最近有關於更新的新聞不少,除了微軟聲稱即將要釋出的Vista SP1、XP SP3和已經釋出的Office 2K3 SP3(可參考筆者先前收集的文章 ─ 微軟的更新整合)
還有今天看見在ITHOME上的新聞:微軟秘密更新惹禍 影響XP修復安裝
轉載自原文:受上一次微軟秘密更新的影響,使用只若利用Windows的安裝CD修復系統後,可能有80個修補程式無法安裝。 ─文/陳曉莉 (編譯) 2007-09-28...略(有興趣者,請點原文連結)。
這都不得不讓我們重新看待自動更新,尤其是處理IT相關大小事的我們...
其實自動更新對於M$的使用者來說,應該是見怪不怪的一個動作,除先前了掀起大風波的WGA事件之外,一般來說,這種更新也是安性性的必要動作之一,可是在實際的運作上,我們卻經常要選用「通知我,但不要自動下載或安裝更新」,除了使用者可能不具安裝權限之外,另一個原因就是這些安裝是否適用?對於硬體等級較低的電腦,是否要安裝增加它的負擔,都是考量的因素之一(在現實與消極間掙扎)。
舉個實例,只要是自己安裝過電腦系統的人,無論是市佔率極高的XP SP2(沒錯,是SP2版),還是現在M$努力推的Vista,在你第一次安裝好之後,裝完防毒軟體後,接上網路進行自動更新,你就會發現有數十隻更新的Patch檔(你沒看錯!就是數十隻...),也許就是為何要出下一個SP版本的原因。(等它跑完就要好一陣子!)
雖然現在網路上有很多善心人士,製作了每月更新檔的整合包,內含官方釋出的最新版 + 每月第二周星期二釋出的更新Patch檔(如無其它重大安全性更新,一個月更新一次),他們的自動發起真的是令人肅然起敬,但是,也怕有心人士自己加油添醋,另一方面是無法得到官方的支援(總不能說是用了偽SP3版本吧!)。
自動更新的美意是好的沒錯,可是它也有許多令人垢病的問題:
1.自動更新時CPU使用率變100%,造成系統遲緩。(官方更新說明:ID=927891)
2.自動更新後,因安全性因素MSN須更新才可使用。(官方更新說明:MS07-054)
3.自動更新後,某些客制化軟體無法正常運行。(更新後造成某些服務停擺)
雖然,我上述的問題,大都有了解決之道,但是對於一般使用者來說,它們真的能夠很快地發現到問題嗎?還是單純的以為自己的電腦中毒無法使用?對使用者來說真的只能夠說自求多福嗎?我想答案是肯定的(這跟每個人對於電腦熟悉程度有關...)
除了大多數人之外,對於我們這些IT苦力,似乎只能夠身先士卒,自己先全部安裝過一遍,發現不會造成其它相關的影響後,再開始進行內部電腦的更新,在這樣做的同時,還要害怕零時差漏洞攻擊(演變成1、2、3...日攻擊),如果內部電腦數量還不少時,你還會希望自己公司有AD的環境,還可以利用WSUS(Windows Server Update Services)的功能進行部署與更新。
除此之外,一般IT從業人員要模擬出公司內部每一種環境來做相關測試,是一件耗時的工作,雖然安全性的更新是必要的,對於日漸式微的IT人數,不也是雪上加霜?
雖然自動更新是一見讓使用者不需手動更新的好方法,各大、小軟體公司也都進而效法,有時過於頻繁的更新次數,或是擾人視窗的跳出,甚至造成原有的工作中斷,這些對於使用者所造成的困擾不小,也許在軟體便利與人性相衝突時,就會轉向硬體的提升(促進硬體發展與購買力嗎?),這之中的平衡點,就只能視大家對於這些「雜訊」的接受程度如何囉!
2007年9月29日 星期六
2007年9月28日 星期五
線上交易與安全(Exchange & Security Of Network)
現在網路的應用非常的廣泛,無論吃喝拉撒睡都可以在上頭一次解決,也因為如此,網路上的使用與安全就成了很重要的問題。
其實,筆者先前提了一些有關安全的防護,其實也建構在這概念之上,不過...還是有很多具有高風險的使用模式與應用,這就無關安全性的考量了。
今天就來談談這個大家可能都知道,但是卻容易輕忽的灰色地帶吧!
其實網路上的應用最早只是單方面的提供資訊讓人查閱,直到網路興起後,有愈來愈多人開始以不同的模式在網路上交流信息(Web x.0或x.5時代)。
接著就產生了許多各式各樣的交易與行為模式,從最早的虛擬物品交易、線上交易、線上刷卡...,直到近年以晶片卡配合讀卡機的機制,這些都是可以讓你不用出門,就可以做完很多日常瑣事的工具。
可是這些相關應用對使用者來說,真的是安全的嗎?
請在使用前謹慎閱讀使用手冊上的免責聲明,尤其是針對線上交易的部份,你就會發現便利之餘你自己要背負的風險有多巨大(筆者曾接觸過被人盜帳號、密碼後,再利用網銀轉出數十萬金額的情事,這損失卻是使用者自己認賠),因為銀行會依據使用者未盡保管之責、帳號與密碼不該置於同一處...等因素,都算是使用者失責。
從這觀點我們可以得知,在網路上使用任何工具都具有一定的風險(晶片卡 + 讀卡機的機制也是由此而生),所以網路上的使用習慣與安全就相當的重要。
如果,你有使用網銀(有開通轉帳功能),筆者在此有些建議:
1.使用有線網路:無線網路的安全性為人垢病,沒人想跟錢過不去。
2.電腦專用性:線上交易的電腦,請勿做其它用途,以免風險增加。
3.防毒軟體、防火牆:安裝正版防毒軟體及防火牆,補強系統。
4.更新檔補強:更新檔補強,尤其是針對瀏覽器(IE居多)。
5.確認網銀網址:由官網登入(多方確認、以免被釣魚網站騙)。
6.注意銀行資訊:例如銀行併購或整併,網路銀行的位置也會有所變化。
7.選用安全性高的網銀:動態密碼產生器、非鍵盤輸入...等。
其實這些對於使用者本身都是種保障,先不論來自銀行或是其它層面的疏忽,至少要先把關好自己的環境,更何況大多數的家庭或個人,可能都具有一台以上的電腦,所以在做這一類交易的同時,採用一台專用電腦,應該也不是件太難的事。
雖然說起來簡單,可是依筆者看來,真的願意這樣做的人卻是少數,大多數的人還是會使用同一台電腦多工使用,一旦不慎被植入後門、或是安裝相關側錄程式,這些損失應該比花錢買一台新的電腦來多大吧!(可是這也是IT部門的弱勢因素之一,不出事沒人會在意...)
如果你有在使用相關功能時,請先檢視一下筆者上述幾點,你能做到那些呢?這也不僅是對於金錢交易,現在十分流行的線上遊戲也是一樣喔!
其實,筆者先前提了一些有關安全的防護,其實也建構在這概念之上,不過...還是有很多具有高風險的使用模式與應用,這就無關安全性的考量了。
今天就來談談這個大家可能都知道,但是卻容易輕忽的灰色地帶吧!
其實網路上的應用最早只是單方面的提供資訊讓人查閱,直到網路興起後,有愈來愈多人開始以不同的模式在網路上交流信息(Web x.0或x.5時代)。
接著就產生了許多各式各樣的交易與行為模式,從最早的虛擬物品交易、線上交易、線上刷卡...,直到近年以晶片卡配合讀卡機的機制,這些都是可以讓你不用出門,就可以做完很多日常瑣事的工具。
可是這些相關應用對使用者來說,真的是安全的嗎?
請在使用前謹慎閱讀使用手冊上的免責聲明,尤其是針對線上交易的部份,你就會發現便利之餘你自己要背負的風險有多巨大(筆者曾接觸過被人盜帳號、密碼後,再利用網銀轉出數十萬金額的情事,這損失卻是使用者自己認賠),因為銀行會依據使用者未盡保管之責、帳號與密碼不該置於同一處...等因素,都算是使用者失責。
從這觀點我們可以得知,在網路上使用任何工具都具有一定的風險(晶片卡 + 讀卡機的機制也是由此而生),所以網路上的使用習慣與安全就相當的重要。
如果,你有使用網銀(有開通轉帳功能),筆者在此有些建議:
1.使用有線網路:無線網路的安全性為人垢病,沒人想跟錢過不去。
2.電腦專用性:線上交易的電腦,請勿做其它用途,以免風險增加。
3.防毒軟體、防火牆:安裝正版防毒軟體及防火牆,補強系統。
4.更新檔補強:更新檔補強,尤其是針對瀏覽器(IE居多)。
5.確認網銀網址:由官網登入(多方確認、以免被釣魚網站騙)。
6.注意銀行資訊:例如銀行併購或整併,網路銀行的位置也會有所變化。
7.選用安全性高的網銀:動態密碼產生器、非鍵盤輸入...等。
其實這些對於使用者本身都是種保障,先不論來自銀行或是其它層面的疏忽,至少要先把關好自己的環境,更何況大多數的家庭或個人,可能都具有一台以上的電腦,所以在做這一類交易的同時,採用一台專用電腦,應該也不是件太難的事。
雖然說起來簡單,可是依筆者看來,真的願意這樣做的人卻是少數,大多數的人還是會使用同一台電腦多工使用,一旦不慎被植入後門、或是安裝相關側錄程式,這些損失應該比花錢買一台新的電腦來多大吧!(可是這也是IT部門的弱勢因素之一,不出事沒人會在意...)
如果你有在使用相關功能時,請先檢視一下筆者上述幾點,你能做到那些呢?這也不僅是對於金錢交易,現在十分流行的線上遊戲也是一樣喔!
2007年9月27日 星期四
網路的諜對諜(Spyware vs Anti-Spyware)
先前筆者說了一些有關防毒的清除方式,甚至還介紹了一些軟體,只要對電腦有些許認識的人,就會知道除了病毒之外,還有一種間諜軟體(Spyware),對於電腦使用的安全及便利性都有很大的影響。
其實,對於這一類間諜軟體,大多數人都會輕忽了它的存在,很多人都以為,我只要有防毒軟體就可以了!(雖然有些防毒軟體也具備某些防間諜功能)。
但是對於cookie或是惡意程式碼藏在temp資料夾中,這一類的影響,經常都會逃過防毒軟體的法眼,但是它對於使用上卻會造成很多困擾(上網速度明顯變慢、消耗過多系統資源、開後門程式...)。
病毒有防毒軟體,間諜軟體當然也有防間諜程式(Anti-Spyware),只是不像防毒程式一樣有名,但是在這方面卻有一定的成效。
就我自己使用的經驗來說,大多數的間諜軟體都是透過瀏覽器進到電腦本體,如果你在瀏覽器的設定上,調高安全性(使用不便)、適時修復相關漏洞(有零時攻擊)、關閉時同時清除cookies(每次都要輸入相同資訊)...等,都能夠降低被間諜軟體侵入的可能性。
但是,真的有太多瑣碎的事情要注意,所以有了防間諜軟體生存的空間(試用版就有不錯的效果),不過,大多數試用版的防間軟體卻無法常駐在系統上,所以就要有恆心毅力自己手動執行更新並掃描。
這裡我沒有圖利於那一間廠商(如果有的話還好!笑...),只是經驗分享:
1.Ad-Aware:官網
版本:目前最新版為 Ad-Aware 2007
說明:這是個老牌的防間軟體,大多數的網路使用者應該都有所耳聞,提供了免費版本給大家使用,它能夠清除不少cookies裡的「雜訊」。
更新速度:尚可,大約兩三天就會更新一次。
付費版本:能夠常駐在系統上,並且提供登錄檔的追蹤,一旦有軟體會修改登錄檔,就會跳出警示視窗做第二次的確認,這雖然是個不錯的設計,但是...有多少人看得懂警示視窗的說明。
中文化:請Google一下,會有中文語系的檔案*.awl(置於安裝資料夾中的Lang資料夾中),再開啟程式後,選擇設定 --> Interface --> Language file(如下圖,版本為Ad-Aware SE版)
2.AVG Anti-Spyware:官網
版本:目前最新版為 AVG Anti-Spyware 7.5(7.5.1.43)
說明:在試用的30天裡,它可以讓你使用所有的功能,過了三十天後,即時防護與自動更新會失效,不過它還有一個特點,就是具有「分析」功能(如下圖),可以讓進階使用者判斷是否有惡意程序在執行,類似 Process Explore的功能,應該是它們最大的優勢。
更新速度:最短可手動設定每30分鐘抓取更新檔一次。(自動更新啟動時)
中文化:官方版本沒有支援中文語系,但是可以在網路上找到有人中文化的chinese.mo檔(將它置入安裝資料夾中的Translations資料夾後,再將lang.ini中的forcelang = english改為chinese,重新開啟程式即可),因此上圖是中文化後的介面。
希望能夠幫大家解決一些使用上的問題吧,如有疑問,歡迎發問!
其實,對於這一類間諜軟體,大多數人都會輕忽了它的存在,很多人都以為,我只要有防毒軟體就可以了!(雖然有些防毒軟體也具備某些防間諜功能)。
但是對於cookie或是惡意程式碼藏在temp資料夾中,這一類的影響,經常都會逃過防毒軟體的法眼,但是它對於使用上卻會造成很多困擾(上網速度明顯變慢、消耗過多系統資源、開後門程式...)。
病毒有防毒軟體,間諜軟體當然也有防間諜程式(Anti-Spyware),只是不像防毒程式一樣有名,但是在這方面卻有一定的成效。
就我自己使用的經驗來說,大多數的間諜軟體都是透過瀏覽器進到電腦本體,如果你在瀏覽器的設定上,調高安全性(使用不便)、適時修復相關漏洞(有零時攻擊)、關閉時同時清除cookies(每次都要輸入相同資訊)...等,都能夠降低被間諜軟體侵入的可能性。
但是,真的有太多瑣碎的事情要注意,所以有了防間諜軟體生存的空間(試用版就有不錯的效果),不過,大多數試用版的防間軟體卻無法常駐在系統上,所以就要有恆心毅力自己手動執行更新並掃描。
這裡我沒有圖利於那一間廠商(如果有的話還好!笑...),只是經驗分享:
1.Ad-Aware:官網
版本:目前最新版為 Ad-Aware 2007
說明:這是個老牌的防間軟體,大多數的網路使用者應該都有所耳聞,提供了免費版本給大家使用,它能夠清除不少cookies裡的「雜訊」。
更新速度:尚可,大約兩三天就會更新一次。
付費版本:能夠常駐在系統上,並且提供登錄檔的追蹤,一旦有軟體會修改登錄檔,就會跳出警示視窗做第二次的確認,這雖然是個不錯的設計,但是...有多少人看得懂警示視窗的說明。
中文化:請Google一下,會有中文語系的檔案*.awl(置於安裝資料夾中的Lang資料夾中),再開啟程式後,選擇設定 --> Interface --> Language file(如下圖,版本為Ad-Aware SE版)
2.AVG Anti-Spyware:官網
版本:目前最新版為 AVG Anti-Spyware 7.5(7.5.1.43)
說明:在試用的30天裡,它可以讓你使用所有的功能,過了三十天後,即時防護與自動更新會失效,不過它還有一個特點,就是具有「分析」功能(如下圖),可以讓進階使用者判斷是否有惡意程序在執行,類似 Process Explore的功能,應該是它們最大的優勢。
更新速度:最短可手動設定每30分鐘抓取更新檔一次。(自動更新啟動時)
中文化:官方版本沒有支援中文語系,但是可以在網路上找到有人中文化的chinese.mo檔(將它置入安裝資料夾中的Translations資料夾後,再將lang.ini中的forcelang = english改為chinese,重新開啟程式即可),因此上圖是中文化後的介面。
希望能夠幫大家解決一些使用上的問題吧,如有疑問,歡迎發問!
2007年9月26日 星期三
放假的準備(Preparation For The Vacation)
經過了這一個漫長的中秋假期之後,回到公司的第一天就是要來處理一堆很怪的雜事,有人網路不通、有人電腦開不了機、加上設備熱當、甚至連插頭鬆脫這種怪事都有。
像這種非典型的假期,對於我們這些IT人來說,真的是如臨大敵,因為放的假愈長,收假後的第一天經常都是忙昏頭的日子(就像我上述說的狀況頻傳)。
所以在這種假期之前,最好先做足準備,以免收假日就成了惡夢的開始...
放長假之前,請先多預留個一天,來做這些事情的準備,因為你絕對沒有辦法預料你要準備處理時,會不會有其它事打斷行程(尤其像我這種只有一個MIS的公司)。
1.備份所有服務主機:
包括WEB、FTP、ERP、MAIL、FILE SERVER...等,這些具有重要資料的主機,其實這些主機還可以分為對內或對外,因為對外的主機,放假時一樣要提供服務。
對外主機:最好有個良好的自動備份機制無論是使用指令備份(xcopy),軟體備份(ghost...等)、硬體備份(RAID),甚至異機備份,都是可以採用的方法之一。
對內主機:可以用ghost、或是利用批次(batch)的方式來處理,然後在這較長的假期中選擇關機,這樣子可以減少損壞的機會。(不過上了年紀的主機,重新開機常會發生不可預期的狀況...)
2.檢查不斷電系統(UPS):
老實說,現在有採用不斷電系統的公司真的不多,除了公司建設時已經有規劃好未來走向之外,其實很多公司內部都有電壓不穩或不足的狀況,如果有高耗電的機具,在啟動瞬間的用電量之大,更不是一般電子設備能夠容許(電源供應器),所以UPS真的是必要的設備。
尤其在放長假的同時,如果連電力的供應都出了問題(跳電、電壓不穩),其它什麼服務、設備都起不了作用,就算坊間的UPS大多只能撐個10~30分鐘不等,對於一般的小跳電、或是電壓的波動,至少不會造成毀損,有的甚至能夠在電力耗盡之前,開啟自動關機的機制(這是最後一條路,這是一分錢一分貨呀!)
3.休假前,請每個人備份資料上FILE SERVER:
因為,很多人有不關電腦的習慣,如果經過這段時間的休假之後,如果自己電腦裡的資料遺失或損毀,到時候再來找你要東西(個人資料應屬於自己保管),但是事先提醒總是比事後懊惱來得好,但是千萬別給他們太大的空間,不然什麼雜七雜八的資料都會丟上主機。
其實,這些步驟應該是IT人員的例行性的工作之一,在這種放長假的日子裡,很多人都只期待著放假,卻會忘了這些小事,收假日往往就會疲於奔命!尤其是開啟龐大資料庫主機所需要的時間,以及主管們電腦的小問題,這些都是IT人在回來上班第一天都要注意的部份
除此之外,還有個小地方要留意!
