六月 14th, 2006
在一台主機上,有兩張網卡,每張網卡都有一個實體ip、各有申請到DNS,這台server要做兩個不同功能的web server,當網卡都設定好後,要改apache設定才能讓兩個不同通路進來的根目錄不同。
在/etc/httpd/conf/httpd.conf加入以下內容:
一、設兩個ip都讓apache都會監聽,關掉Listen 80
- Listen ip1:80
- Listen ip2:80
二、設定目錄的權限
- Options none
- AllowOverride none
-
- Options Indexes FollowSymLinks MultiViews
- AllowOverride All
-
- Options Indexes FollowSymLinks MultiViews
- AllowOverride All
三設定ip對應的目錄
- NameVirtualHost IP1
-
- ServerName domain name1
- DocumentRoot 路徑1
- ErrorLog errorlog路徑1
- TransferLog accesslog路徑1
-
- NameVirtualHost IP2
-
- ServerName domain name2
- DocumentRoot 路徑2
- ErrorLog errorlog路徑2
- TransferLog accesslog路徑2
二月 17th, 2006
在找資料的時候一直看到這個,不曉得用起來怎樣~~過兩天來裝看看
台灣php聯盟
【轉貼】XAMPP整合式網路伺服器
在許多朋友的經驗中,安裝 Apache 網頁伺服器並不是那麼容易,更別說是還要安裝 MySQL、PHP與Perl。
XAMPP 是一個容易安裝的 Apache 套件,包含 MySQL、PHP與Perl。XAMPP 的安裝非常容易,只要下載、解壓縮然後就可以開始。
目前 XAMPP 有四種版本:
* XAMPP Linux版
為 LINUX 系統打造的版本 (在 SuSE、RedHat、Mandrake與Debian測試過) 包含: Apache、MySQL、PHP與PEAR、Perl、ProFTPD、phpMyAdmin、OpenSSL、GD、Freetype2、libjpeg、libpng、gdbm、zlib、expat、Sablotron、libxml、Ming、Webalizer、pdf物件、ncurses、mod_perl、FreeTDS、gettext、mcrypt、mhash、eAccelerator、SQLite與IMAP C-Client。
* XAMP Windows版
這個版本是為 Windows 98、NT、2000與XP打造,包含: Apache、MySQL、PHP + PEAR、Perl、mod_php、mod_perl、mod_ssl、OpenSSL、phpMyAdmin、Webalizer、Mercury 郵件傳輸系統v3.32的Win32 與 NetWare 版本、JpGraph、FileZilla FTP Server、mcrypt、eAccelerator、SQLite與WEB-DAV + mod_auth_mysql。
* XAMPP Mac OS X版
這個版本是為 Mac OS X 打造,包含: Apache、MySQL、PHP & PEAR、SQLite、Perl、ProFTPD、phpMyAdmin、OpenSSL、GD、Freetype2、libjpeg、libpng、zlib、Ming、Webalizer、mod_perl、eAccelerator、phpSQLiteAdmin。
警告: 這個版本還在初步開發當中,風險需要自行承擔。
* XAMPP Solaris 版
這個版本是為 Solaris 打造 (在 Solaris 8 開發與測試,也在 Solaris 9 測試過),包含: Apache、MySQL、PHP & PEAR、Perl、ProFTPD、phpMyAdmin、OpenSSL、Freetype2、libjpeg、libpng、zlib、expat、Ming、Webalizer、pdf物件。
警告: 這個版本還在初步開發當中,風險需要自行承擔。
* XAMPP 是免費的
我們不喜歡訂價過高的商業軟體,XAMPP 是我們展示自由軟體沒那麼差的企圖。
* 容易安裝與移除
要安裝 XAMPP ,您只需要下載與解壓縮檔案,就這樣。程式不會異動 Windows 的登錄檔案 (不過如果使用XAMPP的Windows安裝程式例外),而且不需要去編輯任何設定檔案。這再容易不過了!
