2010年12月12日 星期日

微軟xp SP2 驗證

微軟xp SP2 驗證
以下針對校方欲變更授權序號, 請支持合法授權.
變更序號:  keyFinder 1.開啟 KeyFinder, 點選 Option 的 Change Windows Key。
2.輸入正版授權序號。
3.完畢後點選 Change 會出現成功訊息,按下 OK 後,再按 Close。

微軟驗證 :1.http://www.microsoft.com/genuine/downloads/Validate.aspx?displaylang=zh-tw

2. 若無法透過網頁驗證, 請試著直接安裝驗證程式.


若仍有狀況, 使用大量授權產品金鑰安裝的 Windows XP 電腦會標記為非正版
請參考以下方式處理.
1.開始 > 執行 > %ALLUSERSPROFILE%\Application Data\  , 刪除 Windows Genuine Advantage 資料夾

2.進行上述微軟驗證.


2010年10月13日 星期三

電話交換機建議請選購具有『IP連往功能模組』

10月14日北市教資字第09940653000號
一、依據市府資訊處99年9月29日北市資設字第09930417900號函辦理。
二、各校未來若有電話交換機更新計畫,電話交換機建議請選購具有『IP連往功能模組』,可以直接向市網中心網路電話伺服器註冊,無須加裝語音閘道器。

2010年9月29日 星期三

Java新手入門必看的30個問題

Java新手入門必看的30個問題
資料來源:網路蒐集

1 什麼是Java、Java2、JDK?JDK後面的1.3、1.4.2版本號又是怎麼回事?

答:Java是一種通用的,並發的,強類型的,面向對象的編程語言(摘自Java規範第二版) JDK是Sun公司分發的免費Java開發工具,正式名稱為J2SDK(Java2 Software Develop Kit)。

2 什麼是JRE/J2RE?

答:J2RE是Java2 Runtime Environment,即Java運行環境,有時簡稱JRE。

如果你只需要運行Java程序或Applet,下載並安裝它即可。

如果你要自行開發Java軟件,請下載JDK。在JDK中附帶有J2RE。

注意由於Microsoft對Java的支持不完全,請不要使用IE自帶的虛擬機來運行Applet,務必安裝一個J2RE或JDK。


3 學習Java用什麼工具比較好?

答:作者建議首先使用JDK+文本編輯器,這有助你理解下列幾個基礎概念:path,classpath,package並熟悉基本命令:javac和java。並且下載和你的JDK版本一致的API幫助。

如果你不確定類或函數的用法,請先查閱API而不是發貼求助。

當你熟悉Java之後,你可以考慮換一個IDE。很多人推薦JCreator,實際上JCreator的功能還 是很弱的。

作者推薦eclipse,下載網址http://www.eclipse.org 。因eclispe是免費的.


4 學習Java有哪些好的參考書?

答:作者首先推薦Thinking in Java,中文名《Java編程思想》,有中文版。

該書第一章介紹了很多面向對象的編程思想,作為新手應當認真閱讀。

除此以外,O′relly出版社和Wrox出版社的書也不錯。作者本人不喜歡大陸作者的書。

也許你覺得英文太難,但是網上大多數資料都是英文的。另外,你需要經常查閱API,而那也是英文的。


5 Java和C++哪個更好?

答:這個問題是一個很不恰當的問題。你應該問:Java和C++哪個更適用於我的項目?

如果你不需要跨平台,不需要分佈式,要強調程序的運行速度,C++更為適用。反之?你應當考慮Java。

6 什麼是J2SE/J2EE/J2ME?

答:J2SE就是一般的Java。

J2ME是針對嵌入式設備的,比如Java手機,它有自己的SDK。而J2EE使用J2SE的SDK。

J2EE規範更多的是對J2EE服務器的要求和開發人員的約束。詳情見後繼《J2EE FAQ》。


二、命令篇

7 我寫了第一個Java程序,應該如何編譯/運行?

答:首先請將程序保存為xxx.java文件,然後在dos窗口下使用javac xxx.java命令,你會發現該目錄下多了一個xxx.class文件,再使用java xxx命令,你的java程序就開始運行了。


8 我照你說的做了,但是出現什麼"′javac′ 不是內部或外部命令,也不是可運行的程序或批處理文件"。

答: 你遇到了path問題。操作系統在一定的範圍(path)內搜索javac.exe,但是沒能找到。請編輯你的操作系統環境變量,新增一個 JAVA_HOME變量,設為你JDK的安裝目錄,再編輯Path變量,加上一項 %JAVA_HOME%\bin。然後關掉並新開一個dos窗口,你就可以使用javac和java命令了。


9 環境變量怎麼設置?

答:請向身邊會設的人諮詢。

10. javac xxx.java順利通過了,但是java xxx的時候顯示什麼"NoClassDefFoundError"?