就是重新開啟主機的時候,要留意是否電源能否承載,不要一口氣把所有的SERVER同時開啟,因為...大多數的主機應該都是接在同一個UPS上(預算因素),很容易造成負載過高而燒毀相關設備,而且循序漸進的開啟,就算有問題也能夠釐清。
最後,就是要多一點好運(LUCK),因為一整年不關機的設備,可能因為一次重新開機,所有的問題就一次全部冒出來,收尾的我們,就只能硬著頭皮救下去囉!
像這種非典型的假期,對於我們這些IT人來說,真的是如臨大敵,因為放的假愈長,收假後的第一天經常都是忙昏頭的日子(就像我上述說的狀況頻傳)。
所以在這種假期之前,最好先做足準備,以免收假日就成了惡夢的開始...
放長假之前,請先多預留個一天,來做這些事情的準備,因為你絕對沒有辦法預料你要準備處理時,會不會有其它事打斷行程(尤其像我這種只有一個MIS的公司)。
1.備份所有服務主機:
包括WEB、FTP、ERP、MAIL、FILE SERVER...等,這些具有重要資料的主機,其實這些主機還可以分為對內或對外,因為對外的主機,放假時一樣要提供服務。
對外主機:最好有個良好的自動備份機制無論是使用指令備份(xcopy),軟體備份(ghost...等)、硬體備份(RAID),甚至異機備份,都是可以採用的方法之一。
對內主機:可以用ghost、或是利用批次(batch)的方式來處理,然後在這較長的假期中選擇關機,這樣子可以減少損壞的機會。(不過上了年紀的主機,重新開機常會發生不可預期的狀況...)
2.檢查不斷電系統(UPS):
老實說,現在有採用不斷電系統的公司真的不多,除了公司建設時已經有規劃好未來走向之外,其實很多公司內部都有電壓不穩或不足的狀況,如果有高耗電的機具,在啟動瞬間的用電量之大,更不是一般電子設備能夠容許(電源供應器),所以UPS真的是必要的設備。
尤其在放長假的同時,如果連電力的供應都出了問題(跳電、電壓不穩),其它什麼服務、設備都起不了作用,就算坊間的UPS大多只能撐個10~30分鐘不等,對於一般的小跳電、或是電壓的波動,至少不會造成毀損,有的甚至能夠在電力耗盡之前,開啟自動關機的機制(這是最後一條路,這是一分錢一分貨呀!)
3.休假前,請每個人備份資料上FILE SERVER:
因為,很多人有不關電腦的習慣,如果經過這段時間的休假之後,如果自己電腦裡的資料遺失或損毀,到時候再來找你要東西(個人資料應屬於自己保管),但是事先提醒總是比事後懊惱來得好,但是千萬別給他們太大的空間,不然什麼雜七雜八的資料都會丟上主機。
其實,這些步驟應該是IT人員的例行性的工作之一,在這種放長假的日子裡,很多人都只期待著放假,卻會忘了這些小事,收假日往往就會疲於奔命!尤其是開啟龐大資料庫主機所需要的時間,以及主管們電腦的小問題,這些都是IT人在回來上班第一天都要注意的部份
除此之外,還有個小地方要留意!
就是重新開啟主機的時候,要留意是否電源能否承載,不要一口氣把所有的SERVER同時開啟,因為...大多數的主機應該都是接在同一個UPS上(預算因素),很容易造成負載過高而燒毀相關設備,而且循序漸進的開啟,就算有問題也能夠釐清。
最後,就是要多一點好運(LUCK),因為一整年不關機的設備,可能因為一次重新開機,所有的問題就一次全部冒出來,收尾的我們,就只能硬著頭皮救下去囉!
2007年9月21日 星期五
個人使用與企業管理(Individual/Enterprise Management)
現在公司的種類有很多,小至SOHO、工作室,大到跨國企業,幾乎難逃過電腦的管理,但是很多人會習慣性把個人風格帶來公司,往往這就是問題的根源。
雖然現在有很多相關管理的方式,不過也要有一定規模的公司體系,才有可能導入相關的硬體或技術來管理,一般小公司就別想什麼昂貴的管理系統。
所以,想辦法訂定管理相關細責就變成一個很重要的課題,因為人力資源的精簡,往往會從「看」起來沒事的IT部門開始...
其實,無論你做什麼決定或規範之前,請先得到主管或上司允許(最好是白紙黑字),不然IT人要扮黑臉就算了,往往會弄得裡外不是人,除此之外,請先劃分好自己的權責與管理層面包括什麼!
我們從個人的使用習慣來討論,就可以發現很多事情的問題徵結在那?
1.私自使用個人程式:
很多人習慣把自己家中的程式帶來公司安裝、使用,但是這一點對於公司企業來說,就是一個很大的漏洞,因為個人在家使用跟公司使用的授權不同,而且如果是個人非法取得的程式(快樂版、破解版...),一但遇到軟體稽查時,它們就是第一個被開刀的目標(如果是BSA的軟體更是首當其衝)。
應對方式:明令使用者不可私自安裝軟體,如有違背者,受XXXX處份。
有人或許會想到,為什麼不事先預防呢?
並非不願意限制,而是對於一個不具備AD環境(不想花錢買)、又缺乏相關硬體(動輒5~6萬的設備),但是很多軟體需要ADMINISTRATOR的權限才能運作(ERP系統、ADOBE的某些程式...),連POWER USER都不接受,或許可以透過其它方式來限制(外加軟體、在REGEDIT上動手腳...等),卻也非長久之計,尤其是一人要管理數十台以上的電腦時...更是力不從心,所以只能透過管理的約束。
2.禁止員工私自更動網路設定:
這一點是專門針對那些對電腦有興趣,喜歡東改西改的使用者訂定的(我以前好像也喜歡拿學校的電腦來惡整...不好的示範@.@),因為一般使用者其實只要能夠上線就好,那管什麼網路設定,但是對那些自認為自己電腦功力還不錯的使用者,最喜歡跟MIS玩捉迷藏的遊戲,不然就是私自更動網路相關設定(為了避開某些限制),甚自是把公司的電腦當成自己家中的來惡整,手動設定IP(造成IP衝突),甚至想要換個工作群組、跨子網路(得到更快的網路頻寬)。
應對方式:利用MAC ADDRESS對應的方式鎖住DHCP發出IP(雖然可以改...)
雖然可以利用一般IP分享器的功能鎖住MAC ADDRESS和IP的對應,這樣子私自改IP就無法上線,可是要破解這防護並不難,甚至造成其它人不能上網,所以最好的方式一樣是明文罰責(殺一隻雞、猴群就會害怕呀!)
3.私下使用P2P、網路廣播、線上音樂...等軟體:
其實這點對於公司來說,除了會影響上班情緒之外,還有可能會造成頻寬不足、資源浪費、甚至被相關機構給盯上,因為P2P有法律的問題,而廣播或線上音樂也隨公司環境而有不同的承受範圍(台灣頻寬是很貴的...),其實適當的音樂是可以增進工作效率的,可是造成公司營運出問題,應該是不被允許的吧!更何況...,叫公司出錢提升頻寬給你聽音樂,應該沒有一個老闆可以接受吧!除非你是工作需要。
應對方式:鎖住相關軟體的通道(Port),並明令罰責。
其實在技術層面上,要鎖住Port並不難,重點是P2P或其他軟體都能夠自訂Port,甚至具有80 Port的穿透能力(除非連網頁都不給使用者看),所以總不能連80 Port都鎖住吧!所以這就是管理跟人性之間的平衡點。
其實,還有很多個人的使用習慣會影響公司安全(自己從家中帶儲存設備),而公司的防範方式,就是鎖住I/O裝置(USB、磁片、VCD/DVD-RW),不過都還是會有相關方式可以破解(綠色軟體...),所以還是做好員工教育與相關規定的落實比較實在。
你在家裡怎麼用、怎麼使用都是個人的事,一旦變成公司的事,就要放大所有相關的影響,畢竟公司所要面對的危機遠比個人大得多(現在攻擊對象有從公司轉為個人的驅勢),但是這些問題可小可大。
小的影響:影響個人升遷、獎金分配,嚴重的話甚至會因此被Fire,那才是真的得不償失,一切都要三思而後行呀!總歸一句:「電腦是工具,不要當成玩具呀!?」(我說這句話好像不太有信服力...)
雖然現在有很多相關管理的方式,不過也要有一定規模的公司體系,才有可能導入相關的硬體或技術來管理,一般小公司就別想什麼昂貴的管理系統。
所以,想辦法訂定管理相關細責就變成一個很重要的課題,因為人力資源的精簡,往往會從「看」起來沒事的IT部門開始...
其實,無論你做什麼決定或規範之前,請先得到主管或上司允許(最好是白紙黑字),不然IT人要扮黑臉就算了,往往會弄得裡外不是人,除此之外,請先劃分好自己的權責與管理層面包括什麼!
我們從個人的使用習慣來討論,就可以發現很多事情的問題徵結在那?
1.私自使用個人程式:
很多人習慣把自己家中的程式帶來公司安裝、使用,但是這一點對於公司企業來說,就是一個很大的漏洞,因為個人在家使用跟公司使用的授權不同,而且如果是個人非法取得的程式(快樂版、破解版...),一但遇到軟體稽查時,它們就是第一個被開刀的目標(如果是BSA的軟體更是首當其衝)。
應對方式:明令使用者不可私自安裝軟體,如有違背者,受XXXX處份。
有人或許會想到,為什麼不事先預防呢?
並非不願意限制,而是對於一個不具備AD環境(不想花錢買)、又缺乏相關硬體(動輒5~6萬的設備),但是很多軟體需要ADMINISTRATOR的權限才能運作(ERP系統、ADOBE的某些程式...),連POWER USER都不接受,或許可以透過其它方式來限制(外加軟體、在REGEDIT上動手腳...等),卻也非長久之計,尤其是一人要管理數十台以上的電腦時...更是力不從心,所以只能透過管理的約束。
2.禁止員工私自更動網路設定:
這一點是專門針對那些對電腦有興趣,喜歡東改西改的使用者訂定的(我以前好像也喜歡拿學校的電腦來惡整...不好的示範@.@),因為一般使用者其實只要能夠上線就好,那管什麼網路設定,但是對那些自認為自己電腦功力還不錯的使用者,最喜歡跟MIS玩捉迷藏的遊戲,不然就是私自更動網路相關設定(為了避開某些限制),甚自是把公司的電腦當成自己家中的來惡整,手動設定IP(造成IP衝突),甚至想要換個工作群組、跨子網路(得到更快的網路頻寬)。
應對方式:利用MAC ADDRESS對應的方式鎖住DHCP發出IP(雖然可以改...)
雖然可以利用一般IP分享器的功能鎖住MAC ADDRESS和IP的對應,這樣子私自改IP就無法上線,可是要破解這防護並不難,甚至造成其它人不能上網,所以最好的方式一樣是明文罰責(殺一隻雞、猴群就會害怕呀!)
3.私下使用P2P、網路廣播、線上音樂...等軟體:
其實這點對於公司來說,除了會影響上班情緒之外,還有可能會造成頻寬不足、資源浪費、甚至被相關機構給盯上,因為P2P有法律的問題,而廣播或線上音樂也隨公司環境而有不同的承受範圍(台灣頻寬是很貴的...),其實適當的音樂是可以增進工作效率的,可是造成公司營運出問題,應該是不被允許的吧!更何況...,叫公司出錢提升頻寬給你聽音樂,應該沒有一個老闆可以接受吧!除非你是工作需要。
應對方式:鎖住相關軟體的通道(Port),並明令罰責。
其實在技術層面上,要鎖住Port並不難,重點是P2P或其他軟體都能夠自訂Port,甚至具有80 Port的穿透能力(除非連網頁都不給使用者看),所以總不能連80 Port都鎖住吧!所以這就是管理跟人性之間的平衡點。
其實,還有很多個人的使用習慣會影響公司安全(自己從家中帶儲存設備),而公司的防範方式,就是鎖住I/O裝置(USB、磁片、VCD/DVD-RW),不過都還是會有相關方式可以破解(綠色軟體...),所以還是做好員工教育與相關規定的落實比較實在。
你在家裡怎麼用、怎麼使用都是個人的事,一旦變成公司的事,就要放大所有相關的影響,畢竟公司所要面對的危機遠比個人大得多(現在攻擊對象有從公司轉為個人的驅勢),但是這些問題可小可大。
小的影響:影響個人升遷、獎金分配,嚴重的話甚至會因此被Fire,那才是真的得不償失,一切都要三思而後行呀!總歸一句:「電腦是工具,不要當成玩具呀!?」(我說這句話好像不太有信服力...)
2007年9月20日 星期四
微軟的更新整合(Integration Of M$'s Service Pack )
最近又有微軟的重大更新,這一是有關於Office2003的SP3,雖然Office2003已經年代久遠,但是大多數的人來說,應該手上都還是以此居多。
這一篇文章是要分享網路上搜集到的資訊,主要是製作原版軟體+SPx整合光碟的方法,如此一來在安裝新電腦或是相關軟體時,就可以減少安裝及重新開機的次數。
在此,感謝這些網路上的人,提供了這些好方法,我也會把相關連結與原文附上(因為網路上的資源流通速度快,如有誤植還請留言或來信告知)。
1.手動整合法:(準備軟體:原版軟體、更新的SP、CDIMAGE、WINRAR)
原文:MyChat數位男女,作者:siumonmon。
(因版面關係,以下內容我有重新排版)
首先準備Office 2003 的光碟
方法如下
1.先到微軟下載以下更新的Office 2003 SP1繁體中文檔
Office 2003 Service Pack 1(Office2003SP1-kb842532-fullfile-CHT.exe)
OneNote 2003 Service Pack 1(OneNote2003SP1-kb842774-fullfile-CHT.exe)
Project 2003 Service Pack 1(Project2003-KB837240-FullFile-CHT.exe)
Visio 2003 Service Pack 1(Visio2003-KB840663-FullFile-CHT.exe)
2.將原Office 2003 放入光碟中/利用虛擬光碟方法(假設光碟機代號為E:\)
3.把Office 2003進行Administrative Installs,
在[開始]>[執行] 輸入以下指令
Office 2003
E:\pro\setup.exe /a
Frontpage 2003
E:\frontpage\setup.exe /a
OneNote 2003
E:\onenote\setup.exe /a
Project 2003
E:\project\setup.exe /a
Visio 2003
E:\visio\setup.exe /a
分別把安裝地方設為
c:\OFFICE2003sp1\pro
c:\OFFICE2003sp1\frontpage
c:\OFFICE2003sp1\onenote
c:\OFFICE2003sp1\project
c:\OFFICE2003sp1\visio
4.把下載的檔案分別解壓縮到個別資料夾(可以利用WinRAR解壓縮)
也可以利用下面指令方法解壓縮
Office2003SP1-kb842532-fullfile-CHT.exe /Q /C /T:C:\SP1office
OneNote2003SP1-kb842774-fullfile-CHT.exe /Q /C /T:C:\SP1onenote
Project2003-KB837240-FullFile-CHT.exe /Q /C /T:C:\SP1project
Visio2003-KB840663-FullFile-CHT.exe /Q /C /T:C:\SP1visio
5.把解壓縮後的檔案分別進行更新安裝
在[開始]>[執行] 輸入以下指令(要等上一個指令安裝完畢才可輸入下面的指令)
Office
msiexec /p C:\SP1office\MAINSP1ff.msp /a C:\OFFICE2003sp1\pro\PRO11.msi /qb
msiexec /p C:\SP1office\OWC11SP1ff.msp /a C:\OFFICE2003sp1\pro\OWC11.MSI /qb
FrontPage
msiexec /p C:\SP1office\MAINSP1ff.msp /a C:\OFFICE2003sp1\Frontpage\FP11.MSI /qb
msiexec /p C:\SP1office\OWC11SP1ff.msp /a C:\OFFICE2003sp1\Frontpage\OWC11.MSI /qb
OneNote
msiexec /p C:\SP1onenote\ONENOTESP1ff.msp /a C:\OFFICE2003sp1\OneNote\ONOTE11.MSI /qb
Project
msiexec /p C:\SP1project\Project2003-KB837240-FullFile-CHT.msp /a(接下行)
C:\OFFICE2003sp1\Project\PRJPROE.MSI /qb
msiexec /p C:\SP1office\OWC11SP1ff.msp /a C:\OFFICE2003sp1\Project\OWC11.MSI /qb
Visio
msiexec /p C:\SP1visio\Visio2003-KB840663-FullFile-CHT.MSP /a (接下行)C:\OFFICE2003sp1\Visio\VISPRO.MSI /qb
6.進行製作映像檔
這時在"c:\OFFICE2003sp1\"裡面的檔案已經是集合了sp1的安裝程式了
可以利用UltraISO或cdimage制作映像檔
首先制作一個Autorun檔
可以把Maybe大大 發佈的Office 2003 All合一 版本上的AUTORUN.EXE和AUTORUN.INF借用到c:\OFFICE2003sp1\下
也可以自行制作,基本上是連接各資料夾的setup.exe
如果是借用Maybe大大的,也把光碟裡的VSTO資料夾放進來吧
制作映像檔時一定要用optimized的指令
小弟講一下利用cdimage如何制作吧
UltraISO的方法可以在這論壇找一下吧
把cdimage.exe檔放在c:\,在[開始]>[執行] 輸入以下指令
cdimage.exe -lOFFICE2003SP1 -h -n -m -o c:\OFFICE2003sp1 c:\office2003sp1.CHT.AIO.iso
可以自行更改光碟名稱和檔案名稱
-l(光碟名稱)
c:\(檔案名稱).iso
(因版面過長,後文恕刪,如有需求請至原文參考)
2.無人安裝整合法:(適用於Office2003 Std + SP3)
除此之外,還有一種可利用Office 2003 Resource Kit Tools的無人值守的方式(應該是對岸的翻譯),也能夠達到此要求,(原文連結),這個工具還可以有很多相關的參數能夠應用,有興趣的人可以試著做看看(筆者有試過,確實可以將Office 2003 Std+SP3的整合光碟製作出來)
其實上述方法都在最新的Office2003 SP3的整合片上,據筆者與網友討論後實行,發現僅能使用在Office2003 Std的版本上,根據網友lu提供的說法,在Std的版本上因為不含Infopath的關係,僅有專業企業版有Infopath(是Professional Enterprise,非Professional),而且專業企業版並無零售版本,故此版本的Office 2003無法使用此方法。
那專業企業版的就無法製作了嗎?經過lu的測試後,他找出了實際整合的方式,不過也需要其它的相關軟體(Windows Server 2003 R2 Platform SDK ISO Download),同時,我也附上他的原文連結。
3.Office2003 Professional Enterprise + SP3的整合法:
將 OFFICE 2003 with SP2 拷貝到 C:\OFFICE2003\PRO\ 目錄
或將最原始的 OFFICE 2003 執行 setup /a 解開到 C:\OFFICE2003\PRO\ 目錄
下載 Office 2003 Service Pack 3 繁體中文版
Office2003SP3-KB923618-FullFile-CHT.exe /Q /C /T:C:\Office2003SP3-KB923618-FullFile-CHT
msiexec /p C:\Office2003SP3-KB923618-FullFile-CHT\MAINSP3.msp /a C:\OFFICE2003\PRO\PRO11.msi /qb
msiexec /p C:\Office2003SP3-KB923618-FullFile-CHT\OWC11SP3.msp /a C:\OFFICE2003\PRO\OWC11.MSI /qb
參考http://www.msfn.org/board/lofiversion/index.php/t69348.html
Microsoft Orca 是 SDK 中的工具, 微軟沒有單獨下載 (或者去 Google 找 Orca )
Windows Server 2003 R2 Platform SDK ISO Download
* 備份用 SP3 更新過的 PRO11.MSI , 準備針對 InfoPath 2003 (KB920103) 作修改
* 執行 Orca.msi
* 用 Orca 開啟 PRO11.MSI, 在左邊 Tables 欄位點選 File, 再點一下右邊上方的 File, 用檔名作排序, 找到下面兩個檔案
File Component_ Sequence
IPCLRWRP.DLL_0001 Global_PIA_XDocsWrapper2 4550
INFOPATH.CFG Global_PIA_XDocsWrapper2 4551
* 將 Sequence 改為下面值 (270 與 271) , 存檔
File Component_ Sequence
IPCLRWRP.DLL_0001 Global_PIA_XDocsWrapper2 270
INFOPATH.CFG Global_PIA_XDocsWrapper2 271
* 用 UltraISO 將 C:\OFFICE2003\PRO\ 下所有檔案做成 ISO
ISO 拿去 VM 實際測試可以正常順利安裝完成
(以上為原文內容)
如此一來,就可以利用整合好的光碟來做安裝及更新,不過Pro版本的整合片可能無法塞進一片VCD中,對於僅有VCD光碟機的硬體來說是另一種麻煩,可能要透過網路來傳送檔案+虛擬光碟機來達成目的!
