raid => mdisk (array) => Pool=> volume(lun)
pvcreate vgcreate lvcreate
記憶裂痕
記性太差 需要記錄一下 連接腦細胞的斷痕
2018年2月14日 星期三
2017年4月2日 星期日
Mail (郵件)伺服器
轉貼
Email 它是一個"系統", 不只是單純的伺服器. 它有困難度, 對於新手來說, 是不知道架設一個 email 系統要小心的點在那邊. 現在釐清一下要注意的地方
SMTP port 25, 是 server to server 的部分, 這邊最好的防護就是使用 RBL 擋住 spam email server 的 IP (SpamAssassin + TCPServer/IPtable)
Submission Port 587, 這邊是 email client to server 寄信, 需要使用 TLS 作為 smtp-auth 認證的加密, 這邊就需要建立自己的 PKI Cert 來做 TLS 加密了. 再來防止 brute force 攻擊, 就要搭配 Fail2ban. 需要 white list 自己 router ip 以及其它分公司的 ip 避免鎖到自己。
如果有 webmail 的部分, 那麼要建立 HTTPS 的 secure certificate. 如果使用 IMAPS, 也可以使用同一個 certificate.
避免自己的 email 淪為 RBL 上面的黑名單, 需要建立 DKIM 放到 DNS 的 record 中. 如果能夠 reverse ip 如 1.1.1.1 -> mail.mydomain.com 會很好, 比較容易進白名單, 如果沒有的話要隨時 monitor RBL 是否有自己的 mail server domain/ip.
盡量不要使用 .hk .tw .cn .jp 的 domain, 因為有些 spam filter, 或是一些 custom RBL, 會直接封掉這些 tld. 盡量把 DNS 的服務放在 Domain Registrar 那邊, 不過如果使用非常多 subdomian 的話, 再考慮把 dns 服務拿回自己建立, 因為很多 domain registrar 會限制使用者最多可以有幾個 dns record.
SMTP/Submission 收到的 email, 直接先 pipe 給 clamav 後, 確認沒有病毒才放到 maildir 或是寄出. 每一個小時自動更新 clamav 的 database.
Webmail 的 template 最好買有服務的 source code, 會定期更新, 使用因為有太多時候有 webmail 被 hack 透過 sql-injection 而控制了整個 mail server.
盡量使用 IMAPS, 方便集中備份, storage 的檔案系統最好是支援壓縮, 以及快照. 這樣子可以追溯歷史記錄, 避免離職員工或是將要離職員工刪除 email.
所有的 mail server 都會使用到 database, 不管是 mysql 或是 mariadb, 要設定好其固定定期備份模式, 同時建立好 password policy, 八碼 含大小寫+數字+特殊符號.
防止內部 IT 人員閱讀公司高階主管的 email 或是被外部人員釣魚假裝高階主管的 email 指令, 建議使用 RSA 2048 bit 的 S.MIME (X509) PKI 模式加密以及簽署 email.
開 watchdog 確認 email 收發服務正常, 若有問題時, 第一時間 script 自動重開服務.
log reporting (graylog) 定期檢查伺服器是否有被入侵的跡象.
使用 Filelink 模式傳送大的檔案附件 (需搭配 email client). 這部分有所謂的 DL 服務, 也可以自己架設 WebDAV 來做.
使用 Open-Xchange 或是 Zimbra Email 這一類型的 email server, 它可以分成很多個 component, 如 message storage node, database node, smtp node 或是 mail proxy node 等模式, 把 email 服務的 loading 分散到各分公司的小 mail 的伺服器上, 避免單點網路頻寬飽和, 造成每天早上剛上班時, email 大塞車 (特別是禮拜一早上或是長假過後)
DKIM 可以減少你的 email server 被當成 spam email server, 所以要搭配 DNS 做好.
DNS 反向解析 (PTR Record) 請務必跟您的ISP連絡,確認能幫忙建立。
EX: 中華電信IP反解申請服務
若是一般有規模的公司,一定會有 Anti-Spam 的設備. 這類設備基本上一定會先進行 DNS MX 查詢,來確認發信端的 SMTP server 的 FQDN 有那幾台,個別 IP Address 為何,之後再以 I 反解來查詢上述 SMTP 的 IP 是否與正向解析 (A Record) 查到的一致. 若是您的 Mail server 並未建立 PTR record 的話,通常這封信會被扣上不少分數,甚至直接當 SPAM 處理掉.
