BlogJava-心有多大舞台便有多大-随笔分类-linux

linux下so文件的创建及调用方法

pony — Wed, 21 May 2008 02:56:00 GMT

1.创建so文件

这一步很简单,只需要在用cc编译的时候,加上-shared选项即可,这样成成的执行程序即为动态链接库,例如:

cc -shared -o hello.so hello.c

2.调用so文件中的函数的步骤

a. 包含so中函数的头文件,包含dlfcn.h头文件,这个头文件中定义了打开so文件,调用so的函数,关闭so的函数

b.申明so中函数的类型变量

c.用dlopen函数打开so文件,返回句柄

d.用dlsym函数以上c步骤中得到的句柄,得到so文件中要调用的函数的动态地址,并把这个地址赋值给在b步骤中申明的函数类型变量

e.通过b中申明的函数类型变量调用so中的函数

f.用dlclose函数关闭c中得到的句柄所指向的so动态连接库

挺简单吧!

pony 2008-05-21 10:56 发表评论

(转载)iptables的man中文文档

pony — Mon, 12 May 2008 01:08:00 GMT

总览
用iptables -ADC 来指定链的规则，-A添加 -D删除 -C 修改

iptables - [RI] chain rule num rule-specification[option]
用iptables - RI 通过规则的顺序指定

iptables -D chain rule num[option]
删除指定规则
iptables -[LFZ] [chain][option]
用iptables -LFZ 链名 [选项]

iptables -[NX] chain
用 -NX 指定链

iptables -P chain target[options]
指定链的默认目标

iptables -E old-chain-name new-chain-name
-E 旧的链名新的链名
用新的链名取代旧的链名
说明
Iptalbes 是用来设置、维护和检查Linux内核的IP包过滤规则的。
可以定义不同的表，每个表都包含几个内部的链，也能包含用户定义的链。每个链都是一个规则列表，对对应的包进行匹配：每条规则指定应当如何处理与之相匹配的包。这被称作'target'（目标），也可以跳向同一个表内的用户定义的链。

TARGETS
防火墙的规则指定所检查包的特征，和目标。如果包不匹配，将送往该链中下一条规则检查；如果匹配,那么下一条规则由目标值确定.该目标值可以是用户定义的链名,或是某个专用值,如ACCEPT[通过], DROP[删除], QUEUE[排队], 或者 RETURN[返回]。
ACCEPT 表示让这个包通过。DROP表示将这个包丢弃。QUEUE表示把这个包传递到用户空间。RETURN表示停止这条链的匹配，到前一个链的规则重新开始。如果到达了一个内建的链(的末端)，或者遇到内建链的规则是RETURN，包的命运将由链准则指定的目标决定。

TABLES
当前有三个表（哪个表是当前表取决于内核配置选项和当前模块)。
-t table
这个选项指定命令要操作的匹配包的表。如果内核被配置为自动加载模块，这时若模块没有加载，(系统)将尝试(为该表)加载适合的模块。这些表如下：filter,这是默认的表，包含了内建的链INPUT（处理进入的包）、FORWORD（处理通过的包）和OUTPUT（处理本地生成的包）。nat,这个表被查询时表示遇到了产生新的连接的包,由三个内建的链构成：PREROUTING (修改到来的包)、OUTPUT（修改路由之前本地的包）、POSTROUTING（修改准备出去的包）。mangle 这个表用来对指定的包进行修改。它有两个内建规则：PREROUTING（修改路由之前进入的包）和OUTPUT（修改路由之前本地的包）。
OPTIONS
这些可被iptables识别的选项可以区分不同的种类。

COMMANDS
这些选项指定执行明确的动作：若指令行下没有其他规定,该行只能指定一个选项.对于长格式的命令和选项名,所用字母长度只要保证iptables能从其他选项中区分出该指令就行了。
-A -append
在所选择的链末添加一条或更多规则。当源（地址）或者/与目的（地址）转换为多个地址时，这条规则会加到所有可能的地址(组合)后面。

-D -delete
从所选链中删除一条或更多规则。这条命令可以有两种方法：可以把被删除规则指定为链中的序号(第一条序号为1),或者指定为要匹配的规则。

-R -replace
从选中的链中取代一条规则。如果源（地址）或者/与目的（地址）被转换为多地址，该命令会失败。规则序号从1开始。

-I -insert
根据给出的规则序号向所选链中插入一条或更多规则。所以，如果规则序号为1，规则会被插入链的头部。这也是不指定规则序号时的默认方式。

-L -list
显示所选链的所有规则。如果没有选择链，所有链将被显示。也可以和z选项一起使用，这时链会被自动列出和归零。精确输出受其它所给参数影响。

-F -flush
清空所选链。这等于把所有规则一个个的删除。

--Z -zero
把所有链的包及字节的计数器清空。它可以和 -L配合使用，在清空前察看计数器，请参见前文。

-N -new-chain
根据给出的名称建立一个新的用户定义链。这必须保证没有同名的链存在。

-X -delete-chain
删除指定的用户自定义链。这个链必须没有被引用，如果被引用，在删除之前你必须删除或者替换与之有关的规则。如果没有给出参数，这条命令将试着删除每个非内建的链。

