Myat's

Blocage des scans w00tw00t

myatu — Sat, 17 Juillet 2010 10:53:38 +0000

Certains sites sont encore frappé avec l'infâme “w00tw00t” scans. Vous pouvez voir ces images dans vos journaux que:

... "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 ...

Utilisation d'iptables

La méthode la plus rapide de s'assurer qu'elle n'a jamais atteint votre serveur web (et les ressources d'où un gaspillage comme processeur, l'espace disque [les fichiers journaux], etc) est d'utiliser iptables, et il peut être fait avec une seule ligne comme celui-ci:

iptables -I INPUT -d xxx.xxx.xxx.xxx -P tcp --dport 80 -m string --to 70  --algo bm --string 'GET /w00tw00t.at.ISC.SANS.' -j DROP

Il suffit de remplacer xxx.xxx.xxx.xxx avec l'adresse IP de votre serveur web. Si vous voulez utiliser pour une plage d'adresses IP (ie., vous utilisez plusieurs adresses IP pour héberger les serveurs web), il suffit de remplacer le “-d xxx.xxx.xxx.xxx” portion avec:

-m iprange --dst-range start.xxx.xxx.xxx-end.xxx.xxx.xxx

Où start.xxx.xxx.xxx et end.xxx.xxx.xxx are the first and last IPs of your web servers respectively.

Si vous souhaitez avoir un colombophile option, celui où elle sera pour la liste noire par exemple une adresse IP pendant une certaine période, etc, jeter un oeil à SpamCle @ site Ner.

Ils vont plus loin dans ce sujet et ont fourni deux scripts vers la fin de leur article. Il suffit d'enregistrer l'un de ces scripts dans un fichier nommé, Par exemple, / Opt/blockw00t.sh et de le rendre exécutable avec:

chmod +x /opt/blockw00t.sh

Vous pouvez le lancer manuellement avec le typage “/ Opt / blockwoot.sh” dans le réservoir ou le charger automatiquement au démarrage, vous pouvez l'ajouter à votre / Etc / rc.local fichier, ou sur Debian / Ubuntu systèmes ajouter à votre / etc / network / interfaces comme tant:

auto eth0

inet eth0 static

   ... [existing configuration that remains unaltered] ...

   # Load anti-w00t script:

   post-up /opt/blockw00t.sh

Utilisation Fail2Ban

Si vous utilisez Fail2Ban, comme décrit dans le configuration du firewall Shorewall, you can create a new definition that scans for the w00tw00t entries in the webserver log files.

La définition suivante suppose que votre serveur web entrées du journal ressemblera (Nginx et Apache 2):

203.127.11.214 - - [15/Jul/2010:15:50:04 +0200] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 173 "-" "-"

Créez un fichier / Etc/fail2ban/filter.d/webserver-w00tw00t.conf:

[Definition]

failregex = ^ .*"GET \/w00tw00t\.at\.ISC\.SANS\..+\:\).*?"



ignoreregex =

Cette captures les variantes connues du scanner, y compris “DFind”, “test0 ", “MSlog” et “ntsvc”.

Note: Le partie est spécifique à fail2ban et est un raccourci pour la regex (?:::f (4,6):)?(?P S ), qui correspond à une adresse IPv4 ou IPv6. Voir l' fail2ban manuel for more details.

* Truc: Si vous souhaitez modifier l'expression régulière, Je recommande RegExr de jouer avec différentes options / critères de recherche. C'est un gain de temps et gratuit :)

* Truc 2: Pour tester les expressions régulières de votre définition de, utiliser:

fail2ban-regex logfile /etc/fail2ban/filter.d/webserver-w00tw00t.conf

Où logfile est le nom du journal réelle fichier, comme / Var/log/apache2/access.log.

Ajouter cette définition de la configuration de fail2ban prison (/ Etc/fail2ban/jail.conf):

... [existing configuration] ...



[webserver-w00tw00t]

permis  = true

port     = http,https

filter   = webserver-w00tw00t

# !!! Keep in mind to specify the correct web server log here:

logpath  = /var/log/apache2/access.log

maxretry = 1

# Time in seconds, Dans ce cas, one day:

bantime  = 86400

Maintenant recharger le service (ie., “Recharger etc/init.d/fail2ban /” ou “Recharger fail2ban service”).

Un Nginx-Apache combo simplifiée avec le soutien WordPress

myatu — Mon, 28 Juin 2010 22:03:21 +0000

Il semble que j'ai négligé d'écrire un nouvel article dans un bon moment! Honte à moi. Mais, Merci à une panne de site web, I’ve finally got some more good stuff to share with you.

Ma configuration précédente Nginx est devenu un cauchemar pour maintenir et WordPress est devenu plus lent parce que les enfants d'Apache ont été tués par OOM. Cela était dû à un cache erronée PHP (PHP XCache pour être précis) qui a décidé de prendre tous les bits de la mémoire disponible de mon système, malgré max-requêtes par enfant mis bas (avant qu'il ne soit purgé).

Cette, ainsi que mes efforts dans la recherche de la solution la plus rapide à tout et à l'introduction d'une nouvelle serveurs Cloud par OVH, lead me to today’s article.

Quel est le plus rapide – Vernis ou Nginx?

La première chose que je voulais faire, c'est de faire toute la mise en cache se produire avant que les choses se fait passer pour Apache. Ce que je voulais éliminer à la fois PHP XCache et le WordPress Super Cache J'ai utilisé le plugin, so to increase WordPress compatibility but decrease complexity.

Au début, j'ai pensé à utiliser Varnish – soit en tant que le front-end unique, ou entre Nginx et Apache (le raisonnement plus tard). Également, Je m'étais mes mains sur les serveurs OVH Cloud tandis qu'ils étaient encore en “Alpha”, and used this as the base system for building a pool of web servers.

Les tests suivants ont tous été effectuées sur les serveurs de Cloud – mC 256 (256 MB de RAM garantie, 2 Go de mémoire totale avec excès échangé aux SSD), 4 cœurs de processeurs et 5 Go d'espace de stockage. L'OS est Ubuntu 10.04 LTS. La sortie de / Proc / cpuinfo est le suivant (x4 pour brièveté):

processor       : 0

vendor_id       : GenuineIntel

cpu family      : 6

model           : 26

model name      : Intel(R) Xeon(R) CPU           E5504  @ 2.00GHz

stepping        : 5

cpu MHz         : 1995.000

cache size      : 4096 KB

fdiv_bug        : À

hlt_bug         : À

f00f_bug        : À

coma_bug        : À

fpu             : Oui

fpu_exception   : Oui

cpuid level     : 11

wp              : Oui

flags           : fpu vme de pse tsc msr pae mce cx8 apic mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss nx rdtscp lm constant_tsc arch_perfmon pebs bts xtopology tsc_reliable nonstop_tsc aperfmperf pni ssse3 cx16 sse4_1 sse4_2 popcnt hypervisor lahf_lm

bogomips        : 3990.00

clflush size    : 64

cache_alignment : 64

address sizes   : 40 bits physical, 48 bits virtual

power management:

