linux下使用vsftp建立ftp服务
一般linux下上传下载文件有很多方式有ssh的有ftp的。
ssh下我们使用scp软件,这里不表,我们今天来说下来使用vsftp软件建立ftp服务上传下载文件。
运行以下命令
1 | yum install vsftpd |
安装好后,先别启动服务,先进入配置文件设置下。
1 2 | cd /etc/vsftpd/conf vi /etc/vsftpd/vsftpd.conf |
在vsftpd 设置 /etc/vsftpd/vsftpd.conf 加入以下一行
chroot_local_user=YES //锁定用户目录
max_clients=0 //0表示不限制并发连接数一般不用加入
anonymous_enable=YES 这个要改成NO不然谁都能上传了呵呵。安全
好现在我们建立ftp用户登陆,一般不使用root进行登陆!比如我们网站放在/var/www/html目录
建立用户
1 | useradd ftpup |
设置密码
1 | passwd ftpup |
设置权限
1 2 | usermod -s /sbin/nologin -d /var/www/html -g ftp ftpup chown -R ftpup:ftp /var/www/html |
启动服务
1 | service vsftpd start |
ps:上传如果出现问题运行 setsebool ftpd_disable_trans 1 //selinux一定要关了运行,不然会提示出错
如何开启或关闭selinux
默认情况下为了linux的安全下selinux是默认开启的。但这样如果我们要进行内核编译和软件安装及升级就会遇到无法成功的一些问题。个人感觉有时selinux对系统保护的有点小白,我就在以前帮客户维护服务器中遇到不少这样的情况,最后发现原来是它在恶搞。好吧,我们来解决它。
方法很容易,我们先用命令进行判断下是否selinux是开启的。
1 | # getenforce //命令知道SELinux的状态 |
如果显示 Enforcing 此表示开就是开启的。那我们接着进行操作关闭它。
1 | vi /etc/sysconfig/selinux |
找到
SELINUX=enforcing
改成
SELINUX=disabled
:wq
保存退出!
reboot 重启服务器。搞定!
用vnc控制Linux的远程桌面
远程桌面?一般情况下是windows服务器才使用到的。但其实linux也有桌面系统。那么linux是否也可以远程桌面呢?当然是可以的,也有软件可以进行远程桌面控制了。其实一般情况下linux服务器环境下我们一般是使用不到xwindows的,但在一些特定的环境下我们必须要使用远程桌面进行linux控制这时我们就要使用到vnc来进行远程控制。
那我们就来安装一下远程桌面吧,玩转下vnc。
1.我们先进行linux下vnc服务的安装。安装方法我就不多说了有yum的有源代码的。以下说明下源代码方式的。已经安装vnc服务的可以不用看这步。
1 2 3 4 5 6 7 8 | tar zxvf vnc-X.tgz cd X cp *vnc* /usr/local/bin/ #如果没有vnc 目录,就建vnc目录 <pre lang="shell"> mkdir /usr/local/vnc cp -r classes/ /usr/local/vnc/ |
2.安装好后进行密码设置,运行命令
1 | vncpasswd |
3.设置好密码后启动vnc服务
1 | vncserver |
注意New ‘X’ desktop is kill:1 记住1是vnc客户端要连接的端口号
4.客户端启动vncviewer,输入:如192.168.1.110:1 呵呵就是这么容易。
建立自己的代理服务器
如何建立自己代理服务器呢?其实方法很容易。我们去下载一个叫ccproxy的软件就可以很方便的建立代理服务器。
代理服务器CCProxy于2000年6月问世,是国内最流行的下载量最大的的国产代理服务器软件。主要用于局域网 内共享宽带上网,ADSL共享上网、专线代理共享、ISDN代理共享、卫星代理共享、蓝牙代理共享和二级代理等共享代理上网。
下面我们就来一步步来建立自己的代理服务器!
