Archive for: 11月 17, 2008

加密可以保证数据的保密性，也可用于验证用户，它是在实现网络安全的重要手段之一。在本课中，你将学到如何使用对称加密，非对称加密和HASH加密来建立一个信任关系。

加密的优势

加密提供以下四种服务，见表2-3

服务 解 释

数据保密性 这是使用加密的通常的原因。通过小心使用数学方程式，你可以保证只有你打算接收的人才能查看它。

数据完整性 对需要更安全来说数据保密是不够的。数据仍能够被非法破解并修改。一种叫HASH的运算方法能确定数据是否被修改过。

认证 数字签名提供认证服务。

不可否定性 数字签名允许用户证明一条信息交换确实发生过。金融组织尤其依赖于这种方式的加密，用于电子货币交易。

加密强度

加密文件一个常被讨论但又经常被误解的方面是加密强度。什么构成了加密的强度？什么是被美国出口法保护的？哪种级别的加密是被不同的安全需要所要求的？如何确定加密的有效强度？

加密强度取决于三个主要因素：

首先是算法的强度，包括几个因素，例如，除了尝试所有可能的密钥组合之外的任何方法都不能数学的使信息被解密。从我们的角度而言，我们应该使用工业标准的算法，它们已经被加密学专家测试过无数次，任何一个新的或个体的配方将不被信任直到它被商业的认证。

第二个因素是密钥的保密性，一个合乎逻辑但有时被忽略了的方面，没有算法能够发挥作用如果密钥受到损害，因此，数据的保密程度直接与密钥的保密程度相关，注意区分密钥和算法，算法不需要保密，被加密的数据是先与密钥共同使用，然后再通过加密算法。

第三个因素是密钥程度，这是最为人所知的一个方面，根据加密和解密的应用程序，密钥的长度是由”位”为单位，在密钥的长度上加上一位则相当于把可能的密钥的总数乘以二倍，简单的说构成一个任意给定长度的密钥的位的可能组合的个数可以被表示为2的n次方，这儿的n是一个密钥长度，因此，一个40位密钥长度的配方将是2的40次方或1099511627776种可能的不同的钥，与之形成鲜明对比的是现代计算机的速度。

尽管可能加密的密钥的总数是非常大的，专门的计算机现在可以在不到一天时间内试验许多种密钥的组合，在一九三三年，Michael wiener 研制出一种专门的计算机，专门破译DES（一种使用56－位密钥的算法）。在研制的过程中他发现设计所需要的费用是呈直线型的，考虑到他的结果和Moore的法则的因子（此法则指出计算力大约每18个月增长一倍）。其实任何密码都能破解而无论它的长度，想像一下这样的密钥利用现代的机器去破解是多么的快速。简单的说，一个人或组织在密钥破解的装备上花的钱越多，则密钥就会被越快的破解，这种断言最近已经得到证实。Electronic Frontier Foundation建造的专门的计算机最近在不到三天的时间内破译了一个64位基础的密码。

尽管有相对的缺点，美国政府把使用超过40位的密钥的加密规为强加密，这种加密出口相关的法律已经获得通过。美国国内公司想要出口使用强加密的产品，首先要获得美国国务院的许可。例如，Pretty Good Privacy（PGP）加密工具的国际版本，虽然这些法律可能会变得日益宽松，但是一些公司和组织将毫无疑问继续遵守它。尽管公司和政府用现代化的计算机可以去击败40位的加密，但是耗费的成本超过了信息本身的价值。事实上，决定需要密钥的长度的一个因素是被保护信息的价值。尽管40位的密钥对于金融交易来说并不总是合适的，但对于个人用户的需要已经足够了。目前美国出口法对于40位密钥长度的限制已取消。

建立信任关系

应用加密指的是在主机之间建立一个信任关系。在最基本的级别上，一个信任关系包括一方加密的信息，并只有另一方的合作伙伴可以解密这个信息。这种任务是利用公钥加密来完成的。这种类型的加密要求你建立一个私钥和一个公钥。一旦你已经产生了一对密钥，你可以把公钥发布给任何人。

