昨天,我說明了有關WINDOWS的檔案權限,今天就針對LINUX來稍做介紹吧!
其實我一開始就有說過,WINDOWS與LINUX的檔案權限原本就有點類似,除了在安全性(預設值)的差別之外,不過...因為WINDOWS對於圖形介面還是比文字介面人性化一點(就像玩LINUX的人用它的圖形化設定,有時也會霧煞煞一樣)。
所以在LINUX上的檔案權限設定,筆者就會以文字模式來做介紹,如有遺漏之處,還請大家留言或指正(最近一直被網友們抓到發現自己的疏忽...ORZ),不過這一篇文章會比較類似我去上LPI課時的筆記,所以會比較「生硬」一些!
檔案權限的觀念:
1.不是繼承的模式(跟WINDOWS系統的預設值不同)。
2.每個權限都是獨立的(可寫入不代表可讀取)。
3.管理員(SUPER USER = root)有絕對的權限。
LINUX的檔案格式:共有十個欄位(特殊權限外,其餘為三個一組)
3
↓
例:-rw-r--r--(為了標示方便,故以全型表示)
↑ ↑ ↑
1 2 4
欄位說明:
1.檔案類型:用來標示該檔案或資料夾種類。
(-:一般檔案、d:資料夾、l:連結資料)
2.擁有者的權限:用來設定此檔案或資料夾擁有者的權限。
3.擁有群組的權限:用來設定此檔案或資料夾擁有群組的權限。
4.其它人的權限:用來設定此檔案或資料夾給其它人的權限。
其中,對於檔案權限的設定方式以二進位(1、2、4)或文字(r、w、x)代表
說明:
1.二進位:1=執行、2=寫入、4=讀取
2.文字法:x=執行、w=寫入、r=讀取
rwx = 4+2+1=7
rw- = 4+2+0=6
r-x = 4+0+1=5
r-- = 4+0+0=4
-wx = 0+2+1=3
-w- = 0+2+0=2
--r = 0+0+1=1
--- = 0+0+0=0
5
↓
實例: -rwxr-x--x
↑ ↑ ↑
二進位:0 7 1
說明: 特殊權:無
使用者:有讀取、寫入和執行的權限
使用群組:有讀取和執行的權限
其它人:有執行的權限
對於檔案、資料夾都具備權限的觀念,可是意義上卻有很大的不同之處:
檔案(FILE) 資料夾(DIR.)
-------------------------
r │ 可讀取 │ 只能讀檔名 │
----│---------│---------│
w │ 可寫入 │ 能搬移目錄 │
----│---------│---------│
x │ 可執行 │ 能進入目錄 │
----│---------│---------│
變更權限的指令:chmod
用法:chmod 777 test(改變test檔案成全部人都能讀取、寫入和執行)
chmod g+w test(針對test檔案的群組,加入寫入的權限)
chmod ugo+w test(test檔案的擁有者、群組和其它人都加入寫入權限)
變更擁有者/群組的指令:chown/chgrp
用法:chown test file(改變file的擁有者為test)
chgrp test file(改變file的群組為test)
chown test.test file(改變file的擁有者和群組皆為test)
說明:在LINUX中檔案預設有擁有者、群組兩種特性,兩者間可用「.」區隔。
特殊權限說明:實例可參考(#ls -al /usr/bin/passwd)
setgid
↓
例:-rwsr-xr-x 1 root root ... /usr/bin/passwd
↑ ↑
setuid sticky
特殊權限:(加在原有權限上)
111 111 111 111
特殊權限 擁有者 群組 其它人
u g o
小寫 s s t(原有x權限)
大寫 S S T(原無x權限)
例:chmod 4766 file(file的u、g和o權限中都加上特殊權限)
=chmod u+s file(原有x權限)
chmod g+S file(原無x權限)
chmod o+T file(原無x權限)
特殊權限說明:
檔案(FILE) 資料夾(DIR.)
------------------------------------
setuid │暫時切換該執行檔擁有者│ 系統會忽略 │
-------│-----------│----------------│
setgid │暫時切換該執行檔的群組│建立檔案的擁有群組會與該目錄相同│
-------│-----------│----------------│
sticky │與上述相同(系統忽略)│其它人不能夠刪除不屬於自己的檔案│
-------│-----------│----------------│
遮罩說明:系統內建的umask=022(例:test建立一個檔案與資料夾)
系統中預設權限:檔案=666、資料夾=777
加上系統的遮罩:umask=022
預設建立值:檔案=644、資料夾=755(不是666-022=644或777-022=755!)
其實加上遮罩的方式,是運算後的結果:
defalut│ 0 │ 0 │ 1 │ 1 │
--------│---│---│---│---│
umask │ 0 │ 1 │ 0 │ 1 │
--------│---│---│---│---│
end │ 0 │ 0 │ 1 │ 0 │
例:檔案=666、umask=022
default 110(6) 110(6) 110(6)
umask 000(0) 010(2) 010(2)
-----------------------------
End 110 100 100
數值 4+2=6 4+0=4 4+0=4
不知道經過筆者冗長的解說之後,對於LINUX的檔案權限有沒有更瞭解一點(老實說!除非真的有需要的人才會來看吧!?),我知道對一般人來說這些真的太過生澀,但是...這就是LINUX的檔案權限
我在內文中,也有一些外部的連結,是原文的相關說明,有興趣的人也可參照一番!說不定我又有那兒寫錯了!還請大家不吝指教(最近寫啥都有點怕怕的...),謝謝!
2007年9月11日 星期二
2007年9月10日 星期一
檔案權限的應用 -1(Application of Permission -1)
檔案權限在電腦的使用上應該是不可或缺的一部份,不過...因為它似乎並不太難,所以大家就會輕忽了它的重要性(如果有開分享者就會知道...)。
如果你還有架設FTP這一類的服務,檔案權限更是重要!(經常要有那種只能讀不能寫、或是只能寫入不能更改的條件),對於檔案權限上就有很多要注意!
對於WINDOWS或是LINUX系統下,其實對於檔案權限的要求很接近,只是在設定上,WINDOWS對於繼承的權限通常是預設值(改父權限就會套用下去),而LINUX則是一個指令一個動作(除非外加參數,否則僅會更改單一權限)。
這一篇我會寫對WINDOWS做概略的說明...
