Messages posted by: myquartz

Người xài CentOS hiếm có khó tìm, nên mình share ở đây cho riêng người dùng ... CentOS.

Mấy cái script sau đây có tác dụng tạo ra bảng định tuyến được load balance tại 1 Internet Gateway chạy CentOS 5.6, với giả định rằng các kênh Internet là pppoe phổ biến tại VN. Cái này đã chạy thực tế và nói chung khá ... ổn. 10.0.0.0/8 là subnet của bạn (thay bằng IP nào tuỳ bạn). Chú ý các dấu nháy xuôi ' và ngược ` nhé. Các file script đều phải có quyền execute.

Một lưu ý nữa là trong các file ifcfg-pppx, phải đặt tham số DEFROUTE=no. Nếu không nó phá hỏng bảng định tuyến cân bằng tải.

Các file /etc/ppp/ppp0-weight.conf, /etc/ppp/ppp1-weight.conf ... chứa nội dung:
Code:

WEIGHT=2

Đây chính là "trọng lượng" của các kênh pppx (mặc định = 1 nếu ko có file định nghĩa), càng to thì càng được dồn lưu lượng nhiều. Việc NAT không nằm trong các script, bạn phải tự config.

cat /etc/ppp/ip-up.local
Code:

#!/bin/sh
#echo "Starting up pppd $1 $2 $3 $4 $5 $6"
table=`/usr/bin/perl -e '\$ARGV[0] =~ /ppp(\d)/ and print \$1+200' $1`
/sbin/ip route add 0.0.0.0/0 table $table dev $1
/sbin/ip rule add from $4 table $table
/sbin/ip rule add from $4 to 10.0.0.0/8 table main
exec /etc/ppp/ip-lb-up.local $1

cat /etc/ppp/ip-lb-up.local
Code:

#!/bin/sh
echo "Starting up load balancing for $1." >> /var/log/ppp.local.log
#get weight for this connection.
if [ -e "/etc/ppp/$1-weight.conf" ] ; then
. /etc/ppp/$1-weight.conf
else
WEIGHT=1
fi
#Get current list of default route.
DEFRT=`ip route list match 0/0`
echo "Current default routes:" >> /var/log/ppp.local.log
echo $DEFRT >> /var/log/ppp.local.log
#No default route, add it.
if [ "$DEFRT" == "" ] ; then
ip route add default dev $1
echo "weight $WEIGHT" > /etc/ppp/default-weight
exit;
fi
#Check if the dev is in route?
echo "$DEFRT" | grep $1
if [ $? == 0 ] ; then
echo "$1 is in route already" >> /var/log/ppp.local.log
exit;
fi
#Check if the default route is multiple already
echo "$DEFRT" | grep 'nexthop'
if [ $? == 1 ] ; then
OLDWEIGHT=`cat /etc/ppp/default-weight`
DEFRT=`echo "$DEFRT" | sed 's/default/default nexthop/'`
DEFRT="$DEFRT $OLDWEIGHT"
fi
#remove invalid options
DEFRT=`echo "$DEFRT" | sed 's/\n//g' | sed 's/proto static//g' | sed 's/scope link//g'`
ip route replace $DEFRT nexthop dev $1 weight $WEIGHT 2>> /var/log/ppp.local.log
#Save default route for restore later.
ip route list match 0/0 > /etc/ppp/default-lb-routes
echo "Done." >> /var/log/ppp.local.log

cat /etc/ppp/ip-down.local
Code:

#!/bin/sh
#echo "Shutting down pppd $1 $2 $3 $4 $5 $6"
table=`/usr/bin/perl -e '\$ARGV[0] =~ /ppp(\d)/ and print \$1+200' $1`
/sbin/ip route del 0.0.0.0/0 table $table dev $1
/sbin/ip rule del from $4 table $table
/sbin/ip rule del from $4 to 10.0.0.0/8 table main
exec /etc/ppp/ip-lb-down.local $1

cat /etc/ppp/ip-lb-down.local
Code:

#!/bin/sh
echo "Stopping load balancing for $1." >> /var/log/ppp.local.log
echo "LB-Routes:" >> /var/log/ppp.local.log
cat /etc/ppp/default-lb-routes >> /var/log/ppp.local.log
#Save default route for restore later.
grep -v "$1" /etc/ppp/default-lb-routes > /tmp/routes
DEFRT=`cat /tmp/routes`
cp -f /tmp/routes /etc/ppp/default-lb-routes
echo "Removed LB-Routes:" >> /var/log/ppp.local.log
echo $DEFRT >> /var/log/ppp.local.log
#No default route, remove the file.
if [ "$DEFRT" == "" ] ; then
echo "No entry in default-lb-routes"
rm -f /etc/ppp/default-lb-routes
exit;
fi
#remove invalid options
DEFRT=`echo "$DEFRT" | sed 's/\n//g' | sed 's/proto static//g' | sed 's/scope link//g'`
if [ "$DEFRT" != "" ] ; then
#Re-add the routes.
#ip route del default
ip route replace $DEFRT 2>> /var/log/ppp.local.log
fi
echo "Stop done." >> /var/log/ppp.local.log

Cho in/xem mà không cho chỉnh sửa, thì cách gây khó khăn nhất là cho ra thành file ảnh. Dĩ nhiên chống sửa từng phần một thì cũng là khó khăn rồi chứ ko chơi cả page thì cũng hơi nặng.
Chỉnh sửa ở đây là sửa cái file gốc đi 1 ít (ví dụ thay con số) rồi mạo gửi đi. Cái này PDF nó chống rất tốt nhờ Digital Signature. Chứ nếu typing lại 100%, hình ảnh copy lại (có thể ko hoàn toàn) thì e rằng hơi khó chống.

Còn cho xem mà ko cho in thì điều này nghe chừng vô lý.

Tự compile từ source nói chung lợi thì có lợi, nhưng ... răng ko còn nhiều. Mất thời gia, tốn tiền điện mà hiệu quả chạy chỉ tí xíu.
Tớ thích các distro có người maintain như Ubuntu hay Fedora ra hơn. Nó dễ dàng cho việc mass-deploy, mass-update hơn là tự đi compile như ngày xưa xa xa lắm.

Nếu xài để backup thì bacula cũng có ích đấy.

Hi!
Đây là mô hình transparrent HTTP proxy.
Cái máy chạy iptables của bạn, IP trên eth0 có phải là default gateway của các PC trong mạng không?
Có vẻ như bạn chặn hoàn toàn không cho dùng nếu không qua proxy. Các Chain có tên là FORWARD đều DROP gói tin mà không có một rule nào cho phép gói tin qua.
Có 2 điểm lưu ý hoặc là nguyên nhân trong vấn đề này là:
1. DNS server, chí ít bạn phải cho client query DNS ngoài (nếu không có DNS bên trong) thì nó mới chạy được (do không khai báo proxy trên trình duyệt nên client vẫn query DNS trước khi kết nối tới web site và lúc đó mới bị wwwect vào proxy).
2. Rất nhiều web muốn dùng được phải có HTTPS (các trang login ví dụ gmail, yahoo), kết nối ở cổng 443. Không cho truy cập trực tiếp không qua proxy cái này bằng NAT thì phải khai báo trong trình duyệt mới dùng được. HTTPS thì không thể transparrent được như HTTP. Lại không FORWARD/NAT như cấu hình iptables của bạn => chết ngỏm. Mà thiếu nó thì vô số web không xài được.

Truyền khác subnet thì có router tham gia vào rồi. Có thể có rắc rối gì đó.
quanta có thể gửi kết quả của lệnh sau (dĩ nhiên là chạy lệnh này trước khi scp và lấy kết quả sau khi stop scp) được không:

tcpdump -i ethx -nn -c 1000 ip host 192.168.6.x or icmp

Trong đó ethx là interface nối mạng LAN dự định truyền, 192.168.6.x là IP của server. Xin chỉ có 1 phiên ssh lên server để dữ liệu đỡ bị loạn.

Vấn đề MTU khác chuẩn (mặc định) là vấn đề cực kỳ đau đầu khi làm việc giữa các mạng với nhau. Có nhiều cái chạy ok, nhiều cái không chạy, OS khác nhau hoặc version khác, thiết lập khác cũng khiến không ổn định.

Với trường hợp PPPoE như kết nối của Thắng, trừ khi đầu BRAS có yêu cầu cấu hình đặc biệt, thì nếu không phải đặt tối đa mà PPPoE có thể với tới (1492, trừ 8 bytes header của PPPoE truyền qua ethernet). Lý do của hành động này là nếu phía BRAS gửi cho ta packet to hơn cái mà ppp interface có thể nhận (dù ethernet là lọt), nó sẽ drop (tuỳ theo router) => mất gói. PPP tuy có khả năng MTU negotiation, nhưng theo suy đoán của mình do Thắng dùng lệnh ip mtu xxx (mtu chỉ áp cho IP, tự router xử lý) chứ không dùng mtu xxx (áp cho cả interface), nên ppp không trao đổi giá trị này với BRAS => miss tham số 2 bên => 1 bên truyền bên kia drop mất.

