Archive for category 网络和安全
Evolution的问题
一直使用Evolution作为Gnome下的标准邮件程序,这些天乎然发现了一个问题:
每次用Evolution发送邮件给一个非Evolution的邮件客户的时候,一旦附件为中文或者长文件名,系统将自动把文件名替换为XXX.dat。非常郁闷。
由于比较喜欢Evolution的任务管理模式,不想更换客户端。搜了半天解决方案,总算明白了:
Evolution使用RFC2231作为标准,而其他客户端一般仅支持RFC2047。而且似乎没有什么解决的方法。
看来太先进也不见得是件好事,关键是兼容。
无奈,将客户端换成了ThunderBird,好在用了IMAP,转换起来没有碰到太多问题。
离奇的网络风暴
公司的网络从路由到交换都是华为的设备,平时运行相对平稳,几乎不需要做什么维护。
昨天,正直公司部门某个部门更换座次,忙了一阵后,忽然发现所有的网络都不畅通了,计算机只要一插网线,CPU占用马上提升到80%以上。一看交换机状态,包括骨干交换机中所有的灯都在频闪——典型的网络风暴。
开始以为某台机器中了病毒,开始乱发包。可公司内病毒软件一直是主动更新的,这种概率不大,只能采用土办法一一排除各个交换机的问题。
运气不佳,按照顺序在最后一个交换机上发现了问题,到现场一看,差点没气疯——一根网线同插两个模块,造成交换机回路,难怪会有广播风暴!
拔掉网线,全网恢复。
- 在部分情况下,特别是在设置了比较复杂的Vlan情况下,交换机回路造成的后果可能是灾难性的。
- 一个不注意,一根网线也能要了你的命。
- 有时候运气对于处理突发事件也很重要
Virtual Server Virtual PC下Linux桌面的问题
自从微软出了自家的虚拟机软件之后,兼容性就一直遭人不齿——确实,只提供windows系列的增强驱动也确实太小家子气。公司里有一台Virtual server,即V-PC的server版,在上面装了N个Linux的发行版,几乎所有的桌面全都被搞得惨不忍睹。
琢磨了半天,硬件都是认出来的,只能说明分辨率之类的设置有问题,(Centos为例) 修改桌面配置文件/etc/X11/xorg.conf,
找到:DefaultDepth 24 改为 DefaultDepth 16 #16 bit 色深
同样的:
SubSection "Display"
Viewport 0 0
Depth 24
EndSubSection
改为:
SubSection "Display"
Viewport 0 0
Depth 16
EndSubSection
这个就是标准的640x480x16bit的标准VGA.
重起桌面,问题解决!同样的方法在V-PC上通过。
微软官网Microsoft.com安全防护趣闻
作为一个庞大的软件帝国,微软自家官方网站www.microsoft.com的经营是个非常有趣的话题,尤其是这么一个大型网络是如何在提供高速数据传输的同时保障自身安全的?Jeff Alexander近日就从微软运营小组那里获得了一些“内幕资料”,主要是关于微软是如何自己使用IIS、Windows Server 2008和防火墙的。
1、其实www.microsoft.com根本没有使用防火墙,而且今后也不会安装,因为不处理HBI数据,无需记录外部登陆情况。
2、仅仅www.microsoft.com和update.microsoft.com每天的IIS日志就有650GB,而且这还不包括每个下载服务器每小时6GB的流量。如果还有防火墙日志,那每天至少得1TB之上了。
3、5年前还没有可以满足需要的防火墙方案,所以微软把重点放在了网络、主机和应用程序的安全性上。由于这方面的工作非常成功,尽管现在已经有了非常先进的防火墙,微软也不打算采用,因为微软不相信任何防火墙可以胜任其网络流量负载:非下载流量8-9Gbps、内部网络流量约30Gbps。
4、在2006年7月之前,微软还使用NLB(网络负载平衡)系统处理负载平衡,而这种方法所需要的网络微分段更使得防火墙既昂贵又复杂。
为了保护www.microsoft.com,微软的主要措施有:
1、使用思科的Cisco Guards检测拒绝服务攻击(DoS)和自动响应。
2、使用Router ACLs关闭不必要的端口。
