Linux 安全设置脚本,部分配置按需修改

Linux 安全设置脚本,部分配置按需修改

#!/bin/bash
# Filename:     security_setting.sh
# Author:       Jeff.Cui
# Date:         2023-05-22
############### 安全设置主要修改功能 ###############
# 修改禁止 root ssh 登录,如只有root用户,则添加用户:dbaadmin/DBA_Test1 用户;
# 修改 ssh 端口为 922 ;
# 修改密码最大可用时间180天,最少8位大写字母、小写字母、数字、特殊字符;
# 修改限制IP网段访问,hosts.allow 和 firewalld
# 修改超时限制 1800s;

# 红字、高亮
RGB_DANGER() {
    echo -e "\n\033[31;1m# $1 \033[0m\n"
}
# 白字、半亮
RGB_WAIT() {
    echo -e "\n\033[37;2m# $1 \033[0m\n"
}
# 绿字、高亮
RGB_SUCCESS() {
    echo -e "\n\033[32;1m# $1 \033[0m\n"
}
# 黄字、半亮
RGB_WARNING() {
    echo -e "\n\033[33;2m# $1 \033[0m\n"
}
# 天蓝字、半亮
RGB_INFO() {
    echo -e "\n\033[36;2m# $1 \033[0m"
}
# 检查操作系统大版本,如6/7/8
CHECK_VER=$(egrep "^VERSION_ID" /etc/os-release | cut -d\" -f2 | cut -d\. -f1)
# 检查 RAM 大小,此处未使用
CHECK_RAM=$(cat /proc/meminfo | grep "MemTotal" | awk -F" " '{ram=$2/1024/1024}{printf("%.0f",ram)}')
# 设置日志名字,脚本同目录下
conflog=linux_security_$(date +'%Y%m%d').log
# 检查 kernel 版本,用以同 4.9 比较大小,BBR 要求 4.9 及以上版本
KERN=$(uname -r | awk -F. '{ printf("%d.%d\n",$1,$2); }')
kern_int=$(echo $KERN|cut -d\. -f1)
kern_dec=$(echo $KERN|cut -d\. -f2)
if [ $kern_int -gt 4 ];then
    cansue_bbr = "Y"
elif [ $kern_int -eq 4 ] && [ $kern_dec -ge 9 ];then
    cansue_bbr = "Y"
fi

# 检查是否 root 执行
check_root() {
    if [[ $EUID -ne 0 ]]; then
        RGB_DANGER "This script must be run as root!"
        exit 1
    fi
}

# 检查 OS 版本是否为 7
check_os() {
    if [ "${CHECK_VER}" != '7' ]; then
        RGB_DANGER "This script must be run on Linux 7!"
        exit 1
    fi
}

# 启用 BBR,防止网络拥塞,需要内核版本>=4.9
open_bbr() {
    echo "============= bbr =============" >>${conflog} 2>&1
    RGB_WAIT "Configuring..."
    sed -i '/default_qdisc\|BBR\|tcp_congestion_control/d' /etc/sysctl.conf
    echo "# BBR" >>/etc/sysctl.conf
    echo "net.core.default_qdisc=fq" >>/etc/sysctl.conf
    echo "net.ipv4.tcp_congestion_control=bbr" >>/etc/sysctl.conf
    sysctl -p >>${conflog} 2>&1
    sysctl -n net.ipv4.tcp_congestion_control >>${conflog} 2>&1
    lsmod | grep bbr >>${conflog} 2>&1
    RGB_SUCCESS "Configuration Success"
}

# 设置禁用 SELinux
disable_selinux() {
    echo "============= selinux =============" >>${conflog} 2>&1
    RGB_WAIT "Configuring..."
    seconf=$(grep -i ^selinux= /etc/selinux/config | sed 's/ //g' | cut -d\= -f2)
    seconf=$(echo $seconf | tr [:upper:] [:lower:])
    if [ "${seconf}" != "disabled" ];then
        sed -i 's/^SELINUX=.*$/SELINUX=disabled/g' /etc/selinux/config
        setenforce 0
    else
        RGB_INFO "SELinux already configed to 'disabled',see /etc/selinux/config:$(grep -i ^selinux= /etc/selinux/config)"
    fi
    # systemctl disable firewalld.service >>${conflog} 2>&1
    # systemctl stop firewalld.service >>${conflog} 2>&1
    RGB_SUCCESS "Configuration Success"
}

# 设置仅允许指定 IP 可以 ssh 登录
limit_sshIP() {
    sed -i '/10.10.212.89/d' /etc/hosts.allow
    echo "sshd:10.10.212.89/255.255.252.0" >>/etc/hosts.allow
    sed -i '/sshd:/d' /etc/hosts.deny
    echo 'sshd:ALL' /etc/hosts.deny
    systemctl restart firewalld # 开启防火墙
    systemctl enable firewalld # 开机自启动防火墙
    firewall-cmd --zone=public --list-rich-rules
    firewall-cmd --permanent --remove-service=ssh
    firewall-cmd --permanent --zone=public --remove-service=ssh # 取消没有限制的ssh服务,限制远程登录
    firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.56.0/23" port protocol="tcp" port="922" accept' #添加 192.168.56.0/23 网段 访问 922号端口白名单
    firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="10.10.212.89/22" port protocol="tcp" port="922" accept' #添加 10.10.212.89/22 网段 访问 922号端口白名单
    firewall-cmd --reload # 生效设置
    firewall-cmd --zone=public --list-rich-rules
}

