System Security (系统安全) – Eternal Center https://eternalcenter-2021-12.github.io/ Sun, 26 Dec 2021 08:37:16 +0000 en-US hourly 1 [步骤] Linux SSL 证书的生成 (Let’s Encrypt certbot 版) https://eternalcenter-2021-12.github.io/ssl-lets-encrypt-certbot/ Sun, 19 Dec 2021 15:12:46 +0000 https://eternalcenter-2021-12.github.io/?p=19886 Continue reading "[步骤] Linux SSL 证书的生成 (Let’s Encrypt certbot 版)"

]]> 步骤目录:

步骤一:将要申请 Let’s Encrypt SSL 的域名解析到要进行操作的服务器 IP 地址上

步骤二:安装 certbot

步骤三:使用 certbot 生成 Let’s Encrypt SSL 证书

步骤四:查看已经生成的 Let’s Encrypt SSL 证书

步骤五:延期 Let’s Encrypt SSL 证书
5.1 查看 Let’s Encrypt SSL 证书的延期策略
5.2 手动延期 Let’s Encrypt SSL 证书
5.3 自动延期 Let’s Encrypt SSL 证书

步骤六:Let’s Encrypt SSL 证书的生成限制

具体的操作步骤:

步骤一:将要申请 Let’s Encrypt SSL 的域名解析到要进行操作的服务器 IP 地址上

(步骤略)

步骤二:安装 certbot

# yum -y install certbot

(补充:这里以在 Fedora 35 上安装 certbot 为例)

步骤三:使用 certbot 生成 Let’s Encrypt SSL 证书

# certbot certonly --email mingyu.zhu@eternalcenter.com -n --agree-tos --webroot -w /usr/share/nginx/html/ -d eternalcenter.com
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator webroot, Installer None
Requesting a certificate for eternalcenter.com
Performing the following challenges:
http-01 challenge for eternalcenter.com
Using the webroot path /usr/share/nginx/html for all unmatched domains.
Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/eternalcenter.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/eternalcenter.com/privkey.pem
   Your certificate will expire on 2022-03-20. To obtain a new or
   tweaked version of this certificate in the future, simply run
   certbot again. To non-interactively renew *all* of your
   certificates, run "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le


补充:这里以
1) 使用 mingyu.zhu@eternalcenter.com 邮箱
2) 以非交互式的方式
3) 通过给 /usr/share/nginx/html/ 网站目录里添加验证文件进行验证
4) 给 eternalcenter.com 域名
申请 Let’s Encrypt SSL 证书为例

步骤四:查看已经生成的 Let’s Encrypt SSL 证书

# certbot certificates
Saving debug log to /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Found the following certs:
  Certificate Name: eternalcenter.com
    Serial Number: 3e8cdb74a1abfbf3d535ec1c3f8cb3e4e4c
    Key Type: RSA
    Domains: eternalcenter.com
    Expiry Date: 2022-03-20 13:48:48+00:00 (VALID: 89 days)
    Certificate Path: /etc/letsencrypt/live/eternalcenter.com/fullchain.pem
    Private Key Path: /etc/letsencrypt/live/eternalcenter.com/privkey.pem
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -


补充:
1) /etc/letsencrypt/live/eternalcenter.com/fullchain.pem 是公钥
2) /etc/letsencrypt/live/eternalcenter.com/privkey.pem 是私钥

步骤五:延期 Let’s Encrypt SSL 证书
5.1 查看 Let’s Encrypt SSL 证书的延期策略

# cat /etc/letsencrypt/renewal/eternalcenter.com.conf 
# renew_before_expiry = 30 days
version = 1.20.0
archive_dir = /etc/letsencrypt/archive/eternalcenter.com
cert = /etc/letsencrypt/live/eternalcenter.com/cert.pem
privkey = /etc/letsencrypt/live/eternalcenter.com/privkey.pem
chain = /etc/letsencrypt/live/eternalcenter.com/chain.pem
fullchain = /etc/letsencrypt/live/eternalcenter.com/fullchain.pem

(补充:可以看出 Let’s Encrypt SSL 证书是在过期前 30 天才能更新)

5.2 手动延期 Let’s Encrypt SSL 证书

# /usr/bin/certbot renew

(补充:这里以延期 Let’s Encrypt SSL 证书为例)

5.3 自动延期 Let’s Encrypt SSL 证书

# crontab -e

添加以下内容:

......
0 0 */30 * * /usr/bin/certbot renew

(补充:这里以每过 30 天的 0 时 0 分延期 Let’s Encrypt SSL 证书为例)

步骤六:Let’s Encrypt SSL 证书的生成限制

1) 一个域名申请次数不能超过 5 次/周
2) 允许申请失败次数不能超过 5 次/时
3) 属于同一个顶级域名的二级域名申请次数不能超过 20 次/周
4) 申请请求频率不能超过 20 次/秒
5) 一个 IP 地址创建用户个数不能超过 10 个/3 小时
6) 一个用户最多 pending 审核的数不能超过 300 个

]]> [命令] Linux 命令 ssh (远程登录) https://eternalcenter-2021-12.github.io/ssh/ Fri, 26 Nov 2021 15:56:06 +0000 https://eternalcenter-2021-12.github.io/?p=19146 案例一:脚本中常用的方式 
# ssh -q -t -t -o StrictHostKeyChecking=no -o ConnectTimeout=5 -l eternalcenter eternalcenter.com


补充:这里以
1) 安静模式
2) 打开新端口的模式
3) 不检查服务器记录
4) 超时时间为 5 秒
5) 通过 eternalcenter 用户
6) 登录 eternalcenter.com 服务器
为例

