Myat's

El bloqueo de las exploraciones w00tw00t

myatu — Sat, 17 Julio 2010 10:53:38 +0000

Algunos sitios web están siendo afectados con el infame “w00tw00t” exploraciones. Es posible que vea estas exploraciones en sus registros como:

... "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 ...

Uso de iptables

El método más rápido de asegurarse de que nunca llega a su servidor web (y recursos así como la pérdida de procesador, de espacio en disco [los archivos de registro], etc) es usar iptables, y se puede hacer con una sola línea como esta:

iptables -I INPUT -D xxx.xxx.xxx.xxx -p tcp --dport 80 -m string --to 70  --algo bm --string 'GET /w00tw00t.at.ISC.SANS.' -j DROP

Sólo tiene que sustituir xxx.xxx.xxx.xxx con la IP de su servidor web. Si desea utilizar esto para un rango de IPs (es decir., usted está utilizando IPs múltiples para albergar los servidores web), simplemente sustituya el “-D xxx.xxx.xxx.xxx” portion with:

-m iprange --dst-range start.xxx.xxx.xxx-end.xxx.xxx.xxx

Dónde start.xxx.xxx.xxx y end.xxx.xxx.xxx are the first and last IPs of your web servers respectively.

If you wish to have a fancier option, one where it will for example blacklist an IP for a certain period, etc., have a look at SpamCle@ner’s website.

They go deeper into this subject and have provided two scripts near the end of their article. Simply save one of these scripts in a file named, Por ejemplo, /opt/blockw00t.sh and make it executable with:

chmod +x /opt/blockw00t.sh

You can run it manually with typing “/opt/blockwoot.sh” in the shell or to automatically load it at boot time you can add it to your /etc/rc.local archivo, or on Debian/Ubuntu systems add it to your / etc / network / interfaces como así:

auto eth0

inet eth0 static

   ... [existing configuration that remains unaltered] ...

   # Load anti-w00t script:

   post-up /opt/blockw00t.sh

Using fail2ban

If you are using Fail2Ban, like described in the Shorewall firewall configuration, you can create a new definition that scans for the w00tw00t entries in the webserver log files.

The following definition assumes your webserver log entries look like the following (Nginx y Apache 2):

203.127.11.214 - - [15/Jul/2010:15:50:04 +0200] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 173 "-" "-"

Create a file /etc/fail2ban/filter.d/webserver-w00tw00t.conf:

[Definition]

failregex = ^ .*"GET \/w00tw00t\.at\.ISC\.SANS\..+\:\).*?"



ignoreregex =

This catches the known variants of the scanner, including “DFind”, “test0″, “MSlog” y “ntsvc”.

Nota: El portion is specific to fail2ban and is a shorthand for the regex (?:::f{4,6}:)?(?P\S+), which matches either an IPv4 or IPv6 address. See the fail2ban manual for more details.

*Tip: If you wish to change the regular expression, I recommend RegExr to play with various options/search criteria. It’s a time saver and free :)

*Tip 2: To test your definition’s regular expression, usar:

fail2ban-regex logfile /etc/fail2ban/filter.d/webserver-w00tw00t.conf

Dónde logfile is the actual log file name, such as /var/log/apache2/access.log.

Add this definition to the fail2ban Jail configuration (/ etc/fail2ban/jail.conf):

... [existing configuration] ...



[webserver-w00tw00t]

enabled  = true

puerto     = http,https

filter   = webserver-w00tw00t

# !!! Keep in mind to specify the correct web server log here:

logpath  = /var/log/apache2/access.log

maxretry = 1

# Time in seconds, En este caso,, one day:

bantime  = 86400

Now reload the service (es decir., “/etc/init.d/fail2ban reload” o “service fail2ban reload”).

Puestos relacionados:

Un simplificado Nginx-Apache combinado con el apoyo de WordPress

myatu — Mon, 28 Junio 2010 22:03:21 +0000

Parece que he descuidado a escribir un nuevo artículo en mucho tiempo! La culpa es mía. Pero, gracias a un corte de página web, I’ve finally got some more good stuff to share with you.

Mi configuración previa de Nginx se convirtió en una pesadilla para mantener y WordPress se ha convertido más lento porque los niños de Apache estaban siendo asesinados por OOM. Esto se debió a una equivocada caché PHP (PHP XCache para ser exactos) que decidió tomar cada pedacito disponible de memoria de mi sistema, a pesar de tener max-peticiones por niño de implantación baja (antes de ser purgado).

Esta, junto con mis esfuerzos en la búsqueda de la solución más rápida a todo y la introducción de una nueva nube servidores OVH, lead me to today’s article.

Which is faster – Varnish or Nginx?

The first thing I wanted to do is make all the caching happen before things get pushed through to Apache. This because I wanted to eliminate both PHP XCache and the WordPress Super Cache plugin I was using, so to increase WordPress compatibility but decrease complexity.

At first I thought about using Varnish – either as a the sole front-end, or in between Nginx and Apache (the reasoning later). También, I had gotten my hands on OVH’s Cloud servers whilst they were still in “alpha”, and used this as the base system for building a pool of web servers.

The following tests have all been performed on those Cloud servers – mC 256 (256 MBytes of guaranteed RAM, 2 GByte total memory with excess swapped to SSD’s), 4 CPU cores and 5 GBytes of storage space. The OS is Ubuntu 10.04 LTS. The output of /proc/cpuinfo is as following (x4 for briefness):

processor       : 0

vendor_id       : GenuineIntel

cpu family      : 6

model           : 26

model name      : Intel(R) Xeon(R) CPU           E5504  @ 2.00GHz

stepping        : 5

cpu MHz         : 1995.000

cache size      : 4096 KB

fdiv_bug        : En

hlt_bug         : En

f00f_bug        : En

coma_bug        : En

fpu             : Sí

fpu_exception   : Sí

cpuid level     : 11

wp              : Sí

flags           : fpu vme de pse tsc msr pae mce cx8 apic mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss nx rdtscp lm constant_tsc arch_perfmon pebs bts xtopology tsc_reliable nonstop_tsc aperfmperf pni ssse3 cx16 sse4_1 sse4_2 popcnt hypervisor lahf_lm

bogomips        : 3990.00

clflush size    : 64

cache_alignment : 64

address sizes   : 40 bits physical, 48 bits virtual

power management:

The stock install of Apache performed as following on a simple “Hello World” PHP script, utilizando “ab -c 100 -n 100000 http://host/“:

Concurrency Level:      100

Time taken for tests:   29.548 segundo

Complete requests:      100000

Failed requests:        0

Write errors:           0

Total transferred:      25009500 bytes

HTML transferred:       3901482 bytes

solicitudes por segundo:    3384.27 [#/sec] (mean)

