现在很多中小企业都钟情于Linux操作系统。Linux操作系统对于微软的操作系统具有免费、稳定等方面的特点。不过现在要想全面应用Linux操作系统还是不太现实,因为现在很多软件,如AutoCAD等作图软件,只能够在微软的操作系统上运行。
为此在很长一段时间内,Windows操作系统与Linux操作系统必将共存一段时间。但是,让人遗憾的是,Linux操作系统与Windows操作系统由于文件处理机制的不一样,为此在他们之间进行文件共享的话,会产生格式化的兼容问题。
如果在Linux操作系统上安装了Oracle数据库系统。如上图所示,这是在Linux操作系统Oracle系统的一个脚本文件。其中addNode是在Linux操作系统上显示的原始格式。但是将这文件利用共享文件夹复制到Windows操作系统上就变为了“AddNode-backup”显示的格式。从上面这个图中可以看出,在微软操作系统上其格式全部混乱了。也就是说,多行内容变为了同一行。这显然给系统管理员带来了一定的苦难。无论是阅读还是修改,都比较麻烦。那么是否有其他好的工具,可以解决这个问题呢?答案当然是肯定的。现在Linux操作系统与Windows操作系统之间有很多兼容的工具,可以帮助系统管理员解决这个文件格式不兼容的问题。笔者这里将给大家推荐一款WinSCP工具。利用这款工具可以在两个操作系统之间实现文件的对传,而且不用担心这个格式不兼容的问题。因为利用这款工具从Linux操作系统上复制文件到Windows操作系统上时,其自动会对格式进行调整,以满足Windows客户端电脑显示的需要。
一、WinSCP工具可以提供比较好的安全性。
Winscp工具是基于ssh协议实现的,而不是基于Telnet协议实现的。这两个协议在安全性上是不同的。Telnet协议在网络传输过程中,账户名、密码等等都是明文传输的。为此在使用这个协议时,其可能会被非法攻击者窃取帐号、密码等宝贵信息。而且Telnet协议并不是Linux操作系统采用的默认协议。如果要使用Telnet协议的话,那么需要在Linux操作系统上经过一系列复杂的配置才能够使用。而Winscp工具所采用的协议是ssh协议。则是Linux操作系统所采用的默认远程登录协议。为此在使用这个工具的时候,不需要再Linux操作系统上进行任何的设置。这无疑提高了这个小工具的使用价值。最重要的是,ssh协议其安全性很高,因为其在传输过程中,账号密码都是加密处理的,为此就不用担心数据的外泄。
WinSCP的安全性不仅体现在这个协议的安全性上,而且其也对权限进行了限制。如通常情况下,普通用户是无法访问/root目录的。因为这个目录是特权用户root所专享的。现在如果用户利用WinSCP来访问Linux操作系统,想要复制/root目录中的文件时,系统会提出错误信息。因为普通用户无法访问这个目录,为此用户的这次访问会被拒绝。
为此,使用这个WinSCP工具,其不仅方便,而且安全性又有所保证。这也是笔者推荐大家使用这个工具的一个重要原因。
二、自动定位用户主目录。
众所周知,在Linux操作系统中,root账户的根目录就是/root。在Linux操作系统中,还有一个home 目录,其下面存储着各个用户的主目录。如在安装Oracle数据库时,笔者创建了一个oracle用户。那么默认情况下,在/home目录下就会有一个/oracle目录。当这个用户创建的文件、这个用户的邮件等等,都是会保存在这个用户主目录下。而且出于安全与独立性的考虑,往往这个用户的主目录只有用户自己可以访问。当以这个用户登录到系统中去,其默认打开的目录就是这个用户的主目录。所以,如果采用中间工具,如笔者现在介绍的这个WinSCP工具来登录Linux操作系统的话,如果其也能够自动定位到用户的主目录,那么无疑可以提高文件复制的效率。那么这个工具可以实现这个目标吗?
