小桥的记事本 » Linux

在Linux NAT服务器上做流量控制

小桥 — Sun, 27 Feb 2011 02:44:11 +0000

公司用的是6M专线，如果有人在内网用迅雷之类的软件下载大的文件，就会把带宽全部占满，收发邮件、浏览网页都非常慢。于是把NAT服务器换成Linux系统，使用tc做流量控制。目前使用看上去还好，后面可能会再做一些优化。

CentOS 5.2 SELinux

小桥 — Sun, 12 Oct 2008 14:49:36 +0000

CentOS 5.2，在启用SELinux的情况下配置vsftpd使用pam_mysql做用户认证和安装Zend Optimizer v3.3.3还是有点麻烦的，需要改SELinux的规则才能使用。
首先，
#cd /usr/local/Zend #find lib -type d -exec chcon -t lib_t {} \; #find lib -name "*.so" -exec chcon -t textrel_shlib_t {} \;
接着编辑/etc/selinux/targeted/modules/local.te文件如下：

module local 1.0;
require {
type httpd_t;
type ftpd_t;
type mysqld_db_t;
type mysqld_var_run_t;
type mysqld_t;
class process { execstack execmem execheap };
class dir search;
class sock_file write;
class unix_stream_socket connectto;
class capability { dac_read_search dac_override };
}
#============= httpd_t ==============
allow httpd_t self:process { execstack execmem execheap };
#============= ftpd_t ==============
allow ftpd_t mysqld_db_t:dir search;
allow ftpd_t mysqld_t:unix_stream_socket connectto;
allow ftpd_t mysqld_var_run_t:sock_file write;
allow ftpd_t self:capability { dac_read_search dac_override };

然后运行以下命令：
checkmodule -M -m -o local.mod local.te semodule_package -o local.pp -m local.mod semodule -i ./local.pp
还要运行一下这个命令，vsftpd才能让本地/虚拟用户正常登陆
setsebool -P ftp_home_dir 1

如果还有什么不正常，参考audit2allow -a /var/log/audit/audit.log

PXE安装CentOS5

小桥 — Mon, 29 Sep 2008 16:00:05 +0000

CentOS5.2有7张CD，刻盘安装太麻烦。刻DVD倒是只需要一张光盘，但是准备安装系统的服务器又没带DVD光驱，用DVD安装还得接外置的光驱。
于是考虑使用PXE安装，google搜索查看一些文档后，使用以下步骤进行安装：
1、下载TFTPD32，运行之，配置如下图所示；

2、把CentOS5.2 ISO文件里面的images\pxeboot目录复制到tftpd32目录；
3、把ISO里面的isolinux\*msg复制到tftpd32\pxeboot；
4、在tftpd32新建pxelinux.cfg目录，把ISO里面的isolinux\isolinux.cfg复制到pxelinux.cfg，并重命名为default，修改如下；
default linux prompt 1 timeout 600 display pxeboot/boot.msg F1 pxeboot/boot.msg F2 pxeboot/options.msg F3 pxeboot/general.msg F4 pxeboot/param.msg F5 pxeboot/rescue.msg label linux kernel pxeboot/vmlinuz append initrd=pxeboot/initrd.img label linux32 kernel pxeboot32/vmlinuz append initrd=pxeboot32/initrd.img label text kernel pxeboot/vmlinuz append initrd=pxeboot/initrd.img text label ks kernel pxeboot/vmlinuz append ks initrd=pxeboot/initrd.img label local localboot 1
5、下载SYSLINUX，将pxelinux.0文件复制到tftpd32目录；
6、用DAEMON Tools加载CentOS的DVD ISO文件，安装一个WEB服务器软件，设置其主目录为CentOS虚拟光驱。
7、重启服务器，按F12选择PXE启动。

把bash覆盖了,咋整?

小桥 — Sun, 29 May 2005 10:44:36 +0000

在一个论坛上面看到有人说他把/bin/bash覆盖了，重启不能正常启动。hoho，启动脚本都是需要bash的，当然不能启动啦-_-#。给他回了个帖子，没有看到他说我的方法行不行。唉!早就料到是这样，所以我一般都不re贴的。
我尝试用Trustix 2.2重现一下他的问题，但是发现Trustix还是能够用root登录的。这也说明了Trustix的开发者考虑到了这个问题，root用户的shell是/sbin/bash，/bin/bash挂了，root还是可以登录。嗯…还是用我贴的那个办法来解决这个问题吧。
启动机器，出现Grub菜单的时候在菜单项上按’e'，然后用方向键选上”kernel …”那一行，再按’e'。在后面加上” init=/bin/ash”(ash这个包一般都是安装了的，估计tcsh也可以吧，如果安装了的话)，回车，按’b'启动。一会就可以看到’#'提示符啦。
mount /proc mount / -o remount,rw rpm -e bash --nodeps mount /mnt/cdrom rpm -ivh /mnt/cdrom/....../bash-xx.rpm mount / -o remount,ro /sbin/halt -p
按”Power”键吧，一切正常;-)

Linux机器中病毒,hoho

小桥 — Thu, 26 May 2005 14:08:46 +0000

一台Linux的机器，在上面随意敲几下ps，居然出来一堆帮助信息。nnd，难道是我敲错了参数？再看，没错啊~~~再敲一遍，还是有问题。难道是……ps被替换了？rpm -qf /bin/ps，知道ps是procps包的。于是rpm -V procps，fk！果然是被人替换了，netstat也不能幸免。用find -ctime找了一下，发现/bin、/usr/bin下n多文件被改动过。把那些文件移动到一个新建的目录里面，从RH的ftp下载那些rpm包，rpm2cpio xxx.rpm | cpio -divm 把文件解出来，cp到相应的地方，但是rpm -V发现还是有问题:(。

受不了啦，嗯，机器上装了ClamAV，就用它scan一下吧。netstat: Linux.RST.B FOUND！汗！以前在某个BBS看到有人说装RH Linux的机器中了这个病毒，居然我也碰到了，运气不错啊。cp也染毒了，所以刚才cp过去的文件当然有问题啦。这个…怎么办呢？噢，/bin/mv还是可以用的，哈哈。经过一阵替换，OK。
netstat看一下，有几个陌生的端口。telnet看了一下，有一个是ssh后门吧。ps发现一个”smbd -D”的进程，这是有问题滴。

Google了一下，找到一些相关的东西。唉，日志都被删掉了，没意思啊。接着升级一下软件包、内核，hoho。