Time per request:       29.548 [ms] (mean)

Time per request:       0.295 [ms] (mean, across all concurrent requests)

Transfer rate:          826.55 [Kbytes/sec] received



Connection Times (ms)

              min  mean[+/-sd] median   max

Connect:        0   12  39.1     12    1960

Processing:     9   18  49.6     14    2036

Waiting:        1   15  45.9     12    1966

Total:         14   29  65.9     26    2159

With Varnish in front of Apache, things really started to look good:

Concurrency Level:      100

Time taken for tests:   13.489 segundo

Complete requests:      100000

Failed requests:        0

Write errors:           0

Total transferred:      28315282 bytes

HTML transferred:       1100594 bytes

solicitudes por segundo:    7413.64 [#/sec] (mean)

Time per request:       13.489 [ms] (mean)

Time per request:       0.135 [ms] (mean, across all concurrent requests)

Transfer rate:          2049.99 [Kbytes/sec] received



Connection Times (ms)

              min  mean[+/-sd] median   max

Connect:        0    6   2.2      6      71

Processing:     2    7   1.9      7      70

Waiting:        1    6   2.0      5      66

Total:          3   13   3.1     13      81

At 2.48x more than what Apache can send out on its own, that’s a mighty impressive improvement and Varnish deserves kudos. But at 1 GBytes of RAM for caching, would it really be more efficient and quicker than Nginx? The following results tell …

Concurrency Level:      100

Time taken for tests:   9.438 segundo

Complete requests:      100000

Failed requests:        0

Write errors:           0

Total transferred:      27706648 bytes

HTML transferred:       5201248 bytes

solicitudes por segundo:    10595.55 [#/sec] (mean)

Time per request:       9.438 [ms] (mean)

Time per request:       0.094 [ms] (mean, across all concurrent requests)

Transfer rate:          2866.87 [Kbytes/sec] received



Connection Times (ms)

              min  mean[+/-sd] median   max

Connect:        0    4   1.0      4      56

Processing:     2    6   9.7      5     253

Waiting:        0    5   9.7      5     253

Total:          5    9   9.7      9     257

… a different story. Though this is not some scientific research that should be taken at face value, I personally found the difference rather significant – especially since Nginx never used more than 60 Mbytes of RAM and relied mostly on system file caching. 1.39x faster than Varnish, 3.46x faster than Apache by itself. That’s even more impressive!

A little Varnish quirk on Ubuntu

Otra vez, and I can’t say this often enough, these are merely the numbers obtained on my system – your mileage may vary. Varnish is definitely a worthy contender — the one issue I encountered on Ubuntu was that Varnish crashed when attempting to test with more than 1000 concurrent connections. That’s not supposed to happen in a production environment!

The culprit seems to be the user account’s “open archivo descriptors” limitation. Sockets are also counted towards this value and when Varnish had hit the limit it died rather ungracefully. You can manually resolve it by using ulimit:

ulimit -n 65535

But you are better off using the /etc/security/limits.conf file. It is well documented, so it shouldn’t be to difficult to figure it out. I’ll continue with my blog…

The Configuration

So I have decided to keep Nginx as the front-end for Apache, but this time – unlike previously – activate Nginx’s caching. Doing it here, rather than working with caching plugins and a plethora of other band-aids, keeps the whole configuration clean and simple. Apache can be left alone to run as it normally does, with no special trickery. The only exception is a memcache store, because the database is located on a different server and linked through a VPN.

First I installed Nginx, Apache, PHP5 and Memcache through the usual channels, de la siguiente manera:

apt-get install nginx libapache2-mod-php5 memcached \

php5-mysql php5-curl php5-gd php5-idn php-pear php5-imagick \

php5-imap php5-mcrypt php5-memcache php5-mhash php5-ming \

php5-ps php5-pspell php5-recode php5-snmp php5-sqlite \

php5-tidy php5-xmlrpc php5-xsl php5-json

Update Nginx

The Nginx version provided by the Ubuntu repository is 0.7.65. Sin embargo, a feature introduced in version 0.7.66/stable - proxy_no_cache – will come handy simplifying the configuration. 0.7.67 also fixed a small issue, which mainly concerns Windows machines but is good to have patched regardless. So I’ve compiled Nginx to the latest stable version as following:

# apt-get install libc6 libpcre3 libpcre3-dev libpcrecpp0 libssl0.9.8 libssl-dev zlib1g zlib1g-dev lsb-base

wget http://www.nginx.org/download/nginx-0.7.67.tar.gz

tar -xf nginx-0.7.67.tar.gz

cd nginx-0.7.67

./configure \

--user=www-data \

--group=www-data \

--sbin-path=/usr/sbin \

--conf-path=/etc/nginx/nginx.conf \

--error-log-path=/var/log/nginx/error.log \

--pid-path=/var/run/nginx.pid \

--lock-path=/var/lock/nginx.lock \

--http-log-path=/var/log/nginx/access.log \

--http-client-body-temp-path=/var/lib/nginx/body \

--http-proxy-temp-path=/var/lib/nginx/proxy \

--http-fastcgi-temp-path=/var/lib/nginx/fastcgi \

--with-debug \

--with-http_stub_status_module \

--with-http_flv_module \

--with-http_ssl_module \

--with-http_dav_module \

--with-http_gzip_static_module \

--with-http_realip_module \

--with-mail \

--with-mail_ssl_module \

--with-ipv6

make && make install

Sí, that’s literally cut & paste. It overwrites the binaries installed by apt-get, and we happily continue to use the official init script provided by Ubuntu/Debian. Why make life difficult?

Configuring PHP and Apache

En este punto,, configure PHP and Apache to your heart’con content. The one thing that you need to do with Apache is move it to a different port and preferably keep it on 127.0.0.1. This means you need to edit the /etc/apache2/ports.conf file:

NameVirtualHost *:8080

Listen 127.0.0.1:8080

And configure your website(s) accordingly:



... etc ...

If you are using SSL (https://), this will be handled by Nginx rather than Apache. Since this is already getting quite long, I will skip SSL in this blog.