要更改權限之前,針對WINDOWS(以XP SP2來說),請先把簡單共用的設定取消(路徑:我的電腦 --> 工具 --> 資料夾選項 --> 檢視 --> 使用簡單檔案共用(建議使用))
因為這簡單共用的功能,往往會讓你對於檔案權限的設定造成混淆,因為簡單檔案共用的模式,僅能設定是否共用或允許網路使用者變更我的檔案兩種。
除此之外,如果是使用XP SP1以前的OS,如果使用簡單檔案共用的功能,還有可能會造成安全性的弱點。
接下來我們就可以對檔案共用權限、安全性權限兩者來做說明,以免很多人會對這些名詞混淆,甚至有可能因為設定的錯誤造成,該分享出來的資訊反而封鎖了!不該讓人看見的資訊卻外洩...
檔案共用:分為三類(主要是針對網路使用者存取、並與安全性共用取交集)
1.完全控制:網路使用者具有所有操作的權限
2.變更:網路使用者具有更改檔案的權限(與安全性共用的修改相近)
3.讀取:網路使用者具有讀取檔案的權限
安全性共用:分為七類(針對本機的使用者,網路使用者也需有此權限)
1.完全控制:具有所有操作的權限
2.修改:本機/網路使用者具有修改(寫入及刪除)檔案的權限
3.讀取與執行:本機/網路使用者能夠讀取並執行檔案
4.清單資料夾內容:本機/網路使用者能夠看見資料夾中的內容(資料夾專用)
5.讀取:本機/網路使用者具有讀取資料夾的權限
6.寫入:本機/網路使用者具有寫入(僅能寫入)資料的權限
7.特殊權限:本機/網路使用者具有特定的權限(更詳細的分類)
這一大堆的文字說明,老實說並不太人性化,我就做個簡單的舉例吧!
實例:分享temp資料夾給區網中具有test帳號(屬test-pc/Users群組)的人,並且僅能夠寫入資料、但不能刪除該資料夾中的內容:(temp資料夾的權限如下)
共用權限:test (/test-pc/Users)變更、讀取的權限。
安全性權限:test (/test-pc/Users)讀取與執行、清單資料夾內容、讀取、寫入。
說明:在共用權限中雖然具有變更的權限,但安全性共用中沒有修改的權限,所以僅能夠將資料寫入,無法進行刪除的動作。
其它說明:安全性共用中寫入與修改的不同
如果用同檔名覆蓋原檔:系統會視為更改檔案的內容(寫入權限)
如果想更改檔名:系統會視為刪除檔案後再新增一個新的檔案(修改權限)
這兩者的差別,在應用上經常會遇到使用者反應,我怎不能改檔名?或是變更檔名?(很容易在FTP的使用上會遇到這問題)。
除此之外,在我們設定檔案共用的時候,會發現還有拒絕的選項,在電腦判別的優先權上,它會先對拒絕的命令來做判別,之後才會去尋找允許的權限。
也就是說如果把修改的權限給拒絕(讀取、執行與寫入都被拒絕),這樣子就算在讀取、執行與寫入的設定上都設為允許也是枉然,因為連檔案讀取都不行(看都看不見了!),更別提能夠具有什麼別的功能。
雖然說,針對區網中隱藏資料夾的設定還有別的方式(例:檔案夾名稱後加上$的符號),但是這並非檔案共享的正規用法呀!所以也不多加詳述囉!
如果你還有架設FTP這一類的服務,檔案權限更是重要!(經常要有那種只能讀不能寫、或是只能寫入不能更改的條件),對於檔案權限上就有很多要注意!
對於WINDOWS或是LINUX系統下,其實對於檔案權限的要求很接近,只是在設定上,WINDOWS對於繼承的權限通常是預設值(改父權限就會套用下去),而LINUX則是一個指令一個動作(除非外加參數,否則僅會更改單一權限)。
這一篇我會寫對WINDOWS做概略的說明...
要更改權限之前,針對WINDOWS(以XP SP2來說),請先把簡單共用的設定取消(路徑:我的電腦 --> 工具 --> 資料夾選項 --> 檢視 --> 使用簡單檔案共用(建議使用))
因為這簡單共用的功能,往往會讓你對於檔案權限的設定造成混淆,因為簡單檔案共用的模式,僅能設定是否共用或允許網路使用者變更我的檔案兩種。
除此之外,如果是使用XP SP1以前的OS,如果使用簡單檔案共用的功能,還有可能會造成安全性的弱點。
接下來我們就可以對檔案共用權限、安全性權限兩者來做說明,以免很多人會對這些名詞混淆,甚至有可能因為設定的錯誤造成,該分享出來的資訊反而封鎖了!不該讓人看見的資訊卻外洩...
檔案共用:分為三類(主要是針對網路使用者存取、並與安全性共用取交集)
1.完全控制:網路使用者具有所有操作的權限
2.變更:網路使用者具有更改檔案的權限(與安全性共用的修改相近)
3.讀取:網路使用者具有讀取檔案的權限
安全性共用:分為七類(針對本機的使用者,網路使用者也需有此權限)
1.完全控制:具有所有操作的權限
2.修改:本機/網路使用者具有修改(寫入及刪除)檔案的權限
3.讀取與執行:本機/網路使用者能夠讀取並執行檔案
4.清單資料夾內容:本機/網路使用者能夠看見資料夾中的內容(資料夾專用)
5.讀取:本機/網路使用者具有讀取資料夾的權限
6.寫入:本機/網路使用者具有寫入(僅能寫入)資料的權限
7.特殊權限:本機/網路使用者具有特定的權限(更詳細的分類)
這一大堆的文字說明,老實說並不太人性化,我就做個簡單的舉例吧!
