2007年6月9日 星期六

Linux的異地備份(Offsite Backup)(2)

10 則留言:
筆者在前一篇寫了有關於rsync的應用,這一篇則是要利用ssh的公鑰來達成免輸入密碼的遠端登入,因為自動排程時,人無法一直在電腦前面,所以這個動作就是重要的了

其實筆者在之前也有看過類似公鑰與私鑰的應用,不過一直到真的接觸了Linux後,才真的比較有機會能夠實做,真的有需求時才會真正實踐它

好了!其它就不多說了,就開始來進行吧!

首先來介紹一下ssh,它其實算是一種加密法,常應用於傳輸資料時,對傳遞資料加以保護,由此可知在網路上如果利用明碼來傳送資料,是一件多危險的事!

所以現在金融機構的網站,有許對也是利用https(http+ssl)來做一種保護的手段,不過ssh並不是代表它就是安全的,因為它加密的是傳送的資料,本身服務也是具有危險性的,千萬不要 讓所有主機都能夠利用ssh來登入,否則危險性極大

因為筆者是在區網中做資料的備援,故這一方面的影響較小,同時也在主機端上有加設登入的限制,例如特定網段、ip及使用者才可登入的保護(例如sshd_config、etc/host.allow(deny)和iptables),這裡就不再多加闡述

接下來就只要產生出公鑰與私鑰即可,建立的方法如下:

1. 在Client端利用ssh-keygen建立公鑰與私鑰
2. 私鑰放在Client端使用者家目錄中.ssh資料夾(/home/.ssh)
3. 公鑰放到Server端使用者家目錄中.ssh資料夾中,並更名authorized_keys

執行步驟如下:

1. 從192.168.1.x (Client端)傳送至192.168.1.99(Server端),所以我們就在Client端打入ssh-keygen可以產生公、私鑰

2. 因為key是在Client端上產生的,所以預設已把key放到/home/.ssh/下,而id_rsa(私鑰)與id_rsa.pub(公鑰)

3. 利用scp(ssh傳檔指令)把公鑰傳至Server端的root家目錄
scp /home/.ssh/id_rsa.pub root@192.168.1.99:~/

4. 更動檔案名稱,將id_rsa.pub更名為authorized_keys
cat id_rsa.pub >> ~/.ssh/authorized_keys (>>是導向符號)

5. 測試Client登入
ssh root@192.168.1.99(如果不需密碼即可登入,就成功了)

經由筆者接連這兩篇的文章,希望能夠幫助跟我一樣在Linux上需製作備援主機的人,能夠取得一個適當的方式來處理,當然也有其它的替代方式,歡迎一起討論喔!

2007年6月8日 星期五

Linux的異地備份(Offsite Backup)(1)

4 則留言:
Linux據說不太適合用ghost進行備份資料,所以我就開始尋找其它的替代方案

原本有考慮使用cpio或是軟體raid的方式來進行備援,但有不適合即時復原和成本太高的問題,所以改用了rsync的備援方式

它的好處就是能夠最資料的比對,如果是異地備份的話,還是以ssh的加密法來傳送資料(在區網之內效益較大),如果是internet的備份,如果是利用有限頻寬的ADSL來傳送資料,就不太適合了!

筆者是以Fedora6做為系統,在安裝的過程中,rsync也已經安裝完成,皆以xinetd這個Super Daemon控制,相關的內容有興趣者可以上Google查一下!

為了資料能夠即時備援上線,筆者使用了兩台主機,雖然都是一般的pc,並沒有什麼較為特別的主機(但是因為Linux的硬體需求較低)

所以,我用了一台p4-2.4g、512mb的ddrram(DDR400)當主要系統,p3-850MHz、384mb的sdram(pc133)為異地的備援機(為了備援主機,筆者還碰上了一些硬體相關的問題,之後在與大家討論)

不過這也告訴我們,大家舊的主機可不一定就沒有派上用場,因為如果一個類似NAS功能的主機,動輒就要五、六位數的花費,雖然專業的主機有較好的效能,但是用舊機器一樣也能練練功力

至於rsync的指令用法有相當多,有興趣的人可以參考官方網站的說明文件(英文的說明文件,請笑納)

筆者在這裡也介紹常用的一些參數:
-a, --archive archive mode; same as -rlptgoD
(維持相關資料,hard-links除外)
-v, --verbose increase verbosity(在傳送期間,顯示傳送過程的資訊)
-R, --relative use relative path names(保留相對路徑)

--delete, delete extraneous files from dest dirs
(Server端刪除資料,Client也同步刪除)

而在Fedora6中的rsync已經預設使用ssh的加密法傳送,在舊版還需加上-e ssh才能使用加密傳送,但是ssh做自動化的異地傳送還有個問題要解決

那就是就算在Crontab中加上了一行自動排程執行的指令:
0 0 * * * rsync -avR --delete /home root@192.168.1.99:/home/backup
(凌晨0點0分進行rsync,把/home的資料傳去192.168.1.99的/home/backup備份)

但是ssh做登入時,會遇到一個棘手的問題,那就是輸入密碼這件事!

