Category Archives: 操作系统备忘

1月 12

iPhone 手机控制linux服务器程序源码

Posted on by

  将远程连接SSH和数据库MySQL开放到外网很危险。
即使密码和KEY管理后都很安全了,但是还会有不少的扫描程序来扫描浪费资源。
但是我没有机器做跳板机或代理,也没有多余的IP和资源做VPN。
所以直接用防火墙把相应服务的端口对外网服务屏蔽,然后用个隐蔽的端口做中转。
中转服务需要就开放,不需要就关闭。这个服务当然也可以不用haproxy,直接关闭或打开防火墙。
也可以用这个服务管理其它的服务器上其它程序的启停。开始着手处理。

  服务端为Linux服务器(centos7),python2.7+tornado开发。客户端用swift2开发跑在iphone6上。

haprox安装后,跳转主要配置部分。
frontend ssh
bind x.x.x.x:20000
default_backend nat_ssh

backend nat_ssh
mode tcp
option tcpka
balance roundrobin
option httpchk
server ssh 192.168.1.222:22

服务端代码需要注意的部分:
服务端存放在/program/www/mydoor下。
文件myDoorServer.py的类MyDoorHandler中使用os.popen调用系统命令,绝对路径需要确认。Listen端口自行修改。
如:
line = “cd /program/www/mydoor;/usr/bin/python mydoor.py %s %s &” % (_se, _au)

文件mydoor.py中的kk为验证使用,自行修改,但是需要与swift中的kk值对应。执行命令的绝对路径需要根据系统确认。
要管理服务的命令,修改后就可以管理不同的应用。
使用“python myDoorServer.py &”启动服务。

客户端比较简单,修改kk值后,直接编译到手机上。需要的第三方的库,Alamofire和Crypto。
启动程序,输入开放时间,点击“敲”。实验成功。
mydoor20160107

服务端源码
iPhone客户端源码

8月 15

FreeBSD ports 升级加速

Posted on by

FreeBSD 使用ports工具进行软件管理,相当于CentOS中的yum工具。但是源的速度比较慢,就安装个下载工具,速度提升了不少。

使用ports安装。
cd /usr/ports/ftp/axel
make install clean

安装成功后还需要手动编辑make.conf配置
touche /etc/make.conf
插入:
FETCH_CMD=axel -n 30
DISABLE_SIZE=yes
MASTER_SIDE_OVERRIDE= /

很多文档写,这里还增加了镜像。但是我测试没有镜像效果会更好一点。

4月 26

iptables 资料整理

Posted on by

iptables 指令
语法:
iptables [-t table] command [match] [-j target/jump]
-t 参数用来指定规则表,内建的规则表有三个,分别是:nat、mangle 和 filter,当未指定规则表时,则一律视为是 filter。
个规则表的功能如下:

nat 此规则表拥有 Prerouting 和 postrouting 两个规则链,主要功能为进行一对一、一对多、多对多等网址转译工作(SNAT
DNAT),由于转译工作的特性,需进行目的地网址转译的封包,就不需要进行来源网址转译,反之亦然,因此为了提升改写封包的
率,在防火墙运作时,每个封包只会经过这个规则表一次。如果我们把封包过滤的规则定义在这个数据表里,将会造成无法对同一
包进行多次比对,因此这个规则表除了作网址转译外,请不要做其它用途。

mangle 此规则表拥有 Prerouting、FORWARD 和 postrouting 三个规则链。
除了进行网址转译工作会改写封包外,在某些特殊应用可能也必须去改写封包(TTL、TOS)或者是设定 MARK(将封包作记号,以
进行后续的过滤),这时就必须将这些工作定义在 mangle 规则表中,由于使用率不高,我们不打算在这里讨论 mangle 的用法。

filter 这个规则表是预设规则表,拥有 INPUT、FORWARD 和 OUTPUT 三个规则链,这个规则表顾名思义是用来进行封包过滤的
理动作(例如:DROP、 LOG、 ACCEPT 或 REJECT),我们会将基本规则都建立在此规则表中。

