最近個人代管的一台主機連連跳電掛點,自己實在是好生鬱卒。
架主機不是只有軟體,硬體問題更是麻煩,切末用桌面電腦的觀點,最新的cpu、最多的RAM,不等於一台好主機的配備。
2007年6月20日 星期三
2007年2月5日 星期一
ubuntu Linux的DNS架設心得
上個星期我幫朋友架設DNS(Domain Name Server),以前完全沒有碰過DNS,網路上爬文爬了很久,知道DNS不但很複雜(聽說某神人研究了三年才會了bind),還是非常容易被入侵的管道。
上個星期花了好幾天認真研究終於架好了,雖然參考了ubuntu的bind9serverhowto,但由於該文似乎是ubuntu6.10之前的文章,有些地方不能反應實際6.10時bind9的設定檔配置位置,以下分享我對該文的校定
上個星期花了好幾天認真研究終於架好了,雖然參考了ubuntu的bind9serverhowto,但由於該文似乎是ubuntu6.10之前的文章,有些地方不能反應實際6.10時bind9的設定檔配置位置,以下分享我對該文的校定
- 先在TWNIC或是ISP業者的dn管理介面那邊,設定XX網域由dns管,該dns的ip指向我們準備的dns主機,這個變更要24小時後才會生效生效
- 在作chroot時,特別注意,原來提到/etc/named.conf,要改成/etc/bind/named.conf才對
- 此外其他的路徑,由於6.10 ubuntu的配置變很多,為了好管理,我是把/etc/bind/*複製到/chroot/named/etc/bind/去
- 特別注意,改/etc/default/bind9時,設OPTIONS="-u bind -t /var/named -t /chroot/named -c /etc/bind/named.conf"要記得,這裡指的/var..../etc...都是指到/chroot/named底下的,不要跟系統本身的/etc、/var搞在一起了。
除了/chroot/named/run以外,還要作這個目錄:/chroot/named/var/cache,這也是6.10ubuntu的bind9所會用到的。(你有配cache的話)
- 作chroot時,原文未提到rndc.key的問題,很多同號會發現rndc.key無法使用,系統抱怨說權限不夠,我的作法是被關到chroot裏面的版本,其rndc.key下sudo chown bind rndc.key,也就是把所有權給bind帳戶擁有。
2005年10月24日 星期一
1 iptable
設定在linux核心防火牆功能的工具。
2 shorewall
輔助設定iptable的工具,這是我慣用的的Mandrake10.2系統所內附的,我i是使用這個來作防火牆的設定。
2.1 我所設定的檔案
shorewall的設定檔都在/etc/shorewall裏面(etc都是放跟設定相關的),其中我有改的是policy和rules兩個設定檔。policy是防火牆的政策,rules顧名思義是規則。
2.1.1 設定的方法
要作設定前,就要有明確的方針。以只准80,443,22,177 放行為例。
* 編輯policy,修改如下:
fw net ACCEPT
net all DROP info
all all REJECT info
上面的意思簡單來說:就是所有封包都先擋,通過防火牆規則的才放行。詳細設定規則這個檔案前面的註解就有很多好說明與範例。
* 編輯rules,修改如下:
ACCEPT net:x.y.y.0/24 fw udp 177 -
ACCEPT net:x.y.y.0/24 fw tcp 80,443,22,177 -
第一行,是只放行來自我們x.y.y的網域可以透過udp連線177(ssh加密傳輸,我們的subversion存取是透過ssh加密傳輸的)。
第二行就比較多了,是放行來自我們公司的網域透過tcp連80,443,22,177,80是網頁伺服器,22,443應該是ftp和smb(連windows網芳),不過目前後兩種服務沒開,所以連了也沒用。
* 執行shorewall去更新新的iptable,使新的防火牆規則生效:
1. 先驗證:下shorewall check檢查有沒有規則設錯。
2. 重新啟動防火牆:下shorewall restart使新規則生效。
那這樣一來防火牆規則就設定好了。
設定在linux核心防火牆功能的工具。
2 shorewall
輔助設定iptable的工具,這是我慣用的的Mandrake10.2系統所內附的,我i是使用這個來作防火牆的設定。
2.1 我所設定的檔案
shorewall的設定檔都在/etc/shorewall裏面(etc都是放跟設定相關的),其中我有改的是policy和rules兩個設定檔。policy是防火牆的政策,rules顧名思義是規則。
2.1.1 設定的方法
要作設定前,就要有明確的方針。以只准80,443,22,177 放行為例。
* 編輯policy,修改如下:
fw net ACCEPT
net all DROP info
all all REJECT info
上面的意思簡單來說:就是所有封包都先擋,通過防火牆規則的才放行。詳細設定規則這個檔案前面的註解就有很多好說明與範例。
* 編輯rules,修改如下:
ACCEPT net:x.y.y.0/24 fw udp 177 -
ACCEPT net:x.y.y.0/24 fw tcp 80,443,22,177 -
第一行,是只放行來自我們x.y.y的網域可以透過udp連線177(ssh加密傳輸,我們的subversion存取是透過ssh加密傳輸的)。
第二行就比較多了,是放行來自我們公司的網域透過tcp連80,443,22,177,80是網頁伺服器,22,443應該是ftp和smb(連windows網芳),不過目前後兩種服務沒開,所以連了也沒用。
* 執行shorewall去更新新的iptable,使新的防火牆規則生效:
1. 先驗證:下shorewall check檢查有沒有規則設錯。
2. 重新啟動防火牆:下shorewall restart使新規則生效。
那這樣一來防火牆規則就設定好了。
2005年10月17日 星期一
2005年10月3日 星期一
eclipse & interface implement wizard
今天用eclipse寫程式,寫到一半,突然想起忘了實作一個interface,這時發現似乎找不到一個實作介面的winzard嗚嗚嗚...
2005年9月30日 星期五
shorewall和ip心得
這幾天設shorewall設的很辛苦,真後悔以前沒有好好學網路技術的課程。168.95.0.這個子網域的選法有以下兩種: 168.95.0.0/255.255.255.0或是168.95.0.0/24(24=3*8也就是3個 bytes0.0.0~255.255.255的範圍)。
2005年9月29日 星期四
2005年9月28日 星期三
mmcache+rpmfind雙煞
今天晚上實在被mmcache+rpmfind欺負夠了。mmcache是其tar.gz超級不友善,要另外用ㄧ個獨特的程式不說(phpize), 還沒有INSTALL相關文件,根據鳥哥架站篇還要另外去抓有phpize程式的php-devel,又rpmfind的搜尋引擎有夠白吃..查php, 結果php-XXX-XXXX(php相關組件)都不會出現,只會出現php本身相關的,後來下載下來也不成功,rpmfind突然想到以前直接搜尋 mmcache不行的話,那查php-mmcache(-mmcache會找不到,php && mmcache也不行,有夠蹩腳的)的話呢?結果還真的被我矇到了php-mmcache相關的rpm,喔實在被它們合起來打敗了,好在有rpm這 個救星,按鳥哥書上通通設好後,雖然裝mediawiki它還是看不到mmcache>_<,但是很明顯的php速度有很大的改善,唉心滿意 足了。
訂閱:
文章 (Atom)