實例:分享temp資料夾給區網中具有test帳號(屬test-pc/Users群組)的人,並且僅能夠寫入資料、但不能刪除該資料夾中的內容:(temp資料夾的權限如下)
共用權限:test (/test-pc/Users)變更、讀取的權限。
安全性權限:test (/test-pc/Users)讀取與執行、清單資料夾內容、讀取、寫入。
說明:在共用權限中雖然具有變更的權限,但安全性共用中沒有修改的權限,所以僅能夠將資料寫入,無法進行刪除的動作。
其它說明:安全性共用中寫入與修改的不同
如果用同檔名覆蓋原檔:系統會視為更改檔案的內容(寫入權限)
如果想更改檔名:系統會視為刪除檔案後再新增一個新的檔案(修改權限)
這兩者的差別,在應用上經常會遇到使用者反應,我怎不能改檔名?或是變更檔名?(很容易在FTP的使用上會遇到這問題)。
除此之外,在我們設定檔案共用的時候,會發現還有拒絕的選項,在電腦判別的優先權上,它會先對拒絕的命令來做判別,之後才會去尋找允許的權限。
也就是說如果把修改的權限給拒絕(讀取、執行與寫入都被拒絕),這樣子就算在讀取、執行與寫入的設定上都設為允許也是枉然,因為連檔案讀取都不行(看都看不見了!),更別提能夠具有什麼別的功能。
雖然說,針對區網中隱藏資料夾的設定還有別的方式(例:檔案夾名稱後加上$的符號),但是這並非檔案共享的正規用法呀!所以也不多加詳述囉!
2007年9月7日 星期五
名稱解析的錯誤(Error in DNS Server)-更正版
今天有一則微軟MSN首頁被轉址的新聞(雖然已經修復,但一般人還是有可能會連至錯誤的網頁),新聞上說這位署名為Julian的駭客說不會利用此漏洞來危害大眾
但是也給一心想往資安領域前進的微軟,重重的一擊(雖然這次應該算人為疏失)
不過,也喚醒了筆者自己對於年初去上課時,對於DNS的記憶,所以今天才會這麼晚才上來更新文章(因為跟DNS玩了一整天...),不過還是要分享一下對這件事的想法
DNS是一個別人要能夠透過xxx.xxx.com.tw能夠找到你的網站必備的一個核心服務,說穿了就是告訴電腦那個IP去找那個網站,反之亦然(例:xxx.xxx.com.tw <--> 123.45.6.7)
不過它的設定以及相關的應用,沒有親自玩過的人,應該很難體會其中的奧妙(用繁瑣可能更貼切),尤其是較大型的企業或服務網站,更是具有多台以上的DNS
例如:msn.com.tw 的DNS Server有4台;yahoo.com.tw則是5台
先不論每一台的DNS所負責的是那一部份的名稱解析(大部份是為負載平衡),但是在設定的同時,幾乎是每個小地方都要留意(有時多一個或少一個"."就有極大的不同)
像這次事件,就是因為它們在重新設定DNS的時候,其中一台主機指向的網址設定錯誤,讓這位署名為Julian的仁兄順勢去申請了該網址,在順手把自己想要說的話留在上面(真是順手呀!= =+)
如果你剛好利用是利用MSN.COM.TW想連去該MSN首頁,經過負載平衡的分流,恰好被分到那個原先不存在的網址,你就有幸能夠看見Julian留的話!(老實說我也挺想看它原本的樣子!哈)
這種事情對於流量如此大的網站來說,真的是一件很嚴重的事情,這次僅是換了首頁,如果因內部設定錯誤造成更大的損失(釣魚網站),那就真的是很難收尾
除此之外,DNS有一個非常不即時的特性(除非你可以手動更新),不然...你就算已經在自己的DNS Server上設定好,以台灣的hixxx來說,該網站的說明上會說:最多要等24hrs後才會生效(因為不可能你一登錄就馬上可以成功)
所以就算MSN已經修正了該項錯誤,還是有人會連到原本設定錯誤的網址,主要是因ISP尚未完全同步更新(小聲說:看過Julian轉址畫面的人分享一下吧!)
更正啟示:原文提及批次及ISP設定和公司內部,經網友指正後的更改如下:
1. DNS應該是根據TTL(存活時間)來判斷,一般DNS的設定值會預設為86400(單位:秒),所以最晚都會需要24 hrs才能夠得完成DNS RECORD的更新,(根據網友bie的測試,大部份ISP業者僅需幾小時)
2. 筆者對於公司內部的DNS設定是指內部的DNS可以在Master和Slave之間,利用手動調整Refresh的時間長短,以及比較Serial的數值來快速的調整DNS的更新速度,但是DNS中原有的特性當然還是存在,我的用詞不慎,造成誤導的情況,還請各位見諒!
除了連錯網站之外,所有的服務都和DNS都綁在一塊(因為大多數人都是記網址、很少人會記IP吧!除了網路剛起步時...),這就可能會造成MAIL收不到(合約、廠商...等),連瑣反應會像雪球一般,越滾越大...
這個事告訴我們對於公司網站的DNS,設定或更新時一定要更加審慎的處理,盡可能在內部設定、測試無誤後再上線吧!(所以這件事算是人為失誤,不算資安漏洞啦!)
PS:DNS真的是個很重要的核心服務,但是...它繁雜的設定真是令人頭疼呀!下次再分享我測試的心得吧!...(今天玩了一天的心血 @_@|||泣)
但是也給一心想往資安領域前進的微軟,重重的一擊(雖然這次應該算人為疏失)
不過,也喚醒了筆者自己對於年初去上課時,對於DNS的記憶,所以今天才會這麼晚才上來更新文章(因為跟DNS玩了一整天...),不過還是要分享一下對這件事的想法
DNS是一個別人要能夠透過xxx.xxx.com.tw能夠找到你的網站必備的一個核心服務,說穿了就是告訴電腦那個IP去找那個網站,反之亦然(例:xxx.xxx.com.tw <--> 123.45.6.7)
不過它的設定以及相關的應用,沒有親自玩過的人,應該很難體會其中的奧妙(用繁瑣可能更貼切),尤其是較大型的企業或服務網站,更是具有多台以上的DNS
例如:msn.com.tw 的DNS Server有4台;yahoo.com.tw則是5台
先不論每一台的DNS所負責的是那一部份的名稱解析(大部份是為負載平衡),但是在設定的同時,幾乎是每個小地方都要留意(有時多一個或少一個"."就有極大的不同)
像這次事件,就是因為它們在重新設定DNS的時候,其中一台主機指向的網址設定錯誤,讓這位署名為Julian的仁兄順勢去申請了該網址,在順手把自己想要說的話留在上面(真是順手呀!= =+)
如果你剛好利用是利用MSN.COM.TW想連去該MSN首頁,經過負載平衡的分流,恰好被分到那個原先不存在的網址,你就有幸能夠看見Julian留的話!(老實說我也挺想看它原本的樣子!哈)
這種事情對於流量如此大的網站來說,真的是一件很嚴重的事情,這次僅是換了首頁,如果因內部設定錯誤造成更大的損失(釣魚網站),那就真的是很難收尾
除此之外,DNS有一個非常不即時的特性(除非你可以手動更新),不然...你就算已經在自己的DNS Server上設定好,以台灣的hixxx來說,該網站的說明上會說:最多要等24hrs後才會生效(因為不可能你一登錄就馬上可以成功)
所以就算MSN已經修正了該項錯誤,還是有人會連到原本設定錯誤的網址,主要是因ISP尚未完全同步更新(小聲說:看過Julian轉址畫面的人分享一下吧!)
