1.编译 Spine/Cactid

编译Spine/Cactid之前，先确认已经安装以下packages:

net-snmp-devel
mysql
mysql-devel
openssl-devel
Compiling Spine

2.下载最新版本的Spine/Cactid 并编译成为二进制可执行文件:

# tar xvzf cacti-spine-0.8.7.tar.gz
# cd spine-0.8.7
# ./configure
# make
# mkdir /usr/local/spine
# cp spine  spine.conf  /usr/local/spine

编辑 spine.conf 文件，输入数据库名、数据库用户名和密码等信息.

3.使用管理员帐号登陆Cacti.在系统参数中制定Spine/Cactid的物理路径.

Console -> Configuration -> Settings -> Paths -> Alternate Poller Path -> Spine Poller File Path 
 

    1. 备份数据库.

 # service mysqld stop
 # cp -R /var/lib/mysql/cacti  /var/lib/mysql/cacti_old

   2. 备份cacti程序目录.

# mv cacti cacti_old

    3. 解压新版本压缩包.

# tar xzvf cacti-version.tar.gz

    4. 重命名解压目录.

 # mv cacti-version cacti

    5. 编辑 include/config.php 设定好数据库类型、数据库名、数据库用户名和密码.

 $database_type = "mysql";
 $database_default = "cacti";
 $database_hostname = "localhost";
 $database_username = "cactiuser";
 $database_password = "cacti";


    6. 从原程序目录中复制 *.rrd 文件.

 # cp cacti_old/rra/* cacti/rra/

    7. 备份脚本程序.

 # cp -u cacti_old/scripts/* cacti/scripts/
 # cp -u -R cacti_old/resource/* cacti/resource/

    8. 设置rra文件目录和log目录的权限.

 # chown -R cactiuser rra/ log/

   9. 通过浏览器访问，程序将自动升级数据库:

         http://your-server/cacti/

        我原先使用Jerome’s Keywords，通过后台很方便的导入到wordpress中，而且官方的tag也支持TagCloud。目前的模板都是无法支持Wordpress原生tag功能的，需要修改一下模板，很简单，可以参考这里《如何让您当前主题支持 Wordpress 2.3 的 Tags 功能》。

          L7-filter (Application Layer Packet Classifier for Linux), 是 Linux netfilter 的外挂模块, 它能使 Linux 的 iptables 支持 Layer 7 (Application 应用层) 过滤功能, 限制封杀 P2P、即时通讯软件。

  Centos 4.4

  Kernel 2.6.9-42.0.3.EL

  Iptables 1.2.11

1.下载所需软件包：

kernel 2.6.19.7
# wget http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.19.7.tar.bz2

iptables 1.3.7
# wget http://www.netfilter.org/projects/iptables/files/iptables-1.3.7.tar.bz2

L7-filter http://sourceforge.net/project/showfiles.php?group_id=80085
netfilter-layer7-v2.12.tar.gz
l7-protocols-2007-06-22.tar.gz

2.配置编译新内核
首先将所下载的软件都放置于/usr/src目录下

# tar zxvf netfilter-layer7-v2.12.tar.gz
# tar xjvf linux.2.6.19.7.tar.bz2
# ln -s linux.2.6.19.7 linux
# cd linux
# patch -p1 < /usr/src/netfilter-layer7-v2.9/kernel-2.6.18-2.6.19-layer7-2.9.patch (打L7-filter的内核补丁) 

# make oldconfig
(如果之前曾经编译过，需要先执行 make mrproper 。make oldconfig会自动对比之前的kernel config，根据之前版本的配置生成一个kernel config，这样方便我们在编译新核心的时候，无须在从头修改所有的核心设置）

# make menuconfig 设定内核参数，具体参数可以参考这篇文章 内核编译详解

核心不同，内核选项的排列方式有可能不一样，仔细找一下可以找到：

Code maturity level options –> [*] Prompt for development and/or incomplete code/drivers

Networking –> Networking options –>
    [*] Network packet filtering (replaces ipchains) –>
        IP: Netfilter Configuration –>
            <M> Connection tracking (required for masq/NAT)

