2006年04月28日

上Kele8打台球,似乎已经成了种习惯

今日却发现K8是这样推广自己的游戏的:“下载光荣,卸载可耻”

看到此处,我毫不犹豫的删了K8全部插件

一个挺好的网络游戏,已经被一个无能且无耻的总经理+无知的策划市场推广团队经营成一个无耻的游戏

可悲也可笑,黔驴技穷了么?

更搞笑的是,前段时间K8首页受到拒绝访问攻击无法正常打开,玩家也自然没法直接进游戏,结果同方数码娱乐居然在首页写道:网站受到黑客攻击!据我所知,没有哪个网站敢承认自己的站点被黑,那样等于承认自己技术能力或者硬件条件不足,除非已经被入侵改了首页或者数据遭到破坏,需要出来澄清一下。而且入侵与攻击不是一个概念,防攻击甚至入侵最直接有效的办法就是添加硬件设备,但同方数码娱乐只有三个字,没钱买,而且它还博取玩家同情似的告诉大家,我们被黑了,稍微懂点的都明白,不是被黑,而是没钱没能力。

而就在今天,又做带侮辱性质的图片推广,我只想说,那个黔驴技穷的什么总,“尊重卸载,强迫可耻!”

2006年02月07日

QMAIL安装文档-by zengyu

前言:可能网上你能搜索到一堆qmail安装文档,不过大多数都不完整,安装过程中错误较多,本安装文档是我在网上搜集整理并实测成功安装三次以上的文档,如有任何偏差还请指出。

#确认没有冲突的服务(postfix/sendmail/smtpd/httpd)开启
setup
修改后reboot


#安装qmail
#创建/home/pkg/目录,存放全部所需软件
#注:qmail将被安装到/var/qmail,vpopmail将被安装到/home/vpopmail,igenus&igenus_admin将被安装到/usr/local/apps/www/igenus
mkdir /home/pkg
cd home
tar zxvf qmail_2.9.tar.gz

#安装netqmail
cd /home/pkg
tar zxvf netqmail-1.05.tar.gz
cd netqmail-1.05
./collate.sh

#安装daemontools
cd /home/pkg
tar zxvf daemontools-0.76.tar.gz
cd admin/daemontools-0.76
patch -p1 < /home/pkg/netqmail-1.05/other-patches/daemontools-0.76.errno.patch
package/install
# 验证daemontools已经正常运行
sleep 5
ps ax | grep svscan

#安装ucspi-tcp
cd /home/pkg
tar zxvf ucspi-tcp-0.88.tar.gz
cd ucspi-tcp-0.88
patch -p1 < ../ucspi-tcp-0.88.errno.patch
make
make setup check

#创建所需要的用户
mkdir /var/qmail
groupadd nofiles
useradd alias -g nofiles -d /var/qmail/alias -s /sbin/nologin
useradd qmaild -g nofiles -d /var/qmail -s /sbin/nologin
useradd qmaill -g nofiles -d /var/qmail -s /sbin/nologin
useradd qmailp -g nofiles -d /var/qmail -s /sbin/nologin
groupadd qmail
useradd qmailq -g qmail -d /var/qmail -s /sbin/nologin
useradd qmailr -g qmail -d /var/qmail -s /sbin/nologin
useradd qmails -g qmail -d /var/qmail -s /sbin/nologin
#添加vpopmail用户
#注销掉89 postfix用户
vi /etc/group
#注销掉89 postfix用户
vi /etc/passwd
groupadd vchkpw -g 89
useradd vpopmail -u 89 -g vchkpw

#准备安装qmail
cd /home/pkg
tar zxvf toaster-scripts-0.7.tar.gz
cd netqmail-1.05/netqmail-1.05/
# 搜索函数straynewline中的451改为553
# 当你的服务器收到无效格式的邮件时,会发送:"I am not going to accept that message at the moment,you can try again later",
#对方服务器收到后,几秒钟后又会发送同样的邮件给你,造成多次的重复。 
# 改为553后,你的服务器将直接发送:"I am not going to accept that message,don’t try sending it again.",告诉对方的服务器不要再发这封无效的信件。
vi qmail-smtpd.c

# RedHat/Fedora用户可能需要为TLS补丁链接一个include文件
ln -s /usr/kerberos/include/com_err.h /usr/include/
# 删除sendmail的链接
rm -rf /usr/sbin/sendmail

#qmail编译安装
make
make setup check
# 用你自己的主机名代替下面的mail.51divx.com
./config-fast mail.51divx.com
#设置管理员的邮箱地址。
#发往root/postmaster/mailer-daemon地址的邮件将会由定义的管理员邮箱接收。
#将如下的
“admin@domain.com"替换成你的管理员邮箱。
cd /var/qmail/alias
echo "
postmaster@51divx.com" > .qmail-postmaster
echo "
postmaster@51divx.com" > .qmail-mailer-daemon
echo "
postmaster@51divx.com" > .qmail-root
chmod 644 /var/qmail/alias/.qmail*

#开启SPF设置
echo ./Maildir/ >/var/qmail/control/defaultdelivery
echo 3 > /var/qmail/control/spfbehavior
 
#添加qmail的帮助手册
echo MANPATH /var/qmail/man >> /etc/man.config

#为qmail服务建立监控目录和日志文件:
mkdir -p /var/qmail/supervise/qmail-send/log
mkdir -p /var/qmail/supervise/qmail-smtpd/log
mkdir -p /var/qmail/supervise/qmail-pop3d/log
mkdir -p /var/qmail/supervise/qmail-pop3ds/log
cp /home/pkg/toaster-scripts-0.7/send.run /var/qmail/supervise/qmail-send/run
cp /home/pkg/toaster-scripts-0.7/send.log.run /var/qmail/supervise/qmail-send/log/run
cp /home/pkg/toaster-scripts-0.7/smtpd.run /var/qmail/supervise/qmail-smtpd/run
cp /home/pkg/toaster-scripts-0.7/smtpd.log.run /var/qmail/supervise/qmail-smtpd/log/run
cp /home/pkg/toaster-scripts-0.7/pop3d.run /var/qmail/supervise/qmail-pop3d/run
cp /home/pkg/toaster-scripts-0.7/pop3d.log.run /var/qmail/supervise/qmail-pop3d/log/run
cp /home/pkg/toaster-scripts-0.7/pop3ds.run /var/qmail/supervise/qmail-pop3ds/run
cp /home/pkg/toaster-scripts-0.7/pop3ds.log.run /var/qmail/supervise/qmail-pop3ds/log/run
echo 20 > /var/qmail/control/concurrencyincoming
chmod 644 /var/qmail/control/concurrencyincoming
chmod 755 /var/qmail/supervise/qmail-send/run
chmod 755 /var/qmail/supervise/qmail-send/log/run
chmod 755 /var/qmail/supervise/qmail-smtpd/run
chmod 755 /var/qmail/supervise/qmail-smtpd/log/run
chmod 755 /var/qmail/supervise/qmail-pop3d/run
chmod 755 /var/qmail/supervise/qmail-pop3d/log/run
chmod 755 /var/qmail/supervise/qmail-pop3ds/run
chmod 755 /var/qmail/supervise/qmail-pop3ds/log/run
mkdir -p /var/log/qmail/smtpd
mkdir -p /var/log/qmail/pop3d
mkdir -p /var/log/qmail/pop3ds
chown -R qmaill /var/log/qmail

#启动脚本:
cd /home/pkg
cp toaster-scripts-0.7/rc /var/qmail/rc
chmod 755 /var/qmail/rc
cp toaster-scripts-0.7/qmailctl /var/qmail/bin/
chmod 755 /var/qmail/bin/qmailctl
ln -s /var/qmail/bin/qmailctl /usr/bin
ln -s /var/qmail/bin/sendmail /usr/sbin/sendmail
rm -rf /usr/lib/sendmail
ln -s /var/qmail/bin/sendmail /usr/lib/sendmail

# 用daemontools来启动qmail-send和qmail-smtpd
ln -s /var/qmail/supervise/qmail-send /var/qmail/supervise/qmail-smtpd /service


#安装vpopmail
mkdir -p /home/vpopmail/etc
# 设置默认域,红色部份改成你要设置的域。
echo "51divx.com" > /home/vpopmail/etc/defaultdomain
# 设置smtp规则,关闭open relays
echo ‘127.0.0.1:allow,RELAYCLIENT=""’ > /home/vpopmail/etc/tcp.smtp
cd /home/vpopmail/etc ; tcprules tcp.smtp.cdb tcp.smtp.tmp < tcp.smtp
# 设置MySQL信息,第一个vpopmail是帐号,xukixu为密码,第二个vpopmail是数据库
#echo "localhost|0|vpopmail|xukixu|vpopmail" > /home/vpopmail/etc/vpopmail.mysql !不执行此行
注:此处我们使用root帐号(密码12345)来往mysql库里写入信息,用vpopmail帐号也可以,但mysql的vpopmail帐号默认密码空是不行的,得先修改密码才能使用
echo "219.238.233.116|0|root|12345|vpopmail" > /home/vpopmail/etc/vpopmail.mysql
chmod 640 /home/vpopmail/etc/vpopmail.mysql
chown -R vpopmail.vchkpw /home/vpopmail/etc

# 给mysql的root帐号授权
mysql -p12345
CREATE DATABASE vpopmail;
GRANT all privileges ON vpopmail.* TO
root@219.238.233.116 IDENTIFIED BY ‘12345′;
FLUSH PRIVILEGES;
QUIT

#安装:
cd /home/pkg/
tar zxvf vpopmail-5.4.10.tar.gz
cd vpopmail-5.4.10

#带数据库支持
./configure –enable-incdir=/usr/include/mysql –enable-libdir=/usr/lib/mysql –disable-roaming-users –enable-logging=p –disable-passwd –enable-clear-passwd –disable-domain-quotas –enable-auth-module=mysql –enable-auth-logging –enable-sql-logging –disable-valias –disable-mysql-limits –enable-learn-passwords

make
make install-strip

#管理:
echo ‘export PATH=$PATH:/home/vpopmail/bin’ >> /etc/profile
source /etc/profile

ln -s /var/lib/mysql/mysql.sock /tmp/mysql.sock  #此处应该提示’已存在’的信息

# 添加域
#如域存在:#############################################
/home/vpopmail/bin/vdeldomain 51divx.com

cd /home/vpopmail/bin
./vadddomain 51divx.com 11111

# 添加用户
./vadduser
zengyu@51divx.com 111111

# 设置邮箱容量达到90%的警告信息
vi /home/vpopmail/domains/.quotawarn.msg
----------------------------
From: 邮箱管理员 

Reply-To: postmaster@51divx.com

To: 邮箱用户

Subject: 邮箱空间警告

Mime-Version: 1.0

Content-Type: text/html; charset=gb2312

Content-Transfer-Encoding: base64 

您的邮箱空间已经达到90%.如果想继续使用,请删除一些信件.

