU 的并行运算能力是随着运算单元的增加而线性增长,这让 Gosney 很好地利用这些资源,让他能在每秒获得350亿次的运算速度,去挑战微软的 NTLM 加密算法。

第二阶段,Gosney 继续采取差不多的战术。在这个阶段结束的时候,他总共斩获 12,935个密码明文,也就是完成了78.6%的破解工作,总共耗时5小时28分钟。

很多黑客都知道有一个有趣的现象,就是在同一个网站下,用户的密码会非常相似…尽管这些用户互天南海北,互相都不认识。通过已经得到大部分的密码,黑客开始分析这个未知网站的密码特征,来模仿这个网站用户的行为,去破解余下的密码。通过 Markov Chains(一种统计学模型),黑客用 HashCat 生成了一份新的密码词典,Gosney 认为,这本字典是高度优化和智能的,大大缩减了所需的字符组合数量。

初级的暴力穷举词典包含像“aaa”,“abb”这样的组合。但经过 Markov Chains 调教过的字典,通过分析已有密码明文,列举出了最有可能的密码组合。“Markov破解法”,可以把7位字符组合难度从 957降低到657,大概可以节省7个小时。一般来说,字符组合有“首字母大写,中间小写,数字在尾部”等显著特点,Markov 破解法的命中率,几乎可以和暴力穷举的命中率一样高。

“这让你的破解方法更具针对性,因为你对于具体的网站,有了具体的目标”,Gosney 说道,当你获得了这些组合特征,你就能顺藤摸瓜直捣黄龙。

Gosney 花了14小时59分钟,完成了第三阶段的破解工作,得到了1699个密码。有趣的是,在这个阶段,前962个密码花费了大概3个小时,但后面的737个密码却花费了12个小时。

黑客 radix 手里有2009年,线游戏服务商 RockYou 的被 SQL 注入攻击后,暴出的数据库,内含140万个密码明文,另外还有一份货真价实的更大的密码词典,但魔术师不会轻易透露机关,PK 中 radix 也没有拿出这份字典。

猎杀哈希

光用 RockYou 的暴库数据,radix就能取得和新手 Anderson 差不多的战绩,获得4900个密码明文,大概占总量的30%。接着,他用这份数据,切掉后四位,加上四位随机数字,HashCat预估需要2个小时才能跑完,这要比radix预计的长,但他跑了20分钟以后,也得到了2,136个密码明文。接着他又尝试了1~3位数字的组合,再次得到259个结果。

“分析,直觉,加一点点魔法”,radix 说道,“提取模式,测试组合,把结果放入字典继续尝试,等等”,如果你知道你手里的密文的来源网站,你就能猜到和那个网站有关的领域里的词汇,然后你就能搞到你想要的结果。

于是 radix 从已经得到的7,295个密码分析,发现了一些明显的特征,比如三分之一的密码由8个字符组成,19%的是9个字符,16%有6个字符,69%由“字母+数字”组成,他还发现62%的密码全是小写字母和数字组成。

这些信息给了他继续破解的阶梯。后面,他采用“掩码破解法”,这和之前的“混合破解法”颇为相似,但要比暴力穷举节约大量时间,尝试“全小写字母+数字”的1~6位密码组合,得到341个密码。但8位“全小写+数字”的组合所需时间,还是超出 radix 的期望,虽然复杂程度从528减到了268,就 radix 手头的机器来说,这就是6小时和1个小时的区别,但他还是跳过了这一步。

于是 radix 改变了策略,使用 HashCat 内置的5,120种特殊规则,例如把“e”替换成“3”,删掉每一个单词的第一个字母,或者每隔一个字母加一个数字……在38秒之内,又破了1,940个密码。

“这就是黑客的乐趣所在”他说,“就像打猎,但你找的不是动物,而是哈希密文”。但他也承认密码破解技术的阴暗面,游走在道德的边境,如果多走一步,后果严重。

当另一位黑客 Steube 发现了一个密码组合:“momof3g8kids”的时候,忍不住说道:“这就是用户的密码逻辑,但我们并不知道这种逻辑,这给了我一些灵感,这就是我们为什么要盯着屏幕看结果”。

“momof3g8kids”被破解的原因是,Steube 采用了“词典联合破解法”,他用多本词典的种的条目组合,发现了这个密码,其中,“momof3g”在一本1110万的大词典中收录,而“8kids”在另外一本较小的词典中。

