开源小站 » 网络和安全

用SSH Tunnel穿越防火墙

Litrin — Tue, 09 Feb 2010 02:17:06 +0000

这次接上篇。

很多企业对互联网的访问进行了限制，如何突破防火墙的限制成了一个问题。本文就是利用了SSH tunnel搭建了socket5代理。

首先，申请一个外网的ssh帐户，个人建议使用http://www.unix-center.net/提供的免费资源，该网站还提供多种平台主机可供测试之用，非常不错！当然，如果可以使用密钥方式登录那就完美了。

申请好账户之后，依然在本地安装ssh的客户端，windows推荐putty。

安装好后执行putty，在hostname里面输入主机名，或者用户名@主机名。我选了FreeBSD的那台，有兴趣的话还有ubuntu，Sun，甚至龙芯一系列主机可供挑选

Putty 主界面

选择ssh->tunnels，在source栏里添加你要提供的端口号，一般随便填一个未使用的端口就可，我用了8080端口。选择Dynamic，点击add。这里需要说明的是，如果你的主机允许别人使用的话，请勾选最上面的Local ports accept connection from other hosts。

Putty ssh tunnel界面

点击Open确认连接，在接下来的窗口中输入用户名和密码。最小化窗口，不要关闭。

打开命令行，输入命令netstat -an，如果出现了你刚才输入的那个端口号的侦听，说明搭建成功！socket服务已经完成。

netstat -an

浏览器设置，IE:internet选项，连接，局域网设置，勾选“为LAN使用代理服务器”，高级，套接字选择127.0.0.1并填写端口号。完成设置。

IE 设置

对应的命令行：

plink : plink -C -N -f -D 端口号用户名@主机名
ssh: ssh -C -N -f -D 端口号用户名@主机名

PS:
话两头说，如果你负责一个企业局域网的话，稍大点的企业如果要限网，SSH端口是绝对要加以限制使用的。伟大的防火墙亦是如此。

用ssh tunnel打造安全邮件系统

Litrin — Wed, 03 Feb 2010 14:33:01 +0000

近期，甚至于连Google这样的企业也感觉到了邮件系统的安全问题。这里采用了相对实现成本较低的方式，通过ssh的tunnel达到邮件在传输的过程中不会受到中间人攻击造成数据泄露。

故名思义，tunnel就是在邮件服务器和企业防火墙之后设置一条逻辑上的隧道。这条隧道一方面为了数据安全，另一方面，由于ssh的压缩功能也能在一定程度上减少邮件这类纯文本传输的网络需求。

先决条件：

Unix like的邮件系统，并安装了ssh-server，本例中假定邮件服务器ip为1.2.3.4
企业路由器和内网：路由最好有vpn和防火墙功能。
内网的一台主机，配置不必太高（我用了虚拟机，64M内存已经足够近百人使用），安装有ssh-client，如果是win主机，推荐使用putty的安装版本。经过测试，个人觉得FreeBSD下的性能较好。考虑到安全，这台主机尽量不要安装远程控制台并尽可能上锁。本例假定ip 192.168.1.1。
注意整个系统的安全策略，账户策略等，相比中间人攻击这样的“高级”黑客行为，破解密码，利用漏洞永远是成本最低的方法。

SSH隧道实现安全Mail系统示意

第一步：设置公钥方式登录：

内网主机上运行mkdir -p ~/.ssh;cd ~/.ssh;ssh-keygen –d，如果变态一点可以使用ssh-keygen -b 4096 -d增加强度，之后不要输入任何信息，一律回车带过，很多人不能实现ssh的无验证通过，大多是因为这里没有弄好。这样~/.ssh目录下将会出现id_dsa 和id_dsa.pub两个文件。

将内网主机的id_dsa.pub文件拷贝邮件服务器，并在邮件服务器上执行cat id_dsa.pub >> ~/.ssh/authorized_keys 。尝试在内网主机上执行 ssh A主机的IP ，成功地话应该没有提示密码（即直接得到A主机的控制台）。

