本周6以来,川内多家idc发现来历不明的NTP请求,大小为8字节,而服务器的123端口会反馈给伪造的ip 480字节左右的数据,这是一种以小博大的、新型的洪水攻击。会耗尽客户的服务器带宽,导致整个交换网络和都充斥着无用的UDP数据包,请广大站长、服务器运维人员、网络管理员在你们的服务器、路由器、防火墙上面对UDP 123端口做好过滤。 继续阅读
DNSMASQ简单配置
安装dnsmasq后需要进行一些配置才能使用
简单配置 继续阅读
raid5为什么风险很大?
最近遇见两个客户的服务器和存储分别出现raid5同时坏两块硬盘的情况,所以记录如下。
很多人遇到过服务器RAID5挂掉,往往掉一个盘后,第二个盘也立刻挂掉。 大家都知道RAID5 一次允许一个盘缺失, RAID 5也是以数据的校验位来保证数据的安全,但它不是以单独硬盘来存放数据的校验位,而是将数据段的校验位交互存放于各个硬盘上。这样,任何一个硬盘损坏,都可以根据其它硬盘上的校验位来重建损坏的数据。硬盘的利用率为n-1。 如果挂掉两个盘,数据就玩完了。 理论上两个硬盘同时失效的概率是很低的,但为什么会这样呢?
从数学角度说,每个磁盘的平均无故障时间 (MTBF) 大约为 50 万至 150 万小时(也就是每 50~150 年发生一次硬盘损坏)。实际往往不能达到这种理想的情况,在大多数散热和机械条件下,都会造成硬盘正常工作的时间大幅减少。考虑到每个磁盘的寿命不同,阵列中的任何磁盘都可能出现问题,从统计学角度说,阵列中 N 个磁盘发生故障的机率比单个磁盘发生故障的机率要大 N 倍。结合上述因素,如果阵列中的磁盘数量合理,且这些磁盘的平均无故障时间 (MTBF) 较短,那么在磁盘阵列的预期使用寿命过程中,就很有可能发生磁盘故障(比方说每几个月或每隔几年就会发生一次故障)。 继续阅读
网卡绑定技术
CentOS 6.x 通过bonding技术实现网络负载均衡及冗余
一、什么是bonding
Linux bonding 驱动提供了一个把多个网络接口设备捆绑为单个的网络接口设置来使用,用于网络负载均衡及网络冗余。 继续阅读
CentOS 远程管理安全设置
1、修改ssh远程默认端口22
假设远程端口要修改为10022,那么修改以下两个配置文件
# vim /etc/ssh/ssh_config
# vim /etc/ssh/sshd_config
找到#Port 22,在下面添加Port 10022
然后重启sshd
# service sshd restart
2、禁止root通过ssh远程登录
# vim /etc/ssh/sshd_config
找到PermitRootLogin,将后面的yes改为no,把前面的注释#取消,这样root就不能远程登录了!
可以用普通账号登录进去,要用到root的时候使用命令su root 切换到root账户
3、限制用户的SSH访问
假设我们只要root,user1和user2用户能通过SSH使用系统,向sshd_config配置文件中添加
# vim /etc/ssh/sshd_config
AllowUsers root user1 user2
4、配置空闲超时退出时间间隔
用户可以通过ssh登录到服务器,你可以设置一个空闲超时时间间隔。
打开sshd_config配置文件,设置为如下。
# vim /etc/ssh/sshd_config
ClientAliveInterval 600
ClientAliveCountMax 0
上面的例子设置的空闲超时时间间隔是600秒,即10分钟,
过了这个时间后,空闲用户将被自动踢出出去(可以理解为退出登录/注销)。
5、限制只有某一个IP才能远程登录服务器
vim /etc/hosts.deny #在其中加入sshd:ALL
vim /etc/hosts.allow #在其中进行如下设置:sshd:192.168.1.1 #(只允许192.168.1.1这个IP远程登录服务器)
最后重启ssh服务:/etc/init.d/sshd restart
修改普通用户具有root权限
1)进入超级用户模式。也就是输入”su -”,系统会让你输入超级用户密码,输入密码后就进入了超级用户模式。(当然,你也可以直接用root用)
2)添加文件的写权限。也就是输入命令”chmod u+w /etc/sudoers”。
3)编辑/etc/sudoers文件。也就是输入命令”vim /etc/sudoers”,输入”i”进入编辑模式,找到这一 行:”root ALL=(ALL) ALL”在起下面添加”xxx ALL=(ALL) ALL”(这里的xxx是你的用户名),然后保存(就是先按一下Esc键,然后输入”:wq”)退出。