           [*] Connection tracking flow accounting

           <M> IP tables support (required for filtering/masq/NAT)

           <M> Layer 7 match support

# make
# make modules
# make modules_install
# make install
# reboot
# uame -a
Linux jason.10235 2.6.19.7 #1 Fri Jul 6 11:56:11 CST 2007 i686 i686 i386 GNU/Linux
系统已经更新至新内核 2.6.19.7

3.更新升级Iptalbes的Layer7补丁

# cd /usr/src
# tar xjvf iptables-1.3.7.tar.bz2
# cd iptables-1.3.7
# patch -p < ../netfilter-layer7-v2.0/iptables-layer7-2.0.patch
# chmod +x extensions/.layer7-test
# export KERNEL_DIR=/usr/src/linux-2.6.19.7
# export IPTABLES_DIR=/usr/src/iptables-1.3.7
# make BINDIR=/sbin LIBDIR=/lib MANDIR=/usr/share/man install
# iptables -V
iptables v1.3.7 已经更新至新版本

4. 安装Layer7 协议文件

# cd /usr/src
# tar zxvf l7-protocols-2007-06-22.tar.gz
# cd l7-protocols-2007-06-22
# make install

5.使用iptables layer-7 filter：
# iptables -t mangle -I PREROUTING -m layer7 --l7proto edonkey -j DROP (禁止edonkey)
# iptables -t mangle -I PREROUTING -m layer7 --l7proto bittorrent -j DROP (禁止bt)
# iptables -t mangle -I PREROUTING -m layer7 --l7proto qq -j DROP (禁止QQ通讯)
# iptables -t mangle -I PREROUTING -m layer7 --l7proto msnmessenger -j DROP (禁止edonkey)
# iptables -t mangle -I PREROUTING -m layer7 --l7proto xunlei -j DROP (禁止迅雷)
# iptables -t mangle -I PREROUTING -m layer7 --l7proto kugoo -j DROP (禁止kugoo)
# iptables -t mangle -I PREROUTING -m layer7 --l7proto yahoo -j DROP (禁止Yahoo! Messenger)

• L7-filter 支持的通讯协议 L7-filter Supported Protocols

Last update 2007.7.16

$ORIGIN .
$TTL 3600       ; 1 hour
10235.com               IN SOA  ns1.abc.com.  root.ns1.abc.com. (
                                2007061402 ; serial
                                3600       ; refresh (1 hour)
                                900        ; retry (15 minutes)
                                1209600      ; expire (2 weeks)
                                3600         ; minimum (1 hour)
                                )

• #Serial 
  数值Serial代表这个Zone的序列号。供Slave DNS判断是否从Master DNS获取新数据。每次Zone文件更新，都需要修改Serial数值。RFC1912 2.2建议的格式为YYYYMMDDnn 其中nn为修订号;
• #Refresh
  数值Refresh设置Slave DNS多长时间与Master Server进行Serial核对。目前Bind的notify参数可设置每次Master DNS更新都会主动通知Slave DNS更新，Refresh参数主要用于notify参数关闭时;
• #Retry
  数值Retry设置当Slave DNS试图获取Master DNS Serial时，如果Master DNS未响应，多长时间重新进行检查;
• #Expire
  数值Expire将决定Slave DNS在没有Master DNS的情况下权威地提供域名解析服务的时间长短;
• #Minimum
  在8.2版本之前，由于没有独立的 $TTL 指令，所以通过 SOA 最后一个字段来实现。但由于 BIND 8.2 后出现了 $TTL  指令，该部分功能就不再由 SOA 的最后一个字段来负责，由 $TTL 全权负责，SOA 的最后一个字段专门负责 negative answer ttl（negative caching）
  The last field in the SOA is the negative caching TTL. This controls how long other servers will cache no-such-domain(NXDOMAIN)responses from you.

       AWStats官方网址：http://awstats.sourceforge.net/

       从官方网站下载AWStats，目前最新版本是6.6.