Le stock de l'installation d'Apache effectuée comme suit sur un simple “Bonjour tout le monde” script PHP, utilisant “ab-c 100 -n 100000 http://host/“:

Concurrency Level:      100

Time taken for tests:   29.548 seconde

Compléter les demandes:      100000

Failed requests:        0

Write errors:           0

Total transferred:      25009500 octets

HTML transferred:       3901482 octets

requêtes par seconde:    3384.27 [# / Sec] (signifier)

Time per request:       29.548 [ms] (signifier)

Time per request:       0.295 [ms] (signifier, dans toutes les requêtes simultanées)

Taux de transfert:          826.55 [Kbytes / sec] reçues



Connection Times (ms)

              min  signifier[+/-sd] median   max

Connect:        0   12  39.1     12    1960

Processing:     9   18  49.6     14    2036

Waiting:        1   15  45.9     12    1966

Total:         14   29  65.9     26    2159

Avec un vernis en face de Apache, les choses ont vraiment commencé à bien paraître:

Concurrency Level:      100

Time taken for tests:   13.489 seconde

Compléter les demandes:      100000

Failed requests:        0

Write errors:           0

Total transferred:      28315282 octets

HTML transferred:       1100594 octets

requêtes par seconde:    7413.64 [# / Sec] (signifier)

Time per request:       13.489 [ms] (signifier)

Time per request:       0.135 [ms] (signifier, dans toutes les requêtes simultanées)

Taux de transfert:          2049.99 [Kbytes / sec] reçues



Connection Times (ms)

              min  signifier[+/-sd] median   max

Connect:        0    6   2.2      6      71

Processing:     2    7   1.9      7      70

Waiting:        1    6   2.0      5      66

Total:          3   13   3.1     13      81

À 2.48x plus que ce que Apache peut envoyer sur ses propres, C'est une amélioration puissante impressionnante et mérite nos félicitations vernis. Mais à 1 Giga-octets de RAM pour le cache, Serait-il réellement plus efficace et plus rapide que Nginx? Les résultats suivants souhaite …

Concurrency Level:      100

Time taken for tests:   9.438 seconde

Compléter les demandes:      100000

Failed requests:        0

Write errors:           0

Total transferred:      27706648 octets

HTML transferred:       5201248 octets

requêtes par seconde:    10595.55 [# / Sec] (signifier)

Time per request:       9.438 [ms] (signifier)

Time per request:       0.094 [ms] (signifier, dans toutes les requêtes simultanées)

Taux de transfert:          2866.87 [Kbytes / sec] reçues



Connection Times (ms)

              min  signifier[+/-sd] median   max

Connect:        0    4   1.0      4      56

Processing:     2    6   9.7      5     253

Waiting:        0    5   9.7      5     253

Total:          5    9   9.7      9     257

… une autre histoire. Bien que ce n'est pas une recherche scientifique qui devraient être prises à leur valeur nominale, Personnellement, je trouve la différence assez importante – surtout depuis Nginx jamais utilisé plus de 60 Mo de RAM et se basait principalement sur le système de fichiers de cache. 1.39x plus rapide que le vernis, 3.46x plus rapide que Apache lui-même. C'est encore plus impressionnant!

Une petite bizarrerie vernis sur Ubuntu

À nouveau, et je ne peux pas dire assez souvent cette, ce ne sont que les chiffres obtenus sur mon système – votre kilométrage peut varier. Le vernis est définitivement un concurrent digne — la seule question que j'ai rencontrés sur Ubuntu a été que le vernis s'est écrasé lors d'une tentative de tester avec plus de 1000 connexions simultanées. Ce n'est pas censé se produire dans un environnement de production!

Le coupable semble être le compte de l'utilisateur “descripteurs de fichiers ouverts” limitation. Sockets sont également pris en compte pour cette valeur et quand Vernis avait atteint la limite il est mort plutôt disgracieuse. Vous pouvez manuellement le résoudre en utilisant ulimit:

ulimit -n 65535

Mais vous êtes mieux d'utiliser le / Etc / security / limits.conf fichier. Il est bien documenté, donc il ne devrait pas être trop difficile de le comprendre. Je vais continuer avec mon blog…

La configuration

J'ai donc décidé de garder Nginx que le front-end pour Apache, mais cette fois – Contrairement précédemment – activer la mise en cache de Nginx. le faire ici, plutôt que de travailler avec la mise en cache des plugins et une pléthore d'autres pansements, garde toute la configuration propre et simple. Apache peut être laissé seul à se présenter comme elle le fait normalement, sans tricherie spéciale. La seule exception est un magasin de memcache, because the database is located on a different server and linked through a VPN.

J'ai d'abord installé Nginx, Apache, PHP5 et Memcache par les canaux habituels, comme suit:

apt-get install nginx libapache2-mod-php5 memcached \

php5-mysql php5-curl php5-gd php5-idn php-pear php5-imagick \

php5-imap php5-mcrypt php5-memcache php5-mhash php5-ming \

php5-ps php5-pspell php5-recode php5-snmp php5-sqlite \

php5-tidy php5-xmlrpc php5-xsl php5-json

Mise à jour Nginx

La version Nginx fournies par le dépôt Ubuntu est 0.7.65. Cependant, une fonctionnalité introduite dans la version 0.7.66/stable -proxy_no_cache – se révèle très utile de simplifier la configuration. 0.7.67 a également fixé un petit problème, qui concerne essentiellement les machines Windows, mais est bon d'avoir patché indépendamment. J'ai donc compilé Nginx à la dernière version stable de la manière suivante:

# apt-get install libc6 libpcre3 libpcre3-dev libpcrecpp0 libssl0.9.8 libssl-dev zlib1g zlib1g-dev lsb-base

wget http://www.Nginx.org/download/Nginx-0.7.67.tar.gz

tar -xf nginx-0.7.67.tar.gz

cd nginx-0.7.67

./configure \

--user=www-data \

--group=www-data \

--sbin-path=/usr/sbin \

--conf-path=/etc/nginx/nginx.conf \

--error-log-path=/var/log/nginx/error.log \

--pid-path=/var/run/nginx.pid \

--lock-path=/var/lock/nginx.lock \

--http-log-path=/var/log/nginx/access.log \

--http-client-body-temp-path=/var/lib/nginx/body \

--http-proxy-temp-path=/var/lib/nginx/proxy \

--http-fastcgi-temp-path=/var/lib/nginx/fastcgi \

--with-debug \

--with-http_stub_status_module \

--with-http_flv_module \

--with-http_ssl_module \

--with-http_dav_module \

--with-http_gzip_static_module \

--with-http_realip_module \

--with-mail \

--with-mail_ssl_module \

--with-ipv6

make && make install

Oui, C'est littéralement coupée & coller. Il écrase les fichiers binaires installés par apt-get, et nous sommes heureux de continuer à utiliser le script officiel fourni par Ubuntu / Debian. Pourquoi rendre la vie difficile?