4)撤销文件的写权限。也就是输入命令”chmod u-w /etc/sudoers”。
CentOS 6.x 默认服务列表
|
服务名称 |
功能 |
默认 |
建议 |
备注 |
|
NetworkManager |
用于自动连接网络,常用在Laptop上 |
开启 |
关闭 |
对服务器没用 |
|
abrt-ccpp |
开启 |
开启 |
||
|
abrt-oops |
开启 |
开启 |
||
|
abrtd |
开启 |
开启 |
||
|
acpid |
电源的开关等检测管理,常用在Laptop上 |
开启 |
关闭 |
对服务器没用 |
|
atd |
在指定时间执行命令 |
开启 |
关闭 |
如果用crond,则可关闭它 |
|
auditd |
审核守护进程 |
开启 |
自定 |
如果用selinux,需要开启它 |
|
autofs |
文件系统自动加载和卸载 |
开启 |
自定 |
只在需要时开启它,可以停止 |
|
avahi-daemon |
本地网络服务查找 |
开启 |
关闭 |
对服务器没用 |
|
blk-availability |
lvm2相关 |
开启 |
自定 |
如果用lvm,建议开启 |
|
bluetooth |
蓝牙无线通讯 |
开启 |
关闭 |
对服务器没用 |
|
certmonger |
关闭 |
关闭 |
||
|
cpuspeed |
调节cpu速度用来省电,常用在Laptop上 |
开启 |
关闭 |
对服务器没用 |
|
crond |
计划任务管理 |
开启 |
开启 |
很有用,开启 |
|
cups |
通用unix打印服务 |
开启 |
关闭 |
对服务器没用 |
|
dnsmasq |
dns cache |
关闭 |
关闭 |
没用 |
|
firstboot |
系统安装后初始设定 |
关闭 |
关闭 |
|
|
haldaemon |
硬件信息收集服务 |
开启 |
开启 |
|
|
ip6tables |
ipv6防火墙 |
开启 |
关闭 |
|
|
iptables |
ipv4防火墙 |
开启 |
开启 |
|
|
irqbalance |
cpu负载均衡 |
开启 |
自定 |
多核cup需要 |
|
iscsi |
一种新储存技术 |
开启 |
自定 |
|
|
iscsid |
一种新储存技术 |
开启 |
自定 |
|
|
kdump |
硬件变动检测 |
关闭 |
关闭 |
服务器无用 |
|
lvm2-monitor |
lvm2相关 |
开启 |
自定 |
如果用lvm,建议开启 |
|
matahari-broker |
关闭 |
关闭 |
||
|
matahari-host |
关闭 |
关闭 |
||
|
matahari-network |
关闭 |
关闭 |
||
|
matahari-service |
关闭 |
关闭 |
||
|
matahari-sysconfig |
关闭 |
关闭 |
||
|
mdmonitor |
软raid监视 |
开启 |
关闭 |
|
|
messagebus |
负责在各个系统进程之间传递消息 |
开启 |
开启 |
如停用,haldaemon启动会失败 |
|
multipathd |
关闭 |
关闭 |
||
|
netconsole |
关闭 |
关闭 |
||
|
netfs |
系统启动时自动挂载网络文件系统 |
开启 |
关闭 |
|
|
network |
系统启动时激活所有网络接口 |
开启 |
开启 |
|
|
nfs |
网络文件系统 |
关闭 |
关闭 |
|
|
nfslock |
nfs相关 |
开启 |
关闭 |
|
|
ntpd |
自动对时工具 |
关闭 |
开启 |
|
|
ntpdate |
自动对时工具 |
关闭 |
关闭 |
|
|
oddjobd |
与D-BUS相关 |
关闭 |
关闭 |
|
|
portreserve |
RPC 服务相关 |
开启 |
自定 |
|
|
postfix |
替代sendmail的邮件服务器 |
开启 |
自定 |
如服务器不提供邮件服务,可关闭 |
|
psacct |
负荷检测 |
关闭 |
关闭 |
|
|
qpidd |
消息通信 |
开启 |
开启 |
|
|
quota_nld |
关闭 |
关闭 |
||
|
rdisc |
自动检测路由器 |
关闭 |
关闭 |
|
|
restorecond |
selinux相关 |
关闭 |
关闭 |
|
|
rpcbind |
开启 |
关闭 |
