天道酬勤,学无止境

安全运维

Firewalld命令

Firewalld必备命令 关闭firewalldsystemctl stop firewalld.service启动firewalldsystemctl start firewalld.service把firewalld加入到系统服务systemctl enable firewalld.service从系统服务移除systemctl disable firewalld.service查看firewalld状态 两种方法2选1即可firewall-cmd --statesystemctl status firewalld重读防火墙以 root 身份输入以下命令,重新加载防火墙,并不中断用户连接,即不丢失状态信息:firewall-cmd --reload以 root 身份输入以下信息,重新加载防火墙并中断用户连接,即丢弃状态信息:firewall-cmd --complete-reload注意:通常在防火墙出现严重问题时,这个命令才会被使用。比如,防火墙规则是正确的,但却出现状态信息问题和无法建立连接。 Firewalld区域操作获取支持的区域(zone)列表firewall-cmd --get-zone 获取所有支持的服务firewall-cmd --get-services 获取所有支持的ICMP类型firewall-cmd --get-icmptypes

2021-06-02 01:09:40    分类:博客    Firewalld命令   安全运维

Firewalld安全技术介绍

Firewalld入门简介从CentOS7开始,默认是没有iptables的,而使用了firewall防火墙,FirewallD 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。什么是动态防火墙?回忆一下iptables service 管理防火墙规则的模式:用户将新的防火墙规则添加进/etc/sysconfig/iptables 配置文件当中,再执行命令 service iptables reload 使变更的规则生效。这整个过程的背后,iptables service 首先对旧的防火墙规则进行了清空,然后重新完整地加载所有新的防火墙规则,而如果配置了需要 reload 内核模块的话,过程背后还会包含卸载和重新加载内核模块的动作,而不幸的是,这个动作很可能对运行中的系统产生额外的不良影响,特别是在网络非常繁忙的系统中。哪怕只修改一条规则也要进行所有规则的重新载入的模式称为静态防火墙的话,那么 firewalld 所提供的模式就可以叫做动态防火墙,它的出现就是为了解决这一问题,任何规则的变更都不需要对整个防火墙规则列表进行重新加载,只需要将变更部分保存并更新到运行中的 iptables 即可。firewalld 和 iptables 之间的关系, firewalld 提供了一个 daemon 和 service,还有命令行和图形界面配置工具

2021-06-02 01:09:36    分类:博客    动态防火墙 Firewalld   安全运维

Linux 防火墙企业实战

1)黑&客使用暴力破解的工具,远程攻&击 Linux 服务器,通过用户名和密码字典,企图登录 Linux 服务器操作系统,作为运维人员该如何阻挡黑&客攻&击呢? 2) 远程登录 Linux 服务器,Linux 服务器打开安全日志文件:/var/log/secure 记录正常用户或者黑&客的登录状态,分析该文件找出黑&客的 IP,并且登录次数大于 10 次,将其加入 Linux黑名单 Iptables 防火墙中; for i in $(grep "Failed password" /var/log/secure*|grep -oE "([0-9]{1,3}.){3}[0-9]{1,3}"|sort -n|uniq -c|awk '{if(($1>=10)) print $2}'|grep -v ^127);do iptables -I INPUT 4 -s $i -j DROP;done 来源:https://blog.51cto.com/jiangzm/2475015

2021-06-02 01:09:32    分类:博客    Failed password   安全日志文件   安全运维

Cross-Site Trace(XST) 跨站式追踪***

Cross-Site Trace(XST) 跨站式追踪*** 漏洞介绍XST***是利用服务器的调试方法 Trace 进行用户信息收集的一种***,因为 Trace 方法是会导致服务器原样返回客户端发送的内容(cookie,HTTP认证信息等)***者将恶意代码嵌入一台已经被控制的主机上的web文件,当访问者浏览时恶意代码在浏览器中执行,然后访问者的cookie、http基本验证以及ntlm验证信息将被发送到已经被控制的主机,同时传送Trace请求给目标主机,导致cookie欺骗或者是中间人***。 发动XST需要满足的条件1.“被***的服务器”允许 Trace/Track 方法(例如,http://www.example.com这个被***的站点允许使用Trace方法)2.“***者”在自己的站点构造一个HTML页面,里面放上一些极具吸引力的内容(图片,文字标题等),点击这些内容就会触发一段恶意JavaScript代码,这段代码主要的作用:(1)以Trace方法向http://www.example.com这个站点发送请求,而“被***的用户”也恰恰好是这个站点的用户并且曾经登录站点(意味着会携带着cookie和HTTP认证信息去请求http://www.example.com), (2)然后就会接收到服务器原样返回的请求内容(cookie+http认证信息等)(3

2021-03-26 23:08:10    分类:博客    trace   XST   跨站式追踪   安全运维

Linux sendmail 日志 DSN:Service unavailable

最近想利用Nmap定期扫描服务器端口,扫描结果自动发送邮件,发现无法正常发送邮件,查看/var/log/maillog日志,发现以下信息:Jun 26 07:24:23 MyVPS1976 sendmail[31760]: q5PNOMeP031760: from=<odinyang@juzilicai.com>, size=1393, class=0, nrcpts=1, msgid=101f67a320c3f53ec88cb43d5c74631f@www.juzilicai.com, proto=SMTP, daemon=MTA, relay=MyVPS [127.0.0.1]Jun 26 07:24:25 MyVPS1976 sendmail[31762]: q5PNOMeP031760: to=<admin@centos.bz>, ctladdr=odin1718@qq.com (501/501), delay=00:00:02, xdelay=00:00:02, mailer=esmtp, pri=121393, relay=mxdomain.qq.com. [64.71.138.90], dsn=5.0.0,stat=Service unavailableJun 26 07:24:25 MyVPS1976 sendmail[31762]: q5PNOMeP031760

2021-03-26 22:46:35    分类:博客    linux   日志   sendmail   安全运维

如何查看crontab的日志记录

crontab中的同步任务时而成功,时而不成功,什么原因呢?定位问题的关键点,就要通过日志来分析……1. linux看 /var/log/cron这个文件就可以,可以用tail -f /var/log/cron观察2. unix在 /var/spool/cron/tmp文件中,有croutXXX001864的tmp文件,tail 这些文件就可以看到正在执行的任务了。3. mail任务在 /var/spool/mail/root 文件中,有crontab执行日志的记录,用tail -f /var/spool/mail/root 即可查看最近的crontab执行情况。来源:https://blog.51cto.com/infosec/1292231

2021-03-26 19:35:21    分类:博客    crontab   安全运维