Myat's

Blokowanie w00tw00t skanuje

Myatu — Sat, 17 Lipca 2010 10:53:38 +0000

Niektóre strony są jeszcze przed uderzeniem z niesławnym “w00tw00t” skanuje. Możesz zobaczyć te skany w dziennikach, jak:

... "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 ...

Korzystanie Iptables

Najszybsza metoda upewniając się, że nigdy nie dociera do serwera (i powodują marnowanie zasobów takich jak procesor, miejsca na dysku [logów], etc) jest użycie iptables, i można to zrobić w jednej liniowej tak:

iptables -I INPUT -d xxx.xxx.xxx.xxx -p tcp --dport 80 -m string --to 70  --algo bm --string 'GET /w00tw00t.at.ISC.SANS.' -j DROP

Wystarczy wymienić xxx.xxx.xxx.xxx z IP serwera WWW. Jeśli chcesz użyć tego w odniesieniu do zakresu adresów IP (ie., korzystasz z wielu adresów IP do hosta serwerów), Wystarczy wymienić “-D xxx.xxx.xxx.xxx” Część z:

-m iprange --dst-range start.xxx.xxx.xxx-end.xxx.xxx.xxx

gdzie start.xxx.xxx.xxx i end.xxx.xxx.xxx are the first and last IPs of your web servers respectively.

Jeśli chcesz mieć możliwość miłośnik, w którym je do czarnej listy będzie np. IP na czas określony, itp., Państwo sprawdzić SpamCle @ ner stronie internetowej.

Idą głębiej w ten temat i pod warunkiem, dwa skrypty pod koniec ich artykuł. Wystarczy zapisać jeden z tych skryptów w pliku o nazwie, Na przykład, / Opt/blockw00t.sh i uczynić go wykonywalnym z:

chmod +x /opt/blockw00t.sh

Możesz uruchomić go ręcznie wpisując “/ Opt / blockwoot.sh” w powłoce lub aby automatycznie ładować go przy starcie systemu można dodać go do / Etc / rc.local plik, lub na Debian / Ubuntu systemy dodać ją do / etc / network / interfaces tak jak:

auto eth0

inet eth0 static

   ... [existing configuration that remains unaltered] ...

   # Load anti-w00t script:

   post-up /opt/blockw00t.sh

Korzystanie Fail2ban

Jeśli używasz Fail2Ban, jak opisano w konfiguracji firewalla Shorewall, you can create a new definition that scans for the w00tw00t entries in the webserver log files.

Następującą definicję przyjmuje pozycje dzienników serwera wygląda tak (Nginx i Apache 2):

203.127.11.214 - - [15/Jul/2010:15:50:04 +0200] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 173 "-" "-"

Utworzyć plik / Etc/fail2ban/filter.d/webserver-w00tw00t.conf:

[Definition]

failregex = ^ .*"GET \/w00tw00t\.at\.ISC\.SANS\..+\:\).*?"



ignoreregex =

Tej połowy znanych wariantów skanera, łącznie z “DFind”, “test0 ", “MSlog” i “ntsvc”.

Uwaga: The część jest specyficzna dla Fail2ban i jest skrótem do regex (?:::f (4.6):)?(?P S ), , który odpowiada zarówno IPv4 lub IPv6. Zobacz Fail2ban instrukcji for more details.

* Wskazówka: Jeśli chcesz zmienić wyrażenie regularne, Polecam RegExr do gry z różnych opcji / kryteria wyszukiwania. Jest to czas oszczędzania i wolne :)

* Wskazówka 2: To test your definition’s regular expression, użyć:

fail2ban-regex logfile /etc/fail2ban/filter.d/webserver-w00tw00t.conf

gdzie logfile is the actual log file name, such as /var/log/apache2/access.log.

Dodaj tę definicję do Fail2ban konfiguracji Jail (/ Etc/fail2ban/jail.conf):

... [existing configuration] ...



[webserver-w00tw00t]

enabled  = true

port     = http,https

filter   = webserver-w00tw00t

# !!! Keep in mind to specify the correct web server log here:

logpath  = /var/log/apache2/access.log

maxretry = 1

# Time in seconds, W tym przypadku, one day:

bantime  = 86400

Teraz odświeżyć usługi (ie., “/ Reload etc/init.d/fail2ban” lub “Przeładuj Fail2ban usługi”).

Podobne posty:

Uproszczona combo Nginx-Apache z obsługą WordPress

Myatu — Mon, 28 Czerwca 2010 22:03:21 +0000

Wygląda na to, mam zaniedbane, aby napisać nowy artykuł w dłuższą chwilę! Wstyd mi. Ale, dzięki stronie internetowej przerwy, I’ve finally got some more good stuff to share with you.

Mojej poprzedniej konfiguracji Nginx się w koszmar do utrzymania i WordPress stał się wolniej, ponieważ Apache dzieci były zabijane przez OOM. Było to spowodowane źle cache PHP (PHP XCache być precyzyjne) które zdecydowały się podjąć wszelkie dostępne trochę z mojej pamięci systemu, mimo max-wnioski na dziecko wyznaczony na niskim poziomie (zanim został usunięty).

to, wraz z moim starania w poszukiwaniu najszybsze rozwiązanie na wszystko i wprowadzenie nowych serwerów Cloud przez OVH, lead me to today’s article.

Which is faster – Varnish or Nginx?

The first thing I wanted to do is make all the caching happen before things get pushed through to Apache. This because I wanted to eliminate both PHP XCache and the WordPress Super Cache plugin I was using, so to increase WordPress compatibility but decrease complexity.

At first I thought about using Varnish – either as a the sole front-end, or in between Nginx and Apache (the reasoning later). Także, I had gotten my hands on OVH’s Cloud servers whilst they were still in “Alfa”, and used this as the base system for building a pool of web servers.