# 设置时区为东八区 'Asia/Shanghai' "+0800"
time_zone() {
    echo "============= time zone =============" >>${conflog} 2>&1
    RGB_WAIT "Configuring..."
    if [ "$(date +%z)" != "+0800" ];then
        rm -rf /etc/localtime >>${conflog} 2>&1
        ln -sf /usr/share/zoneinfo/Asia/Shanghai /etc/localtime >>${conflog} 2>&1
        ls -ln /etc/localtime >>${conflog} 2>&1
    else
        tz=$(echo " $(ls -l /etc/localtime | awk -F"/" '{print $(NF-1)"/"$NF}') ($(date +'%Z, %z'))" | sed 's/^ //g')
        RGB_INFO "Time Zone already set to 'Asia/Shanghai', like $tz,see /etc/localtime"
    fi
    RGB_SUCCESS "Configuration Success"
}

# 可选,测试环境可用
custom_profile() {
    echo "============= custom profile =============" >>${conflog} 2>&1
    RGB_WAIT "Configuring..."
    cat >/etc/profile.d/secu.sh <>${conflog} 2>&1
    RGB_SUCCESS "Configuration Success"
}

# 禁用 ctrl-alt-del 重启组合键
disable_cad() {
    echo "============= disable cad =============" >>${conflog} 2>&1
    RGB_WAIT "Configuring..."
    if [ -h /etc/systemd/system/ctrl-alt-del.target ];then
        rm -rf /usr/lib/systemd/system/ctrl-alt-del.target
        RGB_INFO "removed ctrl-alt-del.target link"
    else
        RGB_INFO "Already removed ctrl-alt-del.target link"
    fi
    # systemctl mask ctrl-alt-del.target >>${conflog} 2>&1 # 创建或修改软连接指向 /dev/null
    RGB_SUCCESS "Configuration Success"
}

# 锁定没有登录权限的账户
lock_user() {
    echo "============= Lock users =============" >>${conflog} 2>&1
    RGB_WAIT "Configuring..."
    for account in $(egrep "/sbin/nologin" /etc/passwd | cut -f 1 -d ":"); do
        passwd -l $account 2>&1 >/dev/null
    done
    # 如果只有 root 账户可登录系统,则建立其他管理员账户,如:dbaadmin/DBA_Test1
    if [ $(egrep "/bin/bash|/bin/csh|/bin/sh" /etc/passwd | cut -f 1 -d ":" | grep -v root| wc -l) -eq 0 ];then
        useradd dbaadmin -g wheel -G wheel
        echo "DBA_Test1" | passwd --stdin dbaadmin
    fi
    # cut -d : -f 1 /etc/passwd >>${conflog} 2>&1
    # for g in adm lp mail games ftp; do
    #     groupdel ${g} >>${conflog} 2>&1
    # done
    # cat /etc/group >>${conflog} 2>&1
    RGB_SUCCESS "Configuration Success"
}

# 系统文件权限
sys_permissions() {
    echo "============= sys permissions =============" >>${conflog} 2>&1
    RGB_WAIT "Configuring..."
    chmod 644 /etc/passwd >>${conflog} 2>&1
    chmod 644 /etc/group >>${conflog} 2>&1
    chmod 000 /etc/shadow >>${conflog} 2>&1
    chmod 000 /etc/gshadow >>${conflog} 2>&1
    ls -la /etc/passwd >>${conflog} 2>&1
    ls -la /etc/group >>${conflog} 2>&1
    ls -la /etc/shadow >>${conflog} 2>&1
    ls -la /etc/gshadow >>${conflog} 2>&1
    RGB_SUCCESS "Configuration Success"
}

#修改已经存在的账户的密码过期时间
exist_account_pwd_policy() {
    name=$(egrep "/bin/bash|/bin/csh|/bin/sh" /etc/passwd | grep -v root | awk -F ":" '{print $1}')
    echo "Check exist account and change expire time for password..."
    if [ -n "$name" ]; then
        for i in $name; do
            passwd -n 2 -x 180 -w 7 $i 2>&1 >/dev/null
        done
        printf "OK\n"
    else
        printf "Do not exist account,OK\n"
    fi
}

# 修改默认密码策略,对后加账户生效
password_policy() {
    echo "============= default password policy =============" >>${conflog} 2>&1
    RGB_WAIT "Configuring..."
    passwd_maxdays=$(grep -i ^PASS_MAX_DAYS /etc/login.defs | awk '{print $2}')
    if [ $passwd_maxdays -gt 180 ];then
        cp /etc/login.defs /etc/login.defs.$(date +'%F')
        sed -i 's/^PASS_MAX_DAYS.*$/PASS_MAX_DAYS   180/' /etc/login.defs
        sed -i 's/^PASS_MIN_DAYS.*$/PASS_MIN_DAYS   0/' /etc/login.defs
        sed -i  's/^PASS_MIN_LEN.*$/PASS_MIN_LEN    8/' /etc/login.defs
        sed -i 's/^PASS_WARN_AGE.*$/PASS_WARN_AGE   7/' /etc/login.defs
    else
        RGB_INFO "Default Password lifetime policy already changed, do nothing"
    fi
    grep -Ev "^$|^#" /etc/login.defs >>${conflog} 2>&1
    # 修改密码复杂度
    plnum=$(grep -Ei "^minlen|^difok|^dcredit|^ucredit|^ocredit|^lcredit" /etc/security/pwquality.conf| wc -l)
    if [ $plnum -eq 0 ];then
        cat >>/etc/security/pwquality.conf <>${conflog} 2>&1
    RGB_WAIT "Configuring..."
    sed -i 's/^INACTIVE.*$/INACTIVE=180/' /etc/default/useradd
    cat /etc/default/useradd >>${conflog} 2>&1
    RGB_SUCCESS "Configuration Success"
}

