工作,学习,生活,这里将会有一些记录. 备用域名:http://meisw.wdlinux.cn 注册 | 登陆
浏览模式: 标准 | 列表全部文章

洋葱浏览器(Tor Browser)怎么下载使用

Submitted by admin on 2016, December 18, 12:26 PM

 Tor Browser是一款可实现匿名访问互联网的工具,由于Tor技术基于将用户流量在世界各地的电脑终端里跳跃式进行传递,这样使得访问很难被追踪到。通常用于翻墙上国外网站,以及一些受限制的网站。下面就具体来了解一下Tor Browser洋葱浏览器的具体使用方法。


http://jingyan.baidu.com/article/335530da8b170419cb41c30c.html

匿名网络 | 评论:0 | Trackbacks:0 | 阅读:477

如何创建一个 Tor .onion 网站

Submitted by admin on 2016, December 18, 12:24 PM

 

 

Tor 隐藏服务使用 .onion 域名。我将向你演示如何创建一个安全配置以阻止信息泄露、隐藏服务的 .onion 网站。

注意:这是严肃的话题。本向导目标是乐于运行 Linux 服务器的人群。注意安全。

一些基本提示:

  • 不要在这台服务器上运行或做其它事情。
  • 在新服务器或 VPS 上进行全新安装。
  • 不要保留或运行来自 VPS 提供商那儿的任何服务。
  • 用 Paypal 支付你的 VPS 服务,不过最好使用 Bitcoin。
  • 不要向 VPS 提供关于你的任何身份信息。
  • 不要在这台服务器上运行 Tor 中继,因为 Tor 中继在真实世界的公开 IP 是公开的。
  • 不要从这台服务器发送电子邮件。
  • 不要运行讨厌的或卑鄙的 web 软件。如果你的 web 软件有管理员登陆或管理员账号,把密码改成复杂的 26 个字符组成的密码。很多 Tor 网站被攻破只是某人猜到了管理员登陆密码。
  • 避免使用任何 JavaScript 之类脚本的 web 软件。
  • 确保你的 web 应用不会泄露任何错误信息或身份信息,比如在错误信息中的真实公开 IP。
  • 审查 web 前端代码,确保它不会从 jquery.com、Google Fonts 或任何外部服务拉取资源。
  • 及时做好 VPS 的安全更新。

本向导使用 nginx 为使用 Debian Wheezy 的 Tor 提供网站文件服务。nginx 将被配置为只监听 Tor,只可通过 Tor 访问。

nginx

如果你还没有它,请安装 nginx:

$ sudo apt-get install nginx

nginx默认会发送一个当前运行的版本信息广播。通过设置下面文件中的 server_tokens 为 off,以关闭 nginx 版本信息:

/etc/nginx/nginx.conf:

http {

server_tokens off;

在同样的文件,彻底关闭来自 nginx 的日志:

http {

##
# Logging Settings
##
#access_log /var/log/nginx/access.log;
#error_log /var/log/nginx/error.log;
error_log /dev/null crit;

配置 nginx 监听 localhost 8080 端口

下面是你可以找到的、一个完整的可获取的默认文件。

网站 html 文件的位置在 /usr/share/nginx/www,这是 Debian 默认位置(可以随意修改网站根目录!)。

/etc/nginx/sites-available/default

server {
listen 127.0.0.1:8080 default_server;
server_name localhost;

root /usr/share/nginx/www;
index index.html index.htm;

location / {
allow 127.0.0.1;
deny all;

}
}

重启 nginx

$ sudo service nginx restart

关闭 rsyslog 以关闭任何系统日志。

$ sudo apt-get remove –purge rsyslog

关闭所有可被用来发送邮件的 email MTA 软件。

$ sudo apt-get remove –purge exim
$ sudo apt-get remove –purge postfix
$ sudo apt-get remove –purge sendmail

删除 wget,如果被连累了,它可通过恶意脚本识别你的主机。

$ sudo apt-get remove wget

如果开启 ssh,关闭 Debian 版本信息,这可用于从公开 IP 识别出 Debian 版本。

/etc/ssh/sshd_config

DebianBanner no

安装 Tor

按照 torproject.rog 文档,像这里所演示的去添加 Debian repo,然后你可以从 Tor 项目代码库,通过 sudo apt-get install tor 来安装。

编辑 /etc/tor/torrc

现在 Tor 安装好了,编辑 /etc/tor/torrc 确保下面的几行是正确的:

HiddenServiceDir /var/lib/tor/hidden_service/
HiddenServicePort 80 127.0.0.1:8080

