nginx settting timezone Asia/Taipei on centos

設定 /etc/php.ini 加入時區設定值為「Asia/Taipei」。

date.timezone = Asia/Taipei

接著重新啟動「php-fpm」、「nginx」服務!

/etc/init.d/php-fpm restart
/etc/init.d/nginx restart

廣告

CentOS 套件庫 RPMforge

From: http://wiki.centos.org/zh-tw/AdditionalResources/Repositories/RPMForge

RPMforge 是由 Dag 及其他包裝者合作維護的。他們為 CentOS 提供超過 5000 個套件,包括 wine、vlc、mplayer、xmms-mp3 及其他受歡迎的媒體工具。它並不是 Red Hat 或 CentOS 的一部份,但卻是為那些發行版本而設計的。請亦參閱 使用 RPMforge 及 Repoforge。

註:由於這個軟件庫並非 CentOS 的一部份,你應該透過Repoforge 用戶郵件列表把支援的問題發給它的維護者

套件是以 RPM 的格式提供,在大多數情況下已可隨時使用。預設的 RPMforge 軟件庫並不會取代 CentOS 的官方套件。

squid+c-icap+clamav = gateway antivirus scanner

squid+c-icap+clamav = gateway antivirus scanner

建置簡單的網路代理閘道,代理內部網路 Http 協定的流量。系統使用 64 位元 CentOS 6.3 ,並安裝 squid3 代理伺服器與 c-icap 伺服器(實作 icap 的工具程式),利用 c-icap clamav modules 掃描代理下載 Http 的內容是否含有病毒。

1.安裝 centos 6.3 系統,選擇安裝為 Web Server 系列套件安裝。安裝CentOS6.3

FEDORA 專案所使用的 GPG 金鑰
https://fedoraproject.org/keys

2.安裝 EPEL 套件庫

#rpm –import http://mirror01.idc.hinet.net/EPEL/RPM-GPG-KEY-EPEL-6

#rpm -ivh http://mirror01.idc.hinet.net/EPEL/6/x86_64/epel-release-6-8.noarch.rpm

3.系統安裝完成後, 第一件事「系統更新」

#yum update

4.安裝 squid,clamav,clamav-devel 套件及更新病毒碼

#yum install squid clamav clamav-devel
#freshclam

5.下載 c-icap 和 c-icap-modules ,c-icap 專案位址 http://c-icap.sourceforge.net/

#wget http://sourceforge.net/projects/c-icap/files/c-icap/0.2.x/c_icap-0.2.5.tar.gz/download
#wget http://sourceforge.net/projects/c-icap/files/c-icap-modules/0.2.x/c_icap_modules-0.2.4.tar.gz/download

6.安裝程式開發工具套件及需要的函式庫

#yum groupinstall “Development Tools"

7.解壓縮及安裝 c-icap 和 c-icap-modules

#tar -xzvf c_icap-0.2.5.tar.gz
#cd c_icap-0.2.5
#./configure
#make install
#cd ..
#tar -xzvf c_icap_modules-0.2.4.tar.gz
#cd c_icap_modules-0.2.4
#./configure
#make install

7.允許squid啟用icap協定,參照 http://wiki.squid-cache.org/Features/ICAP 編輯設定 /etc/squid/squid.conf 。avscan 服務被定義在 /usr/local/etc/virus_scan.conf 設定檔中。proxy transparent mode is important for gateway proxy.

#vim /etc/squid/squid.conf

http_port 3128 transparent

icap_enable on

icap_service service_req reqmod_precache bypass=1 icap://127.0.0.1:1344/avscan
adaptation_access service_req allow all

icap_service service_resp respmod_precache bypass=0 icap://127.0.0.1:1344/avscan
adaptation_access service_resp allow all

8.設定 /usr/local/etc/c-icap.conf ,引入 virus_scan.conf 設定檔(由 /usr/local/etc/virus_scan.conf 內容得知)。

#vim /usr/local/etc/c-icap.conf

Include virus_scan.conf

9.啟動 c-icap daemon 並設定開機自動啟用服務

#c-icap -f /usr/local/etc/c-icap.conf
#echo /usr/local/bin/c-icap -f /usr/local/etc/c-icap.conf >> /etc/rc.local

10.允許 iptables 開啟 squid 服務端口 3128 ,將 http 協定導向 3128 port 並放行 https 直接 forward。

#iptables -I INPUT -p tcp –dport 3128 -j ACCEPT
#iptables -I FORWARD -p tcp –dport 443 -j ACCEPT
#iptables -A PREROUTING -t nat -p tcp –dport 80 -j REDIRECT –to-port 3128iptables_filter_listiptables_nat_list

