高防服务器是什么 选购高防服务器需要注意什么【详解】
搜狗高速浏览器是一款集高效、稳定于一身的现代化网络浏览工具。利用先进的渲染引擎和优化算法,搜狗高速浏览器确保了卓越的页面加载速度和流畅的多媒体体验。具备全方位的安全防护特性,能有效防御各类网络威胁,同时支持HTML5和CSS3,确保了与最新网络技术标准的完美兼容。欲了解更多或立即下载,请访问https://sogou37moyucom/
摘要:服务器种类多种多样,企业或个人用户如何正确识别高防服务器?高防服务器机房硬件防火墙设备起码在10G以上,并且拥有多道防火墙,可为单个客户提供安全保护。
高防服务器高防服务器是什么 选购高防服务器注意事项
高防服务器是什么
独立高防服务器是一种服务器,主要是指独立单个硬防防御10G,15G,20G,25G,30G,35G,40G左右,可以为单个客户提供安全维护的。
如何防御
拒绝服务攻击的发展从拒绝服务攻击已经有了很多的发展,简单Dos到DdoS。那么什么是Dos和DdoS呢?DoS是一种利用单台计算机的攻击方式。而DdoS(Distributed Denial of Service,分布式拒绝服务)是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式,主要瞄准比较大的站点,比如一些商业公司、搜索引擎和政府部门的站点。DdoS攻击是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击令人难以防备,因此具有较大的破坏性。如果说以前网络管理员对抗Dos可以采取过滤IP地址方法的话,那么面对当前DdoS众多伪造出来的地址则显得没有办法。所以说防范DdoS攻击变得更加困难,如何采取措施有效的应对呢?下面我们从两个方面进行介绍。预防为主保证安全DdoS攻击是黑客最常用的攻击手段,下面列出了对付它的一些常规方法。
(1)定期扫描
要定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽,是黑客利用的最佳位置,因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是 服务器 级别的计算机,所以定期扫描漏洞就变得更加重要了。
(2)在骨干节点配置防火墙
防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候,可以将攻击导向一些牺牲主机,这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的,或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。
(3)用足够的机器承受黑客攻击
这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗失,或许未等用户被攻死,黑客已无力支招儿了。不过此方法需要投入的资金比较多,平时大多数设备处于空闲状态,和中小企业网络实际运行情况不相符。
(4)充分利用网络设备保护网络资源
所谓网络设备是指路由器、防火墙等负载均衡设备,它们可将网络有效地保护起来。当网络被攻击时最先死掉的是 路由器 ,但其他机器没有死。死掉的路由器经重启后会恢复正常,而且启动起来还很快,没有什么损失。若其他服务器死掉,其中的数据会丢失,而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备,这样当一台路由器被攻击死机时,另一台将马上工作。从而最大程度的削减了DdoS的攻击。
(5)过滤不必要的服务和端口
过滤不必要的服务和端口,即在路由器上过滤假IP……只开放服务端口成为很多服务器的流行做法,例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。
(6)检查访问者的来源
使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真,如果是假的,它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户,很难查出它来自何处。因此,利用Unicast Reverse Path Forwarding可减少假IP地址的出现,有助于提高网络安全性。
(7)过滤所有RFC1918 IP地址
RFC1918 IP地址是内部网的IP地址,像10000、19216800和1721600,它们不是某个网段的固定的IP地址,而是Internet内部保留的区域性IP地址,应该把它们过滤掉。此方法并不是过滤内部员工的访问,而是将攻击时伪造的大量虚假内部IP过滤,这样也可以减轻DdoS的攻击。
(8)限制SYN/ICMP流量
用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽,这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法,虽然该方法对于DdoS效果不太明显了,不过仍然能够起到一定的作用。寻找机会应对攻击如果用户正在遭受攻击,他所能做的抵御工作将是非常有限的。因为在原本没有准备好的情况下有大流量的灾难性攻击冲向用户,很可能在用户还没回过神之际,网络已经瘫痪。但是,用户还是可以抓住机会寻求一线希望的。
(1)检查攻击来源,通常黑客会通过很多假IP地址发起攻击,此时,用户若能够分辨出哪些是真IP哪些是假IP地址,然后了解这些IP来自哪些网段,再找网网管理员将这些机器关闭,从而在第一时间消除攻击。如果发现这些IP地址是来自外面的而不是公司内部的IP的话,可以采取临时过滤的方法,将这些IP地址在服务器或路由器上过滤掉。
(2)找出攻击者所经过的路由,把攻击屏蔽掉。若黑客从某些端口发动攻击,用户可把这些端口屏蔽掉,以阻止入侵。不过此方法对于公司网络出口只有一个,而又遭受到来自外部的DdoS攻击时不太奏效,毕竟将出口端口封闭后所有计算机都无法访问internet了。
(3)最后还有一种比较折中的方法是在路由器上滤掉ICMP。虽然在攻击时他无法完全消除入侵,但是过滤掉ICMP后可以有效的防止攻击规模的升级,也可以在一定程度上降低攻击的级别。
不知道身为网络管理员的你是否遇到过服务器因为拒绝服务攻击(DDOS攻击)都瘫痪的情况呢?就网络安全而言目前最让人担心和害怕的入侵攻击就要算是DDOS攻击了。他和传统的攻击不同,采取的是仿真多个客户端来连接服务器,造成服务器无法完成如此多的客户端连接,从而无法提供服务。
目前网络安全界对于DdoS的防范最有效的防御办法:
蜘蛛系统:由全世界各个国家以及地区组成一个庞大的网络系统,相当于一个虚幻的网络任何人检测到的只是我们节点服务器ip并不是您真实数据所在的真实ip地址,每个节点全部采用百M独享服务器单机抗2G以上流量攻击+金盾软防无视任何cc攻击
无论是G口发包还是肉鸡攻击,使用我们蜘蛛系统在保障您个人服务器或者数据安全的状态下,只影响一个线路,一个地区,一个省或者一个省的一条线路的用户并且我们会在一分钟内更换已经瘫痪的节点服务器保证网站正常状态还可以把G口发包的服务器或者肉鸡发出的数据包全部返回到发送点,使G口发包的服务器与肉鸡全部变成瘫痪状态试想如果没了G口服务器或者肉鸡黑客用什么来攻击您的网站