# 配置 ssh 策略
sec_ssh() {
    echo "============= ssh 安全设置(禁止root登录、修改ssh默认端口为922) =============" >>${conflog} 2>&1
    RGB_WAIT "Configuring..."
    cp /etc/ssh/sshd_config /etc/ssh/sshd_config_$(date +'%F')
    sed -i '/^UseDNS\|^Port\|^AllowTcpForwarding\|^X11UseLocalhost\|^X11Forwarding\|^LoginGraceTime\|^PermitEmptyPasswords\|^PubkeyAuthentication\|^MaxAuthTries\|^ClientAlive\|^PermitRootLogin/d' /etc/ssh/sshd_config
    sed -i '/^#UseDNS/a\UseDNS no' /etc/ssh/sshd_config
    sed -i '/^#Port/a\Port 922' /etc/ssh/sshd_config
    sed -i '/^#AllowTcpForwarding/a\AllowTcpForwarding yes' /etc/ssh/sshd_config
    sed -i '/^#X11UseLocalhost/a\X11UseLocalhost no' /etc/ssh/sshd_config
    sed -i '/X11Forwarding/a\X11Forwarding yes' /etc/ssh/sshd_config
    sed -i '/^#LoginGraceTime/a\LoginGraceTime 90' /etc/ssh/sshd_config
    sed -i '/^#PermitEmptyPasswords/a\PermitEmptyPasswords no' /etc/ssh/sshd_config
    sed -i '/^#PubkeyAuthentication/a\PubkeyAuthentication yes' /etc/ssh/sshd_config
    sed -i '/^#MaxAuthTries/a\MaxAuthTries 5' /etc/ssh/sshd_config
    sed -i '/^#ClientAliveInterval/a\ClientAliveInterval 60' /etc/ssh/sshd_config
    sed -i '/^#ClientAliveCountMax/a\ClientAliveCountMax 3' /etc/ssh/sshd_config
    sed -i '/^#PermitRootLogin/a\PermitRootLogin no' /etc/ssh/sshd_config
    sed -i "s/#Banner none/Banner \/etc\/issue.net/g" /etc/ssh/sshd_config
    echo "ATTENTION:You have logged onto a secured server, ONLY Authorized users can access..." > /etc/issue
    echo "ATTENTION:You have logged onto a secured server, ONLY Authorized users can access..." > /etc/issue.net
    echo "ATTENTION:You have logged onto a secured server, ONLY Authorized users can access..." > /etc/motd
    systemctl restart sshd >/dev/null 2>&1
    grep -Ev "^$|^#" /etc/ssh/sshd_config >>${conflog} 2>&1
    RGB_SUCCESS "Configuration Success"
}

# 禁用 USB 设备
dsiable_usb() {
    echo "============= 禁用 USB 设备 =============" >>${conflog} 2>&1
    RGB_WAIT "Configuring..."
    echo "install usb-storage /bin/true" >/etc/modprobe.d/block_usb.conf
    cat /etc/modprobe.d/block_usb.conf >>${conflog} 2>&1
    RGB_SUCCESS "Configuration Success"
}

# 超时设置
timeout_config() {
    echo "============= timeout config =============" >>${conflog} 2>&1
    RGB_WAIT "Configuring..."
    echo "export TMOUT=1800" >>/etc/profile.d/custom.conf
    cat /etc/profile.d/custom.conf >>${conflog} 2>&1
    RGB_SUCCESS "Configuration Success"
}

# 询问是否重启 OS, reboot
reboot_os() {
    RGB_WARNING "Please restart the server and see if the services start up fine."
    RGB_WARNING "Do you want to restart OS ? [y/n]: "
    while :; do
        read REBOOT_STATUS
        if [[ ! "${REBOOT_STATUS}" =~ ^[y,n]$ ]]; then
            echo -en "${RGB_DANGER}Input error, please only input 'y' or 'n': "
        else
            break
        fi
    done
    REBOOT_STATUS=$(echo $REBOOT_STATUS | tr [:upper:] [:lower:])
    [ "${REBOOT_STATUS}" == 'y' ] && reboot
}

# 主步骤
main() {
    RGB_INFO "1/13 : Customize the profile (color and alias)"
    custom_profile
    RGB_INFO "2/13 : Time zone adjustment,设置时区"
    time_zone
    RGB_INFO "3/13 : Disable selinux,禁用 SELinux"
    disable_selinux
    RGB_INFO "4/13 : Configure Limit IP login,限制 IP 远程访问"
    limit_sshIP
    RGB_INFO "5/13 : Disable Ctrl+Alt+Del"
    disable_cad
    if [ "$cansue_bbr" = "Y" ];then
        RGB_INFO "6/13 : Enable Google bbr congestion control algorithm,启用 Google BBR 防拥堵,内核版本≥4.9"
        open_bbr
    else
        RGB_INFO "6/13 : 不支持 Google BBR 防拥堵配置,内核版本<4.9,Not support Google bbr congestion control algorithm, do nothing..."
    fi
    RGB_INFO "7/13 : 锁定(Lock)没有登录权限的账户 ( $(egrep "/sbin/nologin" /etc/passwd | cut -d: -f1 | paste -s -d ","s) )"
    lock_user
    RGB_INFO "8/13 : System permissions for sensitive files,修改passwd/group等系统文件读写权限"
    exist_account_pwd_policy
    RGB_INFO "9/13 : System permissions for sensitive files,修改passwd/group等系统文件读写权限"
    sys_permissions
    RGB_INFO "10/13 : Modify Account Password Survival Policy,设置密码最大可用天数、最小长度等"
    password_policy
    RGB_INFO "11/13 : Maximum number of days an account is valid after password expiration strategy"
    change_useradd
    RGB_INFO "12/13 : SSH 安全设置,禁用 root 远程登录,修改默认端口为 922"
    sec_ssh
    RGB_INFO "13/13 : Timeout Auto-Logout Configuration, 设置 30 分钟超时退出"
    timeout_config
    reboot_os
}
clear
check_root
check_os
main

