wayne's blog

2005年11月

#!/bin/bash
#
# The interface that connect Internet

# echo
echo "Enable IP Forwarding..."
echo 1 > /proc/sys/net/ipv4/ip_forward
echo "Starting iptables rules..."

IFACE="eth0"

# include module
modprobe ip_tables
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_nat_irc
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
modprobe ipt_MASQUERADE

# init
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -Z
/sbin/iptables -F -t nat
/sbin/iptables -X -t nat
/sbin/iptables -Z -t nat

/sbin/iptables -X -t mangle

# drop all
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -t nat -P PREROUTING ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -t nat -P OUTPUT ACCEPT

/sbin/iptables -A INPUT -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec --limit-burst 200 -j ACCEPT

/sbin/iptables -A INPUT -p icmp -m limit --limit 12/min --limit-burst 2 -j DROP

/sbin/iptables -A FORWARD -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec --limit-burst 200 -j ACCEPT

# open ports
/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 21 -j ACCEPT
/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -i $IFACE -p udp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 100 -j ACCEPT
/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 113 -j ACCEPT

# close ports
iptables -I INPUT -p udp --dport 69 -j DROP
iptables -I INPUT -p tcp --dport 135 -j DROP
iptables -I INPUT -p udp --dport 135 -j DROP
iptables -I INPUT -p tcp --dport 136 -j DROP
iptables -I INPUT -p udp --dport 136 -j DROP
iptables -I INPUT -p tcp --dport 137 -j DROP
iptables -I INPUT -p udp --dport 137 -j DROP
iptables -I INPUT -p tcp --dport 138 -j DROP
iptables -I INPUT -p udp --dport 138 -j DROP
iptables -I INPUT -p tcp --dport 139 -j DROP
iptables -I INPUT -p udp --dport 139 -j DROP
iptables -I INPUT -p tcp --dport 445 -j DROP
iptables -I INPUT -p udp --dport 445 -j DROP
iptables -I INPUT -p tcp --dport 593 -j DROP
iptables -I INPUT -p udp --dport 593 -j DROP
iptables -I INPUT -p tcp --dport 1068 -j DROP
iptables -I INPUT -p udp --dport 1068 -j DROP
iptables -I INPUT -p tcp --dport 4444 -j DROP
iptables -I INPUT -p udp --dport 4444 -j DROP
iptables -I INPUT -p tcp --dport 5554 -j DROP
iptables -I INPUT -p tcp --dport 1434 -j DROP
iptables -I INPUT -p udp --dport 1434 -j DROP
iptables -I INPUT -p tcp --dport 2500 -j DROP
iptables -I INPUT -p tcp --dport 5800 -j DROP
iptables -I INPUT -p tcp --dport 5900 -j DROP
iptables -I INPUT -p tcp --dport 6346 -j DROP
iptables -I INPUT -p tcp --dport 6667 -j DROP
iptables -I INPUT -p tcp --dport 9393 -j DROP

iptables -I FORWARD -p udp --dport 69 -j DROP
iptables -I FORWARD -p tcp --dport 135 -j DROP
iptables -I FORWARD -p udp --dport 135 -j DROP
iptables -I FORWARD -p tcp --dport 136 -j DROP
iptables -I FORWARD -p udp --dport 136 -j DROP
iptables -I FORWARD -p tcp --dport 137 -j DROP
iptables -I FORWARD -p udp --dport 137 -j DROP
iptables -I FORWARD -p tcp --dport 138 -j DROP
iptables -I FORWARD -p udp --dport 138 -j DROP
iptables -I FORWARD -p tcp --dport 139 -j DROP
iptables -I FORWARD -p udp --dport 139 -j DROP
iptables -I FORWARD -p tcp --dport 445 -j DROP
iptables -I FORWARD -p udp --dport 445 -j DROP
iptables -I FORWARD -p tcp --dport 593 -j DROP
iptables -I FORWARD -p udp --dport 593 -j DROP
iptables -I FORWARD -p tcp --dport 1068 -j DROP
iptables -I FORWARD -p udp --dport 1068 -j DROP
iptables -I FORWARD -p tcp --dport 4444 -j DROP
iptables -I FORWARD -p udp --dport 4444 -j DROP
iptables -I FORWARD -p tcp --dport 5554 -j DROP
iptables -I FORWARD -p tcp --dport 1434 -j DROP
iptables -I FORWARD -p udp --dport 1434 -j DROP
iptables -I FORWARD -p tcp --dport 2500 -j DROP
iptables -I FORWARD -p tcp --dport 5800 -j DROP
iptables -I FORWARD -p tcp --dport 5900 -j DROP
iptables -I FORWARD -p tcp --dport 6346 -j DROP
iptables -I FORWARD -p tcp --dport 6667 -j DROP
iptables -I FORWARD -p tcp --dport 9393 -j DROP