Đó là kết nối lên nhà cung cấp Internet, còn kết nối LAN/Intranet trục trặc MTU nữa. Check xem PMTU có hoạt động đúng theo cơ chế hiệu quả của nó không, cần capture packet và soi. Nếu gói TCP gửi to quá MTU (ví dụ MTU = 1492 nhưng ta gửi 1500, lại có cờ DF), thì router ở điểm chuyển tiếp 2 bên MTU chênh lệch này phải gửi 1 gói ICMP báo hiệu là MTU quá to, và cho biết giá trị MTU thích hợp cho host gửi. Host gửi phải xử lý gói này để điều chỉnh MTU đúng và gửi lại, nếu vì lý do nào đó nó drop mất (do firewall), hoặc do miss match 1 số tham số trong gói ICMP gửi về (ví dụ IP source/dest, hoặc MAC source, port...)... đều làm cho bị sai MTU dẫn tới không truyền được.

Cách loại trừ là nên tắt PMTU và ép TCP không set cờ DF khi gửi (chậm hơn), nếu hệ thống chạy ok tức là quá trình PMTU có gì đó sai. Nên nhớ là đôi khi router có interface với MTU nhỏ hơn mặc định lại nằm xa, cách mấy router nữa mới tới host nên các yếu tố ảnh hưởng càng phức tạp.

Ý kiến cá nhân: với tổ chức có Intranet phức tạp, nên tiêu chuẩn hoá giá trị MTU trong tổ chức sao cho nó phù hợp với tất cả các kết nối mạng/công nghệ áp dụng. Để cho quá trình PMTU có thể không phải tham gia (hoặc hoạt động hiệu quả nhất có thể).

Với Wifi AP thì là repeater chứ? Chế độ này sẽ giúp tăng phạm vi phủ sóng wifi. Tuy nhiên không phải cái Wifi router nào cũng có (Wifi AP thì có nhiều).

Rất có khả năng là 3 proxy con kết nối Internet qua 3 đường đi khác nhau, ra 3 địa chỉ IP khác nhau. Một số web khó tính có thể sẽ từ chối nếu đang login mà đổi sang IP khác.
Cái này bạn thử bỏ qua cái kiểu load balance round robin sang kiểu khác coi.

Hi all!
Riêng với hardlink, thì permission + các thông tin khác của file là giống nhau. Tuy nhiên khi ta đổi tên hoặc xoá (unlink) thì ko ảnh hưởng tới link khác.
Trường hợp tớ áp dụng, thì email là virtual user, mọi account đều map về 1 user nên làm cái việc đó được. Hệ thống mail Linux mà lưu dạng Maildir, một số thông tin + trạng thái (đọc/chưa đọc) của mail được ghi nhận ở trên file name, sẽ không ảnh hưởng tí nào nếu người dùng move mail từ IMAP folder này sang folder kia hoặc xoá bỏ nó đi.

Bổ sung thêm tí, là nếu không còn file nào tham chiếu đến inode đó nữa, tự os sẽ xoá bỏ.
Chỉ có os mới có quyền thao tác trên inode và ko có chuyện xoá nhầm ở đây.
Bạn cứ hình dung inode nó như bảng fat trong hệ thống file fat ấy.

xnohat nói đúng đó.
Hardlink không làm cho dung lượng chứa dữ liệu tăng lên, chỉ thêm tham chiếu. Kiểu như 1 người có nhiều tên, nhiều giấy chứng minh nhân dân nhưng thực ra vẫn chỉ là 1 người.

Cái này cực kỳ có lợi với ứng dụng ví dụ email. Ví dụ muốn gửi 1 mail cho toàn bộ user (ví dụ 1000) trong 1 domain (chung 1 server, 1 file system), thì ta tạo 1 bản copy email (giả sử kích thước 1M). Sau đó tạo ra 1000 cái hardlink đến cùng 1 file => dung lượng tăng lên chiếm đĩa chỉ dành cho cái link đó rất nhỏ chứ ko phải là 1M * 1000 = 1GB. Sau đó, mọi người có xoá bỏ email (xoá file), di chuyển (trong inbox của họ) thì cũng ko làm 999 người kia bị ảnh hưởng.

