Jason’s blog

     公司的linux服务器，重要的我都限制了IP登录。个别没有限制IP的在日志里面老是看到有人在尝试暴力破解root密码。前两天刚抽空升级了所有服务器的Openssl和Openssh，顺便设置了SSH的密钥登录，并禁止使用密码登录。在SecureCRT客户端生成的公钥传到服务器，用ssh-keygen将公钥转换成为OpenSSH兼容的格式，在SecureCRT客户端使用私钥登录。需要注意的是SecureCRT使用的是SSH2格式的公钥，而OpenSSH是使用的OpenSSH格式的公钥。

1.使用SecureCRT创建私钥和公钥.

SecureCRT: Quick Connect -> Authentiation -> Public Key -> Properties -> Create Identity File -> DSA/RSA -> Set Passphrase -> Done

这个时候在指定目录会生成两个文件，例如，私钥my_rsa和公钥my_rsa.pub

2.linux服务器上建立.ssh目录,一般情况下,已经有这个目录

# mkdir /root/.ssh
# chmod 700 /root/.ssh
3.将公钥 my_rsa.pub 传到linux服务器，将SSH2兼容格式的公钥转换成为Openssh兼容格式# ssh-keygen -i -f Identity.pub >> /root/.ssh/authorized_keys2
# chmod 600 /root/.ssh/authorized_keys2           

4.在SecureCRT里面设置登录模式为PublicKey，并选择刚刚创建的my_rsa文件作为私钥

5.重启Linux服务器上SSH服务器

#service sshd restart 或者 /etc/rc.d/init.d/sshd restart

6.由于已经设置了密钥登录，原来的密码登录就完全可以去掉

# vi /etc/ssh/sshd_config

Protocol 2    /仅允许使用SSH2
PubkeyAuthentication yes   /*启用PublicKey认证
AuthorizedKeysFile      .ssh/authorized_keys2   /*PublicKey文件路径
PasswordAuthentication no    /*禁止密码验证登录

PS:以上步骤是使用SecureCRT生成的密钥对来进行登录验证的，其实也可以在服务器上使用ssh-keygen命令生成的密钥，同样在生成密钥对之后，将格式转换成SecureCRT 使用的SSH2格式

1. 升级OpenSSL

• 下载地址：http://www.openssl.org
• 如果使用0.9.8版本，在编译安装的时候会出错，虽然有办法可以解决…建议还是用0.9.7

# cd /usr/local/src
# tar xzvf openssl-0.9.7k.tar.gz
# cd openssl-0.9.7k
# ./config –prefix=/usr/local/openssl-0.9.7k
# make
# make test
# make install

2. 升级OpenSSH

• 下载地址：http://www.openssh.com  

# cd /usr/local/src
# tar xzvf openssh-4.3p2.tar.gz
# cd openssh-4.3p2
# ./configure \
        –prefix=/usr \
        –with-pam \
        –with-zlib \
        –with-ssl-dir=/usr/local/openssl-0.9.7k \
        –with-md5-passwords \
        –mandir=/usr/share/man \
        –sysconfdir=/etc/ssh
# make
# make install

完成后，检查一下ssh是否升级成功
# ssh -v
OpenSSH_4.3p2, OpenSSL 0.9.7k 05 Sep 2006

     上网的人都会遇到电信和网通之间的互联互通问题。因此很多网站使用了电信和网通各搞一个或多个镜像站点的方法提高访问速度。再加上BIND9做智能DNS,自动根据客户端IP来判断访问者,网通的用户为其解析网通的IP,电信的用户为其解析电信IP.基本上可以解决国内电信和网通互联互通问题。这几天搞了两台dns服务器测试bind9，做为智能DNS，而且已经基本通过了测试，再整理一下，就可以投入使用了……

·片名：碟中谍3(Mission Impossible 3)
 
·导演：JJ-艾布拉姆斯(J.J. Abrams)
 
