NTP---校正 Linux 伺服器時間

安裝套件
yum -y install ntp

方法一-----------------------------

vi /etc/crontab


00 5 * * * root /usr/sbin/ntpdate tock.stdtime.gov.tw && /sbin/hwclock -w


#每天早上五點對時並寫入到BIOS裡

 
方法二----------------------------- 
設定每天執行一次
vi /etc/cron.daily/ntpdate.sh
#! /bin/bash
ntpdate -s time.stdtime.gov.tw
hwclock --systohc
修改可執行指令
chmod 755 /etc/cron.daily/ntpdate.sh
 

修改/etc/fstab後,無法開機

名詞解釋fstab:硬碟切割參數檔

一、進入單人模式
centos5 進入開機選單,立刻點選「a」編輯模式,於Kernel最後加入single,完成後Enter。如下:
kernel /vmlinuz-2.6.12-1 ro root=/dev/hda2 kernel single

二、接著重新mount root為可讀寫(若沒有進入Single模式,無法修改錯誤的fstab)
mount -o remount,rw /

三、最後修改有問題的fstab

vi /etc/fstab
--------------
LABEn=/                 /                       ext3    defaults        1 1
LABEL=/var              /var                    ext3    defaults        1 2
LABEL=/home1            /home2442               ext3    defaults        1 2
LABEL=/boot             /boot                   ext3    defaults        1 2
tmpfs                   /dev/shm                tmpfs   defaults        0 0
devpts                  /dev/pts                devpts  gid=5,mode=620  0 0
sysfs                   /sys                    sysfs   defaults        0 0
proc                    /proc                   proc    defaults        0 0
LABEL=SWAP-hdb5         swap                    swap    defaults        0 0
file.x.kh.edu.tw:/home      /home           nfs     rw,soft,intr    0 0

pfsense快速安裝NAT伺服器

Normal 0 0 2

pfSense 是一個自由、開放源碼的防火牆路由器,它是帶作業系統的軟體,所以安裝時是接近OS方法安裝,對初學方便。

pfsense的功能強 大,可做 FirewallNATDHCPPPTP VPN、流量控制等。

 

 

安裝筆記:pfSense-1.2.3

3/21~22測用各種容量的隨身碟,製作嵌入式伺服器,沒有正常可用的案例,放棄。

3/23使用Live CD安裝到硬碟,安裝正常。

3/24接著使用預設的安裝模式,實機操作問題多多。

3/25決定手動安裝,測試結果正常,可以迅速服務上網的功能。

 

資料來源

Normal 0 0 2 官方網站:pfSense Open Source Firewall Distribution

Normal 0 0 2

OSSLab::開放軟體實驗室

打造家用防火牆的需求 by pfSense 

澎湖人線上書籍系統

擋掉特定網址

http://chinson.pbworks.com/pfsense

 

 

 

ubuntu 9.10相關設定

  • 設定ADSL上網

sudo pppoeconf

  • Flash亂碼

sudo mv /etc/fonts/conf.d/49-sansserif.conf /etc/fonts/conf.d/49-sansserif.conf.bak

好用注音輸入法gcin

 

網路設定 - 固定IP篇

# sudo vi /etc/network/interfaces
1 auto lo
2 iface lo inet loopback
3
4
5 iface eth0 inet static
6 address 140.127.ooo.xxx / * 固定IP位址 * /
7 netmask 255.255.255.0 / * 網路遮罩 * /
8 gateway 140.127.qqq.ppp / *預設閘道 * /
9
10
11
12 auto eth0

 

# sudo /etc/init.d/networking restart

 

ipv6 Linux版本

上課網站
http://0rz.tw/XqQkz

顯示網卡資料ifconfig eth0
/sbin/ip -6 route

測試連線及gateway

ping6 www.ipv6.hinet.net
ping6 fe80::209:fff:fe85:f71e -I  eth0
ping6 2001:288:82b2:1:209:fff:fe85:f71e