Tắt hoặc giảm swap đi còn 128M hoặc 512M (swap -a off hoặc phải chỉnh lại phân vùng 1 chút), thử xem máy lên đến bao nhiêu apache process thì máy die (hoặc báo lỗi out of memory).
=> 2GB RAM chịu được bao nhiều concurrent process. Sau đó tune apache, giảm các module được load lên, càng ít càng tốt. Thử lại, rồi setMaxClient = số đó thì sẽ ổn.
Theo kinh nghiệm của tớ, sau khi giảm module + tối giản config thì tớ giảm 1/2 số memory mà apache chiếm (vẫn có php nhé). Mặt khác, dù load module lên thành các process riêng nhưng Linux share chung vùng nhớ các module code dùng chung, nên thực tế mỗi process sẽ chỉ chiếm 1 ít memory riêng thôi (cho biến + các thông tin riêng của process). Máy 2GB thì nếu làm tối thiểu tớ đã cho gánh được kịch kim khoảng 1000 concurrent apache process (vị chi chưa đến 2M/1 process). Trừ đi ruby và mysql thì con số 150 client của bạn có vẻ dưới cơ rất nhiều so với khả năng có thể của máy => có vấn đề lớn ở đâu đó chiếm mem quá nhiều. Lưu ý ứng dụng PHP nhé, vì nếu ứng dụng web của bạn chạy ngốn hết memory cho phép trong php.ini (ví dụ 8 hay 16M, thậm chị 32M) thì lượng process chạy cùng lúc sẽ giảm đi nhiều lắm.

P/S: swap, trong nhiều trường hợp nên giảm đi, ko nên máy móc theo kiểu 2*total RAM. 2GB RAM mà có 2GB swap thì nhiều khi bạn ko nhận được thông báo out of memory nhưng máy chạy như rùa ấy.

Về số requests của bạn, ko có gì là nhiều cả. Tớ có máy 8GB RAM, mà máy cũng chịu con số đến 4000 session, 1 ngày tới 18 triệu request (chỉ tập trung trong vòng 8h hành chính) => vẫn chạy ngon.

Cách dùng sticky key như thế không phải là lỗi bảo mật. Vì trước đó phải boot lên bằng Win PE hoặc Linux rồi copy đè file cmd.exe vào file sethc.exe. Tức là được tiếp cận vật lý vào console máy thì làm gì mà chả được, thích copy/đọc thông tin nào mà chả dễ (miễn là đĩa ko mã hoá).
Cái này, kể cả hệ điều hành Linux cũng sẽ chịu chung số phận, hơn nữa người ta còn hỗ trợ 1 cách chính thống là boot dưới single mode thì tha hồ mà reset.

fastest wrote:

Các bác cho em hỏi 1 câu thôi ah. Đằng nào điểm cũng đã bị trừ. Em hỏi giả sử hệ thống của bác có hỗ trợ cắm nóng, k cần phải tắt nguồn(dịch nôm na ra tiếng Việt). Nếu nó k có khay HDD hotswap, thì các bác có rút ra cắm vào mà k cần phải tắt nguồn, k cần phải remove thiết bị trong deviceManager mà hệ thống của bác vẫn chạy được bình thường không?

Chưa thấy máy chủ nào hỗ trợ HotPlug mà lại không có khay HDD cho phép tháo lắp không dùng "công cụ" cả.
À, có. Máy tính của tớ có cổng eSATA. Cái này rút/cắm nóng thường xuyên, không có khay mà là cắm điện ngoài qua adapter + dây eSATA->SATA trực tiếp vào ổ cứng SATA (trần trụi), chả sao hệ thống vẫn chạy, chỉ có ổ cứng đang được mount lên tự bị remove đi thôi (dĩ nhiên là dirty vì file system ko umount thì sẽ bị vậy).