# tar zxvf  awstats-6.6.tar.gz
# mv awstats-6.6 awstats
# mv awstats  /home/10235/        // 将awstats目录移动到网站根目录下
# cd /home/10235/awstats/tools
# perl awstats_configure.pl                       //配置awstats  

//awststs默认安装在/usr/local/awstats下 不使用其默认目录
Do you want to continue setup from this NON standard directory [yN] ? y   

//输入你的web server的配置文件路径 使用none跳过设置
Config file path (‘none’ to skip web server setup):     
> none

Do you want me to build a new AWStats config/profile
file (required if first install) [y/N] ? y

Your web site, virtual server or profile name:
> www.10235.com

//直接回车 使用默认路径 /etc/awstats
Directory path to store config file(s) (Enter for default):      
> /etc/awstats
 

# vi  /usr/local/etc/awstats/awstats.www.10235.com.conf  //修改默认配置文件

    //指定日志路径 %YYYY-24%MM-24%DD代表今天20070513  %YYYY-24%MM-24%DD-24 代表昨天20070512
    LogFile=”/var/log/www/10235.%YYYY-24%MM-24%DD”    
    
    //指定日志类型 W – web log  M – mail log  F – ftp log  S – streaming log
    LogType=W

    //指定日志格式 1 - Apache combined logs  2 – IIS
    LogFormat=1

    //站点绑定域名和站点别名
    SiteDomain=”www.10235.com”
    HostAliases=”10235.com blog.10235.com”

    //日志分析结果输出目录 确保该目录有写权限
    DirData=”/home/www/10235/awstats/dirdata”

    //是否允许通过浏览器更新分析
    AllowToUpdateStatsFromBrowser=1

# crontab -e               //设定计划任务，每59分钟更新一次分析结果

59 * * * *  /home/10235/awstats/wwwroot/cgi-bin/awstats.pl -update -config=www.10235.com

    访问： http://10235.com/awstats/wwwroot/cgi-bin/awstats.pl?config=www.10235.com

补充：配置Geo-IP

  Geo-IP C-API (http://www.maxmind.com/download/geoip/api/c/GeoIP-1.4.2.tar.gz )
  Geo-IP Perl-API ( http://www.maxmind.com/download/geoip/api/perl/Geo-IP-1.27.tar.gz )
  Geo::IPfree ( http://search.cpan.org/author/GMPASSOS/Geo-IPfree-0.2/ )

  //安装 Geo-IP C-API:
# tar xzvf GeoIP-1.4.2.tar.gz
# cd GeoIP-1.4.2
# ./configure
# make
# make install

  //安装 Geo-IP Perl-API:
# tar xzvf Geo-IP-1.27.tar.gz
# cd Geo-IP-1.27
# perl MakeFile.PL
# make
# make install

  //安装 Geo::IPfree
# tar xzvf Geo-IPfree-0.2.tar.gz
# cd Geo-IPfree-0.2
# perl MakeFile.PL
# make
# make install

# vi /etc/awstats/awstats.yourdomain.conf
   LoadPlugin=”geoipfree”

更新统计和配置，在国家或地区ip那边，就能显示正确的国家国旗图标。

    网上很多文章都是使用HAVP搭载 Clamav,虽然Clamav安装简单,有可以自动更新病毒库,但实际使用中发现,Clamav的执行效率不是很好,访问时,明显影响访问速度.测试后,发现Trend Micro效率较高。HAVP在搭载其它的防病毒软件时,大部分都需要防病毒软件先安装运行,而搭载使用Trend Micro,HAVP可以直接调用Trend Micro的扫描引擎和病毒库,不用安装防病毒服务,对于我这样的懒人来说,能省一个是一个,对服务器来说也能省点资源.唯一的缺点是无法自动更新病毒库,有得必有失.