更正啟示:原文提及批次及ISP設定和公司內部,經網友指正後的更改如下:
1. DNS應該是根據TTL(存活時間)來判斷,一般DNS的設定值會預設為86400(單位:秒),所以最晚都會需要24 hrs才能夠得完成DNS RECORD的更新,(根據網友bie的測試,大部份ISP業者僅需幾小時)
2. 筆者對於公司內部的DNS設定是指內部的DNS可以在Master和Slave之間,利用手動調整Refresh的時間長短,以及比較Serial的數值來快速的調整DNS的更新速度,但是DNS中原有的特性當然還是存在,我的用詞不慎,造成誤導的情況,還請各位見諒!
除了連錯網站之外,所有的服務都和DNS都綁在一塊(因為大多數人都是記網址、很少人會記IP吧!除了網路剛起步時...),這就可能會造成MAIL收不到(合約、廠商...等),連瑣反應會像雪球一般,越滾越大...
這個事告訴我們對於公司網站的DNS,設定或更新時一定要更加審慎的處理,盡可能在內部設定、測試無誤後再上線吧!(所以這件事算是人為失誤,不算資安漏洞啦!)
PS:DNS真的是個很重要的核心服務,但是...它繁雜的設定真是令人頭疼呀!下次再分享我測試的心得吧!...(今天玩了一天的心血 @_@|||泣)
2007年9月6日 星期四
遠端連線的黑暗技(SSH Tunnel)
記得筆者在遠端登入的優缺點一文中,提過SSH的連線!其實它還有不為人知的應用
但這些應用不一定是正面的,我僅做些許介紹,以免造成許多管理者的困擾,在此要感謝一下,教我的老師CASPER,告訴我們這一招SSH Tunnel(可怕黑暗技)
接著我們就來看看SSH Tunnel的威力吧!...
其實ssh在Linux或文字介面模式中,是遠端登入很常見的一種協議,如果你是這一類的愛好者,對這個名詞就一定不會陌生,它的好處就是傳送的資料都是經過加密處理,不是明碼傳送的喔!
它除了可以加密之外,事實上還有很多應用層面,今天我要提的就是比較不一樣的黑暗技(因為它可以用來突破網管的限制...= =+)
舉例來說,如果公司不讓你收外部的信件時,除了透過外部主機之外(WEB MAIL),也可以利用ssh tunnel來達成
筆者就先粗略的說明一下ssh tunnel的意義,其實它就很類似VPN的用途,就是先透過ssh的加密連線,登入了遠端的主機之後,就在這兩台電腦之間建立一個資料流通道
所以,在你透過ssh tunnel與遠端主機連線之後,就可以透過這個通道,把你本來要在本機端做的服務,轉嫁到遠端主機上來做(如此一來,網管就管不著了...),其實真的要管還是可以鎖住的,但是會衍生出更多問題
使用的方式如下:
硬體:兩台電腦主機(都能上網,這應該很簡單)
軟體:兩台都具備ssh功能(遠端需可接受ssh連線)
條件:ssh的port(22)能通、並具備相當的使用權
指令:A連線B的ssh tunnel:ssh -L port:B的IP:port B的IP
(A-IP:192.168.1.99;B-IP:192.168.1.100)
本端port 遠端主機IP
↓ ↓
例:ssh -L 80:192.168.1.100:80 192.168.1.100
↑ ↑
參數 透過遠端主機的port
說明:建立一條從192.168.1.99到192.168.1.100的通道(本機端80 PORT與遠端主機 80 PORT透過此通道連結)
如果B主機是一台WEB SERVER(開啟80 PORT),在A電腦(192.168.1.99)的瀏覽器鍵入:http://127.0.0.1(127.0.0.1為本機端預設IP,但是A電腦並無WEB服務),這個http的request(要)會透過ssh的22 port連接到B電腦(192.168.1.100)的80 port
所以,你就會在A電腦上看見B電腦的WEB首頁(代表你建立的ssh tunnel已成功),這種ssh tunnel的方式除了WEB之外,VNC(5900~5906)或是MAIL(110-POP3、25-SMTP)都可以,除了FTP不行(因為FTP會使用20、21和隨機開啟的PORT)
不過一般WINDOWS並不具備ssh client,所以可以透過putty(中文化的pietty)、或是OpenSSH for Windows(Binary Installer Releases --> 下載setupssh381-20040709.zip使用,即可透過DOS COMMAND模式做ssh連線)
其它的應用就請大家自行鑽研囉!(黑暗技別亂用!很容易出事...)
那管理者要怎麼避免這一類的情事發生呢?把PORT封住就可以了嗎?!(除非你都不開port,不然...有的連80 port都能鑽)
但在多人多工的主機上,開ssh的port又是必要的便民措施(如果以Linux為作業主軸),當然可以透過過濾封包的方式找出這一類的資料流(該種軟體的價位一點都不便民呀!),這就是大開方便之門的風險!
補充:其實有人也透過類似的方法,突破封鎖,做其它的應用(online game或其它事...),所以我僅做基本介紹,不然我可能會被網路管理者拖去打(我是無辜的,是CASPER教我的,哈!拖老師下水)
但這些應用不一定是正面的,我僅做些許介紹,以免造成許多管理者的困擾,在此要感謝一下,教我的老師CASPER,告訴我們這一招SSH Tunnel(可怕黑暗技)
接著我們就來看看SSH Tunnel的威力吧!...
