4 月中旬, Oracle 官方发布了季度补丁程序包,我们生产环境的众多数据库能打补丁的都打上了补丁,不重要的数据库也不能打补丁则关停了一段时间,上个月也可真是风风火火的一个月,感觉天天都在打补丁,事后也写了篇 Oracle 11GR2 RAC 最新补丁指导,感兴趣的可以点此查看。这两日有部分小伙伴说对于单节点的数据库该怎么操作,碰巧今晚又有两台单节点的数据库需要打补丁,那么难得有时间就写一下吧,方便以后学习。
SCP是linux系统下基于ssh登录进行安全远程文件、目录拷贝的命令,可以在linux之间复制文件和目录。Openssh中小于8.3p1版本SCP命令里存在命令注入漏洞。当将文件复制到远程主机时,文件路径附加到本地SCP命令末尾,可以触发命令注入漏洞。攻击者采用反引号(`)文件作为命令注入。
这周三在『代码审计知识星球』中发了一段代码,用户可以控制环境变量,但后面没有太多可控的地方,最后找到了一处执行命令,不过命令用户也不可控。用PHP来演示一下就是下面这7行:
近期,由于 Oracle 发布了第一季度的补丁程序包,而安全又被重视了很多,那么我们运维的数据库则需要打升级补丁,避免被扫描到漏洞。天天在打补丁,连做梦都是,这里总结分享一下,避免后人踩坑,需要的可仔细阅读实践。
通常Linux系统文件及目录最常见的三种权限为:可读权限(r),可写权限(w)和可执行权限(x)。有时我们会发现有些文件或者目录的所属主的权限会带s标识。当s这个标志出现在文件所有者的x权限上时,如/usr/bin/passwd文件的权限状态:“-rwsr-xr-x.”,此时就被称为Set UID,简称为SUID权限。此时,如果该文件的属主权限为root,并能够执行命令操作,攻击者便可以root身份进行操作Linux系统。常见导致SUID提权的可执行程序包含:Nmap、vim、find、bash、more、less、nano、pkexec等,当查询这些可执行程序具有SUID权限时,可进一步排查是否存在权限提升安全问题,并对存在安全的程序进行修复和加固。
背景 原文地址(http://www.cnblogs.com/wenBlog/p/8435229.html) 最近针对我们的处理器出现了一系列的严重的bug。这种bug导致了两个情况,就是熔断和幽灵。 这就是这几天闹得人心惶惶的CPU大Bug。消息显示,以英特尔处理器为代表的现代CPU中,存在可以导致数据泄漏的大漏洞。这两类主要的漏洞被命名为Meltdown(熔断)和Spectre(幽灵),其中Meltdown漏洞会导致某些代码越过权限访问任意内存地址,直击敏感数据,这主要影响英特尔CPU;而Spectre
(一) lvs-fullnat fullnat模式的性能虽然不如dr模式,但是,fullnat支持多vlan,再rs是不同的vlan的情况下,明显使用fullnat是很好的选择。 fullnat的基本原理:假定用户端的ip是cip,vs上有两个ip,一个是vip,还有lip,lip可以是不同网段的一组ip,rs的ip为rip,当客户请求进来,经过vs的时候,再vs出发生一次snat,将cip转化成lip,再由vs到rs的时候又发生了一次dnat,将vip转化成rip,同样的请求返回时,也经历了两次nat,所以一共经历4次nat,从而达到了可以支持多vlan的情况。 client (cip) ---> vs (vip,lip) ---> rs (rip) <--- <--- 但是在这种情况下,只有一台vs,会导致该vs的负载过大,加入keepalived也只能提高稳定性,并不能解决高吞吐量的问题,因此一般会进行一个lvs集群,keepalived可以对rs进行健康检查,在lvs集群前面加上一个路由器或者交换机,使用ospf协议,用户请求到达路由器(或者交换机)后,通过原地址、端口和目的地址、端口的hash,将链接分配到集群中的某一台LVS上,LVS通过内网向后端转发请求,后端再将数据返回给用户,整个会话完成。rs之间的session表要定期同步,以防止其中一个rs出现问题而造成session丢失的情况。 fullnat模式要重新编译内核,下面是步骤: 一 编译内核: 1 从官网上下载rpm源码包,并用rpmbuild重新编译为二进制包 kernel-2.6.32-220.23.1.el6.src.rpm Lvs-fullnat-synproxy.tar.gz 网址:kb.linuxvirtualserver.org 1 rpm -ivh kernel-2.6.32-220.23.1.el6.src.rpm ###安装rpm包### 2 cd rpmbuild/ ###安装完后会在当前目录下 3 yum install -y rpm-build 4 cd /root/rpmbuild/SPECS/ 5 rpmbuild -bp kernel.spec ###解开源码打补丁### ************************************************************************** 