2007年9月17日 星期一

IP/寬頻分享(路由)器設定(IP/Broadband Router )

2 則留言:
現在大部份的人,家中應該都有電腦(經常還不只有一台),雖然說電腦不是只用來上網聊天、收發mail等瑣事,但是,應該每一台電腦都希望自己能上網

礙於這樣子的現實要求之下,因應而生的產品就是寬頻分享器IP分享器寬頻路由器,無論是用那一種名稱,對於實際應用的人來說,能不能適用才是重點(雖然HubSwitchRouter三個是不相干的個體,但是現在名稱混淆嚴重,而且一般的機型內,或多或少都具備三者的特性,在此也就不詳述)。

雖然說現在的寬頻分享器(暫用此名通稱)大多具備所謂快速安裝的介面,但是對一個完全不懂相關設定的人來說,其實一樣有很大的障礙...

其實加上了這些設備之後,對於網路條件的變化,IP相關的設定對一般人來說,其實不一定都能夠很快地理解,更別提什麼子網路切割這一類的名詞。(大多數的人還是只要能用就好,根本不在乎是怎麼連上去的吧!)

舉例來說,現在一般人家中的寬頻應該都為ADSLCABLE MODEM(先不論那一家),以及筆者從撥接一路玩到現在的偽光世代的FTTB

在我使用的經驗來說,其實很多都是換湯不換藥,設定的方式其實相去無幾...

那些所謂快速設定的過程中,能否套用上去,其實就會有以下各種狀況:

1.浮動制ADSL/CABLE MODEM:原設定是自動抓取IP和DNS設定
(控制台 --> 網路 --> 連線的名稱 -->一般 --> 連線使用下列項目(TCP/IP)--> 一般 -->自動取得IPDNS伺服器位置

其實這一類的使用者最簡單(無特別需求,例:架FTP...等),大多直接把小烏龜(ISP業者提供的MODEM)的線接上分享器後,直接利用快速的安裝設定(ISP提供的帳號或網路卡),就可以直接上線,雖然此時是利用分享器內建的DHCP來取得虛擬IP,但是針對電腦設定的部份,其實也都是屬於自動取得IP(只要你的分享器沒有設錯、或是DHCP沒有開啟),一般來說都能夠直接上線,還省了每次撥號的需求。

PS:CABLE MODEM通常都具備帳號及密碼連線,因為連線方式不同,ISP業者是利用類似DHCP的方式來撥發IP給用戶,但是在安裝分享器的同時,大多也具備此選項,供一般民眾使用,針對使用者來說,其實原本就不用連線的撥號程式

2.浮動制 + 1固定IP使用者:

其實這一類的使用者,在設定上與一般浮動制的使用者並沒有差異,真的差別只是撥號連線時取得的IP會是同一個,也因為這個關係,常會造成令人誤解的狀況發生,例如HINET的固定制與浮動制其實只差在連線的使用帳號不同(原浮動制為XXXXXXXX@hinet.net,而固定制的則改為XXXXXXXX@ip.hinet.net,僅是多個ip而已)。

但是有人就會將ISP業者給的IP直接設定在自己網路的TCP/IP設定,這樣子當然無法正常取得固定的IP(因為ISP業者是認小烏龜的MAC ADDRESS來撥發IP)

通常這一種固定制的IP是用來架設網站使用,因為真實的IP不變在DNS設定上比較簡單,所以對於分享器來說,就直接也是選用ADSL的PPPOE的連線方式即可,千萬別自以為是用固定制,就改用Fixed-IP xDSL 的模式來設定(它就會跟你要求你的IP、Gateway和Submask

3.網路型或固定制的使用者:

這一類的使用者,對於分享器的設定來說,應該沒有什麼難的,直接選用Fixed-IP xDSL的模式即可,因為會用這一類的網路型態,代表內部要控管的電腦絕對在三、五台以上,筆者也不加詳述。

只是需要注意的部份是新、舊的網路設定可能在Gateway或Submask上會有所不同,例如:Submask可能會設為255.255.255.248、Gateway的設定不一定是xxx.xxx.xxx.254(而是視當初ISP業者切割網段時的設定)

4.FTTB的使用者:

其實FTTB的使用者設定,跟浮動制的ADSL相同,一樣是要透過帳號、密碼連線上去取得IP,差別只是連線的設備及頻寬不同,在分享器上的設定一樣選用xDSL的PPPOE連線模式即可!