保持上面的文件,然后启动(或重启)Tor。

$ sudo service tor start

当 Tor 启动时,它仍然在你的 HiddenServiceDir 文件夹创建了私钥,也创建了你唯一的 .onion 主机名。

下面是这些文件的样子。当然,你应该永远不要暴露或显示你的私钥!保密。下面的密钥是供演示和学习之用。

root@starbuck:~# cd /var/lib/tor/hidden_service/
root@starbuck:/var/lib/tor/hidden_service# ls
hostname private_key
root@starbuck:/var/lib/tor/hidden_service# cat private_key
—–BEGIN RSA PRIVATE KEY—–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—–END RSA PRIVATE KEY—–
root@starbuck:/var/lib/tor/hidden_service# cat hostname
juyy62wplbkk7gzy.onion
root@starbuck:/var/lib/tor/hidden_service#

配置并使用防火墙

启用防火墙,有选择地允许 22 端口。如果稍微偏执些,根本不要允许 22 端口,仅仅从提供商的控制面板控制台来管理。

$ sudo apt-get install ufw
$ sudo ufw allow ssh
$ sudo ufw enable

运气好的话,你现在应该看到基于 .onion 地址的默认 nginx 页面了!

基于 .onion 地址的默认 nginx 页面

 

匿名网络 | 评论:0 | Trackbacks:0 | 阅读:532

bind查询攻击

Submitted by admin on 2016, December 16, 11:14 AM

 http://zj1991.blog.51cto.com/1847949/1609068

 

目前好多做DNS解析的服务,都采用了bind开源软件。好处就不多说了。但是在安全方面是个软肋,遭受DDOS流量攻击和放大攻击是常有的事情。在14年12月isc发布了最新的bind9.10-p1稳定版,同时对rate-limit默认支持(之前bind9.9的扩展支持版本,同样支持处于开发功能,需要在编译安装的时候./configure --enable-rrl开启rate-limit功能)。rate-limit可以有效防止放大攻击和DDOS流量攻击。

    DDOS流量攻击就不多说了,关于放大攻击原理,大家可参考博文:

http://blog.sina.com.cn/s/blog_90bb1f200101iazl.html

http://blog.csdn.net/yatere/article/details/6418888

https://blog.cloudflare.com/deep-inside-a-dns-amplification-ddos-attack/

isc官方对放大攻击的解释:

https://kb.isc.org/article/AA-00897/11/What-is-a-DNS-Amplification-Attack.html

 

 

了解了DNS放大攻击后,我们来看下bind最新功能rate-limit的使用方法:

isc官方给出的说明:

https://kb.isc.org/article/AA-00994/189/Using-the-Response-Rate-Limiting-Feature-in-BIND-9.9-Subscription-Version.html

 

 

在我们的named.conf配置文件中,添加方法可参考如下配置方式:

1

2

3

4

5

6

7

8

9

10

11

12

options{

    .......

     rate-limit {

            ipv4-prefix-length 32;

            window 10;

            responses-per-second 20;

            errors-per-second 5;

            nxdomains-per-second 5;

            slip 2;

              };

    ..........

};

 

关于参数具体使用说明情况,大家可参考bind手册Page53-P59的说明情况。 

 

同样,在此之前,或者不愿升级bind的,可通过iptables防止DDOS攻击和放大攻击

iptables -A INPUT -p udp --dport 53 -m recent --set --name dnslimit

iptables -A INPUT -p udp --dport 53 -m recent --update --seconds 60 --hitcount 11 --name dnslimit -j DROP

效果也不错。大家可有选择性的去使用。

 

 

 

 

 

 

 

 

 

雖然這些查詢被deny,但是持續不斷,真如殭屍一般,對系統造成不小的壓力,所以,根據 之前log的特徵值,以iptables進行封檔    iptables -t raw -A PREROUTING -p udp --dport 53 -m string --algo bm --hex-string "|0000ff0001|" -j DROP 

 

http://kecheng.baidu.com/view/723365f2bceb19e8b9f6ba5f.html

 

dns | 评论:0 | Trackbacks:0 | 阅读:529

samba

Submitted by admin on 2016, December 16, 11:13 AM

 yum install -y samba

 
chkconfig --level 35 smb on
 
 
 
vi /etc/samba/smb.conf
 
[web]
        comment = web
        path = /data/web
        browseable = yes
        writable = yes
 
chown webd.webd web
 
 
system user,etc:webd
useradd webd
添加smb用户
/usr/local/samba/bin/smbpasswd -a webd
 
列出共享目录
smbclient -L 127.0.0.1 -U webd%123456
 
进入命令行模式
smbclient //127.0.0.1/web -U webd%123456
 
 
 