如上图所示,这是使用WinSCP工具登录到Linux操作系统上的界面。左面是Windows客户端上的内容。右面是Linux操作系统上内容。当以Oracle用户登录时,默认情况下其会把路径定位到自己的主目录下。通常情况下,用户的各个主目录都是相互独立的。为此一登录就定位到用户的主目录,可以节省用户切换目录的麻烦。这可以提高用户文件复制的效率。另外,我们也可以看到,在Linux窗口的显示钟,其目录分为灰色与黑色两种字体,这主要是他们目录或者文件的性质不一样所造成的。灰色的表示隐藏文件(以英文点号开头的文件或者目录),一般都是系统目录或者文件。而黑色字体一般为用户自己的文件。分字体来显示文件,能够给用户一种直观的感觉。这对于他们进行文件的操作,也能够带来很大的方便。至少可以帮助用户比较快的选种自己的文件。另外值得一提的就是,使用WinSCP工具进行操作时,不需要Linux操作系统进行任何的响应。如使用PSI等工具进行文件传输时,必须要等待Linux操作系统响应才行。而使用这个WinScp工具的话,在Linux操作系统上不需要任何响应。都可以在WinSCP一端完成。
所以说在WinSCP工具中,其通过多种手段来帮助用户定位自己所需要操作的文件。这看起来虽然是小事情。即使没有这个功能也不影响用户的使用。但是,这却是一种很人性化的设计。其大大方便了用户的操作。
三、对格式进行自动转换。
如果现在Linux操作系统在担任一个服务器的角色。而且没有为其配备键盘、鼠标等外围设备。此时,系统管理员往往只有通过远程登录来维护服务器。而在对其进行维护的时候,配置文件是其必须要维护的内容。但是通过Linux操作系统自带的vi文本编辑器,来修改配置文件,很多系统管理员可能不习惯。因为其不能够通过鼠标来定位(如果鼠标存在的话),而只能够通过上下左右的方向键来进行光标的移动。为此在书写脚本的时候,非常的不方便。
如现在笔者自己采用的是Windows操作系统,而Oracle数据库服务器采用的是Linux服务器。笔者现在要写一个脚本文件,用来实现对Oracle数据库的备份。其实Linux操作系统中的脚本文件跟Windows操作系统中的批处理文件相同,都可以通过记事本来编写。只是扩展名不同而已。只要将扩展名改为sh,就变成了Linux操作系统上的脚本文件。但是在微软操作系统上编写好的脚本文件,如果有多行的话,则无法在Linux操作系统上直接运行。这主要是因为他们之间格式不兼容所导致的。为此现在需要有一种机制,能够根据Linux操作系统的需要,自动对这个脚本文件的格式进行转换。让Linux操作系统能够正确识别这个脚本文件,并执行它。
显然WinSCP能够很好的担任这个角色。首先系统管理员可以在Windows电脑上编写脚本程序。如可以利用记事本编写一个Oracle数据库备份的脚本程序,注意在文件命名的时候要采用sh扩展名。然后再利用这个工具,将这个文件直接从左面的窗口(Windows操作系统)移动到右面的窗口(Linux操作系统)的对应目录中。在这个复制的过程中,这个工具会自动转换这个脚本文件的格式。如果直接通过共享文件夹来传输文件的话,则需要手工使用命令来进行强制转换。显然这操作起来并不是很方便。而现在由这个工具来自动对文件进行转换,可以免除用户的烦恼。
WinSCP是一个免费的工具,只需要在Windows客户端上安装即可(微软操作系统默认情况下不支持ssh协议);而在Linux操作系统上则不用进行任何的配置。所以这个工具是Linux系统管理员的一个好帮手。其可以轻松实现在Windows客户端与Linux服务器之间实现文件的传送,而不用担心安全或者格式方面的问题。当初学者不怎么熟悉Linux操作系统的命令行操作方式时,这个工具可以非常轻松的帮助他们克服这个障碍,顺利的在两个操作系统上进行切换与文件的传输。
希望本文教会你利用WinScp解决Windows与Linux操作系统文件对传问题。
Linux操作系统的强大功能让很多人选择去应用它,这就不得不说说Linux防火墙,Linux防火墙的安全性能让很多用户所钟爱。你应用Linux防火墙可以实现不让其他主机扫描本机。
如果企业网络中有独立防火墙的话,再也可以实现类似的限制。如有些企业部署了入侵检测系统可以主动的阻止可疑的恶意行为,如NMAP扫描等等。但是NMAP命令结合一些选项使用,却可以跟Linux防火墙或者入侵检测系统躲猫猫。
虽然有的管理员质疑NMAP开发者提供这些选项的意图,这些选项容易被攻击者利用。但是工具没有好坏,就看人怎么利用了。一些系统管理员往往利用NMAP命令的这些选项来提高网络部署的安全性。如我就喜欢利用这个命令来跟防火墙等安全软件玩躲猫猫的游戏。也就是说笔者伪装成一个攻击者,来测试这些安全系统能否阻挡我的攻击或者能否在安全系统日志内留下我的踪迹。换个角度思考,或许就能够发现企业的安全漏洞。