如果经常来小站做客的朋友会觉得这段很熟，没错它贴自这里，如果你用了windows作为内网主机，请参考这里的内容。

第二步：配置管道：

写个脚本 vi /usr/sbin/ssh_tunnel

#!/bin/sh
localIP='192.168.1.1'
removteIP='1.2.3.4'
ports='25 80 110' #3个端口，smtp http pop3
for port in $ports
do
    /usr/bin/ssh -C -N -f -L $localIP:$port:$removteIP:$port root@$removteIP  &
done
chmod 755 /usr/sbin/ssh_tunnel

修改rc.local文件，在其中加入 /usr/sbin/ssh_tunnel，当然要放在exit那条之前。

windows不是很熟，写个笨蛋批处理吧ssh_tunnel.cmd

start /min cmd /c 'C:\Program Files\PuTTY\plink.exe' -C -N -f -L 192.168.1.1:25:1.2.3.4:25 root@1.2.3.4
start /min cmd /c 'C:\Program Files\PuTTY\plink.exe' -C -N -f -L 192.168.1.1:80:1.2.3.4:80 root@1.2.3.4
start /min cmd /c 'C:\Program Files\PuTTY\plink.exe' -C -N -f -L 192.168.1.1:110:1.2.3.4:110 root@1.2.3.4

其实putty的那个plink效果完全等同于ssh，当然，win下面主要是用里面的窗口程序，大多数人不怎么用而已。win下比较烦的是每次重起后都要手工加载key，执行这个批处理。希望对win熟的朋友可以提供自动解决方法。

第三步：设置邮件服务器防火墙

通过邮件服务的防火墙关闭除25和22之外的所有端口。这样做是最安全的，但这样的后果是在企业局域网之外只能发不能收邮件。VPN是比较好的折中方案。当然，如果你的邮件系统只需要内部收发邮件（那还要什么邮件系统？），你尽可以连25号也封上。

第四步：设置本地邮件客户端

将局域网内所有邮件客户端的smtp和pop都设置为192.168.1.1即可。我这里由于用了webmail，webmail同样也通过192.168.1.1访问
如果企业有自己的DNS服务器，甚至整个公司都在域管理模式之下。不妨通过本地的DNS服务器用本地IP覆盖掉外网真实IP。这样即便没有vpn，只要不封邮件服务器的110端口，在邮件客户端中设置域名，对用户来说在任何地方都是透明的。

总结：

这种模式，从邮件服务器到企业局域网内的传输是加密透明的，外部很难窃取，如果定期为两边的ssh更换强化的秘钥，效果几乎可以达到变态的要求。据说4096位的秘钥的破解成本已经到了天文数字。
这种方式相对成本较低，不需要太多的投入，特别是在多个分支机构之间成本优势更加突出。本想通过smtp的tls和pop的SSL进行加密，可outlook下对没有根秘证书签名的秘钥会弹出讨厌的警告框，反而增加了用户的不安。申请根证书的签名价格也不菲。
由于企业的邮件系统最多的邮件往往来自于内部，这种方式可以减少差不多一半以上的互联网带宽。把带宽留给更重要的应用。
同理，利用此种方式可以实现其他多种安全方案，达到双宿主机或者多机虚拟的效果，进而可以为企业节约宝贵的外网IP资源。

Ubuntu下安装oracle11G up2

Litrin — Mon, 30 Nov 2009 07:39:38 +0000

oracle的11G总算到了up2，这次的升级个人感觉最大的改善就是将clustter包成了标准包的一部分，看起来今后oracle数据库要越发的使用更多的机器了。目前官方只提供了Solaris和Linux的安装包，Win以及其他操作系统看起来还是要等。

oracle官方建议的linux仅限于Redhat, Suse, Asianux以及oracle自家的linux。但作为测试的一部分，我选择了ubuntu的新版本910 AMD64 server作为平台。不过理论上使用ubuntu Desktop或者Xubuntu更省力一点。系统内存为8G，根据建议（如下），设置了8G的swap。

