redhat系列系統基本防護
設定賬號有效期:使用chage工具
賬號鎖定:使用passwd命令
強制定期修改密碼的檔案:/etc/login.defs(只對新建的使用者有效)
修改登入提示,減少系統私密資訊的檔案:/etc/issue、/etc/issue.net
禁用非必要的系統服務
鎖定保護某些機密檔案:使用chattr工具追加檔案的i屬性、a屬性
使用者切換:su [-] 使用者名稱
安全日誌記錄:/var/log/secure
使用者提權:
檢視自己的sudo授權:sudo -l
執行特權:sudo 特權命令 或者 sudo [-u 目標使用者] 特權命令
配置sudo授權的檔案:/etc/sudoers
有個預設wheel組,可執行所有命令,應該注釋掉!
ssh訪問控制:
防護措施:使用者限制、黑白名單、更改驗證方式,由密碼驗證到金鑰對、防火牆,限制認證次數,啟用高版本ssh協議等
服務端配置檔案:../ssh/sshd_config
金鑰驗證:檢查客戶端的私鑰與伺服器上的公鑰是否匹配
authorizedkeysfile 指定公鑰文字
私鑰檔案:id_rsa 公鑰檔案:id_rsa.pub
建立ssh金鑰對:使用ssh-keygen工具,預設rsa加密。
部署ssh公鑰:通過ssh-copy-id或者拷貝公鑰檔案
:md5完整性檢驗:使用md5sum校驗工具
gpg加密與解密:
官網:gpg支援很多演算法,支援對稱加密、非對稱加密、雜湊等
基本加密:gpg -c 文件
基本解密:gpg -d 加密的文件
gpg非對稱加密與解密:
1.建立金鑰對:gpg --gen-key
2.檢視金鑰對:gpg --list-keys
3.匯出公鑰:gpg -a --export 使用者b >放置公鑰的檔案
4.匯入公鑰:gpg --import 已有公鑰的檔案
gpg軟體簽名與驗證:
1.簽名:gpg -b 檔案
2.匯入公鑰:gpg --import
3.驗證:gpg --verify
aide入侵檢測系統
軟體包:aide
預設配置檔案:/etc/aide.conf
1.初始化檢測:沒有被攻擊前(一般系統剛安裝時),執行校驗操作:aide --init
2.拷貝校驗的檔案到安全儲存,如行動硬碟
若認為有入侵,將之前備份的校驗檔案還原:cp 疑似感染文件 校驗檔案位置目錄,執行aide --check
掃瞄與抓包
nmap掃瞄:網路探測,主機與埠發現等
基本用法:nmap [掃瞄型別] [選項] 《掃瞄目標》
常用掃瞄型別:-ss、-st、-su、-sp、-a、-p
tcpdump抓包:提取tcp資料報
基本用法:tcpdump 【選項】【過濾條件】
常見監控選項:-i、-a、-w、-r
訪問1.1.1.1的pop3服務:tcpdump -a dst host 1.1.1.1 and tcp port 110
運維經 第9章 rust cargo 加速
因為本人主營業務是c 那麼就要更了解c 的敵人 rust 聽說她要取代c 但不得不說,rust的工具鏈還是非常值得稱讚的,後續會開幾期來講講rust工具鏈,今天還是談談加速。找到cargo的配置,cargo config base frank deepin cd cargo base frank d...
運維經 第5章 python pip 加速
在使用pip install 的時候會很慢,而且你還是個急脾氣,咋整?pip install h 看一下,有沒有什麼解決方案?package index options i,index url base url of the python package index default this sho...
網路運維第1章 我的it經驗
osi七層網路參考模型應用層 服務於終端使用者計算機的乙個介面表示層 資料的表示,加密,安全等會話層 建立會話,管理斷開會話傳輸層 定義資料傳輸的協議,埠。以及流量控制和差驗校錯網路層 邏輯位址定址,實現到達不同目標位址的路徑選擇資料鏈路層 建立邏輯連線,實體地址定址。差驗校錯物理層 建立物理連線,...