    参考了Jamyy的《使用 HAVP + ClamAV 建置防毒 HTTP Proxy》 

安装步骤

1、Trend Micro (Trophie)

   扫描引擎 http://www.trendmicro.com/download/zh-tw/product.asp?productid=20
   病毒码   http://www.trendmicro.com/download/zh-tw/product.asp?productid=20

# mkdir /etc/iscan
# cd /etc/iscan
# wget http://www.trendmicro.com/ftp/products/engine/vsapi-x86-linux-8.500-1001.tar.Z
# wget http://www.trendmicro.com/ftp/products/pattern/ptn591.tar
# tar zxvf vsapi-x86-linux-8.500-1001.tar.Z
# tar xvf ptn591.tar

在/etc/iscan目录解压出两个文件 libvsapi.so 和 lpt$vpn.433 前者是扫描引擎 后者是病毒库

2. 安装 HAVP (v0.86)


# ./configure --prefix=/usr/local/havp --disable-clamav --with-scanner=TROPHIE
# make
# make install
# useradd -g havp -d /dev/null -s /sbin/nologin havp
# chown havp:havp /var/log/havp /var/run/havp


3. 修改配置文件havp.config

# vi /usr/local/havp/etc/havp/havp.config

### 注释以下这行

#REMOVETHISLINE deleteme

### Trend Micro Library Scanner (Trophie)  使用Trend Micro的扫描引擎和病毒库

ENABLETROPHIE true
其它与效率相关的设定:

### 理论上越多的线程效率越高
SERVERNUMBER 40  # 最小8  500个用户以上，参数需要设置40以上
MAXSERVERS 200

### 只记录 error log. 较少的 Log 记录可减轻服务器负担
LOGLEVEL 0

### 使用 RAM Disk 处理临时文件可获得最佳性能
TEMPDIR /var/tmp/havp

### 不对图片文件扫毒, 可减轻 CPU 负载
SCANIMAGES false

4. 挂载独立分区于 /var/tmp/havp

用内存建立虚拟磁盘

mkfs -t ext3 /dev/ram0 16348 (建立 16MB RAM Disk)
mount -o mand /dev/ram0 /var/tmp/havp

ps. HAVP 可扫描的文件大小将受限于这个所挂载的分区空间

5. 更新 shared libraries 数据库 (for Trend Micro)

# vi /etc/ld.so.conf   添加 /etc/iscan
# ldconfig

6. 启动 HAVP

# /usr/local/havp/sbin/havp

7. 配置启动squidsquid的安装和配置就不在这里多说了,修改一下配置文件squid.conf  设置HAVP为父代理# vi /usr/local/squid/etc/squid/confcache_peer 127.0.0.1 parent 8080 0 no-query no-digest no-netdb-exchange default
cache_peer_access 127.0.0.1 allow all
alway_direct deny all
never_direct allow all
# /usr/loca/squid/sbin/squid   

8. 链接病毒测试网页检验 HAVP 是否正常运作 eicar – Anti-Virus test file

常见问题:
1.error while loading shared libraries: libvsapi.so: cannot open shared object file: No such file or directory

解决方法:更新 shared libraries 数据库# vi /etc/ld.so.conf   添加 /etc/iscan
# ldconfig 2.ERROR: HAVP not compiled with Trophie support解决方法: 安装HAVP的时候  configure带上参数 --with-scanner=TROPHIE其它问题大部分都是权限问题，可以查看错误日志/var/log/havp/error.log

1.导出4.0格式的SQL备份文件
mysqldump -uroot -p --default-character-set=latin1 database > jason.sql

这个是导出为latin1字符集的数据库备份，如果需要导出成为gbk字符集可以使用：

mysqldump -uroot -p --default-character-set=latin1 --set-charset=gbk database > jason.sql

2.使用下面语句新建一个latin1字符集的数据库(jason)：
CREATE DATABASE `jason` DEFAULT CHARACTER SET latin1 COLLATE latin1_bin

3.将上面导出的4.0结构的备份数据导入到刚才新建的mmmm数据库中。
/usr/local/mysql/bin/mysql -uroot -p --default-character-set=latin1 -f jason < jason.sql