之前还有一篇solaris下10up2的安装可以参考

Between 0 MB and 256 MB	3 times the size of RAM
Between 256 MB and 512 MB	2 times the size of RAM
Between 512 MB and 2 GB	1.5 times the size of RAM
Between 2 GB and 16 GB	Equal to the size of RAM
More than 16 GB	16 GB

安装完毕后还是个人习惯性的那一套：
#sudo apt-get update
#sudo apt-get upgrade

升级结束后安装必要的库：
#sudo apt-get install gnome-core unzip build-essential libaio-dev(ms libaio 就可以)

设置环境变量：
修改/etc/bash.bashrc，在末尾添加如下内容
ORACLE_HOME=/opt/oracle/product/11.2.0/Db_1 export ORACLE_HOME ORACLE_BASE=/opt/oracle export ORACLE_BASE NLS_LANG=american_america.zhs16gbk export NLS_LANG PATH=$PATH:$ORACLE_HOME/bin ORACLE_SID=orcl export ORACLE_SID
修改内核参数：（官方文档没有提及，保险起见，还是添加了）
fs.file-max = 6815744 fs.aio-max-nr = 1048576 kernel.shmall = 2097152 kernel.shmmax = 2147483648 kernel.shmmni = 4096 kernel.sem = 250 32000 100 128 net.ipv4.ip_local_port_range = 9000 65500 net.core.rmem_default = 262144 net.core.rmem_max = 4194304 net.core.wmem_default = 262144 net.core.wmem_max = 1048576

重起机器。



圈圈
Litrin — Fri, 20 Nov 2009 08:30:32 +0000
就在今天Google宣布了他蓄谋已久的，以一个三色圈圈为Logo的单机操作系统——Chrome OS。由于正如Google的手机操作系统一样，这次又是一个Linux内核的操作系统。
Google的理念是：既然浏览器逐渐成为了一台PC最常用的软件，那为什么不把它升级为PC中唯一的软件？理念看似很超前。
不禁想起了N多年前IBM的预言：最终全世界只需要4台主机。这个想法至今看起来仍然很荒谬。但可以看得出，google以致这一阶段很是热门的“云计算”概念其实也是在实现IBM的理想。
说道这个理念，就不妨谈谈微软，这个利用一句：“每个书桌上都应该有一台PC。”瓦解了IBM的痴心妄想。IBM当初是专注于硬件的，最赚钱的是卖超级计算机而不是白菜价的PC，所以他们后来才会把PC业务卖掉；微软是做软件的，一台PC收一份钱，越多越好；google是做服务的，集中起来才能将效益最大。现在软件都像当初硬件一样“白菜化”了，今后如何。重新定义，再次赚钱。

当初IBM理念的失败之处在于错误的估计了网络的因素，将终端单纯的理解为了瘦客户机，之后成功转型为服务型公司，避免了老冤家SUN那样的命运。微软的成功之处在于利用了从90~10这20年左右的时间差猛赚了一笔，成了行业的领跑者。google的领先在于发现了如何通过免费的服务来赚钱；通过免费的午餐抓住所有人的命脉，并不断的引领下一个时代的网络发展。
我个人认为将来的互联网终端绝对不是PC的天下——从3G手机到物联网无一例外的传达了一个信息：未来通过什么东西上网是次要的，通过什么方式接入互联网是次要的，关键是用网络来干什么。随着传统PC逐步的被边缘化之后，将会有一个新的硬件平台取代当前PC的上网功能，现在还不知道那会是什么，但绝对不会是“上网本”这类的过渡产品。
三色的圈圈大概涵义如此吧。看云识天气。
就说这么多，有空再侃。