The following tests have all been performed on those Cloud servers – mC 256 (256 MBytes of guaranteed RAM, 2 GByte total memory with excess swapped to SSD’s), 4 CPU cores and 5 GBytes of storage space. The OS is Ubuntu 10.04 LTS. The output of /proc/cpuinfo is as following (x4 for briefness):

processor       : 0

vendor_id       : GenuineIntel

cpu family      : 6

model           : 26

model name      : Intel(R) Xeon(R) CPU           E5504  @ 2.00GHz

stepping        : 5

cpu MHz         : 1995.000

cache size      : 4096 KB

fdiv_bug        : W

hlt_bug         : W

f00f_bug        : W

coma_bug        : W

fpu             : Tak

fpu_exception   : Tak

cpuid level     : 11

wp              : Tak

flags           : fpu vme de pse tsc msr pae mce cx8 apic mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss nx rdtscp lm constant_tsc arch_perfmon pebs bts xtopology tsc_reliable nonstop_tsc aperfmperf pni ssse3 cx16 sse4_1 sse4_2 popcnt hypervisor lahf_lm

bogomips        : 3990.00

clflush size    : 64

cache_alignment : 64

address sizes   : 40 bits physical, 48 bits virtual

power management:

The stock install of Apache performed as following on a simple “Hello World” PHP script, za pomocą “ab -c 100 -n 100000 http://host/“:

Konkurencja Level:      100

Time taken for tests:   29.548 sekund

Kompletne wnioski:      100000

Failed requests:        0

Write errors:           0

Total transferred:      25009500 bajtów

HTML transferred:       3901482 bajtów

wniosków na sekundę:    3384.27 [# / S] (oznaczać)

Czas na żądanie:       29.548 [ms] (oznaczać)

Czas na żądanie:       0.295 [ms] (oznaczać, wszystkich jednoczesnych żądań)

Transfer:          826.55 [Kbytes / sec] otrzymane



Connection Times (ms)

              min  oznaczać[+/-sd] median   max

Connect:        0   12  39.1     12    1960

Processing:     9   18  49.6     14    2036

Waiting:        1   15  45.9     12    1966

Total:         14   29  65.9     26    2159

With Varnish in front of Apache, things really started to look good:

Konkurencja Level:      100

Time taken for tests:   13.489 sekund

Kompletne wnioski:      100000

Failed requests:        0

Write errors:           0

Total transferred:      28315282 bajtów

HTML transferred:       1100594 bajtów

wniosków na sekundę:    7413.64 [# / S] (oznaczać)

Czas na żądanie:       13.489 [ms] (oznaczać)

Czas na żądanie:       0.135 [ms] (oznaczać, wszystkich jednoczesnych żądań)

Transfer:          2049.99 [Kbytes / sec] otrzymane



Connection Times (ms)

              min  oznaczać[+/-sd] median   max

Connect:        0    6   2.2      6      71

Processing:     2    7   1.9      7      70

Waiting:        1    6   2.0      5      66

Total:          3   13   3.1     13      81

At 2.48x more than what Apache can send out on its own, that’s a mighty impressive improvement and Varnish deserves kudos. But at 1 GBytes of RAM for caching, would it really be more efficient and quicker than Nginx? The following results tell …

Konkurencja Level:      100

Time taken for tests:   9.438 sekund

Kompletne wnioski:      100000

Failed requests:        0

Write errors:           0

Total transferred:      27706648 bajtów

HTML transferred:       5201248 bajtów

wniosków na sekundę:    10595.55 [# / S] (oznaczać)

Czas na żądanie:       9.438 [ms] (oznaczać)

Czas na żądanie:       0.094 [ms] (oznaczać, wszystkich jednoczesnych żądań)

Transfer:          2866.87 [Kbytes / sec] otrzymane



Connection Times (ms)

              min  oznaczać[+/-sd] median   max

Connect:        0    4   1.0      4      56

Processing:     2    6   9.7      5     253

Waiting:        0    5   9.7      5     253

Total:          5    9   9.7      9     257

… a different story. Though this is not some scientific research that should be taken at face value, I personally found the difference rather significant – especially since Nginx never used more than 60 Mbytes of RAM and relied mostly on system file caching. 1.39x faster than Varnish, 3.46x faster than Apache by itself. That’s even more impressive!

A little Varnish quirk on Ubuntu

Ponownie, and I can’t say this often enough, these are merely the numbers obtained on my system – your mileage may vary. Varnish is definitely a worthy contender — the one issue I encountered on Ubuntu was that Varnish crashed when attempting to test with more than 1000 concurrent connections. That’s not supposed to happen in a production environment!

The culprit seems to be the user account’s “open plik descriptors” limitation. Sockets are also counted towards this value and when Varnish had hit the limit it died rather ungracefully. You can manually resolve it by using ulimit:

ulimit -n 65535

But you are better off using the /etc/security/limits.conf file. It is well documented, so it shouldn’t be to difficult to figure it out. I’ll continue with my blog…

The Configuration

So I have decided to keep Nginx as the front-end for apache, but this time – unlike previously – activate Nginx’s caching. Doing it here, rather than working with caching plugins and a plethora of other band-aids, keeps the whole configuration clean and simple. Apache can be left alone to run as it normally does, with no special trickery. The only exception is a memcache store, because the database is located on a different server and linked through a VPN.

First I installed Nginx, Apache, PHP5 and Memcache through the usual channels, w następujących:

apt-get install nginx libapache2-mod-php5 memcached \

php5-mysql php5-curl php5-gd php5-idn php-pear php5-imagick \

php5-imap php5-mcrypt php5-memcache php5-mhash php5-ming \

php5-ps php5-pspell php5-recode php5-snmp php5-sqlite \

php5-tidy php5-xmlrpc php5-xsl php5-json

Update Nginx

The Nginx version provided by the Ubuntu repository is 0.7.65. Jednakże, a feature introduced in version 0.7.66/stable - proxy_no_cache – will come handy simplifying the configuration. 0.7.67 also fixed a small issue, which mainly concerns Windows machines but is good to have patched regardless. So I’ve compiled Nginx to the latest stable version as following:

# apt-get install libc6 libpcre3 libpcre3-dev libpcrecpp0 libssl0.9.8 libssl-dev zlib1g zlib1g-dev lsb-base

wget http://www.nginx.org/download/nginx-0.7.67.tar.gz

tar -xf nginx-0.7.67.tar.gz

cd nginx-0.7.67

./configure \

--user=www-data \

--group=www-data \

--sbin-path=/usr/sbin \

--conf-path=/etc/nginx/nginx.conf \

--error-log-path=/var/log/nginx/error.log \

--pid-path=/var/run/nginx.pid \

--lock-path=/var/lock/nginx.lock \

--http-log-path=/var/log/nginx/access.log \

--http-client-body-temp-path=/var/lib/nginx/body \

--http-proxy-temp-path=/var/lib/nginx/proxy \

--http-fastcgi-temp-path=/var/lib/nginx/fastcgi \

--with-debug \

--with-http_stub_status_module \

--with-http_flv_module \

--with-http_ssl_module \

--with-http_dav_module \

--with-http_gzip_static_module \

--with-http_realip_module \

--with-mail \

--with-mail_ssl_module \

--with-ipv6

make && make install

Tak, that’s literally cut & paste. It overwrites the binaries installed by apt-get, and we happily continue to use the official init script provided by Ubuntu/Debian. Why make life difficult?

Configuring PHP and Apache

W tym momencie, configure PHP and Apache to your heart’z content. The one thing that you need to do with Apache is move it to a different port and preferably keep it on 127.0.0.1. This means you need to edit the /etc/apache2/ports.conf file:

NameVirtualHost *:8080

Listen 127.0.0.1:8080

And configure your website(s) accordingly:



... etc ...

