Archive for the ‘ Security ’ Category

Gmail 简易使用说明及安全性设定

Gmail 网页

网页登入

Gmail 的登入网址: http://gmail.com

启用 IMAP 收信

  1. 网页登入 Gmail
  2. 点选网页右上角的“齿输”->“设定”->“转寄和 POP/IMAP”
  3. 选取“启用 IMAP”->“储存”

Gmail 功能

Gmail 特性

  1. 容量 15GB (包含邮件、相片、文件...的容量)。
  2. 具备防毒、防垃圾邮件功能。
  3. 同一封邮件可以设很多个“标签”,在 Server 上不会占用多封信件的容量。但如果是下载到用户端的软件 (如 Thunderbird, Outlook),从“信件匣”的模式来处理,它在软件中是有占用多封信件的容量。
  4. 自己收不到自己寄给自己的信件 (即使是用 CC 或 BCC),这封信只会出现在“寄件备份”。如果信件中的其他收件者有回信给你,信件才会出现在“收件匣”。

进阶搜寻

补充: 运算子“OR”表示“或者”,必须大写,也可以用“|”取代。“空格”表示“并且”。

安全性设定

变更密码

如要完整变更密码,除了要将 Google 帐户的密码重设之外,还要去撤销/新增应用程式密码:

  1. Google 密码重设
  2. 应用程式专用密码

两步骤验证

为了加强 Google 帐号的安全性,避免被盗用,启用“两步骤验证”可以将你的 Google 帐号绑定你的手机号码。当你从不同的电脑或不同的地点登入 Gmail,你必须输入 Google 以短信传到你手机的验证码。

启用两步骤验证之后,不支援两步骤验证的应用程式必须设定专用的密码 (Ex: 电脑邮件软件),相关网址:

  1. 两步骤验证
  2. 应用程式专用密码

注意事项: 启用“两步骤验证”之后,如果你要换电脑或从其他国家登入 Gmail,要先确保你的手机收得到短信。

低安全性应用程式

新注册的 Gmail 默认会限制一些“低安全性应用程式”的程式登入 Google 或 Gmail 帐号,包含一些客户端的邮件软件,如果你要让软件可以正常存取,必须到这里取消 Google 的限制:

注意事项: 已启用“两步骤验证”的帐户无法使用这项设定,这类帐户必须使用“应用程式专用密码”。

相关网页

  1. 登入与安全性
  2. Gmail 封锁的档案类型
  3. Google 云端硬盘储存空间及加购容量
  4. 谈电脑防毒、网络安全与帐户安全

使用 .htaccess 简单防护 WordPress 的管理程式

本站曾用过 Limit Login Attempts 这个 WordPress 的外挂程式,用以防止被暴力破解登入密码。当有人一直以错误的密码进行登入时,就会对其 IP 进行几个小时的封锁,然后 mail 通知你又有什么 IP 被封锁了,效果其实也还不错。

不过其实只要用“.htaccess 的权限认证方式”,就可以针对 wordpress 的 wp-login.php 这个单一档案做防护,也可以达到很好的效果。

.htaccess 认证

首先找一个安全的地方放置 .htusers 这个档案。所谓的“安全”,是指至少不要在网页可以被下载到的路径.htusers 的设定方式请参考本站另一篇文章:

密码请不要用跟 WordPress 原本的登入密码一样。

编辑 wordpress 目录下的 .htaccess,在档案最后如入:

AuthType Basic
AuthName "Restricted Area"
AuthUserFile "/path/to/.htusers"
<Files wp-login.php>
require valid-user
</Files>

如果你想进一步针对整个 wp-admin 目录做防护,则进到 wordpress 下的 wp-admin 目录,新增或编辑 .htaccess,一样在档案最后如入:

AuthType Basic
AuthName "Restricted Area"
AuthUserFile "/path/to/.htusers"
require valid-user

参考网页

iptables 封锁的指令与简单的封锁程式

安装了一台新的 Linux Server,有个来自中国的 IP“218.25.253.100”连续好几天一直在尝试以 ssh 登入我的 Server,虽然我也装了 fail2ban,不过只设三个小时的封锁时间,所以每天会看到 fail2ban 告诉我这个 IP 被封锁了 n 次!!看了很烦,所以直接用 iptables 把它给封锁了。
Read more

用 Fail2Ban 防范暴力破解 (SSH、vsftp、dovecot、sendmail)

Fail2Ban 可以用来防护 Linux Server 上的 SSH、vsftp、dovecot...等服务免于遭骇客使用暴力密码入侵。我以前曾写过即时封锁想要入侵 SSH 的程式,不过 Fail2Ban 厉害多了,也完全可以取代我写的程式。

安装 Fail2Ban

安装前可以先用下列指令来查看可安装的版本:

yum info fail2ban

像我的系统 (CentOS 5.x) 查出来有两个版本: 0.8.14 与 0.6.0,来自不同的套件库,但默认却安装 0.6.0,所以我必须要指定安装的版本为 0.8.14,以下的说明也是针对 0.8.*

安装 Fail2Ban:

yum install fail2ban

yum install fail2ban-版本

启动 Fail2Ban:

service fail2ban start
chkconfig fail2ban on

Read more

增加 ssh 的安全性设定

编辑 /etc/ssh/sshd_config,加入或修改下列参数:

#禁止 root 以 SSH 登入
PermitRootLogin no

#仅允许特定群组登入
AllowGroups group1 group2

#仅允许特定帐号登入
#(注意,AllowUsers 会覆写 AllowGroups,若你有群组登入的需求,就不能设 AllowUsers)
AllowUsers user1 user2

#禁止使用空白密码登入
PermitEmptyPasswords no

#限定只能使用 SSH2 协定
Protocol 2

#限定最多可以同时连线的数目
MaxStartups 5

免费的 Windows 防火墙软件

免费的 Windows 防火墙软件,有需要时,可以拿来试用看看:

  1. COMODO Personal Firewall (占内存约 23MB, 教学1, 教学2)
    本产品有繁体中文版,安装好 CFP 之后,先到“安全性”->“任务”->“定义一个新的可信任网络区域”,新增好之后,就可以启用“网络上的芳邻”了,此个人防火墙的评价也不错,又是终身免费,推荐大家使用。
  2. Online Armor Free Edition (教学)
  3. ZoneAlarm (版本比较)
    在安装好 ZoneAlarm 之后,只要到“Firewall”里的“Zones”将相关网卡设为“Trusted”之后,就能让别人从“网络上的芳邻”存取这一台电脑所分享的资源。ZoneAlarm 本身俱有一些简单的防毒能力,不过,我们通常都会把它关掉。(5.5.094 版下载 & 中文化)
  4. Kerio Personal Firewall (占内存约 15MB, 版本比较)
    安装好 Kerio Personal Firewall 之后,必须先到“Network Security”里的“Trusted area”将相关网卡设为“Trusted”,然后回到“Applications”,将“Microsoft File and Printer Sharing”里“Trusted”区域的权限全部设为“permit”之后,才能让别人从“网络上的芳邻”存取到这一台电脑所分享的资源。
  5. Sygate Personal Firewall
    Sygate Personal Firewall 是一套评价很高的防火墙软件,不过,我在它的“网络上的芳邻”相关设定上试了半天,必须经过一些“奇怪”的步骤,才能让别人在“网络上的芳邻”存取到这一台电脑所分享的资源,所以我就不推荐了。
  6. Outpost Free
    Outpost 也是一套评价很高的防火墙软件,不过它的免费版本似乎比较旧了,所以我就没有多做测试了。
  7. 费尔个人防火墙 中文版
  8. PC Tools Firewall Plus 免费版本

以上免费的防火墙,我比较推荐 COMODO Personal Firewall,另外,ZoneAlarm也不错啦。

参考网页

[转载]利用 google 半秒破 500 网

转载自: 黑客基地


其实 google 搜寻器变了骇客工具也不是新闻,老手早亦用到,新手的也可来试试。

只要将以下字串作搜寻的话,你都得到很多密码,当然若要得心应手便需要更多研究及借助其他软件,但初步先懂得去找。

inurl

“inurl”是骇客重要的搜寻方法,可搜到网址包括的关键字,例如输入“allinurl:login password”作搜寻,便会很易找到有 login 和 password 的网页。

filetype

“filetype”是骇客专用语法,例如想找 mdb 的数据库档案,可用“password filetype:mdb”作搜寻,便会找到密码文件,进阶用法可配合 inurl: 使用,例如 girl filetype:jpg site:com 便可搜到所有 .com 网站,而档案为 girl.jpg 或网页内容有 girl 字串的网页。

Index of /admin

Index of /admin”搜到的结果大多数是容许使用 index browsing 的网站,随便按下一个连结便看到网站的资料夹和档案分布。

Read more

如何即时封锁想要用“暴力密码”破解 SSH 的入侵者

本程式无法处理 IPv6 的问题,请改用功能更强大、更完整的 Fail2Ban,请参考本站文章:


粉久之前写了一支 Log 分析的程式,可以统计、分析前一天系统的 Log,在这一份报表里面,总是会看到有一些人使用“暴力法”,尝试以各种帐号、密码,借由 SSH 或 FTP 入侵服务器! 而我只能看着“前一天”的报表,分析他们用过哪些帐号、统计他们尝试了几次…实在有点不是滋味
Read more

ShareWatch - 电脑共享资料夹的监控程式

档案下载

如果您的电脑有透过内部网络分享资源,但一般我们不会知道有谁正透过网络芳邻来连线到您的电脑、存取共享的资料夹及档案。

“ShareWatch”是一套共享资料夹的检测工具,可以查看自己分享了那些资料夹,同时具有中止资料夹共享及中断用户连线的功能。

Read more

iptables 防火墙的一些基本用法

  • 列出目前的规则
  • iptables -L -n
  • 删除 “INPUT” 的第 1 条规则
  • iptables -D INPUT 1
  • 丢弃来自 192.168.1.203 的封包
  • iptables -A INPUT -p all -s 192.168.1.203 -j DROP
  • 禁止 192.168.1.203 的用户以 SSH 登入(Port:22)
  • iptables -A INPUT -p tcp -s 192.168.1.203 --dport 22 -j DROP
  • 储存防火墙的设定到 filename
  • iptables-save > filename
  • 从 filename 读取防火墙的设定
  • iptables-restore < filename

    return top