freebsd - 我的文章 - 虎子---网络生活

博客首页注册建议与交流排行榜加入友情链接

推荐投诉搜索：帮助

虎子---网络生活

众人皆醒，我独醉！

huzi1986.cublog.cn

关于作者

姓名：老虎
职业：打工的
年龄：成年了
位置：广东深圳
个性介绍：没有什么个性!

\|\|	<<	>>	\|\|

我的分类

	文章列表 - freebsd

	ipfw 实例
	<DIV>################ Start of IPFW rules file ###############################<BR># Flush out the list before we begin.<BR>ipfw -q -f flush</DIV> <DIV># Set rules command prefix<BR>cmd="ipfw -q add"<BR>pif="sis0"     # public interface name of NIC<BR>              # facing the public Internet</DIV> <DIV>#################################################################<BR># No restrictions on Inside LAN Interfa……
查看全文
	发表于:2007-12-19 ┆ 阅读(278) ┆ 评论(0)

	[转载]FreeBSD下的arp防护
	<font style="font-size: 14pt;" color="#02368d"><b>[转载]</b></font><font style="font-size: 14pt;" color="#295200"><b>FreeBSD下的arp防护</b></font><table style="border-collapse: collapse;" border="0" cellpadding="0" cellspacing="0" width="100%"><tbody><tr><td><div style="margin: 15px;" id="art"><div> <p>基于系统本身环境和命令的更简便易行之法，通过自身ip与mac的绑定并对外（内网）宣告的形势来遏制arp欺骗的情况。</p> <p>首先使用ifconfig来获得当前网络接口的mac地址，然后将本机内网网卡ip地址+本机内网网……
查看全文
	发表于:2007-12-12 ┆ 阅读(177) ┆ 评论(0)

	FreeBSD下的CLOSE_WAIT
	在FreeBSD下，看到很多apache产生的CLOSE_WAIT状态，这种状态是等待客户端关闭，但是客户端那边并没有正常的关闭，于是留下很多这样的东东，默认情况，FreeBSD应该在3600秒清除掉这些，改成10秒清除。<br><code><br><font size="2"><font style="background-color: rgb(21, 21, 21);" color="#669999" face="新宋体">sysctl -w net.inet.ip.rtexpire=10<br>sysctl -w net.inet.ip.rtminexpire=10</font></font></code>
查看全文
	发表于:2007-12-12 ┆ 阅读(174) ┆ 评论(0)

	rsync命令参考
	<DIV> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt; TEXT-ALIGN: center; mso-pagination: widow-orphan" align=center><B><SPAN lang=EN-US style="FONT-SIZE: 14pt; COLOR: #d52847; FONT-FAMILY: Verdana">rsync</SPAN></B><B><SPAN style="FONT-SIZE: 14pt; COLOR: #d52847; FONT-FAMILY: 宋体; mso-ascii-font-family: Verdana; mso-hansi-font-family: Verdana">命令参考</SPAN></B><SPAN lang=EN-US style="FONT-SIZE: 9pt; FONT-FAMILY: Verdana; mso-font-kerning: 0pt; mso-bidi-font-family: 宋体"><?xml:namespace prefi……
查看全文
	发表于:2007-12-07 ┆ 阅读(213) ┆ 评论(0)

	SFTP 远程备份 FreeBSD 系统设定文件及重要数据文件
	<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt; TEXT-ALIGN: left; mso-pagination: widow-orphan" align=left><SPAN lang=EN-US style="FONT-SIZE: 10pt; FONT-FAMILY: Helvetica; mso-font-kerning: 0pt"><?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" /><st1:chsdate w:st="on" Year="2005" Month="11" Day="29" IsLunarDate="False" IsROCDate="False"></st1:chsdate></SPAN><SPAN lang=EN-US style="FONT-SIZE: 12pt; FONT-FAMILY: 宋体; mso-font-kerning: 0pt; mso-bidi-font-family: 宋体">……
查看全文
	发表于:2007-11-16 ┆ 阅读(163) ┆ 评论(0)

