22.7.8安全第三次作业

binlog增量备份的实现步骤：

1.开启二进制日志

log_bin(log-bin也可以) #启用日志
server_id=50 #id只能是1-255
#max_binlog_size=数值 #默认是1G,超了1G就创建新的binlog日志

2.重启MySQL服务

systemctl restart mysqld

3.检查是否启用日志

​ 1)进入数据库,show master status; #查看本机的binlog日志文件
position —> 偏移量 —> 记录命令的编号
​ 2)查看/var/lib/mysql 可以看到binlog日志文件和日志的索引文件

配置命令：

​ 1.手动生成新的日志文件 #每个binlog日志的偏移量从154开始
​ -flush logs 或　mysql -uroot -p123456 -e ‘flush logs’
​ -systemctl restart mysqld
​ -mysqldump

​ 2.清理日志
​ 1.删除指定日志文件前的所有日志 purge master logs to “binlog文件名”
​ 2.删除所有 reset master;

​ 3.自定义存储名称
​ 1.在配置文件中配置,
​ bin_log=/mylog/rzc
​ 2.重启服务即可

binlog

mysql整体来看有两块：一块是server层主要负责功能层面；一块是引擎层面，负责存储。而redlog是innodb引擎特有的日志，而server层也有自己的日志，成为binlog（归档日志），binlog没有crash-safe能力只用于归档。

redlog

wal技术的关键就是先写日志再写磁盘。
当有一条记录需要更新时，innodb引擎会先把记录写道redlog里面并更新内存，这时候更新就算完成了，同时innodb引擎会在适当的时候将这个操作记录更新到磁盘里面，而这个更新就是在系统比较空闲的时候。
innodb的redlog时固定大小的，可以配置一组4个文件，每个文件大小时1gb，从头开始写，写道末尾就回到开头循环写。
write poe 时记录当前的位置，一边写一边后移。checkpoint是当前要擦除的位置，也是往后推移且循环的，擦除记录前要把记录更新到数据文件。
有了redlog，innodb就可以保证数据库发生异常重启，之前的记录不会丢失，称之为crash-safe

不同点

redo log 是innodb引擎特有的；binlog是mysql的server层实现的

red log是物理日志，记录的是在某个数据页上做了什么修改；binlog是逻辑日志，记录的是这个语句的原始逻辑

逻辑日志： 可以简单理解为记录的就是sql语句 。

物理日志： mysql 数据最终是保存在数据页中的，物理日志记录的就是数据页变更 。

red log 是循环写的，空间固定会用完；binlog是可以追加写的，追加写是指binlog文件到一定大小后会切换到下一个，并不会覆盖以前日志。

为什么需要两阶段提交

当我们需要回复数据库时

首先找到最近的一次全量备份，将这个备份回复到临时库

然后从备份的时间点开始，将备份的binlog依次取出来，重返到以前时刻

此时临时库就和之前的线上库一样了， 然后就可以把表数据从临时库取出来

原因：

先写read log 而不写bin log 回导致回复不到原来数据

先写bin log 不写read log 会导致还没真正写入就回复了

iptables防止Nmap扫描

namp是一款开放源代码的网络探测和安全审核工具。它用于快速扫描一个网络和一台主机开放的端口，还能使用tcp/ip协议栈特征探测远程主机的操作系统类型。namp支持很多扫描技术，例如：UDP、TCPconnect()、TCPSYN(半开扫描)、ftp代理(bounce攻击)、反向标志、ICMP、FIN、ACK扫描、圣诞树(XmasTree)、SYN扫描和null扫描。Nmap最初是用于Unix系统的命令行应用程序。
在kali上配置iptables可以阻止nmap扫描

iptables -t filter -I INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j REJECT

iptables -t filter -I INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j REJECT

iptables -t filter -I INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j REJECT

iptables -t filter -I INPUT -p tcp --tcp-flags ALL SYN -j REJECT

iptables -t filter -R INPUT 1 -s 192.168.80.138 -p tcp --dport 1: --tcp-flags ALL ACK -j REJECT 
nmap -sS  192.168.13.140 检测是否有效防御