作为linux运维,多多少少会碰见这样那样的问题或故障,从中总结经验,查找问题,汇总并分析故障的原因,这是一个Linux运维工程师良好的习惯。每一次技术的突破,都经历着苦闷,伴随着快乐,可我们还是执着的继续努力,从中也积累了更多的经验,这就是实践给予我们的丰厚回报。 下面汇总了我做项目过程可能出现的故障及解决方法,看看是否与你有共鸣,并对你有帮助? ---- 第一:常见问题解决集锦 1.shell脚本不执行 问题:某天研发某同事找我说帮他看看他写的shell脚本,死活不执行,报错。我看了下,
作为运维,多多少少会碰见这样那样的问题或故障,从中总结经验,查找问题,汇总并分析故障的原因,这是一个运维工程师良好的习惯。每一次技术的突破,都经历着苦闷,伴随着快乐,可我们还是执着的继续努力,从中也积累了更多的经验,这就是实践给予我们的丰厚回报。
Mysql的链接方式和微信一样,也是吧不同的客户端发来的消息,经过处理之后,再返回给客户端。
第一章:高级网络配置 1.虚拟网卡的添加 ifconfig eth0:1 10.0.0.2 netmask 255.255.255.0 临时添加虚拟网卡 永久保存虚拟网卡,必须在配置文件中写ifcfg-eth0/1 //注意:NetworkManager 是不支持桥接和虚拟接口。但是在centos7中NetworkManager工具完美的兼容了/etc/sysconfig/network-scripts/下的网络配置文件,并且支持了bond和桥接网络。 2.网络接口的配置-bonding 使用bonding
最近在优化自己写的APPsite框架,其中一直以来没有妥善解决的权限模块可能是后面拓展出去的比较大的障碍。所以着手重写这个模块。 在现有的框架中ACCESS模块分为两大部分: 系统权限、单位权限两个。
在学习域的过程中,我们经常会看到访问控制列表(ACL,Access Control Lists),对这个词既熟悉又陌生。现在,就让我们来看看ACL到底是什么,这需要从Windows的访问控制模型开始说起。而说Windows的访问控制模型之前,我们先来看看两个基础的概念。
在上一期《权限系统表|全方位认识 mysql 系统库》中,我们针对mysql 系统库中的权限表做了一个简单的认识,本期我们将在上一期的基础上详细介绍MySQL 的访问权限控制系统,下面请跟随我们一起开始 mysql 系统库的系统学习之旅吧。
服务票据是客户端直接发送给服务器,并请求服务资源的。如果服务器没有向域控dc验证pac的话,那么客户端可以伪造域管的权限来访问服务器
在针对大型企业的域渗透过程会发现,普通域用户无法执行类似于net group "domain admins" /domain 和 net group "domain controllers" /domain的命令查询域管理员和域控等敏感组,会提示发生系统错误拒绝访问。这主要是由于目标企业针对域做了安全加固,设置了ACL限制了普通域用户对敏感用户组的查询。绕过方法也很简单,条条大道通罗马,可以换个方式来进行查询,可以使用powershell或者adfind工具换个方式来进行查询。
MySQL权限系统保证所有的用户只执行允许做的事情。当你连接MySQL服务器时,你的身份由
SPN(ServicePrincipal Names)服务主体名称,是服务实例(如:HTTP、SMB、Exchange等服务)的唯一标识符。Kerberos身份验证使用SPN将服务实例与服务登录帐户相关联。如果在整个林或域中的计算机上安装多个服务实例,则每个实例都必须具有自己的 SPN。如果客户端使用多个名称进行身份验证,则给定服务实例可以具有多个SPN。SPN 始终包含运行服务实例的主机名,因此服务实例可以为其主机的每个名称或别名注册SPN。一个用户账户下可以有多个SPN,但一个SPN只能注册到一个账户。如果想使用 Kerberos 协议来认证服务,那么必须正确配置SPN。
Postfix邮件传输代理(MTA)是一种高性能的开源电子邮件服务器系统。本指南将帮助您在CentOS 7 Linode上运行Postfix,使用Dovecot进行IMAP / POP3服务,并使用MariaDB(MySQL的替代品)来存储虚拟域和用户的信息。
说明: 1. 如果需要远程链接数据库必须通过防火墙 2. 如果远程链接数据库,数据库中必须开启远程访问权限才行,否则拒绝链接.