3、www.microsoft.com和MSDN、TechNet都使用NetScalers来抵御DoS攻击,update.microsoft.com仍然在使用NLB。
4、早在Windows Server 2008和IIS7还处于Beta测试阶段的时候www.microsoft.com就已经率先全面使用了(确切地说2007年6月12日开始使用IIS7),目前则已更新到RC版,此外MSDN、TechNet正在进行迁移,而update.microsoft.com还停留在Windows Server 2003、IIS6,何时升级尚未确定。由于Windows本身默认启动的无关服务太多,微软也按照自己公布的安全指导禁用了很大一批。
5、在发生大规模SYN攻击的时候,NLB系统会使用自动系统监视器、网络监视器来自动捕获并分析攻击。NetScalar系统目前尚未这么做,但正在利用空闲时间进行试验。
6、应用程序安全方面由ACE负责。这是一个内部小组,主要工作是应用程序威胁建模。
Solaris下安装Oracle 10 up 2
环境配置:SUN V245server,安装有最新版本的Solaris10update4 for SPARC,从www.oracle.com下载了最新版本的Oracle 10G update 2 — Linux 和windows已经可以下载到
首先,在/etc/system的末尾添加,否则,在安装的过程中将会提示“out of memory”之类的错误:
set semsys:seminfo_semmni=100
set semsys:seminfo_semmns=1024
set semsys:seminfo_semmsl=256
set semsys:seminfo_semvmx=32767
set shmsys:shminfo_shmmax=4294967295
set shmsys:shminfo_shmmin=1
set shmsys:shminfo_shmmni=100
set shmsys:shminfo_shmseg=10
解压oracle:
gzcat 10gr2_db_sol.cpio.gz | cpio -icvd
添加dba组和属于dba组的oracle用户,并创建相关的权限的目录:/opt/oracle/ 10.2.0/Db_1, /oracdata
修改oracle用户目录下的.profile文件,添加如下内容:
umask 022
TEMP=/tmp;export TEMP
TMPDIR=/tmp;export TMPDIR
ORACLE_HOME=/opt/oracle/ 10.2.0/Db_1;export ORACLE_HOME
ORACLE_BASE=/opt/oracle;export ORACLE_BASE
PATH=$ORACLE_HOME/bin:/bin:/usr/bin:/usr/ucb:/etc:/usr/openwin/bin:/usr/ccs/bin
ORACLE_SID=HSDB;export ORACLE_SID #注HSDB是我设置的数据库SID,可以根据需要设定相对应的SID
启动X界面(我的机器没有显卡,只能用Xmanger)启动安装程序:
Su oralce
windows的“关闭事件跟踪程序”
作为Windows2003强化安全性的一部分,在关闭或重启2003系统的时候会有一个“关闭事件跟踪程序”提示你记录关闭原因。
有部分盗版的2003盘——特别是市面上大多数的“拼盘”安装了win2003后不知怎么想的关闭了这个选项,具体打开的方式是:
运行“gpedit.msc”命令开启组策略设置,将计算机配置、管理模板、系统选项卡下的显示“关闭事件跟踪程序”选项设置为“已启用”即可。
该方法同样适用于XP系统。
mysql的“降级”移植
开发了一个项目,在部署时遇到了一点问题。
开发环境原本是mysql5.1,可实际部署的时候才发现服务器端的环境是mysql4.0。可mysqldump出来的数据无法直接倒入4.0,直接拷贝出来的数据,mysql4.0根本无法识别。
研究了一下mysqldump的文档,找到了一个选项“–compatible=name” 问题迎刃而解。而且这个选项竟然支持在多个环境中的平移。 选项支持mysql323, mysql40, postgresql, oracle, mssql, db2, maxdb,格式的SQL语句。
ipv6粗解
