系統運維總結第9章

2022-01-17 07:49:32 字數 1575 閱讀 8459

redhat系列系統基本防護

設定賬號有效期:使用chage工具

賬號鎖定:使用passwd命令

強制定期修改密碼的檔案:/etc/login.defs(只對新建的使用者有效)

修改登入提示,減少系統私密資訊的檔案:/etc/issue、/etc/issue.net

禁用非必要的系統服務

鎖定保護某些機密檔案:使用chattr工具追加檔案的i屬性、a屬性

使用者切換:su [-] 使用者名稱

安全日誌記錄:/var/log/secure

使用者提權:

檢視自己的sudo授權:sudo -l

執行特權:sudo 特權命令 或者 sudo [-u 目標使用者] 特權命令

配置sudo授權的檔案:/etc/sudoers

有個預設wheel組,可執行所有命令,應該注釋掉!

ssh訪問控制:

防護措施:使用者限制、黑白名單、更改驗證方式,由密碼驗證到金鑰對、防火牆,限制認證次數,啟用高版本ssh協議等

服務端配置檔案:../ssh/sshd_config

金鑰驗證:檢查客戶端的私鑰與伺服器上的公鑰是否匹配

authorizedkeysfile 指定公鑰文字

私鑰檔案:id_rsa 公鑰檔案:id_rsa.pub

建立ssh金鑰對:使用ssh-keygen工具,預設rsa加密。

部署ssh公鑰:通過ssh-copy-id或者拷貝公鑰檔案

:md5完整性檢驗:使用md5sum校驗工具

gpg加密與解密:

官網:gpg支援很多演算法,支援對稱加密、非對稱加密、雜湊等

基本加密:gpg -c 文件

基本解密:gpg -d 加密的文件

gpg非對稱加密與解密:

1.建立金鑰對:gpg --gen-key

2.檢視金鑰對:gpg --list-keys

3.匯出公鑰:gpg -a --export 使用者b >放置公鑰的檔案

4.匯入公鑰:gpg --import 已有公鑰的檔案

gpg軟體簽名與驗證:

1.簽名:gpg -b 檔案

2.匯入公鑰:gpg --import

3.驗證:gpg --verify

aide入侵檢測系統

軟體包:aide

預設配置檔案:/etc/aide.conf

1.初始化檢測:沒有被攻擊前(一般系統剛安裝時),執行校驗操作:aide --init

2.拷貝校驗的檔案到安全儲存,如行動硬碟

若認為有入侵,將之前備份的校驗檔案還原:cp 疑似感染文件 校驗檔案位置目錄,執行aide --check

掃瞄與抓包

nmap掃瞄:網路探測,主機與埠發現等

基本用法:nmap [掃瞄型別] [選項] 《掃瞄目標》

常用掃瞄型別:-ss、-st、-su、-sp、-a、-p

tcpdump抓包:提取tcp資料報

基本用法:tcpdump 【選項】【過濾條件】

常見監控選項:-i、-a、-w、-r

訪問1.1.1.1的pop3服務:tcpdump -a dst host 1.1.1.1 and tcp port 110

運維經 第9章 rust cargo 加速

因為本人主營業務是c 那麼就要更了解c 的敵人 rust 聽說她要取代c 但不得不說,rust的工具鏈還是非常值得稱讚的,後續會開幾期來講講rust工具鏈,今天還是談談加速。找到cargo的配置,cargo config base frank deepin cd cargo base frank d...

運維經 第5章 python pip 加速

在使用pip install 的時候會很慢,而且你還是個急脾氣,咋整?pip install h 看一下,有沒有什麼解決方案?package index options i,index url base url of the python package index default this sho...

網路運維第1章 我的it經驗

osi七層網路參考模型應用層 服務於終端使用者計算機的乙個介面表示層 資料的表示,加密,安全等會話層 建立會話,管理斷開會話傳輸層 定義資料傳輸的協議,埠。以及流量控制和差驗校錯網路層 邏輯位址定址,實現到達不同目標位址的路徑選擇資料鏈路層 建立邏輯連線,實體地址定址。差驗校錯物理層 建立物理連線,...