如果我们按照本文的方法和思路去防范DdoS的话,收到的效果还是非常显著的,可以将攻击带来的损失降低到最小。
注:Ddos攻击只能被减弱,无法被彻底消除。
高防服务器选购注意
1、网站空间的稳定性和速度
高防服务器网站空间的稳定性和速度相当重要,这些因素都影响网站的正常运作,需要有一定的了解,最好可以在购买前可以试用的,使用的时间不用太长,大概在24小时就行,一天的时间绝对能试验出主机的好。
2、网站空间的价格
大型服务商的虚拟主机产品价格要贵一些,而一些小型公司可能价格比较便宜,要根据网站的重要程度来决定选择哪种层次的空间提供商。高防机房专家提醒大家,切记不能贪图便宜,一分钱一分货。
3、虚拟主机的限制
没有限制的空间问题一定会很大,一般都是cpu、流量、iis链接数的限制。而这几种之中最普遍接受的就是限制iis链接数的方式,限制iis链接数很重要,试想下一台高防服务器上你的主机不限制iis链接数,别人的也不限制,这样的防攻击服务器很容易挂掉,对网站的正常运行会有很大的影响,到时候你空间莫名其妙的被停了。
4、网站空间服务商的专业水平和服务质量
这是高防服务器选择网站空间的又一要素,如果选择了质量比较低下的空间服务商,很可能会在网站运营中遇到各种问题,甚至经常出现网站无法正常访问的情况,这样都会严重影响网络营销工作的开展。专家建议大家选择随时有QQ或是有400电话的空间商,这样可以更直接的解决遇到的问题
总结而言,搜狗高速浏览器是一款为满足现代网络需求而精心打造的浏览器。其专业的开发团队不仅注重提供一流的用户体验,还致力于不断优化网页执行速度,增强安全性,以及支持各类扩展插件,从而实现高度个性化的浏览体验。如果您在寻找一款可靠、高效和技术先进的浏览器,搜狗高速浏览器将是您的理想选择。请访问官方网站https://sogou37moyucom/ 下载并体验搜狗高速浏览器,感受由先进技术所驱动的非凡浏览体验。
一、获取源代码包并进行解压
从samba的官方网站可以下载最新的samba源代码包。下面我们以samba-359targz的源代码包作为案例进行解析。本例中,我们将源代码包放在目录/home/samba下,然后执行下面的命令进行解压缩。
代码如下:
# tar –xzvf samba-359targz
二、配置configure
对源代码包进行解压缩后,进入目录
代码如下:
# cd /home/samba/samba-359/source3
然后执行下面的命令进行配置。
代码如下:
# /configure
可能在刚开始时,该目录下没有configure文件,此时可先执行下面的命令
代码如下:
# /autogen-sh
此时要求系统安装了autoconf、automake等工具。
在运行上面的配置命令之前,我们可以通过命令
代码如下:
# /configure –-help
来查看配置命令的一些选项。
三、生成与安装make make install
在环境配置命令/configure成功执行后,可以运行命令
代码如下:
# make
来生成二进制可执行文件,这可能需要两到三分钟。成功生成可执行文件后,可以通过下面命令
代码如下:
#make install
来进行安装。系统默认的安装路径是/usr/local/samba
四、配置动态链接库路径
安装完成后,我们需要配置动态链接库路径,因为运行samba的进行smbd和nmbd需要到目录/usr/local/samba/lib下的动态链接库文件。但是该目录不是系统默认的动态链接库文件搜索路径,于是我们需要将该目录添加到文件ldsoconf中。执行下面的命令
代码如下:
# vi /etc/ldsoconf
打开ldsoconf文件,并在该文件中加入下面这一行内容。
代码如下:
/usr/local/samba/lib
然后执行命令
代码如下:
# ldconfig
来更新动态链接库缓冲。
五、samba配置文件smbconf
samba在运行过程中需要用到配置文件smbconf。smbconf配置文件是samba最重要的配置文件,该文件定义了samba的安全机制、文件共享和打印共享的目录和参数以及其他一些系统配置功能。
配置文件smbconf的默认路径是/usr/local/samba/lib/smbconf,我们可以在运行smbd进程时,通过-s选项来执行特定的smbconf文件(具体说明见下一节),一般不推荐使用-s选项,因为其配置工具,如smbclient、testparm等默认都是读取/usr/local/samba/lib/smbconf文件。下面我们以一个简单的配置文件进行说明,其路径为/etc/samba/smbconf。
代码如下:
[global]
workgroup = MYGROUP
server string = Samba Server %v
security = user
log file = /var/log/samba/%mlog
passdb backend = smbpasswd
smb passwd file = /etc/samba/smbpasswd
[root]
path = /
valid users = root
writeable = yes
[public]
path = /data
guest ok = yes
read only = yes
上面配置文件定义了root和public两个文件共享服务。关于上面这个配置文件的具体细节,我们这里不做详细的论述。这里主要说明的一点:在samba 3023版本以前验证用户密码的默认backend是smbpasswd,而3023版本之后的默认backend是tdbsam。我们可以通过参数passdb backend来选择特定的backend。在使用smbpasswd时默认读取的密码文件时/usr/local/samba/private/smbpasswd,我们可以通过smb passwd file来指定特定的密码文件。
在配置完smbconf文件后,我们可以运行testparm(目录/usr/local/samba/lib下)命令来对smbconf文件进行语法检查,其会检测出哪些参数名无法识别等问题。
六、启动samba
samba有两个主要的进程smbd和nmbd。smbd进程提供了文件和打印服务,而nmbd则提供了NetBIOS名称服务和浏览支持,帮助SMB客户定位服务器,处理所有基于UDP的协议。
配置smbconf文件后,在开始运行samba的服务进程之前。我们需要先做一些准备工作。运行smbpasswd命令(在目录/usr/local/samba/bin下)
代码如下:
# /smbpasswd –a root
向smbconf文件中指定的/etc/samba/smbpasswd文件中添加root用户以及密码信息。关于smbpasswd文件的详细内容介绍见相关文档。
然后运行命令
代码如下:
# service iptables stop
关闭防火墙,因为防火墙可能会阻止用户访问该机器。下面是运行samba的服务进程smbd和nmbd