Configurer Apache et PHP

À ce point, configurer PHP et Apache au contenu de votre coeur. La seule chose que vous devez faire avec Apache est le déplacer vers un autre port, et de préférence le garder 127.0.0.1. Cela signifie que vous devez modifier le fichier etc/apache2/ports.conf /:

NameVirtualHost *:8080

Listen 127.0.0.1:8080

Et configurer votre site Web(Avec) en conséquence:



... etc ...

Si vous utilisez SSL (https://), ce sera assurée par Nginx plutôt que Apache. Car cela est déjà assez long se, I will skip SSL in this blog.

Configuration Nginx

Nous commençons par créer quelques répertoires qui seront utilisés par Nginx:

mkdir /etc/nginx/includes

mkdir -P /var/cache/nginx/tmp

mkdir /var/cache/nginx/cached

chown -R www-data:www-data /var/cache/nginx

Ensuite, nous modifier le fichier / Etc / nginx / nginx.conf comme suit:

user                    www-data;



worker_processes        4;

worker_rlimit_nofile    16384;



error_log               /var/log/nginx/error.log;

pid                     /var/run/nginx.pid;



events {

        worker_connections  2000;

}



http {

        inclure                 /etc/nginx/mime.types;

        default_type            applicatisur/octet-stream;



        access_log              /var/log/nginx/access.log;



        sendfile                sur;

        tcp_nopush              sur;

        tcp_nodelay             sur;

        keepalive_timeout       75 20;



        gzip                    sur;

        gzip_vary               on;

        gzip_comp_level         3;

        gzip_min_length         4096;

        gzip_proxied            tout;

        gzip_types              text/plain text/css application/x-javascript text/xml

                                application/xml application/xml+rss text/javascript;



        inclure                 /etc/nginx/conf.d/*.conf;

        inclure                 /etc/nginx/sites-enabled/*;

}

Le worker_processes variable est fixé selon le nombre de cœurs de processeurs dans mon système, 4 Dans ce cas. Il ya quelques réglages TCP et la compression gzip est activé sur les types de fichiers supplémentaires, plutôt que HTML. Pour le reste, it’s fairly run-of-the-mill.

Le cheval de bataille de base de Nginx sera le proxy et son cache associés. Parce que j'aime garder les choses bien en coupe, donc facile à configurer, J'ai créé ce qui suit / Etc / nginx / conf.d / proxy.conf fichier, qui sera inclus par Nginx par un inclure déclaration:

proxy_redirect                  de;



proxy_set_header                Host $host;

proxy_set_header                X-Forwarded-For $proxy_add_x_forwarded_for;



proxy_connect_timeout           90;

proxy_send_timeout              90;

proxy_read_timeout              90;



proxy_buffer_size               4k;

proxy_buffers                   4 32k;

proxy_busy_buffers_size         64k;

proxy_temp_file_write_size      64k;



proxy_max_temp_file_size        56m;

proxy_temp_path                 /var/cache/nginx/tmp;

proxy_cache_key                 $scheme$host$request_uri;

proxy_cache_path                /var/cache/nginx/cached levels=2:2 keys_zone=global:64m inactive=60m max_size=1G;



proxy_cache_valid               200 302 30m;

proxy_cache_valid               301 1h;

proxy_cache_valid               404 1m;



proxy_cache_use_stale           error timeout http_500 http_502 http_503 http_504;



proxy_pass_header               Set-Cookie;

Le proxy_set_header variables sont là pour vous aider à déterminer l'adresse IP du demandeur page Web actuelle, plutôt que de recevoir celui de Nginx. Vous avez juste besoin d'inclure% (X-Forwarded-For i) dans l'un des formats de journaux d'Apache au lieu de l'hôte (h%).

Cependant, J'ai personnellement tous les accès handicapés exploitation forestière dans Apache, parce que tout doit passer par Nginx de toute façon et il améliore les performances d'Apache un brin (Vous faites cela en commentant toutes les CustomLog lignes dans des configurations d'Apache). Je ne quitter le ApacheErrorLog permis, just for those instances and also for PHP error messages.

Le fichier ci-dessus définit aussi une zone Nginx cache proxy appelé “mondial” avec le proxy_cache_path variable. Cette même variable spécifie aussi le moment des ordures (60 minutes) et la taille maximale du cache (sur le disque, 1 Gbytes).

Le proxy_cache_key est tout simplement un enchaînement de “httpmyatus.co.uk / therequests.php” qui sera hachés, puis utilisé pour le récupérer à une date ultérieure. Je suis permettant stale cache pour être servi, dans le cas de certaines erreurs, for example when Apache has unexpectedly died.

Un peu important, qui était tout à fait un pain pita de comprendre, est le proxy_pass_header partie de la “Set-Cookie” en-tête. WordPress comprend “Set-Cookie” en-têtes dans 302 réponses HTTP (qui est utilisé pour pointer votre navigateur vers un nouvel emplacement) – certains désapprouvent cette pratique et Nginx ne fait pas exception. C'est pourquoi nous avons besoin de laisser passer cette spécifiquement par le biais, or else you will not be able to login to your WordPress Admin or have users leave comments.

Comprend

dans le / Etc / nginx / includes dossier, nous avons créé plus tôt, nous ajoutons deux fichiers. La première est une aide pour les sites qui utilisent WordPress. Depuis le / Etc / nginx / includes dossier n'est pas automatiquement inclus, nous pouvons être sélectif sur les inclusions, et d'économiser sur certains temps de traitement lorsque ces fonctionnalités ne sont pas utilisés. Il s'agit de la/ Etc / nginx / includes / wordpress.inc fichier:

Si ($http_cookie ~* "comment_author_|wordpress_(?!test_cookie)|wp-postpass_") {

    set $no_cache 1;

}



Si ($http_user_agent ~* "(2\.0 MMP|240x320|400X240|AvantGo|BlackBerry|Blazer|Cellphone|Danger|DoCoMo|Elaine\/3\.0|EudoraWeb|Googlebot-Mobile|hiptop|IEMobile|KYOCERA\/WX310K|LG\/U990|MIDP-2\.|MMEF20|MOT-V|NetFront|Newt|Nintendo Wii|Nitro|Nokia|Opera Mini|Palm|PlayStation Portable|portalmmm|Proxinet|ProxiNet|SHARP-TQ-GX10|SHG-i900|Small|SonyEricsson|Symbian OS|SymbianOS|TS21i-10|UP\.Browser|UP\.Link|webOS|Windows CE|WinWAP|YahooSeeker\/M1A1-R2D2|NF-Browser|iPhone|iPod|Android|BlackBerry9530|G-TU915 Obigo|LGE VX|webOS|Nokia5800)" ) {

    set $no_cache 1;

}



proxy_no_cache      no_cache $;

C'est un fichier très simple, En fait. Les contrôles première partie s'il ya des témoins à certaines conditions, liées à commenter les auteurs ou ceux qui sont enregistrés dans le Admin WordPress. Si tel est le cas, la variable no_cache $ est réglé sur 1. Le second chèque est pour les utilisateurs mobiles, comme Nokia, iPhone, etc. Ceci est utile si vous avez une édition WordPress mobile, as available through some plugins.