11.允許 squid gateway ip_forward , set net.ipv4.ip_forward enabled

#echo 1 > /proc/sys/net/ipv4/ip_forward

#vim /etc/sysctl.conf
net.ipv4.ip_forward = 1

12.儲存 iptables 設定檔,並設定開機時自動載入設定。

#iptables-save > /etc/iptables.conf
#echo “iptables-restore < /etc/iptables.conf" >> /etc/rc.local

13.設定開機自動啟用 squid 服務,並啟動 squid daemon 。

#chkconfig squid on
#servie squid startsquid&c-icap_ports

14.連線至 http://www.eicar.org 下載病毒測試檔,測試病毒是否有被成功阻擋。test_download_eicar.com

# Gateway is squid Server and client ip is fall in 192.168.0.0/24 which default squid localnet setting range.client_ip_address_setting

 

在 Ubuntu 上的 chkconfig 叫作 sysv-rc-conf

記得 RH系列的 chkconfig 指令,靠它讓我可以設定服務在什麼開機模式下啟動服務。但在ubuntu上卻找不到這套件,不過ubuntu也有自己的相關套件「sysv-rc-conf」!!

安裝sysv-rc-conf

$ sudo apt-get install -y sysv-rc-conf

執行

$ sudo sysv-rc-conf

畫面如下 其中"X"表示此runlevel會啟動," “表示不啟動sysv-rc-conf

 

操作範例說明

$ sysv-rc-conf –list | grep ssh # 查看 ssh run level
ssh 1:off 2:off 3:off 4:off 5:off

$ sudo sysv-rc-conf –level 35 ssh off # 關閉 ssh 3 及 5 的 run level
$ sysv-rc-conf –list | grep ssh
ssh 3:off 5:off

$ sudo sysv-rc-conf atd off # 關閉 atd run level
$ sysv-rc-conf –list | grep atd # 查看 atd run level
atd 1:off 2:off 3:off 4:off 5:off

$ sudo sysv-rc-conf atd on # 開啟 atd run level
$ sysv-rc-conf –list | grep atd # 查看 atd run level
atd 1:off 2:on 3:on 4:on 5:on

centos 指令 setup 設定帳號的登入驗證 winbind

centos  setup 指令 可用來簡單的設定帳號的登入驗證。

wbinfo -u 或是 -g 在 setup 介面設定 winbind auth 完成後就可以查詢到 AD 上的帳號了。

getent passwd 若出現AD帳號像 TOYOINK-CT/sc.yang 表示 「smb.conf」裏,參數是 winbind use default domain = no 。改為 winbind use default domain = yes 帳號就不會被冠上 domain 了。記得要重新啟動 winbind

/etc/krb5.conf 其中 realms 域中的default domain 設定必需要指定

[realms]
EXAMPLE.COM = {
kdc = kerberos.example.com:88
admin_server = kerberos.example.com:749
default_domain = example.com
}

TOYOINK-CT.COM.TW = {
kdc = ad3server.toyoink-ct.com.tw
default_domain = toyoink-ct.com.tw
}

/etc/samba/smb.conf
WORKGROUP = TOYOINK-CT #也記得要設定正確

getent passwd 若沒發現 AD 上的帳號加入,要檢查 smb.conf winbind 的幾個參數是否有設定到。

winbind separator = /
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = true
winbind offline logon = false

所以說如果 getent passwd 查不到帳號不代表 AD 上的帳號不起作用喔!!
但是手冊上寫說最好加進去不然對有些應用程式有可能會發生錯誤。

winbind enum groups (G)

On large installations using winbindd(8) it may be necessary to suppress the enumeration
of groups through the setgrent(), getgrent() and endgrent() group of system calls. If the
winbind enum groups parameter is no, calls to the getgrent() system call will not return
any data.

Warning
Turning off group enumeration may cause some programs to behave oddly.

Default: winbind enum groups = no

winbind enum users (G)

On large installations using winbindd(8) it may be necessary to suppress the enumeration
of users through the setpwent(), getpwent() and endpwent() group of system calls. If the
winbind enum users parameter is no, calls to the getpwent system call will not return any
data.

Warning
Turning off user enumeration may cause some programs to behave oddly. For example, the
finger program relies on having access to the full user list when searching for matching
usernames.

Default: winbind enum users = no

winbind 筆記

smb.conf template home 設定值會影響 getent passwd 的家目錄的路徑值。

smb.conf 有任何修改,最好都要讓 winbind 重新載入設定值。

winbind 家目錄不正確的問題會造成無法登入的問題。