“这太酷了!”他引用了本文开头,xkcd 的那副著名的漫画说道:“告诉“对马电池订书钉”,这不灵”。

PK 过程中,最让人惊异的就是某些破获的密码明文,包括:“k1araj0hns0n”,“Sh1a-labe0uf”,“Apr!1221973”,“Qbesancon321”,“DG091101%”……甚至包括了像“all of the light”这样包含空格的密码。Steube 还在结果中看到了“Philippians4:6-7”和“qeadzcwrsfxv1331”,他表示:“如果不是用暴力穷举,是不可能猜到这些密码的”。

GPU 通用计算出现以后,很少有黑客在攻击中采用“彩虹表”(rainbow tables),这种过时的方,需要容量巨大的表文件。

当Reputation.com看到从自己网站被攻击后泄露的用户信息后表示,虽然看上去用户的密码加密信息不可能被破解,但我们还是立即通知用户更改自己的密码。

所有公司都应该认识到,就算用户密码被 hash 过,但发生信息泄露以后,用户应该立即更换密码,特别是那些在不同网站,却用相同密码的用户。黑客通常能从被暴库的密文中,破解60%~90%的密码。

必须承认,采用“掺盐”hash用户密码的的网站确实能减缓大量 hash 信息被破解速度,但“掺盐”并不能阻挡对单个 hash 密文和少量密文的破解,换句话说,如果黑客针对的是具体的某个帐户,比如银行经理,某位名流,“掺盐”也无能为力。

这三位黑客的高超技艺,也指出用户需要加强自己的密码保护意识。许多世界500强企业,都对雇员邮件帐号,和访问公司网络的密码有严格的规定,这大大增加了黑客攻击的难度。

“在企业行业领域,这确实不容易”,radix 说道,“当我给一家企业做密码安全漏洞检查的时候,那简直了,我可能跑三天三夜也得不到一个字符。”

如果网站可以像那些大企业一样采取相同的安全策略,那用户密码就会安全很多。但这对于用户来说,要去记住11位的随机密码确实有点痛苦。

黑客破解 hash 密文的效率,与网站得知用户信息被泄露以后的反应,形成鲜明的对比。就在上个月,LivingSocial 披露黑客攻破了他们的数据库,暴出了了5千万个用户姓名,地址和密码信息的hash内容,但网站负责人显然低估了这所带来的风险。

网站 CEO Tim 说:“虽然用户的密码已经被加密,而且很难被破解,我们的预防措施也能保证用户的数据是安全的,但我们还是通知大家,更新自己的网站密码”。

事实上,几乎没有什么能阻止黑客去解密 hash 信息。LivingSocial 所用的 SHA1 算法,在黑客面前不堪一击。虽然他们也宣传用户的 hash 是被“掺盐”的,这也无法保证用户信息的安全。

由此课件,Intel 最近上线的一个网站,宣称能测试你的密码强度,是多么的不靠谱,它竟然评估说“BandGek2014”需要6年时间才能被破解,可笑的是,这个密码可能在黑客手里,大概是被首先拿下的。问题的关键在与,大部分网站的密码强度要求,正好落在黑客的能力范围之内。

“你们已经看到了,我们在1小时之内破出了82%的密码,意味着有13,000人没有选择一个好密码,他们总以为自己选了一个好密码,但正相反,那些密码太糟糕了”。

2012年09月06日

一,需求提出
工作上有一个需求,需要批量的导入一些账号,并要求有一些属性,比如:部门,职位,分机等!
其实呢,需求很简单,解决方案也很简单,但在实际的操作过程中,也确实出现了一些问题,GG和BD了一些,也看了一些其他人的博客等内容,但大多都是比较雷同,更有甚者直接照搬微软帮助和支持中心的模板,并没有实际的操作案例的讲解,以及操作注意事项,根据其博客操作,总会出现这样那样的问题!出于此,虽然这篇很简单,但我还是要写出来与大家一起分享,分享的不单单是实际的解决方案,更是用心负责细心的态度,
当我们拿到这个需求,我们可能就要问了,这些属性我应该从哪里得到呢?我也记不住那么多的属性值呀!其实我们也可以变通的,我们可以先导入,然后根据导出的文件来对比这些属性值就可以完成,下面就让我们来看下过程!