如果需要帮助,请联系邮箱管理员:

Email : postmaster@51divx.com
----------------------------

# 设置邮箱已满的警告信息
echo "邮件被拒绝,用户的邮箱空间已满." > /home/vpopmail/domains/.over-quota.msg

#启动脚本:
cp /home/pkg/toaster-scripts-0.7/vpopmailctl /var/qmail/bin
ln -s /var/qmail/bin/vpopmailctl /usr/bin
chmod 755 /var/qmail/bin/vpopmailctl

#现在打上qmail的补丁:
cd /home/pkg/netqmail-1.05/netqmail-1.05
bunzip2 -c /home/pkg/qmail-toaster-0.7.2.patch.bz2 | patch -p0
make clean
make
qmailctl stop
make setup check
chown -R vpopmail:vchkpw /var/qmail/spam

#创建SSL Key
make cert
#按提示输入公司信息
----------------------------
Country Name (2 letter code) [GB]:CN

State or Province Name (full name) [Berkshire]:BJ

Locality Name (eg, city) [Newbury]:BJ

Organization Name (eg, company) [My Company Ltd]:51divx

Organizational Unit Name (eg, section) []:51divx

Common Name (eg, your name or your server’s hostname) []:51divx.com

Email Address []:postmaster@51divx.com
----------------------------
make tmprsadh
chown -R vpopmail:qmail /var/qmail/control/clientcert.pem /var/qmail/control/servercert.pem
# 用"crontab -e"在crontab里增加下面这条,每天晚上更新temp keys
01 01 * * * /var/qmail/bin/update_tmprsadh > /dev/null 2>&1

#启动qmail
qmailctl start

# 用daemontools来启动qmail-pop3d和qmail-pop3ds
ln -s /var/qmail/supervise/qmail-pop3d /service
ln -s /var/qmail/supervise/qmail-pop3ds /service

#此时,用netstat -an就可看到25/110端口已经处于监听状态

#POP3和SMTP测试
#用outlook测试qmail的smtp和pop3是否正常,注意由于vpopmail支持虚拟域名,所以在outlook中设置邮件帐号时,用户名后要加上域名,如
zengyu@51divx.com
#smtp是带认证的,在outlook中也要作相应设置。建议先测试正常后再进行下一步安装。
#如果qmail出现问题,可查看mysql中的vpopmail数据库,/var/log下的mysqld和maillog日志记录,这样容易很快找出问题。


#安装iGenus
cd /home/pkg
tar zxvf igenus_2.0.2_20040901_release.tgz -C /usr/local/apps/www/

#建temp文件夹
mkdir /tmp/temp
chmod -R 0755 /tmp/temp
chown -R vpopmail:vchkpw /tmp/temp

mkdir /usr/local/apps/www/netdisk
chmod -R 0755 /usr/local/apps/www/netdisk
chown -R vpopmail:vchkpw /usr/local/apps/www/netdisk

chmod -R 0755 /usr/local/apps/www/igenus/
chown -R vpopmail:vchkpw /usr/local/apps/www/igenus/

#修改httpd.conf
vi /usr/local/apps/apache2/conf/httpd.conf
#修改
ServerName mail.51divx.com
User vpopmail
Group vchkpw
NameVirtualHost *:80
#添加
AddDefaultCharset GB2312 //使默认页面为中文
AddType application/x-httpd-php-source .phps
<VirtualHost *:80>
    ServerName mail.51divx.com
    DocumentRoot /usr/local/apps/www/igenus/
    ErrorLog /dev/null
    CustomLog /dev/null common
</VirtualHost>
#重启apache
/usr/local/apps/apache2/bin/apachectl restart

#修改config_inc.php文件
vi /usr/local/apps/www/igenus/config/config_inc.php
---------------------------------
$CFG_BASEPATH = "/usr/local/apps/www/igenus/"; \\改成你安装的目录

$CFG_MYSQL_HOST = ‘localhost’; 

$CFG_MYSQL_USER = ‘root’; \\vpopmail访问mysql的帐号

$CFG_MYSQL_PASS = ‘12345′; \\vpopmail访问mysql的密码

$CFG_MYSQL_DB = ‘vpopmail’; \\数据库

$CFG_TEMP = "/tmp/temp"; \\删除$CFG_BASEPATH,并修改路径
---------------------------------
#保存退出

#重新编制Mysql数据库表格
#删除之前创建的域名
/home/vpopmail/bin/vdeldomain 51divx.com

#编辑数据库:
mysql -p12345
use vpopmail;
drop table lastauth;
drop table vpopmail;
quit;
#导入前编辑iGENUS.sql
vi /usr/local/apps/www/igenus/docs/iGENUS.sql
-------------------------
# Table structure for table `address`

use vpopmail; //加入这一行

CREATE TABLE `address` (

`id` int(11) unsigned NOT NULL auto_increment,

`pw_id` int(5) NOT NULL default ‘0′,

`name` varchar(64) NOT NULL default ”,

`email` varchar(128) NOT NULL default ”,

UNIQUE KEY `id` (`id`),

KEY `pw_id` (`pw_id`)

) TYPE=MyISAM PACK_KEYS=1 ;
# ———————————————–
。。。。。。。。。。
CREATE TABLE `vpopmail` (

`pw_id` int(5) unsigned NOT NULL auto_increment,

`pw_name` varchar(32) NOT NULL default ”,

`pw_domain` varchar(64) NOT NULL default ”,

`pw_passwd` varchar(40) NOT NULL default ”,

`pw_uid` int(11) default NULL,

`pw_gid` int(11) default NULL,

`pw_gecos` varchar(48) default NULL,

`pw_dir` varchar(255) default NULL,

`pw_shell` varchar(20) default NULL,

`pw_clear_passwd` varchar(16) default NULL, \\加入这一行

`createtime` timestamp(14) NOT NULL,

PRIMARY KEY (`pw_id`),

KEY `pw_name` (`pw_name`,`pw_domain`)

) TYPE=MyISAM PACK_KEYS=1 ;
-------------------------
#保存退出

#运行如下命令导入数据表
mysql -p12345 –database=vpopmail </usr/local/apps/www/igenus/docs/iGENUS.sql


#设置igenus 定义允许上传下载的邮件的大小
#编辑/etc/php.ini
vi /etc/php.ini
-------------------------
max_execution_time=60
memory_limit=20M
post_max_size = 10M
file_uploads=on
upload_max_filesize=10M
register_globals=On
session.bug_compat_42=0
session.bug_compat_warn=0
sendmail_path = /var/qmail/bin/qmail-inject
-------------------------

chmod 777 /var/lib/php/session/ -R

#添加新域名和新用户。
/home/vpopmail/bin/vadddomain 51divx.com 123456
/home/vpopmail/bin/vadduser
zengyu@51divx.com 123456

#最后打开浏览器,输入http://mail.51divx.com/,就可以访问igenus企业邮局了。


#安装iGenus_Admin,一个基于Web的vpopmail域和帐号管理工具。
#安装
cd /home/pkg
tar -xzvf igenus_admin_0.1.tgz -C /usr/local/apps/www/igenus/

#设置
vi /usr/local/apps/www/igenus/admin/includes/config_inc.php
--------------------------------
$CFG_VPOPMAIL_HOST = "localhost"; 

$CFG_VPOPMAIL_USER = "root"; \\改为你的帐号 

$CFG_VPOPMAIL_PASS = "12345"; \\改为你的密码 

$CFG_VPOPMAIL_PATH = "/home/vpopmail"; \\改为你的vpopmail安装目录 
--------------------------------
#保存退出 

touch /etc/syspasswd.dat
chown -R vpopmail.vchkpw /usr/local/apps/www/igenus/
chmod -R 755 /usr/local/apps/www/igenus/

#解决出现不能执行查询(query): SELECT * FROM admin ORDER BY id ASC LIMIT -20, 20,修改
vi /usr/local/apps/www/igenus/admin/sys/index.php
--------------------------------
$start_row = ($get_page – 1)*$CFG_NUMOFPAGE;
修改成
if ($get_page == 0) {
$start_row = $get_page*$CFG_NUMOFPAGE;
}
else{
$start_row = ($get_page – 1)*$CFG_NUMOFPAGE;
}
--------------------------------
#保存退出

#登录设置页面,用户:Admin密码Admin来登录.注意A要大写..这个管理帐号密码登录后可以改的
http://mail.51divx.com/admin/sys/
#登录后,首先点"更新数据库"你就会看见你的域名.然后点"编辑"把"登录权限 该域管理员(Postmaster)有权登录进行用户管理"这一项打勾,确认后,就可以用 
http://domain.com/admin/ 
来登录管理了。

#安装Clamav
#添加所需的组和用户
groupadd clamav
useradd -g clamav -s /bin/false clamav

#安装软件
cd /home/pkg
tar xzvf clamav-0.83.tar.gz
cd clamav-0.83
./configure –disable-zlib-vcheck
make check
make install

#测试Clamav
clamscan –recursive –log=/tmp/clamscan.log ./ //扫描当前目录,测试clamscn是否运行
cat /tmp/clamscan.log

#更改/usr/local/etc/freshclam.conf文件,去掉下面选项前面的#:
vi /usr/local/etc/freshclam.conf
--------------------------------
#Example \\前面加上# 
UpdateLogFile /var/log/freshclam.log \\去掉前面的#
LogSyslog \\去掉前面的#
PidFile /var/run/freshclam.pid \\去掉前面的#
--------------------------------

#更改/usr/local/etc/clamd.conf文件,去掉下面选项前面的#:
vi /usr/local/etc/clamd.conf
--------------------------------
#Example \\前面加上#
LogFile /var/log/clamav/clamd.log \\去掉前面的#   ???
LogFileMaxSize 2M \\去掉前面的#
LogTime \\去掉前面的#
PidFile /var/run/clamd.pid \\去掉前面的#
LogSyslog \\去掉前面的#
ScanMail \\去掉前面的#
--------------------------------

touch /var/log/freshclam.log
chmod 644 /var/log/freshclam.log
chown clamav:clamav /var/log/freshclam.log

mkdir /var/lib/clamav
chown clamav:clamav /var/lib/clamav

#升级clamscan病毒库
freshclam –verbose

#把freshclam加入crontab 定时更新病毒库,自动扫描/home目录
crontab -e
--------------------------------
0 1 * * * freshclam –quiet -l /var/log/freshclam.log

0 6 * * * /usr/local/bin/clamscan –recursive –infected –exclude /usr/local/share/clamav/viruses.db –exclude /usr/local/share/clamav/viruses.db2 –log=/var/log/clamscan.log /home
--------------------------------

#创建freshclam日志记录文件
mkdir -p /var/log/clamav
touch /var/log/clamav/clamd.log
chown clamav.clamav -R /var/log/clamav/
chmod 644 -R /var/log/clamav/

#创建clamav启动脚本
vi /etc/rc.d/init.d/clamav
--------------------------------
#!/bin/sh

#

# Startup / shutdown script for Clam Antivirus

case "$1" in

start)

/usr/local/sbin/clamd && echo -n ‘Clamd started’

/usr/local/bin/freshclam -d -c 2 -l /var/log/freshclam.log

echo -n ‘ freshclam started’

;;

stop)

/usr/bin/killall clamd > /dev/null 2>&1 && echo -n ‘Clamd stoped’

/usr/bin/killall freshclam > /dev/null 2>&1 && echo -n ‘ freshclam Stoped’

;;