-P -policy
设置链的目标规则。

-E -rename-chain
根据用户给出的名字对指定链进行重命名，这仅仅是修饰，对整个表的结构没有影响。TARGETS参数给出一个合法的目标。只有非用户自定义链可以使用规则，而且内建链和用户自定义链都不能是规则的目标。

-h Help.
帮助。给出当前命令语法非常简短的说明。

PARAMETERS
参数
以下参数构成规则详述，如用于add、delete、replace、append 和 check命令。

-p -protocal [!]protocol
规则或者包检查(待检查包)的协议。指定协议可以是tcp、udp、icmp中的一个或者全部，也可以是数值，代表这些协议中的某一个。当然也可以使用在/etc/protocols中定义的协议名。在协议名前加上"!"表示相反的规则。数字0相当于所有all。Protocol all会匹配所有协议，而且这是缺省时的选项。在和check命令结合时，all可以不被使用。
-s -source [!] address[/mask]
指定源地址，可以是主机名、网络名和清楚的IP地址。mask说明可以是网络掩码或清楚的数字，在网络掩码的左边指定网络掩码左边"1"的个数，因此，mask值为24等于255.255.255.0。在指定地址前加上"!"说明指定了相反的地址段。标志 --src 是这个选项的简写。

-d --destination [!] address[/mask]
指定目标地址，要获取详细说明请参见 -s标志的说明。标志 --dst 是这个选项的简写。

-j --jump target
-j 目标跳转
指定规则的目标；也就是说，如果包匹配应当做什么。目标可以是用户自定义链（不是这条规则所在的），某个会立即决定包的命运的专用内建目标，或者一个扩展（参见下面的EXTENSIONS）。如果规则的这个选项被忽略，那么匹配的过程不会对包产生影响，不过规则的计数器会增加。

-i -in-interface [!] [name]
i -进入的（网络）接口 [!][名称]
这是包经由该接口接收的可选的入口名称，包通过该接口接收（在链INPUT、FORWORD和PREROUTING中进入的包）。当在接口名前使用"!"说明后，指的是相反的名称。如果接口名后面加上"+"，则所有以此接口名开头的接口都会被匹配。如果这个选项被忽略，会假设为"+"，那么将匹配任意接口。

-o --out-interface [!][name]
-o --输出接口[名称]
这是包经由该接口送出的可选的出口名称，包通过该口输出（在链FORWARD、OUTPUT和POSTROUTING中送出的包）。当在接口名前使用"!"说明后，指的是相反的名称。如果接口名后面加上"+"，则所有以此接口名开头的接口都会被匹配。如果这个选项被忽略，会假设为"+"，那么将匹配所有任意接口。

[!] -f, --fragment
[!] -f --分片
这意味着在分片的包中，规则只询问第二及以后的片。自那以后由于无法判断这种把包的源端口或目标端口（或者是ICMP类型的），这类包将不能匹配任何指定对他们进行匹配的规则。如果"!"说明用在了"-f"标志之前，表示相反的意思。

OTHER OPTIONS
其他选项
还可以指定下列附加选项：

-v --verbose
-v --详细
详细输出。这个选项让list命令显示接口地址、规则选项（如果有）和TOS（Type of Service）掩码。包和字节计数器也将被显示，分别用K、M、G(前缀)表示1000、1,000,000和1,000,000,000倍（不过请参看-x标志改变它），对于添加,插入,删除和替换命令，这会使一个或多个规则的相关详细信息被打印。

-n --numeric
-n --数字
数字输出。IP地址和端口会以数字的形式打印。默认情况下，程序试显示主机名、网络名或者服务（只要可用）。

-x -exact
-x -精确
扩展数字。显示包和字节计数器的精确值，代替用K,M,G表示的约数。这个选项仅能用于 -L 命令。

--line-numbers
当列表显示规则时，在每个规则的前面加上行号，与该规则在链中的位置相对应。

MATCH EXTENSIONS
对应的扩展
iptables能够使用一些与模块匹配的扩展包。以下就是含于基本包内的扩展包，而且他们大多数都可以通过在前面加上!来表示相反的意思。

tcp
当 --protocol tcp 被指定,且其他匹配的扩展未被指定时,这些扩展被装载。它提供以下选项：

--source-port [!] [port[:port]]
源端口或端口范围指定。这可以是服务名或端口号。使用格式端口：端口也可以指定包含的（端口）范围。如果首端口号被忽略，默认是"0"，如果末端口号被忽略，默认是"65535"，如果第二个端口号大于第一个，那么它们会被交换。这个选项可以使用 --sport的别名。

--destionation-port [!] [port:[port]]
目标端口或端口范围指定。这个选项可以使用 --dport别名来代替。

--tcp-flags [!] mask comp
匹配指定的TCP标记。第一个参数是我们要检查的标记，一个用逗号分开的列表，第二个参数是用逗号分开的标记表,是必须被设置的。标记如下：SYN ACK FIN RST URG PSH ALL NONE。因此这条命令：iptables -A FORWARD -p tcp --tcp-flags SYN, ACK, FIN, RST SYN只匹配那些SYN标记被设置而ACK、FIN和RST标记没有设置的包。