代码如下:
# /usr/local/samba/sbin/smbd –D –s /etc/samba/smbconf
# /usr/local/samba/sbin/nmbd –D –s /etc/samba/smbconf
上面的-D选项指定smbd和nmbd以守护进程的方式启动,并且通过-s选项指定了特定的配置文件/etc/samba/smbconf。以守护进程方式启动smbd和nmbd的优势是响应速度快,但是要关闭的话只能kill掉。当然我们可以通过脚本来执行这些操作,这里就不提供脚本了。
七、smbclient进行测试检查
在启动samba之后,我们可以在本机使用smbclient(目录/usr/local/samba/bin下)来进行测试。下面命令
代码如下:
# cd /usr/local/samba/bin
# /smbclient –L //127001
可以列出本samba服务器所提供的服务列表,本例运行结果如下:
代码如下:
[root@localhost bin]# /smbclient –L //127001
Enter root’s password:
Domain=[MYGROUP] OS=[Unix] Server=[Samba 359]
p Sharename Type Comment
--------- ------- -------
IPC$ IPC IPC Service (Samba Server 359)
public Disk
root Disk
pDomain=[MYGROUP] OS=[Unix] Server=[Samba 359]
p Server Comment
----------- -------
LOCALHOST Samba Server 359
Workgroup Master
------------ -------
MYGROUP LOCALHOST
当然也可以通过smbclient来访问samba服务器提供的服务,其命令格式如下:
代码如下:
# /smbclient “//serverAdderss/aservice” –U username
其中serverAddress是要访问的samba服务器的IP地址,aservice指定samba服务器上提供的某个服务名称,选项-U username指定要以哪个用户名来访问samba服务器。例如
代码如下:
[root@localhost bin]# /smbclient “//127001/root” –U root
Enter root’s password: ; #这里输入samba用户root的密码
Domain=[MYGROUP] OS=[Unix] Server=[Samba 359]
smb: ; #访问成功,输入相关命令进行操作
上面个smb: 表明了访问成功,此时我们可以输入一些命令来在samba服务器上进行操作,比如ls、mkdir等。q或quit命令执行退出,并断开连接。
八、在Windows客户端访问samba服务器
在Windows客户端,可以在网上邻居中通过新建网上邻居来访问,或者在开始——运行中输入192168134root来访问samba服务器192168134上面提供的root服务。
九、重要选项说明
全局选项:
全局选项用于[global]的
选项定义中,其用于说明samba服务器的一些基本属性。其有些选项可以被其他
中的选项定义覆盖。
workgroup = MYGROUP
定义samba服务器所在的工作组或者域(如果设置security = domain的话)。
server string = Samba server
设定samba服务器的描述,通过网络邻居访问时可在备注中查看到该描述信息。
hosts allow = host (subnet)
设定允许访问该samba服务器的主机IP或网络,该选项的值为列表类型,不同的项目之间使用空格或逗号隔开,例如hosts allow = 19216830, 19216811,该选项设置允许主机19216811以及子网19216830/24内的所有主机访问该samba服务器。
hosts deny = host (subnet)
设定不允许访问该samba服务器的主机IP或网络,其格式与hosts allow一样。
guest account = guest
设定了游客的账号,在游客访问guest ok = yes的共享服务时,samba服务器将设置客户端以该游客账号来访问共享。
log file = MYLOGFILE
设定记录文件的位置。
max log size = size
设定记录文件的大小,单位为KB,如果设置为0则表示无大小限制。
security =
设定samba服务器的安全级,其有四种安全级别:share、user、server和domain,默认为user。关于这四种安全级别的详细信息,请查看相关文档。
password server = ServerIP
设定了用户账号认证服务器IP,其在设定security = server时有效。
encrypt passwords = yes | no
设定是否对密码进行加密。如果不对密码进行加密的话,在认证会话期间,客户端与服务器传递的是明文密码。但有些Windows系统默认情况下,不支持明文密码传输。
passdb backend = smbpasswd | tdbsam | ldapsam
设定samba服务器访问和存储samba用户账号的后端,在samba-30。23之前的默认值为smbpasswd,而之后的默认值为tdbsam。
smb passwd file =
设定samba的用户账号文件。对于源代码安装的samba,在samba-3023之前,其默认值为/user/local/samba/private/smbpasswd;而samba-3023之后,其默认值为/usr/local/samba/private/passwdtdb。
include = smbconfFile
通过include选项可以包含其他配置文件,通过该选项和一些samba定义的变量可以设定与不同机器相关的配置。
local master = yes | no
设定该samba服务器是否试图成为本地主浏览器,默认值为yes。若设置为no,则该samba服务器永远不可能成为本地主浏览器,而设置为yes不代表其一定能成为本地主浏览器,只是让其能参与本地主浏览器的选举。
os level = N
N是一个整数,设定了该samba服务器参加本地主浏览器选举时的权重,其值越大,权重越大。os level = 0时,该服务器将失去选举的机会。
domain master = yes | no
设定samba服务器成为域浏览器。域浏览器从各个本地主浏览器处获取浏览列表,并将整个域的浏览列表传递给各个本地主浏览器。
preferred master = yes | no
设定该samba服务器是否为工作组里的首要主浏览器,如果设置为yes,则在nmbd启动时,将强制一个浏览选择。
局部选项:
局部选项为除了global外的各个