If you are using SSL (https://), this will be handled by Nginx rather than Apache. Since this is already getting quite long, I will skip SSL in this blog.

Configuring Nginx

We start off by creating a few directories that will be used by Nginx:

mkdir /etc/nginx/includes

mkdir -p /var/cache/nginx/tmp

mkdir /var/cache/nginx/cached

chown -R www-data:www-data /var/cache/nginx

Next we modify the file /etc/nginx/nginx.conf w następujących:

user                    www-data;



worker_processes        4;

worker_rlimit_nofile    16384;



error_log               /var/log/nginx/error.log;

pid                     /var/run/nginx.pid;



events {

        worker_connections  2000;

}



http {

        include                 /etc/nginx/mime.types;

        default_type            application/octet-stream;



        access_log              /var/log/nginx/access.log;



        sendfile                on;

        tcp_nopush              on;

        tcp_nodelay             on;

        keepalive_timeout       75 20;



        gzip                    na;

        gzip_vary               na;

        gzip_comp_level         3;

        gzip_min_length         4096;

        gzip_proxied            każdy;

        gzip_types              text/plain text/css application/x-javascript text/xml

                                application/xml application/xml+rss text/javascript;



        include                 /etc/nginx/conf.d/*.conf;

        include                 /etc/nginx/sites-enabled/*;

}

The worker_processes variable is set according to the number of CPU cores in my system, 4 W tym przypadku. There are a few tcp tweaks and gzip compression is enabled on additional plik types, rather than just html. For the rest, it’s fairly run-of-the-mill.

The core workhorse of Nginx will be the proxy and its associated cache. Because I like to keep things nicely sectioned, thus easy to configure, I’ve created the following /etc/nginx/conf.d/proxy.conf file, which will be included by Nginx by an include oświadczenie:

proxy_redirect                  wyłączony;



proxy_set_header                Host $host;

proxy_set_header                X-Forwarded-For $proxy_add_x_forwarded_for;



proxy_connect_timeout           90;

proxy_send_timeout              90;

proxy_read_timeout              90;



proxy_buffer_size               4k;

proxy_buffers                   4 32k;

proxy_busy_buffers_size         64k;

proxy_temp_file_write_size      64k;



proxy_max_temp_file_size        56m;

proxy_temp_path                 /var/cache/nginx/tmp;

proxy_cache_key                 $scheme$host$request_uri;

proxy_cache_path                /var/cache/nginx/cached levels=2:2 keys_zone=global:64m inactive=60m max_size=1G;



proxy_cache_valid               200 302 30m;

proxy_cache_valid               301 1h;

proxy_cache_valid               404 1m;



proxy_cache_use_stale           error timeout http_500 http_502 http_503 http_504;



proxy_pass_header               Set-Cookie;

The proxy_set_header variables are there to help you determine the IP of the actual web page requester, rather than receiving the one from Nginx. You just need to include %{X-Forwarded-For}i in one of Apache’s log formats instead of the host (%h).

Jednakże, I have personally disabled all access logging in Apache, because everything needs to pass through Nginx anyway and it boosts Apache’s performance a smidgen (you do this by commenting out all the CustomLog lines in Apache’s configurations). I did leave the Apache ErrorLog enabled, just for those instances and also for PHP error messages.

The file above also defines an Nginx proxy cache zone called “global” z proxy_cache_path zmiennej. That same variable also specifies a garbage time (60 minut) and maximum cache size (on the disk, 1 Gbytes).

The proxy_cache_key is simply a concatenation of “httpmyatus.co.uk/therequests.php” that will be hashed and then used to retrieve it at a later point. I’m allowing stale cache to be served in case of certain errors, for example when Apache has unexpectedly died.

An important bit, which was quite a PITA to figure out, is the proxy_pass_header portion for the “Set-Cookie” header. WordPress includes “Set-Cookie” headers in 302 HTTP responses (which is used to point your browser to a new location) – some frown upon this practice and Nginx is no exception. Hence we need to specifically let this pass through, or else you will not be able to login to your WordPress Admin or have users leave comments.

Includes

w /etc/nginx/includes folder we created earlier, we add two pliks. The first is a helper for sites that use WordPress. Since the /etc/nginx/includes folder is not automatically included, we can be selective about inclusions, and save on some processing time when these features aren’t used. This is the /etc/nginx/includes/wordpress.inc file:

Jeśli ($http_cookie ~* "comment_author_|wordpress_(?!test_cookie)|wp-postpass_") {

    set $no_cache 1;

}



Jeśli ($http_user_agent ~* "(2\.0 MMP|240x320|400X240|AvantGo|BlackBerry|Blazer|Cellphone|Danger|DoCoMo|Elaine\/3\.0|EudoraWeb|Googlebot-Mobile|hiptop|IEMobile|KYOCERA\/WX310K|LG\/U990|MIDP-2\.|MMEF20|MOT-V|NetFront|Newt|Nintendo Wii|Nitro|Nokia|Opera Mini|Palm|PlayStation Portable|portalmmm|Proxinet|ProxiNet|SHARP-TQ-GX10|SHG-i900|Small|SonyEricsson|Symbian OS|SymbianOS|TS21i-10|UP\.Browser|UP\.Link|webOS|Windows CE|WinWAP|YahooSeeker\/M1A1-R2D2|NF-Browser|iPhone|iPod|Android|BlackBerry9530|G-TU915 Obigo|LGE VX|webOS|Nokia5800)" ) {

    set $no_cache 1;

}



proxy_no_cache      $no_cache;

It’s a very simple file, Właściwie. The first portion checks if there are certain cookies set, related to comment authors or those who are logged into the WordPress Admin. Jeśli tak jest w przypadku, the variable $no_cache jest ustawiony na 1. The second check is for mobile users, like Nokia, iPhone, etc. Thjest is helpful in case you have a mobile WordPress edition, as available through some plugins.

If at any point the $no_cache is 1, the variable proxy_no_cache becomes true. Apache’s output might still be cached, but it will not be served to the end user (thus always fresh).

The second plik is a helper that’s pretty much universal for all the websites (but can still be overridden in the actual sites-available/* files). This is the /etc/nginx/includes/default_proxy.inc file:

# Enable caching:

proxy_cache     global;



# Default:

położenie / {

        proxy_pass              http://127.0.0.1:8080;

}



# Rarely changed items can remain cached longer:

location ~* \.(jpg|jpeg|png|gif|ico|css|mp3|wav|swf|mov|doc|pdf|xls|ppt|docx|pptx|xlsx)$ {

        proxy_cache_valid       200 3h;

        proxy_pass              http://127.0.0.1:8080;

}



# Deny access to .ht* files:

location ~ /\.ht {

        deny                    wszyscy;

}

The first variable proxy_cache informs Nginx to use the “global” zone we defined earlier in the /etc/nginx/conf.d/proxy.conf plik. If it is not there, nothing will be cached and pages simply pass through.

