Mar 20
    昨天提到,当想在Web页面上去调用一个需要root权限的命令时,可以使用赋予脚本suid权限,并且交换euid和uid的方式来解决。但现在又遇到一个新问题,httpd服务器与需执行的root权限命令并不在一台服务器上。也就是说,需要从Web页面上调用一个远程服务器上的需root权限的系统命令。这可是一个让人头疼的问题。
Tags: ,
Mar 19
    为了安全保护,apache默认的编译选项是不支持root作为其服务运行的用户的,而应使用apache用户来运行。但在某些情况下,我们确实有这样的需求,如:编写了某个CGI程序,其中需要调用/sbin下的命令,挂载某个设备文件、修改iptables参数等。下面我们利用suid权限来解决,提供两个方法。
(注意,一旦给脚本赋予suid权限,让apache可运行root权限的程序时,务必做好安全检查,特别是由客户端输入的信息。)
Tags:
Mar 8
    默认情况下,Apache 只允许在cgi-bin目录下执行 CGI 程序,而不像lighttpd等可以全目录下运行。但有时候为了方便使用或调试,我们希望全部目录都能执行CGI。下面是解决方法。
Tags: ,
Feb 23
    原来有台服务器Host系统用的是红旗Asianux 3.0 for x86_64,运行Vmware Server 2.0 release提供虚拟环境,用于软件的测试。使用时间长了,总觉得使用上很不习惯,Vmware Server 2.0只提供基于浏览器的Web管理操作,调整配置很不方便,远程控制也麻烦。(我没找到2.0支持像GSX Server,用Console连接902端口的方式,其官方网站上说是不提供的)。因机器不多,Host系统又不能改动。没有办法,我只能降回到Vmware Sever 1.0.x上使用。
    升级容易,降级就麻烦多了。原来2.0上的虚拟机环境,创建时默认就是用Vmware Hardware Version 7的版本(新建虚拟机时可以选择),而1.x只支持到Hardware Version 5。我不可能放弃原来大量的虚拟机,重建的工作量太大了。为此,必须想办法把HW Version降级。可惜,官方似乎也没有提供类似的工具。不过,经过测试,成功了,而且发现方法还是挺多的。
Tags:
Feb 17
    某项目上的业务系统同时运行了ftp、ssh、telnet等服务,也为各个服务增加了不少的用户。这就涉及到一些安全问题,有些用户只允许登陆ftp传输数据,但要禁用telnet远程登陆服务的;而另一些用户刚好相反,只能telnet,而不能使用ftp(这里不包括scp传输文件的情况)。现需根据实际的情况,对某些用户进行限制。
Tags:
Feb 12
    OpenVZ是我一直在使用的虚拟机软件,之前曾介绍过基于Web管理的Vtonf工具。Vtonf部署和管理都比较方便,适合单台服务器的环境。而今天我要介绍的工具,也是基于Web管理OpenVZ的,名称叫:HyperVM。它是一个支持多平台、Xen/OpenVZ虚拟、多服务器集群的管理平台环境,特别适合于对大规模的虚拟机进行统一管理。
Tags: , ,
Feb 6
    互联网是不安全的。在利用互联网便利的同时,我们需要特别小心,特别是现在的搜索引擎可是会到处钻哦,要做好防止数据被盗用的准备。如果你也像我一样,想对某个域、目录或页面进行密码保护,下面就告诉你在Lighttpd下是如何进行的。
Tags: ,
Feb 4
    OpenVZ真的非常好用,配合上GUI的图形管理很方便,效率也相当好。使用时间长了,一直有个问题困扰着我,就是如何把一些部署在物理服务器上的系统(简称物理系统)搬入OpenVZ中呢?
    OpenVZ默认只提供了几个简单的centos、fedora的模板,虽然官方网站上也提供了大量precreated(预创建)的各种系统模板供使用,但毕竟这些template(模板)都是别人创建的。以前,我就曾写过:[原]创建VPS OS模板的文章,告诉大家如何创建自己的模板。但这还不能满足我的要求,试想想,如果物理系统上已经部署了大量的应用,重新在VPS里面部署、迁移数据,这工作量将是非常庞大的。OpenVZ本身似乎没有提供这样的迁移工具。
    经过查询相关资料,我终于实现了从物理系统到VPS的迁移工作。以下步骤,适用于部署在实际物理服务器上,或VMware、VirtualBox、Xen等虚拟环境中,而物理系统为红旗DC Server 5.0/Asianux 3.0,Centos/RedHat 4.0/5.0,Fedora 7.0/8.0/9.0等操作系统的环境。其余发行版也可参考类似的步骤进行,但因各发行版对配置文件的定义有所差异,需要根据各自的情况进行改动。Debian系列的系统,可以参考底下附录部分的文章处理。
Tags: ,
Feb 3
    前段时间服务器硬盘坏了,导致提供镜像下载的服务终止,年前硬件虽修好。但发现提供下载的FTP配置丢失,重新配置比较麻烦。又考虑到原提供FTP下载时,存在不少的弊端,特别是暴力破解攻击的问题很严重,导致系统日志不正常的暴涨,故决定直接提供http链接算了。我一直觉得lighttpd是相当不错的Web服务端软件,特别是对于静态文件的处理效率相当高,资源占用很少。实际使用中,需解决的几个问题是:
引用
1、限速,毕竟网速有限,可不能因为下载把所有的带宽都用完了;
2、可分析来源地址,由于网络架构前端用的是Squid 2.6做反向代理,客户访问后端的服务器时默认只记录了前端的IP,这给分析访问的客户信息带来麻烦。
3、lighttpd自带简单的状态监控工具,激活它吧。

基础配置部分就不再说明了,请搜索我之前的日志吧。以上问题解决并不复杂,提及一些重要部分即可。
Tags: ,
Feb 2
    我们都知道,使用yum可以简化系统软件更新的工作。为了保证更新的持续进行,通常都会提供多个mirror(镜像)地址供下载使用,但由于存在地域问题,从不同的镜像下载速度差异很大。选择从适合的镜像下载软件包,会极大的影响更新速度。以CentOS为例,可使用一个叫fastestmirror的插件,让yum在更新时先根据ping值进行判断,然后从最快响应的地址下载。
Tags:
Feb 1
    整理资料时,从旧文档中找到的一幅,关于iptables对数据包进行处理的流程图,供大家参考:
点击在新窗口中浏览此图片
Tags:
Jan 8
    有客户咨询,想修改客户端登陆到telnet服务器上时显示的信息。这涉及到/etc/issue.net和/etc/motd两个文件。
Tags:
分页: 8/15 第一页 上页 3 4 5 6 7 8 9 10 11 12 下页 最后页 [ 显示模式: 摘要 | 列表 ]