应用环境可以是安全要求比较高的VPS或者独立服务器,一般允许内网IP登入,或者VPN进去。
vi /etc/hosts.allow sshd:192.168.0.100:allow //允许IP 192.168.0.100 登录 sshd:192.168.0.:allow //允许IP 192.168.0. 网段登录 sshd:all:deny //禁止其他的所有IP登录 或者 sshd:223.227.223.*:allow //允许IP 223.227.223.* 网段登录 sshd:192.168.0.*:allow //允许IP 192.168.0.* 网段登录 sshd:all:deny //禁止其他的所有IP
Vi checkload.sh 创建脚本
#!/bin/sh
TOP_SYS_LOAD_NUM=20
SYS_LOAD_NUM=`uptime | awk '{print $(NF-2)}' | sed 's/,//'`
echo $(date +"%y-%m-%d") `uptime`
if [ `echo "$TOP_SYS_LOAD_NUM < $SYS_LOAD_NUM"|bc` -eq 1 ]
then
echo "##" $(date +"%y-%m-%d %H:%M:%S") "pkill httpd" `ps -ef | grep httpd | wc -l`
pkill httpd
sleep 10
for i in 1 2 3
do
if [ `pgrep httpd | wc -l` -le 0 ]
then
/usr/local/apache2/bin/apachectl start
sleep 30
echo "##" $(date +"%y-%m-%d %H:%M:%S") "start httpd" `ps -ef | grep httpd | wc -l`
fi
done
else
if [ `pgrep httpd | wc -l` -le 0 ]
then
/usr/local/apache2/bin/apachectl start
sleep 30
echo "##" $(date +"%y-%m-%d %H:%M:%S") "start httpd" `ps -ef | grep httpd | wc -l`
fi
fi 然后在/etc/crontab里增加定时执行的命令:
*/2 * * * * root /root/checkload.sh >>/root/checkload.log
注意 chmod 755 /root/checkload.sh 设置脚本权限
安装依赖和Git
yum -y install zlib-devel openssl-devel perl cpio expat-devel gettext-devel openssl zlib curl autoconf tk wget http://git-core.googlecode.com/files/git-1.7.10.tar.gz tar xzvf git-latest.tar.gz cd git-2011-11-30 #你的目录可能不是这个 autoconf ./configure make sudo make install
检查版本
git --version
select user,host,password from mysql.user;
增加 Pure-FTPD 的支持
unified_ftp_password_file 选项必须为 1 和所有 passwords 要转换:
参考:http://www.directadmin.com/features.php?id=1134
pureftp=1
该选项也要设置为 1.
After any change to the /etc/proftpd.passwd file, DA will add a task.queue entry:
action=rewrite&value=pureftp_db
and the dataskq will call:
/usr/bin/pure-pw mkdb /etc/pureftpd.pdb -f /etc/proftpd.passwd
安装方式:
使用custombuild安装:
cd /usr/local/directadmin/custombuild ./build set proftpd no ./build set pureftpd yes ./build pureftpd
请记住,这是在测试阶段,可能会发生错误。
如果你发现proftpd仍然在运行,运行以下命令
chkconfig proftpd off service proftpd stop
需要提醒,Pure-FTPD可能会面临被爆破扫描的危险,DA目前无法屏蔽Pure-FTPD穷举的IP,CSF也是。
如果需要转换回来,在安装方式那替换下开启proftpd,关闭pureftpd,然后编译proftpd。
参考:http://www.directadmin.com/features.php?id=1143
比方你现在运行PHP 5.2.11,希望降级/升级到5.2.2。你可以通过编辑versions.txt文件来实现。
cd /usr/local/directadmin/custombuild ./build set autover no vi versions.txt
在文件中查找这两行
php5:5.2.11:0223d71f0d6987c06c54b7557ff47f1d php5-mail:5.2.11:85a62ef3d069403c29604730e02da9c8
替换为
php5:5.2.2: php5-mail:5.2.2:
保存文件退出,输入以下命令
./build update_data ./build php n
通常情况下,我会尽量推荐使用SCP客户端(via a client such as WinSCP),但难免有客户不喜欢使用或不会,或出于某种原因坚持使用FTP在线访问文件。正如他们所说的 - 顾客永远是正确的!