 
 
 
 
 
---------------------------
1,列出某个IP地址所提供的共享文件夹 
smbclient -L 198.168.0.1 -U username%password 
 
2,像FTP客户端一样使用smbclient 
smbclient //192.168.0.1/tmp -U username%password
执行smbclient命令成功后,进入smbclient环境,出现提示符: smb:/> 这时输入?会看到支持的命令
这里有许多命令和ftp命令相似,如cd 、lcd、get、megt、put、mput等。通过这些命令,我们可以访问远程主机的共享资源。 
 
3,直接一次性使用smbclient命令 
smbclient -c "ls" //192.168.0.1/tmp -U username%password
和 
smbclient //192.168.0.1/tmp -U username%password
smb:/>ls 
功能一样的 
 
例,创建一个共享文件夹 
smbclient -c "mkdir share1" //192.168.0.1/tmp -U username%password 
如果用户共享//192.168.0.1/tmp的方式是只读的,会提示 
NT_STATUS_ACCESS_DENIED making remote directory /share1 
 
4,除了使用smbclient,还可以通过mount和smbcount挂载远程共享文件夹 
挂载 mount -t cifs -o username=administrator,password=123456 //192.168.0.1/tmp /mnt/tmp 
取消挂载 umount /mnt/tmp

linux | 评论:0 | Trackbacks:0 | 阅读:529

squid_https

Submitted by admin on 2016, December 16, 11:11 AM

 按照节点上的安装方法,安装完成后,再如下操作,完成https的添加和配置

 
yum install -y openssl-devel
 
cd /tmp
cd squid-3.1.22
make clean
./configure \
        --prefix=/www/wdlinux/squid-3.1.22 \
        --with-pthreads \
        --enable-storeio="aufs,ufs" \
        --enable-async-io \
        --disable-internal-dns \
        --enable-stacktraces \
        --disable-ident-lookups \
        --enable-removal-policies='heap,lru' \
        --with-aio \
        --with-filedescriptors=65536 --enable-ssl
 
make
make install
 
完成后,修改下配置文件
vim /www/wdlinux/squid/etc/squid.conf
在 http_port 80 vhost vport 行下面,添加如下一行
https_port 443 cert=/www/wdlinux/squid/etc/3_user_www.zgnpo.com.crt key=/www/wdlinux/squid/etc/4_user_www.zgnpo.com.key defaultsite=www.zgnpo.com
 
将证书文件传到
/www/wdlinux/squid/etc/目录下
 
然后重起下服务
service squid restart
 
就可以了
 
 

squid/缓存 | 评论:0 | Trackbacks:0 | 阅读:588

squid视频缓存

Submitted by admin on 2016, December 16, 11:10 AM

 --prefix=/usr/local/squid --enable-dlmalloc --with-pthreads --enable-epoll --enable-stacktrace --enable-removal-policies=heap,lru --enable-delay-pools --enable-storeio=aufs,coss,diskd,ufs --enable-snmp 

 

 

range_offset_limit -1

quick_abort_min -1 KB

refresh_pattern -i \.flv$ 1440 50% 2880 ignore-reload

 

http://bbs.linuxtone.org/thread-1933-1-1.html

 

 

使用Squid筹建内网视频缓存系统

http://www.myexception.cn/operating-system/2024535.html

squid/缓存 | 评论:0 | Trackbacks:0 | 阅读:562

vpn

Submitted by admin on 2016, December 16, 11:08 AM

 wdcp 安装vpn成功了,很简单。

 
机器环境 centos Linux 2.6.32-358.6.2.el6.x86_64 wdcp wdcp_v2.5.8
安装脚本和步骤
第一步:
wget http://www.huzs.net/soft/pptp_onekey/pptpd6.sh
复制代码
 
 
 
第二步:
sh pptpd6.sh
复制代码
 
 
 