其實ssh在Linux或文字介面模式中,是遠端登入很常見的一種協議,如果你是這一類的愛好者,對這個名詞就一定不會陌生,它的好處就是傳送的資料都是經過加密處理,不是明碼傳送的喔!
它除了可以加密之外,事實上還有很多應用層面,今天我要提的就是比較不一樣的黑暗技(因為它可以用來突破網管的限制...= =+)
舉例來說,如果公司不讓你收外部的信件時,除了透過外部主機之外(WEB MAIL),也可以利用ssh tunnel來達成
筆者就先粗略的說明一下ssh tunnel的意義,其實它就很類似VPN的用途,就是先透過ssh的加密連線,登入了遠端的主機之後,就在這兩台電腦之間建立一個資料流通道
所以,在你透過ssh tunnel與遠端主機連線之後,就可以透過這個通道,把你本來要在本機端做的服務,轉嫁到遠端主機上來做(如此一來,網管就管不著了...),其實真的要管還是可以鎖住的,但是會衍生出更多問題
使用的方式如下:
硬體:兩台電腦主機(都能上網,這應該很簡單)
軟體:兩台都具備ssh功能(遠端需可接受ssh連線)
條件:ssh的port(22)能通、並具備相當的使用權
指令:A連線B的ssh tunnel:ssh -L port:B的IP:port B的IP
(A-IP:192.168.1.99;B-IP:192.168.1.100)
本端port 遠端主機IP
↓ ↓
例:ssh -L 80:192.168.1.100:80 192.168.1.100
↑ ↑
參數 透過遠端主機的port
說明:建立一條從192.168.1.99到192.168.1.100的通道(本機端80 PORT與遠端主機 80 PORT透過此通道連結)
如果B主機是一台WEB SERVER(開啟80 PORT),在A電腦(192.168.1.99)的瀏覽器鍵入:http://127.0.0.1(127.0.0.1為本機端預設IP,但是A電腦並無WEB服務),這個http的request(要)會透過ssh的22 port連接到B電腦(192.168.1.100)的80 port
所以,你就會在A電腦上看見B電腦的WEB首頁(代表你建立的ssh tunnel已成功),這種ssh tunnel的方式除了WEB之外,VNC(5900~5906)或是MAIL(110-POP3、25-SMTP)都可以,除了FTP不行(因為FTP會使用20、21和隨機開啟的PORT)
不過一般WINDOWS並不具備ssh client,所以可以透過putty(中文化的pietty)、或是OpenSSH for Windows(Binary Installer Releases --> 下載setupssh381-20040709.zip使用,即可透過DOS COMMAND模式做ssh連線)
其它的應用就請大家自行鑽研囉!(黑暗技別亂用!很容易出事...)
那管理者要怎麼避免這一類的情事發生呢?把PORT封住就可以了嗎?!(除非你都不開port,不然...有的連80 port都能鑽)
但在多人多工的主機上,開ssh的port又是必要的便民措施(如果以Linux為作業主軸),當然可以透過過濾封包的方式找出這一類的資料流(該種軟體的價位一點都不便民呀!),這就是大開方便之門的風險!
補充:其實有人也透過類似的方法,突破封鎖,做其它的應用(online game或其它事...),所以我僅做基本介紹,不然我可能會被網路管理者拖去打(我是無辜的,是CASPER教我的,哈!拖老師下水)
2007年9月5日 星期三
全球的駭客戰(Global War of Hacker)
最近有很多關於駭客入侵何處的政府機構(中德、中美...等),由此看來,因為網際網路的發展快速,也讓這一類的攻擊變成跨國界的情事,新聞內容如下:
ETTODAY:原文連結(會隨時間被拿掉)
駭客侵入美國防部竊資料 中國解放軍主謀?
2007/09/04 15:28 記者蔡慧萱/編譯
(節錄部份內容)
根據「金融時報」(Financial Times)的報導,美國國防部五角大廈今年6月遭到駭客入侵下載政府檔案,而且經過美國調查,這群駭客有可能就是中國大陸解放軍。這個消息在中國國家主席胡錦濤6日和布希會面之前披露,時機相當敏感。...略
美國在線中文:原文連結(會隨時間被拿掉)
中國駭客大規模入侵德政府(組圖)
發佈時間:2007-08-27 18:20:56 【來源:明鏡週刊】
(節錄部份內容)
報導引述德國情報單位“聯邦憲法保護局”的報告說,今年五月起,聯邦總理府、外交部、經濟部、學術研究部等政府部門的電腦內,發現來自中國蘭州、廣東和北京的木馬程式,夾帶在Word和Powerpoint的檔案,意圖竊取機密,幕後黑手指向中國人民解放軍的情報單位。
(以上為新聞內容,非本人杜撰...)
或許用全球性來說也不為過(每次一有殺傷力強大的病毒,往往是計算全球的損失),除了少數網路不一定能夠深及的地區(非洲大陸、熱帶雨林...等)
不過,有一點值得我們正視,如果駭客從個人行為,提升成團體、企業或是國家級(其實網路戰就有類似的目標,例:愛沙尼亞的網路戰),可能就變成一種隱性的軍備競賽
雖然有人會說,那都是電影裡才會有的情節(例:DIE HARD 4.0)可是現在的情勢看來,並非只有電影中才會出現
讓我們回頭想想我們現在的安全性真的夠好嗎?
還記得好幾年前,總統府首頁被置換、亂發新聞稿、甚至是宣布愚人節放假一天(請自行Google一下,就會看到很多歷史的痕跡)
雖然現在網頁可能已經改成每X秒就會RELOAD一次,或是教給專業機構代管(中研院),不管是何種手段,都可以看出資訊安全在台灣是屬於「亡羊補牢」這一類(上至政府、下至中小企業都有可能、個人用戶有時反而積極...)
往往是挖東牆補西牆(就整體資源來說),如果是國家級介入的話,原本是無國界的網路,反而開始成為另一種劃清界線的範疇(例:X盾計畫)
先不論那些新聞最後的結果如何,我們知道現在政府機構重度依賴電子文件,所以很有可能會受到外部駭客的影響,讓原有的運行模式被中斷(有時非電子化文件,有一定的必要性),這一點對於任何事都追求效率的機構或單位...這是癡人說夢吧!