*)

echo ""

echo "Usage: `basename $0` { start | stop }"

echo ""

exit 64

;;

esac
------------------------------------

#使其能够执行
chmod 755 /etc/init.d/clamav

#随开机起动
ln -s /etc/init.d/clamav /etc/rc.d/rc3.d/S88clamav
ln -s /etc/init.d/clamav /etc/rc.d/rc5.d/S88clamav


#安装 SpamAssassin
# 安装Time-HiRes perl模块
cd /var/src
# 注意: 如果你是第一次运行CPAN,你将会被问一系列的问题.
# 大部分问题默认就行了.
perl -MCPAN -e’shell’
cpan> install Time::HiRes
cpan> exit
# 安装SpamAssassin
cd /var/src
tar -xzf tar/Mail-SpamAssassin-2.31.tar.gz
cd Mail-SpamAssassin-2.31
perl Makefile.PL
make
make install

#修改起动脚本使spamassassin支持vpopmail
#修改如下一行:
vi /etc/init.d/spamassassin
SPAMDOPTIONS="-d -c -m5 -H -x -u spamd -v"
vi /etc/sysconfig/spamassassin
SPAMDOPTIONS="-d -c -m5 -H -x -u spamd -v"

#spamassassin的过滤模板在/etc/mail/spamassassin/local.cf,修改为:
vi /etc/mail/spamassassin/local.cf
-------------------------------
required_score          5.0

rewrite_header Subject ********SPAM********

report_safe            1

use_bayes              1

skip_rbl_checks         0

ok_languages            zh en

ok_locales              en ko

score HEAD_ILLEGAL_CHARS 0

score SUBJ_ILLEGAL_CHARS 0

score DATE_IN_PAST_03_06 0

score UPPERCASE_25_50 0

score UPPERCASE_50_75 0

score UPPERCASE_75_100 0

score X_MSMAIL_PRIORITY_HIGH 0

score X_PRIORITY_HIGH 0

score TO_TXT 100

score RATWARE_HASH_2 100

score RATWARE_HASH_2_V2 100

score BAYES_99 0.1

score BAYES_80 0.1

score BAYES_60 0.1

score FROM_ILLEGAL_CHARS 0.1

score MIME_BASE64_TEXT 0.1

score NO_RDNS_DOTCOM_HELO 0.1

score CHINA_HEADER 0.1

score NO_REAL_NAME 0.2

score HTML_MESSAGE 0.2

score MIME_HTML_ONLY 0.2

score MIME_HTML_ONLY_MULTI 0.2

score FORGED_MUA_OUTLOOK 0.2

score FORGED_HOTMAIL_RCVD 0.2

score FORGED_OUTLOOK_TAGS 0.2

score MAILTO_TO_SPAM_ADDR 0.2

 

#黑白名单

whitelist_from *@domain.com

 

# —————————————————————————

# 使用中国反垃圾邮件联盟的CBL/CDL

# URL: http://www.anti-spam.org.cn/

header RCVD_IN_CBL eval:check_rbl(‘cbl’, ‘cbl.anti-spam.org.cn.’)

describe RCVD_IN_CBL Received via a relay in cbl.anti-spam.org.cn

tflags RCVD_IN_CBL net

 

header RCVD_IN_CDL eval:check_rbl(‘cdl-notfirsthop’, ‘cdl.anti-spam.org.cn.’)

describe RCVD_IN_CDL CDL: dialup sender did non-local SMTP

tflags RCVD_IN_CDL net

 

#SCORE

score RCVD_IN_CBL 4.0

score RCVD_IN_CDL 3.0
--------------------------------------

#运行ntsysv,将spamassassin设定的为开机运行

#使用CCERT 中文垃圾邮件过滤规则集Chinese_rules.cf
wget -N -P /usr/share/spamassassin
www.ccert.edu.cn/spam/sa/Chinese_rules.cf

#添加SpamAssasin服务启动必须的用户
useradd spamd
#启动SpamAssassin
service  spamassassin start

#定期自动更新中文反垃圾邮件规则
crontab –e
#加入
0 0 1 * * wget -N -P /usr/share/spamassassin
www.ccert.edu.cn/spam/sa/Chinese_rules.cf;/etc/init.d/spamassassin restart;/etc/init.d/spamassassin restart;

#建立SpamAssassin的学习系统
sa-learn –sync -D -p user_prefs

#查看自学习的数据信息
sa-learn –dump all

#查看调试信息
spamassassin –lint –D

#进行一个spam和non-spam的测试
spamassassin -t < sample-spam.txt > spamtest.txt
less spamtest.txt
spamassassin -t < sample-nonspam.txt > nospamtest.txt
less nospamtest.txt
#spamtest.txt文件在主题一段中将包含"*****SPAM*****" 这一行, 而nospamtest.txt文件中则没有.

OK了,到次qmail的主要模块都装上了,要实测正常收发,请注意将你正式域名的MX记录指向过来。

Cacti的功能与用途这里就不多做介绍了,但它并不是万能的,例如无法统计某个IP段的流量情况,期待新版或Mod能让其真正强大起来。

一、ApachePHPMysql安装

(1). apache安装

       下载

       wget http://apache.justdn.org/httpd/httpd-2.0.55.tar.gz

解压

tar zxvf httpd-2.0.55.tar.gz

如果没有最大化安装as4或没有安装以下包,编译会报错

可手动安装编译环境,或在添加删除应用程序中选中安装-开发工具

rpm –ivh xxxxx.rpm         #xxxxx.rpm包安装顺序如下:

1glibc-kernheaders-2.4-8.10.i386.rpm
2
binutils-2.13.90.0.18-9.i386.rpm
3
cpp-3.2.2-5.i386.rpm
4
glibc-devel-2.3.2-11.9.i386.rpm
5
glibc-common-2.3.2-11.9.i386.rpm
6
gcc-3.2.2-5.i386.rpm

配置

cd httpd-2.0.55

./configure –prefix=/usr/local/apache-2.0.55 \

–with-mpm=prefork \

–enable-vhost-alias \

–enable-rewrite \

–enable-expires \

–enable-so

编译并安装

make && make install

(2).修改配置文件

cd /usr/local/apache-2.0.55/conf

vi httpd.conf

KeepAlive Off              #on改成off,关闭持久连接

<IfModule prefork.c>

StartServers        5

MinSpareServers    5

MaxSpareServers   10

ServerLimit     4000   #添加这一行,一定要大于MaxClients,但要小于20000

MaxClients     2000    #根据内存大小,一般情况下是1G内存2000

MaxRequestsPerChild  0

</IfModule>

注: ServerName 可修改为域名或本机ip

cd /usr/loca/apache-2.0.55/bin

启动:./apachectl start

 

 

关闭:./ apachectl stop

(3).添加PHP模块,并支持Mysql

1.mysql的安装

       cd /soft/

       下载

       wget http://dev.mysql.com/get/Downloads/MySQL-4.0/mysql-4.0.26.tar.gz/from/http://mysql.byungsoo.net/

解压

tar zxvf mysql-4.0.26.tar.gz

配置

cd mysql-4.0.26

./configure –prefix=/usr/local/mysql-4.0.26

       编译并安装

make

make install

启动mysql:端口3306

       cd /soft/mysql-4.0.26

       cp support-files/my-medium.cnf /etc/my.cnf

       y

       groupadd mysql                                                      #添加mysql用户和组

       useradd –g mysql mysql

       /usr/local/mysql-4.0.26/bin/mysql_install_db               #初始化权限表

       chown –R mysql:mysql /usr/local/mysql-4.0.26/var   #更改目录所属组

       /usr/local/mysql-4.0.26/bin/mysqld_safe &                 #启动mysql

       两次回车

       mysql

       /usr/local/mysql-4.0.26/bin/mysqladmin shutdown     #关闭mysql

2.php编译参数

       下载

       wget http://cn2.php.net/get/php-4.4.1.tar.gz/from/cn.php.net/mirror

解压

tar zxvf php-4.4.1.tar.gz

安装 jpegsrc.v6b.tar.gz libpng-1.2.8-config.tar.gz,否则提示错误“libjpeg.(a|so) not found.

配置

./configure –prefix=/usr/local/php-4.4.1 \

–with-apxs2=/usr/local/apache-2.0.55/bin/apxs \

–with-iconv \

–with-mysql=/usr/local/mysql-4.0.26 \

–with-gd \

–with-jpeg-dir=/usr/local \

–with-png-dir \

–with-zlib \

–enable-gd-native-ttf \

# 以下参数是安装cacti时才用到

–enable-sockets \

–with-snmp \

–enable-ucd-snmp-hack

编译并安装

make && make install

3.拷贝及修改php.ini

       cd /soft/ php-4.4.1/

cp php.ini-dist /usr/local/php-4.4.1/lib/php.ini

修改配置文件

vi /usr/local/php-4.4.1/lib/php.ini

memory_limit = 84M

display_errors = Off

log_errors = Off     #日志记录可不必开启

log_errors_max_len = 10240

error_log = /hdp1/v2/log/php_error.txt         #目录手动添加

post_max_size = 82M

upload_max_filesize = 80M

4.修改apachehttpd.conf文件 添加如下一行,让它能够解析.php文件

cd /usr/local/apache-2.0.55/conf/

vi httpd.conf

要添加到AddType相关的行

AddType application/x-httpd-php .php

重启apache

cd /usr/local/apache-2.0.55/bin/

./apachectl stop

./apachectl start

(4).添加虚拟主机

cd /usr/local/apache-2.0.55/conf/

vi httpd.conf

       NameVirtualHost *:80

<VirtualHost *:80>

    ServerName www.zcom.com

    DocumentRoot /home/www/www.zcom.com     #目录需要手工建立

    ErrorLog /dev/null

    CustomLog /dev/null common

</VirtualHost>

 

 

二、SNMP安装和配置

       (3).redhat

       如果系统安装的时候没有安装可以先装一个apt,然后用apt-get install net-snmp来安装

修改配置文件

       vi /etc/snmp/snmpd.conf

       修改如下两行

       com2sec notConfigUser  default       zengyu

access  notConfigGroup ""      any       noauth    exact  mib2 none none

去掉下面几行前面的“#

com2sec local     localhost       COMMUNITY

com2sec mynetwork NETWORK/24      COMMUNITY

group MyRWGroup  any        local

group MyROGroup  any        mynetwork

view all    included  .1                               80

view mib2   included  .iso.org.dod.internet.mgmt.mib-2 fc

access MyROGroup ""      any       noauth    0      all    none   none

access MyRWGroup ""      any       noauth    0      all    all    all

开启:

setup

system service选中snmp

执行service snmpd start

 

 

三、rrdtool-1.2.11安装

安装libart

wget http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/pub/libs/libart_lgpl-2.3.17.tar.gz

tar zxvf libart_lgpl-2.3.17.tar.gz

cd libart_lgp-2.3.17

./configure

make

make install

 

 

安装 libcgi

wget http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/pub/libs/cgilib-0.5.tar.gz

tar zxvf cgilib-0.5.tar.gz

cd cgilib-0.5

make

cp libcgi.a /usr/local/lib

cp cgi.h /usr/include

 

 

【安装 libcgi

wget http://lists.ee.ethz.ch/p/cgilib-0.5.1.tar.gz

tar zxvf cgilib-0.5.1.tar.gz

cd cgilib-0.5.1

./configure

make && make install

cd libcgi

cp cgi.h /usr/include

 