It further tells Nginx to send everything to Apache, but allow images and a few other static files to be cached longer than originally defined. The last portion tells Nginx to block access to files such as . Htaccess lub .htpasswd right at Nginx’s level – so Apache doesn’t have to and save some processing power.

A default site

You can use the include files to build a very small website configuration file. Na przykład, /etc/nginx/sites-available/default may looks something similar to this:

server {

        listen          80;

        server_name     _;



        root            /var/www/sites/default/public;

        index           index.html index.htm;



        access_log      /var/www/sites/default/logs/access.log;

        error_log       /var/www/sites/default/logs/nginx.error.log;



        # Includes:

        include         /etc/nginx/includes/wordpress.inc;

    include         /etc/nginx/includes/default_proxy.inc;

}

Everything is passed to Apache and cached, depending of the wordpress.inc file allows it. Apache will handle the rest. You will likely have to change the directories, but that’s basically it.

WordPress

There’s little that needs to be done with WordPress. The most important thing is to actually disable any WordPress cache you may be using, such as WordPress Super Cache. It is no longer needed and only gives Apache / PHP more work to do. Jednakże, as noted earlier, I did include Memcache.

The reason is that in my case, each Cloud server works off the same MySQL database cluster. To avoid unnecessary or repetitive SQL traffic, the Memcache daemon will hold these in RAM memory (or in the Cloud’s case – either RAM or SSD). This is done with the use of the object-cache.php file by Ryan Boren, which can be obtained from this website. This file needs to be placed in your $WP-ROOT$/wp-content/ directory.

For everything else, WordPress can be plain vanilla but become blistering fast, as shown in the next output.

Performance

I have clustered a Cloud server with a dedicated server. For a short while (as in, half a day) I used HAProxy as the point-of-entry. HAProxy is super-fast, but I was irked by a minor issue that caused some logging issues. nginx is on-par with HAProxy, though it might have a little more jitter, so I now use an 2x Nginx <–> 2x (Nginx + apache) combination. Witt the (nginx + apache) portion of this setup configured exactly as described above, I have been able to obtain the following speeds (based on 100 concurrent connections, 50,000 requests and keep-alive enabled):

Konkurencja Level:      100

Time taken for tests:   6.694 sekund

Kompletne wnioski:      50000

Failed requests:        0

Write errors:           0

Keep-Alive requests:    0

Total transferred:      2822197200 bajtów

HTML transferred:       2806393092 bajtów

wniosków na sekundę:    7469.02 [# / S] (oznaczać)

Czas na żądanie:       13.389 [ms] (oznaczać)

Czas na żądanie:       0.134 [ms] (oznaczać, wszystkich jednoczesnych żądań)

Transfer:          411700.31 [Kbytes / sec] otrzymane



Connection Times (ms)

              min  oznaczać[+/-sd] median   max

Connect:        0    2   0.4      2      16

Processing:     3   11   0.8     11      27

Waiting:        1    3   1.2      3      25

Total:          6   13   0.8     13      32

na 3.29 Gbps @ 7469 wniosków na sekundę, I consider this to be a rather well performing setup. Well prepared for my next project!

Podobne posty:

Przewodnik: Zapora sieciowa i router z Proxmox – Rozszerzenia jej stosowania

Myatu — Sat, 20 III 2010 09:08:55 +0000

W ubiegłym roku napisałem poradnik jak korzystać Shorewall jako firewall i router dla Proxmox. As a follow up I will answer a few questions I’ve received about that guide that can help you extend its use.

proxy ARP

Najczęstszym pytaniem jest w odniesieniu do proxy ARP. Włączenie tej opcji pozwala przypisać publiczne IP bezpośrednio do karty sieciowej, eliminując konieczność przekierowania portów (DTA) or having to worry about the MAC address.

Jako przykład użycia proxy ARP, it is helpful for those using a a SIP-based VoIP server since a STUN server is no longer required.

Włączenie Proxy ARP

Pierwszym krokiem jest zapewnienie, że Proxy ARP jest aktywne. Jest to dość proste i polega na dodaniu jednej linii do jednego z sieci statyczne strofy. Który z nich właśnie zależy od konfiguracji systemu; dla tych, którzy eth0 stanza, można go używać nie. Dla innych, którzy tylko vmbr0 .. n miejsce, the additional line should be placed there.

iface eth0 inet static

    # ... existing lines ...

    post-up echo 1 > /proc/sys/net/ipv4/conf/all/proxy_arp

These changes will take effect on your next boot or whenever you restart your networking services.

Dodać trasę do Shorewall

Shorewall musi wiedzieć, że chcesz używać proxy ARP, , dla których IP i gdy IP musi być kierowany do. Piękno Shorewall jest jego prostota i tak można to szybko zrobić przez utworzenie pliku o nazwie / Etc / Shorewall / proxyarp , która będzie zawierać ten:

#ADDRESS    INTERFACE    EXTERNAL    HAVEROUTE    PERSISTENT

92.22.33.44 vmbr0        eth0

Tłumaczone, Shorewall ten informuje, że społeczeństwo IP 92.22.33.44 dołączone do eth0 needs to be forwarded to a guest VM (Korzystając z tej publicznego IP) dołączone do vmbr0 bridge.

Jak widać z pierwszej linii, są dwie dodatkowe opcje: haveroute i trwały.

The haveroute opcja określa, czy Shorewall powinny stworzyć trasę z interfejsu zewnętrznego do mostu. Kontenerów dla gości w oparciu o OpenVZ, Proxmox będzie stworzenie szlaku. Ale w pełni wirtualnych kontenerów (opiera się na KVM), musisz stworzyć sobie tę drogę. W tym przypadku mówimy Shorewall stworzyć trasy dla nas, by zachować wartość tej opcji na wartość domyślną (pusty, lub W).

Kiedy haveroute opcja jest ustawiona na Nie (Domyślnie), the trwały opcja mówi Shorewall w przypadku, gdyby utrzymać utworzone trasy aktywnej, jeżeli Shorewall został zatrzymany. Ogólnie, i ze względów bezpieczeństwa, należy pozostawić to w jego opcja domyślna (puste lub W). This prevents the guest VM from being exposed without a firewall protecting it.

Tworzenia reguł Shorewall

W oryginalnym przypomnienie cały ruch z publicznej strony wewnętrznej PP jest zablokowany. W dalszym ciągu jest to samo, gdy używasz proxy ARP, a tym samym potrzebę stworzenia przepisów, które pozwalają na ruch na niektórych portach. Można to zrobić przez dodanie zasady jak:

ACCEPT    net    dmz:92.22.33.44    udp    5060

Pozwoli to na ruch UDP na port 5060 , aby przejść do karty sieciowej na IP 92.22.33.44. Można również użyć makra Shorewall, Na przykład:

HTTP/ACCEPT    net     dmz:92.22.33.44

I w tym przypadku będzie to zrobić na serwer 92.22.33.44 accessible to the public.