那加強資訊安全的稽核呢?
反觀一下自己公司、企業、甚至是政府機構,現在的資訊人員大多以約聘或是外包來維護公司內部的資訊設備(就算有正式職員,數量也絕對不足以處理所有相關事宜),又要如何即時鞏固自身的安全呢?
這是跟本地的民情有關、還是跟主事者對於這些事情的看法不同而定呢?
如果,那一天駭客戰真的開打,現在的防護真的足以支撐嗎?還是我們已經做好了準備?(答案...大家心裡有數!)
現在資訊安全的重要性,真的很薄弱,要主事者能夠體會,我想還是得要發生重大事故(有人被殺頭、或是影響整體運作),才有可能會應此而有所變化!畢竟資安這條路,不是嘴上說說而已,總是要能實際為體系「賺錢」才會被重視呀!
還是,因為主事者看見了這些駭客的新聞後會覺醒?(哈!當我沒說...)
ETTODAY:原文連結(會隨時間被拿掉)
駭客侵入美國防部竊資料 中國解放軍主謀?
2007/09/04 15:28 記者蔡慧萱/編譯
(節錄部份內容)
根據「金融時報」(Financial Times)的報導,美國國防部五角大廈今年6月遭到駭客入侵下載政府檔案,而且經過美國調查,這群駭客有可能就是中國大陸解放軍。這個消息在中國國家主席胡錦濤6日和布希會面之前披露,時機相當敏感。...略
美國在線中文:原文連結(會隨時間被拿掉)
中國駭客大規模入侵德政府(組圖)
發佈時間:2007-08-27 18:20:56 【來源:明鏡週刊】
(節錄部份內容)
報導引述德國情報單位“聯邦憲法保護局”的報告說,今年五月起,聯邦總理府、外交部、經濟部、學術研究部等政府部門的電腦內,發現來自中國蘭州、廣東和北京的木馬程式,夾帶在Word和Powerpoint的檔案,意圖竊取機密,幕後黑手指向中國人民解放軍的情報單位。
(以上為新聞內容,非本人杜撰...)
或許用全球性來說也不為過(每次一有殺傷力強大的病毒,往往是計算全球的損失),除了少數網路不一定能夠深及的地區(非洲大陸、熱帶雨林...等)
不過,有一點值得我們正視,如果駭客從個人行為,提升成團體、企業或是國家級(其實網路戰就有類似的目標,例:愛沙尼亞的網路戰),可能就變成一種隱性的軍備競賽
雖然有人會說,那都是電影裡才會有的情節(例:DIE HARD 4.0)可是現在的情勢看來,並非只有電影中才會出現
讓我們回頭想想我們現在的安全性真的夠好嗎?
還記得好幾年前,總統府首頁被置換、亂發新聞稿、甚至是宣布愚人節放假一天(請自行Google一下,就會看到很多歷史的痕跡)
雖然現在網頁可能已經改成每X秒就會RELOAD一次,或是教給專業機構代管(中研院),不管是何種手段,都可以看出資訊安全在台灣是屬於「亡羊補牢」這一類(上至政府、下至中小企業都有可能、個人用戶有時反而積極...)
往往是挖東牆補西牆(就整體資源來說),如果是國家級介入的話,原本是無國界的網路,反而開始成為另一種劃清界線的範疇(例:X盾計畫)
先不論那些新聞最後的結果如何,我們知道現在政府機構重度依賴電子文件,所以很有可能會受到外部駭客的影響,讓原有的運行模式被中斷(有時非電子化文件,有一定的必要性),這一點對於任何事都追求效率的機構或單位...這是癡人說夢吧!
那加強資訊安全的稽核呢?
反觀一下自己公司、企業、甚至是政府機構,現在的資訊人員大多以約聘或是外包來維護公司內部的資訊設備(就算有正式職員,數量也絕對不足以處理所有相關事宜),又要如何即時鞏固自身的安全呢?
這是跟本地的民情有關、還是跟主事者對於這些事情的看法不同而定呢?
如果,那一天駭客戰真的開打,現在的防護真的足以支撐嗎?還是我們已經做好了準備?(答案...大家心裡有數!)
現在資訊安全的重要性,真的很薄弱,要主事者能夠體會,我想還是得要發生重大事故(有人被殺頭、或是影響整體運作),才有可能會應此而有所變化!畢竟資安這條路,不是嘴上說說而已,總是要能實際為體系「賺錢」才會被重視呀!
還是,因為主事者看見了這些駭客的新聞後會覺醒?(哈!當我沒說...)
2007年9月4日 星期二
免費防毒程式的隱憂(Free Anti-Virus Software)
有上網的電腦,誰沒有裝防毒軟體呢?應該絕大多數的人都有安裝,除非你不在乎自己電腦的使用權(除非你是想要刻意製作誘補系統...)
所以,現在防毒軟體的採用已經漸漸成型,至少在資安部份是件好事,可是...真的用錢去購買相關軟體的人有多少?(排除公司企業的授權數量)
絕大多數人還是會著眼於免費的防毒軟體,其中包括有名的AVS(美國AOL提供的掃毒軟體,現與MCAFEE合作)、ANTIVIR(德國的防毒軟體)、線上掃毒或試用版皆有,不過它卻也帶來了許多的隱憂,使用前請三思!
使用這些防毒程式的隱憂是什麼呢?
其實說穿了!天下沒有白吃的午餐,那就是在你下載過程中,它們都會要求你留下有效的電子郵件信箱,可以讓它們寄送授權碼(一般來說可用一年),不過在你下載使用的同時,其實在合約內容中已經允諾它們可以收集你的電子郵件信箱
所以垃圾信(SPAM)也會如雪片般飛來(還有很多是來自英語系的國家,這一點與那些垃圾信寄送者收集信箱的手段有關)
在使用的時候往往會造成另一方面的困擾,除非你像我一樣,用一個只收不寄的信箱來收認證信,否則很難避免(哥哥有練過的!^.^哈)
除了廣告信之外,其實還有一些問題在,其中可以分兩個層面來看,一個是技術面,一個是現實面,其實這些都是拜「免費」兩字所賜
技術面:
1.免費的功能大多為正式版的閹割版(不然正式版賣給誰?)