当搜索引擎访问一个网站时,它首先会检查该网站的根域下是否有一个叫做robots.txt的纯文本文件。Robots.txt文件用于限定搜索引擎对其网站的访问范围,即告诉搜索引擎网站中哪些文件是允许它进行检索(下载)的。这就是大家在网络上常看到的“拒绝Robots访问标准”(Robots Exclusion Standard)。下面我们简称RES。 Robots.txt文件的格式:Robots.txt文件的格式比较特殊,它由记录组成。这些记录通过空行分开。其中每条记录均由两个域组成: 1) 一个User-Agent(用户代理)字符串行; 2) 若干Disallow字符串行。 记录格式为:<Field> ":" <value> 下面我们分别对这两个域做进一步说明。 User-agent(用户代理): User-agent行(用户代理行) 用于指定搜索引擎robot的名字,以Google的检索程序Googlebot为例,有:User-agent: Googlebot 一个robots.txt中至少要有一条User-agent记录。如果有多条User-agent记录,则说明有多个robot会受到RES标准的限制。当然了,如果要指定所有的robot,只需用一个通配符"*"就搞定了,即:User-agent: * Disallow(拒绝访问声明): 在Robots.txt文件中,每条记录的第二个域是Disallow:指令行。这些Disallow行声明了该网站中不希望被访问的文件和(或)目录。例如"Disallow: email.htm"对文件的访问进行了声明,禁止Spiders下载网站上的email.htm文件。而"Disallow: /cgi-bin/"则对cgi-bin目录的访问进行了声明,拒绝Spiders进入该目录及其子目录。Disallow声明行还具有通配符功能。例如上例中"Disallow: /cgi-bin/"声明了拒绝搜索引擎对cgi-bin目录及其子目录的访问,而"Disallow:/bob"则拒绝搜索引擎对/bob.html和/bob/indes.html的访问(即无论是名为bob的文件还是名为bob的目录下的文件都不允许搜索引擎访问)。Disallow记录如果留空,则说明该网站的所有部分都向搜索引擎开放。 空格 & 注释 在robots.txt文件中,凡以"#"开头的行,均被视为注解内容,这和UNIX中的惯例是一样的。但大家需要注意两个问题: 1) RES标准允许将注解内容放在指示行的末尾,但这种格式并不是所有的Spiders都能够支持。譬如,并不是所有的Spiders都能够正确理解"Disallow: bob #comment"这样一条指令。有的Spiders就会误解为Disallow的是"bob#comment"。最好的办法是使注解自成一行。 2) RES标准允许在一个指令行的开头存在空格,象"Disallow: bob #comment",但我们也并不建议大家这么做。 Robots.txt文件的创建: 需要注意的是,应当在UNIX命令行终端模式下创建Robots.txt纯文本文件。好的文本编辑器一般都能够提供UNIX模式功能,或者你的FTP客户端软件也“应该”能够替你转换过来。如果你试图用一个没有提供文本编辑模式的HTML编辑器来生成你的robots.txt纯文本文件,那你可就是瞎子打蚊子——白费力气了。 对RES标准的扩展: 尽管已经提出了一些扩展标准,如Allow行或Robot版本控制(例如应该忽略大小写和版本号),但尚未得到RES工作组的正式批准认可。 附录I. Robots.txt用法举例: 使用通配符"*",可设置对所有robot的访问权限。 User-agent: * Disallow: 表明:允许所有搜索引擎访问网站下的所有内容。 User-agent: * Disallow: / 表明:禁止所有搜索引擎对网站下所有网页的访问。 User-agent: * Disallow: /cgi-bin/Disallow: /images/ 表明:禁止所有搜索引擎进入网站的cgi-bin和images目录及其下所有子目录。需要注意的是对每一个目录必须分开声明。 User-agent: Roverdog Disallow: / 表明:禁止Roverdog访问网站上的任何文件。 User-agent: Googlebot Disallow: cheese.htm 表明:禁止Google的Googlebot访问其网站下的cheese.htm文件。 上面介绍了一些简单的设置,对于比较复杂的设置,可参看一些大型站点如CNN或Looksmart的robots.txt文件(www.cnn.c