設定網路
vi /etc/sysconfig/network

NETWORKING_IPV6=yes

IPV6_AUTOCONF=no

IPV6_DEFAULTGW=2001:288:82b2:1:209:fff:fe85:f71e%eth0


vi /etc/sysconfig/network-scripts/ifcfg-eth0

IPV6INIT=yes

IPV6ADDR=2001:288:82b2:1::2/64


vi /etc/hosts

::1     localhost6.localdomain6 localhost6

2001:288:82b2:1::2 www.shsps.kh.edu.tw www

重新啟動網路卡
service network restart

 

httpd設定

vi /etc/httpd/conf/httpd.conf

查詢Listen

修改為

Listen [::]:80

重新啟動

service httpd restart

 

IPv6實作課程筆記

Windows xp sp2以上版本快速安裝ipv6

  • ipv6 install

XP自我測試指令

  • ping6 ::1

Windows 2003 2008 7自我測試指令

  • ping ::1

 

呈現三組IP,可以從mac值判斷那一組ip為正使用。

Physical Address. . . . . . . . . : 00-E0-4C-F0-0C-A9

Connection-specific DNS Suffix  . : kiecnat.kh.edu.tw
IP Address. . . . . . . . . . . . : 192.168.10.165
Subnet Mask . . . . . . . . . . . : 255.255.255.0
IP Address. . . . . . . . . . . . : 2001:288:8201:4:59e:e5c4:9956:f73f
IP Address. . . . . . . . . . . . : 2001:288:8201:4:2e0:4cff:fef0:ca9
IP Address. . . . . . . . . . . . : fe80::2e0:4cff:fef0:ca9%5
Default Gateway . . . . . . . . . : 192.168.10.254
                                    fe80::209:fff:fe61:5fb0%5

每個學校有20*2的64次方個IP,每格有2的64次方

  • 伺服器建議尾碼1~20
  • 2001:288:8201:4:0:0:0:1
  • 2001(世界):288(台灣):8201:4(學校子網段20個):

windows 2003設定暫定ipv6的步驟,先進入cmd模式

  1. netsh
  2. interface ipv6
  3. Add address interface=區域連線 address=2001:288:8201:4::aaaa:209
  4. exit

刪除的指令為:Delete address....

可連線到以下網站,測試是否更改成功。


windows xp設定暫定ipv6的步驟,先進入cmd模式

  1. netsh
  2. interface ipv6
  3. Add address interface=區域連線 address=2001:288:8201:4::aaaa:209
  4. show route
  5. exit

pfSense效能強大的防火牆嵌入式系統

pfSense有方便的WebGUI和Setup wizard可以輕易設定功能,就像是在操作一台功能強大的IP分享器。
好處輕鬆上手壞處是自由度有限,只能用pfSense給的功能和幾個擴充package

【硬體基本需求】

  • CPU普通
  • RAM建議128MB以上
  • 空間至少128MB,可用CDROM,HD,CF卡等
  • 網路卡2張作NAT,若再架設無線基地台,再加上一張無線網路卡 (推薦Atheros晶片)

 

關機指令

windows

at 17:00 shutdown -s

Linux

shutdown -h now
#立刻關機,其中 now 相當於時間為 0 的狀態

shutdown -h 20:25
#系統在今天的 20:25 分會關機

shutdown -h +10
#系統再過十分鐘後自動關機

shutdown -r now
#系統立刻重新開機

shutdown -r +30 'The system will reboot'
#再過三十分鐘系統會重新開機,並顯示後面的訊息。

shutdown -k now 'This system will reboot'
#僅發出警告信件的參數!系統並不會關機啦!嚇唬人!

shutdown -c
#取消已經在進行的 shutdown 指令內容

 

指定關機時間(7月12日 12:50 關機)

crontab -e

50 12 12 7 * /sbin/shutdown -h now

Linux系統備份、轉移與重建

【單一資料備份】

安裝samba套件
yum  install  samba-common  samba-client

建立目錄,作為掛載Windows的目錄
mkdir  /mnt/backup

資料夾掛載到系統目錄
mount -t cifs -o username=user,password=123456,iocharset=utf8,codepage=cp950   //hostsname/file  /mnt/backup

備份目錄壓縮儲存
tar  czvf  /mnt/backup/html.tar.gz  /var/www/html

 【自動多重資料備份】

建立一個備份的執行script檔(backup.sh)

