- 博客(42)
- 资源 (4)
- 收藏
- 关注
RSS订阅原创 不影响旧版本的情况下对openssh及openssl的更新
此种方式升级openssh及openssl是我使用过的第三种方式,第一种构建rpm包进行升级、第二种安装telnet,直接覆盖原SSH版本,第三种就是以下记录的方式,可以在不影响之前版本的情况下,进行版本升级,新旧服务均可启动。 升级openssl tar -zxf openssl-1.1.0k.tar.gzcd openssl-1.1.0k./config --prefix=/opt/openssl1.1.0k --openssldir=/opt/openssl1.1.0k/openssl
2020-08-04 14:17:24
1142
原创 MySQL部署及加固参考
Mysql部署及加固参考一、安装参考二、加固参考一、安装参考1、标准用户groupadd mysqluseradd mysql -g mysql -s /sbin/nologin2、解压并授权tar xf mysql-5.7.18-linux-glibc2.5-x86_64.tar.gz -C /asop/mv mysql-5.7.18-linux-glibc2.5-x86_64 mysql5.7.18chown -R mysql.mysql /home/mysql 3、创
2020-07-01 15:43:21
299
原创 Apache加固参考及操作规范
Apache安全加固及规范参考Apache操作规范部署规范配置规范Apache安全加固服务信息泄露加固防Dos攻击加固目录权限加固服务端接口(CGI)加固默认访问功能加固禁用不安全的请求方法禁止目录列出防止点击劫持Apache操作规范部署规范统一的编译参数:参考配置: 1)、提前安装依赖环境apr、apr-util、pcre、zlib 2)、编译参数 ./configure --prefix=/asop/apache2.4.34 --enable-so --enable-mods-s
2020-06-11 10:44:48
487
原创 Nginx安全加固参考
注:最近部门领导要求梳理一份常用工具的安全加固参考手册,基于此需求,针对工作中经常遇到的被漏扫发现的问题,进行了梳理,参考了官网内容及网上各位大神的内容,不足之处,还望指正,版本环境为nginx1.18稳定版,若有参数不能正常使用,请参考nginx官网。安全加固参考Nginx部署规范常用编译参考Nginx优化及加固参考版本信息隐藏开启CPU亲和日志格式定义禁止目录列出自定义错误页面禁用不安全的http方法防DOS攻击控制超时时间限制连接数限制连接速率防止点击劫持Nginx部署规范常用编译参考 --w
2020-06-11 10:14:26
564
原创 MySQL安全类设置
启用MySQL密码复杂度策略:先决条件:先检查MySQL的版本,是否大于5.6以上,且MySQL的basedir下的lib\plugin目录中存在validate_password.dll的dll文件,linux下则为.so文件处理办法:1、查看是否安装密码复杂度的相关插件,查看输出是否有**validate_password**为名的行show plugins;2、安装、卸载...
2019-11-29 17:09:23
466
原创 常见web扫描漏洞修复即网站服务器加固项
名称:X-Frame-Options Header未配置漏洞描述:X-Frame-Options HTTP响应头可以指示浏览器是否允许当前网页在“frame”或“iframe”标签中显示,以此使网站内容不被其他站点引用和免于点击劫持攻击.修复方法:设置X-Frame-Options头,三个可选值:1、DENY:无论如何不在框架中显示;2、SAMEORIGIN:仅在同源域名下的框架中显示;3、...
2019-11-18 16:01:09
1521
原创 Tomcat拒绝连接原因分析
常见异常java.net.SocketTimeoutException超时错误,分为连接超时和读取超时,连接超时往往是由于网络不稳定造成的,但是读取超时不一定是网络延迟造成的,很有可能是下游服务的响应时间过长。java.net.BindException: Address already in use:JVM_Bind端口占用 ,通过netstat -ntlp查看端口占用情况ja...