ADDS可以理解为跟DNS,DHCP一样是集成在Windows Server中的一个角色功能,AD DS域是用来管理用户,计算机,组和其他对象的逻辑容器。AD DS 数据库存储所有域对象,每个域控制器存储数据库的副本。
本篇文章详细记录了一个内网+服务环境靶机的渗透过程,大约涉及到15台主机,由于这些靶机都在虚拟机内搭建,和实战相比有所区别,但可以尽最大程度地模拟实战的情况。 从一级代理到三级代理,使用内网安全中常见的攻击手段(置零攻击、票据、域信任等)和服务安全常用的渗透手段(MSSQL利用存储过程提权、shiro550、Struts2-052漏洞等等)通过对内网中各个主机的渗透,一步步将Web服务器、子域控、父域控、安全域、涉密域、独立域等主机拿下。 PS:三月入门内网安全,简单完成了项目一(纯内网环境无任何应用),四
在PostgreSQL中的访问和权限,在学习的初期是很容易搞不清楚的,而由于这方面的事情也浪费很不少的时间,所以本期捋一捋,这方面的问题和知识。
EwoMail 是一款简单易用的邮件服务器,本文记录服务器配置方法。 EwoMail 简介 基于Linux下的邮件服务器软件,安全稳定,无需专人维护 基于Web现代化的邮箱管理后台、WebMail,无需安装任何客户端 简单易用,支持多语言切换,详细的使用手册,容易上手 官方网站:http://www.ewomail.com/ 服务器配置方法 本文使用 docker 安装 EwoMail 服务器 docker hub 链接:https://hub.docker.com/r/bestwu/ewoma
RADIUS( Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种用于实现AAA( Authentication, Authorization and Accounting,认证、授权和计费)的协议。
这几天整理了下网站渗透测试中基础部分的第三节,我们SINE安全渗透工程师对代码安全审计,手工渗透测试检查代码的危险漏洞方法,找出安全问题重点,配合工具扫描来达到测试漏洞的目的,本测试重点仅限于客户授权才能操作,切记忽非法尝试入侵!以下方法只是提供网站安全检测的具体参考意见。
威胁建模是利用软件、系统或威胁模型在开发软件或者系统的早期及时发现安全问题以及理解安全需求,并根据这些安全问题制定缓解、清除措施。
Samba是一个能让Linux系统应用Microsoft网络通讯协议的软件,而SMB是Server Message Block的缩写,即为服务器消息块,SMB主要是作为Microsoft的网络通讯协议,后来Samba将SMB通信协议应用到了Linux系统上,就形成了现在的Samba软件。后来微软又把 SMB 改名为 CIFS(Common Internet File System),即公共 Internet 文件系统,并且加入了许多新的功能,这样一来,使得Samba具有了更强大的功能。
tcpwrapper:工作在第四层(传输层),能够对有状态连接的服务进行安全检测并实现访问控制的工具。部分功能上跟iptables重叠。
对于习惯MySQL 权限体系的朋友来说,MySQL 有 数据库,对象层面的权限,而PostgreSQL 多少有些不一样 PostgreSQL 的权限分为四类 : 实例,数据库,schame,对象。下面我们通过实际案例逐一了解。
URL后面随便输入个目录,发现是ThinkPHP 3.2.3的系统,目前公开渠道没有可直接GetShell的漏洞
在2015年的黑帽大会和DEFCON上,我曾谈过黑客会如何从域用户提权到域管理。 密码的难题 每台Windows主机有一个内置的Administrator账户以及相关联的密码。大多数组织机构为了安全,可能都会要求更改密码,虽然这种方法的效果并不尽如人意。标准的做法是利用组策略去批量设置工作站的本地Administrator密码。 但是这样又会出现另一个问题,那就是所有的电脑都会有相同的本地Administrator密码。也就是说,如果获取了一个系统的Administrator认证凭据,黑客就可以获取他们
如果你的服务器是2003的,它默认只支持.net,不支持asp所以须进行以下操作:
所谓认证,在我的理解就是用户通过一个凭证进入服务器的过程,而授权是用户是否有权限获取服务器中的某个资源。认证负责的是整体,授权负责的是局部。