你可以通过以下两种方法来发布你的公钥：

・ 手动：你首先必须和接收方交换公钥，然后用接收方的公钥来加密信息。PGP和S/MIME需要使用这种方法。

・ 自动：SSL和IPSec通过一系列的握手可以安全地交换信息（包括私钥）。 在本课你将学到有关这方面更多的知识。

对称加密

在对称加密(或叫单密钥加密)中，只有一个密钥用来加密和解密信息。尽管单密钥加密是一个简单的过程，但是双方都必须完全的相信对方，并都持有这个密钥的备份。但要达到这种信任的级别并不是想像中的那么简单。当双方试图建立信任关系时可能一个安全破坏已经发生了。首先密钥的传输就是一个重要问题，如果它被截取，那么这个密钥以及相关的重要信息就没有什么安全可言了。下图显示的就是一个简单的对称加密过程：…

Sendmail作为免费的邮件服务器软件，已被广泛应用于Internet各种操作系统的服务器中。如：Solaris，HPUX，AIX，IRIX，Linux等等。随着互连网的普及，邮件服务器受攻击的机会也大大增加。目前互连网上的邮件服务器所受攻击有两类：一类就是中继利用(Relay)，即远程机器通过你的服务器来发信，这样任何人都可以利用你的服务器向任何地址发邮件，久而久之，你的机器不仅成为发送垃圾邮件的帮凶，也会使你的网络国际流量激增，同时将可能被网上的很多邮件服务器所拒绝。另一类攻击称为垃圾邮件(Spam)，即人们常说的邮件炸弹，是指在很短时间内服务器可能接收大量无用的邮件，从而使邮件服务器不堪负载而出现瘫痪。这两种攻击都可能使邮件服务器无法正常工作。因此作为一个校园网邮件服务器防止邮件攻击将不可缺少。

　　目前对于sendmail邮件服务器，阻止邮件攻击的方法有两种。一种是升级高版本的服务器软件，利用软件自身的安全功能。第二种就是采用第三方软件利用其诸如动态中继验证控制功能来实现。下面就以sendmail V8.9.3为例，介绍这些方法。

　　1.服务器自身安全功能

　　(1)编译sendmail时的安全考虑

　　要利用sendmail 8.9.3的阻止邮件攻击功能，就必须在系统编译时对相关参数进行设置，并借助相关的软件包。目前主要就是利用Berkeley DB数据库的功能，Berkeley DB包可以从相关站点上下载，并需要预先编译好。然后将Berkeley DB的相关参数写进sendmail的有关文件中。

　　a.修改site.config.m4文件

　　将编译好的Berkeley DB有关库文件路径加入到site.config.m4文件中，使sendmail编译后能够使用Berkeley DB数据库。例如：

　　#cd $/sendmail-8.9.3/BuidTools/Site

　　修改site.config.m4文件

　　define (confINCDIRS, -I/usr/local/BerkeleyDB/include)

　　define (confLIBDIRS, L/usr/local/BerkeleyDB/lib)

　　b.修改sendmail.mc文件

　　sendmail.mc是生成sendmail.cf的模板文件之一，要使sendmail具有抗邮件攻击功能还需在该文件中进行相关定义。主要包括以下几项：

　　……

　　FEATURE(relay_entire_domain)

　　FEATURE(ACCESS_DB)dn1

　　FEATURE(blacklist_recipients)

　　……

　　(2)相关文件的配置

　　正确编译好sendmail是邮件服务器安全控制的基础，而真正的安全设置主要还是利用相关文件进行的。这种包含控制语句的文件主要是access和relay-domains。

　　access是邮件安全控制的主要数据库文件，在该文件中可以按照特定的格式将需控制的域名、IP地址或目标邮件地址，以及相应的动作值写入，然后使用makmap命令生成access.db文件(#makemap hash access.db < access)，从而使服务器允许或屏蔽邮件中继和邮件轰炸。access的格式如下：

　　spam.com REJECT

　　edu.cn ...