[!] --syn
只匹配那些设置了SYN位而清除了ACK和FIN位的TCP包。这些包用于TCP连接初始化时发出请求；例如，大量的这种包进入一个接口发生堵塞时会阻止进入的TCP连接，而出去的TCP连接不会受到影响。这等于 --tcp-flags SYN, RST, ACK SYN。如果"--syn"前面有"!"标记，表示相反的意思。

--tcp-option [!] number
匹配设置了TCP选项的。

udp
当protocol udp 被指定,且其他匹配的扩展未被指定时,这些扩展被装载,它提供以下选项：

--source-port [!] [port:[port]]
源端口或端口范围指定。详见 TCP扩展的--source-port选项说明。

--destination-port [!] [port:[port]]
目标端口或端口范围指定。详见 TCP扩展的--destination-port选项说明。

icmp
当protocol icmp被指定,且其他匹配的扩展未被指定时,该扩展被装载。它提供以下选项：
--icmp-type [!] typename
这个选项允许指定ICMP类型，可以是一个数值型的ICMP类型，或者是某个由命令iptables -p icmp -h所显示的ICMP类型名。

mac
--mac-source [!] address
匹配物理地址。必须是XX:XX:XX:XX:XX这样的格式。注意它只对来自以太设备并进入PREROUTING、FORWORD和INPUT链的包有效。

limit
这个模块匹配标志用一个标记桶过滤器一一定速度进行匹配,它和LOG目标结合使用来给出有限的登陆数.当达到这个极限值时,使用这个扩展包的规则将进行匹配.(除非使用了"!"标记)

--limit rate
最大平均匹配速率：可赋的值有'/second', '/minute', '/hour', or '/day'这样的单位，默认是3/hour。

--limit-burst number
待匹配包初始个数的最大值:若前面指定的极限还没达到这个数值,则概数字加1.默认值为5

multiport
这个模块匹配一组源端口或目标端口,最多可以指定15个端口。只能和-p tcp 或者 -p udp 连着使用。

--source-port [port[, port]]
如果源端口是其中一个给定端口则匹配

--destination-port [port[, port]]
如果目标端口是其中一个给定端口则匹配

--port [port[, port]]
若源端口和目的端口相等并与某个给定端口相等,则匹配。
mark
这个模块和与netfilter过滤器标记字段匹配（就可以在下面设置为使用MARK标记）。

--mark value [/mask]
匹配那些无符号标记值的包（如果指定mask，在比较之前会给掩码加上逻辑的标记）。

owner
此模块试为本地生成包匹配包创建者的不同特征。只能用于OUTPUT链，而且即使这样一些包（如ICMP ping应答）还可能没有所有者，因此永远不会匹配。

--uid-owner userid
如果给出有效的user id，那么匹配它的进程产生的包。

--gid-owner groupid
如果给出有效的group id，那么匹配它的进程产生的包。

--sid-owner seessionid
根据给出的会话组匹配该进程产生的包。

state
此模块，当与连接跟踪结合使用时，允许访问包的连接跟踪状态。

--state state
这里state是一个逗号分割的匹配连接状态列表。可能的状态是:INVALID表示包是未知连接，ESTABLISHED表示是双向传送的连接，NEW表示包为新的连接，否则是非双向传送的，而RELATED表示包由新连接开始，但是和一个已存在的连接在一起，如FTP数据传送，或者一个ICMP错误。

unclean
此模块没有可选项，不过它试着匹配那些奇怪的、不常见的包。处在实验中。

tos
此模块匹配IP包首部的8位tos（服务类型）字段（也就是说，包含在优先位中）。

--tos tos
这个参数可以是一个标准名称，（用iptables -m tos -h 察看该列表），或者数值。

TARGET EXTENSIONS
iptables可以使用扩展目标模块：以下都包含在标准版中。

LOG
为匹配的包开启内核记录。当在规则中设置了这一选项后，linux内核会通过printk()打印一些关于全部匹配包的信息（诸如IP包头字段等）。
--log-level level
记录级别（数字或参看 syslog.conf(5)）。
--log-prefix prefix
在纪录信息前加上特定的前缀：最多14个字母长，用来和记录中其他信息区别。

--log-tcp-sequence
记录TCP序列号。如果记录能被用户读取那么这将存在安全隐患。

--log-tcp-options
记录来自TCP包头部的选项。
--log-ip-options
记录来自IP包头部的选项。

MARK
用来设置包的netfilter标记值。只适用于mangle表。

--set-mark mark

REJECT
作为对匹配的包的响应，返回一个错误的包：其他情况下和DROP相同。

此目标只适用于INPUT、FORWARD和OUTPUT链，和调用这些链的用户自定义链。这几个选项控制返回的错误包的特性：

--reject-with type
Type可以是icmp-net-unreachable、icmp-host-unreachable、icmp-port-nreachable、icmp-proto-unreachable、 icmp-net-prohibited 或者 icmp-host-prohibited，该类型会返回相应的ICMP错误信息（默认是port-unreachable）。选项 echo-reply也是允许的；它只能用于指定ICMP ping包的规则中，生成ping的回应。最后，选项tcp-reset可以用于在INPUT链中,或自INPUT链调用的规则，只匹配TCP协议：将回应一个TCP RST包。
TOS
用来设置IP包的首部八位tos。只能用于mangle表。