要確認 XAMPP 是否正常運作,程式包含了一些範例程式,有一個搜集CD的小程式 (使用 PHP 與 MySQL設計) 與一個小留言板 (使用 Perl 設計) 與一些其他展示工具。
如果您認為不再需要 XAMPP ,只要將 XAMPP 的資料夾整個刪除就好了!
* 程式的哲學
在 XAMPP 背後的哲學是建立一個容易安裝的套件,讓開發者能夠進入 Apache 的世界。為了讓開發者更方便, XAMPP 預設將所有功能開啟。
預設值在安全的角度看來並不是那麼好,對於一個實際運作的環境而言還不夠安全,請不要將 XAMPP 運用在這種環境!
不過從 LAMPP 0.9.5 版本開始,您可以透過執行»/opt/lampp/lampp security«來提升系統的安全性。
* 授權方式
XAMPP 是一個自由軟體 (與 Linux 套件相同),不需要付費而且在GPL的授權下可以任意複製。不過這只是針對 XAMPP 這個環境,請記得確認包含在其中的個別程式來了解能夠做到什麼程度。
至於商業用途的使用者請記得看清楚產品授權(特別是 MySQL),從 XAMPP 的觀點看來商業應用也應該是免費的。
* 保證
這個程式的發展是希望成為有用的工具,但是不提供任何擔保;無論是對銷量或健康等特定用途的一絲絲擔保都沒有!« (細節請參考GPL授權)
四月 26th, 2005
如何構建一個入門級入侵檢測系統
作者: http://www.letjoin.com/ 發文時間:2004.12.15
相關鏈結:
手把手配置Linux透明防火牆
防火牆之父十六年悟出安全之”道”
通常來說,一個企業或機構準備進軍此領域時,往往選擇從基於網路的IDS入手,因為網上有很多這方面的開放源代碼和資料,實現起來比較容易,並且,基於網路的IDS適應能力強。有了簡單網路IDS的開發經驗,再向基於主機的IDS、分散式IDS、智慧IDS等方面邁進的難度就小了很多。在此,筆者將以基於網路的IDS為例,介紹典型的IDS開發思路。
根據CIDF規範,我們從功能上將入侵檢測系統劃分為四個基本部分:資料獲取子系統、資料分析子系統、控制臺子系統、資料庫管理子系統,如附圖所示。
具體實現起來,一般都將資料獲取子系統(又稱探測器)和資料分析子系統在Linux或Unix平臺上實現,我們稱之為資料獲取分析中心;將控制臺子系統在Windows NT或2000上實現,資料庫管理子系統基於Access或其他功能更強大的資料庫,多跟控制臺子系統結合在一起,我們稱之為控制管理中心。本文以Linux和Windows NT平臺為例介紹資料獲取分析中心和控制管理中心的實現。
可以按照如下步驟構建一個基本的入侵檢測系統。
第一步 獲取libpcap和tcpdump
審計蹤跡是IDS的資料來源,而資料獲取機制是實現IDS的基礎,否則,巧婦難為無米之炊,入侵檢測就無從談起。資料獲取子系統位於IDS的最底層,其主要目的是從網路環境中獲取事件,並向其他部分提供事件。目前比較流行的做法是:使用libpcap和tcpdump,將網卡置於“混雜”模式,捕獲某個網段上所有的資料流程。
libpcap是Unix或Linux從內核捕獲網路資料包的必備工具,它是獨立於系統的API介面,為底層網路監控提供了一個可移植的框架,可用於網路統計收集、安全監控、網路調試等應用。
tcpdump是用於網路監控的工具,可能是Unix上最著名的sniffer了,它的實現基於libpcap介面,通過應用布林運算式列印資料包首部,具體執行過濾轉換、包獲取和包顯示等功能。tcpdump可以幫助我們描述系統的正常行為,並最終識別出那些不正常的行為,當然,它只是有益於收集關於某網段上的資料流程(網路流類型、連接等)資訊,至於分析網路活動是否正常,那是程式師和管理員所要做的工作。
libpcap和tcpdump在網上廣為流傳,開發者可以到相關網站下載。
第二步 構建並配置探測器,實現資料獲取功能
1. 應根據自己網路的具體情況,選用合適的軟體及硬體設備,如果你的網路資料流程量很小,用一般的PC機安裝Linux即可,如果所監控的網路流量非常大,則需要用一台性能較高的機器。