2.通常防火牆與防毒功能只能則一(兩者很難皆有)
3.防毒碼及程式更新較慢(免費的不要嫌太多)
4.耗費電腦的資源較多(這一點常為人所垢病)
現實面:
1.提供服務的停止(無預警的停用)
2.服務上的不連續(版本更新、換廠商)
為什麼我今天會提到這一點呢?其實是有一段小故事的!
筆者有使用AOL的AVS的防毒軟體,話說它在跟MCAFEE合作前,還提供了新版本的AVS,之後在非常快的速度宣布與MCAFEE合作,所以原本使用AVS的孤兒就成了沒辦法用的可憐人(這就是使用免費軟體最大的痛,不過也是很正常的事)
那這些原本用AOL就會發現...自己到2007/8/31之後就再也沒有辦法更新病毒碼(通常也是此時才會發現自己的防毒軟體,其實已經不再被支援了!),至於有沒有發信通知就不得而知了!至少我沒有收到
所以,我今天才分享一下在使用這一類的防毒軟體時可能會發生的現象,不過僅是個案,並不代表所有免費防毒軟體皆如此
那...真的沒有辦法解決了嗎?我們原本得到的授權都還沒到期耶!
哈!經過筆者的測試...只要你在那短短幾天內,有下載到AVS的更新版本(AVS_v25.exe),會有KASPERSKY的數位簽章(2007年4月6日下午08:46:37),把原本舊的AVS覆蓋掉之後,就又可以繼續更新了!話又說回來...又有幾個人在那短短幾天有載到呢?(小聲說:我有...)
如果有人能提供其它的解決方法,當然也歡迎提供與分享喔!
所以,現在防毒軟體的採用已經漸漸成型,至少在資安部份是件好事,可是...真的用錢去購買相關軟體的人有多少?(排除公司企業的授權數量)
絕大多數人還是會著眼於免費的防毒軟體,其中包括有名的AVS(美國AOL提供的掃毒軟體,現與MCAFEE合作)、ANTIVIR(德國的防毒軟體)、線上掃毒或試用版皆有,不過它卻也帶來了許多的隱憂,使用前請三思!
使用這些防毒程式的隱憂是什麼呢?
其實說穿了!天下沒有白吃的午餐,那就是在你下載過程中,它們都會要求你留下有效的電子郵件信箱,可以讓它們寄送授權碼(一般來說可用一年),不過在你下載使用的同時,其實在合約內容中已經允諾它們可以收集你的電子郵件信箱
所以垃圾信(SPAM)也會如雪片般飛來(還有很多是來自英語系的國家,這一點與那些垃圾信寄送者收集信箱的手段有關)
在使用的時候往往會造成另一方面的困擾,除非你像我一樣,用一個只收不寄的信箱來收認證信,否則很難避免(哥哥有練過的!^.^哈)
除了廣告信之外,其實還有一些問題在,其中可以分兩個層面來看,一個是技術面,一個是現實面,其實這些都是拜「免費」兩字所賜
技術面:
1.免費的功能大多為正式版的閹割版(不然正式版賣給誰?)
2.通常防火牆與防毒功能只能則一(兩者很難皆有)
3.防毒碼及程式更新較慢(免費的不要嫌太多)
4.耗費電腦的資源較多(這一點常為人所垢病)
現實面:
1.提供服務的停止(無預警的停用)
2.服務上的不連續(版本更新、換廠商)
為什麼我今天會提到這一點呢?其實是有一段小故事的!
筆者有使用AOL的AVS的防毒軟體,話說它在跟MCAFEE合作前,還提供了新版本的AVS,之後在非常快的速度宣布與MCAFEE合作,所以原本使用AVS的孤兒就成了沒辦法用的可憐人(這就是使用免費軟體最大的痛,不過也是很正常的事)
那這些原本用AOL就會發現...自己到2007/8/31之後就再也沒有辦法更新病毒碼(通常也是此時才會發現自己的防毒軟體,其實已經不再被支援了!),至於有沒有發信通知就不得而知了!至少我沒有收到
所以,我今天才分享一下在使用這一類的防毒軟體時可能會發生的現象,不過僅是個案,並不代表所有免費防毒軟體皆如此
那...真的沒有辦法解決了嗎?我們原本得到的授權都還沒到期耶!
哈!經過筆者的測試...只要你在那短短幾天內,有下載到AVS的更新版本(AVS_v25.exe),會有KASPERSKY的數位簽章(2007年4月6日下午08:46:37),把原本舊的AVS覆蓋掉之後,就又可以繼續更新了!話又說回來...又有幾個人在那短短幾天有載到呢?(小聲說:我有...)
如果有人能提供其它的解決方法,當然也歡迎提供與分享喔!
2007年9月3日 星期一
WP快速安裝(Installation of Wordpress)
筆者先前所寫「淚灑部落格(Tears of Blog)」一文中,有提到一個自行架設的平台WordPress,其實現在它算是極熱門的一種部落格(更早之前有Movable Type)
不過我還是以現在最熱門的WordPress來介紹(後面簡稱為WP)...
其實要安裝起來並不會太難,只是難在你要如何修改相關的功能、版型...等設定(這當然也牽涉到每個人的美感),所以我也僅能介紹安裝的部份,當然,其實在網路上已經可以找到不下數千種以上的說明或教學網頁(我只是以分享經驗的角度切入),如有遺漏還請各位高手指教...
首先,說明一下我設定的軟體平台:
1.OS:WIN-XPPRO-SP2或 LINUX-FEDORA6。
2.BLOG:WordPress(2.2.2)。
3.Server:appserv-win32-2.5.9(FOR WIN32)或LAMP。
4.TOOLS:phpMyAdmin(WIN-2.10.2;LINUX-2.11.0)。
5.中文化:Kirin Lin 正體中文。
其實,筆者在兩種不同的平台上都有架設過,如果對LINUX的操作上比較不熟悉的人(小聲說:其實我也沒多熟...),筆者強烈建議採用appserv的套件來安裝(因為它把所需的套件都已包裝成一個EXE檔)
想在LINUX上安裝的,當然也不用我多說(LAMP可透過yum直接抓回來、phpMyAdmin就手動下載吧!),因此,筆者在這邊也不多說明有關Server的架設(下次有機會再說...)