--set-tos tos
你可以使用一个数值型的TOS 值，或者用iptables -j TOS -h 来查看有效TOS名列表。
MIRROR
这是一个试验示范目标，可用于转换IP首部字段中的源地址和目标地址，再传送该包,并只适用于INPUT、FORWARD和OUTPUT链，以及只调用它们的用户自定义链。

SNAT
这个目标只适用于nat表的POSTROUTING链。它规定修改包的源地址（此连接以后所有的包都会被影响），停止对规则的检查，它包含选项：

--to-source [-][:port-port]
可以指定一个单一的新的IP地址，一个IP地址范围，也可以附加一个端口范围（只能在指定-p tcp 或者-p udp的规则里）。如果未指定端口范围，源端口中512以下的（端口）会被安置为其他的512以下的端口；512到1024之间的端口会被安置为1024以下的，其他端口会被安置为1024或以上。如果可能，端口不会被修改。

--to-destiontion [-][:port-port]
可以指定一个单一的新的IP地址，一个IP地址范围，也可以附加一个端口范围（只能在指定-p tcp 或者-p udp的规则里）。如果未指定端口范围，目标端口不会被修改。

MASQUERADE
只用于nat表的POSTROUTING链。只能用于动态获取IP（拨号）连接：如果你拥有静态IP地址，你要用SNAT。伪装相当于给包发出时所经过接口的IP地址设置一个映像，当接口关闭连接会终止。这是因为当下一次拨号时未必是相同的接口地址（以后所有建立的连接都将关闭）。它有一个选项：

--to-ports [-port>]
指定使用的源端口范围，覆盖默认的SNAT源地址选择（见上面）。这个选项只适用于指定了-p tcp或者-p udp的规则。

REDIRECT
只适用于nat表的PREROUTING和OUTPUT链，和只调用它们的用户自定义链。它修改包的目标IP地址来发送包到机器自身（本地生成的包被安置为地址127.0.0.1）。它包含一个选项：

--to-ports []
指定使用的目的端口或端口范围：不指定的话，目标端口不会被修改。只能用于指定了-p tcp 或 -p udp的规则。

DIAGNOSTICS
诊断
不同的错误信息会打印成标准错误：退出代码0表示正确。类似于不对的或者滥用的命令行参数错误会返回错误代码2，其他错误返回代码为1。

BUGS
臭虫
Check is not implemented (yet).
检查还未完成。

COMPATIBILITY WITH IPCHAINS
与ipchains的兼容性
iptables和Rusty Russell的ipchains非常相似。主要区别是INPUT 链只用于进入本地主机的包,而OUTPUT只用于自本地主机生成的包。因此每个包只经过三个链的一个；以前转发的包会经过所有三个链。其他主要区别是 -i 引用进入接口；-o引用输出接口，两者都适用于进入FORWARD链的包。当和可选扩展模块一起使用默认过滤器表时，iptables是一个纯粹的包过滤器。这能大大减少以前对IP伪装和包过滤结合使用的混淆，所以以下选项作了不同的处理：
-j MASQ
-M -S
-M -L
在iptables中有几个不同的链。

SEE ALSO
参见
iptables-HOWTO有详细的iptables用法,对netfilter-hacking-HOWTO也有详细的本质说明。

AUTHORS
作者

Rusty Russell wrote iptables, in early consultation with Michael Neuling.
Marc Boucher made Rusty abandon ipnatctl by lobbying for a generic packet selection framework in iptables, then wrote the mangle table, the owner match, the mark stuff, and ranaround doing cool stuff everywhere.
James Morris wrote the TOS target, and tos match.
Jozsef Kadlecsik wrote the REJECT target.
The Netfilter Core Team is: Marc Boucher, Rusty Russell.

Mar 20, 2000

中文维护：杨鹏·NetSnake

pony 2008-05-12 09:08 发表评论

耶鲁cas单点登录系统的php客户端使用注意事项

pony — Wed, 07 May 2008 06:00:00 GMT

以前用CAS一直是用java的客户端,今天想把自己的phpMyAdmin集成到中心认证系统中,这样就不需要到apache的目录中用access文件去控制了.
在集成phpCAS的时候,系统报出一些错误:
Warning: include_once(DB.php) [function.include-once]: failed to open stream: No such file or directory in /opt/httproot/phpMyAdmin/cas/PGTStorage/pgt-db.php on line 11

Warning: include_once() [function.include]: Failed opening 'DB.php' for inclusion (include_path='.:/usr/local/php-5.2.5/lib/php') in /opt/httproot/phpMyAdmin/cas/PGTStorage/pgt-db.php on line 11

Warning: session_start() [function.session-start]: Cannot send session cookie - headers already sent by (output started at /opt/httproot/phpMyAdmin/cas/PGTStorage/pgt-db.php:11) in /opt/httproot/phpMyAdmin/cas/client.php on line 489

