下图为春晚植入广告细节:

Related Posts

• No Related Post

Related Posts

• No Related Post

APF(Advanced Policy Firewall)是 Rf-x Networks 出品的Linux环境下的软件防火墙,被大部分Linux服务器管理员所采用,使用iptables的规则,易于理解及使用.可算是Linux使用较多的防火墙.APF的配置参数众多,有效利用这些配置参数可加强你的服务器安全,APF应该在每一台Linux服务器中得到应用.

安装APF

1.下载最新的安装包并解压缩,APF项目详细信息.

#cd /usr/local/src
#wget http://www.rfxn.com/downloads/apf-current.tar.gz
#tar -zxf apf-current.tar.gz
#cd apf-9.7-1/

2.执行安装

#sh ./install.sh

结束安装好你会得到一些信息:

...
Installation Details:
Install path:         /etc/apf/
Config path:          /etc/apf/conf.apf
Executable path:      /usr/local/sbin/apf
...

3.进行详细配置

#vi /etc/apf/conf.apf

默认的参数适合大多数场合,按照需要进行修改即可

DEVEL_MODE="1" >> DEVEL_MODE="0"

IFACE_IN="eth0"
IFACE_OUT="eth0"

流入端口过滤

# Common ingress (inbound) TCP ports
IG_TCP_CPORTS="20,21,22,25,26,53,80,110,143,443,465,993,995,3306"
# Common ingress (inbound) UDP ports
IG_UDP_CPORTS="21,53,465"

流出端口过滤,虚拟主机推荐开启

# Outbound (egress) filtering
EGF="1"
# Common outbound (egress) TCP ports
EG_TCP_CPORTS="21,22,25,26,37,43,53,80,110,113,443,465,3306"
# Common outbound (egress) UDP ports
EG_UDP_CPORTS="20,21,53,465"

ICMP过滤

# Common ICMP outbound (egress) types
# 'internals/icmp.types' for type definition; 'all' is wildcard for any
EG_ICMP_TYPES="all"

另外还有两个值得注意的设置文件: /etc/apf/allow_hosts.rules 和 /etc/apf/deny_hosts.rules 可设置目标主机的过滤规则.如添加信任主机操作等.

启动APF

#/usr/local/sbin/apf -s

重启APF

#/usr/local/sbin/apf -r

查看运行日志

#tail -f /var/log/apf_log

添加为系统启动

#vi /etc/rc.local

在其中添加 "/usr/local/sbin/apf -s" 即可(不含双引号).

详细参数说明

usage /usr/local/sbin/apf [OPTION]
-s|--start ......................... load all firewall rules
-r|--restart ....................... stop (flush) & reload firewall rules
-f|--stop........ .................. stop (flush) all firewall rules
-l|--list .......................... list all firewall rules
-t|--status ........................ output firewall status log
-e|--refresh ....................... refresh & resolve dns names in trust rules
-a HOST CMT|--allow HOST COMMENT ... add host (IP/FQDN) to allow_hosts.rules and
 immediately load new rule into firewall
-d HOST CMT|--deny HOST COMMENT .... add host (IP/FQDN) to deny_hosts.rules and
 immediately load new rule into firewall
-u|--remove HOST ................... remove host from [glob]*_hosts.rules
 and immediately remove rule from firewall
-o|--ovars ......................... output all configuration options

此外,APF自9.6 (rev:2)版本之后增加了RAB模块.该模块取代了旧版本的antidos模块.可有效减轻拒绝服务攻击带来的影响,但需要iptables的内核模块ipt_recent的支持.如下图我在VPS上启动APF后的屏显,提示RAB模块无法启用.内核模块itp_recent没有找到.因此建议在内核支持以及iptables模块支持的情况下使用.

PS:如果您想在VPS等不支持编译内核或内核不支持的机器上加装能有效减轻拒绝服务攻击(DOS)的功能.请参考这篇文章.

Related Posts

• DOS-Deflate:帮助您有效减轻 DOS 攻击伤害 (1)

诡谲在这里推荐您使用DOS-Deflate脚本.通过APF添加动态过滤.脚本安装简单,防范攻击的效果也很不错.但是需要注意,安装前需确定Advanced Policy Firewall (APF)已经在你的系统安装并运行良好.否则将不会起到封禁攻击IP的作用.

安装step by step

1.以root用户登录终端.

2.下载安装脚本

#cd /usr/local/src
#wget http://www.inetbase.com/scripts/ddos/install.sh

3.安装防护

#sh ./install.sh

安装完成之后.可以在/usr/local/ddos/路径找到配置文件和sh脚本.配置十分简单,你只需编辑/usr/local/ddos/ddos.conf文件.