常用命令列表:
命令 -A, –append
范例 iptables -A INPUT …
说明 新增规则到某个规则链中,该规则将会成为规则链中的最后一条规则。

命令 -D, –delete
范例 iptables -D INPUT –dport 80 -j DROP
iptables -D INPUT 1
说明 从某个规则链中删除一条规则,可以输入完整规则,或直接指定规则编号加以删除。

命令 -R, –replace
范例 iptables -R INPUT -s 192.168.0.1 -j DROP
说明 取代现行规则,规则被取代后并不会改变顺序。

命令 -I, –insert
范例 iptables -I INPUT –dport 80 -j ACCEPT
说明 插入一条规则,原本该位置上的规则将会往后移动一个顺位。

命令 -L, –list
范例 iptables -L INPUT
说明 列出某规则链中的所有规则。

命令 -F, –flush
范例 iptables -F INPUT
说明 删除某规则链中的所有规则。

命令 -Z, –zero
范例 iptables -Z INPUT
说明 将封包计数器归零。封包计数器是用来计算同一封包出现次数,是过滤阻断式攻击不可或缺的工具。

命令 -N, –new-chain
范例 iptables -N allowed
说明 定义新的规则链。

命令 -X, –delete-chain
范例 iptables -X allowed
说明 删除某个规则链。

命令 -P, –policy
范例 iptables -P INPUT DROP
说明 定义过滤政策。 也就是未符合过滤条件之封包,预设的处理方式。

命令 -E, –rename-chain
范例 iptables -E allowed disallowed
说明 修改某自订规则链的名称。

常用封包比对参数:
参数 -p, –protocol
范例 iptables -A INPUT -p tcp
说明 比对通讯协议类型是否相符,可以使用 ! 运算子进行反向比对,例如:-p ! tcp ,意思是指除 tcp 以外的其它类型,包含
udp、icmp …等。如果要比对所有类型,则可以使用 all 关键词,例如:-p all。

参数 -s, –src, –source
范例 iptables -A INPUT -s 192.168.1.1
说明 用来比对封包的来源 IP,可以比对单机或网络,比对网络时请用数字来表示屏蔽,例如:-s 192.168.0.0/24,比对 IP 时
可以使用 ! 运算子进行反向比对,例如:-s ! 192.168.0.0/24。

参数 -d, –dst, –destination
范例 iptables -A INPUT -d 192.168.1.1
说明 用来比对封包的目的地 IP,设定方式同上。

参数 -i, –in-interface
范例 iptables -A INPUT -i eth0
说明 用来比对封包是从哪片网卡进入,可以使用通配字符 + 来做大范围比对,例如:-i eth+ 表示所有的 ethernet 网卡,也
以使用 ! 运算子进行反向比对,例如:-i ! eth0。

参数 -o, –out-interface
范例 iptables -A FORWARD -o eth0
说明 用来比对封包要从哪片网卡送出,设定方式同上。

参数 –sport, –source-port
范例 iptables -A INPUT -p tcp –sport 22
说明 用来比对封包的来源埠号,可以比对单一埠,或是一个范围,例如:–sport 22:80,表示从 22 到 80 埠之间都算是符合
件,如果要比对不连续的多个埠,则必须使用 –multiport 参数,详见后文。比对埠号时,可以使用 ! 运算子进行反向比对。

参数 –dport, –destination-port
范例 iptables -A INPUT -p tcp –dport 22
说明 用来比对封包的目的地埠号,设定方式同上。

参数 –tcp-flags
范例 iptables -p tcp –tcp-flags SYN,FIN,ACK SYN
说明 比对 TCP 封包的状态旗号,参数分为两个部分,第一个部分列举出想比对的旗号,第二部分则列举前述旗号中哪些有被设
,未被列举的旗号必须是空的。TCP 状态旗号包括:SYN(同步)、ACK(应答)、FIN(结束)、RST(重设)、URG(紧急)
PSH(强迫推送) 等均可使用于参数中,除此之外还可以使用关键词 ALL 和 NONE 进行比对。比对旗号时,可以使用 ! 运算子
行反向比对。

