2015年5月18日 星期一




《民主的限制》一書小記

趙鼎新。1953年生,經歷了文革,最後成功赴美,現為持美國護照的社會學者。他是少數敢寫六四事件,又能在國內講學、受訪、發表文和出書的人士。正如他在書中自序「有人甚至戲稱我是"高級五毛"」。事實上,打開他作品時,我確是由「看看高級五毛有多高級」為出發的。

書中第72頁寫了「我當時認為,搞文科有很大的進監牢的危險,於是報考了理科」。這不似是「高級五毛」的自貶吧!假定作者是坦白的,書中的內容應該可以一看。

簡單看,書中對今日常聽的「普選不等價於民主」、「話語權」、「忠誠反對」、「維穩成本」..... 都有分析。當然,狠批趙的文章也不少,粗略看了四五篇,都只「煽情」「叫罵」「污衊」,既提不出什麼理據,甚至連他的文章也沒看清楚。

這書是文章合集,大部份都可以在以下網址看到:
http://www.guancha.cn/ZhaoDingXin/list_2.shtml

2015年3月19日 星期四

MS Office 工具

Office 2003 簡繁轉換增益集 

http://www.microsoft.com/zh-tw/download/details.aspx?id=18514

 

Microsoft Office Word、Excel 及 PowerPoint 檔案格式相容性套件 

http://www.microsoft.com/zh-tw/download/details.aspx?id=3

 

2015年2月10日 星期二

OpenMediaVault 扎記(1)

用 OpenMediaVault 做 NAS 已三台!穩定性很好,一年多沒問題。讚!慚愧的是,一直沒寫筆記!

1- OMV 的主頁
   http://www.openmediavault.org/

2- 安裝時的注意事項:以 V 1.12 為例,它只佔 1G 以內,但會佔用整個硬碟,即使預分割無效。安裝後須再以 Gparter 縮放。

3- 安裝後的指令
   apt-get clean
   apt-get update
   apt-get upgrade

4- 若 web 畫面無法顯示
   omv-mkconf nginx
   omv-mkconf php5fpm
   service apache2 stop
   service php5-fpm restart
   update-rc.d -f apache2 remove
   service nginx restart

   omv-mkconf monit
   omv-mkconf collectd
   monit restart omv-engined

   apt-get -f install

5- 忘記 admin 密碼
   omv-firstaid



  

2015年2月9日 星期一

Centos 6.6 最小安裝筆記(4)  LVM 分區

試用 LVM (Logical Volume Management) 目的有幾個,
 

A- 以前曾用過,但未認真學習。
B- 純測試,其實在單一系統下,直接掛載新 vol 即可。
C- 想到的,是給不同分區給予不同效能的 HD 。
D- 當有兩個 Virtual Machine 時,一個硬碟可分為多份,適時給予 host 或 guest 使用。






以下按操作作說明,分 6 個部份。


0- 傳統的分區
1- 安裝時,選擇「建立自訂分割格式」
2- 分割硬碟時,採用 LVM 實體卷冊,建立多個分區。
3- 完成後,再按「建立」,選「卷冊群組」。
4- 再將每一 LVM 分區掛成所要求的分區。如 /var /home /swap
   注意,/boot 不能用 LVM !