P/S: dĩ nhiên khi lắp ổ cứng trần trụi kia phải chú ý đến nguồn điện cho HDD. Vì đầu cấp điện SATA thông thường không cho phép cắm nóng thẳng vào HDD. Phải cắm dây cấp điện vào HDD rồi mới cắm adapter vào ổ điện, khi rút thì làm ngược lại, rút adapter nguồn cắt điện rồi mới rút dây cấp nguồn SATA vào HDD, không có ngày HDD toi mạng. Máy tính thì không sao vì nó không dính tí nguồn nào và dây eSATA đã thiết kế để HotPlug như kiểu USB rồi.

tier: lớp.
Bảo mật theo nhiều tier = tương tự như phòng ngự bóng đá theo nhiều lớp. Hoặc tổ chức phòng ngự theo nhiều phòng tuyến, mỗi phòng tuyến có ưu, nhược riêng. khai thác nhược của phòng tuyến này thì sẽ gặp phải ưu của phòng tuyến khác.

Dịch swap = tráo đổi, Plug = cắm thêm (ngược là unplug rút ra). Mọi người quên chữ "hot".
Có vẻ mọi người nhầm lẫn 2 cái này thật. Hot swap = tráo đổi nóng <> swap (không hot) = tráo đổi lạnh. Nóng tức máy đang chạy thì tráo đổi. Chú ý "tráo đổi" tức là rút ra thì phải thay 1 cái khác vào thì máy mới chạy đúng trạng thái ok. Hot swap tức là cho phép tráo đổi khi máy đang chạy. Các thứ tráo đổi không chỉ HDD, mà có thể là nguồn, quạt làm mát, 1 số card gắn trên main và thậm chí với 1 số dòng máy xịn thì cả CPU lẫn RAM đều tráo đổi được (cái này phải mở máy ra, dù máy đang chạy ta vẫn tráo được). Mình hay xài đồ IBM, cứ cái nào có cái lẫy màu cam tức là tráo nóng được, còn nếu màu xanh da trời thì phải tắt mới được rút ra thay. Trừ HDD phía trước máy thì tuỳ cách cấu hình mà tráo nóng được hay không, tí dụ nếu máy có 1 HDD thì rút ra dĩ nhiên là chết. 2 HDD nếu ko chạy RAID rút cái nào ra cũng nguy hiểm (ví dụ 1 cái ổ C, 1 cái ổ D). RAID rất quan trọng trong việc tráo nóng HDD vì thiếu nó trong nhiều tình huống không tráo đổi nóng được. Hot Swap phục vụ chủ yếu trong việc thay thế phần cứng bị hỏng = 1 cái tương thích khi mà máy vẫn chạy. Máy RAID 1 có 2 HDD tháo một tuy máy vẫn chạy nhưng nó là trạng thái critical, đèn báo động sẽ sáng cam lên (IBM nhé). Điểm cơ bản của hot swap là bắt buộc bạn phải cắm thay thế nó mới ok. Khác hẳn với hot plug dưới đây là "rút ra vĩnh viễn" máy vẫn ok.
Hot Plug: cắm vào nóng, phải bao gồm cả unplug mới đủ cặp. bạn nào có nói ở trên, tức là thêm bớt phần cứng của máy khi nó đang chạy. Cái này cao hơn và khác mục đích của hot swap 1 chút, nhiều trường hợp nó đồng nghĩa với nhau nhưng không phải tất cả và ngược lại. Ví dụ ổ HDD có khả năng hot swap thường gồm luôn cả Hot Plug. Bạn có thể thêm ổ để thêm dung lượng (or bớt). Ví dụ 2 ổ HDD tạo thành RAID 1 đang chạy, giờ cắm thêm 2 ổ y chang nữa vào thì có thể migrate thành raid 10 => dung lượng to hơn + vẫn bảo toàn mirror. Dĩ nhiên hệ điều hành phải support việc tự nhiên 1 device lại to kích thước lên. To lên thì được chứ thu nhỏ thì đa số là không được (hoặc rất khó - đấy là nói máy đang chạy nhé). Không phải RAID controller nào cũng cho phép ta thêm/bớt thế này, cho dù nó cho phép thay nóng HDD bị hỏng. Việc cho thay mà không cho bớt thiết bị như thế là hot swap chứ không cho hot plug.