	FreeBSD 6.2下为apache 2.2.6配置ssl
	<DIV> <DIV class=lh3 id=veryContent style="OVERFLOW: hidden; WIDTH: 100%"> <TABLE class=contentTable cellSpacing=0 cellPadding=0> <TBODY> <TR> <TD style="FONT-SIZE: 12px"> <P>1、安装apache<BR>apache22没有单独的mod_ssl的port，而是集成在apache中，在安装时选中mod_ssl<BR>cd /usr/ports/www/apache22<BR>make install <BR> <BR>2、安装openssl<BR>cd /usr/ports/security/openssl<BR>make install <BR> <BR>3、生成密钥和证书<BR>cd /usr/local/etc/apache22/httpd/c……
查看全文
	发表于:2007-11-16 ┆ 阅读(188) ┆ 评论(0)

	ports 软件包管理
	<DIV>使用Ports Collection <P>　　下面的几个小节中，给出了关于如何使用 Ports 套件来在您的系统中安装或卸载程序的介绍。关于可用的 <TT class=COMMAND><FONT face=新宋体>make</FONT></TT> targets 以及环境变量的介绍，可以在 <A href="http://www.freebsd.org/cgi/man.cgi?query=ports&sektion=7"><SPAN class=CITEREFENTRY><FONT color=#0000ff><SPAN class=REFENTRYTITLE>ports</SPAN>(7)</FONT></SPAN></A> 中找到。</P> <DIV class=SECT2> <H2 class=SECT2><A id=PORTS-TREE name=PORTS-TREE>4.5.1 获得Ports Collect……
查看全文
	发表于:2007-11-16 ┆ 阅读(208) ┆ 评论(0)

	FREEBSD软件包的更新管理
	<DIV> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt; LINE-HEIGHT: 130%; TEXT-ALIGN: left; mso-pagination: widow-orphan; mso-outline-level: 2" align=left><SPAN lang=EN-US style="FONT-SIZE: 15pt; COLOR: #494949; LINE-HEIGHT: 130%; FONT-FAMILY: Helvetica; mso-font-kerning: 0pt">[FreeBSD] portupgrade </SPAN><SPAN style="FONT-SIZE: 15pt; COLOR: #494949; LINE-HEIGHT: 130%; FONT-FAMILY: 宋体; mso-font-kerning: 0pt; mso-ascii-font-family: Helvetica; mso-hansi-font-family: Helvetica; mso-bidi-font-famil……
查看全文
	发表于:2007-11-16 ┆ 阅读(196) ┆ 评论(0)

	mrtg 监视本机流量的问题
	mrtg 监视本机流量的问题<br>小弟上次做mrtg 的时候，监视不了本机的流量。。。呵呵。原来是没有建立snmpd.conf 文件<br>太粗心了<br><br><br>SNMP Error:<br>no response received<br>SNMPv1_Session (remote host: "localhost" [127.0.0.1].161)<br>                  community: "public"<br>                 request ID: -1300814939<br>  &nbs……
查看全文
	发表于:2007-10-15 ┆ 阅读(218) ┆ 评论(0)

	使用proz来加速你的Freebsd ports安装
	玩BSD的朋友都知道。有时候ports 下载比较慢。我们用prozilla 来加速port 下载。。这样，就不要白等那么长时间 <br><br>使用proz来加速你的Freebsd ports安装   <br>安装  <br>#cd /usr/ports/ftp/prozilla <br>#make install clean <br>  <br>设置 <br>编辑/etc/make.conf 填加如下两行： <br>FETCH_CMD=/usr/local/bin/proz -s -k 10 -r --no-curses  <br>DISABLE_SIZE=yes   <br>  <br>  <br>  <br> <br>
查看全文
	发表于:2007-10-15 ┆ 阅读(205) ┆ 评论(0)