 

安装 libpng

wget http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/pub/libs/libpng-1.2.8-config.tar.gz

tar zxvf libpng-1.2.8-config.tar.gz

cd libpng-1.2.8-config/

./configure

make

make install

 

 

安装freetype

wget http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/pub/libs/freetype-2.1.9.tar.gz

tar zxvf freetype-2.1.9.tar.gz

cd freetype-2.1.9

./configure

make

make install

cd /usr/include

ln -sf /usr/local/include

 

 

安装 rrdtool

wget http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/pub/rrdtool-1.2.11.tar.gz

tar zxvf rrdtool-1.2.11.tar.gz

cd rrdtool-1.2.11

./configure –prefix=/usr/local/rrdtool-1.2.11 \

–disable-tcl \

–disable-python

make

make install

 

 

四、安装cacti

       前提条件:mysql,apache,php,rrdtool, snmp

(1.)  下载并安装

cd /usr/local/apps/www

wget http://www.cacti.net/downloads/cacti-0.8.6g.tar.gz

tar zxvf cacti-0.8.6g.tar.gz

mv cacti-0.8.6g cacti

cd cacti

(2).打补丁

wget http://www.cacti.net/downloads/patches/0.8.6g/short_open_tag_parse_error.patch

wget http://www.cacti.net/downloads/patches/0.8.6g/graph_properties_zoom.patch

wget http://www.cacti.net/downloads/patches/0.8.6g/script_server_snmp_auth.patch

wget http://www.cacti.net/downloads/patches/0.8.6g/mib_file_loading.patch

patch -p1 -N < short_open_tag_parse_error.patch

patch -p1 -N < graph_properties_zoom.patch

patch -p1 -N < script_server_snmp_auth.patch

patch -p1 -N < mib_file_loading.patch

(3)配置mysql数据库

#mysql

mysql> create database cacti;

mysql> grant all privileges on cacti.* to cacti@123.123.123.123 identified by ‘cacti’;

mysql> flush privileges;

mysql>quit

导入库:

mysql –database=cacti </usr/local/apps/www/cacti/cacti.sql

配置cacti连接数据库

#vi /usr/local/apps/www/cacti/include/config.php

$database_type = “mysql”;
$database_default = “cacti”;
$database_hostname = 123.123.123.123”;
$database_username = “cacti”;
$database_password = “cacti”;

注:123.123.123.123是本机IP地址

       (4).定时运行cacti收集数据

       /etc/crontab -e

       添加一行:

       */5 * * * * /usr/local/php-4.4.1/bin/php /usr/local/apps/www/cacti/poller.php >/dev/null 2>&1

修改apache配置文件httpd.conf,添加默认访问文件index.php

      

cacti的使用配置:

第一次进入需要配置,RRDTOOL路径修改为/usr/local/rrdtool-1.2.11/bin/rrdtool

第一次进入,用admin/admin,然后会提示修改密码,然后即可进入。

settingà修改rrdtool版本,默认是1.0.x,修改为1.2.x,否则图片显示不出来

device下添加要监控的设备;修改设备,添加SNMP-Interface监控;在newgraph下选中设备添加该设备网卡;在tree中添加该设备。

测试:/usr/local/apps/php/bin/php /usr/local/apps/www/cacti/poller.php

如遇到cacti/log/cacti.log中显示无法连接localmysql,做如下处理:

ln -s /var/lib/mysql/mysql.sock /tmp/mysql.sock

2005年12月25日

Linux是一种类Unix的操作系统。从理论上讲,Unix本身的设计并没有什么重大的安全缺陷。多年来,绝大多数在Unix操作系统上发现的安全问题主要存在于个别程序中,所以大部分Unix厂商都声称有能力解决这些问题,提供安全的Unix操作系统。

但Linux有些不同,因为它不属于某一家厂商,没有厂商宣称对它提供安全保证,因此用户只有自己解决安全问题。Linux不论在功能上、价格上或性能上都有很多优点,然而,作为开放式操作系统,它不可避免地存在一些安全隐患。关于如何解决这些隐患,为应用提供一个安全的操作平台,本文会告诉你一些最基本、最常用,同时也是最有效的招数。

Linux是一种类Unix的操作系统。从理论上讲,Unix本身的设计并没有什么重大的安全缺陷。多年来,绝大多数在Unix操作系统上发现的安全问题主要存在于个别程序中,所以大部分Unix厂商都声称有能力解决这些问题,提供安全的Unix操作系统。但Linux有些不同,因为它不属于某一家厂商,没有厂商宣称对它提供安全保证,因此用户只有自己解决安全问题。

Linux是一个开放式系统,可以在网络上找到许多现成的程序和工具,这既方便了用户,也方便了黑客,因为他们也能很容易地找到程序和工具来潜入Linux系统,或者盗取Linux系统上的重要信息。不过,只要我们仔细地设定Linux的各种系统功能,并且加上必要的安全措施,就能让黑客们无机可乘。

一般来说,对Linux系统的安全设定包括取消不必要的服务、限制远程存取、隐藏重要资料、修补安全漏洞、采用安全工具以及经常性的安全检查等。本文教你十种提高Linux系统安全性的招数。虽然招数不大,但招招奏效,你不妨一试。

第1招:取消不必要的服务

早期的Unix版本中,每一个不同的网络服务都有一个服务程序在后台运行,后来的版本用统一的/etc/inetd服务器程序担此重任。 Inetd是Internetdaemon的缩写,它同时监视多个网络端口,一旦接收到外界传来的连接信息,就执行相应的TCP或UDP网络服务。

由于受inetd的统一指挥,因此Linux中的大部分TCP或UDP服务都是在/etc/inetd.conf文件中设定。所以取消不必要服务的第一步就是检查/etc/inetd.conf文件,在不要的服务前加上“#”号。

一般来说,除了http、smtp、telnet和ftp之外,其他服务都应该取消,诸如简单文件传输协议tftp、网络邮件存储及接收所用的imap/ipop传输协议、寻找和搜索资料用的gopher以及用于时间同步的daytime和time等。

还有一些报告系统状态的服务,如finger、efinger、systat和netstat等,虽然对系统查错和寻找用户非常有用,但也给黑客提供了方便之门。例如,黑客可以利用finger服务查找用户的电话、使用目录以及其他重要信息。因此,很多Linux系统将这些服务全部取消或部分取消,以增强系统的安全性。

Inetd除了利用/etc/inetd.conf设置系统服务项之外,还利用/etc/services文件查找各项服务所使用的端口。因此,用户必须仔细检查该文件中各端口的设定,以免有安全上的漏洞。

在Linux中有两种不同的服务型态:一种是仅在有需要时才执行的服务,如finger服务;另一种是一直在执行的永不停顿的服务。这类服务在系统启动时就开始执行,因此不能靠修改inetd来停止其服务,而只能从修改/etc/rc.d/rc[n].d/文件或用Run level editor去修改它。提供文件服务的NFS服务器和提供NNTP新闻服务的news都属于这类服务,如果没有必要,最好取消这些服务。

第2招:限制系统的出入

在进入Linux系统之前,所有用户都需要登录,也就是说,用户需要输入用户账号和密码,只有它们通过系统验证之后,用户才能进入系统。

与其他Unix操作系统一样,Linux一般将密码加密之后,存放在/etc/passwd文件中。Linux系统上的所有用户都可以读到/etc/passwd文件,虽然文件中保存的密码已经经过加密,但仍然不太安全。因为一般的用户可以利用现成的密码破译工具,以穷举法猜测出密码。比较安全的方法是设定影子文件/etc/shadow,只允许有特殊权限的用户阅读该文件。

在Linux系统中,如果要采用影子文件,必须将所有的公用程序重新编译,才能支持影子文件。这种方法比较麻烦,比较简便的方法是采用插入式验证模块(PAM)。很多Linux系统都带有Linux的工具程序PAM,它是一种身份验证机制,可以用来动态地改变身份验证的方法和要求,而不要求重新编译其他公用程序。这是因为PAM采用封闭包的方式,将所有与身份验证有关的逻辑全部隐藏在模块内,因此它是采用影子档案的最佳帮手。

此外,PAM还有很多安全功能:它可以将传统的DES加密方法改写为其他功能更强的加密方法,以确保用户密码不会轻易地遭人破译;它可以设定每个用户使用电脑资源的上限;它甚至可以设定用户的上机时间和地点。

Linux系统管理人员只需花费几小时去安装和设定PAM,就能大大提高Linux系统的安全性,把很多攻击阻挡在系统之外。

第3招:保持最新的系统核心

由于Linux流通渠道很多,而且经常有更新的程序和系统补丁出现,因此,为了加强系统安全,一定要经常更新系统内核。

Kernel是Linux操作系统的核心,它常驻内存,用于加载操作系统的其他部分,并实现操作系统的基本功能。由于Kernel控制计算机和网络的各种功能,因此,它的安全性对整个系统安全至关重要。

早期的Kernel版本存在许多众所周知的安全漏洞,而且也不太稳定,只有2.0.x以上的版本才比较稳定和安全,新版本的运行效率也有很大改观。在设定Kernel的功能时,只选择必要的功能,千万不要所有功能照单全收,否则会使Kernel变得很大,既占用系统资源,也给黑客留下可乘之机。

在Internet上常常有最新的安全修补程序,Linux系统管理员应该消息灵通,经常光顾安全新闻组,查阅新的修补程序。

第4招:检查登录密码

设定登录密码是一项非常重要的安全措施,如果用户的密码设定不合适,就很容易被破译,尤其是拥有超级用户使用权限的用户,如果没有良好的密码,将给系统造成很大的安全漏洞。

在多用户系统中,如果强迫每个用户选择不易猜出的密码,将大大提高系统的安全性。但如果passwd程序无法强迫每个上机用户使用恰当的密码,要确保密码的安全度,就只能依靠密码破解程序了。

实际上,密码破解程序是黑客工具箱中的一种工具,它将常用的密码或者是英文字典中所有可能用来作密码的字都用程序加密成密码字,然后将其与Linux系统的/etc/passwd密码文件或/etc/shadow影子文件相比较,如果发现有吻合的密码,就可以求得明码了。

在网络上可以找到很多密码破解程序,比较有名的程序是crack。用户可以自己先执行密码破解程序,找出容易被黑客破解的密码,先行改正总比被黑客破解要有利。

第5招:设定用户账号的安全等级

除密码之外,用户账号也有安全等级,这是因为在Linux上每个账号可以被赋予不同的权限,因此在建立一个新用户ID时,系统管理员应该根据需要赋予该账号不同的权限,并且归并到不同的用户组中。

在Linux系统上的tcpd中,可以设定允许上机和不允许上机人员的名单。其中,允许上机人员名单在/etc/hosts.allow 中设置,不允许上机人员名单在/etc/hosts.deny中设置。设置完成之后,需要重新启动inetd程序才会生效。此外,Linux将自动把允许进入或不允许进入的结果记录到/rar/log/secure文件中,系统管理员可以据此查出可疑的进入记录。

每个账号ID应该有专人负责。在企业中,如果负责某个ID的职员离职,管理员应立即从系统中删除该账号。很多入侵事件都是借用了那些很久不用的账号。

在用户账号之中,黑客最喜欢具有root权限的账号,这种超级用户有权修改或删除各种系统设置,可以在系统中畅行无阻。因此,在给任何账号赋予root权限之前,都必须仔细考虑。

