Submitted by admin on 2016, December 18, 7:24 PM
DNF新一代的RPM软件包管理器。他首先出现在 Fedora 18 这个发行版中。而最近,他取代了YUM,正式成为 Fedora 22 的包管理器。
DNF包管理器克服了YUM包管理器的一些瓶颈,提升了包括用户体验,内存占用,依赖分析,运行速度等多方面的内容。
DNF使用 RPM, libsolv 和 hawkey 库进行包管理操作。尽管它没有预装在 CentOS 和 RHEL 7 中,但你可以在使用 YUM 的同时使用 DNF 。
DNF 的最新稳定发行版版本号是 1.0,发行日期是2015年5月11日。 这一版本的额 DNF 包管理器(包括在他之前的所有版本) 都大部分采用 Pathon 编写,发行许可为GPL v2.
– 安装 DNF 包管理器
DNF 并未默认安装在 RHEL 或 CentOS 7系统中,但是 Fedora 22 已经默认使用 DNF .
1.为了安装 DNF ,您必须先安装并启用 epel-release 依赖。
在系统中执行以下命令:
# yum install epel-release
或者
# yum install epel-release -y
其实这里并没有强制使用”-y”的理由,相反的,在不使用”-y”的情况下,用户可以在安装过程中查看到底有哪些东西被安装进了系统。但对于没有这个需求的用户,您可以在 YUM 中使用”-y”参数来自动安装所有东西。
2.使用 epel-release 依赖中的 YUM 命令来安装 DNF 包。、
在系统中执行以下命令:# yum install dnf
然后, DNF 包管理器就被成功的安装到你的系统中了。接下来,是时候开始我们的教程了!在这个教程中,您将会学到27个用于 DNF 包管理器的命令。使用这些命令,你可以方便有效的管理您系统中的 RPM 软件包。现在,让我们开始学习 DNF 包管理器的27条常用命令吧!
linux | 评论:0
| Trackbacks:0
| 阅读:489
Submitted by admin on 2016, December 18, 12:27 PM
距去年6月的棱镜门事件已经过去一年了,密码学已然从计算机科学的角落一跃登上了舞台中央。用户隐私团体和日益壮大的加密技术企业开始向大众宣告,给一切事物——电子邮件、信息甚至极限运动的GIF图——进行加密,是有可能实现的。
当然,我们仍需要一步一个台阶地来建立起真正的个人在线隐私系统,但至少我们现在正在靠近这个目标。仅仅依靠加密来隐藏信息内容,却将信息发布者暴露在外是不够的。相反,如果用匿名密码工具完全隐藏自己的身份,成为畅游于网络里的“黑影人”,那么监听者可能都不知道上哪儿去找你的交流信息,更别提偷看了。“在网络森林里隐藏好自己。”安全专家布鲁斯·施耐尔(Bruce Schneier)给出了躲避国家安全局的贴心小提示,“越隐蔽,越安全。”
如何化身“黑影人”?
