月度归档:2013年07月

暨大本部的校园网

额,找了一圈发现没有太靠谱的文档说明这个事情,作为一个网管我来简单介绍一下好了。

直通IP vs 教育网IP

暨南大学本部的校园网络(学生)分为两种,一种叫做直通IP,一种就是教育网IP,名字都是校园网,校本部没有像珠海校区的电信网这一种。在本部,直通IP 30块一个月,包年送两个月即300包年,而教育网IP 15块一个月同理包年是150块。下面插播官方说明:

*直通IP适用范围:教育网资源访问,快速浏览网页(国内外),各类电信和联通网络中的资源及应用,娱乐休闲,游戏应用,查阅文献等。直通IP用户可通过设定出口享受P2P资源高速下载(电驴,迅雷),方法

*教育网IP适用范围:教育网资源访问,浏览网页,查阅文献等。

下面是个人的说明。简单的来说,教育网IP就是简单版的网络服务,只有教育网出口,教育网大网不太稳定地说,时快时慢,下载部分教育网资源会相当快,如果你不是经常上网,需求也不大的话,还是可以考虑的,毕竟便宜一半呢。

教育网IP 也有明显的缺点,就是访问部分国外网站会出现困难,甚至完全无法访问,是正规的网站也会这样哦(例如微软网站首页)。所以我个人推荐300一年的直通IP,300一年的其实是混合出口的,包括电信、联通、长宽、教育网等(可以理解为包含150的服务),上网的综合体验会好很多。有时候我们去学生宿舍上门做维护,人家一直说网速慢,检查没有发现问题的时候,基本都是因为外面的大网(教育网)的问题,只能推荐升级300一年了。而且300一年的服务,是可以用户自主临时切换成150那种出口,随时切回来,但是150那种就不能切成300那种的。大家的选择上面应该是一半一半吧,但是趋势是300一年的越来越多。

有线上网 vs Wifi

本部学生宿舍内可以说全是有线上网,一般来说宿舍会有一到两个有线接口,一般来说宿舍都不止一到两个人,这个时候你就需要买一个小交换机,记住是交换机,不是路由器!(简单的来说,一般的无线路由器都会有天线,一般来说交换机都不会有天线,这是最大的区别,其次,交换机价格一般在30块左右,别买贵了,路由器价格一般在百元左右)。路由器在本部是不允许使用的,也无法使用其无线功能,不过已有路由器的同学,可以把路由器设置一下,当做交换机使用。(第一,进入路由器设置页面,关闭DHCP自动分配地址功能;第二,确保接线的时候任何网线不要接到路由器的wan口,路由器后面有标注的,wan口一般在最边,跟其他几个口颜色不一样,路由器当做交换机用的时候所有网线都只可插到LAN口)

你需要用一条网线,连接墙上端口和交换机(任意端口),然后再用一条网线,连接你的电脑和交换机,这样就完成了接线。买交换机的时候注意交换机的端口数量,如果你宿舍是4个人,加上接到墙上的那一根网线,交换机至少需要5个口。

至于无线,我们学校的教学和办公区域一般都有无线信号覆盖(看图),名为JNU。宿舍基本上都没有覆盖,有部分宿舍楼栋有中国移动的无线信号CMCC,那个需要用手机登陆,非免费。CMCC和JNU都是连上去的时候不用密码,打开任意网页即跳转到认证页面,认证过后就可以上网。申请了暨南大学有线网的用户,直接用有线账号就可以登录JNU的无线网。

很多人就会想我在宿舍我的手机、平板等设备(不能接网线的)想上网想用Wifi怎么办?抱歉,官方暂时无解。

本部开网流程

在本部,续费和首次开通网络都需要先在网上申请,有同学可能会觉得奇怪了,网络还没开怎么上网申请?其实是可以的,你没开通网络之前,在本部的宿舍按照上述方法连好网线,这个时候你打开任意网页都会跳转到网络中心的自助服务页面(http://mynet.jnu.edu.cn/),在里面可以找到学生用户入网申请 (校本部学生)的链接,打开之后需要简单的填写一些个人信息,例如姓名学号院系宿舍楼栋宿舍号这些,然后选择开网的类型(前面说的直通IP或教育网)和服务期限,提交即完成网上申请。记住要先申请哦,有不少同学以为直接过来网络中心就可以办理,实际上没有预先申请无法办理的哦。