Warning: session_start() [function.session-start]: Cannot send session cache limiter - headers already sent (output started at /opt/httproot/phpMyAdmin/cas/PGTStorage/pgt-db.php:11) in /opt/httproot/phpMyAdmin/cas/client.php on line 489

Warning: Cannot modify header information - headers already sent by (output started at /opt/httproot/phpMyAdmin/cas/PGTStorage/pgt-db.php:11) in /opt/httproot/phpMyAdmin/cas/client.php on line 880
查了些资料,重新安装了php后问题解决:
1.在编译php的时候,要加上--with-curl, --with-openssl, --with-dom, --with-zlib这些选项
如果系统中还没有安装curl包:
wget http://curl.haxx.se/download/curl-7.18.1.tar.gz
tar -zxvf curl-7.18.1.tar.gz
./configure --prefix=/usr/local/curl
make
sudo make install
编译安装php：
./configure --prefix=/usr/local/php --with-apxs2=/usr/local/apache/bin/apxs --with-mysql=/usr/local/mysql/ --with-libxml-dir=/usr/local/libxml-2.6.30/ --with-gd=/usr/local/gd-2.0.35/ --with-curl=/usr/local/curl/ --with-openssl --with-zlib --with-pear=/usr/local/php_pear
make
make test
sudo make install
注意，有可能pear安装不成功，要看你下载的php包，安装完后到php源代码目录下的pear下看看是有有错，否则，要现下载一个pear的安装包：
wget http://pear.php.net/install-pear.phar
再执行make，make install

2.安装PEAR:DB
cd /usr/local/php/bin
pear install DB

3.测试phpCAS
把phpCAS包里的example_simple.php以及source目录里的所有文件拷贝到一个可以从apapche执行php文件的目录中
然后访问http://host/dir/example_simeple.php
结果页面转向到https://sso-cas.univ-rennes1.fr的中心认证地址，说明phpCAS安装成功。

pony 2008-05-07 14:00 发表评论

(转载)apachectl startssl启动apache自动运行输入密码

pony — Mon, 28 Apr 2008 01:24:00 GMT

apachectl startssl启动apache自动运行输入密码

作者：不详来源: http://www.chinaunix.net(无显示即不详)

核心提示：安装了一台服务器，只开放了https，没有开放http 把启动命令/usr/local/bin/apachectl startssl写到/etc/rc.local里，重启服务器。发现apache并没有自动运行。手动运行 [root@localhost]# /usr/local/bin/apachectl restart httpd not running, trying to start Apach.....

安装了一台服务器，只开放了https，没有开放http
把启动命令/usr/local/bin/apachectl startssl写到/etc/rc.local里，重启服务器。
发现apache并没有自动运行。
手动运行
[root@localhost]# /usr/local/bin/apachectl restart
httpd not running, trying to start
Apache/2.2.0 mod_ssl/2.2.0 (Pass Phrase Dialog)
Some of your private key files are encrypted for security reasons.
In order to read them you have to provide the pass phrases.

Server www.example.com:443 (RSA)
Enter pass phrase:

OK: Pass Phrase Dialog successful.
发现原来是要输入pass phrase的原因

解决方案有2种
1：去掉/usr/local/bin/apachectl startssl启动的pass phrase，用空pass phrase启动apache
(while preserving the original file):
$ cp server.key server.key.org
$ openssl rsa -in server.key.org -out server.key

确认server.key 文件为root可读
$ chmod 400 server.key
参考http://www.chinaunix.net/jh/13/599604.html

2：编辑
vi /usr/local/apache2/conf/extra/httpd-ssl.conf
注释SSLPassPhraseDialog builtin
在后添加
SSLPassPhraseDialog exec:/usr/local/apache2/conf/apache_pass.sh

vi /usr/local/apache2/conf/apache_pass.sh
#!/bin/sh
echo "密码"

chmod +x /usr/local/apache2/conf/apache_pass.sh

然后重启apache
[root@localhost conf]# /home/apache2/bin/apachectl start
[root@localhost conf]#

然后从起服务器，就可以运行了

参考http://httpd.apache.org/docs/2.0 ... sslpassphrasedialog

pony 2008-04-28 09:24 发表评论

ubuntu启动时Faild to initialize HAL问题的解决

pony — Sat, 26 Apr 2008 05:44:00 GMT

今天早上启动ubuntu，登录进入xwindow，突然弹出两个错误提示框：
1.dbus服务不能启动
2.failed to initialize HAL
系统提示先启动dbus服务,然后重新启动
于是执行:sudo /etc/init.d/dbus start
重新启动后,结果仍然出现这个错误.
怀疑是在启动dbus服务之前有什么其它的服务发生错误导致dbus不能启动,所以首先想到了更改服务的启动顺序
把/etc/rc2.d/S2Odbus改了启动顺序:
sudo mv /etc/rc2.d/S20dbus /etc/rc2.d/S12dbus
重新启动后发现没有错误了！以为问题就这样解决了!很开心!结果去查看进程,发现我好几个默认的服务都没启动,看来原因还不只是dbus不能启动
仔细想了想昨天在系统中的改动,记得出了给apache重新配置了ssl外,没有新装什么服务啊,突然想到现在我的apache启动的时候是需要输入证书密码的,是不是因为系统自动启动的时候没有输入密码导致apache服务的启动没有执行完结果在后面启动的服务都不能执行呢?
赶紧查了下apache服务的启动顺序:
ls /etc/rc2.d/*apache*
显示S12apache
于是把dbus服务的启动顺序改回来,仍然是20,但把apache的启动删除掉,重新启动!再查看进程,发现出了apache的服务外,其它的都启动好了!看来果然是这个原因！