||
|
rpcgssd |
NFS相关 |
开启 |
关闭 |
|
|
rpcidmapd |
RPC name to UID/GID mapper |
开启 |
关闭 |
NFS相关 |
|
rpcsvcgssd |
NFS相关 |
关闭 |
关闭 |
|
|
rsyslog |
提供系统的登录档案记录 |
开启 |
开启 |
|
|
saslauthd |
sasl认证服务相关 |
关闭 |
关闭 |
|
|
smartd |
硬盘自动检测守护进程 |
关闭 |
关闭 |
|
|
spice-vdagentd |
开启 |
开启 |
||
|
sshd |
ssh服务端,可提供安全的shell登录 |
开启 |
开启 |
关闭后系统将无法远程登录 |
|
sssd |
关闭 |
关闭 |
||
|
sysstat |
开启 |
开启 |
||
|
udev-post |
设备管理系统 |
开启 |
开启 |
|
|
wdaemon |
关闭 |
关闭 |
||
|
wpa_supplicant |
无线认证相关 |
关闭 |
关闭 |
|
|
ypbind |
network information service客户端 |
关闭 |
关闭 |
注:上述服务列表是在CentOS 6最小化桌面安装出现的,其中红色字体标注的是最小化系统安装后的服务列表。
附:
显示所有服务:# chkconfig –list
查看服务的说明:
在CentOS下这些服务都是脚本,我们可以利用rpm的命令来查看相应的说明。例如想查看sshd服务说明,请执行:
# rpm -qi $(rpm -qf /etc/rc.d/init.d/sshd )
FreeBSD 技术上的先进性
FreeBSD 提供了许多先进特性
无论运行何种应用, 您总会希望系统资源发挥其最大潜能。 FreeBSD 的先进特性, 能够帮助您达成这一目的。
基于 4.4BSD 的完整操作系统
FreeBSD 的高贵根基, 派生于来自加州大学伯克利分校计算机系统研究小组最新的 BSD 软件版本。 因此, 由 4.4BSD 系统架构师们撰写的 The Design and Implementation of 4.4BSD Operating System (4.4BSD 操作系统的设计与实现) 也详细地介绍了 FreeBSD 的大部分核心功能。
来自全球各地的富有经验和开发技能的志愿者的长期努力, 使得 FreeBSD Project 得以在许多方面拓展 4.4BSD 操作系统的能力, 并不断使这一操作系统的每一个新版本更为稳定、 性能更好, 并提供用户所需的各种新功能。
FreeBSD 不仅提供了更好的性能, 也提供了更好的与其它操作系统的兼容性, 于此同时, 其所需要的人工管理和干预却比其他操作系统更少。
FreeBSD 的开发人员解决了许多操作系统设计上的疑难问题, 能够为您提供许多先进特性:
- 与虚拟内存整合的文件系统快取缓存 能够持续地调整用于程序和磁盘快取缓存的内存量。 其结果是, 不仅为应用程序提供了良好的内存管理, 也提供了更高的磁盘访问性能, 并将系统管理员从调整快取缓存尺寸的工作中解放出来。
- 兼容性模块 使得其他操作系统的应用程序能够在 FreeBSD 上正确运行, 目前已经能够兼容为 Linux、 SCO UNIX, 以及 System V Release 4 所编译的二进制形式的程序。
- Soft Updates 在不牺牲安全性和可靠性的情况下, 大大改善了文件系统性能。 它能够分析文件系统的元数据操作, 并避免以同步方式执行全部操作。 它维护关于元数据操作的一组内部状态, 并利用这些信息对元数据进行缓存, 并通过重新组织元数据操作的方法, 来合并对同一文件的后续操作, 并重新排列元数据操作, 以便使其更为有效地进行处理。 包括后台文件系统检查, 以及文件系统快照等在内的一系列功能, 均是在 soft updates 所提供的一致性和性能基础之上完成的。
- 文件系统快照, 使得管理员能够获得文件系统的原子快照, 并利用文件系统中的剩余空间来实现备份以及 后台 fsck, 使系统立即进入多用户模式, 而无需等待突然断电之后所需的文件系统清理操作。
- 支持 安全 IP (IPsec) 为网络提供了更好的安全性, 并支持下一代 Internet 协议, IPv6。 FreeBSD 的 IPsec 实现同时还支持许多 硬件加密加速设备。
- 直接可用的 IPv6 支持 来自 KAME 的 IPv6 协议栈, 使得 FreeBSD 得以无缝地接入下一代网络环境。 FreeBSD 甚至还附带了许多支持 IPv6 的应用程序!