安装完成后会提示vpn用户名和密码。
 
第三步:
在后台---安全管理---防火墙中,查看添加规则。
在目标端口中填写:1723  操作--选择通过。
 
提示:如果防火墙中已经有了这条规则请先删除再重新添加。
 
 
VPN用户管理:
直接编辑文件:,按照相同格式添加用户名和密码即可。
vi /etc/ppp/chap-secrets
 
 
我已经成功了,如果你也成功了就顶下吧。
 
如果第一步脚本地址失效
 
附上脚本代码,执行即可。
yum remove -y pptpd ppp
iptables --flush POSTROUTING --table nat
iptables --flush FORWARD
rm -rf /etc/pptpd.conf
rm -rf /etc/ppp
arch=`uname -m`
wget http://poptop.sourceforge.net/yum/stable/packages/pptpd-1.3.4-2.el6.$arch.rpm
 
yum -y install make libpcap iptables gcc-c++ logrotate tar cpio perl pam tcp_wrappers dkms kernel_ppp_mppe ppp
rpm -Uvh pptpd-1.3.4-2.el6.$arch.rpm
 
mknod /dev/ppp c 108 0
echo 1 > /proc/sys/net/ipv4/ip_forward
echo "mknod /dev/ppp c 108 0" >> /etc/rc.local
echo "echo 1 > /proc/sys/net/ipv4/ip_forward" >> /etc/rc.local
echo "localip 172.16.22.254" >> /etc/pptpd.conf
echo "remoteip 172.16.22.1-253" >> /etc/pptpd.conf
echo "ms-dns 8.8.8.8" >> /etc/ppp/options.pptpd
echo "ms-dns 8.8.4.4" >> /etc/ppp/options.pptpd
 
pass=`openssl rand 6 -base64`
if [ "$1" != "" ]
then pass=$1
fi
 
echo "vpn pptpd ${pass} *" >> /etc/ppp/chap-secrets
 
iptables -t nat -A POSTROUTING -s 172.16.22.0/24 -j SNAT --to-source `ifconfig  | grep 'inet addr:'| grep -v '127.0.0.1' | cut -d: -f2 | awk 'NR==1 { print $1}'`
iptables -A FORWARD -p tcp --syn -s 172.16.22.0/24 -j TCPMSS --set-mss 1356
iptables -A OUTPUT -p tcp -m tcp --sport 1723 -j ACCEPT
iptables -A OUTPUT -p 47 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p 47 -j ACCEPT
 
service iptables save
 
chkconfig iptables on
chkconfig pptpd on
 
service iptables start
service pptpd start
 
echo "VPN service is installed, your VPN username is vpn, VPN password is ${pass}"
复制代码

linux | 评论:0 | Trackbacks:0 | 阅读:527

mysql_up5712

Submitted by admin on 2016, December 16, 11:07 AM

 wget http://mirrors.sohu.com/mysql/MySQL-5.7/mysql-5.7.12.tar.gz

 
yum install -y gcc gcc-c++ make sudo autoconf libtool-ltdl-devel gd-devel         freetype-devel libxml2-devel libjpeg-devel libpng-devel openssl-devel         curl-devel patch libmcrypt-devel libmhash-devel ncurses-devel bzip2         libcap-devel ntp sysklogd diffutils sendmail iptables unzip cmake wget         re2c bison icu libicu libicu-devel net-tools psmisc vim-enhanced
 
cmake . -DCMAKE_INSTALL_PREFIX=/mysql \
        -DMYSQL_DATADIR=/mysql/data \
        -DSYSCONFDIR=/mysql/etc \
        -DWITH_INNOBASE_STORAGE_ENGINE=1 \
        -DWITH_PARTITION_STORAGE_ENGINE=1 \
        -DWITH_FEDERATED_STORAGE_ENGINE=1 \
        -DWITH_BLACKHOLE_STORAGE_ENGINE=1 \
        -DWITH_MYISAM_STORAGE_ENGINE=1 \
        -DWITH_ARCHIVE_STORAGE_ENGINE=1 \
        -DWITH_READLINE=1 \
        -DENABLED_LOCAL_INFILE=1 \
        -DENABLE_DTRACE=0 \
        -DDEFAULT_CHARSET=utf8mb4 \
        -DDEFAULT_COLLATION=utf8mb4_general_ci \
        -DWITH_EMBEDDED_SERVER=1 \
-DDOWNLOAD_BOOST=1 -DWITH_BOOST=/usr -DENABLE_DOWNLOADS=1
 
groupadd -g 27 mysql
useradd -g 27 -u 27 -d /dev/null -s /sbin/nologin mysql
 
/mysql/bin/mysqld --initialize-insecure --user=mysql --basedir=/mysql --datadir=/mysql/data
 
 
groupadd -g 27 mysql
useradd -g 27 -u 27 -d /dev/null -s /sbin/nologin mysql
 
chown mysql.mysql /mysql/data -R
 
cp support-files/mysql.server /etc/rc.d/init.d/mysqld
chmod 755 /etc/rc.d/init.d/mysqld
chkconfig --level 35 mysqld on
 

mysql/db | 评论:0 | Trackbacks:0 | 阅读:476

Records:1070«19202122232425262728»