参数 –syn
范例 iptables -p tcp –syn
说明 用来比对是否为要求联机之 TCP 封包,与 iptables -p tcp –tcp-flags SYN,FIN,ACK SYN 的作用完全相同,如果使用 !
运算子,可用来比对非要求联机封包。

参数 -m multiport –source-port
范例 iptables -A INPUT -p tcp -m multiport –source-port 22,53,80,110
说明 用来比对不连续的多个来源埠号,一次最多可以比对 15 个埠,可以使用 ! 运算子进行反向比对。

参数 -m multiport –destination-port
范例 iptables -A INPUT -p tcp -m multiport –destination-port 22,53,80,110
说明 用来比对不连续的多个目的地埠号,设定方式同上。

参数 -m multiport –port
范例 iptables -A INPUT -p tcp -m multiport –port 22,53,80,110
说明 这个参数比较特殊,用来比对来源埠号和目的埠号相同的封包,设定方式同上。注意:在本范例中,如果来源端口号为 80
目的地埠号为 110,这种封包并不算符合条件。

参数 –icmp-type
范例 iptables -A INPUT -p icmp –icmp-type 8
说明 用来比对 ICMP 的类型编号,可以使用代码或数字编号来进行比对。请打 iptables -p icmp –help 来查看有哪些代码可
用。

参数 -m limit –limit
范例 iptables -A INPUT -m limit –limit 3/hour
说明 用来比对某段时间内封包的平均流量,上面的例子是用来比对:每小时平均流量是否超过一次 3 个封包。 除了每小时平均
次外,也可以每秒钟、每分钟或每天平均一次,默认值为每小时平均一次,参数如后: /second、 /minute、/day。 除了进行封
数量的比对外,设定这个参数也会在条件达成时,暂停封包的比对动作,以避免因骇客使用洪水攻击法,导致服务被阻断。

参数 –limit-burst
范例 iptables -A INPUT -m limit –limit-burst 5
说明 用来比对瞬间大量封包的数量,上面的例子是用来比对一次同时涌入的封包是否超过 5 个(这是默认值),超过此上限的封
将被直接丢弃。使用效果同上。

参数 -m mac –mac-source
范例 iptables -A INPUT -m mac –mac-source 00:00:00:00:00:01
说明 用来比对封包来源网络接口的硬件地址,这个参数不能用在 OUTPUT 和 Postrouting 规则炼上,这是因为封包要送出到网
后,才能由网卡驱动程序透过 ARP 通讯协议查出目的地的 MAC 地址,所以 iptables 在进行封包比对时,并不知道封包会送到
个网络接口去。

参数 –mark
范例 iptables -t mangle -A INPUT -m mark –mark 1
说明 用来比对封包是否被表示某个号码,当封包被比对成功时,我们可以透过 MARK 处理动作,将该封包标示一个号码,号码最
不可以超过 4294967296。

参数 -m owner –uid-owner
范例 iptables -A OUTPUT -m owner –uid-owner 500
说明 用来比对来自本机的封包,是否为某特定使用者所产生的,这样可以避免服务器使用 root 或其它身分将敏感数据传送出
,可以降低系统被骇的损失。可惜这个功能无法比对出来自其它主机的封包。

参数 -m owner –gid-owner
范例 iptables -A OUTPUT -m owner –gid-owner 0
说明 用来比对来自本机的封包,是否为某特定使用者群组所产生的,使用时机同上。

参数 -m owner –pid-owner
范例 iptables -A OUTPUT -m owner –pid-owner 78
说明 用来比对来自本机的封包,是否为某特定行程所产生的,使用时机同上。

参数 -m owner –sid-owner
范例 iptables -A OUTPUT -m owner –sid-owner 100
说明 用来比对来自本机的封包,是否为某特定联机(Session ID)的响应封包,使用时机同上。