Configuring Nginx

We start off by creating a few directories that will be used by Nginx:

mkdir /etc/nginx/includes

mkdir -p /var/cache/nginx/tmp

mkdir /var/cache/nginx/cached

chown -R www-data:www-data /var/cache/nginx

Next we modify the file /etc/nginx/nginx.conf de la siguiente manera:

user                    www-data;



worker_processes        4;

worker_rlimit_nofile    16384;



error_log               /var/log/nginx/error.log;

pid                     /var/run/nginx.pid;



events {

        worker_connections  2000;

}



http {

        include                 /etc/nginx/mime.types;

        default_type            application/octet-stream;



        access_log              /var/log/nginx/access.log;



        sendfile                on;

        tcp_nopush              on;

        tcp_nodelay             on;

        keepalive_timeout       75 20;



        gzip                    encendido;

        gzip_vary               encendido;

        gzip_comp_level         3;

        gzip_min_length         4096;

        gzip_proxied            alguno;

        gzip_types              text/plain text/css application/x-javascript text/xml

                                application/xml application/xml+rss text/javascript;



        include                 /etc/nginx/conf.d/*.conf;

        include                 /etc/nginx/sites-enabled/*;

}

El worker_processes variable is set according to the number of CPU cores in my system, 4 En este caso,. There are a few tcp tweaks and gzip compression is enabled on additional archivo types, rather than just html. For the rest, it’s fairly run-of-the-mill.

The core workhorse of Nginx will be the proxy and its associated cache. Because I like to keep things nicely sectioned, thus easy to configure, I’ve created the following /etc/nginx/conf.d/proxy.conf file, which will be included by Nginx by an include declaración:

proxy_redirect                  de;



proxy_set_header                Host $host;

proxy_set_header                X-Forwarded-For $proxy_add_x_forwarded_for;



proxy_connect_timeout           90;

proxy_send_timeout              90;

proxy_read_timeout              90;



proxy_buffer_size               4k;

proxy_buffers                   4 32k;

proxy_busy_buffers_size         64k;

proxy_temp_file_write_size      64k;



proxy_max_temp_file_size        56m;

proxy_temp_path                 /var/cache/nginx/tmp;

proxy_cache_key                 $scheme$host$request_uri;

proxy_cache_path                /var/cache/nginx/cached levels=2:2 keys_zone=global:64m inactive=60m max_size=1G;



proxy_cache_valid               200 302 30m;

proxy_cache_valid               301 1h;

proxy_cache_valid               404 1m;



proxy_cache_use_stale           error timeout http_500 http_502 http_503 http_504;



proxy_pass_header               Set-Cookie;

El proxy_set_header variables are there to help you determine the IP of the actual web page requester, rather than receiving the one from Nginx. You just need to include %{X-Forwarded-For}i in one of Apache’s log formats instead of the host (%h).

Sin embargo, I have personally disabled all access logging in Apache, because everything needs to pass through Nginx anyway and it boosts Apache’s performance a smidgen (you do this by commenting out all the CustomLog lines in Apache’s configurations). I did leave the Apache ErrorLog enabled, just for those instances and also for PHP error messages.

The file above also defines an Nginx proxy cache zone called “global” con el proxy_cache_path variable. That same variable also specifies a garbage time (60 minutos) and maximum cache size (on the disk, 1 GBytes).

El proxy_cache_key is simply a concatenation of “httpmyatus.co.uk/therequests.php” that will be hashed and then used to retrieve it at a later point. I’m allowing stale cache to be served in case of certain errors, for example when Apache has unexpectedly died.

An important bit, which was quite a PITA to figure out, is the proxy_pass_header portion for the “Set-Cookie” header. WordPress includes “Set-Cookie” headers in 302 HTTP responses (which is used to point your browser to a new location) – some frown upon this practice and Nginx is no exception. Hence we need to specifically let this pass through, or else you will not be able to login to your WordPress Admin or have users leave comments.

Includes

en la /etc/nginx/includes folder we created earlier, we add two archivos. The first is a helper for sites that use WordPress. Since the /etc/nginx/includes folder is not automatically included, we can be selective about inclusions, and save on some processing time when these features aren’t used. This is the /etc/nginx/includes/wordpress.inc file:

Si ($http_cookie ~* "comment_author_|wordpress_(?!test_cookie)|wp-postpass_") {

    set $no_cache 1;

}



Si ($http_user_agent ~* "(2\.0 MMP|240x320|400X240|AvantGo|BlackBerry|Blazer|Cellphone|Danger|DoCoMo|Elaine\/3\.0|EudoraWeb|Googlebot-Mobile|hiptop|IEMobile|KYOCERA\/WX310K|LG\/U990|MIDP-2\.|MMEF20|MOT-V|NetFront|Newt|Nintendo Wii|Nitro|Nokia|Opera Mini|Palm|PlayStation Portable|portalmmm|Proxinet|ProxiNet|SHARP-TQ-GX10|SHG-i900|Small|SonyEricsson|Symbian OS|SymbianOS|TS21i-10|UP\.Browser|UP\.Link|webOS|Windows CE|WinWAP|YahooSeeker\/M1A1-R2D2|NF-Browser|iPhone|iPod|Android|BlackBerry9530|G-TU915 Obigo|LGE VX|webOS|Nokia5800)" ) {

    set $no_cache 1;

}



proxy_no_cache      $no_cache;

It’s a very simple file, En realidad. The first portion checks if there are certain cookies set, related to comment authors or those who are logged into the WordPress Admin. Si este es el caso, the variable $no_cache se establece en 1. The second check is for mobile users, like Nokia, iPhone, etc. Thes is helpful in case you have a mobile WordPress edition, as available through some plugins.

If at any point the $no_cache is 1, the variable proxy_no_cache becomes true. Apache’s output might still be cached, but it will not be served to the end user (thus always fresh).

The second archivo is a helper that’s pretty much universal for all the websites (but can still be overridden in the actual sites-available/* files). This is the /etc/nginx/includes/default_proxy.inc file:

# Enable caching:

proxy_cache     global;



# Default:

ubicación / {

        proxy_pass              http://127.0.0.1:8080;

}



# Rarely changed items can remain cached longer:

location ~* \.(jpg|jpeg|png|gif|ico|CSS|mp3|wav|swf|mov|doc|pdf|xls|ppt|docx|pptx|xlsx)$ {

        proxy_cache_valid       200 3h;

        proxy_pass              http://127.0.0.1:8080;

}



# Deny access to .ht* files:

location ~ /\.ht {

        deny                    todo;

}

The first variable proxy_cache informs Nginx to use the “global” zone we defined earlier in the /etc/nginx/conf.d/proxy.conf archivo. If it is not there, nothing will be cached and pages simply pass through.

It further tells Nginx to send everything to Apache, but allow images and a few other static files to be cached longer than originally defined. The last portion tells Nginx to block access to files such as . Htaccess o .htpasswd right at Nginx’s level – so Apache doesn’t have to and save some processing power.