筆者下一篇會解說如何解決自動登入的問題,那就是利用公鑰(Pub-Key)登入

...下回待續...

2007年6月7日 星期四

抓圖的技術(Grab Picture)

24 則留言:
由於網路的盛行,無論是blog還是現在流行的YouTube,在網路上都有許多的檔案或圖片在以各種方式在分享

經常會看見各大網站會有許多美麗的圖片,很多人都有收集美圖的習慣,但是經常會發現沒有辦法把圖抓下來,在這裡先略過著作權的爭議,而只是討論技術的部份,所以接下來的討論都是針對圖片本身沒有版權問題,可別亂以身試法!

要說怎麼抓圖就要先提到有那些常見的防範技術,用在保護圖片上

1. 鎖右鍵:因為絕大部份的人都是用右鍵來另存圖片
2. 利用資料庫:無法直接抓取的到資料庫的路徑,所以抓圖會有困難
3. 改變副檔名:令人無法直接搜尋出該圖檔的正確位置
4. 加上浮水印:這應該算是一種玉石俱焚的方法,但是保有原圖的人可用

以筆者的經驗來說,除了浮水印之外,其它圖片保護都有對應的方式抓取,不過也可分為全靠軟體,或是軟體與技術各半,甚至有些方式連軟體都不用,就可以輕鬆破解(其實只要是會用保護的人一定也會解...)

全靠軟體的部份,應該也不用筆者多說,想想最早無名相簿大紅大紫的同時,因為該網頁就有鎖右鍵+利用資料庫的方式來保護圖片,所以就有許多打著可以抓取無名相簿的軟體出現(例:抓圖王...等軟體,去Google上找就有一堆,所以我不再贅述)

這一類抓圖軟體,其實絕大部份都是用類似暴力法去try出真實路徑,一但有人試出來了,這個網站的資料庫結構就等於被破解了!只差時間的長短而已,而且這一類的軟體使用方便,應該很多人都有試過吧!

那軟體與技術各半的呢?

其實說穿了這一點也很簡單,應該很多人的電腦裡都有類似Flashget的續傳軟體吧!筆者就曾經試過用這一類的軟體能夠抓到原圖,因為就算鎖了右鍵,注意一下你們用的瀏覽器(IE、FIREFOX...等)都有一行狀態列

通常都在最下方,一但你把游標指向該圖片,就會顯示出該圖的路徑,接下來就只要把該路徑輸入到續傳軟體,就可以直接抓取到該圖片了,甚至還可以利用續傳軟體的批次下載,猜測可能的相片編號方式一網打盡,所以真是防不慎防

再來,破解鎖右鍵的方式其實有很多:

1. 更換瀏覽器:因為很多鎖右鍵的語法,只在IE生效,換FIREFOX就迎刃而解
2. 技術欺騙:先按住右鍵不放,當它跳出不可以按右鍵的畫面出現後,先用左鍵確定(右鍵不放開),等禁止右鍵的視窗消失後,再放開右鍵,如此一來就可以出現原有另存圖片的選項,這也是一種欺騙瀏覽器的方法喔!
3. 更改設定:直接把IE能夠執行許多程式語法給停用
工具-->網際網路選項-->安全性,工具-->管理附加元件

以上是常見破解鎖右鍵的方法,提供大家參考,再次聲明別拿來做壞事喔!

更改副檔名又是怎麼一回事呢?

其實筆者最早是在國外的某些網站上看見的,其實當看見一個網頁,也可以利用最笨的方式來找尋該網頁圖檔的真實路徑(利用資料庫或CSS語法者無效),那就是直接檢視該網頁的原始碼,只要稍稍搜尋一下*.JPG、*.GIF或*.PNG應該就能找到不少

不過這個方法,我卻在該網站失效了,我苦思右想,只好用土法鍊鋼的方式,大家應該知道所有從瀏覽器讀入的網頁,都會有一份TEMP檔在本機的電腦裡吧!

