liujia 发布的文章

在Debian 8系统里为用户限制sftp登录路径

环境:Debian 8,用户 liujia,用户 yun。用户通过FileZilla Client的sftp限制连接,限制在各自的家目录,不能浏览其它用户家目录的文件。

过程:

  1. groupadd sftpgroup # 新增 sftpgroup 用户组
  2. adduser liujia --ingroup sftpgroup --shell /sbin/nologin # 新增用户 liujia ,添加到 sftpgroup 用户组中,且不允许从ssh登录
    sftp-1.png
  3. chmod 700 /home/liujia # 更改用户目录权限为 700
  4. vi /etc/ssh/sshd_config # 编辑 sshd 的配置内容,在文件末尾新增以下内容:

    Match Group sftpgroup
    ChrootDirectory /home
    ForceCommand internal-sftp -u 077
    X11Forwarding no
    AllowTcpForwarding no

    sftp-3.png

  5. systemctl restart sshd
  6. 在 FileZilla Client 里通过 sftp 协议连接测试,达到效果
    sftp-2.png

参考:

瞧合水镇径背“山崖下”防空洞

地点:合水镇径背“山崖下”(音)
时间:约16:00山下出发,约16:30分到达防空洞,约16:40分开始返回,约17:30回到山下

fang-ku-dong-1.jpg
图1:在径背,山脚下,准备出发,上山

fang-ku-dong-2.jpg
图2:过隧道,上边是高速公路

fang-ku-dong-3.jpg
图3:转到土面路

fang-ku-dong-4.jpg
图4:觉得热,把衫脱了挂到路边小树枝上

fang-ku-dong-5.jpg
图5:第一个分岔路口,有“和平骑乐行”挂的红色指路标

fang-ku-dong-6.jpg
图6:阳光西侧照过来

fang-ku-dong-7.jpg
图7:到达防空洞口,路边可以看到

fang-ku-dong-8.jpg
图8:听说是未完成的工程,没有进去看

fang-ku-dong-9.jpg
图9:又见一个红色布路标

fang-ku-dong-10.jpg
图10:止于这个通讯光缆柱,开始往回走

fang-ku-dong-11.jpg
图11:返程时,从山上看到景色

坐 K34 次火车,从深圳到和平站

头一天的晚上在手机12306里查票,仅“无座”有,半夜或第二天早上刷新,还是仅有“站(着的)票”。考虑到不赶时间,不想被深圳到和平的班车兜来兜去,且觉得自己还年轻,可以站得住,所以就决定坐火车回家。

railway-1.jpg

出发前,买了干粮:两个糯米南瓜饼和另两个不知道叫什么的,卖早餐的啊姨说糯米耐饱些。走到固戍地铁站,选5号线8块钱坐到终点罗湖站。可能是老天考验我,从固戍地铁站一路站到罗湖,因为地铁也没座。

罗湖地铁站和火车站相近,刷二维码和刷脸后,上二楼等火车,吃了那两个不知道叫什么的东西,当作午饭。快吃完时,广播喊K34开始检票了。

railway-2.jpg

从站台进车厢时,要排队,因为是始发站,且多数是大包小包或行李箱的要放,行李和乘客入座都需要时间。我是从13车厢头走到尾,看哪里有站的地方。在洗漱台一侧,看到一个壮汉坐在洗手盆那,我也站了进去。对面有两个小伙,其中一个笑着把不锈钢的垃圾箱当座位,另一个站着。发车后,笑着的小伙指着一个硬座说,那人补卧铺去了,去坐。他同伴去坐下,然后他又指着他同伴对面的一个座位对我说,你也去。不过,我笑着摇了摇头。后来,笑小伙那来了个带行李箱的阿姨,阿姨把箱子塞到洗手盆侧,人坐到行李箱上。对面两个人,我们这边也有两个人。

站着闲着,我掏出电子书来看,倒不觉得累。笑小伙一开始看手机,偶尔会有一、两个乘客拿着果皮或袋子来找垃圾箱,这时,笑小伙会笑着站起来,拉开垃圾箱顶上的小方盖,说,“在这里”。我这边呢?有乘客上厕所后,会来洗手,或拿着水果来洗,再是来梳梳头,照照镜子,每当来人时,我就侧一下身子,眼睛也不用离开电子书的屏幕。还没到东莞东,我们这边的壮汉不知道去哪了,所以我又往里边站,面对着挂在灭火器,靠着洗手盆边,累了还可以背靠着玻璃窗,可惜是毛玻璃,不能看到窗外。

