RHEL5建立自己的yum源服务器
[
2009/03/22 00:17 | by askwan ]
2009/03/22 00:17 | by askwan ]
为了解决软件包的依赖问题,红帽系列发行版最好的方式是利用yum,但用红帽子的yum源安装软件有诸多限制,弃之,还有两种方法,一个是用centos对应版本的yum源,不过centos一般都是慢rhel半拍才出来,第二是自己用rhel安装光盘文件里的文件构建yum源,这里以http方式(还可以本地光盘方式,本地文件方式),本文记录简要过程,仅供参考。
1.挂载安装光盘到系统
2.复制文件到web服务器rhel5目录下
3.重建记录分组文件
首先,确认系统已经安装createrepo包。
1.挂载安装光盘到系统
mount /dev/cdrom /media/
2.复制文件到web服务器rhel5目录下
cp -fr /media/* /var/www/htm/rhel5
3.重建记录分组文件
首先,确认系统已经安装createrepo包。
绿盟科技的极光远程安全评估系统扫描到的Mysql服务器漏洞
[ 2009/02/26 13:07 | by askwan ]
2009/02/26 13:07 | by askwan ]
今天一朋友公司的服务器在用绿盟科技的极光远程安全评估系统扫描后,发现不少Mysql漏洞,问我怎么搞。
我上服务器看了一下,用的是mysql 5.0.37 这个版本的 。
扫描到的漏洞如下:
咋一看,漏洞还真多啊,把俺着实吓到了,呵呵
不过说真的,这些漏洞还只能升级Mysql到比较新的版本才行,可是升级来升级去,还真相当麻烦,按照朋友的话说,“运行的好好的,有必要升级吗?”
绿盟科技的这个扫描系统是机器执行自动扫描活动的,那么必定是有方法让其没办法扫描到的目标服务器某些服务,否则,每经过一段时期,扫描系统都会更新一次各种漏洞信息,再次对目标系统服务扫描依旧会发现太多太多的东西你需要时常的升级,而升级都是比较耗费时间的,搞不好容易出现各种问题。加之Mysql一直在升级,一年十几甚至几十个版本,这可难为技术的了 呵呵
在具体询问和分析了一下朋友这家公司的服务器结构后,发现这台PC服务器前面和里面都没有部署或者安装任何形式的防火墙,80 ,3306 ,22这些端口全部向外开放,也没有做啥安全措施,几乎是全裸在公网上……这其实是一个普遍现象,不少单位没有专门搞安全的技术人员,也没有什么人关注安全这个问题,才有今天这一事
由于客户数据库服务器和web服务器都是在一台服务器上,所以用不着向外面开放3306,这可以通过tcpwarpper或者本机的iptables搞定:
随后,只开放了一个80和一个sshd服务,sshd限制IP登录,在本机给配了个流量监控和snort入侵检测系统,有啥异常也好知道发生了什么事情,这样搞了一下后,Mysql方面的漏洞存再用极光扫描,扫描不到了,可以等到Mysql出一个稳定的版本出来之后再考虑升级的问题了。
我上服务器看了一下,用的是mysql 5.0.37 这个版本的 。
扫描到的漏洞如下:
MySQL IF查询处理远程拒绝服务漏洞
MySQL Server权限提升及拒绝服务漏洞
MySQL服务器RENAME TABLE系统表格覆盖漏洞
MySQL Rename Table函数访问验证漏洞
MySQL SQL SECURITY INVOKER存储过程权限提升漏洞
MySQL权限提升及安全限制绕过漏洞
MySQL MyISAM表绕过权限检查漏洞
MySQL命令行客户端HTML注入漏洞
MySQL访问验证及拒绝服务漏洞
远程MySQL Server版本泄露
MySQL Server权限提升及拒绝服务漏洞
MySQL服务器RENAME TABLE系统表格覆盖漏洞
MySQL Rename Table函数访问验证漏洞
MySQL SQL SECURITY INVOKER存储过程权限提升漏洞
MySQL权限提升及安全限制绕过漏洞
MySQL MyISAM表绕过权限检查漏洞
MySQL命令行客户端HTML注入漏洞
MySQL访问验证及拒绝服务漏洞
远程MySQL Server版本泄露
咋一看,漏洞还真多啊,把俺着实吓到了,呵呵
不过说真的,这些漏洞还只能升级Mysql到比较新的版本才行,可是升级来升级去,还真相当麻烦,按照朋友的话说,“运行的好好的,有必要升级吗?”