還是那句老話:「取於網路,用於網路」,我在此轉載這些人的心血,僅是希望增加其曝光率!讓更多人能夠使用方便好用的工具,同時我也致上最高的敬意。
最後,分享一下M$ OS整合光碟高手的網站:三秒練功房,有興趣的人可以去取經!
這一篇文章是要分享網路上搜集到的資訊,主要是製作原版軟體+SPx整合光碟的方法,如此一來在安裝新電腦或是相關軟體時,就可以減少安裝及重新開機的次數。
在此,感謝這些網路上的人,提供了這些好方法,我也會把相關連結與原文附上(因為網路上的資源流通速度快,如有誤植還請留言或來信告知)。
1.手動整合法:(準備軟體:原版軟體、更新的SP、CDIMAGE、WINRAR)
原文:MyChat數位男女,作者:siumonmon。
(因版面關係,以下內容我有重新排版)
首先準備Office 2003 的光碟
方法如下
1.先到微軟下載以下更新的Office 2003 SP1繁體中文檔
Office 2003 Service Pack 1(Office2003SP1-kb842532-fullfile-CHT.exe)
OneNote 2003 Service Pack 1(OneNote2003SP1-kb842774-fullfile-CHT.exe)
Project 2003 Service Pack 1(Project2003-KB837240-FullFile-CHT.exe)
Visio 2003 Service Pack 1(Visio2003-KB840663-FullFile-CHT.exe)
2.將原Office 2003 放入光碟中/利用虛擬光碟方法(假設光碟機代號為E:\)
3.把Office 2003進行Administrative Installs,
在[開始]>[執行] 輸入以下指令
Office 2003
E:\pro\setup.exe /a
Frontpage 2003
E:\frontpage\setup.exe /a
OneNote 2003
E:\onenote\setup.exe /a
Project 2003
E:\project\setup.exe /a
Visio 2003
E:\visio\setup.exe /a
分別把安裝地方設為
c:\OFFICE2003sp1\pro
c:\OFFICE2003sp1\frontpage
c:\OFFICE2003sp1\onenote
c:\OFFICE2003sp1\project
c:\OFFICE2003sp1\visio
4.把下載的檔案分別解壓縮到個別資料夾(可以利用WinRAR解壓縮)
也可以利用下面指令方法解壓縮
Office2003SP1-kb842532-fullfile-CHT.exe /Q /C /T:C:\SP1office
OneNote2003SP1-kb842774-fullfile-CHT.exe /Q /C /T:C:\SP1onenote
Project2003-KB837240-FullFile-CHT.exe /Q /C /T:C:\SP1project
Visio2003-KB840663-FullFile-CHT.exe /Q /C /T:C:\SP1visio
5.把解壓縮後的檔案分別進行更新安裝
在[開始]>[執行] 輸入以下指令(要等上一個指令安裝完畢才可輸入下面的指令)
Office
msiexec /p C:\SP1office\MAINSP1ff.msp /a C:\OFFICE2003sp1\pro\PRO11.msi /qb
msiexec /p C:\SP1office\OWC11SP1ff.msp /a C:\OFFICE2003sp1\pro\OWC11.MSI /qb
FrontPage
msiexec /p C:\SP1office\MAINSP1ff.msp /a C:\OFFICE2003sp1\Frontpage\FP11.MSI /qb
msiexec /p C:\SP1office\OWC11SP1ff.msp /a C:\OFFICE2003sp1\Frontpage\OWC11.MSI /qb
OneNote
msiexec /p C:\SP1onenote\ONENOTESP1ff.msp /a C:\OFFICE2003sp1\OneNote\ONOTE11.MSI /qb
Project
msiexec /p C:\SP1project\Project2003-KB837240-FullFile-CHT.msp /a(接下行)
C:\OFFICE2003sp1\Project\PRJPROE.MSI /qb
msiexec /p C:\SP1office\OWC11SP1ff.msp /a C:\OFFICE2003sp1\Project\OWC11.MSI /qb
Visio
msiexec /p C:\SP1visio\Visio2003-KB840663-FullFile-CHT.MSP /a (接下行)C:\OFFICE2003sp1\Visio\VISPRO.MSI /qb
6.進行製作映像檔
這時在"c:\OFFICE2003sp1\"裡面的檔案已經是集合了sp1的安裝程式了
可以利用UltraISO或cdimage制作映像檔
首先制作一個Autorun檔
可以把Maybe大大 發佈的Office 2003 All合一 版本上的AUTORUN.EXE和AUTORUN.INF借用到c:\OFFICE2003sp1\下
也可以自行制作,基本上是連接各資料夾的setup.exe
如果是借用Maybe大大的,也把光碟裡的VSTO資料夾放進來吧
制作映像檔時一定要用optimized的指令
小弟講一下利用cdimage如何制作吧
UltraISO的方法可以在這論壇找一下吧
把cdimage.exe檔放在c:\,在[開始]>[執行] 輸入以下指令
cdimage.exe -lOFFICE2003SP1 -h -n -m -o c:\OFFICE2003sp1 c:\office2003sp1.CHT.AIO.iso
可以自行更改光碟名稱和檔案名稱
-l(光碟名稱)
c:\(檔案名稱).iso
(因版面過長,後文恕刪,如有需求請至原文參考)
2.無人安裝整合法:(適用於Office2003 Std + SP3)
除此之外,還有一種可利用Office 2003 Resource Kit Tools的無人值守的方式(應該是對岸的翻譯),也能夠達到此要求,(原文連結),這個工具還可以有很多相關的參數能夠應用,有興趣的人可以試著做看看(筆者有試過,確實可以將Office 2003 Std+SP3的整合光碟製作出來)
其實上述方法都在最新的Office2003 SP3的整合片上,據筆者與網友討論後實行,發現僅能使用在Office2003 Std的版本上,根據網友lu提供的說法,在Std的版本上因為不含Infopath的關係,僅有專業企業版有Infopath(是Professional Enterprise,非Professional),而且專業企業版並無零售版本,故此版本的Office 2003無法使用此方法。
那專業企業版的就無法製作了嗎?經過lu的測試後,他找出了實際整合的方式,不過也需要其它的相關軟體(Windows Server 2003 R2 Platform SDK ISO Download),同時,我也附上他的原文連結。
3.Office2003 Professional Enterprise + SP3的整合法:
將 OFFICE 2003 with SP2 拷貝到 C:\OFFICE2003\PRO\ 目錄
或將最原始的 OFFICE 2003 執行 setup /a 解開到 C:\OFFICE2003\PRO\ 目錄
下載 Office 2003 Service Pack 3 繁體中文版
Office2003SP3-KB923618-FullFile-CHT.exe /Q /C /T:C:\Office2003SP3-KB923618-FullFile-CHT
msiexec /p C:\Office2003SP3-KB923618-FullFile-CHT\MAINSP3.msp /a C:\OFFICE2003\PRO\PRO11.msi /qb
msiexec /p C:\Office2003SP3-KB923618-FullFile-CHT\OWC11SP3.msp /a C:\OFFICE2003\PRO\OWC11.MSI /qb
參考http://www.msfn.org/board/lofiversion/index.php/t69348.html
Microsoft Orca 是 SDK 中的工具, 微軟沒有單獨下載 (或者去 Google 找 Orca )
Windows Server 2003 R2 Platform SDK ISO Download
* 備份用 SP3 更新過的 PRO11.MSI , 準備針對 InfoPath 2003 (KB920103) 作修改
* 執行 Orca.msi
* 用 Orca 開啟 PRO11.MSI, 在左邊 Tables 欄位點選 File, 再點一下右邊上方的 File, 用檔名作排序, 找到下面兩個檔案
File Component_ Sequence
IPCLRWRP.DLL_0001 Global_PIA_XDocsWrapper2 4550
INFOPATH.CFG Global_PIA_XDocsWrapper2 4551
* 將 Sequence 改為下面值 (270 與 271) , 存檔
File Component_ Sequence
IPCLRWRP.DLL_0001 Global_PIA_XDocsWrapper2 270
INFOPATH.CFG Global_PIA_XDocsWrapper2 271
* 用 UltraISO 將 C:\OFFICE2003\PRO\ 下所有檔案做成 ISO
ISO 拿去 VM 實際測試可以正常順利安裝完成
(以上為原文內容)
如此一來,就可以利用整合好的光碟來做安裝及更新,不過Pro版本的整合片可能無法塞進一片VCD中,對於僅有VCD光碟機的硬體來說是另一種麻煩,可能要透過網路來傳送檔案+虛擬光碟機來達成目的!
還是那句老話:「取於網路,用於網路」,我在此轉載這些人的心血,僅是希望增加其曝光率!讓更多人能夠使用方便好用的工具,同時我也致上最高的敬意。
最後,分享一下M$ OS整合光碟高手的網站:三秒練功房,有興趣的人可以去取經!
2007年9月19日 星期三
防毒軟體的選購(Purchase of Antivirus Software)
防毒軟體,是現在每一個電腦使用者必備的軟體之一,雖然坊間有各式各樣的版本,先不論你的需求為何,絕大部份的人至少都會人手一套(甚至還有好幾套)
因為現在防毒軟體的競爭激烈,所以各家廠商會推出試用版(限制個人非營利使用)、限時版(以mail註冊,用180天至一年不定),快樂版(不在討論範疇)。
不過,各種試用版、限時版...等都有要擔負的風險,所以這裡我們還是僅針對商業版(需付錢購買)來討論...
現在各家廠商都會把購買的使用者區分為三個區塊,分別是個人用戶、中小企業、大型企業三種,對於購買者來說,當然會從最利於自己的角度下手(價格取向)。
在商言商這一點,其實在軟體業也是很常見的,畢竟要養活研發及相關單位的人員也是一筆不小的開銷,所以,你會發現價格的級距會相當明顯。
至於廠商對於購買客戶的類型,其實都以使用人數(電腦數)做限制:
個人用戶:5台以下(價格固定)
中小企業:5~100台(依數量不同有所級距,通常以50台為分界)
大型企業:100台以上(以量議價)
其實這些對於防毒軟體的選購來說,只是一種指標,對於相關的IT人來說,可以比較在乎的卻是電腦消耗的資源多寡、防毒碼更新速率、集中派送軟體及安裝、是否具備防火牆及擋垃圾信(Spam)的機制...等,這些許多技術層面才是相關IT人員在意的問題。
不過,對於企業主/老闆來說,它們比較在意的是價格與實際效益,其實這也是正常的狀況,畢竟IT原本就是公司或是企業體中隱性的部份(很難看見實際效益),所以上頭會有這些考量是正常的,所以在選購上,筆者在此就建議一下各位IT人(如果跟我一樣要管這些事的話...),應該提出那些條件供你們的上司主管任同吧!
1.具公信網站的防毒軟體評比:(有的需註冊)
(1)Virus Bulletin。
(2)www virus gr。
(3)av-comparatives.org。
(4)Malware-Test Lab(國內非營利測試組織)
2.防毒軟體的價格(含國內、外):
參考各家軟體商的官方網站,或是相關代理廠商(無代理,直接至官網)
例:NORTON、KASPERSKY、TREND MICRO、BitDefender、McAfee...等。
PS:如果貴公司是SI或相關同業,應該會有更不一樣的優惠價格。
3.相關的技術比較:
交叉比對IT網站的評比(避開商業因素)或透過同行實際經驗,自製文件。
例:ITHOME、CNET...等。
4.提供給公司內部的資源:
分析防毒軟體對於實務運行及時間成本上的浪費與損失,甚至造成公司的名譽上的損失...等,這個部份依各公司屬性不同,請IT人員自行發揮。
5.其它替代方案的建議:
(1)選用硬體防火牆 + 防毒軟體防護。
(2)限制人員上網使用權(透過硬體或軟體限制使用者)。
(3)禁止上網,主管級除外。
6.依據預算提出相關報告:(這一點老闆最在意!)
將防毒軟體或採用其它方案(含新增硬體的價格),提出預算報告。
PS:防毒需自行比較國內外的差價,並加入5%的營業稅。
其實,在IT人做這些功課的時候會發現,會發現技術層面與價格部份是兩難的,只能取得中間的平衡點,除此之外,如果選用的軟硬體如國內沒有代理的話,在售後維護及相關資源取得的部份也要一併評估,否則沒事就還好,一旦有事就難逃責難。
雖然說省錢是美德,以資訊爆炸的現在來說,有些錢真的省不得,否則「大禍不來、小禍不斷」對於公司的損耗來說,其實也是一種極大的負擔(除非公司內有足夠的IT人,可以負擔人工維護的成本)。
以上,僅為筆者親身經驗,如有遺漏或是有其它更好的建議,歡迎留言指教!
因為現在防毒軟體的競爭激烈,所以各家廠商會推出試用版(限制個人非營利使用)、限時版(以mail註冊,用180天至一年不定),快樂版(不在討論範疇)。
不過,各種試用版、限時版...等都有要擔負的風險,所以這裡我們還是僅針對商業版(需付錢購買)來討論...
現在各家廠商都會把購買的使用者區分為三個區塊,分別是個人用戶、中小企業、大型企業三種,對於購買者來說,當然會從最利於自己的角度下手(價格取向)。
在商言商這一點,其實在軟體業也是很常見的,畢竟要養活研發及相關單位的人員也是一筆不小的開銷,所以,你會發現價格的級距會相當明顯。
至於廠商對於購買客戶的類型,其實都以使用人數(電腦數)做限制:
個人用戶:5台以下(價格固定)
中小企業:5~100台(依數量不同有所級距,通常以50台為分界)
大型企業:100台以上(以量議價)
其實這些對於防毒軟體的選購來說,只是一種指標,對於相關的IT人來說,可以比較在乎的卻是電腦消耗的資源多寡、防毒碼更新速率、集中派送軟體及安裝、是否具備防火牆及擋垃圾信(Spam)的機制...等,這些許多技術層面才是相關IT人員在意的問題。
不過,對於企業主/老闆來說,它們比較在意的是價格與實際效益,其實這也是正常的狀況,畢竟IT原本就是公司或是企業體中隱性的部份(很難看見實際效益),所以上頭會有這些考量是正常的,所以在選購上,筆者在此就建議一下各位IT人(如果跟我一樣要管這些事的話...),應該提出那些條件供你們的上司主管任同吧!
1.具公信網站的防毒軟體評比:(有的需註冊)
(1)Virus Bulletin。
(2)www virus gr。
(3)av-comparatives.org。
(4)Malware-Test Lab(國內非營利測試組織)
2.防毒軟體的價格(含國內、外):
參考各家軟體商的官方網站,或是相關代理廠商(無代理,直接至官網)
例:NORTON、KASPERSKY、TREND MICRO、BitDefender、McAfee...等。
PS:如果貴公司是SI或相關同業,應該會有更不一樣的優惠價格。
3.相關的技術比較:
交叉比對IT網站的評比(避開商業因素)或透過同行實際經驗,自製文件。
例:ITHOME、CNET...等。
4.提供給公司內部的資源:
分析防毒軟體對於實務運行及時間成本上的浪費與損失,甚至造成公司的名譽上的損失...等,這個部份依各公司屬性不同,請IT人員自行發揮。
5.其它替代方案的建議:
(1)選用硬體防火牆 + 防毒軟體防護。
(2)限制人員上網使用權(透過硬體或軟體限制使用者)。
(3)禁止上網,主管級除外。
6.依據預算提出相關報告:(這一點老闆最在意!)
將防毒軟體或採用其它方案(含新增硬體的價格),提出預算報告。
PS:防毒需自行比較國內外的差價,並加入5%的營業稅。
其實,在IT人做這些功課的時候會發現,會發現技術層面與價格部份是兩難的,只能取得中間的平衡點,除此之外,如果選用的軟硬體如國內沒有代理的話,在售後維護及相關資源取得的部份也要一併評估,否則沒事就還好,一旦有事就難逃責難。
雖然說省錢是美德,以資訊爆炸的現在來說,有些錢真的省不得,否則「大禍不來、小禍不斷」對於公司的損耗來說,其實也是一種極大的負擔(除非公司內有足夠的IT人,可以負擔人工維護的成本)。
以上,僅為筆者親身經驗,如有遺漏或是有其它更好的建議,歡迎留言指教!