Linux系统中的/etc/securetty文件包含了一组能够以root账号登录的终端机名称。例如,在RedHatLinux系统中,该文件的初始值仅允许本地虚拟控制台(rtys)以root权限登录,而不允许远程用户以root权限登录。最好不要修改该文件,如果一定要从远程登录为root权限,最好是先以普通账号登录,然后利用su命令升级为超级用户。

第6招:消除黑客犯罪的温床

在Unix系统中,有一系列r字头的公用程序,它们是黑客用以入侵的武器,非常危险,因此绝对不要将root账号开放给这些公用程序。由于这些公用程序都是用.rhosts文件或者hosts.equiv文件核准进入的,因此一定要确保root账号不包括在这些文件之内。

由于r字头指令是黑客们的温床,因此很多安全工具都是针对这一安全漏洞而设计的。例如,PAM工具就可以用来将r字头公用程序的功力废掉,它在/etc/pam.d/rlogin文件中加上登录必须先核准的指令,使整个系统的用户都不能使用自己home目录下的.rhosts文件。

第7招:增强安全防护工具

SSH是安全套接层的简称,它是可以安全地用来取代rlogin、rsh和rcp等公用程序的一套程序组。SSH采用公开密钥技术对网络上两台主机之间的通信信息加密,并且用其密钥充当身份验证的工具。

由于SSH将网络上的信息加密,因此它可以用来安全地登录到远程主机上,并且在两台主机之间安全地传送信息。实际上,SSH不仅可以保障Linux主机之间的安全通信,Windows用户也可以通过SSH安全地连接到Linux服务器上。

第8招:限制超级用户的权力

我们在前面提到,root是Linux保护的重点,由于它权力无限,因此最好不要轻易将超级用户授权出去。但是,有些程序的安装和维护工作必须要求有超级用户的权限,在这种情况下,可以利用其他工具让这类用户有部分超级用户的权限。Sudo就是这样的工具。

Sudo程序允许一般用户经过组态设定后,以用户自己的密码再登录一次,取得超级用户的权限,但只能执行有限的几个指令。例如,应用 sudo后,可以让管理磁带备份的管理人员每天按时登录到系统中,取得超级用户权限去执行文档备份工作,但却没有特权去作其他只有超级用户才能作的工作。

Sudo不但限制了用户的权限,而且还将每次使用sudo所执行的指令记录下来,不管该指令的执行是成功还是失败。在大型企业中,有时候有许多人同时管理Linux系统的各个不同部分,每个管理人员都有用sudo授权给某些用户超级用户权限的能力,从sudo的日志中,可以追踪到谁做耸裁匆约案亩 了系统的哪些部分 ?

值得注意的是,sudo并不能限制所有的用户行为,尤其是当某些简单的指令没有设置限定时,就有可能被黑客滥用。例如,一般用来显示文件内容的/etc/cat指令,如果有了超级用户的权限,黑客就可以用它修改或删除一些重要的文件。

第9招:追踪黑客的踪迹

当你仔细设定了各种与Linux相关的组态,并且安装了必要的安全防护工具之后,Linux操作系统的安全性的确大为提高,但是却并不能保证防止那些艺高人胆大的网络黑客的入侵。在平时,网络管理人员要经常提高警惕,随时注意各种可疑状况,并且按时检查各种系统日志文件,包括一般信息日志、网络连接日志、文件传输日志以及用户登录日志等。在检查这些日志时,要注意是否有不合常理的时间记载。例如:

·正常用户在半夜三更登录;

·不正常的日志记录,比如日志只记录了一半就切断了,或者整个日志文件被删除了;

·用户从陌生的网址进入系统;

·因密码错误或用户账号错误被摈弃在外的日志记录,尤其是那些一再连续尝试进入失败,但却有一定模式的试错法;

·非法使用或不正当使用超级用户权限su的指令;

·重新开机或重新启动各项服务的记录。

第10招:共同防御,确保安全

从计算机安全的角度看,世界上没有绝对密不透风、百分之百安全的计算机系统,Linux系统也不例外。采用以上的安全守则,虽然可以使 Linux系统的安全性大大提高,使顺手牵羊型的黑客和电脑玩家不能轻易闯入,但却不一定能阻挡那些身怀绝技的武林高手,因此,企业用户还需要借助防火墙等其他安全工具,共同防御黑客入侵,才能确保系统万无一失。
2005年11月20日

    众所周知,操作系统的注册表是一个藏龙卧虎的地方,所有系统设置都可以在注册表中找到踪影,所有的程序启动方式和服务启动类型都可通过注册表中的小小键值来控制。

  然而,正因为注册表的强大使得它也成为了一个藏污纳垢的地方。病毒和木马常常寄生在此,偷偷摸摸地干着罪恶勾当,威胁着原本健康的操作系统。如何才能有效地防范病毒和木马的侵袭,保证系统的正常运行呢?今天笔者将从服务、默认设置、权限分配等九个方面入手为大家介绍如何通过注册表打造一个安全的系统。

  特别提示:在进行修改之前,一定要备份原有注册表。

  1.拒绝“信”骚扰

  安全隐患:在Windows 2000/XP系统中,默认Messenger服务处于启动状态,不怀好意者可通过“net send”指令向目标计算机发送信息。目标计算机会不时地收到他人发来的骚扰信息,严重影响正常使用。

  解决方法:首先打开注册表编辑器。对于系统服务来说,我们可以通过注册表中“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”项下的各个选项来进行管理,其中的每个子键就是系统中对应的“服务”,如“Messenger”服务对应的子键是“Messenger”。我们只要找到Messenger项下的START键值,将该值修改为4即可。这样该服务就会被禁用,用户就再也不会受到“信”骚扰了。

  2.关闭“远程注册表服务”

  安全隐患:如果黑客连接到了我们的计算机,而且计算机启用了远程注册表服务(Remote Registry),那么黑客就可远程设置注册表中的服务,因此远程注册表服务需要特别保护。

  解决方法:我们可将远程注册表服务(Remote Registry)的启动方式设置为禁用。不过,黑客在入侵我们的计算机后,仍然可以通过简单的操作将该服务从“禁用”转换为“自动启动”。因此我们有必要将该服务删除。

  找到注册表的“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”下的RemoteRegistry项,右键点击该项选择“删除”,将该项删除后就无法启动该服务了。
  在删除之前,一定要将该项信息导出并保存。想使用该服务时,只要将已保存的注册表文件导入即可。

  3.请走“默认共享”


  安全隐患:大家都知道在Windows 2000/XP/2003中,系统默认开启了一些“共享”,它们是IPC$、c$、d$、e$和admin$。很多黑客和病毒都是通过这个默认共享入侵操作系统的。

  解决方法:要防范IPC$攻击应该将注册表中“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA”的RestrictAnonymous项设置为“1”,这样就可以禁止IPC$的连接。对于c$、d$和admin$等类型的默认共享则需要在注册表中找到“HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\LanmanServer\Parameters”项。如果系统为Windows 2000 Server或Windows 2003,则要在该项中添加键“AutoShareServ
er”(类型为“REG_DWORD”,值为“0”)。如果系统为Windows 2000 PRO,则应在该项中添加键值“AutoShareWks”(类型为“REG_DWORD”,值为“0”)。

  4.严禁系统隐私泄露

  安全隐患:在Windows系统运行出错的时候,系统内部有一个DR.WATSON程序会自动将系统调用的隐私信息保存下来。隐私信息将保存在user.dmp和drwtsn32.log文件中。攻击者可以通过破解这个程序而了解系统的隐私信息。因此我们要阻止该程序将信息泄露出去。

  解决方法:找到“HKEY_LOACL_MACHINE\SOFTWARE\Microsoft\WindowsNT\ CurrentVersion\AeDebug”,将AUTO键值设置为0,现在DR.WATSON就不会记录系统运行时的出错信息了。同时,依次点击“Documents and Settings→ALL Users→Documents→drwatson”,找到user.dmp和drwtsn32.log文件并删除。删除这两个文件的目的是将DR.WATSON以前保存的隐私信息删除。

  提示:如果已经禁止了DR.WATSON程序的运行,则不会找到“drwatson”文件夹以及user.dmp和drwtsn32.log这两个文件。

  5.拒绝ActiveX控件的恶意骚扰


  安全隐患:不少木马和病毒都是通过在网页中隐藏恶意ActiveX控件的方法来私自运行系统中的程序,从而达到破坏本地系统的目的。为了保证系统安全,我们应该阻止ActiveX控件私自运行程序。

  解决方法:ActiveX控件是通过调用Windows scripting host组件的方式运行程序的,所以我们可以先删除“system32”目录下的wshom.ocx文件,这样ActiveX控件就不能调用Windows scripting host了。然后,在注册表中找到“HKEY_LOCAL_MACHINE\SOFTWARE\ Classes\CLSID\{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}”,将该项删除。通过以上操作,ActiveX控件就再也无法私自调用脚本程序了。

  6.防止页面文件泄密

  安全隐患:Windows 2000的页面交换文件也和上文提到的DR.WATSON程序一样经常成为黑客攻击的对象,因为页面文件有可能泄露一些原本在内存中后来却转到硬盘中的信息。毕竟黑客不太容易查看内存中的信息,而硬盘中的信息则极易被获取。

  解决方法:找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management”,将其下的ClearPageFileAtShutdown项目的值设置为1。这样,每当重新启动后,系统都会将页面文件删除,从而有效防止信息外泄。

  7.密码填写不能自动化

  安全隐患:使用Windows系统冲浪时,常会遇到密码信息被系统自动记录的情况,以后重新访问时系统会自动填写密码。这样很容易造成自己的隐私信息外泄。

  解决方法:在“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies”分支中找到network子项(如果没有可自行添加),在该子项下建立一个新的双字节值,名称为disablepasswordcaching,并将该值设置为1。重新启动计算机后,操作系统就不会自作聪明地记录密码了。

  8.禁止病毒启动服务


  安全隐患:现在的病毒很聪明,不像以前只会通过注册表的RUN值或MSCONFIG中的项目进行加载。一些高级病毒会通过系统服务进行加载。那么,我们能不能使病毒或木马没有启动服务的相应权限呢?