- 多线程的 SMP 架构 能够在多个处理器上并行地运行内核, 配合 抢占式内核, 使得高优先级的内核任务能够抢占其他内核动作, 从而缩短响应时间。 这包括了 多线程的网络协议栈 以及 多线程的虚拟内存子系统。 从 FreeBSD 6.x 开始, 完全并行执行的 VFS, 使得 UFS 文件系统能够同时在多个处理器上执行, 从而使得 CPU-密集的 I/O 优化所造成的负荷得以分担。
- 通过 pthread 接口提供的 M:N 应用程序线程支持 使得线程能够以具有强适应性的方式在多个 CPU 上执行, 并将许多用户线程映射为少量 内核调度实体(KSE)。 通过采用 调度器激活(Scheduler Activation) 模型, 线程支持能够适应更多应用程序的需要。
- Netgraph 可插入式网络协议栈, 使开发人员能够很容易地通过清晰的网络层次抽象来动态扩展网络协议栈。 Netgraph 节点能够实现各式各样的新网络服务, 包括封装、 隧道、 加密, 以及性能适配。 其结果是, 能够轻易地迅速完成原形构建, 以及产品级的部署, 也减少了引入新问题的机会。
- 可扩展的内核安全 TrustedBSD MAC 框架, 能够使开发人员为特定的环境定制操作系统的安全模型, 无论是建立强化的安全策略, 还是部署完整性策略的强制性机密标签。 示范的安全策略包括 多级别安全 (MLS), 以及 Biba 完整性保护。 第三方模块包括 SEBSD, 一种基于 FLASK 实现的 Type Enforcement。
- GEOM 可插入式存储层, 使您能够迅速开发并将新的存储服务完全集成进 FreeBSD 存储系统。 GEOM 提供了一致和连贯的模型, 用于发现和堆叠存储服务, 从而使层次式服务, 如 RAID 和卷管理更为容易。
- FreeBSD 基于 GEOM 的磁盘加密 (GBDE), 通过 GEOM 框架提供了强加密保护, 并能用于保护文件系统、 交换区设备, 以及其他保存在存储介质上的数据。
- 内核队列(Kernel Queues, kqueue) 使得应用程序能够更为高效地响应各种异步事件, 包括文件和 socket IO, 从而改善应用程序和系统性能。
- 数据接收过滤器 (Accept Filters) 使得类似 web 服务器这样的连接密集型应用, 能够将它们的部分功能, 完全放入操作系统内核进行, 从而改善性能。
-
FreeBSD 提供了一系列用于保护网络和服务器的安全功能。
FreeBSD 的开发人员在关注性能和稳定性的同时, 也同样非常关注安全。 FreeBSD 包含了内核级的 状态式 IP 防火墙, 以及许多其他服务, 如 IP 代理网关、 访问控制表、 强制式访问控制、 基于 jail 的虚拟主机, 以及 加密保护的存储。 这些功能可以用于支持高度安全地为不同的不受信客户或消费者提供托管服务, 为网络进行可靠的分区, 以及建立安全的信息净化和信息流传递途径。
FreeBSD 也包含了对于加密软件、 安全 shell (SSH)、 Kerberos 认证、 通过 jail 建立 “虚拟服务器”、 通过 chroot 服务限制应用程序访问文件系统的能力, 安全 RPC 机制, 以及为支持 TCP wrapper 的服务建立访问控制表等多种能力。
如何让Linux进程在后台稳定运行
