《民主的限制》一書小記

趙鼎新。1953年生，經歷了文革，最後成功赴美，現為持美國護照的社會學者。他是少數敢寫六四事件，又能在國內講學、受訪、發表文和出書的人士。正如他在書中自序「有人甚至戲稱我是"高級五毛"」。事實上，打開他作品時，我確是由「看看高級五毛有多高級」為出發的。

書中第72頁寫了「我當時認為，搞文科有很大的進監牢的危險，於是報考了理科」。這不似是「高級五毛」的自貶吧！假定作者是坦白的，書中的內容應該可以一看。

簡單看，書中對今日常聽的「普選不等價於民主」、「話語權」、「忠誠反對」、「維穩成本」..... 都有分析。當然，狠批趙的文章也不少，粗略看了四五篇，都只「煽情」「叫罵」「污衊」，既提不出什麼理據，甚至連他的文章也沒看清楚。

這書是文章合集，大部份都可以在以下網址看到：

http://www.guancha.cn/ZhaoDingXin/list_2.shtml

MS Office 工具

Office 2003 簡繁轉換增益集 

http://www.microsoft.com/zh-tw/download/details.aspx?id=18514

 

Microsoft Office Word、Excel 及 PowerPoint 檔案格式相容性套件 

http://www.microsoft.com/zh-tw/download/details.aspx?id=3

 

OpenMediaVault 扎記(1)

用 OpenMediaVault 做 NAS 已三台！穩定性很好，一年多沒問題。讚！慚愧的是，一直沒寫筆記！

1- OMV 的主頁
   http://www.openmediavault.org/

2- 安裝時的注意事項：以 V 1.12 為例，它只佔 1G 以內，但會佔用整個硬碟，即使預分割無效。安裝後須再以 Gparter 縮放。

3- 安裝後的指令
   apt-get clean
   apt-get update
   apt-get upgrade

4- 若 web 畫面無法顯示
   omv-mkconf nginx
   omv-mkconf php5fpm
   service apache2 stop
   service php5-fpm restart
   update-rc.d -f apache2 remove
   service nginx restart

   omv-mkconf monit
   omv-mkconf collectd
   monit restart omv-engined

   apt-get -f install

5- 忘記 admin 密碼
   omv-firstaid



　　

Centos 6.6 最小安裝筆記(4)  LVM 分區

試用 LVM (Logical Volume Management) 目的有幾個，
 
A- 以前曾用過，但未認真學習。
B- 純測試，其實在單一系統下，直接掛載新 vol 即可。
C- 想到的，是給不同分區給予不同效能的 HD 。
D- 當有兩個 Virtual Machine 時，一個硬碟可分為多份，適時給予 host 或 guest 使用。





