又见诈骗邮件

收到一封这样的邮件,问题多多
1、银行不会发邮件和用户确认身份,打电话都不会;
2、webmaster发邮件,诡异
3、邮件是sohu来的
4、链接写的地址是对的,但是鼠标右键点击看属性,实际地址是http://www.icbc-n.com/



简单谈谈怎么提高Linux服务器的安全性

网络攻击无处不在,这个要记好!

(一)防备外部网络入侵
1)不要安装或关闭不使用的服务;
2)不安全的服务用安全的服务替代,比如可以用ssh自带的sftp替代传统的ftp;
3)必备的服务如果只是本机用务必只绑定到127.0.0.1;
4)可以限定使用ip范围的,使用服务自身机制、pam机制或iptables有限开放;当然像http 80/443这样提供公开服务的,一般不需要限制,但是可以通过日志分析危险的ip做限制,阻止ddos、cc攻击;
4)不是提供公开服务的,可以修改默认端口,自己使用或者使用范围有限的服务,例如ssh、ftp;
5)必要的版本升级,消除程序自身bug

(二)帐号管理
1)只开放需要的帐号;
2)设置一个强有力的密码,例如hjU7MwnY06,甚至2kcPu6wEQChbsfqN,这样的密码除了自己泄露之外,暴力破解的可能能有多大?
3)对外的服务只开放必要的帐号;

tip:这样的密码太难记?我推荐用KeePass来管理,开源、支持很多平台、密码文件通用、安全!

(三)日常检查
经常检查日志,测试设置的限制,发现问题及时修改配置或使用服务自身机制、pam机制或iptables封堵恶意ip!

Virtualbox NAT模式下配置端口映射

原文地址:http://my.unix-center.net/~Simon_fu/?p=434

使用RSA密钥进行免密码SSH远程登录

一般SSH是通过帐号和密码进行远程登录,SSH同时也提供了基于RSA密钥的验证方式,可以不用输入密码。

假设要从HostA机中UserA远程登录HostB机的用户UserB:
1、HostA中UserA操作
#生成密钥,要求输入的密码可以留空,私钥位于~/.ssh/id_dsa,公钥位于~/.ssh/id_dsa.pub
ssh-keygen -t dsa

2、HostB中UserB操作
将刚才生成的id_dsa.pub复制成HostB机UserB目录下的~/.ssh/authorized_keys即可

3、现在在HostA中执行SSH登录就可以直接登录而不需要输入密码了
ssh UserB@HostB


很简单!

如何在linux下使用iptables进行远程端口转发

这里特别指出的是远程端口转发,而不是内外网端口映射,意思是:公网上两台机器,利用HostA(IpA)的PortA端口映射到远程HostB(IpB)的PortB端口;用户虽然访问的是IpA的PortA端口,但实际最终连接到的是IpB的PortB端口。

前提是已经安装了iptables,再以root身份运行以下配置,如果重启了机器,需要重新执行,可以写到启动脚本文件中去。

[quote]#将访问目的地址为IpA:PostA的数据包转换为访问目的地址为IpB:PortB,建立转发的正向数据通道
iptables -t nat -I PREROUTING -p tcp --dport PortA -j DNAT --to IpB:PortB

#将访问目的地址为IpB:PortB的数据包中客户端Client的原始地址动态转换为HostA的地址IpA,建立转发的反向数据通道;尝试过用SNAT题替代,但是未成功,不知道是写的规则不对还是怎么的。我觉得MASQUERADE要比SNAT多一些处理,应该是维护了一张返回通道的转发对应表,类似我们常用NAT网关
iptables -t nat -I POSTROUTING -p tcp -d IpB --dport PortB -j MASQUERADE

/etc/rc.d/iptables save #保存
/etc/rc.d/iptables restart #重启iptables服务,否则不生效
echo 1 > /proc/sys/net/ipv4/ip_forward #重启iptables后,ip_forward会变回0,需要重新设置
[/quote]


example
阅读全部

惊艳魔术

原文地址:http://www.tudou.com/programs/view/QODoIW1_60c/

两个小更新

1、“站点首页”增加提示
曾经有人给我说入口不明显,一直想找一个合适的提示效果,终于发现了,加上。
当鼠标移动到左侧封面图片或者底部“点击进入我的BLOG”的时候,会有一个弹出的提示效果。
homepage