Alternatywnie, możesz ustawić jedno, że akceptuje wszystkie zasady ruchu na wszystkich portach:

ACCEPT    net     dmz:92.22.33.44

However you should take care that the guest VM has its own set of rules to block unwanted or unsafe traffic.

Najważniejsze, aby zająć się z tymi zasadami proxy ARP jest wykorzystanie zapory “ACCEPT” i nie “DTA” as explained in the original guide.

Wiele publicznych adresów IP

Innym częstym pytanie odnośnie do wielu publicznych adresów IP. Pierwotnego przypomnienie Zakłada się, że komputer ma jeden publiczny adres IP, so here are a few additional pointers.

Jeśli w następstwie pierwotnego przypomnienie, wtedy każdy publicznego IP będą stosowane te same zasady. Więc powiedzmy, że masz dwa publiczne adresy IP, 94.11.22.33 i 94.22.33.44 oraz następujące zasady:

ACCEPT    net    fw    tcp    5900:5999

Z tą zasadą,, można używać zarówno 93.11.22.33:5900 lub 94.22.33.44:5900 , aby połączyć się z VNC Proxmox. Ale chcesz ograniczać się do konkretnego adresu IP, Następnie należy zmodyfikować zasady, jak po:

ACCEPT    net   fw:94.22.33.44    tcp    5900:5999

Teraz można używać tylko 94.22.33.44:5900 do połączenia, , ale nie 93.11.22.33:5900.

To samo dotyczy przekierowanie portów (DTA) zasady, co jest napisane w nieco inny format. Powiedzmy, że mamy ten przepis:

DNAT    net    dmz:10.0.0.1    tcp    1234

To do przodu każdy publicznego IP do portu 1234 na gości w VM 10.0.0.1. Więc zarówno 94.11.22.33:1234 i 94.22.33.44:1234 będzie działać. Jeśli chcesz ograniczyć to do pewnego publicznego adresu IP, państwa, wymaga zmiany w następujących:

DNAT    net    dmz:10.0.0.1    tcp    1234    -    94.22.33.44

tylko 94.22.33.44:1234 will be allowed at this point.

Zapamiętania nazwy

Jeśli masz wiele adresów IP, staje się łatwo zapomnieć, których adresy IP używane. Możesz użyć Shorewall's “params” IPs plik dać niezapomniany nazwę. Edytować plik / Etc / Shorewall / params w następujących:

IP_ALEX=94.11.22.33

IP_SONIA=94.22.33.44

IP_ERIC=94.33.44.55

IP_VM1=10.0.0.1

IP_VM2=10.0.0.2

IP_VM3=10.0.0.3

Teraz można używać tych nazw zamiast adresów IP w żadnym z przepisów Shorwall, tak jak:

HTTP/DNAT    net     dmz:$IP_VM1    -    -    -    $IP_SONIA

I to z przodu HTTP 94.22.33.44 to a guest VM running on 10.0.0.1.

Zastosowań mieszanych i pomostowe

Oryginalny przewodnik nie tylko zapewnia firewall, ale także tym, którzy pomogli w organizacji pod warunkiem zablokowania nieautoryzowanym MAC na adresy IP. Jednym z takich "był gospodarzem Świadczone RRP, i mają niedawno “Virtual MAC dla VPS” opcja, która pozwala na przypisanie adresu IP do MAC. Eliminuje to potrzebę Proxy ARP lub port forwarding / NAT, however the original guide will still prove itself useful for protecting the host.

Ja zapewnić ustawienie próbki poniżej, która może być zmieniona w zależności od potrzeb i konfiguracji sieci. Ten zakłada, że mają podstawową wiedzę na temat sieci i przeczytać mój poprzedni przypomnienie.

Interfejsy

Modyfikujemy / etc / network / interfaces w następujących:

# The loopback network interface

auto lo

iface lo inet loopback



# Public Network. Make sure to only use MACs that were assigned to you

auto vmbr0

iface vmbr0 inet static

 # The following settings are specific to your hosting provider:

 address 94.11.22.33

 netmask 255.255.255.0

 network 94.11.22.0

 broadcast 94.11.22.255

 gateway 94.11.22.254

 # The following assumes eth0 is the public-side NIC, the remained is always the same

 bridge_ports eth0

 bridge_stp off

 bridge_fd



# Optional Private Network. This network cannot be access directly from the public side

auto vmbr1

iface vmbr1 inet auto

 address 10.0.0.1

 network 255.0.0.0

 broadcast 10.255.255.25

 bridge_ports żaden

 bridge_stp off

 bridge_fd 0

Przyjmującego, dostępne 94.11.22.33, będzie miał dwa mosty w tym miejscu: vmbr0 serving the public-side and vmbr1 serving inter-VM communication.

Przypisanie publicznego adresu IP KVM, korzystania z vmbr0 bride and must ensure the MAC corresponds to the one provided by your hosting provider (jeśli ograniczenie MAC jest na swoim miejscu).

Możesz również dodać 2nd NIC (lub tylko NIC) z KVM, co jest z mostka vmbr1. W tym przypadku, musisz używać IP w 10.0.0.2-10.255.255.254 zakres, i jak brama 10.0.0.1. Ten szczególny zakres IP może być używany tylko między innymi maszyn wirtualnych na tym samym serwerze / most, unless you use port forwarding or a VPN on the same IP range.

Interfejsy Shorewall i Strefy

Podstawowego / etc / shorewall / interfaces będzie:

#ZONE    INTERFACE    BROADCAST    OPTIONS

pub    vmbr0        detect        routeback,most

loc    vmbr1        detect        routeback,most



#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

Można także dodać czarna lista Opcja, or any of the other possible Shorewall options if you wish.

Towarzyszących / etc / Shorewall / strefy będzie wyglądać tak:

#ZONE    TYPE        OPTIONS        IN            OUT

#                    OPTIONS            OPTIONS

fw    firewall

pub    ipv4

loc    ipv4



#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE

Teraz masz trzy odrębne strefy Shorewall. The fw strefy w odniesieniu do własnej przyjmującego (w naszej próbie instalacji 94.11.22.33 i 10.0.0.1). The pub strefa stanowi publicznie dostępne vmbr0 bridge and loc nasze wewnętrzne vmbr1 bridge.