Ví dụ điển hình của hot plug chính là USB. Bạn có thể thêm, bớt device ngoại vi lẫn HDD (cắm USB), thêm card màn hình (có loại card cắm qua USB), card bắt hình (video capture), card âm thanh, mạng hay 3G (rất phổ biến), bàn phím chuột (thời PS/2 ko làm được)... => tình trạng của máy vẫn chạy ok bất kể thêm hay bớt. Dĩ nhiên là nếu rút cái thiết bị đang in-use thì có thể ko ổn (ví dụ HDD in-use, chứa OS chẳng hạn thì chết là chắc), card âm thanh đang play nhạc thì phần mềm play sẽ báo lỗi... Và tuỳ thuộc thiết bị mà OS sẽ cư xử khác nhau. USB thì hot plug mà không phải hot swap = việc rút ra cắm vào không phải thay thế thiết bị hỏng mà là hệ thống bỏ đi cái cũ (có thể đã hỏng) và nhận ra 1 cái hoàn toàn mới. Ví dụ với bàn phím, chuột thì ok, thay thế nó vẫn bàn phím, chuột. Nhưng HDD (ổ với layout khác), card mạng (địa chỉ MAC khác), kể cả card âm thanh USB cũng được coi là thiết bị âm thanh mới (tức phải chỉnh để play với ID thiết bị khác đi, không thể không làm gián đoạn việc chơi nhạc)...

buixuanan wrote:

Mình vẫn giữ nguyên cấu hình Raid 1 khi rút ổ cứng ra. Lúc boot lên có thấy server báo Raid 1 bị critical.
Khi gắn vào, nếu trên ổ cứng mình đã rút ra còn dữ liệu cũ thì nó sẽ được ghi đè bởi dữ liệu đồng bộ từ ổ cứng đang gắn ở slot 1?

Mong bạn giải đáp thêm. Xin cảm ơn.

Đúng vậy. Vì lúc này ổ đĩa ở slot thứ 2 được coi là "dirty", cũ hơn trên slot 1 (đã được ghi đè khi cài OS mới). Khi cắm vào thì hệ thống sẽ đồng bộ từ slot 1 sang slot 2.
Bộ điều khiển Raid 1 thông thường nó quản lý đơn giản là ưu tiên trạng thái của hdd nào online, và coi các hdd không online (có thể là defunc, error, missing hay kể cả spare) đều là dữ liệu cũ phải đồng bộ lại khi chuyển sang online (khi cắm vào).
Kể cả khi bạn chỉ thay đổi 1 tí dữ liệu trong khi 1 trong các hdd không online, thì khi trở lại trạng thái online nó cũng đồng bộ lại cả ổ, ghi đè lại tất tật kể cả không thay đổi gì.

Nếu do lý do sai clock thì nó sẽ báo ngay là chứng thư này hết hạn (hoặc chưa tới hạn hợp lệ).
Khả năng rất cao là máy bạn bị virus, nó wwwect tới trang phishing giả mạo (bạn có nói máy cài Symantec không bị, mình thử vào trang của bạn chứng thư đó hợp lệ). Tuy nhiên cái SSL Cert nó không giả được và trình duyệt báo như vậy.

Khi bạn rút 1 ổ ra khỏi raid 1, nó vẫn chạy nhưng bị báo lỗi là nguy hiểm. Nếu khi cài đặt bạn remove luôn cái raid 1 volume thì khi gắn lại ổ sẽ thành 2 ổ riêng biệt. Nếu không remove raid 1 volume thì gắn lại ổ hệ thống sẽ tự đồng bộ ổ không bị rút copy sang ổ bị rút ra. Cái này tuỳ thuộc bạn đã làm gì với cái raid 1 volume kia.

manthang wrote:

Bạn đã có tìm hiểu về Desktop Phishing chưa?
Phải chăng là khi bạn thấy từ Desktop trong thuật ngữ "Desktop Phishing" thì bạn đã nghĩ rằng đây là hình thức đánh lừa người dùng mà không liên quan gì tới Webpage mà liên quan tới thứ gì đó khác?

P/S: Hi!
Đoạn dưới này mình nói sai. Mình nhầm với hình thức giả mạo ứng dụng. Kỹ thuật này đặt tên là desktop phishing nên nhầm với hình thức "GUI" phishing, giả mạo ví dụ hộp thoại Windows Logon chẳng hạn.

Hiểu mới dám nói chứ.
Desktop Phishing, ngay cái tên của nó đã thể hiện, là giả mạo "hình ảnh của phần mềm trên màn hình máy tính".

Khi bạn remve cáu đĩa 3 ra, bạn cắm lại nhưng ko cho nó thời gian để đồng bộ lại, tức là cái 3 vẫn dirty.
giờ lấy nốt cái 2 nó tèo là phải. nó báo failed ở chỗ đó.
khi cắm lại hd1,0, tức cái số 2 thì nó ok.
nhớ 1 điều là nếu chạy máy ảo, 3 hdd rút cái thứ 2 sẽ làm thay đổi thứ tự ổ đĩa nhé. sda, sdb, sdc... thì c sẽ nhảy lên thành b.