答:你遇到了classpath問題。java命令在一定的範圍(classpath)內搜索你要用的class文件,但是未能找到。

首先請確認你沒有錯敲成java xxx.class,其次,檢查你的CLASSPATH環境變量,如果你設置了該變量又沒有包含.(代表當前目錄)的?br> 睿?br> 你就會遇到這個問題。請在你的CLASSPATH環境變量中加入一項 。另外參見15。


11 .我在java xxx的時候顯示"Exception in thread "main" java.lang.NoSuchMethodError: main"。

答:首先,在你的程序中每個java文件有且只能有一個public類,這個類的類名必須和文件名的大小寫完全一樣。其次,在你要運行的類中有且只能有一個public static void main(String[] args)方法,這個方法就是你的主程序。


12 .package是什麼意思?怎麼用?

答:為了唯一標識每個類並分組,java使用了package的概念。

每個類都有一個全名,例如String的全名是java.lang.String,其中java.lang是包名,String是短名。

這樣,如果你也定義了String,你可以把它放在mypackage中,通過使用全名mypackage.String和 java.lang.String來區分這兩個類。同時,將邏輯上相關的類放在同一個包中,可以使程序結構更為清楚。你要做的就是在java文件開頭加一行"package mypackage;"。

注意包沒有嵌套或包含關係,A包和A.B包對java命令來說是並列的兩個包。


13 我沒有聲明任何package會怎麼樣?

答:你的類被認為放在默認包中。這時全名和短名是一致的。


14 在一個類中怎麼使用其他類?

答:如果你使用java.lang包中的類,不用做任何事。

如果你使用其他包中的類,使用import package1.class1; 或 import package2.*;這裡.*表示引入這個包中的所有類。然後在程序中你可以使用其他類的短名。如果短名有衝突,使用全名來區分。


15 我用了package的時候顯示"NoClassDefFoundError",但是我把所有package去掉的時候能正常運行。

答:將你的java文件按包名存放。

比如你的工作目錄是/work,你的類是package1.class1,那麼將它存放為/work/package1/class1.java。如果沒有聲明包,那麼直接放在/work下。

在/work下執行javac package1/class1.java,再執行java package1.class1,你會發現一切正常。另外,你可以考慮開始使用IDE。


16 我想把java編譯成exe文件,該怎麼做?

答:JDK只能將java源文件編譯為class文件。

class 文件是一種跨平台的字節碼,必須依賴平台相關的JRE來運行。Java以此來實現跨平台.有些開發工具可以將java文件編譯為exe文件。作者反對這種做法,因為這樣就取消了跨平台性。如果你確信你的軟件只在Windows平台上運行,你可以考慮使用C++/C#來編程。


17 我在編譯的時候遇到什麼"deprecated API",是什麼意思?

答:所謂deprecated是指已經?時,但是為了向前兼容起見仍然保留的方法??br> 這些方法可能會在以後取消支持。你應當改用較新的方法。一般在API裡面會說明你應當用什麼方法來代替之。


三、I/O篇

18 我怎麼給java程序加啟動參數,就像dir /p/w那樣?

答: 還記得public static void main(String[] args)嗎?這裡的args就是你的啟動參數。在運行時你輸入java package1.class1 -arg1 -arg2,args中就會有兩個String,一個是arg1,另一個是arg2。


19 我怎麼從鍵盤輸入一個int/double/字符串?

答: java的I/O操作比C++要複雜一點。如果要從鍵盤輸入,樣例代碼如下:BufferedReader cin = new BufferedReader( new InputStreamReader( System.in ) );String s = cin.readLine();

這樣你就獲得了一個字符串,如果你需要數字的話再加上:int n = Integer.parseInt( s ); 或者 double d = Double.parseDouble( s );


20 我怎麼輸出一個int/double/字符串?

答:在程序開始寫:

PrintWriter cout = new PrintWriter( System.out );

需要時寫:

cout.print(n); 或者cout.println("hello")等等。


21 我發現有些書上直接用System.in和System.out輸入輸出,比你要簡單得多。

答:java使用unicode,是雙字節。而System.in和System.out是單字節的stream。

如果你要輸入輸出雙字節文字比如中文,請使用作者的做法。


22 我怎麼從文件輸入一個int/double/字符串?

答:類似於從鍵盤輸入,只不過換成BufferedReader fin = new BufferedReader( new FileReader(" myFileName " ) );

PrintWriter fout = new PrintWriter( new FileWriter(" myFileName " ) );

另外如果你還沒下載API,請開始下載並閱讀java.io包中的內容。


23 我想讀寫文件的指定位置,該怎麼辦?

答:你肯定沒有認真看API。java.io.RandomAccessFile可以滿足你的需要。


24 怎麼判斷要讀的文件已經到了盡頭?

答:你肯定沒有認真看API。在Reaer的read方法中明確說明返回-1表示流的結尾。


四、 關鍵字篇

25 java裡面怎麼定義宏?

答:java不支持宏,因為宏代換不能保證類型安全。

如果你需要定義常量,可以將它定義為某個類的static final成員。參見26和30。


26 java裡面沒法用const。

答:你可以用final關鍵字。例如 final int m = 9。被聲明為final的變量不能被再次賦值.final也可以用於聲明方法或類,被聲明為final的方法或類不能被繼承。注意const是java的保留字以備擴充。


27 java裡面也不能用goto。

答:甚至在面向過程的語言中你也可以完全不用goto。請檢查你的程序流程是否合理。

如果你需要從多層循環中迅速跳出,java增強了(和C++相比)break和continue的功能。

例如:

outer :

while( ... )

{

inner :

for( ... )

{

... break inner; ...