Shorewall polityki

Następujące zasady określa tych podstawowych zasad:

Ruchu z hosta w innym miejscu jest dozwolone
Ruchu od strony publicznej do hosta w sieci wewnętrznej i odmawia
Ruch z wewnętrznej strony z hostem jest zabroniony, gdzie indziej jest dozwolone

Edycja / etc / shorewall / Polityka:

#SOURCE    DEST    POLICY        LOG    LIMIT:        CONNLIMIT:

#                    LEVEL    BURST        MASK



# From Firewall:

fw        fw    ACCEPT

fw        pub    ACCEPT

fw        loc    ACCEPT



# Public most (read the policy warnings!):

pub        pub    ACCEPT

pub        loc    ACCEPT

pub        fw    DROP        info



# Local (internal) Bridge:

loc        loc    ACCEPT

loc        pub    ACCEPT

loc        fw    DROP        info



# THE FOLLOWING POLICY MUST BE LAST

#

all    all    REJECT        info



#LAST LINE -- DO NOT REMOVE

Polityka Ostrzeżenia

Z tej polityki, to znaczy, że próby każdy publicznie dostępnych VM według powinna mieć własny alkohol. Jeśli chcesz zmienić to zachowanie, i niech Shorewall obsługi firewall dla każdego z takich gości VM, następnie zmienić punkt Public Bridge:

pub        pub    DROP      info

Następnie należy stworzyć specjalne przepisy, które pozwalają na ruch z PP vmbr0.

Podobne ostrzeżenie odnosi się do ruchu z vmbr0 to vmbr1. Polityka zakłada, że vmbr0 does not receive any routable traffic on a private IP range (zwane również “Martians”). Chociaż jest to często miejsce w przypadku, to zależy od dostawcy hostingu wewnętrznej sieci. Jeśli nie jesteś pewien, czy nie ma routingu ruchu IP z zakresu prywatnego publicznej stronie, masz dwie możliwości. Pierwszy z nich to nie pozwolić na cały ruch z vmbr0 (pub) by vmbr1 (loc) przez edycję sekcji Public Bridge:

pub        loc    DROP      info

Alternatywą jest jeszcze zbiór zasad / etc / shorewall / przepisy tak jak:

# ...

SECTION NEW



# Leave these at the top, right after "SECTION NEW"!

DROP        pub:10.0.0.0/8        all

DROP        pub:192.168.0.0/16    all

DROP        pub:172.168.0.0/12    all



# ... Other rules follow ...



#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

We wszystkich przypadkach, należy sprawdzić, czy ruch jest naprawdę zablokowany i nie zakładać, że jest!

Shorewall i Fail2ban

Fail2ban w jego własnych słów “jak skanuje pliki dziennika / var / log / pwdfail lub / var / log / apache / error_log IP i zakazów, które sprawia, że zbyt wiele niepowodzeń hasło. Firewall to zasady aktualizacji do odrzucenia adresu IP”. Może to być na przykład wykorzystywane do (tymczasowo) ban a bot that is attempting a brute-force entry through SSH.

Fail2ban jest idealnym towarzyszem do Shorewall i może być zainstalowany w ciągu kilku minut na komputerze Proxmox. Zacząć od instalacji Fail2ban z pakietów Debiana:

apt-get install Fail2ban

Skonfigurować Shorewall

Następnie musisz zmienić jedną linię w pliku konfiguracji Shorewall, znajduje się w / etc / shorewall / shorewall.conf:

BLACKLISTNEWONLY=No

To wszystko trzeba skonfigurować w Shorewall. Pamiętaj, aby zastosować ustawienia, ponownie Shorewall z polecenia “Shorewall restart”.

Skonfigurować Fail2ban

Ostatnim krokiem jest konfiguracja Fail2ban. Plik / Etc/fail2ban/jail.conf jest dobrze udokumentowane i szczególnego zainteresowania są następujące ustawienia:

...

#

# Destination email address used solely for the interpolations in

# jail.{conf,local} configuration files.

destemail = myemail@address.com



...

#

# ACTIONS

#



# Default banning action (e.g. iptables, iptables-new,

# iptables-multiport, Shorewall, etc) It is used to define

# action_* variables. Can be overriden globally or per

# Sekcja within jail.local file

banaction = shorewall



...

# Choose default action.  To change, just override value of 'action' with the

# interpolation to the chosen action shortcut (e.g.  action_mw, action_mwl, etc$

# globally (section [Domyślnie]) or per zpecific section

action = %(action_mwl)s

Fail2ban Powiadom tych zmian, wydając następujące polecenie:

fail2ban-client reload

The destemail Zmienna ta powinna być zmieniona na swój adres e-mail, gdzie można o każdej zakazu działania. The banaction zmienna określa że Shorewall powinna być wykorzystywana do blokowania możliwości intruzów. I wreszcie, the działanie zmiennej mówi Fail2ban zakazu wszelkich wykrytych intruza, a następnie wysłać Ci szczegółową e-mail z odpowiednimi wierszy dziennika (, które spowodowało zakaz). Oto przykład o rzeczywistej e-mail:

Cześć,



IP 193.86.5.103 został właśnie zakazany przez Fail2ban po

3 attempts against ssh.



Oto więcej informacji na temat 193.86.5.103:



% This is the RIPE Database query service.

% The objects are in RPSL format.

%

% The RIPE Database is subject to Terms and Conditions.

% widzieć http://www.ripe.net/db/support/db-terms-conditions.pdf



% Uwaga: This output has been filtered.

%       Aby otrzymać wyjście do aktualizacji bazy danych, use the "-B" flag.



% Informacje związane z '193 .86.4.0 - 193.86.5.255'



inetnum:      193.86.4.0 - 193.86.5.255

netname:      Kawałek

descr:        Kawałek, Inc.

descr:        Hradec nad Moravici

country:      CZ

admin-c:      BK230-RIPE

tech-c:       TP231-RIPE

status:       ASSIGNED PA

mnt-by:       GTSCZ-MNT

source:       RIPE # Filtered



person:       Bohumil Kriz

adres:      Kawałek, Inc.

adres:      Computer Centre

adres:      Hradec nad Moravici

address:      747 41

address:      The Czech Republic

phone:        +420 653 918118

fax-no:       +420 653 911791

nic-hdl:      BK230-RIPE

source:       RIPE # Filtered



person:       Tomas Partl

adres:      Kawałek, Inc.

adres:      Computer Centre

adres:      Hradec nad Moravici

address:      747 41

address:      The Czech Republic

phone:        +420 653 918371

fax-no:       +420 653 911791

nic-hdl:      TP231-RIPE

source:       RIPE # Filtered



% Information related to '193.86.0.0/16AS2819'



drogi:        193.86.0.0/16

descr:        CZNET-A

origin:       AS2819

mnt-by:       GTSCZ-A-MNT

source:       RIPE # Filtered



Lines containing IP:193.86.5.103 in /var/log/auth.log



Luty 27 03:32:02 host sshd[21460]: Nie hasło roota z 193.86.5.103 port 35833 ssh2

Feb 27 03:32:04 host sshd[21502]: Nie hasło roota z 193.86.5.103 port 36302 ssh2

Feb 27 03:32:06 host sshd[21504]: Nie hasło roota z 193.86.5.103 port 36719 ssh2



Regards,



Fail2ban

Przez Fail2ban domyślnie skonfigurowany do monitorowania SSH, , które dla wielu Proxmox działa bez żadnych dodatkowych zmian. Osobiście preferuję zakaz 3 próby zamiast domyślnego 6, więc zrobiłem to jedna zmiana w / Etc/fail2ban/jail.conf plik:

[ssh]

maxretry = 3

Ale znowu, w pliku konfiguracyjnym jest dość dobrze udokumentowane, so any personal preferences or modifications should be easy to accomplish.