类似的选项有很多。出于篇幅的限制,不能够过多的阐述。我就只拿一些常用的选项来进行说明。
一、把报文进行分段。
像防火墙等类似的安全设备,都可以用来过滤扫描报文。但是这个过滤的策略并不是很安全。如现在利用NMAP命令的-f选项,可以将Tcp头分段在好几个包中。如此的话,防火墙或者入侵检测系统中的包过滤器就很难过滤这个TCP包。从而可以让SNMP扫描命令跟这些安全措施玩躲猫猫的游戏。
当使用-f选项时,一个20字节的TCP头会被分割成三个包,其中两个包分别有TCP头的八个字节;另外一个包具有TCP头剩下的四个字节。通常情况下安全措施所采用的包过滤器会对所有的IP分段进行排队,而不会直接使用这些分段包。由于对报文进行了分段,那么这些过滤器就很难识别这些包的类型。然后这些包会在主机处重新进行整合,变成一个合法的TCP包。在大多数情况下这些安全措施应该禁止这些包。因为这些包会给企业的网络带来很大的性能冲击,无论是防火墙或者终端设备都会受到影响。如Linux系统的防火墙中有一个配置项,就可以通过禁止对IP分段进行排队而限制对TCP包进行分段。
可见nmap –f命令对防火墙等安全措施具有一定的欺骗性。我们刚好可以利用这个命令来测试我们所采用的安全软件是否真的安全。据我了解,虽然这个安全隐患已经出现许多年了,但是现在不是所有的安全产品都能够对此进行有效的预防。所以采用这个-f选项可以帮助系统管理员一针见血的判断所采用的安全产品能否应对这个可能的攻击。如在防火墙上设置禁止扫描,然后系统管理员再利用nmap –f命令无法得到应有的结果时,则表明防火墙策略有效。但是相反其仍然可以正常的返回结果(可能时间会长一点),则表明nmap –f命令可以成功的跟防火墙玩猫猫。系统管理员需要注意一下Linux防火墙的安全性了。
二、利用假的IP地址进行扫描。
通常情况下像防火墙或者客户端电脑都可以记录下访问者的相关信息,如IP地址等等。为此如果采用nmap命令来进行扫描的话,那就会在防火墙或者客户端主机上留下扫描着的IP地址。留下这个“罪证”对于扫描着可就非常不利了。另外在防火墙的配置上,系统管理员可能允许某个特定的IP地址可以进行扫描作业。而其他IP地址发出的扫描数据包都会被过滤掉。在这种情况下,无论是为了隐藏自己的真实身份,又或者是冒用合法地址进行NMAP扫描,都需要用到一种叫做源地址哄骗的技术。
说到这种技术,我不得不说说最近出现的一种手机诈骗手段,跟这个源地址哄骗非常类似。有时候我们会接到朋友打过来的电话或者发过来的短消息,要求我们汇钱过去。虽然此时手机上显示的是朋友的手机号码,其实发短信的人不一定是你的朋友。因为现在有一种技术可以把发送者的手机号码进行修改。发送者想显示什么号码就是什么号码。其实这个源地址哄骗跟这个手机号码欺骗是类似的道理。通过“nmap –s 扫描者IP地址 被扫描者IP地址”这种方式,攻击者可以把自己的IP地址隐藏掉,而采用一个假冒的IP地址。无论这个IP地址是否在网络中存在,都可以使用。在防火墙或者操作系统的日志上显示的都是伪装过的那个IP地址。
为此在选购防火墙等安全产品的时候,Linux系统管理员可以利用nmap –s命令来测试防火墙是否具有应对源地址哄骗攻击的手段。如先在Linux防火墙上启用日志功能,然后利用nmap –s命令来扫描防火墙或者其他主机设备。再去查看相关的日志。看看这个日志中纪录的IP地址信息是伪装的IP地址还是扫描者真实的IP地址。通过这种方式就可以简单的判断出防火墙等安全产品能否应对类似的源地址欺骗攻击。虽然日志记录的攻击者真实身份有点像放马后炮,但是对于我们迅速查找攻击者,防止其再次发动攻击具有很大的价值。为此一些安全产品中需要具备一些源地址哄骗的预防功能。
三、利用诱饵实现隐蔽扫描。
通过源地址哄骗可以隐藏扫描者的身份,不过这种技术的话在一次扫描过程中之能够伪装一个IP地址。而目前比较流行的隐藏IP地址的方法是使用诱饵主机。简单的说,非法供给者可以采用网络中正在使用的几个IP地址当作自己的IP地址,对网络主机进行扫描。而安全设备的话,并不知道哪个IP地址是真实的IP地址。如在防火墙上可能会纪录某个IP地址的5-8个端口扫描。这是一种比较隐蔽的隐藏自身IP地址的有效手段。