6 yum install redhat-rpm-config patchutils xmlto asciidoc binutils-devel newt-devel python-devel perl-ExtUtils-Embed hmaccalc ###依赖性### ************************************************************************** 7 yum install asciidoc-8.4.5-4.1.el6.noarch.rpm newt-devel-0.52.11-3.el6.x86_64.rpm slang-devel-2.2.1-1.el6.x86_64.rpm cd rpmbuild/SPECS/ ************************************************************************** 8 rpmbuild -bp kernel.spec ###解决完依赖性后再次解开源码打补丁### 9 tar zxf Lvs-fullnat-synproxy.tar.gz 10 cd lvs-fullnat-synproxy/ 11 cp lvs-2.6.32-220.23.1.el6.patch ~/rpmbuild/BUILD/kernel-2.6.32-220.23.1.el6/linux-2.6.32-220.23.1.el6.x86_64/ 12 cd ~/rpmbuild/BUILD/kernel-2.6.32-220.23.1.el6/linux-2.6.32-220.23.1.el6.x86_64/ 13 patch -p1 < lvs-2.6.32-220.23.1.el6.patch ###打补丁### 14 vim Makefile 内容: EXTRAVERSION = -220.23.1.el6 ###扩展版本,你所编译的版本### 15 make 16 make modules_install ###安装模块 17 make i
网上各种转来转去,参差不齐,好多说什么用bsu去打补丁,他们有些不知道,12.1.2后的版本都没有bsu这玩意了,打补丁要用opatch去打!
弗吉尼亚州里士满——任何懂技术的人都可以给 Linux 服务器打补丁。但是,在不停机的情况下给数千台服务器打补丁,并不容易。
下面是关于Oracle数据库补丁的一些常识性问题,虽然知道了就很简单,但是不知道的时候还是会很迷惑。供参考。
IT的武林 如果把IT圈当成一个武林,里面有各大门派并充斥着各种武功的话,ansile绝对是一项杀伤力极强的内功。ansible本身配置和使用极为方便,并能够以此驱动其他武功,如操作系统、虚拟化、云计算、应用的部署和配置管理。接下来,我们先看一下这项神功的精妙所在。 IT武林的Ansible 而Ansible是什么?一句话而言:其本质是能够提供配置管理、应用部署、服务自动化的工具。这样的描述是不是太简单了?非也,我们进行展开讨论。 配置管理的对象通常是操作系统,谈到操作系统,Ansible管理操作系统的可以
1、特征:能理解分区的概念,知道安装linux系统和常见的数据库、桌面管理器、应用软件等,能做一些基本的配置(如网络、打印机、调制解调器等),参照手边资料依葫画瓢式的安装和配置常见服务(如NFS、HTTP、FTP、TELNET、 SSH、LDAP、NIS、邮件服务、SAMBA、打印服务等),能解决一些基本的简单问题,熟悉一些基本的常见命令,能理解系统的启动过程等等。
在年初的时候,尝试了一把热修复技术,当时选择的是阿里的andfix,使用起来也很简单,这里就不在多少,如果你对andfix有兴趣请链接:点击打开链接。虽然网上将热修复的文章很多,不过我还是想说原理,然后配合代码,我想这样大家理解更加深刻。 原理 其实就是用ClassLoader加载机制,覆盖掉有问题的方法。我们知道一个ClassLoader可以包含多个dex文件,每个dex文件是一个Element,多个dex文件排列成一个有序的数组dexElements,当找类的时候,会按顺序遍历dex文件,然后从当前遍历
Linux 基础的文件目录操作命令,融合多部Linux经典著作,去除多余部分,保留实用部分。
linux 下有许多优秀的 Termainl,我在用的有deepin-terminal,alacritty,‘simple terminal’.alacritty 是一款使用显卡渲染的终端模拟器,非常的快并且流畅,并且支持终端显示图片,所以比 deepin-terminal 更让我喜欢,然而 simple terminal 确实一款十分简单的终端模拟器,虽然简单但功能却一个不少,体积更小。甚至连配置文件都没有,每次更改配置都要修改源代码并且编译生成程序,实在是够简单。 但是在 deepin 上无法直接安装,需要安装几个依赖的软件。