其實...安裝的步驟相當簡單:
1.下載WordPress 2.2.2:視平台選擇適用的檔案:
補充:LINUX可用:#wget http://wordpress.org/latest.tar.gz(抓最新檔)
2.解壓縮、安裝:
WINDOWS:解壓縮至appserv資料夾(例:D:\AppServ\www\wordpress)
LINUX:解壓縮至Apache的預設路徑(例:/var/www/html/wordpress)
補充:
1.LINUX解壓縮:#tar zxvf wordpress-2.2.2.tar.gz。
2.可更改資料夾名稱,如wordpress --> blog(方便之後連結上的管理)。
3.設定檔:將資料夾中的 wp-config-sample.php,另存為wp-config.php再修改
利用文字編輯器,更改其中的相關內容:(紅字部份為新增設定...)
define('DB_NAME', 'wp'); 資料庫名稱
define('DB_USER', 'root');資料庫使用者
define('DB_PASSWORD', 'test');使用者密碼
define('DB_HOST', 'localhost');維持預設即可
define('DB_CHARSET', 'utf8');維持預設即可
define ('WPLANG', 'zh_TW');加入中文語系
4.利用phpMyAdmin建立一個名為wp的資料庫:
PS:建立資料庫時,注意「校對」需為 utf8_general_ci或 utf8_unicode_ci(多謝kirin的指導與提醒),因為我phpMyAdmin安裝完的預設校對即為 utf8_unicode_ci,所以遺漏了這項說明
5.下載中文化語系檔:
請至Kirin Lin 正體中文 WordPress(下載左方的WordPress2.2.2)
解壓縮將zh_TW.mo和zh_TW.po置於:..\wordpress\wp-content\languages\
6.繼續安裝:開啟http://localhost/wordpress/(圖片版)
(1)會看見一個未安裝的訊息:點選install.php
(2)說明文件:
(3)輸入標題與電子郵件信箱:
(4)記住帳號、密碼:(之後可更改成自己熟記的)
(5)登入:
(6)管理頁面:
(7)完成後的首頁:
辛苦的裁圖作業,終於完成了這篇教學文,不過裡面可能還有一些其它的問題(例:phpMyAdmin的安裝、LAMP的安裝...等),有興趣的人可以留言討論
針對這教學文有其它建議或是指教(筆者也怕有不足之處),歡迎來信或留言告知,最後希望這篇文章可以解決一些想要自己安裝部落格,卻一直很難上手的朋友!
不過我還是以現在最熱門的WordPress來介紹(後面簡稱為WP)...
其實要安裝起來並不會太難,只是難在你要如何修改相關的功能、版型...等設定(這當然也牽涉到每個人的美感),所以我也僅能介紹安裝的部份,當然,其實在網路上已經可以找到不下數千種以上的說明或教學網頁(我只是以分享經驗的角度切入),如有遺漏還請各位高手指教...
首先,說明一下我設定的軟體平台:
1.OS:WIN-XPPRO-SP2或 LINUX-FEDORA6。
2.BLOG:WordPress(2.2.2)。
3.Server:appserv-win32-2.5.9(FOR WIN32)或LAMP。
4.TOOLS:phpMyAdmin(WIN-2.10.2;LINUX-2.11.0)。
5.中文化:Kirin Lin 正體中文。
其實,筆者在兩種不同的平台上都有架設過,如果對LINUX的操作上比較不熟悉的人(小聲說:其實我也沒多熟...),筆者強烈建議採用appserv的套件來安裝(因為它把所需的套件都已包裝成一個EXE檔)
想在LINUX上安裝的,當然也不用我多說(LAMP可透過yum直接抓回來、phpMyAdmin就手動下載吧!),因此,筆者在這邊也不多說明有關Server的架設(下次有機會再說...)
其實...安裝的步驟相當簡單:
1.下載WordPress 2.2.2:視平台選擇適用的檔案:
補充:LINUX可用:#wget http://wordpress.org/latest.tar.gz(抓最新檔)
2.解壓縮、安裝:
WINDOWS:解壓縮至appserv資料夾(例:D:\AppServ\www\wordpress)
LINUX:解壓縮至Apache的預設路徑(例:/var/www/html/wordpress)
補充:
1.LINUX解壓縮:#tar zxvf wordpress-2.2.2.tar.gz。
2.可更改資料夾名稱,如wordpress --> blog(方便之後連結上的管理)。
3.設定檔:將資料夾中的 wp-config-sample.php,另存為wp-config.php再修改
利用文字編輯器,更改其中的相關內容:(紅字部份為新增設定...)
define('DB_NAME', 'wp'); 資料庫名稱
define('DB_USER', 'root');資料庫使用者
define('DB_PASSWORD', 'test');使用者密碼
define('DB_HOST', 'localhost');維持預設即可
define('DB_CHARSET', 'utf8');維持預設即可
define ('WPLANG', 'zh_TW');加入中文語系
4.利用phpMyAdmin建立一個名為wp的資料庫:
PS:建立資料庫時,注意「校對」需為 utf8_general_ci或 utf8_unicode_ci(多謝kirin的指導與提醒),因為我phpMyAdmin安裝完的預設校對即為 utf8_unicode_ci,所以遺漏了這項說明
5.下載中文化語系檔:
請至Kirin Lin 正體中文 WordPress(下載左方的WordPress2.2.2)
解壓縮將zh_TW.mo和zh_TW.po置於:..\wordpress\wp-content\languages\
6.繼續安裝:開啟http://localhost/wordpress/(圖片版)
(1)會看見一個未安裝的訊息:點選install.php
(2)說明文件:
(3)輸入標題與電子郵件信箱:
(4)記住帳號、密碼:(之後可更改成自己熟記的)
(5)登入:
(6)管理頁面:
(7)完成後的首頁:
辛苦的裁圖作業,終於完成了這篇教學文,不過裡面可能還有一些其它的問題(例:phpMyAdmin的安裝、LAMP的安裝...等),有興趣的人可以留言討論
針對這教學文有其它建議或是指教(筆者也怕有不足之處),歡迎來信或留言告知,最後希望這篇文章可以解決一些想要自己安裝部落格,卻一直很難上手的朋友!
訂閱:
文章 (Atom)