Archive for the ‘ Security ’ Category

Gmail 簡易使用說明及安全性設定

Gmail 網頁

網頁登入

Gmail 的登入網址: http://gmail.com

啟用 IMAP 收信

  1. 網頁登入 Gmail
  2. 點選網頁右上角的「齒輸」->「設定」->「轉寄和 POP/IMAP」
  3. 選取「啟用 IMAP」->「儲存」

Gmail 功能

Gmail 特性

  1. 容量 15GB (包含郵件、相片、文件...的容量)。
  2. 具備防毒、防垃圾郵件功能。
  3. 同一封郵件可以設很多個「標籤」,在 Server 上不會佔用多封信件的容量。但如果是下載到用戶端的軟體 (如 Thunderbird, Outlook),從「信件匣」的模式來處理,它在軟體中是有佔用多封信件的容量。
  4. 自己收不到自己寄給自己的信件 (即使是用 CC 或 BCC),這封信只會出現在「寄件備份」。如果信件中的其他收件者有回信給你,信件才會出現在「收件匣」。

進階搜尋

補充: 運運算元「OR」表示「或者」,必須大寫,也可以用「|」取代。「空格」表示「並且」。

安全性設定

變更密碼

如要完整變更密碼,除了要將 Google 帳戶的密碼重設之外,還要去撤銷/新增應用程式密碼:

  1. Google 密碼重設
  2. 應用程式專用密碼

兩步驟驗證

為了加強 Google 帳號的安全性,避免被盜用,啟用「兩步驟驗證」可以將你的 Google 帳號綁定你的手機號碼。當你從不同的電腦或不同的地點登入 Gmail,你必須輸入 Google 以簡訊傳到你手機的驗證碼。

啟用兩步驟驗證之後,不支援兩步驟驗證的應用程式必須設定專用的密碼 (Ex: 電腦郵件軟體),相關網址:

  1. 兩步驟驗證
  2. 應用程式專用密碼

注意事項: 啟用「兩步驟驗證」之後,如果你要換電腦或從其他國家登入 Gmail,要先確保你的手機收得到簡訊。

低安全性應用程式

新註冊的 Gmail 預設會限制一些「低安全性應用程式」的程式登入 Google 或 Gmail 帳號,包含一些客戶端的郵件軟體,如果你要讓軟體可以正常存取,必須到這裡取消 Google 的限制:

注意事項: 已啟用「兩步驟驗證」的帳戶無法使用這項設定,這類帳戶必須使用「應用程式專用密碼」。

相關網頁

  1. 登入與安全性
  2. Gmail 封鎖的檔案類型
  3. Google 雲端硬碟儲存空間及加購容量
  4. 談電腦防毒、網路安全與帳戶安全

使用 .htaccess 簡單防護 WordPress 的管理程式

本站曾用過 Limit Login Attempts 這個 WordPress 的外掛程式,用以防止被暴力破解登入密碼。當有人一直以錯誤的密碼進行登入時,就會對其 IP 進行幾個小時的封鎖,然後 mail 通知你又有什麼 IP 被封鎖了,效果其實也還不錯。

不過其實只要用「.htaccess 的權限認證方式」,就可以針對 wordpress 的 wp-login.php 這個單一檔案做防護,也可以達到很好的效果。

.htaccess 認證

首先找一個安全的地方放置 .htusers 這個檔案。所謂的「安全」,是指至少不要在網頁可以被下載到的路徑.htusers 的設定方式請參考本站另一篇文章:

密碼請不要用跟 WordPress 原本的登入密碼一樣。

編輯 wordpress 目錄下的 .htaccess,在檔案最後如入:

AuthType Basic
AuthName "Restricted Area"
AuthUserFile "/path/to/.htusers"
<Files wp-login.php>
require valid-user
</Files>

如果你想進一步針對整個 wp-admin 目錄做防護,則進到 wordpress 下的 wp-admin 目錄,新增或編輯 .htaccess,一樣在檔案最後如入:

AuthType Basic
AuthName "Restricted Area"
AuthUserFile "/path/to/.htusers"
require valid-user

參考網頁

iptables 封鎖的指令與簡單的封鎖程式

安裝了一台新的 Linux Server,有個來自中國的 IP「218.25.253.100」連續好幾天一直在嘗試以 ssh 登入我的 Server,雖然我也裝了 fail2ban,不過只設三個小時的封鎖時間,所以每天會看到 fail2ban 告訴我這個 IP 被封鎖了 n 次!!看了很煩,所以直接用 iptables 把它給封鎖了。
Read more

用 Fail2Ban 防範暴力破解 (SSH、vsftp、dovecot、sendmail)

Fail2Ban 可以用來防護 Linux Server 上的 SSH、vsftp、dovecot...等服務免於遭駭客使用暴力密碼入侵。我以前曾寫過即時封鎖想要入侵 SSH 的程式,不過 Fail2Ban 厲害多了,也完全可以取代我寫的程式。

安裝 Fail2Ban

安裝前可以先用下列指令來查看可安裝的版本:

yum info fail2ban

像我的系統 (CentOS 5.x) 查出來有兩個版本: 0.8.14 與 0.6.0,來自不同的套件庫,但預設卻安裝 0.6.0,所以我必須要指定安裝的版本為 0.8.14,以下的說明也是針對 0.8.*

安裝 Fail2Ban:

yum install fail2ban

yum install fail2ban-版本

啟動 Fail2Ban:

service fail2ban start
chkconfig fail2ban on

Read more

增加 ssh 的安全性設定

編輯 /etc/ssh/sshd_config,加入或修改下列參數:

#禁止 root 以 SSH 登入
PermitRootLogin no

#僅允許特定群組登入
AllowGroups group1 group2

#僅允許特定帳號登入
#(注意,AllowUsers 會覆寫 AllowGroups,若你有群組登入的需求,就不能設 AllowUsers)
AllowUsers user1 user2

#禁止使用空白密碼登入
PermitEmptyPasswords no

#限定只能使用 SSH2 協定
Protocol 2

#限定最多可以同時連線的數目
MaxStartups 5

免費的 Windows 防火牆軟體

免費的 Windows 防火牆軟體,有需要時,可以拿來試用看看:

  1. COMODO Personal Firewall (佔記憶體約 23MB, 教學1, 教學2)
    本產品有繁體中文版,安裝好 CFP 之後,先到「安全性」->「任務」->「定義一個新的可信任網路區域」,新增好之後,就可以啟用「網路上的芳鄰」了,此個人防火牆的評價也不錯,又是終身免費,推薦大家使用。
  2. Online Armor Free Edition (教學)
  3. ZoneAlarm (版本比較)
    在安裝好 ZoneAlarm 之後,只要到「Firewall」裡的「Zones」將相關網卡設為「Trusted」之後,就能讓別人從「網路上的芳鄰」存取這一台電腦所分享的資源。ZoneAlarm 本身俱有一些簡單的防毒能力,不過,我們通常都會把它關掉。(5.5.094 版下載 & 中文化)
  4. Kerio Personal Firewall (佔記憶體約 15MB, 版本比較)
    安裝好 Kerio Personal Firewall 之後,必須先到「Network Security」裡的「Trusted area」將相關網卡設為「Trusted」,然後回到「Applications」,將「Microsoft File and Printer Sharing」裡「Trusted」區域的權限全部設為「permit」之後,才能讓別人從「網路上的芳鄰」存取到這一台電腦所分享的資源。
  5. Sygate Personal Firewall
    Sygate Personal Firewall 是一套評價很高的防火牆軟體,不過,我在它的「網路上的芳鄰」相關設定上試了半天,必須經過一些「奇怪」的步驟,才能讓別人在「網路上的芳鄰」存取到這一台電腦所分享的資源,所以我就不推薦了。
  6. Outpost Free
    Outpost 也是一套評價很高的防火牆軟體,不過它的免費版本似乎比較舊了,所以我就沒有多做測試了。
  7. 費爾個人防火牆 中文版
  8. PC Tools Firewall Plus 免費版本

以上免費的防火牆,我比較推薦 COMODO Personal Firewall,另外,ZoneAlarm也不錯啦。

參考網頁

[轉載]利用 google 半秒破 500 網

轉載自: 黑客基地


其實 google 搜尋器變了駭客工具也不是新聞,老手早亦用到,新手的也可來試試。

只要將以下字串作搜尋的話,你都得到很多密碼,當然若要得心應手便需要更多研究及藉助其他軟體,但初步先懂得去找。

inurl

「inurl」是駭客重要的搜尋方法,可搜到網址包括的關鍵字,例如輸入「allinurl:login password」作搜尋,便會很易找到有 login 和 password 的網頁。

filetype

「filetype」是駭客專用語法,例如想找 mdb 的資料庫檔案,可用「password filetype:mdb」作搜尋,便會找到密碼文件,進階用法可配合 inurl: 使用,例如 girl filetype:jpg site:com 便可搜到所有 .com 網站,而檔案為 girl.jpg 或網頁內容有 girl 字串的網頁。

Index of /admin

Index of /admin」搜到的結果大多數是容許使用 index browsing 的網站,隨便按下一個連結便看到網站的資料夾和檔案分佈。

Read more

如何即時封鎖想要用「暴力密碼」破解 SSH 的入侵者

本程式無法處理 IPv6 的問題,請改用功能更強大、更完整的 Fail2Ban,請參考本站文章:


粉久之前寫了一支 Log 分析的程式,可以統計、分析前一天系統的 Log,在這一份報表裡面,總是會看到有一些人使用「暴力法」,嘗試以各種帳號、密碼,藉由 SSH 或 FTP 入侵伺服器! 而我只能看著「前一天」的報表,分析他們用過哪些帳號、統計他們嘗試了幾次…實在有點不是滋味
Read more

ShareWatch - 電腦共享資料夾的監控程式

檔案下載

如果您的電腦有透過內部網路分享資源,但一般我們不會知道有誰正透過網路芳鄰來連線到您的電腦、存取共享的資料夾及檔案。

「ShareWatch」是一套共享資料夾的檢測工具,可以查看自己分享了那些資料夾,同時具有中止資料夾共享及中斷用戶連線的功能。

Read more

iptables 防火牆的一些基本用法

  • 列出目前的規則
  • iptables -L -n
  • 刪除 「INPUT」 的第 1 條規則
  • iptables -D INPUT 1
  • 丟棄來自 192.168.1.203 的封包
  • iptables -A INPUT -p all -s 192.168.1.203 -j DROP
  • 禁止 192.168.1.203 的用戶以 SSH 登入(Port:22)
  • iptables -A INPUT -p tcp -s 192.168.1.203 --dport 22 -j DROP
  • 儲存防火牆的設定到 filename
  • iptables-save > filename
  • 從 filename 讀取防火牆的設定
  • iptables-restore < filename

    return top