/sbin/iptables -A INPUT -i $IFACE -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -i $IFACE -m state --state NEW,INVALID -j DROP

# drop ping
/sbin/iptables -A INPUT -p icmp -j DROP

/sbin/iptables -I INPUT -s 222.182.40.241 -j DROP

发表于 @ 2005年11月26日 7:44 PM | 评论 (1)

apache 的一些必要的 mod 安装

摘要：模块：mod_evasive作用：防止DDOS的攻击介绍：mod_evasive模块的前身就是mod_dosevasive下载：http://www.nuclearelephant.com/projects/mod_evasive安装# tar zxvf mod_evasive_1.10.1.tar.gz# cd mod_evasive_1.10.1# /usr/local/apache/bin/apxs -i -a -c mod_evasive20.c打开 httpd.conf　文件查看是否有LoadModule evasive20_module modules/mod_evasive20.so如没有则加上（全文共4425字）——点击此处阅读全文

发表于 @ 2005年11月25日 1:20 PM | 评论 (0)

用eAccelerator(前身Truck MMCache)加速

摘要：用eAccelerator(前身Truck MMCache)加速What is eAccelerator?----------------------eAccelerator is a free open source PHP accelerator, optimizer, encoder anddynamic content cache for PHP. It increases performance of PHP scripts by caching them in compiled state, so that the overhead of compiling is almostcompletely eliminated. Also it uses some optimizations to speed up executionof PHP scripts. eAccelerator typically reduce （全文共8890字）——点击此处阅读全文

发表于 @ 2005年11月25日 10:13 AM | 评论 (0)

安装mod_security加强apache2安全防sql 注入

安装modsecurity（mod_security 可以加强apache的安全性特别是在防sql 注入上有很好的效果。）：
# tar zxvf modsecurity-apache-1.9.tar.gz
# cd modsecurity-apache-1.9/apache2/
# /apache2/bin/apxs -cia mod_security.c

打开httpd.conf加入
查看是否有
LoadModule security_module modules/mod_security.so
如没有则加上去

添加一段mod_security的配置文件

CODE:

[Copy to clipboard]

<IfModule mod_security.c>
SecFilterEngine On
SecFilterCheckURLEncoding On
SecFilterDefaultAction "deny,log,status:500"
#SecFilterForceByteRange 32 126
#SecFilterScanPOST On
SecAuditLog logs/audit_log
###
SecFilter "\.\./"
#####
SecFilter /etc/*passwd
SecFilter /bin/*sh

#for css attack
SecFilter "<( | )*script"
SecFilter "<(.| )+>"
#for sql attack
SecFilter "delete[ ]+from"
SecFilter "insert[ ]+into"
SecFilter "select.+from"
SecFilter "union[ ]+from"
SecFilter "drop[ ]"
</IfModule>

发表于 @ 2005年11月24日 9:50 PM | 评论 (0)

apache2 安装 mod_evasive 防DDOS攻击

    摘要：mod_evasive 的前身就是mod_dosevasive

下载mod_evasive
http://www.nuclearelephant.com/projects/mod_evasive

# tar zxvf mod_evasive_1.10.1.tar.gz
# cd mod_evasive_1.10.1

# /usr/local/apache/bin/apxs -i -a -c mod_evasive20.c

打开 httpd.conf文件
查看是否有
LoadModule evasive20_module   modules/mod_evasive20.so
如没有则加上去

并加入
<IfModule mod_evasive20.c>
    DOSHashTableSize  &n    （全文共902字）——点击此处阅读全文

发表于 @ 2005年11月24日 8:38 PM | 评论 (0)

linux 下 IPtables 防御

摘要：

netstat -an 查看现在的连接
netstat -an | less 上中

屏蔽一个IP
# iptables -I INPUT -s 192.168.0.1 -j DROP

怎么防止别人ping我？？
# iptables -A INPUT -p icmp -j DROP

防止同步包洪水（Sync Flood）
# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

防止各种端口扫描
# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN （全文共3018字）——点击此处阅读全文