Tor(The Onion Router)或许不是网络匿名访问的唯一手段,但毫无疑问它是目前最流行、最受开发者欢迎的。这个免费、开源的程序可以给网络流量进行三重加密,并将用户流量在世界各地的电脑终端里跳跃传递,这样就很难去追踪它的来源。大部分的Tor用户只把它作为一个匿名浏览网页的工具,不过实际上它潜力十足:Tor软件可以在操作系统后台运行,创建一个代理链接将用户连接到Tor网络。随着越来越多的软件甚至操作系统都开始允许用户选择通过Tor链接发送所有流量,这使得你几乎可以用任何类型的在线服务来掩盖自己的身份。
Tor的logo。由于Tor可以通过层层保护将用户信息包裹起来,因此被形象地比作洋葱。图片来源:torproject.org
有些用户甚至会尝试把Tor用在他们所有的通信中。“这就像素食主义,”隐私活动家、前开发者鲁纳·山德维克(Runa Sandvik)说道,“你只吃特定的食物,我只用Tor。我上网的时候不会被定位,也不会被追踪,我喜欢这主意。”那具体操作过程应该是什么样的呢?这儿给出了各种保护你在线生活的“黑影人斗篷”。
浏览器
Tor浏览器是非盈利性质的Tor项目开发的一款免费应用。它是火狐浏览器的安全强化版,可以把你所有的网络流量都通过Tor的匿名网络加密。得益于三重加密系统和让流量在全球的电脑上传递,Tor浏览器可能是最接近真正的网络匿名的工具。
不过,坏消息是,它会很慢。
“浏览器的速度正在变快。”隐私专家米加·李(Micah Lee)说。在过去的一个多月里,除了浏览需要flash或者其他插件的网页,李已经将Tor当成了主要的浏览器。
在开始尝试一星期后,李表示换一个浏览器还没什么感觉。“虽然并非完全必须,不过也没什么不方便。”他说,“而且确实对我的个人隐私保护有好处。只要在网上,任何人在任何地方都会被追踪到,但你可以选择隐藏好自己。”
电子邮件
想发送匿名邮件?最简单的方法是使用Tor浏览器的电子邮件服务。不过首先你需要在Tor Mail申请一个新邮箱(该服务已于2013年8月10日下线)。不同于其他需要提供手机号码才能申请的邮箱(比如Gmail),申请Tor邮箱无需提供任何个人信息。
山德维克同时推荐了一款一次性的电子邮件服务:Guerrilla Mail。只需轻轻一点,你就可以建立一个新的、随机生成的邮箱。如果和Tor浏览器结合使用则效果拔群:没人(包括Guerrilla Mail本身)能通过这个临时邮箱追踪到你的IP地址。
然而对电子邮件进行信息加密可不是件容易的事儿。用户通常需要通过复制和粘贴来把信息弄进文本框,然后还要使用PGP(Pretty Good Privacy,一个隐私保护程序)来加密和解密。为了避免这一麻烦,李建议使用有隐私保护的邮件服务商,比如Riseup.net,或者使用 Mozilla开发的邮件程序Thunderbird、隐私插件Enigmail或者可以通过Tor发送信息的插件TorBirdy。
《名侦探柯南》中的“黑影人”一直是全剧中最神秘莫测(误)的角色。现在Tor技术可以让你在网上也做一个“黑影人”。图片来源:cswomen.cn
即时通讯工具
Adium和Pidgin是Mac以及Windows上最常用的支持加密协议OTR的即时通讯客户端,Tor也同样支持该软件。不过Tor现在正在打造一款更安全的匿名即时通信软件,Instant Bird。该软件预计将于在七月中旬面世。
大文件传输
Google Drive和Dropbox在用户隐私方面做得并不好,所以李开发了Onionshare,一个可以让任何人通过Tor传送大文件的开源软件。当你使用它时,程序会通过“Tor隐藏服务(Tor Hidden Service)”,创建一个本地的、临时的匿名网站。文件接收方需要得到一个以.onion为后缀的文件地址,然后就可以通过Tor浏览器安全、匿名地下载文件了。
移动设备
手机以及平板电脑上的匿名工具开发还远远落后于电脑,不过好在它们正在迎头赶上。“守卫项目(The Guardian Project)”开发了一个叫Orbot的APP,这样就能在Android系统上使用Tor了。手机上的浏览器、电子邮件和信息都能通过Orbot设置成使用Tor代理。
iOS设备目前还没有这类服务。不过iOS的应用程序商店里有Onion浏览器,这可以帮助iPhone和iPad用户匿名访问网络。Tor的开发者在今年4月修补了一些程序漏洞,不过目前该APP还不完善,山特维克建议用户再等待一段时间。实际上她建议敏感用户应当坚持使用更成熟的Tor桌面端服务:“如果我需要匿名,那么我可不会去考虑手机平台”。
其他
即使你使用Tor软件来在互联网中变身“黑影人”,你的电脑仍然会有少量信息泄露到网上。美国国家安全局甚至可以从未加密的Windows错误信息来辨别、追踪用户。攻击者也能通过你访问的网页来攻击你的电脑,突破你的浏览器,并发送未受保护的信息来暴露你的位置。
对于真正的偏执狂来说,使用鲜少有人知道、基于Tor匿名网络的Whonix操作系统是个好主意。这个系统会在本地创建多重虚拟主机,作为真实主机的映像。任何试图攻破计算机的攻击者将会被限制在虚拟主机中。
