Linux-Anteil anti Beschwerden Server

achten:Vielleicht automatisch den Server aktualisiert，Siehe Verwundbarkeit. Doch für die Sicherheit，Oder ob es ein Vorschlag Test.

Dieser Artikel ist für alle VPS / dedizierter Server System-Update。

Vor ein paar TagenLinuxOffizielles Bash in einer sehr ernsten neuen Entdeckungen gebautSicherheitVulnerabilities (Sicherheitslücken beziehen sich auf https://access.redhat.com/security/cve/CVE-2014-6271)，Hacker könnte die Sicherheitsanfälligkeit Bash die vollständige Kontrolle über das Zielsystem und Angriff ausnutzen，Um zu vermeiden, Ihren Linux-Server mit betroffen，VorschlagSie komplette Fehlerbehebung so schnell wie möglich，Reparaturmethoden sind wie folgt，Bitte haben Sie Verständnis!

[Es wurde erfolgreich ausnutzt, Software bestätigt undSystem】
Alle installierten GNU heftiger schlag Weniger als oder gleich der Version 4.3 des Linux-Betriebssystem。


[Vulnerability Beschreibung]
Die Sicherheitslücke beruht auf speziellen erstellt, bevor Sie die Bash-Shell aufrufenUmweltVariable，Diese Variablen können Code enthalten，ZugleichBash wird ausgeführt。


[Vulnerability Detektionsverfahren]

SSH-Befehlsausführung:

env t =‘() { :;}; echo Sie verwundbar sind.’ bash -c “wahr”
Reparatur erkannt, bevor:

Wenn das Display Sie sind verwundbar，leider，Es muss sofort beheben Sicherheits-Patches markiert werden

Nach dem Gebrauch des Patch-Reparatur-Programm
heftiger schlag: Warnung: x: ignorieren Funktionsdefinition Versuch
heftiger schlag: Fehler beim Importieren der Funktionsdefinition für `x’
dies ist ein Test
Wichtiger Hinweis：Das Update wird keine Wirkung，Wenn Ihr Skript die oben verwendet eine Umgebungsvariable definieren，Nach der Ausführung des Skripts wird Ihre Fehler beheben。

[Angekündigt] Reparaturprogramm

Bitte wählen Sie den Befehl benötigen Sie eine Version reparieren auf Linux-Basis， Um Unfälle zu verhindern，Es wird empfohlen, den Befehl vor dem ersten Ausführen eine Momentaufnahme des Linux-Server-Systemdiskette machen，Wenn das Ereignis von Auswirkungen des UpgradesServerVerwendung，Kann durch Festplatten-Snapshot-Rollback-System gelöst werden。

2.Maßnahmen bei Fehlerbehebung

Ubuntu oder Debian Do

Roter Hut, CentOS oder Fedora tun

Wenn keine FTP-Eingabeaufforderung: -heftiger schlag: ftp: Befehl nicht gefunden
Bitte installieren Sie die Anwendung ftp: yum install ftp
#ftp 127.0.0.1 21 Geben Sie den Remote-Raum FTP IP und Portnummer，eingeben
Dann folgen Sie den Anweisungen, um einen Benutzernamen und ein Passwort eingeben!
ftp>lcd lokales Arbeitsverzeichnis
ftp>cd Remote-Verzeichnis
ftp>binäre Binärübertragung
ftp> Bytezähler tick Übertragungsöffnung，Führen Sie eine andere schließen
ftp>mput Datei

FTP> bye (oder durch) das Ende und die Remote-Computer Linux ftp Befehlsparameter in der Session in den FTP-Befehlsparametern und zum Verlassen des Linux。

FTP> cd ändern Arbeitsverzeichnis auf dem Remote-Computer。

FTP> erhalten die aktuellen Dokument Konvertierungstyp Ferndokumentkopie auf den lokalen Computer zu verwenden,。
Format：erhalten Remote-Datei [local-Datei]

FTP >lcd ändert das Arbeitsverzeichnis auf dem lokalen Computer。In der Standardeinstellung，Das Arbeitsverzeichnis ist das Verzeichnis Linux-FTP-Befehlsparameter im Start。

Format：lcd [Verzeichnis]

FTP >ls zeigt die Remote-Verzeichnis Dateien und Unterverzeichnisse der Abkürzungsliste。

FTP >mdelete ein Dokument auf dem Remote-Computer löschen。
Format：mdelete Remote-Dateien [ …]
Erklärung：Remote-Dateien möchten Sie die Remote-Dokument löschen。