无论如何,在CentOS 6.x中yum命令安装的,目前已经出正式版得到认可的3个主流的FTP服务器 pureftpd,ProFTPD以及vsftpd,哪个是最好的?我进行了总结
ProFTPd
ProFTPd 是出世很久的模块化的FTP服务器。从很早开始,流行的大型控制面板(例如cPanel,DirectAdmin)都支持ProFTPd。
功能最丰富的,肯定是ProFTPd。它有一堆可用的插件,并且是免费的,跟Apache一样,也使用了GPL许可。
ProFTPd的配置相当简单,示例配置文件比比皆是,谷歌搜索可以找到很多。
ProFTPd支持多种系统架构和操作系统。
ProFTPd的安全性
Of the bunch,ProFTPd是其中有CVE漏洞最多的。但ProFTPd的使用很普遍,这使得它很容易成为黑客的攻击目标。
ProFTPd CVE Entries: 40
Shodan ProFTPd entries: 127
pureftpd
pureftpd的招牌是“安全第一”,这是显而易见的,CVE Entries的数量很少(见下文)。
BSD许可证授权,pureftpd也兼容很多操作系统(但不支持Windows)。
pureftpd的配置很简单,Google有配置实例。
pureftpd的安全性
pureftpd的漏洞很少,安全还不错。
PureFTPd CVE Entries: 4
Shodan Pure-FTPd Entries: 12
vsftpd
vsftpd是基于GPL许可的FTP服务器,它的全称是“Very Security FTP daemon.”(非常安全的FTP)。vsftpd是基于安全考虑编写的FTP服务器。
其轻量的特性使得它的用户可观,而且很多大型网站(ftp.redhat.com,ftp.debian.org,ftp.freebsd.org)目前都是使用vsftpd。
vsftpd的安全性
vsftpd CVE列出的漏洞比ProFTPd少很多,超过pureftpd。因为它的名字就暗示它是一个安全的FTP服务,或因为它是被那么多的大型网站使用,有比别的软件更多的审查。
PureFTPd CVE Entries: 4
Shodan Pure-FTPd Entries: 12
总结与FTP服务器的建议
#
考虑到上述的评估,任何服务器将工作中的情况,但一般来讲:
如果您想要有灵活的配置选项、大量的外部模块的服务器:ProFTPd
如果您只有少量用户,并想要一个简单,安全的FTP服务器:pureftpd
如果要用于大量用户的FTP服务器:vsftpd
当然,每个人的要求都不同,所以请务必根据自己的需要来选择。
我的意见不同?请让我知道是什么原因!
- See more at: http://systembash.com/content/evaluating-ftp-servers-proftpd-vs-pureftpd-vs-vsftpd/#sthash.siQpdjL4.dpuf
下载地址:http://www.custombuild.eu/plugin/custombuild.tar.gz
登入 DirectAdmin 管理员,插件管理,增加插件,输入下载地址以及DA管理员密码,点击安装。
完成后登入SSH执行以下命令
cd /usr/local/directadmin wget -O custombuild.tar.gz http://files1.directadmin.com/services/custombuild/2.0/custombuild.tar.gz tar xvzf custombuild.tar.gz cd custombuild ./build
登入DA控制面板,进入CustomBuild配置。首次需要进入SSH执行以下命令:
cd /usr/local/directadmin cd custombuild ./build all d
更多详细介绍以及注意事项:
http://forum.directadmin.com/showthread.php?t=44743
http://forum.directadmin.com/showthread.php?t=48989
2015年1月13日更新!
在DirectAdmin管理员面板的Brute Force Monitor(穷举监视器)里,我们可以看到proftpd、sshd、exim等一直被暴力猜解,系统消息一封又一封的发过来遭到暴力猜解成百上千次都是同一个IP的行为,这是非常危险的,但我们不可能时刻关注消息手动一个一个的去封锁。我们可以结合CSF来实现自动封锁穷举IP!