我眼中的通讯未来
Litrin — Fri, 30 Oct 2009 04:41:38 +0000
公司呼叫中心的线路维护始终是大问题。由于线路老化，很多坐席的电话要么断线，要么信号不好，没有办法，很不标准的破拆了网络端口供电话线路使用——好在网络的端口好解决的多。
 一直在想呼叫中心线路这块的种种不便，始终保持着“两套线路都不能断”实在是很头疼。那最为简单的方式就是通过VOIP技术来实现语音传输，这才是终极方案。不但从技术上、维护成本上，还是传输质量上都会提升到很大的一个高度。同时这样在多个分区的呼叫中心之间通过VOIP还可以减少一定的长途费用——尽管现在看起来，取消长途费用是大趋势。
 抛开一切干扰因素，电话恐怕被取代是迟早的事情。作为提升质量之一的语音通话质量，2G网络到3G网络上并没有太多的变化，反倒是IP通讯速度上有了质的飞跃。何况2G本身在终端和基站之间用的就是数字通讯。现在的移动基站要维护语音和IP两套线路。
不妨看看中国移动出品的“飞信”。一个IM工具MS跟移动的业务没有什么太大的关系。不妨这么来看：现阶段考虑到可能会影响自己的腰包，飞信没有电脑对电脑语音/视频通信功能。加上此功能呢？在手机版上增加此功能呢？就是一个完整功能的skype（这里的完整是只可以拨打“真正的电话”）个人认为终究会有那么一天会有一家电信公司推出这么一套设备：语音功能通过内嵌一套IM工具实现，基站的功能成了一个AP而已。维护IP通讯的成本远比语音低得多。
 从这里看出了飞信软件对于中国移动的战略地位。这些2G时代财大气粗的公司到了3G时代已经逐步沦为的渠道商。赚那么一点通讯费用，大头跑到内容提供商那边去了。不考虑渠道合作的话减低成本成了唯一途径。飞信就是这么一个东西。
 这也无外乎google作为一个内容提供商会花功夫去主导一个手机操作系统的研发。无利不起早啊。



说说“专业”
Litrin — Fri, 11 Sep 2009 10:12:24 +0000
暂且不提中文里说你不专业是什么语气，至少来说，在英语语系里说一个人或者一家公司是“不专业的”，不管什么语境，总归是句很重的话。
公司的一家子公司，由于人少财弱，没有专职的网站开发人员。于是找了一个现在比较知名的免费网店全站程序。用的久了，不够用了，联系了那家公司进行开发。这本身也是符合免费软件生存法则的，没有什么不对。对方很专业的报价350块/小时。很是吓人的价钱。周瑜打黄盖，一个愿打一个愿挨。认了，付钱，问题才刚刚开始。

作为服务器的管理员，首先他们问我要root帐号，要知道，这台主机的网站差不多有几十个，谁会给？然后他们很发了顿牢骚。不得已，开了一个用户给他们，竟然蒙混过去，他们竟然以为得到了root，汗。
然后又是说ftp连不上，我很客气的说ftp没开，又是牢骚：“人家的linux都开ftp的，为什么？”我建议他们用sftp上传就OK，“不会用。”。又晕！嫌烦，现装了proftpd应付过去，又被人说密码太长太难记，彻底无语！
大约一个礼拜左右（350块/小时，赚了不少吧？）我得知他们已经完成了网站的定制开发。OK，停ftp，删帐户。程序照旧是加密的php，一个根目录下的php.php引起了我的注意，好家伙！ 嫌我的站点太安全了不成？仔细查找了一下发现根目录下还有一个data.zip文件，全是打包的程序文件，当然包括数据库配置的用户名和密码。一个“白版页面”只有一个文本栏和一个submit按钮，顺手输入了一句sql，很幸运的发现了这竟然是数据库的接口——甚至可以直接drop table。文件名，就叫做sql.php，当然还是在根目录下。
如果说他们是在测试机下，新手来做，我们可以理解，可要知道生产环境下的服务器，调试程序都会要了命。
如他们所说“以专业的功能、领先的技术以及快速的价值体现，获得了45万用户的肯定。”我只能说，最近黑客们的效率确实很低。如此厂商如何评价？



SSH的x-forwarding
Litrin — Mon, 01 Jun 2009 06:47:23 +0000
记得N年前写过一篇东西，讲的是SSH的秘钥验证登录。这次就跳出命令行，讲讲X桌面的X-forwarding。
其实*nix下的桌面也是一个网络服务，可以通过SSH来远程执行。如果您使用的是Linux的桌面版，可以通过ssh的-X 或 -Y参数：
litrin@litrin-laptop:~$ ssh -Y root@192.168.1.7

Last login: Mon Jun  1 14:04:47 2009 from 192.168.103.1

Sun Microsystems Inc.   SunOS 5.10      Generic January 2005

================================================================================
192.168.1.7       Oracle Server
================================================================================

You have new mail.