以下按操作作說明，分 6 個部份。

0- 傳統的分區
1- 安裝時，選擇「建立自訂分割格式」。
2- 分割硬碟時，採用 LVM 實體卷冊，建立多個分區。
3- 完成後，再按「建立」，選「卷冊群組」。
4- 再將每一 LVM 分區掛成所要求的分區。如 /var /home /swap
   注意，/boot 不能用 LVM ！
5- 完成後，可以按「下一步」繼續安裝。 


~~~~~~~~~~~~~~~

開始囉！

0- 傳統的分區

1- 安裝時，選擇「建立自訂分割格式」

2- 分割硬碟時，採用 LVM 實體卷冊，建立多個分區。

3- 完成後，再按「建立」，選「卷冊群組」。

4- 再將每一 LVM 分區掛成所要求的分區。如 /var /home /swap
   注意，/boot 不能用 LVM ！

5- 完成後，可以按「下一步」繼續安裝。

       

centos 6.6 使用 msmtp 失敗記！

家用 adsl + centos 6.6

要求，外部 ip 成日變，想變動時用 mail 通知自己，順便將 log 寄出。
唔打算自設 mail server！
請大家俾d意見同方法。

2015-01-30 原來換 mint 17.1 可以。

centos 6 試足幾日都唔惦，玩到死埋機。
結果換跑道用 mint 17.1 xfce就ok。

在 mint 環境下，只要在 ~/.msmtprc 做以下兩個設定，可以發信。好滿足！
port 465
tls_starttls off

當然，我順手試埋 port 587 同 tls_starttls on 的各種組合，就只有上面的一組能行。

以下是相關的資料：

sudo apt-get install msmtp

Get:3 http://archive.ubuntu.com/ubuntu/ trusty/universe msmtp i386 1.4.31-1 [116 kB]



$ vi ~/.msmtprc
    account default
    host smtp.gmail.com
    from xxxxxx@gmail.com
    auth on
    #重點1 必須是 port 465
    port 465  
    user xxxxxx@gmail.com
    password *****************
    logfile ~/.msmtp.log
    tls on
    #重點2 tls_starttls 必須是 off
    tls_starttls off
    tls_trust_file /etc/ssl/certs/ca-certificates.crt
    logfile ~/.msmtp.log

$ echo -e "Subject: Test Mail\r\n\r\nThis is a test mail" |msmtp --debug --from=default -t xxxxxx@gmail.com

ignoring system configuration file /etc/msmtprc: No such file or directory
loaded user configuration file /home/storylai/.msmtprc
falling back to default account
using account default from /home/xxxxxx/.msmtprc
host                  = smtp.gmail.com
port                  = 465
timeout               = off
protocol              = smtp
domain                = localhost
auth                  = choose
user                  = storylai@gmail.com
password              = *
passwordeval          = (not set)
ntlmdomain            = (not set)
tls                   = on
tls_starttls          = off
tls_trust_file        = /etc/ssl/certs/ca-certificates.crt
tls_crl_file          = (not set)
tls_fingerprint       = (not set)
tls_key_file          = (not set)
tls_cert_file         = (not set)
tls_certcheck         = on
tls_force_sslv3       = off
tls_min_dh_prime_bits = (not set)
tls_priorities        = (not set)
auto_from             = off
maildomain            = (not set)
from                  = default
dsn_notify            = (not set)
dsn_return            = (not set)
keepbcc               = off
logfile               = /home/xxxxxx/.msmtp.log
syslog                = (not set)
aliases               = (not set)
reading recipients from the command line and the mail
TLS certificate information:
    Owner:
        Common Name: smtp.gmail.com
        Organization: Google Inc
        Locality: Mountain View
        State or Province: California
        Country: US
    Issuer:
        Common Name: Google Internet Authority G2
        Organization: Google Inc
        Country: US
    Validity:
        Activation time: Tue 15 Jul 2014 04:40:38 PM CST
        Expiration time: Sat 04 Apr 2015 11:15:55 PM CST
    Fingerprints:
        SHA1: 9C:0A:CC:93:1D:E7:51:37:90:61:6B:..........
        MD5:  E7:48:1D:0B:99:4A:C3:A8:31:86:E5:..........
<-- -="" 220="" br="" esmtp="" g6sm10245709pdo.76="" gsmtp="" mx.google.com="">--> EHLO localhost