你可能感兴趣的:(linux安全shelldba)

  • 【RH134问答题】第十章 控制启动过程 不怕娜 服务器数据库网络
    系列文章第一章提高命令行生产效率第二章计划将来的任务第三章调优系统性能第四章使用ACL控制对文件的访问第五章管理SELinux安全性第六章管理基本存储第七章管理逻辑卷第八章实施高级存储功能第九章访问网络附加存储目录系列文章请简要说明RHEL8的启动过程。系统重启和关机的命令分别是什么?Systemdtarget是什么?重置丢失的root密码需要哪些步骤?如何让系统日志在重启后持久保留?请简要说明R
  • linux安全配置规范 十年人间~ linux安全服务器
    一、概述1.1适用范围本配置规范适用于凝思操作系统,主要涉及LINUX操作系统安全配置方面的基本要求,用于指导LINUX操作系统安全加固工作,落实信息安全等级保护等保三级系统操作系统安全配置,为主机安全配置核查提供依据。1.2实施策略序号配置类别配置项名称实施策略1身份鉴别口令复杂度策略合规2身份鉴别登录失败账户锁定策略合规3身份鉴别口令最长生存期策略合规4身份鉴别SSH登录配置合规5访问控制多余
  • Linux安全基线与加固 ghost+ linux运维
    基于CIS基线GitHub-daniel-armbrust/linux-security-baseline:LinuxSecurityBaselinebasedonCISBenchmarks.|=----------------=[GNU/Linux安全基线与加固-0.3]=----------------=|0.Aboutthisdoc1.Routinesecuritybaseline1.1Se
  • iptables防火墙 Mr_Black0_0 网络服务器运维
    iptables[-t表名]管理选项[链名][匹配条件][-j控制类型]1.表:filter:过滤规则表,根据预定义的规则过滤符合条件的数据包,默认表nat:networkaddresstranslation地址转换规则表mangle:修改数据标记位规则表raw:关闭启用的连接跟踪机制,加快封包穿越防火墙速度security:用于强制访问控制(MAC)网络规则,由Linux安全模块(如SELinu
  • 保护你的 Linux VPS:入门指南 白如意i linuxlinux运维服务器
    简介掌控自己的Linux服务器是一个尝试新事物并利用强大平台的机会。然而,Linux服务器管理员必须像对待任何网络连接的机器一样谨慎,以保持其安全性和稳定性。有许多不同的安全主题属于“Linux安全”这一总类,并且对于Linux服务器的适当安全级别有许多不同的看法。最重要的是,你将不得不自行决定哪些安全保护措施是必要的。在这之前,你应该意识到风险和权衡,并决定对于你来说,可用性和安全性之间的平衡是
  • Linux账号密码安全运维 运维linux安全漏洞
    前言随着云计算厂商的兴起,云资源如ECS不再只有企业或者公司才会使用,普通人也可以自己买一台ECS来搭建自己的应用或者网站。虽然云计算厂商帮我们做了很多安全相关的工作,但并不代表我们的机器资源就绝对是安全的。要知道有很多事情是云计算厂商不能为我们做的,就比如账号密码的安全策略配置,而账号密码的安全又是Linux安全中的第一道安全锁,我们必须重视起来。比如一个具有公网IP的服务器,我们可以使用Lin
  • Linux安全警示:揭秘十大著名恶意软件及其危害 知白守黑V 系统安全安全运维Linuxlinux系统运维安全运维Linux系统安全Linux病毒防御安全策略Linux安全管理
    Linux系统由于其高度的安全性和开源特性,比起Windows和其他操作系统,病毒和恶意软件的感染案例要少得多。然而,这并不意味着Linux系统就是完全安全的,它们也可能受到攻击。以下是一些曾影响Linux系统的恶意软件以及它们的概述和危害:1.Slapper简介和危害:Slapper是一个使用Apache的SSL漏洞的蠕虫病毒,它在2002年出现。这个病毒可以创建一个网络,让攻击者远程控制受感染
  • Linux安全与防护 CC学妹 经验分享笔记
    Linux系统的安全与防护涉及多个方面,以下是一些关键的安全建议:确保操作系统端口安全:TCP或UDP网络数据通过使用端口号才能被正确地指向相应的应用程序,攻击者可能会利用各种手段对目标主机的端口进行扫描和探测。因此,建议使用网络工具定期检测网络端口的异常活动,发现可疑行为后应立即采取防护措施。管理用户和目录权限:用户在管理自己的目录时应谨慎配置权限,以防止未经授权的用户访问。一般情况下,除非特定
  • Linux安全技术与iptables防火墙 敢敢936 linux安全服务器网络
    一.安全技术:入侵检测系统(IntrusionDetectionSystems):特点是不阻断任何网络访问,量化、定位来自内外网络的威胁情况,主要以提供报警和事后监督为主,提供有针对性的指导措施和安全决策依据,类似于监控系统一般采用旁路部署(默默的看着你)方式。入侵防御系统(IntrusionPreventionSystem):以透明模式工作,分析数据包的内容如:溢出攻击、拒绝服务攻击、木马、蠕虫
  • Linux安全管理-iptables防火墙 阿无@_@ linux专栏linux安全网络
    一、什么是防火墙防火墙就是通过定义一些有顺序的规则,并管理进入到网络内的主机数据数据包的一种机制,通俗的说就是分析与过滤进出我们主机(或者是我们所管理的网络)的数据包。二、防火墙分类防火墙分为:硬件防火墙软件防火墙软件防火墙主要有:iptablesTCPWrappers注:我们经常用的是iptables,而TCPWrappers是可以根据服务名称进行过滤的,因此与启动的端口无关。他有一个重大的缺点
  • 10.使用 Apache 服务部署静态网站(已完结) 生世一俗人 《liunx就该这么学》linux
    标题环境配置yum源httpd部署和运行试验修改保存网站数据的目录为/home/wwwrootSELinux安全子系统修改部署个人用户页面加密个人用户界面基于IP地址基于主机域名基于端口号Apache的访问控制如果主机想访问虚拟机的httpd页面(可选操作)环境rhel-8.0-x86_64-linuxprobe.com.iso配置yum源第1步:把系统镜像挂载到/media/cdrom目录mkd
  • 小白Linux学习笔记--SELINUX 唐先生的博客 Linux基础linux服务器运维