	ssh的配置文件
	<div> <h4 class="TextColor1" id="subjcns!83F6B9C8443599BF!129" style="margin-bottom: 0px;">ssh的配置文件</h4> <div id="msgcns!83F6B9C8443599BF!129"> <div>学习了一下ssh的配置文件,作个记录先,好记忆不如烂笔头嘛..:)<br>#服务器端配置 /etc/ssh/sshd_config <br>#只考虑协议版本2 <br>/usr/local/etc/ssh/sshd_config<br>#全局配置 <br>VersionAddendum TecZm-20050505 #在telnet ip 22时只能看出openssh的版本，看不出OS <br>Protocol 2 #使用协议版本2 ……
查看全文
	发表于:2007-08-21 ┆ 阅读(292) ┆ 评论(0)

	mysql 入门
	<P>由于新手入门PHP+Mysql技术，必定对Mysql操作存有疑问。</P> <P>　　尽管PHPMyadmin管理数据库对新手来说也不妨为一种很好的方式。但更多的实际使用还要靠大家对Myql语句格式<BR>的精通和熟练的操作。</P> <P>　　为了方便新手尽快入门，掌握Mysql的奥妙。在下费了一个礼拜时间的调试和整理，终于完稿了这份比较完善的入<BR>门级操作实例的指南。希望能给新入门的朋友扬帆指路，送一满帆的顺风。</P> <P> </P> <P>Mysql4.1.10初级解读</P> <P>※※※※※※※※※※※※※※Mysql 初级解读（所用版本：4.1.10）※※※※※※※……
查看全文
	发表于:2007-08-17 ┆ 阅读(345) ┆ 评论(0)

	在FreeBSD 6上面怎么防DDOS攻击
	<P>在FreeBSD 6上面怎么防DDOS攻击</P> <P><BR>  anthony 写到: <BR>两年前的办法现在怎么看这种办法 <BR>ipfw add check-state <BR>ipfw add deny tcp from any to any established <BR>ipfw add allow tcp from my-net to any setup keep-state </P> <P><BR>DDoS会让ipfw状态表迅速填满。 </P> <P>anthony 写到: <BR>1，增加被攻击者自己的抵抗力，比如增大允许tcp同时连接进来的包（考验你的os的稳定性了，solaris和freebsd稳定性都不错），增加网卡的缓存，比如  </P> <P><BR>网卡缓存如何增加？ </P> <P>anthony 写到……
查看全文
	发表于:2007-08-17 ┆ 阅读(181) ┆ 评论(0)

	收集可用的FREEBSD ports 更新方法
	<P>FREEBSD ports  更新方法 <BR>[cybertingred 发表于 2007-4-14 9:59:00]</P> <P>1.修改/usr/examples/ports目录下面的ports-supfile文件,更改下载服务器为cvsup2.cn.freebsd.org<BR>然后cp到本地目录下.<BR>cvsup -g -L 2 ports-supfile</P> <P>2.make.conf的位置在/usr/share/examples/etc下面<BR>增加<BR>MASTER_SITE_BACKUP?= \ <BR><A href="ftp://ftp.cn.freebsd.org/pub/FreeBSD/ports/distfiles/${DIST_SUBDIR}/">ftp://ftp.cn.freebsd.org/pub/FreeBSD/ports/distfiles/${DIST_SUBDIR}/</A> \ <BR><A href="ftp://ftp.……
查看全文
	发表于:2007-08-17 ┆ 阅读(214) ┆ 评论(0)

	freebsd6.0中httpdready 问题
	<DIV>在 /boot/loader.conf 中加入如下一行：<BR>accf_http_load="yes"<BR>重新啟動apache22 就沒出錯了。</DIV>
查看全文
	发表于:2007-08-17 ┆ 阅读(136) ┆ 评论(0)