Si, à tout point de la no_cache $ est 1, la variable proxy_no_cache devient vrai. Sortie d'Apache peuvent encore être mis en cache, mais il ne sera pas servi à l'utilisateur final (donc toujours frais).

Le second fichier est un assistant qui est à peu près universel pour tous les sites (mais peut encore être surpassée sur le réel sites-available / * fichiers). Il s'agit de la/ Etc / nginx / includes / default_proxy.inc fichier:

# Enable caching:

proxy_cache     mondial;



# Default:

emplacement / {

        proxy_pass              http://127.0.0.1:8080;

}



# Rarely changed items can remain cached longer:

location ~* \.(jpg|jpeg|png|gif|ico|css|mp3|wav|swf|mov|doc|pdf|xls|ppt|docx|pptx|xlsx)$ {

        proxy_cache_valid       200 3h;

        proxy_pass              http://127.0.0.1:8080;

}



# Deny access to .ht* files:

location ~ /\.ht {

        deny                    tous;

}

La première variableproxy_cache Nginx informe d'utiliser les “mondial” zone, nous avons défini plus tôt dans la/ Etc / nginx / conf.d / proxy.conf fichier. Si elle n'y est pas, nothing will be cached and pages simply pass through.

Il dit encore Nginx d'envoyer le tout à Apache, mais permettre des images et quelques autres fichiers statiques à la mise en cache plus longtemps que défini à l'origine. La dernière partie indique Nginx bloquer l'accès à des fichiers tels que . Htaccess ou . Htpasswd droit au niveau de Nginx – so Apache doesn’t have to and save some processing power.

Un site par défaut

Vous pouvez utiliser les fichiers à inclure pour construire une configuration très petit site de fichiers. Par exemple, /etc/nginx/sites-available/default may looks something similar to this:

server {

        listen          80;

        server_name     _;



        root            /var/www/sites/default/public;

        index           index.html index.htm;



        access_log      /var/www/sites/default/logs/access.log;

        error_log       /var/www/sites/default/logs/nginx.error.log;



        # Includes:

        inclure         / Etc / nginx / includes / wordpress.inc;

    inclure         / Etc / nginx / includes / default_proxy.inc;

}

Tout est passé à Apache et mis en cache, en fonction de la wordpress.inc fichier, il permet. Apache se chargera du reste. Vous devrez probablement changer les répertoires, but that’s basically it.

WordPress

Il ya peu qui doit être fait avec WordPress. La chose la plus importante consiste en fait à désactiver les caches WordPress, vous utilisez peut-être, tels que WordPress Super Cache. Il n'est plus nécessaire et ne donne que Apache / PHP travail à faire. Cependant, comme indiqué plus haut, I did include Memcache.

La raison en est que dans mon cas, chaque serveur Cloud travaille à l'extérieur du cluster même base de données MySQL. Pour éviter d'inutiles ou répétitives SQL trafic, le démon Memcache tiendra ceux-ci dans la mémoire RAM (ou au cas où le nuage – soit de RAM ou SSD). Cela se fait avec l'utilisation de la objet cache.php dossier par Ryan Boren, qui peut être obtenu partir de ce site. Ce fichier doit être placé dans votre $WP-ROOT$/wp-content/ directory.

Pour tout le reste, WordPress peut être «plain vanilla», mais deviennent vite cloques, as shown in the next output.

Performance

J'ai un serveur en cluster Cloud avec un serveur dédié. Pour un court moment, (comme dans, une demi-journée) J'ai utilisé comme point de HAProxy d'entrée. HAProxy est ultra-rapide, mais j'ai été gêné par un problème mineur qui a causé certains problèmes exploitation forestière. Nginx est sur pied d'égalité avec HAProxy, si elle aurait pu gigue un peu plus, alors maintenant j'utilise un Nginx 2x <–> 2x (Nginx + Apache) combinaison. Witt l' (Nginx + Apache) partie de cette configuration configuré exactement comme décrit ci-dessus, J'ai été en mesure d'obtenir les vitesses suivantes (basé sur 100 connexions simultanées, 50,000 demandes et keep-alive permis):

Concurrency Level:      100

Time taken for tests:   6.694 seconde

Compléter les demandes:      50000

Failed requests:        0

Write errors:           0

Keep-Alive requests:    0

Total transferred:      2822197200 octets

HTML transferred:       2806393092 octets

requêtes par seconde:    7469.02 [# / Sec] (signifier)

Time per request:       13.389 [ms] (signifier)

Time per request:       0.134 [ms] (signifier, dans toutes les requêtes simultanées)

Taux de transfert:          411700.31 [Kbytes / sec] reçues



Connection Times (ms)

              min  signifier[+/-sd] median   max

Connect:        0    2   0.4      2      16

Processing:     3   11   0.8     11      27

Waiting:        1    3   1.2      3      25

Total:          6   13   0.8     13      32

à 3.29 Gbit / s @ 7469 requêtes par seconde, Je considère qu'il s'agit d'une configuration assez bien la scène. Eh bien préparé pour mon prochain projet!

guide: Pare-feu et routeur avec Proxmox – L'extension de son utilisation

myatu — Sat, 20 Mar 2010 09:08:55 +0000

L'an dernier, j'ai écrit un guide sur Comment utiliser Shorewall comme un pare-feu et routeur pour Proxmox. As a follow up I will answer a few questions I’ve received about that guide that can help you extend its use.

proxy ARP

La question la plus commune est en ce qui concerne proxy ARP. L'activation de cette option vous permettra d'attribuer une adresse IP publique directement sur votre VM guest, éliminant le besoin de la redirection de port (DNAT) or having to worry about the MAC address.

À titre d'exemple, l'utilisation de proxy ARP, it is helpful for those using a a SIP-based VoIP server since a STUN server is no longer required.

Activer Proxy ARP

La première étape consiste à veiller à ce que proxy ARP est activé. C'est une tâche assez simple et consiste à ajouter une ligne unique pour l'un de vos strophes réseau statique. Lequel dépend précisément de votre système d'installation; pour ceux qui ont un eth0 stanza, Vous pouvez l'utiliser il. Pour d'autres qui n'ont qu'une vmbr0..n chambre, the additional line should be placed there.

iface eth0 inet static

    # ... existing lines ...

    post-up echo 1 > /proc/sys/net/ipv4/conf/all/proxy_arp

These changes will take effect on your next boot or whenever you restart your networking services.

Ajouter une route à Shorewall

Shorewall a besoin de savoir que vous souhaitez utiliser proxy ARP, pour lesquels la propriété intellectuelle qui est et où cette adresse IP doit être routé vers. La beauté de Shorewall est sa simplicité et donc cela peut être fait rapidement, en créant un fichier nommé / Etc / shorewall / proxyarp qui contiennent cette:

#ADDRESS    INTERFACE    EXTERNAL    HAVEROUTE    PERSISTENT

92.22.33.44 vmbr0        eth0

Traduit, Il informe que le public Shorewall IP 92.22.33.44 attaché à eth0 needs to be forwarded to a guest VM (utilisant cette adresse IP publique) attaché à la vmbr0 bridge.

