wvdialとO2モバイルフラットを使ってDebianとUMTSのサーフスティックを介してオンライン
私の新しいDSL回線は、わずか数週間で活性化されるので、私はアリス "クイックスタート"のオプションが選択されています。 ここで切り替えられたあなたは、DSL接続までの一時しのぎとして、3ヶ月間無料でネットサーフィンすることができSIMカードを取得します。
もちろん、私はクライアントからのインターネット接続をしなかったが、全体のホームネットワークとルータのために働く私のホームサーバー上でいつものように。
私はアリスホットラインとしていた最大の問題。 SIMカードはアリスポータルを介してそれをアクティブにする方法のクイックガイドだった。 残念なことには、Firefox、ChromeやOperaのサイトのどちらも正常に動作しています。 私はSIMカードのアクティベーションに進出していない。
だから、残念なことに、ホットライン01 805にコールします。 42ct./Minのために非常に迷惑。
ホットラインは、マップが迅速に行われたAkivierung、幸いにも、私は、残念なことに、すぐに賢さの設定に必要なAPNが存在呼び出すことができませんでしたされました。 私は値の間違った設定で、法外な請求書のいくつかの恐怖を持っていたことを確認したかったのです。 ここで私は幸せに技術を助けることができる。 アリス/ O2クイックモバイルインターネットAPNのためにホットライン"internet.partner1"によると、フラットです。 名前を割り当てるときは、おそらくマーケティングに携わる誰もなかった 
次のステップとして、私は活性化し、それを認識し、それらを待つこと携帯電話にSIMカードを挿入しました。 それは約30分後に、かなり迅速に行って、私のSIMがすでにアクティブであったし、グリッドにログインします。 アリスの活性化は、当初はO2に昇格して以来、驚くほど速い。 ネットに新しいeinzubuchenに電話を強制的に実行するには、再度オフになるとオンすることができます。 私はいくつかの時間前にあったので、電話はまだwvdialとPINの悪い問題はすでにSIM PINコード要求を無効にして私は今持っている。
残りは驚くほどうまくいきました。
私はHuawei社のサーフドライブ(T-MobileのサーフスティックIII)のSIMを持っている
バス001デバイス004:ID 12d1:1003年華為技術有限公司。 E220 HSDPAモデム/ E270 HSDPA / HSUPAモデム
挿入されます。 現在のカーネルにDebianの場合、USBポートに差し込んだ後、利用可能なデバイス/ dev/ttyUSB0を提供しています。
これは、wvdialであなたをアピールすることがあります
#/ etc / wvdial.confの[ダイヤラデフォルト] = ATZ INIT1 ATQ0 V1 E1 S0 = Init2 = 0&C1&D2 + FCLASS = 0 Init3 = AT + CGDCONT = 1、 "IP"、 "internet.partner1"電話= * 99 * #** 1 =空白のパスワード=空白のユーザー名New PPPD = yesとモデム= / dev/ttyUSB0ボー= 460800、モデムの種類= USBモデムの自動=を再接続 その後、接続が確立された "賢さ"であることができます。
GBN-ROOT-00:19時27〜 - > wvdialを - > WvDialが:インターネットダイヤラバージョン1.60 - >シリアルポートの情報を取得できません - >モデムを初期化します。 - >送信:ATZ ATZ [OK] - >送信:ATQ0 V1 E1 S0 = 0&C1&D2 + FCLASS = 0 ATQ0 V1 E1 S0 = 0&C1&D2 + FCLASS = 0 [OK] - >送信:+ CGDCONT = 1、 "IP"、 "internet.partner1" AT + CGDCONT = 1、 "IP"、 "internet.partner1" AT [OK] - >モデムは初期化されました。 - >送信:ATDT * 99 *** 1# - >キャリアを待っています。 ATDT * 99 *** 1# のCONNECT - >キャリアが検出されました。 プロンプトを待ちます。 - >何をするかわからない! pppdを起動すると最善の結果を期待して。 - > 1月29日Sunでpppdを開始は2012年0時19分58秒 - pppdの> PID:3749 - >インターフェースppp0を使用して - > pppdは:ȧ - > pppdは:ȧ - > pppdは:ȧ - > pppdは:ȧ - > pppdは:ȧ - > pppdは:ȧ - >ローカルIPアドレス10.43.145.228 - > pppdは:ȧ - > [リモートIPアドレスが10.64.64.64 - > pppdは:ȧ - >プライマリDNSアドレス193 189 244 225 - > pppdは:ȧ - >セカンダリDNSアドレス193 189 244 206 - > pppdは:ȧ
これはインターネットPPP0デバイスへのエアインタフェースを介した後であなたが今、ルーティング、ファイアウォールルールに使用できる利用可能です。
下流にはちょうど良いデュッセルドルフの中心部にあり、上流には、非常に、しかし、希望することができます。
ダウンロードスピード:2082 kbit / sの(260キロバイト/秒) アップロード速度:71のkbit / s(9キロバイト/秒)
しかし... 口の中に贈り物の馬を見てはいけません。 しかし私は、このパフォーマンスのために支払うことになる。
補足
残念なことに、化合物が安定していません。 時間未満後に、PPP0上を流れないより多くのデータを、wvdialのは何も残念なことにそれらを取得し、接続がまだアクティブであると考え、継続的に自体ではありませんいずれかを選択します。 いずれにせよ、この回避策はほんの数週間ため回路がDSLers動作するようになるまで、この問題をデバッグするには、あまりにも複雑だった。 次の小さなスクリプトは、接続がまだ有効であるかどうかをチェックします。 ていない場合には、再度wvdialと殺しを実行します。
#/ bin / bashを pingのC 1-C www.google.de> / dev / nullに [$たら? ネオン0]; その後 killallはwvdialを エコーは `date` >> / var / log /のconnection_lost.log wvdialを& FI
私は、cronジョブを介して自動的にこのスクリプトを呼び出すと、常にオンにした時:
#/ etc / crontabに #くだらないO2オンライン再ダイヤル *****ルートに/ root /スクリプト/ redial_ppp
落とし穴:
- SIM PINの保護は無効にされていません
- モバイル接続プロバイダは、残念ながらgeNATtetです。 プライベートサーバは外部から直接アクセスできません。 Serverサービスが困難な場合にのみ提供することができます。
より多くのプライバシーのための5のプラグインはFirefoxでネットサーフィン中
インターネット上で独自のプライバシーを保護するためには、ますます難しくなっています。 どちらの業界もインターネットの利用者のプライバシーを保護する政策金利を持っています。 数年前、まだそれが十分であった、どこにも彼の本当の名前や生年月日や銀行口座番号の日付などの他の個人データは示しています。 今日、データを収集し、バックグラウンドで目に見えないほとんどすべてのウェブサイト - ウェブサイト自体の運営だけでなく、他の多くの商業ベンダーによってだけではなく。 第三者にデータを渡すことによって、それ自体には利点ではありません。 Sunはまた、手に負えないデータベース内の独自のデータと消費習慣、興味、好き嫌いの洗練されたプロファイル上の時間制御と見過ごされて土地を失います。 人格の売却は、フルスイングであり、新たな脅威を満たすために、個人衛生情報のビットのみを支援します。
ネット上の実際の名前にFacebookの開口部を通ってさまよっているので、サーフィンの習慣のlinkabilityだけで理論的な可能性はもはやありませんですが、人は完全に自動化され、永続的なものです。
この記事では私は彼らのプライバシーをオンラインで保護する方法をいくつかリストされます。 残念なことに、ほとんどすべての措置は、個人のイニシアチブと少し訓練の程度を必要とします。 閲覧中に頻繁に(少なくとも最初は)少しの快適さを失う。 それにもかかわらず、長い目で見ればヒントの使用は非常に有益である。
しかし、我々は少し実験第一。 小テストのために私はそのデフォルトの設定では最近のFirefoxブラウザを起動し、すべてのCookieを削除してから、すなわち、6ページ、Spiegel.de、Bild.de、GMX.de、TwitterやFacebookやポルノサイトをサーフした。 結果は、コンピュータ上の21の新しい永続的なクッキーです。
この数ページを呼び出した後、ブラウザがサードパーティのクッキーと、完全なバギーです。 これらのクッキーは現在、著者にインストールされていて、再び外に読み取ることができます私のブラウザを識別します。 これが行われて自分のページで最初にすることができます。 しかし、サードパーティのウェブサイト上で、これは協力しています。