上次说过Vista已经将ipv6设置为默认,看来ipv6的部署已经迫在眉睫了,这些天我几乎从头开始,恶补了一下基础知识。
我们知道,IPv4地址是类似 A.B.C.D 的格式,它是32位,用"."分成四段,用10进制表示;而IPv6地址类似X:X:X:X:X:X:X:X的格式,它是128位的,用":"分成8段, 用16进制表示;可见,IPv6地址空间相对于IPv4地址有了极大的扩充
RFC2373中详细定义了IPv6地址,按照定义,一个完整的IPv6地址的表示法:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx
例如:2031:0000:1F1F:0000:0000:0100:11A0:ADDF
为了简化其表示法,rfc2373提出每段中前面的0可以省略,连续的0可省略为"::",但只能出现一次。例如:
1080:0:0:0:8:800:200C:417A
FF01:0:0:0:0:0:0:101
0:0:0:0:0:0:0:1
0:0:0:0:0:0:0:0
上述地址可简写为:
1080::8:800:200C:417A
FF01::101
::1
::
类似于IPv4中的CDIR表示法,IPv6用前缀来表示网络地址空间,比如:
2001:250:6000::/48 表示前缀为48位的地址空间,其后的80位可分配给网络中的主机,共有2的80次方个地址
ok,下面解释一些常见的IPv6地址或者前缀:
::/128 即0:0:0:0:0:0:0:0,只能作为尚未获得正式地址的主机的源地址,不能作为目的地址,不能分配给真实的网络接口
::1/128 即0:0:0:0:0:0:0:1,回环地址,相当于ipv4中的localhost(127.0.0.1),ping locahost可得到此地址
2001::/16 全球可聚合地址,由 IANA 按地域和ISP进行分配,是最常用的IPv6地址
2002::/16 6 to 4 地址,用于6to4自动构造隧道技术的地址
3ffe::/16 早期开始的IPv6 6bone试验网地址
注:上面三类属于单播地址,都是目前互联网上广泛应用的IPv6地址
fe80::/10 本地链路地址,用于单一链路,适用于自动配置、邻机发现等,路由器不转发
ff00::/8 组播地址
::A.B.C.D 其中<A.B.C.D>代表ipv4地址,兼容IPv4的IPv6地址。自动将IPv6包以隧道方式在IPv4网络中传送的IPv4/IPv6节点将使用这些地址
::FFFF:A.B.C.D 其中<A.B.C.D>代表ipv4地址,例如 ::ffff:202.120.2.30 ,是IPv4映射过来的IPv6地址,它是在不支持IPv6的网上用于表示IPv4节点
启用xdm协议访问远程xwindows
SecureCRT,F-Secure SSH 抑或是PUTTY等客户端工具通过ssh服务来实现Windows下管理Linux服务器的,这些客户端工具几乎不需要什么配置,使用简单,但是它们都无法启动窗口服务的程序或进程,也无法达到远程桌面控制,有两种方法可以实现远程管理Linux桌面窗口,其中一个就是是我们所选择的X显示管理器(X display manager)或者说xdm,另一个流行的解决方案是之前介绍过的vnc.
1.我们在Linux系统下,修改/etc/X11/xdm/Xaccess文件,找到下面的语句:
# *
去掉#注释,允许所有主机使用XDM协议
2.修改/etc/X11/gdm/gdm.conf文件,将其中的Enable=false 改为Enable=true 或 Enable=1。
3.修改/etc/inittab文件,确保默认init 5 启动时装载X
#id:5:initdefault:
并且将 x:5:respawn:/usr/bin/gdm –nodaemon,后面的" –nodaemon"去掉,确保启动gdm的守护程序。
4.修改/etc/X11/xdm/xdm-config,在displayManager.requestPort:0前面加上一个!号,注释掉这一选项
这样,你就可以在windows下使用xmanager这类的XDM客户端来登录Xwindows桌面了,个人觉得相比vnc,xdm速度快的多但安全性不高,适用于小范围的局域网。
“熊猫烧香”究竟在祈祷什么?