参数配置示范:

##### Paths of the script and other files
PROGDIR="/usr/local/ddos"
PROG="/usr/local/ddos/ddos.sh"
IGNORE_IP_LIST="/usr/local/ddos/ignore.ip.list"  # 白名单.如有反向代理,注意添加本机地址和本机外网IP地址,防止提供反向代理的主机被判定为攻击.
CRON="/etc/cron.d/ddos.cron"
APF="/etc/apf/apf"
IPT="/sbin/iptables"

##### frequency in minutes for running the script
##### Caution: Every time this setting is changed, run the script with --cron
##### option so that the new frequency takes effect
FREQ=1

##### How many connections define a bad IP? Indicate that below.  # 单IP发起连接数阀值,不建议设置太低.
NO_OF_CONNECTIONS=150

##### APF_BAN=1 (Make sure your APF version is atleast 0.96)
##### APF_BAN=0 (Uses iptables for banning ips instead of APF)
APF_BAN=1

##### KILL=0 (Bad IPs are'nt banned, good for interactive execution of script)
##### KILL=1 (Recommended setting)
KILL=1

##### An email is sent to the following address when an IP is banned.   # 当单IP发起的连接数超过阀值后,将发邮件给指定的收件人.
##### Blank would suppress sending of mails
EMAIL_TO="root"

##### Number of seconds the banned ip should remain in blacklist.   # 设置被挡IP多少秒后移出黑名单.
BAN_PERIOD=600


模拟发起dos攻击后,系统管理员将收到邮件,告知过去1分钟禁止了哪些IP和其发起的连接数.

卸载

以root用户登录终端,下载反安装脚本

#wget http://www.inetbase.com/scripts/ddos/uninstall.ddos
#sh ./uninstall.ddos


Related Posts

• APF:Linux下强大的防火墙组件 (1)

这里引用cPanel Forums上的帖子.作者blargman写了一个专门为cPanel打造的nginx自动安装脚本.

Evidently I don't know hot to post in the right forum.

This is an automated nginx installer for cpanel. Integrates so that domain adding/removal is all done automatically.
Some people had asked for cpanel support. In lieu of that, this does pretty much everything I can think of that they would do. It creates a vhost for each domain/addon/subdomain and serves up static content.

Let me know if you have any thoughts/questions or better yet suggestions.
http://blargman.com/public.tar

以上是作者原文,原文地址:点击这里.安装方法很简单(建议做好备份),如下:

cd /usr/local/src
wget http://blargman.com/public.tar
tar xf public.tar
cd publicnginx
./nginxinstaller install

安装好之后,重启nginx,执行命令:/etc/init.d/nginx restart.Nginx的配置文件均在/etc/nginx当中,各用户绑定的域名(附加域,子域等)均在/etc/nginx/vhosts

卸载:

以上下载步骤不变.将最后一步./nginxinstaller install改为./nginxinstaller uninstall执行即可.

--------------------------------------------------------------------------------------------------

请注意,如果你已经安装作者发布的版本请将作者原版本卸载后再进行操作(./nginxinstaller uninstall).这里主要针对几个问题逐一进行修正.你也可以直接下载我修正后的版本

访问日志记录重复

因为作者将access_log放在location /外面,导致访客访问动态页面的时候.nginx的日志与apache的日志重复记录.正确的做法是nginx作为前端,只记录静态文件响应日志记录就可以了.因此我们做成修正.

cd /usr/local/src
wget http://blargman.com/public.tar
tar xf public.tar
cd publicnginx
vi createvhosts.py

具体改动我用颜色与删除线标识,注意,有两处需要修改,一处为共享IP的设置,另外还有一处独立IP的.方法一致:

...
dedipvhost = """server {
error_log /var/log/nginx/vhost-error_log warn;
listen 80;
server_name %s %s %s;
access_log off;
access_log /usr/local/apache/domlogs/%s bytes_log;
access_log /usr/local/apache/domlogs/%s combined;
location ~* \.(gif|jpg|jpeg|png|ico|wmv|avi|asf|asx|mpg|mpeg|mp4|pls|mp3|mid|wav|swf|flv|htm|html|txt|js|css|exe|zip|rar|gz|tgz|uha|7z|doc|docx|xls|xlsx|pdf)$ {
access_log /usr/local/apache/domlogs/%s bytes_log;
access_log /usr/local/apache/domlogs/%s combined;
root %s;
}
...

之后执行./nginxinstaller install完成安装.

--------------------------------------------------------------------------------------------------

后端apache取回客户端访问的真实IP.