cd /usr/local/directadmin/scripts/custom/ cp block_ip.sh block_ip.sh.bak cp unblock_ip.sh unblock_ip.sh.bak
如果你没有 block_ip.sh 和 unblock_ip.sh 文件,会提示如下警告:
cp: cannot stat `block_ip.sh': No such file or directory cp: cannot stat `unblock_ip.sh': No such file or directory
现在获取文件:
cd /usr/local/directadmin/scripts/custom/ wget -O block_ip.sh http://files.plugins-da.net/dl/csf_block_ip.sh.txt wget -O unblock_ip.sh http://files.plugins-da.net/dl/csf_unblock_ip.sh.txt wget -O show_blocked_ips.sh http://files.plugins-da.net/dl/csf_show_blocked_ips.sh.txt chmod 700 block_ip.sh show_blocked_ips.sh unblock_ip.sh
创建白名单和黑名单文件
touch /root/blocked_ips.txt touch /root/exempt_ips.txt
这时候你已经可以从 Brute Force Monitor 里手动选择IP地址禁止,但不会自动封锁。如果你想自动封锁,安装以下脚本
cd /usr/local/directadmin/scripts/custom wget -O brute_force_notice_ip.sh http://files.directadmin.com/services/all/brute_force_notice_ip.sh chmod 700 brute_force_notice_ip.sh
如果没有意外,这时候应该可以自动封锁穷举IP了。
加上 | more -c 即可
比如:
.configure --help | more -c
在mac终端下输入
ssh -l root *.*.*.* 就可以远程连接Centos服务器了,端口没变还是:22
如果改变端口用下面方法输入:
ssh -p 448(你改变的端口) -l root(连接用户名) *.*.*.* 这个是端口改变后的连接
记录一下:Sftp用Transmit软件进行Ftp操作
ssh
ssh 连接的时候 Host key verification failed.
解决方法:
vi ~/.ssh/known_hosts
进入此目录,删除192.168.1.90的相关rsa的信息即可.
或者删除这个文件
cd ~/.ssh/
rm known_hosts
来源
作者:瑞克互动
网站:http://www.reake.com/
要備份 MySQL 資料庫主要分為兩個方法,
一是將資料庫目錄完整備份
二是使用 MySQL 內建的 mysqldump 程式。
備份資料庫目錄
MySQL 預設的儲存目錄在 /var/lib/mysql 內容,底下會有以資料庫名稱的目錄,例如 mydb 目錄便應該是 mydb 資料庫的資料。
如果 MySQL 正在運行,請先停止 MySQL,原因是可能會有資料未完全寫入,而 MySQL 會 lock 在使用中的 DB 檔案。
/etc/rc.d/init.d/mysqld stop cd /var/lib/mysql/ tar zxcf mydb_backup.tgz mydb /etc/rc.d/init.d/mysqld start
以上指令會先停止 MySQL,然後把 mydb 資料庫製作一個 taz 檔的備份,並儲存到 mydb_backup.tgz。
在使用以上指令時,請根據個別系統的設定作出修改。
好了,以上就麼 3 句指令就完成備份了,如果不幸的事情發生了,資料庫發生錯誤而要復原資料,可使用以下指令:
/etc/rc.d/init.d/mysqld stop cd /var/lib/mysql/ mv mydb mydb_error tar zxvf mydb_backup.tgz /etc/rc.d/init.d/mysqld start #以上指令是先把 /var/lib/mysql/mydb 移到 /var/lib/mysql/mydb_error,然後將原先製作的備份檔解壓到 /var/lib/mysql/mydb。
mysqldump
雖然以上方法十分簡單,但有一個問題存在,那就是在備份及復原時均需停止 MySQL 的運作,這樣對於實際應用十分不便。再者,這樣備份出來的檔案,如果在相同版本的 MySQL Server 應該沒有問題,但移到版本不同的 Server 則不一定可以成功復原。
因為有以上的問題,MySQL 已經內建了備份工具,它就是 mysqldump。
mysqldump 的備份方法是將資料庫內的每個資料表結構及每筆資料產生 SQL 語句,然後存到文字檔。而且它可以自訂每一個資料表一個檔案,以及將資料表結構及資料分開儲存,以下是使用例子:
mysqldump --user=root -p mydb > /backup/mydb.sql
以上指令會使用 mysqldump 將 mydb 備份到 /backup/mydb.sql,在輸入指令後,需要輸入 MySQL 的 root 密碼。
至於復原資料同樣簡單,只要一句指令便完成:
mysqldump --user=root -p mydb < /backup/mydb.sql
以上指令會將 /backup/mydb.sql 備份檔復原到 mydb 裡面。如果你的 MySQL Server 不止一個資料庫,希望可以一次過將所有資料庫備份起來,可以寫一個簡單的 shell script 完成,又或者使用以下指令:
mysqldump --user=root -p --all-databases > /backup/mysql.sql
這個 –all-databases 代表所有資料庫,這樣 mysqldump 便會將所有資料庫備份到 /backup/mysql.sql。
2015年8月16日更新
如果还原单个数据库出现问题,可以进入mysql进行还原
mysql -hlocalhost -u用户名 -p密码 进入mysql create database test; use test; source /root/test.sql
====================================================
歡迎轉載,但轉載時請保留此宣告,不得作為商業用途
作者: Sam Tang
來源網站: http://www.phpdc.com/