小桥的记事本 » 技术

CentOS 5.2 SELinux

小桥 — Sun, 12 Oct 2008 14:49:36 +0000

CentOS 5.2，在启用SELinux的情况下配置vsftpd使用pam_mysql做用户认证和安装Zend Optimizer v3.3.3还是有点麻烦的，需要改SELinux的规则才能使用。
首先，
#cd /usr/local/Zend #find lib -type d -exec chcon -t lib_t {} \; #find lib -name "*.so" -exec chcon -t textrel_shlib_t {} \;
接着编辑/etc/selinux/targeted/modules/local.te文件如下：

module local 1.0;
require {
type httpd_t;
type ftpd_t;
type mysqld_db_t;
type mysqld_var_run_t;
type mysqld_t;
class process { execstack execmem execheap };
class dir search;
class sock_file write;
class unix_stream_socket connectto;
class capability { dac_read_search dac_override };
}
#============= httpd_t ==============
allow httpd_t self:process { execstack execmem execheap };
#============= ftpd_t ==============
allow ftpd_t mysqld_db_t:dir search;
allow ftpd_t mysqld_t:unix_stream_socket connectto;
allow ftpd_t mysqld_var_run_t:sock_file write;
allow ftpd_t self:capability { dac_read_search dac_override };

然后运行以下命令：
checkmodule -M -m -o local.mod local.te semodule_package -o local.pp -m local.mod semodule -i ./local.pp
还要运行一下这个命令，vsftpd才能让本地/虚拟用户正常登陆
setsebool -P ftp_home_dir 1

如果还有什么不正常，参考audit2allow -a /var/log/audit/audit.log

用上了Fedora 8

小桥 — Sat, 10 Nov 2007 16:41:34 +0000

前一段时间安装了OpenSUSE，但是使用起来不是很习惯。Fedora 8发布了，于是赶紧把F8的DVD ISO下载下来。因为我用的本本没有光驱，所以选择了网络安装。在另外一台机器上面跑个Apache，在安装时选择HTTP方式。

Fedora 8不像OpenSUSE 10.3那样默认就启动了NetworkManager服务。对使用笔记本的用户来说不是很方便，需要自己动手改一下。在系统启动的时候F8的网络启动脚本会傻乎乎的尝试把wlan0激活，直到超时出错，于是把network服务停了，登陆到桌面之后用NetworkManager配置网络。

安装OpenSUSE 10.3

小桥 — Sun, 28 Oct 2007 16:38:00 +0000

周末没事下载了OpenSUSE 10.3 GNOME桌面的ISO文件。OpenSUSE提供了Windows本地安装工具，把ISO文件解压之后，运行解压目录里的exe文件即可。其实就是安装一个Grub，拷贝一些文件并修改boot.ini，重启Window就会看到多了一个安装SUSE 10.3的选项。

如果只把ISO解到一个分区，安装程序是可以正常运行的，但是到了安装软件包时会提示说安装源所在分区不能mount，这个应该是安装程序的bug。于是在Windows下把解压得到的目录在另外已经分区也复制一份，开始安装软件包时再提示出错，修改安装源为另一分区即可进行下去。

OpenSUSE 10.3默认已经安装了Xgl和Compiz，运行YaST，启用显卡的3D加速，然后在终端里面敲一下 #gnome-xgl-switch –enable-xgl。重新登录就可以看到很cool的3D桌面效果了。

升级到WordPress 2.2，解决乱码的问题

小桥 — Sat, 19 May 2007 15:39:49 +0000

WordPress 2.2发布了，于是就动手把这个Blog升级了一下。但是升级完就郁闷了，中文都是乱码。赶紧Google搜索“MySQL WordPress2.2 乱码 utf8”这几个关键字，找到一个临时解决办法，就是把wp-config.php里面的两行代码注释掉。//define('DB_CHARSET', 'utf8'); //define('DB_COLLATE', '');

但是这样还是治标不治本，又看了很多帖子，终于把问题解决。mysqldump --compatible=mysql40 wordpress -p >/tmp/wp-40.sql mysql>drop database wordpress; mysql>create database wordpress default character set utf8 collate utf8_general_ci; mysql -p wordpress --default-character-set=utf8 < /tmp/wp-40.sql

在FC5装Xen3

小桥 — Mon, 25 Sep 2006 04:12:59 +0000

老早就听说Xen是个好东西，但是一直没有尝试安装它。上周五没什么事，就试了一把。在Fedora Core 5安装Xen非常简单，yum install xen kernel-xen0 kernel-xenU即可以完成安装。

貌似SELinux的策略有点问题，如果开着SELinux，xend服务就不能启动。于是修改menu.lst，在xen0那里加上enforcing=0。

DomainU的系统可以从jailtime下载，我下载的是CenOS4.4的img。它里面带的cfg文件是xen2的，用那个配置文件也可以把VM启动起来，只是会提示一个参数过时。

病毒？杀病毒？

小桥 — Fri, 07 Jul 2006 11:47:45 +0000

某客户发现他们那里很多机器都有一个奇怪的进程，文件名是6位随机的字母或数字。在%WINDOWS/temp目录下面，把这个进程终止，这文件就消失了，重启之后又出现一个。

奇怪啊，机器的启动组里面没有什么异常，只好把这个文件拷贝一份看看了。strings看到这个文件的一个字符串”ofcdog.exe”，google之，得知它是趋势的一个用来监控趋势杀毒软件进程的，避免杀毒软件被病毒干掉。病毒越来越流氓，杀毒软件也只好这样干了，寒一个！！