虚拟化是希望“黑影化”的用户的有力工具。李曾表示:“如果你的电脑被黑了,那一切都玩儿完了。而在线上交流时创建虚拟沙盒将会是保护你的电脑安全的有效方法。如果想要在网上真正的匿名,你还要做许多许多的安全工作。”(编辑:球藻怪)
匿名网络 | 评论:0
| Trackbacks:0
| 阅读:536
Submitted by admin on 2016, December 18, 12:26 PM
Tor Browser是一款可实现匿名访问互联网的工具,由于Tor技术基于将用户流量在世界各地的电脑终端里跳跃式进行传递,这样使得访问很难被追踪到。通常用于翻墙上国外网站,以及一些受限制的网站。下面就具体来了解一下Tor Browser洋葱浏览器的具体使用方法。
http://jingyan.baidu.com/article/335530da8b170419cb41c30c.html
匿名网络 | 评论:0
| Trackbacks:0
| 阅读:475
Submitted by admin on 2016, December 18, 12:24 PM
Tor 隐藏服务使用 .onion 域名。我将向你演示如何创建一个安全配置以阻止信息泄露、隐藏服务的 .onion 网站。
注意:这是严肃的话题。本向导目标是乐于运行 Linux 服务器的人群。注意安全。
一些基本提示:
- 不要在这台服务器上运行或做其它事情。
- 在新服务器或 VPS 上进行全新安装。
- 不要保留或运行来自 VPS 提供商那儿的任何服务。
- 用 Paypal 支付你的 VPS 服务,不过最好使用 Bitcoin。
- 不要向 VPS 提供关于你的任何身份信息。
- 不要在这台服务器上运行 Tor 中继,因为 Tor 中继在真实世界的公开 IP 是公开的。
- 不要从这台服务器发送电子邮件。
- 不要运行讨厌的或卑鄙的 web 软件。如果你的 web 软件有管理员登陆或管理员账号,把密码改成复杂的 26 个字符组成的密码。很多 Tor 网站被攻破只是某人猜到了管理员登陆密码。
- 避免使用任何 JavaScript 之类脚本的 web 软件。
- 确保你的 web 应用不会泄露任何错误信息或身份信息,比如在错误信息中的真实公开 IP。
- 审查 web 前端代码,确保它不会从 jquery.com、Google Fonts 或任何外部服务拉取资源。
- 及时做好 VPS 的安全更新。
本向导使用 nginx 为使用 Debian Wheezy 的 Tor 提供网站文件服务。nginx 将被配置为只监听 Tor,只可通过 Tor 访问。
nginx
如果你还没有它,请安装 nginx:
$ sudo apt-get install nginx
nginx默认会发送一个当前运行的版本信息广播。通过设置下面文件中的 server_tokens 为 off,以关闭 nginx 版本信息:
/etc/nginx/nginx.conf:
http {
…
server_tokens off;
…
在同样的文件,彻底关闭来自 nginx 的日志:
http {
…
##
# Logging Settings
##
#access_log /var/log/nginx/access.log;
#error_log /var/log/nginx/error.log;
error_log /dev/null crit;
配置 nginx 监听 localhost 8080 端口
下面是你可以找到的、一个完整的可获取的默认文件。
网站 html 文件的位置在 /usr/share/nginx/www,这是 Debian 默认位置(可以随意修改网站根目录!)。
/etc/nginx/sites-available/default
server {
listen 127.0.0.1:8080 default_server;
server_name localhost;
root /usr/share/nginx/www;
index index.html index.htm;
location / {
allow 127.0.0.1;
deny all;
}
}
重启 nginx
$ sudo service nginx restart
关闭 rsyslog 以关闭任何系统日志。
$ sudo apt-get remove –purge rsyslog
关闭所有可被用来发送邮件的 email MTA 软件。
$ sudo apt-get remove –purge exim
$ sudo apt-get remove –purge postfix
$ sudo apt-get remove –purge sendmail
删除 wget,如果被连累了,它可通过恶意脚本识别你的主机。
$ sudo apt-get remove wget