所以筆者就直接把網頁的暫存檔全部清除(包括離線瀏覽的內容),然後直接開啟該網頁,等全部內容都顯示出來後,去暫存檔的資料夾(預設在C:\Documents and Settings\"USERNAME"\Local Settings\Temporary Internet Files)中比對資料

其實一樣就能發現出有很多副檔名不詳,但是檔案卻比其它檔案來得大出許多的檔案(因為網頁上資料量最大的應該就是圖檔或其他多媒體檔案),不過這一類的檔案名稱,經常是一連串的英數混合而成

只要稍稍把那些副檔名不明的檔案改成圖型的副檔名(*.JPG...等),再利用看圖軟體點開,就會發現另外一片新世界,我原先也很不可置信,竟然還有這種方法,不過後來仔細想想,只要在網頁伺服器的設定上動點手腳,應該要做到類似的成果應該也不難(恕筆者沒時間實作,唉...)

以上就是在網頁上抓取圖片的方法,僅供參考,如有疑問再一起討論吧!

其實...如果不在乎是否要較高畫質的原圖,還有一個最簡單的方法,那就是利用「Print Screen」的功能鍵,來做畫面上的快照,一樣也能夠把圖抓下來,只是礙於螢幕顯示的解析度,頂多就是72dpi的圖片吧!

2007年6月6日 星期三

病毒清理(Virus Clear)的迷思

6 則留言:
之前介紹不少跟防毒程式或手動掃毒的介紹,今天就來談談掃完毒後的事吧!

一定有人會想說,把病毒抓出來也殺掉了,那還有什麼事要做呢?不是就可以繼續原有的工作了嗎?原則上是這樣子說沒有錯,但是有個盲點在,那就是「把病毒殺掉」這件事

我們知道病毒的種類有很多,更何況還有木馬、廣告程式一類的問題,不過它們感染檔案的方式不盡相同,除了是新增一些奇怪檔名的檔案之外,有得甚至是感染原有的系統元件(如:*.dll、*.bat...等)

所以當我們把病毒抓出來殺掉之後(雖然很多防毒程式有隔離或是修復的機制,但實用性有限),就連筆者也大多是以清除的方式處理,不怕一萬只怕萬一

2007年6月5日 星期二

MSN Messenger的二三事

4 則留言:
現在的上班族,只要有電腦的人至少都有一種以上的即時通訊軟體(拜M$所賜至少會有Windows Messenger),不過更多人使用的應該就是MSN Messenger(最新版為7.5)

不過一直到2005年8月23日後就沒有再推出新版,接著由微軟的Windows Live Messenger(WLM)所接手(最新版為8.1)

到了2006年7月13日還與Yahoo!Messanger能夠互連,這些軟體雖然使用起來是很方便沒錯,但是也衍生了許多相關的問題

舉例來說,很多跟研發的高科技產業,為了保密需求,基本上是無法使用這一類的相關軟體,因為只有區網無法對外部網路連線,或是有些公司覺得這一類軟體影響工作效率,故禁止使用該軟體(這一點可是累了許多IT人員),大家可以上Google上查看看封鎖MSN的文章與方法有多少就知道

不過,這一類的軟體在工作上真的沒有好處嗎?

其實也不盡然,因為它能夠減少通訊上的支出,以及一些即時狀況的解決,甚至可以連結兩地做視訊會議(這一類的應用還是用專業的軟硬體較好!),所以說軟體本身無害,不慎便成災

那使用疑慮又是怎麼一回事呢?

其實說穿了,因為這一類的軟體具有強大的穿透性(因為它們真的很難封鎖),它們可以藉由WEB版本、Proxy的代理...等方法突破IT人員的封鎖,雖然使用者可以享有一時之快,但是危險也就多增加了幾分

因為它使用的Port很多,且還具有繞送的能力(使用Http的80 Port傳送連線),所以真的是防不甚防(除非連看網頁的Http也封鎖,那就跟只剩區網沒啥兩樣了!),雖然有相關的硬體可以做到,但是成本也極高(有些Linux可以做到這一類的防堵,但是也要有相關技術),以下是常見的使用通道:

一般連線 TCP 1863
語音通訊 UDP 6901
檔案傳送 TCP 6891~6900
遠端協助 TCP 3389
應用程式 /白板分享 TCP 7800~7825
即時影音通訊 TCP 5100

就拿筆者來說,莫名奇妙就收到過聯絡人傳送來的有毒網址或壓縮檔(WLM已有預設某些檔案無法直接傳送,例*.exe、*.bat...等),雖然沒有被感染或是遭受到危害,但是這種事情多發生個幾次,我想你就再也不敢在WLM的平台上收發東西了