# env

DISPLAY=localhost:10.0

HOME=/

LANG=zh_CN.UTF-8

LOGNAME=root

MAIL=/var/mail//root

PATH=/usr/sbin:/usr/bin

SHELL=/sbin/sh

SSH_CLIENT=192.168.103.1 60802 22

SSH_CONNECTION=192.168.103.1 60802 192.168.1.7 22

SSH_TTY=/dev/pts/1

TERM=xterm

TZ=PRC

USER=root
如果出现了DISPLAY变量则说明配置OK，随便可以执行一个桌面程序了。

Ubuntu下x-forwarding Solaris 的 prodreg
同样的在win+putty下，可以参照如下设置：

.putty x-forwarding
同时，在使用putty登录之前请开启本地的X server客户端，推荐 Xming





DropBox-免费的网盘
Litrin — Tue, 12 May 2009 07:05:32 +0000
之前用过一段时间的Gdriver，那个把Gmail邮箱当作网盘的软件，感觉不错。可惜被google无情的封杀了。比较郁闷！
今天，发现了Dorpbox这个工具，非常好用。比较少有的支持Windows Mac Linux多平台。免费支持2G的容量，如果你有钱的话还可以支持更多。
由于该网站还在测试，注册需要邀请。在这里发布邀请链接。
类似的还有一个，sugarsync，只支持win但在国内的速度不错，可以猛击这里获取



关于Postfix RBL设置的问题
Litrin — Fri, 20 Mar 2009 09:50:36 +0000
在网上看了一下许多关于RBL配置的文章，不少都局限于postfix的较低版本——至少都是2.1以下的。考虑到目前postfix已经到了2.4版本以上，为避免各位绕弯路，把具体的设置方法分享给大家。
rbl的原理就是在拿到对方的IP以后，例如：1.2.3.4，反转后组成域名。例如xbl.spamhaus.org的RBL就会组成4.3.2.1.xbl.spamhaus.org送去DNS解析。正常的IP将会获得一个一个正常的IP回复，黑名单中的IP将会获得127.0.X.X的IP。
一般情况下在Postfix中会做如下设置启用RBL：
smtpd_client_restrictions = permit_sasl_authenticated

        permit_mynetworks

        reject_rbl_client xbl.spamhaus.org=127.0.0.4

         permit

需要说明的就是，至少我在postfix2.4下只有这种方式才会正常RBL，否则的话很容易就block全世界了。测试了几次，发觉并不向网上很多帖子说的那样是由于DNS被劫持引起的。关于127.0.X.X的返回值，可以到RBL的网站上查阅。
同时作为RBL的选择，其实一个就足够了，没有必要反复进行验证。



netscreen的使用感受
Litrin — Thu, 19 Feb 2009 01:35:42 +0000
一直没有空下来深入研究以下Juniper的Netscreen。正巧的是前些日子，公司有一台204-B出现了故障，这才有机会研究了一下。
公司的分支机构相对都很散，每个分支相对人数较少。Firwall+Route+VPN的组合维护起来非常方便。一般性的情况下NS5-GT这类的设备加10个用户授权就足够了。对于稍微人数多一点的机构，就需要204这类的东西了（MS是没有用户数限制的）。总部则使用了SSG550支撑。
相比其他的产品，Netscreen感觉上webUI的配置方式很是方便，特别适合像我这类懒的背命令的人——虽然看上去命令并不复杂。