发表于 @ 2005年11月24日 4:16 PM | 评论 (0)

系统平均负载(Load average)释疑

在Linux系统中，uptime、w、top等命令都会有系统平均负载load average的输出，那么什么是系统平均负载呢？
　　系统平均负载被定义为在特定时间间隔内运行队列中的平均进程树。如果一个进程满足以下条件则其就会位于运行队列中：
　　- 它没有在等待I/O操作的结果
　　- 它没有主动进入等待状态(也就是没有调用'wait')
　　- 没有被停止(例如：等待终止)
　　例如：
　　[root@www2 init.d]# uptime
　　7:51pm up 2 days, 5:43, 2 users, load average: 8.13, 5.90, 4.94
　　命令输出的最后内容表示在过去的1、5、15分钟内运行队列中的平均进程数量。
　　一般来说只要每个CPU的当前活动进程数不大于3那么系统的性能就是良好的，如果每个CPU的任务数大于5，那么就表示这台机器的性能有严重问题。对于上面的例子来说，假设系统有两个CPU，那么其每个CPU的当前任务数为：8.13/2=4.065。这表示该系统的性能是可以接受的。

发表于 @ 2005年11月14日 5:09 PM | 评论 (0)

在Linux下清除操作信息的记录

/root/.bash_history
/root/.recently-used

发表于 @ 2005年11月14日 12:28 PM | 评论 (0)

win2000服务器安全配置

一、修改注册表

1、来禁止139空连接
HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 1

2、这样系统不会自动显示上次的登录用户名
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\ CurrentVersion\winlogon
DontDisplayLastUserName串数据改成1

3、要在关机的时候清楚页面文件
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
把ClearPageFileAtShutdown的值设置成1。

4、定程度上面预防DoS：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

SynAttackProtect 　　　　REG_DWORD 　　　2

EnablePMTUDiscovery 　　　REG_DWORD 　　0

NoNameReleaseOnDemand 　REG_DWORD 　　1

EnableDeadGWDetect 　　　REG_DWORD 　　　0

KeepAliveTime 　　　REG_DWORD 　　300，000

PerformRouterDiscovery 　　　REG_DWORD 　　　0

EnableICMPRedirects 　　REG_DWORD 　　　0

5、防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
EnableICMPRedirects 　　REG_DWORD 　0

6、禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
PerformRouterDiscovery　　 REG_DWORD 　　　0

7、防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P arameters
SynAttackProtect REG_DWORD 0

8、不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P arameters
IGMPLevel 　　REG_DWORD 　　　0

9、禁止C$、D$一类的缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareServer　REG_DWORD　0

10、禁止ADMIN$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareWks　REG_DWORD　0

二、"管理工具"-》"本地安全策略"：
1、“本地策略”－》“审核策略”

账户管理成功失败
登录事件成功失败
对象访问失败
策略更改成功失败
特权使用失败
系统事件成功失败
目录服务访问失败
账户登录事件成功失败

审核项目少的缺点是万一你想看发现没有记录那就一点都没辙；审核项目太多不仅会占用系统资源而且会导致你根本没空去看，这样就失去了审核的意义。

2、、“账户策略”－》“密码策略”
密码复杂性要求启用
密码长度最小值 6位
强制密码历史 5次
最长存留期 30天

3、“账户策略”－》“账户锁定策略”：
账户锁定 3次错误登录
锁定时间 20分钟
复位锁定计数 20分钟

同样，Terminal Service的安全日志默认也是不开的，我们可以在Terminal Service Configration（远程服务配置）-权限-高级中配置安全审核，一般来说只要记录登录、注销事件就可以了。

三、在网卡"属性"里去掉"Microsoft网络客户端"和"Microsoft网络文件和打印共享"
并点“Internet Tcp/IP”->“属性”－》“高级”－》“WINS”。
点选“禁用 Tcp/IP上的 NetBIOS”

并点“Internet Tcp/IP”->“属性”－》“高级”－》“选项”－》“Tcp/IP筛选”。
点选“启用 Tcp/IP筛选”
在“TCP端口”允许
-------------------------
20 FTP Data
21 FTP Control
25 SMTP
80 www
110 pop
1433 ms sql
3306 mysql
3389 终端
--------------------