	让FreeBSD更安全(Securing FreeBSD)
	<DIV>让FreeBSD更安全(Securing FreeBSD)</DIV> <DIV>作者：Dru Lavigne <BR>翻译：Delphij </DIV> <DIV>转自《CNFUG期刊》：<A href="http://cvs.cnfug.org/cgi-bin/cvs.cgi?4@03">http://cvs.cnfug.org/cgi-bin/cvs.cgi?4@03</A></DIV> <DIV><BR>前几天我整理了过去的一些笔记，以及近几年收集的一些安全建议。我认为这可能对您有帮助，所以本周我就暂停文档系列的文章，写一点关于使你的FreeBSD系统更安全的内容。</DIV> <DIV>很明显，在这个领域我不可能用一篇文章全面地介绍所有的事情。另外，也不可能给出一个防止四海皆准的，保证任何系统都安全的方案。</DIV> <DIV>在我整理笔记的过程中，我注意到很多都是关于如何让FreeBSD服务器(如，Web服务器，邮件服务器，等等)更安全的方法。如果你用FreeBSD做为个人系统，并希望完全的桌面功能的话，这就不太够用了。你肯定不愿意因为某些强化安全的设置，造成某些功能无法使用，并在此后的一周内孤立无援地与计算机进行搏斗，直到找到问题的所在。</DIV> <DIV>因此，你将注意到，和许多其它安全教程不同，这份文档并不建议你修改FreeBSD系统中文件的权限。这是有意的。除非你正在强化一台生产服务器的安全性，并且十分明白自己在做什么，否则绝不要修改文件的权限。(如果你一定要做做实验的话，请在自己的home文件夹中作)。不然的话，一些东西可能就会停止工作，例如，电子邮件，X Window系统，声音。怪事会在不经意的时刻发生，让你头疼良久之后才意识到可能是一周前的某个权限设置造成的问题。</DIV> <DIV>我们都知道Internet并不总是一个友好的地方，而且你可能也不想让另一个地方的人拥有与你一样的访问许可权限。这意味着你可能不希望在没有某种防火墙的前提下访问Internet。幸运的是，你的FreeBSD系统支持良种防火墙：ipfw 和 ipfilter。更令人振奋的是，通俗易懂的文档正在迅速增加。如果你不在防火墙后面，那么请花一个周六下午的时间读一读如何在你的系统上配置防火墙的文章，并操练一把。你将为此感到愉快，以下是一部分可用的资源：</DIV> <DIV>man ipfw<BR>FreeBSD Handbook: Section 10.7 -- Firewalls<BR>Setting Up a Dual-Homed Host using IPFW and NATD</DIV> <DIV>man ipf<BR>IPFilter and PF resources</DIV> <DIV>好的安全总是“层层设防”，这意味着如果一个机制失效了，仍然有备用的机制。即使你的系统已经受到了防火墙的保护，你仍然需要禁用所有服务，除了那些绝对需要的。在桌面系统中，不需要很多的服务。</DIV> <DIV>用下面的命令可以查看哪些服务正在试图监听连接你的系统：<BR>sockstat -4<BR>输出的差别可能很大，这取决于在安装的最后阶段选择的软件，以及之后自行安装的port和package。</DIV> <DIV>端口6000(X Window服务器)是输出中非常常见的；如果没看到它的话，启动一个X Window会话，然后重新运行 sockstat -4。不幸的是，在过去的几年中有很多针对X Window的攻击。幸运的是，使用X并不需要打开6000端口，不必担心，即使关闭了这个端口，仍然可以使用图形界面！</DIV> <DIV>许多方法可以关掉这个端口。我发现的最简单的方法是成为超级用户，并编辑 /usr/X11R6/bin/startx。找到 serverargs 那一行，并把它改为类似下面的样子：<BR>serverargs="-nolisten tcp"<BR>保存修改之后，以普通用户身份运行X并执行 sockstat -4。如果没有打字错误，那么X会像往常那样启动，但 sockstat -4 输出中不会再出现端口6000。</DIV> <DIV>如果想了解6000端口打开的后果，请阅读 Crash Course in X Window Security。</DIV> <DIV>好了，现在 sockstat -4 输出中的服务少了一个。我们还需要处理一下邮件：端口 25 (smtp) 和 587 (submission)。收发邮件并不需要 587 端口，为了关闭它，我们需要修改 /etc/mail/sendmail.cf。