2019-10-21 14:29:39
10311
原创 SUSE11升级ssh版本修复ssh漏洞
最近一个客户方给了一个系统漏洞扫描报告,报告中涉及很多ssh漏洞,遂,上机检查openssh的版本,并计划升级ssh版本,来修复这些漏洞,因为客户这边的服务器是suse,平常使用的也不多,这里在事后留个记录。 现场环境:SUSE11-sp3 SSH版本:OpenSSH6.2p2 SSL版本:OpenSSL 0.98j-fips 升级准备:...
2019-08-28 11:31:06
2738
4
原创 tomcat7.088报错Error parsing HTTP request header
八月 19, 2019 10:23:57 上午 org.apache.coyote.http11.AbstractHttp11Processor process信息: Error parsing HTTP request header Note: further occurrences of HTTP header parsing errors will be logged at DEBUG...
2019-08-19 10:55:27
671
原创 Linux安装字体
因近期项目上的应用需要用到仿宋字体和楷体等一些linux服务器上不存在的字体,所以,需要在服务器上安装这些字体,保证应用的正常调用字体。【项目系统环境:Centos7.4】 复制windows下的字体并更改为**.ttf,然后上传到服务器的/usr/share/fonts下,创建chinese目录,并将字体移动到chinese目录下 ,执行如下命令,需要注意的是,执行如下命...
2019-08-17 18:45:01
603
1
原创 关于从证书认证机构申请的证书的使用
近日一个项目上客户方要求使用https来进行传输的加密,然后客户方一个也不懂技术的负责人直接丢过来一个证书的压缩包,包含了:CA.cer、服务器证书.cer、中级CA.cer、***cn.key 、***.cn.csr、csr.txt、私钥.txt 等一堆文件,因为之前https证书只是试验的时候通过自建CA服务器和在tomcat上通过java生成key进行试验过,线上使用还是第一次...
2019-07-21 15:51:39
386
原创 iptables规则调试利器-使用LOG规则打印被拦截的日志
前段时间给一个项目上配置iptables规则进行加固,业务端口都进行了对应的开放,然后最后一条策略配置了丢弃所有的请求,自认为配置没有问题了,然后应用访问的时候一直有异常,通过iptables -nvL 观察到有很多包被抛弃了,但是不知道具体抛弃了哪些,是否有应用的链接端口被阻止,导致了应用的访问异常,然后通过配置如下规则再倒数第二条(即:在拒绝所有的请求之前输出没有匹配到规则的信息,...
2019-07-20 15:34:08
3022
原创 关于rpm安装docker遇到的一些问题及处理
今日给研发部门的同事在国产的中标麒麟7.4的操作系统上安装docker环境,因其环境特殊,无法使用互联网repo源,只让用rpm包来进行安装,因为也是第一次使用rpm包来进行docker的安装,所以这里留个记录 1、下载docker及安装所需的依赖包(因为中标的源下载的时候过慢,且有部分包不存在,这里我是在centos7上直接配置阿里yum源来进行的下载)#仅下载安装包而不进行...
2019-07-20 15:18:00
4225
原创 关于nginx中使用“Sticky”模块
使用NGINX做负载均衡器时,常遇到如何将来自同一用户的访问始终定向到一台后端设备进行响应,一般nginx上面有下面办法来实现会话保持: 1、ip_hash nginx原生支持的基于IP地址来将不同的请求转发到同一台服务器进行响应,缺点就是如果前端用户都来自同一局域网,基于ip的负载方法会导致负载不均衡; 2、sticky 基于cookie来进...
2018-12-29 14:34:41
6135
4
原创 tomcat加固及优化
目录tomcat加固1、隐藏Response Header中server信息;2、隐藏tomcat版本信息;3、禁用关闭端口及AJP端口(AJP无使用需求的情况下);4、关闭热部署,即每次变动的类需要重新启动才能生效,避免直接部署造成的不安全因素;5、限制访问IP;6、增加日志内容;7、删除webapps下默认的样例及管理端(保持webapps下只有所需的项目即可,...