... continue outer; ...

}

}


和const一樣,goto也是java的保留字以備擴充。


28 java裡面能不能重載操作符?

答:不能。String的+號是唯一一個內置的重載操作符。你可以通過定義接口和方法來實現類似功能。


29 我new了一個對象,但是沒法delete掉它。

答:java有自動內存回收機制,即所謂Garbarge Collector。你再也不用擔心指針錯誤了.


30 我想知道為什麼main方法必須被聲明為public static?

答:聲明為public是為了這個方法可以被外部調用,詳情見面向對象篇37。

static是為了將某個成員變量/方法關聯到類(class)而非實例(instance)。

你不需要創建一個對象就可以直接使用這個類的static成員,在A類中調用B類的static成員可以使用B.staticMember的寫法。

注意一個類的static成員變量是唯一的,被所有該類對象所共享的

2010年9月22日 星期三

防禦DDOS攻擊終極指南

防禦DDOS攻擊終極指南
網頁來源:http://www.j2h.tw/bbs/bbs16/140.html


《站長必讀:防禦DDOS攻擊終極指南》

本文作者:孤獨劍客 發佈日期:2004年12月18日 發佈網站:http://www.hackbase.com

簡述:由於近期DDOS攻擊越來越廣泛,本站特邀請我們的名譽技術顧問、網絡安全專家孤獨劍客先生結合多年抵禦DDOS攻擊的經驗獨家撰寫此文,文中不僅深入淺出地闡述了分佈式拒絕服務攻擊DDOS的概念、流行的DDOS攻擊手段及判斷是否被DDOS攻擊的方法,而且還結合實際給出了全面的DDOS 實戰防禦建議,希望此文能幫助網站站長們早日擺脫DDOS攻擊的困擾,我們熱誠歡迎共同探討DDOS相關話題。黑客基地 http://www.hackbase.com

關鍵詞:DDOS SYNFLOOD 防火牆

一、為何要DDOS?

隨著Internet互聯網絡帶寬的增加和多種DDOS黑客工具的不斷發布,DDOS拒絕服務攻擊的實施越來越容易,DDOS攻擊事件正在成上升趨勢。出於商業競爭、打擊報復和網絡敲詐等多種因素,導致很多IDC托管機房、商業站點、遊戲服務器、聊天網絡等網絡服務商長期以來一直被DDOS攻擊所困擾,隨之而來的是客戶投訴、同虛擬主機用戶受牽連、法律糾紛、商業損失等一系列問題,因此,解決DDOS攻擊問題成為網絡服務商必須考慮的頭等大事。

二、什麼是DDOS?

DDOS是英文Distributed Denial of Service的縮寫,意即「分佈式拒絕服務」,那麼什麼又是拒絕服務(Denial of Service)呢?可以這麼理解,凡是能導致合法用戶不能夠訪問正常網絡服務的行為都算是拒絕服務攻擊。也就是說拒絕服務攻擊的目的非常明確,就是要阻止合法用戶對正常網絡資源的訪問,從而達成攻擊者不可告人的目的。雖然同樣是拒絕服務攻擊,但是DDOS和DOS還是有所不同,DDOS的攻擊策略側重於通過很多「殭屍主機」(被攻擊者入侵過或可間接利用的主機)向受害主機發送大量看似合法的網絡包,從而造成網絡阻塞或服務器資源耗盡而導致拒絕服務,分佈式拒絕服務攻擊一旦被實施,攻擊網絡包就會猶如洪水般湧向受害主機,從而把合法用戶的網絡包淹沒,導致合法用戶無法正常訪問服務器的網絡資源,因此,拒絕服務攻擊又被稱之為「洪水式攻擊」,常見的DDOS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等;而DOS則側重於通過對主機特定漏洞的利用攻擊導致網絡棧失效、系統崩潰、主機死機而無法提供正常的網絡服務功能,從而造成拒絕服務,常見的DOS攻擊手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就這兩種拒絕服務攻擊而言,危害較大的主要是DDOS攻擊,原因是很難防範,至於DOS攻擊,通過給主機服務器打補丁或安裝防火牆軟件就可以很好地防範,後文會詳細介紹怎麼對付DDOS攻擊。

三、被DDOS了嗎?

