科大男生宣言

不知还有没有人记得我原来发在blog上面的《科大男生宣言》,当时是从“我来我网”转过来的,觉得不错;近日导生(黄李昌)发来《黄李昌选集第一卷》,骤然发现《科大男生宣言》屹然其中,令我瞠目结舌!不仅如此,而且原来那篇还不是完全版,现将完全版转贴如下:

电子科大男生的宣言

引子:
一个幽灵,一个寻觅女朋友的幽灵,在成都各大高校上空徘徊…

———酱缸篇———

为什么我们要走出电子科大

小时候,爸爸就教育我说:“中国的的男女比例是107:101,如果不好好读书,你就是那个‘6’!” 于是我努力学习,长大了,我从乐山一中考进了电子科大电子科大,发现电子科大的男女比例是7:1,我还是那个“6”!!

一入电子科大深似海,
世界极小极小,电子科大极大极大。
女生极少极少, 男生极好极好。
此地“和尚拈花望月,恐龙坐地成仙。”
毫不夸张地说,在电子科大,
至少能够找到5位女生胡子比我长,
至少能够找到50个女生胸围比我小,
至少能够找到500个女生…
我就暂时不说了,因为我还不确定电子科大有没有500个女生。

来到这里,我就后悔没有早恋…但是现在已经晚了,每次见到比我小的那些莘莘学子们在十年的寒窗里面苦读,我就想告诉他们,用发自肺腑惊天地泣鬼神的声音:“千万不要考电子科大,就算要考也要先早恋~”

每次回到乐山一中或者实验中学,看到满山遍野的美女时,我都不停地责问自己:“你丫年轻的时候在干啥?”

如果你爱她,送她去电子科大,因为那里是女生的天堂;如果你恨他,送他去电子科大,因为那里是男生的地狱…

每个电子科大女生都曾是无泪的天使,当遇到自己喜欢的男孩时,便会流泪——于是变为凡人。所以电子科大男生一定不敢辜负电子科大女生,因为女生为他放弃了整个天堂!

每个电子科大男生都曾是地狱的恶魔,当遇到自己喜欢的女孩时,便会动心——于是变为凡人。但是绝大多数女生一定会辜负那男生,于是电子科大男生又要回到那可怕的地狱!

用市场经济学的角度思考–供求关系导致价格变化.
因为女生资源的短缺造成了女生的卖方市场,
价格局高不下,一路牛市,不见熊市,
而很多客观因素所导致的“女生地方保护主义”严重阻碍了市场的自动调节功能,
长此以往,恶性循环。
这对于货真价实的电子科大男生来说是非常不公平的,
我们要打破帝国主义的“剪刀差”,
我们要消灭爱情剥削,
我们要夺回剩余感情,
寻找平等的快乐,
实现共同幸福!

很多很多实例(帅哥配恐龙)成为了习惯,
很多很多习惯(重女轻男)成了文化,
很多很多文化(女尊男悲)成了酱缸,
很多很多酱缸使更多更多的电子科大男生一步一步深陷其中,
越是挣扎得厉害溺死得越快。
最后在整个大学四年,就算是吃的比猪少,干的比牛多;睡的比狗晚,起的比鸡早也还不一定能够找到女朋友。
电子科大于是就成为了一潭死水,
—由男生们那些可怜的青春酿成的死水。

在这个酱缸里面

玉面小飞龙面类杀手蹭翻一加一笑傲大盘鸡自助王中王牛大胃龌龊牛,
只能:在游戏中寻找人生的乐趣,在传奇中将青春虚度,换来得只是一个传奇网络虚幻的“老婆”。

还有当年乐山一中四大才子之首的风清云影霜飞晚打遍天下求一败笑傲此生称独尊的,
也只能: 海誓山盟终难圆,塞外牛羊空许愿。

才子排行榜第二的计算机学院的学院之星堂堂校学生会的部长,
至今也是孤苦伶仃茕茕孑立形影相吊一天到晚在“疯狂自习”中麻痹自己。

屈居第三的星河斗转不但长相酷似古天乐而且会小号手风琴吉他等数们乐器,
玉树临风赛潘安才华横溢胜子建居然也还是单身。

丝竹逍遥(作者我)—联系QQ:364849759(只加女生)

只能:
博雅觅伊未逢伊,
临风唏嘘叹孤凄。
丝竹把玩逍遥意,
不愿放纵愿有羁。

还有正在读这篇文章的你…

我们要跳出酱缸

我们要打破美女的学校保护主义,
我们要追求爱情的自由和平等,
我们不要用血泪来酝酿那苦苦的死水,
我们要把春波荡漾出去把春意从围墙之外迎进来 。

也许你说七个男生中还有那么一个幸运儿啊,
可是事实是如此的无情,
有时候不是庐山真面目只缘没有进入“电子科大女生的男朋友”这样一座围城,
里面的人痛苦地并不比外面的人少,
为那些不可爱的女生端茶送水铺床叠被前仆后继夜以继日披星戴月奋不顾身以不变应万变不离其宗一泻千里共婵娟全心全意为女朋友服务,
还要花很多心思构建TMD预防系统防止那剩下的六个男生甚至是六十个对她痴心不死欲罢不能垂涎欲滴癞蛤蟆想吃恐龙肉,
更加担心女朋友变心,担心女朋友花心,担心女朋友分心,担心女朋友…

何不放弃这些食之无味的鸡肋呢?
放弃她们并不可惜啊。

放弃了一颗吸血的魔树,
我们得到的是一片油绿的森林。

天涯何处无芳草,
百步之类必有芳草。

好马不吃回头草,
兔子不吃窝边草,
我们要当野草。

让失恋的烈火烧掉我们的叶子吧,
泥土之的根茎将会在下一个春天,
发出更多的叶子。

有个浪漫的传说:
每个人都是单翼的天使,
唯有彼此拥抱才能展翅飞翔。
据说我们来到这个世上就是为了寻找另一半的,
我千辛万苦在电子科大寻觅着…可是,faint!
我们的翅膀居然都是一顺边的!
尽有的那几个顺另外一边的女生,
都被高年级的其他学校的她高中的她以前认识的…
给抱着远走高飞了,飞了…
也许在茫茫的人海中偶尔也有翅膀长另外一边的幸存者,
可是就算你们相抱了,
你们也飞不起来—你抱不动她!

但是生活必须继续下去,
于是我们就开始嘻笑怒骂,
对我们的可悲进行调侃:

昔日的爱情,已被格式化;
现在的爱情,该页无法显示或暂时不可用;
将来的爱情,内存严重不足,请关闭部分程序后重试…

我爱的人明花有主,爱我的惨不忍睹;
不在寂寞中恋爱,就在寂寞中变态!

两女ab—a:听说你男朋友是电子科大的?b:唉,我哪有这么好的福气…
两男cd—c:听说你女朋友是电子科大的?d:放屁!你女朋友才是电子科大的呢!

上课时听见:
后排两个男生:
A:“我诅咒你以后的女朋友是咱电子科大的!”
B:“我诅咒你以后的女朋友是咱们班的!!!”

曹操:快快打探,我方还剩多少人马?
蒋干:只剩电子科大学生那么多了!
曹操:哈哈,天无绝人之路啊,我们尚可一战,再去打探!
蒋干:哎呀主公不好,我方人马只剩电子科大女生那么多了!
曹操(跌坐):天亡我也,看来只能速速北归了,快快再去打探!
蒋干(一会,干回来伏曹身上痛哭):555…
曹操:如何?
蒋干(哽咽):主公,我方兵马只剩电子科大美女那么多了!
曹操(仰天长叹,痛不欲生):嗨,这样说来,我方已全军覆没了…

渐渐地我们:
读书:一个头两个大熬三更背四书五颜六色七荤八素九成不懂十分郁闷!
只好:找点十间喝九泡八七茶六鸟五湖四海神游解闷三天两头奢侈一顿!
人哪:一辈子两意三心四体不勤五谷不分六艺不精苦苦七待那八九十分!
可笑:这十方九洲八荒七荻六合五行四野三光两界中你我渺渺一点痴心!

开始我只是喜欢上电子科大这个尤物,后来我就爱上了考研这门艺术;
开始我只是喜欢上学习这个尤物,后来我就爱上了考试这门艺术;
开始我只是喜欢上 QQ 这个尤物,后来我就爱上了聊天这门艺术;
开始我只是喜欢上 MM 这个尤物,后来我就爱上了失恋这门艺术.

我们的口号是:
只抢电子科大的馒头,不碰电子科大的女生!

而那些馒头又是好东西吗?
电子科大食堂的两道名菜让人望而却嘴:
青椒炒油条(还是早上剩下的),
红油馒头炒饭,
还有屡见不鲜的苍蝇。
当防火防盗防后勤成为口号,
当银杏的事物被雪亮眼睛的润新兄弟们定义为“猪食”,
当我们争取周末应有的电却付出了几个同学的个人利益最后还将继续忍受下去的时候,
我们是多么需要一个女生在我们身边。

要不然这样的大学将是
无聊的!
遗憾的!
可悲的!
可怜的!