A default site

You can use the include files to build a very small website configuration file. Por ejemplo, /etc/nginx/sites-available/default may looks something similar to this:

server {

        listen          80;

        server_name     _;



        root            /var/www/sites/default/public;

        index           index.html index.htm;



        access_log      /var/www/sites/default/logs/access.log;

        error_log       /var/www/sites/default/logs/nginx.error.log;



        # Includes:

        include         /etc/nginx/includes/wordpress.inc;

    include         /etc/nginx/includes/default_proxy.inc;

}

Everything is passed to Apache and cached, depending of the wordpress.inc file allows it. Apache will handle the rest. You will likely have to change the directories, but that’s basically it.

wordpress

There’s little that needs to be done with WordPress. The most important thing is to actually disable any WordPress cache you may be using, such as WordPress Super Cache. It is no longer needed and only gives Apache / PHP more work to do. Sin embargo, as noted earlier, I did include Memcache.

The reason is that in my case, each Cloud server works off the same MySQL database cluster. To avoid unnecessary or repetitive SQL traffic, the Memcache daemon will hold these in RAM memory (or in the Cloud’s case – either RAM or SSD). This is done with the use of the object-cache.php file by Ryan Boren, which can be obtained from this website. This file needs to be placed in your $WP-ROOT$/wp-content/ directory.

For everything else, WordPress can be plain vanilla but become blistering fast, as shown in the next output.

Performance

I have clustered a Cloud server with a dedicated server. For a short while (as in, half a day) I used HAProxy as the point-of-entry. HAProxy is super-fast, but I was irked by a minor issue that caused some logging issues. nginx is on-par with HAProxy, though it might have a little more jitter, so I now use an 2x Nginx <–> 2x (Nginx + Apache) combination. Witt the (nginx + Apache) portion of this setup configured exactly as described above, I have been able to obtain the following speeds (based on 100 concurrent connections, 50,000 requests and keep-alive enabled):

Concurrency Level:      100

Time taken for tests:   6.694 segundo

Complete requests:      50000

Failed requests:        0

Write errors:           0

Keep-Alive requests:    0

Total transferred:      2822197200 bytes

HTML transferred:       2806393092 bytes

solicitudes por segundo:    7469.02 [#/sec] (mean)

Time per request:       13.389 [ms] (mean)

Time per request:       0.134 [ms] (mean, across all concurrent requests)

Transfer rate:          411700.31 [Kbytes/sec] received



Connection Times (ms)

              min  mean[+/-sd] median   max

Connect:        0    2   0.4      2      16

Processing:     3   11   0.8     11      27

Waiting:        1    3   1.2      3      25

Total:          6   13   0.8     13      32

En 3.29 Gbps @ 7469 solicitudes por segundo, I consider this to be a rather well performing setup. Well prepared for my next project!

Puestos relacionados:

Guía: Firewall y router con Proxmox – Ampliando su uso

myatu — Sat, 20 Mar 2010 09:08:55 +0000

El año pasado escribí una guía sobre la cómo usar Shorewall, como cortafuegos y router para Proxmox. As a follow up I will answer a few questions I’ve received about that guide that can help you extend its use.

ARP proxy

La pregunta más común es en lo que respecta a ARP proxy. Al habilitar esta opción le permitirá asignar una dirección IP pública directamente a su máquina virtual de resultados, eliminando la necesidad de reenvío de puertos (DTA) or having to worry about the MAC address.

Como un ejemplo de uso de proxy ARP, it is helpful for those using a a SIP-based VoIP server since a STUN server is no longer required.

Activación de Proxy ARP

El primer paso es asegurarse de que está habilitado de proxy ARP. Esta es una tarea bastante simple y consiste en añadir una sola línea a una de sus estrofas estática de red. ¿Cuál precisamente depende de su sistema de instalación; para aquellos que tienen un eth0 stanza, Usted puede utilizar allí. Para otros que sólo tienen un vmbr0 .. n habitación, the additional line should be placed there.

iface eth0 inet static

    # ... existing lines ...

    post-up echo 1 > /proc/sys/net/ipv4/conf/all/proxy_arp

These changes will take effect on your next boot or whenever you restart your networking services.

Añadir una ruta a Shorewall

Shorewall necesita saber que usted desea utilizar proxy ARP, para los que la propiedad intelectual que es y dónde esta la propiedad intelectual debe ser encaminado a la. La belleza de Shorewall es su simplicidad y por lo que este puede ser rápidamente hace creando un archivo de nombre / etc / shorewall / proxyarp que contendrá esta:

#ADDRESS    INTERFACE    EXTERNAL    HAVEROUTE    PERSISTENT

92.22.33.44 vmbr0        eth0

Traducción, Esto informa a Shorewall que la IP pública 92.22.33.44 adjunta a la eth0 needs to be forwarded to a guest VM (usando este IP pública) adjunta a la vmbr0 bridge.

Como se puede decir de la primera línea, Hay dos opciones adicionales: haveroute y persistente.

El haveroute Shorewall opción determina si se debe crear una ruta desde la interfaz externa para el puente. Para los contenedores resultados sobre la base de OpenVZ, Proxmox tendrá de la creación de la ruta de. Pero para contenedores completamente virtualizados (sobre la base de KVM), es necesario crear esta ruta a ti mismo. En este caso decimos Shorewall para crear la ruta para nosotros, por mantener el valor de esta opción en su valor por defecto (en blanco, o En).

Cuando el haveroute opción está establecida en No (predeterminado), El persistente Shorewall opción le dice a si se debe mantener la ruta creada se activa si se detiene Shorewall. En general, y por razones de seguridad, debe salir de este en su opción por defecto (en blanco o En). This prevents the guest VM from being exposed without a firewall protecting it.

La creación de reglas de Shorewall

En la guía original se bloquea todo el tráfico desde el lado del público a los internos de máquinas virtuales. Este sigue siendo el mismo cuando se utiliza un proxy ARP y por lo tanto necesidad de crear normas que permitan el tráfico a determinados puertos. Esto puede hacerse mediante la adición de normas como la:

ACCEPT    net    dmz:92.22.33.44    udp    5060

Esto permitirá que el tráfico UDP en el puerto 5060 a proceder a la máquina virtual de resultados en materia de PI 92.22.33.44. También puede utilizar las macros Shorewall, Por ejemplo:

HTTP/ACCEPT    net     dmz:92.22.33.44

Y en este caso se hará un servidor web en 92.22.33.44 accessible to the public.

alternativamente, Usted puede configurar una regla única que acepta todo el tráfico en todos los puertos:

ACCEPT    net     dmz:92.22.33.44

However you should take care that the guest VM has its own set of rules to block unwanted or unsafe traffic.

Lo principal a tener cuidado con estas reglas de firewall proxy ARP es utilizar “ACEPTAR” y no “DTA” as explained in the original guide.

Múltiples IPs públicas

Otra pregunta común es en lo que respecta a múltiples direcciones IP públicas. La guía original supone que la sede, tiene una dirección IP pública, so here are a few additional pointers.

