Do not run Asterisk as root user

我用的 FreePBX 带的 Asterisk 是很久以前安装的,也没有关心过它是不是以 root 身份运行,直到最近被攻击。 攻击的症状是有大量的流量访问,伴随流量不停在 /tmp 目录下生成 1-2 GB 的垃圾文件,产生文件的速度似乎跟流量大小相关。 我不懂此次攻击的原理,但我发现原来一直以来 Asterisk 都是以 root 身份运行,我也知道这不合适。同时我也发现系统里早已有 asterisk 用户和 asterisk 组,程序、配置文件和文件夹的属主和属组都已是 asterisk 和 asterisk,也许攻击者对 Asterisk 做了提权。 不管怎样,我得先把 Asterisk 改为非 root 身份运行。因为我的 Asterisk 以 service 方式启动,所以我在 /etc/init.d/asterisk 里增加了两行: AST_USER=”asterisk” AST_GROUP=”asterisk” 重启就 OK 了。流量正常了,/tmp 下也不再生产垃圾文件,但不知道攻击有没有消失,至少漏洞堵上了。 在堵漏洞的过程中还有个插曲:一开始还不清楚是不是操作系统层面的漏洞,我一上来就来一个 yum update -y 结果重启后发现系统瘫痪了,连 ssh 也进不去,只好用 console 登录,发现尝试用 service 启动任何服务时都会出现类似的错误信息。… Continue reading Do not run Asterisk as root user

Sftp chroot howto

我之前在服务器上应用 Ftp chroot,那设置起来相对简单。但 Ftp service 不是服务器预装的,通常我会装 proftpd 或 vsftpd。 这次我想为什么不用服务器预装的 Sftp service?我有点钻了牛角尖—— Sftp 比 Ftp 好在哪?更安全?似乎这增加的安全性对我来说毫无意义。少占点硬盘空间?空余字节多着呢。总之,我想到了就想把它用起来。 首先新建一个用户组,sftponly,只要是这个组的用户 Sftp 登录后都会被 chroot。 然后把需要 chroot 的用户都加到 sftponly 组 如果是新用户,则在创建的时候直接参组。 然后要保证 /path/to/user1_home 这个目录及所有各级父目录的属主是 root,属性 755。user1 在他的 home directory 下是没有写权限的,不能由他自己创建文件或文件夹。这也容易理解,因为他被 chroot 以后,他的 home directory 看上去是系统根目录,普通用户当然不能在根目录这一级有写权限。这时需要 root 事先为 user1 创建好若干文件夹,如 /path/to/user1_home/documents、/path/to/user1_home/pictures,并将 documents、pictures 的属主指定为 user1。 然后我按网上的指点依样画瓢,在 /etc/ssh/sshd_config 里添加了这几行: 然后重启 sshd service 理论上这时… Continue reading Sftp chroot howto

I almost forgot how to use Apache

我不用 Apache 很多年,几乎忘了该怎么完整地配一台 Apache server。最近上线了一台 FreePBX,我想加强 web server 的安全系数,要修改一些默认参数。因为对 FreePBX 还不是很了解,所以不敢贸然把它的 web server 用我喜欢的 Nginx 代替,只好沿用元配的 Apache,捣腾它的 conf 文件。 首先,我想弄个 VirtualHost,把 FreePBX admin 界面隐藏到不公开的 ServerName 上。我忘了在使用 name based virtual host 前要先使用 NameVirtualHost 先声明一下。 其次,启用了 VirtualHost 以后,VirtualHost 之外的 main DocumentRoot 就不起作用了。我在 VirtualHost 之外定义了一个 DocumentRoot 并想当然地认为它是 default server (未经任何一个 VirtualHost 定义的 server)的 DocumentRoot。事实上,VirtualHost 的 default server 是由… Continue reading I almost forgot how to use Apache

Get rid of snapdo.com

Snapdo.com 非常流氓,一旦进驻,到处修改设置,把每个浏览器改得面目全非。 杀毒软件不当它是病毒,所以指望杀毒软件来修正错误是不可能的。我手动修正了多处地方,过了几天发现它还潜伏在那里。 今天又发现 Snapdo 原来是 Quickshare 在作祟。去 installed programs 里一看,果然有一个 Quickshare (之前没找到 Snapdo,以为 Snapdo 不敢暴露自己)。赶紧卸载。 发现 Snapdo 是 Quickshare 纯属偶然。因为 Chrome new tab 时仍出现 Snapdo,我搜了一下怎么恢复 Chrome new tab。有人说在 chome://flags disable Instant Extended API,但没效果,又有人说在 chrome://extensions/ disable all extensions。我这才发现 Quickshare,直接移除。