#!/bin/sh
LANG=zh_TW.UTF-8
export LANG
ser=`date +%Y%m%d`
mount -t cifs -o username=user,password=123456,iocharset=utf8,codepage=cp950   //hostsname/file  /mnt/backup
sleep 10
mkdir /mnt/backup/$ser
mkdir /mnt/backup/$ser/mail
mkdir /mnt/backup/$ser/mail/home
cp -f /root/backup.sh /mnt/backup/$ser/mail/
cp -f /root/crontab.mail /mnt/backup/$ser/mail/
tar czvf /mnt/backup/$ser/mail/home/office-admin.tar.gz /home/office/admin
tar czvf /mnt/backup/$ser/mail/home/office-work.tar.gz /home/office/work
tar czvf /mnt/backup/$ser/mail/home/score.tar.gz /home/score
tar czvf /mnt/backup/$ser/mail/home/httpd.tar.gz /home/httpd
tar czvf /mnt/backup/$ser/mail/home/focalmail.tar.gz /home/focalmail
tar czvf /mnt/backup/$ser/mail/home/imp.tar.gz /home/imp
tar czvf /mnt/backup/$ser/mail/home/samba.tar.gz /home/samba
tar czvf /mnt/backup/$ser/mail/etc.tar.gz /etc
tar czvf /mnt/backup/$ser/mail/var.tar.gz /var
umount /mnt/backup

將備份執行檔加入系統自動排程中:
crontab  -u  root  -e
加入以下這列設定
10 2 * * * /root/bakcup.sh

 

建議伺服器系統切割

Normal 0 0 2 false false false MicrosoftInternetExplorer4

/boot 100MB

/var

/home

/usr 5GB

/etc 300MB

/lib 500MB

/sbin 200MB

伺服器維護指令

查詢硬碟分割使用狀況 df -h

查詢單一目錄使用容量 du -sh /usr

查詢IP與網域名城:nslookup www.kh.edu.tw

traceroute查詢網址的連接點:traceroute www.nc.hcc.edu.tw

網路查詢:ifconfig eth0  、 

【DNS 設定】

vi /etc/resolv.conf

nameserver 163.28.136.2
nameserver 168.95.1.1

【tcp_wrappers 設定】

vi /etc/hosts.deny

ALL:ALL

vi /etc/hosts.allow

ALL:192.168.1.0/255.255.255.0:allow
sshd:ALL:allow
vsftpd:ALL:allow
sendmail:ALL:allow

 

架設高效能NAT

簡易高效能NAT,內含NAT、Proxy、DHCP

【NAT】

設為預設值
vi /etc/sysctl.conf
# 啟動 IP 轉送
net.ipv4.ip_forward=1
net.ipv4.tcp_syncookies=1
# 防止超量攻擊
------------------------------

 設定開機自動載入
vi /etc/rc.d/rc.local

echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -Z
iptables -X
iptables -F -t nat
iptables -Z -t nat
iptables -X -t nat
modprobe ip_tables
modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE
***iptables -t nat -A PREROUTING -i eth1 -p tcp -s 192.168.1.0/24 --dport 80  -j REDIRECT --to-ports 3128***

最後一行如果squid還沒有安裝,不可以有這一行,NAT會無法外出。

#第三片網卡之後,同樣只要設定該網卡負責的網段
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.2.0/24 -j MASQUERADE

【DHCP】

一、安裝程式
yum -y install dhcp*

二、設定檔案(如附件dhcpd.conf)
vi /etc/dhcpd.conf

----------------------------------------------

ddns-update-style interim;
ignore client-updates;

注意,網路卡全都要設定

subnet 163.32.x.0 netmask 255.255.255.0 {
}

subnet 192.168.1.0 netmask 255.255.255.0 {
}

subnet 192.168.2.0 netmask 255.255.255.0 {

# --- default gateway
        option routers                      192.168.1.1;
        option subnet-mask              255.255.255.0;
        option broadcast-address      192.168.1.255;

        option domain-name                 "dns.xxx.kh.edu.tw";
        option domain-name-servers      163.32.x.1,140.117.11.1,168.95.1.1;
        option netbios-name-servers      163.32.x.1;
        option time-offset                    -18000; # Eastern Standard Time
        option netbios-node-type 8;
        range dynamic-bootp 192.168.1.11 192.168.1.239;
        default-lease-time 216000;
        max-lease-time 432000;