可是因為這些問題就不用這一類軟體了嗎?我想也不太可能吧!
所以只能夠多保護自己一些,例如:
收檔案先掃毒(工具-->選項-->檔案傳輸-->使用下列掃毒軟體進行掃描
自動拒絕傳輸不安全的檔案類型(WLM要求安裝相關掃毒軟體才可傳送)
允許清單使用者看見狀態或傳訊(工具-->選項-->隱私),防陌生人傳病毒

以上這一些都是WLM原本能夠使用的防範方法,當然還是可以用其它手段來防止遇到危險,同時也有許多相關的外掛可以更改原生的介面,例:Messenger Plus!LiveMSNShell等,尤此可見這類軟體的廣大使用群

不過,類似的資安問題一再發生,重點還是使用者,而且筆者先前有說過,因為WLM的使用者眾多,因此它的伺服器負荷也極大,如果有時真的連結不上,也並非是網路或是IT管理人員的問題,有可能只是伺服器進行維護
(可參照說明-->服務狀態官方網站的公告,有時會Delay也別太急躁)

其它的相關技術,筆者會在後文慢慢地介紹與測試分響,請各位共襄盛舉!

2007年6月4日 星期一

使用者認知(User Knowable)

沒有留言:
使用者認知這一點,對所有的IT管理人員來說,應該有著莫名的痛
不過也是因為使用者在使用上的無助,才突顯IT人員的重要性

這一點對於我們來說,真不知道該欣喜還是難過,只能說這是命呀!

為什麼對於使用者認知上,有著如此大的落差呢?
認知的程度與接受電子化和自身願意付出的心力成正比

千萬不要一昧的認為,因為我年紀大,所以沒有辦法做好這件事
我也有看過許多長者願意付出相對的努力,來達成他們在電腦上想要實現的事

反而是每天都要接觸電腦的人,排斥的心理更大

心想:「反正電腦壞了,有人會出來處理,我做別的事就好!

也就是這一點,害苦了許多IT人員疲於奔命,使用者只是想著:「大不了不用」
而沒有想過自身是否真的「正確」的使用它

更糟的是...不想用的時候就置之不理,一但想用的時候,才再十萬火急

似乎,我們這些「掛牌的打雜工」(應該很多人有同感)永遠都在Standby
我這樣子說好像有點抱怨的心態,其實也不是如此,只是希望大家有緩衝的觀念

舉例來說:星期四發現電腦有異狀,甚至網路異常無法工作,一定要到星期一非用網路不可時,才十萬火急的要求說:「我網路不能用怎辦!快來救我...」

我想這一類的話,我們也是很想解決,但是...手邊的事情真的能夠放下嗎?

相信每個人都知道有輕重緩急的差別,但是這件事情不是只有針對自己而已,
在整個運作的模式中,同時也要為對方多預設一些時間,才能收到應有的成效

筆者在這兒簡單點出一些使用者應有的最少認知(電腦知識),供大家參考:

1. 電腦至少要確定電源燈有亮、鍵盤滑鼠一定要接(bios有些可跳過偵測)
2. Msn連不上,除非網路不通,絕大部份都是Msn的服務擁塞,或是版本的差異
3. 一堆序列程式(右下角一堆時),電腦資源不足或當機是正常的(唉...)
4. 多一點耐心,因為硬體配備不同,請做應做的事(學習是好的,但請回家試)
5. 請正常關機,不要直接關電源,電腦有時候還是需要溫柔對待的
...略

其實還有很多使用上的習慣,應該是使用者應該要學習的部份

並非所有的事都一定要IT人員才能處理,如果IT人員極少(像筆者就是...Only One),如果可以減少一些這種狀況,也許也能夠提高更多的工作效率

另外,筆者也許有時還是想要"教育"一下使用者,但是發現這一點真的很難,因為有人會覺得你跟我說這麼多做什麼?我只要電腦能動就好,其它不是我的問題(不太想理的樣子)

但是,反過來說,如果在輕重緩急的取捨之下,因為自身的疏忽而造成電腦使用上的不便,請問應該是要先被處理的嗎?

當被IT人員排在較為後期處理的事時,是否能多喚醒一點使用上的認知呢?

我想,應該也不希望有那一天吧!

筆者這一篇要說的是,電腦是一種工具,它也有所極限,在自身使用習慣有問題之下,發生問題的機率極大,使用前先問一下自己,真的要這麼用它嗎?