FTP >eine Liste der Remote-Verzeichnis Dateien und Unterverzeichnisse MDIR anzuzeigen。Mdir kann verwendet werden, um mehrere Dokumente zu spezifizieren。
Format：mdir Remote-Dateien [ …] local-Datei
Erklärung：Remote-Dateien, die Sie wollen eine Liste von Verzeichnissen anzuzeigen。Sie müssen die Remote-Dateien angeben。Typ - verwenden Sie das aktuelle Arbeitsverzeichnis auf dem entfernten Computer。

1、FTP-Server-Verbindung

Format：ftp [Host-Namen | IP Adresse]
ein)Geben Sie die Befehlszeile unter Linux：ftp www.boluo.org
b)Fragen Sie Ihren Server-Benutzernamen und das Passwort，Beziehungsweise, geben Sie den Benutzernamen und das dazugehörige Passwort，Es kann durch authentifiziert werden。

2、Datei herunterladen

Download-Dateien in der Regel erhalten und mget diese beiden Aufträge:

ein) bekommen Format：erhalten [Remote-Datei] [local-Datei]
Übertragen von Dateien von einem Remote-Host auf dem lokalen Host.
Um auf dem Server /ftp/1.rar,dann
ftp> erhalten /ftp/1.rar 1.rar (eingeben)

b) mget Format：mget [Remote-Dateien]
Eine Reihe von Dokumenten, die von dem Remote-Host auf dem lokalen Host.
Um alle Dateien auf dem Server unter / ftp,dann
ftp> cd / ftp
ftp> mget *.* (eingeben)

achten：Die Dateien werden heruntergeladen auf einen Linux-Hosts aktuelles Verzeichnis。

3、Datei hochladen

ein) setzen Format：setzen lokale Datei [Remote-Datei]
Eine lokale Dateiübertragung auf die Remote-Host.
Die lokale 1.zip sollte auf dem Remote-Host / ftp übertragen,Und umbenannt 1.rar
ftp> setzen 1.zip /ftp1.rar (eingeben)

b) mput Format：mput local-Dateien
Die Anzahl der Dateiübertragung lokaler Host zu der Remote-Host.
Wie unter dem aktuellen lokalen Verzeichnis all rar-Datei-Upload / ftp server to put down
ftp> cd / ftp (Carriage Return)
ftp> mput * Rar (Wagenrücklauf)

4、trennen

Tschüss：Unterbrochene Verbindung zum Server。

Hier ist ein Werkzeug, um dieses Tool zu verwenden da.cpanel.import。

erste，Auf cPanel-Server，Downloaden und entpacken Sie das Werkzeug in ein beliebiges Verzeichnis Sie wollen。

Dann brauchen wir einen Ordner Import und Export-Ordner erstellen

mkdir import export

jetzt，Kopieren Sie den cPanel Backup-Datei des Benutzers Dateien im Ordner zu importieren。

nächste，Bearbeiten Sie diese Datei defaults.conf，Zwei wesentliche Änderungen。sie sind：

ip = XXX.XXX.XXX.XXX (IP-Adresse des DA-Panel)
NS1 = ns1.paulhost.com (NS1)
ns2 = ns2.paulhost.com (NS2)

dann，Execute perl da.cpanel.import.pl ， Wir folgen Sie dann den Aufforderungen zur Auswahl。

Hast du gelesen, verstanden und angewendet, um die obigen? (y / n) wählen Sie y

[Wenn Sie mit diesem Werkzeug auf dem cPanel-Server]: Nachdem dieses Tool ist abgeschlossen, erfolgreich erstellt Direct tarballs sollten Sie mit Ihrem Direct Händler user_backups Verzeichnis übertragen werden?(y / n) wählen Sie y

Weiter Um die IP des Servers zu bestätigen, wo der DA-Panel，Und auf den Backup-Pfad zu passieren。

Der nächste Schritt ist für die Vollendung des warten (mittleren Feldes benötigen, um den DA-Servers Root-Passwort eingeben)。

nach Abschluss，In der DA-Panel - Administratoren um den Sicherungs。

Verwenden Sie iptables verhindern php-ddos Foreign udp Vertrag
Jüngste Überschwemmungen php-ddos，Besonders Weben Träume Bündel Tunnel，Sie wissen,，Wir können iptables verwenden，Foreign verboten php-ddos Vertrag von der Quelle。

