Apache-網頁伺服器入侵防護保護的利器_mod_security

最近防護、資安是很重要的議題…

有在用apache架站的人請注意，mod_security(我在fedora 8上安裝的是mod_security2)

安裝方式，因為我懶，所以，我不會用什麼./configure make make install

我就用方便的yum來安裝了mod_security

指令：yum install -y mod_security

中途應該會多安裝一個module…沒關係，反正是有關係的，就讓它裝吧。

===

不過，我裝了就馬上後悔…為什麼，因為它預設的rule就可以讓一些網頁失去功能

例：ostube、wordpress....

好像是因為一些upload與post to database的關係

Fedora--Dovecot POP3 UIDL

如果像YAHOO一樣，收外部POP3時，可以選擇收不收已讀取過的郵件??

講真的，這不一定需要，因為同一封信會在同一個帳號中收2次以上，實在很少…

UIDL是POP3中來鑑定MAIL的ID…
所以，若同一封信，這個ID是一樣的…
所以，只要收過一次，基本上就會認定這個ID是已讀過的(對方SERVER)，那已讀過信基本上就是不會再送，以免造成氾濫…


在Dovecot的protocol pop3中，有一個是pop3_reuse_xuidl…讓它為no的話，已讀過的信再搬到新件匣就可以用外部POP3一直重覆的收…只能重覆收二、三次

==
找了很久，雖然成功設定，但還是覺得這很沒意義

Fedora--令人愛恨交織的openwebmail over LDAP

嗯…這是之前我放棄之後又覺得不對頭的事務

對的，之前因為廠商已確定要接手這一塊，所以我就不想再花腦力去想這個部份…

但是，最近有聽到，廠商在openwebmail中修改密碼的這一塊要link去額外的網頁來做，我就在想為什麼需要這樣???

基本上，一般來說這一類安全性比較重要的問題通常都不太會去動系統預設的功能；結果，詢問了原因，原來是因為，pam這方面支援問題

雖然我原先認為這無關緊要，反正有人做就好…
但因為主管認為如果修改密碼要放到額外的網頁來處理的話，那openwebmail上的修改密碼就不能讓使用者使用，就要改連結之類的做法…

但由於我們學校用濾擎的mail系統，廠商說我們可以自己來改，但會遇到mail更新後也會重新蓋過這一個地方，那就代表只要有更新就得重改一次…
(我很懷疑這一點，因為如果只要更新就會重改，那config的東西也會嗎，如果也會那就很奇怪了…還是說config是放另外的地方???)

htaccess之迷

最近被一些東西玩的很死
但也死的爽
===

RewriteEngine On
RewriteCond %{REQUEST_URI} ^/XXX/a\.html$
RewriteCond %{QUERY_STRING} ^\?a=1$
RewriteRule ^(.*)$ http://www.google.com.tw/?

RewriteEngine On：就是告知apache要使用rewrite-mod，所以要看這個module有沒有被include
*不過要開個這類模組行為時得注意，在httpd.conf中你對應的htaccess的關係目錄有沒有做Option FollowSymLinks…如果還是保持None的話，有可能會造成403的error

RewriteCond %{REQUEST_URI} ^/XXX/a\.html$
RewriteCond<空白>A<空白>b
：RewriteCond應該可以看到條件敘述…應該是A符合條件b
*上述條件是講REQUEST_URI中有滿足XXX/a.html的
**QUERY_STRING是指一般我們網址後帶有參數的的東東…上述條件是指帶參數的開頭為a=1的

RewriteRule ^(.*)$ http://www.google.com.tw/?
RewriteRule A b
：RewriteRule是指重寫的規則，滿足A的就改成b…A與b都可自訂滿足規則…
上述是說如果Cond的條件為真…那就改寫為連到google網站…
為什麼最後的google那有一個?…目前我能夠知道的是為了不要讓query_string帶過到新網址去而用的

不過，htaccess好難懂

Fedora-rsyslog小進階

跟著上一篇(Fedora-Log server & client setting(基礎using))走應該可以在log server的/var/log/messages中看到來自於client的log資料吧…

但，有沒有發現，server上的messages除了紀錄了client的log，也包含了server本機上的log…看起來很雜唄~~~

所以，為了方便分離與觀看，我想把server裡messages中屬於client的log放到server中我給client的特定資料匣裡存進來…那~~~這該怎麼做。

寫一個shell來filter??不，太麻煩又浪費系統資源…

rsyslog本身就有簡單command的功能，在前篇中說的2)的網頁，你可以看到很多種方式…

而我主要用的方式…

:source,isequal,"client-hostname" /var/log/client-hostname/messages
:source,isequal,"client-hostname" ~

說明：log中的來源(source)欄位值等於(iseqaul)xxx(client-hostname)的就存入/var/log/client-hostname/messages中…

存檔後重啟rsyslog…應該就會看到改變了

Fedora-Log server & client setting(基礎using)