DDOS的表現形式主要有兩種,一種為流量攻擊,主要是針對網絡帶寬的攻擊,即大量攻擊包導致網絡帶寬被阻塞,合法網絡包被虛假的攻擊包淹沒而無法到達主機;另一種為資源耗盡攻擊,主要是針對服務器主機的攻擊,即通過大量攻擊包導致主機的內存被耗盡或CPU被內核及應用程序占完而造成無法提供網絡服務。

如何判斷網站是否遭受了流量攻擊呢?可通過Ping命令來測試,若發現Ping超時或丟包嚴重(假定平時是正常的),則可能遭受了流量攻擊,此時若發現和你的主機接在同一交換機上的服務器也訪問不了了,基本可以確定是遭受了流量攻擊。當然,這樣測試的前提是你到服務器主機之間的ICMP協議沒有被路由器和防火牆等設備屏蔽,否則可採取Telnet主機服務器的網絡服務端口來測試,效果是一樣的。不過有一點可以肯定,假如平時Ping你的主機服務器和接在同一交換機上的主機服務器都是正常的,突然都Ping不通了或者是嚴重丟包,那麼假如可以排除網絡故障因素的話則肯定是遭受了流量攻擊,再一個流量攻擊的典型現象是,一旦遭受流量攻擊,會發現用遠程終端連接網站服務器會失敗。

相對於流量攻擊而言,資源耗盡攻擊要容易判斷一些,假如平時Ping網站主機和訪問網站都是正常的,發現突然網站訪問非常緩慢或無法訪問了,而Ping還可以Ping通,則很可能遭受了資源耗盡攻擊,此時若在服務器上用Netstat -na命令觀察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態存在,而ESTABLISHED很少,則可判定肯定是遭受了資源耗盡攻擊。還有一種屬於資源耗盡攻擊的現象是,Ping自己的網站主機Ping不通或者是丟包嚴重,而Ping與自己的主機在同一交換機上的服務器則正常,造成這種原因是網站主機遭受攻擊後導致系統內核或某些應用程序CPU利用率達到100%無法回應Ping命令,其實帶寬還是有的,否則就 Ping不通接在同一交換機上的主機了。

當前主要有三種流行的DDOS攻擊:

1、SYN/ACK Flood攻擊:這種攻擊方法是經典最有效的DDOS方法,可通殺各種系統的網絡服務,主要是通過向受害主機發送大量偽造源IP和源端口的SYN或ACK 包,導致主機的緩存資源被耗盡或忙於發送回應包而造成拒絕服務,由於源都是偽造的故追蹤起來比較困難,缺點是實施起來有一定難度,需要高帶寬的殭屍主機支持。少量的這種攻擊會導致主機服務器無法訪問,但卻可以Ping的通,在服務器上用Netstat -na命令會觀察到存在大量的SYN_RECEIVED狀態,大量的這種攻擊會導致Ping失敗、TCP/IP棧失效,並會出現系統凝固現象,即不響應鍵盤和鼠標。普通防火牆大多無法抵禦此種攻擊。

2、TCP全連接攻擊:這種攻擊是為了繞過常規防火牆的檢查而設計的,一般情況下,常規防火牆大多具備過濾TearDrop、Land等DOS攻擊的能力,但對於正常的TCP連接是放過的,殊不知很多網絡服務程序(如:IIS、Apache等Web服務器)能接受的TCP連接數是有限的,一旦有大量的TCP連接,即便是正常的,也會導致網站訪問非常緩慢甚至無法訪問,TCP全連接攻擊就是通過許多殭屍主機不斷地與受害服務器建立大量的TCP連接,直到服務器的內存等資源被耗盡而被拖跨,從而造成拒絕服務,這種攻擊的特點是可繞過一般防火牆的防護而達到攻擊目的,缺點是需要找很多殭屍主機,並且由於殭屍主機的IP是暴露的,因此容易被追蹤。

3、刷Script腳本攻擊:這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序,並調用 MSSQLServer、MySQLServer、Oracle等數據庫的網站系統而設計的,特徵是和服務器建立正常的TCP連接,並不斷的向腳本程序提交查詢、列表等大量耗費數據庫資源的調用,典型的以小博大的攻擊方法。一般來說,提交一個GET或POST指令對客戶端的耗費和帶寬的佔用是幾乎可以忽略的,而服務器為處理此請求卻可能要從上萬條記錄中去查出某個記錄,這種處理過程對資源的耗費是很大的,常見的數據庫服務器很少能支持數百個查詢指令同時執行,而這對於客戶端來說卻是輕而易舉的,因此攻擊者只需通過Proxy代理向主機服務器大量遞交查詢指令,只需數分鐘就會把服務器資源消耗掉而導致拒絕服務,常見的現象就是網站慢如蝸牛、ASP程序失效、PHP連接數據庫失敗、數據庫主程序佔用CPU偏高。這種攻擊的特點是可以完全繞過普通的防火牆防護,輕鬆找一些Proxy代理就可實施攻擊,缺點是對付只有靜態頁面的網站效果會大打折扣,並且有些Proxy會暴露攻擊者的IP地址。

四、怎麼抵禦DDOS?

對付DDOS是一個系統工程,想僅僅依靠某種系統或產品防住DDOS是不現實的,可以肯定的是,完全杜絕DDOS目前是不可能的,但通過適當的措施抵禦 90%的DDOS攻擊是可以做到的,基於攻擊和防禦都有成本開銷的緣故,若通過適當的辦法增強了抵禦DDOS的能力,也就意味著加大了攻擊者的攻擊成本,那麼絕大多數攻擊者將無法繼續下去而放棄,也就相當於成功的抵禦了DDOS攻擊。以下為筆者多年以來抵禦DDOS的經驗和建議,和大家分享!