申请过后,带上你的校园卡来到网络中心(曾宪梓科学馆,看地图,在图书馆广场的西侧),进入科学馆大厅之后,你会看到两侧有楼梯上二楼,楼梯口一般会放着一台自助服务机器,长相跟银行取号排队的机器类似。在上面输入你的学号之后就可以打印出你的申请单,当然前提是你已经在网上申请过了,没申请过是没有你的资料的。

打印完申请单之后带着申请单上二楼 左手边,电梯旁边第一个开门的办公室(202)里面缴费,只接受刷校园卡,所以要先把费用存到校园卡里面哦(那个办公室外面就有圈存的机器,食堂也有),可以帮同学代刷,缴费的时候会问你用的什么系统,苹果操作系统比较特殊需要跟工作人员说明。完了会拿到一张锐捷认证软件的安装说明和安装光盘(可有可无,光盘都是一样的,可以拿同寝室同学的来装,没有光驱的同学可以拿u盘拷,网络中心网站也有下载)。缴费之后还需要工作人员人工审核开通网络访问,所以交完费之后可能要等5分钟到3小时不等才可以用。

回到宿舍就在电脑上面安装好锐捷的认证软件,输入自己的账号(学号)密码即可连接上网。本地网卡的配置全部使用自动获取就好。

其他

有任何其他问题可以在下方留言评论,我会尽量回复

安全问题还是不容忽视的

之前发生了两个事情,让我觉得有些怕。

第一个事情是上游供应商Hostigation那边坏硬盘,先是说节点挂了,但是数据没有丢失。后面又变成说Raid里面同一个组有两块盘都坏了,所以全部数据丢失,只给你重新开一台VPS,没有赔偿,甚至道歉都没有,去翻看一下TOS果然是自己要为自己的数据负责的。我在他家有两台VPS,还好重要的一台不在那个节点,挂的是我那个拿来实验的一台,万幸。

第二个事情就是SolusVM爆出注入漏洞,这个事情弄得非常蛋疼,漏洞危害程度非常高,Ramnode都因此被人拖库了,还丢了很多客户数据。这是一个开源的服务器控制面板,绝大部分OpenVZ的提供商还有很多其他类型VPS提供商都用这个东西,至少我买过的机器里面只有两家是自己写一个比较鸡肋的面板,大部分都用这个。然后我现在的两个VPS供应商幸好还是没受影响,其中一个到今天还没恢复SolusVM面板的访问。

便宜的东西就是有便宜的东西的坏处,对于我这种长期刷LowEndBox找供应商的人,我用得起的机器都是7刀每个月以下(虽然买了很多台),这类型平价VPS一般都是无管理型,或者说自己管理,不是上游的问题服务商基本不会管你,带管理的套餐多付个25刀左右一个月就有人理你了(高昂的人力成本,硬件相对很便宜)。有的还好一点供应商附送个central备份,但也是手工操作的,没备份就死了。实际上我用的基本上都是完全没有备份的。服务商不提供,我自己也没弄。

但是我知道,数据是无价的,没备份就跟坐车不系安全带一样,你可能一辈子都不出事,但是出事的时候势必都很惨。所以昨天正好LEB上面出来一个Backupsy的备份VPS优惠,我立刻就想出手了,5刀一个月的512 kvm(没用过kvm,我其他机器都是OpenVZ,因为它够便宜),还不算很贵(但是中移动收我30月租我就丫丫丫的骂贵),主打是250G大硬盘,Raid50,。为了防止冲动消费所以我请示了一下后院某人,理解万岁,在我说完购买理由之后她回我”你喜欢就去做吧”,莫名感动。

看了很多文章怎么倒数据库的数据出来啊,怎么rsync啊,怎么增量备份等等,然后就动刀登上久未管理的1号服务器。以前给艳遇配服务器的时候他曾经跟我说你要注意算上那个运维的成本,我也知道。但是一般我这种小机器小需求,长时间load 0 0 0的,经常只是初装那会一顿折腾,折腾好基本就没什么事情了,也不会摊上什么大事,但昨天好像出了点问题。