    SELINUX文章目录SELINUXSELinux作用配置文件相关指令操作限制的实现方法auditdselinux-policy-develSELinuxSecurityEnhancedLinux安全强化的Linux作用强制限制某些操作,属于权限的一种思考:到目前为止学过的linux中的权限?u\g\or\w\xssid\sgid\stidaclattr配置文件/etc/selinux/confi
  • Linux安装ElasticSearch 程序员劝退师-TAO #ElasticSearchelasticsearch
    前言之前玩的ElasticSearch都是基于Docker构建的,基本上配置好Java环境就好了,这里还缺Linux使用程序包搭建ElasticSearch,那么这篇文章就来补充这个空档吧!1.下载ElasticSearch官网下载地址2.上传解压3.赋予权限1.创建角色//创建角色adduseres//设置密码(这里长度最好大于8位)passwd000000002.修改Linux安全策略limi
  • linux防火墙 Dream visit linux防火墙linux运维服务器
    文章目录一、Linux防火墙1.1iptables1.1.1五链四表五链四表1.1.2iptables规则说明1.1.3iptables用法说明1.1.4自定义链1.1.5保存与恢复1.1.6转发本地端口1.2firewalld二、SELinux安全子系统防火墙分为三层与四层防火墙三层指的是网络层,四层是传输层三层对IP进行限制,四层是对端口进行限制一、Linux防火墙防火墙除了软件及硬件的分类,
  • linux 的nobody是什么用户? 对安全有没有影响? 威迪斯特 linux安全运维网络安全网络centos音视频
    目录一、前言:nobody是不是可疑用户?二、Linux系统中的nobody用户?二、有nobody用户存在,安全吗?一、前言:nobody是不是可疑用户?在前面一篇文章“Linux安全问题,如何查看哪个用户是可疑用户?如何批量删除这些用户?(http://t.csdnimg.cn/e3zKy)”中,有一段描述:第三个参数:1000以上的,就是后面建的用户了,也就是普通用户;其它则为系统的用户.可
  • Linux安全问题,如何查看哪个用户是可疑用户?如何批量删除这些用户? 威迪斯特 安全linuxweb安全
    目录一、可疑用户是一个安全问题二、查看Linux用户、新建的用户(一)Linux里查看所有用户的命令1、直接查看/etc/passwd文件2、使用getentpasswd命令查看3、字段解释4、用户信息解释(二)只查看用户主要信息1、只查看用户名2、只查看用户名、用户ID、用户全名和描述(三)Linux里查看普通用户(非系统用户)三、系统被入侵并新建用户四、删除所有新建的用户一、可疑用户是一个安全
  • 提升Linux安全性:给主机添加ssh双因子认证 运维之美@ Linuxshell运维linuxssh运维
    提升Linux安全性:给主机添加ssh双因子认证1.同步Linux服务器时钟2.Linux主机安装GoogleAuthenticator3.修改SSH配置4.GoogleAuthenticator初始化5.调整PAM模块6.重启SSH服务7.安装google身份验证8.登录验证更多技术文档,欢迎关注微信公众号“运维之美”在信息时代,服务器安全愈发成为首要任务。Linux主机通过ssh方式连接,当存
  • 4.权限管理 疑犯 数据库linux服务器
    权限管理文章目录权限管理1.权限简介2.权限管理命令2.1修改权限的命令chmod2.2修改文件属主和属组的命令chown3.遮罩码4.linux安全上下文与特殊权限4.1linux安全上下文4.2特殊权限5.文件系统访问控制列表facl6.sudo7.管理命令1.权限简介文件的权限主要针对三类对象进行定义:owner:属主,ugroup:属组,gother:其它,o每个文件针对每个访问者都定义了
  • 3.用户和组管理 疑犯 linuxlinux
    用户和组管理文章目录用户和组管理1.何为用户何为组?1.1用户和组概念1.2用户分类1.3Linux安全上下文1.4Linux用户组类别2.Linux用户和组相关的配置文件2.1各配置文件说明2.2密码复杂性3.用户和组相关的管理命令3.1用户管理3.1.1用户创建命令useradd3.1.2用户删除命令userdel3.1.3查看用户帐号的信息命令id3.1.4修改用户帐号属性的命令3.1.5切
  • linux 账号和权限管理 fhjtg linux运维服务器
    引言大家无论安装完linux系统和windows系统后,都会要求你去新建一个用户去登录,不会让你们直接使用超级管理员身份去登录自己的系统,这样是为了安全性的考虑。大家对于Windows的了解是否知道新加的用户默认分配到那个组(user组),详解下计算机管理的一些选项。可以演示一下如何修改密码,新加用户等操作。查看日志报错,等信息Linux安全模型Authentication:认证,验证用户身份用户
  • Linux安全加固总结 一坨小橙子ovo linux安全服务器
    Linux安全加固更新操作系统及软件版本:定期进行系统、内核、应用程序等组件的更新,确保使用最新的修复了已知漏洞的版本。#更新操作系统及软件版本sudoaptupdate&&sudoaptupgrade配置防火墙:通过设置iptables或firewalld来限制网络流量并控制入站/出站连接,只开放必需的服务端口。#配置防火墙(使用iptables)sudoiptables-F#清空当前规则sud
  • day13 C不Y脸
    1、selinux安全规则,让Linux系统更安全的一套规则。这个规则太严格了,一般的情况下都会关闭selinux。自己开启防火墙啊,用其他手段来实现同样的安全目的。getenforce(查看selinux状态)临时关掉:setenforce0永久关闭:vim/etc/selinux/configSELINUX=disabled===================================
  • 计算机环境安全 学海无涯一叶扁舟 安全
    操作系统安全----比如windows,linux安全标识--实体唯一性windows---主体:账户,计算机,服务安全标识符SID-SecurityIdentifier普通用户SID是1000,管理用SID是500linux---主体:用户,用户组,服务用户标识符UID,用户组标识符GID身份鉴别windows鉴别信息管理---账户管理器的SAM文件SAM是隐藏文件,需要System权限访问鉴别
