网管数据

一切问题最终都是时间问题,一切烦恼其实都是自寻烦恼。

二月 18th, 2010

Microsoft 安全公告摘要(2010 年 2 月)

8 Comments, 软件发布, by pfdiy, 40 次.
ms

转载请注明本文出自:微软安全中心http://www.microsoft.com/china/technet/Security/bulletin/ms10-feb.mspx
站点链接:
2010 年 2 月安全公告包含以下 13 个安全漏洞:

严重等级 5 个

1.MS10-006:SMB 客户端中的漏洞可能允许远程执行代码 (978251)
http://www.microsoft.com/china/technet/security/bulletin/ms10-006.mspx

2.MS10-007:Windows Shell Handler 中的漏洞可能允许远程执行代码 (975713)
http://www.microsoft.com/china/technet/security/bulletin/ms10-007.mspx

3.MS10-008:ActiveX Kill Bit 的累积性安全更新 (978262)
http://www.microsoft.com/china/technet/security/bulletin/ms10-008.mspx

4.Windows TCP/IP 中的漏洞可能允许远程执行代码 (974145)
http://www.microsoft.com/china/technet/security/bulletin/ms10-009.mspx

5.MS10-013:Microsoft DirectShow 中的漏洞可能允许远程执行代码 (977935)
http://www.microsoft.com/china/technet/security/bulletin/ms10-013.mspx

重要等级 5 个

1.MS10-003:Microsoft Office (MSO) 中的漏洞可能允许远程执行代码 (978214)
http://www.microsoft.com/china/technet/security/bulletin/ms10-003.mspx

2.MS10-004:Microsoft Office PowerPoint 中的漏洞可能允许远程执行代码 (975416)
http://www.microsoft.com/china/technet/security/bulletin/ms10-004.mspx

3.MS10-010:Windows Server 2008 Hyper-V 中的漏洞可能允许拒绝服务 (977894)
http://www.microsoft.com/china/technet/security/bulletin/ms10-010.mspx

4.MS10-011:Windows 客户端/服务器运行时子系统中的漏洞可能允许特权提升 (978037)
http://www.microsoft.com/china/technet/security/bulletin/ms10-011.mspx

5.MS10-012:SMB 服务器中的漏洞可能允许远程执行代码 (971468)
http://www.microsoft.com/china/technet/security/bulletin/ms10-012.mspx

6.MS10-014:Kerberos 中的漏洞可能允许拒绝服务 (977290)
http://www.microsoft.com/china/technet/security/bulletin/ms10-014.mspx

7.MS10-015:Windows 内核中的漏洞可能允许特权提升 (977165)
http://www.microsoft.com/china/technet/security/bulletin/ms10-015.mspx

8.MS10-005:Microsoft Paint 中的漏洞可能允许远程执行代码 (978706)
http://www.microsoft.com/china/technet/security/bulletin/ms10-005.mspx
http://www.microsoft.com/china/technet/Security/bulletin/ms10-feb.mspx

二月 16th, 2010

组策略详细设置(母盘必备)

1 Comment, 软件发布, by pfdiy, 207 次.

组策略详细设置(母盘必备)

一:WINDOWS资源管理器设置

删除“映射网络驱动器”和“断开网络驱动器”
从WINDOWS资源管理器上删除搜索按钮
隐藏WINDOWS资源管理器上下文彩蛋上的“管理”项目
删除“硬件”选项卡
删除DFS选项卡
删除“安全”选项卡
“网上邻居”中没有“我附近的计算机”
“网上邻居”中不含“整个网络”
删除 CD刻录功能
不要将已删除的文件移动到回收站
从我的电脑删除共享文档
关闭缩略图的缓寸