拒绝服务攻击

小桥 — Sat, 22 Apr 2006 08:31:44 +0000

突然发现ssh连接上服务器之后，敲个命令N长时间都没有反应，第一个反应就是被拒绝服务攻击啦。拒绝服务攻击我是见过很多了-_-!!是垃圾邮件？先把Postfix关了…我倒，postfix stop这么命令敲了很长时间都没反应，算了，直接kill之。但是这时服务器负载还是很高，于是killall -9 httpd。还是不行，不过ps命令已经可以列出进程了，看到proftpd的进程N多。终止proftpd后负载就一下子降下来了，那攻击者很可能就是对proftpd进行全连接攻击了，因为这台服务器ftp提供下载的东西很少，不应该有那么多连接建立的。

按顺序开启mail、web服务，没什么问题。再开ftp，服务器的负载又上升了，基本确定是针对21端口的攻击。这台破机器装的是RH9，唉唉，他带的iptables太老了。于是从Fedora那里下载了FC3的iptables-1.2.11-3.1.FC3.src.rpm，重新编译打包并安装，这样就有一个libipt_connlimit.so可以用了。嗯，还需要一个内核模块，从netfilter的ftp下载patch-o-matic-ng解压，./runme connlimit，然后重新编译内核模块，把得到的ipt_connlimit.o拷到相应的目录，depmod -a;iptables -A INPUT -i eth0 -p tcp -m tcp –dport 21 –tcp-flags SYN,RST,ACK SYN -m connlimit –connlimit-above 3 –connlimit-mask 32 -j REJECT –reject-with tcp-reset。问题解决:)

在RH9试了一下Apache2.2

小桥 — Sun, 16 Apr 2006 15:32:50 +0000

用worker MPM，PHP当然就开了Thread Safety，但是发现这样不太稳定，可能是与RH9的NTPL有关系吧，RH9好像是第一个用NTPL的发行版。现在把MPM换回Apache默认的prefork了*_^，稳定第一……
//刚才访问某个sina blog，居然提示：

“Warning: Sablotron error on line 2: XML parser error 9: junk after document element in /data1/apache/htdocs/blog_pub/sns/transform.php on line 10”

安装了Fedora Core 5

小桥 — Sat, 08 Apr 2006 04:19:45 +0000

昨天晚上在笔记本上装了FC5，并把原来安装的Ubuntu给咔嚓了。感觉它的安装程序做得越来越好了，点几下NEXT就可以顺利的安装上。安装程序、启动画面、GNOME的默认桌面都是统一的风格，让人感觉很好。

SELinux我当然是开着的，装FC5的一个目的就是看看它的SELinux有什么新的变化。当然，这也会带来一些麻烦，比如安装Firefox的flash插件，提示已经安装，但是又不能加载。后来想到这可能是SELinux的问题，dmesg看了一下，果然如此：

audit(1144467923.814:36): avc: denied { execmod } for pid=19505 comm=”firefox-bin” name=”libflashplayer.so” dev=dm-0 ino=393764 scontext=user_u:system_r:unconfined_t:s0 tcontext=user_u:object_r:user_home_t:s0 tclass=file

于是参考Firefox自带插件的context，做了如下修改：

chcon -t lib_t ~/.mozilla/plugins/flashplayer.xpt
chcon -t textrel_shlib_t ~.mozilla/plugins/libflashplayer.so

小狐狸就可以显示Flas动画了！^_*

上BBS当然需要个好工具啦，我不喜欢QT的程序，装完FC5就yum remove qt了，嘻嘻。到这里下载PCManX解压，先./configure一下，可以生成一个pcmanx-gtk2.spec，但是这个SPEC文件有点问题，需要在%file那部分加上：

/usr/lib/libpcmanx_core.so.0
/usr/lib/libpcmanx_core.so.0.0.0

然后就可以用这个SPEC文件打一个rpm包了。把它安装上，连接202.113.16.117，把它添加到收藏夹。PCManX显示的默认字体是反锯齿的，上BBS效果是很好不好。在“编辑”->“个人偏好设置”把反锯齿去掉，同时把鼠标支持也打开(没办法，习惯了Cterm)，用起来感觉挺好的。

QQ当然也得用上啦，不然没办法跟同学联系(非工作时间我很上登录MSN:P)。从LumaQQ下载最新的包，FC5带gcj不能跑luma，需要从sun的网站下载jre1.5.0的rpm包。安装sun jre后，做下面的工作：

alternatives –install /usr/bin/java java /usr/java/jre1.5.0_06/bin/java 150
alternatives –config java

*+ 1 /usr/lib/jvm/jre-1.4.2-gcj/bin/java
2 /usr/java/jre1.5.0_06/bin/java

选上刚添加的”2″，然后就可以运行LumaQQ了。

FC5的媒体播放器是不支持mp3播放的，也没有支持ntfs文件系统的模块，这些可以在linva下载到。如果用的是ATI/Nvidia的显卡，也能通过linva方便的把显卡驱动给装上。

rpm -ivh http://rpm.livna.org/livna-release-5.rpm

yum install gstreamer-plugins-ugly kmod-ntfs

然后就可以mount ntfs文件系统了，totem和rhythmbox也就可以播放mp3啦。

PPTP VPN的问题

小桥 — Mon, 06 Mar 2006 02:21:45 +0000

用pptpd建了个VPN，用WinXP的vpn客户端拨上，发现不能通过它登陆MSN，但很多网站访问都没有问题的，QQ也可以登陆。猜测是mtu的问题，于是ifconfig ppp0 mtu 1496。重新登陆，一切正常，哈哈！

为了不用每次都敲一遍命令，建立/etc/ppp/ip-up.local

#!/bin/bash /sbin/ifconfig $1 mtu 1496

当然，不要忘了给它加上可执行权限;-)。