后端apache要取回客户端访问的真实IP,我们知道是要用apache的第三方模块:mod_rpaf.

说明：http://stderr.net/apache/rpaf/
下载：http://stderr.net/apache/rpaf/download/

这个nginx自动安装脚本也为apache增加了这个模块,并自动添加到httpd.conf配置参数中,但当我打开模块配置文件(/usr/local/apache/conf/includes/rpaf.conf),发现了问题.这一配置无法获取客户端的真实IP.因为缺少参数.解决如下:

cd /usr/local/src
wget http://blargman.com/public.tar
tar xf public.tar
cd publicnginx
vi nginxinstaller2

找到"RPAFsethostname On",在换行出添加"RPAFheader X-Forwarded-For",按Esc键后:wq保存退出.

之后执行./nginxinstaller install完成安装.

--------------------------------------------------------------------------------------------------

伪静态的实现

实现伪静态,依然可以使用.htaccess完成,nginx放在前端不会影响到apache伪静态.但是需要进行修改.

为以后建立的域名修改配置:

cd /usr/local/src
wget http://blargman.com/public.tar
tar xf public.tar
cd publicnginx
vi createvhosts.py

找到(一共有两处,一个是共享IP的配置,一个是独立IP的配置,在同一个文件当中):

location ~* \.(gif|jpg|jpeg|png|ico|wmv|avi|asf|asx|mpg|mpeg|mp4|pls|mp3\
|mid|wav|swf|flv|htm|html|txt|js|css|exe|zip|rar|gz|tgz\
|uha|7z|doc|docx|xls|xlsx|pdf)$ {

将红色的"htm|html"删除即可.这样新建立的域名都可以使用.htaccess伪静态规则了.不受前端nginx的影响.之后执行./nginxinstaller install完成安装.
--------------------------------------------------------------------------------------------------

自定义错误页面

这里必须进行修改,否则当页面出现问题的时候将直接返回nginx的错误页面.我们需要把错误页面转发给后端的apache.这样自定义错误页面才可以正常运作.

cd /usr/local/src
wget http://blargman.com/public.tar
tar xf public.tar
cd publicnginx
vi error_pages.conf

输入以下:

error_page 400 /400.shtml;
error_page 401 /401.shtml;
error_page 402 /402.shtml;
error_page 403 /403.shtml;
error_page 404 /404.shtml;
error_page 405 /405.shtml;
error_page 406 /406.shtml;
error_page 407 /407.shtml;
error_page 408 /408.shtml;
error_page 500 /500.shtml;
error_page 501 /501.shtml;
error_page 502 /502.shtml;
error_page 503 /503.shtml;
error_page 504 /504.shtml;

按Esc键后:wq保存退出.接着修改createvhosts.py文件.里面有两处(一个为共享IP,另外一个为独立IP)

vi createvhosts.py

找到server_name这行,在下面添加:

include error_pages.conf;

如下图:

保存之后再修改nginxinstaller脚本.

vi nginxinstaller

找到:

proc = subprocess.Popen("rm -f /etc/nginx/nginx.conf > /dev/null 2>&1", shell=True)
output = proc.communicate()

proc = subprocess.Popen("cp /" + currentdir + "/nginx.conf /etc/nginx/nginx.conf", shell=True)
output = proc.communicate()

在下面增加:

proc = subprocess.Popen("rm -f /etc/nginx/error_pages.conf > /dev/null 2>&1", shell=True)
output = proc.communicate()

proc = subprocess.Popen("cp /" + currentdir + "/error_pages.conf /etc/nginx/error_pages.conf", shell=True)
output = proc.communicate()

之后执行./nginxinstaller install完成安装.以后绑定的域名就都有设置自定义错误页面的功能了,假如cPanel用户没有自定义错误页面,比如404页面.apache将直接返回apache默认的错误页面.

完成以上步骤之后执行./nginxinstaller install完成安装.