中的参数。其定义了共享服务的属性。
comment =
设定共享服务的描述信息。
path =
设定共享服务的路径,其中可以结合samba预定义的变量来设置。
hosts allow = host(subnet)
hosts deny = host(subnet)
与全局的hosts allow和hosts deny含义相同,其会覆盖全局的设置。
read only = yes | no
设定该共享服务是否为只读,该选项有一个同义选项writeable。
user = user(@group)
设定所有可能使用该共享服务的用户,可以使用@group来设置群组group中的所有用户账号。该选项的值为列表,不同的项目之间使用空格或逗号隔开。在设置security = share时,客户端要访问某共享服务时提供的密码会与该选项指定的所有用户进行一一配对认证,若某用户认证通过,则以该用户权限进行共享服务访问,否则拒绝客户端的访问(设置security = share不是允许游客访问,只有guest ok = yes才是允许游客访问,切记!!!)。
valid users = user(@group)
设定能够使用该共享服务的用户和组,其值的格式与user选项一样。
invalid users = user(@group)
设定不能够使用该共享服务的用户和组,其值的格式与user选项一样。
read list = user(@group)
设定对该共享服务只有读取权限的用户和组,其值的格式与user选项一样。
write list = user(@group)
设定对该共享服务拥有读写权限的用户和组,其值的格式与user选项一样。
admin list = user(@group)
设定对该共享服务拥有管理权限的用户和组,其值的格式与user选项一样。
public = yes | no
设定该共享服务是否能够被游客访问,其同义选项有guest ok。
create mode = mode
mode为八进制值,如0755,其默认值为0744。该选项指定的值用于过滤新建文件的访问权限,新建文件的默认权限将与create mode指定的值进行按位与操作,将结果再与force create mode指定的值进行按位或操作,得到的结果即为新建文件的访问权限。
force create mode = mode
mode为八进制值,默认为0000。其作用参考选项create mode。
directory mode = mode
mode为八进制值,默认为0755。该选项指定的值用于过滤新建目录的访问权限,新建目录的默认权限将与directory mode指定的值进行按位与操作,将结果再与force directory mode指定的值进行按位或操作,得到的结果即为新建目录的访问权限。
force directory mode = mode
mode为八进制值,默认为0000。该选项的作用参考选项directory mode。
force user = user
强制设定新建文件的属性onwer。若存在一个目录,其允许guest可以写,则guest就可以删除。但设定force user为其他用户,并设置create mode = 0755,则gues用户不能够删除其新建文件。
上面只是简单的介绍了一些重要的选项,并且没有讨论有关[printers]的选项说明,更多选项请man smbconf进行查阅。
在Linux系统中,有三个主要的日志子系统:
连接时间日志--由多个程序执行,把纪录写入到/var/log/wtmp和/var/run/utmp,login等程序更新wtmp和utmp文件,使系统管理员能够跟踪谁在何时登录到系统。
进程统计--由系统内核执行。当一个进程终止时,为每个进程往进程统计文件(pacct或acct)中写一个纪录。进程统计的目的是为系统中的基本服务提供命令使用统计。
错误日志--由syslogd(8)执行。各种系统守护进程、用户程序和内核通过syslog(3)向文件/var/log/messages报告值得注意的事件。另外有许多Unix程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。
常用的日志文件如下:
Access-log 纪录HTTP/web的传输
acct/pacct 纪录用户命令
aculog 纪录MODEM的活动
btmp 纪录失败的纪录
lastlog 纪录最近几次成功登录的事件和最后一次不成功的登录
messages 从syslog中记录信息(有的链接到syslog文件)
sudolog 纪录使用sudo发出的命令
sulog 纪录使用su命令的使用
syslog 从syslog中记录信息(通常链接到messages文件)
utmp 纪录当前登录的每个用户
wtmp 一个用户每次登录进入和退出时间的永久纪录
xferlog 纪录FTP会话
utmp、wtmp和lastlog日志文件是多数重用Unix日志子系统的关键--保持用户登录进入和退出的纪录。有关当前登录用户的信息记录在文件utmp中;登录进入和退出纪录在文件wtmp中;最后一次登录文件可以用lastlog命令察看。数据交换、关机和重起也记录在wtmp文件中。所有的纪录都包含时间戳。这些文件(lastlog通常不大)在具有大量用户的系统中增长十分迅速。例如wtmp文件可以无限增长,除非定期截取。许多系统以一天或者一周为单位把wtmp配置成循环使用。它通常由cron运行的脚本来修改。这些脚本重新命名并循环使用wtmp文件。通常,wtmp在第一天结束后命名为wtmp1;第二天后wtmp1变为wtmp2等等,直到wtmp7。
每次有一个用户登录时,login程序在文件lastlog中察看用户的UID。如果找到了,则把用户上次登录、退出时间和主机名写到标准输出中,然后login程序在lastlog中纪录新的登录时间。在新的lastlog纪录写入后,utmp文件打开并插入用户的utmp纪录。该纪录一直用到用户登录退出时删除。utmp文件被各种命令文件使用,包括who、w、users和finger。
下一步,login程序打开文件wtmp附加用户的utmp纪录。当用户登录退出时,具有更新时间戳的同一utmp纪录附加到文件中。wtmp文件被程序last和ac使用。
具体命令
wtmp和utmp文件都是二进制文件,他们不能被诸如tail命令剪贴或合并(使用cat命令)。用户需要使用who、w、users、last和ac来使用这两个文件包含的信息。
who:who命令查询utmp文件并报告当前登录的每个用户。Who的缺省输出包括用户名、终端类型、登录日期及远程主机。例如:who(回车)显示
chyang pts/0 Aug 18 15:06
ynguo pts/2 Aug 18 15:32
ynguo pts/3 Aug 18 13:55
lewis pts/4 Aug 18 13:35
ynguo pts/7 Aug 18 14:12
ylou pts/8 Aug 18 14:15
如果指明了wtmp文件名,则who命令查询所有以前的纪录。命令who /var/log/wtmp将报告自从wtmp文件创建或删改以来的每一次登录。