·主演：汤姆-克鲁斯 米歇尔-摩纳汉 Maggie Q 菲利普-霍夫曼
 
·类型：动作/冒险/惊悚
 
·上映日期：2006年7月20日(内地)
 
·出品：派拉蒙

      在经历了前两集的出生入死之后，伊森•亨特再次裹挟着无所不能的凌厉声势率队而来。只是在本集开头，伊森•亨特已经从一线特工行列中引退，负责培训IMF的新人。工作的转变让伊森的生活开始出现新的转机，他开始尝试过去想都不敢想的事情，其中包括婚姻。可面对自己的新娘朱莉娅，伊森只能隐瞒自己的真实身份。 　　      世界依旧充满危机，伊森要面临前所未有的强大对手欧文•戴维恩，这个魔头不仅从事国际军火和情报交易，而且还冷酷无情，几近变态，对伊森的背景了如指掌。再次披挂上阵的伊森要协同自己的行动小组开始又一次奔袭全球的拯救任务。      事实证明，大多数续集都是狗尾续貂……
 

·片名：《The Da Vinci Code》 
 
·译名：《达·芬奇密码》
 
·导演： 朗·霍华德

·主演： 汤姆·汉克斯　奥黛丽·塔图 伊恩·麦凯伦 让·雷诺 
 
·出品： 美国哥伦比亚电影公司
 
·片长： 149分钟
 
·级别： PG-13 

      哈佛大学宗教符号学教授罗拔‧兰顿（汤姆·汉克斯饰演）到巴黎公干期间突然接到通知罗浮宫馆长遭人谋杀，而在博物馆内，尸体旁边留下了一个令人困惑的密码。兰顿教授与法国美女密码专家苏菲（柯德莉·塔图饰演）在整理分析谜团的过程中，惊讶地发现在达文西的作品中藏有一连串令人震惊的线索。这些线索人人可见，却被画家巧妙地伪装，加以隐藏。

      看过书的人都说电影和原著比起来差多了，根本无法再现原著的精彩，影评人也没有给汤姆汉克斯面子，我没有看过原著，不过单纯从电影上看，并不能算是一个很成功电影，人物、情节、等等都没有给人留下什么深刻印象，原本很让人期待汤姆汉克斯的新片……     

    原先家里用的无线路由和公司用的几个都是TP-link的TL-WR641,上个月开始，家里的无线路由频繁断网，时隔几分钟就恢复正常，怀疑路由器故障，拿到公司测试，果然是路由器有问题。换了一台网件NETGEAR WGR614。到官方网站下载了最新的Fireware，设置界面比起TP-Link稍微复杂了一些，默认没有开启无线功能，需要先用有线连接上开启。机器外观很漂亮…

宝马汽车的一则创意平面广告

       Power is when we have every justification to kill and we don’t.

       A man stole something,he’s brought in before the emperor,he throws himself down on the ground,he begs for mercy.he throws himself down on the ground,he begs for mercy.He knows he’s going to die.And the emperor…pardons him.This worthless man.He lets him go.

       That’s power, Amon.That… is power.

——《Schindler’s List》

     一直以来都是使用MRTG，通过监控每个机柜的交换机端口，来监控所有服务器的流量。MRTG的好处就是简单方便，安装后修改一下配置文件就可以直接使用。在服务器量少的时候，还好，一旦服务器数量众多，MRTG就有点力不从心，服务器超过400台以后，MRTG已经无法在10分钟内完成一次数据更新。只能降低数据更新频率，延长时间，同时由于服务器数量过多，MRTG持续占用服务器CPU资源，在服务器数量不断增加的情况下，只能增加监控的服务器。

      网上搜索了众多资料，最后选择Cacti＋rrdtool。Cacti是一套php程序，它利用snmpget采集设备的SNMP数据，再利用rrdtool进行绘图。用了三天时间，终于把这套东西装了起来。只用了一台服务器，Cacti＋rrdtool，代替了MRTG＋3台监控服务器。而且管理起来尤其方便，通过Web界面就可以随意添加被监控设备。