1、採用高性能的網絡設備

首先要保證網絡設備不能成為瓶頸,因此選擇路由器、交換機、硬件防火牆等設備的時候要盡量選用知名度高、口碑好的產品。再就是假如和網絡提供商有特殊關係或協議的話就更好了,當大量攻擊發生的時候請他們在網絡接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。

2、盡量避免NAT的使用

無論是路由器還是硬件防護牆設備要盡量避免採用網絡地址轉換NAT的使用,因為採用此技術會較大降低網絡通信能力,其實原因很簡單,因為NAT需要對地址來回轉換,轉換過程中需要對網絡包的校驗和進行計算,因此浪費了很多CPU的時間,但有些時候必須使用NAT,那就沒有好辦法了。

3、充足的網絡帶寬保證

網絡帶寬直接決定了能抗受攻擊的能力,假若僅僅有10M帶寬的話,無論採取什麼措施都很難對抗現在的SYNFlood攻擊,當前至少要選擇100M的共享帶寬,最好的當然是掛在1000M的主幹上了。但需要注意的是,主機上的網卡是1000M的並不意味著它的網絡帶寬就是千兆的,若把它接在100M的交換機上,它的實際帶寬不會超過100M,再就是接在100M的帶寬上也不等於就有了百兆的帶寬,因為網絡服務商很可能會在交換機上限制實際帶寬為10M,這點一定要搞清楚。

4、升級主機服務器硬件

在有網絡帶寬保證的前提下,請盡量提升硬件配置,要有效對抗每秒10萬個SYN攻擊包,服務器的配置至少應該為:P4 2.4G/DDR512M/SCSI-HD,起關鍵作用的主要是CPU和內存,若有志強雙CPU的話就用它吧,內存一定要選擇DDR的高速內存,硬盤要盡量選擇SCSI的,別只貪IDE價格不貴量還足的便宜,否則會付出高昂的性能代價,再就是網卡一定要選用3COM或Intel等名牌的,若是 Realtek的還是用在自己的PC上吧。

5、把網站做成靜態頁面

大量事實證明,把網站盡可能做成靜態頁面,不僅能大大提高抗攻擊能力,而且還給黑客入侵帶來不少麻煩,至少到現在為止關於HTML的溢出還每出現,看看吧!新浪、搜狐、網易等門戶網站主要都是靜態頁面,若你非需要動態腳本調用,那就把它弄到另外一台單獨主機去,免的遭受攻擊時連累主服務器,當然,適當放一些不做數據庫調用腳本還是可以的,此外,最好在需要調用數據庫的腳本中拒絕使用代理的訪問,因為經驗表明使用代理訪問你網站的80%屬於惡意行為。

6、增強操作系統的TCP/IP棧

Win2000和Win2003作為服務器操作系統,本身就具備一定的抵抗DDOS攻擊的能力,只是默認狀態下沒有開啟而已,若開啟的話可抵擋約 10000個SYN攻擊包,若沒有開啟則僅能抵禦數百個,具體怎麼開啟,自己去看微軟的文章吧!《強化 TCP/IP 堆棧安全》- http://www.microsoft.com/china/technet/security/guidance/secmod109.mspx

也許有的人會問,那我用的是Linux和FreeBSD怎麼辦?很簡單,按照這篇文章去做吧!《SYN Cookies》- http://cr.yp.to/syncookies.html

7、安裝專業抗DDOS防火牆

國內有一款可全功能免費試用的「冰盾防火牆」,是專門針對DDOS攻擊和黑客入侵而設計的專業級防火牆,據測試可有效對抗每秒數十萬的SYN/ACK攻擊 、TCP全連接攻擊、刷腳本攻擊等DDOS攻擊,而且可識別2000多種黑客行為的入侵檢測模塊,能夠有效防範端口掃瞄、SQL注入、木馬上傳等攻擊。下載地址:http://www.bingdun.com

8、其他防禦措施

以上的七條對抗DDOS建議,適合絕大多數擁有自己主機的用戶,對於第1-4條自己具有選擇權,第5條可以通過網站改版來實現,第6條是免費的,第7條若 購買的話需要一些費用,但在所有建議中是最有效的,並且情況允許的話,完全可以一直使用試用版。但假如採取以上措施後仍然不能解決DDOS問題,就有些麻煩了,可能需要更多投資,增加服務器數量並採用DNS輪巡或負載均衡技術,甚至需要購買七層交換機設備,從而使得抗DDOS攻擊能力成倍提高,只要投資足夠深入,總有攻擊者會放棄的時候,那時候你就成功了!:)

2010年9月2日 星期四

FreeBSD FTP 的架設

FreeBSD FTP 的架設
資料來源:http://dev.firnow.com/course/6_system/FreeBSD/2007625/67989.html

當你的 FreeBSD 安裝好後就內建 FTP ,只是預設不啟動它而已, 有人覺得 FreeBSD 內建的 ftpd 太陽春,會另外用別的 ftpd 來取代, 常見的替代方案有:proftpd , pureftp ......等,不過要隨時注意更新,因為 FTP 程式常常被找到有安全漏洞。