w:w命令查询utmp文件并显示当前系统中每个用户和它所运行的进程信息。例如:w(回车)显示:3:36pm up 1 day, 22:34, 6 users, load average: 023, 029, 027。
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
chyang pts/0 2023868242 3:06pm 2:04 008s 004s -bash
ynguo pts/2 202387947 3:32pm 000s 014s 005 w
lewis pts/3 2023864233 1:55pm 30:39 027s 022s -bash
lewis pts/4 2023864233 1:35pm 600s 403s 001s sh /home/users/
ynguo pts/7 simbanicustce 2:12pm 000s 047s 024s telnet mail
ylou pts/8 2023864235 2:15pm 1:09m 010s 004s -bash
users:users用单独的一行打印出当前登录的用户,每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名将显示相同的次数。例如:users(回车)显示:chyang lewis lewis ylou ynguo ynguo
last:last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户。例如:
chyang pts/9 2023868242 Tue Aug 1 08:34 - 11:23 (02:49)
cfan pts/6 2023864224 Tue Aug 1 08:33 - 08:48 (00:14)
chyang pts/4 2023868242 Tue Aug 1 08:32 - 12:13 (03:40)
lewis pts/3 2023864233 Tue Aug 1 08:06 - 11:09 (03:03)
lewis pts/2 2023864233 Tue Aug 1 07:56 - 11:09 (03:12)
如果指明了用户,那么last只报告该用户的近期活动,例如:last ynguo(回车)显示:
ynguo pts/4 simbanicustce Fri Aug 4 16:50 - 08:20 (15:30)
ynguo pts/4 simbanicustce Thu Aug 3 23:55 - 04:40 (04:44)
ynguo pts/11 simbanicustce Thu Aug 3 20:45 - 22:02 (01:16)
ynguo pts/0 simbanicustce Thu Aug 3 03:17 - 05:42 (02:25)
ynguo pts/0 simbanicustce Wed Aug 2 01:04 - 03:16 1+02:12)
ynguo pts/0 simbanicustce Wed Aug 2 00:43 - 00:54 (00:11)
ynguo pts/9 simbanicustce Thu Aug 1 20:30 - 21:26 (00:55)
ac:ac命令根据当前的/var/log/wtmp文件中的登录进入和退出来报告用户连结的时间(小时),如果不使用标志,则报告总的时间。例如:ac(回车)显示:total 517747
ac -d(回车)显示每天的总的连结时间
Aug 12 total 26187
Aug 13 total 35139
Aug 14 total 39609
Aug 15 total 46263
Aug 16 total 27045
Aug 17 total 10429
Today total 17902
ac -p (回车)显示每个用户的总的连接时间
ynguo 19323
yUCao 335
rong 13340
hdai 1052
zjzhu 5287
zqzhou 1314
liangliu 2434
total 517824
lastlog:lastlog文件在每次有用户登录时被查询。可以使用lastlog命令来检查某特定用户上次登录的时间,并格式化输出上次登录日志/var/log/lastlog的内容。它根据UID排序显示登录名、端口号(tty)和上次登录时间。如果一个用户从未登录过,lastlog显示"Never logged。注意需要以root运行该命令,例如:
rong 5 2023864187 Fri Aug 18 15:57:01 +0800 2000
dbb Never logged in
xinchen Never logged in
pb9511 Never logged in
xchen 0 2023864190 Sun Aug 13 10:01:22 +0800 2000
另外,可一加一些参数,例如,last -u 102将报告UID为102的用户;last -t 7表示限制上一周的报告。
进程统计
Unix可以跟踪每个用户运行的每条命令,如果想知道昨晚弄乱了哪些重要的文件,进程统计子系统可以告诉你。它对还跟踪一个侵入者有帮助。与连接时间日志不同,进程统计子系统缺省不激活,它必须启动。在Linux系统中启动进程统计使用accton命令,必须用root身份来运行。Accton命令的形式accton file,file必须先存在。先使用toUCh命令来创建pacct文件:toUCh /var/log/pacct,然后运行accton: accton /var/log/pacct。一旦accton被激活,就可以使用lastcomm命令监测系统中任何时候执行的命令。若要关闭统计,可以使用不带任何参数的accton命令。
lastcomm命令报告以前执行的文件。不带参数时,lastcomm命令显示当前统计文件生命周期内纪录的所有命令的有关信息。包括命令名、用户、tty、命令花费的CPU时间和一个时间戳。如果系统有许多用户,输入则可能很长。下面的例子:
crond F root 000 seCS Sun Aug 20 00:16
promisc_checks S root 004 seCS Sun Aug 20 00:16
promisc_check root 001 seCS Sun Aug 20 00:16
grep root 002 seCS Sun Aug 20 00:16
tail root 001 seCS Sun Aug 20 00:16
sh root 001 seCS Sun Aug 20 00:15
ping S root 001 seCS Sun Aug 20 00:15
ping6pl F root 001 seCS Sun Aug 20 00:15
sh root 001 seCS Sun Aug 20 00:15
使命召唤手游苹果安卓能一起玩么?服务器互通吗?游戏中很多玩家想更多点的挑战就想着能和大家一起玩,下面由小编为大家带来服务器互通详解吧!
