扫盲:操作系统虚拟机

2012 年 10 月 27 日 by Orange

扫盲操作系统虚拟机[0]：概述

上星期的博文《如何防止黑客入侵[7]：Web相关的防范 (下)》提到了利用虚拟机来加固系统安全，防范网络入侵。其实捏，操作系统虚拟机除了可以用来防范黑客，还可以干很多其它的事情。只可惜很多人不太了解虚拟机，未能享受到它带来的便利。
考虑到很多网友不是 IT 行业的技术人员，不懂得折腾操作虚拟机。因此，俺着手写一个系列博文，专门介绍这方面的知识和经验。

为了方便阅读，把本系列帖子的目录整理如下（需翻墙）：
1. 基本概念和功能简介
2. 各种应用场景
3. VMware的安装和使用
4. （未完待续）

==========

扫盲操作系统虚拟机[1]：基本概念和功能简介

★扫盲一下基本概念

先扫盲几个基本概念。如果你对虚拟机相关的概念已经很清楚，可以跳过本节。

◇什么是虚拟机？

简单滴说：虚拟机本身是一个软件，可以模拟出一个跟真实环境一模一样的虚拟环境，然后在这个虚拟环境中运行其它软件。
举一个通俗的例子。
想必70后80后的网友都玩过任天堂的红白机（接在电视上的那种）。如今市面上早已没有红白机的踪影。万一你想找一个红白机的游戏怀旧一下，怎么办（更多…）

绕过htaccess的限制工具-HTExploit

2012 年 10 月 19 日 by Orange

HTExploit是Black hat 2012发布的一款工具，由python编写并且开放源代码，用了.htaccess配置中身份验证和对web目录保护过程的弱点。可以通过使用这个工具绕过身份验证列出一个目录的保护内容。该工具提供了模块化的设计，允许渗透测试人员充分对受到保护的网站进行渗透测试：SQL注入，本地文件保护，远程文件保护，等等。

工具特点：

多个模块执行
输出保存到指定目录
html格式报告
可以使用wordlist

可用模块

detect  - 目录探测
full  - 使用字典方式探测url，查找脆弱的php文件

使用方法：

$python htexploit

运行之后如下：

| |  | | |__   __| （更多…）

How to Install Java on Linux

2012 年 9 月 15 日2012 年 10 月 31 日 by Orange

Java allows you run cross-platform applications that can run on Mac OS-X, Linux, and Windows (among other OSs) without modification. Here’s how to install it on a GNU/Linux machine.

Steps

Manual Non-RPM Method

This is the generic method that also works with GNU/Linux clones that do not support RPM. It does not require administrator rights and allows installing multiple Java versions on the same （更多…）

学习Web应用漏洞最好的教程—-WebGoat

2012 年 9 月 9 日2012 年 10 月 31 日 by Orange

WebGoat是一个用于讲解典型web漏洞的基于J2EE架构的web应用，他由著名的WEB应用安全研究组织OWASP精心设计并不断更新，目前的版本已经到了5.0。WebGoat本身是一系列教程，其中设计了大量的web缺陷，一步步的指导用户如何去利用这些漏洞进行攻击，同时也指出了如何在程序设计和编码时避免这些漏洞。Web应用程序的设计者和测试者都可以在WebGoat中找到自己感兴趣的部分。
虽然WebGoat中对于如何利用漏洞给出了大量的解释，但是还是比较有限，尤其是对于初学者来说，但觉得这正是其特色之处：WebGoat的每个教程都明确告诉你存在什么漏洞，但是如何去攻破要你自己去查阅资料，了解该漏洞的原理、特征和攻击方法，甚至要自己去找攻击辅助工具，当你成功时，WebGoat会给出一个红色的Congratulation，让你很有成就感！（咱号称搞技术的不就需要这个吗?）

WebGoat甚至支持在其中加入自己的教程，具体方法可以查看其说明文档；

WebGoat中包括的漏洞教程主要有

Cross-site （更多…）

启用 Mac OS X 中的 Apache 和 PHP

2012 年 8 月 10 日2012 年 10 月 31 日 by Orange

Mac OS X 是自带 Apache 和 PHP 的，但默认情况下并没有开启，此文说明如何启用这两个服务，环境基于 Mac OS X 10.6 Snow Leopard。

启动 Apache

启动 Apache 有两种方法，一是图形化界面，而是命令行界面。

图形化的方法是打开「系统偏好设置」中「共享」的「Web 共享」。

Mac OS X 启用「Web 共享」

命令行方法是打开终端，Apache 服务需要 root 权限才能启动，所以执行以下命令：
sudo apachectl start

启用 PHP

修改 Apache 的配置文件，路径是 /etc/apache2/httpd.conf，把关于 PHP 的一行的注释（#）去掉：
LoadModule php5_module libexec/apache2/libphp5.so
然后重启（更多…）