Comme vous pouvez le voir sur la première ligne, Il ya deux options supplémentaires: haveroute et persistant.

Le haveroute option détermine si Shorewall devrait créer un itinéraire à partir de l'interface externe sur le pont. Pour les conteneurs d'hôtes basée sur OpenVZ, Proxmox aura de créer la route. Mais pour pleinement virtualisé conteneurs (basée sur KVM), vous avez besoin pour créer cet itinéraire vous. Dans ce cas nous disons Shorewall pour créer la route pour nous, conserver la valeur par cette option à sa valeur par défaut (vide, ou À).

Lorsque le haveroute option n'est pas activée (par défaut), Le persistant option indique Shorewall si elle doit garder la route créée actif si Shorewall est arrêté. Généralement, et pour des raisons de sécurité, vous devez quitter ce à son choix par défaut (vide ou À). This prevents the guest VM from being exposed without a firewall protecting it.

Création de règles Shorewall

Dans le guide original tout le trafic du côté du public aux machines virtuelles interne est bloqué. Cela continue à être le même lorsque vous utilisez un proxy ARP et ont donc besoin de créer des règles qui autorisent le trafic à certains ports. Cela peut être fait en ajoutant des règles comme:

ACCEPT    net    dmz:92.22.33.44    udp    5060

Cela permettra le trafic UDP sur le port 5060 de procéder à la VM guest sur la propriété intellectuelle 92.22.33.44. Vous pouvez également utiliser les macros Shorewall, Par exemple:

HTTP/ACCEPT    net     dmz:92.22.33.44

Et dans ce cas, il fera un serveur Web sur 92.22.33.44 accessible to the public.

Alternativement, Vous pouvez configurer une seule règle qui accepte tout le trafic sur tous les ports:

ACCEPT    net     dmz:92.22.33.44

However you should take care that the guest VM has its own set of rules to block unwanted or unsafe traffic.

L'essentiel de prendre soin de ces règles de pare-feu proxy ARP est d'utiliser “ACCEPT” et non pas “DNAT” as explained in the original guide.

Plusieurs adresses IP publiques

Une autre question est commune en ce qui concerne plusieurs adresses IP publiques. Le guide original suppose que l'hôte a une adresse IP publique, so here are a few additional pointers.

Si vous suivez le guide original, puis tout IP publique sera appliqué la même règle. Alors disons que vous avez deux adresses IP publiques, 94.11.22.33 et 94.22.33.44 et la règle suivante:

ACCEPT    net    fw    tcp    5900:5999

Avec cette règle, vous pouvez utiliser à la fois 93.11.22.33:5900 ou 94.22.33.44:5900 pour se connecter à VNC Proxmox de. Mais vous souhaitez limiter à une adresse IP spécifique, alors vous avez besoin de modifier la règle de la manière suivante:

ACCEPT    net   fw:94.22.33.44    tcp    5900:5999

Maintenant, vous ne pouvez utiliser 94.22.33.44:5900 se connecter, mais pas 93.11.22.33:5900.

La même chose s'applique à la redirection de port (DNAT) règles, qui est écrit dans un format légèrement différent. Disons que nous avons cette règle:

DNAT    net    dmz:10.0.0.1    tcp    1234

Ce sera l'avant tout IP publique sur le port 1234 sur le VM invité à 10.0.0.1. Ainsi, les deux 94.11.22.33:1234 et 94.22.33.44:1234 travaillera. Si vous voulez restreindre à un adresse IP de certains publics, la règle doit être modifiée comme suit:

DNAT    net    dmz:10.0.0.1    tcp    1234    -    94.22.33.44

uniquement 94.22.33.44:1234 will be allowed at this point.

noms mémorables

Si vous avez plusieurs adresses IP, il devient facile d'oublier ce qui IP à utiliser. Vous pouvez utiliser Shorewall de “params” fichier de donner un nom mémorable IPs. Editez le fichier / Etc / shorewall / params comme suit:

IP_ALEX=94.11.22.33

IP_SONIA=94.22.33.44

IP_ERIC=94.33.44.55

IP_VM1=10.0.0.1

IP_VM2=10.0.0.2

IP_VM3=10.0.0.3

Maintenant, vous pouvez utiliser ces noms à la place de l'adresse IP de l'un de vos règles Shorwall, comme tant:

HTTP/DNAT    net     dmz:$IP_VM1    -    -    -    $IP_SONIA

Et cela avant le trafic HTTP à partir de 94.22.33.44 to a guest VM running on 10.0.0.1.

à usage mixte et de transition

Le guide original ajoute non seulement un pare-feu, mais aussi ceux qui ont aidé l'hébergement fourni bloqué IPs sur MAC non autorisée. Un de ces "était d'hébergement fourni RRP, et ils ont récemment introduit un “MAC virtuelle pour VPS” option qui vous permet d'assigner une adresse IP à un MAC. Ceci élimine le besoin pour le proxy ARP ou la redirection de port / NAT, however the original guide will still prove itself useful for protecting the host.

Je vais vous donner une configuration exemple ci-dessous, qui peut être modifiée en fonction de vos besoins et la configuration du réseau. Cela suppose que vous avez une compréhension de base des réseaux et de lire mon guide précédent.

Interfaces

On modifie le / etc / network / interfaces comme suit:

# The loopback network interface

auto lo

iface lo inet loopback



# Public Network. Make sure to only use MACs that were assigned to you

auto vmbr0

iface vmbr0 inet static

 # The following settings are specific to your hosting provider:

 address 94.11.22.33

 netmask 255.255.255.0

 network 94.11.22.0

 broadcast 94.11.22.255

 gateway 94.11.22.254

 # The following assumes eth0 is the public-side NIC, the remained is always the same

 bridge_ports eth0

 bridge_stp off

 bridge_fd



# Optional Private Network. This network cannot be access directly from the public side

auto vmbr1

iface vmbr1 inet auto

 address 10.0.0.1

 network 255.0.0.0

 broadcast 10.255.255.25

 bridge_ports none

 bridge_stp off

 bridge_fd 0

L'hôte, accessible par 94.11.22.33, auront deux ponts, à ce stade: vmbr0 serving the public-side and vmbr1 serving inter-VM communication.

Pour attribuer une adresse IP publique à un KVM, vous utilisez le vmbr0 bride and must ensure the MAC corresponds to the one provided by your hosting provider (si une restriction MAC est en place).

Vous pouvez également ajouter une 2ème carte réseau (ou comme la seule carte réseau) à l'KVM, qui est comblé par vmbr1. Dans ce cas, vous devez utiliser une adresse IP dans le 10.0.0.2-10.255.255.254 gamme, et en tant que passerelle 10.0.0.1. Cette gamme particulière de propriété intellectuelle ne peut être utilisé entre autres machines virtuelles sur le même hôte / pont, unless you use port forwarding or a VPN on the same IP range.