、上のGoogle広告は、GoogleのCookieはGoogle Analyticsを使用するすべてのページでは、例えば、リードされるように、Googleマップに統合またはウェブマスターのための多くの他のkonstenlosen Googleのサービスのいずれかを使用します。 これは、Google検索に私のGoogleの歴史だけではなくを与えるが、それは私が訪問した他の多くのサイトにも当てはまります。
同じことが他のベンダーのクッキーになります。 広告代理店、市場調査会社、マーケティング会社やスパマーは、常に私について多くを学ぶために、もう一度読んでお使いのブラウザやパートナーサイトのクッキーを設定しようとしています。
これは、どちらのパートナーサイトにインストールされている小さなunsichbare Webサイト上のファイル( "Webビーコン"、 "画像を追跡する"を参照)またはJavaスクリプトを介して行われます。
より多くのプライバシーのための最初のステップは、トラッキングクッキー、ウェブビーコンや洪水に対処するために、JavaScriptを追跡もあります。
ヒント1 -ローカルホストファイルでは、スパイのほとんどは完全にシャットアウト。
ペストに対する基本的な予防接種としてローカルホストファイルをすることができます。 ホストファイル内の任意の近代的なオペレーティングシステムは、対応するIPとドメイン名のリストで
堆積することができます。 システムは、まずインターネット上のアドレスをルックアップするためにローカルホストファイルを使用して、唯一のインターネット上のDNSサーバーの後。 あなたがローカルにこれらのサイトにトラッキングクッキーと転送要求を配置することが悪意のあるドメインのアドレスは、ブラウザはこれらの悪意のあるページに到達することはできませんので、ホストファイルにプロットする。
ですから、すでに問題の大部分を解決しました。 トラッキング数千のドメインを含む非常によく維持されたファイルは、ここでそれを見つけるでしょうホストすることができます: http://winhelp2002.mvps.org/hosts.txt Linuxはそれを有効にするには、ローカルマシン上の/ etc / hostsファイルと同じくらい簡単にそれを格納します。
#/ bin / bashを wgetの-Oの/ tmp / tracking.txt http://winhelp2002.mvps.org/hosts.txt MV / etc / hostsファイルは/ etc / hosts.backup MVを/ tmp / tracking.txt / etc / hostsファイル
あなたがLAN上で独自のDNSサーバを操作する場合 、あなたはまた、全体のLANの中心にホストファイルを使用して、自動的に無料のように設定することができます。
ヒント2:Googleは共有と言うためだけに最低限必要です。
グーグルトラッカー#1がインターネット上にあると今では遠回りに記録され、ほぼすべてのページに個人を特定できる情報を訪問し、これは自分自身の人にGMailやGoogle +やその他のパーソナライズされたサービスを用いた個人識別して独自のGoogle検索にさかのぼるとリンクすることができます。 一方、Googleのクッキーの衰退、面白いFirefoxのプラグインGoogleSharingに役立ちます。 プラグインはプラグインの他のすべてのユーザと共有されているこれまでランダムIDを作成することにより、すべての連絡先をGoogleにanonymisert。 Googleはプラグインの個々のユーザーを識別するために使用できる匿名のマス偶然ではなくなります。
プラグインは完全に自動的に動作し、単に無関係なGoogleのパフォーマンスが低下します。
ツール/アドオンの下、またはこのウェブサイトからFirefoxでそこGoogleSharing: https://addons.mozilla.org/en-US/firefox/addon/googlesharing/
ヒント3:クッキーモンスターのクッキーを完全に制御
クッキーとは、追跡のためだけに存在しません。 多くのWebサイトは、ログイン管理や店舗のユーザー·プリファレンスとして完全に合法的な機能のためにそれらを使用しています。 したがって、最初に一度すべてのCookieを禁止し、実際にあなたが頻繁にアクティブに使用するサイトに必要なCookieを許可する手順マニュアルで手順は理にかなっています。 これはFirefoxボード可能な手段であるが、残念ながら非常に面倒。 これは、ここで "クッキーモンスター"プラグインフリー。 これは、システムトレイのインストール後に位置しており、現在開いているページのCookieの設定へのクイックアクセスを提供します。 クッキーモンスターは、多くのサイトが実際にクッキーなしでは動作しないので、最初に少し作業を設定することではなく、短い時間の後に個人衛生クッキーの可能な限り最高のレベルを得るために行います。 クッキーモンスターはここにある: https://addons.mozilla.org/de/firefox/addon/cookie-monster/
ヒント4:トラッキングのJavaScriptと、NoScriptのとFlashムービーのIFRAMES禁止
ほとんどのクッキーは、JavaScriptのによって設定されます。 Javascriptを無効にするとき、完全なので、多くのウェブサイトが使用不能なので、あなただけのクッキーと同じように、残念なことに、ここで選択を行う必要があります。 追跡もNoScriptのに役立ち、選択によりプレーヤーとFlashムービーでも行うことができます。
ここで同じアプローチは、次のとおりです。まず、少しできるように必要なスクリプトによって一度完全にして、少し、すべてのスクリプトを禁止する。 訪問は、タスク·バーからクッキーモンスターに似ていますFirefoxのNoScriptのプラグインは、到達することができ、ページごとのJavascriptを許可または禁止するのに役立ちます。 ここでも初めにたくさんのストレスがあり、ほとんど何ももう動作しません。 あなたがプラグインを持っている時点で、しかし、そううまくはほとんど妨げないこと、個人のニーズに適応した。 彼らはまだ第三者による外部データの様々を構築しながらページをリロードする必要がないので、すてきな副作用多くのページでは、はるかに高速にロードするように。
ヒント5:TORボタンを持つ匿名のIPアドレス
前回のヒントで私は今、少なくともサードパーティ製のトラッカーの99.9%に一度オフにしました。 私はウェブサイトを得るために行くが、それでも私が誰で、私のIPアドレスを追跡することができます。 これは、匿名でネットサーフィンすることができるを通じてどこTORネットワークです。 これは、Google Prizip共有に似ています。 独自のIPアドレスは、アドレスの大きなプールでダウンし、他のトレースは、独自の接続ではなくなりました。
TORは、日常の使用に適した、残念ながら非常に遅いため、ありません。 しかし、それは時々非常に役立ちます。 TORは、Firefoxのオンとオフは非常に簡単かつ迅速に統合するプラグインです。 詳細情報やダウンロードは、ここでは次のとおりです。 https://www.torproject.org/torbutton/
ヒント6:AdBlock Plusのに広告を削除します。
すべてのバナーは、すでに以前のヒントで採用されていませんが、あなたは、AdBlock Plusのとそれを削除することができます。 このプラグインは、広告をブロックし、そのサーバへのアクセスによるサーバーのリストを使用しています。 これは、Firefoxがバナー広告や多くの映画や関連するエンティティがウェブサイト上で空のままにしないリロードすることができます。 プラグインは完全に自動的に動作し、それがブラウザに到達する前に、広告の多くを捉えました。 AdBlockをを自動的にブロックがAdBlockを、それをブロックし、それを認識できるように、手動で選択することができないことを宣伝。 移動Adblockは、ここでは次のとおりです。 https://addons.mozilla.org/de/firefox/addon/adblock-plus
デュッセルドルフでのオンライン登録情報は悪い印象を作る
それは、個人データが誰に登録事務所に渡すことが何明確ではありませんでした。 上のいくつかの調査後、私は私、このアクションは、登録事務所でそのデータの開示に反対するための呼び出しの海賊を、プッシュ。 多くの登録事務所は、すべて今あるデータを提供する!ロワール。 これは、矛盾することで回避できます。
登録オフィスからのデータが転送されます。
州当局、援助の文脈で正当な利益の場合
したがって、たとえば、警察、検察官、統計局など
GEZ
兄弟は、我々はすでに、あまりにもよく知っている。
締約国は、有権者とのノミネートの他のソースのグループ 議会及び地方選挙に関連して、§35 para.1 MG NRW
かなり光沢のあるキャンペーンの広告を取得します。
嘆願書との接続で原告と第三者にと 国民投票と市民が決めることで、§35セクション2 MG NRW
高光沢を得るためにあなたが頻繁に国民投票を行うのに役立ちます。
自動検索の方法で、インターネット上で、§34 Abs.1b MG NRW
それは私がまだ知られていなかったという点です。 インターネットポータルを持つことができます