<-- 250-mx.google.com="" at="" br="" service="" your=""><-- 250-size="" 35882577="" br=""><-- 250-8bitmime="" br=""><-- 250-auth="" br="" login="" plain-clienttoken="" plain="" xoauth2="" xoauth=""><-- 250-enhancedstatuscodes="" br=""><-- 250-pipelining="" br=""><-- 250-chunking="" br=""><-- 250="" br="" smtputf8="">--> AUTH PLAIN AHN0b3J5bGFpQGdtYWlsLmNvbQAyNDA0ODkxMjM0
<-- 2.7.0="" 235="" accepted="" br="">--> MAIL FROM:
--> RCPT TO:
--> DATA
<-- -="" 2.1.0="" 250="" br="" g6sm10245709pdo.76="" gsmtp="" ok=""><-- -="" 2.1.5="" 250="" br="" g6sm10245709pdo.76="" gsmtp="" ok=""><-- -="" 354="" ahead="" br="" g6sm10245709pdo.76="" go="" gsmtp="" nbsp="">--> Subject: Test Mail
-->
--> This is a test mail
--> .
<-- -="" 1422612091="" 2.0.0="" 250="" br="" g6sm10245709pdo.76="" gsmtp="" ok="">--> QUIT
<-- font=""> 221 2.0.0 closing connection g6sm10245709pdo.76 - gsmtp

Centos 6.6 最小安裝筆記(4) SSH 再加強

又準備將 server 放上 internet ，汲取教訓，先將保安做好。

1- 加強 ssh 設定
    
     vi /etc/ssh/sshd_config
    
     Port 16789                             # Port 22
     Protocol 2                             # Protocol 2,1
     PermitRootLogin no                     # PermitRootLogin yes
     AllowUsers sshuser1 sshuser2  sshuser3 # 指定 user才可使用 ssh
     ClientAliveInterval 600            # (Set to 600 seconds = 10 minutes)
     ClientAliveCountMax 0                  # 不容許連線後閒置
     PermitEmptyPasswords no                # 禁止不輸入密碼後連線
     ListenAddress 192.168.100.17           # 限制連接 ip
     ListenAddress 209.64.100.15
     ServerKeyBits 2048                     # ServerKeyBits 1024
 

     # 保存後，重啟 SSH 服務：
     service sshd restart

2- vi /etc/hosts.allow
     # 例如只允許 123.45.67.89 登入
     sshd:209.64.100.15

3- 使用一個日誌分析器，比如 logcheck。

     Installation of the logwatch package on Redhat Linux
     # yum install logwatch

4- 通過配置增加 SSH 日誌記錄的詳細度：

    # vi /etc/ssh/sshd_config
    LogLevel DEBUG

     防火牆 + tcp_wrappers (日後再補)

5- 以「密鑰」+「密碼」，雙重保險。

   5-1 以 Pietty + ssh1 登入。

   5-2 su 成 root 後開始工作。

   5-3 輸入 ssh-keygen -b 2048 -t rsa

   Generating public/private rsa key pair.    
   #提示正在生成rsa密鑰對

   Enter file in which to save the key (/home/usrname/.ssh/id_dsa):
   #詢問公鑰和私鑰存放的位置，按 enter到預設位置即可

   Enter passphrase (empty for no passphrase):
   #詢問輸入私鑰密語。輸入10位以上複雜密碼

   Enter same passphrase again:
   #再次提示輸入密語確認

   Your identification has been saved in /home/usrname/.ssh/id_dsa.
   #提示公鑰和私鑰已經存放在/root/.ssh/目錄下

   Your public key has been saved in /home/usrname/.ssh/id_dsa.pub.
   The key fingerprint is:
   #提示key的指紋

   5-4 按要求，只允許 sshuser1 登入

       #建立 sshuser1 的 .ssh 目錄
       mkdir /home/sshuser1/.ssh
     
   5-5 將已產生的公鑰 id_rsa.pub 複製進去
      
       cp id_rsa.pub /home/sshuser1/.ssh/authorized_keys2

   5-4 將已產生的私鑰 id_rsa 複製至要連入 server 的 client 機。
 
   5-5 測試完成後，一定要將「公鑰私鑰」刪除，否則後患無窮。

   5-6 因 client 是 windows + Pietty，故先要先下載 puttygen.exe

       http://the.earth.li/~sgtatham/putty/latest/x86/puttygen.exe
      
       以 puttygen.exe 將私鑰轉換給 Pietty。
   
       參閱 http://blog.csdn.net/shawyeok/article/details/20393161

   5-7 登入主機後輸入「passphrase」才登入。大概能抵擋一段時間吧！
      
       login as: sshuser1
       Authenticating with public key "imported-openssh-key"
       Passphrase for key "imported-openssh-key": **********
       Last login: Fri Jan 23 00:46:30 2015 from 192.168.1.125



參考資料：
http://www.cnblogs.com/chenqianpeng/archive/2012/03/02/2376655.html
http://magiclen.org/linux-ssh-key/
http://blog.csdn.net/newjueqi/article/details/7354130
http://kumu-linux.github.io/blog/2014/05/21/ssh-maxauthtries/
http://www.xiaohui.com/dev/server/linux-centos-ssh-security.htm