Interfaces Shorewall et les zones

La base / etc / shorewall / interfaces sera:

#ZONE    INTERFACE    BROADCAST    OPTIONS

pub    vmbr0        detect        routeback,pont

loc    vmbr1        detect        routeback,pont



#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

Vous pouvez aussi ajouter le liste noire option, or any of the other possible Shorewall options if you wish.

L'accompagnement / etc / shorewall / zones ressemblera à ceci:

#ZONE    TYPE        OPTIONS        IN            OUT

#                    OPTIONS            OPTIONS

fw    firewall

pub    ipv4

loc    ipv4



#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE

Vous avez maintenant trois zones distinctes Shorewall. Le FW zone est une auto-référence à l'hôte (Dans notre configuration échantillon 94.11.22.33 et 10.0.0.1). Le pub représente la zone accessible au public vmbr0 bridge and Loc notre internes vmbr1 bridge.

Shorewall politique

La politique suivante définit ces règles de base:

Circulation de l'hôte l'ailleurs est autorisée
Circulation du côté du public à l'hôte et le réseau interne est refusée
Circulation du côté intérieur de l'hôte est refusée, partout ailleurs est autorisée

EDIT / etc / shorewall / Politique:

#SOURCE    DEST    POLICY        LOG    LIMIT:        CONNLIMIT:

#                    LEVEL    BURST        MASK



# From Firewall:

fw        fw    ACCEPT

fw        pub    ACCEPT

fw        loc    ACCEPT



# Public pont (read the policy warnings!):

pub        pub    ACCEPT

pub        loc    ACCEPT

pub        fw    DROP        info



# Local (internal) Bridge:

loc        loc    ACCEPT

loc        pub    ACCEPT

loc        fw    DROP        info



# THE FOLLOWING POLICY MUST BE LAST

#

all    all    REJECT        info



#LAST LINE -- DO NOT REMOVE

Politique Avertissements

Avec ce modèle de politique, cela signifie que chaque VM guest accessibles au public devrait avoir son propre pare-feu. Si vous souhaitez modifier ce comportement, et laissez Shorewall gérer le pare-feu pour chaque invité ces VM, puis modifiez la section du pont public:

pub        pub    DROP      infos

Vous devez ensuite créer des règles spécifiques qui permettent la circulation de machines virtuelles sur vmbr0.

Un avertissement similaire s'applique à la circulation de vmbr0 to vmbr1. La politique suppose que vmbr0 does not receive any routable traffic on a private IP range (également appelé “Martiens”). Bien que cela soit souvent le cas, Cela dépend de la mise en réseau interne de l'hébergeur. Si vous n'êtes pas sûr de savoir si il ya du trafic routable sur une gamme IP privée de la part du public, vous avez deux options. Le premier est d'interdire tout trafic de vmbr0 (pub) à vmbr1 (Loc) en modifiant la section du pont public:

pub        loc    DROP      infos

L'alternative est d'avoir un ensemble de règles / etc / shorewall / rules comme tant:

# ...

SECTION NEW



# Leave these at the top, right after "SECTION NEW"!

DROP        pub:10.0.0.0/8        all

DROP        pub:192.168.0.0/16    all

DROP        pub:172.168.0.0/12    all



# ... Other rules follow ...



#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

Dans tous les cas, vous devez vérifier si le trafic est vraiment bloqué et ne présumez jamais que c'est!

Shorewall et Fail2ban

Fail2ban selon ses propres termes “scanne les fichiers journaux comme / var / log / pwdfail ou / var / log / apache / error_log et la propriété intellectuelle des interdictions qui fait des échecs de passe trop. Il met à jour un pare-feu règles de rejeter l'adresse IP”. Cela peut par exemple être utilisé pour (temporairement) ban a bot that is attempting a brute-force entry through SSH.

Fail2ban est un compagnon idéal pour Shorewall et peut être installé en quelques minutes sur une foule Proxmox. Vous commencez par installer Fail2ban à partir des paquets Debian:

apt-get install fail2ban

Configurer Shorewall

Ensuite, vous devez modifier une ligne dans le fichier de configuration de Shorewall, situé à / etc / shorewall / shorewall.conf:

BLACKLISTNEWONLY=No

C'est tout ce que vous devez configurer dans Shorewall. N'oubliez pas d'appliquer vos paramètres en redémarrant Shorewall avec la commande “shorewall restart”.

Configurer Fail2ban

La dernière étape consiste à configurer Fail2ban. le fichier / Etc/fail2ban/jail.conf est largement documentée et présentant un intérêt particulier sont les paramètres suivants:

...

#

# Destination email address used solely for the interpolations in

# jail.{conf,local} configuration files.

destemail = myemail@address.com



...

#

# ACTIONS

#



# Default banning action (e.g. iptables, iptables-new,

# iptables-multiport, shorewall, etc) It is used to define

# action_* variables. Can be overriden globally or per

# section within jail.local file

banaction = shorewall



...

# Choose default action.  To change, just override value of 'action' with the

# interpolation to the chosen action shortcut (e.g.  action_mw, action_mwl, etc$

# globally (section [par défaut]) or per Avecpecific section

action = %(action_mwl)s

fail2ban informer de ces changements en lançant la commande suivante:

fail2ban-client reload

Le destemail variable doit être changé à votre adresse e-mail propres, où vous serez informé de toute interdiction actions. Le banaction variable indique que Shorewall devraient être utilisés pour bloquer les intrus possible. Et enfin,, Le action variable indique fail2ban pour interdire toute intrusion détectée et ensuite envoyer un vous un e-mail détaillé avec les lignes de log pertinentes (qui a provoqué l'interdiction). Voici un exemple d'un véritable e-mail:

Salut,



La propriété intellectuelle 193.86.5.103 vient d'être interdite par Fail2Ban après

3 attempts against ssh.



Voici plus d'informations sur 193.86.5.103:



% This is the RIPE Database query service.

% The objects are in RPSL format.

%

% The RIPE Database is subject to Terms and Conditions.

% Voir http://www.ripe.net/db/support/db-terms-conditions.pdf



% Note: This output has been filtered.

%       Pour recevoir la sortie d'une mise à jour de bases de données, use the "-B" flag.