インターネット経由で自動的に人のいくつかの特性を知っている人
インテリジェンス·レポートを収集します。 クエリは、現在デュッセルドルフでレコードごとに€4かかります。
登録法NRW州はこの時点で言います:
§34 Abs.1b MG NRW コールはインターネット経由で可能な限り行われる場合、(1b)は、申請手続や情報の提供が暗号化された形式で行われていることを確認します。 アクセスの開口部が公に知られている必要があります。 個々の情報交換のこの形式に反対している場合、呼び出しは許可されていません。 オブジェクトへの右側の公告によるインターネットアクセスの開会前に、最新の一ヶ月に注意する登録機関。 また、§35第6項、文2が適用されます。
データの転送抗告は、フォームに必要事項を記入して可能性があります。 デュッセルドルフでは、これはここにある: https://formulare.duesseldorf.de/forms/frm/7PRPfAZH5gQA8Ja8AkNGaH1rNpDcHR3これは公共機関で無料で配信することができます。 その後、オンラインアクセスは、より多くのデータを所有することが可能ではありません。 どうやら、それぞれの地方都市や郡のデータ要求が組織した。
私は市民で(非常に友好的)バックオフィスの店員に尋ねたときに、可能性
私は、ポータルクエリのURLを教えて申し訳ありませんでした。 クイック検索は、サイトがデュッセルドルフの街に迅速に私を導いた:
https://www.duesseldorf.de/emra/emra.jsp?stadt=D%FCsseldorf&タイプ=市
ポータルには、少なくとも印象に言っても技術的に非常に疑わしいた。
まず第一に、CAPTCHAまたは与えるに似ては存在しないようです。 グラウンドクエリが適切なスクリプトで可能と思われる。
私はクッキーを有効にしていなかったので加えて、WebアプリケーションはTomcatのエラーメッセージが表示されて私のテストクエリによって承認された。
私はこれを読んだ後ますます街が提供するすべての市民のデータへのアクセスを提供するアプリケーションのプロ意識を疑う。 条件がユーザーのマシン(この例では、クッキーの私の欠如)に存在しない場合、スクリプトはクラッシュしないようにしてください。 無効化しないように生産に使用しているWebサーバーからスクリプトのエラーメッセージが過失がある 、それが使用されているシステム環境について多くのことを明らかにすることができますので。 つのJSP(上記スクリーンショットのように)、サーバの構成に応じて、特にするときにもプログラマとQuelltextschnippselのコメントは得られます。 ここでずさんな仕事でした。 個人データへのインタフェースで起こるべきではありません。
私が座っているし、また、以下のエラーメッセージに表示されるTomcatのバージョンを使用してみましょう。 (ApacheのTomcat/6.0.24)これは、21/01/2010のWebサーバの旧バージョンです。 現在のバージョンは6.0.33です。 サーバーは、長いバージョンが更新されていない4つのレジスタを持っています。 この最新バージョンで修正された脆弱性を見れば、それが不快になってきている。 サーバーは、最良の状態で明らかにではありません。
http://tomcat.apache.org/security-6.html 8月18日リリースのApache Tomcat 6.0.33で修正された、2011中(Moderate):HTTPダイジェスト認証CVE-2011から1184に複数の弱点HTTPダイジェスト認証の実装はいくつか持っているのを発見しました弱点:リプレイ攻撃は、サーバのナンスがクライアント一回だけカウントがQOP値がレルムの値は、サーバーの秘密をチェックしませんでしたがチェックされませんでしたがチェックされませんでしたチェックされていない許可されたこれらの弱点の結果はそれが何DIGEST認証としてだけでは知られている文字列にハードコードされていましたBASIC認証と固定します。 これは改訂第百十五万八千百八十で修正されました これは2011年3月16日に、Tomcatのセキュリティチームによって識別され、2011年9月26日に公開されました。 影響を与えます。6.0.0-6.0.32低い:情報開示のCVE-2011から2204のメモリのユーザーデータベース(tomcat-users.xmlに基づく)を使用してJMXを経由してユーザーを作成する場合、ユーザー作成プロセス中に例外がでエラーメッセージを引き起こす可能性がありますユーザーのパスワードが含まれていますJMXクライアント。 このエラーメッセージは、Tomcatのログに書き込まれます。 ユーザーのパスワードはtomcat-users.xmlファイルに読み取りアクセス権を持つJMXアクセスおよび/または管理者と管理者に表示されます。 ているこれらのユーザーは、権限を持っていますが、ログファイルを読むことができますユーザーのパスワードを発見することができるかもしれないわけではありません。 これは、リビジョン1140071番目で修正されました これは2011年6月14日にポリーナジェノバによって識別され、6月2011th 27日に公開されました 影響を与えます。6.0.0-6.0.32低い:情報開示CVE-2011から2526のTomcatは、HTTP、4月のNIO HTTPコネクタを備えたsendfileのサポートを提供します。 はsendfileが自動的にデフォルトサーブレットを経由して提供し、展開されたコンテンツに使用されるアプリケーションは、要求属性を設定してWeb経由でそれを直接使用することができます。 これらの属性は、要求を検証していませんでした。 セキュリティマネージャがクラッシュを介して(終了しアクセスできないようにする必要があることをユーザに戻りファイル:セキュリティマネージャの下で実行している場合は、検証の欠如は、通常、セキュリティマネージャによって阻止される次のいずれかまたは複数を実行する悪意のあるWebアプリケーションを許可信頼できないWebアプリケーションがセキュリティマネージャは、HTTP NIOまたはHTTP 4月コネクタがsendfileを使用されている信頼できないWebアプリケーションを制限するために使用され使用されていると、コネクタが有効になっている(これは:)JVMはさらに、これらの脆弱性は次のすべてに該当する場合にのみ発生デフォルトです)これは、リビジョン1146703番目で修正されました これは2011年7月7日に、Tomcatのセキュリティチームによって識別され、7月2011th 13日に公開されました 影響を与えます。6.0.0-6.0.32重要:情報開示コード機能のバグによるものCVE-2011から2729、jsvcに(コモンズデーモンプロジェクトの一部であるLinux用のサービスラッパー)は、アプリケーションを許可する機能が削除されませんスーパーユーザが所有するファイルやディレクトリにアクセスすることができます。 すべての次の条件が満たされて発生した場合にのみ、この脆弱性:Tomcatは、Linuxオペレーティングシステム上で実行されているその他のlibcapのjsvc-userパラメータでコンパイルされ、この脆弱性が含まれてjsvc用のソースファイルに同梱されて影響を受けたTomcatのバージョンを使用されています。 これは改訂第百十五万三千八百二十四で修正されました これは2011年7月20日ウィルワイスマンによって識別され、2011年8月12日に公開されました。 影響を与えます。6.0.30-6.0.32 2011年2月3日(注)をリリースしましたは、Apache Tomcat 6.0.32で修正された:以下の問題は、Apache Tomcat 6.0.31のリリースで修正されましたが、6.0.31のリリース候補への投票は通過しませんでした。 したがって、ユーザーがこの問題の修正を含むバージョンを取得するが、バージョン6.0.31影響を受けるバージョンの一覧に含まれていない6.0.32をダウンロードする必要があります。 重要:サービスCVE-2011-0534 NIOコネクタのリモートDoS攻撃は、処理中に延々とバッファ要求ラインを展開します。 その動作は、巧妙に作成された要求を使用してサービス拒否攻撃に使用することができます。 これは、リビジョン1066313thで修正されました これは2011年1月27日にTomcatのセキュリティチームによって識別され、2011年2月5日に公開されました。 影響範囲:1月13日リリースのApache Tomcat 6.0.30で修正された6.0.0-6.0.30、2011低:クロスサイトスクリプティングCVE-2011から0013をフィルタリングせずに、表示名として解析し、表示されるデータを提供されたHTML ManagerのWebアプリケーション·インターフェース。 マネージャページを表示するときに悪意のあるWebアプリケーションでは、管理ユーザによってスクリプトの実行を引き起こす可能性があります。 これは改訂第百五万七千二百七十で修正されました これは2010年11月12日にTomcatのセキュリティチームによって識別され、2011年2月5日に公開されました。 影響を与えます。6.0.0-6.0.29中(Moderate):クロスサイトスクリプティングのCVE-2010から4172をManagerアプリケーションは、クロスサイトスクリプティングを可能にすることにより、フィルタリングせずに直接パラメータと並べ替えOrderByを提供するユーザーを使用していました。 