全面认识VPN(二)

Posted by 冰河 at 09:31 No Responses » 5,156 Views
112010

寻求适合的VPN方案
VPN 有三种解决方案,用户可以根据自己的情况进行选择。这三种解决方案分别是:远程访问虚拟网(AccessVPN)、企业内部虚拟网 (IntranetVPN)和企业扩展虚拟网(ExtranetVPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及 企业网和相关合作伙伴的企业网所构成的Extranet相对应。

1.如果企业的内部人员移动或有远程办公需要,或者商家要提供B2C的安全访问服务,就可以考虑使用AccessVPN。

AccessVPN 通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问。AccessVPN能使用户随时、随地以其所需的方式访问企业资 源。AccessVPN包括模拟、拨号、ISDN、数字用户线路(xDSL)、移动IP和电缆技术,能够安全地连接移动用户、远程工作者或分支机构。如图 1所示。



图1 AceessVPN结构图

AccessVPN最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地ISP提供的VPN服务,就可以和公司的VPN网关建立私有的隧道连接。RADIUS服务器可对员工进行验证和授权,保证连接的安全,同时负担的电话费用大大降低。

AccessVPN对用户的吸引力在于:

* 减少用于相关的调制解调器和终端服务设备的资金及费用,简化网络;

* 实现本地拨号接入的功能来取代远距离接入或800电话接入,这样能显著降低远距离通信的费用;

* 极大的可扩展性,简便地对加入网络的新用户进行调度;

* 远端验证拨入用户服务(RADIUS)基于标准,基于策略功能的安全服务;

* 将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来。

2.如果要进行企业内部各分支机构的互联,使用IntranetVPN是很好的方式。

越 来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等,各个分公司之间传统的网络连接方式一般是租用专线。显然,在分公司增多、业务 开展越来越广泛时,网络结构趋于复杂,费用昂贵。利用VPN特性可以在Internet上组建世界范围内的IntranetVPN。利用 Internet的线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个IntranetVPN上安全传输。IntranetVPN通 过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠 性。如图2所示。



图2 IntranetVPN结构图

IntranetVPN对用户的吸引力在于:

* 减少WAN带宽的费用;

* 能使用灵活的拓扑结构,包括全网络连接;

* 新的站点能更快、更容易地被连接;

* 通过设备供应商WAN的连接冗余,可以延长网络的可用时间。

3.如果是提供B2B之间的安全访问服务,则可以考虑ExtranetVPN。

随 着信息时代的到来,各个企业越来越重视各种信息的处理。希望可以提供给客户最快捷方便的信息服务,通过各种方式了解客户的需要,同时各个企业之间的合作关 系也越来越多,信息交换日益频繁。Internet为这样的一种发展趋势提供了良好的基础,而如何利用Internet进行有效的信息管理,是企业发展中 不可避免的一个关键问题。利用VPN技术可以组建安全的Extranet,既可以向客户、合作伙伴提供有效的信息服务,又可以保证自身的内部网络的安全。

ExtranetVPN通过一个使用专用连接的共享基础设施,将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。如图3所示。



图3 ExtranetVPN结构图

ExtranetVPN对用户的吸引力在于:能容易地对外部网进行部署和管理,外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。主要的不同是接入许可,外部网的用户被许可只有一次机会连接到其合作人的网络。

VPN的益处
Internet服务提供商(ISP)和企业将是VPN的直接受益者。ISP将VPN作为一项增值业务推向企业,并从企业得到回报。因此,VPN的最终目的是服务于企业,为企业带来可观的经济效益,为现代化企业的信息共享提供安全可靠的途径。

1.ISP受益

对 于ISP来说,VPN提供了巨大商机。世纪互联的薛滔先生介绍说:世纪互联使用的是基于网通的全国网络,有很好的硬件条件。面对IDC在2001年更加激 烈的竞争状况,世纪互联希望在IDC基础之上找到新的增长点。因为网站缩水,所以世纪互联将目光转向大中型传统企业,分析他们对电信资源有哪些需求,结果 觉得VPN是一个机会。世纪互联现在正在探索,VPN的方案和技术已经准备就绪。世纪互联的目标用户是全国有分支机构,信息化建设已经达到一定水平的单 位,世纪互联将整合现有资源,包括网络、托管和技术力量来为用户提供服务。通过向企业提供VPN增值服务,ISP可以与企业建立更加紧密的长期合作关系, 同时充分利用现有网络资源,提高业务量。事实上,VPN用户的数据流量较普通用户要大得多,而且时间上也是相互错开的。VPN用户通常是上班时间形成流量 的高峰,而普通用户的流量高峰期则在工作时间之外。ISP对外提供两种服务,资源利用率和业务量都会大大增加。同时,VPN使ISP能够经济地维持开发客 户群、增加利润、提供增强服务,如视频会议、电子商务、IP电话、远程教学、多媒体商务应用等等。

2.用户受益

哪些用户适于使用VPN呢?在满足基本应用要求后,有三类用户比较适合采用VPN:

1)位置众多,特别是单个用户和远程办公室站点多,例如企业用户、远程教育用户;

2)用户/站点分布范围广,彼此之间的距离远,遍布全球各地,需通过长途电信,甚至国际长途手段联系的用户;

3)带宽和时延要求相对适中;

4)对线路保密性和可用性有一定要求的用户。

北 京红帆沃德通信网络技术有限公司王军先生说:红帆的用户大多是北京的用户,这些用户利用VPN与外地或国外分支机构进行连接。用户的VPN线路大部分是建 立在Cisco或华为路由器之间,利用Internet传送数据。不管用户使用哪个ISP,基本都能满足用户的需求,数据加密效果很好。在与用户接触的过 程中,王先生感觉,分公司遍布全国或国外的企业对VPN需求比较强烈,希望数据在Internet上能够加密传输,并节省费用。还有一点,就是外资、合资 公司使用VPN比较多,而国有企业计算机应用水平低,几乎不用VPN。

相对而言,有四种情况可能并不适于采用VPN:

1)非常重视传输数据的安全性;

2)不管价格多少,性能都被放在第一位的情况;

3)采用不常见的协议,不能在IP隧道中传送应用的情况;

4)大多数通信是实时通信的应用,如语音和视频。但这种情况可以使用公共交换电话网(PSTN)解决方案与VPN配合使用。

对 于企业来说,VPN提供了安全、可靠的 Internet访问通道,为企业进一步发展提供了可靠的技术保障。而且VPN能提供专用线路类型服务,是方便快捷的企业私有网络。企业甚至可以不必建立 自己的广域网维护系统,而将这一繁重的任务交由专业的ISP来完成。由于VPN的出现,用户可以从以下几方面获益:

1)实现网络安全 具有高度的安全性,对于现在的网络是极其重要的。新的服务如在线银行、在线交易都需要绝对的安全,而VPN以多种方式增强了网络的智能和安全性。首先,它 在隧道的起点,在现有的企业认证服务器上,提供对分布用户的认证。另外,VPN支持安全和加密协议,如SecureIP(IPsec)和 Microsoft点对点加密(MPPE)。

2)简化网络设计网络管理者可以使用VPN替代租用线路来实现分支机构的连接。这样就可 以将对远程链路进行安装、配置和管理的任务减少到最小,仅此一点就可以极大地简化企业广域网的设计。另外,VPN通过拨号访问来自于ISP或NSP的外部 服务,减少了调制解调器池,简化了所需的接口,同时简化了与远程用户认证、授权和记账相关的设备和处理。

3)降低成本 VPN可以立即且显著地降低成本。当使用Internet时,实际上只需付短途电话费,却收到了长途通信的效果。因此,借助ISP来建立VPN,就可以节 省大量的通信费用。此外,VPN还使企业不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备,这些工作都可以交给ISP。VPN使用户可以降 低如下的成本:

◆移动用户通信成本。VPN可以通过减少长途费或800费用来节省移动用户的花费。

◆租用线路成本。VPN可以以每条连接的40%到60%的成本对租用线路进行控制和管理。对于国际用户来说,这种节约是极为显著的。对于话音数据,节约金额会进一步增加。

◆ 主要设备成本。VPN通过支持拨号访问外部资源,使企业可以减少不断增长的调制解调器费用。另外,它还允许一个单一的WAN接口服务多种目的,从分支网络 互连、商业伙伴的外连网终端、本地提供高带宽的线路连接到拨号访问服务提供者,因此,只需要极少的WAN接口和设备。由于VPN可以完全管理,并且能够从 中央网站进行基于策略的控制,因此可以大幅度地减少在安装配置远端网络接口所需设备上的开销。另外,由于VPN独立于初始协议,这就使得远端的接入用户可 以继续使用传统设备,保护了用户在现有硬件和软件系统上的投资。

4)容易扩展如果企业想扩大VPN的容量和覆盖范围。企业需做的事情 很少,而且能及时实现:企业只需与新的IPS签约,建立账户;或者与原有的ISP重签合约,扩大服务范围。在远程办公室增加VPN能力也很简单:几条命令 就可以使Extranet路由器拥有Internet和VPN能力,路由器还能对工作站自动进行配置。