2007年9月17日 星期一
IP/寬頻分享(路由)器設定(IP/Broadband Router )
現在大部份的人,家中應該都有電腦(經常還不只有一台),雖然說電腦不是只用來上網聊天、收發mail等瑣事,但是,應該每一台電腦都希望自己能上網
礙於這樣子的現實要求之下,因應而生的產品就是寬頻分享器、IP分享器或寬頻路由器,無論是用那一種名稱,對於實際應用的人來說,能不能適用才是重點(雖然Hub、Switch與Router三個是不相干的個體,但是現在名稱混淆嚴重,而且一般的機型內,或多或少都具備三者的特性,在此也就不詳述)。
雖然說現在的寬頻分享器(暫用此名通稱)大多具備所謂快速安裝的介面,但是對一個完全不懂相關設定的人來說,其實一樣有很大的障礙...
其實加上了這些設備之後,對於網路條件的變化,IP相關的設定對一般人來說,其實不一定都能夠很快地理解,更別提什麼子網路切割這一類的名詞。(大多數的人還是只要能用就好,根本不在乎是怎麼連上去的吧!)
舉例來說,現在一般人家中的寬頻應該都為ADSL或CABLE MODEM(先不論那一家),以及筆者從撥接一路玩到現在的偽光世代的FTTB。
在我使用的經驗來說,其實很多都是換湯不換藥,設定的方式其實相去無幾...
那些所謂快速設定的過程中,能否套用上去,其實就會有以下各種狀況:
1.浮動制ADSL/CABLE MODEM:原設定是自動抓取IP和DNS設定
(控制台 --> 網路 --> 連線的名稱 -->一般 --> 連線使用下列項目(TCP/IP)--> 一般 -->自動取得IP和DNS伺服器位置)
其實這一類的使用者最簡單(無特別需求,例:架FTP...等),大多直接把小烏龜(ISP業者提供的MODEM)的線接上分享器後,直接利用快速的安裝設定(ISP提供的帳號或網路卡),就可以直接上線,雖然此時是利用分享器內建的DHCP來取得虛擬IP,但是針對電腦設定的部份,其實也都是屬於自動取得IP(只要你的分享器沒有設錯、或是DHCP沒有開啟),一般來說都能夠直接上線,還省了每次撥號的需求。
PS:CABLE MODEM通常都不具備帳號及密碼連線,因為連線方式不同,ISP業者是利用類似DHCP的方式來撥發IP給用戶,但是在安裝分享器的同時,大多也具備此選項,供一般民眾使用,針對使用者來說,其實原本就不用連線的撥號程式。
2.浮動制 + 1固定IP使用者:
其實這一類的使用者,在設定上與一般浮動制的使用者並沒有差異,真的差別只是撥號連線時取得的IP會是同一個,也因為這個關係,常會造成令人誤解的狀況發生,例如HINET的固定制與浮動制其實只差在連線的使用帳號不同(原浮動制為XXXXXXXX@hinet.net,而固定制的則改為XXXXXXXX@ip.hinet.net,僅是多個ip而已)。
但是有人就會將ISP業者給的IP直接設定在自己網路的TCP/IP設定,這樣子當然無法正常取得固定的IP(因為ISP業者是認小烏龜的MAC ADDRESS來撥發IP)
通常這一種固定制的IP是用來架設網站使用,因為真實的IP不變在DNS設定上比較簡單,所以對於分享器來說,就直接也是選用ADSL的PPPOE的連線方式即可,千萬別自以為是用固定制,就改用Fixed-IP xDSL 的模式來設定(它就會跟你要求你的IP、Gateway和Submask)
3.網路型或固定制的使用者:
這一類的使用者,對於分享器的設定來說,應該沒有什麼難的,直接選用Fixed-IP xDSL的模式即可,因為會用這一類的網路型態,代表內部要控管的電腦絕對在三、五台以上,筆者也不加詳述。
只是需要注意的部份是新、舊的網路設定可能在Gateway或Submask上會有所不同,例如:Submask可能會設為255.255.255.248、Gateway的設定不一定是xxx.xxx.xxx.254(而是視當初ISP業者切割網段時的設定)
4.FTTB的使用者:
其實FTTB的使用者設定,跟浮動制的ADSL相同,一樣是要透過帳號、密碼連線上去取得IP,差別只是連線的設備及頻寬不同,在分享器上的設定一樣選用xDSL的PPPOE連線模式即可!
PS:針對高速的ADSL或FTTB,有個TCP Receive window的設定值一定要記得修正,在此附上HINET的相關說明網頁,有需要的請自行去抓取:2M以上、8M以上。
其實在分享器的快速安裝模式之下,是都可以解決常見的問題,除了你原本是用固定制/網路型的xDSL連線之外,如果接上分享器之後,在分享器之後的電腦,請先記得更改成自動抓取IP及DNS伺服器,否則一樣會耍烏龍。
再來,其實就跟應用面有關的設定,這一點跟使用者的需求有關,例:架FTP或WEB的Server,一般來說只要開放Virtual Server(一般分享器都會以此名稱,雖與原意有出入),在把外部的Port與內部Server的Port對應即可,例:以預設值來說,WEB是80 PORT、FTP是21 PORT(包括20和另一個隨機開啟的PORT,這一點與傳送的模式有關!)
PS:其實內部架設的Server盡可能不要使用DHCP的方式來取得IP,可以利用手動指定虛擬IP來設定(例:192.168.11.99),如此一來才能夠把真實IP與Server端的Port相對應,或是有些進階的分享器可以利用MAC ADDRESS鎖定該台Server的取得的IP(仍須注意是否有租約到期的問題)
有些分享器會將常用的服務設定好,只要單純選取,就可把相關的設定完成
除了利用Virtual Server的方式設定之外,還有一種風險性較大的方式,就是把Server放在DMZ的區塊上,其實就代表所有指向真實IP的要求(request)都會指向Server那一台電腦,就像是Server那一台電腦完全暴露在Internat上(放置在分享器前端),所以對於Server那一台電腦的防火牆及安全性設定就得多下一點苦功。
好處就是不需要針對特定Port一一對應(可是防火牆的設定上可能更費功夫...),再來就是如果真的遭受攻擊而癱瘓,也不至於影響到內部(在分享器後端)的使用者。
其實,現在的分享器大多是類似內嵌式的系統,所以每次設定、套用之後都須要重新開機(費時20秒~1分鐘不定),也可以做軔體更新或回復出廠設定,甚至有些外來引進的牌子,還需要到國外的官網才能得到較為詳盡的資源。
最後,因為各式的分享器設定不一定相同,而且也不是每一種分享器都具有中文語系(有的只有簡體),所以對於某些專有名詞的認定上,會造成些許困擾。
價位部份,少則1000元有找,中等價位約為1~2000元不等,如果想要有usb支援或是其它更高階的應用(例頻寬負載平衡...等)至少也要3000元以上,更別提某些大廠的牌子!(如:CISCO...等),選擇自己最適用的即可,否則只是擺著無用。(有機會再補上其它相關的設定與說明吧!)
礙於這樣子的現實要求之下,因應而生的產品就是寬頻分享器、IP分享器或寬頻路由器,無論是用那一種名稱,對於實際應用的人來說,能不能適用才是重點(雖然Hub、Switch與Router三個是不相干的個體,但是現在名稱混淆嚴重,而且一般的機型內,或多或少都具備三者的特性,在此也就不詳述)。
雖然說現在的寬頻分享器(暫用此名通稱)大多具備所謂快速安裝的介面,但是對一個完全不懂相關設定的人來說,其實一樣有很大的障礙...
其實加上了這些設備之後,對於網路條件的變化,IP相關的設定對一般人來說,其實不一定都能夠很快地理解,更別提什麼子網路切割這一類的名詞。(大多數的人還是只要能用就好,根本不在乎是怎麼連上去的吧!)
舉例來說,現在一般人家中的寬頻應該都為ADSL或CABLE MODEM(先不論那一家),以及筆者從撥接一路玩到現在的偽光世代的FTTB。
在我使用的經驗來說,其實很多都是換湯不換藥,設定的方式其實相去無幾...
那些所謂快速設定的過程中,能否套用上去,其實就會有以下各種狀況:
1.浮動制ADSL/CABLE MODEM:原設定是自動抓取IP和DNS設定
(控制台 --> 網路 --> 連線的名稱 -->一般 --> 連線使用下列項目(TCP/IP)--> 一般 -->自動取得IP和DNS伺服器位置)
其實這一類的使用者最簡單(無特別需求,例:架FTP...等),大多直接把小烏龜(ISP業者提供的MODEM)的線接上分享器後,直接利用快速的安裝設定(ISP提供的帳號或網路卡),就可以直接上線,雖然此時是利用分享器內建的DHCP來取得虛擬IP,但是針對電腦設定的部份,其實也都是屬於自動取得IP(只要你的分享器沒有設錯、或是DHCP沒有開啟),一般來說都能夠直接上線,還省了每次撥號的需求。
PS:CABLE MODEM通常都不具備帳號及密碼連線,因為連線方式不同,ISP業者是利用類似DHCP的方式來撥發IP給用戶,但是在安裝分享器的同時,大多也具備此選項,供一般民眾使用,針對使用者來說,其實原本就不用連線的撥號程式。
2.浮動制 + 1固定IP使用者:
其實這一類的使用者,在設定上與一般浮動制的使用者並沒有差異,真的差別只是撥號連線時取得的IP會是同一個,也因為這個關係,常會造成令人誤解的狀況發生,例如HINET的固定制與浮動制其實只差在連線的使用帳號不同(原浮動制為XXXXXXXX@hinet.net,而固定制的則改為XXXXXXXX@ip.hinet.net,僅是多個ip而已)。
但是有人就會將ISP業者給的IP直接設定在自己網路的TCP/IP設定,這樣子當然無法正常取得固定的IP(因為ISP業者是認小烏龜的MAC ADDRESS來撥發IP)
通常這一種固定制的IP是用來架設網站使用,因為真實的IP不變在DNS設定上比較簡單,所以對於分享器來說,就直接也是選用ADSL的PPPOE的連線方式即可,千萬別自以為是用固定制,就改用Fixed-IP xDSL 的模式來設定(它就會跟你要求你的IP、Gateway和Submask)
3.網路型或固定制的使用者:
這一類的使用者,對於分享器的設定來說,應該沒有什麼難的,直接選用Fixed-IP xDSL的模式即可,因為會用這一類的網路型態,代表內部要控管的電腦絕對在三、五台以上,筆者也不加詳述。
只是需要注意的部份是新、舊的網路設定可能在Gateway或Submask上會有所不同,例如:Submask可能會設為255.255.255.248、Gateway的設定不一定是xxx.xxx.xxx.254(而是視當初ISP業者切割網段時的設定)
4.FTTB的使用者:
其實FTTB的使用者設定,跟浮動制的ADSL相同,一樣是要透過帳號、密碼連線上去取得IP,差別只是連線的設備及頻寬不同,在分享器上的設定一樣選用xDSL的PPPOE連線模式即可!
PS:針對高速的ADSL或FTTB,有個TCP Receive window的設定值一定要記得修正,在此附上HINET的相關說明網頁,有需要的請自行去抓取:2M以上、8M以上。
其實在分享器的快速安裝模式之下,是都可以解決常見的問題,除了你原本是用固定制/網路型的xDSL連線之外,如果接上分享器之後,在分享器之後的電腦,請先記得更改成自動抓取IP及DNS伺服器,否則一樣會耍烏龍。
再來,其實就跟應用面有關的設定,這一點跟使用者的需求有關,例:架FTP或WEB的Server,一般來說只要開放Virtual Server(一般分享器都會以此名稱,雖與原意有出入),在把外部的Port與內部Server的Port對應即可,例:以預設值來說,WEB是80 PORT、FTP是21 PORT(包括20和另一個隨機開啟的PORT,這一點與傳送的模式有關!)
PS:其實內部架設的Server盡可能不要使用DHCP的方式來取得IP,可以利用手動指定虛擬IP來設定(例:192.168.11.99),如此一來才能夠把真實IP與Server端的Port相對應,或是有些進階的分享器可以利用MAC ADDRESS鎖定該台Server的取得的IP(仍須注意是否有租約到期的問題)
有些分享器會將常用的服務設定好,只要單純選取,就可把相關的設定完成
除了利用Virtual Server的方式設定之外,還有一種風險性較大的方式,就是把Server放在DMZ的區塊上,其實就代表所有指向真實IP的要求(request)都會指向Server那一台電腦,就像是Server那一台電腦完全暴露在Internat上(放置在分享器前端),所以對於Server那一台電腦的防火牆及安全性設定就得多下一點苦功。
好處就是不需要針對特定Port一一對應(可是防火牆的設定上可能更費功夫...),再來就是如果真的遭受攻擊而癱瘓,也不至於影響到內部(在分享器後端)的使用者。
其實,現在的分享器大多是類似內嵌式的系統,所以每次設定、套用之後都須要重新開機(費時20秒~1分鐘不定),也可以做軔體更新或回復出廠設定,甚至有些外來引進的牌子,還需要到國外的官網才能得到較為詳盡的資源。
最後,因為各式的分享器設定不一定相同,而且也不是每一種分享器都具有中文語系(有的只有簡體),所以對於某些專有名詞的認定上,會造成些許困擾。
價位部份,少則1000元有找,中等價位約為1~2000元不等,如果想要有usb支援或是其它更高階的應用(例頻寬負載平衡...等)至少也要3000元以上,更別提某些大廠的牌子!(如:CISCO...等),選擇自己最適用的即可,否則只是擺著無用。(有機會再補上其它相關的設定與說明吧!)
2007年9月14日 星期五
無線網路的延伸與安全(Security of WDS)
現在無線網路的風行,算是一股無法檔的風潮,只要能減少電腦後方的線材,再加上誘人的便利性,這些都是造成流行的因素之一
雖然我先前也有討論過無線網路的設定,可是對於無線網路的擴充,並沒有談論太多(主要是針對設定部份說明),有些特殊的情況,光是一台無線AP的穿透能力與距離限制,並不足整個特定區域使用時,就得考慮無線網路的擴充(WDS)
其實對一般家用的AP來說,真的沒有什麼機會用WDS的功能(雖然AP的穿透力都偏低,但有時也是件好事),但是廠區內部或特定區域的使用上,就具一定的價值(例:透過AP把兩個距離較遠的辦公區串連起來,尤其是有重機械經過的廠區...)。
首先,我還是先介紹一下WDS的設定必須具備那些條件:
1.兩台AP都有WDS的功能:現在的AP大多具備(市面上還是有舊機種存在)。
2.兩台AP的 CHANNEL(通道)、WIRELESS MODE(連線模式)都需相同。
3.兩台AP的SSID(辨識名稱)可設為相同或不同,視應用不同而定。
3.兩台AP要把對方的MAC ADDRESS寫在內部設定檔中。
4.兩台AP只有一台能夠設定DHCP SERVER。
5.兩個AP的安全機制也要相同。(這一點就是安全性中最大的問題!!)
補充:一般AP的模式可分為AP ONLY、WDS ONLY和HYBRID三種,分別為:
AP ONLY:僅做為ACCESS POINT,提供無線上網的功能。
WDS ONLY:僅串接無線AP,讓兩端的LAN得以連接。
HYBRID:同時做AP和WDS的功能,串連兩端的LAN,也提供上網服務。
有人會說:「為什麼我不寫WDS的安裝流程呢?」(節省網路資源)
其實是因為現在網路上的相關資訊已經蠻多了,想要找到詳細步驟的人可以上Google打個「WDS」,應該就可以找到一堆資料(連圖文說明的都有!),所以筆者就不再多加詳述,這裡主要是來探討安全性的問題。
WDS的主要優點:
1.解決不易建置實體線路的地形限制。
2.減少實體線路的維護成本(含安裝及查修時間及人力多寡)。
WDS的主要缺點:
1.頻寬使用率降低:使用同一通道(CHANNEL),會有重複傳送的問題。
例:WDS中,1人使用的頻寬為單一AP的1/2;2人使用只剩1/4...。
2.安全性的考量:這就是WDS的致命傷,包含的因素有...
(1)SSID:AP能夠隱藏彼此的SSID嗎?還是一定要使用SSID廣播?
(2)WEP/WPA:目前只能WEP或WPA-PSK加密,WPA2-TKIP或AES不能用。
對於無線網路的安全性,對於有使用無線網路的人來說,其實是最應該要注意的部份,可是在WDS的建構之下,卻只能遷就於便利性,來達成區網間的連接。
據筆者實際在網路上得到的資訊,現在的WEP、WEP-PSK、甚至是WPA(1)的無線網路加密,都可以再合理的時間內破解(只要有相關軟體,甚至不需什麼高深的技巧),光是這一點就足以讓人怯步。
合理的時間是多久呢?
只要你的SSID、加密模式被人得知(例:WEP),不用一天的時間,你的AP就成了公用熱點,如果允許無線的用戶共享資源,影響層面會更廣(開後門,時有所聞)。
現在有些人會說,只要隱藏SSID、鎖MAC ADDRESS、使用WPA(PSK)加密(非WPA2-AES),甚至是降低AP功率等方式,對大多數的人來說,也許能夠阻擋大部份的攻擊或惡意測試(因為其它的設定太過繁瑣或舊型網卡不支援)。
但是,手中握有相關程式的玩家(例:Airxxxx系列軟體),真的要突破「隱藏SSID、改MAC ADDRESS、破WEP(WPA-PSK)」,對它們來說,真的沒有太高的門檻,光是人性的誘因,就足以讓你防範不完了!
所以,WDS不是不能使用,而是安全性的顧慮!
如果你架設WDS的地方,方圓500M內沒有其它的遮蔽物的話,你當然可以比較放心的使用(雖然還是有功率放大器,可以抓到更遠距離的AP餘波)。
不然在無線網路的使用上,除了隱藏SSID、鎖MAC ADDRESS之外,請至少使用WPA-AES以上的加密法吧!雖然還是有可能被破解,但是對方要付出的代價也不輕(光是數以百計的小時數就夠瞧了!)