“Bluzy online” fot. gwire, CC Attribution License

Cześć,

IP 193.86.5.103 został właśnie zakazany przez Fail2ban po
3 zamachy ssh.

Oto więcej informacji na temat 193.86.5.103:

% Jest to usługa zapytanie w bazie RIPE.
% Obiekty są w formacie RPSL.
%
% RIPE Database jest przedmiotem Warunków.
% widzieć http://www.ripe.net/db/support/db-terms-conditions.pdf

% Uwaga: Wyjście to jest filtrowany.
%       Aby otrzymać wyjście do aktualizacji bazy danych, wykorzystania "-B" flaga.

% Informacje związane z '193 .86.4.0 - 193.86.5.255 "inetnum:      193.86.4.0 - 193.86.5.255
netname:      BRANO descr:        Kawałek, Inc.
descr:        Hradec nad Moravici Kraj:      CZ admin-c:      BK230-RIPE tech-c:       TP231-RIPE status:       ASSIGNED PA mnt-by:       GTSCZ-MNT source:       RIPE # Filtered osoby:       Bohumil Kriz adres:      Kawałek, Inc.
adres:      Centrum Komputerowe adres:      Hradec nad Moravici adres:      747 41
adres:      Republiki Czeskiej telefon:        +420 653 918118
fax-no:       +420 653 911791
nic-hdl:      BK230-RIPE źródła:       RIPE # Filtered osoby:       Tomas Partl Adres:      Kawałek, Inc.
adres:      Centrum Komputerowe adres:      Hradec nad Moravici adres:      747 41
adres:      Republiki Czeskiej telefon:        +420 653 918371
fax-no:       +420 653 911791
nic-hdl:      TP231-RIPE źródła:       RIPE # Filtered

% Informacje związane z .86.0.0/16AS2819 "trasy '193:        193.86.0.0/16
descr:        CZNET-pochodzenia:       AS2819 mnt-by:       GTSCZ-A-MNT source:       RIPE # Filtered linie zawierające IP:193.86.5.103 w katalogu / var / log / auth.log lutego 27 03:32:02 host sshd[21460]: Nie hasło roota z 193.86.5.103 port 35833 SSH2 lutego 27 03:32:04 host sshd[21502]: Nie hasło roota z 193.86.5.103 port 36302 SSH2 lutego 27 03:32:06 host sshd[21504]: Nie hasło roota z 193.86.5.103 port 36719 SSH2 Pozdrawiam,

Fail2ban

Podobne posty:

WP Flickr tle wersji 1.0.3 (Beta) dostępny

Myatu — Sat, 06 III 2010 07:41:05 +0000

wersja 1.0.3 została wydana, poprawia kilka drobnych błędów oraz wprowadza nowe możliwości. To jest wciąż uważa się w fazie beta, which most likely will change with the next release.

Zmiany

A new option has been introduced to hide the license and attribution information in the footer.
Bug fix: Hash pliku konfiguracji nie został zainicjowany
Bug fix: Włączanie “buforowanego” Opcja spowodowały śmiertelnych błędów PHP w niektórych przypadkach
Bug fix: Opcja Podgląd nie działa, gdy “buforowanego” opcja była aktywna
Bug fix: “All Rights Reseved” licencji nie ma adresów

Ponadto, WP Flickr tle nie jest zgodna z wersją WordPress 2.8 or older.

Linki: Bezpośredni link do WP Flickr tle (147) | WordPress Plugin Directory

Podobne posty:

Czerwonego Krzyża’ Szczegóły Citibank na Twitter może być nieprawdziwe.

Myatu — Mon, 01 III 2010 01:18:57 +0000

Kilka chwil temu otrzymałem wiadomość na Twitter zawarte informacje na temat, jak można pomóc Czerwonego Krzyża z wysiłków w Chile. A intencje są dobre, this can quickly become a target of fraudsters.

Moim największym problemem jest, że oszust będzie po prostu wymienić informacje o koncie do jednego jest właścicielem siebie,. Ponieważ jest on taki gorący temat na Twitter w momencie, Niniejszy zmieniony wiadomości czyniłaby rund szybko.

I was able to trace the original message back to @CruzRojainforma, the Chilean Red Cross. So far the retweeted message hasn’t been altered – other than being translated into English. But I’ve urged people to stop retweeting the account details and visit the official Red Cross website at www.redcross.org Zamiast. There’s a link right on their main page that explains how you can donate time or money to the Chilean earthquake efforts.

On a final note, Twitter is also used to find missing persons. And with positive results I may add, as this article explains. Google also has a Person Finder database running, which it had done for te Haiiti earthquake as well. But please ensure that you do not give out too much personal details about the person you’re looking for, because it becomes a (nearly) permanent part of the Internet.

Ponownie, the intentions are good, but there are too many people out there waiting to take advantage of every possible situation so be careful!

Fuerza Chile!

Podobne posty:

Hawaje tsunami, Galeria Sprecks

Myatu — Sun, 28 Luty 2010 02:03:37 +0000

Dobrze, jak wiele innych, I już po rozwijających się wokół historii tsunami, które zostały spowodowane przez trzęsienie ziemi w pobliżu Santiago, Chile. Jedną z wielu grup, że wyspa leży w drogę tsunami na Hawajach i byłem na oku kamer dostarczonych przez MauiWindCam. Były jednym z niewielu miejsc webcam na Hawajach w stanie zająć się ogromny napływ innych ciekawych. Dla tych którzy przegapili ten, I’ve recorded a number of images that can be viewed in the gallery below.

While the actual waves were thankfully less high than expected, you do notice two distinct surges in the images. The view here is of the Sprecks towards the West Maui mountains.

[Show picture list]

[[Show as slideshow]]

Here’s a video which will give a better idea of what it looked like on the ground:

I have another set (with a smoother timeline) from a different location as well, which may add soon as well. A few images from that set stood out and I will share this one with you here:

Apparently this person wasn’t aware that there was a tsunami warning in effect and that you shouldn’t be on the beach, especially not making any phone calls.