关于升级，个人觉得netscreen的产品线搞得有点复杂：ScreenOS可以升级版本、功能扩展可以升级、用户授权可以升级……搞得很是复杂。网上的文档说是Netscreen本身就是一个封装好的FreeBSD，当然容易扩张，当然也容易把人搞晕。曾经试过他的反垃圾和反病毒模块，其实就是在此之上加一个诺顿的东西上去，谈不上有什么很彻底的革新。但至少对于绝大多数的应用，这已经足够了。
发现的部分问题：

兴许是公司舍不得花钱的缘故，一直觉得Netscreen的负载居高不下。至少觉得他的配置稍微有点偏低。
国外公司的缘故，对于国内的部分特色应用——如QQ，操作起来比较麻烦，需要自定义Service。
本地化的问题。




Kernel2.6编译mysql3的问题
Litrin — Tue, 09 Dec 2008 02:04:19 +0000
前些天帮个朋友重装了个系统——Centos5.1下的LAMP。由于程序限制，必须在选择mysql3的数据库。
按照常理操作：
#cd /mysql3XXX
#./configure –prefix=/usr/local/mysql3
出现如下错误：This is a linux system and Linuxthreads was not found
系统中没有找到linux线程——比较搞笑，没有线程，那系统是怎么起来的？
分析下来，这是由于mysql使用了较老的thread库，针对于kernel2.4的mysql3得不到支持。
＃echo >> /usr/include/pthread.h
＃./configure –with-pthread –with-named-thread-lib=-lpthread  –prefix=/usr/local/mysql3
重新编译后搞定！
 



远程控制Boinc
Litrin — Tue, 30 Sep 2008 05:39:59 +0000
Boinc是加州大学波克利分校（怎么又是他？）开发的一个分布式运算的平台，支持了n多的分布计算项目，其中最初明的应该算是SETI＠home那个寻找“小绿人”的项目。
Boinc由客户端和管理器组成，默认的安装要求安装有桌面环境。这对于很多服务器而言似乎严格了一点。现在就分享一下使用控制器远程使用客户端的方法。
首先，安装Boinc

    Fedora : yum install bonic-client

    Debian : apt-get install boinc-client

    Ubuntu :  sudo apt-get install boinc-client

    FreeBSD : cd /usr/poot/net/boinc-client; make install clean

    其他的系统可以直接去http://boinc.berkeley.edu下载安装程序。
这里需要说明的是，我在Freebsd上安装最新的程序，配置结束后系统老是提醒我平台不正确，那不到运算数据。看来同样波克利项目之一的Freebsd跟Boinc之间存在兼容问题，比较讽刺。
找到安装目录下的gui_rpc_auth.cfg文件，修改内容为控制密码，例如：123456
执行 boinc-client  –daemon –allow_remote_gui_rpc。
在远程，使用boinc-manager。 高级－>选择计算机－>填写主机ip和密码。按照向导添加项目。以后每次需要管理项目的时候也要采用类似的方法在几台主机之间切换。
如果要显得专业一点，可以修改相应的服务启动文件。
希望各位能够帮助大家提供更多的运算量！



QQ For Linux
Litrin — Sat, 16 Aug 2008 23:05:41 +0000
这么多年，腾讯总算官方支持了Linux了——比非官方支持至少晚了7～8年。反正作为一个OpenSourcer，看到几年前腾讯的所作所为，我抵制QQ已经很多年，考虑到各位可能有需要，请到QQ的官方下载。考虑到PR问题，本站不提供连接:
h t t p : // im. qq. com / qq / linux /
还请大家自行整理。
比较乌龙的是，rpm版本的介绍中竟然说“遵从GPL“，令人联想到多年前腾讯的Skype抄袭事件。看来恶习难改啊！



Evolution的问题
Litrin — Mon, 02 Jun 2008 06:02:08 +0000
一直使用Evolution作为Gnome下的标准邮件程序，这些天乎然发现了一个问题：
每次用Evolution发送邮件给一个非Evolution的邮件客户的时候，一旦附件为中文或者长文件名，系统将自动把文件名替换为XXX.dat。非常郁闷。
由于比较喜欢Evolution的任务管理模式，不想更换客户端。搜了半天解决方案，总算明白了：