雖然AP互連的安全性問題,有機會在IEEE 802.11s(還未有實際產品,更何況是種先有產品再行定義標準的狀態)或RADIUS或相關機制中能得到解決,但是在建構的成本卻也相對墊高許多,著實是兩難的局面,只能取決於安全與預算之間。
雖然我先前也有討論過無線網路的設定,可是對於無線網路的擴充,並沒有談論太多(主要是針對設定部份說明),有些特殊的情況,光是一台無線AP的穿透能力與距離限制,並不足整個特定區域使用時,就得考慮無線網路的擴充(WDS)
其實對一般家用的AP來說,真的沒有什麼機會用WDS的功能(雖然AP的穿透力都偏低,但有時也是件好事),但是廠區內部或特定區域的使用上,就具一定的價值(例:透過AP把兩個距離較遠的辦公區串連起來,尤其是有重機械經過的廠區...)。
首先,我還是先介紹一下WDS的設定必須具備那些條件:
1.兩台AP都有WDS的功能:現在的AP大多具備(市面上還是有舊機種存在)。
2.兩台AP的 CHANNEL(通道)、WIRELESS MODE(連線模式)都需相同。
3.兩台AP的SSID(辨識名稱)可設為相同或不同,視應用不同而定。
3.兩台AP要把對方的MAC ADDRESS寫在內部設定檔中。
4.兩台AP只有一台能夠設定DHCP SERVER。
5.兩個AP的安全機制也要相同。(這一點就是安全性中最大的問題!!)
補充:一般AP的模式可分為AP ONLY、WDS ONLY和HYBRID三種,分別為:
AP ONLY:僅做為ACCESS POINT,提供無線上網的功能。
WDS ONLY:僅串接無線AP,讓兩端的LAN得以連接。
HYBRID:同時做AP和WDS的功能,串連兩端的LAN,也提供上網服務。
有人會說:「為什麼我不寫WDS的安裝流程呢?」(節省網路資源)
其實是因為現在網路上的相關資訊已經蠻多了,想要找到詳細步驟的人可以上Google打個「WDS」,應該就可以找到一堆資料(連圖文說明的都有!),所以筆者就不再多加詳述,這裡主要是來探討安全性的問題。
WDS的主要優點:
1.解決不易建置實體線路的地形限制。
2.減少實體線路的維護成本(含安裝及查修時間及人力多寡)。
WDS的主要缺點:
1.頻寬使用率降低:使用同一通道(CHANNEL),會有重複傳送的問題。
例:WDS中,1人使用的頻寬為單一AP的1/2;2人使用只剩1/4...。
2.安全性的考量:這就是WDS的致命傷,包含的因素有...
(1)SSID:AP能夠隱藏彼此的SSID嗎?還是一定要使用SSID廣播?
(2)WEP/WPA:目前只能WEP或WPA-PSK加密,WPA2-TKIP或AES不能用。
對於無線網路的安全性,對於有使用無線網路的人來說,其實是最應該要注意的部份,可是在WDS的建構之下,卻只能遷就於便利性,來達成區網間的連接。
據筆者實際在網路上得到的資訊,現在的WEP、WEP-PSK、甚至是WPA(1)的無線網路加密,都可以再合理的時間內破解(只要有相關軟體,甚至不需什麼高深的技巧),光是這一點就足以讓人怯步。
合理的時間是多久呢?
只要你的SSID、加密模式被人得知(例:WEP),不用一天的時間,你的AP就成了公用熱點,如果允許無線的用戶共享資源,影響層面會更廣(開後門,時有所聞)。
現在有些人會說,只要隱藏SSID、鎖MAC ADDRESS、使用WPA(PSK)加密(非WPA2-AES),甚至是降低AP功率等方式,對大多數的人來說,也許能夠阻擋大部份的攻擊或惡意測試(因為其它的設定太過繁瑣或舊型網卡不支援)。
但是,手中握有相關程式的玩家(例:Airxxxx系列軟體),真的要突破「隱藏SSID、改MAC ADDRESS、破WEP(WPA-PSK)」,對它們來說,真的沒有太高的門檻,光是人性的誘因,就足以讓你防範不完了!
所以,WDS不是不能使用,而是安全性的顧慮!
如果你架設WDS的地方,方圓500M內沒有其它的遮蔽物的話,你當然可以比較放心的使用(雖然還是有功率放大器,可以抓到更遠距離的AP餘波)。
不然在無線網路的使用上,除了隱藏SSID、鎖MAC ADDRESS之外,請至少使用WPA-AES以上的加密法吧!雖然還是有可能被破解,但是對方要付出的代價也不輕(光是數以百計的小時數就夠瞧了!)
雖然AP互連的安全性問題,有機會在IEEE 802.11s(還未有實際產品,更何況是種先有產品再行定義標準的狀態)或RADIUS或相關機制中能得到解決,但是在建構的成本卻也相對墊高許多,著實是兩難的局面,只能取決於安全與預算之間。
2007年9月13日 星期四
搜尋的小技巧(Skill of Search)
現在已經有數以億計的網頁在Internet上,有時候為了要找一筆的資料,可能就會花上好一陣子在搜尋上,雖然現在已經有了很多類似的網站在幫助我們
可是,對很多人來說,總覺得有遺珠之憾,不是找不到自己想要的資料,就是一大堆類似的資料,毫無鑑別度(這一點真的很難),所以在網路上找資料,會找的人可能只要打幾個關鍵字眼就可以很快找到,不會找的人就...花上一兩個小時還在大海撈針
話說回來,如果在網路失去了尋找資料的功能!它應該也可以算是半殘...(雖然曾看過朋友的Blog上寫著:「念到碩士畢業...竟然有人沒聽(用)過 Google?」)這一點該說那個人在圖書館研究的功力了得,還是該說Google竄起的太快呢?
其實以搜尋引擎(Search Engine),應該以Google Search最有名吧!雖然是個不錯用的工具(現在他們的技術已經是種專利了!),還是要有點技巧才能夠幫你減少過多的雜訊
其實Google的說明中心有蠻多的技巧!不過真的會詳細去讀的人,還是少數吧!反觀最近有不少研討會的討論重點,就是利用搜尋引擎的能力,可以協助有心人士猜測到網站後台的架構,甚至搗亂都有可能...(搜尋人人會用,各有巧妙不同!)
所以,筆者就介紹一些Google常用的技巧(有興趣者,請去參考說明中心)
1.大小寫不分:所以不用刻意想查大寫文字(基本上沒有分別!)。
2.利用加、引號:Google會排除常用字,如需搜尋這類資料,可用 " 或 + 。
(其中雙引號(")還能夠用來搜尋有關詞句的搜尋,例:"明月幾時有")。
例:Star Wars +1或 "Star Wars 1",都能找到較多Star Wars 1 的相關資訊。
3.搜尋特定網域(site):這功能超級好用(不具備搜尋功能的網站、論壇...)
例:site:indeepnight.blogspot.com virus(可找到本Blog中所有virus的字串)
↑ ↑ ↑
參數 搜尋網站(域) 關鍵字
其實 Google提供的尋標器(快速搜尋)功能(見Blog左邊sidebar-2的快速搜尋),其實也是用類似的方式來搜尋的,不過程式碼使用的參數名是:sitesearch
如果,妳已經是Google的愛用者,我想這些小技巧對你們來說,一定是會更提高你搜尋的效率,除此之外,如果你是部落客一族,你甚至可以利用link的語法來搜尋,是否有網站設有連至你部落格的連結(例:「link:indeepnight.blogspot.com」)
對於一些有設立下載資料的網站,可以確保自己沒有被盜連之類的情事發生!(其實盜連通常會加密,也不一定搜尋的到...)
雖然Google的功能強大,但是對於某些特別的時用時機,可能透過入口網站、特別的搜尋類別來尋找相關資料會簡便許多,因為Google有時候鑑別度真的不夠,例如:
1.WIKIPEDIA:維基百科。
2.字典:
英英:Free Dictionary、UrbanDictionary。
英漢:YAHOO線上字典(由Dr.eye支援)。
國語:國語辭典(87/04版)、重編國語辭典修訂本。(雖然常有烏龍事件)
3.搜尋相關字在何網站:Answer.com。(初略分類)
其它的好用網站及工具,就請大家告訴大家吧!,看要留言補上還是又mail給我,我都相當歡迎喔!畢竟每個人都希望能花最短的時間,來找到自己想要的資料喔!
PS:雖然有不少好用的搜尋工具或網站,但是很多都是針對英文(類似的語言結構)來提供搜尋服務,針對中文的搜尋,可能因為文字上的先天障礙,使得效率一直無法增加呀!期待有人能開發新一代的強力中文搜尋引擎(造福中文語系使用者)
可是,對很多人來說,總覺得有遺珠之憾,不是找不到自己想要的資料,就是一大堆類似的資料,毫無鑑別度(這一點真的很難),所以在網路上找資料,會找的人可能只要打幾個關鍵字眼就可以很快找到,不會找的人就...花上一兩個小時還在大海撈針
話說回來,如果在網路失去了尋找資料的功能!它應該也可以算是半殘...(雖然曾看過朋友的Blog上寫著:「念到碩士畢業...竟然有人沒聽(用)過 Google?」)這一點該說那個人在圖書館研究的功力了得,還是該說Google竄起的太快呢?
其實以搜尋引擎(Search Engine),應該以Google Search最有名吧!雖然是個不錯用的工具(現在他們的技術已經是種專利了!),還是要有點技巧才能夠幫你減少過多的雜訊
其實Google的說明中心有蠻多的技巧!不過真的會詳細去讀的人,還是少數吧!反觀最近有不少研討會的討論重點,就是利用搜尋引擎的能力,可以協助有心人士猜測到網站後台的架構,甚至搗亂都有可能...(搜尋人人會用,各有巧妙不同!)
所以,筆者就介紹一些Google常用的技巧(有興趣者,請去參考說明中心)
1.大小寫不分:所以不用刻意想查大寫文字(基本上沒有分別!)。
2.利用加、引號:Google會排除常用字,如需搜尋這類資料,可用 " 或 + 。
(其中雙引號(")還能夠用來搜尋有關詞句的搜尋,例:"明月幾時有")。
例:Star Wars +1或 "Star Wars 1",都能找到較多Star Wars 1 的相關資訊。
3.搜尋特定網域(site):這功能超級好用(不具備搜尋功能的網站、論壇...)
例:site:indeepnight.blogspot.com virus(可找到本Blog中所有virus的字串)
↑ ↑ ↑
參數 搜尋網站(域) 關鍵字
其實 Google提供的尋標器(快速搜尋)功能(見Blog左邊sidebar-2的快速搜尋),其實也是用類似的方式來搜尋的,不過程式碼使用的參數名是:sitesearch
如果,妳已經是Google的愛用者,我想這些小技巧對你們來說,一定是會更提高你搜尋的效率,除此之外,如果你是部落客一族,你甚至可以利用link的語法來搜尋,是否有網站設有連至你部落格的連結(例:「link:indeepnight.blogspot.com」)
對於一些有設立下載資料的網站,可以確保自己沒有被盜連之類的情事發生!(其實盜連通常會加密,也不一定搜尋的到...)
雖然Google的功能強大,但是對於某些特別的時用時機,可能透過入口網站、特別的搜尋類別來尋找相關資料會簡便許多,因為Google有時候鑑別度真的不夠,例如:
1.WIKIPEDIA:維基百科。
2.字典:
英英:Free Dictionary、UrbanDictionary。
英漢:YAHOO線上字典(由Dr.eye支援)。
國語:國語辭典(87/04版)、重編國語辭典修訂本。(雖然常有烏龍事件)
3.搜尋相關字在何網站:Answer.com。(初略分類)
其它的好用網站及工具,就請大家告訴大家吧!,看要留言補上還是又mail給我,我都相當歡迎喔!畢竟每個人都希望能花最短的時間,來找到自己想要的資料喔!
PS:雖然有不少好用的搜尋工具或網站,但是很多都是針對英文(類似的語言結構)來提供搜尋服務,針對中文的搜尋,可能因為文字上的先天障礙,使得效率一直無法增加呀!期待有人能開發新一代的強力中文搜尋引擎(造福中文語系使用者)
2007年9月12日 星期三
網路服務大風吹(Network Service)
最近在各大媒體,應該都可以看見許多有關網路服務業的動作、從筆者先前寫有關MSN.TW的DNS設定錯誤、YAHOO!併Flickr、無名小站,一直到最近Skype發現有蠕蟲(worm)...
對現在的網路服務業來說,真是個多事之秋,同時也反應出現代人對於網路服務依賴的程度有多重,也因為現代人的習慣使然,只要一有變動,影響的層面就極廣
也許對公司營運來說,當然是在商言商(最近的瘦身動作可能跟他們不夠亮眼的財報有關,這是題外話!一 一),對於我們這種一般使用者來說,究竟影響有多大呢?
在說明影響之前,我還是先聲明一下,我僅對事不對人(業主),只是分享一下我們這種小市民的心聲!
我們先來看看現在最多人使用的有那些:
1.電子郵件:幾乎所有網路服務業者皆以此做為招攬人氣的工具。
2.部落格服務:無名小站的興起。
3.網路相本:包含靜態與動態。
4.即時通訊:包含文字、影音、通話。
5.其它:附加功能(付費機制,例:可用JAVA SCRIPT、專人提醒...等)。
以上這些功能,只要你有上網的人,或多或少都會應用這些相關服務(至少現在電子郵件信箱也成為官方必填的個資之一)
其實原本網路服務業者,都是出自於無償使用的心態,讓廣大的網路業者能夠使用這些相關服務,但是在整個網路環境的變革之下(不論是WEB x.0的進步、還是大公司併購小公司),很多原有的服務,就會面臨整合的局面,在整合的過程中,往往就會隱性地流失很多客源
也許有人會說:「沒關係!習慣可以造就一切!」
但是別忘了!習慣可以讓人們使用它,當然也能因為習慣上的變革,讓人們投往其它懷抱(反正習慣都是可以被營造出來的!)所以...
在整合重疊服務之前,也請服務提供者多為我們這些相當倚重它們的小市民想想!
舉個例子來說!
先前在無名小站紅極一時的時代,因為很多人都習慣把自己的數位相片上傳到上面的平台,一方面是為了能夠分享給三、五好友,另一方面是用來儲存自己相片的備份(因此有的服務提供者,還在容量大小上做文章)
可是,現在筆者的三五好友就發生了許多實際的慘案,因為無名在九月底前要完成整合至YAHOO!帳號之下,造成很多人的不便...
因為在無名的時代,很可能一個人用兩個MAIL申請了兩個相似的ID,一但要整合進YAHOO!能夠一個YAHOO的帳號認領兩個無名嗎?(這一點我沒試過,但我存疑...因為先前手動認證還要配合身份證之類的相關證件),再者,如果原本就沒有使用YAHOO的使用者不就非得去申請一個帳號才能讓它們的無名繼續下去!(這一點應該算是商業手法!筆者也不多說了!)
所以,很多朋友就開始紛紛走避,可是...慘案就發生了!!
因為無名的備份機制,只針對文字部份(XML檔),對於圖片部份是沒有備份打包的機制(這一點在YAHOO相簿,在十月中之前要轉換至FLICKR的整合上,至少它提供了備份的退場機制...),所以,只能自求多福(其實在原有的約定書中!其實服務業者本身一定是不提供救援或備份服務,因為是免費的!)
如果相片的原始檔已經不在的話!又不想捨棄這些珍貴的照片,就得在用原帳戶還能進無名(九月底前),自己手動一張張把珍貴的回憶給存出來!或是上Google搜尋抓圖軟體(例:WinSnap、JWGet...等),用批次的方式,一本本把相片抓下來!
雖然,這繁瑣的動作,使用者本身也該負一半的責任,但是在很多人倚重相關服務的同時(其實各業者也很愛以容量無上限(或超大容量)的口號來引起共鳴),可是一旦要縮減相關(重疊)服務的時候,卻不一定已經做好了配套措施這一點,就會造成我們這種使用者極大的困擾(雖是無償使用,我們不也是提供了業者向廣告主收取鋸額廣告費的參考依據嗎?)
所以,這陣子的網路服務的大風吹,很值得廣大的使用者警惕!(若是付費的使用者,更應該懂得保護自己的權利)
除此之外!原本一直在MSN上令人頭痛的病毒問題,現在也延燒到了Skype上,雖然這次的事件僅為惡作劇的蠕蟲,誰敢保證未來不會有類似keylog(鍵盤側錄器)的相關軟體出現,把對話內容側錄下來呢?
這才是值得上億使用者該憂心的吧!畢竟網路上,人人都有機會介入兩點之間!
對現在的網路服務業來說,真是個多事之秋,同時也反應出現代人對於網路服務依賴的程度有多重,也因為現代人的習慣使然,只要一有變動,影響的層面就極廣
也許對公司營運來說,當然是在商言商(最近的瘦身動作可能跟他們不夠亮眼的財報有關,這是題外話!一 一),對於我們這種一般使用者來說,究竟影響有多大呢?
在說明影響之前,我還是先聲明一下,我僅對事不對人(業主),只是分享一下我們這種小市民的心聲!
我們先來看看現在最多人使用的有那些:
1.電子郵件:幾乎所有網路服務業者皆以此做為招攬人氣的工具。
2.部落格服務:無名小站的興起。
3.網路相本:包含靜態與動態。
4.即時通訊:包含文字、影音、通話。
5.其它:附加功能(付費機制,例:可用JAVA SCRIPT、專人提醒...等)。
以上這些功能,只要你有上網的人,或多或少都會應用這些相關服務(至少現在電子郵件信箱也成為官方必填的個資之一)
其實原本網路服務業者,都是出自於無償使用的心態,讓廣大的網路業者能夠使用這些相關服務,但是在整個網路環境的變革之下(不論是WEB x.0的進步、還是大公司併購小公司),很多原有的服務,就會面臨整合的局面,在整合的過程中,往往就會隱性地流失很多客源
也許有人會說:「沒關係!習慣可以造就一切!」
但是別忘了!習慣可以讓人們使用它,當然也能因為習慣上的變革,讓人們投往其它懷抱(反正習慣都是可以被營造出來的!)所以...
在整合重疊服務之前,也請服務提供者多為我們這些相當倚重它們的小市民想想!
舉個例子來說!
先前在無名小站紅極一時的時代,因為很多人都習慣把自己的數位相片上傳到上面的平台,一方面是為了能夠分享給三、五好友,另一方面是用來儲存自己相片的備份(因此有的服務提供者,還在容量大小上做文章)
可是,現在筆者的三五好友就發生了許多實際的慘案,因為無名在九月底前要完成整合至YAHOO!帳號之下,造成很多人的不便...
因為在無名的時代,很可能一個人用兩個MAIL申請了兩個相似的ID,一但要整合進YAHOO!能夠一個YAHOO的帳號認領兩個無名嗎?(這一點我沒試過,但我存疑...因為先前手動認證還要配合身份證之類的相關證件),再者,如果原本就沒有使用YAHOO的使用者不就非得去申請一個帳號才能讓它們的無名繼續下去!(這一點應該算是商業手法!筆者也不多說了!)