参数 -m state –state
范例 iptables -A INPUT -m state –state RELATED,ESTABLISHED
说明 用来比对联机状态,联机状态共有四种:INVALID、ESTABLISHED、NEW 和 RELATED。

INVALID 表示该封包的联机编号(Session ID)无法辨识或编号不正确。
ESTABLISHED 表示该封包属于某个已经建立的联机。
NEW 表示该封包想要起始一个联机(重设联机或将联机重导向)。
RELATED 表示该封包是属于某个已经建立的联机,所建立的新联机。例如:FTP-DATA 联机必定是源自某个 FTP 联机。

常用的处理动作:
-j 参数用来指定要进行的处理动作,常用的处理动作包括:ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、

常用的语句
匹配多个源端口
iptables -A INPUT -p tcp -m multiport -sport 22,53,80,110

防止同步包洪水(Sync Flood)
iptables -A FORWARD -p tcp -syn -m limit -limit 1/s -j ACCEPT

防止各种端口扫描
iptables -A FORWARD -p tcp -tcp-flags SYN,ACK,FIN,RST RST -m limit -limit 1/s -j ACCEPT

Ping洪水攻击(Ping of Death)
iptables -A FORWARD -p icmp -icmp-type echo-request -m limit -limit 1/s -j ACCEPT

端口映射到内网的3389
iptables -t nat -I PREROUTING -p tcp -dport 3389 -j DNAT -to-destination 192.168.0.100:3389

封某个IP
iptables -I INPUT -s 192.168.0.100 -j DROP

限制并发数
iptables -A INPUT -p tcp –sport 80 –syn -m recent –rcheck –hitcount 10 -j ACCEPT

4月 12

socket5代理安装并简单配置

Posted on by

需要登陆google的邮件、doc等服务,但是被墙了。所以要租一台在境外的主机做代理。
操作系统使用CentOS6。
socket5工具的官方网站 http://ss5.sourceforge.net/project.htm

一、安装比较简单,首先安装依赖包。然后下载sockt5的源码包编译安装。
# yum -y install gcc gcc-c++ automake make pam-devel openldap-devel cyrus-sasl-devel
# wget http://iweb.dl.sourceforge.net/project/ss5/ss5/3.8.9-6/ss5-3.8.9-6.tar.gz
然后是 ./configure && make && make install

二、修改配置文件
编辑配置文件 /etc/opt/ss5/ss5.conf
set SS5_CONSOLE
auth 0.0.0.0/0 – u
permit u 0.0.0.0/0 – 0.0.0.0/0 – – – – –
注:-不用认证,u代表用本地passwd文件
permit格式
permit/deny < source port>

编辑配置文件/etc/rc.d/init.d/ss5 可以自定义监听端口,默认为1080。如使用默认可以不改。
daemon /usr/sbin/ss5 -t $SS5_OPTS -b 0.0.0.0:1088

编辑配置文件/etc/sysconfig/ss5 中,取消以下行的注释。
SS5_OPTS=” -u root”

添加验证用户及密码,由于密码是明文的,注意控制权限。
# cat ss5.passwd #一行一个用户+密码
test 9999
注:密码要为数字

# chmod 700 /etc/rc.d/init.d/ss5
# /etc/rc.d/init.d/ss5 restart
Restarting ss5… Shutting down ss5…
done [ OK ]
doneting ss5… [ OK ]

使用netstat -antp查看监听是否启动,如果监听则为可用。

更多配置,参见官方文档http://ss5.sourceforge.net/examples.htm。

3月 31

用户自行修改svn密码的简单服务

Posted on by

svn做好,最基础的使用方法。将来用户要修改密码或忘记密码总要来问还是挺麻烦。不想处理这种简单问题。所以在python+tornado的框架上写了个页面,直接python跑起来。省了自己不少的事。