1 以 FreeBSD 內建的 ftpd 提供服務

一般說來,當你安裝好 FreeBSD ,FTP 的服務程式 /usr/libexec/ftpd 就有了 
只要修改一下 /etc/inetd.conf , FTP 服務就已經可以提供給有本機帳號的人使用

1-1 打開 FTP 服務

FreeBSD 系統的預設 ftpd 提供 daemon 模式(stand alone)和由 inetd 啟動 ftpd 兩種方式
兩種方式比較起來,daemon 的方式適合對同一時間連線使用多,負載較大的主機

1-1-1 方法一:daemon 模式 (stand alone)

1-1-1-1 立即啟動 ftpd daemon

如果只是要馬上啟動服務只要執行:
/usr/libexec/ftpd -D -l -l
參數說明:
  • -D :讓 ftpd 以 daemon 的方式啟動。
  • -l :叫 syslogd 記錄每次的連線,用兩次 -l 則可以連使用的動作都記錄
      -l 要留下連線記錄還需要配合修改 /etc/syslog.conf 才會啟動記錄
ftpd 還有很多的參數,可以 man ftpd 查看。

1-1-1-2 如何讓 FreeBSD 開機時自動啟動 ftpd

如果只用前面的方法啟動 ftpd daemon,下次系統重新開機後就沒了,為了讓它能自動啟動,我們可以把啟動指令放入 /etc/rc.local 中或是仿 /usr/local/etc/rc.d 的檔案,自己寫個 ftpd.sh 。
例一:
ee /etc/rc.local
在裡面放一行:
/usr/libexec/ftpd -D -l -l
例二:
仿 /usr/local/etc/rc.d 中的檔案,新增一個叫 ftpd.sh 的 script :
ee /usr/local/etc/rc.d/ftpd.sh
裡面放入下面的內容:
#!/bin/sh

ftpd_flag="-l -l -S"
ftpd="/usr/libexec/ftpd"

case "$1" in
start)
        [ -x ${ftpd} ] && ${ftpd} -D ${ftpd_flag} > /dev/null && echo -n ' ftpd
        ;;
stop)
        /usr/bin/killall ftpd > /dev/null && echo -n ' ftpd'
        ;;
*)
        echo "Usage: `basename $0` {start|stop}" >&2
        ;;
esac

exit 0
存好檔後再更改一下檔案的權限,讓它可以執行:
chmod 554 /usr/local/etc/rc.d/ftpd.sh
這樣,當 FreeBSD 開機時就會自動啟動 ftpd ,也可以利用 /usr/local/etc/rc.d/ftpd stop 來停止服務,執行時要加什麼參數就修改 ftpd_flag 那行。

1-1-2 方法二:由 inetd 來啟動 ftpd

這種方式,想當然爾,就是要修改 /etc/inetd.conf 囉:
ee /etc/inetd.conf
先檢查一下 /etc/inetd.conf 中有沒有下面這行:
#ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l
如果像上面那行一樣,開頭是井字號,表示現在 FTP 服務預設是被關閉的。井字號表示註解,不使用,只要把井字號去掉改成下面的樣子:
ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l
存檔後執行下面的指令:
kill -HUP `cat /var/run/inetd.pid`
讓 inetd 重新抓取 /etc/inetd.conf 設定檔就好了
注意:上面的 ` 是 Esc 鍵下面那鍋毛毛蟲的按鍵哦,可別打成單引號

1-2 停止 FTP 服務

如果要停止 FTP 服務,看之前是以 daemon 模式啟動還是 inetd 模式啟動而有所不同。

1-2-1 daemon 模式

daemon 模式可以執行下列指令來終止 ftpd 的程序:
killall ftpd
如果之前是將 ftpd 放在 /etc/rc.local 中來由系統在開機時自動啟動,可以用下面的方法來停止自動提供 FTP 服務。
先打開 /etc/rc.local 來編輯,執行:
ee /etc/rc.local
將檔案中,執行 ftpd 那行的最前面加個井字號,儲存好即可。

1-2-2 inetd 模式

當初是以 inetd 模式來提供服務的,則要修改 inetd 的設定檔 /etc/inetd.conf ,並讓 inetd 重新讀取設定。
先打開 /etc/inetd.conf 來編輯,執行:
ee /etc/inetd.conf
將設定檔中,有 ftpd 那行的前面加上井字號後,儲存設定檔。
讓 inetd 重讀設定檔,執行下面指令:
kill -HUP `cat /var/run/inetd.pid`
如果要確認 FTP 服是否已經停止了,可以執行:
netstat -na
看看下面這行是不是已經消失了:
tcp4 0 0 *.21 *.* LISTEN

1-3 限制使用者只能在自己目錄活動(chroot)

如果沒有特殊設定,使用者用自己的帳號 FTP 到主機後,可以自由的切換任意目錄的,如果不想讓它亂跑則要做以下設定。

1-3-1 方法一:利用 /etc/ftpchroot

FreeBSD 的 ftpd 以 /etc/ftpchroot 來控制哪些人或群組要如何 chroot ,所以我們開啟/新增這個設定檔來編輯。
ee /etc/ftpchroot
在檔案裡面放入我們要管制的人或群組:
gsyan
foo
@staff
上面的設定使得 gsyan, foo 及屬於 staff 群組的人都只能在自己目錄活動。

說明:
小老鼠開頭的表示後面接的名稱為群組。
有方法可以只開放一個帳號不 chroot 其它全部 chroot 嗎?

