Archive for category 网络和安全
用SSH Tunnel穿越防火墙
这次接上篇。
很多企业对互联网的访问进行了限制,如何突破防火墙的限制成了一个问题。本文就是利用了SSH tunnel搭建了socket5代理。
首先,申请一个外网的ssh帐户,个人建议使用http://www.unix-center.net/提供的免费资源,该网站还提供多种平台主机可供测试之用,非常不错!当然,如果可以使用密钥方式登录那就完美了。
用ssh tunnel打造安全邮件系统
近期,甚至于连Google这样的企业也感觉到了邮件系统的安全问题。这里采用了相对实现成本较低的方式,通过ssh的tunnel达到邮件在传输的过程中不会受到中间人攻击造成数据泄露。
故名思义,tunnel就是在邮件服务器和企业防火墙之后设置一条逻辑上的隧道。这条隧道一方面为了数据安全,另一方面,由于ssh的压缩功能也能在一定程度上减少邮件这类纯文本传输的网络需求。
先决条件:
- Unix like的邮件系统,并安装了ssh-server,本例中假定邮件服务器ip为1.2.3.4
- 企业路由器和内网:路由最好有vpn和防火墙功能。
- 内网的 一台主机,配置不必太高(我用了虚拟机,64M内存已经足够近百人使用),安装有ssh-client,如果是win主机,推荐使用putty的安装版本。经过测试,个人觉得FreeBSD下的性能较好。考虑到安全,这台主机尽量不要安装远程控制台并尽可能上锁。本例假定ip 192.168.1.1。
- 注意整个系统的安全策略,账户策略等,相比中间人攻击这样的“高级”黑客行为,破解密码,利用漏洞永远是成本最低的方法。
Ubuntu下安装oracle11G up2
oracle的11G总算到了up2,这次的升级个人感觉最大的改善就是将clustter包成了标准包的一部分,看起来今后oracle数据库要越发的使用更多的机器了。目前官方只提供了Solaris和Linux的安装包,Win以及其他操作系统看起来还是要等。
oracle官方建议的linux仅限于Redhat, Suse, Asianux以及oracle自家的linux。但作为测试的一部分,我选择了ubuntu的新版本910 AMD64 server作为平台。不过理论上使用ubuntu Desktop或者Xubuntu更省力一点。系统内存为8G,根据建议(如下),设置了8G的swap。
| Between 0 MB and 256 MB | 3 times the size of RAM |
| Between 256 MB and 512 MB | 2 times the size of RAM |
| Between 512 MB and 2 GB | 1.5 times the size of RAM |
| Between 2 GB and 16 GB | Equal to the size of RAM |
| More than 16 GB | 16 GB |
圈圈
就在今天Google宣布了他蓄谋已久的,以一个三色圈圈为Logo的单机操作系统——Chrome OS。由于正如Google的手机操作系统一样,这次又是一个Linux内核的操作系统。
Google的理念是:既然浏览器逐渐成为了一台PC最常用的软件,那为什么不把它升级为PC中唯一的软件?理念看似很超前。
不禁想起了N多年前IBM的预言:最终全世界只需要4台主机。这个想法至今看起来仍然很荒谬。但可以看得出,google以致这一阶段很是热门的“云计算”概念其实也是在实现IBM的理想。
说道这个理念,就不妨谈谈微软,这个利用一句:“每个书桌上都应该有一台PC。”瓦解了IBM的痴心妄想。IBM当初是专注于硬件的,最赚钱的是卖超级计算机而不是白菜价的PC,所以他们后来才会把PC业务卖掉;微软是做软件的,一台PC收一份钱,越多越好;google是做服务的,集中起来才能将效益最大。现在软件都像当初硬件一样“白菜化”了,今后如何。重新定义,再次赚钱。
我眼中的通讯未来
公司呼叫中心的线路维护始终是大问题。由于线路老化,很多坐席的电话要么断线,要么信号不好,没有办法,很不标准的破拆了网络端口供电话线路使用——好在网络的端口好解决的多。
一直在想呼叫中心线路这块的种种不便,始终保持着“两套线路都不能断”实在是很头疼。那最为简单的方式就是通过VOIP技术来实现语音传输,这才是终极方案。不但从技术上、维护成本上,还是传输质量上都会提升到很大的一个高度。同时这样在多个分区的呼叫中心之间通过VOIP还可以减少一定的长途费用——尽管现在看起来,取消长途费用是大趋势。
说说“专业”
暂且不提中文里说你不专业是什么语气,至少来说,在英语语系里说一个人或者一家公司是“不专业的”,不管什么语境,总归是句很重的话。
公司的一家子公司,由于人少财弱,没有专职的网站开发人员。于是找了一个现在比较知名的免费网店全站程序。用的久了,不够用了,联系了那家公司进行开发。这本身也是符合免费软件生存法则的,没有什么不对。对方很专业的报价350块/小时。很是吓人的价钱。周瑜打黄盖,一个愿打一个愿挨。认了,付钱,问题才刚刚开始。
SSH的x-forwarding
记得N年前写过一篇东西,讲的是SSH的秘钥验证登录。这次就跳出命令行,讲讲X桌面的X-forwarding。
其实*nix下的桌面也是一个网络服务,可以通过SSH来远程执行。如果您使用的是Linux的桌面版,可以通过ssh的-X 或 -Y参数:
DropBox-免费的网盘
搭建oracle双机热备系统
-
系统环境:
-
安装相同版本的Oracle软件,企业版而非标准版。
-
SUN V245 x 2; Solaris Sparc 10 up 5; Oracle 10G up 2 。
-
建议在之前建立两台机器间Oralce用户的ssh互信认证机制。
-
Oralce官方建议使用交换机连接两台主机,原因是“网卡直连容易因为网卡故障出现问题”。个人认为一根超5类或者干脆6类线直连两台主机的可以避免交换机的使用,省钱的同时也会提升传输速度。由于原本服务器还有空闲的网口,这里采用了双机直连的方式做心跳。
-
关于Postfix RBL设置的问题
在网上看了一下许多关于RBL配置的文章,不少都局限于postfix的较低版本——至少都是2.1以下的。考虑到目前postfix已经到了2.4版本以上,为避免各位绕弯路,把具体的设置方法分享给大家。
rbl的原理就是在拿到对方的IP以后,例如:1.2.3.4,反转后组成域名。例如xbl.spamhaus.org的RBL就会组成4.3.2.1.xbl.spamhaus.org送去DNS解析。正常的IP将会获得一个一个正常的IP回复,黑名单中的IP将会获得127.0.X.X的IP。
一般情况下在Postfix中会做如下设置启用RBL:
smtpd_client_restrictions = permit_sasl_authenticated
permit_mynetworks
reject_rbl_client xbl.spamhaus.org=127.0.0.4
permit Read the rest of this entry »
-
You are currently browsing the archives for the 网络和安全 category.
广告链接
最近评论