      1.安装和升级Openssl

      使用最新的Openssl库是必须的，可以在官方下载最新的源码包。http://www.openssl.org/  安装和升级方法参考这里：升级openssl

      2.下载安装vsftpd

      到官方下载最新版本的vsftpd源码包 http://vsftpd.beasts.org/

# tar zxvf vsftpd-2.0.5.tar.gz
# cd vsftpd-2.0.5
# vi  builddefs.h

修改builddefs.h文件，使VSFTPD支持SSL：

#undef VSF_BUILD_TCPWRAPPERS
#define VSF_BUILD_PAM
#undef VSF_BUILD_SSL

修改为：

#define VSF_BUILD_TCPWRAPPERS
#define VSF_BUILD_PAM
#define VSF_BUILD_SSL

开始编译安装：
# make
# make install
# cp vsftpd.conf /etc/
# cp RedHat/vsftpd.pam /etc/pam.d/ftp   //使本地用户可以登录vsftpd

make的时候错误提示 /usr/include/openssl/kssl.h:72:18: krb5.h: 没有那个文件或目录解决方法：在编译安装之前需要做几个软链接，主要是由于Redhat默认安装下，kerberos开发工具的库文件装在/usr/kerberos/include/，而不是/usr/include/ 

ln -s /usr/kerberos/include/com_err.h /usr/include/
ln -s /usr/kerberos/include/profile.h /usr/include/
ln -s /usr/kerberos/include/krb5.h /usr/include/

创建SSL证书：

# openssl req -new -x509 -nodes -out vsftpd.pem -keyout vsftpd.pem
# cp vsftpd.pem /usr/share/ssl/certs/vsftpd.pem          //默认vsftpd的配置文件中的证书路径# vi  /etc/vsftpd.user_list     //加入允许本地登录的用户名
# vi  /etc/vsftpd.conf
 

以下是配置文件中的几个关键参数

listen=YES
listen_port=21
# 禁止anonymous登录
anonymous_enable=NO
anon_world_readable_only=NO
anon_upload_enable=NO
anon_mkdir_write_enable=NO
chroot_local_user=YES
# 仅有vsftpd.user_list中制定的用户可登录vsftpd
userlist_enable=YES
userlist_deny=NO
userlist_file=/etc/vsftpd.user_list
local_enable=YES
write_enable=YES
ascii_upload_enable=YES
ascii_download_enable=YES
ls_recurse_enable=NO

ssl_enable=YES              //SSL开关，开启ssl_enable，否则以下选项均无效
ssl_tlsv1=YES                //另外几个选择 ssl_sslv2 ssl_sslv3
allow_anon_ssl=NO      //是否让匿名用户使用ssl
force_local_data_ssl=YES     //强制使用openssl加密数据
force_local_logins_ssl=YES   //强制使用ssl登录
rsa_cert_file=/usr/share/ssl/certs/vsftpd.pem  //指定证书文件的路径

具体配置参数可以参考：http://vsftpd.beasts.org/vsftpd_conf.html 

# /usr/local/sbin/vsftpd /etc/vsftpd.conf &     //启动vsftpd服务，可将命令加入/etc/rc.local

最后在flashfxp等ftp客户端设置ssl选项，如下图：

# tar ntop-3.2.tgz
# cd ntop-3.2
# ./configure –prefix=/usr/local/ntop –disable-ipv6
# make && make install 

我们以nobody来运行ntop，先给其数据存储目录设置权限
# chown -R nobody.nobody /usr/local/ntop/share/ntop

# /usr/local/ntop/bin/ntop -P /usr/share/ntop -u ntop -A

-P [directory]指定.db档存放路径
-u [user]指定service启动user
-A 设定管理员密码 

拷贝其配置文件模板
# cp /usr/local/src/ntop-3.2/packages/RedHat/ntop.conf.sample  /etc/ntop.conf
# vi /etc/ntop.conf

设置以下几个参数
–user nobody   #程序运行用户
–daemon          #设置ntop为服务
–db-file-path /usr/local/ntop/share/ntop  #数据文件存放目录
–interface eth0,eth1  #监控的网卡
–http-server 3000    #web访问的端口

启动ntop服务，指定读取的配置文件，只监控192.168.0.0/24网段
# /usr/local/ntop/bin/ntop @/etc/ntop.conf -m 192.168.0.0/24 

访问http://ip:3000即可访问。