我不禁仰天长啸:
难道我就这样过我的大学四年?
—天亮啦,早读啦,读完了,上课啦,下课啦,放学啦,熄灯啦,失眠啦,天又亮了,无聊啦,遇见啦,爱上啦,追求啦,失败啦,再爱上,再追求啦,失恋啦, 堕落啦,游戏啦,CS啦,上网啦,考试啦,复习啦,通宵啦,放假啦,开学啦,毕业啦,混够啦,老啦,后悔啦…

我不愿意这样,
也不能这样,
我要跳出这个怪圈,
我要飞出这个酱缸,
哪怕只有一只翅膀,
我要去别的地方寻找我的另外一半~

那就是—川师,川大,财大,信院,民院,甚至是烹调专科学校,礼仪职高…
只有走出去才是我们的希望,
我们的上帝耶稣,
我们的真主阿拉,
我们的佛主如来,
我们的毛主席,
我们的大救星!

———涅磐篇———

怎样走出电子科大去寻觅自己的另一半

坚信电子科大男生是可爱的一群人,是一群值得成都各大高校美女爱的男生,成为我们女朋友之后他们一定会很快乐很幸福。

我们要高举“普遍撒网,重点培养”思想,
贯彻“一个中心,两个基本点”:
以寻找到女朋友为中心,基本选择美女,基本适合条件。
还要认真学习三个代表思想:
代表最先进的寻找女朋友的方法,
代表最合适的选择要求,
代表最广大的女朋友入选范围,
与时俱进。
要走群众路线,团结一切可以团结的力量建立一个最广大的统一战线!
还要虚心听取同学们的意见,走美女与恐龙相结合的道路。
认真执行立志寻觅女朋友时的“十三个不要”:
1-恐龙的不要;
2-有男朋友的不要;
3-行为过于开放的不要;
4-低于1.55cm的不要;
5-不是学生的不要;
6-是电子科大的不要;
7-读了研的不要;
8-1985年以后的不要;
9-1981年以前的不要;
10-有残疾的不要;
11-酷爱打扮花钱夸张的不要;
12-不温柔的不要;
13-男人的不要!

对单身妹妹,要始终争取;对有夫之妇,从未放弃;
对十八岁以上女孩,注意发掘;对小于十八的,要有战略性眼光。

我们喜欢的女孩最好像黛玉一样有才气,像宝钗一样懂事,像可卿一样漂亮,像湘云一样豪爽,像李纨一样忠贞,像探春一样能干,像凤姐一样精明,还要像元春一样有福气。
但是千千万万不要像黛玉一样弱不禁风,宝钗一样自私,可卿一样风流薄命,湘云一样不通世务,迎春一样呆头呆脑,惜春一样心灰意冷,妙玉一样矫柔造作,贾母一样老。

勿以不够漂亮而不联系,勿以过于漂亮而又放弃。

一旦发现合适的美女就去“追”她,
就以迅雷不及掩耳盗铃之势,象狂奔的蜗牛…

无耻是我们的作风,卑鄙是我们的手段,真爱是我们的口头禅,不谙世事的小MM是我的盘中餐,切记“我们是害虫,我们是害虫…”

要有“花”堪折直须折,莫待无“花”空折枝。
有觅则觅,有美女要觅,没有条美女创造美女也要觅,
有觅不觅非君子。

我们要学“道家”:自然,一切随缘,接受那些不能够改变的,努力改变那些能够改变的。
我们要学儒家:夫子,温良恭俭让。
我们要学兵家:出其不意攻其不备,智信仁勇严。
我们要吸取百家之长而为寻找女朋友之所用。

胆大心细脸皮厚
横—横下一条心
衡—心态平衡
恒—持之以恒

要牢固树立能够找到这样的美女的信念,为伟大的告别单身事业奋斗终身。

终会有一天,红旗重新在克里姆林宫上空飘扬,《国际歌》在白宫响起,东京上空飘起美丽的蘑菇云,共产主义之光照耀全球,电子科大的男生们找到了他们的女朋友…为了这一天,值得我们倾其所有!

—博雅斋人涂鸦

[借过]问个事情

[问题描述]

下面是在我的本本上面截下来的NetworkAdapter的信息(此时,所有网络连接均disable,除了vmware的虚拟网卡vmnet1、vmnet8),现在的问题是想要从中选出网卡(在本例中为1、4、13、14)而排除其他,具体选择下面哪个信息或者使用其他更好的方式进行识别。

[初步设想]

下面为我倾向的字段:
SettingID:编号应该有所区别,不过不懂:(
NetConnectionStatus:从本例中似乎最为合适,不为Null的刚好就是我想选定的网卡。
PNPDeviceID:PCI的似乎就满足要求了(vmware 的就不管了,肯定要单独讨论,要不就弄乱了,呵呵),不过不知集成在主板上面的网卡此项为什么,我不知我本本的网卡是否算集成在主板上:(

但以上方式怎么看都不规范,说不定会有误识别的发生,不知正规的识别方式为什么,才能保证无误!知道的赐教哦!不胜感激!

1:
Caption:[00000001] Intel(R) PRO/100 VE Network Connection
Description:Intel(R) PRO/100 VE Network Connection
IPEnabled:False
ServiceName:E100B
SettingID:{50879C82-B876-444B-B041-FC34E733D43E}
MACAddress:
IPAddress:
AdapterType:
Availability:3
ConfigManagerErrorCode:22
ConfigManagerUserConfig:False
Manufacturer:Intel
Name:Intel(R) PRO/100 VE Network Connection
NetConnectionStatus:0
PermanentAddress:
Status:
StatusInfo:
ProductName:Intel(R) PRO/100 VE Network Connection
PNPDeviceID:PCIVEN_8086&DEV_103D&SUBSYS_05221014&REV_814&39A85202&0&40F0

2:
Caption:[00000002] 数据包计划程序微型端口
Description:数据包计划程序微型端口
IPEnabled:False
ServiceName:
SettingID:{33165690-0E0C-4A97-844F-F99948C887C2}
MACAddress:
IPAddress:
AdapterType:
Availability:3
ConfigManagerErrorCode:0
ConfigManagerUserConfig:False
Manufacturer:Microsoft
Name:数据包计划程序微型端口
NetConnectionStatus:
PermanentAddress:
Status:
StatusInfo:
ProductName:数据包计划程序微型端口
PNPDeviceID:ROOTMS_PSCHEDMP000

3:
Caption:[00000003] RAS 同步适配器
Description:RAS 同步适配器
IPEnabled:False
ServiceName:AsyncMac
SettingID:{C344A14C-B778-44CC-8D27-8D09E6F93B80}
MACAddress:20:41:53:59:4E:FF
IPAddress:
AdapterType:广域网 (WAN)
Availability:3
ConfigManagerErrorCode:0
ConfigManagerUserConfig:False
Manufacturer:Microsoft
Name:RAS 同步适配器
NetConnectionStatus:
PermanentAddress:
Status:
StatusInfo:
ProductName:RAS 同步适配器
PNPDeviceID:SW{EEAB7790-C514-11D1-B42B-00805FC1270E}ASYNCMAC

4:
Caption:[00000004] Intel(R) PRO/Wireless 2200BG Network Connection
Description:Intel(R) PRO/Wireless 2200BG Network Connection
IPEnabled:False
ServiceName:w22n51
SettingID:{325943AD-237B-43FA-BB2F-5BD3A09D79FD}
MACAddress:
IPAddress:
AdapterType:
Availability:3
Connection
ConfigManagerErrorCode:22
ConfigManagerUserConfig:False
Manufacturer:Intel(R) Corporation
Name:Intel(R) PRO/Wireless 2200BG Network Connection
NetConnectionStatus:0
PermanentAddress:
Status:
StatusInfo:
ProductName:Intel(R) PRO/Wireless 2200BG Network Connection
PNPDeviceID:PCIVEN_8086&DEV_4220&SUBSYS_27128086&REV_054&39A85202&0&10F0

5:
Caption:[00000005] WAN 微型端口 (L2TP)
Description:WAN 微型端口 (L2TP)
IPEnabled:False
ServiceName:Rasl2tp
SettingID:{1B53E803-16A3-4F0A-8A9C-5ACCA165935B}
MACAddress:
IPAddress:
AdapterType:
Availability:3
ConfigManagerErrorCode:0
ConfigManagerUserConfig:False
Manufacturer:Microsoft
Name:WAN 微型端口 (L2TP)
NetConnectionStatus:
PermanentAddress:
Status:
StatusInfo:
ProductName:WAN 微型端口 (L2TP)
PNPDeviceID:ROOTMS_L2TPMINIPORT000

