發表文章

目前顯示的是 10月, 2015的文章

替 ubuntu server 增加 iptables 設定

預設的 ubuntu  server 版並沒有像 CentOS有 iptables service 所以我們可以自行寫 shell script 來增加 iptables 的規則彈性,提供範例程式如下: #!/bin/bash # 請先輸入您的相關參數,不要輸入錯誤了!   EXTIF="eth0"              # 這個是可以連上 Public IP 的網路介面   INIF=""               # 內部 LAN 的連接介面;若無請填 ""   INNET=""    # 內部 LAN 的網域,若沒有內部 LAN 請設定為 ""   export EXTIF INIF INNET # 第一部份,針對本機的防火牆設定!########################### # 1. 先設定好核心的網路功能:   echo "1" > /proc/sys/net/ipv4/tcp_syncookies   echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts   for i in /proc/sys/net/ipv4/conf/*/rp_filter; do         echo "1" > $i   done   for i in /proc/sys/net/ipv4/conf/*/log_martians; do         echo "1" > $i   done   for i in /proc/sys/net/ipv4/conf/*/accept_source_route; do         echo "0" > $i   done   for i in /proc/sys/net/ipv4/conf/*/accept_redirects; do         echo "0" > $i   done   for i in /proc/sys/net/ipv4/conf/*/send_redirects

phpMyAdmin 連線 IP 設定 限制

系統環境 CentOS + MySQL 5 架設於 PHP 擴充附件: mysql phpMyAdmin 如何限制外部連線使用的 IP 在 phpMyAdmin 安裝目錄下有個 config.inc.php 有一段這樣的內容: //block root from logging in except from the private networks $cfg['Servers'][$i]['AllowDeny']['order'] = 'deny,allow'; $cfg['Servers'][$i]['AllowDeny']['rules'] = array(     'deny root from all',     'allow root from localhost',     'allow root from 192.168.1.1/24',     'allow root from 74.125.31.103/30',     ); 紅色的就是預設 root 都不允許。 除了下面的 allow 以外。 藍色的就一定要加入,不然連本機都無法使用 phpMyAdmin功能了。 橘底的部份就是你希望開放的連結 IP 。 這樣的效果產生的就是,允許以外的主機登入時,phpMyAdmin 才會驗證來源 IP 是否符合上面的規範,不符合就會拒絕該帳號登入。 這是容易被誤導的一部分! 所以如果要在 connection 建立階段就拒絕連線,則應該是設定在 apache 的config 檔案中!

.htaccess 使用技巧彙整

無法查看此摘要。請 按這裡查看文章。

Windows server 2012 R2 IIS 設定 HTTPS ( SSL 憑證)

圖片

在 windows 環境底下設定 apache ( 32 位元 ) SSL 憑證讓網址變成 https

圖片
此環境為 apache、mysql、php 獨立安裝的 windows 環境 1.首先切換到Apache的bin目錄  這裡的apache的目錄在C:\FMS\apache\bin 2.使用OpenSSL建立『server.key』私鑰檔案,並輸入自訂短密碼 openssl genrsa -out server.key 2048   這邊請不要加上 -des or -des3 來使用密碼保護 因為有密碼保護的 key,會讓 apache 在啟動時詢問密碼,這樣 linux 會停住 而 windows 則因為不支援密碼輸入,所以 apache 會開不起來 3.使用私鑰去建立『server.csr』憑證請求檔 openssl req -new -key server.key -out server.csr -config ..\conf\openssl.cnf 4.在建立憑證請求檔時會詢問相關資訊 Country Name (2 letter code) [AU]:所在國家簡寫TW State or Province Name (full name) [Some-State]:所在國家Taiwan Locality Name (eg, city) []:所在城市 Organization Name (eg, company) [Internet Widgits Pty Ltd]:公司名稱 Organizational Unit Name (eg, section) []:組織名稱 Common Name (e.g. server FQDN or YOUR name) []:網址名稱 Email Address []:聯絡人信箱 5.使用憑證請求檔及私鑰檔去建立3650天的X.509格式憑證的CRT憑證檔 openssl x509 -req -days 3650 -in server.csr -signkey server.key -out server.crt 6.以上步驟完成後會得到共三個檔案『server.key』、『server.csr』、『server.crt』請將三個檔案移到『\conf』目錄下。 7.打開『httpd.conf』檔案找到以下句並取消註解 LoadModule ssl_modul