8.编辑IP访问规则 对于某些扰乱服务器秩序但又不方便删除其账户的用户,可以利用“编辑IP访问规则”允许或阻止特定的IP访问。Serv-U对用户IP访问规则的设置相当灵活,不仅可以设置允许访问本服务器的用户IP,也可以设置拒绝访问的用户IP;不仅可对每个账户进行单独编辑,也可对整个服务器所有账户进行统一编辑,还支持“”和“?”通配符。 1)拒绝访问 对于捣蛋的用户,如果不方便删除其账户,可以从“域日志”中查找到该用户连接的IP。在“规则”文本框中,点击“添加”,Serv-U就会将此规则添加到下方的“IP访问规则”列表框中。这对于那些拥有固定IP的用户相当有效。但如果该用户是拨号上网用户,只要断线后重新拨号,就会获得一个新IP,显然,此IP访问规则对于该用户来说已经失效。要解决此问题,就要用到通配符和“-”符号。假设我们要屏蔽的用户IP是192.168.X.X,可以在“规则”中输入192.168..,也可以输入192.168.﹖.﹖-192.168.﹖﹖﹖.﹖﹖﹖或者192.168.0.0-192.168.255.255,效果一样。合理使用这些符号,还可以有效防止******。 2)允许访问 如果想将自己的FTP站点仅供几个特定的用户使用,可以选中“允许访问”,在“规则”中输入特定用户的IP,再点“添加”。同样,如果特定用户的IP是动态IP,可以使用通配符和“-”符号进行设置。 其实作为站长,更多的时候需要将两种规则灵活混用,比如从拒绝访问的IP中设置某个IP为允许访问,抑或相反。需要提醒的是:对于某些局域网用户,比如网吧,如果将其IP设置为拒绝访问,则整个局域网都将会被服务器屏蔽掉。 9.服务器带宽等资源管理 对于服务器来说,最重要的就是如何保证服务器带宽等系统资源及其性能不被浪费。为此,还需要进行一些设置,进入“本地服务器→设置→常规”选项卡。 “最大速度”:即可以使用的最大带宽(KB/秒),根据服务器总带宽资源填入合适的数值。如果不填数值,Serv-U将使用所有可用的带宽,这样当连接的用户达到一定数量时,会导致服务器上其它的网络应用不可用。以512Kbps ADSL为例,最好设置为50KB/秒或以下。 “最大用户数”:设置在同一时间内允许连接到本服务器的最大用户数。由于每个连接到服务器的用户即使不上传、下载任何文件,也会占用一定带宽,因而最好进行设置,否则系统不会控制登录用户数,直至为此耗尽所有资源。 “删除部分已上传的文件”:删除不完整的上传文件。如果选择此项,系统会自动删除没有完全上载的文件,以最大可能地节省服务器硬盘空间。是否选择,要视服务器用户平时上传的文件大小决定。 “禁用反超时调度”:很多FTP服务器为了防止用户长时间不操作却占用带宽及连接数而做了超时设置,当用户连接超过一定时间但未做任何操作,就会被服务器自动踢除。针对这点,一些FTP客户端程序会自动向服务器端发送一些命令,以保证不被踢除。如果选择此项,服务器将采用一种独特的计时方式以防止FTP客户端程序的这些反超时设置。建议选择。 “拦截连接超过 ×次于× 秒×分钟”:用来设置如果一个用户在×秒内持续连接了×次,那么屏蔽他的IP地址×分钟,可以有效防止用户使用如网络蚂蚁等高速多线程下载软件连接服务器。 以上的设置对于“域”下所有服务器都有效。但是这些设置对于具体的某个FTP服务器或某个账户来说过于粗浅,不利于细致地管理。不过不要紧,Serv-U针对每个服务器下的每个账户都提供了细化的设置功能。可进入该账户的“常规”选项卡: “只允许X从相同的IP登录”:很多用户在下载两个或两个以上文件时,为了节省下载等待时间,往往会同时打开两个以上的FTP客户端软件登录。对于服务器来说,每个登录进程实际上就是一个用户,这样不仅占用了系统带宽,而且挤占了其他用户的登录权。这就需要选中此选项来防止此种情况。选中后,服务器就只允许某个IP同时最多有X个连接。 “最大上传速度和最大下载速度(KB/秒)”:用来设置该账户用户最大的上传/下载速度。对于特定账户,可以设置得比一般账户高些,以体现特权。 “空闲超时和任务超时(秒)”:“空闲超时”用来设置当用户空闲超过一定时间时就会被服务器自动踢除以免占用资源,“任务超时”设置当用户与服务器进行每个任务时,超出一定时间就会被系统自动踢除。 “最大用户数量”:设置在同一时间内用此账户登录服务器的最大用户数。 完成这些设置后,实际上你已经拥有一台处于准专业管理水平下的准专业FTP服务器了。之所以还只是准专业管理水平,是因为你还没有实现当今最时尚最炫的远程管理功能。 10.实现远程FTP服务器管理 有没有想过在家中架设FTP服务器,在办公室也可以像坐在家中一样对服务器进行各种设置和管理呢?Serv-U就提供了这种远程管理功能。为方便说明,先假设我们在