“熊猫烧香”病毒红了,在它三根香的虔诚祈祷下,不到数月便红遍了整个中国,上了CCTV,也让自己的大名摆在了瑞星,江民,金山以及各大信息安全论坛和各类电脑技术交流网站的“头版头条”,就连我们的国宝大熊猫也未曾在IT界有过这等“殊荣”,显示出一派“满城尽烧熊猫香”的壮观场景。
如果抛开法律和道德层面,单从技术角度来分析的话。“熊猫烧香”真乃我国信息安全界的一大“国宝”,从另一个角度来说,它至少让大家明白了中国网民的网络安全和反病毒的基础知识和意识有待提高,也让各大病毒厂商从自己吹捧的各项专利技术和各种“国际领先水平”的头衔中彻底醒悟了过来。拥有众多的反病毒专利技术和“国际领先水平”的杀毒软件在可爱的“熊猫”面前是如此地不堪一击,往往总是在病毒出尽了风头,危害了数十万用户之后,“专杀工具”才终于姗姗来迟。有人说是“非典”成就了如今一整套的完善卫生预警体系。那么我们可不可以类似地说,正是因为“熊猫烧香”、“威金”,“魔波”等一系列病毒,才使得脆弱的网络变得更加的坚固,才使得人们的防范意识和防范常识更加的深入人心。况且“熊猫烧香”在目前看来,并不是为了经济利益,与各种金钱至上所驱使的流氓软件,诈骗的QQ尾巴相比,或许它烧香只是为了祈祷人们更好的防范网络的安全。
“熊猫烧香”本身
“熊猫烧香”是一个传染型的DownLoad,使用Delphi编写,从技术上来说它并没有什么创新之处,却借鉴很多经典病毒,木马甚至是流氓软件的技术优点。综合成了一个拥有可爱的图标却让人闻之色变的病毒。任何一个技术单一拿出来杀毒软件都能应付,但是综合到一起这只“熊猫”却反过来让众多杀毒软件成了它“烧香”时的拜忌品。它的运行原理并不复杂,无非是“复制文件到系统目录和根目录”,” 添加注册表启动项“,“利用微软自动播放功能运行”,“针对计算机本身攻击弱口令”,“利用IE浏览器漏洞在网页文件中添加脚本代码”等等一些并不算“最新先进”的技术。但就是这些“不算最新”的技术却在全国上下揭起了一股“烧香”热潮。由此说明,我们有大部分网民缺乏最基本的网络安全防范知识,也缺少良好的上网习惯。如果用户能及早打好系统补丁,为系统管理帐户设置复杂无规律的密码,关掉一些不需用到却存在安全隐患(如139,445等)的端口,,同时关闭非“系统必须”的“自动播放”功能。对.gho 的系统备份文件设置为“只读”,那么“熊猫烧香”也不至于流传这么广,这么快,也不至于很多企事业单位整个局域网电脑都集体“烧香”
再来看看我们的各大杀毒软件厂商
在这个“金钱至上”的年代,“熊猫烧香”成了众杀毒软件的卖点,或者说成了它促销的一个工具,自身的反病毒技术没有突破性的进步,却大肆鼓吹用户升级病毒库去购买正版,鼓吹企业购买企业版网络级杀毒软件。结果是:“熊猫烧香”流行了,用户受损失了,而杀毒软件厂商却笑了:“今年的利润指标可以提前完成了……”防病毒厂商受经济利益所驱使的升级鼓吹,在这只可爱的熊猫图标面前终于漏出了本来的面目。
最后来谈谈“熊猫烧香”的主人-病毒的作者
单从技术角度而言,可称得上是一个真正的顶级黑客,对网络,系统,程序设计等知识的综合运用已达到炉火纯青。与此相对比的是,很多无知的人整天开着别人开发出来的扫描工具,一阵乱扫,偶尔扫到了一二个漏洞,控制了一二台肉鸡或破坏了某网站上的一二个网页,就在论坛上高调的宣扬自己的“战果”,动不动就以黑客自居。更有甚者,为了宣扬自己在“网络江湖”中的威望,弄出一大堆的“黑客排行榜”或“顶级黑客一览表”来,然后把自己也位列其中……我想这类人在“熊猫烧香”的技术含量面前应该感到汗颜和反思。
后记:据说“熊猫烧香”的作者决定以后不再对它进行更新了。至于“熊猫”虔诚地“烧香”所代表真正含义,或许只有它的作者知道,或许是在祈祷,或许……如果还有或许的话…
近期评论