Linux 系统安全(二) — 日志

晋亮（sound810@sina.com）
网络安全工程师
2003 年 1 月

当我们用上面的方法进行了 Linux 服务器的安装和一些基本的设置后，我们的服务器应该说来是比较安全的。但是总是还会有黑客可以通过各种方法利用系统管理员的疏忽侵入我们的系统。他们的一举一动都会记录到系统的日志之中，尽管他们可能可以改变这些日志信息，甚至用自己的程序替换掉我们系统本身的命令程序，但是通过日志我们总还是能找到一些蛛丝马迹。下面我们主要讲一下 Linux 环境中的系统记帐和系统日志管理以及怎么用一些工具更加方便有效的管理日志信息。

1 系统记帐

最初开发的系统记帐用于跟踪用户资源消费情况，从用户帐号中提取费用为目地的。现在我们可以把它用于安全目的，给我们提供有关在系统中发生的各种活动的有价值信息。

系统记帐主要非为两类:

1) 连接记帐

连接记帐是跟踪当前用户当前对话、用户登录和退出的活动。在 Linux 系统中使用 utmp (动态用户对话)和 wtmp (登录/退出日志记录)工具来完成这一记帐过程。Wtmp 工具同时维护重新引导和系统状态变化信息。各种程序对这些工具进行刷新和维护，因此无须进行特殊的后台进程或程序。然而，utmp 和 wtmp 输出结果文件必须存在，如果这些文件不存在会关闭连接记帐。与 utmp 和 wtmp 有关的所有数据将分别保存在 /var/run/utmp 和 /var/log/wtmp 中。这些文件归根用户所有。这些文件中的数据是用户不可读的，但也有工具可以转换成可读的形式。

dump-utmp 可以转换连接记帐数据为可读的 ASCII 格式数据。

ac 命令提供了有关用户连接的大概统计，我们可以使用带有标志 d 和 p 的 ac …

EMail 炸弹有很多种，今天我来分析一个用在UNIX的实例。

程序用Perl编写

#!/bin/perl (perl所在目录）

$mailprop=’/user/lib/sendmail’; （sendmail所在目录)

$recipient=’victim@targeted_site.com’( 攻击目标）

$variable_initialized_to_0=0;(设定变量）

while($variable_initialized_to_0=0)

执行报告

综述

一般的安全级别被发现比较低。具备管理员身份的对系统的初始渗透在不到十分钟的时间里就可完成。主要的安全问题在于缺乏好的安全过滤器和关键系统账户脆弱的口令选择，这些弱点使得包探测器这样的工具相当容易放置，包探测器准许对所有信息传输， 包括对置于防火墙后面的网络中的信息传输进行检查。

边防安全

某传媒公司的网络没有一个防火墙，不论偏软还是偏硬。同时也没有设置额外的规则。现有的规则需要为阻止更新的攻击进行编辑。有关建议规则配置的详细内容可在一份名为“防火墙规则建议”的文档中找到。

内部安全

某传媒公司的网络主机没有安装入侵检测或探针软件。虽然需要增强某传媒公司雇员的培训策略，但是某传媒公司的主机安全性是最充分的。将在附加文件中发现关于这些“雇员培训建议”的讨论。

渗透风险摘要

临时攻击者
在当前的安全性设置中，一个临时的但是坚定的攻击者渗透一个系统的时间估计在不到两天的时间里。

富有经验的攻击者
在当前的安全性设置中，一个富有经验的攻击者渗透安全系统的时间估计在不到一个小时的时间里。

专业的攻击者
在当前的安全性设置中，一个专业的攻击者渗透安全系统的时间估计在不到15分钟的时间里。

为IT部门所做的细致的研究结果

安全评估过程

外部安全的评估包括多种措施确定有效的外部安全级别。为了从一个外部攻击者的角度获得一个真实的安全评估，我们使用的方法和工具与黑客所使用的相同。这个过程通常包括三个阶段。