二:开始菜单设置

删除到“Windows Update”的访问和连接
从开始菜单中删除“我的文档”图标
从开始菜单中删除“文档”菜单
从开始菜单中删除“网络连接”
从开始菜单中删除“收藏夹”
从开始菜单中删除“搜索”
从开始菜单中删除“图片收藏”
从开始菜单中删除“我的音乐”
从开始菜单中删除“网上邻居”
从开始菜单中删除“注销”
不要保留最近打开的文档纪录
退出是清除最近打开的文档的纪录
从桌面上删除回收站
隐藏桌面上的网上邻居图标

三:控制面板设置

隐藏“更改或删除程序页面”

四:桌面属性设置

隐藏桌面属性里的“桌面”选项卡
隐藏桌面属性里的“外观和主题”选项卡
隐藏桌面属性里的“屏幕保护程序”选项卡
五:CTRL+ALT+DEL 设置
删除“锁定计算机”
删除“更改密码”

六:系统设置
关闭自动播放
关闭 Windows Update 设备驱动程序搜索提示

七:开机维护通道
另外 还增加了开机维护通道 在系统进入桌面之前就开始运行

\\\\yxserver\\log$\\a.bat
可以在服务端新建一个共享目录为LOG$ 在里边创建一个A.BAT 修改A.BAT就可以开机运行了
比大师的开机运行要快 不影响速度。
具体设置在 用户配制→WINDOWS设置→脚本 – (登陆/注销)

组策略恢复办法!
删除c:\windows\system32\GroupPolicy文件夹
然后运行 gpupdate /force 组策略恢复正常!

还有很多朋友问 是如何把组策略提取出来的 其实很简单。组策略设置完了 都会保存到 c:\windows\system32\GroupPolicy里
只要第一次修改好了组策略 然后把c:\windows\system32\GroupPolicy复制出来 保存起来 下次再做母盘的时候 再复制进c:\windows\system32\里 就可以了。!

这些设置都是经过以前老前辈和我修改过的。如果有什么需要的话 。你们可以自己修改。。

文件名称:组策略详细设置(母盘必备)
授权方式:exe
文件大小:242 KB
文件类型:7z
发布时间:2010-2-16
下载地址:微软网盘

二月 6th, 2010

VMware虚拟化应用实例

22 Comments, 网络技术, 软件发布, by pfdiy, 230 次.
wmware
电脑日新月异的发展,也推动了互联网应用的日益普及,空间、网站、虚拟主机等概念也逐渐被人们所熟悉。服务器做为互联网的信息基地也随着计算机软硬件技术的不断革新,使服务器的性能及功能日趋强大。就拿网站服务器为例,有两种情况,一是独立使用一台服务器,这种服务器用于访问量比较大的门户网站; 二是多个网站共同使用一台服务器,这就是我们说的虚拟空间,但是虚拟空间有很多的缺陷: 不同客户的网站放置在一台服务器上,且通过同一操作系统进行管理,客户与客户之间的数据管理将比较复杂,也很容易相互干扰,假如其中一个客户的网站中毒,或者系统中毒了,则整台服务器上所有的客户都会受到影响,另外,假如这台服务器的操作系统崩溃了,那所有客户的网站都将OFF LINE等等诸如此类的问题,这些都将为服务器的经营管理者增加不必要麻烦,同时也让客户的利益受到损失。
鉴于上述问题,现在很多IDC商家都纷纷推出了服务器应用的新概念——VPS主机。其实作为一个销售服务器的人员,对于服务器技术、知识,要有比较透彻的了解。对于VPS,我也略有涉及。VPS是Virtual Private Server的简称,是利用虚拟服务器软件在一台物理服务器上创建多个相互隔离的小服务器。然后根据自己的实际需要,在这些小的服务器上,转载独立的操作系统,它的运行和管理与独立服务器完全相同。每个虚拟专用服务器都设定自己独立的IP地址,这和共同享用一个IP的虚拟主机有很大不同。
VPS享有独立系统、独立空间、独立内存、独立CPU资源、独立执行程序和独立系统配置等。而虚拟主机,这是都是共享的。在VPS上,用户除了可以分配多个虚拟主机及无限企业邮箱外,更具有独立服务器功能,可自行安装程序,单独重启服务器。