PS:針對高速的ADSL或FTTB,有個TCP Receive window的設定值一定要記得修正,在此附上HINET的相關說明網頁,有需要的請自行去抓取:2M以上8M以上

其實在分享器的快速安裝模式之下,是都可以解決常見的問題,除了你原本是用固定制/網路型的xDSL連線之外,如果接上分享器之後,在分享器之後的電腦,請先記得更改成自動抓取IP及DNS伺服器,否則一樣會耍烏龍。

再來,其實就跟應用面有關的設定,這一點跟使用者的需求有關,例:架FTP或WEB的Server,一般來說只要開放Virtual Server(一般分享器都會以此名稱,雖與原意有出入),在把外部的Port與內部Server的Port對應即可,例:以預設值來說,WEB是80 PORT、FTP是21 PORT(包括20和另一個隨機開啟的PORT,這一點與傳送的模式有關!)

PS:其實內部架設的Server盡可能不要使用DHCP的方式來取得IP,可以利用手動指定虛擬IP來設定(例:192.168.11.99),如此一來才能夠把真實IP與Server端的Port相對應,或是有些進階的分享器可以利用MAC ADDRESS鎖定該台Server的取得的IP(仍須注意是否有租約到期的問題)

有些分享器會將常用的服務設定好,只要單純選取,就可把相關的設定完成

除了利用Virtual Server的方式設定之外,還有一種風險性較大的方式,就是把Server放在DMZ的區塊上,其實就代表所有指向真實IP的要求(request)都會指向Server那一台電腦,就像是Server那一台電腦完全暴露在Internat上(放置在分享器前端),所以對於Server那一台電腦的防火牆安全性設定就得多下一點苦功

好處就是不需要針對特定Port一一對應(可是防火牆的設定上可能更費功夫...),再來就是如果真的遭受攻擊而癱瘓,也不至於影響到內部(在分享器後端)的使用者。

其實,現在的分享器大多是類似內嵌式的系統,所以每次設定、套用之後都須要重新開機(費時20秒~1分鐘不定),也可以做軔體更新回復出廠設定,甚至有些外來引進的牌子,還需要到國外的官網才能得到較為詳盡的資源。

最後,因為各式的分享器設定不一定相同,而且也不是每一種分享器都具有中文語系(有的只有簡體),所以對於某些專有名詞的認定上,會造成些許困擾。

價位部份,少則1000元有找,中等價位約為1~2000元不等,如果想要有usb支援或是其它更高階的應用(例頻寬負載平衡...等)至少也要3000元以上,更別提某些大廠的牌子!(如:CISCO...等),選擇自己最適用的即可,否則只是擺著無用。(有機會再補上其它相關的設定與說明吧!)

2007年9月14日 星期五

無線網路的延伸與安全(Security of WDS)

2 則留言:
現在無線網路的風行,算是一股無法檔的風潮,只要能減少電腦後方的線材,再加上誘人的便利性,這些都是造成流行的因素之一

雖然我先前也有討論過無線網路的設定,可是對於無線網路的擴充,並沒有談論太多(主要是針對設定部份說明),有些特殊的情況,光是一台無線AP的穿透能力距離限制,並不足整個特定區域使用時,就得考慮無線網路的擴充(WDS

其實對一般家用的AP來說,真的沒有什麼機會用WDS的功能(雖然AP的穿透力都偏低,但有時也是件好事),但是廠區內部或特定區域的使用上,就具一定的價值(例:透過AP把兩個距離較遠的辦公區串連起來,尤其是有重機械經過的廠區...)。

首先,我還是先介紹一下WDS的設定必須具備那些條件

1.兩台AP都有WDS的功能:現在的AP大多具備(市面上還是有舊機種存在)。
2.兩台AP的 CHANNEL(通道)、WIRELESS MODE(連線模式)都需相同。
3.兩台AP的SSID(辨識名稱)可設為相同不同,視應用不同而定。
3.兩台AP要把對方的MAC ADDRESS寫在內部設定檔中。
4.兩台AP只有一台能夠設定DHCP SERVER
5.兩個AP的安全機制也要相同。(這一點就是安全性中最大的問題!!)