在“IP协议”允许
-----------
6
----------

四、１０秒种保存一下tcp/ip的连接
Netstat -n -p tcp 10>>Netstat.log

发表于 @ 2005年11月14日 10:15 AM | 评论 (0)

linux下apache2以DSO安装好后再新增几个mod 模块

摘要：最简单的
./configure --enable-mod_name=shared
make(不要make install)
cp mod_name.so /path/to/apache/module
/path/to/apache/conf/httpd.conf增加相应的mod设置(这个不用说了吧) （全文共209字）——点击此处阅读全文

发表于 @ 2005年11月13日 1:13 PM | 评论 (0)

linux下的安全设置

摘要：1、怎么防止别人ping我？？# iptables -A INPUT -p icmp -j DROP （全文共529字）——点击此处阅读全文

发表于 @ 2005年11月13日 1:09 PM | 评论 (0)

他选择自我淘汰这个社会！

摘要：

　　浙江可算是全国民企为最的省份了，原因很简单－浙江的老板吃得起苦，自我执行力高，而且大多还都是贫苦人家出生。这点在全国都是公认的。
　　这几天联系了一个以前的友人，在交流后发现这社会之大真是什么人都有呀。在下文中我们称其为甲某。
　　甲某他出生在一个小县级市的农村。家里面一直不算是很富裕，而且还有个亲弟弟。从一个三流大学毕业后，一直留在杭州工作。按理说这样的条件应该是努力工作赚钱才是。当然这点甲某他自已也清楚，毕业不久便与几个同学一起创业，按初期的分工甲某主要负责程序开发，可惜他只做了一半的程序，天三在家看电视玩别的，日子不久便与原来的合伙人分道扬镳。在聊天中他说，他觉得这个社会太乱，他想静静，做自已喜欢做的事，毕业不到一年的时间，就觉得２０００的工资不够花(自已也不努力学习)，喜欢赚大钱，但又不高兴付出劳动，如果做一件事情太烦、太累、压力太大。他便会自我安慰说他想做和尚。当然这是甲某人的性格我们不好评说什么，但是我发现现在社会这样的人还是很多的，逃避家庭的责任，逃避社会的责任。现在社会要做成一件事情不容易，不吃得苦中苦，何为人上人。

（全文共490字）——点击此处阅读全文

发表于 @ 2005年11月11日 5:00 PM | 评论 (2)

来了马云,"牺牲"了周鸿一.

摘要：yahoo中国改版了,首页的style整一个搜索门户。可惜"牺牲"了周鸿一。周在任期间，已把yisou打理的非常不错，至少在中国，我会用的search就是yisou和baidu。现在yahoo中文首页这么一改版，yisou就好比是离了婚的“母亲”带着的“孩子”，在这个家庭里从本质上开始不受重视了。想不到没多久这个“母亲”又和现任老公生了一个“孩子”。估计以后yisou这“孩子”命运悲惨呀。话说回来，yahoo现在改版后到是变的很酷了，马云的团队彻底放弃了传统的门户模式，他们可能看的更远。希望在未来的几年内打掉google or baidu。但是我想说，要耍酷是要有代价的。减少了首页的广告收入，增大支出。结果不一定有预期的这么好。本来把yisou改成这样到是不错。所以说，一个公司收购另一个公司说白了就是一个文化对另一个文化的覆盖。多好的yisou多好的1pai到最后，估计都要“牺牲”。（全文共514字）——点击此处阅读全文

发表于 @ 2005年11月10日 4:43 PM | 评论 (0)

apache 中开关某虚拟主机的php功能

摘要：

在虚拟主机的设置小节中添加php_flag engine on/off

如：

<VirtualHost 210.21.113.78:80>
ServerName phpv.net
php_flag engine off
serveralias www.phpv.net
ServerAdmin easy@phpv.net
DocumentRoot "/home/xxxxxx/htdocs"
</VirtualHost>

（全文共415字）——点击此处阅读全文

发表于 @ 2005年11月09日 11:44 PM | 评论 (0)

使用mod_deflate提升网页浏览的速度

摘要：apache1.3.x可以用mod_gzip进行优化网页浏览的速度，可以明显的感觉到速度的提升。在apache2中也尝试用mod_gzip，但是配置后确发现网页不能正确显示（空白页），所以改换mod_deflate。在Linux命令行下运行以下命令安装mod_deflate模块（斜体是apache2的目录）/usr/local/apache2/bin/apxs -i -c /root/httpd-2.0.48/modules/filters/mod_deflate.c编辑httpd.conf，加入以下内容：LoadModule deflate_module modules/mod_deflate.soDeflateFilte （全文共1354字）——点击此处阅读全文