二, 环境描述
1,DC一台(2003系统,安装有office 2007)
2,域名是:TT.Com
3,建立了一个OU:TT,并在TT这个OU下建立了一个用户:alice
三, 使用csvde导出账号
微软默认提供了两个批量导入导出工具,分别是CSVDE(CSV目录交换)和LDIFDE(LDAP数据互换格式目录交换),具体选择上述哪个工具取决于需要完成的任务。如果需要创建对象,那么既可以使用CSVDE,也可以使用LDIFDE,如果需要修改或删除对象,则必须使用LDIFDE。我们这里选择csvde!
1,打开cmd,更换目录到C盘根目录,方便我们查找文件,如图1,
Csvde –f user.Csv 将AD对象导出到名为user.csv的文件,-f 开关表示后面为输出文件的名字。

图1
2,以上导出的信息量很大,从图中可以看出有200个项目,这样会有太多干扰我们的一些信息,不方便我们来查找我们想要的东西,我们可以适当的加一点参数来导出我们最想要的信息,如图2,
Csvde –f user1.csv –d “ou=tt,dc=tt,dc=com” 说明:TT这个OU和用户alice(这个用户的一些属性被我填写了,比如职位,部门,分机等,需要什么属性就填写相关的项目,但为了更好的效果可以填写英文,因为中文导出后会出现乱码,当然,在导出的时候,后面加一个参数 –u也是可以解决的,但在后期我们编辑的时候不太方便,所以尽量使用英文作为模板)是我为了导出我们需要的属性值而建立的,这个无关紧要,只是要导出一个属性值的模板来让我们参考!从图中我们可以看到这次只导出了2个项目,比上次那个会清晰很多!当然,csvde的参数还有很多,但我们能够用到的确实不是很多,行了解更多的可以打“?”来查看,或者参考官网:http://technet.microsoft.com/zh-cn/library/cc732101(v=ws.10)

图2
四, 编辑模板
根据上一步导出的信息,我们就可以找到我们所需要的:职位,部门,分机等这些信息的属性值了,分别是“title,department,telephoneNumber”,其实有一个技巧就是,我们可以直接的修改这个csv文件,不需要再去新建了!我们把其他不需要的删除,只留下我们需要的,如图3,

图3
五, 导入用户
打开cmd,更换到C盘根目录,使用命令导入,如图4
Csvde –I –f user2.csv -i是导入的意思,-f是指定文件的意思

图4
六, 因为工具不能直接导入密码,并且我们在导入的使用使用了514,这是锁定账号的意思,用户的密码是空的,并且是用户下次登录需要更改密码。这显然是不安全的,如图5,

图5
七, 启用账号并设定初始密码!
1, 因为现在的用户是空密码,我们的默认域策略是要求复杂性的,所以暂时还无法启用用户,我们先更改密码,由于用户比较多,手动一个个去改麻烦,工具又不允许导入密码,所以,我们可以使用一个bat文件来对用户进行更改,如图6,建立完成后另存为pwd.bat,打开cmd切换到C根目录进行运行,看到完成的结果!

图6
2, 然后,使用shift进行多选,右键选择启用用户即可!如图7

图7
八, 查看结果是否满足需求
我们打开一个用户,看职位,部门,分机是否存在,如图8

九, 总结
在我们进行 导入的时候,不是说所有的账号有属于一个OU里,那么,我们在导入前是需要先加你相应的OU的,这是一个前提条件,不然在导入的时候会报错!另外一个工具是ldifde,其实用法我个人感觉是一样的,有兴趣的可以参考官网:http://technet.microsoft.com/zh-cn/library/cc731033(v=ws.10)
从以上来看,其实有些东西并不是很难,难的只是自己愿不愿意动手去做,去实验,去总结了!希望大家共同学习进步,共同讨论!

Source:http://bbs.51cto.com/thread-952970-1.html#446283-tsina-1-48105-9d532d1615c9e81fcc2fcfb8958158ef

2012年08月08日

1、全球化的认证有助于提升逼格,什么OCM、CCIE、RHCA、CISSP等等能考都考,再不济,也要有一张系统架构设计师或者网络规划设计师的信产部认证。每过一个认证,逼格提升一档。如果再有能一个211工程的MSC,那就再好不过了。