# we want the nameserver to appear at a fixed address固定主機IP

host shsps00001{
hardware ethernet 00:13:d4:9c:3d:6a;
fixed-address 163.32.x.10;
}

}

----------------------------------------------

預設GATEWAY

Normal 0 0 2 false false false MicrosoftInternetExplorer4

vi /etc/sysconfig/network

NETWORKING=yes
NETWORKING_IPV6=yes
HOSTNAME=hostname.kh.edu.tw

GATEWAY=163.32.x.254
 

 

設定完成後,重新啟動網路

service network restart

查伺服器租約檔
vi /var/lib/dhcpd/dhcpd.leases

【PROXY】

yum -y install squid*
cp /etc/squid/squid.conf /etc/squid/squid.conf.bak
vi /etc/squid/squid.conf

#請視使用人數和硬碟狀況加大 cache 資料夾容量
cache_dir ufs /var/spool/squid 1000 16 256

#限制允許連線範圍,請依自己學校狀況修改
acl our_networks src 192.168.1.0/24

http_access deny all
http_access allow localhost
http_access allow trc

#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443 563     # https snews
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

#限制允許連線範圍,請依自己學校狀況修改

service squid restart

 transparent proxy

NAT 與 Proxy 透過 transparent proxy 設定加快網路傳輸

#Fedora core 7 新的 squid 版本 Transparent Proxy 設定簡化,整合到 http_port 的 option 內了。
vi /etc/squid/squid.conf
http_port 3128 transparent
httpd_accel_host virtual
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

service squid restart

--------------------------------------------
#Fodora Core 6 以前的版本 squid Transparent Proxy 設定在 squid 設定檔內加上如下四行
vi /etc/squid/squid.conf
httpd_accel_host ha.shsps.kh.edu.tw
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

--------------------------------------

980515網路安全與主機防護進階班

 【Selinux設定路徑】

/etc/sysconfig/selinux

【Selinux的policy】

/etc/selinux/targeted

【Selinux啟動與停止】

查詢指令:sestatus

啟動模式:setenforce 1

警告模式:setenforce 0

檢查模式:getenforce

【查詢作業系統版本】

cat /etc/issue

【布林值-查詢指令】

查詢指令:getsebool -a | grep ftp(服務名稱)

布林值設定:setsebool -P ftpd_disable_trans=1開啟

布林值設定:setsebool -P ftpd_disable_trans=0關閉

檢查是否成功:cat ./modules/active/booleans.local(在/etc/selinux/targeted底下執行)

【查詢指令】
ls -alZ
drwxr-xr-x  root root system_u:object_r:selinux_config_t .
drwxr-xr-x  root root system_u:object_r:selinux_config_t ..
drwxr-xr-x  root root system_u:object_r:default_context_t contexts
drwxr-xr-x  root root system_u:object_r:selinux_config_t modules
drwxr-xr-x  root root system_u:object_r:policy_config_t policy
-rw-r--r--  root root system_u:object_r:selinux_config_t setrans.conf
-rw-r--r--  root root root:object_r:selinux_config_t   seusers

使用者:規則:類型

【使用者身份屬性】
id -Z

【圖形化管理程式】進入桌面模式,右上角出現問題星星,可以提供快速解決的辦法,但是判斷誤差機會很高。
yum -y install policycoreutils-gui

【log】
cat /var/log/audit/audit.log 

linux常用指令

tar壓縮指令

tar czvf filename.tar.gz /var/www/html/filename

 

 

限某網域可讀取資料夾

vi /etc/httpd/conf/httpd.conf(格式如下)

service httpd restart(重新啟動httpd)


設定檔格式如下:

<Directory /var/www/html/tool123456789>
Deny from all
Allow from IP
192.168.1.0/24
Options Indexes FollowSymLinks
</Directory>