2. 在Linux伺服器上開出一個日誌分區,用於採集資料的存儲。
3. 創建libpcap庫。從網上下載的通常都是libpcap.tar.z的壓縮包,所以,應先將其解壓縮、解包,然後執行配置腳本,創建適合於自己系統環境的Makefile,再用make命令創建libpcap庫。libpcap安裝完畢之後,將生成一個libpcap庫、三個include檔和一個man頁面(即用戶手冊)。
4. 創建tcpdump。與創建libpcap的過程一樣,先將壓縮包解壓縮、解包到與libpcap相同的父目錄下,然後配置、安裝tcpdump。
如果配置、創建、安裝等操作一切正常的話,到這裏,系統已經能夠收集到網路資料流程了。至於如何使用libpcap和tcpdump,還需要參考相關的用戶手冊。
第三步 建立資料分析模組
網上有一些開放源代碼的資料分析套裝軟體,這給我們構建資料分析模組提供了一定的便利條件,但這些“免費的午餐”一般都有很大的局限性,要開發一個真正功能強大、實用的IDS,通常都需要開發者自己動手動腦設計資料分析模組,而這往往也是整個IDS的工作重點。
資料分析模組相當於IDS的大腦,它必須具備高度的“智慧”和“判斷能力”。所以,在設計此模組之前,開發者需要對各種網路協定、系統漏洞、攻擊手法、可疑行為等有一個很清晰、深入的研究,然後制訂相應的安全規則庫和安全策略,再分別建立濫用檢測模型和異常檢測模型,讓機器類比自己的分析過程,識別確知特徵的攻擊和異常行為,最後將分析結果形成報警消息,發送給控制管理中心。
設計資料分析模組的工作量浩大,並且,考慮到“道高一尺,魔高一丈”的駭客手法日益翻新,所以,這註定是一個沒有終點的過程,需要不斷地更新、升級、完善。在這裏需要特別注意三個問題:
① 應優化檢測模型和演算法的設計,確保系統的執行效率;
② 安全規則的制訂要充分考慮包容性和可擴展性,以提高系統的伸縮性;
③ 報警消息要遵循特定的標準格式,增強其共用與互操作能力,切忌隨意制訂消息格式的不規範做法。
第四步 構建控制臺子系統
控制臺子系統負責向網路管理員彙報各種網路違規行為,並由管理員對一些惡意行為採取行動(如阻斷、跟蹤等)。由於Linux或Unix平臺在支援介面操作方面遠不如常用的Windows產品流行,所以,為了把IDS做成一個通用、易用的系統,筆者建議將控制臺子系統在Windows系列平臺上實現。
控制臺子系統的主要任務有兩個:
① 管理資料獲取分析中心,以友好、便於查詢的方式顯示資料獲取分析中心發送過來的警報消息;
② 根據安全策略進行一系列的回應動作,以阻止非法行為,確保網路的安全。
控制臺子系統的設計重點是:警報資訊查詢、探測器管理、規則管理及用戶管理。
1.警報資訊查詢:網路管理員可以使用單一條件或複合條件進行查詢,當警報資訊數量龐大、來源廣泛的時候,系統需要對警報資訊按照危險等級進行分類,從而突出顯示網路管理員需要的最重要資訊。
2.探測器管理:控制臺可以一次管理多個探測器(包括啟動、停止、配置、查看運行狀態等),查詢各個網段的安全狀況,針對不同情況制訂相應的安全規則。
3.規則庫管理功能:為用戶提供一個根據不同網段具體情況靈活配置安全策略的工具,如一次定制可應用於多個探測器、默認安全規則等。
4.用戶管理:對用戶許可權進行嚴格的定義,提供口令修改、添加用戶、刪除用戶、用戶許可權配置等功能,有效保護系統使用的安全性。
第五步 構建資料庫管理子系統
一個好的入侵檢測系統不僅僅應當為管理員提供即時、豐富的警報資訊,還應詳細地記錄現場資料,以便於日後需要取證時重建某些網路事件。
資料庫管理子系統的前端程式通常與控制臺子系統集成在一起,用Access或其他資料庫存儲警報資訊和其他資料。該模組的資料來源有兩個:
① 資料分析子系統發來的報警資訊及其他重要資訊;
② 管理員經過條件查詢後對查詢結果處理所得的資料,如生成的本地檔、格式報表等。
第六步 聯調,一個基本的IDS搭建完畢
以上幾步完成之後,一個IDS的最基本框架已被實現。但要使這個IDS順利地運轉起來,還需要保持各個部分之間安全、順暢地通信和交互,這就是聯調工作所要解決的問題。