2、TCP/IP协议、Linux内核深入研究、ORACLE大全等等之类的超过1千页大本头的书能有效提升B格,一定要放手边。不懂不要紧,别人能看见就行了。真有人跟你谈这些,也别担心装B失败,谈网络就从TCP的实现谈起,谈Linux就从内存的管理谈起,谈数据库就从各数据库SQL语句的源码实现谈起。如果有人跟你谈MS的东西也不要紧,就说自己之前有多年的微软的工作经历,外包的也算。反正也不会有查。有人非要跟你谈硬件,最次也要从CPU的指令集的实现谈起吧。

3、大众化的东西要少用。能用ATS,就别用squid;能用postgresql,就别用MySQL;坚信什么nginx、lighty这种webserver要比apache好一万倍,而且apache能实现的功能,这些都能实现,不行就自己写模块、写扩展。实在要用apache,也别用高版本,抱死1.3的系统。有人要是问起,就说这是基于1.3的版是自己深度二次开发版本。实在要找不到的话也不要紧,没事在sf、oschina上看看什么下载量少的项目,背背项目简介啥的。不得不说,这两个网站太贴心,分类都给你做好了。总之,小众的东西能很有效的提升iBer的战斗力。

4、写脚本的话,别用grep、sort 、uniq、管道这类命令。iBer会选择使用纯粹的awk、sed的实现,长度不要紧,阅读性、性能也不是问题。功能实现了,别人都还不懂这就是关键。如果真有人来请教,也要装出一副很简单的表情。切记不要摇头尾巴晃。就算是你是从《sed和awk》这种书上抄你自己也不一定能看懂的代码。

5、虽然会shell,但也要少用shell。初级iBer,系统管理会首选perl、python、php这类3p的工具,而且要对shell这种语言有一种不屑。把什么性能、移植性、面向对象要常挂嘴边。,如果再能写二行什么erlang、ruby、lua这类语言做系统管理,绝对是iBer的装B神器,也是中级iBer的标准。高级IBer会有Haskell这类函数式语言进行系统管理,这绝对是装B的B2轰炸机呀。当然,资深iBer会返璞归真,使用面向对象进行shell编程。对,你没看错,是使用OO进行shell编程。

6、iBer对谈到Redhat、ubuntu这类大众发行版本时,会回复一个字“切!”LFS、Gentoo这类系统绝对是iBer们首选。不为什么,就为在无穷尽的编译中找到属于iBer的快感。如果非装大众发行版,iBer也会从开机画面、登陆提示等等地方打自己上深刻的烙印。iBer的寂寞岂是一般人能懂的。

7、iBer对什么checkpoint,juniper等表示不屑。必须天天把iptabes的链和表都挂在嘴边,尤其是mangle表。原则上对商用产品的一律不屑一顾,什么f5,radware一律自己开发实现。至于意外的将自己关在外面的事情一定要严格遵守各自公司的保密协议。

8、iBer的操作终端呢,像SecureCRT、xshell这种绝对是不用的,一定要用最原始的,什么黑屏绿字只是初级iBer的水平,中高级iBer的都是Alpha半透明终端,桌面背景在设置个全球internet流量趋势图。让你根本就不知道他天天对着屏幕在敲什么东西。有事没事编译一些大型软件,看着翻滚的屏幕做思考状。

9、名片的title一定要是系统架构师,没有名片也不要紧,什么QQ签名、人人状态、微博简介上,有人看的地方一定要写上。这些都是提升B格的好地方。

10、初级iBer谈流量、PV、自动化;中级iBer谈流程、谈规范,什么ITIL、ITSM要常挂嘴边;高级iBer谈架构、谈模式;资深iBer谈合同、谈成本。

11、混圈子对iBer来非常有必要的。什么XX沙龙、XX架构师大会、XX优化大会之类必要是常客,露个B脸就行。基本原则就是跟搞系统谈网络,跟搞网络的谈数据库,跟搞数据库的谈安全……对方不懂什么就谈什么对就了

12、骨灰级iBer早就超出三界外,不在五行中,他们注定有着传奇的色彩。他们正忙于对iBer们进行职业发展规划。iBer助理、iBer、高级iBer、资深iBer、iBer总监直至CBO。如果发展了到了CBO,那么你一定是一位惊天地、泣鬼神的一代B神,一统江湖的教主,供万千iBer敬仰。darling,我很看好你哟!