補充:一般AP的模式可分為AP ONLYWDS ONLYHYBRID三種,分別為:
   AP ONLY:僅做為ACCESS POINT,提供無線上網的功能。
   WDS ONLY:僅串接無線AP,讓兩端的LAN得以連接。
   HYBRID:同時做AP和WDS的功能,串連兩端的LAN,也提供上網服務。

有人會說:「為什麼我不寫WDS的安裝流程呢?」(節省網路資源)

其實是因為現在網路上的相關資訊已經蠻多了,想要找到詳細步驟的人可以上Google打個「WDS」,應該就可以找到一堆資料(連圖文說明的都有!),所以筆者就不再多加詳述,這裡主要是來探討安全性的問題。

WDS的主要優點

1.解決不易建置實體線路的地形限制。
2.減少實體線路的維護成本(含安裝及查修時間及人力多寡)。

WDS的主要缺點

1.頻寬使用率降低:使用同一通道(CHANNEL),會有重複傳送的問題。
  例:WDS中,1人使用的頻寬為單一AP的1/2;2人使用只剩1/4...。

2.安全性的考量:這就是WDS的致命傷,包含的因素有...
 (1)SSID:AP能夠隱藏彼此的SSID嗎?還是一定要使用SSID廣播?
 (2)WEP/WPA:目前只能WEP或WPA-PSK加密,WPA2-TKIP或AES不能用。

對於無線網路的安全性,對於有使用無線網路的人來說,其實是最應該要注意的部份,可是在WDS的建構之下,卻只能遷就於便利性,來達成區網間的連接。

據筆者實際在網路上得到的資訊,現在的WEP、WEP-PSK、甚至是WPA(1)的無線網路加密,都可以再合理的時間內破解(只要有相關軟體,甚至不需什麼高深的技巧),光是這一點就足以讓人怯步。

合理的時間是多久呢?

只要你的SSID、加密模式被人得知(例:WEP),不用一天的時間,你的AP就成了公用熱點,如果允許無線的用戶共享資源,影響層面會更廣(開後門,時有所聞)。

現在有些人會說,只要隱藏SSID鎖MAC ADDRESS、使用WPA(PSK)加密(非WPA2-AES),甚至是降低AP功率等方式,對大多數的人來說,也許能夠阻擋大部份的攻擊或惡意測試(因為其它的設定太過繁瑣舊型網卡不支援)。

但是,手中握有相關程式的玩家(例:Airxxxx系列軟體),真的要突破「隱藏SSID、改MAC ADDRESS、破WEP(WPA-PSK)」,對它們來說,真的沒有太高的門檻,光是人性的誘因,就足以讓你防範不完了!

所以,WDS不是不能使用,而是安全性的顧慮!

如果你架設WDS的地方,方圓500M內沒有其它的遮蔽物的話,你當然可以比較放心的使用(雖然還是有功率放大器,可以抓到更遠距離的AP餘波)。

不然在無線網路的使用上,除了隱藏SSID、鎖MAC ADDRESS之外,請至少使用WPA-AES以上的加密法吧!雖然還是有可能被破解,但是對方要付出的代價也不輕(光是數以百計的小時數就夠瞧了!)

雖然AP互連的安全性問題,有機會在IEEE 802.11s(還未有實際產品,更何況是種先有產品再行定義標準的狀態)或RADIUS或相關機制中能得到解決,但是在建構的成本卻也相對墊高許多,著實是兩難的局面,只能取決於安全與預算之間。

2007年9月13日 星期四

搜尋的小技巧(Skill of Search)

4 則留言:
現在已經有數以計的網頁在Internet上,有時候為了要找一筆的資料,可能就會花上好一陣子在搜尋上,雖然現在已經有了很多類似的網站在幫助我們

可是,對很多人來說,總覺得有遺珠之憾,不是找不到自己想要的資料,就是一大堆類似的資料,毫無鑑別度(這一點真的很難),所以在網路上找資料,會找的人可能只要打幾個關鍵字眼就可以很快找到,不會找的人就...花上一兩個小時還在大海撈針

話說回來,如果在網路失去了尋找資料的功能!它應該也可以算是半殘...(雖然曾看過朋友的Blog上寫著:「念到碩士畢業...竟然有人沒聽(用)過 Google」)這一點該說那個人在圖書館研究的功力了得,還是該說Google竄起的太快呢?