我们先进入设置页面勾选http的使用。端口设置1080。
其后我们再点用户进入用户访问权限设置
我们允许所有的人通过这个代理服务器访问网站。
通过以上设置我们可以很简单的通过ccoprxy设置自己的代理服务器。
管理与使用eNom域名
访问 http://access.enom.com 比如域名是vps12.com和密码填写到对应的位置后点击Login按钮。
接来下,我们来edit Host records进行记录修改!都很容易对应a记录或是其他的一些记录。
了解什么是SEO优化
SEO(Search Engine Optimization)搜索引擎优化的英文缩写。
是指通过采用易于搜索引擎索引的合理手段,使网站各项基本要素适合搜索引擎的检索原则并且对用户更友好(Search Engine Friendly),从而更容易被搜索引擎收录及优先排序从属于SEM(网络营销)。SEO的中文意思是搜索引擎优化。通俗理解是:通过总结搜索引擎的排名规律,对网站进行合理优化,使你的网站在百度和Google的排名提高,让搜索引擎给你带来客户。深刻理解是:通过SEO这样一套基于搜索引擎的营销思路,为网站提供生态式的自我营销解决方案,让网站在行业内占据领先地位,从而获得品牌收益。
结合个人经验网站优化技术分享探讨搜索引擎,一个搜索引擎友好的网站,应该方便搜索引擎检索信息,并且返回的检索信息让用户看起来有吸引力,这样才能达到搜索引擎营销的目的。
如何在linux系统下安装软件
通常情况下linux系统或是unix系统下安装软件有以下几种方式
1. 源代码包安装,这种方式一下下载的源代码包以*.tgz或是*.tar.gz为后辍的打包文件。
例如我们从网上下载要安装的web服务软件apache2,那我们就在shell下运行如下命令:
1 2 3 4 5 6 7 8 9 10 11 | tar zxvf httpd-2.0.49.tar.gz cd httpd-2.0.49 ./configure --prefix=/usr/local/apache2 --enable-so --enable-ssl #(--prefix=/usr/local/apache2 为安装路径,--enable-so支持模块,--enable-ssl支持SSL) make make install #(安装结束) |
这种原代码方式的安装软件,好处是可以在指定的编译环境下指定路径进行安装。缺点就是安装步骤繁琐安装过程的时间也比较长。
2.rpm包安装方式,rpm包是已经在系统环境下进行指定编译好的安装方式。这种安装方式很快,操作简便适合一般性应用的安装。安装方式如下:
比如我们有一个安装包文件httpd-2.0.49.rpm,那么我们就只要运行以下命令就可以很快速的安装好apache软件
1 | rpm -ivh httpd-2.0.49.rpm |
3.除了以上两种方式的安装,还有一些apt及tar.bz2包的安装。都找不多。以下这种是在linux centos或是rh4、rh5下yum 方式的安装这种方式不用先下载好软件可以直接运行安装和升级,非常方便。方法如下:
1 | yum install httpd |
这样就可以完成apache 的安装。快试试吧!
使用代理访问网站
要使用代理访问网站,我们就要先了解一下什么是代理服务器–Proxy server,通常我们访问网站都是直接与目的主机相连,使用了代理服务器,可先与代理服务器进行连接,然后把我们的请求,比如说我们想得到哪个网页的内容,告诉代理服务器,由代理服务器帮我们取下来。一般代理服务器都有一个很大的Cache,起缓冲的作用,它不断将新取得数据储存到它的存储器上;如果浏览器所请求的数据在它本机的存储器上已经存在,而且是最新的话,那么它就不重新从Web服务器取数据,而直接将存储器上的数据传送给用户的浏览器,这样就能显著地提高浏览速度和效率了。
使用代理访问网站通常有两种类型,Http代理和Socks5代理。Http代理是用来浏览网页用的,其端口一般是80和8080,不过也有3128等其它端口的;而socks5代理则可以看成是一种全能的代理,不管是telnet、ftp还是irc聊天都可以用它,这类代理的端口通常是1080。下面我们用个例子进行说明如何操作我们用ie为例子
首先我们先要找一条http代理的服务器进行。比如我们的代理服务器目标为8.8.8.8端口1080。如图
确定后我们就可以通过代理服务器进行网站浏览了!
Windows 2003 WEB 服务器安全设置
一、操作系统配置
1.安装操作系统(NTFS分区)后,装杀毒软件,我选用的是卡巴。
2.安装系统补丁。扫描漏洞全面杀毒
3.删除Windows Server 2003默认共享
首先编写如下内容的批处理文件:
@echo off
net share C$ /del
net share D$ /del
net share E$ /del
net share F$ /del
net share admin$ /del
文件名为delshare.bat,放到启动项中,每次开机时会自动删除共享。
4.禁用IPC连接
打开CMD后输入如下命令即可进行连接:net use\\ip\ipc$ “password” /user:”usernqme”。我们可以通过修改注册表来禁用IPC连接。打开注册表编辑器。找到如下组建HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子键,将其值改为1即可禁用IPC连接。
5.删除”网络连接”里的协议和服务
在”网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),同时在高级tcp/ip设置里–”NetBIOS”设置”禁用tcp/IP上的NetBIOS(S)”。
6.启用windows连接防火墙,只开放web服务(80端口)。