5- 完成後,可以按「下一步」繼續安裝。 


~~~~~~~~~~~~~~~

開始囉!

0- 傳統的分區


1- 安裝時,選擇「建立自訂分割格式」


2- 分割硬碟時,採用 LVM 實體卷冊,建立多個分區。



3- 完成後,再按「建立」,選「卷冊群組」。



4- 再將每一 LVM 分區掛成所要求的分區。如 /var /home /swap
   注意,/boot 不能用 LVM !



5- 完成後,可以按「下一步」繼續安裝。






       





2015年2月3日 星期二

centos 6.6 使用 msmtp 失敗記!

家用 adsl + centos 6.6

要求,外部 ip 成日變,想變動時用 mail 通知自己,順便將 log 寄出。
唔打算自設 mail server!
請大家俾d意見同方法。

2015-01-30 原來換 mint 17.1 可以。

centos 6 試足幾日都唔惦,玩到死埋機。
結果換跑道用 mint 17.1 xfce就ok。

在 mint 環境下,只要在 ~/.msmtprc 做以下兩個設定,可以發信。好滿足!
port 465
tls_starttls off

當然,我順手試埋 port 587 同 tls_starttls on 的各種組合,就只有上面的一組能行。

以下是相關的資料:


sudo apt-get install msmtp

Get:3 http://archive.ubuntu.com/ubuntu/ trusty/universe msmtp i386 1.4.31-1 [116 kB]



$ vi ~/.msmtprc
    account default
    host smtp.gmail.com
    from xxxxxx@gmail.com
    auth on
    #重點1 必須是 port 465
    port 465  
    user xxxxxx@gmail.com
    password *****************
    logfile ~/.msmtp.log
    tls on
    #重點2 tls_starttls 必須是 off
    tls_starttls off
    tls_trust_file /etc/ssl/certs/ca-certificates.crt
    logfile ~/.msmtp.log

$ echo -e "Subject: Test Mail\r\n\r\nThis is a test mail" |msmtp --debug --from=default -t xxxxxx@gmail.com

ignoring system configuration file /etc/msmtprc: No such file or directory
loaded user configuration file /home/storylai/.msmtprc
falling back to default account
using account default from /home/xxxxxx/.msmtprc
host                  = smtp.gmail.com
port                  = 465
timeout               = off
protocol              = smtp
domain                = localhost
auth                  = choose
user                  = storylai@gmail.com
password              = *
passwordeval          = (not set)
ntlmdomain            = (not set)
tls                   = on
tls_starttls          = off
tls_trust_file        = /etc/ssl/certs/ca-certificates.crt
tls_crl_file          = (not set)
tls_fingerprint       = (not set)
tls_key_file          = (not set)
tls_cert_file         = (not set)
tls_certcheck         = on
tls_force_sslv3       = off
tls_min_dh_prime_bits = (not set)
tls_priorities        = (not set)
auto_from             = off
maildomain            = (not set)
from                  = default
dsn_notify            = (not set)
dsn_return            = (not set)
keepbcc               = off
logfile               = /home/xxxxxx/.msmtp.log
syslog                = (not set)
aliases               = (not set)
reading recipients from the command line and the mail
TLS certificate information:
    Owner:
        Common Name: smtp.gmail.com
        Organization: Google Inc
        Locality: Mountain View
        State or Province: California
        Country: US
    Issuer:
        Common Name: Google Internet Authority G2
        Organization: Google Inc
        Country: US
    Validity:
        Activation time: Tue 15 Jul 2014 04:40:38 PM CST
        Expiration time: Sat 04 Apr 2015 11:15:55 PM CST
    Fingerprints:
        SHA1: 9C:0A:CC:93:1D:E7:51:37:90:61:6B:..........
        MD5:  E7:48:1D:0B:99:4A:C3:A8:31:86:E5:..........
<-- -="" 220="" br="" esmtp="" g6sm10245709pdo.76="" gsmtp="" mx.google.com="">--> EHLO localhost
<-- 250-mx.google.com="" at="" br="" service="" your=""><-- 250-size="" 35882577="" br=""><-- 250-8bitmime="" br=""><-- 250-auth="" br="" login="" plain-clienttoken="" plain="" xoauth2="" xoauth=""><-- 250-enhancedstatuscodes="" br=""><-- 250-pipelining="" br=""><-- 250-chunking="" br=""><-- 250="" br="" smtputf8="">--> AUTH PLAIN AHN0b3J5bGFpQGdtYWlsLmNvbQAyNDA0ODkxMjM0