  • linux 安全系列目录 - seccomp安全模块问题排查 yusq77 linuxlinux安全容器dockerbug
    linux系列目录linux安全系列目录-seccomp一、Seccomp沙箱安全机制二、安装依赖包三、SeccompStrictMode四、SeccompFilterMode(Seccomp-BPF)-推荐五、有用资源六、总结linux安全系列目录-seccomp涉及seccomp安全模块问题时,可以参照本文档案例进行扩展分析,可以多访问文中的链接,很有用。一、Seccomp沙箱安全机制通过使用
  • 什么是Selinux 大大蚊子 服务器运维
    官网地址:WhatisSELinux?欢迎关注留言,我是收集整理小能手,工具翻译,仅供参考,笔芯笔芯.概述安全增强型Linux(SELinux)是Linux®系统的安全架构,允许管理员更好地控制谁可以访问系统。它最初是由美国国家安全局(NSA)使用Linux安全模块(LSM)开发的一系列Linux内核补丁。SELinux于2000年发布到开源社区,并于2003年集成到上游Linux内核中。免费试用
  • 我的Linux病毒追踪记录 Henry游戏开发 Java
    第一次自己一个人全权负责做游戏服务器,对于Linux安全并不太懂,所以就在昨天,服务器遭到了攻击,刚开始,只是发现服务器的带宽占满了,以为是带宽不够用,可是想想,弱联网游戏对带宽占用也不高啊而且带宽加大一倍也于事无补,在UCloud控制台看到带宽的波形图,好几次都达到顶峰,于是我在服务器用iftop查看了网络流量监控,发现服务器总往一个ip发送数据包,一发就是1G,这流量,不仅耗带宽,还烧钱啊,网
  • linux安全 你知道“铁甲小宝”吗丶 linuxlinux安全运维
    文章目录前言一、防火墙二、selinux总结前言防火墙是服务器对外开放的窗口,在安装软件的时候,很难避免服务器各种各样的安全防护,导致安装失败,多学些指令可以事半功倍。一、防火墙查看防火墙状态:systemctlstatusfirewalld暂时关闭防火墙:systemctlstopfirewalld永久关闭防火墙:systemctldisablefirewalld重启防火墙:systemctle
  • LINUX加固之命令审计 有莘不破呀 LINUXlinux运维服务器
    一、前言在LINUX安全范畴中,安全溯源也是很重要的一个环节。对主机上所有曾操作过的命令详细信息需要有一份记录保存,当系统遭受破坏或者入侵,拿出这份记录,可以帮助定位一些可疑动作。很多系统通常都会配置安全堡垒机,通过安全的方式登录主机后,所有的行为都会被堡垒机录像或者记录下操作命令。但是如果黑客或者破坏人员,他可能会是通过非常规方式,其他通道登录的主机进行的操作,这个时候指望堡垒机,一般是无法溯源
  • linux单个IP地址绑定多个域名详解 月与清酒 linuxlinux
    目录1.指定IP地址与域名之间的对应关系的配置2.使用ping命令检查域名解析是否正确3.创建存放不同网站的根目录,并写入网站首页内容4.修改主配置文件5.重启httpd服务6.修改自定义网站目录的Selinux文件安全上下文7.刷新Selinux安全上下文,使其立即生效8.使用域名测试网站,检查网站是否能正常打开1.指定IP地址与域名之间的对应关系的配置vim/etc/hosts注:192.16
  • Brename - 一个便捷跨平台批重命名文件/目录的命令行小工具 凯凯何_Boy
    brename是用Go编程语言实现的,支持跨平台Linxu和Windows用户使用。Github地址有以下几大特色:跨平台,支持WIndows,MacOSX和Linux安全(通过检测潜在的冲突和错误)支持撤销可以检测到覆盖,用户可以选择是覆盖还是不覆盖。文件筛选,支持通过正则表达式来包括和排除文件。不需要去跑类似find./-name"*.html"-execCMD这样的命令通过键值对文件来重命名
  • Java实现的基于模板的网页结构化信息精准抽取组件:HtmlExtractor yangshangchuan 信息抽取HtmlExtractor精准抽取信息采集
    HtmlExtractor是一个Java实现的基于模板的网页结构化信息精准抽取组件,本身并不包含爬虫功能,但可被爬虫或其他程序调用以便更精准地对网页结构化信息进行抽取。   HtmlExtractor是为大规模分布式环境设计的,采用主从架构,主节点负责维护抽取规则,从节点向主节点请求抽取规则,当抽取规则发生变化,主节点主动通知从节点,从而能实现抽取规则变化之后的实时动态生效。 如
  • java编程思想 -- 多态 百合不是茶 java多态详解
    一: 向上转型和向下转型 面向对象中的转型只会发生在有继承关系的子类和父类中(接口的实现也包括在这里)。父类:人    子类:男人向上转型: Person p = new Man() ; //向上转型不需要强制类型转化向下转型: Man man =
  • [自动数据处理]稳扎稳打,逐步形成自有ADP系统体系 comsci dp
          对于国内的IT行业来讲,虽然我们已经有了"两弹一星",在局部领域形成了自己独有的技术特征,并初步摆脱了国外的控制...但是前面的路还很长....       首先是我们的自动数据处理系统还无法处理很多高级工程...中等规模的拓扑分析系统也没有完成,更加复杂的
  • storm 自定义 日志文件 商人shang stormclusterlogback
    Storm中的日志级级别默认为INFO,并且,日志文件是根据worker号来进行区分的,这样,同一个log文件中的信息不一定是一个业务的,这样就会有以下两个需求出现: 1. 想要进行一些调试信息的输出 2. 调试信息或者业务日志信息想要输出到一些固定的文件中   不要怕,不要烦恼,其实Storm已经提供了这样的支持,可以通过自定义logback 下的 cluster.xml 来输
  • Extjs3 SpringMVC使用 @RequestBody 标签问题记录 21jhf
    springMVC使用 @RequestBody(required = false) UserVO userInfo 传递json对象数据,往往会出现http 415,400,500等错误,总结一下需要使用ajax提交json数据才行,ajax提交使用proxy,参数为jsonData,不能为params;另外,需要设置Content-type属性为json,代码如下: (由于使用了父类aaa