DNS 上建立 SPF (Sender Policy Framework) txt record,來宣告您的 Domain 中對於 email server的一些政策. 有 SPF 格式的 TXT Record,在 Anti-Spam 的機制中會有所加分,相對不容易被擋成 SPAM 擋掉. 若是不曉得 SPF 要輸入什麼的話,可以到以下網頁透過 Wizard 來建立適當的 SPF record. SPF Wizard IMAPS 的好處是
集中管理以及備份郵件.
有所謂的 Share Folder 的概念, 參考 2 , 其實很多 email 未來不需要 CC 給其它人, 而是把需要分享的 email 丟到不同群組的 share folder.
準備離職員工無法刪除過去重要郵件 (如果你有做差異備份)
作為所有 email 的儲存碟或是 pool, 開啟 Compression. 你會看到 3TB 的 email storage 被壓縮到 1.X TB 多. 因為 email 主要是 txt 壓縮比非常高. 有 S牌的網友說 btrfs 安裝些套件後, 是可以開啟 compression 的. 參考 1
目前越來越多 BYOD. 使用者希望可以在手機/平板/筆電/甚至公用電腦上, 可以看到所有過去的 email, 如果使用 pop3 那麼就做不到了.
不會有 pst 損毀那麼所有信件, 造成全部 email 遺失
頻寬可以更好控管, imaps client 都可以設定多少 kb 以上的 email 只抓 header. 然後抓取過去 3~6個月的 email 同步在設備上. 這種模式可以避免每天早上一上班時, 每個人的 email 都在抓取, 造成網路塞車, 人人都看不到 email 的問題. (這部分就算是開 QoS 也無用, 只是拖累大家更慢抓取 email 的速度)
如果有多個 NAS/儲存系統的話, 可以建立所謂的 cold storage. Email 透過篩選的模式, 可以把兩年舊的 email 放到 cold storage 上, 並且設定成為"唯讀"模式
補充兩個MAIL SERVER的外部測試方式:
1. MX Lookup Tool http://mxtoolbox.com/
可以檢查 MX 伺服器的問題, 包括DNS、Blacklist 等等問題
2. Port Forwarding tester http://www.yougetsignal.com/tools/o⋯⋯
測試服務埠是否開通
2015年12月31日 星期四
Officescan 11 升級至SP1 資訊中心發生錯誤訊息
OSCE11 資訊中心頁面出現 HTTP 錯誤 500.0 - Internal Server Error 發生不明的FastCGI錯誤 錯誤碼0x800736b1
http://esupport.trendmicro.com/solution/zh-tw/1110783.aspx
2015年12月10日 星期四
nmap 參數
安裝完成後您就可使用 nmap 指令配合下列介紹的參數來進行掃描測試。
TCP connect 掃描(Port Scanning):-sT
這是對 TCP 的最基本形式的偵測,直接連到目標主機進行埠掃描並完成一個完整的三次交握過程 (SYN, SYN/ACK, ACK),但因為服務器接受了一個連接但它卻馬上斷開,於是其記錄會顯示出一連串的連接及錯誤資訊很容易被目標主電腦察覺並記錄下來,因此缺點是容易被目標系統檢測到。
TCP SYN(半公開)掃描 :-sS
這種掃描技術也叫半公開式掃描 (half-open scanning),因為它沒有完成一個完整的 TCP 連接三次交握過程。此方法為向目標 Port 發送一個 SYN 封包,如果目標 Port 回應 SYN / ACK 封包則表示該 Port 處於打開狀態;若回應的是 RST / ACK 封包則表示該 Port 為關閉狀態。這種掃描方法比 TCP Connect Scan 更具隱蔽性,只有極少數的網站會對它作出記錄因此比較不會在目標系統中留下掃描痕跡。
Stealth FIN、Xmas Tree或 NULL秘密掃描(Stealth Scanning) :-sF -sX -sN
一些防火墻及 Packet 過濾裝置會在重要連接 Port 守護,半公開的 SYN 封包掃描會在此時會被截獲因此要有更秘密的進行掃描;而 FIN、Xmas、NULL 掃描方法則是關閉的連接埠會對你送出的探測資訊包返回一個 RST,而打開的連接埠則對其忽略不理可參考 [RFC793],其中 FIN 掃瞄使用空的 FIN 資訊包作為探針、Xmas tree 使用 FIN、URG、PUSH 標記、Null 掃描則不用任何標記,但微軟不支援此一標準,所以 -sF,-sX,-sN 的掃瞄顯示所有連接埠都是關閉的但一個 SYN(-sS) 掃瞄卻顯示有打開連接埠,那你就能大致推斷它是 WINDOWS 平台。
ICMP 掃描 (Ping Sweeping):-sP