所以,很多朋友就開始紛紛走避,可是...慘案就發生了!!
因為無名的備份機制,只針對文字部份(XML檔),對於圖片部份是沒有備份打包的機制(這一點在YAHOO相簿,在十月中之前要轉換至FLICKR的整合上,至少它提供了備份的退場機制...),所以,只能自求多福(其實在原有的約定書中!其實服務業者本身一定是不提供救援或備份服務,因為是免費的!)
如果相片的原始檔已經不在的話!又不想捨棄這些珍貴的照片,就得在用原帳戶還能進無名(九月底前),自己手動一張張把珍貴的回憶給存出來!或是上Google搜尋抓圖軟體(例:WinSnap、JWGet...等),用批次的方式,一本本把相片抓下來!
雖然,這繁瑣的動作,使用者本身也該負一半的責任,但是在很多人倚重相關服務的同時(其實各業者也很愛以容量無上限(或超大容量)的口號來引起共鳴),可是一旦要縮減相關(重疊)服務的時候,卻不一定已經做好了配套措施這一點,就會造成我們這種使用者極大的困擾(雖是無償使用,我們不也是提供了業者向廣告主收取鋸額廣告費的參考依據嗎?)
所以,這陣子的網路服務的大風吹,很值得廣大的使用者警惕!(若是付費的使用者,更應該懂得保護自己的權利)
除此之外!原本一直在MSN上令人頭痛的病毒問題,現在也延燒到了Skype上,雖然這次的事件僅為惡作劇的蠕蟲,誰敢保證未來不會有類似keylog(鍵盤側錄器)的相關軟體出現,把對話內容側錄下來呢?
這才是值得上億使用者該憂心的吧!畢竟網路上,人人都有機會介入兩點之間!
2007年9月11日 星期二
檔案權限的應用 -2(Application of Permission -2)
昨天,我說明了有關WINDOWS的檔案權限,今天就針對LINUX來稍做介紹吧!
其實我一開始就有說過,WINDOWS與LINUX的檔案權限原本就有點類似,除了在安全性(預設值)的差別之外,不過...因為WINDOWS對於圖形介面還是比文字介面人性化一點(就像玩LINUX的人用它的圖形化設定,有時也會霧煞煞一樣)。
所以在LINUX上的檔案權限設定,筆者就會以文字模式來做介紹,如有遺漏之處,還請大家留言或指正(最近一直被網友們抓到發現自己的疏忽...ORZ),不過這一篇文章會比較類似我去上LPI課時的筆記,所以會比較「生硬」一些!
檔案權限的觀念:
1.不是繼承的模式(跟WINDOWS系統的預設值不同)。
2.每個權限都是獨立的(可寫入不代表可讀取)。
3.管理員(SUPER USER = root)有絕對的權限。
LINUX的檔案格式:共有十個欄位(特殊權限外,其餘為三個一組)
3
↓
例:-rw-r--r--(為了標示方便,故以全型表示)
↑ ↑ ↑
1 2 4
欄位說明:
1.檔案類型:用來標示該檔案或資料夾種類。
(-:一般檔案、d:資料夾、l:連結資料)
2.擁有者的權限:用來設定此檔案或資料夾擁有者的權限。
3.擁有群組的權限:用來設定此檔案或資料夾擁有群組的權限。
4.其它人的權限:用來設定此檔案或資料夾給其它人的權限。
其中,對於檔案權限的設定方式以二進位(1、2、4)或文字(r、w、x)代表
說明:
1.二進位:1=執行、2=寫入、4=讀取
2.文字法:x=執行、w=寫入、r=讀取
rwx = 4+2+1=7
rw- = 4+2+0=6
r-x = 4+0+1=5
r-- = 4+0+0=4
-wx = 0+2+1=3
-w- = 0+2+0=2
--r = 0+0+1=1
--- = 0+0+0=0
5
↓
實例: -rwxr-x--x
↑ ↑ ↑
二進位:0 7 1
說明: 特殊權:無
使用者:有讀取、寫入和執行的權限
使用群組:有讀取和執行的權限
其它人:有執行的權限
對於檔案、資料夾都具備權限的觀念,可是意義上卻有很大的不同之處:
檔案(FILE) 資料夾(DIR.)
-------------------------
r │ 可讀取 │ 只能讀檔名 │
----│---------│---------│
w │ 可寫入 │ 能搬移目錄 │
----│---------│---------│
x │ 可執行 │ 能進入目錄 │
----│---------│---------│
變更權限的指令:chmod
用法:chmod 777 test(改變test檔案成全部人都能讀取、寫入和執行)
chmod g+w test(針對test檔案的群組,加入寫入的權限)
chmod ugo+w test(test檔案的擁有者、群組和其它人都加入寫入權限)
變更擁有者/群組的指令:chown/chgrp
用法:chown test file(改變file的擁有者為test)
chgrp test file(改變file的群組為test)
chown test.test file(改變file的擁有者和群組皆為test)
說明:在LINUX中檔案預設有擁有者、群組兩種特性,兩者間可用「.」區隔。
特殊權限說明:實例可參考(#ls -al /usr/bin/passwd)
setgid
↓
例:-rwsr-xr-x 1 root root ... /usr/bin/passwd
↑ ↑
setuid sticky
特殊權限:(加在原有權限上)
111 111 111 111
特殊權限 擁有者 群組 其它人
u g o
小寫 s s t(原有x權限)
大寫 S S T(原無x權限)
例:chmod 4766 file(file的u、g和o權限中都加上特殊權限)
=chmod u+s file(原有x權限)
chmod g+S file(原無x權限)
chmod o+T file(原無x權限)
特殊權限說明:
檔案(FILE) 資料夾(DIR.)
------------------------------------
setuid │暫時切換該執行檔擁有者│ 系統會忽略 │
-------│-----------│----------------│
setgid │暫時切換該執行檔的群組│建立檔案的擁有群組會與該目錄相同│
-------│-----------│----------------│
sticky │與上述相同(系統忽略)│其它人不能夠刪除不屬於自己的檔案│
-------│-----------│----------------│
遮罩說明:系統內建的umask=022(例:test建立一個檔案與資料夾)
系統中預設權限:檔案=666、資料夾=777
加上系統的遮罩:umask=022
預設建立值:檔案=644、資料夾=755(不是666-022=644或777-022=755!)
其實加上遮罩的方式,是運算後的結果:
defalut│ 0 │ 0 │ 1 │ 1 │
--------│---│---│---│---│
umask │ 0 │ 1 │ 0 │ 1 │
--------│---│---│---│---│
end │ 0 │ 0 │ 1 │ 0 │
例:檔案=666、umask=022
default 110(6) 110(6) 110(6)
umask 000(0) 010(2) 010(2)
-----------------------------
End 110 100 100
數值 4+2=6 4+0=4 4+0=4
不知道經過筆者冗長的解說之後,對於LINUX的檔案權限有沒有更瞭解一點(老實說!除非真的有需要的人才會來看吧!?),我知道對一般人來說這些真的太過生澀,但是...這就是LINUX的檔案權限
我在內文中,也有一些外部的連結,是原文的相關說明,有興趣的人也可參照一番!說不定我又有那兒寫錯了!還請大家不吝指教(最近寫啥都有點怕怕的...),謝謝!
其實我一開始就有說過,WINDOWS與LINUX的檔案權限原本就有點類似,除了在安全性(預設值)的差別之外,不過...因為WINDOWS對於圖形介面還是比文字介面人性化一點(就像玩LINUX的人用它的圖形化設定,有時也會霧煞煞一樣)。
所以在LINUX上的檔案權限設定,筆者就會以文字模式來做介紹,如有遺漏之處,還請大家留言或指正(最近一直被網友們抓到發現自己的疏忽...ORZ),不過這一篇文章會比較類似我去上LPI課時的筆記,所以會比較「生硬」一些!
檔案權限的觀念:
1.不是繼承的模式(跟WINDOWS系統的預設值不同)。
2.每個權限都是獨立的(可寫入不代表可讀取)。
3.管理員(SUPER USER = root)有絕對的權限。
LINUX的檔案格式:共有十個欄位(特殊權限外,其餘為三個一組)
3
↓
例:-rw-r--r--(為了標示方便,故以全型表示)
↑ ↑ ↑
1 2 4
欄位說明:
1.檔案類型:用來標示該檔案或資料夾種類。
(-:一般檔案、d:資料夾、l:連結資料)
2.擁有者的權限:用來設定此檔案或資料夾擁有者的權限。
3.擁有群組的權限:用來設定此檔案或資料夾擁有群組的權限。
4.其它人的權限:用來設定此檔案或資料夾給其它人的權限。
其中,對於檔案權限的設定方式以二進位(1、2、4)或文字(r、w、x)代表
說明:
1.二進位:1=執行、2=寫入、4=讀取
2.文字法:x=執行、w=寫入、r=讀取
rwx = 4+2+1=7
rw- = 4+2+0=6
r-x = 4+0+1=5
r-- = 4+0+0=4
-wx = 0+2+1=3
-w- = 0+2+0=2
--r = 0+0+1=1
--- = 0+0+0=0
5
↓
實例: -rwxr-x--x
↑ ↑ ↑
二進位:0 7 1
說明: 特殊權:無
使用者:有讀取、寫入和執行的權限
使用群組:有讀取和執行的權限
其它人:有執行的權限
對於檔案、資料夾都具備權限的觀念,可是意義上卻有很大的不同之處:
檔案(FILE) 資料夾(DIR.)
-------------------------
r │ 可讀取 │ 只能讀檔名 │
----│---------│---------│
w │ 可寫入 │ 能搬移目錄 │
----│---------│---------│
x │ 可執行 │ 能進入目錄 │
----│---------│---------│
變更權限的指令:chmod
用法:chmod 777 test(改變test檔案成全部人都能讀取、寫入和執行)
chmod g+w test(針對test檔案的群組,加入寫入的權限)
chmod ugo+w test(test檔案的擁有者、群組和其它人都加入寫入權限)
變更擁有者/群組的指令:chown/chgrp
用法:chown test file(改變file的擁有者為test)
chgrp test file(改變file的群組為test)
chown test.test file(改變file的擁有者和群組皆為test)
說明:在LINUX中檔案預設有擁有者、群組兩種特性,兩者間可用「.」區隔。
特殊權限說明:實例可參考(#ls -al /usr/bin/passwd)
setgid
↓
例:-rwsr-xr-x 1 root root ... /usr/bin/passwd
↑ ↑
setuid sticky
特殊權限:(加在原有權限上)
111 111 111 111
特殊權限 擁有者 群組 其它人
u g o
小寫 s s t(原有x權限)
大寫 S S T(原無x權限)
例:chmod 4766 file(file的u、g和o權限中都加上特殊權限)
=chmod u+s file(原有x權限)
chmod g+S file(原無x權限)
chmod o+T file(原無x權限)
特殊權限說明:
檔案(FILE) 資料夾(DIR.)
------------------------------------
setuid │暫時切換該執行檔擁有者│ 系統會忽略 │
-------│-----------│----------------│
setgid │暫時切換該執行檔的群組│建立檔案的擁有群組會與該目錄相同│
-------│-----------│----------------│
sticky │與上述相同(系統忽略)│其它人不能夠刪除不屬於自己的檔案│
-------│-----------│----------------│
遮罩說明:系統內建的umask=022(例:test建立一個檔案與資料夾)
系統中預設權限:檔案=666、資料夾=777
加上系統的遮罩:umask=022
預設建立值:檔案=644、資料夾=755(不是666-022=644或777-022=755!)
其實加上遮罩的方式,是運算後的結果:
defalut│ 0 │ 0 │ 1 │ 1 │
--------│---│---│---│---│
umask │ 0 │ 1 │ 0 │ 1 │
--------│---│---│---│---│
end │ 0 │ 0 │ 1 │ 0 │
例:檔案=666、umask=022
default 110(6) 110(6) 110(6)
umask 000(0) 010(2) 010(2)
-----------------------------
End 110 100 100
數值 4+2=6 4+0=4 4+0=4
不知道經過筆者冗長的解說之後,對於LINUX的檔案權限有沒有更瞭解一點(老實說!除非真的有需要的人才會來看吧!?),我知道對一般人來說這些真的太過生澀,但是...這就是LINUX的檔案權限
我在內文中,也有一些外部的連結,是原文的相關說明,有興趣的人也可參照一番!說不定我又有那兒寫錯了!還請大家不吝指教(最近寫啥都有點怕怕的...),謝謝!
2007年9月10日 星期一
檔案權限的應用 -1(Application of Permission -1)
檔案權限在電腦的使用上應該是不可或缺的一部份,不過...因為它似乎並不太難,所以大家就會輕忽了它的重要性(如果有開分享者就會知道...)。
如果你還有架設FTP這一類的服務,檔案權限更是重要!(經常要有那種只能讀不能寫、或是只能寫入不能更改的條件),對於檔案權限上就有很多要注意!
對於WINDOWS或是LINUX系統下,其實對於檔案權限的要求很接近,只是在設定上,WINDOWS對於繼承的權限通常是預設值(改父權限就會套用下去),而LINUX則是一個指令一個動作(除非外加參數,否則僅會更改單一權限)。
這一篇我會寫對WINDOWS做概略的說明...
要更改權限之前,針對WINDOWS(以XP SP2來說),請先把簡單共用的設定取消(路徑:我的電腦 --> 工具 --> 資料夾選項 --> 檢視 --> 使用簡單檔案共用(建議使用))
因為這簡單共用的功能,往往會讓你對於檔案權限的設定造成混淆,因為簡單檔案共用的模式,僅能設定是否共用或允許網路使用者變更我的檔案兩種。
除此之外,如果是使用XP SP1以前的OS,如果使用簡單檔案共用的功能,還有可能會造成安全性的弱點。
接下來我們就可以對檔案共用權限、安全性權限兩者來做說明,以免很多人會對這些名詞混淆,甚至有可能因為設定的錯誤造成,該分享出來的資訊反而封鎖了!不該讓人看見的資訊卻外洩...
檔案共用:分為三類(主要是針對網路使用者存取、並與安全性共用取交集)
1.完全控制:網路使用者具有所有操作的權限
2.變更:網路使用者具有更改檔案的權限(與安全性共用的修改相近)
3.讀取:網路使用者具有讀取檔案的權限
安全性共用:分為七類(針對本機的使用者,網路使用者也需有此權限)
1.完全控制:具有所有操作的權限
2.修改:本機/網路使用者具有修改(寫入及刪除)檔案的權限
3.讀取與執行:本機/網路使用者能夠讀取並執行檔案
4.清單資料夾內容:本機/網路使用者能夠看見資料夾中的內容(資料夾專用)
5.讀取:本機/網路使用者具有讀取資料夾的權限
6.寫入:本機/網路使用者具有寫入(僅能寫入)資料的權限
7.特殊權限:本機/網路使用者具有特定的權限(更詳細的分類)
這一大堆的文字說明,老實說並不太人性化,我就做個簡單的舉例吧!
實例:分享temp資料夾給區網中具有test帳號(屬test-pc/Users群組)的人,並且僅能夠寫入資料、但不能刪除該資料夾中的內容:(temp資料夾的權限如下)
共用權限:test (/test-pc/Users)變更、讀取的權限。
安全性權限:test (/test-pc/Users)讀取與執行、清單資料夾內容、讀取、寫入。
說明:在共用權限中雖然具有變更的權限,但安全性共用中沒有修改的權限,所以僅能夠將資料寫入,無法進行刪除的動作。
其它說明:安全性共用中寫入與修改的不同
如果用同檔名覆蓋原檔:系統會視為更改檔案的內容(寫入權限)
如果想更改檔名:系統會視為刪除檔案後再新增一個新的檔案(修改權限)
這兩者的差別,在應用上經常會遇到使用者反應,我怎不能改檔名?或是變更檔名?(很容易在FTP的使用上會遇到這問題)。
除此之外,在我們設定檔案共用的時候,會發現還有拒絕的選項,在電腦判別的優先權上,它會先對拒絕的命令來做判別,之後才會去尋找允許的權限。
也就是說如果把修改的權限給拒絕(讀取、執行與寫入都被拒絕),這樣子就算在讀取、執行與寫入的設定上都設為允許也是枉然,因為連檔案讀取都不行(看都看不見了!),更別提能夠具有什麼別的功能。
雖然說,針對區網中隱藏資料夾的設定還有別的方式(例:檔案夾名稱後加上$的符號),但是這並非檔案共享的正規用法呀!所以也不多加詳述囉!
如果你還有架設FTP這一類的服務,檔案權限更是重要!(經常要有那種只能讀不能寫、或是只能寫入不能更改的條件),對於檔案權限上就有很多要注意!
對於WINDOWS或是LINUX系統下,其實對於檔案權限的要求很接近,只是在設定上,WINDOWS對於繼承的權限通常是預設值(改父權限就會套用下去),而LINUX則是一個指令一個動作(除非外加參數,否則僅會更改單一權限)。
這一篇我會寫對WINDOWS做概略的說明...
要更改權限之前,針對WINDOWS(以XP SP2來說),請先把簡單共用的設定取消(路徑:我的電腦 --> 工具 --> 資料夾選項 --> 檢視 --> 使用簡單檔案共用(建議使用))
因為這簡單共用的功能,往往會讓你對於檔案權限的設定造成混淆,因為簡單檔案共用的模式,僅能設定是否共用或允許網路使用者變更我的檔案兩種。
除此之外,如果是使用XP SP1以前的OS,如果使用簡單檔案共用的功能,還有可能會造成安全性的弱點。
接下來我們就可以對檔案共用權限、安全性權限兩者來做說明,以免很多人會對這些名詞混淆,甚至有可能因為設定的錯誤造成,該分享出來的資訊反而封鎖了!不該讓人看見的資訊卻外洩...
檔案共用:分為三類(主要是針對網路使用者存取、並與安全性共用取交集)
1.完全控制:網路使用者具有所有操作的權限
2.變更:網路使用者具有更改檔案的權限(與安全性共用的修改相近)
3.讀取:網路使用者具有讀取檔案的權限
安全性共用:分為七類(針對本機的使用者,網路使用者也需有此權限)
1.完全控制:具有所有操作的權限
2.修改:本機/網路使用者具有修改(寫入及刪除)檔案的權限
3.讀取與執行:本機/網路使用者能夠讀取並執行檔案
4.清單資料夾內容:本機/網路使用者能夠看見資料夾中的內容(資料夾專用)
5.讀取:本機/網路使用者具有讀取資料夾的權限
6.寫入:本機/網路使用者具有寫入(僅能寫入)資料的權限
7.特殊權限:本機/網路使用者具有特定的權限(更詳細的分類)
這一大堆的文字說明,老實說並不太人性化,我就做個簡單的舉例吧!