发展阶段

在这个阶段评价，我们使用多种工具确定目标网络中系统可能发生的每个事件。这个信息是在逐一系统监测的基础上得出的。一旦系统被定位，为了确定系统组件，每个系统都会被单独扫描。这些系统组件包括：操作系统版本（某传媒公司里Windows操作系统就有win98，win2000，winXP不同的版本）和补丁软件（在某传媒公司里有很少的机器上打了补丁程序，个别的只打了SP1），并且运行在操作系统上的多数软件是网络下载，在下载是没有对软件进行MD5 软件校验，多数是免费版本。下载时没有对下载的程序进行杀毒。对默认安装后的操作系统没有对有效的用户进行设置，对系统账户也没有进行相应的安全策略设置。致使黑客可以对默认安装的系统账户进行复制，替用。完整的系统参数（如系统名，操作参数，目标网段中系统的角色和安全设置）始终没有一个统一的设置，致使很多用户分不清每个用户的角色。打乱了网络拓扑结构。使公司职员无法分清应用程序服务器，数据库服务器等。

在确定应用程序服务器的同时也要测试其中的所有程序的完整性和可用性。

渗透阶段

通过检查发现阶段得到的信息，寻找某传媒公司网络的弱点，这表示开始进入了渗透阶段。所有操作系统和系统软件根据已知的缺陷库进行检查。这些缺陷在目标系统上被单独测试。这个阶段的目的是了解目标系统的安全性。

控制阶段

这个阶段在成功的了解了系统安全性之后开始。在目标系统中会发生多种操作。全部的目标系统都会被访问，并且所有相关的文件和信息都会被找出来。这些文件包括完整的安全设置和参数，日志文件和系统软件配置文件。其他的一些操作系统包括在目标系统中建立后门和删除渗透证据。一旦目标系统被全面破坏，它便被用做一个中间点，对其他子网中的系统安全进行渗透，在那里又会执行相同的过程，而作为中间点全然不知发生的过程。
最终，为了测试全体系统工作人员的注意程度，我发起了大量的攻击，从而确定员工的反应。但没有一个人知道究竟发生了什么。

结论
执行概览中的这份结论基于下列发现：

1． 有效的安全过滤器没有用在外部路由器上。
2． 强密码没有用在可访问的系统中。
3． 多余的服务没有被去除。
4． Microsoft networking从外部可访问。
5． 使用默认“public”团体名的SNMP信息可以被访问。
6． 在可访问系统上的安全审核没有启动。
7． 在可访问系统上，文件系统安全保护没有完全实施。
8． DNS没有受到保护。
9． Windows 2000系统默认设置没有被重新配置。
10． 关键的windows 2000注册表树没有利用审核进行保护。
11． 系统审核日志可以被访问。
12． 系统容易受到DOS（拒绝服务攻击）和DDOS（分布式拒绝服务攻击）。
13． 局域网网关最好采用Window 2000，因为网络服务功能强大。

建议

首先是在外部路由器上过滤具体的易受攻击的服务。其次是正确地保护个人WIN2000/XP系统。这包括在各自的机器上正确地保护账户和服务。第三，需要在主机上安装基于网络的IDS（入侵检测系统）。基于主机的入侵检测应该在218.30.*. * , 218.30.*.* , 218.30.*. *, 219.145.*.* 系统上采用。

安全分析的下一个阶段是现场检查系统，软件和配置。另外，应该会见主要的系统人员，确定当前的业务过程，因为安全最重要的原则是在不能影响业务的基础上对现有的网络和系统做出调整和配置。

直接建议（中到高风险）

在外部路由器上执行信息包过滤：
1． TCP/UDP 135 （RPC）
2． UDP 137，138；TCP 139（Microsoft Networking）
3． UDP 161，162（SNMP）
说明：过滤器执行前两项时，将会阻止超过80%的对windows 2000进行攻击的有效工具。

