存档

文章标签 ‘服务器安全’

隐藏Apache的版本号及其它敏感信息

2014年9月23日 没有评论

隐藏Apache的版本号及其它敏感信息
默认情况下,很多Apache安装时会显示版本号及操作系统版本,甚至会显示服务器上安装的是什么样的Apache模块。这些信息可以为黑客所用,并且黑客还可以从中得知你所配置的服务器上的很多设置都是默认状态。
这里有两条语句,你需要添加到你的httpd.conf文件中:
ServerSignature Off
ServerTokens Prod
ServerSignature出现在Apache所产生的像404页面、目录列表等页面的底部。ServerTokens目录被用来判断Apache会在Server HTTP响应包的头部填充什么信息。如果把ServerTokens设为Prod,那么HTTP响应包头就会被设置成:
Server:Apache

PhpStudy开启Apache的gzip压缩功能

2014年9月10日 没有评论

PhpStudy是一款非常方便的搭建PHP动态网站或者服务器的国产集成软件包,包含apache、mysql、php等。可以到其官方网站查看并且下载。
注意这里的PhpStudy是Apache+php解决方案,另外一个PhpFind是Nginx+php解决方案。由于Apache的使用较多些,以下的所有示例均是针对Apache,当然,只要是Apache,不管是自己独立安装,还是选择象我这样的懒人方式,集成式一键安装。配置均相同。
gzip是GNUzip的缩写,它是一个GNU自由软件的文件压缩程序。当服务器开启gzip压缩功能以后,当有人访问服务器的网站时,服务器将网页内容压缩后传输到来访的电脑浏览器,浏览器进行解压再显示出来。一般对纯文本内容可压缩到原大小的70%甚至更高。
以前介绍过如何开启SAE的gzip压缩功能,以及Typecho的gzip压缩,另外还有tomcat的gzip的压缩。本文主要讲述如何开启Apache的gzip压缩功能。
要让apache支持gzip功能,要用到deflate_Module和headers_Module。打开apache的配置文件httpd.conf,大约在105行左右,找到以下两行内容:(这两行不是连续在一起的)

1
2
#LoadModule deflate_module modules/mod_deflate.so   
#LoadModule headers_module modules/mod_headers.so

然后将其前面的“#”注释删掉,表示开启gzip压缩功能。开启以后还需要进行相关配置。在httpd.conf文件的最后添加以下内容即可:

1
2
3
4
<IfModule deflate_module>  
    #必须的,就像一个开关一样,告诉apache对传输到浏览器的内容进行压缩   
    SetOutputFilter DEFLATE   
</IfModule>

最少需要加上以上内容,才可以生gzip功能生效。由于没有做其它的额外配置,所以其它相关的配置均使用Apache的默认设置。这里说一下参数“DeflateCompressionLevel”,它表示压缩级别,值从1到9,值越大表示压缩的越厉害。
注意,这里要强调一个地方,我是通过搜索引擎找到相关文章进行设置的,而这些文章可能是来回复制的,有错误都不知道,如果你也按照那些做法去做,八层是出错,直接Apache都启动不了。究其原因,主要是有个参数不匹配。在上面去掉注释的“#”,即:

1
LoadModule deflate_module modules/mod_deflate.so

这里以后会用到中间的名称,即deflate_module。后续开启gzip压缩中要使用该名称,即:

1
2
3
4
<IfModule deflate_module>  
      ......   
      ......   
</IfModule>

这两个deflate_module必须一致。网络上其它很多文章,都是不一致的,所以直接报错。
下面是另一个典型配置,供参考。这里不建议将图片视频等多媒体文件进行gzip压缩,一般只压缩纯文本格式的文件,如.php、.txt、.html、.css、.js等。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
<IfModule deflate_module>  
    #必须的,就像一个开关一样,告诉apache对传输到浏览器的内容进行压缩   
    SetOutputFilter DEFLATE   
 
    #压缩级别,1-9,9为最高   
    DeflateCompressionLevel 9      
 
    #不进行压缩的文件   
    SetEnvIfNoCase Request_URI \.(?:gif|jpeg|png)$ no-gzip dont-vary #设置不对后缀gif,jpg,jpeg,png的图片文件进行压缩   
    SetEnvIfNoCase Request_URI \.(?:exe|tgz|zip|bz2|sit|rar)$ no-gzip dont-vary #同上,就是设置不对exe,tgz,gz。。。的文件进行压缩   
    SetEnvIfNoCase Request_URI \.(?:pdf|mov|avi|mp3|mp4|rm)$ no-gzip dont-vary     
 
    #针对代理服务器的设置   
    <IfModule headers_moudle>  
    Header append vary User-Agent   
    </IfModule>  
</IfModule>

SSH登陆错误 WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!

