海运的博客

版本：Squid Cache: Version 3.1.10

http_port 80 vhost vport
icp_port 0
visible_hostname proxy.www.haiyun.me
cache_mgr  support@www.haiyun.me
cache_effective_user squid
cache_effective_group  squid 
cache_access_log /cache/access.log
cache_log /cache/cache.log
cache_dir ufs /cache/ 2048 16 256
cache_mem 64 MB
maximum_object_size 4096 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 256 KB
forwarded_for on 

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

hierarchy_stoplist cgi-bin ?
hierarchy_stoplist -i ^https:\\ ? 
acl QUERY urlpath_regex -i cgi-bin \? \.php \.xml \.jsp \.js \.do
acl denyssl urlpath_regex -i ^https:\\ 
acl dy_cache urlpath_regex asp\?
acl dy_cache urlpath_regex aspx\?
acl dy_cache urlpath_regex php\?
acl dy_cache urlpath_regex jsp\?
no_cache deny QUERY
no_cache deny denyssl
no_cache deny dy_cache

cache_peer cp.www.haiyun.me parent 80 0 no-query originserver name=cp
cache_peer_domain cp cp.www.haiyun.me
cache_peer_access cp allow all
cache_peer www.haiyun.me parent 80 0 no-query originserver name=www
cache_peer_domain www www.haiyun.me
cache_peer_access www allow all
#always_direct allow all
http_access allow all 

refresh_pattern -i \.css$ 1440 50% 129600 reload-into-ims 
refresh_pattern -i \.xml$ 1440 50% 129600 reload-into-ims
refresh_pattern -i \.htm$ 1440 90% 129600 reload-into-ims
refresh_pattern -i \.html$ 1440 90% 129600 reload-into-ims
refresh_pattern -i \.shtml$ 1440 90% 129600 reload-into-ims
refresh_pattern -i \.png$ 1440 90% 129600 reload-into-ims
refresh_pattern -i \.jpg$ 1440 90% 129600 reload-into-ims
refresh_pattern -i \.jpeg$ 1440 90% 129600 reload-into-ims
refresh_pattern -i \.gif$ 1440 90% 129600 reload-into-ims
refresh_pattern -i \.bmp$ 1440 90% 129600 reload-into-ims
refresh_pattern -i \.js$ 1440 90% 129600 reload-into-ims
 
refresh_pattern -i \.mp3$ 1440 50% 2880 ignore-reload
refresh_pattern -i \.wmv$ 1440 50% 2880 ignore-reload
refresh_pattern -i \.rm$ 1440 50% 2880 ignore-reload
refresh_pattern -i \.swf$ 1440 50% 2880 ignore-reload
refresh_pattern -i \.mpeg$ 1440 50% 2880 ignore-reload
refresh_pattern -i \.wma$ 1440 50% 2880 ignore-reload
 
refresh_pattern -i \.exe$ 1440 50% 2880 ignore-reload
refresh_pattern -i \.rar$ 1440 50% 2880 ignore-reload
refresh_pattern -i \.zip$ 1440 50% 2880 ignore-reload
refresh_pattern -i \.gz$ 1440 50% 2880 ignore-reload
refresh_pattern -i \.bz2$ 1440 50% 2880 ignore-reload
refresh_pattern -i \.7z$ 1440 50% 2880 ignore-reload

#隐藏head信息,2.x版本使用header_access
reply_header_access Via deny all
reply_header_access Cache-Control deny all
reply_header_access Server deny all
reply_header_access X-Cache deny all
reply_header_access X-Cache-Lookup deny all
reply_header_access X-Squid-Error deny all
reply_header_access X-Forwarded-For deny all
request_header_access Via deny all
request_header_access Age deny all
request_header_access X-Squid-Error deny all
request_header_access Pragma deny all
#request_header_access X-Forwarded-For deny all

安装：

yum install lftp -y

使用语法：

lftp -[fceup] user:passwd@host #passwd可选,此方式密码明文保存,history可查看
-f <file>           #执行文件中的命令后退出
-c <cmd>        #执行命令后退出
-e <cmd>         #登录后后执行命令
-u <user>[,<pass>]  #使用指定的用户名/口令进行验证
-p <port>           #连接指定的端口，默认21