案例二:在操作中常用的方式

# ssh -X eternalcenter@eternalcenter.com


补充:这里以
1) 带图形的模式
2) 通过 eternalcenter 用户
3) 登录 eternalcenter.com 服务器
为例

]]> [步骤] Linux 加密压缩 (tar 版) https://eternalcenter-2021-12.github.io/encryption-compression-tar/ Mon, 15 Nov 2021 15:52:52 +0000 https://eternalcenter-2021-12.github.io/?p=18392 Continue reading "[步骤] Linux 加密压缩 (tar 版)"

]]> 步骤一:创建测试文件 
# touch test.txt

(补充:这里以创建 test.txt 文件为例)

步骤二:加密压缩文件或目录
2.1 交互式加密压缩文件或目录

# tar -zcf - test.txt | openssl des3 -salt | dd of=test1.tar.gz
enter des-ede3-cbc encryption password:
Verifying - enter des-ede3-cbc encryption password:
*** WARNING : deprecated key derivation used.
Using -iter or -pbkdf2 would be better.
0+1 records in
0+1 records out
224 bytes copied, 7.04902 s, 0.0 kB/s


补充:
1) 这里以将 test.txt 文件加密压缩成 test1.tar.gz (压缩)包为例
2) 如果要以 bzip2 的格式进行压缩,则将命令中的 -zcf 换成 -jcvf 将 test1.tar.gz 换成 test1.tar.bz2
3) 如果要以 xz 的格式进行压缩,则将命令中的 -zcf 换成 -Jcvf 将 test1.tar.gz 换成 test1.tar.xz

2.2 非交互式加密压缩文件或目录

# tar -zcf - test.txt | openssl des3 -salt -f eternalcenter | dd of=test2.tar.gz
des3: Unrecognized flag f
des3: Use -help for summary.
0+0 records in
0+0 records out
0 bytes copied, 0.00376576 s, 0.0 kB/s


补充:
1) 这里以将 test.txt 文件加密压缩成 test1.tar.gz (压缩)包并且将密码设置为 eternalcenter 为例
2) 如果要以 bzip2 的格式进行压缩,则将命令中的 -zcf 换成 -jcvf 将 test1.tar.gz 换成 test2.tar.bz2
3) 如果要以 xz 的格式进行压缩,则将命令中的 -zcf 换成 -Jcvf 将 test1.tar.gz 换成 test2.tar.xz

步骤三:解压加密文件或目录
3.1 交互式解压加密文件或目录
3.1.1 删除原测试目录和里面的文件

# rm -rf test.txt

(补充:这里以删除 test.txt 文件为例)

3.1.2 交互式解压加密文件或目录

# dd if=test2.tar.gz | openssl des3 -d | tar zxf -
0+1 records in
0+1 records out
224 bytes copied, 0.000589721 s, 380 kB/s
enter des-ede3-cbc decryption password:
*** WARNING : deprecated key derivation used.
Using -iter or -pbkdf2 would be better.


补充:
1) 这里以解压 test2.tar.gz (压缩)包为例
2) 如果是 bzip2 格式的(压缩)包,则将命令中的 -zxf 换成 -jcvf 将 test1.tar.gz 换成 test1.tar.bz2
3) 如果是 xz 格式的(压缩)包,则将命令中的 -zxf 换成 -Jcvf 将 test1.tar.gz 换成 test1.tar.xz

3.2 非交互式解压加密文件或目录
3.2.1 删除原测试目录和里面的文件

# rm -rf test.txt

(补充:这里以删除 test.txt 文件为例)

3.2.2 非交互式解压加密文件或目录

# dd if=test1.tar.gz | openssl des3 -d -k eternalcenter | tar zxf -
0+1 records in
0+1 records out
224 bytes copied, 0.000574539 s, 390 kB/s
*** WARNING : deprecated key derivation used.
Using -iter or -pbkdf2 would be better.


补充:
1) 这里以解压 test1.tar.gz (压缩)包并且解压密码为 eternalcenter 为例
2) 如果是 bzip2 格式的(压缩)包,则将命令中的 -zxf 换成 -jcvf 将 test1.tar.gz 换成 test1.tar.bz2
3) 如果是 xz 格式的(压缩)包,则将命令中的 -zxf 换成 -Jcvf 将 test1.tar.gz 换成 test1.tar.xz

]]> [步骤] Linux 加密压缩 (zip 版) https://eternalcenter-2021-12.github.io/encryption-compression-zip/ Mon, 15 Nov 2021 15:48:09 +0000 https://eternalcenter-2021-12.github.io/?p=18388 步骤一:创建测试目录和测试文件 
# mkdir test
# touch test/test.txt

(补充:这里以创建 test 目录和里面的 test.txt 文件为例)

步骤二:加密压缩文件或目录
2.1 交互式加密压缩文件或目录

# zip -re test1.zip test
Enter password: 
Verify password: 
  adding: test/ (stored 0%)
  adding: test/test.txt (stored 0%)

(补充:这里以将 test 目录和里面的 test.txt 文件加密压缩成 test1.zip (压缩)包为例)

2.2 非交互式加密解压文件或目录

# zip -rP eternalcenter test2.zip test
  adding: test/ (stored 0%)
  adding: test/test.txt (stored 0%)

(补充:这里以将 test 目录和里面的 test.txt 文件加密压缩成 test2.zip (压缩)包并且将密码设置为 eternalcenter 为例)

步骤三:解压加密文件或目录
3.1 交互式解压加密文件或目录
3.1.1 删除原测试目录和里面的文件

# rm -rf test

(补充:这里以删除 test 目录和里面的文件为例)