Podobne posty:

WP Flickr tle wersji 1.0.2 (Beta) dostępny

Myatu — Fri, 26 Luty 2010 03:43:10 +0000

Dobrze, Nieco ponad miesiąc temu włożyłam finalnego wykończenia Flickr WP wtyczki w tle i weszła ona w fazie alfa. Przez cały miesiąc i kilka tysięcy odwiedzających, były tylko dwie kwestie zgłaszane (z których jeden był niepowiązanych).

Zadowoleni z tego, Mam teraz wykonane w wersji 1.0.2 dostępne w wersji beta. Oznacza to, że można teraz używać go do własnych celów, jednak nie polecam przy tym w środowisku produkcyjnym tylko jeszcze (chociaż nic nie zatrzymując się od tego – wykorzystania na własne ryzyko!).

The likely issues that I’m expecting are with the installation, plugin usage and the back-end (administration). But hopefully those will only be a few. In meantime, I will start the registration procedure with WordPress.org so that the code will be available in the SVN, and the plugin available for download / upgrade within WordPress itself. Hopefully this will be a matter of just a few days.

If you are running in any kind of issue, how small it may seem, I’d really like to know about it so I can improve the plugin. You can use the contact form, or leave a comment below and I will make note of it.

The static page for WP Flickr Background is http://www.myatus.co.uk/wp-flickr-background, and it will be updated with the latest version as it becomes available. You can also click on Downloads at the top.

Baw się dobrze!

P.S.: A small update, WP Flickr Background is also available through the Flickr App Garden.

P.P.S.: Quicker than expected, WordPress has accepted the plugin into the Plugin Directory. If you wish to use the development version (provided you know what you are doing!), Zobacz SVN.

Podobne posty:

WP Flickr tle

Myatu — Fri, 26 Luty 2010 03:19:40 +0000

WP Flickr tle jest prosty w użyciu wtyczki WordPress, który pozwala wyświetlać zdjęcia z Flickr jako tło tematu, without the need to modify any files.

Wszystko, co musisz zrobić, to utworzyć jedną lub więcej galerii w ustawieniach wtyczki, każda zawierająca kolekcję zdjęć z Flickr, które zostały wybrane, and WP Flickr will randomly select a photo from the active gallery to display as the theme background.

Można również dostosować galerii poprzez dodanie kodu stylach CSS, które będą ładowane wraz ze zdjęciem, allowing you to color match the WordPress theme to the particular photo displayed or for other use.

Linki: Bezpośredni link do: WP Flickr tle (147) | WordPress Plugin Directory

Funkcje

Decide how often the background image should change (ie., codziennie, raz na sesji przeglądarki, itp.)
Stretch Fotografia tle poziomo lub pionowo
Dostosowanie tła zdjęcia według gości ekranie układu
Opcjonalnie wyłączyć oryginalny temat tła
Opcjonalna kompresja Javascript
Wsparcie dla pamięci podręcznej WordPress, takich jak WP Super Cache
Wiele galerii
Custom CSS style sheet per gallery, ładowane z tematem, jeśli jest aktywny

Zrzuty ekranu

Wymagania

Wersja WordPress 2.9 lub lepiej
Wersja PHP 4.2.3 lub lepiej
Przeglądarka z obsługą Javascript

Pierwsze kroki

Prześlij zawartość pliku ZIP do /wp-content/plugins/ directory
Aktywacja wtyczki przez Wtyczki menu w WordPress
Dostęp wtyczki konfiguracji poprzez Ustawienia / WP Flickr tle menu:

Konfiguracja opcji
Dodaj galerie i zdjęcia
Przeczytaj szczegółową pomoc

Jeśli masz pomysł na tle WP Flickr lub chcesz zgłosić błąd, Kliknij opinie Na karcie umieszczone na lewej stronie lub na stronie UserVoice.

Podobne posty:

I'm back!

Myatu — Sat, 23 Jan 2010 06:33:52 +0000

Przepraszam wszystkich, którzy mieli trudności z dostępem do strony internetowej w ostatnich dniach!

Musiałem wziąć w dół strony, aby wprowadzić pewne zmiany do serwera WWW, które szybko stały się gruntowny remont. Myślałem, że skoro już w dół, I might as well do the things I had long planned.

Spora część jest wdrażany obecnie, ale nie jestem całkowicie wykonane. I'll give it my best starań, aby zapewnić nie będzie niewiele żadnych przestojów. Po raz kolejny, moje przeprosiny!

No related posts.

WP Flickr tła Alpha testy

Myatu — Wed, 20 Jan 2010 01:20:00 +0000

Jeśli jesteś nowy w tej witrynie, pewnie nie zauważyłeś. Ale tło widzisz jest rzeczywiście coś nowego. I losowe. I przesyłana z Flickr. Jest to nowa wtyczka, że jestem rozwijających się do WordPress o nazwie ‘WP Flickr Background’.

Nieco ponad dwa tygodnie temu zmieniłem motyw Motion by 85ideas, i był zaintrygowany jego efektywne wykorzystanie folii i tło. A ponieważ szybko znudzić, patrząc na to samo, Myślałem, że ‘Dlaczego nie zrobić tego w tle random '? Flickr zapewnia milionów zdjęć, wiele z nich w ramach Creative Commons EEA, i będzie to doskonałe źródło informacji dla tych środowisk losowe. Zacząłem więc kodowanie…

Interestingly, it wasn’t as straight forward as one would expect. After all, you could simply use a dynamically generated CSS style sheet with a ‘background’ element pointing to a random Flickr photo. Prawo?

But small photos cascade and your website will look like a bad 1995 rendition of your first HTML page. And the large photos may be Więc large, you end up staring at just a grain of sand instead of a beach.

CSS3, the brand-spanking new version of CSS style sheets, supports stretching of background images. Niestety, not a single browser I have tried supports it. So I reverted to good-old image hacking, basically injecting the background in a negative Z-indexed

block at a fixed position.

Tak, that last sentence is a great conversation breaker. But trust me, it is the injection portion that’s trickiest. For one, I do not like it when plugins require me to manually modify files, let alone modify files in the first place. So I assume there are other people out there who think alike. So how can I change a WordPress theme without actually modifying its files? Enter Javascript, jQuery to be specific, and we are on our way to great trickery!

So in the end, WP Flickr Background will use Javascript to add a new background image overlaid by the actual (original) contents. And it works! Co najmniej, it does so with Opera 10, Firefox 3, Google Chrome 3, MSIE 8 i Safari 4. Hence I am now putting the plugin through a public Alpha test, waiting for complaints to roll in: “Your website looks weird” and “I’m getting Javascript errors” are some of the things I am expecting to see during testing, but hopefully there will be none! You will let me know, Prawo?

If I am satisfied that there are no major issues with the plugin, then I will make it available for download. In meantime, I will be re-arranging a few things on the website once again to make room for the new plugin and a few others I am thinking about writing. So please excuse construction going on in the next few days!

Podobne posty: