Paropark的黑板报

禁止ping服务器

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

防火墙规则

-A INPUT -p tcp --dport 80 -j ACCEPT #开放80端口(Web服务)
-A INPUT -p tcp --dport 9000 -j ACCEPT #开放9000端口(FastCGI服务)
-A INPUT -p tcp -m multiport -s 192.168.56.0/24 --dports 10880,3306 -j ACCEPT #为192.168.56.*网段开放10880和3306端口(自定义的SSH端口和MySQL端口)
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j DROP #丢弃所有的ICMP包
-A INPUT -p tcp --syn -j DROP #禁用所有其他端口

用户账户
编辑配置文件/etc/login.defs，根据需要设置以下属性：

PASS_MAX_DAYS 30 #密码存活最长天数，大于该天数会要求重置密码
PASS_MIN_DAYS 0 #密码存活最小天数，小于该天数不允许修改密码
PASS_MIN_LEN 8 #最短密码长度
PASS_WARN_AGE 7 #提前几天给出密码修改警告

Linux提供了很多默认账户，而账户越多，越容易受到攻击，所以需要删除不需要的用户和用户组：

userdel adm
userdel lp
userdel sync
userdel shutdown
userdel halt
userdel news
userdel uucp
userdel operator
userdel games
userdel gopher
userdel ftp

groupdel adm
groupdel lp
groupdel news
groupdel uucp
groupdel dip

给下面的文件加上不可更改属性，从而防止非授权用户获得权限：

chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow

其他安全配置
禁止使用Ctrl+Alt+Del快捷键重启服务器，编辑/etc/inittab文件，注释以下命令，使其不生效：

# ca::ctrlaltdel:/sbin/shutdown -t3 -r now

禁止非root用户执行/etc/rc.d/init.d/下的系统命令：

chmod -R 700 /etc/rc.d/init.d/*

方法一：使用OpenSSL的随机密码生成

openssl rand 128 -base64

方法二：使用mkpasswd组件
mkpasswd很强大，不过默认系统并没有自带，需要安装expect包。

yum install expect
mkpasswd -l 128

我是比较推荐用该方式生成的随机字符串的，关于mkpasswd的语法，网上有很多介绍，不再熬述。

Nginx安装后默认只能使用一个站点，如果要让Nginx支持多站点，则需要修改配置文件，没接触之前，觉得蛮麻烦的。经过学习文档，其实也没什么难的，以下为我的Nginx配置文件样例，其中site1的配置里还包含了CodeIgniter的相关配置：
(more…)

CentOS最近终于更新到5.5了，很早就听说CentOS了，无论口碑还是品质都是一个很不错的发行版，面对这样的产品难免有些心痒痒，这不，热情一来，就学习上了……
(more…)

在Dreamweaver的系统首选参数对话框(快捷键Ctrl+U)中选择“字体”选项，会发现各种语言下的字体选择其实是有限的，偏偏我喜欢的编程字体没有显示在里面，那么可以这样做：
(more…)

之前较长时间的暂停更新实在是对不起大家，其间发生的事情实在太多了，机房被和谐、网速不理想、工作繁忙等等，总会是我不断解释的借口，哈哈，其实还是自己太懒了。最近也想着做点什么事情，国内的网络环境实在是让我失望，所以就一鼓作气的重新打理了paropark.com，这次选择了德克萨斯的机房，打算好好把这个站再次维护起来。不过教育网的同学还是先掌握了使用代理的技术再访问这里吧。

至于之前的数据我决定不打算恢复了。因为博客的方向会发生改变，以后这里较多的文章会属于专业性质比较强的一类，相对以前家庭妇男般的抱怨，以后这里会显得平静很多。

So，不管怎样，新的开始，新的回归。 (more…)