これは改訂第百三万七千七百七十九で修正されました これは最初の2010年11月15日にTomcatのセキュリティチームに報告し、2010年11月22日に公開されました。 影響を与えます。6.0.12-6.0.29低:セキュリティマネージャのファイルのアクセス許可をセキュリティマネージャの下で実行する場合はCVE 2010から3718をバイパスし、ファイルシステムへのアクセスが制限されていますが、Webアプリケーションは、作業ディレクトリへのアクセス権を読み取り/書き込みが付与されます。 このディレクトリは、サーブレットにJSPをコンパイルするときに生成される中間ファイルとして検討の一時ファイルのさまざまな目的で使用されています。 作業ディレクトリの場所は、Webアプリケーションへの読み取り専用であることを意味するServletContect属性によって指定されています。 しかし、コーディングエラーが原因で、読み取り専用の設定が適用されませんでした。 Tomcatがファイルのアクセス許可を適用する前に、したがって、悪意のあるWebアプリケーションは、属性を変更することができます。 これは、悪意のあるWebアプリケーションがその後を活用することができるファイルシステム上の任意の領域へのアクセス権を読み取り/書き込み許可するために使用することができます。 共有ホスティング環境として検討し信頼できないソースからWebアプリケーションをホスティングする際に、この脆弱性にのみ適用されます。 これは改訂第百二万二千五百六十で修正されました これは2010年5月12日に、Tomcatのセキュリティチームによって発見され、2011年2月5日に公開されました。 影響範囲:7月9日リリースのApache Tomcat 6.0.28で修正された6.0.0-6.0.29、2010重要:リモートサービス拒否、情報漏えいの脆弱性 "Transfer-Encodingの 'ヘッダの処理にCVE-2010から2227まで、複数の欠陥が発見されたバッファのリサイクルすることを防止。 リモートの攻撃者は、後続のリクエストが失敗し、そして/または、要求間で情報を漏洩するすることになり、この欠陥を引き起こす可能性があります。 プロキシが無効な転送エンコードヘッダを拒否する必要がありますようにTomcatがリバースプロキシ(テストされたApache httpdの2.2)の背後にある場合は、この欠陥が軽減されます。 これは、リビジョン958977番目で修正されました これは最初の2010年6月14日にTomcatのセキュリティチームに報告し、2010年7月9日に公開されました。 影響を与えます。6.0.0-6.0.27注:以下の問題は、Apache Tomcat 6.0.27のリリースで修正されましたが、6.0.27のリリース候補への投票は通過しませんでした。 したがって、ユーザーがこの問題の修正を含むバージョンを取得するが、バージョン6.0.27影響を受けるバージョンの一覧に含まれていない6.0.28をダウンロードする必要があります。 低:基本認証とダイジェスト認証のための情報認証ヘッダーの開示CVE-2010から1157のWWW-Authenticate HTTPヘッダーは、レルム名が含まれています。 場合要素は、それが使用されるアプリケーションのweb.xmlで指定されています。 しかし、 Tomcatは、コードスニペットrequest.getServerName()の+ "" + request.getServerPort()を使用してレルム名を生成しますが指定されていません。 いくつかの状況では、これはローカルホスト名またはTomcatを実行するマシンのIPアドレスを公開することができます。 これは、リビジョン936540番目で修正されました これは最初の2009年5月31日に、Tomcatのセキュリティチームに報告し、2010年4月21日に公開されました。 影響範囲:6.0.0-6.0.26
すべてこれは非常に不確実であり、それは私のためになる状態の寿命プライバシーの例です。 データが販売され、ほとんど誰もが知られていません。 技術的な実装が望まれるために多くの葉と不良であると早急に更新する必要があることが知られている非常に技術的なシステム上で動作します。 また、ITプロジェクト(通常は非常に高価であり、国家に知られている)は、常に場所を取らないで修飾最終検査と受け入れと思われる。
唯一のプラスポイントとして、私はすべてのレポートデータのオンライン読書の中心的な全国的なポータルがないように思われることに注意することができます。 その後、我々は確かに遠いものから削除されませんでしたイスラエル人は、最近起こった 。
私は私を開催してよかった、誰かがいない場合は犯罪者のエネルギーと技術的知識を持つ何かがまだ私(そして他の人)に(無料)発生する可能性があり、私は少なくとも疑わしいと思う。 一見すると、デュッセルドルフのシステムは攻撃に対して強化されません。
つぶやきNeglector。 Twitterから古いつぶやきを削除するには、小規模なPHPスクリプト
あなたのTwitterアカウントから古いつぶやきを削除つぶやきNeglectorのプロセスを自動化します。 基本的には、あなたのつぶやきの機能を "期限切れ"を提供します。 それがTwitterを使用したいが、数十年にわたってオンライン状態を維持するために彼らのつぶやきの履歴をしたくない人のために有用である。
HISTORY: 2011年11月20日|バージョン0.1 最初のリリース。 削除つぶやき 2011年12月28日|バージョン0.2 小さなバグを修正しました。 今すぐ削除リツイートも。 既知のバグ: - あなたはつぶやきを維持するために計画の期間にあなたがさえずる1000以上のつぶやき場合は動作しません。 リツイート(100許可)のために同じです。 これらは、TwitterのAPIの欠点私は、ATMを使用しています、GETです。 たぶん私は次のリリースでこの問題を解決するよ
つぶやきNeglectorは今から数日与えられた番号の前に掲載されているあなたのつぶやきをすべて削除するには、TwitterのAPIを使用しています。 この方法は、あなたは、例えば、週または月より古いすべてのつぶやきを削除するスクリプトを設定することができます。 スクリプトは自動的にcronジョブまたは定期的な基盤上の別のオートメーションメカニズムから実行する必要があります。
このスクリプトは、外部のさえずるアーカイブからあなたを守ることはできません。 削除されたつぶやきが(私は彼らが賭け)静かにTwitterでアーカイブされている場合ので、それは不明である。 したがって、(いつものように)つぶやきの前だと思う。
つぶやきNeglectorは、スクリプト言語とのバンドルとしてPHPを使用してマットハリスからのTwitterのOAuthライブラリを APIにアクセスするための。
インストール
- tmhOAuthために必要なPHP5 - あなたの任意のディレクトリにアーカイブを解凍します。 - https://dev.twitter.com/appsにあなたのTwitterのAPIキーを登録する - あなたのニーズに合わせてスクリプトの設定を編集します。 #TwitterのAPIキー、トークンと秘密 > https://dev.twitter.com/apps - #でこれらのキーを取得する $ Consumer_key = "ここにあなたのキー"; $ Consumer_secret = "ここにあなたのキー"; $ Access_token = "ここにあなたのキー"; $ Access_token_secret = "ここにあなたのキー"; #セッションあたりのつぶやきの数で動作するように $ Tweets_per_session = 1000; #Twitterのユーザー名 $ Twitter_username = "ここにユーザー名"; つぶやきを保つために#日 $ Keep_days = 30; - cronジョブによって自動的にブラウザ、コンソールまたはから手動でスクリプトを実行します。 は/ usr / bin / php / var / www /のtweetneglector / tweetneglector.php
つぶやきNeglector 0.2ダウンロードここで
HOWTO:Ubuntuでdnsmasqを持つ迅速かつ汚れたDHCPサーバーとDNSキャッシュ
LAN上のDHCPが実用的です。 あなたは、もはやクライアント自体に、ネットワーク内の各コンピュータのネットワーク構成を管理しませんが、すべてが美しい中央のロケーションサーバを持っています。 ホスト名を解決するときにクエリがローカルキャッシュからよく知られているホスト名ではなく、インターネット上のサーバに適用することができますので、少し時間が、行わなければならないDNSクライアントをキャッシュして保存します。
小さなDHCPサーバは、非常に迅速にdnsmasqを設定されています。
#dnsmasqをインストールします。 apt-getでインストールdnsmasqを
設定ファイル/ etc / dnsmasq.confに集中的に行われます。 ファイルの拳の設定オプションが阻止する前に一つは残すべきではありません。 ちょうど約すべては単なる例ですとコメントアウトデフォルトではされています。 非常に短いConfigはすでに働いてセットアップするのに十分です。
DHCP