发表于 @ 2005年11月09日 2:23 PM | 评论 (0)

PHP的优化，缓冲，压缩

摘要：

本文对 PHP的优化，缓冲，压缩提出了实际的解决方案

作为流行的 Web 编程语言， PHP 的最大优势就是速度。 PHP4 已经在这方面做的非常好了，你几乎找不到比它更快的脚本编程语言了。但是如果你的应用负荷很大，而带宽又比较小，或者有其他的瓶颈影响你的服务器性能，那么，你不妨试试笔者为你开出的几个药方，看看是否灵验。

一、代码优化

一谈到代码优化，或许你想到的就是整齐明了的代码，但是本文的意思却不是在此，因为如果要寻求速度的话，就要对PHP 源码作相应的调整。一般说来就是去掉多余的注释，让代码不可读。但是这对于一个具有良好素养的程序员来说，简直就是不可思议的。好在Zend Technologies 公司发布了 Zend 优化引擎可以帮助你做到这一点。它现在是免费的，但是你必须遵循 Zend Optimizer 许可。这个产品可以对引擎产生的中间代码进行优化。

安装这个引擎比较简单，下载对应平台的版本以后，解开压缩文件，然后在 php.ini 文件里面加（全文共2935字）——点击此处阅读全文

发表于 @ 2005年11月07日 8:06 PM | 评论 (0)

网络->油价->女人!

摘要：晚上小郭向我引见了做开发的同事小戈，我顺便叫上老刘。我做东上馆子。小戈话不多，人挺直爽。饭后聊了很久，我一直侃侃而谈，说着杭州的整个网络环境。最后一致认为现在１０００家网络公司里只有３家公司是赚钱的，而这３家公司却把１０００家公司的钱都给赚了。更决的是人们往往只看到了这３家公司。所以中国的网络才这么“火”。

　　由于油价的上涨杭州的士也要涨价了。看来年底的家轿降价是必然的事了，中国的经济增长速度放慢了。当年美国用低油价政策打垮最大的石油输出国俄罗斯。现今美国又用高油价政策来抑制最大的石油进口国中国的发展。看来失业的人又要进加了。

　　最后小戈女友来短信，问：“我在你心目中是什么颜色！”这可是老刘的决活，他大大的分析了一番。从女人的喜好到心情，最后把所有的答案都解释了一遍。在众人的羡慕注视中结束了今天的小聚。

　　送小郭出了门，今后小戈也加入了我们这个team。人开始多了。业务也要发展。希望我们能够走的更远！
（全文共465字）——点击此处阅读全文

发表于 @ 2005年11月05日 11:53 PM | 评论 (1)

今天想起了我的奶奶！

摘要：

　　从我有记忆以来父亲上面的长辈就只有奶奶，由于爷爷在我三岁的时候就走了。所以奶奶特别的疼我。０４年４月的时候奶奶也走了，那天我爸哭的特别厉害，我也不知道鬼使神差般连着三天都没掉一滴眼泪。

　　今天上班在公车上看到一个和我奶奶长得差不多的老婆婆，于是便想起了我和奶奶的从前。仔细一想突想失去了一个亲人，有种说不出的感觉，但整个人很“空”。也许是我们这些所谓的都市繁忙人的感觉观太淡了吧，总是要等人沉淀下来后，才体会到一些细细的感情。愿奶奶在天堂安好！

（全文共250字）——点击此处阅读全文

发表于 @ 2005年11月04日 9:04 AM | 评论 (17)

使用mod_limitipconn.c来限制apache的并发数

摘要：下载mod_limitipconn.c

　　http://dominia.org/djao/limit/mod_limitipconn-0.04.tar.gz
　　http://dominia.org/djao/limit/mod_limitipconn-0.04-1.i386.rpm
　　　　(proxy client detection feature not enabled)
　　http://dominia.org/djao/limit/mod_limitipconn-0.04-1.src.rpm

　　
　　我用的是tar包下载的是mod_limitipconn-0.04.tar.gz,(该模块已经可以支持apache2)在服务器上执行# wget http://dominia.org/djao/limit/mod_limitipconn-0.04.tar.gz 下载到本地 < （全文共4550字）——点击此处阅读全文

发表于 @ 2005年11月03日 1:31 PM | 评论 (0)

wayne's blog

公告

文章

收藏

相册

友情

存档

2005年11月