Si usted sigue la guía original, Entonces alguno IP pública se aplicarán de la misma regla. Así que digamos que tiene dos direcciones IP públicas, 94.11.22.33 y 94.22.33.44 y la regla:

ACCEPT    net    fw    tcp    5900:5999

Con esta regla, usted puede utilizar ambos 93.11.22.33:5900 o 94.22.33.44:5900 para conectarse a VNC Proxmox's. Pero usted desea restringir a una dirección IP específica, entonces usted necesita para modificar la regla de la siguiente manera:

ACCEPT    net   fw:94.22.33.44    tcp    5900:5999

Ahora sólo se puede utilizar 94.22.33.44:5900 para contactar, pero no 93.11.22.33:5900.

Lo mismo se aplica a Port Forwarding (DTA) normas, que está escrito en un formato ligeramente diferente. Digamos que tenemos esta regla:

DNAT    net    dmz:10.0.0.1    tcp    1234

Este remitirá alguno IP pública en el puerto 1234 en la máquina virtual de invitado en 10.0.0.1. Así, tanto 94.11.22.33:1234 y 94.22.33.44:1234 funcionará. Si desea restringir esta a una determinada dirección IP pública, el Estado debe ser modificado de la siguiente manera:

DNAT    net    dmz:10.0.0.1    tcp    1234    -    94.22.33.44

solamente 94.22.33.44:1234 will be allowed at this point.

Nombres memorables

Si tiene muchas direcciones IP, se hace fácil olvidar que la PI para utilizar. Usted puede usar Shorewall's “params” archivo de PI para dar un nombre memorable. Editar el archivo / etc / shorewall / params de la siguiente manera:

IP_ALEX=94.11.22.33

IP_SONIA=94.22.33.44

IP_ERIC=94.33.44.55

IP_VM1=10.0.0.1

IP_VM2=10.0.0.2

IP_VM3=10.0.0.3

Ahora usted puede utilizar estos nombres en lugar de la dirección IP en cualquiera de sus normas Shorwall, como así:

HTTP/DNAT    net     dmz:$IP_VM1    -    -    -    $IP_SONIA

Y esto adelante sería el tráfico HTTP de 94.22.33.44 to a guest VM running on 10.0.0.1.

Utilización mixta y de transición

La guía original, no sólo añade un servidor de seguridad, sino que también ayudó a los que el anfitrión siempre bloqueado IPs en ordenadores Mac no autorizados. Uno de ellos fue hosting ofrecido PVP, y se han introducido recientemente un “Virtual MAC para VPS” opción que le permite asignar una dirección IP a una MAC. Esto elimina la necesidad de Proxy ARP o el reenvío de puertos NAT /, however the original guide will still prove itself useful for protecting the host.

Voy a ofrecer una configuración de ejemplo siguiente, que puede ser modificado para adaptarse a sus necesidades y configuración de la red. Esto supone que tiene una comprensión básica de la red y leer mi guía anterior.

Interfaces

Modificamos la / etc / network / interfaces de la siguiente manera:

# The loopback network interface

auto lo

iface lo inet loopback



# Public Network. Make sure to only use MACs that were assigned to you

auto vmbr0

iface vmbr0 inet static

 # The following settings are specific to your hosting provider:

 address 94.11.22.33

 netmask 255.255.255.0

 network 94.11.22.0

 broadcast 94.11.22.255

 gateway 94.11.22.254

 # The following assumes eth0 is the public-side NIC, the remained is always the same

 bridge_ports eth0

 bridge_stp fuera

 bridge_fd



# Optional Private Network. This network cannot be access directly from the public side

auto vmbr1

iface vmbr1 inet auto

 address 10.0.0.1

 network 255.0.0.0

 broadcast 10.255.255.25

 bridge_ports ninguno

 bridge_stp off

 bridge_fd 0

El anfitrión, accesible 94.11.22.33, tendrá dos puentes en este momento: vmbr0 serving the public-side and vmbr1 serving inter-VM communication.

Para asignar una dirección IP pública a un KVM, se utiliza el vmbr0 bride and must ensure the MAC corresponds to the one provided by your hosting provider (si una restricción MAC está en su lugar).

Usted también puede agregar un 2 º de la NIC (o como el NIC sólo) a la KVM, que es un puente con vmbr1. En este caso,, tiene que utilizar una dirección IP dentro de la 10.0.0.2-10.255.255.254 rango, y como puerta de enlace 10.0.0.1. Este rango de IP en particular sólo se puede utilizar entre otras máquinas virtuales en el mismo host / puente, unless you use port forwarding or a VPN on the same IP range.

Interfaces Shorewall y Zonas de

La base / etc / shorewall / interfaces se:

#ZONE    INTERFACE    BROADCAST    OPTIONS

pub    vmbr0        detect        routeback,puente

loc    vmbr1        detect        routeback,puente



#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

También puede agregar la lista negra opción, or any of the other possible Shorewall options if you wish.

El acompañamiento / etc / shorewall / zonas se verá así:

#ZONE    TYPE        OPTIONS        IN            OUT

#                    OPTIONS            OPTIONS

fw    firewall

pub    ipv4

loc    ipv4



#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE

Ahora tiene tres distintas zonas de Shorewall. El FW zona es un auto-referencia a la acogida (en nuestra configuración de la muestra 94.11.22.33 y 10.0.0.1). El pub representa la zona de acceso público vmbr0 bridge and loc nuestro interior vmbr1 bridge.

Shorewall Política

La siguiente política define estas reglas básicas:

El tráfico procedente de la sede de la en otro sitio se permite la
El tráfico desde el lado del público a la acogida y la red interna se niega
El tráfico desde el lado interno de la acogida se niega, en ninguna otra parte se permite

Editar / etc / shorewall / Política:

#SOURCE    DEST    POLICY        LOG    LIMIT:        CONNLIMIT:

#                    LEVEL    BURST        MASK



# From Firewall:

fw        fw    ACCEPT

fw        pub    ACCEPT

fw        loc    ACCEPT



# Public puente (read the policy warnings!):

pub        pub    ACCEPT

pub        loc    ACCEPT

pub        fw    DROP        info



# Local (internal) Bridge:

loc        loc    ACCEPT

loc        pub    ACCEPT

loc        fw    DROP        info



# THE FOLLOWING POLICY MUST BE LAST

#

all    all    REJECT        info



#LAST LINE -- DO NOT REMOVE

Política de Advertencias

Con esta política significa que la muestra cada VM resultados accesibles al público debe tener su propio firewall. Si desea cambiar este comportamiento, y dejar Shorewall manejar el servidor de seguridad para cada huésped como VM, a continuación, cambiar el puente de la sección Público:

pub        pub    DROP      Info

A continuación, necesita crear normas específicas que permitan el tráfico de VMS en vmbr0.