3.1.2 交互式解压加密文件或目录

# unzip test2.zip
Archive:  test2.zip
   creating: test/
[test2.zip] test/test.txt password: 
 extracting: test/test.txt

(补充:这里以解压 test2.zip (压缩)包为例)

3.2 非交互式解压加密文件或目录
3.2.1 删除原测试目录和里面的文件

# rm -rf test

(补充:这里以删除 test 目录和里面的文件为例)

3.2.2 非交互式解压加密文件

# unzip -P eternalcenter test1.zip 
Archive:  test1.zip
   creating: test/
 extracting: test/test.txt

(补充:这里以解压 test2.zip (压缩)包并且解压密码为 eternalcenter 为例)

]]> [步骤] Linux rm 命令的监控 https://eternalcenter-2021-12.github.io/rm-monitor/ Sun, 07 Nov 2021 13:29:10 +0000 https://eternalcenter-2021-12.github.io/?p=18208 步骤一:将原来的 rm 命令进行备份 
# cp /usr/bin/rm  /usr/bin/rm.original

步骤二:创建一个记录 rm 命令使用的脚本

# cat /usr/bin/rm
#!/bin/bash
log=/var/log/rm_command.log
echo "The $$ is calling rm command" >> $log
echo "The full command is $*" >> $log
echo
echo "now use this command to get more information: /bin/ps axwwo user,pid,ppid,%cpu,%mem,vsz,rss,stat,time,cmd" >>$log
/bin/ps axwwo user,pid,ppid,%cpu,%mem,vsz,rss,stat,time,cmd >>$log
/usr/bin/rm.original $*
echo "============================================================" >>$log

步骤三:给记录 rm 命令使用的脚本执行权限

# chmod 755 /usr/bin/rm.original

步骤四:下次使用 rm 命令后就可以监控 /var/log/rm_command.log 日志了

(步骤略)

]]> [工具] Shell 批量修改多个远程服务器某一个用户的密码 (精致版) https://eternalcenter-2021-12.github.io/shell-password-change-refined-version/ Sun, 10 Oct 2021 13:08:50 +0000 https://eternalcenter-2021-12.github.io/?p=18100 介绍:

作者:朱明宇
名称:批量修改多个远程服务器某一个用户的密码
作用:批量修改多个远程服务器某一个用户的密码

使用方法:
1. 将此脚本和清单 $list 文件放在同一目录下
2. 清单 $list 里每服务器名占用一行
3. 给脚本分割线里的变量赋值
4. 给此脚本添加执行权限
5. 执行此脚本

脚本分割线里的变量:
1. list=”list.txt” #指定清单的目录和名称
2. user=eternalcenter #指定要修改密码的用户
3. password=eternalcenter #指定要修改的密码

注意:
此脚本执行前必须要先保证执行本脚本的用户能无密码 ssh 远程这些远程服务器,并且可以通过 sudo 获得 su 的 root 权限

脚本:

#!/bin/bash

####################### Separator ########################

list="list.txt"
user=eternalcenter
password=eternalcenter

####################### Separator ########################

num=1

cat $list
for i in `cat $list`
do
        echo $num
        echo $i

	ssh -t $i "type lsb_release" &> /dev/null
        if [ $? -ne 0 ]; then
              distribution=`ssh -t $i "cat /etc/*release | grep '^NAME'"`
	      if [ $? -ne 0 ];then
		      distribution=`ssh -t $i "cat /etc/*release"`
	      fi
        else
              distribution=`ssh -t $i "lsb_release -i | grep 'ID' | grep -v 'n/a'"`
        fi;

        echo $distribution

	case $distribution in
		*"RedHat"* | *"Red Hat"*)
		ssh -t $i "sudo -u root su - root -c \"echo $password | passwd --stdin $user\""
		if [ $? -eq 0 ];then
			echo -e "\033[32m$i is success\033[0m"
		else
			echo -e "\033[31m$i is fail\033[0m"
		fi
		;;

		*"CentOS"*)
		ssh -t $i "sudo -u root su - root -c \"echo $password | passwd --stdin $user\""
		if [ $? -eq 0 ];then
			echo -e "\033[32m$i is success\033[0m"
		else
			echo -e "\033[31m$i is fail\033[0m"
		fi
		;;

		*"SUSE"* | *"SLES"*)
		ssh -t $i "sudo -u root su - root -c \"echo $user:$password | chpasswd\""
		if [ $? -eq 0 ];then
			echo -e "\033[32m$i is success\033[0m"
		else
			echo -e "\033[31m$i is fail\033[0m"
		fi
		;;
               
		*"openSUSE"*)
		ssh -t $i "sudo -u root su - root -c \"echo $user:$password | chpasswd\""
		if [ $? -eq 0 ];then
			echo -e "\033[32m$i is success\033[0m"
		else
			echo -e "\033[31m$i is fail\033[0m"
		fi
		;;

		*)
                echo -e "\033[31m$i is fail \033[0m" 
		;;
        esac

        let num++

        echo
done
]]> [步骤] openSUSE&SUSE 通过 zypper 升级内核保留旧内核数量的设置 https://eternalcenter-2021-12.github.io/opensusesuse-zypper-kernel-reserve/ Mon, 27 Sep 2021 14:06:47 +0000 https://eternalcenter-2021-12.github.io/?p=17666 # vim /etc/zypp/zypp.conf

将以下内容:

......
multiversion.kernels = latest,latest-1,running
......

修改为:

......
multiversion.kernels = latest,latest-3,running
......