若僅想了解網路上有哪些主電腦是開放的,你可對你指定的IP地址送出一個 ICMP 的 Echo Request 封包來偵測。但有些站台會把 ICMP 的 Echo Request 封包給關掉 (例如Microsoft.com)。在這種情況下可利用發送 TCP Ping 送一個 ACK 到目標網路上的每個主機。網路上的主機如果在線,則會返回一個 TCP RST 響應。使用帶有 Ping 掃描的 TCP Ping 選項,也就是 -PT 選項可以對網絡上指定 Port 進行掃描,它將可能通過目標邊界路由器甚至是防火牆。注意,被探測的主機上的目標 Port 無須打開,關鍵取決於是否在網路上。
TCP ftp Proxy(跳躍攻擊)掃描 :-b (ftp relay host)
FTP Protocol 有個特點即它支持 Proxy FTP 連接 [RFC 959] 換句話說我們可以從 aaa.com 連接到一個 FTP 服務器 bbb.com 並且要求目標主電腦送出文件到 Internet 的 任何地方 在 1985 年這一 RFC 被寫下來後這一特性便漸漸流行,但現在的網路上我們不允許人們能夠隨意地 搶劫 一個 FTP SERVER 並請求資料到任何地方。所以在 Hobbit 於 1995 年寫下的有關這一協議缺陷時說到它可以用來從許多站台上發出事實上難以追查的信件、新聞以及攻擊性行為——填充你的硬碟,試圖使防火牆失效或者更多是煩人而無意義的騷擾。我開發出它來是為了通過一個代理 FTP 服務器察看 TCP 連接埠,這樣你可以連上一個在防火牆後的 FTP 服務器然後掃瞄它看來仿佛堵塞的連接埠(139 是很好的例子)。如果 FTP 服務器允許你讀甚至寫進某些目錄(比如 /incoming),你可以送出任意資訊到你發現打開了的連接埠(當然 nmap 不干這事)。對於你要通過 'b' 選項來使主電腦成為你的代理時,標準的 URL 格式形式是: username:password@server:port 要確定一個服務器是否易受這樣的攻擊。
UDP掃描 (UDP Scanning):-sU
可用來確定遠端主機開放哪些 UDP Port 原理為送出零位元組的 UDP 封包到目標主機的各連接埠,如果我們收到一個 ICMP port unreachable 無法到達的回應則可確定連接埠是關閉的,否則我們可認為該埠是打開的。
作業系統識別(OS Fingerprinting):-O
通常一個入侵者可能對某個作業系統的漏洞很熟悉,能藉由漏洞很輕易地進入此作業系統的機器。一個常見的選項是 TCP / IP 上的指紋,帶有 -O 選項決定遠端作業系統的類型。這可以和一個 Port 掃描結合使用,但不能和 Ping 掃描結合使用。 ex. nmap -sS -O www.yourserver.com
Ident 掃描(Ident Scanning):-I
一個攻擊者常常尋找一台對於某些執行程序存在漏洞的電腦。例如一個以 root 在 run 的 WEB Server。如果目標主機運行了 identd 一個攻擊者使用 Nmap 通過 -I 選項的 TCP 連接,可以發現哪個用戶擁有 http 執行序。 ex. nmap -sT -p 80 -I www.yourserver.com
http://wiki.weithenn.org/cgi-bin/wiki.pl?Nmap-%E6%8E%83%E7%9E%84%E4%B8%BB%E6%A9%9F%E6%89%80%E9%96%8B%E5%95%9F%E7%9A%84_Port
TCP connect 掃描(Port Scanning):-sT
這是對 TCP 的最基本形式的偵測,直接連到目標主機進行埠掃描並完成一個完整的三次交握過程 (SYN, SYN/ACK, ACK),但因為服務器接受了一個連接但它卻馬上斷開,於是其記錄會顯示出一連串的連接及錯誤資訊很容易被目標主電腦察覺並記錄下來,因此缺點是容易被目標系統檢測到。
TCP SYN(半公開)掃描 :-sS
這種掃描技術也叫半公開式掃描 (half-open scanning),因為它沒有完成一個完整的 TCP 連接三次交握過程。此方法為向目標 Port 發送一個 SYN 封包,如果目標 Port 回應 SYN / ACK 封包則表示該 Port 處於打開狀態;若回應的是 RST / ACK 封包則表示該 Port 為關閉狀態。這種掃描方法比 TCP Connect Scan 更具隱蔽性,只有極少數的網站會對它作出記錄因此比較不會在目標系統中留下掃描痕跡。
Stealth FIN、Xmas Tree或 NULL秘密掃描(Stealth Scanning) :-sF -sX -sN
一些防火墻及 Packet 過濾裝置會在重要連接 Port 守護,半公開的 SYN 封包掃描會在此時會被截獲因此要有更秘密的進行掃描;而 FIN、Xmas、NULL 掃描方法則是關閉的連接埠會對你送出的探測資訊包返回一個 RST,而打開的連接埠則對其忽略不理可參考 [RFC793],其中 FIN 掃瞄使用空的 FIN 資訊包作為探針、Xmas tree 使用 FIN、URG、PUSH 標記、Null 掃描則不用任何標記,但微軟不支援此一標準,所以 -sF,-sX,-sN 的掃瞄顯示所有連接埠都是關閉的但一個 SYN(-sS) 掃瞄卻顯示有打開連接埠,那你就能大致推斷它是 WINDOWS 平台。