--------------------------------------------------------------------------------------------------------------------------

网址中带有参数转发到后端

例如有些程序的链接是/news.php/news.jpg?ID=123这样子的,nginx并不支持path_info,它认为这是静态文件地址,从而以静态文件直接解析,但这是错误的,因此需要设定类型,当网址中带有参数时,转发到后端.操作如下:

cd /usr/local/src
wget http://blargman.com/public.tar
tar xf public.tar
cd publicnginx
vi createvhosts.py

具体改动我用红颜色标识添注,注意,有两处需要修改,一处为独立IP的设置,另外还有一处共享IP的:

...
dedipvhost = """server {
error_log /var/log/nginx/vhost-error_log warn;
listen 80;
server_name %s %s %s;
access_log /usr/local/apache/domlogs/%s bytes_log;
access_log /usr/local/apache/domlogs/%s combined;
location ~* \.(gif|jpg|jpeg|png|ico|wmv|avi|asf|asx|mpg|mpeg|mp4|pls|mp3|mid|wav|swf|flv|htm|html|txt|js|css|exe|zip|rar|gz|tgz|uha|7z|doc|docx|xls|xlsx|pdf)$ {
root %s;
try_files $uri @backend;
}
location @backend {
internal;
proxy_redirect http://%s:8081 http://%s;
%s
proxy_redirect http://%s:8081 http://%s;
proxy_pass http://%s:8081;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
...
""" % (domain, alias, passedip, domain + "-bytes_log", domain, docroot, domain, domain, aliasstring, passedip, passedip, passedip, domain, domain, aliasstring, passedip, passedip, passedip)
...

--------------------------------------------------------------------------------------------------------------------------

...
sharedipvhost = """server {
error_log /var/log/nginx/vhost-error_log warn;
listen 80;
server_name %s %s;
access_log /usr/local/apache/domlogs/%s bytes_log;
access_log /usr/local/apache/domlogs/%s combined;
location ~* \.(gif|jpg|jpeg|png|ico|wmv|avi|asf|asx|mpg|mpeg|mp4|pls|mp3|mid|wav|swf|flv|htm|html|txt|js|css|exe|zip|rar|gz|tgz|uha|7z|doc|docx|xls|xlsx|pdf)$ {
root %s;
try_files $uri @backend;
}
location @backend {
internal;
proxy_redirect http://%s:8081 http://%s;
%s
proxy_pass http://%s:8081;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
...
""" % (domain, alias, domain + "-bytes_log", domain, docroot, domain, domain, aliasstring, passedip, domain, domain, aliasstring, passedip)
...

全部保存后执行./nginxinstaller install完成安装.

为方便大家使用.以上修改我已经打包成修改版的安装包.安装方法与作者原版一样.请点击这里下载!

cd /usr/local/src
wget http://icodex.org/public.tar
tar xf public.tar
cd publicnginx
./nginxinstaller install

Via:iCodex

Related Posts

• VPS合租召集用家(已结束) (2)
• 为nginx虚拟主机配置startssl免费https证书 (0)

VPS是Knownhost的第三个方案(VS3)加256M内存和cPanel面板,Knownhost提供Fully Managed,也就是购买了面板就可以得到技术支持.虽然提供的技术支持范围不是很广.但总比没有的好吧.Knownhost在WHT的口碑一直不错,与MT(MediaTemple)属于同个档次.都是属于Virtuozzo架构(以下简称vz).当然我不是纯粹追求口碑,虽然口碑效应在我小小内心占据比较高的权重,但是购买Knownhost考虑比较多的是性能和易用度上.本人玩过比较多的VPS.总结的经验是:vz优于Xen(Xen虽然更接近真实环境,但是单位CPU的价格高.普遍看到的是开放单核心或者双核心.价格与共享物理服务器核心的vz虚拟环境或openvz虚拟环境的VPS持平,在价格大致相同的情况下.选择多核心的VPS可以带来更高的负载能力.).购买cPanel面板也是大家很熟悉的.各大主机商都有提供这套面板.十分容易使用.

介绍此次合租的一些情况,首先是VPS的参数信息,以及提供的合租计划方案等,最后是一些硬性限制等信息.请仔细查阅.

VPS参数:

• 套餐:VS3
• 数据中心:California (Los Angeles)
• 虚拟架构:Virtuozzo
• 操作系统:Linux CentOS 5.4
• 控制面板:cPanel 11.25.0
• 硬盘容量:40GB
• 每月流量:1000GB
• 内存:1GB (768MB+256MB)
• CPU:共享
• IP:2枚
• 月付价格:$56.25 (VS3+cPanel/WHM+256MB RAM)

合租计划:

合租定位为博客合租.允许搭建论坛.但需要按照论坛性质("被你妹按","娱乐"类,被"娱乐"类)等特殊情况酌情购买独立IP(85元/年).

VPS共分20份.每份的年付价格为110元整,独立IP费用为85元/年,可购买多份.每份配置如下:

• 磁盘容量:500MB
• 月流量:30GB
• 绑定域名:5个
• 子域名:10个
• FTP帐号:5个
• MYSQL:5个
• E-Mail帐号:5个
• 控制面板:cPanel

服务器环境:Linux(CentOS 5.4) + Nginx + Apache + .htaccess + Php5 + MySQL5 + Perl/CGI + Gzip/Deflate + PDO mySQL + phpMyAdmin + AWStats
特别说明:支持.htaccess伪静态.