当然要想实现虚拟机,我们还需要一套成熟的服务器虚拟机软件,目前市面上所使用的虚拟机软件有微软的Virtual Server、VMware的ESX server、SWsoft 的Virtuozzo。无论采用什么的虚拟软件,功能都是大同小异。考虑到成本的问题,我们采用VMWARE的免费版本,以前这些软件都是要money的,呵呵。
 

非常碰巧,近来有位比较熟知的朋友,正好想导入虚拟机产品,以解决多达50个客户网站建站问题,但由于对虚拟机的性能不太了解,所以该计划一直搁浅。经过商议,由我们搭建测试平台并对该软件进行测试。下面就是这次测试的全过程:
一、硬件篇
首先,我们准备了一台(亿时空SX1242)型号的服务器,由于这次所需要的虚拟机数量非常庞大,想要在一台服务器上实现,则必须增强硬件配置,于是我们将(亿时空SX1242)服务器的内存扩容至12G,硬盘升级成2个SAS 15K 300G,CPU增至双路XEON 5405。

图1 亿时空SX1242服务器

图3 2个SAS 300G 15000转硬盘


图4 服务器内部全貌

 亿时空SX1242服务器配置了intel 45nm制程的新版四核至强,根据intel的官方文档,新版的45nm制程四核至强,相比65nm制程的版本,有了以下几个主要方面的提升:
(1) Radix-16除法器以及增强型英特尔虚拟化技术;
(2) 更大更快速的高速二级缓存(从8M提升到12M);
(3) SSE4指令集以及Shuffle引擎;
(4) 深层关机技术与增强型动态加速技术。
在上面几个方面上,最令我们感兴趣的就是第一项了,根据的intel的说法,Radix-16除法器以及增强型英特尔虚拟化技术是Penryn基于酷睿微体系架构中宽位动态执行的改进,新增加的Radix-16相除技术与前代产品相比能将所有应用上的计算除法器速度提高约一倍。而增强型英特尔虚拟化技术则可将虚拟机的转换速度提高25-75%。上面的这些特性仅是通过硬件则可实现,无须在软件应用层修改现有的程序。
当然,要更好的实现虚拟化,除了CPU之外,别的配置也需要跟上,才能达到一个整体良好的配合,充分发挥平台的性能优势。得益于亿时空SX1242服务器的良好扩充能力,我们把内存扩充到了12GB,并配置了转速高达15000转的高速SAS硬盘,以消除存储子系统的瓶颈。其实虚拟化的历史由来已久,但是一直都没有在常见应用中普及,很大程度上,是因为过去硬件的性能有限,虚拟化的实用性受到了很大的制约。随着硬件性能的跳跃式发展,计算机的计算能力呈几何级数增长,在很多入门级别应用上,可以说主流的硬件都存在着性能剩余。为了充分的利用硬件的计算能力,虚拟化就成了一个比较好的解决方案。本次测试,因为要满足50个虚拟机的建立,对机器硬件上的性能要求就相对高了,所以我们采用这个配置相对高端的配置。
二、软件篇
硬件平台已经齐备,接下来就是软件了,由于这次只是测试工作,没必要投重金去购买一套正版,因此我们便去VMware的官方网站下载了 ESX 3i-U2(免费版) 和 VMware Infrastructure Client 2.5(测试版);VMware ESX 3i是安装在服务器上的。亿时空SX1242服务器的软件兼容性非常好,在上面安装VMware ESX 3i非常顺利,基本不需要什么设置,只需按照提示来操作就可以完成安装。
下面是一些安装后第一次启动的图片:

图5 开机自检,信息显示2颗XEON 5405以及12G FBD内存

图6 检测到 2颗300G SAS硬盘  

图7 VMware ESX Server 3i正在启动

图8 服务器已启动完毕

至此,服务部端已启动完毕,在图8中可以看到一个IP地址,这个地址是该服务器的访问地址,即当客户端安装完成后,就可以通过此地址来访问设置这台服务器了,当然这个IP地址是可更改的,可以通过左下角的F2键进入系统设置(如:图9)。

图9 IP地址设置
接下来是客户端使用(安装过程比较简单,这里就不赘述了),这次我们所使用的是功能强大的VMware Infrastructure Client 2.5,虽然只是测试版,但所有功能都很完备。下面就来介绍一下该软件的使用情况:
图10 VMware Infrastructure Client主界面
从上图可见该软件的界面并不复杂,再加上中文菜单,设置起来就更为简单。

 由于这个软件支持一个客户端同时管理多个服务器,所以这里需要新建一个群集,然后再添加主机, 添加主机时需要输入上述服务器的IP地址、用户名及密码,添加成功后,点选该主机,然后鼠标右键新键虚拟机,接着就是配置虚拟机资源,这里我们需要建立50台虚拟机,所以每台虚拟机分配了256M内存和8G的硬盘空间。

 

 启动虚拟机,点选“控制台”,会看到该虚拟机已启动到DOS状态,这时我们可以通过该软件可调用本地计算机光驱的功能,来给虚拟机安装操作系统,这里的安装过程跟平时安装过程一样,需要对硬盘分区,格式化等。当装完系统后,点选此虚拟机,然后右键,在菜单中运行“安装/升级VMware Tools”,来给虚拟机的设备安装VMware的驱动。

至此,客户端及虚拟机的安装与配置工作基本完成,接下来只需要通过VC的克隆功能,就可以克隆出余下的49台虚拟机,因为这些虚拟机都同在一个虚拟交换机上,所以每克隆一台需要修改计算机名称,否则会有冲突。
克隆工作完毕后,便逐一启动所有虚拟机,通过VC我们可以看到所有虚拟机的当前状态,资源利用情况等信息,由于这台亿时空服务器配备了12G内存及双路4核XEON处理器,所以很顺利的启动了这50台虚拟机。

好了, VMware就基本安装完毕了,当然,如果需要具体应用起来,还需要对每个虚拟机进行各自不同的设置,不过这些就不属于本文的讨论范围了,关于具体的配置,大家也可以参考VMware官方的技术文档。虚拟化除了在IDC方面有大量应用之外,在企业内部也有其用武之地,用户可以把多项对性能要求不一的应用,整合到一台服务器上,即节省成本,也方便维护,这也是虚拟化的本意所在。
从上面的测试可以看出,亿时空SX1242服务器很好的满足了VMware ESX 3i的要求,软硬件不存在兼容性问题,性能方面也已经没有任何问题。限于时间,我们没有测试不同配置下能支持虚拟机的最大数目,其他有经验的朋友,也可以将经验分享一下。其实支持虚拟化的服务器型号还有很多,我们在时机成熟的时候,可能也会对不同的型号、芯片进行测试,如有兴趣的朋友,也可以联系我们,我们也会考虑大家的意见,做一些有针对性的测试。至于软件其他方面的设置,笔者在这个软件方面也是新人,所以也不敢在广大高手面前班门弄斧,各位有兴趣的朋友,可以在论坛里一起讨论。 

二月 3rd, 2010

debian apache2 php.ini 启用disable_functions提高安全

5 Comments, 网络技术, by pfdiy, 121 次.
php

如果想保证服务器的安全,禁用PHP函数是必须做的事情。下面是我在debian下禁用的一些函数。在安全模式下dl函数是无条件禁止的。

vi /etc/php5/apache2/php.ini

查找 disable_

默认是空的 所以需要添加下列函数 也就是需要禁用的函数 列表如下:
disable_functions =dl(),exec,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,popen,show_source

最后一点就是 enable_dl = Off 在debian下是关闭的。

修改好以后记得重启一下apache 命令是
/etc/init.d/apache2 restart