2014年7月8日 没有评论

Connection to 192.168.2.2 closed.
[root@localhost ~]# ssh 192.168.2.2
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
1b:19:d2:4d:c8:88:bf:dc:d6:72:a7:0b:7b:73:07:d8.
Please contact your system administrator.
Add correct host key in /root/.ssh/known_hosts to get rid of this message.
Offending key in /root/.ssh/known_hosts:5
RSA host key for 192.168.2.2 has changed and you have requested strict checking.
Host key verification failed.

1.在客户端执行下述指令即可 #mv /root/.ssh/known_hosts /tmp

2.当然也可以直接编辑known_hosts文件,把里面与所要连接IP(192.168.10.20)相关的内容删掉即可.

解决apt-get的E: Could not get lock /var/lib/dpkg/lock方法

2014年6月26日 没有评论

世界杯年就是容易分心啊。为了看比赛没注意手上的一个在升级配置的服务器运行 apt-get upgrade 更新软件时,ssh超时了。直接关闭了终端,但apt-get进程没有结束,结果终端提示
:E: Could not get lock /var/lib/dpkg/lock

解决办法如下:
办法1 终端输入 ps aux | grep apt-get ,列出进程。找到含有apt-get的进程,然后再直接kill PID。如:kill 5677

办法2 强制解锁,命令:

rm /var/cache/apt/archives/lock
rm /var/lib/dpkg/lock

但这样后果就是如下:

再次运行apt-get upgrade提示。
E: dpkg was interrupted, you must manually run ‘dpkg –configure -a’ to correct the problem.

解决办法:
dpkg –configure -a

Sql Server 2008 还原数据库 3154错误

2014年6月13日 没有评论

sqlserver2008还原数据库时出现了3154错误,具体错误信息如下:
错误信息
标题: Microsoft SQL Server Management Studio
——————————
还原 对于 服务器“vps12com-PC”失败。 (Microsoft.SqlServer.SmoExtended)
——————————
其他信息:
执行 Transact-SQL 语句或批处理时发生了异常。 (Microsoft.SqlServer.ConnectionInfo)
——————————
尚未备份数据库 “vps12com” 的日志尾部。如果该日志包含您不希望丢失的工作,请使用 BACKUP LOG WITH NORECOVERY 备份该日志。请使用 RESTORE 语句的 WITH REPLACE 或 WITH STOPAT 子句来只覆盖该日志的内容。
RESTORE DATABASE 正在异常终止。 (Microsoft SQL Server,错误: 3159)

解决方法
不在数据库名字上右键点击还原,而是在上一层目录“数据库”上右键还原,然后选择要还原的数据库,和备份文件

服务器重启后mysql服务启动得很慢的解决办法

2014年5月9日 没有评论

今天帮客户处理问题时遇到了一个非常郁闷的问题。

服务器重启后,mysql老是连接不上.网站打不开.要等上几十分钟甚至几小时MYSQL才能启动完。
并且服务器远程桌面也非常慢。经常卡死。

查了很久发现原来是C:\windows\temp下面存在大量的临时文件导致mysql启动缓慢,原因是长时间没有清理导致临时文件过多,影响到了mysql的正常启动。既然找到原因了就好下手解决问题。

经过如下方式处理后,mysql正常启动了!