查找这一行：<BR>O DaemonPortOptions=Port=587, Name=MSA, M=E<BR>然后在前面加上 # ，并告诉 sendmail 变化：<BR>killall -HUP sendmail<BR>-HUP 不会杀掉 sendmail，但他会告诉sendmail重新处理 /etc/mail/sendmail.cf。重复sockstat -4 ，它将不再显示 587。</DIV> <DIV>那么端口25呢？你可能需要，也可能不需要打开这个端口，这取决于使用什么样的邮件程序来收发邮件。对于运行 FreeBSD 4.6-RELEASE 或更高版本的系统，在/etc/rc.conf中增加下面的行：<BR>sendmail_enable="NO"<BR>将告诉 sendmail 只监听 localhost，这允许所有的邮件客户程序发送邮件。如果你知道你的邮件客户程序带有内置的SMTP代理，或者喜欢冒险，那么可以尝试一下：<BR>sendmail_enable="NONE"<BR>这将彻底关闭25端口。检查一下这是否让你无法发送邮件是很重要的，确保已经关掉了所有应用程序，随后，以超级用户身份执行：<BR>shutdown now<BR>收到提示后按回车、exit。重新登录后给自己发一封邮件，如果收不到，那么把NONE改回NO。</DIV> <DIV>如果你的"sockstat"显示端口111打开，那么把下面几行加到 /etc/rc.conf (或者，如果已经有这些行，把 YES 改为 NO):<BR>nfs_server_enable="NO"<BR>nfs_client_enable="NO"<BR>portmap_enable="NO"<BR>Portmap只有在运行NFS时才是必需的，而这往往不是FreeBSD桌面系统的需要。历史上它有过很多安全问题，因此除非你绝对需要它，否则就别用。</DIV> <DIV>syslog (端口 514) 也可能出现在你的输出结果中。我们可能并不希望完全关掉 syslog ，因为它提供的消息记录是我们需要的。但我们并不需要为此打开端口。在 /etc/rc.conf 文件中增加下面的选项:<BR>syslogd_enable="YES"<BR>syslogd_flags="-ss"<BR>标志中的ss (确认用了两个s，而不是一个) 将禁止来自远程主机的记录并关闭端口，但仍然允许 localhost 进行日志记录。</DIV> <DIV>随后，确认 /etc/rc.conf 中inetd_enable不是YES。如果sockstat输出中有inetd，那么/etc/inetd.conf中肯定有什么项目没有被注释掉，如果不需要的话，那么把那一行前面加上#，并 killall inetd。</DIV> <DIV>如果需要使用DHCP自动获取地址，那么请保持dhclient (udp 6打开，否则将不能刷新地址。</DIV> <DIV>如果在 sockstat 输出中发现了其他东西，那么请看看 man rc.conf 里面有没有关于如何关掉这些东西的提示。如果没有的话，那么很可能是某个启动脚本启动了一些服务程序，请执行：<BR>cd /usr/local/etc/rc.d<BR>来看看你的系统中的启动脚本。绝大多数 packages/ports 会安装一个扩展名为sample的示范脚本用于启动服务，这些脚本并不被执行；也有一些直接安装能够执行的脚本，它们会在计算机启动的时候加载。禁止某个脚本知性最简单的方法是把它的扩展名改为sample，随后杀掉守护程序，这样sockstat就不会再说什么了。举例来说，我最近安装了 ethereal 结果发现 snmpd 出现在 sockstat -4 的输出中，这个程序在安全方面名声不佳，因此我把自己升级为root并执行了下面的命令：<BR>cd /usr/local/etc/rc.d<BR>mv snmpd.sh snmpd.sh.sample killall snmpd<BR>你可能会希望把下面的选项加入 /etc/rc.conf ：<BR>tcp_drop_synfin="YES"<BR>这个选项可以挫败诸如OS指纹识别的企图(译注：这个选项对最新的nmap无效)。如果你打算开启这个选项，那么，还需要在内核编译配置文件中加入：<BR>options TCP_DROP_SYNFIN<BR>还有两个相关的选项：<BR>icmp_drop_redirect="YES"<BR>icmp_log_redirect="YES"<BR>ICMP 重定向可以被利用完成DoS攻击。