如果开启 ssh,关闭 Debian 版本信息,这可用于从公开 IP 识别出 Debian 版本。
/etc/ssh/sshd_config
DebianBanner no
安装 Tor
按照 torproject.rog 文档,像这里所演示的去添加 Debian repo,然后你可以从 Tor 项目代码库,通过 sudo apt-get install tor 来安装。
编辑 /etc/tor/torrc
现在 Tor 安装好了,编辑 /etc/tor/torrc 确保下面的几行是正确的:
HiddenServiceDir /var/lib/tor/hidden_service/
HiddenServicePort 80 127.0.0.1:8080
保持上面的文件,然后启动(或重启)Tor。
$ sudo service tor start
当 Tor 启动时,它仍然在你的 HiddenServiceDir 文件夹创建了私钥,也创建了你唯一的 .onion 主机名。
下面是这些文件的样子。当然,你应该永远不要暴露或显示你的私钥!保密。下面的密钥是供演示和学习之用。
root@starbuck:~# cd /var/lib/tor/hidden_service/
root@starbuck:/var/lib/tor/hidden_service# ls
hostname private_key
root@starbuck:/var/lib/tor/hidden_service# cat private_key
—–BEGIN RSA PRIVATE KEY—–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—–END RSA PRIVATE KEY—–
root@starbuck:/var/lib/tor/hidden_service# cat hostname
juyy62wplbkk7gzy.onion
root@starbuck:/var/lib/tor/hidden_service#
配置并使用防火墙
启用防火墙,有选择地允许 22 端口。如果稍微偏执些,根本不要允许 22 端口,仅仅从提供商的控制面板控制台来管理。
$ sudo apt-get install ufw
$ sudo ufw allow ssh
$ sudo ufw enable
运气好的话,你现在应该看到基于 .onion 地址的默认 nginx 页面了!
匿名网络 | 评论:0
| Trackbacks:0
| 阅读:529
Submitted by admin on 2016, December 16, 11:14 AM
http://zj1991.blog.51cto.com/1847949/1609068
目前好多做DNS解析的服务,都采用了bind开源软件。好处就不多说了。但是在安全方面是个软肋,遭受DDOS流量攻击和放大攻击是常有的事情。在14年12月isc发布了最新的bind9.10-p1稳定版,同时对rate-limit默认支持(之前bind9.9的扩展支持版本,同样支持处于开发功能,需要在编译安装的时候./configure --enable-rrl开启rate-limit功能)。rate-limit可以有效防止放大攻击和DDOS流量攻击。
DDOS流量攻击就不多说了,关于放大攻击原理,大家可参考博文:
http://blog.sina.com.cn/s/blog_90bb1f200101iazl.html
http://blog.csdn.net/yatere/article/details/6418888
https://blog.cloudflare.com/deep-inside-a-dns-amplification-ddos-attack/
isc官方对放大攻击的解释:
https://kb.isc.org/article/AA-00897/11/What-is-a-DNS-Amplification-Attack.html
了解了DNS放大攻击后,我们来看下bind最新功能rate-limit的使用方法:
isc官方给出的说明:
https://kb.isc.org/article/AA-00994/189/Using-the-Response-Rate-Limiting-Feature-in-BIND-9.9-Subscription-Version.html
在我们的named.conf配置文件中,添加方法可参考如下配置方式:
1
2
3
4
5
6
7
8
9
10
11
12
options{
.......
rate-limit {
ipv4-prefix-length 32;
window 10;
responses-per-second 20;
errors-per-second 5;
nxdomains-per-second 5;
slip 2;
};
..........