我们经常会碰到用 telnet/ssh 登录了远程的 Linux 服务器,运行了一些耗时较长的任务, 结果却由于网络的不稳定、系统超时或者用户 logout 从而导致任务中途失败。那么怎么让命令提交后不受本地关闭终端窗口/网络断开连接的干扰呢?下面收集整理了一些实际的例子, 您可以针对不同的场景选择不同的方式来解决这个问题。 继续阅读
安全科普:Waf实现扫描器识别 彻底抵挡黑客扫描 来自乌云
0×00 背景
目前安全测试的软件越来越多,也越来越强大,越来越多的人成为[黑客],今天在网上看到一个文章说拦截wvs的扫描,勾起了我写这篇文章的欲望。
因为公司的三大业务之一就有一个云waf,每天拦截的日志里面,有将近90%的请求是扫描器发出,waf接收到请求会解析数据包,然后过一遍规则,过完成百上千条规则必定对性能有一定的影响。如果能识别出来是人还是扫描器的请求,就可以在这方面节省很大的资源。
下面的分析介绍只针对web安全扫描器。 继续阅读
Waf的主要特性
随着web2.0时代的到来,Web应用也逐渐被人广泛的接受和使用。当然,每个新技术的到来对应着其安全问题也接踵而来。面对Web安全问题,不同于IDS与IPS的新技术,Web应用防火墙也逐渐映入人们的眼中。
Web应用防火墙(Web application firewall,WAF)主要用来保护Web应用免遭跨站脚本和SQL注入等常见攻击。WAF位于Web客户端和Web服务器之间,分析应用程序层的通信,从而发现违反预先定义好安全策略的行为。
尽管某些传统防火墙也能提供一定程度的应用认知功能,但是它不具备WAF的精度和准度。举例来说,WAF可以检测一个应用程序是否按照其规定的方式运行,而且它能让你编写特定的规则来防止特定攻击行为的再次发生。
Web应用防火墙(WAF)也不同于入侵防御系统(IPS),两者是完全不同的两种技术,后者是基于签名,而前者是从行为来分析,它能够防护用户自己无意中制造的漏洞。
目前Web应用防火墙的主要推动因素之一是支付卡行业数据安全标准(PCI DSS),该标准主要通过两个办法来验证是否合规:WAF和代码审查。另外一个推动因素是,人们越来越多的认识到攻击已经开始由网络转移到应用程序。根据WhiteHat Security公布的一份研究报告,从2006年1月到2008年12月间对877个网站进行了评估,结果发现82%的网站至少存在一个高危或紧急安全漏洞。
Web应用防火墙的主要特性
Web应用防火墙市场仍然不确定,有很多不同的产品被归类到WAF范畴。研究机构Burton Group的分析师Ramon Krikken表示,“很多产品提供的功能远远超出了我们通常认为防火墙应该具有的功能,这使得产品的评价和比较难以进行。”此外,通过将已有的非WAF产品整合到综合产品中的方式,新厂商开始进入市场。
根据研究和咨询公司Xiom创始人Ofer Shezaf提供的清单,下面列出Web应用防火墙应该具备的特性:
·深入理解HTTP。Web应用防火墙必须全面深入分析和解析HTTP的有效性。
·提供明确的安全模型。明确的安全模型只允许已知流量通过,这就给应用程序提供了外部验证保护。
·应用层规则。由于高昂的维护费用,明确的安全模型应该配合基于签名的系统来运作。不过由于web应用程序是自定义编码,传统的针对已知漏洞的签名是无效的。Web应用防火墙规则应该是通用的,并且能够发现像SQL注入这样的攻击变种。
·基于会话的保护:HTTP的最大弱势之一在于缺乏嵌入式的可靠的会话机制。Web应用防火墙必须实现应用程序会话管理,并保护应用程序免受基于会话的攻击和超时攻击。
·允许细粒度政策管理。例外政策应该只对极少部分的应用程序执行,否则,可能会造成重大安全漏洞。