近期正在探索前端、后端、系统端各类常用组件与工具,对其一些常见的组件进行再次整理一下,形成标准化组件专题,后续该专题将包含各类语言中的一些常用组件。
本文介绍了DNS解析过程、安全防范和性能优化等相关知识。
大概就是这样的过程,下面我们来仔细的分析下浏览器是如何查找到域名对应的ip地址的。
1.MySQL 数据库总结 MySQL 可以建多少个数据库,理论上是没有限制的,每一个数据库可以有上亿的对象,但是一般基于硬件要求、效率问题一般不超过64个, 超过64个会对数据处理速度造成影响,每一张表建议不超过过1亿条数据。
概要 在大数据量高并发访问时,经常会出现服务或接口面对暴涨的请求而不可用的情况,甚至引发连锁反映导致整个系统崩溃。此时你需要使用的技术手段之一就是限流,当请求达到一定的并发数或速率,就进行等待、排队、
在了解完java8中新版本的时间API之后,当然,并不是全部了解,java.time包下面接近上百个类,没办法一一去了解。作为我们日常用来替换java.util.date的功能。也不需要全部了解。在看过若干代码之后,有如下总结。
域(Domain)是一个有安全边界的计算机集合(安全边界的意思是,在两个域中,一个域中的用户无法访问另一个域中的资源)
为了更好地控制对网站资源的访问,所以需要为特定的网站目录添加访问授权。 客户机地址限制: 通过 Require 配置项,可以根据主机的主机名或IP地址来决定是否允许客户端访问,在 httpd服务器的主配置文件的 <Location>、<Directory>、<Files>、<Limit> 配置段中均可以使用 Require 配置项来控制客户端的访问。 常用格式如下: Require all granted :表示允许所有主机访问 Require all denied :表示拒绝所有主机访问 Require local :表示仅允许本地主机访问 Require [not] host <主机名或域名列表> :表示允许或拒绝指定主机或域访问 Require [not] IP <IP地址或网段列表> :表示允许或拒绝制定IP或网段访问 具体用法: 路径:/usr/local/httpd/conf/httpd.conf 1、允许所有
来源:开源中国社区 www.oschina.net/news/92665/mysql-security-vulnerablity Oracle官方近日发布安全公告,公告修复MySQL服务25个安全漏洞,在这些安全漏洞中,影响较大的CVE-2018-2696漏洞可以在无需认证的条件下,远程利用导致拒绝服务攻击。本次安全公告披露的安全漏洞数量较多,建议用户关注。 漏洞编号: CVE-2018-2696,CVE-2018-2591,CVE-2018-2562 漏洞描述: CVE-2018-2562 MySQL分
简介: squid服务提供了强大的访问控制功能,通过定义各种ACL(Access Control List,访问控制列表),这些列表中包含了一定的过滤和控制条件,然后只要对这些列表设置时allow(允许)或deny(拒绝)就可以实现访问控制了。
SELinux按照默认拒绝的原则运行:任何未经明确允许的行为都会被拒绝。SELinux可按两种全局模式运行:
一天一靶机 生活充实而有趣,打算这几天把红日的几个靶机都给撸个遍。打起来还挺有意思。
多个IBM产品存在未明SQL注入漏洞 多个IBM产品存在未明SQL注入漏洞发布时间:2014-01-13漏洞编号:BUGTRAQ ID:64749 CVE ID:CVE-2013-6321漏洞描述:IBM多个产品未能正确过滤用户提交的输入,允许远程攻击者利用漏洞进行SQL注入攻击,可操作或获取数据库数据。 漏洞影响如下产品: IBM Atlas eDiscovery Process Management IBM Disposal and Governance Managemen
单引号引起数据库报错 访问错误参数或错误路径 探针类文件如phpinfo 扫描开发未删除的测试文件 google hacking phpmyadmin报路径:/phpmyadmin/libraries/lect_lang.lib.php利用漏洞读取配置文件找路径 恶意使用网站功能,如本地图片读取功能读取不存在图片,上传点上传不能正常导入的文件