下载补丁和 OPatch 停止集群件备份家目录 两节点 GI、DB OPatch 替换 复制 oui-patch.xml 到远程节点 2 注意权限 补丁分析 使用 root 用户分析补丁 33806152 OCW 分析 ACFS 补丁分析 Tomcat 补丁分析 DBWLM 补丁分析 节点一分开打各个补丁 root 自动打补丁 33806152 OCW 补丁 ACFS 补丁 Tomcat 补丁 DBWLM 补丁 节点二应用补丁 Root 打补丁 33803476 检查补丁信息 手动打补丁 OJVM 补丁 检查数据库补丁信息 补丁回退 其他补丁相关的资料
对于所有开源爱好者来说,今天是个大喜的日子,Linus Torvalds很高兴地宣布了Linux Kernel 4.0全新内核。
在项目中,如果和其他人一起维护一个项目,有时候别人修改了一些代码,更换 .c 文件也很麻烦,这时就需要用到 patch 了,别人只要发一个 patch ,你打上即可。
本文主要介绍如何使用 Github 上的开源项目 advcpmv 来实现 Linux 中的 「cp」 和 「mv」 命令的进度条。
能潜伏的不只有生物学上的病毒,还有网络中的病毒。 近日,宅客频道从腾讯电脑管家官方微博看到一则消息:腾讯安全反病毒实验室在全球范围内捕获了一例病毒样本,并顺藤摸瓜扒出了一个潜伏 17 年之久的 0day 漏洞——该病毒利用 Office 公式编辑器中的 0day 漏洞发动攻击,与之前 CVE-2017-11882“高龄”漏洞如出一辙,潜伏期长达 17 年之久,威胁大量 Office 版本,一旦用户打开恶意文档,无需其他操作,就会被植入后门木马,被不法分子完全控制电脑。 📷 0Day 漏洞(Ze
RT-Preempt Patch是在Linux社区kernel的基础上,加上相关的补丁,以使得Linux满足硬实时的需求。下面是编译RT linux内核的流程,以内核3.18.59为例。
iptables系列之layer7 一块网卡多个IP,这张网卡上连接一个交换机,交换机上连接了多个不同网段的主机,如果设置网关,以及转发功能。不同网段主机可以通信。 地址是属于主机的,不属于网卡的。
被黑疑似进程(或 svchost.exe 长时间 50%-100%) 因近期网上大规模爆发Windows 漏洞 2003/2008/2012 等系统被黑的情况,且相关黑客工具获取非常容易本次漏洞基本包含了所有 Windows 系统,5 月 13 日 wana Decrypt0r 2.0 勒索软件爆发,大量计算机被黑和植入木马,且有被加密勒索。 通过这个大洞入侵后,勒索病毒还会与挖矿机(运算生成虚拟货币)、远控木马组团传播,形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”,专门选择高性能服务器挖矿
在8.1.1365之前的Vim和在0.3.6之前的Neovim很容易通过打开特制的文本文件而通过模型执行任意代码。
很多朋友吐槽我的脚本不会用,看不懂,哎,一言难尽!于是,我将 [vagrant + virtualbox + shell脚本] 组合起来,实现了零基础也可安装 Oracle 数据库的方式,我称之为 新手纯享版本,真正一行短命令!
环境: Oracle 11.2.0.3 + OEL 7.9 A -> B -> C 级联ADG环境:db11g -> db11gadg -> db11gcas
本文介绍了如何通过修改配置文件、编译内核、创建内核工程、烧写内核到开发板、运行内核、分析内核日志、输出内核转储、调试内核、使用内核调试器等工具和方法,来分析和解决内核问题。
我们在升级Linux 内核的时候,难免会接触到补丁的知识。下面对如何生成补丁和如何打补丁作讲解。
2 jdk-8u361-linux-x64.tar.gz java环境
版权声明:本文为木偶人shaon原创文章,转载请注明原文地址,非常感谢。 https://blog.csdn.net/wh211212/article/details/52735180
Nginx 的健康检查这块笔者在网上看了很多文章,基本都是零零散散的,讲各种实现方式,没有一篇能完整的讲当下的 Nginx 实现健康检查的几种方式,应该选哪一种来使用,于是笔者想总结一篇。
📷 1. 前言 先简单自我介绍一下,其实,我是一个安全工程师。现就职于某互联网金融企业负责公司整体网络安全。 刚到公司时首先是了解一些企业规则和规则制定者,当然了我的工作主要是安全。初来乍到,先了解下公司的IT资产,收集完IT资产后,做一个IP资产开放端口的梳理,端口信息的收集这是一个很重要的过程,因为渗透实战中对端口的渗透是常用手段。 端口收集过程中关注几个问题: 1. 常见应用的默认端口 2. 端口的banner信息 3. 端口上运行的服务
环境:Oracle RAC(GI 19.3 + DB 19.3) 本文应用补丁信息, 19.16 RU:
由于 cp 和 mv 命令都是属于 coreutils 工具包下的,因此我们的主要操作就是在编译 coreutils 的时候加入补丁从而实现进度条功能。
该文章介绍了如何通过U-Boot在ARM平台上进行Linux内核的编译、烧写和启动。首先介绍了U-Boot的编译过程,然后说明了如何将编译好的U-Boot刷入NAND Flash并启动内核。文章还介绍了如何使用U-Boot的串口终端进行命令行交互,并总结了如何在U-Boot中编译Linux内核的步骤和注意事项。
Docker官方建议在Ubuntu中安装,因为Docker是基于Unbantu发布的,而且一般Docker出现的问题Ubuntu是最先更新或者打补丁的,在很多版本的Centos中是不支持更新最新的一些补丁包的。
注:此博客仅供参考,读者可根据自己的实际情况进行合理的配置,博客内容参考老男孩书籍《web集群实战》一书
上一篇安装文档中说过 Oracle 也有一份安装手册,虽是英文版但很是详细,很有参考意义,如下是官方地址可查看详细内容:https://docs.oracle.com/en/database/oracle/oracle-database/12.2/ladbi/downloading-and-installing-patch-updates.html#GUID-A2FD0257-D074-444D-8007-A21EBEC10358
这几天复习运维知识,也没怎么关注业界新闻,可等我一关注,又“捅娄子”了,Linux 继上次CVE-2014-6271漏洞爆发以来,再次爆发一个严重漏洞:CVE-2015-0235-Linux glibc 高危漏洞,正在使用 Linux 系统的个人或企业,看到消息请立即修复! 下面是我转载的检测和修复方法,我个人服务器 Centos 6.5 已成功修复: ---- 一、漏洞概述 2015/01/28【CVE 2015-0235: GNU glibc gethostbyname 缓冲区溢出漏洞 】全面爆发,该漏
Walle 介绍 Walle(瓦力):Android Signature V2 Scheme签名下的新一代渠道包打包神器。 瓦力通过在Apk中的APK Signature Block区块添加自定义的渠道信息来生成渠道包,从而提高了渠道包生成效率,可以作为单机工具来使用,也可以部署在HTTP服务器上来实时处理渠道包Apk的升级网络请求。 ——来自 Walle 使用 使用Walle生成多渠道的速度是很快的,原来的项目打一个包就需要两分钟多,每次发布打7个包需要十几分钟。用了Walle后,7个包只要两分钟左右
苹果安全团队成员Joe Vennix发现了sudo实用程序中的一个重要漏洞,即在特定配置下,它可能允许低特权用户或恶意程序在Linux或macOS系统上以 root身份执行命令。
墨墨导读:重装操作系统、集群软件、数据库软件重装,然后把之前的数据库纳入到新创建的集群中。
此篇文章主要是介绍系统提权的常规方法,提权方式在渗透实战中不是必须的过程。但是当需要抓取口令,删除系统软件,权限限制查看敏感文件等情况下,就需要进行权限提升。此篇文章总结整理了windows系统下常规提权方式。具体操作如下:
本次环境: RHEL 6.5 + Oracle 11.2.0.4 单实例 目前最新的PSU: 补丁程序23054359: DATABASE PATCH SET UPDATE 11.2.0.4.160719 目前最新的OJVM PSU: 补丁程序23177551: OJVM PATCH SET UPDATE 11.2.0.4.160719
Gradle使用productFlavors打渠道包的痛 有很多同学可能会采用配置productFlavors来打渠道包,主要是它是原生支持,方便开发者输出不同定制版本的apk,举个例子: android { ... defaultConfig { minSdkVersion 8 versionCode 10 } productFlavors { flavor1 { packageName "com
出于内部(内部审计)或者外部因素(等保等合规要求),我们通常都要关注下服务器的漏洞情况,windows下有自动更新或者第三方的软件搜集。Linux下,我们可以用云厂商提供的安全服务(巡检免费,打补丁必然是收费的), 对于物理机或者不想交钱给云厂商的话,我们也可以找一些开源的解决方案。
官网地址:https://www.redhat.com/zh/global/china
Salesforce 的 Einstein Vision 和语言服务部署在 AWS Elastic Kubernetes Service(EKS) 集群上。其中有一个最主要的安全和合规性需求,就是给集群节点的操作系统打补丁。部署服务的集群节点需要通过打补丁的方式进行系统的定期更新。这些补丁减少了可能让虚拟机暴露于攻击之下的漏洞。
领取专属 10元无门槛券
手把手带您无忧上云