(补充:这里以使用 zypper 升级内核时保留 3 个 旧内核为例)

]]> [内容] CVE 简介 https://eternalcenter-2021-12.github.io/introduction-to-cve/ Tue, 07 Sep 2021 06:09:11 +0000 https://eternalcenter-2021-12.github.io/?p=17618 / 内容一:什么叫 CVE

CVE 全称是:Common Vulnerabilities and Exposures,翻译成中文是:常见脆弱性和暴露,是一个业界统一的脆弱性和暴露。

内容二:CVE 的常用格式

CVE-2016-4658,其中 2016-4658 是编号

内容三:CVE 的用途

用于标签系统和应用的漏洞,并实现了一个漏洞数据库以进行漏洞的查询和管理

内容四:CVE 的网站

https://www.cvedetails.com/

]]> [步骤] nftables 防火墙的使用 (永久版) https://eternalcenter-2021-12.github.io/nfttables-permanent/ Tue, 03 Aug 2021 06:28:03 +0000 https://eternalcenter-2021-12.github.io/?p=17232 Continue reading "[步骤] nftables 防火墙的使用 (永久版)"

]]> 注意:

只有 CentOS 8 & RHEL 8 才可以使用 nftables 防火墙

正文:

步骤目录:

步骤一:从 firewalld 防火墙切换至 nftables 防火墙
1.1 安装 nftables 防火墙
1.2 清空 iptables 防火墙的策略表
1.2.1 清空 ipv4 iptables 防火墙的策略表
1.2.2 清空 ipv6 iptables 防火墙的策略表
1.3 停止使用 firewalld 防火墙
1.3.1 取消 firewalld 防火墙开机自启
1.3.2 停止 firewalld 防火墙
1.4 启用 nftables 防火墙
1.4.1 开机自启 nftables 防火墙
1.4.2 启动 nftables 防火墙

步骤二:创建永久的 nftales 防火墙的策略表并条件永久的 nftables 防火墙策略
2.1 在 nftables 防火墙的配置文件中添加 nftables 防火墙策略文件
2.2 在 nftables 防火墙策略文件中添加 nftables 防火墙策略

具体的操作步骤:

步骤一:从 firewalld 防火墙切换至 nftables 防火墙
1.1 安装 nftables 防火墙

# dnf install nftables

1.2 清空 iptables 防火墙的策略表
1.2.1 清空 ipv4 iptables 防火墙的策略表

# iptables -F

1.2.2 清空 ipv6 iptables 防火墙的策略表

# ip6tables -F

1.3 停止使用 firewalld 防火墙
1.3.1 取消 firewalld 防火墙开机自启

# systemctl disable firewalld.service

1.3.2 停止 firewalld 防火墙

# systemctl stop firewalld.service

1.4 启用 nftables 防火墙
1.4.1 开机自启 nftables 防火墙

# systemctl enable nftables

1.4.2 启动 nftables 防火墙

# systemctl start nftables

步骤二:创建永久的 nftales 防火墙的策略表并条件永久的 nftables 防火墙策略
2.1 在 nftables 防火墙的配置文件中添加 nftables 防火墙策略文件

# vi /etc/sysconfig/nftables.conf

添加以下内容:

......
include "/etc/nftables/nftables.rules"

2.2 在 nftables 防火墙策略文件中添加 nftables 防火墙策略

# vi /etc/nftables/nftables.rules
flush ruleset
table inet siemens_FW {
    chain siemens_FW_input {
      type filter hook input priority 0; policy accept;
      iif "lo" accept
      ip saddr 127.0.0.0/8 counter packets 0 bytes 0 drop
      ip6 saddr ::1 counter packets 0 bytes 0 drop
      ip saddr 192.168.1.1 tcp dport ssh accept                  
      tcp dport ssh drop
    }
    chain siemens_FW_forward {
      type filter hook forward priority 0; policy accept;
    } 
    chain siemens_FW_output {
      type filter hook output priority 0; policy accept;
    }
}


补充:
(1)这里以基本的本地巡回路由策略并禁止除 192.168.1.1 的 IP 地址访问本地的 22 端口为例
(2)这里的 /etc/nftables/nftables.rules 是在 2.1 中添加的

]]> [步骤] nftables 防火墙的使用 (临时版) https://eternalcenter-2021-12.github.io/nfttables-temporary/ Tue, 03 Aug 2021 06:19:08 +0000 https://eternalcenter-2021-12.github.io/?p=17229 Continue reading "[步骤] nftables 防火墙的使用 (临时版)"

]]> 注意:

只有 CentOS 8 & RHEL 8 才可以使用 nftables 防火墙

正文:

步骤目录:

步骤一:从 firewalld 防火墙切换至 nftables 防火墙
1.1 安装 nftables 防火墙
1.2 清空 iptables 防火墙的策略表
1.2.1 清空 ipv4 iptables 防火墙的策略表
1.2.2 清空 ipv6 iptables 防火墙的策略表
1.3 停止使用 firewalld 防火墙
1.3.1 取消 firewalld 防火墙开机自启
1.3.2 停止 firewalld 防火墙
1.4 启用 nftables 防火墙
1.4.1 开机自启 nftables 防火墙
1.4.2 启动 nftables 防火墙

步骤二:创建 nftables 防火墙的策略表
2.1 创建 nftables 防火墙的策略表
2.2 创建 nftables 防火墙的策略表的 input 链
2.3 创建 nftables 防火墙的策略表的 forward 链
2.4 创建 nftables 防火墙的策略表的 output 链

步骤三:添加临时基本的本地巡回路由策略

具体的操作步骤:

步骤一:从 firewalld 防火墙切换至 nftables 防火墙
1.1 安装 nftables 防火墙

# dnf install nftables

1.2 清空 iptables 防火墙的策略表
1.2.1 清空 ipv4 iptables 防火墙的策略表

# iptables -F

1.2.2 清空 ipv6 iptables 防火墙的策略表

# ip6tables -F

1.3 停止使用 firewalld 防火墙
1.3.1 取消 firewalld 防火墙开机自启

# systemctl disable firewalld.service

1.3.2 停止 firewalld 防火墙

# systemctl stop firewalld.service

1.4 启用 nftables 防火墙
1.4.1 开机自启 nftables 防火墙

# systemctl enable nftables

1.4.2 启动 nftables 防火墙

# systemctl start nftables

步骤二:创建 nftables 防火墙的策略表
2.1 创建 nftables 防火墙的策略表

# nft create table inet <tablename>

2.2 创建 nftables 防火墙的策略表的 input 链

# nft create chain inet <tablename> input { type filter hook input priority 0 \; }

2.3 创建 nftables 防火墙的策略表的 forward 链

# nft create chain inet <tablename> forward { type filter hook forward priority 0 \; }

2.4 创建 nftables 防火墙的策略表的 output 链

# nft create chain inet <tablename> output { type filter hook output priority 0 \; }

步骤三:添加临时基本的本地巡回路由策略

# nft add rule inet filter input iif lo accept
# nft add rule inet filter input ip saddr 127.0.0.0/8 counter drop
# nft add rule inet filter input ip6 saddr ::1 counter drop
]]> [步骤] Linux 全局加密 SSL 的设置 (CentOS 8 & RHEL 8 版) https://eternalcenter-2021-12.github.io/global-ssl-centos8rhel8/ Sat, 31 Jul 2021 10:11:21 +0000 https://eternalcenter-2021-12.github.io/?p=17184 步骤一:查看当前 SSL 全局加密 SSL 的状况 
# update-crypto-policies --show
DEFAULT

(补充:这里的 DEFAULT 表示可以使用 2048 位及以上位数的 SSL)

步骤二:切换当前 SSL 全局加密 SSL

# update-crypto-policies --set FUTURE


补充:
1) 这里以将全局加密 SSL 切换到 FUTURE 状态为例
2) 此时只能使用 4096 位及以上位数的 SSL

]]> [步骤] Linux 输错密码次数限制的设置 (CentOS&RHEL 版) https://eternalcenter-2021-12.github.io/password-attempt-centosrhel/ Sat, 31 Jul 2021 09:48:09 +0000 https://eternalcenter-2021-12.github.io/?p=17171 步骤一:生成设置密码必须包含大小写字母的策略文件 
# authselect list
- nis                            Enable NIS for system authentication
- sssd                           Enable SSSD for system authentication (also for local users only)
- winbind                        Enable winbind for system authentication
- custom/password-policy         Enable SSSD for system authentication (also for local users only)


注意:如果没有 custom/password-policy 文件则进行以下操作:

# authselect create-profile password-policy -b sssd --symlink-meta --symlink-pam
# authselect select custom/password-policy
# authselect current
Profile ID: custom/password-policy
Enabled features: None

步骤二:配置 /etc/authselect/custom/password-policy/system-auth 文件

# vim /etc/authselect/custom/password-policy/system-auth

先删除包含以下内容的行:

......
......pam_faillock.so......
......

再将以下内容:

......
password    requisite                                    pam_pwquality.so try_first_pass local_users_only
......
auth        required                                     pam_faillock.so preauth silent                         {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail                               {include if "with-faillock"}
......

修改为:

......
password    requisite                                    pam_pwquality.so try_first_pass local_users_only retry=5
......
auth        required                                     pam_faillock.so preauth
......
auth        required                                     pam_faillock.so authfail
......

(补充:这里的 retry=5 代表重复尝试 5 次后登陆会被锁住)

步骤三:配置 /etc/authselect/custom/password-policy/system-password 文件 

# vim /etc/authselect/custom/password-policy/system-password

先删除包含以下内容的行:

......
......pam_faillock.so......
......

再将以下内容: 

......
password    requisite                                    pam_pwquality.so try_first_pass local_users_only
......
auth        required                                     pam_faillock.so preauth silent                         {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail                               {include if "with-faillock"}
......

修改为: 

......
password    requisite                                    pam_pwquality.so try_first_pass local_users_only retry=5
......
auth        required                                     pam_faillock.so preauth
......
auth        required                                     pam_faillock.so authfail
......

(补充:这里的 retry=5 代表重复尝试 5 次后登陆会被锁住)

步骤四:配置 /etc/security/faillock.conf 文件

将以下内容:

......
# deny = 3
......
# unlock_time = 600
......

修改为:

......
deny = 30
......
unlock_time = 600
......

(补充:这里的 deny = 30 和 unlock_time = 600 代表拒绝 30 次 600 秒后解锁)

]]> [工具] Shell 批量修改多个远程服务器某一个用户的密码 (简单版) https://eternalcenter-2021-12.github.io/shell-password-change-simple-version/ Wed, 09 Jun 2021 10:37:59 +0000 https://eternalcenter-2021-12.github.io/?p=14638 介绍:

作者:朱明宇
名称:批量修改多个远程服务器某一个用户的密码
作用:批量修改多个远程服务器某一个用户的密码,并查看密码更新时间

使用方法:
1. 将此脚本和清单 $list 文件放在同一目录下
2. 清单 $list 里每服务器名占用一行
3. 给脚本分割线里的变量赋值
4. 给此脚本添加执行权限
5. 执行此脚本

脚本分割线里的变量:
1. list=”list.txt” #指定清单的目录和名称
2. user=eternalcenter #指定要修改密码的用户
3. password=eternalcenter #指定要修改的密码

