一般來說用來測試網路是否正常的指令,我們會使用 Ping 或 Traceroute 的方式來測試
不過 Ping 和 Traceroute 的功能又不一樣,Ping 是用來看封包從來源到目的地所回應的資訊,Traceroute 是用來檢視到目的地中間跳了哪些節點
實際上有個好用的工具叫 MTR ,它結合了二者的功能,使用 MTR 就可以一次到位檢梘所有資訊
這工具支援 Unix-likes ,而在 Windows 上的版本叫 WinMTR
透過 MTR 這工具,可以看到封包的遺失率、送出的封包個數、最後一次回應的 ms 秒數、平均回應的 ms 秒數、最快回應的 ms 秒數及最糟的 ms 秒數
在 FreeBSD 上面透過 Ports 安裝就有了,執行也很簡單,假設我要看 Hinet DNS 168.95.1.1
# mtr 168.95.1.1
而 WinMTR 的畫面也很簡單使用
真的是方便多了 : )
首先先到 ports 裡安裝 portupgrade
# cd /usr/ports/ports-mgmt/portupgrade
# make install clean
在開始更新套件之前,首先要做的事情就是先更新 Ports tree
# cd /usr/ports
# make update
接下來列出有哪些套件是需要更新,可以透過下列的指令來檢視
# pkg_version -v | grep '<'
在更新之前請先利用指令 pkgdb 來檢查程式的相依性,避免等等升級時出問題
# pkgdb -F
假設我要更新的是 php 5.4.5 -> 5.4.7,同時也想要一併更新相關的 extensions
# portupgrade -fry php-5.4.5
-f 是強制更新的意思
-r 是把有相依性的套件也一併升級
-y 反是有要問 yes 的地方一律回答 yes
然後系統就會開始更新了,這時就會花一點時間
當更新作業完成時,可以再整理一次 package
# pkgdb -F
也可以透過下列指令一併清楚升級時產生的暫存檔
# portsclean -CD
大功告成 n_n
[1] 不自量力的Weithenn - PortUpgrade-升級已安裝套件
一個很簡單的 shell,寫好後放到 crontab 每天執行一次就可以了
#!/bin/sh
#先產生昨天的日期,請自行決定要用 FreeBSD or Linux 的
#FreeBSD 的用法
dt=`date -v-1d "+ %Y%m%d`
#Linux 的 Shell
#dt=`date -d'-1 day' +%Y%m%d`
#切換到 log 存放的目錄
cd /xxx/xxx/xxx
#壓縮昨天一整天的 log ( log 檔可能長成這樣 asa_log-20121116 )
tar -zcvf asa_log-`echo $dt`.tar.gz asa_log-`echo $dt`
#將壓縮好的檔案搬移到某處
mv asa_log-`echo $dt`.tar.gz /xxx/xxx/asa_log-`echo $dt`.tar.gz
#刪除原來的未壓縮的 log
rm -rf asa_log-`echo $dt`
今年一次考取了二張證照,一張是 ISO 27001 LA,另一張則是 VMware VCP
本來 ISO 27001 應該是要在 2009 年底時考取的,但那時因為工作的關係,原來已經報好名的課程臨時取消不去上 ( 還被承辦單位的小姐唸了一頓 )
那年底雖然順利的通過了自己單位的 ISMS 27001 驗證,但後來換工作後就和這一塊稍微脫節一點點
直到去年再度換工作時,業務範圍內再度包含了資安稽核的東西,於是今年五月多時,單位內便派我去受訓 27001 的課程 ( 嗯,這次又是遇到同一位承辦小姐 XD )
ISO 27001 LA 五天的課程,其實嚴格來說是四天半,因為第五天下午就直接筆試了 ~ 原則上就是要熟條文、上課時老師提到的重點多看多了解
真正考試時好像是二小時,大概也是這一二年來寫最多字的時候了,寫完只覺得手很痠 ~ 等了差不多一個月後,就收到了考試通過的消息了
而 VCP5-DV 的部份,主要是因為上一份工作時有接觸到虛擬化的東西,所以開始對虛擬化的技術產生了興趣
今年找了個機會向主管提出申請想去上 VCP5-DV 認證的課,而在主管的支持下也順利報名了 ( 小弟是在這裡上的:天空之城 - my Cloud DataCenter )
這次選擇的是六月份假日班的課程,有鑑於 ISO 27001 LA 連續五天的上課經驗,我決定選在非上班時間去上課
因為在正常一到五去上課的話,手邊常會有電話會響,而假日去上課的電話自然也就少很多了
只是假日班的課程也很累人,因為一到五要上班,而六日要上課 ~ 上完課馬上接著又要上班,記得當時是連續 19 天沒有休息,老實說挺辛苦的
要考 VCP5-DV 認證,也一定要上完五天的課,然後由主辦單位協助登錄您的上課資料,這樣在 VMware 的官網上就會有您的受訓記錄
上完課之後接下來就是要自修了,記得老師和我們說,就算我們把這五天上課用的講義通通背起來去考的話,其實是不會過的 ~ 當下聽了心裡就涼了一半
後來找了相關考古題來看時,也驗證了老師所說的,考試的題目有時會出自於 VMware 相關的 KB 及其它有的沒有的
我只能說除了勤練考古題外還是要多找資料來看,從考古題的情境反向來思考及了解更多 VMware 虛擬化的應用
就這樣準備了二個月,白天工作晚上看書的日子 ~ 就在今天 11/10 順利通過了考試
一開始考試時還發生一個小插曲,按下 Start 時就出現了錯誤的訊息,接著我就不能考試了 ~ 請考場的承辦同仁來處理時,他本來和我說今天我不能考了,他要寫報告才可以解決
當下心涼了一半,準備了二個月的考試,都已經做好受死的準備卻臨時和我說不能考了,好在那位承辦同仁後來有幫忙打電話聯絡 VUE 的人協助處理,才得以讓我的考試繼續
考取了這二張證照對我來說只是一個學習過的證明,畢竟實務還是比較重要的 ~ 日後要再繼續精進自己的技術,明年也要繼續加油
Client 的部份要注意下列事項
1. 確認 Client 和 AD Server 中間的網路是通的
2. Client 的 DNS 請設定指向 AD
3. 若 Client 是從 GHOST 而來的,請先做完 NewSID 的動作 ( 可以從這裡下載 )
4. 確認 Client 的服務裡面的「TCP/IP NetBIOS Helper」是啟用的狀態
今天處理到一個問題,有某個系統要和 LDAP Server 主機做認證,一直認證不過,從 log 裡發現這行訊息
conn=1 op=0 RESULT tag=97 err=2 text=historical protocol version requested, use LDAPv3 instead
因為 OpenLDAP 2.* 預設都是只接受 LDAP V3 協定認證,所以碰到來自 V2 的就不行了
只要在 slapd.conf 加入下面這一行,重新啟動 LDAP Server 就 OK 了!
allow bind_v2
原則上這篇是接續【FreeBSD】BIND 9 的 View 實作的筆記,我們原本已經有一台 DNS 了,但如果它掛了帶來的衝擊影響其實蠻大的
因此通常在 DNS 的部份我們會放二台 DNS,一台是 Master 主要的,另一台 Slave 就是定時去抄寫 Master 的紀錄
首先我們在 Slave DNS 的部份要設定二個 IP,10.1.1.5 是用來查詢 Master DNS 裡 Intranet 的紀錄,而 10.1.1.6 是用來查詢 Master DNS 裡 Internet 的紀錄
如果 Slave DNS 不綁定二個 IP 的話,就只能查到 Intranet 或 Internet 其中一個 View 的紀錄了
這台是 Master DNS ( 10.1.1.4 ) 的 /etc/named/named.conf
acl "lan" { 10.1.1.0/24; };
view "internal" {
match-clients { !10.1.1.6; lan; 127.0.0.1; };
zone "." IN {
type hint;
file "/etc/namedb/named.root";
};
zone "bojack.net" IN {
type master;
file "/etc/namedb/master/bojack.intranet";
allow-transfer { 10.1.1.5; };
};
};
view "external" {
match-clients { any; };
recursion no;
zone "." IN {
type hint;
file "/etc/namedb/named.root";
};
zone "bojack.net" IN {
type master;
file "/etc/namedb/master/bojack.internet";
allow-transfer { 10.1.1.6; };
};
};
這台是 Slave DNS ( 10.1.1.5 & 10.1.1.6 ) 的 /etc/named/named.conf
acl "lan" { 10.1.1.0/24; };
view "internal" {
match-clients { lan; 127.0.0.1; };
zone "." IN {
type hint;
file "/etc/namedb/named.root";
};
zone "bojack.net" IN {
type slave;
file "/etc/namedb/master/bojack.intranet";
masters { 10.1.1.4; };
transfer-source 10.1.1.5;
};
};
view "external" {
match-clients { any; };
recursion no;
zone "." IN {
type hint;
file "/etc/namedb/named.root";
};
zone "bojack.net" IN {
type slave;
file "/etc/namedb/master/bojack.internet";
masters { 10.1.1.4; };
transfer-source 10.1.1.6;
};
};
接下來只要重啟二台 DNS 就可以有 Master & Slave 的備援功能了!
參考資料
BIND 9 之後提供一個很好用的功能 View,我們可以依據不同的 IP 查詢來回應不同的結果,通常針對 Internet & Intranet 的環境更是適合
以下是我實作的環境,我中間的 DNS Server 目前只綁一個 Private,至於回應外部的 Public IP 則是透過防火牆 NAT mode 轉進來
要實作 View 只要在 named.conf 裡動一點手腳即可,設定如下
acl "lan" { 10.1.1.0/24; }; //首先先定義出內網的 IP 範圍
view "internal" {
match-clients { lan; 127.0.0.1; }; //當來自於 lan 或 127.0.0.1 的查詢時,BIND 就回應 bojack.intranet 裡的記錄
zone "." IN {
type hint;
file "/etc/namedb/named.root";
};
zone "bojack.net" IN {
type master;
file "/etc/namedb/master/bojack.intranet";
};
};
view "external" {
match-clients { any; }; //除了 lan 或 127.0.0.1 的查詢時,BIND 就回應 bojack.internet 裡的記錄
recursion no;
zone "." IN {
type hint;
file "/etc/namedb/named.root";
};
zone "bojack.net" IN {
type master;
file "/etc/namedb/master/bojack.internet";
};
};
接下來重啟 BIND 就可以啟用 View 的功能了!
參考資料
[1] bind - DNS 設定
困擾了很久的問題在 weithenn 的教學找到了解決方法
freebsd#vi /etc/mtree/BIND.chroot.dist
把下面預設的這一行
/set type=dir uname=root gname=wheel mode=0755
改成
/set type=dir uname=bind gname=wheel mode=0755
重設 HP 1810G-24 的方法很簡單,首先準備二根迴紋針
然後在前面面版有二個小孔,分別有 Reset 和 Clear 的文字
接下來同時將迴紋針插進並壓著裡面的按鈕,此時面板上的燈號就會改變,這時可以先放開 Reset 那邊的針
待燈號回復到正常的綠燈後即可鬆開 Clear,這時就會還原到初始值了
Switch 的 IP 就會回到 192.168.2.10
資訊相關 (15)