常用命令：

cd #切换FTP目录
lcd #切换本地目录
ls  #列出FTP目录文件
!ls #列出本地目录文件
find ./ -name file #查找文件
mv #移动
rm #删除
mkdir #新建目录
rmdir #删除目录

上传下载文件：

get [cEaO] file -o newfilename #下载文件
put [cEaO] file -o newfilename #上传文件
pget -n #多线程下载
可选参数：
-c #支持断点续传
-E #下载后删除远端文件
-a #指定传输为ascii模式, 默认为二进制模式
-O #指定存放目录

上传下载目录：

mirror [cRnr] remote [local]
可选参数：
-c #支持断点续传
-R #上传整个目录
-n #只下载较新的档案，可用于增量备份
-r  #只下载当前目录，不递归目录

书签管理：

bookmark add name #保存当前连接为书签名字name，下次打开可直接使用lftp name
bookmark del name #删除书签
bookmark list #显示书签列表
bookmark edit #编辑书签

编码设置：

set ftp:charset "gbk"
set file:charset "UTF-8"
或加入配置文件.lftp/rc

主动/被动模式：

#默认为被动模式
set ftp:passive-mode no #关闭被动模式转为主动模式
#主动客户端开启数据传输端口，被动服务端开启数据传输端口。

妙用lftp多线程下载：

lftp -c "pget -n 10 http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.18.tar.gz"

SQL如果在安装时未指定用户默认以system权限运行，这给服务器带来很大的安全隐患，可以更改运行账户为普通用户。
在CMD下新建运行SQL的用户，或在用户管理新建。

net user newuser password /add

SQL2000下，打开SQL企业管理器，选择local——右键——属性——安全性——启动服务用户

更改后确定重启SQL服务，要保证SQL安装目录、数据库目录新用户有读写权限，一般经过上述步骤后系统会自动更改相应权限。
SQL2008下，打开SQL server配置管理器，SQL server服务——SQL server——右键——属性。

SQL2000删除危险的扩展，包括xp_cmdshell。

use master
EXEC sp_dropextendedproc 'xp_cmdshell'
EXEC sp_dropextendedproc 'Sp_OACreate'
EXEC sp_dropextendedproc 'Sp_OADestroy'
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'
EXEC sp_dropextendedproc 'Sp_OAGetProperty'
EXEC sp_dropextendedproc 'Sp_OAMethod'
EXEC sp_dropextendedproc 'Sp_OASetProperty'
EXEC sp_dropextendedproc 'Sp_OAStop'
EXEC sp_dropextendedproc 'Xp_regaddmultistring'
EXEC sp_dropextendedproc 'Xp_regdeletekey'
EXEC sp_dropextendedproc 'Xp_regdeletevalue'
EXEC sp_dropextendedproc 'Xp_regenumvalues'
EXEC sp_dropextendedproc 'Xp_regread'
EXEC sp_dropextendedproc 'Xp_regremovemultistring'
EXEC sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask 

网站数据库用户不要使用SA账号，新建特定账号拥有数据库public和db_owner权限。

更改TCP端口：

使用多个字符为域分隔符：

awk -F[:/] '{print $1,$NF}' /etc/passwd  #使用:和/为分隔符

Awk默认空格为分隔符，如果使用空格加字符为分隔符呢？这个问题困扰我很久了，试了很多方法，下面这个方法勉强算可以吧。

iostat 2 2|grep ^dm-|awk -F"[ ]+|[-]" '{print $2,$NF}'  #使用空格和-为分隔符

有的网站被恶意放上UDP发包工具攻击别人，导致流量大量流失，一般服务器只有DNS使用udp协议，其它则可禁用UDP数据包外出。
为此写了个脚本只允许目标DNS服务器的UDP数据包外出，其它UDP数据包全部拒绝，本方法仅能做到防止恶意UDP数据包发出，服务器本身做好安全设置防止被恶意放马才是王道。

#/bin/bash
#Createdby https://www.haiyun.me
#DROP UDP Flood
list=`grep nameserver /etc/resolv.conf |awk '{print $NF}'`
for i in $list
do
        iptables -A OUTPUT -p udp -d $i --dport 53 -j ACCEPT
done
iptables -A OUTPUT -p udp -j DROP
service iptables save