  解决方法:运行“regedt32”指令启用带权限分配功能的注册表编辑器。在注册表中找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”分支,接着点击菜单栏中的“安全→权限”,在弹出的Services权限设置窗口中单击“添加”按钮,将Everyone账号导入进来,然后选中“Everyone”账号,将该账号的“读取”权限设置为“允许”,将它的“完全控制”权限取消(图3)。现在任何木马或病毒都无法自行启动系统服务了。当然,该方法只对没有获得管理员权限的病毒和木马有效。



  9.不准病毒自行启动

  安全隐患:很多病毒都是通过注册表中的RUN值进行加载而实现随操作系统的启动而启动的,我们可以按照“禁止病毒启动服务”中介绍的方法将病毒和木马对该键值的修改权限去掉。

  解决方法:运行“regedt32”指令启动注册表编辑器。找到注册表中的“HKEY_CURRENT_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RUN”分支,将Everyone对该分支的“读取”权限设置为“允许”,取消对“完全控制”权限的选择。这样病毒和木马就无法通过该键值启动自身了。

  病毒和木马是不断“发展”的,我们也要不断学习新的防护知识,才能抵御病毒和木马的入侵。与其在感染病毒或木马后再进行查杀,不如提前做好防御工作,修筑好牢固的城墙进行抵御。毕竟亡羊补牢不是我们所希望发生的事情,“防患于未然”才是我们应该追求的。

 按照本文中所提及的方式保护Windows注册表,能够防止攻击者远程攻击它。

  问题

  注册表是Windows操作系统的核心。但是在缺省情况下,所有基于Windows的计算机的注册表在网络上都是可以被访问到。了解这一点的黑客完全可以利用这个安全漏洞来对你的公司的计算机系统进行攻击,并修改文件关系,并允许插入恶意代码。为了保护你的网络,你需要禁止对注册表的远程访问。

  解决方案

  你轻而易举地可以通过修改网络访问清单来达到这一目标。根据你网络的复杂程度,你可能需要考虑禁止对注册表的远程访问。

  注意

  编辑注册表可能会有风险,所以必须要在开始之前确保你已经对注册表进行了备份。

  修改注册表

  对于使用Windows 2000、Windows XP、和Windows Server 2003系统的计算机,采取如下步骤:

  1、点击“开始”菜单,选择“运行”。

  2、输入“Regedt32.exe”,然后点击“OK”。

  3、选择“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers”。

  4、如果winreg键已经存在,跳到步骤8。如果该键不存在,点击“编辑”菜单,选择“添加”。

  5、把该键命名为“winreg”,类别设定为REG_SZ。

  6、选择这个新创建的键,然后点击“编辑”菜单,选择“增加值“。

  7、进行如下输入:

  名称: Description
  类型: REG_SZ
  值: Registry Server

  8、选择winreg键,进入安全 | 许可 。

  9、确保本地系统管理员组(System Administrators Group)拥有全部的访问权,把只读权限开放给系统帐户(System account)和所有人组(Everyone group)。

  10、关闭注册表编辑器,重新启动计算机。

  如果你为工作站或者服务器支持设定了特殊的组,而这些组的成员又不是管理员,你就应该也为他们设定合适的权限。

  而且,如果你面对的机器是一台服务器或者是一台为特殊用户提供远程服务的计算机,你就必须允许有权使用服务的帐户对相关内容有只读的权限。

  调整网络

  注册表修改能够保护你内部网络需要经过授权才能访问,但是你还需要保护注册表不受外部的来自互联网的访问。利用注册表的安全漏洞对Windows系统进行攻击仍然非常普遍,所以你需要保证你的安全策略已经很好地解决了这些安全漏洞。

  在前端的路由器或者防火墙上禁用TCP/UDP端口135、137、138、139和455是一个不错的解决方法。禁用这些端口不仅仅是能够阻止远程访问注册表,这样做还能够阻止大部分针对Windows系统的远程攻击。

  关闭这些端口迅速提高你的Windows网络的安全性,在没有禁用这些端口之前,你需要确认是否有商业的原因需要保持这些端口的开放。

  这些是你所能够关闭的、运行Windows 2000、Windows XP和Windows Server 2003系统上的远程注册表服务(Remote Registry),这对于企业来说,永远是一个非常有帮助的、实用的方法。

2005年11月13日

龙如俊:欢迎265 CTO 小林及各位嘉宾做客irunnet.com

 

 

解读:企业信息化建设

 

 

主持人:irunnet.com站长:龙如俊

嘉宾:

刘韧:DONEWS

洪波:DONEWS

林兴陆:265 CTO

曾登高:CSDN 副总裁

西曼:SAP大中华区总裁

丁建亭:HP 信息化资深专家

王峰:腾讯 IM资深专家

董璐:互联网周刊 资深记者

赵立龙 : F5

 

 

 

 

 

 

龙如俊:好,我们开始。请小林谈谈企业信息化现状
lin
:对于这个问题我从以下几个方面谈谈
    1.
意识上
   
随着体制转轨,市场化压力的逐渐增大,企业深切体会到了信息的重要性,对信息化可以促进企业发展也基本达成共识。总体上看,认识在不断提高,信息技术的成熟及成本下降也使企业提高信息化水平的积极性进一步提高。许多大中型企业在制定中长期发展规划中都把信息化建设作为今后几年要抓好的重点任务。与此同时,网络化发展为中小企业利用信息,迅速崛起创造了极为有利的条件,其信息化建设的热情与大中型企业相比并不逊色。 

    2.
需求上

    1
成长企业信息化建设起点高,老企业信息化基础相对薄弱。
   
    2
)企业效益好、外向型企业、具有国际市场开拓能力的大中型企业信息化需求较为强烈,效益不好、竞争领域相对狭窄以及小型企业信息化的需求相对不多。 

    3.
应用深度上

    1
)基础应用的普及面较宽,重大信息工程建设相对滞后。

2)信息化建设出现分层

    3
)信息化水平和普及程度因行业、地区经济发展水平而存在差异。

   
    4
)企业上网数量逐渐增多,但是应用网络进行交易的少

    4.
技术实现上
    1
研究较深,实现较浅

    2)“
信息孤岛日见突出
   
随着企业计算机技术运用的不断深入,不同软件间,尤其是不同部门间的数据信息不能共享,设计、管理、生产的数据不能进行交流,数据出现脱节,即产生信息孤岛,势必给企业的运用带来:
    a
信息需要重复多次的输入;
    b
信息存在很大的冗余;
    c
大量的垃圾信息;
    d
信息交流的一致性无法保证。
    “
信息孤岛的问题已经严重的阻碍了企业信息化建设的整体进程,使企业在进行新一轮投入时,瞻前顾后,难于决断,而解决信息孤岛问题的关键不仅仅是在软件的技术方面,更重要的是在企业的流程管理和相关的技术标注化等相关技术方面。
    2
)单元技术需进一步深化。

    3
)管理理念亟待更新。

    4
)企业的个性化需求


    5.
资金投入上
    1
由硬件为主向软硬兼顾发展
2
由单元技术的投入向综合性、集成性倾斜
3
企业对信息服务的投入开始有一定的认可


    6.
应用效果上
    1
)应用效果上是喜忧掺半

    2
)对于示范工程的宣传推广上还有待进一步的提高

 

 

龙如俊::请问小林:我们如何定义和划分企业信息化?

 

 

Lin : 企业信息化:即挖掘先进的管理理念,应用先进的计算机网络技术去整合企业现有的生产、经营、设计、制造、管理,及时地为企业的三层决策系统(战术层、战略层、决策层)提供准确而有效的数据信息,以便对需求做出迅速的反应,其本质是加强企业的核心竞争力

至于怎么划分我想从以下几方面来探讨

信息化可分为:城市信息化、政府信息化、企业信息化、教育信息化等。

    而企业的信息化建设可以按照不同的分类方式,常用的分类方式有按照行业、企业运营模式和企业的应用深度等进行分类。

    按所处行业分:制造业的信息化、商业的信息化、金融业的信息化、服务业务的信息化等。

    按照企业的运营模式:离散型企业的信息化建设和流程型企业的信息化。

Lin :以前可能一个 MIS 系统,现在可能流行部署一套 OA

Lin :人好多,压力有点大

Lin :MIS 其实是早期的叫法

Lin :现在有 OAERPCRM

龙如俊:请问小lin:我们改如何实施信息化

 

 

Lin :现在信息化应该比较容易,可以采用的方案也多

Lin :比如企业内部构建一套 Exchange Server 这样的选择

龙如俊:即我们实施企业[当然根据规模大小]一个大体过程

Lin :问题比较泛。。。

zhaoll :目前国内大中型企业ERP系统SAP应该是做的最好的

无梨头:系统规模越大,实施可能也就越不容易

Lin :不过一般企业并没有真正利用起来

Lin :很多企业花500万塔建一套 ERP 系统,但数百人的公司几乎同人用得起来。

丁建亭@gmail.comC3CRM :现在长虹这么多年都没有真正实施SAP,也只是用了其中部分模块

 

 

无梨头:请问实施信息化的大体过程?

 

 

龙如俊:irunnet.com将实施企业信息化大体过程分为以下几点:

 

 

针对不同规模的企业,大体的流程可分为前期分析调研、方案制定,中期部署实施及后期应用评估、正式运营

 

 

zhaoll :我曾经和一家比较大型的物流公司谈过,他们采用了上亿的资金建设ERP系统

Lin :但起到作用的,可能是百来万的模块,这是比较浪费的一种方式。

zhaoll :但是目前还是没 真正的用起来,主要的原因在于核心服务器的压力问题

Lin :估计那只是个幌子

Lin :上亿 <=> 服务器压力

龙如俊:呵呵,感谢小林,您还没有提出您对irunnet.com对部署信息化的看法

Lin :irunnet 应该让企业明白这些啊 呵呵

Lin :帮助他们

Lin :就像你写的那份 Exchange Server 部署方法

龙如俊:好,我们会努力的,

 

 

龙如俊:就是企业在进行信息化过程中遇到瓶颈技术

Lin要实现企业信息化的建设,关键的就是要实现企业的信息的集成和共享,包括不同部门间、企业内部与外部间及企业同企业间的信息集成和共享,解决企业信息孤岛
   
对制造业企业信息化而言难点和关键点就是要实现设计部门的数据信息同管理部门的数据信息的集成,也即是通常所的BOMbill of materiel),其中包括EBOMPBOM
   
制造业企业的设计和生产准备时间往往占了整个产品生产周期的70%以上,费用也远远超出原材料和具体加工的费用,因此如何很好的实现企业设计部门的信息管理,实现信息集成和共享,是企业实施信息化建设成功与否的关键。
   
解决企业信息化的瓶颈问题,标准化技术是企业必须考虑的关键问题,如何实现数据访问/传递控制的标准、如何实现数据交换的标准、如何规定同一的数据格式等标准都是企业必须认真考虑的,因为信息平台与文件格式的互异性成为企业信息孤岛的最大障碍。

Lin :可能是观念问题,还有判断能力,有些产品参差不齐

zhaoll :对系统问题我不是很理解,我们做过一些关于服务器端的性能优化和加速的工作,在大型系统中我相信算是一个问题

龙如俊:对,正如我前端时间参加信产部一个企业信息化高峰论坛中,很多人不识什么是信息化及信息化能给企业带来什么,好下面有请SAP西曼先生谈谈信息化为我们带来什么?

