配置ModSecurity防火墙与OWASP规则   from:http://resources.infosecinstitute.com/configuring-modsecurity-firewall-owasp-rules/0x00 背景ModSecurity是一个免费、开源的Apache模块，可以充当Web应用防火墙（WAF）。ModSecurity是一个入侵探测与阻止的引擎.它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙.ModSecurity的目的是为增强Web应用程序的安全性和保护Web应用程序避免遭受来自已知与未知的攻击.OWASP是一个安全社区，开发和维护着一套免费的应用程序保护规则，这就是所谓OWASP的ModSecurity的核心规则集（即CRS）。我们可以通过ModSecurity手工创建安全过滤器、定义攻击并实现主动的安全输入验证.所以，在这篇文章中，我们将配置ModSecurity防火墙与OWASP的核心规则集。我们也将学习如何可以根据我们的需要自定义OWASP的核心规则集或创建自己的定制规则.0x01 安装过程本文是在Centos环境中安装和配置的，步骤如下：第1步以root用户身份登录到您的服务器，登录之后我们在安装ModSecurity之前需要安装一些依赖包，可以通过以下的命令安装：yum install -y gcc make libxml2 libxml2-dev...

 微软于2015年7月20日发布安全公告，此次有1个严重补丁： MS15-078（严重），微软字体驱动中的漏洞可能导致远程代码执行 (3079904)  详情如下，请大家关注~     安全漏洞预警公告（MS15-078） 1、漏洞发布日期 2015年7月20日 2、已确认被成功利用的软件及系统 Windows Vista/7/8/8.1, Windows Server 2008/2008 R2/2012/2012 R2, Windows RT/RT 8.1 3、漏洞描述 此安全更新可修复 Microsoft Windows 中的漏洞。如果用户打开了嵌入OpenType字体的精心构造的文档或不被信任的网页，将有可能导致远程代码执行。 4、漏洞检测方法 无 5、建议修补方案 微软已经发布补丁MS15-078，补丁地址： https://technet.microsoft.com/zh-CN/library/security/ms15-078   

在服务器密钥交换握手信息中 SSL 收到了一个弱临时 Diffie-Hellman 密钥。 （错误码： ssl_error_weak_server_ephemeral_dh_key） 这是因为您访问的站点的证书本身存在问题，建议您优先联系管理员进行修正，不过您也可以先安装扩展：disable dhe，以便您能临时访问下该站点。　　希望我的回答对您有所帮助，如有疑问，欢迎继续咨询我们。

首先我们先了解Apache Gzip的相关资料。一、gzip介绍Gzip是一种流行的文件压缩算法，现在的应用十分广泛，尤其是在Linux平台。当应用Gzip压缩到一个纯文本文件时，效果是非常明显的，大约可以减少70％以上的文件大小。这取决于文件中的内容。 利用Apache中的Gzip模块，我们可以使用Gzip压缩算法来对Apache服务器发布的网页内容进行压缩后再传输到客户端浏览器。这样经过压缩后实际上降低了网络传输的字节数，最明显的好处就是可以加快网页加载的速度。网页加载速度加快的好处不言而喻，除了节省流量，改善用户的浏览体验外，另一个潜在的好处是Gzip与搜索引擎的抓取工具有着更好的关系。二、Web服务器处理HTTP压缩的过程如下：Web服务器接收到浏览器的HTTP请求后，检查浏览器是否支持HTTP压缩（Accept-Encoding 信息）；如果浏览器支持HTTP压缩，Web服务器检查请求文件的后缀名；如果请求文件是HTML、CSS等静态文件，Web服务器到压缩缓冲目录中检查是否已经存在请求文件的最新压缩文件；如果请求文件的压缩文件不存在，Web服务器向浏览器返回未压缩的请求文件，并在压缩缓冲目录中存放请求文件的压缩文件；如果请求文件的最新压缩文件已经存在，则直接返回请求文件的压缩文件...

apache使用gzip压缩打开http.conf文件,首先开启gzip模块:1LoadModule deflate_module modules/mod_deflate.so 然后,配置何时使用gzip压缩12345678<IfModule mod_deflate.c># 压缩等级 9DeflateCompressionLevel 9# 压缩类型 html、xml、php、css、jsSetOutputFilter DEFLATEAddOutputFilterByType DEFLATE text/html text/plain text/xml application/x-javascript application/x-httpd-phpAddOutputFilter DEFLATE js css</IfModule> 重启apache进行测试测试代码如下: 1 <html> 2 <body> 3 </body> 4 <div id="div1">1234</div> 5 <input type="button" value="ajax请求php页面" onclick="display()" /> 6 <script src="./js/zepto.min.js" type="text/javascript" charset="utf-8"></script> 7 <script type="text/javascript" charset="utf-8"> 8 function display() 9 { 10 $.ajax( 11 { 12 type:"post", 13 url:"ne...