Die bevorzugten erlauben UDP-Port erforderlichen Dienste (wie zB DNS)

iptables -I OUTPUT -p udp –dport 53 -d 8.8.8.8 -j ACCEPT
iptables -I OUTPUT -p udp –dport 53 -d 8.8.4.4 -j ACCEPT

„53“，DNS-UDP-Port ist erforderlich，„8.8.8.8“ Teil des DNS-IP，Nach Ihrem Server einrichten setzen，Wenn Sie nicht wissen, Ihren aktuellen DNS-IP-Server，Sie können den folgenden Befehl in der SSH ausführen erworben：

cat /etc/resolv.conf |grep Name-Server |awk ‚NR == 1{drucken $2 }’

Hemmen die Einheit sendet ein UDP-Paket

iptables -A OUTPUT -p udp -j DROP

cd / usr / local / src
wget http://stderr.net/apache/rpaf/downlo…paf-0.6.tar.gz
tar -xzf mod_rpaf-0.6.tar.gz
cd mod_rpaf- *
apxs -i -c -n mod_rpaf-2.0.so mod_rpaf-2.0.c

2. Einmal installiert, Wir müssen das Modul in die Apache-Konfiguration laden. Since cPanel already has Include Editor for Apache, we will use that functions. Login to WHM > Service Configuration > Apache Configuration > Include Editor > Pre Main Include > All Versions and paste following text:

LoadModule rpaf_module modules/mod_rpaf-2.0.so
RPAFenable On
RPAFproxy_ips 127.0.0.1 123.124.125.88 # replace the value with your server IP
RPAFsethostname On
RPAFheader X-Real-IP

初次接触OpenVZ是在挑选VPS的时候，OpenVZ的VPS要比Xen的便宜不少。经过了解发现OpenVZ是操作系统层的虚拟产品，与Xen、KVM、Huper-V等虚拟化产品完全是两个不同层次的。OpenVZ提供的只是一个虚拟的环境（VE），OpenVZ自己称它为容器（Container），Xen、KVM等提供的是具有Hypervisor的虚拟机，OpenVZ对于便宜的低端VPS来说确实比较好，Xen等虚拟化产品则一般使用在企业级的应用中心、云计算平台等。

安装OpenVZ

Umwelt：使用CentOS5.6_x86_64操作系统安装在DELL的一台PC机上。

 

官网（http://wiki.openvz.org/）给出了一个yum的源来在CentOS上进行安装，我们来调整yum源，且为了安全问题，支持OpenVZ对于CentOS5的内核补丁支持的内核版本必须大于等于2.6.18.308.8.2.el5，可以到此处查看支持的内核版本http://wiki.openvz.org/Download/kernel。

[root@openvz yum.repos.d]# cd /etc/yum.repos.d
[root@openvz yum.repos.d]# wget http://download.openvz.org/openvz.repo
[root@openvz yum.repos.d]#uname -r
2.6.18-238.9.1.el5
[root@openvz yum.repos.d]#yum install kernel.x86_64   #升级内核到2.6.18.308，
[root@openvz yum.repos.d]#uname -r
2.6.18-308.8.2.el5

[root@openvz yum.repos.d]#cat openvz.repo #修改openvz源，确保如下默认选择的是6.2的版本

[openvz-utils]
name=OpenVZ utilities
#baseurl=<a href="http://download.openvz.org/current/">http://download.openvz.org/current/</ein>
mirrorlist=<a href="http://download.openvz.org/mirrors-current">http://download.openvz.org/mirrors-current</ein>
enabled=1
gpgcheck=1
gpgkey=http://download.openvz.org/RPM-GPG-Key-OpenVZ
[openvz-kernel-rhel5]
name=OpenVZ RHEL5-based kernel
#baseurl=http://download.openvz.org/kernel/branches/rhel5-2.6.18/current/
mirrorlist=http://download.openvz.org/kernel/mirrors-rhel5-2.6.18
enabled=1
gpgcheck=1
gpgkey=http://download.openvz.org/RPM-GPG-Key-OpenVZ
[root@openvz ~]# yum install ovzkernel -y#安装openvz内核
[root@openvz ~]# yum install vzctl vzquota#安装openvz的2个常用工具

由于我们的VE需要访问外部网络，所以这里先打开包转发，在后面会说到。

[root@openvz ~]# grep ip_forward /etc/sysctl.conf
net.ipv4.ip_forward = 1
[root@openvz ~]#