Desktop phishing chứ có phải web phishing đâu mà trang web giả làm gì.
Làm không cẩn thận thày giáo cho trượt ấy chứ.

Hi bác conmale và bác ArO.
Nói như bác, nếu có 1 distro nào đó người ta đã thực hiện tune như những cái bác vừa nói, mục đích đã xác định: reverse proxy. Rồi người ta đóng gói lại, thậm chí là đóng gói kèm với 1 phần cứng đã được kiểm thử và xem xét phù hợp. Thì có nên dùng cái đó không bác?
Cái tôi nói chỉ khác cái phương pháp làm của bác 1 điểm:
1. Cách của conmale: nhà cung cấp (với general purpose distro) ==|==> mang về + mục tiêu => tuning => đem sử dụng. Dấu | tương ứng với sự phân chia trách nhiệm 2 bên ta và nhà cung cấp
2. Cách của ArO định nói: tìm kiếm 1 nhà cung cấp phù hợp mục đích ===> nhà cung cấp (với distro cho mục đích) => nhà cung cấp tuning trước ==|==> mang về cài và chỉ thay đổi tí xíu => đem sử dụng.

Cách 1. khi mà bác có trong tay 1 số chuyên gia giỏi về cái đó. Nếu làm cương vị 1 system admin thì lựa chọn này là được ưa thích. Cái hay là chỉ phải trả lương cho chuyên gia, ko phải trả tiền cho nhà cung cấp.
Cách 2. khi mà bác chỉ có các kỹ thuật viên khá hoặc bình thường. Cái này thường là phải trả tiền cho nhà cung cấp, lương thì thấp hơn. Khi cần verify giải pháp tôi sẽ đi thuê 1 chuyên gia làm nhiệm vụ đánh giá giải pháp (chứ ko phải làm ra cái đó). Nếu làm cương vị 1 nhà quản lý thì em chọn cách này.

Vì bác conmale đang đứng trên góc nhìn system admin của doanh nghiệp để đưa khuyên. Trong khi ArO thì đang muốn hỏi với kinh nghiệm mà bác conmale có thì ai (nhà cung cấp nào) có thể có sản phẩm thoả các tiêu chí ban đầu không. Tức là bác conmale giờ ko phải là system admin nữa mà là trở thành consultant.
Có lẽ câu hỏi này không nên hỏi bác conmale, vì có lẽ bác conmale chỉ thực hiện theo cách 1 mà chắc là không bỏ thời gian đánh giá xem có ông X, Y, Z nào đó cũng tạo ra sản phẩm giống như bác đã làm, có thể kém hơn nhưng đã có sản phẩm xài ngay.

P/S: nói thêm 1 tí, cách của bác conmale là cách "may đo quần áo", còn cách làm số 2 là cách "sản xuất công nghiệp cho 1 số mục đích đặc thù". Tuy là cách may đo sẽ vừa vặn với người yêu cầu hơn, tuy nhiên nó lại rất hẹp về mặt chức năng hoặc đặc tính, mang sang cho người khác sẽ không mặc được và chất lượng rất phụ thuộc vào trình độ người may đo.
Còn sản xuất công nghiệp thì nó sẽ ra sản phẩm vừa với nhiều người hơn, có thể ko tối ưu cho riêng một người, nhưng tổng thể lại nó nhiều khi tối ưu vì: giá thành sẽ rẻ hơn, ít chịu rủi ro về người may đo hơn (ko phải lúc nào cũng có chuyên gia cực giỏi như conmale), và time to market thường là ngắn hơn.

Theo tớ biết thì các distro nhằm mục đích firewall đều rất tốt trong yêu cầu của ArO, ngay như ArO có nói là Trustix đó. Bạn nên liệt kê danh sách cái này để các member có kinh nghiệm cho ý kiến.

Patch clearType vào thì dĩ nhiên sẽ đẹp hơn. Tuy nhiên đây ko phải open source và cũng phải các tay thạo Linux mới làm được.