6:
Caption:[00000006] WAN 微型端口 (PPTP)
Description:WAN 微型端口 (PPTP)
IPEnabled:False
ServiceName:PptpMiniport
SettingID:{29983E97-B13D-45AA-8697-2A43DAE07E23}
MACAddress:50:50:54:50:30:30
IPAddress:
AdapterType:广域网 (WAN)
Availability:3
ConfigManagerErrorCode:0
ConfigManagerUserConfig:False
Manufacturer:Microsoft
Name:WAN 微型端口 (PPTP)
NetConnectionStatus:
PermanentAddress:
Status:
StatusInfo:
ProductName:WAN 微型端口 (PPTP)
PNPDeviceID:ROOTMS_PPTPMINIPORT000

7:
Caption:[00000007] WAN 微型端口 (PPPOE)
Description:WAN 微型端口 (PPPOE)
IPEnabled:False
ServiceName:RasPppoe
SettingID:{252E9D31-529A-4994-BF9E-D9233F6DE99C}
MACAddress:33:50:6F:45:30:30
IPAddress:
AdapterType:广域网 (WAN)
Availability:3
ConfigManagerErrorCode:0
ConfigManagerUserConfig:False
Manufacturer:Microsoft
Name:WAN 微型端口 (PPPOE)
NetConnectionStatus:
PermanentAddress:
Status:
StatusInfo:
ProductName:WAN 微型端口 (PPPOE)
PNPDeviceID:ROOTMS_PPPOEMINIPORT000

8:
Caption:[00000008] 直接并行
Description:直接并行
IPEnabled:False
ServiceName:Raspti
SettingID:{0EB3A22B-A1F5-4A14-9CE1-6D9E4F513AEB}
MACAddress:
IPAddress:
AdapterType:
Availability:3
ConfigManagerErrorCode:0
ConfigManagerUserConfig:False
Manufacturer:Microsoft
Name:直接并行
NetConnectionStatus:
PermanentAddress:
Status:
StatusInfo:
ProductName:直接并行
PNPDeviceID:ROOTMS_PTIMINIPORT000

9:
Caption:[00000009] WAN 微型端口 (IP)
Description:WAN 微型端口 (IP)
IPEnabled:False
ServiceName:NdisWan
SettingID:{B0DC8F37-A580-42B0-BE2D-E5C53B24B044}
MACAddress:
IPAddress:
AdapterType:
Availability:3
ConfigManagerErrorCode:0
ConfigManagerUserConfig:False
Manufacturer:Microsoft
Name:WAN 微型端口 (IP)
NetConnectionStatus:
PermanentAddress:
Status:
StatusInfo:
ProductName:WAN 微型端口 (IP)
PNPDeviceID:ROOTMS_NDISWANIP000

10:
Caption:[00000010] 数据包计划程序微型端口
Description:数据包计划程序微型端口
IPEnabled:False
ServiceName:
SettingID:{F19F1965-7AB4-4874-A484-6B621C06288A}
MACAddress:3A:DD:20:52:41:53
IPAddress:
AdapterType:Ethernet 802.3
Availability:3
ConfigManagerErrorCode:0
ConfigManagerUserConfig:False
Manufacturer:Microsoft
Name:数据包计划程序微型端口
NetConnectionStatus:
PermanentAddress:
Status:
StatusInfo:
ProductName:数据包计划程序微型端口
PNPDeviceID:ROOTMS_PSCHEDMP001

11:
Caption:[00000011] 数据包计划程序微型端口
Description:数据包计划程序微型端口
IPEnabled:False
ServiceName:
SettingID:{8AD7A9BA-AF20-48B3-9C12-1532946AFE2C}
MACAddress:
IPAddress:
AdapterType:
Availability:3
ConfigManagerErrorCode:0
ConfigManagerUserConfig:False
Manufacturer:Microsoft
Name:数据包计划程序微型端口
NetConnectionStatus:
PermanentAddress:
Status:
StatusInfo:
ProductName:数据包计划程序微型端口
PNPDeviceID:ROOTMS_PSCHEDMP002

12:
Caption:[00000012] WAN 微型端口 (IPX)
Description:WAN 微型端口 (IPX)
IPEnabled:False
ServiceName:NdisWan
SettingID:{ABDDC0A9-E3A3-4169-8511-0576150CB468}
MACAddress:
IPAddress:
AdapterType:
Availability:3
ConfigManagerErrorCode:0
ConfigManagerUserConfig:False
Manufacturer:Microsoft
Name:WAN 微型端口 (IPX)
NetConnectionStatus:
PermanentAddress:
Status:
StatusInfo:
ProductName:WAN 微型端口 (IPX)
PNPDeviceID:ROOTMS_NDISWANIPX000

13:
Caption:[00000013] VMware Virtual Ethernet Adapter for VMnet1
Description:VMware Virtual Ethernet Adapter for VMnet1
IPEnabled:True
ServiceName:VMnetAdapter
SettingID:{A5064ACA-A2D7-46AF-994D-F7D6013A5403}
MACAddress:00:50:56:C0:00:01
IPAddress:System.String[]
AdapterType:Ethernet 802.3
Availability:3
ConfigManagerErrorCode:0
ConfigManagerUserConfig:False
Manufacturer:VMware, Inc.
Name:VMware Virtual Ethernet Adapter for VMnet1
NetConnectionStatus:2
PermanentAddress:
Status:
StatusInfo:
ProductName:VMware Virtual Ethernet Adapter for VMnet1
PNPDeviceID:ROOTVMWARE000

14:
Caption:[00000014] VMware Virtual Ethernet Adapter for VMnet8
Description:VMware Virtual Ethernet Adapter for VMnet8
IPEnabled:True
ServiceName:VMnetAdapter
SettingID:{34421EF5-B6F9-4007-8D20-1AAE83A742D2}
MACAddress:00:50:56:C0:00:08
IPAddress:System.String[]
AdapterType:Ethernet 802.3
Availability:3
ConfigManagerErrorCode:0
ConfigManagerUserConfig:False
Manufacturer:VMware, Inc.
Name:VMware Virtual Ethernet Adapter for VMnet8
NetConnectionStatus:2
PermanentAddress:
Status:
StatusInfo:
ProductName:VMware Virtual Ethernet Adapter for VMnet8
PNPDeviceID:ROOTVMWARE001

Linux安全清单

1.物理安全

确保每次本机登录服务器后的SignOut过程;设置BIOS密码且修改引导次序禁止从软盘启动系统;

2.使用安全密码

包括对密码长度和密码复杂度的相应要求;

3.限制不必要的用户数量

注意经常检查系统的账号,删除已经不再使用的账号,并注意检查相应账号的权限设置;

4. 口令文件

使用chattr命令给下面的文件加上不可更改属性,防止非授权用户获得权限:

# chattr +i /etc/passwd
# chattr +i /etc/shadow
# chattr +i /etc/group
# chattr +i /etc/gshadow

5. 禁止Ctrl+Alt+Delete重新启动机器命令

修改/etc/inittab文件,将”ca::ctrlaltdel:/sbin/shutdown -t3 -r now”一行注释掉,然后重新设置/etc/rc.d/init.d/目录下所有文件的许可权限:

# chmod -R 700 /etc/rc.d/init.d/*

6. 限制su命令

编辑/etc/pam.d/su文件,增加如下两行:

auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=isd

这时,仅isd组的用户可以用su作为root;

7. 删减登录信息

编辑/etc/rc.d/rc.local将输出系统信息的如下行通通注释掉:

# This will overwrite /etc/issue at every boot. So, make any changes you
# want to make to /etc/issue here or you will lose them when you reboot
# echo "" > /etc/issue
# echo "$R" >> /etc/issue
# echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue
# cp -f /etc/issue /etc/issue.net
# echo >> /etc/issue

然后,进行如下操作:

# rm -f /etc/issue
# rm -f /etc/issue.net
# touch /etc/issue
# touch /etc/issue.net

8.限制NFS访问 

应该确保你的/etc/exports具有最严格的访问权限设置,也就是意味着不要使用任何通配符、不允许root写权限并且只能安装为只读文件系统,编辑文件/etc/exports并加入如下两行。

/dir/to/export host1.mydomain.com(ro,root_squash)
/dir/to/export host2.mydomain.com(ro,root_squash)

/dir/to/export 是你想输出的目录,host.mydomain.com是登录这个目录的机器名,ro意味着mount成只读系统,root_squash禁止root写入该目录;

为了使改动生效,运行如下命令:

# /usr/sbin/exportfs –a

9.Inetd设置

首先要确认/etc/inetd.conf的所有者是root,且文件权限设置为600。设置完成后,可以使用”stat”命令进行检查;