报错“Connected to the target VM, address: '127.0.0.1:59549', transport: 'socket' Wed Sep 13 16:56:02 CST 2023 WARN: Establishing SSL connection without server's identity verification is not recommended. According to MySQL 5.5.45+, 5.6.26+ and 5.7.6+ requirements SSL connection must be established by default if explicit option isn't set. For compliance with existing applications not using SSL the verifyServerCertificate property is set to 'false'. You need either to explicitly disable SSL by setting useSSL=false, or set useSSL=true and provide truststore for server certificate verification. java.sql.SQLException: Access denied for user 'username'@'localhost' (using password: YES) at com.mysql.cj.jdbc.exceptions.SQLError.createSQLException(SQLError.java:127) at com.mysql.cj.jdbc.exceptions.SQLError.createSQLException(SQLError.java:95) at com.mysql.cj.jdbc.exceptions.SQLExceptionsMapping.translateException(SQLExceptionsMapping.java:122) at com.mysql.cj.jdbc.ConnectionImpl.createNewIO(ConnectionImpl.java:862) at com.mysql.cj.jdbc.ConnectionImpl.<init>(ConnectionImpl.java:444) at com.mysql.cj.jdbc.ConnectionImpl.getInstance(ConnectionImpl.java:230) at com.mysql.cj.jdbc.NonRegisteringDriver.connect(NonRegisteringDriver.java:226) at java.sql.DriverManager.getConnection(DriverManager.java:664) at java.sql.DriverManager.getConnection(DriverManager.java:247) at BookManagement.<init>(BookManagement.java:21) at BookManagement.main(BookManagement.java:62) Disconnected from the target VM, address: '127.0.0.1:59549', transport: 'socket' 进程已结束,退出代码 0
参考大佬的文章,附上地址 https://www.freebuf.com/articles/web/118352.html
部署Bookinfo。由于下例在策略中使用了principal和namespace,因此需要启用mutual TLS。
JBoss未授权访问,进入JBoss管理控制台可以通过加载远程的war来部署木马。
在使用 Navicat 连接 MySQL 数据库时很多人都会遇到1045错误,主要原因是,你输入的用户名或密码错误被拒绝访问了,如果你不想重装,那么就需要找回密码或者重置密码。
免责声明:本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安全+的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储