最近因為機車的ISMS，讓一些學校很麻煩。

所謂的資訊安全，應該是歸於使用者與管理者之間的操作或控制的準確性與安全性，而不是單一方的「注意」就可以了。

我個人認為ISMS把管理者的責任壓到最大，使用者只需「懂使用」而不需讓自身俱備準標的「常識與知識」…簡單說，就是叫管理者把使用者當作傻子就對了。

然後，再把管理者當作有千腦千手的人(或狗)，所有的問題管理人員都要注意，而所有的問題都是管理人的問題。

所以，行政院與教育部推行的這一些東東，擺明就是要讓外面業者賺學校這一塊的錢…
===========講偏了==============

因為ISMS有一個注意的章節是在於機房中各伺服器與網路設備的紀錄報表呈現。
但，想當然爾，不是每一個server或設備的log都有方式來做出所謂的報表，且，如果買一台log-server會遇到log格式不合的情況，而且，log-server一台沒百萬也幾十…一個小小沒地位的電算中心怎麼可能叫學校吐錢出來讓我們買…

JavaScript排版工具(Javascript beautifier)

http://jsbeautifier.org/
你覺得別人寫的javascript或你自己寫的很亂又不美觀嗎…
上面的網頁，可以幫你排版…

在上面的網站，在文字區中貼上你覺得不美觀的script，然後再按下[Beautify]的按鈕…看~~~就排版整齊了

osTube v2.3-ie無法開啟的問題

最近osTube升級2.5…但據它的demo好像只有多一個webTV的東東…嗯，不怎麼需要(其實…是我今天要上去抓，但官網連不到)

ok，先說說為什麼我在知道2.5沒啥好東東之後還想去抓…
是因為，我的老姐在隔了很久之後又突然測試開我的狐吐唄，發現連不上去…
但老姐跟我說的當下，我可以看呀…想說是不是她的電腦又有問題或網路之類的錯誤，但老姐說，她在上班與家裡都一樣的結果…

嗯??很懷疑…

然後，老姐突然的說：「我用firefox可以看，但ie不行」…
我才想到，一定又是osTube v2.3又不知道哪跑出來的bug官方又沒修掉(可能2.5有)，所以，發揮程式設計師debug的習慣，開始抓蟲。

Fedora 10-apache(httpd)無法開機啟動

在進行過mod_jk的結合之後…應該會想到把tomcat與apache(httpd)經chkconfig定為開機啟動吧…

然後，就會發現，恩?…奇怪，tomcat啟動了，但httpd沒有…
然後看了開機的服務啟動資訊，發現…「mod_jk cannot open share XXXXXX」的文字，大至上是說，mod_jk.so無法被include進server(httpd)…所以httpd啟動失敗…

這是為什麼?
明明進入本機執行service httpd start就ok的呀…

經我查詢了一些網站，得到的結果是…SELinux搞的鬼…
要讓httpd可以正常開機啟動的方法有二種…
一是把selinux給disable
二是用chcon指令把mod_jk.so的安全性等級更改…

一的方式就不介紹了，因為我在一些資安的角度，不建議這樣做…所以直接看二…
--
先進到apache的目錄，我這邊是在/etc/httpd
進入到模組目錄/etc/httpd/modules
先下ls -Z來看看mod_jk.so與其他的不同…沒錯，就只有我們額外加入的mod_jk.so不是httpd_modules_t，有一些安全性的等級在selinux會是認同的…但不認同的就會產生像在開機要load進httpd的問題一樣…
所以，輸入「chcon -u system_u -t httpd_modules_t mod_jk.so」來更動…
再重開機，看服務資訊就會明瞭了

Fedora 10-mod_jk

真的…說真的
只要換了Fedora…之前在其他os for like linux的可能都要重新歸劃…

mod_jk...結果apache與tomcat的利器
=================================
從Centos改fedora…之前的文章照著做…還是會錯…不過倒不會一直被lock…只是jsp就是傳不過去給tomcat執行

在fedora的環境下…大部份的動作都可以按照之前的文章做。

只不過，我發現…本來應該會自動生出的auto/mod_jk.conf沒生出來…
但，後來我亂亂玩，它又跑出來了…

Fedora 10-有關於使用vncserver的小東東

最近重新架了一台使用Fedora 10 x86_64的機器…
一樣遵循我自己寫的工具文章「VNC...咪恩系」…
發現…在yum install vnc vncserver之後，要service vncserver start時…會看到系統資訊說"no displays......"的字…跟在用Centos時不太一樣…

印象中我在用Centos時，第一次啟動vncserver的時候，確定會啟動失敗，但會有資訊告知說在/etc/sysconfig/新增了vncserver的檔案…這個檔案是vncserver啟動的config之一…
但在Fedora 10就沒有…我個人猜想Fedora系列的應該都這樣…

但，事實上，雖然vncserver啟動失敗後沒告知/etc/sysconfig/vncserver要去設定，但在該目錄下也確實有vncserver…所以，去設定再重啟vncserver就ok了…

(後來發現，我忘了先設定vncpasswd，所以才會啟動失敗)