将所有的系统账户密码改变为强密码（所谓强密码是指大小写字母，数字，字符混合使用的密码，例：Hevvn83-=/\\LiU ）。

在所有的机器上启动Windows 的安全审核。如果可能，执行下面的操作：
1． …

Apache服务器的主要安全缺陷

　　正如我们前言所说尽管Apache服务器应用最为广泛，设计上非常安全的程序。但是同其它应用程序一样，Apache也存在安全缺陷。毕竟它是完全源代码，Apache服务器的安全缺陷主要是使用HTTP协议进行的拒绝服务攻击(denial of service)、缓冲区溢出攻击以及被攻击者获得root权限三缺陷和最新的恶意的攻击者进行“拒绝服务”(DoS)攻击。合理的网络配置能够保护Apache服务器免遭多种攻击。我们来介绍一下主要的安全缺陷：

　　（1）使用HTTP协议进行的拒绝服务攻击(denial of service)的安全缺陷

　　这种方法攻击者会通过某些手段使服务器拒绝对HTTP应答。这样会使Apache对系统资源(CPU时间和内存)需求的剧增，最终造成Apache系统变慢甚至完全瘫痪。

　　（2）缓冲区溢出的安全缺陷

　　该方法攻击者利用程序编写的一些缺陷，使程序偏离正常的流程。程序使用静态分配的内存保存请求数据，攻击者就可以发送一个超长请求使缓冲区溢出。

　　（3）被攻击者获得root权限的安全缺陷

　　该安全缺陷主要是因为Apache服务器一般以root权限运行(父进程)，攻击者会通过它获得root权限，进而控制整个Apache系统。

　　（4）恶意的攻击者进行“拒绝服务”(DoS)攻击的安全缺陷

　　这个最新在6月17日发现的漏洞，它主要是存在于Apache的chunk encoding中，这是一个HTTP协议定义的用于接受web用户所提交数据的功能。 所有说使用最高和最新安全版本对于加强Apache Web服务器的安全是至关重要的。

　　请广大Apache服务器管理员去http://www.apache.org/dist/httpd/下载补丁程序以确保其WEB服务器安全！

　　正确维护和配置Apache服务器

　　虽然Apache服务器的开发者非常注重安全性，由于Apache服务器其庞大的项目， 难免会存在安全隐患。正确维护和配置Apache WEB服务器就很重要了。我们应注意的一些问题：

　　（1）Apache服务器配置文件

　　Apache Web服务器主要有三个配置文件，位于/usr/local/apache/conf目录下。 这三个文件是：

　　httpd.conf—–>主配置文件
　　srm.conf——>填加资源文件
　　access.conf—>设置文件的访问权限

　　注：具体配置可以参考：http://httpd.apache.org/docs/mod/core.html

　　（2）Apache服务器的目录安全认证

　　在Apache Server中是允许使用 .htaccess做目录安全保护的，欲读取这保护的目录需要先键入正确用户帐号与密码。这样可做为专门管理网页存放的目录或做为会员区等。在保护的目录放置一个档案，档名为.htaccss
　　AuthName \”会员专区\”
　　AuthType \”Basic\”
　　AuthUserFile \”/var/tmp/xxx.pw\” —–>把password放在网站外 require valid-user 到apache/bin目录，建password档 % ./htpasswd -c /var/tmp/xxx.pw username1 —–>第一次建档要用参数\”-c\” % /htpasswd /var/tmp/xxx.pw username2 这样就可以保护目录内的内容，进入要用合法的用户．

　　注：采用了Apache内附的模组。

　　也可以采用在httpd.conf中加入：　
　　options　indexes　followsymlinks　
　　allowoverride　authconfig　
　　order　allow,deny　
　　allow　from　all　