ICMP 掃描 (Ping Sweeping):-sP
若僅想了解網路上有哪些主電腦是開放的,你可對你指定的IP地址送出一個 ICMP 的 Echo Request 封包來偵測。但有些站台會把 ICMP 的 Echo Request 封包給關掉 (例如Microsoft.com)。在這種情況下可利用發送 TCP Ping 送一個 ACK 到目標網路上的每個主機。網路上的主機如果在線,則會返回一個 TCP RST 響應。使用帶有 Ping 掃描的 TCP Ping 選項,也就是 -PT 選項可以對網絡上指定 Port 進行掃描,它將可能通過目標邊界路由器甚至是防火牆。注意,被探測的主機上的目標 Port 無須打開,關鍵取決於是否在網路上。
TCP ftp Proxy(跳躍攻擊)掃描 :-b (ftp relay host)
FTP Protocol 有個特點即它支持 Proxy FTP 連接 [RFC 959] 換句話說我們可以從 aaa.com 連接到一個 FTP 服務器 bbb.com 並且要求目標主電腦送出文件到 Internet 的 任何地方 在 1985 年這一 RFC 被寫下來後這一特性便漸漸流行,但現在的網路上我們不允許人們能夠隨意地 搶劫 一個 FTP SERVER 並請求資料到任何地方。所以在 Hobbit 於 1995 年寫下的有關這一協議缺陷時說到它可以用來從許多站台上發出事實上難以追查的信件、新聞以及攻擊性行為——填充你的硬碟,試圖使防火牆失效或者更多是煩人而無意義的騷擾。我開發出它來是為了通過一個代理 FTP 服務器察看 TCP 連接埠,這樣你可以連上一個在防火牆後的 FTP 服務器然後掃瞄它看來仿佛堵塞的連接埠(139 是很好的例子)。如果 FTP 服務器允許你讀甚至寫進某些目錄(比如 /incoming),你可以送出任意資訊到你發現打開了的連接埠(當然 nmap 不干這事)。對於你要通過 'b' 選項來使主電腦成為你的代理時,標準的 URL 格式形式是: username:password@server:port 要確定一個服務器是否易受這樣的攻擊。
UDP掃描 (UDP Scanning):-sU
可用來確定遠端主機開放哪些 UDP Port 原理為送出零位元組的 UDP 封包到目標主機的各連接埠,如果我們收到一個 ICMP port unreachable 無法到達的回應則可確定連接埠是關閉的,否則我們可認為該埠是打開的。
作業系統識別(OS Fingerprinting):-O
通常一個入侵者可能對某個作業系統的漏洞很熟悉,能藉由漏洞很輕易地進入此作業系統的機器。一個常見的選項是 TCP / IP 上的指紋,帶有 -O 選項決定遠端作業系統的類型。這可以和一個 Port 掃描結合使用,但不能和 Ping 掃描結合使用。 ex. nmap -sS -O www.yourserver.com
Ident 掃描(Ident Scanning):-I
一個攻擊者常常尋找一台對於某些執行程序存在漏洞的電腦。例如一個以 root 在 run 的 WEB Server。如果目標主機運行了 identd 一個攻擊者使用 Nmap 通過 -I 選項的 TCP 連接,可以發現哪個用戶擁有 http 執行序。 ex. nmap -sT -p 80 -I www.yourserver.com
http://wiki.weithenn.org/cgi-bin/wiki.pl?Nmap-%E6%8E%83%E7%9E%84%E4%B8%BB%E6%A9%9F%E6%89%80%E9%96%8B%E5%95%9F%E7%9A%84_Port
常用指令
net localgroup Administrators "gilson\%username%" delete
移除網域使用者的本機Administrators
echo %logonserver%
批次檔 大量修改密碼
CLS
@ECHO Off
COLOR 70
MODE CON COLS=65 LINES=40
REG ADD "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Command Processor" /v "DelayedExpansion" /t REG_DWORD /d 1 /f > nul
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor" /v "DelayedExpansion" /t REG_DWORD /d 1 /f > nul
ECHO ----------------------------------------------------------------
ECHO 正在自動設定密碼....