2、“我的相册”修改布局
也是偶然看到别人用了这种当鼠标移动到图片上时候才弹出提示说明的效果,我觉得不错,借来试用一下。同时,也把封面图片变大,看起来爽点。
my photo


以上效果同时兼容Chrome、IE、Firefox。

唱歌点麦当当

无为而为 说两句:
唱得不错!
原文地址:http://you.joy.cn/video/1616096.htm

如何在Nginx中搭建HTTPS站点

这里采取的是在StartSSL申请免费证书,使用Nginx + php-cgi(php-fpm)的方式建立HTTPS加密的站点。

首先在StartSSL注册,点左上角图标“Sign-up For Free”,注册的过程要填写比较详细的地址、电话什么的,否则可能被拒,具体注册教程可以Google一下,很多介绍,也很简单。注册过程要验证邮件地址,注册成功之后会自动安装一个StartCom Free Certificate Member的证书,这个就是用来登录的,搞证书的完整登录用证书也算是门当户对。必须用IE浏览器注册,因为要装ActiveX控件。


注册之后,点击Authenticate,再进入Control Panel,  先使用Validations Wizard验证域名,再使用Certificates Wizard创建证书,类型为“Web Server SSL /TLS Certificate”。在接下来的步骤里面,可以在线创建私钥,但我发现在网站上直接输入密码,提交会有一个JavaScript错误,导致无法继续,换了浏览器和机器也是一样。

所以我们可以选择创建私钥的步骤Skip,然后把自己采用自己创建的CSR用用本工具打开,粘贴到下一步“Submit Certificate Request (CSR)”的文本框中;下面用到的openssl是OpenSSL库里面的一个工具。
1)创建一个4096长度的私钥
openssl genrsa -des3 -out server.key 4096

2)创建一个CSR (Certificate Signing Request)
openssl req -new -key server.key -out server.csr
其中challenge password为空

这样就可以得到一个CRT证书文件,将其从页面中粘贴到本地一个文本文件,并改名为CRT后缀即可。今后要可以在Control Panel -> Tool Box ->Retrieve Certificate重新获得。


Nginx配置很简单,最重要的配置红色标识。一些PHP程序可能会使用_SERVER["HTTPS"]参数来判断当前是HTTPS还是HTTP,这个会影响程序生成的一些链接的前缀,如果检测不正确,可能会导致访问HTTPS站点时候,浏览器提示“本页不但包含安全的内容,也包含不安全的内容。是否显示不安全的内容”,而由于是采用反向代理的方式,透过Nginx访问php-cgi,而php-cgi不是以HTTPS方式运行的,所以必须要显示的制定生成参数fastcgi_param HTTPS on; 

server
{
    listen a.b.c.d:443;

    access_log /xxx/ssl.access.log main;
    error_log  /xxx/ssl.error.log;


    root /xxx/;
    index index.php index.html index.htm;


    ssl on;
    ssl_certificate /xxx/server.crt;
    ssl_certificate_key /xxx/server.key;

    ssl_session_timeout 5m;
    ssl_protocols SSLv2 SSLv3 TLSv1;
    ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
    ssl_prefer_server_ciphers on;


    location ~ \.php$ {
        fastcgi_pass 127.0.0.1:9000;
        fastcgi_index index.php;
        fastcgi_param SCRIPT_FILENAME $document_root/$fastcgi_script_name;
        fastcgi_param HTTPS on; 
        include fastcgi_params;
    }


    location ~ /\.ht {
        deny all;
    }

}


启动试一试应该就可以了,但每次启动Nginx的时候都会提示输入私钥密码,这个可以这样解决:
1) 去除密码
openssl rsa -in server.key -out server.nopass.key

2)把Nginx的配置替换为
ssl_certificate_key /xxx/server.nopass.key;即可


经过测试,在IE 7.0.5730.11、Chrome 4.1.249.1064版本中使用正常;在Firefox 3.5.3会提示“此连接是不受信任的”,这是因为StartSSL的根证书还没有被FF认可,只是被M$和Google认可,添加个例外就可以继续访问了,加密功能是一样的,不过变得和自己的做的证书一样了。免费的不求太完美,将就用。

斯巴鲁配件最高降幅达40%

近日中冀斯巴鲁正式对外宣布,自今日(6月1日)起,携手斯巴鲁汽车(中国)有限公司在所辖区域内全面下调斯巴鲁零配件价格,调整后的零配件价格紧追国产B级车的配件价格水平。
......

原文地址:http://newcar.xcar.com.cn/201006/news_104533_1.html