只要能夠稍微這樣想一下,我想就可以減少一半可能出現問題的可能性了!!

最大的認知問題,就是一昧的覺得電腦,一定可以幫我解決問題,我想很多對電腦反感的使用者,就是因為解決問題的時間比用它的時間還多,如果要當個自在的使用者,方法有三:

1. 請準備大量的資金,請人維護
2. 自己多做點功課,減少錯誤使用發生的機率
3. 請離電腦遠一點吧!你跟它的磁場不合

雖然有些是玩笑話,但是也真實的反應了用電腦,還是被電腦用的差別喔!

2007年6月1日 星期五

P2P的風潮再現

沒有留言:
P2P是什麼呢?
就是所謂的點對點技術(PEER TO PEER),也叫做對點連結技術,這個詞在網路上應該大多數的人應該都有聽過,不過它真的實際使用,應該是受BT(BitTorrent)和EMule/Donkey的大量風行而推動,不過最早應該是受Napster分享音樂而開始發展

除了這兩個歐美盛行的P2P軟體之外,亞洲也有推出類似的軟體,如韓國的CB(CulbBox)、日本的WinnyShare...等,甚至是聲名大噪的Foxy這裡頭當然也有牽扯很多網路相關的技術,甚至還有漏洞(問問Google就可以找到一大堆入侵的方法),能夠讓有心的人拿來竊取使用者電腦內部的資料

其實P2P原本的用意是好的,能夠分享彼此的頻寬、資源、甚至是開源碼的討論,這些都是它應該擁有的優點,只是現今被人們拿來分享昂貴的軟體、影片或具有版權的音樂等,弄得滿身腥

不過這些技術在網路上,也佔有不可小逾的一席之地,不信的話可以隨便問個上網兩三年以上的人,看他是否有使用過類似的軟體嗎?一定也會低調的點頭!

只是筆者這裡要提醒的是,當你不知道怎麼維護自己電腦的安全性之前,千萬別胡亂使用,或是在公司使用相關軟體,因為在不懂得那些軟體運作的原理之前,它可能會把所有的頻寬佔光,甚至是造成全公司的網路擁塞,嚴重一點連正常的使用都會停擺

歸咎責任時,你可能連怎麼被革職的都還弄不清楚,就準備找下一個工作了(工作難尋呀!別為了一時之便!)

因為在使用P2P軟體的同時,它預設會完全開放您的上傳流量給大家抓取您分享的資料,這對於ADSL當道的時代,更有雪上加霜的影響,所以真的要使用相關軟體時,最好先確認一下自己流量的大小,以免在設定上有所影響

最為常見的2M/256K來說,代表你上傳的速度最高也只有2x KB/s(理論值是256/8=32 KB/s,會因線材、集線比等因素有所損耗),所以如果你要與人共享流量時,最多開個5~10KB/s就已經佔去全部頻寬的1/4(可利用Netlimiter...等頻寬限制軟體,各別鎖定頻寬)

如果家中有兩三個人都有開這服務,就準備跟網路說掰掰吧!可能連開個入口網站都會Lag到無法忍受(網路世界最怕遇到的狀況!)

除此之外,一直讓人詬病的原因,就是當您在下載的同時,會暴露自身的IP位置,就算利用NAT或相關技術來防範,仍增加了許多隱藏的危險(無論駭客或是相關有心人士),所以也有些IP隱藏的技術,甚至透過Proxy來隱藏自身的資訊,不過在網路上沒有絕對安全的地方,頂多只能說被發現的時間長短而已(如果是相關權責單位要調查,速度會相當驚人)

最近有一些跟P2P相關的議題,就是線上音樂的合法性,因為那些線上下載軟體,最初也是利用P2P的技術來共享音樂,一直到使用相關軟體要收費(人數驟減),直到讓一切合法化後(變成Server/Client的架構),這些也是P2P軟體轉型的一種方式

無論是那一種方式的P2P,筆者要提醒大家,軟體本身無害,重點是使用者用它來抓取什麼東西,或是在什麼地點使用,那才是真正重要的關鍵,在使用前請先思索一下,為什麼你要用這個軟體吧!

使用之後,相關的風險也就要能夠自行承擔,千萬不要一頭熱的參與,否則

受害者絕對不會只有你!!


----------------------------------
有人會說為何我不介紹使用方法呢?

因為網路上相關的東西太多了,我主要是要引起使用者觀念的共鳴,而不是針對這些軟體的使用技巧來說明,如果真有需要的話,筆者再來下次分解吧!(笑)