CentOS 在 Apache 中加入 SSL 憑證讓網址變成 https

圖片
1. 取得所需的軟件 你需要為一台 SSL 加密的網頁伺服器預備數件東西。視乎你的安裝,你可能並未安裝 OpenSSL 或 mod_ssl,Apache 連接到 OpenSSL 的介面。如果你有需要,請用 yum 來安裝它們。 yum install mod_ssl openssl yum 會告訴你它們已經安裝,或者為你安裝它們。 2. 產生一張自我簽署的憑證 我們將會利用 OpenSSL 來產生一張自我簽署的憑證。如果你在一台生產用的伺服器上做這個動作,你應該會想從一個被信賴的憑證機構取得一條金鑰,但假若你只是用在一個私人網站上或作測試之用,自我簽署的憑證已經足夠了。要建立金鑰,你必須是 root 用戶,因此你可使用 su 變為 root 用戶,或在指令前面運用 sudo # 產生私鑰 openssl genrsa -out ca.key 2048 # 產生 CSR openssl req -new -key ca.key -out ca.csr # 產生自我簽署的金鑰 openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt # 複製檔案至正確位置 cp ca.crt /etc/pki/tls/certs cp ca.key /etc/pki/tls/private/ca.key cp ca.csr /etc/pki/tls/private/ca.csr [attachment:ArtWork/WikiDesign/icon-admonition-alert.png]     警告:如果你採用 SELinux,請確保你複製這些檔案而不是遷移它們。否則 Apache 將會投訴關於違漏了的憑證檔,因為它無法讀取這些擁有錯誤 SELinux 脈絡的憑證檔。 假如你遷移了這些檔案而不是複製它們,你可以用以下的指命來矯正這些檔案的 SELinux 脈絡,因為 /etc/pki/* 的正確脈絡定義已包含在 SELinux 政策裡。 restorecon -RvF /etc/pki 接著我們須要更新 Apache SSL 的設定檔 vi +/SSLCertificateFile /etc/httpd/conf.d/ssl.con

windows server 2012 R2 啟用 LDAP over SSL 並透過 linux 連線

圖片
1.在伺服器管理員管理/新增角色及功能,按下一步。 2.按下一步。 3. 選擇角色安裝,按下一步。 4.確認,按下一步。 5.確認要安裝的 AD 憑證服務,按下一步。 6.選取功能服務,使用預設即可,按下一步。 7.確認安裝項目,確認沒問題後即可安裝。 8.安裝完畢後在伺服器管理員視窗右上選單中的旗標會出現驚嘆號,點選並確認安裝資訊或部屬設定。 9.完成安裝後使用命令提示字元輸入 ldp ,並開啟 ldp.exe 連線工具 10.開啟 ldp.exe 後點選視窗/連線。 11.輸入網域資訊、636、SSL 勾選按下確認。 12.檢查連線資訊,會出現 AD 網域相關資訊包含使用 636 PORT 及 SSL 256 位元。 13.使用 putty 登入 centos,並修改 ldap.conf vi /etc/openldap/ldap.conf 14.修改的資訊須考量客戶端的網域以下僅提供測試端環境範例: # # LDAP Defaults # # See ldap.conf(5) for details # This file should be world readable but not world writable. BASE    dc=anthony,dc=com #URI    ldap://ldap.example.com ldap://ldap-master.example.com:666 URI     ldaps://anthony.com:636 #SIZELIMIT      12 #TIMELIMIT      15 #DEREF          never #TLS_CACERTDIR  /etc/certs/new.cer TLS_REQCERT never 15.設定完成後使用 ldapsearch 工具進行測試連線。 ldapsearch -x -H ldaps://anthony.com -b dc=anthony,dc=com     -D "CN=HR1,OU=研發,OU=TEST,DC=anthony,DC=com"