  • 一些排错方法 文强chu 方法
    1、java.lang.IllegalStateException: Class invariant violation at org.apache.log4j.LogManager.getLoggerRepository(LogManager.java:199)at org.apache.log4j.LogManager.getLogger(LogManager.java:228) at o
  • Swing中文件恢复我觉得很难 小桔子 swing
           我那个草了!老大怎么回事,怎么做项目评估的?只会说相信你可以做的,试一下,有的是时间!        用java开发一个图文处理工具,类似word,任意位置插入、拖动、删除图片以及文本等。文本框、流程图等,数据保存数据库,其余可保存pdf格式。ok,姐姐千辛万苦,
  • php 文件操作 aichenglong PHP读取文件写入文件
    1 写入文件 @$fp=fopen("$DOCUMENT_ROOT/order.txt", "ab"); if(!$fp){ echo "open file error" ; exit; } $outputstring="date:"." \t tire:".$tire."
  • MySQL的btree索引和hash索引的区别 AILIKES 数据结构mysql算法
    Hash 索引结构的特殊性,其 检索效率非常高,索引的检索可以一次定位,不像B-Tree 索引需要从根节点到枝节点,最后才能访问到页节点这样多次的IO访问,所以 Hash 索引的查询效率要远高于 B-Tree 索引。     可能很多人又有疑问了,既然 Hash 索引的效率要比 B-Tree 高很多,为什么大家不都用 Hash 索引而还要使用 B-Tree 索引呢
  • JAVA的抽象--- 接口 --实现 百合不是茶
    抽象 接口 实现接口   //抽象 类 ,方法   //定义一个公共抽象的类 ,并在类中定义一个抽象的方法体 抽象的定义使用abstract   abstract class A 定义一个抽象类 例如: //定义一个基类 public abstract class A{     //抽象类不能用来实例化,只能用来继承 //
  • JS变量作用域实例 bijian1013 作用域
    <script> var scope='hello'; function a(){ console.log(scope); //undefined var scope='world'; console.log(scope); //world console.log(b);
  • TDD实践(二) bijian1013 javaTDD
    实践题目:分解质因数 Step1: 单元测试: package com.bijian.study.factor.test; import java.util.Arrays; import junit.framework.Assert; import org.junit.Before; import org.junit.Test; import com.bijian.
  • [MongoDB学习笔记一]MongoDB主从复制 bit1129 mongodb
    MongoDB称为分布式数据库,主要原因是1.基于副本集的数据备份, 2.基于切片的数据扩容。副本集解决数据的读写性能问题,切片解决了MongoDB的数据扩容问题。   事实上,MongoDB提供了主从复制和副本复制两种备份方式,在MongoDB的主从复制和副本复制集群环境中,只有一台作为主服务器,另外一台或者多台服务器作为从服务器。 本文介绍MongoDB的主从复制模式,需要指明
  • 【HBase五】Java API操作HBase bit1129 hbase
    import java.io.IOException; import org.apache.hadoop.conf.Configuration; import org.apache.hadoop.hbase.HBaseConfiguration; import org.apache.hadoop.hbase.HColumnDescriptor; import org.apache.ha
  • python调用zabbix api接口实时展示数据 ronin47
    zabbix api接口来进行展示。经过思考之后,计划获取如下内容:     1、  获得认证密钥     2、  获取zabbix所有的主机组     3、  获取单个组下的所有主机     4、  获取某个主机下的所有监控项  
  • jsp取得绝对路径 byalias 绝对路径
    在JavaWeb开发中,常使用绝对路径的方式来引入JavaScript和CSS文件,这样可以避免因为目录变动导致引入文件找不到的情况,常用的做法如下: 一、使用${pageContext.request.contextPath}   代码” ${pageContext.request.contextPath}”的作用是取出部署的应用程序名,这样不管如何部署,所用路径都是正确的。
  • Java定时任务调度:用ExecutorService取代Timer bylijinnan java
    《Java并发编程实战》一书提到的用ExecutorService取代Java Timer有几个理由,我认为其中最重要的理由是: 如果TimerTask抛出未检查的异常,Timer将会产生无法预料的行为。Timer线程并不捕获异常,所以 TimerTask抛出的未检查的异常会终止timer线程。这种情况下,Timer也不会再重新恢复线程的执行了;它错误的认为整个Timer都被取消了。此时,已经被
  • SQL 优化原则 chicony sql
    一、问题的提出  在应用系统开发初期,由于开发数据库数据比较少,对于查询SQL语句,复杂视图的的编写等体会不出SQL语句各种写法的性能优劣,但是如果将应用系统提交实际应用后,随着数据库中数据的增加,系统的响应速度就成为目前系统需要解决的最主要的问题之一。系统优化中一个很重要的方面就是SQL语句的优化。对于海量数据,劣质SQL语句和优质SQL语句之间的速度差别可以达到上百倍,可见对于一个系统