这篇 ARP and ICMP redirection games article 介绍了具体的一些情况。</DIV> <DIV>在打开 icmp_log_redirect 选项时请务必小心，因为它会记录每一个ICMP重定向，如果你遭到了这样的攻击，那么日志很可能会塞满记录。</DIV> <DIV>建好防火墙之后，请考虑加入下面的选项：<BR>log_in_vain="YES"<BR>这个选项会记录每一个到关闭端口的连接企图。另一个比较有意思的选项是：<BR>accounting_enable="YES"<BR>这将打开系统审计功能，如果你不熟悉他们，那么请阅读 man sa 和 man lastcomm 。</DIV> <DIV>最后，下面的选项可能非常有用：<BR>clear_tmp_enable="YES"<BR>因为它在系统启动时将清空 /tmp ，这永远是一件值得去做的事情。</DIV> <DIV>让我们来研究一下其他能够加强安全的设置。我比较喜欢把默认的口令加密算法改为Blowfish，因为它在提供最佳安全性的前提下，也提供了最快的速度。这里有一份 comparison of algorithms[几种密码学算法的比较]。</DIV> <DIV>当然，如果你对这类东西感兴趣的话，看看 Cryptogram newsletter ，它是Blowfish作者写的。</DIV> <DIV>为了启用 Blowfish 散列，编辑 /etc/login.conf 并把 passwd_format 一行改成下面这样：<BR>:passwd_format=blf:\<BR>保存设置，重新创建登录数据库：<BR>cap_mkdb /etc/login.conf<BR>随后需要修改每一个用户的口令，以便让这些口令都使用 Blowfish 散列值。以超级用户的身份执行下面的命令：<BR>passwd username<BR>需要修改所有用户的口令，包括root自己。</DIV> <DIV>完成了这些操作之后，重新检查一下确认自己没有遗漏什么：<BR>more /etc/master.passwd <BR>所有用户的口令应该以$2.开始</DIV> <DIV>最后，重新配置 adduser 程序，让它在以后使用Blowfish。修改 /etc/auth.conf，找到 crypt_default 一行，改为：<BR>crypt_default=blf<BR>你可能已经注意到，每次登录的时候FreeBSD都会提示你，你在用的那个系统是FreeBSD，以及它的版权信息，包括内核的编译时间，等等。这些信息可能有用，但相当烦人，特别是当别人可以登录的时候，它可能会暴露一些你不希望暴露的信息。</DIV> <DIV>可以通过编辑 /etc/motd 来阻止计算机说出一些不该说的东西，或者宣扬你的一些想法，包括你喜欢看的 sci-fi 文摘，或者其他一些——总之你想写什么就写什么。</DIV> <DIV>随后，删除版权信息：<BR>touch /etc/COPYRIGHT<BR>随后，还可以修改登录提示，编辑 /etc/gettytab. 找到 default:\ 小节，它以下面的文字开头：<BR>:cb:ce:ck:lc<BR>小心地修改 \r\n\ \r\n\r\nr\n: 之间的文字来适应自己的需要。请仔细检查 \r 和 \n 的数量，并保存修�
查看全文
	发表于:2007-08-17 ┆ 阅读(143) ┆ 评论(0)

	FreeBSD中/etc下的文件简介
	<DIV>FreeBSD中/etc下的文件简介</DIV> <DIV><BR>FreeBSD中/etc下的文件简介</DIV> <DIV>FreeBSD中/etc下的文件可以说是纷繁复杂，对熟悉它的人来讲不算什么，但对于一个新手来说就。。。太乱了，下面是一些经常用到的配置文件的作用和配置方法，但愿能给你一点帮助。 </DIV> <DIV>1. aliases <BR>2. crontab <BR>3. csh.cshrc <BR>4. csh.login <BR>5. csh.logout <BR>6. daily <BR>7. defaultdomain <BR>8. exports <BR>9. fbtab <BR>10.fstab <BR>11.ftpusers <BR>12.group <BR>13.host.conf <BR>14.hosts <BR>15.inetd.conf <BR>16……
查看全文
	发表于:2007-08-17 ┆ 阅读(130) ┆ 评论(0)