2018-12-10 16:53:42
1904
原创 IIS实现反向代理tomcat应用
最近一些项目上有些改造,需要将以前使用二级域名的应用给改为 域名/应用 的方式来进行访问,使用apache和nginx的服务器利用反向代理都比较好改,但是有些项目上使用的windows上的IIS,这个因为接触的较少,所以不是很清楚怎么操作,这里记录一下,留待以后再有使用的时候查看。项目环境:winServer2008R2 IIS版本:v7.5 web服务器IP 172.17.9.155 ...
2018-11-16 10:56:32
3234
原创 rsync用法及参数详解
rsyncrsync的目的是实现本地主机和远程主机上的文件同步(包括本地推到远程,远程拉到本地两种同步方式),也可以实现本地不同路径下文件的同步,但不能实现远程路径1到远程路径2之间的同步(scp可以实现)。不考虑rsync的实现细节,就文件同步而言,涉及了源文件和目标文件的概念,还涉及了以哪边文件为同步基准。例如,想让目标主机上的文件和本地文件保持同步,则是以本地文件为同步基准,将本地文...
2018-11-16 09:26:41
9590
1
原创 rsync+sersync实现实时同步
之前的一篇中记录了rsync+inotify实现文件的实时传输,碍于inotifywait的bug问题,线上同步网站文件无法使用,所以再记录一下sersync的配置,留待使用时查看。环境:centos6.8IP及功能划分:172.17.9.151(发布服务器)172.17.9.150 (web服务器)需求:发布服务器生成静态页面(wwwroot下),使用rsync+ser...
2018-11-12 11:25:32
671
原创 实时同步工具rsync+inotify配置
背景:最近有项目上需要使用一个同步工具来进行网站页面的同步,因为之前别的项目上都在使用iguard来进行同步和防篡改,这次因为经费问题,需要我们自己上免费的,故而又把rsync+inotify给找了出来,因为以前只是线下自己搭建过,未在线上使用过,这里再次搭建的时候,在这里记录下,留待以后查看。分析:rsync是一个常用来同步的工具命令,可以实现内容的整体同步,而inotify工具则可以实现细...
2018-11-08 10:43:35
241
原创 Windows上关于time_wait及fine_time_wait2连接较多的处理
FiNE_TIME_2:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters创建一个DWORD的键,命名为:TCPFinWait2Delay,键入一个30--300的值注意:如果 TCPFinWait2Delay 值不存在,必须创建它作为 REG_DWORD 的注册表值。此注册表值控制它被迫关闭 (s ...
2018-10-16 15:41:38
2465
原创 关于Caused by: java.net.SocketException: Permission denied: connect问题的处理
今日处理一个Permission denied的问题,现象:此应用为一采集器,项目经理反馈说是经常性的自己就挂掉了,让协助排查下;环境为:windows2008+jdk1.8,网上参考了很多解决办法,很多基本都不符合我这里情况,最后找到一些关于java通讯网络偏好的一些参考建议,觉得这个应该是符合我这里环境,先做了配置,然后观察段时间。[SPIDER] 2018-10-10 00:00:0...
2018-10-11 16:55:16
3189
原创 关于oracle图形化安装过程中出现的黑色竖线的处理办法
背景:作为一个linux的运维,工作中其实很少使用图形化进行数据库的安装,近日给一个项目组安装测试库的时候,使用图形化的方式进行了安装,安装到检查依赖包的时候,检查到pdksh没有安装,因为这个东西很老了,现在直接装ksh就行,所以选择忽略后继续安装,但是选择忽略以后,本来应该是直接Next后应该开始安装,问题这个时候来了,点击Next以后,屏幕上出现一道淡黑色遮罩,中间一个竖线,也...
2018-09-07 17:14:40
3276
原创 【转载】检查服务器是否有被黑客入侵
随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的机器被黑情况供参考。背景信息:以下情况是在CentOS 6.9的系统中查看的,其它Linux发行版类似。1.入侵者可能会删除机器的日志信息,可以查看日志信息是否还存在或者是否被清空,相关命令示例:2.入侵者可能创建一个新的存放用户名及密...