最近 FreeBSD 內建的 ftpd 在 /etc/ftpchroot 又多了可設定的東東, 如果 man ftpchroot 可以看到說明,就表示可以使用下面的的設定來達到只開放部份帳號不鎖定在個人目錄的目的。
首先開啟 /etc/ftpchroot 來編輯:
ee /etc/ftpchroot
假設 admin 是管理員的帳號,讓 admin 可以在系統中到處游走,就裡面放入下面三行:
admin /
ftp .
@ www
儲存好就可以用 ftp 連線看看, 上面的設定有底下的效果:
  • 第一行設定:admin 登入時會切換到 /
  • 第二行設定:匿名登入時則保持原來的方式,只能在帳號指定的公用目錄活動。
  • 第三行設定:其它使用者則只能在個人目錄中的 www 資料夾中活動。
第三行應用在 server 有 apache 提供使用者放網頁, 而 apache 設定 UserDir=www 時,以後只要告訴使用者: 『請將做好的網頁直接用自己的帳號 ftp 到主機即可』, 以前都要解釋半天,請他 ftp 後把網頁放到 www 資料夾, 不過,記得先將使用者的 www 目錄先建立好,不然可是會連登入都無法登入哦!!
在 FreeBSD 4.8R 以後的 /etc/ftpchroot 又新增了功能,詳細的設定可以 man ftpchroot (不過,之前的版本沒這鍋 man )。

1-3-2 方法二:利用 /etc/login.conf

這個方法是利用使用者資料庫 (系統密碼檔 /etc/master.passwd) 中 login class 的欄位,來設定使用者隸於的 class ,然後在 /etc/login.conf 中設定各 class 在 FTP chroot 的動作為何,在 /etc/ftpchroot 不方便設定時,適用於要處理很多人的狀況。
開啟 /etc/login.conf 來修改,執行:
ee /etc/login.conf
然後找到下面 default: 開頭的哪幾行,類似下面的內容:
default:\
:copyright=/etc/COPYRIGHT:\
:welcome=/etc/motd:\
...................略
加下面這一行:
:ftp-chroot:\
變成:
default:\
:ftp-chroot:\
:copyright=/etc/COPYRIGHT:\
:welcome=/etc/motd:\
...................略
然後執行下列這行指令,把 login.conf 轉成資料庫格式
cap_mkdb /etc/login.conf
這樣,所有的帳號都會做 chroot,活動的範圍就限定在自己的目錄中。

想全部管制,但又想開放系統管理用的帳號不做 chroot 呢?
前面的方法我們設定的是 default 這個 login class 要做 FTP 的 chroot,也就是所有人共同的設定,想讓系統管理可以到處游走,就設定一個系管的 class ,並且將 ftp-chroot 的屬性去掉即可達到部份開放的目的。
開啟 /etc/login.conf 新增系管的 login class 叫 admin,並加入 ftp-chroot 為否的設定:
ee /etc/login.conf
新增下面幾行(注意藍色的部份), 注意:除了前面 defaults: 下的 ftp-chroot 部份,我們在下面另外新增一個 login class 叫 admin:

default:\
:ftp-chroot:\
:copyright=/etc/COPYRIGHT:\
:welcome=/etc/motd:\
...................略

admin:\
:ftp-chroot@:\
:tc=default:
...................略
然後執行下列這行指令,把 login.conf 轉成資料庫格式:
cap_mkdb /etc/login.conf

BLOCKQUOTE>
注意:上面在 admin 這個 class 中用的是:
:ftp-chroot@:\
ftp-chroot 多了個小老鼠哦!它代表這個值要相反的意思,也就不做 ftp-chroot。
再來,我們要告訴系統,誰屬於 admin 這個 login class ,直接修改帳號資料庫,執行
vipw
修改管理員 (不做 chroot) 的 login class 為 admin
例如:
假設系統管理員 gsyan 原來的帳號資料是:
gsyan:*:1000:1000::0:0:大雄:/home/gsyan:/bin/tcsh
要將它的 login class 修改為 admin ,就改為下面的樣子:
gsyan:*:1000:1000:admin:0:0:大雄:/home/gsyan:/bin/tcsh
都修改完了就儲存檔案,利用 FTP 軟體以不同身份登入測試看看。
說明:
FreeBSD 中 /etc/master.passwd 密碼欄位依序為:
帳號名稱:密碼:UID:GID:class:強制換密碼的時間:有效時間:資料:家目錄:shell
所以要改的 login class 是第五個欄位。
關於密碼檔的格式可以 man 5 passwd 查看
將不同身份的使用者分為幾個 login class,並利用 /etc/login.conf 來設定各身份能夠使用的系統資源是滿不錯的管制工具,非常值得好好的研究,詳細的內容可以 man login.conf 。

1-4 提供匿名(訪客用)的 FTP 服務

讓在系統中沒有帳號訪客可以下載 FTP 站中的檔案,這種叫匿名的 FTP 服務 (Anonymous FTP),要提供這種服務必須有一個叫 ftp 的帳號並建立好相關的目錄及檔案,這部份如果不清楚,利用 /stand/sysinstall 來做是最輕鬆不過的。底下是設定的步驟:
1.呼叫 /stand/sysinstall ,執行:
/stand/sysinstall
2.當出現安裝點單『/stand/sysinstall Main Menu』, 按方向鍵移到『Configure』,然後按空白鍵
3.進入到『FreeBSD Configuration Menu』後,按方向鍵移到『Networking』,然後按空白鍵
4.進入到『Network Services Menu』後,按方向鍵移到『Anon FTP』,後按空白鍵
5.進入到『Anonymous FTP Configuration』後,輸入下面的資料:
6.輸入完畢後就按 OK 。

7.接著輸入FTP的 GID (使用預設值,直接按 Enter 鍵就可以)。
8.接著,詢問是否要產生進站歡迎詞 (welcome message),直接按 Enter 鍵就可以。
9.輸入進站的歡迎詞:
10.編輯完好後按 Esc 鍵,再按 Enter 鍵兩次即可存檔離開。
11.接著都選點單最上面的 Exit 即可。

2010年7月8日 星期四

如何變更遠端桌面聽候的連接埠


您可以使用 Windows XP (商用版) 中的「遠端桌面」功能,從另一部遠端電腦連線到您的電腦。

警告 如果您變更聽候的連接埠,可能會使 Microsoft Windows XP 中的「遠端協助」功能無法正常運作。

如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
307711  (http://support.microsoft.com/kb/307711/ ) Remote Assistance Invitation File Does Not Contain Correct Port Number
如果要變更遠端桌面聽候的連接埠,請依照下列步驟執行:

警告 如果您不當使用「登錄編輯程式」,可能會導致嚴重的問題,甚至必須重新安裝作業系統。Microsoft 並不保證可以解決您不當使用「登錄編輯程式」所導致的問題。請自行承擔使用「登錄編輯程式」的風險。
  1. 啟動「登錄編輯程式」。
  2. 找出並按一下下列登錄子機碼:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber
  3. [編輯] 功能表上,按一下 [修改],再按一下 [十進位]
  4. 輸入新的連接埠編號,然後按一下 [確定]
  5. 結束「登錄編輯器」。
注意 當您嘗試使用遠端桌面連線連接到這台電腦時,您必須輸入新的連接埠。
304304  (http://support.microsoft.com/kb/304304/ ) 設定遠端桌面用戶端連線到特定連接埠  

資料來源:http://support.microsoft.com/kb/306759/zh-tw

2010年6月20日 星期日

使用fsck,來檢測斷電引起freebsd文件系統錯誤

1.首先先開機進入 Single Mode 
2.接下來進去後先按一下 Enter ,以我的系統為例,輸入下列指令

# mount -a
# df

/dev/da0s1a   10154158      70668   9271158     1%    /
devfs                1          1         0   100%    /dev
/dev/da1s1d 2055518950 1106617646 784459788    59%    /home
/dev/da0s1e   10154158    1037240   8304586    11%    /tmp
/dev/da0s1f   80729226   30448924  43821964    41%    /usr
/dev/da0s1d   81245672     800846  73945174     1%    /var
3.先確認有哪些目錄後,就一個一個 umont 做 fsck 修復的動作,修復完再 mount 回來
# umount /home
# fsck -y /home
# mount /home
若一開始連 / 都 mount 不起來的話,記得要先 fsck 根目錄才行唷!
參考來源:http://bojack.pixnet.net/blog/post/20082824

==========================
補充些fsck的用法:
對文件系統進行檢查,並對損害的文件系統進行修復。
fsck的語法如下:
fsck (-F fstype) (-v) (-m) (-special.)
fsck (-F fstype) (-v) (-y|Y|n|N)
(-o fstype options) (special.)
其中:
-F fstype : 說明被檢查的文件系統的類型
-v : 返回完成的命令行,但不運行
-y|Y: 對所有問題均回答Yes
-n|N: 對所有問題均回答No
-m: 對文件系統進行檢查,不修覆文件系統,
如果文件系統經檢查後是可安裝的,則顯示
ufs fsck : sanity check : /dev/rdsk/c0t0d0s0 okay.
-o: 文件系統類型選項,選項由逗號分隔,
最常用的選項有兩個:
P: 整理(preen)模式
F: 強制檢查模式,此選項忽略文件系統狀態標誌。
1) 移去一個沒有相關文件的目錄入口 答Yes或Y來刪除該目錄入口
2) 重連接一個已分配但不能訪問的文件
對fsck的」RECONNECT?」回答Yes,即把該I節點連接到lost+found目錄下,文件名即是I節點號
3) 連接數調整 回答Yes或Y來改正連接數
4) 自由塊表不一致 回答Yes或Y來修正超級塊
對於fsck詢問的問題大多數情況下都可以用Yes來回答,所以在實際應用時,可以用」 -y」選項來執行該命令
對硬盤進行檢查和修復。