查看grub.conf设置的默认启动内核

default=0
timeout=5
splashimage=(hd0,0)/grub/splash.xpm.gz
hiddenmenu
title OpenVZ (2.6.18-308.8.2.el5.028stab101.1)
        Wurzel (hd0,0)
        kernel /vmlinuz-2.6.18-308.8.2.el5.028stab101.1 ro root=LABEL=/ selinux=0#已经自动设置关闭selinux了
        initrd /initrd-2.6.18-308.8.2.el5.028stab101.1.img
[root@openvz ~]# init 6

确保vz服务开机启动

[root@openvz ~]# service vz status
OpenVZ is running...
[root@openvz ~]# chkconfig --list vz
vz                 0:off    1:off    2:auf    3:auf    4:auf    5:auf    6:off
[root@openvz ~]#

安装管理VE

OpenVZ是使用vzctl来管理VE的，我们来看其详细命令。

[root@openvz ~]# vzctl
vzctl version 3.3
Copyright (C) 2000-2012, Parallels, Inc.
This program may be distributed under the terms of the GNU GPL License.
Usage: vzctl [options] <Befehl> <ctid> [parameters]
vzctl create <ctid> [--ostemplate <name>] [--config <name>]
   [--layout ploop|simfs] [--Host-Namen <name>] [--name <name>] [--ipadd <addr>]
   [--diskspace <kbytes>] [--private <path>] [--Wurzel <path>]#创建VE
vzctl start <ctid> [--force] [--wait]#启动VE
vzctl destroy | montieren | umount | stop | restart | status <ctid>#关闭VE
vzctl convert <ctid> [--layout ploop[:mode]] [--diskspace <kbytes>]
vzctl quotaon | quotaoff | quotainit <ctid>#设置qutoa
vzctl console <ctid> [ttyno]#进入VE
vzctl enter <ctid> [--exec <Befehl> [arg ...]]#进入VE
vzctl exec | exec2 <ctid> <Befehl> [arg ...]#不进入VE执行VE下的命令
vzctl runscript <ctid> <script>#为VE执行脚本
vzctl chkpnt <ctid> [--dumpfile <name>]#保存VE的状态到文件
vzctl restore <ctid> [--dumpfile <name>]#从恢复文件恢复VE的状态
vzctl set <ctid> [--save] [--force] [--setmode restart|ignore]
   [--ram <Bytes>[KMG]] [--swap <Bytes>[KMG]]#设置RAM
   [--ipadd <addr>] [--ipdel <addr>|all] [--Host-Namen <name>]#添加和删除IP
   [--nameserver <addr>] [--searchdomain <name>]#指定nameserber和sercherdomain
   [--onboot yes|no] [--bootorder <N>]#设置开机启动
   [--userpasswd <user>:<passwd>]#修改VE的用户密码
   [--cpuunits <N>] [--cpulimit <N>] [--cpus <N>] [--cpumask <cpus>]
   [--diskspace <soft>[:<hard>]] [--diskinodes <soft>[:<hard>]]
   [--quotatime <N>] [--quotaugidlimit <N>]
   [--noatime yes|no] [--capability <name>:auf|off ...]
   [--devices b|c:major:minor|all:r|w|rw]
   [--devnodes device:r|w|rw|none]
   [--netif_add <ifname[,mac,host_ifname,host_mac,bridge]]>]#添加桥接设备
   [--netif_del <ifname>]#删除桥接设备
   [--applyconfig <name>] [--applyconfig_map <name>]
   [--features <name:auf|off>] [--name <vename>] [--ioprio <N>]
   [--pci_add [<domain>:]<bus>:<slot>.<func>] [--pci_del <d:b:s.f>]
   [--iptables <name>] [--disabled <yes|no>]#VE的防火墙设置
   [UBC parameters]

安装一个Guest，OpenVZ官方建议的安装方法，是下载其优化过的操作系统压缩包，来进行安装。在OpenVZ上保存操作系统压缩包的位置是/vz/template/cache/。操作系统压缩包的下载地址为http://wiki.openvz.org/Download/template/precreated 。我这里下载的是CentOS5_X84_64，用来安装测试。

[root@openvz ~]# ll /vz/template/cache/
total 188092
-rw-r--r-- 1 root root 192411846 Jul 19 02:08 centos-5-x86_64.tar.gz
[root@openvz ~]# vzctl create 2 --ostemplate centos-5-x86_64 --hostname centos01
Creating container private area (centos-5-x86_64)
Performing postcreate actions
CT configuration saved to /etc/vz/conf/2.conf#配置文件保存为/etc/vz/下的2.conf
Container private area was created
[root@openvz ~]#