过了东莞东后,来扔垃圾的人多了,笑小伙坐不住了,更糟糕的是,垃圾箱满了,好几个方便面的盒子是堆着到垃圾箱顶,或干脆放到洗手盆上了。笑小伙蹲了会,后来见他拿走挂在钩上背包,估计是在附近找着座位了。我再看了会电子书,原先对面坐着倚着的阿姨也不见了,只有那个行李箱,估计也找着座位了。所以,觉得无座的站票和站票是一样的价钱,可能站票就是让乘客自由发挥,趁着空闲座位坐的,如我这样看见空着的位也不敢坐的人,估计不适合买站票,哈哈。

好象过了惠州站,过道里摆了个哆啦A梦的行李箱,一乘客用不锈钢的垃圾斗当座位,另一个用桶当座位,第三个是拿着袋子里的棉被坐,摆起牌局来了。乘务员对此好象有点不满意,桶座的人说,“没办法啊,餐车上有座位,但东西老贵,四十多元的饭象屎一样”。棉被座则说,“不影响你工作就行,你要接水搞卫生,我来给你接”。垃圾斗座说,“坐坏了,我赔你,不用你说,我知道这斗值一百块钱”。这牌局摆得挺科学的,不影响火车上的小推车和乘客的行李箱经过。因为堵住了洗漱间入口,所以没乘客再到我这边来洗手洗脸了。但也有不好的地方,每当棉被座上的大哥抽烟时,站后边的我被呛得厉害。再之后,他们打牌会交流,说话声影响,电子书是看不了,塞上耳机听歌,也可以接受。

railway-3.jpg

快到和平站时,提前到抽烟区等着,遇到同村的一个大爷。一同下火车,出站。我是从火车站走路回家,这段路况不妙,正在为路面扩建施工,黄土尘多,厚,一脚踩下去,尘能飞到裤脚上。幸好没下雨,否则脚都可能变成“叫化脚”了。

railway-4.jpg

29日去了阿里云深圳“驱动数字中国”听“阿里云支持与服务专场”

等了几天,盼到了。

坐地铁5号线,在“会展中心”站下,会场就在附近,好找。

yunxi-sz-1.jpg

先是在签到处说了身份证号码和手机号,妹纸说找不到信息,但可以现场报名,妹纸问有没有名片,我说没有。扫一下屏幕的二维码,现场提交个人信息,其中有“就职公司”之类的,我“发挥”一下,填了“安群网”,职位是“老总”,打印出来的二维码上,真有“安群网”,但可能顾及我的面子,“老总”的职位没打印出来。

之后呢,人多,所以坐扶手楼梯到了6楼,找到“文厅”,听“阿里云支持与服务专场”的演讲。

yunxi-sz-3.jpg

我在后边找一个“安静”的位坐下。听着大佬们讲,不时有人捧着手机拍屏幕上显示的演讲稿内容,但我仿佛是因为没睡午觉,眼前的PPT越来越模糊,声音慢慢变远,眼皮懒懒地想合上。瞌睡中,一个帅小伙说是卓游的技术总监,讲了阿里云适合他们业务的原因,挺不错的。四点多时,会场结束,我差不多最后,出门时,一个妹纸问,“你的牌牌呢?”,我从裤兜里掏出带有二维码的参会卡片,被“滴”了之后,换到了一本“hello world”的笔记(第二天送给小张了)。

yunxi-sz-5.jpg

我是特意穿着阿里云“more than just cloud”去的,但签到处的妹纸穿的是新版的"hello YunQi",在离开下扶手楼梯时看到两个提着AOC设备的哥们也是老版的"just cloud",再凑一个,可以上场打“吃鸡”游戏了。

yunxi-sz-4.jpg

在CentOS6 系统里为 postfix 配置外部smtp服务器发邮件

1.yum update # 更新软件
2.hostname erow.org # 设置主机名
3.vi /etc/postfix/main.cf # 编辑 postfix 配置文件,设置 myhostname = erow.org
4.yum install stunnel # 安装 stunnel 软件,目的是转发465端口数据
5.vi /etc/stunnel/stunnel.conf # 编辑 stunnel 配置文件,内容如下:

[smtp-tls-wrapper]
accept = 11125
client = yes
connect = smtp.mxhichina.com:465

6.vi /etc/rc.d/init.d/stunnel # 编辑 stunnel 启动配置文件,内容如下:

#!/bin/bash
#
# Init Script to run stunnel in daemon mode at boot time.
#
# Author: Riccardo Riva - RPM S.r.l.
# Revision 1.0 - 2010 November, 11

#====================================================================
# Run level information:
#
# chkconfig: 2345 99 99
# description: Secure Tunnel
# processname: stunnel
#
# Run "/sbin/chkconfig --add stunnel" to add the Run levels.
# This will setup the symlinks and set the process to run at boot.
#====================================================================

#====================================================================
# Paths and variables and system checks.