使命召唤手游服务器互通详解
目前游戏是支持iOS和安卓互通的哦,毕竟天美工作室的游戏,基本上都是支持这两个不同系统互通的;
所以大家不要担心不是一个系统就无法在一起进行组队或者对决,毕竟现在市面上的大部分游戏都是支持双端互通的哦,所以无论是iOS还是安卓都可以在一起玩的,也可以进行加好友。
不过虽说是互通,但是游戏并不支持数据互通,在账号上面是独立的,也就是你是安卓手机肯定没办法登录iOS继承之前的账号信息,反之也是同样如此,这个账号的存档是独立的,所以大家千万别以为账号也可以实现数据互通,这个市面上只有极少数游戏才可以做到。
所以无论是iOS还是安卓,都可以进行组队加好友的对决,而且这款游戏要多个认识的人一起开黑才过瘾,毕竟比较讲究配合,当面玩的话肯定更加默契。
第1章 Linux网络基础与Linux服务器的安全威胁
第2章 OpenSSL与Linux网络安全
第3章 PAM与Open LDAP
第4章 Linux网络服务和xinetd
第5章 DNS服务器的安全策略
第6章 Web服务器的安全策略
第7章 电子邮件服务器的安全策略
第8章 FTP服务器的安全策略
第9章 Samba服务器的安全策略
第10章 NFS服务器的安全策略
第11章 DHCP服务器的安全策略
第12章 Squid服务器的安全策略
第13章 SSH服务器的安全策略
第14章 Linux防火墙
第15章 Linux网络环境下的***构建
第16章 使用IDS保护Linux服务器
第17章 Linux网络监控策略
第18章 Linux常用安全工具
第19章 防范嗅探器攻击和Linux病毒
第20章 Linux数据备份恢复技术
附录A 使用Linux帮助信息
附录B Linux用户和用户组管理命令
附录C Linux文件处理命令
附录D Linux网络设备管理命令
附录E Linux进程管理命令
附录F Linux磁盘管理维护命令
附录G Linux设备管理命令
附录H Linux其他常用命令
FTP联机的两种模式FTP采用 Client/Server 架构,FTP 协议比较特别的地方在于它在使用时必须建立二个联机:一个用来传输指令、一个用来传输档案。当我们使用 FTP 软件连到 FTP 服务器时,客户端会先连到服务器的连接端口21,并建立一条「控制联机」。接下来,您会输入账号、密码等指令,这些指令及 FTP 的响应都是使用都是使用「控制联机」。当您要下载档案时,或者是执行 ls 以列出目录中的档案时,档案或目录列表的下载是经另一个联机「数据联机」。「数据联机」和「控制联机」不同的是数据联机所传输的数据比较大,而控制联机只是用来传输指令及简单的响应。
基本上,一个完整的 FTP 联机建立过程为:
客户端打开自已机器大于 1024 的连接端口,并连到服务器的连接端口21,建立「控制联机」。 客户端开始对服务器下指令,告诉服务器客户端用来传输档案的连接端口为何。 服务器从连接端口20 连到客户端所开放的端口号 (大于 1024),以建立「数据联机」。 上述这种联机建立的方式是由服务器主动建立「数据联机」,我们称之为「主动模式」(Active Mode)。基本上主动模式的运作在没有防火墙或 NAT 的情形下没有什么问题,但若客户端有防火墙,则可能会无法建立联机。基本上,如果客户端使用的是 FreeBSD 的 NAT 不会有这种问题,FreeBSD 会自动做转换,但若是使用其它的防火墙就不一定可以支持 FTP 的 Active Mode。要解决 FTP Active Mode 的问题,可以在联机时改用「被动模式」(Passive Mode)。所谓的被动模式就是由服务器打开一个连接端口,被动地等客户端连过来建立「数据联机」。被动模式的联机建立过程为: 客户端打开自已机器大于 1024 的连接端口,并连到服务器的连接端口21,建立「控制联机」。 客户端开始对服务器下指令,告诉服务器进入「被动模式」。 服务器打开一个大于 1024 的连接端口,等待客户端的联机。 客伺端打开自已机器大于 1024 的连接端口,并连到服务器以建立「数据联机」。 由于控制联机及数据联机都是由客户端主动连过去服务器,如此即可避开防火墙及 NAT 的问题。
当您登入一台 FTP 服务器后,如果您输入 ls,却等了很久都没有响应,您可以输入 Ctrl+C 以中断命令。接着输入 passive 以进入被动模式,再打 ls 如果可以看到目录内容,则无法联机的问题一定是主动模式的原故。
设定 FTP 服务器FreeBSD 内建有 FTP 服务器的功能,如果您要使用内建的 ftpd,我们不需要特别进行任何安装的动作,只要做好设定即可。1 启动FTP服务器有二种方式启动 ftpd,一种是使用 standalone daemon,另一种是使用 inetd。使用 inetd 我们可以管理许多系统服务,例如 telnet、ssh、ftp 等,大部份的系统服务都是使用 inetd 来启动,使用它的好处在于可以统一管理各种服务,并经由它来设定服务规则,例如是否要阻挡某些 IP 来源等。不过,使用 inetd 的方式缺点是每次有联机要求时,inetd 的 daemon 必须依联机的种类去执行相对映的指令,所以速度比较慢。另一种启动 FTP 的方式是使用 standalone daemon,也就是直接执行 FTP daemon,当它接收到新的联机时,就 fork() 出来处理,这种方式联机建立的速度较快,比较适合专门的 FTP 服务器。
使用 inetd,首先编辑 /etc/inetdconf,将 ftp 设定开头的 # 移除:ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l