<-- 2.7.0="" 235="" accepted="" br="">--> MAIL FROM:
--> RCPT TO:
--> DATA
<-- -="" 2.1.0="" 250="" br="" g6sm10245709pdo.76="" gsmtp="" ok=""><-- -="" 2.1.5="" 250="" br="" g6sm10245709pdo.76="" gsmtp="" ok=""><-- -="" 354="" ahead="" br="" g6sm10245709pdo.76="" go="" gsmtp="" nbsp="">--> Subject: Test Mail
-->
--> This is a test mail
--> .
<-- -="" 1422612091="" 2.0.0="" 250="" br="" g6sm10245709pdo.76="" gsmtp="" ok="">--> QUIT
<-- font=""> 221 2.0.0 closing connection g6sm10245709pdo.76 - gsmtp

2015年1月22日 星期四

Centos 6.6 最小安裝筆記(4) SSH 再加強

又準備將 server 放上 internet ,汲取教訓,先將保安做好。

1- 加強 ssh 設定

    
     vi /etc/ssh/sshd_config
    
     Port 16789                             # Port 22
     Protocol 2                             # Protocol 2,1
     PermitRootLogin no                     # PermitRootLogin yes
     AllowUsers sshuser1 sshuser2  sshuser3 # 指定 user才可使用 ssh
     ClientAliveInterval 600            # (Set to 600 seconds = 10 minutes)
     ClientAliveCountMax 0                  # 不容許連線後閒置
     PermitEmptyPasswords no                # 禁止不輸入密碼後連線
     ListenAddress 192.168.100.17           # 限制連接 ip
     ListenAddress 209.64.100.15
     ServerKeyBits 2048                     # ServerKeyBits 1024
 

     # 保存後,重啟 SSH 服務:
     service sshd restart

2- vi /etc/hosts.allow
     # 例如只允許 123.45.67.89 登入
     sshd:209.64.100.15

3- 使用一個日誌分析器,比如 logcheck。


     Installation of the logwatch package on Redhat Linux
     # yum install logwatch

4- 通過配置增加 SSH 日誌記錄的詳細度:


    # vi /etc/ssh/sshd_config
    LogLevel DEBUG

     防火牆 + tcp_wrappers (日後再補)

5- 以「密鑰」+「密碼」,雙重保險。

   5-1 以 Pietty + ssh1 登入。

   5-2 su 成 root 後開始工作。

   5-3 輸入 ssh-keygen -b 2048 -t rsa

   Generating public/private rsa key pair.    
   #提示正在生成rsa密鑰對

   Enter file in which to save the key (/home/usrname/.ssh/id_dsa):
   #詢問公鑰和私鑰存放的位置,按 enter到預設位置即可

   Enter passphrase (empty for no passphrase):
   #詢問輸入私鑰密語。輸入10位以上複雜密碼

   Enter same passphrase again:
   #再次提示輸入密語確認

   Your identification has been saved in /home/usrname/.ssh/id_dsa.
   #提示公鑰和私鑰已經存放在/root/.ssh/目錄下

   Your public key has been saved in /home/usrname/.ssh/id_dsa.pub.
   The key fingerprint is:
   #提示key的指紋

   5-4 按要求,只允許 sshuser1 登入

       #建立 sshuser1 的 .ssh 目錄
       mkdir /home/sshuser1/.ssh
     
   5-5 將已產生的公鑰 id_rsa.pub 複製進去
      
       cp id_rsa.pub /home/sshuser1/.ssh/authorized_keys2

   5-4 將已產生的私鑰 id_rsa 複製至要連入 server 的 client 機。
 
   5-5 測試完成後,一定要將「公鑰私鑰」刪除,否則後患無窮。

   5-6 因 client 是 windows + Pietty,故先要先下載 puttygen.exe

       http://the.earth.li/~sgtatham/putty/latest/x86/puttygen.exe
      
       以 puttygen.exe 將私鑰轉換給 Pietty。
   
       參閱 http://blog.csdn.net/shawyeok/article/details/20393161

   5-7 登入主機後輸入「passphrase」才登入。大概能抵擋一段時間吧!
      
       login as: sshuser1
       Authenticating with public key "imported-openssh-key"
       Passphrase for key "imported-openssh-key": **********
       Last login: Fri Jan 23 00:46:30 2015 from 192.168.1.125



參考資料:

http://www.cnblogs.com/chenqianpeng/archive/2012/03/02/2376655.html
http://magiclen.org/linux-ssh-key/
http://blog.csdn.net/newjueqi/article/details/7354130
http://kumu-linux.github.io/blog/2014/05/21/ssh-maxauthtries/
http://www.xiaohui.com/dev/server/linux-centos-ssh-security.htm
http://blog.csdn.net/randyleonard/article/details/9049335
http://7056824.blog.51cto.com/69854/403669/