注意:
此脚本执行前必须要先保证执行本脚本的用户能无密码 ssh 远程这些远程服务器,并且可以通过 sudo 获得 su 的 root 权限

脚本:

#!/bin/bash

####################### Separator ########################

list="list.txt"
user=eternalcenter
password=eternalcenter

####################### Separator ########################

num=1

cat $list
for i in `cat $list`
do
        echo $num
        echo $i
        ssh -t $i "sudo -u root su - root -c \"echo $password | passwd --stdin $user\""
        ssh -t $i "sudo -u root su - root -c \"echo $user:$password | chpasswd\""
        ssh -t $i sudo -u root su - root -c \"chage -l $user\"
        let num++

        echo
done
]]> [步骤] SELinux 的启用 (openSUSE&SUSE 版) (不建议) https://eternalcenter-2021-12.github.io/selinux-opensusesuse/ Tue, 01 Jun 2021 08:50:14 +0000 https://eternalcenter-2021-12.github.io/?p=14516 Continue reading "[步骤] SELinux 的启用 (openSUSE&SUSE 版) (不建议)"

]]> 软件准备:

在 SELinuxProject 的官网上下载 SELinux 策略 UseRefpolicy:

https://github.com/SELinuxProject/refpolicy/wiki/UseRefpolicy

注意:

1) 如果使用此文的方法将 openSUSE&SUSE 的 SELinux 设置为 Enforcing 则系统将无法设置 IP 地址
2) 如果使用此文的方法开启了 SELinux 并且将所有的布尔(boolean)值开启,则系统将无法关机,开启所有布尔值的方法:# for i in semanage boolean -l | awk '{print $1}'; do echo $i;setsebool -P $i 1; done

正文:

步骤目录:

步骤一:安装 SELinux 组件

步骤二:安装 SELinux 策略
2.1 解压包含 SELinux 策略的压缩包
2.2 将 SELinux 策略移动到 SELinux 配置文件的位置
2.3 进入到和 SELinux 策略相同目录下
2.4 查看 SELinux 策略的安装手册
2.5 创建 SELinux 策略的配置文件
2.6 创建 SELinux 策略
2.7 编译 SELinux 策略
2.8 安装 SELinux 策略

步骤三:配置 SELinux 配置文件
3.1 在 SELinux 配置文件中将 SELinux 设置为 Permissive 状态
3.2 在系统内核中禁止使用 AppArmor 使用 SELinux 并且将 SELinux状态设置为 Permissive
3.2.1 设置 grub 文件
3.2.2 让刚刚设置的 grub 文件生效
3.3 刷新系统内所有文件的标签

步骤四:重启系统让 SELinux 生效

具体的操作步骤:

步骤一:安装 SELinux 组件

# zypper in libselinux1 libsemanage1 libsepol-devel libsepol1 libselinux-devel mcstrans libselinux1-32bit policycoreutils checkpolicy libsemanage-devel setools-tcl setools-libs setools-java setools-devel setools-console selinux-tools python3-policycoreutils python3-selinux python3-semanage python3-setools restorecond

步骤二:安装 SELinux 策略
2.1 解压包含 SELinux 策略的压缩包

# tar -xvf refpolicy-2.20210203.tar.bz2

(补充:这里以解压 refpolicy-2.20210203.tar.bz2 压缩包为例)

2.2 将 SELinux 策略移动到 SELinux 配置文件的位置

# mv refpolicy /etc/selinux/

2.3 进入到和 SELinux 策略相同目录下

# cd /etc/selinux/refpolicy/

2.4 查看 SELinux 策略的安装手册

# cat INSTALL

2.5 创建 SELinux 策略的配置文件

# make conf

2.6 创建 SELinux 策略

# make policy

2.7 编译 SELinux 策略

# make install

2.8 安装 SELinux 策略

# make load

步骤三:配置 SELinux 配置文件
3.1 在 SELinux 配置文件中将 SELinux 设置为 Permissive 状态

# vim /etc/selinux/config

创建以下内容:

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=permissive
# SELINUXTYPE= can take one of three values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected.
#     mls - Multi Level Security protection.
SELINUXTYPE=refpolicy

3.2 在系统内核中禁止使用 AppArmor 使用 SELinux 并且将 SELinux状态设置为 Permissive
3.2.1 设置 grub 文件

# vim /etc/default/grub

在这一行里:

GRUB_CMDLINE_LINUX_DEFAULT="......"
添加以下内容:
GRUB_CMDLINE_LINUX_DEFAULT="...... security=selinux selinux=1 enforcing=0"

3.2.2 让刚刚设置的 grub 文件生效

# grub2-mkconfig -o /boot/grub2/grub.cfg

3.3 刷新系统内所有文件的标签

# restorecon -Rp /

步骤四:重启系统让 SELinux 生效

# reboot

参考文献:

https://documentation.suse.com/sles/15-SP2/html/SLES-all/cha-selinux.html

]]> [内容] Linux SELinux 状态的设置 https://eternalcenter-2021-12.github.io/selinux-state/ Mon, 31 May 2021 13:37:41 +0000 https://eternalcenter-2021-12.github.io/?p=14456 Continue reading "[内容] Linux SELinux 状态的设置"

]]> 内容目录:

内容一:SELinux 的状态

内容二:永久切换 SELinux 状态
2.1 将 SELinux 永久切换至 Disabled 状态
2.1.1 修改 SELinux 配置文件
2.1.2 重启系统
2.1.3 查看 SELinux 状态
2.2 将 SELinux 永久切换至 Permissive 状态
2.2.1 修改 SELinux 配置文件
2.2.2 重启系统
2.2.3 查看 SELinux 状态
2.3 将 SELinux 永久切换至 Enforcing 状态
2.3.1 修改 SELinux 配置文件
2.3.2 重启系统
2.3.3 查看 SELinux 状态