ECHO ----------------------------------------------------------------
for /F "tokens=1,2 delims=, " %%i in (D:\account.csv) do (
set username=%%i&set password=%%j
echo 正在設定 !username! 帳號之密碼為 !password!...
start /wait net user !username! !password! /domain
echo 設定完畢...
echo.
)
pause
rem REG DELETE "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Command Processor" /v "DelayedExpansion" /f > nul
rem REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor" /v "DelayedExpansion" /f > nul
exit
移除網域使用者的本機Administrators
echo %logonserver%
批次檔 大量修改密碼
CLS
@ECHO Off
COLOR 70
MODE CON COLS=65 LINES=40
REG ADD "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Command Processor" /v "DelayedExpansion" /t REG_DWORD /d 1 /f > nul
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor" /v "DelayedExpansion" /t REG_DWORD /d 1 /f > nul
ECHO ----------------------------------------------------------------
ECHO 正在自動設定密碼....
ECHO ----------------------------------------------------------------
for /F "tokens=1,2 delims=, " %%i in (D:\account.csv) do (
set username=%%i&set password=%%j
echo 正在設定 !username! 帳號之密碼為 !password!...
start /wait net user !username! !password! /domain
echo 設定完畢...
echo.
)
pause
rem REG DELETE "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Command Processor" /v "DelayedExpansion" /f > nul
rem REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor" /v "DelayedExpansion" /f > nul
exit
2015年12月8日 星期二
Officescan 10.3SP3 移轉至 Officescan 11 相關Q&A
Q1:以「移動代理程式」方式移到OFFICESCAN 11新伺服器,卻無法自動更新到
OFFICESCAN 11 OSCE主控台>>代理程式>>代理程式管理>>預設定群組>>設定>>權限和其他設定>其他設定 取消選取osce代理程式可更新元件,但無法升級代理程式或佈署hotfix 另請確認附圖機碼位置設定,若前2者都確認無誤,請執行以下步驟: 請在桌面>>開始>>執行,輸入以下指令: \\<IP or Server Name>\ofcscan\Autopcc.exe
Q2:移轉至新伺服器並手動升級至OFFICESCAN 11,會自動再移回舊伺器
請問是否已確認所有已移轉用戶端確實移轉成功,在新伺服器上確實有看見用戶端顯示在線上, Client icon也顯示線上?會自動再移回舊伺器是指?
請將client icon>>按右鍵元件版本,確認所連OSCE Server是否為新伺服器名稱和port
Q3:移回舊伺服器後,用戶端看不到Officescan 常駐程式,但是背景有運作
您是指說Client icon未顯示,還是點選其功能清單無法開啟?
確認pccntmon.exe、pccne.exe是否再執行?
Q4:新版Officescan 防火牆要開哪些Port?
Ports and protocols used by OfficeScan (OSCE) that should be allowed through a firewall or router http://esupport.trendmicro.com/solution/en-us/1054836.aspx
http://esupport.trendmicro.com/zh-tw/srf/twbizmain.aspx
Q5:使用Client Mover I/Ipxfer 工具來手動轉移OfficeScan 用戶端http://esupport.trendmicro.com/solution/zh-TW/1076243.aspx
Q6:[OSCE]用戶端移轉至新伺服器後,Client icon無法顯示,請參考以下步驟1.請在有問題用戶端執行以下指令:
開始>>執行,輸入\\<IP or Server Name>\ofcscan\Autopcc.exe
2.WEB Console>>代理程式>>代理程式管理>>選擇欲設定client>>權限和其他設定 OfficeScan 代理程式存取限制 確認是否選取"不允許使用者從系統匣或 Windows「開始」功能表存取 OfficeScan 代理程式主控台
2015年10月14日 星期三
Non-Broadcast Wireless SSIDs Why hidden wireless networks are a bad idea
隱藏wify ssid 是一件壞主意
Non-Broadcast Wireless SSIDs Why hidden wireless networks are a bad idea如下
http://blogs.technet.com/b/networking/archive/2008/02/08/non-broadcast-wireless-ssids-why-hidden-wireless-networks-are-a-bad-idea.aspx
訂閱:
文章 (Atom)