Source:http://www.cnbeta.com/articles/200531.htm

2012年08月03日

微软(MicrosoftMSFT-0.75%)正对其拥有16年历史的网页电子邮件服务进行彻底改头换面,并给它起了个新名字。结果令人眼前一亮。

从本周开始,Hotmail将更名为Outlook.com。这是微软用“Outlook”命名其所有邮件服务的新战略的一部分。

过去七天我一直在使用这款最新电子邮件服务的预发布版,其中包括数十种简化收件箱管理流程的智能功能,过去的收件箱管理可是够烦人的。举例来说,用户可以通过一键定期清理工具(scheduled cleanup)删除某个人发送的除最新邮件外的所有邮件;安全、嵌入式的电子报订阅取消方式;简便的设定新旧电子邮件的分类方式。第一天使用Outlook.com后,我把收件箱里的邮件数量减了一半。

这款新的网页电子邮件服务还整合了推特(Twitter)、FacebookFB-4.02%和LinkedIn等社交网站,可以在用户打开邮件时显示发件人在这些网站的头像和状态更新。还有,用户还可以选择获取一个新的@Outlook.com地址,不过也可以继续使用@hotmail.com地址。据comScore Inc.统计,尽管Hotmail拥有超过3.25亿用户,在全球依然是领先的网页电子邮件服务,但雅虎(YahooYHOO-1.53%)和谷歌(GoogleGOOG-0.62%)的Gmail主导着美国市场。

这只是微软今年夏天众多大动作的其中一个。微软正准备在秋季全面发布Windows 8,该系统将历史性地将台式个人电脑和平板电脑操作系统合二为一。微软还刚刚发布了新版 Office 2013,升级后的版本令软件在网页上运行更智能。不仅于此,微软还在6月份宣布即将推出挑战iPad的平板电脑Surface。这款平板电脑采用了与苹果类似的设计和硬件制造模式,摈弃了微软传统的软件至上哲学。

Outlook.com的这些功能并非都能如你想象的那样运行。我的邮件联系人中只有一半在显示时带有自动从Facebook抓取的资料头像。这是因为,这些好友有的没有注册Facebook,有的注册Facebook时用的不是和我来往的这个邮箱。我只看到了几位好友的推特更新。Facebook聊天也是内置的,但我很少用。

在Outlook.com与社交网站的自动关联起作用时,效果是很神奇的。单调的纯文字联系人名字突然被图片美化了,有的人我都不知道他们在上Facebook。

我不用退出邮件就能看到好友最新的状态更新。我可以点击一个拇指朝上图标就能在Outlook.com上“赞”好友的状态,也可以点击泡泡图标进行评论,不过这样会将我导向Facebook.com。如果某个人注册了Facebook但我们不是好友,我会看到那个人的资料头像,以及加他为好友的链接。我和我的一位认识很久的网球队友就是这样联系上的。

与Hotmail相比,Outlook.com的整体外观更简洁更精致。字体变大了,更方便阅读,而且还有好玩的内置动画能激起我发邮件的欲望:每次我点击“发送”的时候,整个邮件似乎立刻缩小然后被发送出去。

Outlook.com没有把邮件(Mail)、联系人(People)、日历(Calendar)和SkyDrive(微软的云储存服务)都挤在一个屏幕上,而是做成四个方块,让用户可以自由选择。只有点击顶部的下拉箭头这些方块才出现,因此不会占用屏幕空间。

原来的Hotmail在处理图片方面做得不错。Outlook.com通过与SkyDrive无缝整合又更进了一步。给邮件添加附件时,撰写邮件的屏幕会出现一个提示信息让我通过SkyDrive分享这些图片,SkyDrive会在邮件中发送缩略图,并将好友链接至网页查看原始图片,而不会把大的附件塞满好友的邮箱。

在撰写邮件的屏幕上,我还可以命名一个储存图片的SkyDrive新文件夹。收到这些邮件的人都很高兴,就像我妹妹一样,她说很容易就能上下滚动图片,还有一点她也很喜欢,就是没有复杂的登录过程。

但如果你用的是别的网页邮件服务,而你所有的好友都已经知道你的那个邮箱并给那个地址发邮件怎么办?Outlook.com巴不得从其他服务导入你的联系人呢,而且用户还可以通过其他账户收取邮件。用户还可以在Outlook.com“代表”Gmail等其他账户发邮件。Outlook.com在技术层面上还在“预览”阶段,但微软说将会在今年晚些时候去掉“代表”功能,到时邮件看起来就像是从其他账户发出的。

