系统运维

在 Apache、NGINX 和 Lighttpd 上启用 HTTP 公钥固定扩展(HPKP)

编者按:前段时间,Google 报告说 CNNIC 签发的一个中级 CA 签发了一个伪造的 Google 证书,从而导致 Google 和 Mozilla 在其产品中取消了对 CNNIC 后继签发的证书信任。 本文就来讲述一下,这种伪造证书是如何被 Google 发现的,其技术机制是什么?如何在网站服务器上实现伪造证书防御和报告机制。 公钥固定(Public Key Pinning)是指一个证书链中必须包含一个白名单中的公钥,也就是说只有被列入白名单的证书签发机构(CA)才能为某个域名*.example.com签发证书,而不是你的浏览器中所存储的任何 CA 都可以为之签发。本文讲述了这种机
2015-04-16
7分钟阅读时长

如何在 CentOS/RHEL 中为 Apache Tomcat 绑定 IPv4 地址

今天我们来学习一下如何在CentOS 7 Linux分布式系统中为Tomcat绑定IPv4。 Apache Tomcat 是由Apache 软件基金会 开发的开源web服务器和servlet容器。它实现了Java Servlet,JavaServer页面(JSP),Java的统一表达式语言,以及Sun Microsystems的Java的WebSocket规范,并提供了一个运行java代码的web服务器环境。 如果由于tomcat默认绑定到IPv6而导致我们的web服务器不能正常工作,就有必要将tomcat绑定到IPv4。众所周知,IPv6是为设备分配IP地址的现代方法,虽然在不久的将来也许会得到应用,但是现在并没有得到完全应用。由于没有用处
2015-04-16
3分钟阅读时长

如何配置使用 HTTP 严格传输安全(HSTS)

HTTP 严格传输安全(HSTS)是一种安全功能,web 服务器通过它来告诉浏览器仅用 HTTPS 来与之通讯,而不是使用 HTTP。本文会说明如何在 Apache2、Nginx 和 Lighttpd 上如何启用 HSTS。在主流的 web 服务器上测试通过: Nginx1.1.19、 Lighttpd 1.4.28 和Apache 2.2.22 ,环境为 Ubuntu 12.04、 Debian 6 7 和 CentOS 6,只需要调整部分参数就可以工作在其它的发行版上。 什么是 HTTP 严格传输安全? 引用自Mozilla Developer Network: 如果一个 web 服务器支持 HTTP 访问,并将其重定向到 HTTPS 访问的话,那么访问者在重定向前的初始
2015-04-15
4分钟阅读时长

使用 backupninja 为 Debian 定制备份计划

backupninja是Debian系统(以及基于Debian的发行版)中一个强大的、高度可配置的备份软件。在前一篇文章中,我们探讨了如何安装backupninja以及如何设置两个备份操作并执行。然而,那些只是冰山一角。这一次,我们要讨论如何定制 Handler 和 Helper ,使用这些功能定制策略以完成任何备份需要。 回顾 backupninja backupninja的一个独特的地方是它可以完全抛弃/etc/backup.d中的纯文本配置文件和操作文件,软件自己会搞定。另外,我们可以编写自定义脚本(又叫 handler)放在/usr/share/backupninja 目录下来完成不同类型的备份操作。此
2015-04-07
5分钟阅读时长

游戏玩家的福音:在 Ubuntu 上安装开源 VoIP 应用 Mumble

Mumble是一个自由开源的VoIP应用,在新的 BSD 许可证下发布,主要面向的用户群体是游戏玩家。运行起来类似于TeamSpeak和Ventrilo,用户通过连接到同一个服务器来实现相互通讯。 Mumble提供了如下的漂亮特性: 低延迟,这点对游戏相当重要 提供游戏中的可视插件,通过它你可以知道是谁正在和你通话并定位他们的位置 交谈内容经过加密的,能够保护你的隐私和安全 界面简单易于上手 稳定高效的使用你的服务器资源 安装 Mumble Mumble已经流行开来,进入了许多linux主流发行版的软件仓库,这使它安装起来更加的方便。若你使用的是Ubuntu那么
2015-04-07
2分钟阅读时长

如何设置 Ubuntu14.04 的 SSH 无密码登录

大家好,今天我来向大家介绍如何在 Ubuntu12.04 上设置 SSH 的无密码登录功能。仅在工作站上有正确的(公私)密钥对以供匹配时SSH服务端才会允许你登录,反之访问将不会被允许。 正常情况下,我们需要连上SSH的控制台输入用户名及其密码才行。如果两者全部正确,我们就可以访问,反之访问被服务端拒绝。不过相比而言还有一种比用密码更安全的登录方式,我们可以在登录SSH时通过加密密钥进行无密码登录。 如果你想启用这个安全的方式,我们只需简单的禁用密码登录并只允许加密密钥登录即可。使用这种方式时,客户端计算机上会产生一对私钥
2015-04-05
3分钟阅读时长

如何在CentOS/RHEL中安装基于Web的监控系统 linux-dash

Linux-dash是一款为Linux设计的基于web的轻量级监控面板。这个程序会实时显示各种不同的系统属性,比如CPU负载、RAM使用率、磁盘使用率、网速、网络连接、RX/TX带宽、登录用户、运行的进程等等。它不会存储长期的统计。因为它没有后端数据库。 本篇文章将会向你展示如何安装和设置Linux dash,这里所使用的web服务器是Nginx. 安装 首先我们要启用EPEL 仓库。 接下来,我们需要用下面的命令安装nginx。 sudo yum install nginx 安装 php-fpm 组件 sudo yum install git php-common php-fpm 现在我们要在nginx中配置Linux-dash。我们如下
2015-04-04
2分钟阅读时长