路上:  谢谢各位,带给我们的很多很多,如

1.有利于增强企业的核心竞争力,适应市场化竞争的要求。

    2.有利于理顺和提高企业的管理,实现管理的井井有条;

    3.提高设计效率,缩短设计周期,保证设计质量;

    4.降低企业的库存,节约占用资金,节约生产材料,降低生产成本;

    5.缩短企业的服务时间和提高企业的客户满意度,并可及时的获取客户需求,实现按订单生产;

    6.加速资金流在企业内部和企业间的流动速率,实现资金的快速重复有效的利用;

    7.加速信息流在企业内部和企业间的流动速率,实现信息的有效整合和利用;

    8.加速知识在企业中的传播,实现现有知识的及时更新和应用;

    从微观上看,企业信息化可以为使用人员带来:

    1.降低技术人才的劳动强度,用计算机实现繁杂、重复的简单体力劳动,从而提升技术人才的脑力价值;

    2.可以改善职工的工作环境;

请问小林和龙如俊::2位从CTO/CIO技术角度谈谈在企业信息化过程中需要的关键集成技术

 

龙如俊:谢谢,呵呵,我不是CXO,我先谈谈请小林补充吧,我认为企业信息化需要的集成技术可大致氛围以下几个方面的单元技术的合成

 

 

1.企业信息化建设的基础设施技术:计算机网络技术、数据库技术和网络安全技术;
    2.CAD/CAM/CAE
集成技术,实现企业的数字化设计;
    3.
基于网络的CAD/CAPP/CAM/PDM集成技术,实现真正的数字化设计和数字化制造集成;
    4.CAD/CAPP/CAM/PDM
技术和MIS/ERP的结合,实现企业设计、管理、经营的数字化实现,实现企业内部的信息化建设——数字化企业;
    5.SCM
CRMEC平台的搭建,并实现同MIS/ERP的集成,形成企业间的信息化整体构——企业动态联盟。

 

 

当然还需要其他的关联技术了,如

1. 并行工程、成组技术、数控技术同计算机技术的紧密结合;
    2.
虚拟工厂、虚拟制造、柔性制造、绿色制造等

下面简单聊一下下面2个单元技术

(一)    企业信息化建设的支撑硬件环境技术

1)实用性和先进性的结合
   
2)系统的开放性和可扩充性
   
3)较高可靠性
   
4)兼容性和经济性和结合
   
5)系统的安全性 
   
6)整个系统的可管理性

二) 安全技术
   
企业在信息化建设的时候要切实注意信息的安全问题,企业将面临的信息安全问题主要表现在:
   
1 病毒
   
2 内部威胁,无意破坏
   
3 系统的漏洞和后门
   
4 网上的蓄意破坏
   
5 侵犯机密资料
   
6 服务器拒绝服务

 
龙如俊: 好,下面请大家继续就如何实施信息化进行探讨

丁建亭@gmail.comC3CRM :有个很强势的负责信息化的领导是很重要的

无梨头:同意,也许人的习惯是最大的障碍,也需要有个强者来指引和硬性规定

 

Lin :这可能不是最好的方法,教育可能是更好的选择上亿

Lin :选择

龙如俊:看来大家都比较同意建立一个有序的机制来实施信息化,

 

 

龙如俊:请问:目前国内外都有哪些比较好的成功案例

龙如俊:在推动企业信息化方面

Lin :这个其实做CRM方面的人可能深有体会

龙如俊:谢谢,小林

Lin :大家多交流

在路上 :呵呵,鼓掌~~

龙如俊:下面有请CSDN副总裁 曾登高先生谈谈他对企业信息化的看法

曾登高(www.dearbook.com.cn新版上线) :客气,我期待企业信息化。

Lin :自己总有邮件系统吧,哈哈

Lin :@csdn.net

Lin :blog~

曾登高(www.dearbook.com.cn新版上线) :呵呵,这是最基本的,2个人的公司也有。

曾登高(www.dearbook.com.cn新版上线) :Blog不是企业必备的。

Lin :是企业信息化的简易选择

Lin :我们在开发一个产品,写了半年开发 Blog,现还涉及太多商业机密,到时候愿意公开与大家分享

曾登高(www.dearbook.com.cn新版上线) :呵呵,期待

龙如俊:曾总您是一位资深的研发专家,请您谈谈如何带领一个有效的团队来进行企业信息化产品的研发

曾登高(www.dearbook.com.cn新版上线) :呵呵,企业信息化产品应该和其他软件产品差不多。

龙如俊:呵呵, CSDN拥有中国最好的研发队伍,有你们这些高级人才中国信息化产业的发展一定会步入正轨,逐步达到国外的水平

 

 

无梨头: 先生,我曾搞过2OA系统的开发,有个别问题想请教

Lin :en, 无梨头请?

无梨头:

到客户那边实施时,常常会遇到客户买了不用,或用了不用的问题,往往无法真正的实施起来,那这些客户到底需要什么呢

Lin :

呵,产品问题。。。

Lin :产口设计问题或是培训问题

Lin :设计好产品,没教育好,也是自己的问题

Lin :设计不好,他们用了不用,证明没从他们的角度出发

无梨头:哦,确实在培训方面存在问题

在路上 :培训的话,主要培训哪些方面?

无梨头:谢谢!回想起来,确实存在部分功能不很适用企业,以及培训方面的问题

Lin :特别我们技术人员,很容易犯一些习惯,越做越复杂

龙如俊:好,谢谢小林。

以下的主题会涉及到信息化实施过程中相关方面的选择,如信息化厂商选择,设备选型等话题,最后我们邀请265小林探讨一下265作为:IT互联网类型公司产品创新方面的革新如何来体现用户需要的

无梨头:但换个角度来讲,越适合企业习惯或者适应他们的要求,开发也就越麻烦和消耗时间成本,有点不可调和

龙如俊:请问小林,目前国内做企业信息化比较专注的都有哪几家客户满意度比较好的公司

Lin :像王志东的点击科技?

Lin :这是产品化类型的

Lin :别的都基本上是定制为主的

Lin :用友、东软之类的应该都有相关的产品或事业部

龙如俊:对,王总的点击科技给信息化引入了一个崭新的话题:协同

龙如俊:好,下面有请:互联网周刊资深记者: 董璐小姐谈谈她对信息化的看法

 

 

 Lulu:应小龙的邀请,来参加这个讨论,但是我对信息化不是非常地了解,我就谈谈自己的一点粗浅的认识吧.上周四,<信息周刊>发布了他们评选出的中国商业科技100强,主要的评选点是在他们的IT投入上面,我们可以看到安利是第一名,联想排在第51名,美斯特邦威排在前10,而有一个大家想不到的企业排在了前10里,这个排名实质上就是一个信息化的排名,我觉得当企业认识到信息化能给他们带来多少收益的时候,自然会增加他们的信息化投入.而我们目前所的信息化是不是有所局限?

Lin 嗯,也许你提的更有服力。

zhaoll :信息化的目的是提高生产力,降低生产成本

 

 

龙如俊:好,下面我们有请在企业信息化方面设备的选型等方面的资深专家  F5资顾问、北京信诺瑞德科技资深专家 赵立龙先生谈谈如何选择这些高端设备

zhaoll:我目前感受最深的就是网络和应用之间的结合问题,企业信息化做起来了,如何能够让大家真正的用起来,首先是教育用户的使用习惯,还 有一个我认为很重要的原因就是应用的响应速度,我们主要做的事情是如何降低企业数据中心的投资成本和加快应用响应速度

,主要看网络应用所面临的压力情况比如用户数和使用频率,目前应用和网络的结合问题确实还是存在一些问题,我们做的产品是应用流量优化产品,我们最希望和应用设计的公司进行探讨如何配合应用进行优化,但是目前和我们合作最多的还是负责网络部署的公司,最终的使用结果并不是非常好

Lin :打包在一起销售?

zhaoll :可以这样

zhaoll :其实只 做应用设计的人才 权设计网络,因为 最终的目的是为了业务系统能够良好的运营,网络只是一个平台

zhaoll :不过在国内大型的ICP中这个问题解决的已经比较好,我们要和他们的应用部门网络部门进行多次探讨才会进行部署

zhaoll :企业方面还是把网络优化的硬件产品统称为网络硬件

龙如俊:我有个问题请zhaoll先生:一般企业在部署这些高端设备后,都很担心后期服务的质量问题,您做为F5【高端的ICP负载、加速设备供应商】能给这些客户出一个比较满意的答复

zhaoll :服务问题很难给用户一个承诺性的东西,因为在 进行项目实施和提供技术服务的时候,差异化是很难看出来的,只能提供给用户我们曾经的同行业案例,让他们听一下口碑

龙如俊:好, 谢谢赵先生

 

 

无梨头:目前有没有那些比较成功的行业性案例?

 

 

zhaoll :哪个行业?

无梨头:您所接触到的

zhaoll :基本所 行业都 不少的案例,运营商,金融,ICP是应用最多的

zhaoll :基本上如果 的信息系统是 公司的核心系统的时候就会用到

Lin :

据我所知,新浪现在内部就采用 wiki 在协助他们

龙如俊:对,

无梨头:谢谢回答!

zhaoll :新浪的核心业务系统用的基本都是F5产品

龙如俊:irunnet.com得到了DONEWS的大力支持,donewsWIKI服务器日后将支持irunnet.com的应用

无梨头:很是期待

龙如俊:好,下面有请小林谈谈265做为新型IT互联网公司他们针对用户开发的新产品,

Lin :从用户角度出发,易用性。。。

龙如俊:不知 小林可否透露一下主要都在哪些方面?

Lin :目前我们正在做一个软件,但还没推出,等推出 Beta 测试的时候,可以将一些开发心得分享一下。

 

 

在路上 :谢谢,期待

龙如俊:请问小林,您对WEB2.0可否做为信息化的一个看点?

Lin :信息化应该在 Web 2.0 概念出来之前吧

无梨头:也许应该问可否作为信息化的一个新的体现

龙如俊:呵呵,对

在路上 :对,相比有什么优势?

Lin :从一则新闻,传一家公司拿到1800万美元,专注于AJAX技术,用于实现 Web Office 的点上,是可以那么去理解

龙如俊::下面请大家自由讨论

无梨头:想请教 董小姐日常业界大家对信息化的认识程度以及国内对这个的重视程度如何

Lulu:我觉得很多企业就是片面地认为弄一个网站就信息化了

 Lulu:而且在很多的行业中,信息化并不会作为他们预算中或者企业计划中很重要的一部分

 Lulu:正在起步吧,我觉得

zhaoll :1、没有意识和感受到信息化对企业带来的好处(也和国内IT业环境 关,),2,缺乏竞争

无梨头:

呵呵,看来信息化在中国还是处于初级阶段

 Lulu:所以有前途阿

龙如俊:呵呵,对

Lin :瀛海威在十年前:中国人离信息高速公路还有多远?