http://blog.csdn.net/leexide/article/details/17252369
http://www.ibm.com/developerworks/cn/aix/library/au-sshsecurity/
http://yenpai.idis.com.tw/archives/273-%E6%95%99%E5%AD%B8-centos-6-3-%E8%A8%AD%E5%AE%9A-1-%E5%9F%BA%E6%9C%AC%E8%AA%BF%E6%95%88%E8%88%87-ssh-%E9%80%A3%E7%B7%9A
http://www.kikinote.com/article/192.html
http://www.suse.url.tw/sles10/lesson19.htm
https://www.ptt.cc/bbs/EZsoft/M.1285078013.A.C20.html
http://blog.csdn.net/shawyeok/article/details/20393161











  


 

2015年1月20日 星期二

Centos 6.6 最小安裝筆記(3)  設定好 su su - sudo

1- 限制 su su - 命令
    當不想任何人能夠su作為root,可以編輯/etc/pam.d/su文件
 

      vi /etc/pam.d/su
     #auth required /lib/security/$ISA/pam_whelle.so use_uid
     將前面的”#”刪除 存檔離開
     

      設定只有wheel群組的成員才能使用su命令
      usermod -G 10 帳號


2- 完全禁止 su
     直接到/bin 目錄下找到su ,然後chmod 700就行 ,這樣別的用戶沒有權限執行SU就行了。



3-  使用 sudo 命令
      參考以下一篇,先了解 sudo
      http://note.drx.tw/2008/01/linuxsudo.html

     了解後, 輸入 visudo,將 user 加入。可參閱以下一篇。
     http://linux.vbird.org/linux_basic/0410accountmanager.php#visudo



    

Centos 6.6 最小安裝筆記(2)  設定好 sshd





http://wiki.centos.org/HowTos/Network/SecuringSSH

0-  啟動 eth0 後,先 yum -y upgrade

1- 參考 http://preview.tinyurl.com/oasxl8b

2- 修改有關設定
     2-1  修改 sshd 的 port
     2-2  禁止 root 登入
     2-3  指定 user 可以經 sshd 具有 root


    SSH 服務的設定檔 /etc/ssh/sshd_config












   [root@localhost ~]# vi /etc/ssh/sshd_config
   Port 3322
   PermitRootLogin no
   UseDNS no
   AllowUsers yenpai jess
   [root@localhost ~]# service sshd restart
   Stopping sshd:                         [  OK  ]
   Starting sshd:                         [  OK  ]
   [root@localhost ~]#
     設定完後要重啟服務(service sshd restart)才會真正生效,可以透過 netstat 指令來確認重啟後的 SSH 服務是否以 Port 3322 來接受連線




   [root@localhost ~]# netstat -ant | grep :3322
   tcp  0  0 0.0.0.0:3322   0.0.0.0:*   LISTEN
   tcp  0  0 :::3322        :::*        LISTEN
     目前 SSH 的 Port 已經被更改到 3322,並且 root 帳戶無法登 入,所以要建立另一個使用者帳戶來登入(adduser 新增帳戶,passwd  設定帳戶密碼)








   [root@localhost ~]# adduser yenpai
   [root@localhost ~]# passwd yenpai
   Changing password for user yenpai.
   New password:
   Retype new password:
   passwd: all authentication tokens updated successfully.
   [root@localhost ~]#
   service shhd restart

3- 修改 iptablles 設定,讓指定port能對外通訊。

     iptables -I INPUT -p tcp --dport 3322 -j ACCEPT

     iptables -I OUTPUT -p tcp --sport 3322 -j ACCEPT  

     service iptables save
    
     service iptables reload
     



Centos 6.6 最小安裝筆記(0) 安全第一

上星期將 SERVER 放上網,才幾小時,惹來一大批連線攻擊。迫不得已,關機了事。

晚上重開機後,即使連帶家中整個網絡半癱煥。查了一晚,只發現仍有不少外部連線要求。估計,SERVER未必被被攻陷,但以防萬一,重裝了事。

前事不忘!為此,先記下來。

1- ROUTER 要加強保安。

2- SERVER 的 ROOT 要設成高強度,密碼要最強。

3- 啟動 NETWORK 後,先 UPGRADE。

4- SSH 部份要加強。

5- 保護好 su /sudo 指令。

6- 構建好 iptables ,阻斷不明的連線要求。




Centos 6.6 最小安裝筆記(1) 啟動網絡卡

最小安裝下,網絡卡不會自行啟動,須手動。
參考自  http://preview.tinyurl.com/lk8rk8u


網路卡設定檔 /etc/sysconfig/network-scripts/ifcfg-eth0















[root@localhost ~]# vi /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
BOOTPROTO=none
HWADDR=00:0C:29:1D:86:BD
NM_CONTROLLED=yes
ONBOOT=yes
TYPE=Ethernet
UUID=da0d1da0-568a-45cf-a93f-66a30a4870e7
IPADDR=192.168.1.12
NETMASK=255.255.255.0
GATEWAY=192.168.1.1
IPV6INIT=no
USERCTL=no
名稱伺服器設定檔 /etc/resolv.conf




[root@localhost ~]# vi /etc/resolv.conf
nameserver 168.95.1.1
nameserver 8.8.8.8
主機名稱設定檔 /etc/sysconfig/network




[root@localhost ~]# vi /etc/sysconfig/network
NETWORKING=yes
HOSTNAME=COS63