# Source function library
. /etc/rc.d/init.d/functions

# Check that networking is up.
#
[ ${NETWORKING} ="yes" ] || exit 0

# Path to the executable.
#
SEXE=/usr/bin/stunnel

# Path to the configuration file.
#
CONF=/etc/stunnel/stunnel.conf

# Check the configuration file exists.
#
if [ ! -f $CONF ] ; then
echo "The configuration file cannot be found!"
exit 0
fi

# Path to the lock file.
#
LOCK_FILE=/var/lock/subsys/stunnel

#====================================================================

# Run controls:

prog=$"stunnel"

RETVAL=0

# Start stunnel as daemon.
#
start() {
if [ -f $LOCK_FILE ]; then
echo "stunnel is already running!"
exit 0
else
echo -n $"Starting $prog: "
$SEXE $CONF
fi

RETVAL=$?
[ $RETVAL -eq 0 ] && success
echo
[ $RETVAL -eq 0 ] && touch $LOCK_FILE
return $RETVAL
}

# Stop stunnel.
#
stop() {
if [ ! -f $LOCK_FILE ]; then
echo "stunnel is not running!"
exit 0

else

echo -n $"Shutting down $prog: "
killproc stunnel
RETVAL=$?
[ $RETVAL -eq 0 ]
rm -f $LOCK_FILE
echo
return $RETVAL

fi
}

# See how we were called.
case "$1" in
start)
start
;;
stop)
stop
;;
restart)
stop
start
;;
condrestart)
if [ -f $LOCK_FILE ]; then
stop
start
RETVAL=$?
fi
;;
status)
status stunnel
RETVAL=$?
;;
*)
echo $"Usage: $0 {start|stop|restart|condrestart|status}"
RETVAL=1
esac

exit $RETVAL

#--- End of file ---

7.chkconfig stunnel on # 启用 stunnel 服务
8.chmod +x /etc/init.d/stunnel # 为 stunnel 配置文件,添加执行权限
9.service stunnel start # 启动 stunnel 服务
10.mkdir /etc/postfix/sasl # 创建 sasl 目录
11.vi /etc/postfix/sasl/sasl_passwd # 创建邮箱账户登录信息配置文件,内容如下:

[localhost]:11125 postmaster@erwo.org:password

12.postmap /etc/postfix/sasl/sasl_passwd # 生成postfix密码配置文件
13.chmod 600 /etc/postfix/sasl/* # 为了保护smtp的登录信息,需要修改上边两个文件为root用户只读写
14.vi /etc/postfix/main.cf # 修改 /etc/postfix/main.cf 文件,修改 relayhost = [localhost]:11125 , 添加SMTP信息:

relayhost = [localhost]:11125

#### SMTP
# Enable SASL authentication
smtp_sasl_auth_enable = yes
# Disallow methods that allow anonymous authentication
smtp_sasl_security_options = noanonymous
# Location of sasl_passwd
smtp_sasl_password_maps = hash:/etc/postfix/sasl/sasl_passwd
# Enable STARTTLS encryption
# smtp_tls_security_level = encrypt
# Location of CA certificates
smtp_tls_CAfile = /etc/ssl/certs/ca-bundle.crt
smtp_generic_maps = hash:/etc/postfix/generic

15.因为多数免费邮箱限定发信人是登录名(如postmaster@erwo.org),所以在 /etc/postfix/generic 文件里填写可能发信的地址,如:apache

apache postmaster@erwo.org

16.postconf -e 'smtp_host_lookup = dns, native' # 设置postfix dns解析
17./etc/init.d/postfix restart # 重启postfix
18.tail /var/log/maillog # 如有错误,可查看日志

参考:https://randomcentos.wordpress.com/2015/04/21/installing-stunnel-client-on-centos-6-6/