實例:分享temp資料夾給區網中具有test帳號(屬test-pc/Users群組)的人,並且僅能夠寫入資料、但不能刪除該資料夾中的內容:(temp資料夾的權限如下)
共用權限:test (/test-pc/Users)變更、讀取的權限。
安全性權限:test (/test-pc/Users)讀取與執行、清單資料夾內容、讀取、寫入。
說明:在共用權限中雖然具有變更的權限,但安全性共用中沒有修改的權限,所以僅能夠將資料寫入,無法進行刪除的動作。
其它說明:安全性共用中寫入與修改的不同
如果用同檔名覆蓋原檔:系統會視為更改檔案的內容(寫入權限)
如果想更改檔名:系統會視為刪除檔案後再新增一個新的檔案(修改權限)
這兩者的差別,在應用上經常會遇到使用者反應,我怎不能改檔名?或是變更檔名?(很容易在FTP的使用上會遇到這問題)。
除此之外,在我們設定檔案共用的時候,會發現還有拒絕的選項,在電腦判別的優先權上,它會先對拒絕的命令來做判別,之後才會去尋找允許的權限。
也就是說如果把修改的權限給拒絕(讀取、執行與寫入都被拒絕),這樣子就算在讀取、執行與寫入的設定上都設為允許也是枉然,因為連檔案讀取都不行(看都看不見了!),更別提能夠具有什麼別的功能。
雖然說,針對區網中隱藏資料夾的設定還有別的方式(例:檔案夾名稱後加上$的符號),但是這並非檔案共享的正規用法呀!所以也不多加詳述囉!
2007年9月7日 星期五
名稱解析的錯誤(Error in DNS Server)-更正版
今天有一則微軟MSN首頁被轉址的新聞(雖然已經修復,但一般人還是有可能會連至錯誤的網頁),新聞上說這位署名為Julian的駭客說不會利用此漏洞來危害大眾
但是也給一心想往資安領域前進的微軟,重重的一擊(雖然這次應該算人為疏失)
不過,也喚醒了筆者自己對於年初去上課時,對於DNS的記憶,所以今天才會這麼晚才上來更新文章(因為跟DNS玩了一整天...),不過還是要分享一下對這件事的想法
DNS是一個別人要能夠透過xxx.xxx.com.tw能夠找到你的網站必備的一個核心服務,說穿了就是告訴電腦那個IP去找那個網站,反之亦然(例:xxx.xxx.com.tw <--> 123.45.6.7)
不過它的設定以及相關的應用,沒有親自玩過的人,應該很難體會其中的奧妙(用繁瑣可能更貼切),尤其是較大型的企業或服務網站,更是具有多台以上的DNS
例如:msn.com.tw 的DNS Server有4台;yahoo.com.tw則是5台
先不論每一台的DNS所負責的是那一部份的名稱解析(大部份是為負載平衡),但是在設定的同時,幾乎是每個小地方都要留意(有時多一個或少一個"."就有極大的不同)
像這次事件,就是因為它們在重新設定DNS的時候,其中一台主機指向的網址設定錯誤,讓這位署名為Julian的仁兄順勢去申請了該網址,在順手把自己想要說的話留在上面(真是順手呀!= =+)
如果你剛好利用是利用MSN.COM.TW想連去該MSN首頁,經過負載平衡的分流,恰好被分到那個原先不存在的網址,你就有幸能夠看見Julian留的話!(老實說我也挺想看它原本的樣子!哈)
這種事情對於流量如此大的網站來說,真的是一件很嚴重的事情,這次僅是換了首頁,如果因內部設定錯誤造成更大的損失(釣魚網站),那就真的是很難收尾
除此之外,DNS有一個非常不即時的特性(除非你可以手動更新),不然...你就算已經在自己的DNS Server上設定好,以台灣的hixxx來說,該網站的說明上會說:最多要等24hrs後才會生效(因為不可能你一登錄就馬上可以成功)
所以就算MSN已經修正了該項錯誤,還是有人會連到原本設定錯誤的網址,主要是因ISP尚未完全同步更新(小聲說:看過Julian轉址畫面的人分享一下吧!)
更正啟示:原文提及批次及ISP設定和公司內部,經網友指正後的更改如下:
1. DNS應該是根據TTL(存活時間)來判斷,一般DNS的設定值會預設為86400(單位:秒),所以最晚都會需要24 hrs才能夠得完成DNS RECORD的更新,(根據網友bie的測試,大部份ISP業者僅需幾小時)
2. 筆者對於公司內部的DNS設定是指內部的DNS可以在Master和Slave之間,利用手動調整Refresh的時間長短,以及比較Serial的數值來快速的調整DNS的更新速度,但是DNS中原有的特性當然還是存在,我的用詞不慎,造成誤導的情況,還請各位見諒!
除了連錯網站之外,所有的服務都和DNS都綁在一塊(因為大多數人都是記網址、很少人會記IP吧!除了網路剛起步時...),這就可能會造成MAIL收不到(合約、廠商...等),連瑣反應會像雪球一般,越滾越大...
這個事告訴我們對於公司網站的DNS,設定或更新時一定要更加審慎的處理,盡可能在內部設定、測試無誤後再上線吧!(所以這件事算是人為失誤,不算資安漏洞啦!)
PS:DNS真的是個很重要的核心服務,但是...它繁雜的設定真是令人頭疼呀!下次再分享我測試的心得吧!...(今天玩了一天的心血 @_@|||泣)
但是也給一心想往資安領域前進的微軟,重重的一擊(雖然這次應該算人為疏失)
不過,也喚醒了筆者自己對於年初去上課時,對於DNS的記憶,所以今天才會這麼晚才上來更新文章(因為跟DNS玩了一整天...),不過還是要分享一下對這件事的想法
DNS是一個別人要能夠透過xxx.xxx.com.tw能夠找到你的網站必備的一個核心服務,說穿了就是告訴電腦那個IP去找那個網站,反之亦然(例:xxx.xxx.com.tw <--> 123.45.6.7)
不過它的設定以及相關的應用,沒有親自玩過的人,應該很難體會其中的奧妙(用繁瑣可能更貼切),尤其是較大型的企業或服務網站,更是具有多台以上的DNS
例如:msn.com.tw 的DNS Server有4台;yahoo.com.tw則是5台
先不論每一台的DNS所負責的是那一部份的名稱解析(大部份是為負載平衡),但是在設定的同時,幾乎是每個小地方都要留意(有時多一個或少一個"."就有極大的不同)
像這次事件,就是因為它們在重新設定DNS的時候,其中一台主機指向的網址設定錯誤,讓這位署名為Julian的仁兄順勢去申請了該網址,在順手把自己想要說的話留在上面(真是順手呀!= =+)
如果你剛好利用是利用MSN.COM.TW想連去該MSN首頁,經過負載平衡的分流,恰好被分到那個原先不存在的網址,你就有幸能夠看見Julian留的話!(老實說我也挺想看它原本的樣子!哈)
這種事情對於流量如此大的網站來說,真的是一件很嚴重的事情,這次僅是換了首頁,如果因內部設定錯誤造成更大的損失(釣魚網站),那就真的是很難收尾
除此之外,DNS有一個非常不即時的特性(除非你可以手動更新),不然...你就算已經在自己的DNS Server上設定好,以台灣的hixxx來說,該網站的說明上會說:最多要等24hrs後才會生效(因為不可能你一登錄就馬上可以成功)
所以就算MSN已經修正了該項錯誤,還是有人會連到原本設定錯誤的網址,主要是因ISP尚未完全同步更新(小聲說:看過Julian轉址畫面的人分享一下吧!)
更正啟示:原文提及批次及ISP設定和公司內部,經網友指正後的更改如下:
1. DNS應該是根據TTL(存活時間)來判斷,一般DNS的設定值會預設為86400(單位:秒),所以最晚都會需要24 hrs才能夠得完成DNS RECORD的更新,(根據網友bie的測試,大部份ISP業者僅需幾小時)
2. 筆者對於公司內部的DNS設定是指內部的DNS可以在Master和Slave之間,利用手動調整Refresh的時間長短,以及比較Serial的數值來快速的調整DNS的更新速度,但是DNS中原有的特性當然還是存在,我的用詞不慎,造成誤導的情況,還請各位見諒!
除了連錯網站之外,所有的服務都和DNS都綁在一塊(因為大多數人都是記網址、很少人會記IP吧!除了網路剛起步時...),這就可能會造成MAIL收不到(合約、廠商...等),連瑣反應會像雪球一般,越滾越大...
這個事告訴我們對於公司網站的DNS,設定或更新時一定要更加審慎的處理,盡可能在內部設定、測試無誤後再上線吧!(所以這件事算是人為失誤,不算資安漏洞啦!)
PS:DNS真的是個很重要的核心服務,但是...它繁雜的設定真是令人頭疼呀!下次再分享我測試的心得吧!...(今天玩了一天的心血 @_@|||泣)
2007年9月6日 星期四
遠端連線的黑暗技(SSH Tunnel)
記得筆者在遠端登入的優缺點一文中,提過SSH的連線!其實它還有不為人知的應用
但這些應用不一定是正面的,我僅做些許介紹,以免造成許多管理者的困擾,在此要感謝一下,教我的老師CASPER,告訴我們這一招SSH Tunnel(可怕黑暗技)
接著我們就來看看SSH Tunnel的威力吧!...
其實ssh在Linux或文字介面模式中,是遠端登入很常見的一種協議,如果你是這一類的愛好者,對這個名詞就一定不會陌生,它的好處就是傳送的資料都是經過加密處理,不是明碼傳送的喔!
它除了可以加密之外,事實上還有很多應用層面,今天我要提的就是比較不一樣的黑暗技(因為它可以用來突破網管的限制...= =+)
舉例來說,如果公司不讓你收外部的信件時,除了透過外部主機之外(WEB MAIL),也可以利用ssh tunnel來達成
筆者就先粗略的說明一下ssh tunnel的意義,其實它就很類似VPN的用途,就是先透過ssh的加密連線,登入了遠端的主機之後,就在這兩台電腦之間建立一個資料流通道
所以,在你透過ssh tunnel與遠端主機連線之後,就可以透過這個通道,把你本來要在本機端做的服務,轉嫁到遠端主機上來做(如此一來,網管就管不著了...),其實真的要管還是可以鎖住的,但是會衍生出更多問題
使用的方式如下:
硬體:兩台電腦主機(都能上網,這應該很簡單)
軟體:兩台都具備ssh功能(遠端需可接受ssh連線)
條件:ssh的port(22)能通、並具備相當的使用權
指令:A連線B的ssh tunnel:ssh -L port:B的IP:port B的IP
(A-IP:192.168.1.99;B-IP:192.168.1.100)
本端port 遠端主機IP
↓ ↓
例:ssh -L 80:192.168.1.100:80 192.168.1.100
↑ ↑
參數 透過遠端主機的port
說明:建立一條從192.168.1.99到192.168.1.100的通道(本機端80 PORT與遠端主機 80 PORT透過此通道連結)
如果B主機是一台WEB SERVER(開啟80 PORT),在A電腦(192.168.1.99)的瀏覽器鍵入:http://127.0.0.1(127.0.0.1為本機端預設IP,但是A電腦並無WEB服務),這個http的request(要)會透過ssh的22 port連接到B電腦(192.168.1.100)的80 port
所以,你就會在A電腦上看見B電腦的WEB首頁(代表你建立的ssh tunnel已成功),這種ssh tunnel的方式除了WEB之外,VNC(5900~5906)或是MAIL(110-POP3、25-SMTP)都可以,除了FTP不行(因為FTP會使用20、21和隨機開啟的PORT)
不過一般WINDOWS並不具備ssh client,所以可以透過putty(中文化的pietty)、或是OpenSSH for Windows(Binary Installer Releases --> 下載setupssh381-20040709.zip使用,即可透過DOS COMMAND模式做ssh連線)
其它的應用就請大家自行鑽研囉!(黑暗技別亂用!很容易出事...)
那管理者要怎麼避免這一類的情事發生呢?把PORT封住就可以了嗎?!(除非你都不開port,不然...有的連80 port都能鑽)
但在多人多工的主機上,開ssh的port又是必要的便民措施(如果以Linux為作業主軸),當然可以透過過濾封包的方式找出這一類的資料流(該種軟體的價位一點都不便民呀!),這就是大開方便之門的風險!
補充:其實有人也透過類似的方法,突破封鎖,做其它的應用(online game或其它事...),所以我僅做基本介紹,不然我可能會被網路管理者拖去打(我是無辜的,是CASPER教我的,哈!拖老師下水)
但這些應用不一定是正面的,我僅做些許介紹,以免造成許多管理者的困擾,在此要感謝一下,教我的老師CASPER,告訴我們這一招SSH Tunnel(可怕黑暗技)
接著我們就來看看SSH Tunnel的威力吧!...
其實ssh在Linux或文字介面模式中,是遠端登入很常見的一種協議,如果你是這一類的愛好者,對這個名詞就一定不會陌生,它的好處就是傳送的資料都是經過加密處理,不是明碼傳送的喔!
它除了可以加密之外,事實上還有很多應用層面,今天我要提的就是比較不一樣的黑暗技(因為它可以用來突破網管的限制...= =+)
舉例來說,如果公司不讓你收外部的信件時,除了透過外部主機之外(WEB MAIL),也可以利用ssh tunnel來達成
筆者就先粗略的說明一下ssh tunnel的意義,其實它就很類似VPN的用途,就是先透過ssh的加密連線,登入了遠端的主機之後,就在這兩台電腦之間建立一個資料流通道
所以,在你透過ssh tunnel與遠端主機連線之後,就可以透過這個通道,把你本來要在本機端做的服務,轉嫁到遠端主機上來做(如此一來,網管就管不著了...),其實真的要管還是可以鎖住的,但是會衍生出更多問題
使用的方式如下:
硬體:兩台電腦主機(都能上網,這應該很簡單)
軟體:兩台都具備ssh功能(遠端需可接受ssh連線)
條件:ssh的port(22)能通、並具備相當的使用權
指令:A連線B的ssh tunnel:ssh -L port:B的IP:port B的IP
(A-IP:192.168.1.99;B-IP:192.168.1.100)
本端port 遠端主機IP
↓ ↓
例:ssh -L 80:192.168.1.100:80 192.168.1.100
↑ ↑
參數 透過遠端主機的port
說明:建立一條從192.168.1.99到192.168.1.100的通道(本機端80 PORT與遠端主機 80 PORT透過此通道連結)
如果B主機是一台WEB SERVER(開啟80 PORT),在A電腦(192.168.1.99)的瀏覽器鍵入:http://127.0.0.1(127.0.0.1為本機端預設IP,但是A電腦並無WEB服務),這個http的request(要)會透過ssh的22 port連接到B電腦(192.168.1.100)的80 port
所以,你就會在A電腦上看見B電腦的WEB首頁(代表你建立的ssh tunnel已成功),這種ssh tunnel的方式除了WEB之外,VNC(5900~5906)或是MAIL(110-POP3、25-SMTP)都可以,除了FTP不行(因為FTP會使用20、21和隨機開啟的PORT)
不過一般WINDOWS並不具備ssh client,所以可以透過putty(中文化的pietty)、或是OpenSSH for Windows(Binary Installer Releases --> 下載setupssh381-20040709.zip使用,即可透過DOS COMMAND模式做ssh連線)
其它的應用就請大家自行鑽研囉!(黑暗技別亂用!很容易出事...)
那管理者要怎麼避免這一類的情事發生呢?把PORT封住就可以了嗎?!(除非你都不開port,不然...有的連80 port都能鑽)
但在多人多工的主機上,開ssh的port又是必要的便民措施(如果以Linux為作業主軸),當然可以透過過濾封包的方式找出這一類的資料流(該種軟體的價位一點都不便民呀!),這就是大開方便之門的風險!
補充:其實有人也透過類似的方法,突破封鎖,做其它的應用(online game或其它事...),所以我僅做基本介紹,不然我可能會被網路管理者拖去打(我是無辜的,是CASPER教我的,哈!拖老師下水)
2007年9月5日 星期三
全球的駭客戰(Global War of Hacker)
最近有很多關於駭客入侵何處的政府機構(中德、中美...等),由此看來,因為網際網路的發展快速,也讓這一類的攻擊變成跨國界的情事,新聞內容如下:
ETTODAY:原文連結(會隨時間被拿掉)
駭客侵入美國防部竊資料 中國解放軍主謀?
2007/09/04 15:28 記者蔡慧萱/編譯
(節錄部份內容)
根據「金融時報」(Financial Times)的報導,美國國防部五角大廈今年6月遭到駭客入侵下載政府檔案,而且經過美國調查,這群駭客有可能就是中國大陸解放軍。這個消息在中國國家主席胡錦濤6日和布希會面之前披露,時機相當敏感。...略
美國在線中文:原文連結(會隨時間被拿掉)
中國駭客大規模入侵德政府(組圖)
發佈時間:2007-08-27 18:20:56 【來源:明鏡週刊】
(節錄部份內容)
報導引述德國情報單位“聯邦憲法保護局”的報告說,今年五月起,聯邦總理府、外交部、經濟部、學術研究部等政府部門的電腦內,發現來自中國蘭州、廣東和北京的木馬程式,夾帶在Word和Powerpoint的檔案,意圖竊取機密,幕後黑手指向中國人民解放軍的情報單位。
(以上為新聞內容,非本人杜撰...)
或許用全球性來說也不為過(每次一有殺傷力強大的病毒,往往是計算全球的損失),除了少數網路不一定能夠深及的地區(非洲大陸、熱帶雨林...等)
不過,有一點值得我們正視,如果駭客從個人行為,提升成團體、企業或是國家級(其實網路戰就有類似的目標,例:愛沙尼亞的網路戰),可能就變成一種隱性的軍備競賽
雖然有人會說,那都是電影裡才會有的情節(例:DIE HARD 4.0)可是現在的情勢看來,並非只有電影中才會出現
讓我們回頭想想我們現在的安全性真的夠好嗎?
還記得好幾年前,總統府首頁被置換、亂發新聞稿、甚至是宣布愚人節放假一天(請自行Google一下,就會看到很多歷史的痕跡)
雖然現在網頁可能已經改成每X秒就會RELOAD一次,或是教給專業機構代管(中研院),不管是何種手段,都可以看出資訊安全在台灣是屬於「亡羊補牢」這一類(上至政府、下至中小企業都有可能、個人用戶有時反而積極...)