# chmod 600 /etc/inetd.conf

然后,编辑/etc/inetd.conf禁止以下服务;

ftp telnet shell login exec talk ntalk imap pop-2 pop-3 finger auth

如果你安装了ssh/scp,也可以禁止掉Telnet/FTP;

为了使改变生效,运行如下命令:

#killall -HUP inetd

请使用TCP_WRAPPERS增强系统安全性,可以修改/etc/hosts.deny和/etc/hosts.allow来增加访问限制;

例如,将/etc/hosts.deny设为”ALL: ALL”可以默认拒绝所有访问;然后在/etc/hosts.allow文件中添加允许的访问;例如,”sshd: 192.168.1.10/255.255.255.0 gate.openarch.com”表示允许IP地址192.168.1.10和主机名gate.openarch.com允许通过SSH连接;

配置完成后,可以用tcpdchk检查:

# tcpdchk
(tcpchk是TCP_Wrapper配置检查工具,它检查你的tcp wrapper配置并报告所有发现的潜在/存在的问题);

10.登录终端设置

/etc/securetty文件指定了允许root登录的tty设备,由/bin/login程序读取,
其格式是一个被允许的名字列表,你可以编辑/etc/securetty且注释掉如下的行;

# tty1
# tty2
# tty3
# tty4
# tty5
# tty6

这时,root仅可在tty1终端登录;

11.避免显示系统和版本信息

可以如下改变/etc/inetd.conf文件:

telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h

加-h表示telnet不显示系统信息,而仅仅显示”login:”;

12.阻止ping

在/etc/rc.d/rc.local文件中增加如下一行:

echo 1 >/proc/sys/net/ipv4/
icmp_echo_ignore_all

13.防止IP欺骗

编辑host.conf文件并增加如下几行:

order bind,hosts
multi off
nospoof on

14.防止DoS攻击

对系统所有的用户设置资源限制可以防止DoS类型攻击,如最大进程数和内存使用数量等;例如,可以在/etc/security/limits.conf中添加如下几行:

* hard core 0
* hard rss 5000
* hard nproc 20

然后必须编辑/etc/pam.d/login文件检查下面一行是否存在。

session required /lib/security/pam_limits.so

上面的命令禁止调试文件,限制进程数为50并且限制内存使用为5MB。

15.安装补丁

经常访问相应系统网站和一些安全站点,下载最新的漏洞补丁;

具体网址:

REDHAT
ftp://updates.redhat.com/

DEBIAN
http://www.debian.org/security/
或者使用apt-get update/upgrade 进行相应的升级工作;

source.list如下:
deb http://security.debian.org/ slink updates
或 deb http://security.debian.org/ potato/updates main contrib non-free

在C++ Builder中利用串行通信控件编程

摘要:串口是常用的计算机与外部串行设备之间的数据传输通道,由于串行通信方便易行,所以应用广泛。本文介绍了在C++ Builder中如何利用串行通信控件进行串行通信编程。

一、引言

目前,在用计算机进行数据传输时,常用的是串行通信方式。用C++ Builder来编写串行通信程序时,可以调用Windows API函数,也可以利用VB中的MSComm控件。 利用 API函数编写实际应用程序时,往往要考虑多线程的问题,这样编出来的程序不但十分庞大,而且结构比较复杂,继承性差,维护困难。但是使用串行通信控件就相对简单一些,而且功能强大,性能安全可靠。本文就简单的介绍一下在C++ Builder中利用MSComm控件进行编程。

二、MSComm控件的常用属性和事件

MSComm 控件通过串行端口传输和接收数据,为应用程序提供串行通讯功能。具体的来说,它提供了两种处理通信问题的方法:一是事件驱动(Event-driven)方法,一是查询法。

事件驱动方式

在使用事件驱动法设计程序时,每当有新字符到达,或端口状态改变,或发生错误时,MSComm控件将解发OnComm事件,而应用程序在捕获该事件后,通过检查MSComm控件的CommEvent属性可以获知所发生的事件或错误,从而采取相应的操作。这种方法的优点是程序响应及时,可靠性高。

查询方式

查询方式实质上还是事件驱动,但在有些情况下,这种方式显得更为便捷。在程序的每个关键功能之后,可以通过检查 CommEvent 属性的值来查询事件和错误。如果应用程序较小,并且是自保持的,这种方法可能是更可取的。

1.MSComm 控件的常用属性

CommPort属性:设置或返回通讯端口号,可以设置为1到16之间的任何值,本系统采用缺省值2;
Settings属性:以字符串形式设置或返回波特率、奇偶校验、数据位和停止位,本系统采用缺省值”9600,n,8,1″;
PortOpen属性:设置或返回通讯口的状态以及打开和关闭端口,可通过把该属性设置为true或者false来打开或者关闭端口;
InBufferSize和OutBufferSize属性:分别设置接收和发送缓冲区分配的内存数量,单位为字节,缺省值分别为1024byte和512byte;
InputLen属性:确定希望从接收缓冲区移出的字符数量,当InputLen=0时,一次把接收缓冲区的字符全部移出;
Input属性:从接收缓冲区中读出数据,然后将该数据从缓冲区移走。
OutPut属性:向发送缓冲区传递待发送的数据。
InBufferCount和OutBufferCount属性:分别确定当前驻留在接收缓冲区等待被取出和发送缓冲区准备发送的字符数量,这两个属性设置为0,接收和发送缓冲区的内容将被清除;
InputMode属性:设置接收传入数据的格式,设置为0采用文本形式,设置为1采用二进制格式,本系统设置为二进制格式进行发送和接收;
SThreshold属性:保存一个产生发送OnComm事件的界限值,本系统设置该属性为0,发送数据时不产生OnComm事件;
RThreshold属性:设定当接收几个字符时触发OnComm事件,本系统设置该属性为1,每接收一个字符就产生一个OnComm事件;

2.MSComm控件的事件
MSCOMM控件只使用一个事件OnComm,用属性CommEvent的十七个值来区分不同的触发时机。主要有以下几个:

(1)CommEvent=1时:传输缓冲区中的字符个数已少于Sthreshold(可设置的属性值)个。
(2)CommEvent=2时:接收缓冲区中收到Rthreshold(可设置的属性值)个字符,利用此事件可编写接收数据的过程。
(3)CommEvent=3时:CTS线发生变化。
(4)CommEvent=4时:DSR线发生变化。
(5)CommEvent=5时:CD线发生变化。
(6)CommEvent=6时:检测到振铃信号。

另外十种情况是通信错误时产生,即错误代码。

三、程序的实现

1.注册MSComm控件

众所周知,C++Builder本身并不提供串行通讯控件MSComm,但我们却可以通过注册后直接使用它。启动C++Builder5.0后,然后选择C++Builder主菜单中的Component菜单项,单击Import Active Control命令,弹出Import Active窗口,选择Microsoft Comm Control6.0,再选择Install按钮执行安装命令,系统将自动进行编译,编译完成后即完成MSComm控件在C++Builder中的注册, 系统默认安装在控件板的Active页,接下来我们就可以像使用C++Builder本身提供的控件那样使用新注册的MSComm控件了。(前提条件是你的机子上安装了Visual Basic,或者有它的库)

2.具体实现

新建一个工程Project1,把注册好的MSComm控件加入到窗体中,然后再加入5个ComboBox用来设置串口的属性,4个Button分别用来”打开串口” “关闭串口””发送数据””保存数据” ,2个Memo控件分别用来显示接收到的数据和发送的数据。再加入一个Shape控件用来标明串口是否打开。

ComboBox1用来设置串口号,通过它的Items属性设置1,2,3,4四个列表项分别表示COM1,COM2,COM3,COM4口。 ComboBox2用来设置波特率,ComboBox3用来设置奇偶校验位,ComboBox4用来设置数据位,ComboBox5用来设置停止位。他们的缺省值分别是9600,n,8,1。

Button1用来打开串口,Button2用来关闭串口,Button3用来发送数据,Button4用来保存数据。Memo1用来显示发送的数据,Memo2显示接收的数据。Shape1的Shape属性设置为stCircle。
下面给出部分源码:

__fastcall TForm1::TForm1(TComponent* Owner)
: TForm(Owner)
{
if(MSComm1->PortOpen==true)
{
Button1->Enabled=false;
Button2->Enabled=true;
Button3->Enabled=true;
Button4->Enabled=true;
Shape1->Brush->Color=clGreen;
}
else
{
Button2->Enabled=true;
Button2->Enabled=false;
Button3->Enabled=false;
Button4->Enabled=false;
Shape1->Brush->Color=clRed;
}
}
void __fastcall TForm1::Button1Click(TObject *Sender) / /打开串口
{
if(MSComm1->PortOpen!=true)
{
MSComm1->CommPort=StrToInt(ComboBox1->Text);//选择串口号
MSComm1->Settings=
ComboBox2->Text+","+
ComboBox3->Text+","+
ComboBox4->Text+","+
ComboBox5->Text; file://设置串口的属性波特率、奇偶校验、数据位和、//停止位。
MSComm1->InputMode=0;//设置传入数据的格式,0表示文本形式
MSComm1->PortOpen=true;//打开串口
Button1->Enabled=false;
Button2->Enabled=true;
Button3->Enabled=true;
Button4->Enabled=true;
Shape1->Brush->Color=clGreen;
}
}
void __fastcall TForm1::Button2Click(TObject *Sender) / /关闭串口
{
if(MSComm1->PortOpen!=false)
{
MSComm1->PortOpen=false;
Button1->Enabled=true;
Button2->Enabled=false;
Button3->Enabled=false;
Button4->Enabled=false;
Shape1->Brush->Color=clRed;
}
else
{
Button1->Enabled=false;
Button2->Enabled=true;
Shape1->Brush->Color=clRed;
}
}

MSComm控件的Input和Output属性在Object Inspector中是看不到的,而且在C++Builder环境下这两个属性已不在是VB、VC中的原类型,而是OleVariant类型,也就是 Ole万能变量,这就需要我们在发送接收数据时要把数据转换成Ole类型。

void __fastcall TForm1::Button3Click(TObject *Sender) file://发送Memo2中的数据
{
MSComm1->Output=StringToOleStr(Memo2->Text); file://把AnsiString型转化成//Ole形式。
}

通过OnComm事件接收数据,必须把MSComm的RThreshold属性设置为大于0,只有这样在接收到字符时才会产生一个OnComm事件。

void __fastcall TForm1::MSComm1Comm(TObject *Sender)
{
AnsiString str; file://声明一个AnsiString类型的变量
OleVariant s; file://声明一个用于接收数据的OleVariant变量。
if(MSComm1->CommEvent==comEvReceive)
// 接收缓冲区中是否收到Rthreshold个字符。
{
if(MSComm1->InBufferCount)// 是否有字符驻留在接收缓冲区等待被取出
{
s=MSComm1->Input;//接收数据
str=s.AsType(varString); file://把接收到的OleVariant变量转换成AnsiString类型
Memo1->Text=Memo1->Text+str;//把接收到的数据显示在Memo1中。
}
}
}

要保存数据应该再加入一个SaveDialog模块

void __fastcall TForm1::Button4Click(TObject *Sender)
file://把Memo1中的数据保存在指定的文件中
{
AnsiString filename1;
SaveDialog1->Filter="Text files (*.txt)|*.txt|All files (*.*)|*.*";//文件类型过滤器
SaveDialog1->FilterIndex=2;
if(SaveDialog1->Execute())
{
filename1=SaveDialog1->FileName;
Memo1->Lines->SaveToFile(filename1);//把收到的数据保存在文件filename1中
}
}

四、结束语

上面给出了C++ Builder中利用MSComm控件进行串行通信编程的实现和部分源码,有了上面的参照读者可以根据实际需要编写出具有发送文件和接收文件功能的程序。

Serial Communication with Borland C++ Builder

David Poinsett
November 1999
[email protected]

Introduction…

I wish this site had been around when I was trying to figure out how to make serial communications work in Windows95. I, like many programmers, was hit with the double-whammy of having to learn Windows programming and Win95 serial comm programming at the same time. I found both tasks confusing at best. It was particularly frustrating because I had, over the years, written so much stuff (including lots of serial comm software) for the DOS environment and numerous embedded applications. Interrupt driven serial comm, DMA transfer serial comm, TSR serial comm, C, assembler, various processors…you name it, it had written it. Yet, everything I knew seemed upside-down in the message-driven-callback world of Windows.

After spending lots of money on books and seemingly endless effort, I have finally gotten enough of a handle on Win95 and serial comm programming to write something usable in this environment. Borland’s C++ Builder has done a lot to help make Win95 programming easier and, once you know the tricks, the serial communications stuff is pretty easy, too.

The purpose of this site is to spare you hardship of my early efforts and get you up and running with your Win9x/NT serial comm programming as quickly as possible. If you’re already familiar with using BCB to develop Windows programs, the example code should be plenty to get you going. You can also download the source code in BCBComm.zip. Good luck.

The Example…

In the example that follows we’re going to write a bare-bones program to do serial communication. It will consist of a Form with a Memo object (for text I/O) and a Thread object that handles incoming serial data. There are no menus or other features to distract us from focusing on the serial comm aspect of the program. Obviously, you’ll want to add these and other elements to a fully functioning program.

Fire up BCB and start a New Project. Place a Memo object on Form1. Using the Object Inspector, set Memo1 properties as follows:

Alignment = alClient
MaxLength = 0
ScrollBars = ssVertical
WantReturns = true
WantTabs = false
WordWrap = true

Next, under the File | New menu, add a Thread Object. Use TRead for the class name when asked.

You should now have two Unit files: Unit1.cpp for Form1 activity and Unit2.cpp for the thread.

Using the Object Inspector again, create event handlers for the following events. The easiest way to create events handlers is as follows:

Go to the event tab sheet in Object Inspector.
Find the event of interest.
Double-click the blank space next to the event name.
If you follow this scheme, Object Inspector will create and automatically name the event handlers to the same name used in our examples. OK, here are the objects and the events we need to handle:

Form1 OnCreate
Form1 OnClose
Memo1 OnKeyPress

The framework for Unit1.cpp is now in place. Using the following listing as a guide, fill in Unit1.cpp with the following code. Be sure to note the #includes and global variables. If the framework for event handlers is missing in your program, DO NOT put it there by typing in the framework code! Go back and figure out what you missed. BCB MUST CREATE THE FRAMEWORK FOR YOU.

The Main Form…

//---------------------------------------------------------------------------
#include <vclvcl.h>
#pragma hdrstop
#include "Unit1.h"
// YOU MUST INCLUDE THE HEADER FOR UNIT2 (THE THREAD UNIT)
#include "Unit2.h"
// GLOBAL VARIABLES
HANDLE hComm = NULL;
TRead *ReadThread;
COMMTIMEOUTS ctmoNew = {0}, ctmoOld;
//---------------------------------------------------------------------------
#pragma resource "*.dfm"
TForm1 *Form1;
//---------------------------------------------------------------------------
__fastcall TForm1::TForm1(TComponent* Owner)
: TForm(Owner)
{
}
//---------------------------------------------------------------------------
void __fastcall TForm1::FormCreate(TObject *Sender)
{
DCB dcbCommPort;
// OPEN THE COMM PORT.
// REPLACE "COM2" WITH A STRING OR "COM1", "COM3", ETC. TO OPEN
// ANOTHER PORT.
hComm = CreateFile("COM2",
GENERIC_READ | GENERIC_WRITE,
0,
0,
OPEN_EXISTING,
0,
0);
// IF THE PORT CANNOT BE OPENED, BAIL OUT.
if(hComm == INVALID_HANDLE_VALUE) Application->Terminate();
// SET THE COMM TIMEOUTS IN OUR EXAMPLE.
GetCommTimeouts(hComm,&ctmoOld);
ctmoNew.ReadTotalTimeoutConstant = 100;
ctmoNew.ReadTotalTimeoutMultiplier = 0;
ctmoNew.WriteTotalTimeoutMultiplier = 0;
ctmoNew.WriteTotalTimeoutConstant = 0;
SetCommTimeouts(hComm, &ctmoNew);
// SET BAUD RATE, PARITY, WORD SIZE, AND STOP BITS.
// THERE ARE OTHER WAYS OF DOING SETTING THESE BUT THIS IS THE EASIEST.
// IF YOU WANT TO LATER ADD CODE FOR OTHER BAUD RATES, REMEMBER
// THAT THE ARGUMENT FOR BuildCommDCB MUST BE A POINTER TO A STRING.
// ALSO NOTE THAT BuildCommDCB() DEFAULTS TO NO HANDSHAKING.
dcbCommPort.DCBlength = sizeof(DCB);
GetCommState(hComm, &dcbCommPort);
BuildCommDCB("9600,N,8,1", &dcbCommPort);
SetCommState(hComm, &dcbCommPort);
// ACTIVATE THE THREAD. THE FALSE ARGUMENT SIMPLY MEANS IT HITS THE
// GROUND RUNNING RATHER THAN SUSPENDED.
ReadThread = new TRead(false);
}
//---------------------------------------------------------------------------
void __fastcall TForm1::FormClose(TObject *Sender, TCloseAction &Action)
{
// TERMINATE THE THREAD.
ReadThread->Terminate();
// WAIT FOR THREAD TO TERMINATE,
// PURGE THE INTERNAL COMM BUFFER,
// RESTORE THE PREVIOUS TIMEOUT SETTINGS,
// AND CLOSE THE COMM PORT.
Sleep(250);
PurgeComm(hComm, PURGE_RXABORT);
SetCommTimeouts(hComm, &ctmoOld);
CloseHandle(hComm);
}
//---------------------------------------------------------------------------
void __fastcall TForm1::Memo1KeyPress(TObject *Sender, char &Key)
{
// TRANSMITS ANYTHING TYPED INTO THE MEMO AREA.
TransmitCommChar(hComm, Key);
// THIS PREVENTS TYPED TEXT FROM DISPLAYING GARBAGE ON THE SCREEN.
// IF YOU ARE CONNECTED TO A DEVICE THAT ECHOES CHARACTERS, SET
// Key = 0 WITHOUT THE OTHER STUFF.
if(Key != 13 && (Key < ' ' || Key > 'z')) Key = 0;
}
//---------------------------------------------------------------------------

Now we turn our attention to the thread code in Unit2.cpp. The framework should already be in place. Use this listing as a guide and fill in Unit2.cpp with the following code.