其他说明:

• 不允许放置违反美国法律的内容(包括但不限于版权内容等).
• 不允许成人内容/政治相关/暴力内容等.
• 不建议运行在线代理程序(如要运行,请购买独立IP,并配合管理员做好优化.)
• 不允许发布介绍VPN及翻墙技术等GFW敏感话题("国庆"要配合.咱爱国.当然如果你有独立IP的话,可当作没看到这条).
• 论坛,SNS,在线交友等类型的网站,请购买独立IP.
• 纯SEO网站,垃圾网站不允许建立.
• 如有其它要求,在不影响其他用户和不造成系统安全的前提下,可以添加.
• 独立IP最多只需要2个工作日即可分配给您.万一(我说万一).因自身原因导致独立IP被封,其费用不予退回.
• 无利润.请勿砍价.成本都摆在那了.是吧.
• 保留因占用资源过多而退钱赶人的权利,当然我会提供我收集的证据.
• 最后,别跟我耍流氓,这点对做人来说很重要.

测试IP:207.7.92.56

部分合租用户网站:
http://icodex.org
http://www.mallwp.com (独立IP)
http://www.hiyouli.com
http://aiyi.org.cn

现在付款,立即开通,联系方式如下:

QQ(隐身):448033662
E-Mail:admin@evlit.com

已结束

Related Posts

• nginx 自动安装脚本 For cPanel (8)

但是现在情况有所改观了,今年9月份,StartCom公司出现在Windows根证书认证程序厂商更新当中,因此StartSSL证书在IE平台上已经可以正常使用的.另外Chrome,苹果Safari浏览器都可以正常识别StartSSL颁发的证书.但是Opera浏览器仍然不能支持.

为 nginx虚拟主机配置startssl证书

前提条件:独立IP.一台Linux机器.Startssl账户申请这里就不说明了.申请很简单,验证域名所有权也很简单.这里就做证书的配置.

我们先为域名生成证书请求文件和密钥.需要生成2048位加密的证书请求.以icodex.org为例,执行命令:

openssl req -new -newkey rsa:2048 -nodes -out icodex.csr -keyout icodex.key

执行之后在/etc/nginx/certs目录中就有icodex.csr. 执行cat icodex.csr查看里面的内容并复制:

然后将复制的粘贴到startssl后 台,这里每一步都进行截图:

第一步:

第二步:

第三步:

第四步:

第五步:

第六步:

第七步:

第八步:

最后一步注意要先将这段代码保存为icodex.crt 放在与icodex.csr icodex.key同个目录.

然后配置nginx,直接丢配置上来.

server {
listen       443;
listen       80;
server_name  os.icodex.org;
root   /home/icodex/os/public_html;
index index.html index.htm index.php;
access_log  /var/log/nginx/os.icodex.org-access.log  access;

ssl    on;
ssl_certificate    /etc/nginx/certs/icodex.crt;
ssl_certificate_key     /etc/nginx/certs/icodex.key;
ssl_session_timeout 5m;

ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers   on;

location ~* ^.+\.(js|css|jpg|jpeg|gif|png|ico|bmp|swf)$ {
expires      7d;
}

# pass the PHP scripts to FastCGI server
#
location ~ .*\.php$ {
fastcgi_index  index.php;
fastcgi_pass    127.0.0.1:9000;
include        fastcgi_params;
fastcgi_param   HTTPS on;
}
}

最后重启nginx.完毕...

另外,昨日与Showfom(此君 域名我妒忌)聊天的时候谈到火狐中文版验证ssl时提示ssl不受信任的问题,这应该是根证书的问题,后来测试,果然解决了.我们知道在apache有 SSLCertificateChainFile用来指定CA根证书位置,虽然nginx没有这个字段来指定,但是在nginx和lighttpd中是可 以将CA根证书与我们自己的证书合并使用的(声明来源:Sudone).步骤如下:

我们先到startssl下载 CA根证书,地址:http://cert.startssl.com/certs /,然后进入我们的证书保存位置,注意,操作前记得备份原证书文件.

cd /etc/nginx/certs/
cp icodex.crt icodex.crt.bak
wget http://www.startssl.com/certs/ca.pem
cat ca.pem >> icodex.crt

最后重启nginx即可.

Related Posts

• nginx 自动安装脚本 For cPanel (8)

新春佳节即将到来.预祝朋友们新春愉快,虎年行大运.

Related Posts

• No Related Post