往往是挖東牆補西牆(就整體資源來說),如果是國家級介入的話,原本是無國界的網路,反而開始成為另一種劃清界線的範疇(例:X盾計畫)
先不論那些新聞最後的結果如何,我們知道現在政府機構重度依賴電子文件,所以很有可能會受到外部駭客的影響,讓原有的運行模式被中斷(有時非電子化文件,有一定的必要性),這一點對於任何事都追求效率的機構或單位...這是癡人說夢吧!
那加強資訊安全的稽核呢?
反觀一下自己公司、企業、甚至是政府機構,現在的資訊人員大多以約聘或是外包來維護公司內部的資訊設備(就算有正式職員,數量也絕對不足以處理所有相關事宜),又要如何即時鞏固自身的安全呢?
這是跟本地的民情有關、還是跟主事者對於這些事情的看法不同而定呢?
如果,那一天駭客戰真的開打,現在的防護真的足以支撐嗎?還是我們已經做好了準備?(答案...大家心裡有數!)
現在資訊安全的重要性,真的很薄弱,要主事者能夠體會,我想還是得要發生重大事故(有人被殺頭、或是影響整體運作),才有可能會應此而有所變化!畢竟資安這條路,不是嘴上說說而已,總是要能實際為體系「賺錢」才會被重視呀!
還是,因為主事者看見了這些駭客的新聞後會覺醒?(哈!當我沒說...)
ETTODAY:原文連結(會隨時間被拿掉)
駭客侵入美國防部竊資料 中國解放軍主謀?
2007/09/04 15:28 記者蔡慧萱/編譯
(節錄部份內容)
根據「金融時報」(Financial Times)的報導,美國國防部五角大廈今年6月遭到駭客入侵下載政府檔案,而且經過美國調查,這群駭客有可能就是中國大陸解放軍。這個消息在中國國家主席胡錦濤6日和布希會面之前披露,時機相當敏感。...略
美國在線中文:原文連結(會隨時間被拿掉)
中國駭客大規模入侵德政府(組圖)
發佈時間:2007-08-27 18:20:56 【來源:明鏡週刊】
(節錄部份內容)
報導引述德國情報單位“聯邦憲法保護局”的報告說,今年五月起,聯邦總理府、外交部、經濟部、學術研究部等政府部門的電腦內,發現來自中國蘭州、廣東和北京的木馬程式,夾帶在Word和Powerpoint的檔案,意圖竊取機密,幕後黑手指向中國人民解放軍的情報單位。
(以上為新聞內容,非本人杜撰...)
或許用全球性來說也不為過(每次一有殺傷力強大的病毒,往往是計算全球的損失),除了少數網路不一定能夠深及的地區(非洲大陸、熱帶雨林...等)
不過,有一點值得我們正視,如果駭客從個人行為,提升成團體、企業或是國家級(其實網路戰就有類似的目標,例:愛沙尼亞的網路戰),可能就變成一種隱性的軍備競賽
雖然有人會說,那都是電影裡才會有的情節(例:DIE HARD 4.0)可是現在的情勢看來,並非只有電影中才會出現
讓我們回頭想想我們現在的安全性真的夠好嗎?
還記得好幾年前,總統府首頁被置換、亂發新聞稿、甚至是宣布愚人節放假一天(請自行Google一下,就會看到很多歷史的痕跡)
雖然現在網頁可能已經改成每X秒就會RELOAD一次,或是教給專業機構代管(中研院),不管是何種手段,都可以看出資訊安全在台灣是屬於「亡羊補牢」這一類(上至政府、下至中小企業都有可能、個人用戶有時反而積極...)
往往是挖東牆補西牆(就整體資源來說),如果是國家級介入的話,原本是無國界的網路,反而開始成為另一種劃清界線的範疇(例:X盾計畫)
先不論那些新聞最後的結果如何,我們知道現在政府機構重度依賴電子文件,所以很有可能會受到外部駭客的影響,讓原有的運行模式被中斷(有時非電子化文件,有一定的必要性),這一點對於任何事都追求效率的機構或單位...這是癡人說夢吧!
那加強資訊安全的稽核呢?
反觀一下自己公司、企業、甚至是政府機構,現在的資訊人員大多以約聘或是外包來維護公司內部的資訊設備(就算有正式職員,數量也絕對不足以處理所有相關事宜),又要如何即時鞏固自身的安全呢?
這是跟本地的民情有關、還是跟主事者對於這些事情的看法不同而定呢?
如果,那一天駭客戰真的開打,現在的防護真的足以支撐嗎?還是我們已經做好了準備?(答案...大家心裡有數!)
現在資訊安全的重要性,真的很薄弱,要主事者能夠體會,我想還是得要發生重大事故(有人被殺頭、或是影響整體運作),才有可能會應此而有所變化!畢竟資安這條路,不是嘴上說說而已,總是要能實際為體系「賺錢」才會被重視呀!
還是,因為主事者看見了這些駭客的新聞後會覺醒?(哈!當我沒說...)
2007年9月4日 星期二
免費防毒程式的隱憂(Free Anti-Virus Software)
有上網的電腦,誰沒有裝防毒軟體呢?應該絕大多數的人都有安裝,除非你不在乎自己電腦的使用權(除非你是想要刻意製作誘補系統...)
所以,現在防毒軟體的採用已經漸漸成型,至少在資安部份是件好事,可是...真的用錢去購買相關軟體的人有多少?(排除公司企業的授權數量)
絕大多數人還是會著眼於免費的防毒軟體,其中包括有名的AVS(美國AOL提供的掃毒軟體,現與MCAFEE合作)、ANTIVIR(德國的防毒軟體)、線上掃毒或試用版皆有,不過它卻也帶來了許多的隱憂,使用前請三思!
使用這些防毒程式的隱憂是什麼呢?
其實說穿了!天下沒有白吃的午餐,那就是在你下載過程中,它們都會要求你留下有效的電子郵件信箱,可以讓它們寄送授權碼(一般來說可用一年),不過在你下載使用的同時,其實在合約內容中已經允諾它們可以收集你的電子郵件信箱
所以垃圾信(SPAM)也會如雪片般飛來(還有很多是來自英語系的國家,這一點與那些垃圾信寄送者收集信箱的手段有關)
在使用的時候往往會造成另一方面的困擾,除非你像我一樣,用一個只收不寄的信箱來收認證信,否則很難避免(哥哥有練過的!^.^哈)
除了廣告信之外,其實還有一些問題在,其中可以分兩個層面來看,一個是技術面,一個是現實面,其實這些都是拜「免費」兩字所賜
技術面:
1.免費的功能大多為正式版的閹割版(不然正式版賣給誰?)
2.通常防火牆與防毒功能只能則一(兩者很難皆有)
3.防毒碼及程式更新較慢(免費的不要嫌太多)
4.耗費電腦的資源較多(這一點常為人所垢病)
現實面:
1.提供服務的停止(無預警的停用)
2.服務上的不連續(版本更新、換廠商)
為什麼我今天會提到這一點呢?其實是有一段小故事的!
筆者有使用AOL的AVS的防毒軟體,話說它在跟MCAFEE合作前,還提供了新版本的AVS,之後在非常快的速度宣布與MCAFEE合作,所以原本使用AVS的孤兒就成了沒辦法用的可憐人(這就是使用免費軟體最大的痛,不過也是很正常的事)
那這些原本用AOL就會發現...自己到2007/8/31之後就再也沒有辦法更新病毒碼(通常也是此時才會發現自己的防毒軟體,其實已經不再被支援了!),至於有沒有發信通知就不得而知了!至少我沒有收到
所以,我今天才分享一下在使用這一類的防毒軟體時可能會發生的現象,不過僅是個案,並不代表所有免費防毒軟體皆如此
那...真的沒有辦法解決了嗎?我們原本得到的授權都還沒到期耶!
哈!經過筆者的測試...只要你在那短短幾天內,有下載到AVS的更新版本(AVS_v25.exe),會有KASPERSKY的數位簽章(2007年4月6日下午08:46:37),把原本舊的AVS覆蓋掉之後,就又可以繼續更新了!話又說回來...又有幾個人在那短短幾天有載到呢?(小聲說:我有...)
如果有人能提供其它的解決方法,當然也歡迎提供與分享喔!
所以,現在防毒軟體的採用已經漸漸成型,至少在資安部份是件好事,可是...真的用錢去購買相關軟體的人有多少?(排除公司企業的授權數量)
絕大多數人還是會著眼於免費的防毒軟體,其中包括有名的AVS(美國AOL提供的掃毒軟體,現與MCAFEE合作)、ANTIVIR(德國的防毒軟體)、線上掃毒或試用版皆有,不過它卻也帶來了許多的隱憂,使用前請三思!
使用這些防毒程式的隱憂是什麼呢?
其實說穿了!天下沒有白吃的午餐,那就是在你下載過程中,它們都會要求你留下有效的電子郵件信箱,可以讓它們寄送授權碼(一般來說可用一年),不過在你下載使用的同時,其實在合約內容中已經允諾它們可以收集你的電子郵件信箱
所以垃圾信(SPAM)也會如雪片般飛來(還有很多是來自英語系的國家,這一點與那些垃圾信寄送者收集信箱的手段有關)
在使用的時候往往會造成另一方面的困擾,除非你像我一樣,用一個只收不寄的信箱來收認證信,否則很難避免(哥哥有練過的!^.^哈)
除了廣告信之外,其實還有一些問題在,其中可以分兩個層面來看,一個是技術面,一個是現實面,其實這些都是拜「免費」兩字所賜
技術面:
1.免費的功能大多為正式版的閹割版(不然正式版賣給誰?)
2.通常防火牆與防毒功能只能則一(兩者很難皆有)
3.防毒碼及程式更新較慢(免費的不要嫌太多)
4.耗費電腦的資源較多(這一點常為人所垢病)
現實面:
1.提供服務的停止(無預警的停用)
2.服務上的不連續(版本更新、換廠商)
為什麼我今天會提到這一點呢?其實是有一段小故事的!
筆者有使用AOL的AVS的防毒軟體,話說它在跟MCAFEE合作前,還提供了新版本的AVS,之後在非常快的速度宣布與MCAFEE合作,所以原本使用AVS的孤兒就成了沒辦法用的可憐人(這就是使用免費軟體最大的痛,不過也是很正常的事)
那這些原本用AOL就會發現...自己到2007/8/31之後就再也沒有辦法更新病毒碼(通常也是此時才會發現自己的防毒軟體,其實已經不再被支援了!),至於有沒有發信通知就不得而知了!至少我沒有收到
所以,我今天才分享一下在使用這一類的防毒軟體時可能會發生的現象,不過僅是個案,並不代表所有免費防毒軟體皆如此
那...真的沒有辦法解決了嗎?我們原本得到的授權都還沒到期耶!
哈!經過筆者的測試...只要你在那短短幾天內,有下載到AVS的更新版本(AVS_v25.exe),會有KASPERSKY的數位簽章(2007年4月6日下午08:46:37),把原本舊的AVS覆蓋掉之後,就又可以繼續更新了!話又說回來...又有幾個人在那短短幾天有載到呢?(小聲說:我有...)
如果有人能提供其它的解決方法,當然也歡迎提供與分享喔!
2007年9月3日 星期一
WP快速安裝(Installation of Wordpress)
筆者先前所寫「淚灑部落格(Tears of Blog)」一文中,有提到一個自行架設的平台WordPress,其實現在它算是極熱門的一種部落格(更早之前有Movable Type)
不過我還是以現在最熱門的WordPress來介紹(後面簡稱為WP)...
其實要安裝起來並不會太難,只是難在你要如何修改相關的功能、版型...等設定(這當然也牽涉到每個人的美感),所以我也僅能介紹安裝的部份,當然,其實在網路上已經可以找到不下數千種以上的說明或教學網頁(我只是以分享經驗的角度切入),如有遺漏還請各位高手指教...
首先,說明一下我設定的軟體平台:
1.OS:WIN-XPPRO-SP2或 LINUX-FEDORA6。
2.BLOG:WordPress(2.2.2)。
3.Server:appserv-win32-2.5.9(FOR WIN32)或LAMP。
4.TOOLS:phpMyAdmin(WIN-2.10.2;LINUX-2.11.0)。
5.中文化:Kirin Lin 正體中文。
其實,筆者在兩種不同的平台上都有架設過,如果對LINUX的操作上比較不熟悉的人(小聲說:其實我也沒多熟...),筆者強烈建議採用appserv的套件來安裝(因為它把所需的套件都已包裝成一個EXE檔)
想在LINUX上安裝的,當然也不用我多說(LAMP可透過yum直接抓回來、phpMyAdmin就手動下載吧!),因此,筆者在這邊也不多說明有關Server的架設(下次有機會再說...)
其實...安裝的步驟相當簡單:
1.下載WordPress 2.2.2:視平台選擇適用的檔案:
補充:LINUX可用:#wget http://wordpress.org/latest.tar.gz(抓最新檔)
2.解壓縮、安裝:
WINDOWS:解壓縮至appserv資料夾(例:D:\AppServ\www\wordpress)
LINUX:解壓縮至Apache的預設路徑(例:/var/www/html/wordpress)
補充:
1.LINUX解壓縮:#tar zxvf wordpress-2.2.2.tar.gz。
2.可更改資料夾名稱,如wordpress --> blog(方便之後連結上的管理)。
3.設定檔:將資料夾中的 wp-config-sample.php,另存為wp-config.php再修改
利用文字編輯器,更改其中的相關內容:(紅字部份為新增設定...)
define('DB_NAME', 'wp'); 資料庫名稱
define('DB_USER', 'root');資料庫使用者
define('DB_PASSWORD', 'test');使用者密碼
define('DB_HOST', 'localhost');維持預設即可
define('DB_CHARSET', 'utf8');維持預設即可
define ('WPLANG', 'zh_TW');加入中文語系
4.利用phpMyAdmin建立一個名為wp的資料庫:
PS:建立資料庫時,注意「校對」需為 utf8_general_ci或 utf8_unicode_ci(多謝kirin的指導與提醒),因為我phpMyAdmin安裝完的預設校對即為 utf8_unicode_ci,所以遺漏了這項說明
5.下載中文化語系檔:
請至Kirin Lin 正體中文 WordPress(下載左方的WordPress2.2.2)
解壓縮將zh_TW.mo和zh_TW.po置於:..\wordpress\wp-content\languages\
6.繼續安裝:開啟http://localhost/wordpress/(圖片版)
(1)會看見一個未安裝的訊息:點選install.php
(2)說明文件:
(3)輸入標題與電子郵件信箱:
(4)記住帳號、密碼:(之後可更改成自己熟記的)
(5)登入:
(6)管理頁面:
(7)完成後的首頁:
辛苦的裁圖作業,終於完成了這篇教學文,不過裡面可能還有一些其它的問題(例:phpMyAdmin的安裝、LAMP的安裝...等),有興趣的人可以留言討論
針對這教學文有其它建議或是指教(筆者也怕有不足之處),歡迎來信或留言告知,最後希望這篇文章可以解決一些想要自己安裝部落格,卻一直很難上手的朋友!
不過我還是以現在最熱門的WordPress來介紹(後面簡稱為WP)...
其實要安裝起來並不會太難,只是難在你要如何修改相關的功能、版型...等設定(這當然也牽涉到每個人的美感),所以我也僅能介紹安裝的部份,當然,其實在網路上已經可以找到不下數千種以上的說明或教學網頁(我只是以分享經驗的角度切入),如有遺漏還請各位高手指教...
首先,說明一下我設定的軟體平台:
1.OS:WIN-XPPRO-SP2或 LINUX-FEDORA6。
2.BLOG:WordPress(2.2.2)。
3.Server:appserv-win32-2.5.9(FOR WIN32)或LAMP。
4.TOOLS:phpMyAdmin(WIN-2.10.2;LINUX-2.11.0)。
5.中文化:Kirin Lin 正體中文。
其實,筆者在兩種不同的平台上都有架設過,如果對LINUX的操作上比較不熟悉的人(小聲說:其實我也沒多熟...),筆者強烈建議採用appserv的套件來安裝(因為它把所需的套件都已包裝成一個EXE檔)
想在LINUX上安裝的,當然也不用我多說(LAMP可透過yum直接抓回來、phpMyAdmin就手動下載吧!),因此,筆者在這邊也不多說明有關Server的架設(下次有機會再說...)
其實...安裝的步驟相當簡單:
1.下載WordPress 2.2.2:視平台選擇適用的檔案:
補充:LINUX可用:#wget http://wordpress.org/latest.tar.gz(抓最新檔)
2.解壓縮、安裝:
WINDOWS:解壓縮至appserv資料夾(例:D:\AppServ\www\wordpress)
LINUX:解壓縮至Apache的預設路徑(例:/var/www/html/wordpress)
補充:
1.LINUX解壓縮:#tar zxvf wordpress-2.2.2.tar.gz。
2.可更改資料夾名稱,如wordpress --> blog(方便之後連結上的管理)。
3.設定檔:將資料夾中的 wp-config-sample.php,另存為wp-config.php再修改
利用文字編輯器,更改其中的相關內容:(紅字部份為新增設定...)
define('DB_NAME', 'wp'); 資料庫名稱
define('DB_USER', 'root');資料庫使用者
define('DB_PASSWORD', 'test');使用者密碼
define('DB_HOST', 'localhost');維持預設即可
define('DB_CHARSET', 'utf8');維持預設即可
define ('WPLANG', 'zh_TW');加入中文語系
4.利用phpMyAdmin建立一個名為wp的資料庫:
PS:建立資料庫時,注意「校對」需為 utf8_general_ci或 utf8_unicode_ci(多謝kirin的指導與提醒),因為我phpMyAdmin安裝完的預設校對即為 utf8_unicode_ci,所以遺漏了這項說明
5.下載中文化語系檔:
請至Kirin Lin 正體中文 WordPress(下載左方的WordPress2.2.2)
解壓縮將zh_TW.mo和zh_TW.po置於:..\wordpress\wp-content\languages\
6.繼續安裝:開啟http://localhost/wordpress/(圖片版)
(1)會看見一個未安裝的訊息:點選install.php
(2)說明文件:
(3)輸入標題與電子郵件信箱:
(4)記住帳號、密碼:(之後可更改成自己熟記的)
(5)登入:
(6)管理頁面:
(7)完成後的首頁:
辛苦的裁圖作業,終於完成了這篇教學文,不過裡面可能還有一些其它的問題(例:phpMyAdmin的安裝、LAMP的安裝...等),有興趣的人可以留言討論
針對這教學文有其它建議或是指教(筆者也怕有不足之處),歡迎來信或留言告知,最後希望這篇文章可以解決一些想要自己安裝部落格,卻一直很難上手的朋友!
訂閱:
文章 (Atom)