注:在2003系统里,不推荐用TCP/IP筛选里的端口过滤功能,譬如在使用FTP服务器的时候,如果仅仅只开放21端口,由于FTP协议的特殊性,在进行FTP传输的时候,由于FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。
7.磁盘权限
系统盘只给 Administrators 和 SYSTEM 权限
系统盘\Documents and Settings 目录只给 Administrators 和 SYSTEM 权限;
系统盘\Documents and Settings\All Users 目录只给 Administrators 和 SYSTEM 权限;
系统盘\Documents and Settings\All Users\Application Data目录只给 Administrators 和 SYSTEM 权限;
系统盘\Windows 目录只给 Administrators 、 SYSTEM 和 users 权限;
系统盘\Windows\System32\net.exe,net1.exe,cmd.exe,command.exe,ftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe 文件只给 Administrators 权限(如果觉得没用就删了它,比如我删了cmd.exe,command.exe,嘿嘿。);
其它盘,有安装程序运行的(我的sql server 2000 在D盘)给 Administrators 和 SYSTEM 权限,无只给 Administrators 权限。
8.本地安全策略设置
开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略 (可选用)
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
B、本地策略——>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:加入Guests、Users组
通过终端服务允许登陆:只加入Administrators组,其他全部删除
C、本地策略——>安全选项
交互式登陆:不显示上次的用户名 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命名管道 全部删除
**网络访问:可远程访问的注册表路径 全部删除
**网络访问:可远程访问的注册表路径和子路径 全部删除
帐户:重命名来宾帐户 重命名一个帐户
(下面一项更改可能导致sqlserver不能使用)
帐户:重命名系统管理员帐户 重命名一个帐户
二、iis配置(包括网站所在目录)
1.新建自己的网站(*注意:在应用程序设置中执行权限设为无,在需要的目录里再更改),目录不在系统盘
注:为支持asp.net,将系统盘\Inetpub\wwwroot中的aspnet_client文件夹复制到web根目录下,并给web根目录加上users权限。
2.删掉系统盘\inetpub目录
3.删除不用的映射
在”应用程序配置”里,只给必要的脚本执行权限:ASP、ASPX。
4.为网站创建系统用户
A.例如:网站为yushan43436.net,新建用户yushan43436.net权限为guests。然后在web站点属性里”目录安全性”—”身份验证和访问控制”里设置匿名访问使用下列Windows 用户帐户”的用户名和密码都使用yushan43436.net这个用户的信息。(用户名:主机名\yushan43436.net)
B.给网站所在的磁盘目录添加用户yushan43436.net,只给读取和写入的权限。
5.设置应用程及子目录的执行权限
A.主应用程序目录中的”属性–应用程序设置–执行权限”设为纯脚本
B.在不需要执行asp、asp.net的子目录中,例如上传文件目录,执行权限设为无
6.应用程序池设置
我的网站使用的是默认应用程序池。设置”内存回收”:这里的最大虚拟内存为:1000M,最大使用的物理内存为256M,这样的设置几乎是没限制这个站点的性能的。
回收工作进程(分钟):1440
在下列时间回收工作进程:06:00
三、sql server 2000 配置
1.密码设置
我编的程序用了sa用户,密码设置超复杂(自己记不住,保存在手机里,嘿嘿)。
2.删除危险的扩展存储过程和相关.dll。
Xp_cmdshell(这个肯定首当其冲,不用说了)、Xp_regaddmultistring、Xp_regdeletekey、Xp_regdeletevalue、Xp_regenumvalues、Xp_regread、Xp_regwrite、Xp_regremovemultistring
四、其它设置(可选用,本人可不负责)
1.任何用户密码都要复杂,不需要的用户—删。
2.防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2
3.禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名为PerformRouterDiscovery 值为0
4.防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
5.不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为IGMPLevel 值为0
6.禁用DCOM:
运行中输入 Dcomcnfg.exe。 回车, 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。
对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。选择“默认属性”选项卡。