Evolution使用RFC2231作为标准，而其他客户端一般仅支持RFC2047。而且似乎没有什么解决的方法。
看来太先进也不见得是件好事，关键是兼容。
无奈，将客户端换成了ThunderBird，好在用了IMAP，转换起来没有碰到太多问题。



离奇的网络风暴
Litrin — Wed, 21 May 2008 01:12:26 +0000
公司的网络从路由到交换都是华为的设备，平时运行相对平稳，几乎不需要做什么维护。
昨天，正直公司部门某个部门更换座次，忙了一阵后，忽然发现所有的网络都不畅通了，计算机只要一插网线，CPU占用马上提升到80%以上。一看交换机状态，包括骨干交换机中所有的灯都在频闪——典型的网络风暴。
开始以为某台机器中了病毒，开始乱发包。可公司内病毒软件一直是主动更新的，这种概率不大，只能采用土办法一一排除各个交换机的问题。
运气不佳，按照顺序在最后一个交换机上发现了问题，到现场一看，差点没气疯——一根网线同插两个模块，造成交换机回路，难怪会有广播风暴！
拔掉网线，全网恢复。

在部分情况下，特别是在设置了比较复杂的Vlan情况下，交换机回路造成的后果可能是灾难性的。
一个不注意，一根网线也能要了你的命。
有时候运气对于处理突发事件也很重要




Virtual Server Virtual PC下Linux桌面的问题
Litrin — Tue, 19 Feb 2008 02:01:00 +0000
自从微软出了自家的虚拟机软件之后，兼容性就一直遭人不齿——确实，只提供windows系列的增强驱动也确实太小家子气。公司里有一台Virtual server，即V-PC的server版，在上面装了N个Linux的发行版，几乎所有的桌面全都被搞得惨不忍睹。
琢磨了半天，硬件都是认出来的，只能说明分辨率之类的设置有问题，(Centos为例) 修改桌面配置文件/etc/X11/xorg.conf，

找到：DefaultDepth     24  改为 DefaultDepth     16 #16 bit 色深

同样的：
SubSection "Display"

                Viewport   0 0

                Depth     24 

        EndSubSection
改为：
SubSection "Display"

                Viewport   0 0

                Depth     16

        EndSubSection
  这个就是标准的640x480x16bit的标准VGA.
重起桌面，问题解决！同样的方法在V-PC上通过。

 



微软官网Microsoft.com安全防护趣闻
Litrin — Fri, 14 Dec 2007 01:10:17 +0000
作为一个庞大的软件帝国，微软自家官方网站www.microsoft.com的经营是个非常有趣的话题，尤其是这么一个大型网络是如何在提供高速数据传输的同时保障自身安全的？Jeff Alexander近日就从微软运营小组那里获得了一些“内幕资料”，主要是关于微软是如何自己使用IIS、Windows Server 2008和防火墙的。
1、其实www.microsoft.com根本没有使用防火墙，而且今后也不会安装，因为不处理HBI数据，无需记录外部登陆情况。
2、仅仅www.microsoft.com和update.microsoft.com每天的IIS日志就有650GB，而且这还不包括每个下载服务器每小时6GB的流量。如果还有防火墙日志，那每天至少得1TB之上了。
3、5年前还没有可以满足需要的防火墙方案，所以微软把重点放在了网络、主机和应用程序的安全性上。由于这方面的工作非常成功，尽管现在已经有了非常先进的防火墙，微软也不打算采用，因为微软不相信任何防火墙可以胜任其网络流量负载：非下载流量8-9Gbps、内部网络流量约30Gbps。
4、在2006年7月之前，微软还使用NLB(网络负载平衡)系统处理负载平衡，而这种方法所需要的网络微分段更使得防火墙既昂贵又复杂。
为了保护www.microsoft.com，微软的主要措施有：
1、使用思科的Cisco Guards检测拒绝服务攻击(DoS)和自动响应。
2、使用Router ACLs关闭不必要的端口。
3、www.microsoft.com和MSDN、TechNet都使用NetScalers来抵御DoS攻击，update.microsoft.com仍然在使用NLB。
4、早在Windows Server 2008和IIS7还处于Beta测试阶段的时候www.microsoft.com就已经率先全面使用了(确切地说2007年6月12日开始使用IIS7)，目前则已更新到RC版，此外MSDN、TechNet正在进行迁移，而update.microsoft.com还停留在Windows Server 2003、IIS6，何时升级尚未确定。由于Windows本身默认启动的无关服务太多，微软也按照自己公布的安全指导禁用了很大一批。
5、在发生大规模SYN攻击的时候，NLB系统会使用自动系统监视器、网络监视器来自动捕获并分析攻击。NetScalar系统目前尚未这么做，但正在利用空闲时间进行试验。
6、应用程序安全方面由ACE负责。这是一个内部小组，主要工作是应用程序威胁建模。