#DHCPネットマスク #クライアントは、ネットマスクとして255.255.255.0を受けた DHCP-aオプション= 1,255.255.255.0 #デフォルトゲートウェイ #クライアントはゲートウェイ192.168.1.251として受け取った DHCP-aオプション= 3,192.168.1.251 #DNS #クライアントは、ネームサーバ192.168.1.4を取得する あなたはDNSキャッシュとしてdnsmasqを使用したい#場合、これはあるべき dnsmasqを実行しているサーバーの#IPである DHCP-aオプション= 6,192.168.1.4 MACによって割り当てられた同じIPアドレスの#ホスト: #これは、12時間のMAC 00:11:22:33:44:55 IP 192,168.1.1を持つホストを取得します。 DHCP-ホスト= 00:11:22:33:44:55、ロビー、192.168.1.1,12 H DHCP-ホスト= 00:11:22:33:44:66、Lobby2、192.168.1.2,12 H #MACによって識別することはできませんのすべてのコンピュータはIPアドレスを受け取る #192.168.1.120〜150のプールから DHCPレンジ= 192.168.1.120,192.168.1.150,12 H
DNS
dnsmasqのDNSの機能は全く設定を必要としません。
dnsmasqのは、そのネームサーバからの/ etc / resolv.confを懸念している。 これがなければなりません
プロバイダの知られているネームサーバーを記録し、可能性もフォールバックのとおりです。
GoogleのDNSサーバーの8.8.8.8。
できるローカルネットワークに適用されるべきである以上のホスト名、ファイルのdnsmasqの
知られていた/ etc / hostsファイルである。 ここですべてのコンピュータがホスト名を登録されている
LAN。
落とし穴
dnsmasqのは、そのコンフィギュレーションファイルKonfigänderungenを再読する必要があります
は/ etc / init.d / dnsmasqを再起動
クライアントが古いDHCPサーバーからリースをお持ちでいない場合は、手動で新しいDHCP要求を開始するためにもたらすことができます。
#Linuxの eth0のdhclientが #のWindows IPCONFIG / RELEASE IPCONFIG / RENEW
早急に無効にするには、どこでも、DHCPサーバ(通常はインターネットへのルーター)を使用するために、これまでのところ、注意する必要があります。 LAN上の2のDHCPサーバーは、混乱の多くを生成することができます。
UbuntuのEEE 1000H rt2860用のワイヤレス
すべてのアップデートと最近の無線は、Ubuntuと私のEee PCの1000Hに非常に不安定であった。 永続的な切断、停止、低速の接続後のないワイヤレスなど
私はそれが何であるか全くわからないんだけど、おそらくrt2860ドライバがバグを持つ任意の更新を取得しています。
幸いなことに、この問題はndiswrapperを使用してWindowsドライバをインストールすることによって解決することができます。
これはわずかに短くなるドイツ語の翻訳は英語オリジナルのパターン Ubuntuのフォーラムからnevdelapの。 (ありがとう)
最初のWindowsドライバを吸うとアンパック(comm_driver_gigabyte_mimobility_v.1.3.1.0.15.zip)
2番目の Linuxドライバのブラックリスト
#は/ etc / modprobe.d / blacklist.conf ブラックrt2x00lib ブラックrt2x00pci ブラックrt2x00usb ブラックrt2400pci ブラックrt2500pci ブラックrt2500usb ブラックrt2800lib ブラックrt2800pci ブラックrt2800usb ブラックrt61pci ブラックrt73usb ブラックRT2600 ブラックrt2860#Asusの1000Hはrt2860を持っています。 ndiswrapperのによってロードすることができます。 ブラックB43 ブラックB43 ブラックSSB ブラックr8192s_usb
3番目の その他のndisgtk drivers/GN-WI30N_WP30N_WS30N_WS30HN_WS31N/WINXP2kを使用してWindowsドライバをインストール
sudoののndisgtk
第四 GRUBの設定
#は、/ etc / default / grubの GRUB_CMDLINE_LINUX_DEFAULT = "pciehp.pciehp_force pciehp.pciehp_poll = 1 = 1静かなスプラッシュ"
sudoのアップデート、その他のgrub2
第五 パワー·マネジメント·ルールの作成
#に/ etc / pm / sleep.d / ndiswrapperの #/ bin / bashを 場合 "$ 1"に 休止|サスペンド) sudoのは、rmmod ndiswrapperの ; 雪解け|履歴書) sudoのmodprobeのndiswrapperを ; *) ; ESAC $を終了しますか?
します。chmod + xに/ etc / pm / sleep.d / ndiswrapperの
第六 再起動
その後ワイヤレスは、高速かつ安定に実行されます。
PHPチートシート
ここでは、有用なPHPコードスニペットを収集する
擬似画面を使用するマルチスレッド
#/ Usr/bin/php5のために!($ I = 1; $ iが<50; $ i + +)の{エコーは "私は、\ n $を開始";スレッドはexec( "画面の-d-M / usr/bin/php5 /。が。php ");} MySQLサーバは、長時間実行されるPHPのシェルスクリプトの中でなくなっている
#/ Etc/php5/cli/php.ini = mysql.allow_persistentオン mysql.max_persistent = -1 mysql.max_links = -1 mysql.connect_timeout = -1
当社は、接続-ファンを通信販売で
顧客が問題を抱えていた。 ため、特定のアプリケーションから、台湾への迅速なpingが必要でした。 Hinet、大規模な台湾のプロバイダに320ms - 従来の通信DSLerは、定数290をもたらした。 アプリケーション·パッケージのストレスフリーな使用は、これらの条件にあったことはできませんので、より高速な接続の代替を探していました。 私は状況の改善も可能であったかどうかを最初から懐疑的だった。 DSLerでパッケージが最初にニューヨークの電気通信ネットワークを介してルーティングされた。 そこから我々はAT&Tは、太平洋Hinetを越えた後、米国を越えて継続して行ってきました。 カリフォルニア州から台湾へのパケット遅延の主な一部であった - ほぼ200msの。 私の考えでは、改善がテレコムは台湾でのネットワークのバックボーンで自分を楽しませたい場合にのみ可能となります。 不可能を作ることができるベンダーは、私の検索では、私は、テレコム製品に出くわした会社Connectの直接通信バックボーンに関連している専用回線で構成されています。 電話は、彼らがアジアに50ミリ秒のpingの下に容易に "ココ"で達成した私を安心させた。 私は驚き、まだ懐疑的だった。 数日後、若者やダイナミックなテレコムセールスマンがやってきて、再びホットラインによる請求を確認した。 "私はあなたに尋ねた、それは問題ありません。テレコムは、グローバルなバックボーンを保持しています。" 建物を出るとき、彼はちょうど新しいBMWを命じたことを教えてくれました。 非常に素晴らしい。 電子メールを介して直接条約の次の日は家に入って来た。 我々はpingが台湾の後に100ミリ秒で到達できなかった場合我々は契約を取り消すことができるほかで彼を送り返す。 テレコムは、署名した。 これは、何より長い時間後に起こった後。 セールスマンは月内の回路を保証していました。 ヶ月後、我々は、セールスマンに尋ねたが、(今まで)にしてからでしたアクセスすることはできません。 でも、彼の部門への電子メールは答えませんでした。 2 1/2ヶ月後、私たちはせっかちだったし、回路の日付の一週間内に配置することができない場合は、ご注文をキャンセルすると脅した。 それは突然、非常に迅速に行ってきました。 "エスカレーションポイントは"私たちのために任命を組織し、ラインが切り替えられた。 最初のテストのために、私はライン上のルータと私のブランドの新しいネットブックを貼っていた。
ボックス-WW-11:57:35〜 - > pingをwww.hinet.net PING www.hinet.net(202.39.224.7)のデータを56(84)バイト。 icmp_req = 1 TTL = 237時間= 306ミリ秒:202-39-224-7.HINET IP.hinet.net(202.39.224.7)から64バイト icmp_req = 2 TTL = 237時間= 306ミリ秒:202-39-224-7.HINET IP.hinet.net(202.39.224.7)から64バイト