The Thread…

//---------------------------------------------------------------------------
#include <vclvcl.h>
#pragma hdrstop
// YOU MUST INCLUDE THE HEADER FOR UNIT1
#include "Unit1.h"
#include "Unit2.h"
extern HANDLE hComm;
char InBuff[100];
//---------------------------------------------------------------------------
// Important: Methods and properties of objects in VCL can only be
// used in a method called using Synchronize, for example:
//
// Synchronize(UpdateCaption);
//
// where UpdateCaption could look like:
//
// void __fastcall TRead::UpdateCaption()
// {
// Form1->Caption = "Updated in a thread";
// }
//---------------------------------------------------------------------------
__fastcall TRead::TRead(bool CreateSuspended)
: TThread(CreateSuspended)
{
}
//---------------------------------------------------------------------------
void __fastcall TRead::DisplayIt()
{
// NOTE THAT IN THIS EXAMPLE, THERE IS NO EFFORT TO MONITOR
// HOW MUCH TEXT HAS GONE INTO Memo1. IT CAN ONLY HOLD ABOUT 32K.
// ALSO, NOTHING IS BEING DONE ABOUT NON-PRINTABLE CHARACTERS
// OR CR-LF'S EMBEDDED IN THE STRING.
// DISPLAY THE RECEIVED TEXT.
Form1->Memo1->SetSelTextBuf(InBuff);
}
//---------------------------------------------------------------------------
void __fastcall TRead::Execute()
{
//---- Place thread code here ----
DWORD dwBytesRead;
// MAKE THE THREAD OBJECT AUTOMATICALLY DESTROYED WHEN THE THREAD
// TERMINATES.
FreeOnTerminate = true;
while(1)
{
// TRY TO READ CHARACTERS FROM THE SERIAL PORT.
// IF THERE ARE NONE, IT WILL TIME OUT AND TRY AGAIN.
// IF THERE ARE, IT WILL DISPLAY THEM.
ReadFile(hComm, InBuff, 50, &dwBytesRead, NULL);
if(dwBytesRead)
{
InBuff[dwBytesRead] = 0; // NULL TERMINATE THE STRING
Synchronize(DisplayIt);
}
}
}
//---------------------------------------------------------------------------

One last thing…

To do a synchronized call to DisplayIt() from within the thread’s Execute() function, DisplayIt() it must be declared as a __fastcall type in the header file. Here’s how to do it.

Open the header file “unit2.h” and add the DisplayIt() line as shown below:

//---------------------------------------------------------------------------
class TRead : public TThread
{
private:
protected:
void __fastcall DisplayIt(void); // ADD THIS LINE
void __fastcall Execute();
public:
__fastcall TRead(bool CreateSuspended);
};
//---------------------------------------------------------------------------

Notes…

As mentioned earlier this example focuses strictly on the core elements that make the serial communication functions work. In its present form it’s unlikely to be particularly useful or acceptable in an actual application. In other words, you need to add what’s missing. If you’ve followed along this far, that should not be too difficult. To minimize any confusion on what’s missing, I’ll highlight some of the areas that should be addressed:

There is little or no provision for error handling
The 32K display limit of the Memo object is not handled
For proper text display in Memo, ignore linefeeds and replace carriage returns with a CR-LF pair
Menus
Storing incoming serial data to disk
Sending disk contents out serial port
Handshaking
Protocol (Xmodem, Zmodem, etc.)
There are several ways to test your work. One method is to perform a loop-back test by jumping pins 2 and 3 on your computer’s RS-232 connector. With the loop-back connection anything you type into the Memo area will be echoed back.

Here are some online references that you might find useful:

Serial Communications in Win32 . This is a comprehensive reference.
www.ontrak.net . Excellent example of simple serial port access.
www.temporaldoorway.com . Good example of threaded serial program with overlapped I/O.
www.codeguru.com . Yet another example (more for VC++).
Good luck.
==============================================================================

IIS 5安全清单

IIS的安全性首先要基于Windows系统的安全性,详细部分请见相关文档。对IIS的安全控制可从以下四个方面进行:

* IP地址的域名安全限制(目录/文件安全性):视需求而定,可暂时阻止DOS;
* IIS身份验证安全限制(目录/文件安全性):
匿名访问:帐号IUSR_HOSTNAME,不过期,不能更改口令,Guest组成员;
基本身份验证:服务器上的真实用户名/密码,明文传输;
Digest身份验证:哈希散列值传输;(只使用Windows2k的域)
集成Windows验证:需要用相同用户名和密码登录;
* IIS权限
* NTFS权限

一、 为虚拟目录设置适当的 ACL

虽然一般情况下,虚拟目录的ACL取决于应用程序的需要,但一些通常的规则依然适用;

1、脚本和动态内容
可读
可执行脚本
2、静态内容
可读
3、可执行程序
可读
可执行
4、类数据库内容
可读
可写

推荐为每一种文件类型创建新的目录,在这些目录上仔细设置 ACL,并允许 ACL 继承到文件。至少建站第一步就应该在ACL中删除虚拟目录和Web页面的Everyone组。

例如,目录结构可能如下所示:
* myserverstatic (.html)
* myserverinclude (.inc)
* myserverscript (.asp)
* myserverexecutable (.dll)
* myserverimages (.gif, .jpeg)

此外,有两个目录需要特别注意:
* ftproot (FTP server)
* mailroot (SMTP server)

这两个目录上的 ACL 都是“Everyone(完全控制)”,应当根据您的功能设置更加严格的ACL,若不使用则不要安装。

对于仅开启IIS的主机,可以参考下列ACL设置(下面ACL采用的是极其严格的ACL,可能会对管理及SQL等的使用造成不便,应在此基础上逐项添加权限,才能做到权限最小化):

1.对于所有硬盘分区:
System 完全控制
Administrator 完全控制
允许继承
2.Program FilesCommon Files
Everyone 读取及运行 列出文件目录 读取
允许继承
3.webroot
IUSR_HOSTNAME 读取及运行 列出文件目录 读取
允许继承
4.Winntsystem32下除Inetsrv,Centsrv以外的所有目录
不允许继承
5.Winnt下除Downloaded Program Files、Help、IIS Temporary Compressed Files、Offline Web Pages、system32、Tasks、Temp、Web以外的所有目录
不允许继承
6.Winnt
Everyone 读取及运行 列出文件和目录 读取
允许继承
7.WinntTemp
Everyone 修改
允许继承

除上面提到的权限外,删除所有用户、组的权限。

二、 设置适当的 IIS 日志文件 ACL

请确保 IIS 生成的日志文件 (%systemroot%system32LogFiles) 上的 ACL 是:
Administrators(完全控制)
System(完全控制)
Everyone (RWC)

三、 启用日志记录

通过下列步骤使用 W3C 扩展日志记录格式:

1. 站点|属性|网站|启用日志
2. 活动日志格式|W3C 扩展日志文件格式|属性|扩展属性:
客户端 IP 地址
用户名
方法
URI 资源
Win32 状态
用户代理
服务器 IP 地址(如果多网卡)
服务器端口

当您检查日志时,请注意错误5,即被拒绝的访问。

[小知识]
如何察看错误代码所代表的意义?net helpmsg

四、 验证可执行内容的可信度

用 DumpBin 工具来查看可执行内容是否调用了某些 API。许多 Win32 开发工具都含有 DumpBin(tdump,dumpbin…)。

五、 在 IIS 服务器上更新根目录的 CA 证书

该过程包括两个步骤:

第一步:添加所有信任的新根目录证书颁发机构 (CA) 证书;
第二步:删除所有不信任的根目录 CA 证书;

请注意如果您不知道发布根目录证书的公司名称,那么就不应当信任他们!