使用OS模版centos-5-x86_64 安装ID为2的VE，主机名为centos01，安装完成后需要修改默认的配置文件，再启动VE。

设置VE开机自启动、设置IP、设置DNS、内存、设置磁盘大小

[root@openvz ~]# vzctl set 2 --onboot yes
WARNING: Settings were not saved to config (use --save flag) #提示保存到配置文件需要--save
[root@openvz ~]# vzctl set 2 --onboot yes --save
CT configuration saved to /etc/vz/conf/2.conf
[root@openvz ~]# vzctl set 2 --ipadd 10.20.100.146 --save#此时还不能使用
CT configuration saved to /etc/vz/conf/2.conf
[root@openvz ~]# vzctl set 2 --nameserver 10.20.1.6 --save
CT configuration saved to /etc/vz/conf/2.conf
[root@openvz ~]# vzctl set 2 --ram 345 --save
Error: kernel does not support vswap, unable to use --ram/--swap parameters
Error parsing options  #内核不支持
[root@openvz ~]# vzctl set 2 --diskspace 3G:3G --save
CT configuration saved to /etc/vz/conf/2.conf
[root@openvz ~]# vzctl start 2#启动ID为2的VE
Starting container ...
Container is mounted
Adding IP address(es): 192.168.221.2
Setting CPU units: 1000
Container start in progress...
[root@openvz ~]#

使用vzlist查看VE

[root@openvz ~]# vzlist 2
      CTID      NPROC STATUS    IP_ADDR         HOSTNAME
         2         12 running   192.168.221.2   centos01

登入VE、退出VE、重启VE、启动VE、关闭VE、断电VE

[root@openvz ~]# vzctl enter 2
[root@centos01 /]# Ausfahrt
[root@openvz ~]# vzctl restart 2
[root@openvz ~]# vzctl start 2
[root@openvz ~]# vzctl stop 2
[root@openvz ~]# vzctl destroy 2

不登陆VE，Führen Sie den Befehl、执行脚本

[root@openvz ~]# vzctl  exec 2  ifconfig#不登录VE查看网卡信息
[root@openvz ~]# vzctl  runscript 2 scriptname#script在服务器上

计算VE的耗用

[root@openvz ~]# vzcalc -v 2

修改VE的root密码

[root@openvz ~]# vzctl exec 2 passwd#输入2次密码
[root@openvz ~]# vzctl set 2  --userpasswd root:123456#直接修改密码为123456

 

VE的网络

按照直接添加IP的方法，VE访问外网有2种方式来实现。一种是开启母机（用母机一词，果然比较好区分）的包转发功能，VE使用和母机同一段的IP，独立IP的VPS就是使用的这种方式，VE有自己的外网IP，用户可以登录自己的VPS进行管理；另外一种是使用路由转发功能，防火墙做snat源地址转换，VE使用私有IP，这样的话，VE可以访问外网,但是外网不能直接访问内网的VE。

方式一：公有IP

开启包转发

[root@openvz ~]# grep ip_forward /etc/sysctl.conf
net.ipv4.ip_forward = 1

使其生效

[root@openvz ~]# /sbin/sysctl -p
net.ipv4.ip_forward = 1

配置或修改VE的IP，此IP和母机在同一段（VPS中使用的是公有IP）。

[root@openvz ~]# ifconfig#母机的IP
eth0      Link encap:Ethernet  HWaddr 00:0C:29:FD:E4:AA 
          inet addr:10.20.100.141  Bcast:10.20.100.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:35535 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8399 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:3534995 (3.3 MiB)  TX bytes:934525 (912.6 KiB)
          Interrupt:59 Base address:0x2000
lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:10 errors:0 dropped:0 overruns:0 frame:0
          TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:784 (784.0 b)  TX bytes:784 (784.0 b)
venet0    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1
          RX packets:494 errors:0 dropped:0 overruns:0 frame:0
          TX packets:283 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:37807 (36.9 KiB)  TX bytes:23312 (22.7 KiB)
[root@openvz ~]# vzctl set 2 --ipadd 10.20.100.146 --save#修改或设置VE的IP，

测试VE的网络

[root@openvz ~]# vzctl exec 2 ifconfig
lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)
venet0    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
          inet addr:127.0.0.1  P-t-P:127.0.0.1  Bcast:0.0.0.0  Mask:255.255.255.255
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1
          RX packets:224 errors:0 dropped:0 overruns:0 frame:0
          TX packets:292 errors:0 dropped:53 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:18572 (18.1 KiB)  TX bytes:23106 (22.5 KiB)
venet0:0  Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
          inet addr:10.20.100.146  P-t-P:10.20.100.146  Bcast:10.20.100.146  Mask:255.255.255.255
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1
[root@openvz ~]# vzctl exec 2 ping www.baidu.com
PING www.a.shifen.com (220.181.111.147) 56(84) bytes of data.
64 bytes from 220.181.111.147: icmp_seq=1 ttl=54 time=35.2 ms
64 bytes from 220.181.111.147: icmp_seq=2 ttl=54 time=34.9 ms

方式二：私有IP，SNAT

开启包转发

[root@openvz ~]# grep ip_forward /etc/sysctl.conf
net.ipv4.ip_forward = 1

使其生效

[root@openvz ~]# /sbin/sysctl -p
net.ipv4.ip_forward = 1

修改VE的IP，此IP为私有IP

[root@openvz ~]# vzctl set 2 --ipdel 10.20.100.146 --save#删除之前的100段IP
[root@openvz ~]# vzctl set 2 --ipadd 10.20.102.146 --save#修改或设置IP，与母机的IP段不同

开启SNAT

[root@openvz ~]# /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

oder

[root@openvz ~]# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 10.20.100.141
[root@openvz ~]# iptables -t nat -L#查看NAT策略
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination        
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination        
SNAT       all  --  anywhere             anywhere            to:10.20.100.141
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

查看VE网络

[root@openvz ~]# vzctl exec 2 ifconfig
lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)
venet0    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
          inet addr:127.0.0.1  P-t-P:127.0.0.1  Bcast:0.0.0.0  Mask:255.255.255.255
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1
          RX packets:330 errors:0 dropped:0 overruns:0 frame:0
          TX packets:407 errors:0 dropped:53 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:26810 (26.1 KiB)  TX bytes:33397 (32.6 KiB)
venet0:1  Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
          inet addr:10.20.102.146  P-t-P:10.20.102.146  Bcast:10.20.102.146  Mask:255.255.255.255
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1
[root@openvz ~]#

测试VE网络

[root@openvz ~]# vzctl exec 2 ping www.baidu.com
PING www.a.shifen.com (220.181.111.147) 56(84) bytes of data.
64 bytes from 220.181.111.147: icmp_seq=1 ttl=54 time=35.0 ms
64 bytes from 220.181.111.147: icmp_seq=2 ttl=54 time=34.9 ms
[root@openvz ~]#

如果你购买的是美国Xen LINUX VPS或者是其它国家的Xen LINUX VPS，那么，你首选需要查看并设置时区：

如何查看Xen LINUX VPS时区？
date -R

得到结果类似下面：
Mon, 05 September 2011 16:29:08 +0800

如果最后面的一段不是+800，那么你喜欢设置一下时区了，设置Xen LINUX 时区方法如下：

rm -rf /etc/localtime
ln -s /usr/share/zoneinfo/Asia/Shanghai /etc/localtime

这样你的Linux VPS的时区就已经设置成中国上海-第8时区了。

有时候，买到的Xen Linux VPS不但时区不对，而且系统时间还相差很大，有时候会相关几小时。
如何修改Xen Linux VPS 时间呢？需要使用ntp时间同步软件来同步VPS系统时间。（如果你的是Xen VPS 或者是独立服务器，那么就可以修改，如果是OpenVZ VPS，则不能修改时间,只能叫机房修改母服务器的时间。)

方法命令如下：

yum install -y ntp

vi /etc/sysctl.conf

xen.independent_wallclock=1 #在文件中增加并且保存退出

sysctl -p#这步一定要记得，否则不生效。

ntpdate us.pool.ntp.org

再使用

date -R确认一下时间是否校正了.

这样时间就同步好了。

CentOS一键配置iptables防火墙
手里几台VPS配置iptables太繁琐，看到了朱哥的LNMP脚本里有一个自动配置iptables防火墙的脚本，借来改了一下，给需要的人用；
只提供常用端口的设置，如果你有特殊需求只需自行添加或减少相应的端口即可；

Verwendung：

wget -c http://ph4ntasy.googlecode.com/files/iptables.sh
chmod +x iptables.sh
./iptables.sh
设置iptables开机自动启动：

chkconfig –level 345 iptables on
完整Shell：

#!/bin/bash
PATH=/bin:/sbin:/usr / bin:/usr / sbin:/usr / local / bin:/usr/local/sbin:~/bin
export PATH
function support_distro(){
wenn [ -z “`egrep -i “CentOS” /etc/issue`” ];dann
Echo “Sorry,iptables script only support centos system now.”
Ausfahrt 1
sein
}
support_distro
Echo “============================iptables configure============================================”
# Created by Centos.bz Modified by ph4ntasy.com
# Only support CentOS system
# 获取SSH端口
if grep “^Port” /etc/ssh/sshd_config>/dev/null;dann
sshdport=`grep “^Port” /etc/ssh/sshd_config | sed “s/Ports//g” `
sonst
sshdport=22
sein
# 获取DNS服务器IP
wenn [ -s /etc/resolv.conf ];dann
nameserver1=`cat /etc/resolv.conf |grep Name-Server |awk ‚NR == 1{drucken $2 }’`
nameserver2=`cat /etc/resolv.conf |grep Name-Server |awk ‘NR==2{drucken $2 }’`
sein
IPT=”/sbin/iptables”
# 删除已有规则
$IPT –delete-chain
$IPT –flush
# 禁止进,允许出,允许回环网卡
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
$IPT -A INPUT -i lo -j ACCEPT
# 允许已建立的或相关连接的通行
$IPT -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
# 限制80端口单个IP的最大连接数为10
$IPT -I INPUT -p tcp –dport 80 -m connlimit –connlimit-above 10 -j DROP
# 允许80(HTTP)/873(RSYNC)/443(HTTPS)/20,21(FTP)/25(SMTP)端口的连接
$IPT -A INPUT -p tcp -m tcp –dport 80 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp –dport 873 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp –dport 443 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp –dport 20 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp –dport 21 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp –dport 25 -j ACCEPT
# 允许SSH端口的连接,脚本自动侦测目前的SSH端口,否则默认为22端口
$IPT -A INPUT -p tcp -m tcp –dport $sshdport -j ACCEPT
# 允许ping
$IPT -A INPUT -p icmp -m icmp –icmp-type 8 -j ACCEPT
$IPT -A INPUT -p icmp -m icmp –icmp-type 11 -j ACCEPT
# 允许DNS
[ ! -z “$nameserver1” ] && $IPT -A OUTPUT -p udp -m udp -d $nameserver1 –dport 53 -j ACCEPT
[ ! -z “$nameserver2” ] && $IPT -A OUTPUT -p udp -m udp -d $nameserver2 –dport 53 -j ACCEPT
# 保存规则并重启IPTABLES
service iptables save
service iptables restart
Echo “============================iptables configure completed============================================”

Verwenden Sie iptables verhindern php-ddos Foreign udp Vertrag
Jüngste Überschwemmungen php-ddos，Besonders Weben Träume Bündel Tunnel，Sie wissen,，Wir können iptables verwenden，Foreign verboten php-ddos Vertrag von der Quelle。

Die bevorzugten erlauben UDP-Port erforderlichen Dienste (wie zB DNS)

iptables -I OUTPUT -p udp –dport 53 -d 8.8.8.8 -j ACCEPT
iptables -I OUTPUT -p udp –dport 53 -d 8.8.4.4 -j ACCEPT
„53“，DNS-UDP-Port ist erforderlich，„8.8.8.8“ Teil des DNS-IP，Nach Ihrem Server einrichten setzen，Wenn Sie nicht wissen, Ihren aktuellen DNS-IP-Server，Sie können den folgenden Befehl in der SSH ausführen erworben：

cat /etc/resolv.conf |grep Name-Server |awk ‚NR == 1{drucken $2 }’
Hemmen die Einheit sendet ein UDP-Paket

iptables -A OUTPUT -p udp -j DROP

安装Directadmin遇到

*** Cannot find /usr/include/et/com_err.h. (yum install libcom_err-devel) ***
Installation didn’t pass, halting install.
Once requirements are met, run the following to continue the install:
cd /usr/local/directadmin/scripts
./install.sh
Common pre-install commands:

http://help.directadmin.com/item.php?id=354

==================
yum install libcom_err-devel
==================
Total 972 kB/s | 116 MB 02:02
Running rpm_check_debug
ERROR with rpm_check_debug vs depsolve:
keyutils-libs-devel is needed by krb5-devel-1.10.3-10.el6_4.1.i686
libselinux-devel is needed by krb5-devel-1.10.3-10.el6_4.1.i686
zlib-devel is needed by openssl-devel-1.0.0-27.el6_4.2.i686
** Found 7 pre-existing rpmdb problem(S), ‘yum check’ output follows:
e2fsprogs-devel-1.41.12-3.el6.i686 has missing requires of e2fsprogs-libs = (’0′, ’1.41.12′, ’3.el6′)
e2fsprogs-devel-1.41.12-3.el6.i686 has missing requires of libcom_err-devel
e2fsprogs-devel-1.41.12-3.el6.i686 has missing requires of pkgconfig(com_err)
krb5-devel-1.8.2-3.el6.i686 has missing requires of keyutils-libs-devel
krb5-devel-1.8.2-3.el6.i686 has missing requires of libcom_err-devel
krb5-devel-1.8.2-3.el6.i686 has missing requires of libselinux-devel
openssl-devel-1.0.0-4.el6.i686 has missing requires of zlib-devel

执行

yum -y install zlib-devel
yum -y install e2fsprogs*

即可解决

Zen cart的Tell a friend发送邮件功能被可恶的人利用了，即通过程序手段自动借用其Zen cart网站的Tell a friend群发邮件，邮件内容居然是非常不和谐的，汗一个，不过还是佩服这家伙的创意，这也想得到。
言归正传，还是说下杜绝第三方利用Zen cart tell a friend功能发送垃圾邮件的解决办法吧

Zen cart站用的是自有域名邮箱，绑在Gmail账户里。由于Gmail的垃圾邮件拦截得好，一直没注意到域名邮箱里的垃圾邮件。昨天无意中看到里面居然有 2000+failure notice邮件， 今天起床特意又看了一下，多出来500多封。这才想起来最近网站来路里直接输入网址访问的居然占到大多数，或许于此有 关。当然，这是题外话。今天到Zen cart官方论坛上找了一下，发现遇到类似情况的网站主还不少，情况严重的因此被ISP关了站。Tell a friend功能我一直觉得用处不大，没想到用处不小
遇到这种情况，可用的解决方法有：
1. 后台-Configuration-Email Options里找到Allow Guest To Tell A Friend，关闭游客推荐功能。
2. 下载zen cart的垃圾邮件过滤插件Form Armor Module，该插件专门针对第三方利用Contact us, Tell a friend发送垃圾邮件的问题。不幸的是，Form Armor是项收费服务，费用不低，每月19刀。下载地址在这里：http://www.zen-cart.com /index.php?main_page=product_contrib_info&products_id=1202.
我只是简单按照步骤1关闭了游客推荐功能，有用与否过两天后才有结果。补：无用！
如果你和我一样觉得Tell a friend没个鸟用，那么对下列文件重命名，可以彻底删除该功能：
templates/YOUR_TEMPLATE/templates/tpl_tell_a_friend_default
includes/languages/english/tell_a_friend.php
includes/modules/pages/tell_a_friend.php
dann，在后台catalog-product types里面打开网站上所有的产品类型设置，找到Show Product Tell a Friend button，关闭它。

近期帮客户配置KLOXO面板的时候发现Kloxo安装后无法连接FTP. 经过一番折腾终于在谷歌找到了解决方法~！

下面是解决方案
用ROOT账户 登陆 SSH 服务器 输入
netstat -an | grep LISTEN
没有发现 21 Port,难怪服务器会无法连接..

下面我们仅需配置下pureftp 即可
编辑pureftp

重启ftp

重启完毕后再去登陆FTP 就会发现已经可以正常登陆~！

通过Kloxo控制面板配置新IP。

假设需要添加的ip是 74.82.180.226 子网掩码是 255.255.255.224

登录kloxo之后点

服务器->localhost->IP地址->Add IP 地址

然后在设备名那里保持默认
ip地址那里输入

74.82.180.226

子网掩码那里输入

255.255.255.224

然后点确定即可。

本教程来自网上

service httpd restart 问题，Temporary failure in name resolution: Failed to resolve server name解决办法

问题：Starting httpd: [Wed Jul 25 16:09:56 2012] [error] (EAI 3)Temporary failure in name resolution: Failed to resolve server name for 192.168.1.2 (check DNS) — or specify an explicit ServerName

这个一般是vps或者服务器上面有多个ip造成的，解决方法如下：

在/etc/hosts追加如下：

192.168.1.2 localhost
192.168.1.3 localhost 如果有更多都可以加上

vgcreate 卷表明 分区名 vgcreate vg001 /dev/sda3