LOL。 他に何を期待するでしょうか? 前とまったく同じpingの値を示します。 前とまったく同じ国際線。 技術的な問題はありません。 でたらめ-ブラブラブラブラ - のちょうどたくさん。 終端回路のような "滑らかな"関数としてであれば、私は興味があります。
UbuntuとXSスティックW14 UMTS
ビットの周りUbuntuのXSスティックW14 zickte。 時折、ネットワークマネージャは、USBモデムとして認識しますが、それでも彼は接続できませんでした。 いくつか失敗した狂気さの後、私は上だスクリプトSakis3Gほとんどすべてのドライブに接続することができます生成することを約束遭遇。 そして実際、それはしていSakis3Gすぐに作品を。 推奨される、おそらく他のドライブのために。
PLATE XSスティックW14 P / N 3000.000056.00 www.4g-systems.com
#lsusbが バス002デバイス006:ID 1c9e:9603
#/ var / log / syslogのプラグを差し込む 6月19日午前20時41分04秒ボックスカーネル:[74186.796148] usbの2-2:uhci_hcdとアドレス7を使用して、新しいフルスピードUSBデバイス 6月19日午前20時41分04秒ボックスカーネル:[74186.946031] scsi11:USBストレージ2-2:1.0 6月19日20時41分05秒usb_modeswitchボックス:スイッチング1c9e:F000(USBモデム:USBモデム) 6月19日午後08時41分06秒ボックスカーネル:[74189.293850] usbの2-2:USB接続の切断、アドレス7 6月19日夜08時41分07秒ボックスカーネル:[74189.660069] usbの2-2:uhci_hcdとアドレス8を使用して、新しいフルスピードUSBデバイス 6月19日夜08時41分07秒ボックスカーネル:[74189.819348]オプション2-2:1.0:検出されたGSMモデム(1ポート)コンバータ 6月19日夜08時41分07秒ボックスカーネル:[74189.819577] usbの2-2:現在ttyUSB0に接続されているGSMモデム(1ポート)コンバータ 6月19日夜08時41分07秒ボックスカーネル:[74189.819802]オプション2-2:1.1:検出されたGSMモデム(1ポート)コンバータ 6月19日夜08時41分07秒ボックスカーネル:[74189.819950] usbの2-2:今ttyUSB1に接続されているGSMモデム(1ポート)コンバータ 6月19日夜08時41分07秒ボックスカーネル:[74189.820220]オプション2-2:1.2:検出されたGSMモデム(1ポート)コンバータ 6月19日夜08時41分07秒ボックスカーネル:[74189.820395] usbの2-2:今ttyUSB2に接続されているGSMモデム(1ポート)コンバータ 6月19日夜08時41分07秒ボックスカーネル:[74189.821414] scsi12:USBストレージ2-2:1.3 6月19日夜08時41分07秒ボックスモデム·マネージャー[10 480]:シリアルポートを開く(TtyUSB1).. 6月19日夜08時41分07秒ボックスモデム·マネージャー[10 480]: シリアルポートを開く(TtyUSB0).. 6月19日夜08時41分07秒ボックスモデム·マネージャー[10 480]: シリアルポートを開く(TtyUSB2).. 6月19日午後08時41分08秒ボックスusb_modeswitch:1c9eに切り替える:9603(USBモデム:モデムの設定) 6月19日午後08時41分08秒ボックスカーネル:[74190.823474] SCSI 12:0:0:0:ダイレクトアクセス午前2時31分USBModemディスクPQ:0 ANSI:2 6月19日午後08時41分08秒ボックスカーネル:[74190.825402] SD 12:0:0:0:アタッチドSCSIジェネリックSG3タイプ0 6月19日午後08時41分08秒ボックスカーネル:[74190.833436] SD 12:0:0:0:[SDC]アタッチドSCSIリムーバブルディスク
LinuxでのApacheのMySQL PHP WebサーバーのルートLAMP〜12の対策の安全な
ハッキングの頻度は数ヶ月で劇的に増加している。 特に大量のデータは、Webサーバー上のハッキングによってピックアップすることができます。 さらにソニーのPSNハックは、Apache Web Serverのパッチを適用していない脆弱性を利用した。 だからここに私は、サーバが外部からの攻撃を少し安全に所有できる措置を高めています。 もちろん、これはまた、100%の保護を提供していませんが、それは悪者がゲームをもう少し難しくすることをお勧めします。 対策の一部は、最小限のインストールとメンテナンスが必要になります。 その他キャッチするPHPの時間と多くの知識を必要としています。 あなたは、常にセキュリティ対策の選択の費用便益比に注意を払う必要があります。 それは連邦準備銀行のような小さな、プライベートサイトを保護するためにも意味がありません。 ただし、システムにいくつかの特定の変更は、すでに大きな意味より高いセキュリティを持っています。 そして、あなたは手遅れになる前であっても扱うことを....
すべてのヒントやCodesnipsは現在のDebianボックスを参照してください。
最初の ファイアウォール-一度すべてを禁止する
それらのデフォルトのインストールでほとんどのLinuxディストリビューションは絶対に必要ではありません外に任意のポートを開きます。 このような状況は、しかし、すぐに変更することができた場合でもサーバ
遊んで、物事をしよう。 突然、さらにメディアサーバーは、インターネットやデータベースをリスニングしている
インターネットからの接続を受け入れます。 したがって、自分自身を訓練し、基本的に外部からいったんすべての接続を禁止し、唯一の(自己)選択された化合物を可能にする非常に制限のあるファイアーウォールを置くために間違ったことはありません。 幸いなことに、これはiptablesで迅速に行われます。 このような方法では、もはやそこにはビジネスを持たない世界にアクセスできるようにするサービスを提供することはできません。 残念ながら、あなたは少し慰めを支払う - ファイアウォールは、新しいサービスを提供したいすべての時間を調整する必要があります。 それにもかかわらず、努力は小さく、メリットは大きい。
#/ bin / bashを #既存のテーブルを削除します。 iptablesの-F #すべての着信接続を禁止する iptablesの-PのINPUT DROP iptablesの-P FORWARD DROPを #すべての発信を許可する iptablesの-pの出力はACCEPT #SSHを許可する iptablesのINPUT-jのACCEPTは-p tcp - dportは22 #HTTPを許可する iptablesのINPUT-jのACCEPTは-p tcp - dportは80 たとえば、#さらにサービス(UDP)を許可し、ゲームサーバー iptablesのINPUT-jのACCEPTは-p tcp - dportは4534 #localhostからの接続をすべて許可します。 (サーバー自体に妨げられることなくアクセスできるようにするには、そのサービス、 #たとえば、ローカル·データベース上でのPHP iptablesのINPUT-S 127.0.0.1-jのはACCEPT #すでに確立された接続は、各ポートで受け入れられる #(いくつかのデーモンでは必須) iptablesのINPUT-mの状態 - 状態がESTABLISHED、RELATED-jのはACCEPT
この小さなバックボーンは、我々は、単に独自のサービスを展開し、追加し続けることができます。 ファイアウォール上で作業するときは、常に自分自身をロックアウトした場合の規定を確認する必要があります。 特に、物理的なアクセスを持っていないために、リモートサーバーに対して、それが失敗したファイアウォールの独自のアクセスを支配することによって失うことは非常に迷惑です。 邪魔にこの問題を回避するためには、リセットされ、ファイアウォール、数分ごと、またはサーバが再起動するだけでcronジョブを一時的にファイアウォールで開始するための作業を残すことができます。 ルールは、後でテストされ、愛されて、cronジョブが非アクティブになり、新しいルールは永久にアクティブのままになります。
サービスだけで周りに自分のサーバにリッスンしているかを調べるには、netstatコマンドを使用することができます。
#TCPソケットの場合: は、netstat-LPN | grepのtcpを #同様に、UDPのために: は、netstat-LPN | grepをUDP
ファイアウォールが実際に動作するかどうかをテストするには、別のコンピュータから、独自のサーバをポートをスキャンすることができます。 すべてが働いてそれが開いている唯一の偶数ポートになる必要があります。
#TCPの場合: nmapの-P1-65 535 meinserver.de #UDPの場合: nmapの-SU-P1-65 535 meinserver.de
2番目の SSHログインの禁止