开始——运行,输入CMD

然后再输入 del c:\windows\temp\*.* /s /q 回车。

就会自动删除C:\windows\temp下面所有的临时文件。

如果是Windows系统还可以使用以下方法解决。
MySQL Server目录下,打开my.ini,查找[mysqld],在其下加一行

tmpdir=”C:/mysql_temp/”

C:/mysql_temp/自己建立,这个作为mysql的临时目录。
该目录的权限仅为
Administrators:完全控制
SYSTEM:完全控制
即可。(假设你的mysql服务启动用户为”本地系统账户”)

让你的网站实现301重定向

2014年5月8日 没有评论

本文档用于帮助部分因空间不支持301重定向而困扰的用户提供解决办法。
该解决办法的前提:
空间必须支持伪静态,也就是mod_rewrite模块,这点应该绝大部分空间商都支持,如果你是自己搭建的服务器,可以到网上直接搜索301重定向需要的设置。
搞清楚你服务器环境的类型,你登录网站后台,系统配置-系统信息,下面有PHP环境,务必搞清楚是IIS还是apache。
以下是实现办法:
IIS下利用伪静态httpd.ini来实现301重定向
一、没有在后台开启伪静态,使用的是静态页面或动态页面
[ISAPI_Rewrite]
# 3600 = 1 hour
CacheClockRate 3600
RepeatLimit 32
RewriteCond Host: ^vps12.com$
RewriteRule (.*) http://www.vps12.com$1 [I,RP]
新建一个文本文档,把文件名以及后缀修改为:httpd.ini (windows系统一般要设置可见文件后缀或才能修改真正的文件后缀)
把上面的代码粘贴到httpd.ini文件中,且务必仔细将以上代码做修改,把vps12.com改成你的域名,如abc.com,注意.前面的也需要(最下面两行都需要做一样的修改)。
保存后,登录FTP,将该文件上传到你网站的根目录,然后就大功告成,访问网站试试吧!
二、如果在网站后台开启了伪静态
登录FTP,找到根目录下的httpd.ini文件,下载到本地,编辑该文件,在第4行 RepeatLimit 32 下新起一行(注意不要动下面的代码),把下面这段复制粘贴到新起的那行:
RewriteCond Host: ^vps12.com$
RewriteRule (.*) http://www.vps12.com$1 [I,R]
然后,务必把vps12.com修改为你的域名,如abc.com,注意.前面的也需要。
保存后,登录FTP,将该文件上传覆盖到你网站的根目录,然后就大功告成,访问网站试试吧!

apache下利用.htaccess来实现301重定向
一、没有开启伪静态功能
RewriteEngine On
RewriteCond %{HTTP_HOST} !^www.vps12.com$ [NC]
RewriteRule ^(.*)$ http://www.vps12.com/$1 [L,R=301]
新建一个文本文档,把文件名以及后缀修改为:.htaccess (windows系统一般要设置可见文件后缀或才能修改真正的文件后缀)
把上面的代码粘贴到.htaccess文件中,且务必仔细将以上代码做修改,把vps12.com改成你的域名,如abc.com。
保存后,登录FTP,将该文件上传到你网站的根目录,即可。
二、开启了伪静态功能
登录FTP,找到根目录下的.htaccess文件,下载到本地,编辑该文件,在第1行 RewriteEngine On 下新起一行(注意不要动下面的代码),把下面这段复制粘贴到新起的那行:
RewriteCond %{HTTP_HOST} !^www.vps12.com$ [NC]
RewriteRule ^(.*)$ http://www.vps12.com/$1 [L,R=301]
然后,务必把vps12.com修改为你的域名,如abc.com。
保存后,登录FTP,将该文件上传覆盖到你网站的根目录,即可。

各版本linux及unix升级ssh及ssl方法及解决方案

2014年4月24日 没有评论

2014年的4月注定不是个安稳的月份。经网络大报出ssh及ssl漏洞后。请大家放心:我司的云架构之前使用 OpenSSL 1.0.0 版本,现在已经升级到 OpenSSL 1.0.1g。这两个分支版不受本次漏洞影响。

此外,我们的云架构底层防火墙还专门针对 SSL 的默认端口做了底层加固,过滤tcp22和443端口的数据包,匹配包头为攻击类型的数据包则丢弃。

因此,只要您的云主机仍然在使用 SSL 协议的默认端口,即使有的云主机上有 SSL 漏洞,也不会受到很大影响。

如果您修改了 SSL 协议的默认端口,或是有其他平台上的云主机或是物理服务器,我们建议您可以通过以下地址检测这些主机上的网站:

http://possible.lv/tools/hb/

如果检测出问题,您可以这样修复。

针对 Debian 和 Ubuntu 系统:
# apt-get update
# apt-get install openssl libssl1.0.0

针对CentOS:
# yum update openssl

如果您使用的是openSUSE:
# zypper in -t patch openSUSE-2014-277

修复完成后,必须要重新 Web 服务:
重启 Apache: # /etc/init.d/apache2 restart
重启 Nginx: # /etc/init.d/ngnix restart
重启 Httpd: # /etc/init.d/httpd restart