};
关于参数具体使用说明情况,大家可参考bind手册Page53-P59的说明情况。
同样,在此之前,或者不愿升级bind的,可通过iptables防止DDOS攻击和放大攻击
iptables -A INPUT -p udp --dport 53 -m recent --set --name dnslimit
iptables -A INPUT -p udp --dport 53 -m recent --update --seconds 60 --hitcount 11 --name dnslimit -j DROP
效果也不错。大家可有选择性的去使用。
雖然這些查詢被deny,但是持續不斷,真如殭屍一般,對系統造成不小的壓力,所以,根據 之前log的特徵值,以iptables進行封檔 iptables -t raw -A PREROUTING -p udp --dport 53 -m string --algo bm --hex-string "|0000ff0001|" -j DROP
http://kecheng.baidu.com/view/723365f2bceb19e8b9f6ba5f.html
dns | 评论:0
| Trackbacks:0
| 阅读:526
Submitted by admin on 2016, December 16, 11:13 AM
yum install -y samba
chkconfig --level 35 smb on
vi /etc/samba/smb.conf
[web]
comment = web
path = /data/web
browseable = yes
writable = yes
chown webd.webd web
system user,etc:webd
useradd webd
添加smb用户
/usr/local/samba/bin/smbpasswd -a webd
列出共享目录
smbclient -L 127.0.0.1 -U webd%123456
进入命令行模式
smbclient //127.0.0.1/web -U webd%123456
---------------------------
1,列出某个IP地址所提供的共享文件夹
smbclient -L 198.168.0.1 -U username%password
2,像FTP客户端一样使用smbclient
smbclient //192.168.0.1/tmp -U username%password
执行smbclient命令成功后,进入smbclient环境,出现提示符: smb:/> 这时输入?会看到支持的命令
这里有许多命令和ftp命令相似,如cd 、lcd、get、megt、put、mput等。通过这些命令,我们可以访问远程主机的共享资源。
3,直接一次性使用smbclient命令
smbclient -c "ls" //192.168.0.1/tmp -U username%password
和
smbclient //192.168.0.1/tmp -U username%password
smb:/>ls
功能一样的
例,创建一个共享文件夹
smbclient -c "mkdir share1" //192.168.0.1/tmp -U username%password
如果用户共享//192.168.0.1/tmp的方式是只读的,会提示
NT_STATUS_ACCESS_DENIED making remote directory /share1
4,除了使用smbclient,还可以通过mount和smbcount挂载远程共享文件夹
挂载 mount -t cifs -o username=administrator,password=123456 //192.168.0.1/tmp /mnt/tmp
取消挂载 umount /mnt/tmp
linux | 评论:0
| Trackbacks:0
| 阅读:527
Submitted by admin on 2016, December 16, 11:11 AM
按照节点上的安装方法,安装完成后,再如下操作,完成https的添加和配置
yum install -y openssl-devel
cd /tmp
cd squid-3.1.22
make clean
./configure \
--prefix=/www/wdlinux/squid-3.1.22 \
--with-pthreads \
--enable-storeio="aufs,ufs" \
--enable-async-io \
--disable-internal-dns \
--enable-stacktraces \
--disable-ident-lookups \
--enable-removal-policies='heap,lru' \
--with-aio \
--with-filedescriptors=65536 --enable-ssl
make
make install
完成后,修改下配置文件
vim /www/wdlinux/squid/etc/squid.conf
在 http_port 80 vhost vport 行下面,添加如下一行
https_port 443 cert=/www/wdlinux/squid/etc/3_user_www.zgnpo.com.crt key=/www/wdlinux/squid/etc/4_user_www.zgnpo.com.key defaultsite=www.zgnpo.com
将证书文件传到
/www/wdlinux/squid/etc/目录下
然后重起下服务
service squid restart
就可以了
squid/缓存 | 评论:0
| Trackbacks:0
| 阅读:586
Submitted by admin on 2016, December 16, 11:10 AM
--prefix=/usr/local/squid --enable-dlmalloc --with-pthreads --enable-epoll --enable-stacktrace --enable-removal-policies=heap,lru --enable-delay-pools --enable-storeio=aufs,coss,diskd,ufs --enable-snmp
range_offset_limit -1
quick_abort_min -1 KB
refresh_pattern -i \.flv$ 1440 50% 2880 ignore-reload
http://bbs.linuxtone.org/thread-1933-1-1.html
使用Squid筹建内网视频缓存系统
http://www.myexception.cn/operating-system/2024535.html
squid/缓存 | 评论:0
| Trackbacks:0
| 阅读:558