Una advertencia similar se aplica al tráfico de vmbr0 to vmbr1. La política supone que vmbr0 does not receive any routable traffic on a private IP range (también llamado “Marcianos”). Aunque esto es a menudo el caso, depende de la creación de redes internas del proveedor de hosting. Si usted no está seguro de si hay tráfico enrutable en un rango de direcciones IP privadas de la parte pública, usted tiene dos opciones. La primera es no permitir todo el tráfico de vmbr0 (pub) para vmbr1 (loc) mediante la edición de la sección pública Bridge:

pub        loc    DROP      Info

La alternativa es tener un conjunto de normas en / etc / shorewall / normas como así:

# ...

SECTION NEW



# Leave these at the top, right after "SECTION NEW"!

DROP        pub:10.0.0.0/8        all

DROP        pub:192.168.0.0/16    all

DROP        pub:172.168.0.0/12    all



# ... Other rules follow ...



#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

En todos los casos, debe comprobar si el tráfico es verdaderamente bloqueada y no suponer que es!

Shorewall y fail2ban

Fail2ban en sus propias palabras “escanea los archivos de registro como / var / log / pwdfail o / var / log / apache / error_log y la prohibición de la propiedad intelectual que hace que los fallos contraseña demasiadas. En él se actualizan las reglas del firewall para rechazar la dirección IP”. Esto puede servir, por ejemplo a (temporalmente) ban a bot that is attempting a brute-force entry through SSH.

Fail2ban es un compañero ideal para Shorewall y se puede instalar en cuestión de minutos en un host Proxmox. Se comienza con la instalación de fail2ban de los paquetes de Debian:

apt-get install fail2ban

Configurar Shorewall

A continuación, tiene que editar una línea en el archivo de configuración de Shorewall, situado en / etc / shorewall / shorewall.conf:

BLACKLISTNEWONLY=No

Eso es todo lo que necesita para configurar en Shorewall. Recuerde que para aplicar la configuración reiniciando Shorewall con el comando “shorewall reiniciar”.

Configurar fail2ban

El último paso es configurar fail2ban. el archivo / etc/fail2ban/jail.conf está ampliamente documentado y de interés particular son los siguientes ajustes:

...

#

# Destination email address used solely for the interpolations in

# jail.{conf,local} configuration files.

destemail = myemail@address.com



...

#

# ACTIONS

#



# Default banning action (e.g. iptables, iptables-new,

# iptables-multiport, shorewall, etc) It is used to define

# action_* variables. Can be overriden globally or per

# sección within jail.local file

banaction = shorewall



...

# Choose default action.  To change, just override value of 'action' with the

# interpolation to the chosen action shortcut (e.g.  action_mw, action_mwl, etc$

# globally (section [predeterminado]) or per conpecific section

action = %(action_mwl)s

Informar fail2ban de estos cambios mediante la emisión de la orden del siguiente:

fail2ban-client reload

El destemail variable debe ser cambiado a su propia dirección de e-mail, donde se le informará de cualquier medida de prohibición. El banaction Shorewall variable especifica que debe utilizarse para bloquear posibles intrusos. Y finalmente, El acción fail2ban variable le dice a la prohibición de cualquier intruso detectado y luego enviar un un correo electrónico detallado con las líneas del registro correspondiente (que causó la prohibición de). Lo que sigue es un ejemplo de un mensaje de correo electrónico reales:

hola,



El IP 193.86.5.103 ha sido prohibido por fail2ban después de

3 attempts against ssh.



Aquí hay más información acerca de 193.86.5.103:



% This is the RIPE Database query service.

% The objects are in RPSL format.

%

% The RIPE Database is subject to Terms and Conditions.

% Ver http://www.ripe.net/db/support/db-terms-conditions.pdf



% Nota: This output has been filtered.

%       Para recibir una salida para una actualización de la base de datos, use the "-B" flag.



% Información relacionada con '193 .86.4.0 - 193.86.5.255'



inetnum:      193.86.4.0 - 193.86.5.255

netname:      TRACK

descr:        TRACK, Inc.

descr:        Hradec nad Moravici

country:      CZ

admin-c:      BK230-RIPE

tech-c:       TP231-RIPE

status:       ASSIGNED PA

mnt-by:       GTSCZ-MNT

source:       RIPE # Filtered



person:       Bohumil Kriz

dirección:      TRACK, Inc.

dirección:      Computer Centre

dirección:      Hradec nad Moravici

address:      747 41

address:      The Czech Republic

phone:        +420 653 918118

fax-no:       +420 653 911791

nic-hdl:      BK230-RIPE

source:       RIPE # Filtered



person:       Tomas Partl

dirección:      TRACK, Inc.

dirección:      Computer Centre

dirección:      Hradec nad Moravici

address:      747 41

address:      The Czech Republic

phone:        +420 653 918371

fax-no:       +420 653 911791

nic-hdl:      TP231-RIPE

source:       RIPE # Filtered



% Information related to '193.86.0.0/16AS2819'



carretera:        193.86.0.0/16

descr:        CZNET-A

origin:       AS2819

mnt-by:       GTSCZ-A-MNT

source:       RIPE # Filtered



Lines containing IP:193.86.5.103 in /var/log/auth.log



Febrero 27 03:32:02 acogida sshd[21460]: Error de la contraseña de root de 193.86.5.103 puerto 35833 ssh2

Feb 27 03:32:04 acogida sshd[21502]: Error de la contraseña de root de 193.86.5.103 puerto 36302 ssh2

Feb 27 03:32:06 acogida sshd[21504]: Error de la contraseña de root de 193.86.5.103 puerto 36719 ssh2



Regards,



fail2ban

Por fail2ban por defecto está configurado para supervisar SSH, que para una serie Proxmox funciona sin ningún cambio adicional. Personalmente prefiero la prohibición de 3 intentos en lugar de la predeterminada 6, por lo que he hecho de este cambio en la / etc/fail2ban/jail.conf archivo:

[ssh]

maxretry = 3

Pero, de nuevo, el archivo de configuración está muy bien documentado, so any personal preferences or modifications should be easy to accomplish.

“Hoodies Online” una foto de gwire, Licencia CC Atribución

hola,

El IP 193.86.5.103 ha sido prohibido por fail2ban después de
3 atentados contra SSH.

Aquí hay más información acerca de 193.86.5.103:

% Este es el servicio de consulta de base de datos RIPE.
% Los objetos están en formato RPSL.
%
% La base de datos RIPE está sujeto a los Términos y Condiciones.
% Ver http://www.ripe.net/db/support/db-terms-conditions.pdf

% Nota: Este producto ha sido filtrada.
%       Para recibir una salida para una actualización de la base de datos, utilizar el "-B" bandera.