  • java 线程弹球小游戏 CrazyMizzz java游戏
    最近java学到线程,于是做了一个线程弹球的小游戏,不过还没完善 这里是提纲 1.线程弹球游戏实现 1.实现界面需要使用哪些API类 JFrame JPanel JButton FlowLayout Graphics2D Thread Color ActionListener ActionEvent MouseListener Mouse
  • hadoop jps出现process information unavailable提示解决办法 daizj hadoopjps
    hadoop jps出现process information unavailable提示解决办法   jps时出现如下信息: 3019 -- process information unavailable3053 -- process information unavailable2985 -- process information unavailable2917 --
  • PHP图片水印缩放类实现 dcj3sjt126com PHP
    <?php class Image{ private $path; function __construct($path='./'){ $this->path=rtrim($path,'/').'/'; } //水印函数,参数:背景图,水印图,位置,前缀,TMD透明度 public function water($b,$l,$pos
  • IOS控件学习:UILabel常用属性与用法 dcj3sjt126com iosUILabel
    参考网站: http://shijue.me/show_text/521c396a8ddf876566000007 http://www.tuicool.com/articles/zquENb http://blog.csdn.net/a451493485/article/details/9454695 http://wiki.eoe.cn/page/iOS_pptl_artile_281
  • 完全手动建立maven骨架 eksliang javaeclipseWeb
    建一个 JAVA 项目 : mvn archetype:create -DgroupId=com.demo -DartifactId=App [-Dversion=0.0.1-SNAPSHOT] [-Dpackaging=jar] 建一个 web 项目 : mvn archetype:create -DgroupId=com.demo -DartifactId=web-a
  • 配置清单 gengzg 配置
    1、修改grub启动的内核版本 vi /boot/grub/grub.conf 将default 0改为1 拷贝mt7601Usta.ko到/lib文件夹 拷贝RT2870STA.dat到 /etc/Wireless/RT2870STA/文件夹 拷贝wifiscan到bin文件夹,chmod 775 /bin/wifiscan 拷贝wifiget.sh到bin文件夹,chm
  • Windows端口被占用处理方法 huqiji windows
    以下文章主要以80端口号为例,如果想知道其他的端口号也可以使用该方法..........................1、在windows下如何查看80端口占用情况?是被哪个进程占用?如何终止等.        这里主要是用到windows下的DOS工具,点击"开始"--"运行",输入&
  • 开源ckplayer 网页播放器, 跨平台(html5, mobile),flv, f4v, mp4, rtmp协议. webm, ogg, m3u8 ! 天梯梦 mobile
    CKplayer,其全称为超酷flv播放器,它是一款用于网页上播放视频的软件,支持的格式有:http协议上的flv,f4v,mp4格式,同时支持rtmp视频流格 式播放,此播放器的特点在于用户可以自己定义播放器的风格,诸如播放/暂停按钮,静音按钮,全屏按钮都是以外部图片接口形式调用,用户根据自己的需要制作 出播放器风格所需要使用的各个按钮图片然后替换掉原始风格里相应的图片就可以制作出自己的风格了,
  • 简单工厂设计模式 hm4123660 java工厂设计模式简单工厂模式
           简单工厂模式(Simple Factory Pattern)属于类的创新型模式,又叫静态工厂方法模式。是通过专门定义一个类来负责创建其他类的实例,被创建的实例通常都具有共同的父类。简单工厂模式是由一个工厂对象决定创建出哪一种产品类的实例。简单工厂模式是工厂模式家族中最简单实用的模式,可以理解为是不同工厂模式的一个特殊实现。
  • maven笔记 zhb8015 maven
    跳过测试阶段: mvn package -DskipTests 临时性跳过测试代码的编译: mvn package -Dmaven.test.skip=true   maven.test.skip同时控制maven-compiler-plugin和maven-surefire-plugin两个插件的行为,即跳过编译,又跳过测试。   指定测试类 mvn test
  • 非mapreduce生成Hfile,然后导入hbase当中 Stark_Summer maphbasereduceHfilepath实例
    最近一个群友的boss让研究hbase,让hbase的入库速度达到5w+/s,这可愁死了,4台个人电脑组成的集群,多线程入库调了好久,速度也才1w左右,都没有达到理想的那种速度,然后就想到了这种方式,但是网上多是用mapreduce来实现入库,而现在的需求是实时入库,不生成文件了,所以就只能自己用代码实现了,但是网上查了很多资料都没有查到,最后在一个网友的指引下,看了源码,最后找到了生成Hfile
  • jsp web tomcat 编码问题 王新春 tomcatjsppageEncode
    今天配置jsp项目在tomcat上,windows上正常,而linux上显示乱码,最后定位原因为tomcat 的server.xml 文件的配置,添加 URIEncoding 属性: <Connector port="8080" protocol="HTTP/1.1" connectionTi
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他