这样就可以了。

如果有任何与安全相关的问题,欢迎您联系我们的客服工程师。

服务器及电脑开机无反应主要解决方法及思路分析

2014年3月30日 没有评论

故障现象一:打开电源,按下开机按钮后,电脑无任何动静。

分析:此时电源应向主板和各硬件供电,无任何动静说明是供电部分出了问题。(包括主板电源部分)

检查思路和方法:

1、市电电源问题,请检查电源插座是否正常,电源线是否正常。

2、机箱电源问题,请检查是否有5伏待机电压,主板与电源之间的连线是否松动,如果不会测量电压可以找个电源调换一下试试。

3、主板问题,如果上述两个都没有问题,那么主板故障的可能性就比较大了。首先检查主板和开机按钮的连线有无松动,开关是否正常。可以将开关用电线短接一下试试。如不行,只有更换一块主板试试了。(注意:应尽量找型号相同或同一芯片组的板子,因为别的主板可能不支持你的CPU和内存)

故障现象二:按下开机按钮,风扇转动,但显示器无图象,电脑无法进入正常工作状态。

分析:风扇转动说明电源已开始供电,显示器无图象,电脑无法进入正常工作状态说明电脑未通过系统自检,主板BIOS设定还没输出到显示器,故障应出在主板,显卡和内存上。但有时劣质电源和显示器损坏也会引起此故障。

检查思路和方法:

1、如果有报警声,说明自检出了问题。报警声是由主板上的BIOS设定的。BIOS有两种,分别为AMI和AWARD。大多数主板都是采用AWARD的BIOS。

AWARD的BIOS设定为:
长声不断响:内存条未插紧。
一短:系统正常启动。
两短:CMOS设置错误,需重新设置。
一长一短:内存或主板错误。
一长两短:显示器或显卡错误。
一长三短:键盘控制器错误。
一长九短:主板BIOS的FLASH RAM或EPROM错误。

AMI的BIOS设定为:
一短:内存刷新故障。
两短:内存ECC校验错误。
三短:系统基本内存检查失败。
四短:系统时钟出错。
五短:CPU出现错误。
六短:键盘控制器错误。
七短:系统实模式错误。
八短:显示内存错误。
九短:BIOS芯片检验错误。
一长三短:内存错误。
一长八短:显示器数据线或显卡未插好。

2、如果没有报警声,可能是喇叭坏了,请按下列步骤进行。

A、检查内存,将内存取出用橡皮将插脚擦干净,换个插槽插实试机。如果有两根以上的内存共用的,请只用一根内存试机。

B、检查显卡,检查显卡是否插实,取出后用橡皮将插脚擦干净安装到位后再试机。然后将显卡与显示器连线拔掉再试机,看是否进入下一步自检。如有可能更换一个显卡试试。

C、检查主板,首先将主板取出放在一个绝缘的平面上(如书或玻璃),因为有时机箱变形会造成主板插槽与板卡接触不良。检查主板各插槽是否有异物,插齿有没有氧化变色,如果你发现其中的一两个插齿和其他的插齿颜色不一样,那肯定是氧化或灰尘所致,请用小刀将插齿表面刮出本色,再插上板卡后试机。然后检查主板和按钮之间的连线是否正常,特别是热启动按钮。最后,用放电法将BIOS重置试试。方法是将主板上的钮扣电池取下来,等五分钟后再装上,或直接将电池反装上两秒钟再重新装好,然后试机看是否正常。如果有条件更换一块主板试试。
D、检查CPU,如果是CPU超频引起的故障,那么上面将BIOS重置应该会解决这个问题,如果没超频那么检查风扇是否正常,实在不行更换CPU试一下。

E、电源不好也会出现这种现象,有条件更换电源试试。

F、如果上边讲的方法无法解决问题,请将除CPU,主板,电源,内存,显卡之外的硬件全部拔下,然后试机看是否正常。如果正常,在排除电源和主板出现问题的可能性之后,用下面故障现象四的方法解决。如果试机不正常,那么将这几个元件分别更换试试。