首先,要實現資料獲取分析中心和控制管理中心之間的通信,二者之間是雙向的通信。控制管理中心顯示、整理資料獲取分析中心發送過來的分析結果及其他資訊,資料獲取分析中心接收控制管理中心發來的配置、管理等命令。注意確保這二者之間通信的安全性,最好對通信資料流程進行加密操作,以防止被竊聽或篡改。同時,控制管理中心的控制臺子系統和資料庫子系統之間也有大量的交互操作,如警報資訊查詢、網路事件重建等。
聯調通過之後,一個基本的IDS就搭建完畢。後面要做的就是不斷完善各部分功能,尤其是提高系統的檢測能力。
相關鏈結:
手把手配置Linux透明防火牆
防火牆之父十六年悟出安全之”道”
http://tech.ccidnet.com/pub/article/c1099_a190223_p1.html
十一月 16th, 2004
1.apt-get install nvidia-glx-src nvidia-kernel-src
安裝 nvidia 必要的 source package
2.apt-get install wget xlibs-dev
因為 source package 還會去 maintainer 那抓檔, 所以 wget 也要裝一下. xlibs-dev 是一些 x 的 library.
3.cd /usr/src
4.tar xzvf Nvdia*.tar.gz
回來的檔案會放在 /usr/src, 請您解開他們.
5.cd /usr/src/linux
到你的kernel目錄去
6.make-kpkg modules_image
如果您還未 compile 過您自己專屬的 kernel or update it, 請參考 手動編譯 kernel 一節。
7.cd /usr/src
8.dpkg -i nvidia-kernel-KERNELVersion.dev
此時會產生 nvidia 的 deb 檔, 請用 dpkg -i 安裝.
9.cd /usr/src/nvidia-glx-1.0.2802/
10.dpkg-buildpackage -us -uc
進入另一個 nvidia-glx 的目錄, 產生我們要的 deb 檔.
11.cd /usr/src
12.pkg -i nvidia-glx-1.0.2802-1_i386.deb
用 dpkg -i 安裝產生出的 deb 檔.
13.dpkg-reconfigure xserver-xfree86
此時, 應該就有 Nvidia 的晶片可以選
十一月 16th, 2004
以水平的觀點來看 Debian 特有的三大族群制度:stable、testing、unstable
stable:這是 Debian 對外發行的版本,這個版本的最大特色就是穩定,但相對的各個軟體套件則通常不是最新版。這個版本適用在最需要穩定的 Server 架設環境,所安裝軟體較少也較為固定。
testing :『 testing 』 雖名為測試版,實則已經相當接近於 『 stable 』 版本的程度,這個版本的軟體多半是在 『 unstable 』 中經由維護、開發人員不斷的測試之後流入,所以在某種程度來說,其實已經做過初步的檢測,這裡頭的軟體大多也是相當穩定的,而且個軟體套件也都會比 『 stable 』 裡頭的新,不過以軟體總量來說則比上 『 stable 』 及 『 unstable 』 中來的完整、來的多。如果想把 Debian 拿來當作 Desktop 平台,『 testing 』 是個很不錯的選擇。
unstable:『 unstable 』這裡頭最大的特色就是軟體更新速度快,幾乎都與該軟體同步,因為太新相對的使用 『 unstable 』 的人也必須承擔更高的風險,有時候您可能會遭遇到一早更新完所有軟體後,發現有些軟體不能正常運作的狀況,不過慶幸的是這種情形大概只會持續一兩天左右,因為我說過 『 unstable 』 的特色就是更新速度快,一旦有人回報問題,維護的人很快就會作修正。如果你喜歡 『 玩 』 軟體,如果你不在乎有時候系統有出現一些 truobles,那趕快試試這個版本吧!