Step by step setup OpenVPN server on DrayTek router

一直以来都是偷懒,习惯用 PPTP 连接 VPN server。但 PPTP 安全性欠佳,overhead 又偏大,是时候让自己过渡到 OpenVPN 或者其他非 PPTP 方式的 VPN 了。 找到一个教程,是针对 Windows 用户的,先做个笔记。有空之时我再研究 Linux client 怎么连入 OpenVPN server on DrayTek router。

I thought I lost Hotmail

Hotmail 今天给我惊了一身冷汗。 我不用 hotmail 很多年。今天由于某种需要,登录了一下 hotmail。我虽然牢记我的密码,但是 hotmail 过于热心地说,“您好久不来了,我给你发个验证码”。 验证码发到哪儿呢?hotmail 显示了以前留给 hotmail 恢复密码用的另一个邮箱。hotmail 显示了恢复邮箱@前的前 2 个字母结果,其他用一串星号遮住。那是很久以前我用的一个免费邮箱提供商提供的邮箱,我申请过多个,有些已经不属于我了。 天哪!hotmail 会把验证码发到哪儿?我诚惶诚恐地登录了其中一个,一堆垃圾邮件,但没有新邮件;退出再登一个,也没有。晕了晕了——要是 hotmail 把验证码乱发,那我的 hotmail 也要被别人拿去了。然后骗子可能拿着我的账号去借钱,然后…… 还好,我再点一次让 hotmail 重发验证码,这次收到了,而且一次收到两个,不知道上一个验证码是发送延迟,还是接收延迟。哎,草草登录了事。hotmail 在欢迎页面上兴致勃勃地介绍起 outlook.com,我却有点哭笑不得。

Like WordPress, Dislike Cisco

WordPress 升 3.3了,感觉更清新了。好喜欢。 Cisco 本是不相干的一件事,为了省事,我放一块说了。两年前买了 Cisco WVC210 wireless IP camera,当时市价 £150左右,我买的是样机,£90。买了之后玩了两天就成了摆设,因为它距离路由器10米的地方隔两堵墙就不工作了。 最近为 hotel 买了几个 Xenta Wireless Night and Day Wireless IP Network Camera,£50不到,超级满意。我本不太敢买 Xenta 的产品,因为没有这个牌子的使用经验,事实证明我的顾虑是多余的。 跟 Cisco WVC210 wireless IP camera 相比好在哪? 首先,Xenta 有红线成像而 Cisco 没有; 其次,Xenta 内置喇叭而 Cisco 没有; 再次,Xenta pan & tilt 时静悄悄的而 Cisco 有吱吱声; 最后,Xenta 物美价实,而 Cisco 卖了两年还在卖 £150。

Damn phishing

网络骗子很可恶,因为它们在一个八杆子打不着的地方诱人上钩。虽然我不会上钩,但拿它们没办法,所以它们可恶。 今天接到一个未知号码(诈骗特征一)的来电,接起来后线路质量不是很好(诈骗特征二),一个印度口音的男子自称来自我的手机公司,问我是某某某吗。 因为线路不好,所以我根本没听清它到底称呼我什么,我就说: “Yes?” 它说: “You ordered a brand new phone in a year’s time, right?” 我这时不能确定它的意图,可能是手机公司要给我 upgrade,那就继续听下去。我还是说: “Yes?” 它说: “Can you confirm your name?” 我立马警觉,说: “Why do I need to confirm my name?” 它说: “Because I want to verify your name.” 我说: “Why do you want to verify my name?” 它见我不上钩,挂了。我还是觉得很气愤,骗子们四处逛,总有无知的会上钩,谁能整整这些败类,啊?!

I could use Google apps account as my OpenId

Years ago, I knew OpenId. Years ago, I knew Google account supports OpenId as OpenId provider. Years ago, I knew Google apps premium version account support SSO. And I was misled by many threads that Google apps standard version account does not support OpenId. I did try several times without success, but I did not… Continue reading I could use Google apps account as my OpenId

Is it a serious security leak for WordPress bloggers?

By WordPress default settings, anyone who knows WordPress blog administrator’s email address can put this address in comment required field, and make comment without being moderated as if he was the administrator. I think it is very bad design of authentication. It worries me a lot although none of my blog users pretend to be… Continue reading Is it a serious security leak for WordPress bloggers?