2018-08-22 10:40:55
2069
原创 关于 No buffer space available (maximum connections reached?): connect 的处理
近日收到一个客户方的反馈,应用程序无法访问,想着应该是中间件异常了,重新启动一下就好,然而,登陆服务器的时候,发现tomcat已经不知道什么时候自动结束了,程序运行在tomcat+windows2008的环境下,以为是客户给结束了,然后直接尝试重启,发现如下报错(前面的一堆就不再截取了,因为此文是事后所写,报错信息是从日志文件中取出):严重: Error starting end...
2018-08-21 10:33:24
31532
7
原创 Oracle限制sys用户远程登录
查看remote_login_password的值,并修改之SHOW PARAMETER REMOTE_LOGIN_PASSWORD ; 值为:exclusive时,启用口令文件,允许远程登录; 值为:NONE时,停用口令文件验证,Oracle数据库不允许远程SYSDBA/SYSOPER身份登录,无法通过远程进行数据库起停等操作管理; 值为:shared时,多个...
2018-07-26 16:39:10
10033
原创 使用apache服务的功能模块使web服务免受应用层DOS攻击
一般来说,有两种形式的 DOS 攻击:OSI 模型的三、四层,即网络层攻击 OSI 模型的七层,即应用层攻击第一种类型的 DOS 攻击——网络层,发生于当大量的垃圾流量流向网页服务器时。当垃圾流量超过网络的处理能力时,网站就会宕机。第二种类型的 DOS 攻击是在应用层,是利用合法的服务请求,而不是垃圾流量。当页面请求数量超过网页服务器能承受的容量时,即使是合法访问者也将无法使用该网站。...
2018-07-19 16:47:21
355
原创 IIS7无法添加类型为“mimeMap”的重复集合项
现象:前段时间的某一天,某子站下上传一个mp4视频,无法播放,给添加了mime类型里面的.mp4,子站可以正常播放mp4视频,看到IIS里面子站太多,遂决定直接在父级上直接添加MIME类型,添加时未报错,而且,下面子站也同样继承到了这个类型。但是第二天用户反应子站有些页面打不开,抛错:HTTP 500.19 Internal Server Error 无法访问请求的页面,因为该页的相关配置数据无效...
2018-07-17 17:23:46
1609
原创 关于apache2.2日志切割报错failed unexpectedly处理
现象:用户方打电话,说网站不能正常访问,尝试重启apache后访问正常,但是随后几分钟又无法访问,需要不断重启才能维持官网访问,到现场查看后,发现错误日志error.log中记载了大量的虚拟主机日志切割不正常的报错,报错内容为:piped log program 'bin/rotatelogs.exe D:/Apache2.2/logs/access_****.cn_%y%m%d.log 8640...
2018-07-17 14:47:47
704
原创 Apache2.2(OS 64)指定的网络名不再可用的处理
昨天收到一个客户方电话求助,说是内网网站访问慢,log里刷新的日志为:[warn] (OS 64)指定的网络名不再可用. : winnt_accept: Asynchronous AcceptEx failed. 客户现场环境为windows2003操作系统,apache版本2.2.24。 经在apache2.2官方文档上面查找windows apache使用的...
2018-07-17 11:18:19
1413
原创 关于tomcat切割catalina.out日志的三种方式
1.log4j进行日志切分 1)准备三个包:log4j-1.2.17.jar tomcat-juli.jar tomcat-juli-adapters.jar 放到tomcat的lib目录或者是工程的WEB_INF/lib下, 2)在lib目录下新建log4j.properties,加入以下内容log4j.rootLogger = INFO, CATALINA...
2018-07-05 14:24:07
22177
6
原创 centos7+oracle11gR2
环境:Centos7.4(X86_64)+Oracle11gR2(X86_64)记录目的:装过几次oracle,步骤感觉比较繁琐,留待自己以后装的时候方便使用。1、创建oracle相关用户及用户组 groupadd oinstall groupadd dba useradd -g oinstall -G dba oracle passwd oracle 关于oracle组的...