以垂直的觀點來看 Debian 軟體的分佈:main、contrib、non-free、non-us
所謂 『 Free Software 』 原意應為 『 自由軟體 』,而非 『 免費軟體 』,何謂自由?就是你可以對該軟體做任何你想做的事情,例如:你可以使用、修改..甚至販賣它。這些都是自由軟體的特色之一,但是自由軟體是不是就沒有版權了呢?其實不然,它們或多或少都會宣告成幾種特殊的版權發行,最常見的有下列三種:
GNU General Public License (GPL) - ( http://www.gnu.org/copyleft/gpl.html )
Artistic License ( http://language.perl.com/misc/Artistic.html )
BSD style license ( http://www.debian.org/misc/bsd.license)
其中以 GPL 運用最廣, BSD License 最有彈性,版權問題並不在本篇文章的討論之列,法律也不是筆者的專長,有興趣的朋友請直接前往相關網址研究。
由於 Debian 對 『 Free 』 純度的堅持,但是有時候有些軟體雖然不為自由軟體,但卻相當的著名,例如: Mozilla ,這樣的情況讓 Debian 陷入兩難,於是 Debian 對於旗下所有軟體套件 ( Packages ) 進行分類,底下就是 Debian Packages 的主要分類項目:
main:Debian distribution 最基本及主要且符合自由軟體規範的軟體 ( packages )。
contrib:這裡頭軟體雖然可以在 Debian 裡頭運作,即使本身屬於自由軟體但多半卻是相依於非自由 ( non-free ) 軟體。
non-free:不屬於自由軟體範疇的軟體。
non-us:這個分類裡頭的軟體都來自非美國地區,當中可能有牽扯到專利、加密..等等問題。
十月 18th, 2004
首先需要準備一台支援Apache、PHP及MySQL的Web Server,使用RPM安裝或是tarball安裝都可以,如果需要管理方便的話最好加上phpMyAdmin(或是Webmin)比較好,這樣管理資料庫的時候會方便許多。再來就是要安裝”ImageMagick”,這是可以幫助電子相簿自動產生縮圖的軟體,一定要裝上這個才可以使用 Coppermine。下載rpm下來後直接輸入rpm -ivh 檔名.rpm,就可以安裝了。
相關連結:ImageMagick官方網站
接下來就是安裝Coppermine,直接解壓縮後就可以用,要注意的是,需要考慮到相簿空間容量夠不夠,一般我都是切10g的空間直接給Coppermine,才能放大量的相片。
相關連結:Coppermine官方網站
安裝完後要做設定囉,首先要先在MySql建立一個叫做CPG的資料庫,其他什麼都不用動,再將Apache的根目錄直接指到剛才 Coppermine解壓後放的目錄裡,到httpd.conf裡設定,DocumentRoot “/www/photo/cpg/”,改好後將apache restart,輸入”http://你的網址/”就可以開始設定Coppermine。
進入後首先會看到要填一堆資料,一定要設定完成才能使用。
- Your admin account是給Coppermine一組管理者的帳號及密碼。<br />
- Your MySQL configuration是設定MySql的一些資訊。<br />
- MySQL Host一般都是設定Localhost就可以了,所以可以不用管他。<br />
- MySQL Database Name輸入剛才建立的資料庫名稱,這裡我們輸入CPG。<br />
- MySQL Username輸入MySQL的帳號<br />
- MySQL Password輸入MySQL的密碼<br />
- MySQL table prefix這是問你要替資料表取什麼名字,一般用預設的就可以了。<br />
- ImageMagick path這是剛才安裝的軟體,要找出來下列叫做'convert'的路徑輸入就可以了。 一般都是裝在/usr/bin/底下,所以只要輸入"/usr/bin/"就可以了。設定完後按Let's Go就可使用囉。