Archive

‘系統設定’ 分類過的Archive

無法登入網域,出現「指定的網域可能是不存在或無法連絡」

2011年5月10日 尚無評論

最近在安裝系統時,有需要連到AD Server進行網域的認證
原本都很順利,但隔了一天竟然連不上了,搞了好久不是出現

指定的網域可能是不存在或無法連絡

就是

系統目前無法讓您登入 因為網域無法使用

最後在網路上查了一下資料,看來多半是無法辨識網域名稱,DNS可能找不到
雖然小弟用ping 那台ad 的server name 是ping的到的
不過最後排除方式真的是指定好dns 就可以了~~原來是小弟在將server設定成固定IP時並未指定內部的dns server 而造成問題!!

希望和我發生一樣的問題的人可以看到這篇少走一些冤枉路..

Categories: 系統設定 Tags:

Apache Porxy 代理強化安全性

2011年2月18日 尚無評論

又一案例客戶主機變慢了,經查apache log出現了很多怪log

82.146.62.95 – – [23/Feb/2011:13:58:09 +0800] “GET http://zevsmail1.joinvps.com/test_url/dump.php HTTP/1.0” 404 282
82.146.62.95 – – [23/Feb/2011:13:58:09 +0800] “CONNECT 74.125.232.49:443 HTTP/1.1” 400 378
187.158.158.47 – – [23/Feb/2011:13:58:09 +0800] “GET http://www.larednoticias.com/ HTTP/1.1” 200 335
68.169.86.222 – – [23/Feb/2011:13:58:09 +0800] “POST http://www.navanakorn.co.th/reply.php HTTP/1.1” 404 286

82.146.62.95 – – [23/Feb/2011:13:58:09 +0800] “GET http://zevsmail1.joinvps.com/test_url/dump.php HTTP/1.0” 404 28282.146.62.95 – – [23/Feb/2011:13:58:09 +0800] “CONNECT 74.125.232.49:443 HTTP/1.1” 400 378187.158.158.47 – – [23/Feb/2011:13:58:09 +0800] “GET http://www.larednoticias.com/ HTTP/1.1” 200 33568.169.86.222 – – [23/Feb/2011:13:58:09 +0800] “POST http://www.navanakorn.co.th/reply.php HTTP/1.1” 404 286

看來好像變成了代理伺服器,經瞭解,原來他的apache開了mod_proxy, 上網查了一下~~這個東東可不能亂用~@@,但客戶又有系統上的需求,非開不可,所以只好看看有什麼可以防治,以下是防範的作法,與大家分享:

1.似乎網路上有人建議如果是只需要domain 的網站,那該IP封起來不要給連即可!!  這是不錯的方法~可惜客戶連IP都要用@@

2.在IP那個預設的Directory 裡,將 ProxyRequests Off (不過怪了~似乎其它Virtual Host 有使用好像就關不起來,不過還是加上去保平安)

3.為了增加apache的安全性,所以只限GET POST OPTIONS 才能使用

<Directory “/var/www/html/root”>
AllowOverride none
Options FllowSymLinks
# 先允許能夠進行 GET, POST 與 OPTIONS 啦!
<Limit GET POST OPTIONS>
Order allow,deny
Allow from all
</Limit>

# 再規定除了這三個動作之外,其他的動作通通不允許啦!
<LimitExcept GET POST OPTIONS>
Order deny,allow
Deny from all
</LimitExcept>
</Directory>

經這樣使用後,系統運行後就正常多了,只是原本要找代理的請求都轉變成找不到檔案的error 佔滿了error log,原本是想看能不能將連至本網站但 GET 其它網站連結 都擋掉,想連log都看不到,不過查了一下~看來沒法子!!    只好等這個IP從Free代理主機名單中自行消失。

參考資料:

Categories: 未分類, 系統設定 Tags: , ,

Tomcat監控執行效能

2011年2月16日 尚無評論
Tomcat是一個不錯的Java Web Appaction,本身也有提供監控執行的東東,雖然陽春,但對於系統效能調校,這些數據是非常有用的。
1.首先,預設這個監控是沒有開啟的,要打開Tomcat的status頁面,要先至Tomcat的conf目錄下的tomcat-users.xml裡面增加使用者資料及權限,調整如下:
<tomcat-users>
<role rolename=”manager”/>
<user username=”youradmin” password=”yourpassword” roles=”manager”/>
</tomcat-users>

這裡的password和username請自行修改,之後重啟tomcat,連結至http://localhost:8080/manager/status再輸入其帳號密碼即可看到現行運行的status(畫面如下)

如果你是要拿這些數據去做一些統計分析圖表,可執行http://localhost:8080/manager/status?XML=true 這樣即可以XML的方式產出(下方參考連結中有一個是在教如何用其它工具做圖表,有興趣請自行延伸閱讀)

當然,這個status頁面所提供的數據是做何用的,我想有些人看到這麼多數據就很頭大,所以以下是參考別人的網站再轉譯,應該有所幫助:

  • ThreadInfo: Tomcat中執行序資訊
  • Max threads:     執行序最大可以產生的數量
  • MinSpareThreads: 執行序最小空閒的數量
  • MaxSpareThreads: 執行序最大空閒的數量
  • Current thread count: 現行執行中的Thread數量
  • Current thread busy:  現行處於busy狀態的執行序數
  • RequestInfo: 請求的統計資訊
  • Max processing time: 單一個請求的最大處理時間
  • Processing time: 請求的處理時間
  • Bytes received: 收到的Bytes數
  • Bytes sent: 發送的Bytes數
  • Request count: 總請求數
  • Error count: 發生錯誤的請求數
  • Stage Time B Sent B Recv Client VHost Request
  • 這些就是你訪問伺服器這個時間點,伺服器正在處理的連接的一些資訊。
  • ThreadInfo: Tomcat中執行序資訊 Max threads:     執行序最大可以產生的數量 MinSpareThreads: 執行序最小空閒的數量 MaxSpareThreads: 執行序最大空閒的數量 Current thread count: 現行執行中的Thread數量 Current thread busy:  現行處於busy狀態的執行序數
  • RequestInfo: 請求的統計資訊 Max processing time: 單一個請求的最大處理時間 Processing time: 請求的處理時間 Bytes received: 收到的Bytes數 Bytes sent: 發送的Bytes數 Request count: 總請求數 Error count: 發生錯誤的請求數
  • Stage Time B Sent B Recv Client VHost Request 這些就是你訪問伺服器這個時間點,伺服器正在處理的連接的一些資訊。

參考資料:

http://www.javaeye.com/problems/36777

http://bbs.51testing.com/thread-113013-1-1.html(有人透過在Linux透過其它製圖工具繪製Tomcat Status圖表,有興趣可參考此連結)

Categories: JAVA, 系統設定 Tags: ,

Apache mod_rewrite啟用注意事項

2011年1月26日 尚無評論

雖然已經對Apahce 的 mod_rewrite有一定的瞭解,但還是常卡關
最近有發生在某一個Virtual Host設定了rewrite的機制,但.htaccess怎麼試都沒有效果,後來才知~要將目錄設定如下才能啟用

<Directory />
Options FollowSymLinks
AllowOverride All
</Directory>

印象中卡關好幾次的原因都是它,所以在此寫下提醒自己~^^||

Categories: 系統設定 Tags: ,

Apahce強化php安全性防駭客木馬設定

2011年1月21日 尚無評論

最近碰到一個案例,他的網站已運行好年之久但一直都沒有進行安全更新,導致上頭經年累月的被植入不少木馬程式,例如超級PHP木馬帶批量掛馬,及WEBSHELL, 真是有夠給他慘的啦,搞的整個網站像駭客練功的活靶,雖然砍掉重練好,但還是有些因素要救活他,所以首先要先除掉這些東東~可藉由一些工具例如PHPCMS木馬掃瞄器或是php 木馬, 惡意程式查殺工具,然後再將他的apache及php升級並加上mod_limitipconn及mod_bandwidth然後進行PHP的設定,防止php木馬執行webshell,打開safe_mode,並在php.ini中中disable_functions設定

safe_mod=On
disable_functions= passthru,exec,shell_exec,system

也可再增加防止php木馬讀寫文件目錄
在php.ini中disable_functions後面加上php處理文件的函數,如包含剛剛設定的就要變成以下設定

disable_functions= passthru,exec,shell_exec,system,fopen,mkdir,rmdir,chmod,unlink,dir
,fopen,fread,fclose,fwrite,file_exists
,closedir,is_dir,readdir.opendir
,fileperms.copy,unlink,delfile

大功告成,php木馬就無法拿我們執行一些系統程序了

不過還有一點要設定的,網頁程式有時會寫一些上傳程式給會員及非會員使用,如果上傳上去程式碼能再被執行就糟糕了,所以除了上傳上去後更改檔名~如遇到副檔名是PHP就更名外,以下這招也是不錯的選擇

我們可以設定不讓上傳的目錄執行PHP,可在Apache的httpd.conf設定以下參數值:

<Directory “/home/a/upload”>
AllowOverride None
php_flag engine off
Allow from all
</Directory>

如果你只允許你的php在web目錄裡操作,也可以在httpd.conf中加上

php_admin_value open_basedir /home/a

這樣如果有要使用這個之外的檔案時就會有錯誤訊息 Warning: open_basedir restriction in effect. File is in wrong directory in xxxxxxx

這樣基本木馬及WEBSHELL就防止了,但在測試發現,或許已經中太久了,可能已經成為駭客界的教學教材,三不五十的就是有人會丟一些怪網址TRY漏洞,多半都是對岸來的,真是煩呀~!!

發現這種怪連結一多,還蠻佔資源的,所以做了一個小小的rewrite設定,來防止這種怪連結,因為這個網站本身沒有用rewrite,所以在.php後有加上斜線的怪連結就轉到國家資通安全會報技術服務中心,呵~直接轉過去通報

<IfModule mod_rewrite.c>
RewriteEngine On
RedirectMatch /(.*)\.php/(.*) http://www.icst.org.tw/
</IfModule>

OK~經過這樣的設定後,觀察幾天後看來有用~~希望各位駭先生能就此放過它吧!!

參考資料:

Categories: 系統設定 Tags: , ,
分頁: 上一頁 1 2 3 4 5 下一頁