% Informations relatives au '193 .86.4.0 - 193.86.5.255'



inetnum:      193.86.4.0 - 193.86.5.255

netname:      Pièce

descr:        Pièce, Inc.

descr:        Hradec nad Moravici

country:      CZ

admin-c:      BK230-RIPE

tech-c:       TP231-RIPE

status:       ASSIGNED PA

mnt-by:       GTSCZ-MNT

source:       RIPE # Filtered



person:       Bohumil Kriz

adresse:      Pièce, Inc.

adresse:      Computer Centre

adresse:      Hradec nad Moravici

address:      747 41

address:      The Czech Republic

phone:        +420 653 918118

fax-no:       +420 653 911791

nic-hdl:      BK230-RIPE

source:       RIPE # Filtered



person:       Tomas Partl

adresse:      Pièce, Inc.

adresse:      Computer Centre

adresse:      Hradec nad Moravici

address:      747 41

address:      The Czech Republic

phone:        +420 653 918371

fax-no:       +420 653 911791

nic-hdl:      TP231-RIPE

source:       RIPE # Filtered



% Information related to '193.86.0.0/16AS2819'



route:        193.86.0.0/16

descr:        CZNET-A

origin:       AS2819

mnt-by:       GTSCZ-A-MNT

source:       RIPE # Filtered



Lines containing IP:193.86.5.103 in /var/log/auth.log



Février 27 03:32:02 accueil sshd[21460]: mot de passe a échoué pour l'utilisateur root à partir de 193.86.5.103 port 35833 ssh2

Feb 27 03:32:04 accueil sshd[21502]: mot de passe a échoué pour l'utilisateur root à partir de 193.86.5.103 port 36302 ssh2

Feb 27 03:32:06 accueil sshd[21504]: mot de passe a échoué pour l'utilisateur root à partir de 193.86.5.103 port 36719 ssh2



Regards,



fail2ban

Par défaut fail2ban est configuré pour surveiller SSH, qui, pour une foule Proxmox fonctionne sans modifications supplémentaires. Personnellement, je préfère une interdiction de 3 tente au lieu de la valeur par défaut 6, j'ai donc fait ce changement un dans le / Etc/fail2ban/jail.conf fichier:

[ssh]

maxretry = 3

Mais encore une fois, le fichier de configuration est très bien documenté, so any personal preferences or modifications should be easy to accomplish.

“Online Hoodies” photo gwire, Attribution Licence CC

Salut,

La propriété intellectuelle 193.86.5.103 vient d'être interdite par Fail2Ban après
3 tentatives contre SSH.

Voici plus d'informations sur 193.86.5.103:

% C'est le service de base de données RIPE requête.
% Les objets sont au format RPSL.
%
% La base de données RIPE est assujettie aux modalités et conditions.
% Voir http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: Cette sortie a été filtrée.
%       Pour recevoir la sortie d'une mise à jour de bases de données, utiliser le "-B" drapeau.

% Informations relatives au '193 .86.4.0 - 193.86.5.255 "inetnum:      193.86.4.0 - 193.86.5.255
netname:      BRANOdescr:        Pièce, Inc.
descr:        Hradec nad Moravicicountry:      CZadmin-c:      BK230-RIPEtech-c:       TP231-RIPEstatus:       ATTRIBUÉES PAmnt par:       GTSCZ-MNTsource:       RIPE # Filteredperson:       Bohumil Krizaddress:      Pièce, Inc.
adresse:      Ordinateurs Centreaddress:      Hradec nad Moraviciaddress:      747 41
adresse:      Le Republicphone tchèque:        +420 653 918118
fax ne:       +420 653 911791
nic-hdl:      BK230-RIPEsource:       RIPE # Filteredperson:       Tomas Partladdress:      Pièce, Inc.
adresse:      Ordinateurs Centreaddress:      Hradec nad Moraviciaddress:      747 41
adresse:      Le Republicphone tchèque:        +420 653 918371
fax ne:       +420 653 911791
nic-hdl:      TP231-RIPEsource:       RIPE # Filtered

% Informations relatives à la route '193 .86.0.0/16AS2819 ':        193.86.0.0/16
descr:        CZNET-Aorigin:       AS2819mnt par:       GTSCZ-A-MNTsource:       RIPE # FilteredLines contenant IP:193.86.5.103 dans / var / log / auth.logFeb 27 03:32:02 accueil sshd[21460]: mot de passe a échoué pour l'utilisateur root à partir de 193.86.5.103 port 35833 ssh2Feb 27 03:32:04 accueil sshd[21502]: mot de passe a échoué pour l'utilisateur root à partir de 193.86.5.103 port 36302 ssh2Feb 27 03:32:06 accueil sshd[21504]: mot de passe a échoué pour l'utilisateur root à partir de 193.86.5.103 port 36719 ssh2Regards,

fail2ban

WP Flickr Contexte version 1.0.3 (Bêta) disponible

myatu — Sat, 06 Mar 2010 07:41:05 +0000

Version 1.0.3 a été libéré, qui corrige quelques bugs mineurs et introduit une nouvelle option. Il est encore considéré comme étant dans une phase bêta, which most likely will change with the next release.

Changements

A new option has been introduced to hide the license and attribution information in the footer.
Bug fix: Config file hash n'a jamais été initialisé
Bug fix: Activation “cacheable” option conduit à des erreurs fatales de PHP dans certains cas
Bug fix: Extrait option ne fonctionne pas lorsque “cacheable” option a été activée

En plus, WP Flickr Contexte n'est plus compatible avec la version de WordPress 2.8 or older.

Liens: Téléchargement direct WP Flickr Contexte (147) | WordPress Plugin Directory

Croix-Rouge’ Citibank détails sur Twitter pourrait être faux.

myatu — Mon, 01 Mar 2010 01:18:57 +0000

Il ya quelques instants, j'ai reçu un message sur Twitter qui contenaient des informations sur comment vous pouvez aider la Croix-Rouge dans ses efforts au Chili. Même si les intentions sont bonnes, this can quickly become a target of fraudsters.

Ma plus grande préoccupation est que le fraudeur va simplement remplacer les informations de compte à un il possède lui-même. Parce qu'il s'agit d'un sujet brûlant sur Twitter pour l'instant, ce message modifié ferait sa tournée rapidement.

I was able to trace the original message back to @CruzRojainforma, the Chilean Red Cross. So far the retweeted message hasn’t been altered – other than being translated into English. But I’ve urged people to stop retweeting the account details and visit the official Red Cross website at www.redcross.org Au lieu de. There’s a link right on their main page that explains how you can donate time or money to the Chilean earthquake efforts.

On a final note, Twitter is also used to find missing persons. And with positive results I may add, comme this article explains. Google also has a Person Finder database running, which it had done for te Haiiti earthquake as well. But please ensure that you do not give out too much personal details about the person you’re looking for, because it becomes a (nearly) permanent part of the Internet.

À nouveau, the intentions are good, but there are too many people out there waiting to take advantage of every possible situation so be careful!

Fuerza Chile!

Hawaï Tsunami, Sprecks la galerie d'images

myatu — Soleil, 28 Février 2010 02:03:37 +0000

Bien, comme beaucoup d'autres, J'ai suivi les histoires en développement autour du tsunami qui a été causé par le tremblement de terre près de Santiago, Chili. Un des groupes de nombreux pays insulaires qui se trouvait dans la trajectoire du tsunami a été Hawaï et j'ai été en gardant un oeil sur les webcams fournies par MauiWindCam. Ils étaient l'un des rares sites webcam live in Hawaii capable de faire face à l'afflux considérable de personnes d'autres curieux. Pour ceux qui ont raté cet, I’ve recorded a number of images that can be viewed in the gallery below.

While the actual waves were thankfully less high than expected, you do notice two distinct surges in the images. The view here is of the Sprecks towards the West Maui mountains.