独自のルートサーバー上では、完全なSSHアクセスを持っています。 これはちょうどそれを動作するように任意のSSHクライアントからサーバー倍にすることができますように、非常に便利です。 これの欠点は、コースは残念ながら何とか自分のパスワードを引き継いでいる人誰でもできることです。 それだけで有効なキーファイルを使用してSSHログインを許可する非常に安全です。 したがって、サーバーへのクライアントの公開鍵とコピーされたインタラクティブなログインはパスワードを入力して、無効になっています。
#クライアントでは、公開鍵を作成する パスワードを生成するときに指定した#場合は、1つのことを行う必要があり #キーとパスワードは、後でファイルをログに記録します。 そうでなければ #キーだけを必要としていました。 ssh-keygenに-tをRSA #サーバに生成されたキーをコピーします。 sshのコピー-ID-I〜/。sshを/ id_rsa.pub root@meinserver.de #今サーバー上のsshd_configを調整するの/ etc / ssh / 。 。 PasswordAuthenticationをしなく 。 。 #その後、再びRearBBposを開始 は/ etc / init.d / sshを再起動
でも、ここで1つは、何かが動作しない場合でも、シャットアウトしないように予防措置を取る必要があります。
悪者は、シェルを取得するためのあなたの頭の中で対応するパスワードを使用したUSBスティック上の公開鍵は、それが非常に困難になります。
3番目の SSHは、のdenyhostsを防ぐBruteforcing
アドバイスは、実用的な2ではありません、あなたがパスワードベースのログインが必要の利便性をあきらめていない場合は、少なくともサーバー上で攻撃者の自動化されたパスワード率を防ぐことができます。 インターネット上のボット、多くの終日は、SSHサーバへのより多くの何もしないで、あなたの様々なパスワードで試してみたい。 合理的にセキュアなパスワードを使用してそれが可能だしない場合であっても、大きな問題ではありませんが、より良い感じがあります。 サーバとユーザアカウントに存在する場合だけでなく、それはまた、そのユーザーを保護します。 ここでは、安全なパスワードを使用するユーザーに頼ることはできません。 のdenyhostsは常に見直され、ユーザのsshログインは間違って繰り返される彼らのパスワードを入力してしばらくの間、ロックされます。 IPのユーザーの一時的に彼らはもはやへのアクセスが可能ではありませんので、/ etc / hosts.denyファイルに入ります。 このSSHは非常に有望な非常に長いではなく、タスクにBruteforcing。
apt-getのインストールのdenyhosts #のdenyhostsは、インストール直後に動作します。 それはすることができます #ファイル/ etc / denyhosts.conf微調整で
第四 既知の問題IPを遮断するために使用されるブラックリスト
様々なインターネットのブラックリストにみじん切り/刑事/スパム/詐欺の多数のサーバーをリストする、維持されます。 これらのIPリストは、から、これは信頼されたコンピュータに自身のサーバにまったく接続できないないことが知られているように、ファイアウォールに直接入力することができます。 彼のロシアのプロキシが突然動作を停止しますので、そのようにあなたは、劇的に自分のサーバ上でスパムの量を減らすと、1つまたは他のスクリプトキディは、ロックアウトすることができます。 私が行ったことを行う方法別のブログ記事に Infiltrated.netのブラックリストの例を説明する。
第五 サーバ上で動作するFTPを使用しないでください。
FTPは、インターネットがまだ信頼された小さな村だった良い時代の遺物です。 ウェブサイトの管理者の多くは、まだサーバーにファイルを転送するFTPを使用したり、独自のウェブサイト上で動作する。 FTPはセキュリティ保護されていないすべてのデータを送信するので、残念ながら、これは、非常に不透明である。 パスワードとデータはサーバーとクライアント間の各ホップでも問題なく読み取ることができます。 SSHFSで行く方が、はるかに安全。 あなたがリモートサーバーのローカルファイルシステム上のssh経由でディレクトリをマウントすることができます。 彼はローカルコンピュータ上に存在していたかのように、サーバ上で動作することができます。 すべてのファイルは、サーバー上のファイルへのアクセスを完全に透過的であるので、直接サーバー上で画像を編集するには、ローカルグラフィックスプログラムで開き、保存することができます。 多くの努力をすることなく、より快適性と安全性。
#sshfsをインストールします。 apt-getでインストールsshfsの #ローカルファイルシステム上のマウントポイントを作成します。 します。mkdir /メディア/ myserverを ローカルファイルシステムのマウントに#サーバ SSHFS www-data@mein-server.de :/ var / wwwに/メディア/ myserverを #ここでディレクトリは/メディア/利用できるmyserverの下の私のローカルサーバー上の/ var / wwwです。
第六 アップデートをインストール
超安全なシステムは、システム自体が欠陥があると知られている脆弱性が悪用されることができれば助けにはなりません。 ほとんどのケースでは、これらの脆弱性はすぐに閉じたが、しばしばようにシステムの管理を定期的に更新を忘れてしまった。 あなたは、Linuxサーバー上で自動更新を有効にするか争点ではないかどうかを指定します。 それは自然に多くの不運旅は、システムが使用できなくなることがあるかもしれないのでいくつかは、決してしないだろう。 これはDebianシステム上での仕事の10年以上に私に起こったが、決して、私は、結果として得られるリスクよりもはるかに高く、タイムリーかつ定期的なアップデートの恩恵を感謝しています。
/ etc / crontabに位この行は、午前6時に毎日、システムクロックを更新 0 6 ***ルートapt-get updateを実行する&& apt-getの-yをアップグレード
これらの速くて汚い方法では、これまで常に良い私のために働いた。 私は最近、Debianのリポジトリとのパッケージで無人アップグレードは、おそらくもっとエレガントな問題を解決するその存在しますが、私がテストされていないことを読んでください。
さらにこれらのvollautomtischenシステムのアップデートでそれは完全にオフフックではありません。 カーネルのアップデートが配信されている場合は、手動で再びまだシステムをブートする必要があり、それ以外の変更は有効になりません。
我々はこのようなオープンソースCMSやフォーラムなど、サーバ上のサードパーティのPHPコードを使用している場合、それはもちろん、最新の新しいバージョンで絶対に必要な、このコードです。 Debianは、このマニュアル労働者をカバーするルールの中でそれらのアプリケーションにその変更を更新しませんので、必要とされています。 常に最新の状態であるために対応する製品を使用してメーリングリストを読むための最良の方法。
第七 open_basedirを持つPHPは投獄
多くのハックは、PHPコード内の脆弱性がサイトに属していないファイルシステムへのアクセスのファイルにアクセスするために使用されているという事実に基づいていますが、あなたはそれが特に指定されたディレクトリに読み取り専用ようにPHPをロックして書き込む必要がありますなぜ、システム自体は、ことができました。 このために、php.iniのopen_basedirの設定オプション。 PHPがディレクトリにのみ許可されるアクセスを置くためのオプションがあります。 / etc / passwdなどのファイルは手の届かないところにある。 つのサーバ上で複数のWebサイトをホスティングすることは、それぞれの側に、各仮想ホストの設定でopen_basedirを設定する必要があります。
:VIA#グローバルphp.iniの #/ Etc/php5/apache2/php.ini open_basedirの=は/ var / www / :/ TMP / VirtualHostの設定で#パーサイト: 意味を有するopen_basedirの/ var / www /のサイト:/ / TMP /
すべてのサイトが通常アクセスする必要があり、それ以外の場合は、PHPアプリケーションの障害者や合法的な関数であることかもしれないスクリプトに追加されているかどうかを検討することが重要です。
第八 MySQLユーザのためにあなた自身のウェブサイトを作成します。
あなた自身のPHP-MySQLアプリケーションを使用するには、絶対にApllikation独自のMySQLユーザのために作成し、いかなる状況下でMySQLのrootユーザの要求を使用する必要があります。 また、PHPスクリプトを必要とする、これまでのところ実際には操作は許可されているユーザーの権限を制限する必要があります。 CREATE TABLEとDROP TABLEはSQLインジェクションのように一般的であり、必要なことはありませんほとんどのPHPアプリケーションで使用されます。 これは、サーバー上で複数のデータベースで複数のWebサイトをホストし、すべてのユーザー用に独自のデータベースを作成する必要があります。 したがって、攻撃が成功した後、攻撃者はデータベースのいずれかへのアクセス権を持っていると直接ではなく、まったく。 あなたがMySQLユーザアカウントを管理するコマンドラインを試してみたくない場合は、ユーザー管理は、タブ "権利"の下にphpMyAdminのとは非常に簡単に機能します。