5)可随意与合作伙伴联网 在过去,企业如果想与合作伙伴连网,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路。有了VPN之后,这种协商也毫无必要,真正达到了要连就连,要断就断。

6)完全控制主动权 借助VPN,企业可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。比方说,企业可以把拨号访问交给ISP去做,由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。

7)支持新兴应用 许多专用网对许多新兴应用准备不足,如那些要求高带宽的多媒体和协作交互式应用。VPN则可以支持各种高级的应用,如IP语音,IP传真,还有各种协议,如RSIP、IPv6、MPLS、SNMPv3等。

正由于VPN能给用户带来诸多的好处,VPN在全球发展得异常红火,在北美和欧洲,VPN已经是一项相当普遍的业务;在亚太地区,该项服务也迅速开展起来。

全面认识VPN(一)

Posted by 冰河 at 09:30 No Responses » 18,423 Views
112010

在国外,VPN已经迅速发展起来,2001年全球VPN市场将达到120亿美元。在中国,虽然人们对VPN的定义还有些模糊不清,对VPN的安全性、服务质量(QoS)等方面存有疑虑,但互联网和电子商务的快速发展使我们有理由相信,中国的VPN市场将逐渐热起来。

对 国内的用户来说,VPN(虚拟专用网,Virtual Private Network)最大的吸引力在哪里?是价格。据估算,如果企业放弃租用专线而采用VPN,其整个网络的成本可节约21%-45%,至于那些以电话拨号方 式连网存取数据的公司,采用VPN则可以节约通讯成本50%-80%。

为什么VPN可以节约这么多的成本?这就先要从VPN的概念谈起。

认识VPN
现 在有很多连接都被称作VPN,用户经常分不清楚,那么一般所说的VPN到底是什么呢?顾名思义,虚拟专用网不是真的专用网络,但却能够实现专用网络的功 能。虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用 网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。IETF草案理解基于IP的VPN为:”使用 IP机制仿真出一个私有的广域网”是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路, 而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。

用户现在在 电信部门租用的帧中继(Frame Relay)与ATM等数据网络提供固定虚拟线路(PVC-Permanent Virtual Circuit)来连接需要通讯的单位,所有的权限掌握在别人的手中。如果用户需要一些别的服务,需要填写许多的单据,再等上相当一段时间,才能享受到新 的服务。更为重要的是两端的终端设备不但价格昂贵,而且管理也需要一定的专业技术人员,无疑增加了成本,而且帧中继、ATM数据网络也不会像 Internet那样,可立即与世界上任何一个使用Internet网络的单位连接。而在Internet上,VPN使用者可以控制自己与其他使用者的联 系,同时支持拨号的用户。

所以我们说的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络,而不是Frame Relay或ATM等提供虚拟固定线路(PVC)服务的网络。以IP为主要通讯协议的VPN,也可称之为IP-VPN。

由于VPN是在Internet上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用,在运行的资金支出上,除了购买VPN设备,企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用,也节省了长途电话费。这就是VPN价格低廉的原因。

越 来越多的用户认识到,随着Internet和电子商务的蓬勃发展,经济全球化的最佳途径是发展基于Internet的商务应用。随着商务活动的日益频繁, 各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网,从而大大简化信息交流的途径,增加信息交换速度。这些合作和联系是动态的,并依靠网络来维持 和加强,于是各企业发现,这样的信息交流不但带来了网络的复杂性,还带来了管理和安全性的问题,因为Internet是一个全球性和开放性的、基于 TCP/IP 技术的、不可管理的国际互联网络,因此,基于Internet的商务活动就面临非善意的信息威胁和安全隐患。

还有一类用户,随着自身的的发展壮大与跨国化,企业的分支机构不仅越来越多,而且相互间的网络基础设施互不兼容也更为普遍。因此,用户的信息技术部门在连接分支机构方面也感到日益棘手。

用户的需求正是虚拟专用网技术诞生的直接原因。

用户需要的VPN
一.VPN的特点

在实际应用中,用户需要的是什么样的VPN呢?一般情况下,一个高效、成功的VPN应具备以下几个特点:

1.安全保障

虽 然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点 的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全 性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视 和篡改,并且要防止非法用户对网络资源或私有信息的访问。ExtranetVPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。

2.服务质量保证(QoS)

VPN 网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户,提供广泛的连接和覆盖性是保证 VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性;对于其它应用(如视频等)则 对网络提出了更明确的要求,如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面,构建VPN的另一重要需 求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈, 使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带 宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。

3.可扩充性和灵活性

VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。

4.可管理性

从 用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。 虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。所以,一个完善的VPN管理系统是必不可少的。VPN 管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、 QoS管理等内容。

二.自建还是外包

由于VPN低廉的使用成本和良好的安全性,许多大型企业及其分布在各地的办事 处或分支机构成了VPN顺理成章的用户群。对于那些最需要VPN业务的中小企业来说,一样有适合的VPN策略。当然,不论何种VPN策略,它们都有一个基 本目标:在提供与现有专用网络基础设施相当或更高的可管理性、可扩展性以及简单性的基础之上,进一步扩展公司的网络连接。

1.大型企业自建VPN

大 型企业用户由于有雄厚的资金投入做保证,可以自己建立VPN,将VPN设备安装在其总部和分支机构中,将各个机构低成本且安全地连接在一起。企业建立自己 的VPN,最大的优势在于高控制性,尤其是基于安全基础之上的控制。一个内部VPN能使企业对所有的安全认证、网络系统以及网络访问情况进行控制,建立端 到端的安全结构,集成和协调现有的内部安全技术。

企业还可以确保得到业内最好的技术以满足自身的特殊需要,这要优于ISP所提供的普通服务。而且,建立内部VPN能使企业有效节省VPN的运作费用。企业可以节省用于外包管理设备的额外费用,并且能将现有的远程访问和端到端的网络集成起来,以获取最佳性价比的VPN。

虽 然VPN外包能避免技术过时,但并不意味着企业可以节省开支。因为,企业最终还要为高额产品支付费用,以作为使用新技术的代价。虽然VPN外包可以简化企 业网络部署,但这同样降低了企业对公司网的控制等级。网络越大,企业就越依赖于外包VPN供应商。因此,自建VPN是大型企业的最好选择。

2.中小型企业外包VPN

虽 然每个中小型企业都是相对集中和固定的,但是部门与部门之间、企业与其业务相关企业之间的联系依然需要廉价而安全的信息沟通,在这种情况下就用得上 VPN。电信企业、IDC目前提供的VPN服务,更多的是面向中小企业,因为可以整合现有资源,包括网络优势、托管和技术力量来为中小企业提供整体的服 务。中小型企业如果自己购买VPN设备,则财务成本较高,而且一般中小型企业的IT人员短缺、技能水平不足、资金能力有限,不足以支持VPN,所以,外包 VPN是较好的选择。

* 外包VPN比企业自己动手建立VPN要快得多,也更为容易。

* 外包VPN的可扩展性很强,易于企业管理。有统计表明,使用外包VPN方式的企业,可以支持多于2300名用户,而内部VPN平均只能支持大约150名用户。而且,随着用户数目的增长,对用于监控、管理、提供IT资源和人力资源的要求也将呈指数增长。

* 企业VPN必须将安全和性能结合在一起,然而,实际情况中两者不能兼顾。例如,对安全加密级别的配置经常降低VPN的整体性能。而通过提供VPN外包业务的专业ISP的统一管理,可大大提高VPN的性能和安全。ISP的VPN专家还可帮助企业进行VPN决策。

* 对服务水平协议(SLA)的改进和服务质量(QoS)保证,为企业外包VPN方式提供了进一步的保证。

三.VPN安全技术

由于传输的是私有信息,VPN用户对数据的安全性都比较关心。

目 前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。

1. 隧道技术是VPN的基本技术,类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第 二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传 输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。

第 三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec(IP Security)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。

2.加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。

3. 密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP 主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。

4.身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。

四.堵住安全漏洞

安全问题是VPN的核心问题。目前,VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现的,可以保证企业员工安全地访问公司网络。

但 是,如果一个企业的VPN需要扩展到远程访问时,就要注意,这些对公司网直接或始终在线的连接将会是黑客攻击的主要目标。因为,远程工作员工通过防火墙之 外的个人计算机可以接触到公司预算、战略计划以及工程项目等核心内容,这就构成了公司安全防御系统中的弱点。虽然,员工可以双倍地提高工作效率,并减少在 交通上所花费的时间,但同时也为黑客、竞争对手以及商业间谍提供了无数进入公司网络核心的机会。

但是,企业并没有对远距离工作的安全 性予以足够的重视。大多数公司认为,公司网络处于一道网络防火墙之后是安全的,员工可以拨号进入系统,而防火墙会将一切非法请求拒之其外;还有一些网络管 理员认为,为网络建立防火墙并为员工提供VPN,使他们可以通过一个加密的隧道拨号进入公司网络就是安全的。这些看法都是不对的。