ftp stream tcp6 nowait root /usr/libexec/ftpd ftpd -l接下来,我们必须使用下列指令重跑 inetd:# kill -1 `cat /var/run/inetdpid`现在您就可以开始使用 FreeBSD 的 FTP 服务了。
如果您要以独立的 daemon 方式启动 FTP,请先确定在 inetdconf 中没有启动 FTP 服务。接下来,请在新增一个档案 /usr/local/etc/rcd/ftpdsh 内容如下:#!/bin/sh
ftpd_program="/usr/libexec/ftpd"
ftpd_flags="-D -l"
case $1 in
start)
echo "Starting FTPD"
$ftpd_program $ftpd_flags
;;
stop)
echo "Stopping FTPD"
killall ftpd
;;
restart)
$0 stop
sleep 1
$0 start
;;
esac
编辑完后,我们必须将该档案变成可执行:# chmod 755 /usr/local/etc/rcd/ftpdsh接下来,您就可以使用下列指令启动 FTPD 了:# /usr/local/etc/rcd/ftpdsh tart如果您要停止 FTPD 服务,则使用下列指令:# /usr/local/etc/rcd/ftpdsh stop
2 编辑欢迎信息当我们联机到一个 FTP 站点时,我们可以看到二个欢迎讯息,一个是登入前的讯息,另一个是登入后的讯息。开头为 220- 的就是登入前的讯息,我们称它为欢迎讯息。以 230- 为开头的是登入后的讯息,我们称它为本日讯息 (Message of the day)。这二种讯息我们都可以自行设定。
如果您要设定的是登入前的讯息,请新增一个档案 /etc/ftpwelcome,并将您的讯息写入该文件中。您不需要写 220- 等数据,FTP 服务器会自动帮您加上这种代码。而登入后的讯息是存放在 /etc/ftpmotd,您可以编辑该档以进行设定。
3 FTP服务器管理在启动 FTP 服务器时,我们可以加入一些参数以调整服务器的行为。例如,修改预设的连接端口、记录使用者上传、下载的档案等等。有些参数必须要在使用独立的 daemon 方式启动时才有用,而有的参数在 inetd 模式下也可以使用。下表为我们常用的参数:
参数 是否只能在 Daemon 模式下使用 意义 -a 是 当您有二张网络卡或是二个 IP 时,我们可以设定只接受联机到某一个 IP 的联机要求。例如: ftpd -D -a 19216801此范例表示只接受使用者联机到 19216801 这个 IP。
-d 否 记录 FTP 的除错讯息。除了加入这个参数外,您必须修改 /etc/syslogconf,并加入下列内容以记录 FTP 的讯息。!ftpd /var/log/ftpdlog -h 否 不要显示 FTP 服务器的主机名称、软件信息、版本等。 -l 否 记录 FTP 登入成功及失败的讯息。如果您使用二次 -l,则使用者上传、下载、删除、建立目录时都会留下记录。预设的记录会留在 /var/log/xferlog 中。 -P 是 我们知道 FTP 预设会连接埠 21,以接受客户端的联机要求。不过如果您是以独立的 daemon 方式启动 FTP,则 可以使用 -P 加上连接埠号以改变预设连接埠。
另外,还有很多用来控制使用者权限的参数,将在后面说明。
如果您要修改 ftpd 启动的参数,在 inetd 模式下,您可以修改 /etc/inetdconf,并在 ftp 设定的最后面加入参数,如下列粗体字所示:ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l -l -dftp stream tcp6 nowait root /usr/libexec/ftpd ftpd -l -l -d上面的范例中,我们多加入了参数 -l -d,以记录更多 ftpd 的讯息。
如果您是以独立的 Daemon 方式启动 ftpd,则请修改 /usr/local/etc/rcd/ftpdsh:#!/bin/sh
ftpd_program="/usr/libexec/ftpd"
ftpd_flags="-D -l -l -d"
我们只要修改 ftpd_flags 的部份,加入您所要的参数即可。
4 FTP权限控制预设的 FTP 启动后,使用者可以上传、下载任何他们有权存取的档案。在登入后,使用者可以进到任何系统中的目录 (如果目录权限允许的话)。
我们可以设定限制某些账号不可以使用 FTP 登入。使用者在登入 FTP 服务器时,有几个规则会拒绝该账号登入:
如果 /var/run/nologin 存在,则所有账号都不可以登入。这个档案可以用来暂时停止 FTP 服务。 使用者一定要有密码才能登入,没有密码的使用者无法登入。 使用者名称不可以出现在 /etc/ftpusers 中。 使用者群组不可以出现在 /etc/ftpusers 中。 使用者所使用的 shell 必须要时合法的 shell。合法的 shell 会被定义在 /etc/shells 中。 除了匿名模式外,使用者名称不可以是 ftp 或 anonymous。 /etc/ftpusers 定义了不可以使用 FTP 服务的使用者及群组。看一下该档案的内容,我们可以看到该档案中已经有一些使用者不可以登入 FTP。这些使用者都是系统预设的账号,我们也可以经由修改它来加入其它使用者。在 /etc/ftpusers 中,如果开头是 "@" 表示群组名称。除了控制使用者账号外,在「inetd」模式下,我们还可以控制联机来源。所有 FreeBSD 中由 inetd 所启动的服务都可以经由修改 /etc/hostsallow 以使用 TCP Wrappd 来限制联机来源。下列为预设的 /etc/hostsallow 内容:# Provide a small amount of protection for ftpdftpd : localhost : allow