第九 PHPのエラーメッセージをオフ
PHPのエラーメッセージは、攻撃者が独自のサーバーについて多くを明らかにすることができます:ディレクトリ構造、データベース構造、構成エラー、等彼らはまた非常に専門外のユーザーを探します。 このような理由から、彼らはあなただけでログに表示され続けるつもりですので、常にオフにし、稼動中のWebサーバ上にある必要があります。
:VIA#グローバルphp.iniの #/ Etc/php5/apache2/php.ini =オフdisplay_errorsを VirtualHostの設定で#パーサイト: display_errorsをオフ要望に対して #エラーメッセージは、とにかくそれをお読みください。 猫/ var/log/apache2/error.log | grepはPHP
第十 ModSecurityは使用したSQLインジェクションの制限の対象
SQLインジェクションは、Webサーバに対する攻撃の最も頻繁に使用される方法です。 Webアプリケーションを介して直接アクセスし、それはそれらを実行するためにブラウザを満たしています。 ここで、そのデータベースのすべてでそれらを読んだり編集したり削除するデータベースユーザの権限に送信されるSQLクエリを構築されたユーザー変数によって送信されます。 SQLインジェクションに対する本当の本物の保護は、PHPのコードはこれらの攻撃に関連したサイトに書かれた場合にのみ存在します。 SQLクエリに得ることができ、ユーザの入力から、各変数は、それはテストしてエスケープする必要があります。 PHPは関数real_mysql_escape_string()を提供しています。
あなたはコードがクリーンであるかどうかわからない場合は、Apacheのmod_securityはとにかく、これらの攻撃を大量にかわすことができます。 mod_securityは定数見直し、Webサーバーへのすべての要求と、多くのSQLインジェクション攻撃をブロックすることができ、事前のパターンに対応しています。 残念ながら、唯一のmod_securityをマニュアル作業でうまく動作します。 多くの場合にも必要な新規インストールのmod_securityをブロックした後、PHPコードの(正規)関数なので、完全なアプリケーションを再度インストールをテストするとして1つは、他に選択肢がないこと。 唯一、1つは、mod_securityでも機能をブロックしたくない場合がありますかどうかを調べません。 もしそうであれば、調整するフィルタのリストは、偽陽性のように消えてしまいます。
mod_securityの設定は多少複雑ですが、この記事の範囲を超えていますが、インターネット上でmod_securityの優れたチュートリアルのトンがあります。
第11回 IDチェック- Apacheは、彼がだれであるかを知らない
これは、ハッキングに対して本当に効果的な方法ではありません、それはサーバのバージョンを探している自動化スクリプトを作成しますが、若干重い。 エラーメッセージ(例えば、404見つかりません)、そのサーバーのシグネチャを持つページへの通常のApacheを指しています。
www.daniel-ritter.deポート80でApache/2.2.16(Unix)サーバ
これは、任意の潜在的な侵略の前にeigesetzten Webサーバーとバージョンレベルについて少なくとも一度受信しますがなくなります。 署名サーバはすぐにオフにされています。
#/ Etc/apache2/conf.d/security オフServerSignatureは
第12回 Apacheモジュールを無効にする使用しないでください。
デフォルトでは、Apacheは必要ありませんほとんどないされているいくつかのモジュールをロードしています。 Debian上であなたは、読み込み済みのモジュールを見つけることができます
/でソフトリンクとしてetc/apache2/mods-enabled。
ほとんどの場合削除することができます。
mod_cgiへ
CGIスクリプトを実行するために使用されます。 このテクニックは、Webの黎明期にまで遡り、動的なWebサイトを可能にするために近代的なスクリプト言語の祖先だった。 mod_cgiには、PHPサイトの99%は不要であり、障害のあるApacheで設定潜在的なセキュリティホールです。
a2dismod CGI
mod_statusが
Apacheのステータス情報を読み取るためにブラウザを許可します。 それはほとんど "正常な"サイトに使用されることはありません、攻撃者が、Apacheのステータス情報を提供します。
a2dismod状況
mod_autoindexの
適切なディレクトリ内の有効なインデックスページがない場合で、mod_autoindexは、ディレクトリがWebサーバー上に表示されることを保証します。 この機能は必要でない場合は、Webサーバー上のディレクトリツリー全体が外部から見えることができるので、あなたはそれを無効にする必要があります。
a2dismodのautoindex
Infiltrated.netの詐欺/スパム/犯罪のブラックリストを使用してLinuxサーバーのセキュリティ保護
詐欺、ハッカー、バイアグラの屋台、スクリプトキディ等:インターネット上で悪者がたくさんあります
Infiltrated.netは著しくサーバーになっている、かなり包括的なリストを維持http://www.infiltrated.net/blacklisted~~Vを 。
あなたはこれらのIPの中の逸脱でからそのサーバへのアクセス、あるいは彼の家のネットワークを持っている場合は、1つは、すでにロシアのプロキシ、スパマーや他のスカムの多くをロックしている。
次のスクリプトは、自動的に現在のリストを描画し、ファイアウォール内のホストを送信します。
定期的にcronジョブを始め、それは彼らの自身のサービスの安全性の少量を提供しています。
#は/ usr / bin / php <? 実行#まず、既存の(パーソナル)ファイアウォールのルール はexec( "/ルート/スクリプト/ meine_standard_firewall_rules"); #吸うをブラックリストに登録 はexec( "wgetの-Oは/ tmp / infiltrated_blacklist http://www.infiltrated.net/blacklisted~~V"); $一覧=ファイル( "/ tmpに/ infiltrated_blacklist"); $ I = 1; iptablesの#ビットauseinanderschnibbelnとダウン しますforeach($ $行としてリスト) { $ LINE =トリム($行); $ LINE = str_replaceを( "\ t"は、 ""、$行); $ LINE =爆発する( ""、$ライン); $ LINE = $行[0]; $ Firstchar = substrは($行、0,1); (($ firstchar)is_numericを)続行します。 はexec( "iptablesの-I INPUT-sを$行の-j DROP"); $ I + +; } echo "私がルールを設定します$を行って。"; ?>
Adobe Flashのプラグインがクラッシュしました-修復- Ubuntuで- NVIDIA
Firefoxの最後のバージョンのいずれかなので実際には点滅しませんでした。 非常に多くのビデオは、Adobe Flash Playerがクラッシュしていました。 私はこの問題を解決したが、私はそれが何だったか100%確実ではない。 Firefoxの新しいプラグインがクラッシュ処理に関する私のグラフィックカードとその他のハードウェアアクセラレーションとFlashの相互作用に一度:私は2つのバグのために行くよ。
最初の ハードウェアアクセラレーションを無効にする
フラッシュビデオで右クリックします。 設定を行います。 ハードウェアアクセラレーションでフックを外します。
2番目の Firefox用のプラグインがクラッシュ処理を無効にする
about:configとアドレスバーに
値とdom.ipc.plugins.processLaunchTimeoutSecsのdom.ipc.plugins.timeoutSecs "-1"をセットに。
それ以来、私は10.10 Ubuntuのは、Firefox 4およびFlash 10.2.153.1で何の問題もありません
このブログについて
翻訳者
インプリント
ダニエル家賃
QUICK LINKS
カテゴリー
アーカイブ
最近の記事
- wvdialとO2モバイルフラットを使ってDebianとUMTSのサーフスティックを介してオンライン
- より多くのプライバシーのための5のプラグインはFirefoxでネットサーフィン中
- デュッセルドルフでのオンライン登録情報は悪い印象を作る
- つぶやきNeglector。 Twitterから古いつぶやきを削除するには、小規模なPHPスクリプト
- HOWTO:Ubuntuでdnsmasqを持つ迅速かつ汚れたDHCPサーバーとDNSキャッシュ
- UbuntuのEEE 1000H rt2860用のワイヤレス
- PHPチートシート
- 当社は、接続-ファンを通信販売で
- UbuntuとXSスティックW14 UMTS
- LinuxでのApacheのMySQL PHP WebサーバーのルートLAMP〜12の対策の安全な