Outlook.com没有像Gmail的“优先收件箱”(Priority Inbox)那样自动整理重要邮件的智能功能,“优先收件箱”是我最喜欢的Gmail的一项功能。

微软新推出的Outlook.com有着优雅的外观和极其友好的用户界面。如果你受不了杂乱的收件箱,想要一个更好的整理邮件的方法,或想要更便捷地分享照片和文件,那么选择Outlook.com肯定没错。

Source:http://cn.wsj.com/gb/20120803/ptk072521.asp

2012年07月27日

Apache和IIS是目前被广泛使用的两种Web服务器软件,其中Apache是开源软件,不仅用于Unix系统,也有基于Win32平台的版本;IIS是Windows操作系统自带的组件,也提供了强大的Internet和Intranet服务功能。这两种服务器软件各有特色,前者对ASP+Access的支持比较好,而后者是PHP+MySQL平台不二的选择。

我的服务器上要分别运行基于ASP+Access和PHP+MySQL平台下的不同站点,考虑到重新配置IIS,使其支持PHP+MySQL,或者重新配置Apache使其能支持ASP+Access。这两种方法虽然从技术上都能够实现,但配置过程较复杂,不易于推广,不利于初学者使用。我经过一段时间的摸索,终于找到了一种使IIS和Apache共存,快速搭建同时支持ASP+Access和PHP+MySQL平台的方法,使用一个多月以来,非常稳定,现简述配置方法如下。

软件准备

1. 在服务器(我使用的操作系统为Windows 2003)上安装并配置好IIS,将站点A(ASP+Access)端口改为8080,因为默认的Apache配置使用的是80端口,如果不修改IIS的默认端口,会导致下面的Apache+PHP+MySQL套件无法安装。

2. 从以下地址下载DedeAMPZ-PHP环境整合套件:http://bbs.dedecms.com/86501.html,我推荐您使用服务器版本DedeAMPZForServer.zip。

安装DedeAMPZ For Server

2003系统下的Apache+PHP+MySQL运行环境快速集成安装套件,安装后系统中就会包含以下程序:php5、MySql5、Apache2.2、Zend Optimizer-3.3.0,用户无需修改任何配置文件。对初学者来说,它是安装最方便、最快速的一款Web服务器平台。

第一步,运行压缩文件内的DedeAMPZForServer.exe程序,安装DedeAMPZForServer 集成套件;
安装教程:http://help.dedecms.com/archives/install/3/
视频教程:http://help.dedecms.com/video/quickstart/

第二步,安装完毕后浏览器会自动访问http://localhost/initdede.php 并下载Dedecms网站程序;
您也可以访问http://localhost/phpinfo.php 来查看您系统中的环境配置.

第三步,安装网站程序时所有的网站信息您都可以自己录入,包括数据库名称和表前缀等等;

第四步,将站点A(IIS)和站点B(php)的域名都解析到服务器所在的公网IP。

现在通过站点A(IIS)和站点B(php)的访问都指向到了站点B上,因为默认的Apache配置使用的是80端口,此要想让站点A正常访问只有其网址后面输入端口号8080才行。不过总不能让访问站点A(IIS)的朋友都在网址后面输入一个端口号吧,没关系,只要按照下面的方法在Apache里稍做设置就可以直接使用域名访问了。

设置Apache作为IIS的代理

1. 加载Apache的代理模块

您可以打开DedeAMPZ管理程序界面,选择”修改WEB全局配置”按钮并开打..
也可以找到*:\DedeAMPZ\Program\Apache\conf\httpd.conf,用记事本打开;
我们所看到的都是DedeAMPZ给我们写好的内容,但这并不包含用Apache作为IIS的代理功能.所以我们要添加来实现IIS与Apache的并存。
把我所罗列出来的四条内容添加到“LoadModule userdir_module modules/mod_userdir.so”下面即可!