在 家办公是不错,但从安全的观点来看,它是一种极大的威胁,因为,公司使用的大多数安全软件并没有为家用计算机提供保护。一些员工所做的仅仅是进入一台家用 计算机,跟随它通过一条授权的连接进入公司网络系统。虽然,公司的防火墙可以将侵入者隔离在外,并保证主要办公室和家庭办公室之间VPN的信息安全。但问 题在于,侵入者可以通过一个被信任的用户进入网络。因此,加密的隧道是安全的,连接也是正确的,但这并不意味着家庭计算机是安全的。

黑 客为了侵入员工的家用计算机,需要探测IP地址。有统计表明,使用拨号连接的IP地址几乎每天都受到黑客的扫描。因此,如果在家办公人员具有一条诸如 DSL的不间断连接链路(通常这种连接具有一个固定的IP地址),会使黑客的入侵更为容易。因为,拨号连接在每次接入时都被分配不同的IP地址,虽然它也 能被侵入,但相对要困难一些。一旦黑客侵入了家庭计算机,他便能够远程运行员工的VPN客户端软件。因此,必须有相应的解决方案堵住远程访问VPN的安全 漏洞,使员工与网络的连接既能充分体现VPN的优点,又不会成为安全的威胁。在个人计算机上安装个人防火墙是极为有效的解决方法,它可以使非法侵入者不能 进入公司网络。当然,还有一些提供给远程工作人员的实际解决方法:

* 所有远程工作人员必须被批准使用VPN;

* 所有远程工作人员需要有个人防火墙,它不仅防止计算机被侵入,还能记录连接被扫描了多少次;

* 所有的远程工作人员应具有入侵检测系统,提供对黑客攻击信息的记录;

* 监控安装在远端系统中的软件,并将其限制只能在工作中使用;

* IT人员需要对这些系统进行与办公室系统同样的定期性预定检查;

* 外出工作人员应对敏感文件进行加密;

* 安装要求输入密码的访问控制程序,如果输入密码错误,则通过Modem向系统管理员发出警报;

* 当选择DSL供应商时,应选择能够提供安全防护功能的供应商。

112010

VSFTPD是一种在 UNIX/Linux中非常安全且快速的FTP服务器,目前已经被许多大型站点所采用。VSFTPD支持将用户名和口令保存在数据库文件或数据库服务器 中。VSFTPD称这种形式的用户为虚拟用户。相对于FTP的本地(系统)用户来说,虚拟用户只是FTP服务器的专有用户,虚拟用户只能访问FTP服务器 所提供的资源,这大大增强系统本身的安全性。相对于匿名用户而言,虚拟用户需要用户名和密码才能获取FTP服务器中的文件,增加了对用户和下载的可管理 性。对于需要提供下载服务,但又不希望所有人都可以匿名下载;既需要对下载用户进行管理,又考虑到主机安全和管理方便的FTP站点来说,虚拟用户是一种极 好的解决方案。本文介绍在RedHat Linux 9上如何将VSFTPD的虚拟用户名和密码保存在MySQL数据库服务器中。

一、VSFTPD的安装

目前,VSFTPD的最新版本是1.2.0版。官方下载地址为ftp://vsftpd.beasts.org/users/cevans/vsftpd-1.2.0.tar.gz。在安装前,需要先做以下准备工作:

VSFTPD默认配置中需要“nobody”用户。在系统中添加此用户,如果用户已经存在,useradd命令有相应提示。

[root@hpe45 root]# useradd nobody

useradd: user nobody exists

VSFTPD默认配置中需要“/usr/share/empty”目录。在系统中此目录,如果目录已经存在,mkdir命令有相应提示。

[root@hpe45 root]# mkdir /usr/share/empty/

mkdir: cannot create directory ‘/usr/share/empty’: File exists

VSFTPD提供匿名FTP服务时,需要“ftp”用户和一个有效的匿名目录。

[root@hpe45 root]# mkdir /var/ftp/

[root@hpe45 root]# useradd -d /var/ftp ftp

接下来的操作对于ftp用户是否已经存在都是有用的。

[root@hpe45 root]# chown root.root /var/ftp

[root@hpe45 root]# chmod og-w /var/ftp

以上准备工作完成后,我们就可以开始编译源代码了。假定我们下载的vsftpd-1.2.0.tar.gz在/root目录,执行以下命令:

[root@hpe45 root]# tar zxvf vsftpd-1.2.0.tar.gz

[root@hpe45 root]# cd vsftpd-1.2.0

[root@hpe45 vsftpd-1.2.0]# make

[root@hpe45 vsftpd-1.2.0]# make install

上面的“make install”命令将编译好的二进制文件、手册等复制到相应目录。在RHL9上,可能需要手动执行以下复制:

[root@hpe45 vsftpd-1.2.0]# cp vsftpd /usr/local/sbin/vsftpd

[root@hpe45 vsftpd-1.2.0]# cp vsftpd.conf.5 /usr/local/share/man/man5

[root@hpe45 vsftpd-1.2.0]# cp vsftpd.8 /usr/local/share/man/man8

接下来,我们复制一个简单的配置文件作为基础供后面修改。

[root@hpe45 vsftpd-1.2.0]# cp vsftpd.conf /etc

[root@hpe45 vsftpd-1.2.0]# cp RedHat/vsftpd.pam /etc/pam.d/ftp

复制PAM验证文件,以允许本地用户登录VSFTPD。

[root@hpe45 vsftpd-1.2.0]# cp RedHat/vsftpd.pam /etc/pam.d/ftp

二、创建guest用户

VSFTPD采用PAM方式验证虚拟 用户。由于虚拟用户的用户名/口令被单独保存,因此在验证时,VSFTPD需要用一个系统用户的身份来读取数据库文件或数据库服务器以完成验证,这就是 VSFTPD的guest用户。这正如同匿名用户也需要有一个系统用户ftp一样。当然,我们也可以把guest用户看成是虚拟用户在系统中的代表。下面 在系统中添加vsftpdguest用户,作为VSFTPD的guest。

[root@hpe45 vsftpd-1.2.0]# useradd vsftpdguest

当虚拟用户登录后,所在的位置为vsftpdguest的自家目录/home/vsftpdguest。如果要让虚拟用户登录到/var/ftp等其他目录,修改vsftpdguest的自家目录即可。

三、设置VSFTPD配置文件

在/etc/vsftpd.conf文件中,加入以下选项:

guest_enable=YES

guest_username=vsftpdguest

然后执行以下命令,让VSFTPD在后台运行:

[root@hpe45 vsftpd-1.2.0]# /usr/local/sbin/vsftpd &

四、将虚拟用户保存在MySQL数据库服务器中

我们建立数据库vsftpdvu,表users,字段name和passwd用于保存虚拟用户的用户名和口令,同时增加两个虚拟用户xiaotong和xiaowang。

[root@hpe45 vsftpd-1.2.0]# mysql -p

mysql>create database vsftpdvu;

mysql>use vsftpdvu;

mysql>create table users(name char(16) binary,passwd char(16) binary);

mysql>insert into users (name,passwd) values (‘xiaotong’,password(‘qqmywife’));

mysql>insert into users (name,passwd) values (‘xiaowang’,password(‘ttmywife’));

mysql>quit

然后,授权vsftpdguest可以读vsftpdvu数据库的users表。执行以下命令:

[root@hpe45 vsftpd-1.2.0]# mysql -u root mysql -p

mysql>grant select on vsftpdvu.users to vsftpdguest@localhost identified by ‘i52serial0′;

mysql>quit

如果要验证刚才的操作是否成功可以执行下面命令:

[root@hpe45 vsftpd]#mysql -u vsftpdguest -pi52serial0 vsftpdvu

mysql>select * from users;

如果成功,将会列出xiaotong、xiaowang和加密后的密码

五、设置MySQL的PAM验证

这里我们要用到一个利用mysql进行pam验证的开源项目(sourceforge.net/projects/pam- mysql/)。首先从网站下载它的程序包pam_myql-0.5.tar.gz,复制到/root目录中。在编译安装之前,要确保mysql- devel的RPM包已经安装在你的机器上,如果没有请从RHL安装光盘中安装该包。然后,执行以下命令:

[root@hpe45 root]#tar xvzf pam_mysql-0.5.tar.gz

[root@hpe45 root]#cd pam_mysql

[root@hpe45 pam_mysql]#make

[root@hpe45 pam_mysql]#make install

make install这一步可能会出现错误,那只好手动将该目录下生成的pam_mysql.o复制到/lib/security目录下。

接下来,我们要设置vsftpd的PAM验证文件。打开/etc/pam.d/ftp文件,加入以下内容:

auth required pam_mysql.o user=vsftpdguest passwd=i52serial0 host= localhost db=vsftpdvu table=users usercolumn=name passwdcolumn=passwd crypt=2

account required pam_mysql.o user=vsftpdguest passwd=i52serial0 host= localhost db=vsftpdvu table=users usercolumn=name passwdcolumn=passwd crypt=2