　　（3）Apache服务器访问控制

　　我们就要看三个配置文件中的第三个文件了，即access.conf文件，它包含一些指令控制允许什么用户访问Apache目录。应该把deny from …

ASP Hack %26amp; Anti-Hack

发布日期：1999-11-26

更新日期：1999-11-26

受影响系统：

Microsoft Windows NT 4.0

描述：转摘自飞鸟的asp 安全问题

ASP Hack %26amp; Anti-Hack

本文主要叙及有关asp/iis的安全性问题及其相应对策，不提倡网友使用本文提及的方法进行任何破坏，否则带来的后果自负

通过asp入侵web server,窃取文件毁坏系统，这决非耸人听闻…

iis的安全性问题

1.iis3/pws的漏洞

我实验过，win95+pws上运行ASP程序，只须在浏览器地址栏内多加一个小数点

ASP程序就会被下载下来。IIS3听说也有同样的问题，不过我没有试出来。

…

国父说：五权宪法乃兄弟我所独创，………。

某次考三民主义时…。题目问：五权宪法是（）所独创。某生回答（兄弟我）…

为什么我们要逆着常理来这样做？

　　如果你是一个站长，估计你总在千方百计的让你的网站能在搜索引擎里面找到，并且能够在搜索引擎里面排名靠前，但有时，你可能并没登陆过任何搜索引擎，可却莫名其妙的发现可以通过它搜索到你的网站。或许有的主页内容你乐于世人皆知，但有的内容你却不愿被洞察、索引。可能你要求用户验证，但这并不能逃避搜索引擎的搜索，只要在搜索引擎里面搜索到你的这个网页，不用密码照样可以登陆。并且简单的加密常常容易被攻破。难道使用数据库吗？这不但消耗宝贵网站空间资源，对于一些简单的站点，又无法实现。怎么办呢？搜索引擎不是个瞒不讲理，横行霸道的入室盗贼。如何把搜索引擎拒之门外呢？

探索一下搜索引擎的的原理

　　首先，我们要知道搜索引擎的工作原理。网络搜索引擎主要由网络机器人（Robot，这个是全文的关键）、索引数据库和查询服务三个部分组成。只要被网页机器人找到的网页，就会在搜索引擎的数据库中建立索引。利用查询客户端，就一定可以找到你的网页。所以下面的关键是研究这个网络机器人。索引数据库和查询服务的原理我们就不详细分析了。

　　Web Robot其实是种程序，它可以侦测大量Internet网址的超文本结构和网页里的URL连接，递归地检索网络站点所有的内容。这些程序有时被叫“蜘蛛（Spider）”，“网上流浪汉（Web Wanderer）”，“网络蠕虫（web worms）”或Web crawler。大型的搜索引擎站点（Search Engines）有专门的Web Robot程序来完成这些信息的采集。高性能的Web Root去自动地在互联网中搜索信息。一个典型的网络机器人的工作方式，是查看一个页面，并从中找到相关的关键字和网页信息，例如：标题，网页在浏览器上的Title,还有一些经常被用来搜索的词汇，等等。然后它再从该页面的所有链接中出发，继续寻找相关的信息，以此类推，直至穷尽。网络机器人为实现其快速地浏览整个互联网，通常在技术上采用抢先式多线程技术实现在网上聚集信息。通过抢先式多线程的使用，它能索引一个基于URL链接的Web页面，启动一个新的线程跟随每个新的URL链接，索引一个新的URL起点。把搜索到的信息建立索引，就可以让用户搜索了。呵呵，可能你会想到，这样下去，不是个无限循环呀？当然，机器人也需要休息的，网络机器人是定期发出，完成一个工作时段就结束。所以，刚制作完成的网页，不会马上被收入搜索引擎索引里。说到这里，网络搜索引擎的基本工作原理基本上让大家了解了。指挥这个网络机器人，不让它见门就进，见路就闯，就是接下来的工作了。

逃避搜索引擎的法眼

　　作为搜索引擎的开发者，同样留给了网络管理员或网页制作者提供了些方法来限制网络机器人的行动：

　　当robots访问一个网站（比如http://www.yoursite.com）时，首先会像一个大宅子的陌生访问者一样，先查看查看该宅子是否同意它进入。如果不同意，它就悄然无声的走掉；如果同意，它会看看主人只允许它进入那些房间。网络机器人首先检查该网站中是否存在http: //www.yoursite.com/robots.txt这个文件，如果找不到这个文件，那么，机器人就会横冲直入，查遍它需要查找的信息。如果机器人找到这个文件，它就会根据这个文件的内容，来确定它访问权限的范围。当然，如果该文件的内容为空的话，那么也就相当于没有找到文件一样，大胆行事。记住 robots.txt文件应该放在网站根目录下。

　　robots.txt文件中的记录通常以一行或多行User-agent开始，后面加上若干Disallow行,详细情况如下：

User-agent:

　　该值用于描述搜索引擎robot的名字，不同的搜索引擎是有不同的名字的，在\”robots.txt\”文件中，如果有多条User- agent记录说明有多个robot会受到该协议的限制，对这个文件来说，如果你需要限制robots，那么至少要有一条User-agent记录。如果该项的值设为*，则该协议对任何机器人均有效，在\”robots.txt\”文件中，\” User-agent: * \”这样的记录只能有一条。

Disallow :

　　该值用于限制robot访问到的一个URL，这个URL可以是一条完整的路径，也可以是部分的，任何以Disallow 开头的URL均不会被robot访问到。例如“Disallow: /hacker”对/hacker.html 和/hacker/index.html都不允许搜索引擎访问，而“Disallow: /hacker/”则robot照样可以访问/hacker.html，而不能访问/hacker/index.html。任何一条Disallow记录为空，也就是说在多条Disallow记录下，只要有一条是写成“Disallow:”说明该网站的所有内容都允许被访问，在\”/robots.txt\” 文件中，至少要有一条Disallow记录。

　　下面是Robot.txt的一些例子，只要把下列的任何一个代码保存为robots.txt，然后传到指定位置，就可以实现逃避搜索引擎的法眼：

例1. 禁止所有搜索引擎访问网站的任何部分：

User-agent: *
Disallow: /

例2. 允许所有的robot访问：

User-agent: *
Disallow:

例3. 禁止某个搜索引擎的访问：

User-agent: BadBot
Disallow: /

例4. 允许某个搜索引擎的访问：

User-agent: baiduspider
Disallow:
User-agent: *
Disallow: /

例5. 一个简单例子：

　　在这个例子中，该网站有三个目录对搜索引擎的访问做了限制，即搜索引擎不会访问这三个目录。需要注意的是对每一个目录必须分开声明，而不要写成 \”Disallow: /cgi-bin/ /bbs/\”。User-agent:后的* 具有特殊的含义，代表\”any robot\”，所以在该文件中不能有\”Disallow: /bbs/*\” or …

Oracle数据库有三种标准的备份方法，它们分别是导出／导入（EXP/IMP）、热备份和冷备份。导出备件是一种逻辑备份，冷备份和热备份是物理备份。

一、 导出／导入（Export／Import）

利用Export可将数据从数据库中提取出来，利用Import则可将提取出来的数据送回到Oracle数据库中去。

１、 简单导出数据（Export）和导入数据（Import）

Oracle支持三种方式类型的输出：

（１）、表方式（T方式），将指定表的数据导出。

（２）、用户方式（U方式），将指定用户的所有对象及数据导出。

（３）、全库方式（Full方式），瘵数据库中的所有对象导出。

数据导入（Import）的过程是数据导出（Export）的逆过程，分别将数据文件导入数据库和将数据库数据导出到数据文件。

２、 增量导出／导入

增量导出是一种常用的数据备份方法，它只能对整个数据库来实施，并且必须作为SYSTEM来导出。在进行此种导出时，系统不要求回答任何问题。导出文件名缺省为export.dmp，如果不希望自己的输出文件定名为export.dmp，必须在命令行中指出要用的文件名。

增量导出包括三种类型：

（１）、”完全”增量导出（Complete）

即备份三个数据库，比如：

exp system/manager inctype=complete file=040731.dmp

（２）、”增量型”增量导出

备份上一次备份后改变的数据，比如：

exp system/manager inctype=incremental file=040731.dmp

（３）、”累积型”增量导出

累计型导出方式是导出自上次”完全”导出之后数据库中变化了的信息。比如：

exp system/manager inctype=cumulative file=040731.dmp

数据库管理员可以排定一个备份日程表，用数据导出的三个不同方式合理高效的完成。

比如数据库的被封任务可以做如下安排：

星期一：完全备份（A）

星期二：增量导出（B）

星期三：增量导出（C）

星期四：增量导出（D）

星期五：累计导出（E） …