在Linux下，SVN服务器的权限配置

2012 年 7 月 17 日 by Orange

言归正传，按照前面的教程装完1.5.5版以后，当svnadmin create /home/svn/yourproject创建仓库后，应该在仓库目录下的config目录有3个文件——authz、passwd、svnserve.conf。

下面对3个文件进行说明：

svnserve.conf是基础的配置，用于控制访问的权限将[general]前的注释与空格去掉，一定要去掉空格，否则到时客户端登录会出现”Section header must start in the first column的”的告警！亲身体会啊！！最后此文件内容至少包含以下内容：

[general]

anon-access = none

auth-access = write

password-db = passwd

authz-db = authz

其中，anon-access = none禁止匿名登录，auth-access （更多…）

Linux下关于subversion权限配置问题

2012 年 7 月 17 日 by Orange

我们在Linux下安装svn时，会发现这么一个问题，所有配置svn的过程自己都认为成功了，为什么一到客户端访问就会出现这样的提示呢：

Authorization failed

其实这个是权限配置的问题，说白了就是目录没配置对，并且你也没访问对。其实svn的配置不是很难，难的是你怎么用你清晰的思路去理解，以下说一下我是怎么进行配置的：

Subversion启动时候一定要注意应该启动哪个目录，这个细节将直接影响到你最后将给予目录权限的配置文件authz上面。

1、启动： svnserve –d –r /

这样的话在authz里就该：

[test:/] //可以访问test目录下所有文件(test是我在/根下建立的一个文件夹)

086php = rw //具有读写权限

? = r // 除了上面的用户，其他用户只有读的权限

客户端访问应该是这样:

IP （更多…）

ubuntu下svn服务器的安装配置

2012 年 7 月 14 日2012 年 10 月 31 日 by Orange

1.SubVersion服务安装

1 2	sudo apt-get install subversion sudo apt-get install libapache2-svn

2.服务器配置
2.1相关用户、组的设定
将自己和“www-data”(Apache 用户)加入组subversion中

1 2	sudo addgroup subversion sudo usermod -G subversion -a www-data

看下结果：

1	cat /etc/group\|grep subversion

这里注意，需要注销然后再登录以便您能够成为 subversion 组的一员，然后就可以执行签入文件（Check in，也称提交文件）的操作了
仓库位置我们就放在/home/svn下吧：

1	sudo mkdir /home/svn

2.2配置subversion
编辑/etc/subversion/config （更多…）

28个Unix/Linux的命令行神器

2012 年 7 月 11 日2012 年 10 月 31 日 by Orange

下面是Kristóf Kovács收集的28个Unix/Linux下的28个命令行下的工具（原文链接），有一些是大家熟悉的，有一些是非常有用的，有一些是不为人知的。这些工具都非常不错，希望每个人都知道。本篇文章还在Hacker News上被讨论，你可以过去看看。我以作者的原文中加入了官网链接和一些说明。

dstat & sar

iostat, vmstat, ifstat 三合一的工具，用来查看系统性能（我在《性能调优攻略》中提到过那三个xxstat工具）。

官方网站：http://dag.wieers.com/rpm/packages/dstat/

你可以这样使用：

1	`alias` `dstat='dstat -cdlmnpsy'`

slurm

查看网络流量的一个工具

官方网站： Simple （更多…）

10 款强大的JavaScript图表图形插件推荐

2012 年 7 月 10 日2012 年 10 月 31 日 by Orange

网上有很多用于绘制图表图形的免费JavaScript插件和图表库，这类插件大量出现的原因，一是人们不再依赖于Flash，二是浏览器和精密的计算使呈现实时数据变得容易，而且各种向量绘图技术像VML、SVG和Canvas的发展也使之成为可能。

本文推荐10款强大的绘制图表图形的JavaScript插件。其中一些插件需要主流浏览器的支持，而另外一些经过整合后，也能在不同的平台和老版本的浏览器上工作。有些工具是独立的框架，大部分支持常规的功能：条形图、线形图、饼形图，有的还可以生成更复杂的图表：关联图、维恩图、热区图、Newick树图、二维散点图、二维气泡图、三维散点图。

1. Humble Finance

这是一个非常好用的HTML5数据可视化工具，与Flash工具颇为相似。基于JavaScript，利用了Prototype 和 Flotr 库，可用于显示两组实时二维数据。

2. （更多…）

桔子小窝

Server