19 Jul 10 https 設定
環境:Centos 5.4
1.安裝 mod_ssl ,讓 apache 有 ssl 模組
2.原本 Virtual host 中 NameVirtualHost * 改成 NameVirtualHost *:80 ,原本 Vhost 中的設定也都加上 *:80 另外多加上 NameVirtualHost *:443 。
3.指定 Virtual host SSL 參數
SSLEngine on ServerName ssh.tw SSLCertificateFile /etc/ssl/server.crt SSLCertificateKeyFile /etc/ssl/lenovoclub/server.key SSLCACertificateFile /etc/ssl/intermediate.crt DocumentRoot /home/ssh.tw/htdocs ServerSignature Off
SSLCertificateKeyFile 是當初建立的 Key , 用此 Key 建立好 csr 檔案。利用 csr 檔案到 ssl 公司產生 crt 檔案
SSLCertificateFile 產生回來的 crt 檔案
SSLCACertificateFile 是到申請 ssl 地方下載,
重新啟動 apache 。
03 Nov 09 Links 2009.10.03
Linux Security
02 Nov 09 限制登入 sshd server
過幾天要去高雄旅遊,為了讓外面 nb 能登入自家機器,做了一些登入 ssh server 限制。
特定帳號登入
/etc/ssh/sshd_config
AllowUsers xxxx_user
只用建立好的 auth key 登入
/etc/ssh/sshd_config
PasswordAuthentication no
Client 端請先用 ssh-copy-id 建立 auth key
限定 ip 登入
# 中華電信股份有限公司 EMOME-NET 2008-06-09 114.136.0.0 - 114.137.255.255 512 # 中華電信股份有限公司 EMOME-NET 2001-01-12 211.79.32.0 - 211.79.47.255 16 # 中華電信股份有限公司 EMOME-NET 2009-06-10 111.80.0.0 - 111.83.255.255 1024 # 中華電信股份有限公司 EMOME-NET 2003-05-29 221.120.0.0 - 221.120.95.255 96 # 中華電信股份有限公司 EMOME-NET 2009-06-10 111.70.0.0 - 111.71.255.255 512 # 中華電信股份有限公司 EMOME-NET 2007-04-03 116.59.0.0 - 116.59.255.255 256
中華電線 emome-net 清單,用 /etc/hosts.allow 或者 iptables 設定,允許這些IP可登入 ssh server
重新啟動 sshd server 以及 iptables
links:
Tawain IP list
14 Nov 07 [雜談] 網頁程式安全性
這兩天遇到和網頁程式安全性有關的事情,順便紀錄一下,提醒自己。
(more…)
14 Nov 07 [Apahce] 禁止外部連結圖片
環境:apache2
設定 .htaccess 或者 httpd.conf 內:
SetEnvIfNoCase Referer “^http://photo\.ssh\.tw/” ref=1
SetEnvIfNoCase Referer “^http://blog\.ssh\.tw/” ref=1<FilesMatch “\.(jpg|gif|png)$”>
Order allow,deny
Allow from env=ref
</FilesMatch>
重新啟動 apache2 完成。
Powered by ScribeFire.
14 Sep 07 [Ubuntu] 安裝 Webmin
對於不熟 Linux 系統來說,使用 Webmin 管理系統也是一種方法,至少不用指令方式。
環境: Ubuntu 7.04 Server
1.請到 Webmin 下載網頁下載 .deb 檔案
2.安裝 Webmin
sudo dpkg -i webmin.xxx.deb
3.啟動 webmin
sudo /etc/init.d/webmin start
4.使用 webmin
https://webmin:10000
5.設定 Firewall
請利用 iptables 設定限止特定 IP 才能連線。
iptables -A INPUT -i eth0 -p tcp –dport 10000 -s 192.168.1.1 -j ACCEPT
iptables -A INPUT -i eth0 -p udp –dport 10000 -s 192.168.1.1 -j ACCEPT
使用 Webmin 是一種方便工具,但是若要真的要瞭解管理,基本功夫還是要有,才不會淪落到只會某單一工具管理者。
22 Jun 07 WinXP 關閉 Autorun 功能
現在隨身碟流行,難免病毒會透過隨身碟散佈,所以選擇有防寫功能的隨身碟是必要的。
而 WinXP 部分可以關閉 Autorun 功能,避免執行到隨身碟 Autorun 的病毒。
請在執行地方輸入
gpedit.msc -> 群組原則 -> 電腦設定 -> 系統管理範本 -> 系統 -> 關閉自動播放
選擇已啟動,並選擇停用所有磁碟機。
若你的系統沒有 gpedit.msc 指令,例如 Windows XP Home,改用 regedit 處理。
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
請將 值改成255 ,並請重新開機,一樣可以關掉所有磁碟機 autorun 功能。
27 Apr 07 病毒事件
某機構全辦公室中毒,原因是防毒軟體本身中了 QQRob 變種,整個過程可以參考這裡。
到底是如何傳染到防毒軟體,可能有待查證,而這樣的問題也考驗 MIS 的能力,整件事處理過程中,其實已經知道問題點,但是沒把源頭先切除掉,解救再多的電腦也是沒有用。
中央型控管的好處是可以大量更新軟體以及使用者設定,尤其面對大量的電腦的環境可以很有效管理。所以維護最源頭是最需要注意,不然會造成一發不可收拾的狀況。至少目前看起來是已經癱瘓該機構一天時間,還會不會有延續到二三天,另一方面也請防毒軟體公司處理,後續看防毒軟體公司怎麼處理。
18 Apr 07 Sysinternals 工具軟體
Sysinternals 公司去年被 Microsoft 買下來,所以若要找相關工具可以到
http://www.microsoft.com/technet/sysinternals/default.mspx
紀錄一下一些好用的工具。
按照字面上解釋,大致上可以了解這些程式功能,而且都不需安裝就可以用。
通常可以用來找木馬,病毒之類,可以判斷哪些程式出了問題。
當然還有一些好用的,有興趣的人可以挖看看。
Powered by ScribeFire.
08 Mar 07 2007-3-8 Links
- 整合 PHP 及 Perl
- sshguard: Protection for OpenSSH
- Quick Fix: Install Win32 Codecs in Ubuntu Linux
蠻有用的資訊,讓 PHP 呼叫 Perl 的程式。
對於每天被 try ssh 帳號的,可以安裝看看,看一下原理是對應 auth.log 內容,最後用 iptables 擋掉。
紀錄一下實際 Win32 Codecs 下載位置。
Google AdSense