#以下四条是Apache为IIS增加的代理
LoadModule proxy_module modules/mod_proxy.so

LoadModule proxy_connect_module modules/mod_proxy_connect.so

LoadModule proxy_http_module modules/mod_proxy_http.so

LoadModule proxy_ftp_module modules/mod_proxy_ftp.so

2. 建立虚拟主机,进行端口重定向

将站点A(IIS)域名的所有访问转向8080端口,再次在httpd.conf末尾增加以下内容
(注意:将以下内容添加到”Include conf/httpd-vhosts.conf”上方,并不是内容最下方):

ServerName www.localhost.com #(填写A(IIS)对应站点的域名列表)

ProxyPass / http://www.localhost:8080/

ProxyPassReverse / http://www.localhost:8080/

如果你的IIS中有多个站点,只要按照以上步骤在Apache中建立多个域名列表(虚拟主机)就可以了。

以上两步操作完成后,保存httpd.conf文件,重启Apache服务。
提示Apache服务启动成功后,在开启IIS中对应站点就OK了。

这样简单的几步操作就快速实现了IIS和Apache共存,基于ASP+Access平台的站点可以直接放在IIS里运行,基于PHP+MySQL的站点则运行在Apache下。估计大家IIS的站可能要比PHP的站多吧,如果这样一个个去添加是有点小麻烦。能不能用IIS做Apache的代理呢?我也不清楚到底有没有..
OK,那就要你去找下吧..呵呵!!

______________________________

作者信息:
QQ:508266 允灿
E-Mail:yuncan@vip.qq.com

2012年07月19日

(1).账户策略

在这里可以设置密码和账户的锁定策略。例如,在这部分组策略中,我们可以设置密码最小长度或者密码需要包含复杂字符。

(2).本地策略

“本地策略”下有三个安全策略项,通过配置可以实现Windows系统的各种安全需求。例如,其中的“审计策略”用于配置服务器的Windows安全事件日志收集哪些事件;“用户权限分配”用于配置哪些用户能通过“远程桌面”访问指定的服务器或工作站;使用“安全选项”配置以确定是否激活指定系统上的“管理员”账户以及重命名“管理员”账户。

“审计策略”:允许我们控制Windows安全事件日志能收集哪些事件类型,在此指定成功或失败的事件,用于审计从活动目录访问到系统对象访问(如文件和注册表键)的各种事件类型。

“用户权限分配”是组策略中另一个强大的安全工具,能用于控制谁能在指定系统上做什么事情。用户权限的例子包括“本地登录”权限,用于控制谁能交互式登录服务器或工作站的控制台;“加载和卸载设备驱动”权限,用于赋予组或用户安装设备驱动的权限。

另外,还有一些与安全相关的Windows组策略设置:

禁用指定的文件类型

在“组策略”中,我们可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件类型,而且不影响系统的正常运行。这里假设我们要禁用注册表的REG文件,不让系统运行REG文件,具体操作方法如下:

1. 打开组策略,点击“计算机配置→Windows设置→安全设置→软件限制策略”,在弹出的右键菜单上选择“创建软件限制策略”,即生成“安全级别”、“其他规则”及“强制”、“指派的文件类型”、“受信任的出版商”项。

2. 双击“指派的文件类型”打开“指派的文件类型属性”窗口,只留下REG文件类型,将其他的文件全部删除,如果还有其他的文件类型要禁用,可以再次打开这个窗口,在“文件扩展名”空白栏里输入要禁用的文件类型,将它添加上去。

3. 双击“安全级别→不允许的”项,点击“设为默认”按钮。然后注销系统或者重新启动系统,此策略即生效,运行REG文件时,会提示“由于一个软件限制策略的阻止,Windows无法打开此程序”。

4.要取消此软件限制策略的话,双击“安全级别→不受限的”,打开“不受限的 属性”窗口,按“设为默认值”即可。

提示:为了避免“软件限制策略”将系统管理员也限制,我们可以双击“强制”,选择“除本地管理员以外的所有用户”。如果用你的是文件类型限制策略,此选项可以确保管理员有权运行被限制的文件类型,而其他用户无权运行。

未经许可,不得在本机登录

使用电脑时,我们有时要离开座位一段时间。为了避免有人动用电脑,我们一般会把电脑锁定。但是在局域网中,为了方便网络登录,我们有时候会建立一些来宾账户,如果对方利用这些账户来注销当前账户登录到别的账户,那就麻烦了。既然我们不能删除或禁用这些账户,那么我们可以通过“组策略”来禁止一些账户在本机上登录,让对方只能通过网络登录。

在“组策略”窗口中依次打开“计算机配置→Windows设置→安全设置→本地策略→用户权限分配”,然后双击右侧窗格的“拒绝本地登录”项,在弹出的窗口中添加要禁止的用户或组即可实现。