http://blog.csdn.net/randyleonard/article/details/9049335
http://7056824.blog.51cto.com/69854/403669/
http://blog.csdn.net/leexide/article/details/17252369
http://www.ibm.com/developerworks/cn/aix/library/au-sshsecurity/
http://yenpai.idis.com.tw/archives/273-%E6%95%99%E5%AD%B8-centos-6-3-%E8%A8%AD%E5%AE%9A-1-%E5%9F%BA%E6%9C%AC%E8%AA%BF%E6%95%88%E8%88%87-ssh-%E9%80%A3%E7%B7%9A
http://www.kikinote.com/article/192.html
http://www.suse.url.tw/sles10/lesson19.htm
https://www.ptt.cc/bbs/EZsoft/M.1285078013.A.C20.html
http://blog.csdn.net/shawyeok/article/details/20393161










  


 

Centos 6.6 最小安裝筆記(3)  設定好 su su - sudo

1- 限制 su su - 命令
    當不想任何人能夠su作為root，可以編輯/etc/pam.d/su文件 
      vi /etc/pam.d/su
     ＃auth required /lib/security/$ISA/pam_whelle.so use_uid
     將前面的”#”刪除　存檔離開
     
      設定只有wheel群組的成員才能使用su命令
      usermod -G 10 帳號

2- 完全禁止 su
     直接到/bin 目錄下找到su ,然後chmod 700就行 ，這樣別的用戶沒有權限執行SU就行了。


3-  使用 sudo 命令
      參考以下一篇，先了解 sudo
      http://note.drx.tw/2008/01/linuxsudo.html

     了解後， 輸入 visudo，將 user 加入。可參閱以下一篇。
     http://linux.vbird.org/linux_basic/0410accountmanager.php#visudo



    

Centos 6.6 最小安裝筆記(2)  設定好 sshd





http://wiki.centos.org/HowTos/Network/SecuringSSH

0-  啟動 eth0 後，先 yum -y upgrade

1- 參考 http://preview.tinyurl.com/oasxl8b

2- 修改有關設定
     2-1  修改 sshd 的 port
     2-2  禁止 root 登入
     2-3  指定 user 可以經 sshd 具有 root


    SSH 服務的設定檔 /etc/ssh/sshd_config

[root@localhost ~]# vi /etc/ssh/sshd_config    Port 3322    PermitRootLogin no    UseDNS no    AllowUsers yenpai jess    [root@localhost ~]# service sshd restart    Stopping sshd:                         [  OK  ]    Starting sshd:                         [  OK  ]    [root@localhost ~]#

     設定完後要重啟服務(service sshd restart)才會真正生效，可以透過 netstat 指令來確認重啟後的 SSH 服務是否以 Port 3322 來接受連線

[root@localhost ~]# netstat -ant | grep :3322    tcp  0  0 0.0.0.0:3322   0.0.0.0:*   LISTEN    tcp  0  0 :::3322        :::*        LISTEN

     目前 SSH 的 Port 已經被更改到 3322，並且 root 帳戶無法登 入，所以要建立另一個使用者帳戶來登入(adduser 新增帳戶，passwd  設定帳戶密碼)

[root@localhost ~]# adduser yenpai    [root@localhost ~]# passwd yenpai    Changing password for user yenpai.    New password:    Retype new password:    passwd: all authentication tokens updated successfully.    [root@localhost ~]#    service shhd restart

3- 修改 iptablles 設定，讓指定port能對外通訊。

     iptables -I INPUT -p tcp --dport 3322 -j ACCEPT

     iptables -I OUTPUT -p tcp --sport 3322 -j ACCEPT  

     service iptables save
    
     service iptables reload
     

Centos 6.6 最小安裝筆記(0) 安全第一

上星期將 SERVER 放上網，才幾小時，惹來一大批連線攻擊。迫不得已，關機了事。

晚上重開機後，即使連帶家中整個網絡半癱煥。查了一晚，只發現仍有不少外部連線要求。估計，SERVER未必被被攻陷，但以防萬一，重裝了事。

前事不忘！為此，先記下來。

1- ROUTER 要加強保安。

2- SERVER 的 ROOT 要設成高強度，密碼要最強。

3- 啟動 NETWORK 後，先 UPGRADE。

4- SSH 部份要加強。

5- 保護好 su /sudo 指令。

6- 構建好 iptables ，阻斷不明的連線要求。

Centos 6.6 最小安裝筆記(1) 啟動網絡卡

最小安裝下，網絡卡不會自行啟動，須手動。
參考自  http://preview.tinyurl.com/lk8rk8u


網路卡設定檔 /etc/sysconfig/network-scripts/ifcfg-eth0

[root@localhost ~]# vi /etc/sysconfig/network-scripts/ifcfg-eth0 DEVICE=eth0 BOOTPROTO=none HWADDR=00:0C:29:1D:86:BD NM_CONTROLLED=yes ONBOOT=yes TYPE=Ethernet UUID=da0d1da0-568a-45cf-a93f-66a30a4870e7 IPADDR=192.168.1.12 NETMASK=255.255.255.0 GATEWAY=192.168.1.1 IPV6INIT=no USERCTL=no

名稱伺服器設定檔 /etc/resolv.conf

[root@localhost ~]# vi /etc/resolv.conf nameserver 168.95.1.1 nameserver 8.8.8.8

主機名稱設定檔 /etc/sysconfig/network

[root@localhost ~]# vi /etc/sysconfig/network NETWORKING=yes HOSTNAME=COS63