注意: 不要删除 Microsoft 或 VeriSign 根目录。操作系统会大量使用它们。

六、 禁用或删除所有示例应用程序

例如Internet Information Server 5 中的示例文件:

IIS 示例 IISSamples c:inetpubiissamples
IIS 文档 IISHelp c:winnthelpiishelp
数据访问 MSADC c:program filescommon filessystemmsadc

七、 禁用或删除不需要的COM 组件

考虑禁用“文件系统对象”组件(FSO),但需要注意的是这样也会删除 Dictionary 对象。通常禁用COM组件的发式是直接卸载其链接文件(撤消注册),具体步骤是:regsvr32 *** /u;

例如:
下列命令将禁用“文件系统对象”:regsvr32 scrrun.dll /u

八、 删除 IISADMPWD 虚拟目录

该目录允许您重新设置 Windows NT 和 Windows 2000 密码。这主要是为 Intranet 方案设计的,并且不作为 IIS 5 的一部分来安装,但是在 IIS 4 服务器升级到 IIS 5 时将不会被删除。如果您不使用 Intranet 或者您将服务器连接到网站上,则应当将其删除。

有关此功能的详细信息,请参考Microsoft Knowledge Base文章Q184619。

九、 删除不使用的脚本映射

当 IIS 接收到针对其中某一类型文件的请求时,该调用由 DLL 进行处理。如果您不会用到其中某些扩展名或功能,请进行删除,方法如下:网站|属性|主目录|配置,然后删除下列引用:

* 基于网站的密码重置 .htr
* Internet 数据库连接器(所有 IIS 5 网站应当使用 ADO 或相似技术) .idc
* 采用SSI技术的服务器端包含程序 .stm, .shtm 和 .shtml
* Internet 打印 .printer
* 索引服务器 .htw, .ida , .idq

注意: 关于“Internet 打印”可以通过组策略和 Internet 服务管理器来配置。如果组策略设置和 Internet 管理器设置有冲突,那么组策略设置优先。默认组策略既不启用也不禁用“Internet 打印”。请选择“计算机配置”|“管理模板”|“打印”|“基于 Web 的打印”来禁用它。

十、 禁用父路径

父路径允许您在调用诸如 MapPath 等功能时使用“..”。默认状态下,该选项是启用的,您应当禁用它:网站|属性|主目录|配置|选项|启用父路径;

十一、 在“Content-Location”中禁用 IP 地址

“Content-Location”首部会暴露通常隐藏在网络地址转换 (NAT) 防火墙或代理服务器后的内部 IP 地址。如下设置后可以使服务器返回URL而不是IP地址:

将UseHostName添加到Metabase中的W3SVC键上;

例如: Set IISSchemaObject = GetObject(“IIS://Axqd/Schema/w3svc”)…

更简单的方法是使用IIS5.0提供的默认情况下安装在InetpubAdminscripts下面的ADSUTIL程序
(IIS 4.0在winntsystem32inetsrvadminsamples):

Adsutil set w3svc/UseHostName True

然后必须重启Web服务器。

有关禁用该选项的详细信息,请参阅知识库文章Q218180。IIS6.0目前没有提供这个问题的解决方案;

最后,关于针对DOS攻击的压力测试可以采用Microsoft Web Application Stress Tool;

关于IIS安全方面的工具,特别推荐IISLockDown以及URLSCAN(可从IISLockDown中分离出来);

Windows 2000安全清单

1.物理安全
确保每次本机登录服务器后的SignOut过程;设置BIOS密码且修改引导次序禁止从软盘或光盘引导系统;

2.停掉Guest 账号
把guest账号停用掉,最好给guest 账号加一个极其复杂的密码;

3.限制不必要的用户数量
经常检查系统的账号,删除已经不再使用的账号,并注意检查相应账号的权限设置;
应注意检查各个账号的实际权限,而不只是系统用户账号界面或者cmd命令显示出来的权限,严防账号克隆;

4.创建2个管理员所使用的账号
创建一个一般权限账号用来检查日志等一些日常事物,另一个拥有Administrators 权限的账号只在需要的时候使用;届时可让管理员使用 “ RunAS ” 命令来执行一些需要特权才能进行的一些工作,以方便管理;

5.把系统administrator账号改名
把Administrator账号改名,不要使用Admin之类的名字,尽量把它伪装成普通用户,例如:guestone ;

6.创建一个陷阱账号
创建一个名为” Administrator ”的本地账号,把它的权限设置成最低,并且加上一个极其复杂的密码,更进一步的可以在其的login scripts上面做点手脚,达到HoneyPot的效果;

7.把共享文件的权限从“ everyone ”组改成“ 授权用户 ”
任何时候都不要把共享文件的存取权限设置成“ everyone ”组,包括打印共享;
如果没有必要,请关闭默认共享(见附录);
机器重新启动后,这些共享又会重新开启的,如果想要自动关闭,请使用WSH脚本或者BAT脚本;
也可以直接更改注册表,如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters]
"AutoShareServer"=dword:00000000
"AutoSharewks"=dword:00000000

REM 禁止建立空连接(限制对公用的本地安全权限 (LSA) 信息的访问)
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA]
"RestrictAnonymous"=dword:1

8.使用安全密码
包括对密码长度和密码复杂度的相应要求;

9.设置屏幕保护密码
不要使用OpenGL和一些复杂的屏幕保护程序,浪费系统资源,黑屏就可以了;

10. 使用NTFS格式分区
把服务器的所有分区都改成NTFS格式;
首先,性能上有较大提升;(簇小于4K条件不同:FAT <256M FAT32 <32G NTFS NIL)
其次,2000以前身份验证协议只有NTLM(NT Lan Manager),NTFS为2000用户提供了更多样的选择—Kerberos v5协议以及附加身份验证工具Crypto API、Secure Sockets Layer(SSL)、公共密钥加密;

NTFS基本安全性数据结构:
(1)SID(安全标识符):唯一的标识用户和组;使用一次,即使删除也不会分发给其他用户;
(2)ACE(访问控制项目):定义了SID怎样才能与安全对象交互,允许或拒绝;可帮忙传递其他参数;
(3)ACL(访问控制列表):数组,包含0-多个ACE;
(4)DACL(自选访问控制列表):权限;
(5)SACL(系统访问控制列表):审核;
(6)SECURITY_DESCRIPTOR(安全描述):如与对象相关的DACL,SACL等等;

多条ACE冲突原则:
(1)组之间的许可可累加;
(2)文件许可优先于目录许可;
(3)拒绝优先于许可;

账户权力:详见本地安全设置->用户权利指派

由于NTFS与FAT相比,支持更多的数据流,所以请注意时常检查数据流信息,防止木马伪装;(可采用stream.exe或者lads.exe工具)

11.运行防毒软件
经常升级病毒库;
微软关于防治病毒的建议请参见:
http://www.microsoft.com/windowsxp/downloads/updates/sp2/antivirus/default.mspx

12.保障备份盘的安全
备份完资料后,把备份盘放在安全的地方;不要把资料备份在同一台服务器上,至少不要备份在同一个驱动器下;
Windows的密码文件(SAM)也有备份,不要忽略备份文件的安全性;

13.利用win2000的安全配置工具来配置策略
请参见控制台(MMC)和组策略(GPEDIT.MSC)的帮助文档

14.关闭不必要的服务
留意服务器上面开启的所有服务,定期检查他们以及他们的默认启动方式;下面是C2级别安装的默认服务,仅供参考:

* Computer Browser service TCP/IP NetBIOS Helper
* Microsoft DNS server Spooler
* NTLM SSP Server
* RPC Locator WINS
* RPC service Workstation
* Netlogon Event log

对于仅运行IIS主机而言,情况如下:
必要服务:
* DNS Client
* Event Log
* License Logging Services
* Windows NTLM Security Support Provider
* Remote Procedure Call(RPC) Services
* Windows NT Server or Windows NT Workstation
* IIS Admin Service
* MSDTC
* World Wide Web Publishing Service
* Protected Storage
* COM+ Event System
* Network Connections
* Windows Management Instrumentation Driver Extensions
* Windows Management Instrumentation

一般需禁用服务:
* Remote Registry Service
* Server
* Schedule
* FTP Publishing Service
* Telnet
* Terminal Service
* Telephony
* Alerter
* ClipBook Server
* Computer Browser
* DHCP Client
* Directory Replicator
* License Logging Service
* Messenger
* Netlogon
* Network DDE
* Network DDE DSDM
* Network Monitor
* Remote Access Server
* Remote Procedure Call(RPC) locator
* Spooler
* TCP/IP Netbios Helper
* Telephone Service

还有一些服务,如:SNMP Service,UPS等,应根据具体情况,如果不能确定可以选择手动,这样系统在需要的时候会自己启动这些服务;

此外,应该时常注意进程列表,特别注意名称与正常进程相近或者有迷惑性名称的进程;

15.关闭不必要的端口
用端口扫描器扫描系统所开放的端口,确定开放了哪些端口;%system%driversetcservices 文件中有知名端口和服务的对照表可供参考;