上面涉及到的参数,只要对应前面数据 库的设置就可以明白它们的含义。这里需要说明的是crypt参数。crypt表示口令字段中口令的加密方式: crypt=0,口令以明文方式(不加密)保存在数据库中;crypt=1,口令使用UNIX系统的DES加密方式加密后保存在数据库中;crypt= 2,口令经过MySQL的password()函数加密后保存。

六、进一步的虚拟用户设置

经过以上的步骤,虚拟用户就可以正常使用了。这里介绍进一步的虚拟用户设置。首先,介绍虚拟用户的权限设置。

VSFTPD-1.2.0新添了 virtual_use_local_privs参数,当该参数激活(YES)时,虚拟用户使用与本地用户相同的权限。当此参数关闭(NO)时,虚拟用户 使用与匿名用户相同的权限,这也就是VSFTPD-1.2.0之前版本对虚拟用户权限的处理方法。这两者种做法相比,后者更加严格一些,特别是在有写访问 的情形下。默认情况下此参数是关闭的(NO)。

当virtual_use_local_privs=YES时,只需设置write_enable=YES,虚拟用户就可以就拥有写权限。而virtual_use_local_privs=NO时,对虚拟用户权限的设置就更多一些更严格一些。

控制虚拟用户浏览目录:如果让用户不能浏览目录,但仍可以对文件操作,那么需要执行以下二个步骤:一,配置文件中,anon_world_readable_only=YES。二,虚拟用户目录的权限改为只能由vsftpdguest操作:

[root@hpe45 root]# chown vsftpdguest.vsftpdguest /home/vsftpdguest

[root@hpe45 root]# chmod 700 /home/vsftpdguest

允许虚拟用户上传文件:

write_enable=YES

anon_upload_enable=YES

允许虚拟用户修改文件名和删除文件:

anon_other_write_enable=YES

由于以上选项的设置同样会对匿名用户生效。如果不想匿名用户趁机拥有同样的权限,最好是禁止匿名用户登录。

其次,由于虚拟用户在系统中是vsftpdguest身份,所以可以访问到系统的其他目录。为了更加安全,我们可以将虚拟用户限制在自家目录下。有两种做法:一,在配置文件中增加以下选项

chroot_local_user=NO

chroot_list_enable=YES

chroot_list_file=/etc/vsftpd.chroot_list

然后,在/etc/vsftpd.chroot_list文件中加入虚拟用户名xiaotong和xiaowang。

第二种做法,在配置文件中修改chroot_local_user=YES。

经过修改后,虚拟用户登录后其根目录就限制在/home/vsftpdguest下,无法访问其他目录。

七、虚拟用户的个人目录

大家可以发现,无论是哪个虚拟用户,登录后所在的目录都是/home/vsftpdguest,即都是guest_username用户的自家目录。下面,介绍如何为每个虚拟用户建立自家目录。首先,在主配置文件中加入以下选项:

user_config_dir=/etc/vsftpd/vsftpd_user_conf

然后,生成/etc/vsftpd/vsftpd_user_conf目录,并在该目录下建立与特定虚拟用户同名的文件:

[root@hpe45 root]# mkdir /etc/vsftpd/vsftpd_user_conf

[root@hpe45 root]# cd /etc/vsftpd/vsftpd_user_conf

[root@hpe45 vsftpd_user_conf]# touch xiaowang

以上的操作为虚拟用户xiaowang建立了个人配置文件/etc/vsftpd/vsftpd_user_conf/xiaowang。接下来,在xiaowang的个人配置文件中将xiaowang的自家目录修改为/home/xiaowang,配置选项为:

local_root=/home/xiaowang

然后,新建xiaowang目录,并将权限设为vsftpdguest:

[root@hpe45 vsftpd_user_conf]# mkdir /home/xiaowang

[root@hpe45 vsftpd_user_conf]# chown vsftpdguest.vsftpdguest ./xiaowang

[root@hpe45 vsftpd_user_conf]# chmod 600 /home/xiaowang

经过以上设置,xiaowang登录VSFTPD后,用“pwd”指令就可以发现被自己被定位到自己的“/home/xiaowang”目录。

从文件系统层次来看,由于 “/home/xiaowang”目录的权限是属于vsftpdguest的,所以其他的虚拟用户同样也可以访问 xiaowang的自家目录。解决这个问题也很简单,我们只需要让VSFTPD负责将虚拟用户限制在其自家目录,就可以避免虚拟用户的互相访问。具体做法 参照前面第六步中所述,这里不再赘述。经过以上设置后,虚拟用户就可以拥有属于自己的目录了。

Log4j基本使用方法

Posted by 冰河 at 08:56 No Responses » 4,013 Views
112010

Log4j 由三个重要的组件构成:日志信息的优先级,日志信息的输出目的地,日志信息的输出格式。日志信息的优先级从高到低有ERROR、WARN、INFO、 DEBUG,分别用来指定这条日志信息的重要程度;日志信息的输出目的地指定了日志将打印到控制台还是文件中;而输出格式则控制了日志信息的显示内容。

  一、定义配置文件

  其实您也可以完全不使用配置文件,而是在代码中配置Log4j环境。但是,使用配置文件将使您的应用程序更加灵活。Log4j支持两种配置文件格式,一种是XML格式的文件,一种是Java特性文件(键=值)。下面我们介绍使用Java特性文件做为配置文件的方法:

  1.配置根Logger,其语法为:

  log4j.rootLogger = [ level ] , appenderName, appenderName, …

  其中,level 是日志记录的优先级,分为OFF、FATAL、ERROR、WARN、INFO、DEBUG、ALL或者您定义的级别。Log4j建议只使用四个级别,优 先级从高到低分别是ERROR、WARN、INFO、DEBUG。通过在这里定义的级别,您可以控制到应用程序中相应级别的日志信息的开关。比如在这里定 义了INFO级别,则应用程序中所有DEBUG级别的日志信息将不被打印出来。 appenderName就是指定日志信息输出到哪个地方。您可以同时指定多个输出目的地。

  2.配置日志信息输出目的地Appender,其语法为:

  log4j.appender.appenderName = fully.qualified.name.of.appender.class
  log4j.appender.appenderName.option1 = value1
  …
  log4j.appender.appenderName.option = valueN

  其中,Log4j提供的appender有以下几种:
  org.apache.log4j.ConsoleAppender(控制台),
  org.apache.log4j.FileAppender(文件),
  org.apache.log4j.DailyRollingFileAppender(每天产生一个日志文件),
  org.apache.log4j.RollingFileAppender(文件大小到达指定尺寸的时候产生一个新的文件),
  org.apache.log4j.WriterAppender(将日志信息以流格式发送到任意指定的地方)

  3.配置日志信息的格式(布局),其语法为:

  log4j.appender.appenderName.layout = fully.qualified.name.of.layout.class
  log4j.appender.appenderName.layout.option1 = value1
  …
  log4j.appender.appenderName.layout.option = valueN

  其中,Log4j提供的layout有以下几种:
  org.apache.log4j.HTMLLayout(以HTML表格形式布局),
  org.apache.log4j.PatternLayout(可以灵活地指定布局模式),
  org.apache.log4j.SimpleLayout(包含日志信息的级别和信息字符串),
  org.apache.log4j.TTCCLayout(包含日志产生的时间、线程、类别等等信息)

  Log4J采用类似C语言中的printf函数的打印格式格式化日志信息,打印参数如下: %m 输出代码中指定的消息

  %p 输出优先级,即DEBUG,INFO,WARN,ERROR,FATAL
  %r 输出自应用启动到输出该log信息耗费的毫秒数
  %c 输出所属的类目,通常就是所在类的全名
  %t 输出产生该日志事件的线程名
  %n 输出一个回车换行符,Windows平台为“
”,Unix平台为“

  %d 输出日志时间点的日期或时间,默认格式为ISO8601,也可以在其后指定格式,比如:%d{yyy MMM dd HH:mm:ss,SSS},输出类似:2002年10月18日 22:10:28,921
  %l 输出日志事件的发生位置,包括类目名、发生的线程,以及在代码中的行数。举例:Testlog4.main(TestLog4.java:10)

  二、在代码中使用Log4j

  1.得到记录器

  使用Log4j,第一步就是获取日志记录器,这个记录器将负责控制日志信息。其语法为:

  public static Logger getLogger( String name)

  通过指定的名字获得记录器,如果必要的话,则为这个名字创建一个新的记录器。Name一般取本类的名字,比如:

  static Logger logger = Logger.getLogger ( ServerWithLog4j.class.getName () )

  2.读取配置文件

  当获得了日志记录器之后,第二步将配置Log4j环境,其语法为:

  BasicConfigurator.configure (): 自动快速地使用缺省Log4j环境。
  PropertyConfigurator.configure ( String configFilename) :读取使用Java的特性文件编写的配置文件。
  DOMConfigurator.configure ( String filename ) :读取XML形式的配置文件。

  3.插入记录信息(格式化日志信息)

  当上两个必要步骤执行完毕,您就可以轻松地使用不同优先级别的日志记录语句插入到您想记录日志的任何地方,其语法如下:

  Logger.debug ( Object message ) ;
  Logger.info ( Object message ) ;
  Logger.warn ( Object message ) ;
  Logger.error ( Object message ) ;

Ubuntu 10.04 教育网源

Posted by 冰河 at 22:38 1 Response » 9,095 Views
102010

编辑Ubuntu源的方法:
#sudo gedit /etc/apt/sources.list
将文件里的内容全部删除,记得用sudo cp /etc/apt/sources.list /etc/apt/sources.list.bak命令的方式进行备份,以备不时之需。然后将下列的内容粘贴进gedit后保存即可。

成都电子科大的源,教育网推荐
deb http://Ubuntu.uestc.edu.cn/ubuntu/ lucid main restricted universe multiverse
deb http://Ubuntu.uestc.edu.cn/ubuntu/ lucid-backports main restricted universe multiverse
deb http://Ubuntu.uestc.edu.cn/ubuntu/ lucid-proposed main restricted universe multiverse
deb http://Ubuntu.uestc.edu.cn/ubuntu/ lucid-security main restricted universe multiverse
deb http://Ubuntu.uestc.edu.cn/ubuntu/ lucid-updates main restricted universe multiverse
deb-src http://Ubuntu.uestc.edu.cn/ubuntu/ lucid main restricted universe multiverse
deb-src http://Ubuntu.uestc.edu.cn/ubuntu/ lucid-backports main restricted universe multiverse
deb-src http://Ubuntu.uestc.edu.cn/ubuntu/ lucid-proposed main restricted universe multiverse
deb-src http://Ubuntu.uestc.edu.cn/ubuntu/ lucid-security main restricted universe multiverse
deb-src http://Ubuntu.uestc.edu.cn/ubuntu/ lucid-updates main restricted universe multiverse

中科大的源,教育网推荐
deb http://debian.ustc.edu.cn/Ubuntu/ lucid main restricted universe multiverse
deb http://debian.ustc.edu.cn/Ubuntu/ lucid-backports restricted universe multiverse
deb http://debian.ustc.edu.cn/Ubuntu/ lucid-proposed main restricted universe multiverse
deb http://debian.ustc.edu.cn/Ubuntu/ lucid-security main restricted universe multiverse
deb http://debian.ustc.edu.cn/Ubuntu/ lucid-updates main restricted universe multiverse
deb-src http://debian.ustc.edu.cn/Ubuntu/ lucid main restricted universe multiverse
deb-src http://debian.ustc.edu.cn/Ubuntu/ lucid-backports main restricted universe multiverse
deb-src http://debian.ustc.edu.cn/Ubuntu/ lucid-proposed main restricted universe multiverse
deb-src http://debian.ustc.edu.cn/Ubuntu/ lucid-security main restricted universe multiverse
deb-src http://debian.ustc.edu.cn/Ubuntu/ lucid-updates main restricted universe multiverse

北京交大的源,教育网
deb http://mirror.bjtu.edu.cn/Ubuntu/ lucid main multiverse restricted universe
deb http://mirror.bjtu.edu.cn/Ubuntu/ lucid-backports main multiverse restricted universe
deb http://mirror.bjtu.edu.cn/Ubuntu/ lucid-proposed main multiverse restricted universe
deb http://mirror.bjtu.edu.cn/Ubuntu/ lucid-security main multiverse restricted universe
deb http://mirror.bjtu.edu.cn/Ubuntu/ lucid-updates main multiverse restricted universe
deb-src http://mirror.bjtu.edu.cn/Ubuntu/ lucid main multiverse restricted universe
deb-src http://mirror.bjtu.edu.cn/Ubuntu/ lucid-backports main multiverse restricted universe
deb-src http://mirror.bjtu.edu.cn/Ubuntu/ lucid-proposed main multiverse restricted universe
deb-src http://mirror.bjtu.edu.cn/Ubuntu/ lucid-security main multiverse restricted universe
deb-src http://mirror.bjtu.edu.cn/Ubuntu/ lucid-updates main multiverse restricted universe

兰州大学的源,教育网
deb ftp://mirror.lzu.edu.cn/Ubuntu/ lucid main multiverse restricted universe
deb ftp://mirror.lzu.edu.cn/Ubuntu/ lucid-backports main multiverse restricted universe
deb ftp://mirror.lzu.edu.cn/Ubuntu/ lucid-proposed main multiverse restricted universe
deb ftp://mirror.lzu.edu.cn/Ubuntu/ lucid-security main multiverse restricted universe
deb ftp://mirror.lzu.edu.cn/Ubuntu/ lucid-updates main multiverse restricted universe
deb ftp://mirror.lzu.edu.cn/Ubuntu-cn/ lucid main multiverse restricted universe

上海交大的源
deb http://ftp.sjtu.edu.cn/Ubuntu/ lucid main multiverse restricted universe
deb http://ftp.sjtu.edu.cn/Ubuntu/ lucid-backports main multiverse restricted universe
deb http://ftp.sjtu.edu.cn/Ubuntu/ lucid-proposed main multiverse restricted universe
deb http://ftp.sjtu.edu.cn/Ubuntu/ lucid-security main multiverse restricted universe
deb http://ftp.sjtu.edu.cn/Ubuntu/ lucid-updates main multiverse restricted universe
deb http://ftp.sjtu.edu.cn/Ubuntu-cn/ lucid main multiverse restricted universe
deb-src http://ftp.sjtu.edu.cn/Ubuntu/ lucid main multiverse restricted universe
deb-src http://ftp.sjtu.edu.cn/Ubuntu/ lucid-backports main multiverse restricted universe
deb-src http://ftp.sjtu.edu.cn/Ubuntu/ lucid-proposed main multiverse restricted universe
deb-src http://ftp.sjtu.edu.cn/Ubuntu/ lucid-security main multiverse restricted universe
deb-src http://ftp.sjtu.edu.cn/Ubuntu/ lucid-updates main multiverse restricted universe

163的源,电信教育网通用
deb http://mirrors.163.com/Ubuntu/ lucid main restricted universe multiverse
deb http://mirrors.163.com/Ubuntu/ lucid-security main restricted universe multiverse
deb http://mirrors.163.com/Ubuntu/ lucid-updates main restricted universe multiverse
deb http://mirrors.163.com/Ubuntu/ lucid-proposed main restricted universe multiverse
deb http://mirrors.163.com/Ubuntu/ lucid-backports main restricted universe multiverse
deb-src http://mirrors.163.com/Ubuntu/ lucid main restricted universe multiverse
deb-src http://mirrors.163.com/Ubuntu/ lucid-security main restricted universe multiverse
deb-src http://mirrors.163.com/Ubuntu/ lucid-updates main restricted universe multiverse
deb-src http://mirrors.163.com/Ubuntu/ lucid-proposed main restricted universe multiverse
deb-src http://mirrors.163.com/Ubuntu/ lucid-backports main restricted universe multiverse

搜狐的源,电信教育网通用
deb http://mirrors.sohu.com/ubuntu/ lucid main restricted
deb-src http://mirrors.sohu.com/ubuntu/ lucid main restricted
deb http://mirrors.sohu.com/ubuntu/ lucid-updates main restricted
deb-src http://mirrors.sohu.com/ubuntu/ lucid-updates main restricted
deb http://mirrors.sohu.com/ubuntu/ lucid universe
deb-src http://mirrors.sohu.com/ubuntu/ lucid universe
deb http://mirrors.sohu.com/ubuntu/ lucid-updates universe
deb-src http://mirrors.sohu.com/ubuntu/ lucid-updates universe
deb http://mirrors.sohu.com/ubuntu/ lucid multiverse
deb-src http://mirrors.sohu.com/ubuntu/ lucid multiverse
deb http://mirrors.sohu.com/ubuntu/ lucid-updates multiverse
deb-src http://mirrors.sohu.com/ubuntu/ lucid-updates multiverse

保存后输入下面的指令刷新源信息:
#sudo apt-get update
然后输入:
#sudo apt-get upgrade
就可以进行系统升级了。

原文链接:http://www.ubuntuhome.com/ubuntu-10-04-yuan.html

102010

一直非常喜欢Lingoes,可是2.7版本开始有弹窗,实在是恼人。下面的方法转自网络,仅供参考。
Lingoes 想来大家都用过, 做的非常不错, 有不少质量很高的词典可用, 但有广告, 查词时第一词典下有文字广告, 生存需要, 可以理解.但由 2.7.0 版本开始有弹窗口广告了. 这是个人比较痛恨的广告形式, 非常影响效率. 是时候写这篇文章了.
1. 去查词广告补丁 (由 ZDYX 制作, 已升级至最新 2.7.0 适用).

下载: SkyDrive

解压覆盖原文件即可. 这个补丁是比较厚道的, 只是不显示广告, 并非禁止下载, 对作者影响相比较小.

2. 禁止弹窗广告, 更新

XP: X:Documents and Settings你的帐号Application DataLingoesTranslator
例如: C:Documents and SettingsAdministratorApplication DataLingoesTranslator

Win7: X:Users你的帐号AppDataRoamingLingoesTranslator

删除 tip.xml, 建立同名目录
删除 update 目录, 建立同名文件, 如下图

3. 清除起始页广告.
删除主程序所在目录下, update 目录, 建立同名文件.
清理完成, 现在你可以拥有一份看不到广告的词典了.

原文链接:http://hi.baidu.com/software10/blog/item/831d8310fcad10f7c2ce7906.html

UPDATE1:试了好多方法都不行,最后换回2.6.3版本了。lingoes在倒退?
UPDATE2:前天打开lingoes2.6.3提示必须升级,不更新就不让用。百般无奈。经网友提醒使用灵格斯词霸绿色便携版即可。我这里使用的是2.7.1beta版的便携版,不要使用低版本的便携版。其实我要求不高,没有弹窗就可以了。ps:lingoes好像好久不更新了。

142010

1、 基本概念(这是理解后面的知识的前提,请务必理解)

a、 I/O重定向通常与 FD有关,shell的FD通常为10个,即 0~9;

b、 常用FD有3个,为0(stdin,标准输入)、1(stdout,标准输出)、2(stderr,标准错误输出),默认与keyboard、monitor、monitor有关;

c、 用 < 来改变读进的数据信道(stdin),使之从指定的档案读进;

d、 用 > 来改变送出的数据信道(stdout, stderr),使之输出到指定的档案;

e、 0 是 < 的默认值,因此 < 与 0<是一样的;同理,> 与 1> 是一样的;

f、 在IO重定向 中,stdout 与 stderr 的管道会先准备好,才会从 stdin 读进资料;

g、 管道“|”(pipe line):上一个命令的 stdout 接到下一个命令的 stdin;

h、 tee 命令是在不影响原本 I/O 的情况下,将 stdout 复制一份到档案去;

i、 bash(ksh)执行命令的过程:分析命令-变量求值-命令替代(“和$( ))-重定向-通配符展开-确定路径-执行命令;

j、 ( ) 将 command group 置于 sub-shell 去执行,也称 nested sub-shell,它有一点非常重要的特性是:继承父shell的Standard input, output, and error plus any other open file descriptors。

k、 exec 命令:常用来替代当前 shell 并重新启动一个 shell,换句话说,并没有启动子 shell。使用这一命令时任何现有环境都将会被清除。exec 在对文件描述符进行操作的时候,也只有在这时,exec 不会覆盖你当前的 shell 环境。

2、 基本IO

cmd > file 把 stdout 重定向到 file 文件中;

cmd >> file 把 stdout 重定向到 file 文件中(追加);

cmd 1> fiel 把 stdout 重定向到 file 文件中;

cmd > file 2>&1 把 stdout 和 stderr 一起重定向到 file 文件中;

cmd 2> file 把 stderr 重定向到 file 文件中;

cmd 2>> file 把 stderr 重定向到 file 文件中(追加);

cmd >> file 2>&1 把 stderr 和 stderr 一起重定向到 file 文件中(追加);

cmd < file >file2 cmd 命令以 file 文件作为 stdin,以 file2 文件作为 stdout;

cat <>file 以读写的方式打开 file;

cmd < file cmd 命令以 file 文件作为 stdin;

cmd << delimiter Here document,从 stdin 中读入,直至遇到 delimiter 分界符。

3、 进阶IO

>&n 使用系统调用 dup (2) 复制文件描述符 n 并把结果用作标准输出;

<&n 标准输入复制自文件描述符 n;

<&- 关闭标准输入(键盘);

>&- 关闭标准输出;

n<&- 表示将 n 号输入关闭;

n>&- 表示将 n 号输出关闭;

上述所有形式都可以前导一个数字,此时建立的文件描述符由这个数字指定而不是缺省的 0 或 1。如:

… 2>file 运行一个命令并把错误输出(文件描述符 2)定向到 file。

… 2>&1 运行一个命令并把它的标准输出和输出合并。(严格的说是通过复制文件描述符 1 来建立文件描述符 2 ,但效果通常是合并了两个流。)

我 们对 2>&1详细说明一下 :2>&1 也就是 FD2=FD1 ,这里并不是说FD2 的值 等于FD1的值,因为 > 是改变送出的数据信道,也就是说把 FD2 的 “数据输出通道” 改为 FD1 的 “数据输出通道”。如果仅仅这样,这个改变好像没有什么作用,因为 FD2 的默认输出和 FD1的默认输出本来都是 monitor,一样的! 但是,当 FD1 是其他文件,甚至是其他 FD 时,这个就具有特殊的用途了。请大家务必理解这一点。

exec 0exec 1>outfilename # 打开文件outfilename作为stdout。

exec 2>errfilename # 打开文件 errfilename作为 stderr。

exec 0<&- # 关闭 FD0。

exec 1>&- # 关闭 FD1。

exec 5>&- # 关闭 FD5。

问: 如果关闭了 FD0、FD1、FD2,其后果是什么? 恢复 FD0、FD1、FD2与 关闭FD0、FD1、FD2 有什么区别?代码分别是什么? 打开了FD3~FD9,我们用完之后,你觉得是将他们关闭还是恢复?

下面是提示(例子来源于CU一帖子,忘记出处,来日再补上):


exec 6>&2 2>ver
command >>dev/null &
exec 2>&6 # 恢复 FD2

4、 简单举例

a、stdout和stderr都通过管道送给egrep了:


(ls you no 2>&1;ls yes 2>&1) 2>&1|egrep * >file
(ls you no 2>&1;ls yes 2>&1)|egrep * >file
(ls you no;ls yes) 2>&1|egrep * >file

这个例子要注意的就是:

理 解 命令执行顺序 和 管道“|”:在命令执行前,先要进行重定向的处理,并将把 nested sub-shell 的stdout 接到 egrep 命令的 stdin。 nested sub-shell ,在 ( ) 中的两个命令加上(),可以看作一个命令。其 FD1 已经连接到“|”往egrep送了,当遇到 2>&1时,也就是FD2=FD1,即FD2同FD1一样,往管道 “|”那边送。

b、 没有任何东西通过管道送给egrep,全部送往monitor。 (ls you no 2>&1;ls yes 2>&1) >&2|egrep * >file。虽然在()里面将 FD2转往FD1,但在()外,遇到 >&2 ,结果所有的都送到monitor。 请理解:


(ls you no 2>&1) 1>&2|egrep * >file ## 送到 monitor
ls you no 2>&1 1>&2|egrep * >file ## 送给 管道 “|”
ls you no 1>&2 2>&1|egrep * >file ## 送到 monitor

 

5、 中阶例子

条件: stderr通过管道送给egrep,正确消息仍然送给monitor(不变)


exec 4>&1;(ls you no 2>&1 1>&4 4>&-;ls yes 2>&1 1>
&4 4>&-)|egrep * >file;exec 4>&-
或者
exec 4>&1;(ls you no;ls yes) 2>&1 1>
&4 4>&-|egrep * >file;exec 4>&-

如果加两个条件:

(1)要求cmd1和cmd2并行运行;

(2)将cmd1的返回值赋给变量 ss。

则为:


exec 3>&1;exec 4>&1
ss=$(((ls you no 2>&1 1>&3 3>&-;echo $? >&4)|egrep * >file) 4>&1)
exec 3>&-;exec 4>&-

说明:

exec 3>&1;4>&1 建立FD3,是用来将下面ls那条语句(子shell)中的FD1 恢复到正常FD1,即输出到monitor,你可以把FD3看作最初始的FD1的硬盘备份(即输出到monitor);建立FD4,到时用作保存ls的返 回值(echo $?),你可以将FD4看作你考试时用于存放计算“echo $?”的草稿纸;

(ls you no 2>&1 1>&3 3>&-;echo $? >&4) 大家还记得前面说的子shell和管道吧。这条命令首先会继承FD0、FD1、FD2、FD3、FD4,它位于管道前,所以在运行命令前会先把子 shell自己的FD1和管道“|”相连。但是我们的条件是stderr通过管道送往egrep,stdout仍然输出到monitor。 于是通过2>&1,先把 子shell的FD1 的管道“送给”FD2,于是子shell中的stderr送往管道“|”;再通过 1>&3,把以前的“硬盘备份”恢复给子shell的FD1,于是子shell中的FD1变成送到monitor了。再通过3> &- ,将3关闭;接着运行echo $? ,本来其输出值应该送往管道的,通过 >&4 ,将 输出 送往 “草稿纸”FD4,留以备用。

((ls you no 2>&1 1>&3 3>&-;echo $? >&4)|egrep * >file) 于是,stderr 通过管道送给 egrep ,stdout 送给monitor,但是,还有 FD4,它送到哪去了? $(((ls you no 2>&1 1>&3 3>&-;echo $? >&4)|egrep * >file) 4>&1)最后的 4>&1 ,就是把FD4 重定向到 FD1。但由于其输出在 $( )中,其值就赋给变量ss了。最后一行关闭 FD3、FD4。

6、 高阶例子

命令 cmd1, cmd2, cmd3, cmd4. 如何利用单向管道完成下列功能:

1. 所有命令并行执行。

2. cmd1 和 cmd2 不需要 stdin。

3. cmd1 和 cmd2 的 stdout 定向到 cmd3 的 stdin。

4. cmd1 和 cmd2 的 stderr 定向到 cmd4 的 stdin。

5. cmd3 的 stdout 定向到文件 a, stderr 定向到屏幕。

6. cmd4 的 stdout 定向到文件 b, stderr 定向到屏幕。

7. cmd1 的返回码赋给变量 s。

8. 不能利用临时文件。

解决方法:


exec 3>&1; exec 4>&1
s=$(((((cmd1 1>&3 ; echo $? >&4 )| cmd2 ) 3>
&1 | cmd3 >a 2>&3 ) 2>&1 | cmd4 >b ) 4>&1)
exec 3>&-; exec 4>&-

这 个我一步步解释(好复杂,自己感觉看明白了,过一会再看,大脑仍然有几分钟空白~~~,没想到我也能看明白。exec 3>&1; exec 4>&1 前面的例子都有说明了,就是建立FD3 ,给cmd1恢复其FD1用和给cmd3 恢复其FD2用,建立FD4,保存“echo $?”输出值的“草稿纸”。

第 一对括号:(cmd1 1>&3 ; echo $? >&4 ) 和其后(第一个)管道。在第一个括号(子shell)中,其FD1已经连到 管道中了,所以用 FD3 将 FD1恢复正常,不让他往管道跑;这里的cmd1没有stdin,接着将 cmd1 运行的返回码 保存到 FD4 中。

第 二对括号:((cmd1 1>&3 ; echo $? >&4 )| cmd2 ) 3>&1 和其后(第二个)管道。前面的 FD1 已经不送给 cmd2了,FD2 默认也不送过来,所以cmd2 也没有stdin ,所以在第二对括号里面:cmd1和cmd2 的stdout、stderr 为默认输出,一直遇到 “3>&1”为止。请注意:“3>&1”,先将第二对括号看出一个命令,他们遇到 第二个管道时,其FD1 连到 管道 “|”,由于“3>&1”的作用,子shell的FD1 送给FD3 使用,所以所有FD3 的输出都 “流往”cmd3,又由于继承关系(继承第一行的命令),FD3实际上就是cmd1和cmd2的stdout,于是“ cmd1 和 cmd2 的 stdout 定向到 cmd3 的 stdin”

第 三对括号:(((cmd1 1>&3 ; echo $? >&4 )| cmd2 ) 3>&1 | cmd3 >a 2>&3 ) 2>&1 和其后的第三个管道。cmd1 和 cmd2 的 stdout 已经定向到 cmd3 的 stdin,处理之后,cmd3 >a 意味着将其 stdout 送给 a 文件。而2>&3的意思是:恢复cmd3的错误输出为FD3,即送往 monitor。于是“cmd3 的 stdout 定向到文件 a, stderr 定向到屏幕”。如果没有“2>&3”,那么cmd3的错误输出就会干扰cmd1和cmd2的错误输出,所以它是必须的!请注意第三对括号后 的 “2>&1”| ,其子shell的FD1 本来连接着管道“|”,但子shell FD1 慷慨大方,送给了 FD2,于是FD2 连接着管道。还记得前面的 cmd1 和 cmd2 吗?他们的stderr一直没动了。于是在这里,通过管道送给了 第四个命令cmd4 了。即“cmd1 和 cmd2 的 stderr 定向到 cmd4 的 stdin”。后面就比较简单了。cmd4 >b 表示“cmd4 的 stdout 定向到文件 b, stderr 定向到屏幕(默认)”

第 四对括号:((((cmd1 1>&3 ; echo $? >&4 )| cmd2 ) 3>&1 | cmd3 >a 2>&3 ) 2>&1 | cmd4 >b ) 与其后的 4>&1。四对括号里面的 FD1、FD2都处理完了。但是还记得前面“echo $? >&4”那块“草稿纸”吗?“4>&1”的作用就是“将草稿纸上的内容送给monitor”,但是由于最外面还有 $() 将其“包着”。于是其值赋给变量“s”。

052010

网络赚钱是当今的热门趋势。我相信将来不久会有很多人辞掉他们目前的日常工作,然后在家里穿着睡衣写博客并以此为生。

网络赚钱的方法很多。目前,Google Adsense是多数人最佳的选择。一些基本的优化技巧可以使您的Google Adsense收入翻倍。由于广告的优化不同,两个有着同样的流量的博客的Google Adsense收入可能有很大的差别。

贯彻下面这些简单的Google Adsense优化技巧,并坚持两个礼拜然后看看效果。相信我,我并没有信口开河,因为我在不同的网站长时间用过 Google Adsense,再说这些也只是一些实用又合理的提升 Google Adsense 收入的技巧而已。

这些是提升 Google Adsense 收入的核心技巧,但是也不可能使您的收入在一夜之间翻倍。我不鼓励也不支持任何作弊方式。

 

在开始讲述技巧之前,先回顾一下Google的政策:

以下事情做不得:

1 不要通过任何的方式点击自己的广告。

2 不要使用任何自动工具来提高广告的展示显示频率。

3 不要叫别人点击您的广告。

4 除了字体和颜色之外,不要修改广告的任何代码。

5 不要在成人网站或在禁止网站上投放广告。

现在您知道什么是违反 Google Adsense 政策的了。

以下是一 些简单到任何人都可以实行的优化 Google Adsense 的技巧:

1 使您的广告和网站主题有效的混为一体,使广告的颜色和网页的颜色保持一致。

2 文字广告不要使用边框。没有边框、背景颜色和网页背景颜色一样的广告总是会比其他广告单元要好。

3 选择和网页搭配的广告颜色,至少两三个搭配颜色,广告颜色跟着主题转,这是为了避免广告的盲目性。

4 使用链接单元。网页导航栏附近插入链接单元效果可以很好。链接单元的其他好处是——不需要占用太多的地方,也不会激怒读者。

5 使用 AdSense 搜索广告。这是除了内容广告之外最好的广告了。您可以选择“允许用户搜索网络或您选择的特定网站”。在搜索结果页面的顶部和底部投放搜索广告。搜索广告最好的位置是在网页顶部右上角。

6 在每个页面的顶部投放250×250像素的广告单元。如果您使用的是 WordPress,那么250×250正方形的广告将是每个页面的最佳选择。不要忘了把这个广告单元的代码插在文章内容的左边或右边,如图所示:

Adsense ad optimization

(图片:AdSense广告位置)

插入代码的时候请使用<DIV Style>标签。更多的信息可以阅读如何在文章的左边或者右边插入广告单元

7 多用文字广告,少用图片广告。因为文字广告会提供更多读者感兴趣的广告。我建议以下的广告单元同时允许文字广告和图片广告:

250×250正方形

160×600宽幅摩天大楼

336×280大矩形

300×250中等矩形

这些都是最好的广告单元,会使您的广告收入增加。

8 利用区段定位,以获得网页相关的广告。区段定位代码是Google提供的用来使它的爬虫向您的网页提供相关的广告。在每个页面使用以下简单的区段定位代码:

– google_ad_section_start –

您需要定位的内容

– google_ad_section_end –

如果您希望不相关的内容被忽视,可以使用下面代码:

– google_ad_section_start(weight=ignore) –

更多的信息可以在这里找到。区段定位将提高广告的相关性和点击率。

9 广告的位置很重要。广告要放在页面的上面,使读者可以不用拉动滚动条就可以看见,这会增加广告的点击率。

10 高质量的广告位置:左侧边栏的顶部和单个页面的顶部。试试使用这样的广告——在左侧边栏的顶部使用链接单元,在文章里面(左边或者右边)投放250×250或者336×280的矩形文字和图片广告单元。

11 抵制廉价和不相关的广告。使用“竞争性广告过滤器”过滤这些广告,过滤之前需要进行研究。有时候同一个广告在这个地方卖0.01美元,在另外一个地方却有可能卖1美元。

12 使用“预览此 AdSense 单元”工具,它可以使您预览将会出现在您的网页上的所有广告并且有助于抵制不相关的广告。

13 广告周围要留多一点空白空间。网页内容需要留有一定的空白空间,广告也不例外。

14 研究您的关键词,把广告锁定在这些关键词上。如果您没有使用区段定位代码,那么不要忘了在文章的开头使用一些相关的关键词。Google Adsense的爬虫通常只是搜索一个页面的头一两个段落而已。

15 您可以增加主页和单独页面的广告数量,但是广告不要太多。

16 在广告单元的上面或在旁边放置图片,这将提高广告的可见度和点击率。

17 除了上面的第10点,您也可以使用Google提供的热图来寻找其他高质量的广告位。如附图,深色部分的广告位要比浅色的好。

Adsense heatmap

(图片: Google Adsense热图)

18 使用渠道跟踪所有的广告效果。渠道是用来跟踪单个广告单元的效果的。好好学习AdSense的收入报告。不要隔三差五的改变广告格式、颜色和位置。最少需要跟踪2个礼拜才能判断广告位置是否有效。

19 进行搜索引擎优化。搜索引擎优化(SEO)是获得高流量的关键。此外,来自搜索引擎的流量可以转化为广告收入。并且,来自搜索引擎的读者比其他普通读者更容易点击广告。

20 在文章中间插入广告也不错。但是要注意这可能会激怒您的读者。所以要避免文章里面出现太多的广告。如果是短小的文章,可以把广告放在页面内容的顶部。如果您的文章很长,那么,可以考虑在底部或者中加插入广告。不要在文章里面投放摩天大楼广告单元。

21 测试,测试,再测试!

把Google Adsense广告整合进您的网页内容中是获得高收入的关键。

我相信如果您仔细的阅读上面每一种技巧并加以实施,那么您离获得翻倍的广告收入就不远了。

 

原文链接:http://jingpin.org/tips-to-earn-more-revenue-from-adsense/

用Yahoo Pipes 制作全文RSS

Posted by 冰河 at 13:23 6 Responses » 28,291 Views
022010

很多网站尤其是一些新闻类的网站虽然提供RSS输出,但他们的RSS输出并不是全文输出,如果要看全文还要点击进去,而且有些文章还可能要翻墙才能 浏览,这样总感觉不是很爽……不过现在有了Yahoo Pipes就好办了!这是Yahoo提供的一款超级强大的RSS处理工具,今天我就教你如何用它来输出网站的全文!

第一步

先在 Yahoo Pipes 里新建一个 pipe(如图)

Create a pipe

第二步

拖入一个 Fetch Feed 模块,输入你想要全文输出的RSS地址(如图我添加的是路透社-时事要闻的RSS

Fetch Feed

第三步

然后到Operators条目下拖入一个 Loop 模块,与 Fetch Feed 相连接

再到Sources条目拖一出个 Fetch Page 模块拖进入 Loop(注意是拖进Loop里面去,如图)

设置 URL 为 item.link

第四步

这是最关键的一步!!!

随便打开你要全文输出的RSS其中一篇文章,然后等网页加载完毕后,查看这篇网页的源代码

然后查找网页源代码中正文部分,把能囊括正文的<div=”********”>复制出来(这个div的值,是网站管理者设定的,一定要,不然pipes不知道收录哪里,如图,路透社的<div id=”resizeableText”>)

然后填入到Fetch Page中的Cut content from中,如图

第五步

把assign项选为first,然后把results to填为item.description,将 Loop 连接到 Pipe Out,保存,大功告成!!!

最后

这是我做的路透社-时事新闻的截图

当然你要检查一下有时候item.descriptiom下可能输不出全文或乱码,那你要debug了,可能我以后会写文章另解,今天就写到这了,如图,反正路透社这个Pipes是正常的

如果你要输出的RSS的地址美观一些,可以将 Pipes 弄好的 RSS 烧录到 Feedburner feedsky

1、在 Yahoo Pipes 里新建一个 pipe
拖入一个 Fetch Feed 模块,输入牛博最新文章的 rss 地址
拖入一个 Loop 模块,与 Fetch Feed 连接

2、拖一个 Fetch Page 模块进入 Loop
设置 URL 为 item.link
读取内容从 <div> 到 </div>
指定所有结果为 item.temp

3、拖入一个 Rename 模块,与 Loop 连接
将 item.temp.0.content 重命名为 content:encoded

4、将 Rename 连接到 Pipe Out,保存

然后将 pipe 好的 rss 烧录到 feedsky(主要是方便收藏,不会往里面加小广告)

原文信息:

Your Passwords Aren’t As Secure As You Think; Here’s How to Fix That
作者: The How-To Geek

如果你允许软件保存你的密码,任何可以接触到你PC的人都可能破解你的密码,除非你以正确的方式加密–而你很有可能并未这么做.不如让我们看看保存密码的正确和错误的方式.

本文假设你的手提电脑被偷了,相对的,所有能进入你房间的人都是值得信赖的,并不会盗取你的密码.事实上本文的技巧应该均适用于这两种场景.不管你以何种方式保存你的密码,你都应该确保使用安全的密码以及安全的密码提示回答.

一旦你点击了”保存密码” 一切就完蛋了

基 本上任何需要登录的软件都会提供一个保存密码的选项给你.如果你使用了它,你的密码便如明文一般了.即使软件在后台将你的帐号加密保存,一般情况下它也仅 仅是使用固定的值将其加密,逆向工程很容易便可以破解出来 — 而现在不仅仅是可能性的问题,已经的确有人做出了这样的密码恢复程序.

不管你用了多么让人抓狂的Windows密码,只要有人可以接触到你的PC,他便可以使用Ubuntu[1] Live CD将你所有的资料复制到外部设备中并拿到其他机器上去破解–假设你并没有对你整个硬盘做加密的话.如果对方有多一些时间的话,他可以使用Ophcrack[2]算出你的密码,或者使用系统救援盘改掉你的Windows密码.

一旦攻击者可以访问你的文件,他们可以轻易的用各种自由软件来破解你的密码,只需几个点击便可以摆平Outlook,即时通讯,Wi-Fi,IE,FireFox,Chrome或者其他任意的软件.一切只要”Google一下你就知道的太多了”去找找破解软件而已.

Pidgin使用明文保存密码

你没看错,你最喜爱的开源多协议的即时通讯客户端在使用明文保存你的密码.你不信吗? 那好,用你最顺手的编辑器打开 %appdata%.purpleaccounts.xml ,你会看见你的密码就在这里–以任何人都可以直接阅读的方式.

虽然看起来像是Pidgin[3]用 了很糟糕的,一点也不安全的方式来处理安全事宜,但这个决定是经过深思熟虑的.记住,你可以很便利的下载到任何像是Nirsoft’s MessenPass这样的软件用于恢复AIM,Windows Live Messenger, Trillian, Miranda, Google Talk, Digsby等软件的密码.Pidgin的开发者指出他们的选择实际上是安全的首选方法:

将我们的密码用明文保存比使用精确的打乱顺序更安全.因为如果用户并未被错误的安全感误导的话,他很可能会以更安全的方式来使用软件.

当然最佳答案是完全不允许即时通讯软件保存你的密码.但如果你非要保存不可的话,就算没有万全的TrueCrypt[4]设置,也至少应该使用内建的Windows加密.两者都能提供比其他软件那些”伪加密”更好的保护.

唯一的安全存储是密码管理软件

唯 一真正安全的保存密码的方式是使用密码管理软件,它可以安全的记录你的密码,并以强大的主密码来保护你所有其他的密码.不过,如果你设置了一个简单的主密 码,它可能很容易被暴力破解攻破.不要被错误的安全感误导了,使用单一的密码并非代表万无一失.你的密码管理软件至少要有10位字母/数字以确保安全. (猫叔乱入:猫叔的KeePass主密码是16位混合大小写,数字,符号的密码 =w=)

对于密码管理软件,你有很多选择,比如读者最喜爱的KeePass — 一个跨平台的密码管理软件,拥有大量的插件帮助你轻松管理密码.哦,当然,别忘了Firefox有一个内建的密码管理软件

使用FireFox主密码 (多于8位字母)

如果你打算用Firefox来保存你各种网上帐号,你应该确保开启了主密码保护.
可以按以下方法开启:

工具 –> 选项 –> 安全 ->  勾选”使用主密码”

一旦你设置好了,Firefox将使用几乎不可破解的AES[5]加密来保存你的密码– 假如你使用至少1位大写的8位字母/数字密码.如果你用了一个弱到可悲的像是”secret”这样的密码,只需要数分钟的暴力破解便可推倒,但适当的8位以上的随机字符组合密码用暴力破解将至少花费73年.

每次你启动Firefox访问任何需要一个已保存的密码的网站的时候,你会先被要求输入主密码.默认情况下,主密码验证会伴随整个进程的活动,不过你可以安装Master Password Timeout这个插件,它会在指定的时间后重新闭锁你的主密码.当你离开你的桌子并忘记锁住电脑的时候这很有用.

使用TrueCrypt加密所有的东西

不 管你是否使用密码管理软件还是压根不保存密码,你都可以使用TrueCrypt创建一个独立的加密TrueCrypt磁盘并使用携带版软件(aka.绿色 软件)以保证安全.更极端的做法是用TrueCrypt加密整个硬盘,你将会在每次启动时要求输入密码,不过你可以放心了,你所有的东西都是加密的,就算 你用明文的脚本来保存密码.
如果TrueCrypt不是你的菜,那么你可以考虑Windows内建的加密功能,不过你要记住,如果你改了密码你的数据将无法访问,而且Windows密码一旦被破解,所有的加密文件

© 2009 - 2018 冰河的博客