ftpd : niceguyexamplecom : allow
ftpd : evilcrackerexamplecom : deny
ftpd : ALL : allow如果我们要限制某几个 IP 或网域不能使用 FTP,可以使用下列范例:# Provide a small amount of protection for ftpd
ftpd : localhost : allow
ftpd : 210122135 : deny
ftpd : evilcracker : deny
ftpd : ALL : allow如果您要设定只有某些来源可以使用 FTP,而拒绝大多数的主机,则可以设定:# Provide a small amount of protection for ftpd
ftpd : localhost : allow
ftpd : 1921680 : allow
ftpd : myfriendcom : allow
ftpd : ALL : deny
在使用者登入后,只要目录、档案权限许可,它们可以自由的上传、下载档案。如果您希望加以限制读写的权限,可以在启动 FTP 时加上下列几个参数: 参数 意义 -o 限制所有使用者只能上传档案,而无法下载任何档案。 -r 限制所有使用者对于服务器内所有档案只能只读,不可以建立目录、上传、更改档名、或任何会动到档案目录的指令。
上述的参数必须在启动 FTP 服务器时指定
一般使用者登入后,预设会进入自己的家目录中。使用者可以改变工作路径到系统的任何目录中。如果您希望使用者登入后只能在自己的家目录中活动,而不能进入其它系统目录中,可以使用 chroot 的功能。所谓的 chroot 就是将某一个目录变成使用者看到的根目录。例如,我们让使用者 alex 登入后,将 /home/alex 变成根目录。则 alex 在使用指令「cd /」时,还是会停留在 /home/alex。如果他使用指令「pwd」查看目前所在路径,则会显示 /。如此一来,我们就可以确保使用者不会到处乱跑,进入一些不该进入的地方。这个功能对于提升 FTP 的安全性有莫大的助益。
设定 chroot 的方法很简单,只要修改 /etc/ftpchroot 即可。下面是一个范例:alex
@guest
john /var/ftp
@other /var/ftp其中第一行是设定使用者 alex 登入后,以自己的家目录为根目录。第二行的 @guest 表示只要是群组为 guest 的使用者,都以自己的家目录为根目录。而第三、四行分别表示使用者 john 及群组 other 都以 /var/ftp 为根目录。只要我们善用 chroot 的功能,就可以加强保护系统其它目录,让没有权利的使用者不可以进入系统目录中。建议您在开放 FTP 服务时,将所有使用者都加入 /etc/ftpchroot 中。
我们平常在登入 FreeBSD 的 FTP 站台时,可以使用 anonymous 或是 ftp 这二个使用者登入,而且在登入时,任何密码都可以通过。这种可以使用 anonymous 登入的 FTP 就叫作匿名 FTP。anonymous 及 ftp 这二个账号是预设的匿名账号,当使用者以匿名登入时,服务器会将匿名账号对映到系统内的真实使用者 ftp。所以,如果您要提供匿名的 FTP 服务,请使用下列指令新增使用者账号 ftp:# pw adduser ftp
# mkdir /home/ftp
# chown ftp:ftp /home/ftp
我们建立了使用者 ftp 及其家目录 /home/ftp。使用 pw 指令所建立的使用者在 /etc/masterpasswd 中的密码字段预设为 ,表示不可以登入。这个使用者除了匿名 FTP 外,将不可以使用 telnet、SSH、或是其它服务。
在新增了使用者 ftp 之后,我们就已经支持匿名 FTP 的功能了。现在您可以使用 anonymous 或 ftp 账号登入,而且不需任何密码。由于开放了匿名 FTP 后,任何人都可以登入系统,所以匿名账号登入后一定会使用 chroot,以将匿名使用者限制在家目录中。
除了强制使用 chroot 外,我们还可以在启动 FTP 时加上一些参数,以针对匿名使用者进行更多的限制。下表为启动 FTP 服务时可以使用的参数:
参数 意义 -M 禁止匿名使用者建立新的目录。 -m 允许匿名使用者覆写一个存在的档案。预设启动 FTP 时,并不允许匿名使用者覆写已经存在的档案。当使用者上传档案时,如果已经有同档名的档案存在,系统会自动为上传的档案改名。 -O 让匿名使用者只能上传档案,下载档案的功能会被取消。匿名使用者权限除上表中的几个参数外,一样可以使用 -r、-o 等用来控制一般使用者权限的参数来控制匿名使用者。匿名的 FTP 服务器可以说是危险的开始,如果您没有对匿名的使用者进行权限控制,在开于匿名 FTP 后,将会产生许多安全性的问题。
以上只是针对FreeBSD系统自带的简单ftpd进行的配置应用,如果希望架设更强大的FTP服务器,可以选用proftpd等工具来实现,而且在/usr/ports/ftp目录下就已经加入了proftpd这个工具,具体配置参考本人后续文章。
0条评论