2018-07-05 09:42:44
968
原创 windows下删除指定日期前的文件
习惯操作linux系列的操作系统,对DOS下的操作有些陌生,但是现在有些客户方使用的windows的环境,需要做数据库的定时备份,Sqlserver的控制台上面还是比较方便来进行数据库的定时备份与删除指定日期前的备份文件的,但是MySQL的就不容易删除了,,有些项目上,有前任同事给使用Nv进行的备份,但是没有做备份文件的定时清理,导致磁盘空间不够,这里分享一个windows下的批处理程...
2018-06-11 16:15:29
9737
1
原创 Centos6.7下平滑升级SSH
最近客户给了一个漏洞扫描报告,需要我这协助做一下ssh的漏洞修复,因为是通过堡垒机远程进行的连接,所以,网上说的一些需要卸载ssh,再重新编译的方法不适合我此时的环境,因此,采用重新build rpm包,来进行update ,这里记录一下。 操作系统:centos6.7 目标ssh版本:7.6 可以先使用ssh -V (或者rpm -qa |grep openssh)查...
2018-06-08 17:13:24
832
1
原创 ipv6下jdbc的连接数据库方式
最近公司承接的一些项目上都在提出ipv6的改造,需要我们提供一些支持,保证应用的可用性,故此,将公司的应用分别在ipv6的环境下进行了一些测试,测试环境基于ipv6的网络环境,linux操作系统,中间件tomcat。以下一些记录为网上搜集的ipv6下的jdbc的链接方式。 MySQL: ipv4 Driver URL: jdbc:mysql://127.0.0.1:3306/...
2018-05-11 14:44:55
2534
原创 Nexus Repository Manager 搭建私有docker仓库
1.下载nexus3的镜像:docker pull sonatype/nexus32.使用镜像启动一个容器:docker run -d --name nexus --restart=always -p 5000:5000 -p 8081:8081 sonatype/nexus3注:5000端口是用于镜像仓库的服务端口 8081 端口是nexus的服务端口3.启动之后我们就可以通过http:/...
2018-05-08 14:44:23
3042
1
原创 可视化docker管理工具portainer
Portainer是Docker的图形化管理工具,提供状态显示面板、应用模板快速部署、容器镜像网络数据卷的基本操作(包括上传下载镜像,创建容器等操作)、事件日志显示、容器控制台操作、Swarm集群和服务等集中管理和操作、登录用户管理和控制等功能。功能十分全面,基本能满足中小型单位对容器管理的全部需求。 下载portainer镜像docker pull portainer/portainer...
2018-05-08 14:30:42
410
原创 docker常用操作
镜像搜索docker search centos搜索内容:NAME:镜像所在仓库名,可以用它来pull镜像 DESCRIPTION:镜像描述STARS:用户评价 OFFICIAL:是否是官方的 AUTOMATED:是否是使用自动构建流程创建的镜像拉取docker pull centos:6.9格式:docker pull [OPTIONS] NAME[:TAG|@DIGEST]镜像删除docke...
2018-05-08 14:20:19
134
原创 weblogic静默方式创建域
创建域目录:mkdir -p /home/weblogic/Oracle/Middleware/user_projects/domains/base_domain/创建文件: create_domain.rspread template from "/home/weblogic/Oracle/Middleware/wlserver/common/templates/wls/wls.jar"; ...
2018-03-30 16:13:04
3105
1
原创 centos6.8下weblogic12c静默安装
环境: centos6.8 无桌面环境 jdk1.7.0_25 关闭iptables、selinux安装前准备: 1、新建weblogic用户,设置weblogic密码 useradd weblogic passwd weblogic 2、切换用户至weblogic下,将已下载的jdk上传到服务器上,解压并移动到/usr/local/jdk1.7 2.1...
2018-03-30 16:11:59
689
1
原创 Apache2.4启用HTTPS
环境:centos6.8 安装CA需要服务器已安装openssl IP规划:CA 172.17.9.150 apache 172.17.9.151创建目录,保存私钥使用mkdir -p /etc/pki/CA/private生成私钥,并设置权限( umask 077 ; openssl genrsa -out /etc/pki/CA/private/cakey.p...
2018-03-26 11:51:17
6161
tongweb6.1快速使用手册
2018-07-02
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人