我登入1号服服务器之后随手看了一下进程,发现有好几个sendmail的进程,而且本地的root用户里面有几百兆的邮件,去查sendmail的日志发现尼玛呀都是垃圾邮件。然后去查下sendmail反垃圾邮件那档事情,大量文章都提到的基本有一点就是不要open relay,就是不要让你的sendmail为匿名的公众转发邮件,其实sendmail后期的版本基本上都关了这个设置的,基本都只能从本机发出去,外部来的邮件不做转发。我重启过sendmail服务,我清空过邮件队列,但是很快又有一堆垃圾邮件进来。我当时还傻乎乎的想去监视一下外网谁在连我的25端口,netstat过几次之后到时傻傻的没看到sendmail只监听了localhost的25端口,没有监听公网,这么说邮件必然是内部发出来的。

内部除了php的环境也基本没什么东西啊,当时在想是不是有人写了发垃圾邮件的脚本,于是找了一个sendmail wrapper的方案,简单的来说就是自己写一个脚本来wrap sendmail,在里面做记录,包括发的什么邮件标题、正文、发到哪里等、还有重要的一个就是env的信息,可以知道是从哪里(工作目录)调用的sendmail,写好这个脚本还要在php.ini里面设置哈。我tail下输出日志终于发现了邮件的源头,居然是来自艳遇的博客(wordpress)的官方主题目录,隐藏的够深的,不过那个目录只有两个文件,有一个help.php看文件名就觉得不对,然后这货居然有执行权限我吓尿了。

打开这个文件略微分析了一下,首先这个文件是混淆过的,非常不好看,但是基本能够看到跟发spam的关系,这个脚本竟然是接收post信息然后发邮件的,还有什么后门我没有详细分析。当时我看这个文件修改时间是3天前,于是我用find全盘查找最近五天修改过的文件,一大堆,但是一点一点排除之后也基本只有这一个有问题的东西。然后去查apache的日志,大片的help.php访问记录,当时我在想必然有个开始,必然是上传或者其他什么写入方式弄好这个后门,再去利用,就想找第一次的访问再看看那之前发生了什么,一找又吓尿了,第一是这个记录条数有17万多,发了多少垃圾邮件啊你妹,哭了。第二是这个文件首次post的记录居然在半个月以前,但是这个文件的修改时间是3天前哦,意味着这个脚本还被更新过或者修改过,倒吸一口凉气。至于访问这个后门的ip,很多,遍布全球,查了5个都不重样的,马来西亚,泰国,荷兰,以色列,斯洛伐克(ip138的数据)。

封了这个东西之后开始全盘找问题,发现问题还真不少,用简单的grep搜索看到好多一句话后门的eval $_post一类的东西,这里插播一个知识,很多人说要禁用eval函数,其实用disable_function是禁不了eval的,因为这不是函数而是一种语法结构,而且还挖到不少是模板系统类的在用eval,正常使用的eval本身问题不大,问题是用eva来执行l一些其他的危险的函数。

再去检查一下发现我的php配置真的是很不安全的说,根本不像一个合格的生产环境,没有disable_function,error也直接输出来,后面一怒之下升级了php版本,打上suhosin,做好应该做的安全设置,其实原来的安全配置也不是一点都没有,php有open_basedir,所以除了艳遇的站其他站都没有受影响,另外服务器是公钥加密登陆的,禁止使用密码登陆。所以服务器这个层次上面倒是没有什么入侵的问题。

晚上一直折腾弄得很夜,显示吧备份弄好了,弄了rsync等还有配套的脚本,然后用各种方法去找客户的网站里面都有哪些后门,这个工作一直弄到今天我才明白了一个道理,然后放弃了。那就是管理,你下面这么多用户这么多网站,你不能保证他们的代码都不出问题,就像一个郭嘉,林子这么大你不能去保证没有坏鸟,你要保证的是就算有人故意干坏事也不能或者尽量少的影响其他人,影响大局。所以我还是专心调教好服务器的安全配置好了,艳遇你的网站见鬼去吧……虽然你说一手把它关掉就行,但是我喜欢折腾寻根问底。而且你都不搞清楚发生了什么事情,难保还原之后问题就不存在了。

白天还折腾了gitolite和owncloud,很有成就感(我是不是又把业务系统弄进备份环境了……),某人说喜欢看我做我喜欢做的事情(拗口),我自己也喜欢看我自己做我自己喜欢做的事情啊。倒是我的复习周啊,一天一天溜走,大家都在复习,我却在这瞎折腾(某人说这是我的天性),浪费时间,罪过罪过。昨天看到一个马斯洛需求的图,哈哈Internet是最底层的需求,这是在说我咩。