Solaris下安装Oracle 10 up 2
Litrin — Thu, 15 Nov 2007 01:59:49 +0000
环境配置：SUN V245server，安装有最新版本的Solaris10update4 for SPARC，从www.oracle.com下载了最新版本的Oracle 10G update 2 — Linux 和windows已经可以下载到
11G，可不知道为什么作为“oralce的最佳平台”的solaris只有10up2？
 
首先，在/etc/system的末尾添加，否则，在安装的过程中将会提示“out of memory”之类的错误：
set semsys:seminfo_semmni=100
set semsys:seminfo_semmns=1024
set semsys:seminfo_semmsl=256
set semsys:seminfo_semvmx=32767
set shmsys:shminfo_shmmax=4294967295
set shmsys:shminfo_shmmin=1
set shmsys:shminfo_shmmni=100
set shmsys:shminfo_shmseg=10
解压oracle:
gzcat 10gr2_db_sol.cpio.gz | cpio -icvd
添加dba组和属于dba组的oracle用户，并创建相关的权限的目录：/opt/oracle/ 10.2.0/Db_1， /oracdata
修改oracle用户目录下的.profile文件，添加如下内容：
umask 022
TEMP=/tmp;export TEMP
TMPDIR=/tmp;export TMPDIR
ORACLE_HOME=/opt/oracle/ 10.2.0/Db_1;export ORACLE_HOME
ORACLE_BASE=/opt/oracle;export ORACLE_BASE
PATH=$ORACLE_HOME/bin:/bin:/usr/bin:/usr/ucb:/etc:/usr/openwin/bin:/usr/ccs/bin
ORACLE_SID=HSDB;export ORACLE_SID #注HSDB是我设置的数据库SID，可以根据需要设定相对应的SID
启动X界面（我的机器没有显卡，只能用Xmanger）启动安装程序：
Su oralce




windows的“关闭事件跟踪程序”
Litrin — Tue, 24 Jul 2007 02:59:52 +0000
作为Windows2003强化安全性的一部分，在关闭或重启2003系统的时候会有一个“关闭事件跟踪程序”提示你记录关闭原因。
有部分盗版的2003盘——特别是市面上大多数的“拼盘”安装了win2003后不知怎么想的关闭了这个选项，具体打开的方式是：
 运行“gpedit.msc”命令开启组策略设置，将计算机配置、管理模板、系统选项卡下的显示“关闭事件跟踪程序”选项设置为“已启用”即可。
该方法同样适用于XP系统。



mysql的“降级”移植
Litrin — Wed, 30 May 2007 02:50:37 +0000
开发了一个项目，在部署时遇到了一点问题。
开发环境原本是mysql5.1，可实际部署的时候才发现服务器端的环境是mysql4.0。可mysqldump出来的数据无法直接倒入4.0，直接拷贝出来的数据，mysql4.0根本无法识别。
研究了一下mysqldump的文档，找到了一个选项“–compatible=name” 问题迎刃而解。而且这个选项竟然支持在多个环境中的平移。 选项支持mysql323, mysql40, postgresql, oracle, mssql, db2, maxdb,格式的SQL语句。