内容三:临时切换 SELinux 状态
3.1 临时切换到 Permissive 状态
3.1.1 临时切换到 Permissive 状态
3.1.2 查看 SELinux 状态
3.2 临时切换到 Enforcing 状态
3.2.1 临时切换到 Enforcing 状态
3.2.2 查看 SELinux 状态

具体的内容:

内容一:SELinux 的状态

1) Disabled:完全关闭 SELinux
2) Permissive:即使违反了策略也依旧可以执行,但是违反策略的记录会被记录在日志中
3) Enforcing:如果违反了策略就不能之行

内容二:永久切换 SELinux 状态
2.1 将 SELinux 永久切换至 Disabled 状态
2.1.1 修改 SELinux 配置文件

# vim /etc/selinux/config

将以下内容:

......
SELINUX=......
......

修改为:

......
SELINUX=disabled
......

2.1.2 重启系统

# reboot

2.1.3 查看 SELinux 状态

# getenforce 
Disabled

2.2 将 SELinux 永久切换至 Permissive 状态
2.2.1 修改 SELinux 配置文件

# vim /etc/selinux/config

将以下内容:

......
SELINUX=......
......

修改为:

......
SELINUX=permissive
......

2.2.2 重启系统

# reboot

2.2.3 查看 SELinux 状态

# getenforce 
Permissive

2.3 将 SELinux 永久切换至 Enforcing 状态
2.3.1 修改 SELinux 配置文件

# vim /etc/selinux/config

将以下内容:

......
SELINUX=......
......

修改为:

......
SELINUX=enforcing
......

2.3.2 重启系统

# reboot

2.3.3 查看 SELinux 状态

# getenforce 
Enforcing

内容三:临时切换 SELinux 状态
3.1 临时切换到 Permissive 状态
3.1.1 临时切换到 Permissive 状态

# setenfoce 0


注意:
1) 系统重启后失效
2) 只能从 Enforcing 状态切换到 Permissive 状态

3.1.2 查看 SELinux 状态

# getenforce 
Permissive

3.2 临时切换到 Enforcing 状态
3.2.1 临时切换到 Enforcing 状态

# setenfoce 1


注意:
1) 系统重启后失效
2) 只能从 Permissive 状态切换到 Enforcing 状态

3.2.2 查看 SELinux 状态

# getenforce 
Enforcing

]]> [工具] Shell 检测服务器某个端口有没有启动 https://eternalcenter-2021-12.github.io/shell-port-check/ Tue, 18 May 2021 06:23:57 +0000 https://eternalcenter-2021-12.github.io/?p=14314 介绍:

作者:朱明宇
名称:检测服务器某个端口有没有启动
作用:检测服务器某个端口有没有启动

使用方法:
1. 在此脚本的分割线内写入相应的内容
2. 给此脚本添加执行权限
3. 执行此脚本
4. 如果被检测的端口被启动则会被记录在指定文件里

脚本分割线里的变量:
1. checkport=’7111′ #被检测的端口
2. logfile=’checkportlog.txt’ #记录文件

脚本:

#!/bin/bash

####################### Separator ########################
checkport='7111'
logfile='checkportlog.txt'
####################### Separator ########################

a=`/sbin/ss -ntulap | grep udp | grep $checkport | awk '{print $7}' | awk -F'"' '{print $2}'`

if [ -n "$a" ];then
       echo `date` >> $logfile
       echo $checkport >> $logfile
       echo `/sbin/ss -ntulap | grep udp | grep $checkport | awk '{print $7}' | awk -F'"' '{print $2}'` >> $logfile
       echo >> $logfile
fi
]]> [步骤] Linux ssh 登陆提示信息的修改 https://eternalcenter-2021-12.github.io/banner-ssh/ Tue, 11 May 2021 09:17:51 +0000 https://eternalcenter-2021-12.github.io/?p=14227 步骤一:修改 sshd 的配置 
# vim /etc/ssh/sshd_config

将以下内容:

#Banner none

修改为:

Banner eternalcenter

或者:

# sed -i 's/.*Banner.*/Banner eternalcenter/' /etc/ssh/sshd_config

(补充:这里以将 ssh 登陆提示信息修改为 eternalcenter 为例)

步骤二:重启 sshd 服务

# systemctl restart sshd
]]> [内容] Linux 本地登陆提示信息的修改 (openSUSE&SUSE 版) https://eternalcenter-2021-12.github.io/banner-local/ Tue, 11 May 2021 03:26:28 +0000 https://eternalcenter-2021-12.github.io/?p=14223 Continue reading "[内容] Linux 本地登陆提示信息的修改 (openSUSE&SUSE 版)"

]]> 内容目录:

内容一:openSUSE 15.0、openSUSE 15.1、openSUSE 15.2 和 SUSE 12.X 修改本地登陆提示信息

内容二:openSUSE 15.3 及以上版本修改本地登陆提示信息
2.1 修改本地登陆系统方面的提示信息
2.2 去除本地登陆网卡方面的提示信息
2.2.1 去除现有的网卡提示信息
2.2.2 设置不再新生成网卡提示信息
2.2.3 追加本地登陆提示信息

内容三:SUSE 15.X 修改本地登陆提示信息
3.1 修改本地登陆系统方面的提示信息
3.2 去除本地登陆网卡方面的提示信息
3.2.1 去除现有的网卡提示信息
3.2.2 设置不再新生成网卡提示信息
3.2.3 设置不再新生成网卡提示信息

具体的内容:

内容一:openSUSE 15.0、openSUSE 15.1、openSUSE 15.2 和 SUSE 12.X 修改本地登陆提示信息

# echo 'eternalcenter.com' > /etc/issue
# echo 'eternalcenter.com' > /etc/issue.net

(补充:这里以将本地登陆提示信息修改为 eternalcenter.com 为例)

内容二:openSUSE 15.3 及以上版本修改本地登陆提示信息
2.1 修改本地登陆系统方面的提示信息

# echo 'eternalcenter' > /usr/lib/issue.d/10-openSUSE.conf

2.2 去除本地登陆网卡方面的提示信息
2.2.1 去除现有的网卡提示信息

# issue-generator network remove eth0

2.2.2 设置不再新生成网卡提示信息

# vim /etc/sysconfig/issue-generator

将以下内容:

......
NETWORK_INTERFACE_REGEX="^[be]"
......

修改为:

......
NETWORK_INTERFACE_REGEX="^[b]"
......

或者:

# sed -i 's/NETWORK_INTERFACE_REGEX="^\[be\]"/NETWORK_INTERFACE_REGEX="^\[b\]"/' /etc/sysconfig/issue-generator


补充:
1) 这里以将本地登陆提示信息修改为 eternalcenter.com 为例
2) 将 NETWORK_INTERFACE_REGEX=”^[be]” 修改为 NETWORK_INTERFACE_REGEX=”^[b]” 是不再显示网卡信息

2.2.3 追加本地登陆提示信息

# echo 'Welcome' /etc/issue.d/issue


补充:
1) 这里以添加 Welcome 本地登陆提示信息为例
2) 结合上文的案例,这里将同时显示 eternalcenter.com 和 Welcome

内容三:SUSE 15.X 修改本地登陆提示信息
3.1 修改本地登陆系统方面的提示信息

# echo 'eternalcenter' > /usr/lib/issue.d/10-SUSE

3.2 去除本地登陆网卡方面的提示信息
3.2.1 去除现有的网卡提示信息

# issue-generator network remove eth0

3.2.2 设置不再新生成网卡提示信息

# vim /etc/sysconfig/issue-generator

将以下内容:

......
NETWORK_INTERFACE_REGEX="^[be]"
......

修改为:

......
NETWORK_INTERFACE_REGEX="^[b]"
......

或者:

# sed -i 's/NETWORK_INTERFACE_REGEX="^\[be\]"/NETWORK_INTERFACE_REGEX="^\[b\]"/' /etc/sysconfig/issue-generator


补充:
1) 这里以将本地登陆提示信息修改为 eternalcenter.com 为例
2) 将 NETWORK_INTERFACE_REGEX=”^[be]” 修改为 NETWORK_INTERFACE_REGEX=”^[b]” 是不再显示网卡信息

3.2.3 追加本地登陆提示信息

# echo 'Welcome' /etc/issue.d/issue


补充:
1) 这里以添加 Welcome 本地登陆提示信息为例
2) 结合上文的案例,这里将同时显示 eternalcenter.com 和 Welcome

]]> [命令] Linux SSL 证书的生成 (openssl 版) https://eternalcenter-2021-12.github.io/ssl-openssl/ Tue, 20 Apr 2021 07:50:42 +0000 https://eternalcenter-2021-12.github.io/?p=14032 内容一:生成 SSL 证书
1.1 交互式生成 SSL 证书 
# openssl req -nodes -newkey rsa:4096 -sha512 -keyout eternalcenter.com.key -out eternalcenter.com.csr

(补充:这里以同时生成长度 4096 位,加密格式为 512 的私钥 eternalcenter.com.key 和公钥 eternalcenter.com.csr 为例)

1.2 非交互式生成 SSL 证书

# openssl req -nodes -newkey rsa:4096 -sha512 -out eternalcenter.com.csr -keyout eternalcenter.com.key -subj "/C=CN/ST=Sichuan/L=Chengdu/O=Eternal Center/OU=Mingyu Zhu/CN=eternalcenter.com/emailAddress=contact@mingyuzhu.com"


补充:这里以同时生成
1) 长度为 4096 位
2) 加密格式为 512
3) 国家为 CN
4) 州或省为 Sichuan
5) 城市为 Chengdu
6) 组织为 Eternal Center
7) 部门为 Mingyu Zhu
8) 域名为 eternalcenter.com
9) 邮箱地址为 contact@mingyuzhu.com
的私钥 eternalcenter.com.key 和公钥 eternalcenter.com.csr 为例

内容二:测试 SSL 证书

# openssl req -in eternalcenter.com.csr -noout -text
]]> [步骤] Linux 输错密码次数限制的设置 (openSUSE&SUSE 版) https://eternalcenter-2021-12.github.io/password-attempt-opensusesuse/ Sat, 20 Mar 2021 12:00:54 +0000 https://eternalcenter-2021-12.github.io/?p=13629 步骤一:配置 /etc/pam.d/sshd 文件 
# sed -i '/auth.*include.*common-auth/a auth      required   pam_tally2.so onerr=fail audit silent deny=15 unlock_time=3000' /etc/pam.d/sshd


补充:
1) 这里的 pam_tally2.so 代表使用 pam_tally2.so 模块
2) 这里的 deny=15 代表输错 15 次后会禁止登陆
3) 这里的 unlock_time=3000 代表禁止登陆后 3000 毫秒后可以重新登陆

步骤二:配置 /etc/pam.d/sshd 文件

# sed -i '/account.*include.*common-account/a account     required    pam_tally2.so' /etc/pam.d/sshd

(补充:这里的 pam_tally2.so 代表加载 pam_tally2.so 模块)

]]>