[Show picture list]

[[Show as slideshow]]

Here’s a video which will give a better idea of what it looked like on the ground:

I have another set (with a smoother timeline) from a different location as well, which may add soon as well. A few images from that set stood out and I will share this one with you here:

Apparently this person wasn’t aware that there was a tsunami warning in effect and that you shouldn’t be on the beach, especially not making any phone calls.

WP Flickr Contexte version 1.0.2 (Bêta) disponible

myatu — Fri, 26 Février 2010 03:43:10 +0000

Bien, Il ya un peu plus d'un mois, j'avais mis la touche finale au plugin WP Flickr Contexte et y est entré en phase Alpha. Au cours des mois entier et avec quelques milliers de visiteurs, il n'y avait que deux problèmes signalés (dont l'un était sans rapport avec).

Satisfait de cette, J'ai maintenant fait la version 1.0.2 disponible sous forme de produit bêta. Cela signifie que vous pouvez maintenant l'utiliser pour vos propres besoins, Toutefois, je ne recommande pas d'utiliser ce dans un environnement de production juste encore (Bien que rien ne vous empêche de le faire – utilisez à vos risques et périls!).

The likely issues that I’m expecting are with the installation, plugin usage and the back-end (administration). But hopefully those will only be a few. In meantime, I will start the registration procedure with WordPress.org so that the code will be available in the SVN, and the plugin available for download / upgrade within WordPress itself. Hopefully this will be a matter of just a few days.

If you are running in any kind of issue, how small it may seem, I’d really like to know about it so I can improve the plugin. You can use the contact form, or leave a comment below and I will make note of it.

The static page for WP Flickr Background is http://www.myatus.co.uk/wp-flickr-background, and it will be updated with the latest version as it becomes available. You can also click on Downloads at the top.

Apprécier!

P.S.: A small update, WP Flickr Background is also available through the Flickr App Garden.

P.P.S.: Quicker than expected, WordPress has accepted the plugin into the Plugin Directory. If you wish to use the development version (provided you know what you are doing!), Voir l' SVN.

WP Flickr Contexte

myatu — Fri, 26 Février 2010 03:19:40 +0000

WP Flickr arrière-plan est un simple pour utiliser WordPress plugin qui vous permet d'afficher une photo provenant de Flickr comme arrière-plan le thème, without the need to modify any files.

Tout ce que vous devez faire est de créer une ou plusieurs galeries dans les paramètres du plugin, contenant chacun une collection de photos provenant de Flickr que vous avez choisi, and WP Flickr will randomly select a photo from the active gallery to display as the theme background.

Vous pouvez également personnaliser en y ajoutant une galerie de code CSS style qui sera chargé avec la photo, allowing you to color match the WordPress theme to the particular photo displayed or for other use.

Liens: Téléchargement direct: WP Flickr Contexte (147) | WordPress Plugin Directory

Fonctions

Decide how often the background image should change (ie., tous les jours, une fois par session du navigateur, etc.)
Étirer une image d'arrière-plan horizontal et / ou à la verticale
Background Aligner photos en fonction de l'écran du visiteur layout
Éventuellement désactiver arrière-plan le thème original
Compression optionnelle Javascript
Support des caches WordPress comme WP Super Cache
Multiples galeries
Custom CSS style sheet per gallery, chargées avec le thème si elle est active

Captures d'écran

Exigences

WordPress version 2.9 ou mieux
PHP version 4.2.3 ou mieux
Un navigateur avec Javascript soutien a permis

Getting Started

Téléchargez le contenu du fichier ZIP sur le /wp-content/plugins/ directory
Activez le plugin à travers les Plugins menu dans WordPress
Accès par le plugin de configuration via la Paramètres / WP Flickr Contexte menu pour:

Options de configuration
Ajouter des galeries et des photos
Lire l'aide plus détaillée

If you have an idea for WP Flickr Background or wish to report a bug, Cliquez sur le feedback tab shown on your left or visit UserVoice.

Je suis de retour!

myatu — Sat, 23 Jan 2010 06:33:52 +0000

Je m'excuse auprès de tous ceux qui ont eu des difficultés à accéder au site ces derniers jours!

J'avais pris par le site internet de faire quelques modifications sur le serveur web, qui devient vite une révision majeure. J'ai pensé que puisqu'il était déjà en baisse, I might as well do the things I had long planned.

Une bonne partie de celui-ci est mis en oeuvre aujourd'hui, mais je ne suis pas complètement fait. Je vais donner mon meilleur effort pour assurer qu'il n'y aura peu ou pas de temps d'arrêt. Une fois de plus, mes excuses!

No related posts.

WP fond Flickr en Alpha test

myatu — Wed, 20 Jan 2010 01:20:00 +0000

Si vous êtes nouveau sur ce site, vous n'avez probablement pas remarqué. Mais l'arrière-plan que vous voyez est en fait quelque chose de nouveau. Et aléatoire. Et écoutés à partir de Flickr. C'est un nouveau plugin que je développe pour WordPress appelée ‘WP Flickr Background’.

Un peu plus d'il ya deux semaines, j'ai changé mon thème pour Motion by 85ideas, et a été intrigué par son utilisation efficace de transparences et de l'arrière-plan. Et puisque je me suis vite s'ennuyer en regardant la même chose, Je pensais ‘Pourquoi ne pas faire cette toile de fond aléatoire »? Flickr permet à des millions de photos, beaucoup d'entre eux en vertu d'un Creative Commons Attribution License, et ce serait une excellente source pour ceux de milieux aléatoires. J'ai donc commencé à coder…

Interestingly, it wasn’t as straight forward as one would expect. After all, you could simply use a dynamically generated CSS style sheet with a ‘background’ element pointing to a random Flickr photo. Droit?

But small photos cascade and your website will look like a bad 1995 rendition of your first HTML page. And the large photos may be Ainsi large, you end up staring at just a grain of sand instead of a beach.

CSS3, the brand-spanking new version of CSS style sheets, supports stretching of background images. Malheureusement, not a single browser I have tried supports it. So I reverted to good-old image hacking, basically injecting the background in a negative Z-indexed

block at a fixed position.

Oui, that last sentence is a great conversation breaker. But trust me, it is the injection portion that’s trickiest. For one, I do not like it when plugins require me to manually modify files, let alone modify files in the first place. So I assume there are other people out there who think alike. So how can I change a WordPress theme without actually modifying its files? Enter Javascript, jQuery to be specific, et we are on our way to great trickery!

So in the end, WP Flickr Background will use Javascript to add a new background image overlaid by the actual (original) contents. And it works! At least, it does so with Opera 10, Firefox 3, Google Chrome 3, MSIE 8 and Safari 4. Hence I am now putting the plugin through a public Alpha test, waiting for complaints to roll in: “Your website looks weird” and “I’m getting Javascript errors” are some of the things I am expecting to see during testing, but hopefully there will be none! You will let me know, Droit?

If I am satisfied that there are no major issues with the plugin, then I will make it available for download. In meantime, I will be re-arranging a few things on the website once again to make room for the new plugin and a few others I am thinking about writing. So please excuse construction going on in the next few days!