其實以搜尋引擎(Search Engine),應該以Google Search最有名吧!雖然是個不錯用的工具(現在他們的技術已經是種專利了!),還是要有點技巧才能夠幫你減少過多的雜訊

其實Google的說明中心有蠻多的技巧!不過真的會詳細去讀的人,還是少數吧!反觀最近有不少研討會的討論重點,就是利用搜尋引擎的能力,可以協助有心人士猜測到網站後台的架構,甚至搗亂都有可能...(搜尋人人會用,各有巧妙不同!

所以,筆者就介紹一些Google常用的技巧(有興趣者,請去參考說明中心)

1.大小寫不分:所以不用刻意想查大寫文字(基本上沒有分別!)。
2.利用引號Google會排除常用字,如需搜尋這類資料,可用 " 或 + 。
 (其中雙引號(")還能夠用來搜尋有關詞句的搜尋,例:"明月幾時有")。

例:Star Wars +1或 "Star Wars 1",都能找到較多Star Wars 1 的相關資訊。

3.搜尋特定網域(site):這功能超級好用(不具備搜尋功能的網站、論壇...)

例:site:indeepnight.blogspot.com virus(可找到本Blog中所有virus的字串)
   ↑      ↑         ↑
  參數    搜尋網站(域)   關鍵字

其實 Google提供的尋標器(快速搜尋)功能(見Blog左邊sidebar-2的快速搜尋),其實也是用類似的方式來搜尋的,不過程式碼使用的參數名是:sitesearch

如果,妳已經是Google的愛用者,我想這些小技巧對你們來說,一定是會更提高你搜尋的效率,除此之外,如果你是部落客一族,你甚至可以利用link的語法來搜尋,是否有網站設有連至你部落格的連結(例:「link:indeepnight.blogspot.com」)

對於一些有設立下載資料的網站,可以確保自己沒有被盜連之類的情事發生!(其實盜連通常會加密,也不一定搜尋的到...)

雖然Google的功能強大,但是對於某些特別的時用時機,可能透過入口網站、特別的搜尋類別來尋找相關資料會簡便許多,因為Google有時候鑑別度真的不夠,例如:

1.WIKIPEDIA:維基百科
2.字典:
 英英:Free DictionaryUrbanDictionary
 英漢:YAHOO線上字典(由Dr.eye支援)。
 國語:國語辭典(87/04版)重編國語辭典修訂本。(雖然常有烏龍事件)
3.搜尋相關字在何網站:Answer.com。(初略分類)

其它的好用網站及工具,就請大家告訴大家吧!,看要留言補上還是又mail給我,我都相當歡迎喔!畢竟每個人都希望能花最短的時間,來找到自己想要的資料喔!

PS:雖然有不少好用的搜尋工具或網站,但是很多都是針對英文(類似的語言結構)來提供搜尋服務,針對中文的搜尋,可能因為文字上的先天障礙,使得效率一直無法增加呀!期待有人能開發新一代的強力中文搜尋引擎(造福中文語系使用者)

2007年9月12日 星期三

網路服務大風吹(Network Service)

沒有留言:
最近在各大媒體,應該都可以看見許多有關網路服務業的動作、從筆者先前寫有關MSN.TW的DNS設定錯誤、YAHOO!併Flickr、無名小站,一直到最近Skype發現有蠕蟲(worm)...

對現在的網路服務業來說,真是個多事之秋,同時也反應出現代人對於網路服務依賴的程度有多重,也因為現代人的習慣使然,只要一有變動,影響的層面就極廣

也許對公司營運來說,當然是在商言商(最近的瘦身動作可能跟他們不夠亮眼的財報有關,這是題外話!一 一),對於我們這種一般使用者來說,究竟影響有多大呢?

在說明影響之前,我還是先聲明一下,我僅對事不對人(業主),只是分享一下我們這種小市民的心聲!

我們先來看看現在最多人使用的有那些:

1.電子郵件:幾乎所有網路服務業者皆以此做為招攬人氣的工具。
2.部落格服務:無名小站的興起。
3.網路相本:包含靜態與動態。
4.即時通訊:包含文字、影音、通話。
5.其它:附加功能(付費機制,例:可用JAVA SCRIPT、專人提醒...等)。

以上這些功能,只要你有上網的人,或多或少都會應用這些相關服務(至少現在電子郵件信箱也成為官方必填的個資之一)

其實原本網路服務業者,都是出自於無償使用的心態,讓廣大的網路業者能夠使用這些相關服務,但是在整個網路環境的變革之下(不論是WEB x.0的進步、還是大公司併購小公司),很多原有的服務,就會面臨整合的局面,在整合的過程中,往往就會隱性地流失很多客源

也許有人會說:「沒關係!習慣可以造就一切!

但是別忘了!習慣可以讓人們使用它,當然也能因為習慣上的變革,讓人們投往其它懷抱(反正習慣都是可以被營造出來的!)所以...

在整合重疊服務之前,也請服務提供者多為我們這些相當倚重它們的小市民想想!

舉個例子來說!

先前在無名小站紅極一時的時代,因為很多人都習慣把自己的數位相片上傳到上面的平台,一方面是為了能夠分享給三、五好友,另一方面是用來儲存自己相片的備份(因此有的服務提供者,還在容量大小上做文章)

可是,現在筆者的三五好友就發生了許多實際的慘案,因為無名在九月底前要完成整合至YAHOO!帳號之下,造成很多人的不便...

因為在無名的時代,很可能一個人用兩個MAIL申請了兩個相似的ID,一但要整合進YAHOO!能夠一個YAHOO的帳號認領兩個無名嗎?(這一點我沒試過,但我存疑...因為先前手動認證還要配合身份證之類的相關證件),再者,如果原本就沒有使用YAHOO的使用者不就非得去申請一個帳號才能讓它們的無名繼續下去!(這一點應該算是商業手法!筆者也不多說了!)

所以,很多朋友就開始紛紛走避,可是...慘案就發生了!!

因為無名的備份機制,只針對文字部份(XML檔),對於圖片部份是沒有備份打包的機制(這一點在YAHOO相簿,在十月中之前要轉換至FLICKR的整合上,至少它提供了備份的退場機制...),所以,只能自求多福(其實在原有的約定書中!其實服務業者本身一定是不提供救援備份服務,因為是免費的!)

如果相片的原始檔已經不在的話!又不想捨棄這些珍貴的照片,就得在用原帳戶還能進無名(九月底前),自己手動一張張把珍貴的回憶給存出來!或是上Google搜尋抓圖軟體(例:WinSnap、JWGet...等),用批次的方式,一本本把相片抓下來!

雖然,這繁瑣的動作,使用者本身也該負一半的責任,但是在很多人倚重相關服務的同時(其實各業者也很愛以容量無上限(或超大容量)的口號來引起共鳴),可是一旦要縮減相關(重疊)服務的時候,卻不一定已經做好了配套措施這一點,就會造成我們這種使用者極大的困擾(雖是無償使用,我們不也是提供了業者向廣告主收取鋸額廣告費的參考依據嗎?)

所以,這陣子的網路服務的大風吹,很值得廣大的使用者警惕!(若是付費的使用者,更應該懂得保護自己的權利)

除此之外!原本一直在MSN上令人頭痛的病毒問題,現在也延燒到了Skype上,雖然這次的事件僅為惡作劇的蠕蟲,誰敢保證未來不會有類似keylog(鍵盤側錄器)的相關軟體出現,把對話內容側錄下來呢?

這才是值得上億使用者該憂心的吧!畢竟網路上,人人都有機會介入兩點之間!

2007年9月11日 星期二

檔案權限的應用 -2(Application of Permission -2)

4 則留言:
昨天,我說明了有關WINDOWS的檔案權限,今天就針對LINUX來稍做介紹吧!

其實我一開始就有說過,WINDOWS與LINUX的檔案權限原本就有點類似,除了在安全性(預設值)的差別之外,不過...因為WINDOWS對於圖形介面還是比文字介面人性化一點(就像玩LINUX的人用它的圖形化設定,有時也會霧煞煞一樣)。

所以在LINUX上的檔案權限設定,筆者就會以文字模式來做介紹,如有遺漏之處,還請大家留言或指正(最近一直被網友們抓到發現自己的疏忽...ORZ),不過這一篇文章會比較類似我去上LPI課時的筆記,所以會比較「生硬」一些!

檔案權限的觀念:
1.不是繼承的模式(跟WINDOWS系統的預設值不同)。
2.每個權限都是獨立的(可寫入不代表可讀取)。
3.管理員(SUPER USER = root)有絕對的權限。

LINUX的檔案格式:共有十個欄位(特殊權限外,其餘為三個一組)
       3
        ↓
例:-rw-r--r--(為了標示方便,故以全型表示)
  ↑  ↑      ↑
  1 2     4

欄位說明:
1.檔案類型:用來標示該檔案或資料夾種類。
 (-:一般檔案、d:資料夾、l:連結資料)
2.擁有者的權限:用來設定此檔案或資料夾擁有者的權限。
3.擁有群組的權限:用來設定此檔案或資料夾擁有群組的權限。
4.其它人的權限:用來設定此檔案或資料夾給其它人的權限。

其中,對於檔案權限的設定方式以二進位(1、2、4)或文字(r、w、x)代表

說明:
1.二進位:1=執行、2=寫入、4=讀取
2.文字法:x=執行、w=寫入、r=讀取

 rwx = 4+2+1=7
 rw- = 4+2+0=6
 r-x = 4+0+1=5
 r-- = 4+0+0=4
 -wx = 0+2+1=3
 -w- = 0+2+0=2
 --r = 0+0+1=1
 --- = 0+0+0=0
          5
           ↓
實例:  -rwxr-x--x
      ↑  ↑      ↑
 二進位:0  7     1

說明: 特殊權:無
    使用者:有讀取、寫入和執行的權限
   使用群組:有讀取和執行的權限
    其它人:有執行的權限

對於檔案、資料夾都具備權限的觀念,可是意義上卻有很大的不同之處:

         檔案(FILE)   資料夾(DIR.)
  -------------------------
    r │   可讀取   │  只能讀檔名  │
  ----│---------│---------│
    w │   可寫入   │  能搬移目錄  │
  ----│---------│---------│
    x │   可執行   │  能進入目錄  │
  ----│---------│---------│

變更權限的指令:chmod
用法:chmod 777 test(改變test檔案成全部人都能讀取、寫入和執行)
   chmod g+w test(針對test檔案的群組,加入寫入的權限)
   chmod ugo+w test(test檔案的擁有者、群組和其它人都加入寫入權限)

變更擁有者/群組的指令:chown/chgrp
用法:chown test file(改變file的擁有者為test)
   chgrp test file(改變file的群組為test)
   chown test.test file(改變file的擁有者和群組皆為test)

說明:在LINUX中檔案預設有擁有者、群組兩種特性,兩者間可用「.」區隔。

特殊權限說明:實例可參考(#ls -al /usr/bin/passwd)

      setgid
       ↓
例:-rwsr-xr-x 1 root root ... /usr/bin/passwd
    ↑      ↑
   setuid    sticky

特殊權限:(加在原有權限上)
     111   111   111   111
    特殊權限   擁有者   群組    其它人
            u     g     o
    小寫      s     s     t(原有x權限)
    大寫      S     S     T(原無x權限) 

例:chmod 4766 file(file的u、g和o權限中都加上特殊權限)
  =chmod u+s file(原有x權限)
   chmod g+S file(原無x權限)
   chmod o+T file(原無x權限)

特殊權限說明:
           檔案(FILE)        資料夾(DIR.)
 ------------------------------------
 setuid │暫時切換該執行檔擁有者│      系統會忽略     │
 -------│-----------│----------------│
 setgid │暫時切換該執行檔的群組│建立檔案的擁有群組會與該目錄相同│
 -------│-----------│----------------│
 sticky │與上述相同(系統忽略)│其它人不能夠刪除不屬於自己的檔案│
 -------│-----------│----------------│

遮罩說明系統內建的umask=022(例:test建立一個檔案與資料夾)

系統中預設權限:檔案=666、資料夾=777
加上系統的遮罩:umask=022

預設建立值:檔案=644、資料夾=755(不是666-022=644或777-022=755!)

其實加上遮罩的方式,是運算後的結果:
 
   defalut│ 0 │ 0 │ 1 │ 1 │
  --------│---│---│---│---│
    umask │ 0 │ 1 │ 0 │ 1 │
  --------│---│---│---│---│
     end  │ 0 │ 0 │ 1 │ 0 │

例:檔案=666、umask=022

  default  110(6) 110(6) 110(6)

  umask  000(0) 010(2) 010(2)
-----------------------------
  End   110    100    100  
  數值  4+2=6  4+0=4  4+0=4

不知道經過筆者冗長的解說之後,對於LINUX的檔案權限有沒有更瞭解一點(老實說!除非真的有需要的人才會來看吧!?),我知道對一般人來說這些真的太過生澀,但是...這就是LINUX的檔案權限

我在內文中,也有一些外部的連結,是原文的相關說明,有興趣的人也可參照一番!說不定我又有那兒寫錯了!還請大家不吝指教(最近寫啥都有點怕怕的...),謝謝!

2007年9月10日 星期一

檔案權限的應用 -1(Application of Permission -1)

沒有留言:
檔案權限在電腦的使用上應該是不可或缺的一部份,不過...因為它似乎並不太難,所以大家就會輕忽了它的重要性(如果有開分享者就會知道...)。

如果你還有架設FTP這一類的服務,檔案權限更是重要!(經常要有那種只能讀不能寫、或是只能寫入不能更改的條件),對於檔案權限上就有很多要注意!

對於WINDOWS或是LINUX系統下,其實對於檔案權限的要求很接近,只是在設定上,WINDOWS對於繼承的權限通常是預設值(改父權限就會套用下去),而LINUX則是一個指令一個動作(除非外加參數,否則僅會更改單一權限)。

這一篇我會寫對WINDOWS做概略的說明...

要更改權限之前,針對WINDOWS(以XP SP2來說),請先把簡單共用的設定取消(路徑:我的電腦 --> 工具 --> 資料夾選項 --> 檢視 --> 使用簡單檔案共用(建議使用)

因為這簡單共用的功能,往往會讓你對於檔案權限的設定造成混淆,因為簡單檔案共用的模式,僅能設定是否共用允許網路使用者變更我的檔案兩種。

除此之外,如果是使用XP SP1以前的OS,如果使用簡單檔案共用的功能,還有可能會造成安全性的弱點

接下來我們就可以對檔案共用權限安全性權限兩者來做說明,以免很多人會對這些名詞混淆,甚至有可能因為設定的錯誤造成,該分享出來的資訊反而封鎖了!不該讓人看見的資訊卻外洩...

檔案共用:分為三類(主要是針對網路使用者存取、並與安全性共用交集

1.完全控制:網路使用者具有所有操作的權限
2.變更:網路使用者具有更改檔案的權限(與安全性共用的修改相近)
3.讀取:網路使用者具有讀取檔案的權限

安全性共用:分為七類(針對本機的使用者網路使用者也需有此權限)

1.完全控制:具有所有操作的權限
2.修改:本機/網路使用者具有修改(寫入及刪除)檔案的權限
3.讀取與執行:本機/網路使用者能夠讀取並執行檔案
4.清單資料夾內容:本機/網路使用者能夠看見資料夾中的內容(資料夾專用)
5.讀取:本機/網路使用者具有讀取資料夾的權限
6.寫入:本機/網路使用者具有寫入(僅能寫入)資料的權限
7.特殊權限:本機/網路使用者具有特定的權限(更詳細的分類)

這一大堆的文字說明,老實說並不太人性化,我就做個簡單的舉例吧!

實例:分享temp資料夾給區網中具有test帳號(屬test-pc/Users群組)的人,並且僅能夠寫入資料、但不能刪除該資料夾中的內容:(temp資料夾的權限如下)

共用權限:test (/test-pc/Users)變更讀取的權限。
安全性權限:test (/test-pc/Users)讀取與執行清單資料夾內容讀取寫入

說明:在共用權限中雖然具有變更的權限,但安全性共用中沒有修改的權限,所以僅能夠將資料寫入,無法進行刪除的動作。

其它說明:安全性共用中寫入修改的不同

如果用同檔名覆蓋原檔:系統會視為更改檔案的內容(寫入權限
如果想更改檔名:系統會視為刪除檔案後再新增一個新的檔案(修改權限

這兩者的差別,在應用上經常會遇到使用者反應,我怎不能改檔名?或是變更檔名?(很容易在FTP的使用上會遇到這問題)。

除此之外,在我們設定檔案共用的時候,會發現還有拒絕的選項,在電腦判別的優先權上,它會先對拒絕的命令來做判別,之後才會去尋找允許的權限。

也就是說如果把修改的權限給拒絕(讀取、執行與寫入都被拒絕),這樣子就算在讀取、執行與寫入的設定上都設為允許也是枉然,因為連檔案讀取都不行(看都看不見了!),更別提能夠具有什麼別的功能。

雖然說,針對區網中隱藏資料夾的設定還有別的方式(例:檔案夾名稱後加上$的符號),但是這並非檔案共享的正規用法呀!所以也不多加詳述囉!

2007年9月7日 星期五

名稱解析的錯誤(Error in DNS Server)-更正版

2 則留言:
今天有一則微軟MSN首頁被轉址的新聞(雖然已經修復,但一般人還是有可能會連至錯誤的網頁),新聞上說這位署名為Julian的駭客說不會利用此漏洞來危害大眾

但是也給一心想往資安領域前進的微軟,重重的一擊(雖然這次應該算人為疏失)

不過,也喚醒了筆者自己對於年初去上課時,對於DNS的記憶,所以今天才會這麼晚才上來更新文章(因為跟DNS玩了一整天...),不過還是要分享一下對這件事的想法

DNS是一個別人要能夠透過xxx.xxx.com.tw能夠找到你的網站必備的一個核心服務,說穿了就是告訴電腦那個IP去找那個網站,反之亦然(例:xxx.xxx.com.tw <--> 123.45.6.7)

不過它的設定以及相關的應用,沒有親自玩過的人,應該很難體會其中的奧妙(用繁瑣可能更貼切),尤其是較大型的企業或服務網站,更是具有多台以上的DNS

例如:msn.com.tw 的DNS Server有4台;yahoo.com.tw則是5

先不論每一台的DNS所負責的是那一部份的名稱解析(大部份是為負載平衡),但是在設定的同時,幾乎是每個小地方都要留意(有時多一個或少一個"."就有極大的不同)

像這次事件,就是因為它們在重新設定DNS的時候,其中一台主機指向的網址設定錯誤,讓這位署名為Julian的仁兄順勢去申請了該網址,在順手把自己想要說的話留在上面(真是順手呀!= =+)

如果你剛好利用是利用MSN.COM.TW想連去該MSN首頁,經過負載平衡的分流,恰好被分到那個原先不存在的網址,你就有幸能夠看見Julian留的話!(老實說我也挺想看它原本的樣子!哈)

這種事情對於流量如此大的網站來說,真的是一件很嚴重的事情,這次僅是換了首頁,如果因內部設定錯誤造成更大的損失(釣魚網站),那就真的是很難收尾

除此之外,DNS有一個非常不即時的特性(除非你可以手動更新),不然...你就算已經在自己的DNS Server上設定好,以台灣的hixxx來說,該網站的說明上會說:最多要等24hrs後才會生效(因為不可能你一登錄就馬上可以成功)

所以就算MSN已經修正了該項錯誤,還是有人會連到原本設定錯誤的網址,主要是因ISP尚未完全同步更新(小聲說:看過Julian轉址畫面的人分享一下吧!)

更正啟示:原文提及批次ISP設定公司內部,經網友指正後的更改如下:

1. DNS應該是根據TTL(存活時間)來判斷,一般DNS的設定值會預設為86400(單位:秒),所以最晚都會需要24 hrs才能夠得完成DNS RECORD的更新,(根據網友bie的測試,大部份ISP業者僅需幾小時)

2. 筆者對於公司內部的DNS設定是指內部的DNS可以在Master和Slave之間,利用手動調整Refresh的時間長短,以及比較Serial的數值來快速的調整DNS的更新速度,但是DNS中原有的特性當然還是存在,我的用詞不慎,造成誤導的情況,還請各位見諒!

除了連錯網站之外,所有的服務都和DNS都綁在一塊(因為大多數人都是記網址、很少人會記IP吧!除了網路剛起步時...),這就可能會造成MAIL收不到(合約、廠商...等),連瑣反應會像雪球一般,越滾越大...

這個事告訴我們對於公司網站的DNS,設定或更新時一定要更加審慎的處理,盡可能在內部設定、測試無誤後再上線吧!(所以這件事算是人為失誤,不算資安漏洞啦!)

PS:DNS真的是個很重要的核心服務,但是...它繁雜的設定真是令人頭疼呀!下次再分享我測試的心得吧!...(今天玩了一天的心血 @_@|||泣)