绿盟科技的这个扫描系统是机器执行自动扫描活动的,那么必定是有方法让其没办法扫描到的目标服务器某些服务,否则,每经过一段时期,扫描系统都会更新一次各种漏洞信息,再次对目标系统服务扫描依旧会发现太多太多的东西你需要时常的升级,而升级都是比较耗费时间的,搞不好容易出现各种问题。加之Mysql一直在升级,一年十几甚至几十个版本,这可难为技术的了 呵呵
在具体询问和分析了一下朋友这家公司的服务器结构后,发现这台PC服务器前面和里面都没有部署或者安装任何形式的防火墙,80 ,3306 ,22这些端口全部向外开放,也没有做啥安全措施,几乎是全裸在公网上……这其实是一个普遍现象,不少单位没有专门搞安全的技术人员,也没有什么人关注安全这个问题,才有今天这一事
由于客户数据库服务器和web服务器都是在一台服务器上,所以用不着向外面开放3306,这可以通过tcpwarpper或者本机的iptables搞定:
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD DROP
…………
/sbin/iptables -A INPUT -p tcp --dport 3306 -j DROP
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD DROP
…………
/sbin/iptables -A INPUT -p tcp --dport 3306 -j DROP
随后,只开放了一个80和一个sshd服务,sshd限制IP登录,在本机给配了个流量监控和snort入侵检测系统,有啥异常也好知道发生了什么事情,这样搞了一下后,Mysql方面的漏洞存再用极光扫描,扫描不到了,可以等到Mysql出一个稳定的版本出来之后再考虑升级的问题了。
与Innodb引擎有关的配置说明
[ 2009/02/18 17:34 | by askwan ]
2009/02/18 17:34 | by askwan ]
skip-inodb
不加载INODB数据引擎驱动,如果项目不使用INNODB引擎,可以关闭,以节省系统内存
innodb-file-per-table
设置以后,为每个新数据表分别创建一个表空间tablespace文件,默认情况下都放在一个文件里,这样有弊端,以后我在自己博文中将单独对这个地方进行说明。
innodb_buffer_pool_size
innodb的缓冲区大小,用来存放数据和索引,Innodb在线的文档表示要设置为机器内存的50%-80%来做这个缓冲区!
这个可以说是Innodb引擎下配置选项中最关键的参数选项了,对性能的影响也是最大的。
innodb_log_buffer_size
InnoDB事务日志文件缓冲区大小,默认8M
innodb_flush_method
Innodb日志文件同步刷新的方法,取值有两个 fdatasync ,O_DSYNC,只是Uinx和linux系统下两个不同的调用函数区别。
innodb_additional_mem_pool_size
innodb用于内部管理的各种数据结果分配的缓冲区大小,默认1M
innodb_data_home_dir
InnoDB数据文件的主目录
innodb_data_file_path
Innodb 数据文件配置方式
innodb_log_files_in_group
Innodb使用多少个日志文件,默认2
innodb_log_file_size
Innodb日志文件最大限制尺寸,默认5M
innodb_lock_wait_timeout
等待数据锁的超时时间,可以避免死锁,超过这个时间没有获取结果,就ROOLBACK回滚放弃。
innodb_flush_log_at_trx_commit
Innodb日志提交的方式,0,1,2可供取值,0表示每间隔一秒就写一次日志并进行同步,减少了硬盘写操作次数,可以提高性能,1表示每执行完COMMIT就写一次日志并进行同步,默认值,2表示每执行完一次COMMIT写一次日志,每间隔一秒进行一次同步,这个参数在Innodb里同样是关键参数,对性能影响较大。
innodb_force_recovery
在Innodb的自动恢复失败后,从Crash中强制启动
不加载INODB数据引擎驱动,如果项目不使用INNODB引擎,可以关闭,以节省系统内存
innodb-file-per-table
设置以后,为每个新数据表分别创建一个表空间tablespace文件,默认情况下都放在一个文件里,这样有弊端,以后我在自己博文中将单独对这个地方进行说明。
innodb_buffer_pool_size
innodb的缓冲区大小,用来存放数据和索引,Innodb在线的文档表示要设置为机器内存的50%-80%来做这个缓冲区!
这个可以说是Innodb引擎下配置选项中最关键的参数选项了,对性能的影响也是最大的。
innodb_log_buffer_size
InnoDB事务日志文件缓冲区大小,默认8M
innodb_flush_method
Innodb日志文件同步刷新的方法,取值有两个 fdatasync ,O_DSYNC,只是Uinx和linux系统下两个不同的调用函数区别。
innodb_additional_mem_pool_size
innodb用于内部管理的各种数据结果分配的缓冲区大小,默认1M
innodb_data_home_dir
InnoDB数据文件的主目录
innodb_data_file_path
Innodb 数据文件配置方式
innodb_log_files_in_group
Innodb使用多少个日志文件,默认2
innodb_log_file_size
Innodb日志文件最大限制尺寸,默认5M
innodb_lock_wait_timeout
等待数据锁的超时时间,可以避免死锁,超过这个时间没有获取结果,就ROOLBACK回滚放弃。
innodb_flush_log_at_trx_commit
Innodb日志提交的方式,0,1,2可供取值,0表示每间隔一秒就写一次日志并进行同步,减少了硬盘写操作次数,可以提高性能,1表示每执行完COMMIT就写一次日志并进行同步,默认值,2表示每执行完一次COMMIT写一次日志,每间隔一秒进行一次同步,这个参数在Innodb里同样是关键参数,对性能影响较大。
innodb_force_recovery
在Innodb的自动恢复失败后,从Crash中强制启动
让nginx启用SSI支持shtml
[ 2009/02/04 14:53 | by askwan ]
2009/02/04 14:53 | by askwan ]
apache下配很easy,今才发现nginx 也有内置的SSI 模块 ngx_http_ssi_module ,赞一个
配置文件开启
这样就可以支持shtml了
配置文件开启
ssi on;
ssi_silent_errors on;
ssi_types text/shtml;
ssi_silent_errors on;
ssi_types text/shtml;
这样就可以支持shtml了