关闭某端口具体方法为:
网上邻居->属性->本地连接->属性->internet 协议(tcp/ip)->属性->高级->选项->tcp/ip筛选->属性 打开tcp/ip筛选,添加需要的tcp,udp协议即可;

可以利用fport等第三方工具列出端口与进程的对应表,然后直接杀掉进程;对于不能关掉的进程则采用防火墙屏蔽相应端口;

16.打开审核策略
策略 设置
审核系统登陆事件 成功,失败
审核账号管理 成功,失败
审核登陆事件 成功,失败
审核对象访问 成功
审核策略更改 成功,失败
审核特权使用 成功,失败
审核系统事件 成功,失败

17.开启密码密码策略
策略 设置
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5 次
强制密码历史 42 天

18.开启账号策略
策略 设置
复位账号锁定计数器 20分钟
账号锁定时间 20分钟
账号锁定阈值 3次

对于IIS主机,请不要开启此策略,否则可能锁定IUSR_HOSTNAME帐号,导致IIS不能访问,目前微软还没有提供解决方案;

注:
关于策略的统一设置,可以使用统一的安全模板。
模板配置下载地址:http://download.microsoft.com/download/win2000srv/SCM/1.0/NT5/EN-US/hisecweb.exe

值得注意的是对于Windows终端服务的审核未包含连接的IP地址的记录,故可采用登录脚本进行记录(例如:netstat –n –p tcp | find “:3389”;记住登录脚本的最后要start Explorer,因为默认的登录脚本就是Explorer)

19.设定安全记录的访问权限
应该设置成只有Administrator和必要的系统账号才有权访问;

20.把敏感文件存放在另外的文件服务器中
考虑是否有必要把一些重要的用户数据(文件,数据表,项目文件等)存放在另外一个安全的服务器中,并且经常备份它们;

21.不让系统显示上次登陆的用户名
具体做法是:
HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonDontDisplayLastUserName
把 REG_SZ 的键值改成 1;
或者使用本地安全设置->安全选项;

22.到微软网站下载最新的补丁程序
经常访问微软和一些安全站点,下载最新的service pack和漏洞补丁;
另注:除非确保有安全的SUS Server否则请不要使用Windows Update进行更新,而采用手工方式;
具体网址:http://support.microsoft.com/support/contact/default.asp
最简单的方式是订阅Microsoft 安全通知服务:
http://www.microsoft.com/technet/security/bulletin/notify.mspx

23.关闭 DirectDraw
此为C2级安全标准对视频卡和内存的要求;
具体做法:
HKLMSYSTEMCurrentControlSetControlGraphicsDriversDCI
将Timeout(REG_DWORD)设置为 0 即可;

24.禁止dump file的产生
打开 控制面板>系统属性>高级>启动和故障恢复 把 写入调试信息 改成无;要用的时候,可以再重新打开它;
另外,还需关闭华生医生(DrWaston—drwtsn32)产生的日志文件(故障转储文件);

25.使用文件加密系统EFS
注意要给文件夹也使用EFS, 而不仅仅是针对单个文件; 有关EFS的具体信息可以查看
http://www.microsoft.com/windows2000/techinfo/howitworks/security/encrypt.asp
请一定保管好证书,若遗失,恢复过程会极其繁琐(安装证书颁发机构然后创建附加数据恢复代理),而且还不一定能够修复(例如:WIN2K PRO)

26.关注temp、%windir%repair文件夹
注意随时关注temp文件夹,在进行危险操作后记得删除temp文件夹相应内容;
%windir%repair下面的备份文件存在很大危险;

27.锁住注册表
详细信息请参考:
http://support.microsoft.com/support/kb/articles/Q153/1/83.asp

28.关机时清除掉页面文件
编辑注册表
HKLMSYSTEMCurrentControlSetControlSession ManagerMemory Management
把ClearPageFileAtShutdown的键值设置成1;

29.考虑使用IPSec
有关IPSec的详细信息可以参考:
http://www.microsoft.com/china/technet/security/ipsecloc.asp
IPSec简化版为TCP/IP筛;

30、迁移以下程序
迁移下列程序到一个单独的目录,限定该目录ACL为Admin(完全控制)
xcopy.exe wscript.exe cscript.exe net.exe ipconfig.exe ftp.exe arp.exe edlin.exe rcp.exe ping.exe route.exe at.exe posix.exe rsh.exe cmd.exe qbasic.exe syskey.exe secfixup.exe nslookup.exe runonce.exe tracert.exe nbtstat.exe regedt32.exe regedit.exe finger.exe telnet.exe netstat.exe rexec.exe atsvc.exe cacls.exe edit.com debug.exe command.com cmd.exe

31、关闭子系统
Windows2000内核支持五个子系统:OS/2、POSIX、Win32、MS-DOS VDM、Win16 VDM,大多数用户不需要OS/2和POSIX子系统,删除如下子键:
[HKEY_LOCAL_MACHINESoftwareMicrosoftOS/2 Subsystem for NT]
[HKEY_LOCAL_MACHINESystemCurrentControlSetControlSession ManagerEnvironmentOs2LibPath]
[HKEY_LOCAL_MACHINESystemCurrentControlSetContrlSession ManagerSubSystemsOptional]
[HKEY_LOCAL_MACHINESystemCurrentControlSetContrlSession ManagerSubSystemsPosix]
[HKEY_LOCAL_MACHINESystemCurrentControlSetContrlSession ManagerSubSystemsOs2]

再删除目录%SystemRoot%System32OS2

32、经常察看日志
* 安全日志文件 %systemroot%system32configSecEvent.EVT
* 系统日志文件 %systemroot%system32configSysEvent.EVT
* 应用程序日志文件 %systemroot%system32configAppEvent.EVT

定位、设置日志文件:
[HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlog]
注意修改maxsize子键,如果超出大小,会报错并且不会再记录,默认大小512K。

下面给出脚本设置日志最大25MB,并且允许日志自行覆盖15天前的日志:
strComputer = “.”
Set objWMIService = GetObject(“winmgmts:” & “{impersonationLevel=impersonate,(Security)}!” & strComputer & “rootcimv2”) ‘获得VMI对象
Set colLogFiles = objWMIService.ExecQuery(“Select * from Win32_NTEventLogFile”) ‘获得LogFiles
‘-------------------------
For each objLogfile in colLogFiles
strLogFileName = objLogfile.Name
Set wmiSWbemObject = GetObject(“winmgmts:{impersonationLevel=Impersonate}!.rootcimv2:” & “Win32_NTEventlogFile.Name=’” & strLogFileName & “’”)
wmiSWbemObject.MaxFileSize = 2500000000
wmiSWbemObject.OverwriteOutdated = 15 ‘未找到
wmiSWbemObject.Put
Next
‘----------------------------

最简单的察看日志的方式是使用事件察看器;

最后有三点需要注意:
1、安全方面“管理永远大于技术,态度永远大于能力”;
2、安全与易用性永远是一对矛盾,需要在其间权衡利弊;
3、安全界有一个著名的理论,即所谓的“木桶原理”,请杜绝麻痹大意,不拘小节。

对于安全配置的检测,推举使用:
Microsoft 基准安全分析器 (MBSA)
并将 MBSA 添加到每周维护计划中,并按照计划中的任何安全建议操作。

附录:
默认共享目录路径和功能:

[C$ D$ E$]
每个分区的根目录;Win2000 Pro版中,只有Administrator和Backup Operators组成员才可连接,Win2000 Server版本Server Operatros组也可以连接到这些共享目录;

[ADMIN$ %SYSTEMROOT%]
远程管理用的共享目录;它的路径永远都指向Win2000的安装路径,比如 c:winnt;

[FAX$]
在Win2000 Server中,FAX$在fax客户端发传真的时候会到;

[IPC$ 空连接]
IPC$共享提供了登录到系统的能力;

[NetLogon]
这个共享在Windows 2000 服务器的Net Login 服务在处理登陆域请求时用到;

[PRINT$ %SYSTEMROOT%SYSTEM32SPOOLDRIVERS]
用户远程管理打印机;

困扰多时的问题搞定了—proftpd相关

在国内N大论坛上发贴问,都没有回音,没想到在国外的论坛上有明显的答案,哎,汗一个…

问题描述:
Proftpd在chroot()以后,不能再访问到外部的系统passwd,group文件,导致如果使用用户组,那么可以进入(因为进入前还没有chroot,系统还能够找到passwd,group文件),但是不能列出目录(因为此时已经chroot,不能找到passwd,group文件了)。
如果使用AuthUserFile,AuthGroupFile 则也必须保证此二文件在chroot以内,这点有时不可能(因为DefaultRoot ~,每个人chroot的不一样)。

问题解决:
PersistentPasswd on

自己汗一个…累啊

ps:
秉承小林子遗风,二次修改:)
那些…说的应该是在chroot以前就打开此二文件的handle,然后在关闭proftpd主进程之前一直不关闭…