清除“在这台计算机上启用分布式 COM”复选框。
使用arp防火墙防止arp攻击
我们先来了解下什么是arp
ARP是地址转换协议(Address Resolution Protocol)的英文缩写,它是一个链路层协议,工作在OSI模型的第二层,在本层和硬件接口间进行联系,同时对上层(网络层)提供服务。
二层的以太网交换设备并不能识别32位的IP地址,它们是以48位以太网地址(就是我们常说的MAC地址)传输以太网数据包的。也就是说IP数据包在局域网内部传输时并不是靠IP地址而是靠MAC地址来识别目标的,因此IP地址与MAC地址之间就必须存在一种对应关系,而ARP协议就是用来确定这种对应关系的协议。
Windows操作系统,在命令行窗口输入”arp -a”命令可查看本机当前的ARP缓存表,ARP缓存表保存的就是IP地址与MAC地址的对应关系,我们来看一下
C:\>arp -a
Interface: 192.168.1.20 — 0×10003
Internet Address Physical Address Type
192.168.1.1 94-0c-6d-49-13-34 dynamic
“Internet Address”指的就是IP地址,”Physical Address”指的就是MAC地址。
接下来我们了解一下ARP协议工作原理
ARP数据包根据接收对象不同,可分为两种:
1. 广播包(Broadcast)。广播包目的MAC地址为FF-FF-FF-FF-FF-FF,交换机设备接收到广播包后,会把它转发给局域网内的所有主机。
2. 非广播包(Non-Broadcast)。非广播包后只有指定的主机才能接收到。
ARP数据包根据功能不同,也可以分为两种:
1. ARP请求包(ARP Request)。ARP请求包的作用是用于获取局域网内某IP对应的MAC地址。
2. ARP回复包(ARP Reply)。ARP回复包的作用是告知别的主机,本机的IP地址和MAC是什么。
广播的一般都是ARP请求包,非广播的一般都是ARP回复包。
假设局域网内有以下两台主机,主机名、IP地址、MAC地址分别如下:
主机名 IP地址 MAC地址
A 192.168.0.1 AA-AA-AA-AA-AA-AA
B 192.168.0.2 BB-BB-BB-BB-BB-BB
当主机A需要与主机B进行通讯时,它会先查一下本机的ARP缓存中,有没有主机B的MAC地址。如果有就可以直接通讯。如果没有,主机A就需要通过ARP协议来获取主机B的MAC地址,具体做法相当于主机A向局域网内所有主机喊一嗓子:“喂~谁是192.168.0.2?我是192.168.0.1,我的MAC地址是AA-AA-AA-AA-AA-AA
。你的MAC地址是什么,快告诉我”,这时候主机A发的数据包类型为:广播-请求。
当主机B接收到来自主机A的“ARP广播-请求”数据包后,它会先把主机A的IP地址和MAC地址对应关系保存/更新到本机的ARP缓存表中,然后它会给主机A发送一个“ARP非广播-回复”数据包,其作用相当于告诉主机A:“嘿,我是192.168.0.2,我的MAC地址是BB-BB-BB-BB-BB-BB”。当主机A接收到主机B的回复后,它会把主机B的IP地址和MAC地址对应关系保存/更新到本机的ARP缓存表中,之后主机A和B就可以进行通讯了。
从上述局域网主机通讯过程可以看出,主机在两种情况下会保存、更新本机的ARP缓存表,
1. 接收到“ARP广播-请求”包时
2. 接收到“ARP非广播-回复”包时
这种机制,或者说ARP协议的设计,会不会存在问题呢?当然,不然怎么会有人利用来攻击呢?
ARP攻击会对我们有什么影响呢?最广的一种方式就是利用arp进行挂马!
用户在浏览某些网页的时候,网页中可能会包含一些恶意的代码,这就是俗称的“网页木马”,此种行为通常被称为“挂马”。
网页中包含的恶意代码通常类似为:<iframe src=http://xxx/xxx width=50 height=0></iframe>
“网页木马”并非万能的,它一般是通过系统中的漏洞(例如浏览器的漏洞、浏览器插件的漏洞等)来对用户的主机进行攻击,进而获取用户主机中的敏感数据,例如QQ号、网银账号、游戏ID等。如果你的主机已经安装了最新的安全补丁,大多数网页木马都无法对你的主机造成伤害。但是,也有不少网页木马是通过系统未公开的漏洞来攻击用户主机,即是说,即使你的主机安装齐全所有安全补丁,也无法做到100%免疫。
网页中为何会被插入恶意代码?
1. 服务器被黑。服务器被入侵或感染病毒,硬盘上的网页文件被修改,被插入恶意代码。这种情况比较少见。表现形式:互联网上所有用户访问这台服务器上的网页时,网页上都会包含有恶意代码。
2. 服务器被ARP欺骗。服务器所处的那个局域网内,有主机被黑客控制或者感染了病毒,服务器返回给用户的网页数据,在传输过程中被ARP欺骗程序、病毒程序所篡改,插入了恶意代码。表现形式:互联网上所有用户访问这台服务器上的网页时,网页上都会包含有恶意代码。
3. 用户的局域网被ARP欺骗。用户所处的那个局域网内,有主机被黑客控制或者感染了病毒。服务器返回给用户的网页数据,在传输过程中被ARP欺骗程序、病毒程序所篡改,插入了恶意代码。表现形式:局域网的用户,在访问所有网站时,网页中都会包含恶意代码。
如何解决呢?
1. 加强服务器的安全管理,避免被黑客入侵或者感染病毒。
2. 安装ARP防火墙,避免受局域网内ARP欺骗程序、ARP病毒的影响。
在这里我介绍一个比较好的arp防火墙。经过我几年来实践测试还是非常不错的,可以有效的对arp进行防护。
彩影arp防火墙 官方网站 http://www.antiarp.com 安装过程不细说。
实践我们看看效果如何
遇到arp攻击时:
最关键的是可以知道谁在攻击我们,可以马上通知机房相关人员进行排查