故障现象三:开机后,显示器无图像,但机器读硬盘,通过声音判断,机器已进入操作系统。

分析:这一现象说明主机正常,问题出在显示器和显卡上。

检查思路和方法:检查显示器和显卡的连线是否正常,接头是否正常。如有条件,更换显卡和显示器试试。

故障现象四:开机后已显示显卡和主板信息,但自检过程进行到某一硬件时停止。

分析:显示主板和显卡信息说明内部自检已通过,主板,CPU,内存,显卡,显示器应该都已正常(但主板BIOS设置不当,内存质量差,电源不稳定也会造成这种现象)。问题出在其他硬件的可能性比较大。(一般来说,硬件坏了BIOS自检只是找不到,但还可以进行下一步自检,如果是因为硬件的原因停止自检,说明故障比较严重,硬件线路可能出了问题)。

检查思路和方法:

1、解决主板BIOS设置不当可以用放电法,或进入BIOS修改,或重置为出厂设置(查阅主板说明书就会找到步骤)。关于修改方面有一点要注意,BIOS设置中,键盘和鼠标报警项如设置为出现故障就停止自检,那么键盘和鼠标坏了就会出现这种现象。

2、如果能看懂自检过程,那么一般来说,BIOS自检到某个硬件时停止工作,那么这个硬件出故障的可能性非常大,可以将这个硬件的电源线和信号线拔下来,开机看是否能进入下一步自检,如可以,那么就是这个硬件的问题。

3、如果看不懂自检过程,请将软驱,硬盘,光驱的电源线和信号线全部拔下来,将声卡,调制解调器,网卡等板卡全部拔下(显卡内存除外)。将打印机,扫描仪等外置设备全部断开,然后按硬盘,软驱,光驱,板卡,外置设备的顺序重新安装,安装好一个硬件就开机试,当接至某一硬件出问题时,就可判定是它引起的故障。
故障现象五:通过自检,但无法进入操作系统。

分析:这种现象说明是找不到引导文件,如果不是硬盘出了问题就是操作系统坏了。

检查思路和方法:

1、检查系统自检时是否找到硬盘,如看不懂自检可以用启动盘重试,放入带光牒启动的光盘或启动软盘,将BIOS内设置改为由光驱(软驱)引导。重新开机进入A盘后,打入“C:”回车
2、如能进入C盘,说明操作系统出问题。重新安装操作系统;
3、如不能进入C盘,说明硬盘或者分区表损坏。用分区软件判断是否可以分区,如不可以分区说明硬盘坏了,反之是分区表损坏。重新分区可以解决故障。

故障现象六:进入操作系统后不久死机。

分析:进入操作系统后死机的原因很多,这里只探讨硬件问题,从硬件方面考虑。问题应出在内存、电源、CPU、和各个硬件的散热这几个方面。

检查思路和方法:

1、打开机箱,观察显卡,CPU电源的风扇是否都正常转动,散热片上是否灰尘较多,机箱内是否较脏(如果清理灰尘一定要停电进行)。用手摸硬盘是否较热,正常状态比手微热。如果烫手,可以确定硬盘有问题。

2、如CPU超频,请降频使用。

3、电源,内存和主板质量不好引起的故障只能通过分别调换后试机来确定。
系统打开了以后 风扇有转动 灯也亮了 就是显示屏没显示出来 显示屏的 灯也还是跟没开机一样 一闪一闪的 怎么办
先把主机后面的插上去的线全部拔掉,
按开机按钮15下,这样做是给主机放静电,有时候天气变化会有静电引起这问题。
把那些线头按原来的样子插回去,开机看看是不是正常,如果还不行,接着往下看。

再从硬件着手:
1拔掉电源,
2拆开机箱,
3压一压插在主板上的内存和卡片
4注意看一下主板的电容是不是有爆浆的现象--有的话就要送修了
5开机看看,如果正常的话,就用吧!还不正常,那么送修吧

在线测试网络及服务器速度带宽的网站

2014年3月26日 没有评论

anet測試連線速度

http://speed.anet.net.tw/result.php

来自台湾的在线测试。

Speedtest.net by Ookla – The Global Broadband Speed Test

http://www.speedtest.net/

这个使用的比较多也比较出名。可以测试上行和下午速度及带宽的大小。推荐。