更有趣的是攻击者还可以把自己的真实IP地址也放入进去,以增加攻击的挑战性,挑战防守者的智慧。如系统管理员可以通过ME选项将自己的IP地址放入到诱饵IP地址当中。通常情况下把自己的IP地址放在靠后的位置,则防火墙就很难检测到这个真实的IP地址。不过这个诱饵的IP地址数量不在于多,而在于精。如把这一些具有比较高的权限的IP地址(如在Linux服务器上根据IP地址来实现一些防火墙策略)加入到诱饵主机列表中,将起到出奇制胜的效果。而过多的诱饵地址反而会使得扫描时间过长或者结果不准确。最要命的是可能会导致被扫描网络性能下降,从而引起对方网络管理员的注意。
其实诱饵技术现在也有了预防的方法。如通过路由追踪、响应丢弃等方法,可以用来防止攻击者使用诱饵隐蔽扫描。有时候这种安全机制对于企业很重要。因为诱饵隐蔽攻击不但可以秘密收集到企业网路主机的重要信息,为其后续攻击做好准备。而且nmap –D命令还容易引起SYN洪水攻击。如当非法攻击者所采用的诱饵主机并不在工作状态时,就会对目标主机发起SYN洪水攻击。这是一个比较危险的攻击手段。
既然现在已经有了解决方案来应对诱饵隐蔽扫描,那么Linux系统管理员或者网络工程师所要做的就是来测试防火墙或者其他的安全产品是否提供了类似的解决方案。有时候往往不能够光靠对方业务员的描述,而需要我们来进行测试。那么利用这个nmap 命令显然可以帮助我们来进行这方面的测试。
在nmap命令中,类似的选项还有很多。如可以通过source-port选项,来实现源端口哄骗;如利用date-length选项,在发送报文时附加有害的数据;通过spoof-mac选项,实现MAC地址哄骗,这个跟源地址欺骗结合可以让MAC地址与IP地址捆绑等安全策略失效;等等。这些选项如果被非法攻击者利用,无疑会威胁到Linux网络的安全。但是,如果我们能够事先采用这些选项来测试自己网络与主机的安全性,并率先把这些漏洞补上了。
那么非法攻击者也只好无功而返了。所以我认为工具无所谓好坏,主要就看使用者的心态了。为此我建议各位不妨利用NMAP命令跟自己企业的Linux防火墙等安全产品玩玩躲猫猫的游戏,来判断一下所谓的安全防护体系是否真的安全。
计算机世界里微软称霸,不过Linux也走出了自己之路,你是在应用Linux桌面系统么?你对于Linux桌面系统了解么?Linux是GNU/Linux桌面系统的泛称,其典型代表是Ubuntu 9.10发行版。计算机预装Linux是人们多年来的梦想。如今,这个梦想终于实现了。此话当真?
Ubuntu 9.10中的各类程序bugs,目前还有7万6千个左右,呈现波浪式下降趋势。根据明显的道理,如果局限在某一特定款式的计算机硬件体系上,这种bugs总数将急剧下降。Dell公司内部有一支力量强大的测试团队,扫除程序bugs,实现完美预装,专门对付这种局面。近日,Dell推出mini 10和mini 10v两种新款式的上网本,预装 Ubuntu 9.10(Dell修订版)桌面系统,被业内专家(如:Steven J. Vaughan-Nichols)称为上网本之精品(见Dell官方网站)。
Dell的这两款新机型,采用Intel最新的低功耗Pine Trail芯片组(Atom N450,1.66GHz),可连续运行10小时(6-Cell电池),11.1英寸显示屏,1GB内存,64GB固态硬盘,重3磅,无线上网,支持蓝牙,6种外观颜色,等等,定价仅为299美元。从mini 10的18张不同角度的图片来看,这款新机型一定让你心动。
从2007年5月,Dell公司就出售Ubuntu电脑,至今已有两年半了。Dell mini 10上网本宣告了一个新时代的到来:低价格、高性能的上网本登上了历史舞台,这是新一代上网本的标杆性代表作。这种产品为何不能到中国来销售?原因很简单,2千元人民币买回家,再装上盗版Win 7,身价顿时就会倍增(5千元人民币一台)。在购置电脑方面,某些国人很舍得花钱,上网本也要预装Win 7旗舰版(6千元一台),显得个人身价很高。这些人的手机也要玩数千元款式的新潮手机(我的新手机360元),他们对Linux电脑根本不屑一顾。
我相信,我周边的人并不都是很富裕,对4~5千元的上网本也会嫌贵。由此,我主张大家玩U盘。昨晚,我去喀纳斯专卖店(www.Kanasshop.com)转悠了一趟,发现4GB的自启动U盘才85元人民币一块,其实,一般而言,Ubuntu 9.10中文定制版只占U盘的800多MB的空间(专门压缩格式),用2GB的U盘就已足矣,价格还有进一步下降的余地。一块小小的U盘(比如,内装Mint 8)可使你的电脑焕然一新,何乐而不为?
说明:Live USB(即自启动U盘,不是LiveCD)的本意就是直接从U盘启动操作系统,未必一定要包含操作系统的安装功能。如果你想把U盘内容安装到自己的硬盘上去,那就得自己另外想法子了。也许在未来Linux桌面系统也学会赶超微软。
【编辑推荐】