 Lulu:越是起点低,就越有前途

zhaoll :

我最大的感受是在前两年只 信息化非常关键的企业才会采用我们的设备,现在很多行业都开始采用和意识到了这些问题,所以肯定是信息发展还是非常迅速

龙如俊:好,下面有请嘉宾 刘韧先生,请您从战略管理与企业信息化建设角度来谈谈他对企业信息化方面的观点

刘韧:iRunNet.com :

1、用成熟的产品。减少本企业的开发。

2、持续投资,不要集中投资。

丁建亭@gmail.comC3CRM :

有道理,要分阶段实施,不要一下子都想把事情做完,人接受东西是需要时间的

刘韧:iRunNet.com :

3、不断设立各个阶段的应用历程碑。

刘韧:iRunNet.com :

只有这样企业才会持续投入。

龙如俊:谢谢刘老大,

龙如俊:

老大的观点就是信息化一定要做,就像互联网门户一样对吧

 

 

刘韧:iRunNet.com :

4、企业信息化目标一定要小,要明确。

无梨头:

阶段性目标的实施?

zhaoll :

分阶段教育是吧

刘韧:iRunNet.com :

对。

丁建亭@gmail.comC3CRM :

我们在实施alcatelPLM项目时,都是一个BD一个BD实施的,做了3年了,现在也只是实施了中国、德国、意大利等BD

刘韧:iRunNet.com :

5、企业对信息化的接受也是渐进的。

6、信息化就和互联网门户一样一定要全力推广

zhaoll :

 政府的信息化项目就很多是一刀切的局面,预算一次性投入

zhaoll :

怎么谈没用,因为上级单位就是要一次性拨款,专款专用

无梨头:

而且拨款都是按年来算得

刘韧:iRunNet.com :

企业信息化项目不在于技术水平多高,而在于全员的接受的程度,使用的频率,关键是用。

丁建亭@gmail.comC3CRM :

政府和企业做事是不太一样

zhaoll :

主要是资金来源

无梨头:

刘老大的是,实施信息化不在于投入多少,关键是适用和能够真正使用起来

丁建亭@gmail.comC3CRM :

现在企业信息化还有就是使用起来麻烦,所以大家有时觉得还不如不用这些系统呢,时间长了大家都不用了

在路上 :

体现出易用性

zhaoll :

对啊,所以部署初期主要应该考虑的是真正的可用性和扩展性

zhaoll :

另外教育确实是非常重要的

zhaoll :

首先是教育,形成规则,变成习惯

zhaoll :

我们以前在政府做的项目,基本都是样子工程,虽然我们的产品确实采用了,但是真的觉得很心疼

在路上 :培训和教育的确能起到很大的作用

丁建亭@gmail.comC3CRM :

要让用户感觉离开这个系统他们就无法工作

无梨头:像我了解到的SAP在西门子的实施,整整1-2个月员工都在接受培训

龙如俊:对,这个问题刘老大已经明确指出

丁建亭@gmail.comC3CRM :

大公司对培训的预算、投入都很多

 

 

无梨头:

还请交 刘先生,iRunNet今后在企业信息化板块应该多提供哪类的知识

龙如俊:

呵呵,这个问题提的好

无梨头:

也很希望irunnet能为企业在信息化建设方面真正提供帮助

龙如俊:

一定会努力的

刘韧:iRunNet.com :

对。信息化首页是全员的信息化教育。

刘韧:iRunNet.com :

培训。

刘韧:iRunNet.com :

系统再好。不会用。不愿意用。也没用。

zhaoll :

我觉得首先应该是意识教育

在路上 :

对,让大家都知道,都能会用

无梨头:

对,刘老大的非常正确,往往存在功能强大的系统卖不出,就是不易用,不会用

在路上 :

功能强大的系统往往技术含量也高

龙如俊:好,感谢刘老大的精彩点评,谢谢各位的参与,感谢您们对irunnet.com的支持,

无梨头:

我们会尽最大的努力

丁建亭@gmail.comC3CRM :

祝你们成功!

龙如俊:

今天的这次交流到此结束,谢谢!!!

无梨头:

谢谢各位!

zhaoll :谢谢各位!

 

龙如俊:

谢谢来自

1DONEWS 刘韧

2265 CTO 小林

3CSDN  曾登高

4HP 丁建亭

5F5  赵立龙

6、互联网周刊  董璐

7、清华同   路上

8丁建亭:HP 信息化资深专家

 ………………

 

 

 

龙如俊:

谢谢各位

无梨头:

相聚iRunNet,明天更精彩,再次感谢各位老大的支持!

在路上 :

再见

 

 

 

 

 

 

感谢keso的问候,

 

 

keso 要空谈,可以去XX的总裁在线,要解决出现的问题,去运维网

 

 

谢谢

2005年11月12日

9日看到牛人keso所发的“联想弃用IBM品牌 6个月后IBM笔记本消失?”一文,想起月前与某联想电脑销售MGR MM的聊天中曾说到联想笔记本与IBM内在品质相同,只是品牌不一样。当时心里还保留看法,毕竟IBM笔记本品牌形象在国内比较根深地布,虽然之前的合并似乎暗示着什么,但真的没了IBM,老百姓就去买联想么?这有点像一件价值1万的商品只卖5千没人买,而另一件价值5千的同类商品卖2万有人争着买。替代品牌优势需要一个过渡期,就算大张旗鼓的宣传,客户也需要一个心理过渡期。也许某天一个大学生捧着一台联相笔记本能在同学中炫耀能得到羡慕的眼光,那时也许还会嘲笑着当初IBM那中庸的外形。

2005年11月02日

做Recovery需要什么数据:

    1、FULL CLOSED备份

    shutdown数据库(不要用shutdown abort强行关闭),实施一个文件级备份,备份全部的Oracle相关文件,包括Windows系统文件,系统状态和Oracle程序文件和数据文件等内容。

    这个冷备份对于快速恢复Oracle数据库系统非常关键,如果没有它,系统被破坏后只能重新安装再恢复,这要比直接恢复冷备份慢得多,也更复杂。

    每当数据库或表单的物理结构或逻辑结构有变化时都应该重新创建这个冷备份。

    2. FULL ONLINE备份

    这个备份要通过Backup Exec Agent for Oracle Server来完成,要备份全部表空间,归档日志和控制文件,通过这种方式备份,Oracle会将所有缓存内容写入文件,将online redo log做归档,所以数据库备份中包含的是备份时数据库的即时点信息,完整而且有效。以后做恢复时,可以恢复到最后一次FULL ONLINE备份的状态。

    恢复过程:

    1. 重新安装Windows系统和Remote Agent for Windows Server,为恢复Oracle服务器准备环境。

    2. 恢复最后一次FULL CLOSED备份,重新启动计算机。

    此时Windows系统,Oracle数据库系统都是完整的,只是Oracle数据库中可能不是最新的数据。Backup Exec Agent for Oracle Server也不用重新安装了。

    3. 用SQLPlus用SYS以sysdba身份连接到数据库系统,关闭数据库。
    shutdown immediate + < enter >

    4. 通过介质服务器恢复最新的FULL ONLINE备份,恢复作业属性的高级选项中,确保选中了“Restore over Existing files(覆盖现存文件)” 选项。

    要想成功的恢复数据库,在最后一次FULL CLOSED备份之后的所有redo log必须都已经成功归档并备份。少了哪一个,数据库就无法恢复到最后的FULL ONLI NE备份时的状态。

    通过Oracle的alert log可以看到数据库的恢复需要哪些归档日志,以及你应该把它们恢复到什么位置。

    5. 恢复完成后,用SYS用户以sysdba身份连接到数据库,将数据库加载到mount阶段:
    startup mount + < enter >

    6. 数据库mount完成后,执行recover过程:
    recover database using backup controlfile + < enter >

    数据库会提示你需要哪些日志:

    ORA-00279: Change 36579 generated at needed for thread 1
    ORA-00289: Suggestion : \Oracle_Home\Oradata\\%SID%T00036579.ARC
    ORA-00280: {=Suggested | filename | AUTO | FROM logsource | CANCEL}

    最简单的方法是选自动恢复:
    auto + < enter >

    系统会在init.ora文件中定义的位置上查找所有必需的日志并依次应用它们,最后一个要应用的日志是online redo log,实际上它并不包括任何的transaction,只有一个SCN,可以略过,但是自动恢复过程会因为找不到相应的文件而报错:

    ORA-00308: cannot open archived log
    ‘E:\ORACLE\ORADATA\KIMSTAD\ARCHIVE\KIMSTADT00036949.ARC’
    ORA-27041: unable to open file
    OSD-04002: unable to open file
    O/S-Error: (OS 2) The system cannot find the file specified.

    为此输入以下命令(until cancel参数使我们可以在需要的时候中止恢复过程):
    recover database until cancel using backup controlfile +

    这样在数据库恢复的最后阶段再次提示前面的错误时,我们就可以中止恢复过程:
    cancel + < enter >

    这时除了最后一个online redo log以外,所有的commit transaction都已经提交到数据库之中了,完成后会显示:
    Media recovery canceled

    实际上恢复过程已经正常完成了。

    最后是打开数据库并同步日志序列号:
    alter database open resetlogs + < enter >

    至此,Oracle数据库被成功恢复到最后一次Full Online备份。

    说明:Oracle 8i可以用internal账号完成DBA操作。9i取消了internal账号,SYS账号代替它了。为了以DBA身份登录,启动SQL Plus时应该加nolog参数,进入之后再登录,connect username/password as sysdba。

  • 系统环境:
      1、操作系统:Windows 2000
      2、数据库: Oracle 8i R2 (8.1.6) for NT 企业版
      3、安装路径:C:\ORACLE
  • 错误现象:
      默认安装完Oracle 816 for NT后,想使用Oracle816 for NT的OEM工具来管理数据库, 开始→程序→Oracle - OraHome81→Enterprise Manager→Console 这时系统出现以下画面一: 点击“确定”,出现画面二、三。 在“添加管理服务器”栏上输入本机IP地址,如:192.1.1.1,点击“确定”,出现画面四。 画面显示出的oradb就使本机名称,点击“确定”,出现画面五,进行“Oracle Enterprise Manager 登录”。 输入口令/密码:system/manager,点击“确定”,出现画面六,出现以下错误提示。 VTK-1000 : Unable to connect to the management server oradb. Please vertify that you have entered the correct host name and the status of the Oracle Managerment Server.
  • 解决方法:
      1、使用Enterprise Manager配置辅助工具 开始→程序→Oracle - OraHome81→Enterprise Manager→Configuration Assistant a、使用Configuration Assistant工具来创建一个新的资料档案库,如图七。 单击“下一步”,出现画面八。 b、先登录 用户名:system,密码:manager,服务:oradb, 注:输入的用户必须具有DBA权限,单击“下一步”,出现画面九。 c、再创建拥有此资料档案库的用户,系统默认取机器名,这里我们设用户名为:test,密码:test, 输入两遍口令,单击“下一步”,出现画面十。 d、因为输入的是一个新用户,系统要求指定用户表空间,本例使用系统推荐, 单击“下一步”,系统正在创建OEM_REPOSITORY表空间,创建完毕后出现画面十一。 e、系统显示“创建资料档案库概要”, 单击“完成”,显示“配置辅助工具进度”,如图十二。 单击“显示详细资料”,可以看到系统正在创建各种对象的提示。 系统处理完成,单击“关闭”,如图十三。 2、启动OracleOraHome81ManagementServer服务 开始→设置→控制面版→管理工具→服务,如图十四,找到Oracle相关服务的位置。 单击“启动”,如图十五,如果上一步没有创建资料档案库,则会启动失败。 把OracleOraHome81ManagementServer服务设置成自动启动方式。 3、重新进行Oracle Enterprise Manager 登录 开始→程序→Oracle - OraHome81→Enterprise Manager→Console Oracle Enterprise Manager 的默认管理员是 sysman/oem_temp,系统管理员应该马上更改口令。 如图十六,不要在管理员一栏直接写sysman/oem_temp,而是分别输入“用户名/密码”。 单击“确定”,出现图十七,安全警告,要求你立即更改sysman的口令。 本例输入两遍manager作为口令, 输入完口令后,单击“更改”, 系统正式调出“Oracle Enterprise Manager 控制台 SYSMAN@oradb”的画面。