pony 2008-04-26 13:44 发表评论

ssh-scan攻击的防范

pony — Fri, 25 Apr 2008 07:14:00 GMT

今天上午正在配置ssl,突然发现有10几个ssh-scan的进程,心里一惊:家里的机器ip地址怎么也有人来扫描到,还来试探俺的ssh用户,跟踪了一会,看他还在孜孜不倦的试探,于是在iptables里加一条规则,先把他的数据包阻止掉:
sudo iptables -t filter -A INPUT -s xxx.xxx.xxx.xxx(他的ip地址) -s DROP
再跟踪了一会,没有ssh-scan的进程了.
但这也不是长远的办法啊,还是先把ssh的证书登录搞好吧,然后又在网上搜了下,看能不能在iptables里直接防止ssh-scan,搜到这篇文章:
http://www.ducea.com/2006/06/28/using-iptables-to-block-brute-force-attacks/
明天再搞吧.困了.如果有朋友能告诉我更好的办法的话,先谢谢了!

pony 2008-04-25 15:14 发表评论

apache2.2中配置ssl

pony — Fri, 25 Apr 2008 06:39:00 GMT

一.首先要安装好openssl
    下载openssl:
     wget http://www.openssl.org/source/openssl-0.9.8a.tar.gz
     ./configure --prefix=/usr/local/openssl
     make
     sudo make install
     也可以直接用apt安装:
      sudo apt-get install openssl libssl-dev
      注意一定要安装openssl的开发库,否则编译apache的时候会报错误,不能编译ssl的.
二.编译安装apache
     这里不多说了,主要是configure的时候加上ssl的选项

三.创建ssl所需要的证书
(这里所有的文件都是创建在/etc/httpd目录中)
1.创建key文件:
sudo openssl genrsa -des3 -out server.key 1024
执行完后应该在当前目录中有一个server.key文件

2.查看创建的key文件:(不是必须)
openssl rsa -noout -text -in server.key
3.创建pem文件:(不是必须)
sudo openssl rsa -in server.key -out server.key.unsecure
4.创建scr文件:
sudo openssl req -new -key server.key -out server.csr
执行完后应该在当前目录中有一个server.csr文件
5.创建crt文件:
sudo openssl x509 -req -days 3650 -in server.csr -signkey server.key -out server.crt
执行完后应该在当前目录中有一个server.crt文件

四.修改apache的ssl配置文件
1.修改httpd.conf
在文件中找到下面一行,把注释去掉
#Include conf/extra/httpd-ssl.conf
2.修改httpd-ssl.conf
在extra目录中,修改ssl的配置文件
找到SSLCertificateFile和SSLCertificateKeyFile的配置,修改文件路径到上面创建的目录

五.启动apache
sudo /usr/local/apache/bin/apachectl start
这时应该要求你回答证书密钥,回答后即可启动
打开浏览器测试下吧!这时候应该能以https访问你的站点了.

但这时,是所有的用户都可以访问你的https站点的,如果你希望只有认证的用户才能访问的话,请继续下面的配置!

六.创建认证客户所需要的证书
1.创建用户的key文件:
sudo openssl genrsa -des3 -out client.key 1024
2.创建用户的crt证书文件:
sudo openssl req -new -x509 -days 3650 -key client.key -out client.crt
修改SSLCACertificateFile的文件路径
3.创建访问用户的csr文件:
sudo openssl req -new -out pony.csr
4.创建访问用户的crt证书文件:
sudo openssl x509 -req -in pony.csr -out pony.crt -signkey client.key -CA client.crt -CAkey client.key -CAcreateserial -days 3650
5.导出为pfx证书:(ie中只能导入pfx证书)
sudo openssl pkcs12 -export -in pony.crt -inkey client.key -out pony.pfx
在你的测试机的ie中导入这个pfx证书
6.修改ssl配置文件:
在httpd-ssl.conf文件中找到SSLCACertificateFile的配置,然后修改文件路径为client.crt
把以下两行注释去掉:
SSLVerifyClient require
SSLVerifyDepth 10

重新启动apache,再次访问apache的时候,ie就会弹出窗口选择证书了.
that's all

(本文参考了CU的文章:http://www.chinaunix.net/jh/13/469276.html,非常感谢作者!)

pony 2008-04-25 14:39 发表评论

ubuntu中ssh的登录过期时间设置

pony — Fri, 25 Apr 2008 03:57:00 GMT

sudo vi /etc/profile
#seconds
export TMOUT=3600

pony 2008-04-25 11:57 发表评论

vi的替换命令

pony — Tue, 22 Apr 2008 11:14:00 GMT

:范围修饰符s/被替换的字符串/替换后的字符串/可选标志

例如:

:%s/demo/hello world./g 把全部"demo"替换为"hello world.

范围修饰符包括:

1.%,表示所有行

2.., 表示当前行

3.$, 表示最后移行

4.4,9,表示第4行到第9行

s表示vi命令的替换操作

g表示对每一行中的所有匹配进行操作

pony 2008-04-22 19:14 发表评论

ubuntu下安装mysql的注意事项--innodb

pony — Tue, 22 Apr 2008 07:35:00 GMT

如果从源代码编译安装mysql,缺省安装时,是没有innodb引擎的.所以,在configure的时候,要加入--with-plugins=all(或者max),这样才会支持innodb.在mysql里可以执行show engines命令来查看当前的mysql服务器所支持的存储引擎.

pony 2008-04-22 15:35 发表评论

dhcp client问题

pony — Mon, 21 Apr 2008 02:27:00 GMT

最近家里的电脑除了个怪问题.家里用的是东方有线的网络,系统是ubuntu 6 server,系统开机后一段时间,网络就自动断了.ifconfig查看网卡信息,ip地址是对的.但ping不通外面的网络.然后再过一段时间,网络又重新回复,查看syslog,message等日志,只发现这样的日志:

Apr 20 22:26:10 localhost dhclient: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 7

Apr 20 22:26:10 localhost dhclient: DHCPOFFER from 10.119.16.1

Apr 20 22:26:10 localhost dhclient: DHCPREQUEST on eth0 to 255.255.255.255 port 67

Apr 20 22:26:10 localhost dhclient: DHCPACK from 10.119.16.1

Apr 20 22:26:10 localhost dhclient: bound to xxx.xxx.xxx.xxxx(我的ip地址) -- renewal in 1595 seconds.

初步分析应该是ubuntu的dhclient有问题,暂时解决不了.

先写个脚本解决下问题吧.(bash不怎么熟悉,只好用perl了)

fixnetwork.pl:

#/usr/bin/perl

use Net::Ping;

my $ip = "xxx.xxx.xxx.xxx";#随便写个公网上能ping通的ip地址

my $p = Net::Ping->new("tcp", 4);

while (1) {

if ($p->ping($ip)) {

print "$ip answered\n";

} else {

print "$ip did not answer\n";

system("ifdown eth0");

system("ifup eth0");

}

sleep(1);

}

然后执行:sudo fixnetwork.pl > fixnetwork.log &

现在暂时网络是能用了,但不知道这个dhclient的问题什么时候能解决:(

pony 2008-04-21 10:27 发表评论

ubuntu下安装php及phpMyAdmin

pony — Sat, 19 Apr 2008 07:24:00 GMT

apache的安装就不说了^_^
1.下载php
wget http://cn2.php.net/get/php-5.2.5.tar.gz/from/cn.php.net/mirror
2.下载libxml
wget ftp://ftp.gnome.org/pub/GNOME/sources/libxml2/2.6/libxml2-2.6.30.tar.gz
3.下载gd
wget http://www.libgd.org/releases/gd-2.0.35.tar.gz
4.下载phpMyAdmin
wget http://prdownloads.sourceforge.net/phpmyadmin/phpMyAdmin-2.11.5.1-all-languages.tar.gz?download
5.安装libxml
    tar -zxvf libxml2-2.6.30.tar.gz
    cd libxml2-2.6.30/
    ./configure --prefix=/usr/local/libxml-2.6.30
    make
    sudo make install
6.安装gd
    tar -zxvf gd-2.0.35.tar.gz
    cd gd-2.0.35/
    ./configure --prefix=/usr/local/gd-2.0.35
    make
    sudo make install
7.安装php
    tar -zxvf php-5.2.5.tar.gz
    cd php-5.2.5/
    ./configure --prefix=/usr/local/php-5.2.5 --with-apxs2=/usr/local/apache-2.2.8/bin/apxs --with-mysql=/usr/local/mysql --with-libxml-dir=/usr/local/libxml-2.6.30/ --with-gd=/usr/local/gd-2.0.35/
    make
    make test
    sudo make install
8.配置apache及php
    cp php.ini-dist /usr/local/lib/php.ini
    在httpd.conf中:
    #安装完php后一般安装程序会自动修改httpd.conf文件加入以下配置:
    LoadModule php5_module modules/libphp5.so
    AddType application/x-httpd-php .php .phtml
   AddType application/x-httpd-php-source .phps
9.安装phpMyAdmin
    tar -zxvf phpMyAdmin-2.11.5.1-all-languages.tar.gz
    sudo mv phpMyAdmin-2.11.5.1-all-languages /usr/local/apache-2.2.8/htdocs/phpMyAdmin
访问一下看看可以没:
    http://host/phpMyAdmin/index.php
配置页面应该出来了!恭喜,安装成功!

pony 2008-04-19 15:24 发表评论

ubuntu上安装mysql后mysql.server不能启动问题的解决

pony — Fri, 18 Apr 2008 03:57:00 GMT

mysql安装步骤:

1.下载mysql-6.0.4-alpha.tar.gz

2.tar -zxvf mysql-6.0.4-alpha.tar.gz

3.cd mysql-6.0.4-alpha

4../configure --prefix=/usr/local/mysql

5.make

6.sudo make install

7.sudo cp supported-files/my-medium.cnf /etc/my.cnf

8.sudo cp supported-files/mysql.server /etc/init.d

9.sudo chmod a+x /etc/ini.d/mysql.server

10.cd /usr/local/mysql

11.bin/mysql_install_db --user=mysql

到这里,mysql基本安装完毕,然后就要启动mysql了.

先试试mysqld_safe可以不:

1.bin/mysqld_safe &

2.ps -ef | grep mysql

可以查到mysql的进程,ok,kill掉mysql的进程

现在试试以服务的方式启动mysql:

1./etc/init.d/mysql.server

报错了:Starting MySQL../etc/init.d/mysql: line 159: kill: (6638) - No such process

于是sudo vi /etc/init.d/mysql.server,查找到启动mysql的脚本,在大约307行左右.把变量打印出来.

然后手工执行启动mysql的命令:bin/mysqld_safe --datadir=/usr/local/mysql/var/ --pid-file=/usr/local/mysql/var/mysql.pid

发现启动mysql错误,报permission deny.于是怀疑是用户权限问题导致/usr/mysql/var/mysql.pid文件无法创建.

再重新执行上面的命令:sudo bin/mysqld_safe --datadir=/usr/local/mysql/var/ --pid-file=/usr/local/mysql/var/mysql.pid

至此真相大白!在手工执行/etc/init.d/mysql.server时,也要记得"sudo".

pony 2008-04-18 11:57 发表评论

apache2.2.8不再有AddModule指令了

pony — Sun, 13 Apr 2008 09:18:00 GMT

今天在试用apache的最新版本2.2.8,配置apache-tomcat connector的时候发现在http.conf中不再支持AddModule指令了，只需要LoadModule即可。
另外，最新的Connector也增加了很多功能。可以到http://tomcat.apache.org/connectors-doc/reference/apache.html查看详细的指令说明。

pony 2008-04-13 17:18 发表评论

ubuntu server版本上安装xwindow

pony — Mon, 07 Apr 2008 07:05:00 GMT

# apt-get install xserver-xorg
# apt-get install x-window-system-core
# dpkg-reconfigure xserver-xorg
# apt-get install gnome-core
# apt-get install gdm xscreensaver
# apt-get install ttf-arphic*
# startx

pony 2008-04-07 15:05 发表评论

今天了解了linux下的mosix群集的基本使用方法

pony — Mon, 25 Feb 2008 07:18:00 GMT

摘要: linux下的mosix群集阅读全文

pony 2008-02-25 15:18 发表评论

安装apache的错误问题解决: error,APR with the bundled APR-utilq错误解决

pony — Mon, 25 Feb 2008 01:42:00 GMT

configure: error,APR with the bundled APR-utilq错误解决

一般在第一次安装进一般不会遇到这种问题，在重新编译时会遇到该问题
以下是我根据错误提示进行纠正安装的

cd httpd-2.2.2

安装APR
cd srclib/apr

#./configure --prefix=/usr/local/apr
#make
#make install

安装APR-util
cd srclib/apr-util

#./configure --prefix=/usr/local/apr-util --with-apr=/usr/local/apr
#make
#make install

再安装apache
# ./configure --prefix=/usr/local/apache
--enable-so --enable-mods-shared=all
--enable-cgi
--with-apr=/usr/local/apr
--with-apr-util=/usr/local/apr-util/bin

# make
#make install

这样安装正常！

pony 2008-02-25 09:42 发表评论

clickstream项目体会

pony — Thu, 21 Feb 2008 07:36:00 GMT

clickstream是opensymphony上的一个开源项目,其目的是用于跟踪用户在web服务器上的浏览历史.通过这个模块得到的历史数据,可以分析出用户访问网站的路径,瓶颈,热点连接等,并根据这些数据对系统功能做出适当调整.

其设计的出发点是利用servlet的filter,在每次对servlet的访问时就日志.日志的实现主要是通过在当前用户的session中设置一个clickstream的跟踪对象.并利用HttpSessionListener来跟踪session的创建,销毁事件,从而达到跟踪一个用户的浏览历史功能.

鸡蛋里挑点骨头吧!
1.clickstream只有在用户访问servlet时才能实现跟踪的目的.如果网站有很多的静态页面,那么就无法通过它来跟踪了,还是apache的日志好啊!
2.clickstream在每个对servlet的访问都创建了一个session,这对很多不需要session的servlet来说,是不必要的.对于高并发访问的系统,这会增加系统的负荷,尤其是如果站点是采用集群的话,更会带来大量的session复制的性能问题.我建议才系统刚上线的时候或者有功能的重要更新的时候可以利用它来跟踪用户,以分析用户行为,改进系统.

pony 2008-02-21 15:36 发表评论