如果我们想反其道而行之,禁止用户从网络登录,只能从本地登录,可以双击“拒绝从网络访问这台计算机”项将用户加上去。

给“休眠”和“待机”加个密码

在“组策略”窗口中展开“用户配置→管理模板→系统→电源管理”,在右边的窗格中双击“从休眠/挂起恢复时提示输入密码”,将其设置为“已启用”,那么当我们从“待机”或“休眠”状态返回时将会要求你输入用户密码。

禁止修改IE浏览器的主页

如果您不希望他人或网络上的一些恶意代码对自己设定的IE浏览器主页进行随意更改的话,我们可以选择“用户配置”→“管理模板”→“Windows 组件”→“Internet Explorer”分支,然后在右侧窗格中,双击“禁用更改主页设置”策略启用即可。

逐级展开“用户设置”→“管理模板”→“Windows组件”→“Internet Explorer”分支,我们可以在其下发现“Internet控制面板”、“脱机页”、“浏览器菜单”、“工具栏”、“持续行为”和“管理员认可的控件”等策略选项。利用它可以充分打造一个极有个性和安全的IE。

把Administrator藏起来

Windows系统默认的系统管理员账户名是Administrator。因此,为了避免有人恶意破解系统管理员Administrator账户的密码,我们可以将Administrator改为其他名字以加强安全。选择“计算机配置→Windows设置→安全设置→本地策略→安全选项”,在右边窗格里双击“账户:重命名系统管理员账户”项,在上面输入你想要的用户名。重新启动计算机后,输入的新用户名即刻生效。如果再新建一个Guest用户,用户名为Administrator,然后再加上十分复杂的密码就更安全。

为了避免让人在Windows的登录框中看到曾经登录过的用户名,就要双击“交互式登录:不显示上次的用户名”子项,选择“已启用”将该策略启用。这样上次登录到计算机的用户名就不会显示在Windows的登录画面中。

禁用IE组件自动安装

选择“计算机配置”→“管理模板”→“Windows组件”→“Internet Explorer”项目,双击右边窗口中“禁用Internet Explorer组件的自动安装”项目,在打开的窗口中选择“已启用”单选按钮,将会禁止 Internet Explorer 自动安装组件。这样可以防止 Internet Explorer 在用户访问到需要某个组件的网站时下载该组件,篡改IE的行为也会得到遏制!相对来说IE也会安全许多。

【51CTO独家特稿,合作站点转载请注明原文译者和出处。】

2012年07月11日

在Windows系统中如果您希望某个域用户只能登陆1台客户端的话,建议您执行以下操作:

1. 点击“开始->运行”并输入“DSA.MSC” ->打开“Active Directory用户和计算机”。

2. 右键点击需要进行设置的用户->“属性”->“帐户”->“登陆到”->“下列计算机”。

3. 添加指定的计算机。

假设我们只允许域用户登录自己的电脑,而不能登录其它电脑。
域中可以限制AD账户仅能在指定的时间指定的计算上登录,是否可以针对域中的客户端进行设定仅有指定的AD账户可以登录到此计算机?

分析:

gpedit.msc
白名单法:
“本地计算机”策略 -> 计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 用户权利指派 -> 在本地登录
去掉里面所有的用户,只填加你的用户帐号(注:帐号可以是域用户帐号)
这样,这台电脑就只有填加的这个用户能登录了
如果你的电脑使用人比较多,但有一两人比较不自觉,你不想让他们用你的电脑,那看下面
黑名单法:
“本地计算机”策略 -> 计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 用户权利指派 -> 拒绝本地登录
效果和上面差不多,在黑名单上的人就不能使用你的电脑了

附:

运行>secpol.msc>本地策略>用户权限分配>允许在本地登陆

把Users去掉,把你想登陆的帐号或组(本地 域都可以)加进去!

以上操作都在客户端电脑进行! 域环境下我是在AD组策略中修改的,当然客户端修改也是可以的

方法三
1.客户机
本地管理员登陆该机.在策略>用户权力指派>拒绝本地登陆>添加 如domain Users组。
可以让用户在本机策略里面的“用户权力分配”,的本机登录只保留administrator的权限。将用户帐号添加到这个里面就可以了。其他用户就不可以登录这台电脑了。域管理员是可以的。

英文版:运行gpedit.msc – Computer Configuration – Windows Settings – Security Settings – Local Policy -User Rights Assignment 里的 Log on locally 去掉 Users。添加需要的用户。