Web项目到IIS7上的时候,发生了如下错误,特此记录下解决方案,以备遇到同样问题的同学参考，如有问题，欢迎指正！错误如下：我的解决方案如下：在cmd中以管理员身份运行->%windir%\Microsoft.NET\Framework\v4.0.30319\aspnet_regiis.exe -i 即可，如果安装成功，则会出现如下截图如果这样还不行，就检察IIS运行池模式是不是集成模式，.Net Framework版本是不是4.0，如下：

抓哪个进程干坏事前要先停掉syslog /etc/init.d/rsyslog stop echo 1 > /proc/sys/vm/block_dump dmesg | egrep “READ|WRITE|dirtied” | egrep -o ‘([a-zA-Z]*)’ | sort | uniq -c | sort -rn | head 1423 kjournald 1075 pdflush 209 indexer 3 cronolog 1 rnald 1 mysqld 不要忘记在抓完之后关掉block_dump和启动syslog echo 0 > /proc/sys/vm/block_dump /etc/init.d/rsyslog start

关于ip_conntrack调整的一个好文   Tuning Linux firewall connection tracker ip_conntrackOverviewIf your Linux server should handle lots of connections, you can get into the problem with ip_conntrack iptables module. It limits number of simultaneous connections your system can have. Default value (in CentOS and most other distros) is 65536. To check how many entries in the conntrack table are occupied at the moment: cat /proc/sys/net/ipv4/netfilter/ip_conntrack_count Or you can dump whole table : cat /proc/net/ip_conntrack Conntrack table is hash table (hash map) of fixed size (8192 entries by default), which is used for primary lookup. When the slot in the table is found it points to list of conntrack structures, so secondary lookup is done using list traversal. 65536/8192 gives 8 – the average list length. You may want to experiment with this value on heavily loaded systems. Modifying conntrack capacity To see the current conntrack capacity...

报错ip_conntrack version 2.4 (8192 buckets, 65536 max) - 304 bytes per conntrack     大家都知道linux的iptables防火墙使用了ip_conntrack 内核模块实现连接跟踪功能，所有的进出数据包都会记录在连接跟踪表中，包括tcp，udp，icmp等，一旦连接跟踪表被填满以后，就会发生丢包，导致网络不稳定。 在大多数系统中，缺省的连接跟踪表大小是65536，可以通过下面2条命令查看缺省大小，sysctl  net.ipv4.netfilter.ip_conntrack_maxcat  /proc/sys/net/ipv4/netfilter/ip_conntrack_max 当需要扩大连接跟踪表时，首先需要先加载ip_conntrack 模块，再通过以下接口进行调整，例如：modprobe  ip_conntracksysctl  -w net.ipv4.netfilter.ip_conntrack_max = 655360（放大10倍）。 其实，ip_conntrack 模块支持一个隐含的模块参数hashsize（隐含参数意味着通过modinfo ip_conntrack查看时没有给出的模块参数），连接跟踪表其实是一张hash表，每个hash bucket（桶）有8条记录，因此65536条记录对应8192个has...

在百度找了很多centos7.0搭建VPN的教程，结果大量的教程都不对。文武双全用自己家里的微型电脑，安装了centos7.0并且尝试搭建一个VPN服务器。下面把修订版的教程分享给大家，此贴参考了大量百度搜索到的教程，感谢所有为本人贡献知识的人们。1，先看看你的主机是否支持pptp，返回结果为yes就表示通过。modprobe ppp-compress-18 && echo yes2，是否开启了TUN，有的虚拟机主机需要开启，返回结果为cat: /dev/net/tun: File descriptor in bad state。就表示通过。cat /dev/net/tun3，先更新下操作系统，系统自动会更新一堆的东西。yum update4，安装pppyum -y install ppp5，安装pptpd，百度到大量教程这里有错误。centos7.0下使用yum安装pptpd失败了，后来文武双全直接下载pptpd服务，手动安装的。这里说下详细的安装pptpd的教程。首先到 http://rpmfind.net/linux/rpm2html/search.php?query=pptpd 找到你操作系统所对应的pptpd的版本号。文武双全用的是centos7.0，那么对应的pptpd的版本号就是 pptpd-1.4.0-2.fc20.x86_64.rpm 。（pptpd-1.4.0-6.fc21.x86_64.rpm无法安装到centos7.0中，一定要注意。）使用wget 命令将ppt...