% Información relacionada con '193 .86.4.0 - 193.86.5.255 "inetnum:      193.86.4.0 - 193.86.5.255
netname:      BRANO descr:        TRACK, Inc.
descr:        Hradec nad país Moravici:      Admin CZ-c:      BK230-RIPE tech-c:       TP231-estado de RIPE:       ASIGNADOS mnt PA-por:       GTSCZ-MNT source:       RIPE # Filtered persona:       Bohumil dirección Kriz:      TRACK, Inc.
dirección:      Dirección de Informática del Centro:      Hradec nad dirección Moravici:      747 41
dirección:      El teléfono República Checa:        +420 653 918118
fax-no:       +420 653 911791
nic-hdl:      BK230 fuente de RIPE:       RIPE # Filtered persona:       Tomas dirección Partl:      TRACK, Inc.
dirección:      Dirección de Informática del Centro:      Hradec nad dirección Moravici:      747 41
dirección:      El teléfono República Checa:        +420 653 918371
fax-no:       +420 653 911791
nic-hdl:      TP231-fuente RIPE:       RIPE # Filtered

% Información relacionada con '193 .86.0.0/16AS2819 «ruta:        193.86.0.0/16
descr:        -A CZNET origen:       AS2819 mnt-by:       GTSCZ-A-MNT source:       RIPE # Filtered líneas que contienen propiedad intelectual:193.86.5.103 in / var / log / auth.log febrero 27 03:32:02 acogida sshd[21460]: Error de la contraseña de root de 193.86.5.103 puerto 35833 ssh2 febrero 27 03:32:04 acogida sshd[21502]: Error de la contraseña de root de 193.86.5.103 puerto 36302 ssh2 febrero 27 03:32:06 acogida sshd[21504]: Error de la contraseña de root de 193.86.5.103 puerto 36719 Considera ssh2,

fail2ban

Puestos relacionados:

WP Flickr Antecedentes versión 1.0.3 (Beta) disponible

myatu — Sat, 06 Mar 2010 07:41:05 +0000

versión 1.0.3 ha sido liberado, que soluciona algunos errores e introduce una nueva opción. Todavía se considera que estar en una fase beta, which most likely will change with the next release.

Cambios

A new option has been introduced to hide the license and attribution information in the footer.
Bug fix: De hash de archivo de configuración no se ha inicializado
Bug fix: Habilitación “cacheable” opción dado lugar a errores fatales de PHP en algunos casos
Bug fix: Opción de vista previa no funciona cuando “cacheable” opción estaba habilitada
Bug fix: “All Rights Reseved” licencias no tenía URL

Además, WP Flickr de fondo ya no es compatible con la versión de WordPress 2.8 or older.

Enlaces: Descarga directa WP Flickr Antecedentes (147) | WordPress Plugin Directory

Puestos relacionados:

De la Cruz Roja’ Detalles del Citibank en Twitter podría ser falso.

myatu — Mon, 01 Mar 2010 01:18:57 +0000

Hace unos momentos he recibido un mensaje en Twitter que contenía información sobre cómo podría ayudar a la Cruz Roja en sus esfuerzos en Chile. Si bien las intenciones son buenas, this can quickly become a target of fraudsters.

Mi mayor preocupación es que un defraudador simplemente sustituirá a la información de la cuenta a un es dueño de sí mismo. Debido a que es un tema candente en Twitter en el momento en, este mensaje alterado haría sus rondas de forma rápida.

Fui capaz de rastrear el mensaje original de nuevo a @ CruzRojainforma, la Cruz Roja Chilena. Hasta ahora, el mensaje de retweeted no ha sido alterado – aparte de ser traducida al Inglés. Pero he instó a la gente a dejar de retweeting los detalles de la cuenta y visite el sitio web oficial de la Cruz Roja en la www.redcross.org en vez de. There’s a link right on their main page that explains how you can donate time or money to the Chilean earthquake efforts.

En una nota final, Twitter también se usa para encontrar personas desaparecidas. Y con resultados positivos, debo añadir, ya que este artículo explica. Google también tiene un Person Finder base de datos de funcionamiento, que había hecho por el terremoto, así te Haiiti. Pero por favor, asegúrese de que usted no dar demasiados detalles personales sobre la persona que estás buscando, porque se convierte en un (casi) permanent part of the Internet.

Otra vez, Las intenciones son buenas, pero hay mucha gente ahí fuera esperando para tomar ventaja de cada situación posible, así que ten cuidado!

Fuerza Chile!

Puestos relacionados:

Hawaii Tsunami, Galería de imágenes Sprecks

myatu — Sun, 28 Febrero 2010 02:03:37 +0000

Bien, como muchos otros, He estado siguiendo el desarrollo de las historias que rodean el tsunami que fue causado por el terremoto cerca de Santiago, chile. Uno de los muchos grupos de islas que estaban en el camino del tsunami fue Hawai y he estado manteniendo un ojo en las webcams proporcionada por MauiWindCam. Ellos fueron uno de los pocos sitios de webcam en vivo en Hawai capaz de lidiar con la enorme afluencia de otros curiosos. Para aquellos que se lo perdieron, I’ve recorded a number of images that can be viewed in the gallery below.

Mientras las olas reales fueron, afortunadamente menos alto de lo esperado, hacer un preaviso de dos oleadas diferentes de las imágenes. The view here is of the Sprecks towards the West Maui mountains.

[Mostrar lista de imágenes]

[[Show as slideshow]]

Aquí hay una vi de o que le dará una mejor i de a de lo que parecía en el suelo:

Tengo otro conjunto (, con un calendario más suave) desde un lugar diferente, así, que puede añadir en breve, así. Algunas imágenes de ese conjunto se destacaron y voy a compartir esta con ustedes aquí:

Al parecer, esta persona no es consciente de que existía una alerta de tsunami en vigor y que no debe estar en la playa, especially not making any phone calls.

Puestos relacionados:

WP Flickr Antecedentes versión 1.0.2 (Beta) disponible

myatu — Fri, 26 Febrero 2010 03:43:10 +0000

Bien, un poco más de un mes que yo había puesto los toques finales al plugin WP Flickr Antecedentes y entraron en fase alfa. Durante todo el mes y con unos pocos miles de visitantes, sólo había dos problemas notificados (uno de los cuales no estaba relacionado).

Satisfecho con la, Ahora he hecho la versión 1.0.2 disponible como un producto Beta. Eso significa que ahora puede usar para sus propios fines, Sin embargo, no recomendamos el uso de esto en un entorno de producción todavía (Aunque nada le impide hacerlo – utilizar a su propio riesgo!).