#!/bin/python
#-*- coding:utf-8 -*-
# Filename:    websvn.py
# Revision:    
# Date:        2014-03-27
# Author:      simonzhang
# web:         www.simonzhang.net
# Email:       simon-zzm@163.com
### END INIT INFO

import tornado.ioloop
import tornado.web

import smtplib
from email.mime.text import MIMEText 

from string import strip

# base set
webport = '88'
passfile = '/program/svn/conf/passwd'
# svn start comm
svn_start_comm = '/program/svn/bin/svnserve -d -r /program/svn/ --listen-port 59999'
# use send user info
mail_host = 'smtp.simonzhang.net'
mail_user = 'test@simonzhang.net'
mail_pwd = '123456'

def mail_send(content, mailto):
     msg = MIMEText(content.encode('utf8'), _subtype='html',  _charset='utf8')
     msg['From'] = mail_user
     msg['Subject'] = u'svninfo'
     msg['To'] = mailto
     try:
         s = smtplib.SMTP()
         s.connect(mail_host)
         s.login(mail_user,mail_pwd)
         s.sendmail(mail_user,[mailto],msg.as_string())
         s.close()
     except Exception ,e:
         print e 

class MainHandler(tornado.web.RequestHandler):
    def get(self):
        index_html = '''


  

    
	  

      用户名
      老密码
      新密码
      再次输入
      
      

    		
    
	  

      用户邮箱
        
      
      

    		
  



'''
        self.write(index_html)

class EditPassHandler(tornado.web.RequestHandler):
    def get(self):
        # 清理临时文件
        try:
           import os
           os.remove('%s.tmp' % passfile)
        except:
            pass
        # 是否重启的状态
        reboot_status = 0
        user = strip(self.get_argument('user'))
        oldpass = strip(self.get_argument('oldpass'))
        newpass1 = strip(self.get_argument('newpass'))
        newpass2 = strip(self.get_argument('newpass2'))
        if (len(user) == 0) or (len(oldpass) == 0) or \
           (len(newpass1) == 0) or (len(newpass2) == 0):
            html = '输入信息错误'
        else:
            user_info_list = open(passfile, 'rb').readlines()
            tmp_file = open('%s.tmp' % passfile, 'wb')
            # 如果是用户配置则查看是否为用户,如果不是直接写入临时文件
            for li in xrange(len(user_info_list)):
                if user_info_list[li].find('=') > 0 :
                    u = strip(user_info_list[li].split('=')[0])
                    p = strip(user_info_list[li].split('=')[1])
                    #e = strip(user_info_list[li+1].split('#')[1])
                    if (u == user) and (p == oldpass):
                        tmp_file.write('%s=%s\n' % (u, newpass1)) 
                     #   tmp_file.write('#%s\n' % (e))
                        reboot_status = 1
                    #    li = li+1
                    else:
                        tmp_file.write(user_info_list[li])
                else:
                    tmp_file.write(user_info_list[li])
            if reboot_status == 1:
                import os
                import shutil
                shutil.move('%s.tmp' % passfile, passfile)
                os.system("killall svnserve && %s" % svn_start_comm)
            html = '处理完成请重试'
        self.write(html)

class SendUserInfoHandler(tornado.web.RequestHandler):
    def get(self):
        email = self.get_argument('email')
        user_info_list = open(passfile, 'rb').readlines()
        # 循环读取每一行
        html = '没有找到相关信息'
        for li in xrange(len(user_info_list)):
            context = user_info_list[li][:-1]
            # 如果有用户配置的则分解
            if context.find('=') > 0 :
                u = strip(user_info_list[li].split('=')[0])
                p = strip(user_info_list[li].split('=')[1])
                e = strip(user_info_list[li+1].split('#')[1])
                # 如果用户邮箱与输入邮箱相同则发邮件
                if e == strip(email):
                    mail_send("user:%s. passwd:%s" % (u, p), email)
                    html = '邮件发送注意查收'
        self.write(html)

application = tornado.web.Application([
    (r"/", MainHandler),
    (r"/editpass/", EditPassHandler),
    (r"/senduserinfo/", SendUserInfoHandler),
])

if __name__ == "__main__":
    application.listen(webport)
    tornado.ioloop.IOLoop.instance().start()

源码包websvn