Không nét bằng Win đâu, nhất là duyệt web. Ảnh nếu để zoom là 0 (ko co ko dãn) thì sẽ giống nhau, nhưng text thì khác nhau. Tớ giả sử bạn đặt độ phân giải đúng với màn hình laptop hỗ trợ rồi nhé.
Lý do:
1. cái xử lý font chữ trên Linux hiện vẫn thua Win, nhất là các chữ bé. Các công nghệ hiện đại về việc xử lý font chữ đều ở các hệ thống mất tiền cả (Win hay Mac).
2. Các website hiện nay toàn xài font cài sẵn trên Win như Arial, Verdana, Times New Roman. Mấy cái này không có sẵn trên Linux nên trình duyệt thường là tìm 1 font tương đương (có thể là Liberation Sans, hay là Dejavu ...), font này không đẹp bằng trên Win. Mặt khác dù bạn có cài mấy font đó mang từ Win qua, thì cũng không bằng vì mấy tuyệt kỹ xử lý font trên Win mặc định là Linux không có, nên có xài cũng không đẹp bằng.

Nếu là USB 3G thì nói là USB 3G đi.
Cái này nó như bổ sung 1 card mạng vào máy tính của ta, nên không cần NAT port nếu chỉ dùng trên chính máy đó.
Một điểm hơi dở, là các nhà cung cấp 3G hiện tại có thể vì thiếu địa chỉ public IP, nên họ chỉ cấp cho người kết nối Private IP (10.x). Vì thế khi đi ra ngoài Internet, ta luôn được NAT ở gateway của Viettel hoặc Vina/Mobi. Không có dịch vụ cho forward vào trong IP kết nối của ta, không có thể điều chỉnh được qua bất cứ cách gì. Chỉ có thể truy cập từ trong ra.
Tóm lại hiện khong có cách nào hết.

Tớ nghĩ bạn nên xem kỹ cách người ta triển khai. Không đọc mấy dòng tiếng Anh (mà đôi khi hiểu sai nghĩa cái cụm từ at the application level ấy) rồi mò mẫm đâm vào ngõ cụt.
Trong cái link bạn chỉ, tớ chỉ thấy là tác giả đã triển khai và tách việc read và write ra 2 IP khác nhau của front_end. Tức là ở phía ứng dụng của bạn ấy, phải có 2 kết nối khác nhau và câu tiếng Anh kia hiểu đúng là ứng dụng phải có thể tách read và write ở tại ứng dụng.
Xem cái config họ làm ở dưới đây, họ chú thích rất rõ:
Code:

# Load-balanced IPs for DB writes and reads
#
frontend db_write
bind 172.16.0.50:3306
default_backend cluster_db_write
frontend db_read
bind 172.16.0.51:3306
default_backend cluster_db_read

Chúc thành công.

Cái đó không thể programming được.
Bạn hãy xem lệnh su nó có thuộc tính file ra sao nhé:

Code:

# ls -l /bin/su
-rwsr-xr-x 1 root root 34904 Nov 3 18:43 /bin/su

Bạn có thấy chữ s ở owner exec bit ko? Cái bít chữ s đó gọi là suid. Chỉ có root mới có quyền set cho 1 file chạy có cái bit đó (chmod +s file).
Mỗi khi 1 file chạy (ví dụ a.out của chương trình C dịch ra), có được cái quyền suid, và owner là root, thì khi exec cái file đó, lập tức hệ điều hành tự chuyển ngay owner của process thành đúng owner của file kia, tức là root, rồi chạy cái file.
Nói 1 cách logic, thì khi lệnh su được thực thi, process su đấy đã là quyền root (super user) rồi.
Cách leo thang quyền của Unix/Linux là như thế. Chỉ 1 số lệnh được phép leo thang như thế và chúng được viết rất cẩn thận để hỏi root password trước khi cho thực thi việc khác, chúng là các lệnh su, sudo, passwd.

P/S: các hàm setuid và setgid chỉ có thể tự chuyển owner của process thành 1 user có quyền thấp hơn root, chứ không làm ngược lại được. Và chỉ có root hoặc tương đương mới có thể gọi 2 cái hàm đó. Tức 1 process với owner là root có thể biến thành owner bất kỳ, nhưng ngược lại thì không.

kiểm tra 1 số thuật ngữ mà modem adsl hay xài là: NAT, forward port hoặc virtual server.
Bí quá thì xài cái gọi là DMZ, nó cho đặt 1 IP và forward mọi thứ vào cái IP đó.
99% các modem ADSL (kể cả Viettel, FPT...) đều support chứ năng forward trên, tuy cách config khác nhau tí. Tớ chưa gặp cái modem nào ko có cái đó cả.