The likely issues that I’m expecting are with the installation, plugin usage and the back-end (administration). But hopefully those will only be a few. En tanto, I will start the registration procedure with WordPress.org so that the code will be available in the SVN, and the plugin available for download / upgrade within WordPress itself. Hopefully this will be a matter of just a few days.

If you are running in any kind of issue, how small it may seem, I’d really like to know about it so I can improve the plugin. You can use the contact form, or leave a comment below and I will make note of it.

The static page for WP Flickr Background is http://www.myatus.co.uk/wp-flickr-background, and it will be updated with the latest version as it becomes available. You can also click on Downloads at the top.

Disfrutar!

P.S.: A small update, WP Flickr Background is also available through the Flickr App Garden.

P.P.S.: Quicker than expected, WordPress has accepted the plugin into the Plugin Directory. If you wish to use the development version (provided you know what you are doing!), see the SVN.

Puestos relacionados:

WP Flickr Antecedentes

myatu — Fri, 26 Febrero 2010 03:19:40 +0000

WP Flickr de fondo es un simple utilizar el plugin de WordPress que te permite mostrar una foto de Flickr como fondo el tema, without the need to modify any files.

Todo lo que necesitas hacer es crear una o varias galerías dentro de la configuración del plugin, cada uno con una colección de fotos de Flickr que han elegido, and WP Flickr will randomly select a photo from the active gallery to display as the theme background.

También puede personalizar una galería añada el código de estilo CSS que se cargan junto con la foto, allowing you to color match the WordPress theme to the particular photo displayed or for other use.

Enlaces: Descarga directa: WP Flickr Antecedentes (147) | WordPress Plugin Directory

Características

Decide how often the background image should change (es decir., todos los días, una vez por sesión del explorador, etc.)
Estirar una foto de fondo horizontal y / o verticalmente
Alinear fotos de fondo de acuerdo a la pantalla del visitante de diseño
Opcionalmente desactivar el fondo del tema original
Opcional de compresión de Javascript
Apoyo a la caché de WordPress como Super GT caché
Galerías de múltiples
Custom CSS style sheet per gallery, cargado con el tema de si se trata de activos

Capturas de pantalla

Requisitos

La versión de WordPress 2.9 o mejor
Versión de PHP 4.2.3 o mejor
Un navegador con soporte Javascript activado

Cómo empezar

Sube el contenido del archivo ZIP en la /wp-content/plugins/ directory
Activar el plugin a través de la Plugins menú en WordPress
Acceda a la configuración del plugin a través de la Configuración / GT Flickr Antecedentes menú para:

Opciones de configuración
Añadir galerías y fotos
Leer ayuda más detallada

Si usted tiene una idea para WP Flickr de fondo o desea informar de un fallo, Haga clic en el reacción la ficha que aparece en la izquierda o visite UserVoice.

Puestos relacionados:

Estoy de vuelta!

myatu — Sat, 23 Ene 2010 06:33:52 +0000

Pido disculpas a todos los que tuvieron dificultades para acceder a la página web en los últimos días!

Que yo había tomado por el sitio web para hacer algunos cambios en el servidor web, que rápidamente se convirtió en una importante revisión. Pensé que, puesto que ya había descendido, I might as well do the things I had long planned.

Una buena parte de que se aplique ahora, pero no estoy completamente hecho. Voy a dar mi mejor esfuerzo para asegurar que habrá poco o ningún tiempo de inactividad. Una vez más,, mis disculpas!

No related posts.

WP fondo de Flickr en las pruebas Alpha

myatu — Wed, 20 Ene 2010 01:20:00 +0000

Si eres nuevo en este sitio web, probablemente no ha notado. Pero el fondo que estamos viendo es realmente algo nuevo. Y al azar. Y escuchados de Flickr. Es un nuevo plugin que estoy desarrollando para WordPress llamado ‘WP Flickr Background’.

Un poco más de dos semanas he cambiado de tema para Motion by 85ideas, y se sintió intrigado por su uso eficaz de las transparencias y el fondo. Y ya que rápidamente se aburren mirando a la misma cosa, Pensé ‘¿Por qué no hacer de este fondo al azar "? Flickr proporciona a millones de fotos, muchos de ellos en virtud de un Creative Commons Attribution License, y esto sería una excelente fuente de los fondos de azar. Así que empecé a la codificación…

Interesante, no fue tan sencillo como cabría esperar. Después de todo, podría simplemente utilizar una hoja de estilo CSS generados dinámicamente con una ‘fondo’ elemento que apunta a una foto de Flickr al azar. Derecho?

Pero las pequeñas fotos en cascada y su sitio web se verá como un mal 1995 entrega de su primera página HTML. Y las fotos de gran tamaño puede ser Tan grandes, you end up staring at just a grain of sand instead of a beach.

CSS3, la flamante nueva versión nalgadas de hojas de estilo CSS, apoya la estiramiento de las imágenes de fondo. Desgraciadamente, no un único navegador que he intentado lo apoya. So I reverted to good-old image hacking, básicamente, la inyección de fondo en una Z negativo indexados

block at a fixed position.

Sí, esta última frase es un interruptor de gran conversación. Pero confía en mí, es el inyección parte que es más delicada. Por una, No me gusta cuando me exigen plugins para modificar manualmente los archivos de, y mucho menos modificar archivos en el primer lugar. Así que supongo que hay otras personas ahí fuera que piensan igual. Entonces, ¿cómo puedo cambiar un tema de WordPress sin tener que modificar sus archivos de? Introduzca el Javascript, jQuery para ser específicos, y estamos en nuestro camino a gran engaño!

Así que al final, WP Flickr de fondo se utiliza Javascript para añadir una nueva imagen de fondo superpuesto por el real (original) contenidos. Y funciona! Como mínimo, lo hace con la ópera 10, Firefox 3, Google Chrome 3, MSIE 8 y Safari 4. Por lo tanto, ahora estoy poniendo el plug-in a través de una prueba de Alfa pública, esperar las quejas a rodar en: “Su sitio web se ve raro” y “Me estoy poniendo los errores de JavaScript” son algunas de las cosas que estoy esperando a ver durante las pruebas de, pero esperemos que no habrá ninguna! Usted me deja saber, Derecho?

Si estoy convencido de que no hay mayores problemas con el plug-in, luego lo hará disponible para su descarga. En tanto, Voy a volver a arreglar algunas cosas en el sitio web, una vez más para hacer espacio para el nuevo plugin y algunos otros estoy pensando en escribir. Así que por favor excusa de la construcción pasa en los próximos días!

Puestos relacionados: