本文不一定适合比较老版本的Linux,如果只关心使用,请直接看“总结”,本文主要针对CentOS,其它Linux发行版本类似,但细节可能有出入,比如重启服务可能不是用systemctl,而是service等。
描述:dpkg是软件包管理基础工具“Debian Packager ”的简写,为 “Debian” 专门开发的套件管理系统,方便软件的安装、更新及移除,dpkg命令与rpm有异曲同工之妙; 使用方法:
近来很多知名企业都出现了密码泄露,业内对多重认证的呼声也越来越高。在这种多重认证的系统中,用户需要通过两种不同的认证程序:提供他们知道的信息(如 用户名/密码),再借助其他工具提供用户所不知道的信息(
版权声明:本文为博主原创文章,转载请注明源地址。 https://blog.csdn.net/10km/article/details/53127825
原文地址 https://www.cnblogs.com/tiannan/p/6238832.html
最近装了两台Linux虚拟机分别CentOS7和Ubuntu 14.04,都装了samba服务,文件共享都正常,虚拟机上互联网也正常,能以ping 通局域网的ip,却都ping不通主机名,其他电脑(Windows/Linux)都能ping 通这两台虚拟机的主机名。
在linux系统中,用户多次登录失败会被锁定,一段时间内将不能再登录系统,这是一般会用到Pam_Tally2进行账户解锁。
在Linux系统中,用户多次登录失败会被锁定,一段时间内将不能再登录系统,这是一般会用到Pam_Tally2进行账户解锁。
Linux软件简介 Linux上几乎所有的软件都经过了GPL授权,因此几乎所有的软件都会提供源码。 而一个软件要在Linux上执行,必须是二进制文件,因此当我们拿到软件源码后,需要将它编译成二进制文件才能在Linux上运行。 软件编译过程 将源码编译成可供Linux运行的二进制文件一共需要两步: 1. 使用gcc编译器将源码编译成目标文件 2. 再次使用gcc编译器将目标文件链接成二进制文件 这过程看似简单,实则不然。一个软件的源代码往往被封装在多个源文件中,此外这些文件有错综复杂的依赖关系,
文章更新: 20170308 初次成文 问题简述: 在之前的文章中: 树莓派折腾记:打造HiFi解码转盘(基于Volumio和Dac扩展板) 小苏特意提到了不要给Volumio执行upgrade操作,即使你这么做了,你也无法升级成功。但是由于Volumio基于Raspbian(基于Debian基于Linux),大多数用户不是很清楚"Volumio不能执行系统升级操作",当他们习惯了Linux的操作模式后,便不可避免地在Volumio执行了apt-get upgrade操作。这样问题就产生了,
通常,考虑到VPS的安全性,我们会更改SSH端口和密码,然后更安全地禁用密码并使用密钥登录。该方法已在很久以前浇灌了,这是另一种方法方法,您可以在VPS上安装Google Authenticator,这样当我们登录到VPS时,不仅密码正确,而且还需要输入正确的动态验证代码才能登录,因此安全性很高更高。在这里,我们将讨论CentOS,Debian和Ubuntu的使用。
本文基于我作为初学者迄今所学的知识,详细介绍了六个简单的步骤,以提高个人使用的 Linux 环境的安全性。在我的整个旅程中,我利用开源工具来加速我的学习过程,并熟悉了与提升 Linux 服务器安全有关的更高层次的概念。
一般来说,使用ssh远程登录服务器,只需要输入账号和密码,显然这种方式不是很安全。为了安全着想,可以使用GoogleAuthenticator(谷歌身份验证器),以便在账号和密码之间再增加一个验证码,只有输入正确的验证码之后,再输入密码才能登录。这样就增强了ssh登录的安全性。账号、验证码、密码三者缺一个都不能登录,即使账号和密码正确,验证码错误,同样登录失败。其中,验证码是动态验证码,并且是通过手机客户端自动获取(默认每隔30秒失效一次)。好了,废话不多说了,下面记录下GoogleAuthenticato
一般我们考虑到VPS的安全问题的时候,都是更改SSH端口和密码,然后更安全的也就是禁用密码使用密匙登录。方法很久前就水过了,这里再分享一个方法,可以在VPS上安装一个Google Authenticator(谷歌身份验证器),这样我们登录VPS的时候,不仅需要密码正确,而且还要你输入正确的动态验证码才能登录进去,这样安全性就高了不少,这里就说下CentOS、Debian、Ubuntu的使用。
openvpn在使用过程中,依赖于系统时间ntpdate,openssl,libpam,lzo,tun。因此要成功安装并能够使用openvpn,需要满足这些条件
最近也是服务器各种被入侵,所以在安全上,要万分注意,特此记录,借助Google的身份验证插件,获取动态验证码完成SSH登陆。
如果需要删除一个用户的Google验证,删除这个用户下产生的home/.google_authenticator文件即可
Waydroid 是一种基于容器的方法,用于在 Ubuntu 等常规 GNU/Linux 系统上启动完整的 Android 系统。
linux 添加 用户,并为这个用户指定用户组,并将这个用户添加到 sudo 用户组 shell> useradd user 也可以用 shell> adduser user 用 adduser 比较好用一些,这样的话系统会自动将 standme 的目录什么都建立,然后直接提示你设置密码。 如果用 useradd ,之后还需要用 passwd user 来设置密码。 之前用 debian5的时候,直接添加用户,然后设置密码都没问题,这次全新安装 debian squeeze 6.0 之后,发现会
dpkg: 处理归档 /var/cache/apt/archives/swig2.0_2.0.12-1ubuntu4_amd64.deb (–unpack)时出错: 问题:
考虑到大家找起来比较麻烦,这里提供一个百度云盘下载2011.07.21的包,点击即可下载提取码:92v4
安装google身份验证器 yum -y install curl-devel expat-devel gettext-devel openssl-devel zlib-devel gcc perl-ExtUtils-MakeMaker git automake libtool pam-devel epel-release git clone https://github.com/google/google-authenticator-libpam.git cd google-authenticat
双因子身份验证就是指,需要两种身份验证才能完成账号有效性的验证,可以是密码、SSH 密钥,也可以是第三方服务,比如 Google Authenticator。这意味着单个验证方式的缺陷,不会影响账号的安全。本文我们将介绍如何在 Debian 服务器上启用双因子验证。
而后,google的验证模块就会被复制到/lib64/security目录下,而用来生成密钥的可执行程序:google-authenticator,则复制到/usr/local/bin目录下,方便调用。
如今,安全比以往更加重要,保护 SSH 服务器是作为系统管理员可以做的最为重要的事情之一。传统地,这意味着禁用密码身份验证而改用 SSH 密钥。无疑这是你首先应该做的,但这并不意味着 SSH 无法变得更加安全。
* 此修改方案为临时方案(/etc/resolv.conf文件系统重启后会自动还原),最终方案待定,下方为腾讯云原装Ubuntu 18.04.1 LTS系统镜像 systemd-resolve --status执行结果,仅供参考。
📷 先安装ssh-server apt-get install openssh-server 安装 Google Authenticator git clone git@github.com:google/google-authenticator-libpam.git #安装依赖工具 apt-get install autoconf automake libtool apt-get -y install libpam0g-dev ./bootstrap.sh ./configure make sudo
Before we move on with the upgrade, let's fully upgrade our current Debian Jessie system:
RH413-RHEL6.4课程总结 Unit1 Tracking Security Updates 更新分以下三类 RHSA RHBA RHEA yum updateinfo list 查看所有更新 yum updateinfo list --cve=CVE-2013-0755查看某一更新 yum --security list updates 查看安全更新 yum updateinfo list | grep 'Critical'|cut -f1 -d''|sort -u|wc -l Unit2 Managing Software Updates rpm -qa >/root/pre-update-software.$(date +%Y%m%d) 把安装的所有的软件包导入到一个文件 yum updateinfo >/root/updateinfo-report.$(date +%Y%m%d) yum update --security -y 只更新安全的包,安装前gpgcheck=1要开启 yum update --cve=<CVE> 可以更新具体的 rpm --import <GPG-KEY-FILE> 导入安装包的key rpm -qa |grep gpg-pubkey 查看可信的GPG keys rpm -qi gpg-pubkey 查看安装包的详细信息 rpm -K rpm package 查看安装包的md5值是不是正确 rpm -vvK rpm package 给出调试信息 rpm -qp --scripts rpm package 查看安装包有没有脚本运行 Unit3 Creating File Systems lvcreate -l 100%FREE -n lvname vgname -l, --extents LogicalExtentsNumber[%{VG|PVS|FREE|ORIGIN}] cryptsetup luksFormat /dev/vgname/lvname 键入YES开始加密格式化,输入密码 cryptsetup luksOpen /dev/vgname/lvname luksname 打开并命名 mkfs -t ext4 /dev/mapper/luksname 设置文件系统 mkdir /secret mount /dev/mapper/luksname /secret umout /secret cryptsetup luksClose luksname 关闭加密 dd if=/dev/urandom of=/path/to/passsword/file bs=4096 count=1 加密文件也可以用明文 chmod 600 /path/to/password/file cryptsetup luksAddkey /dev/vdaN /path/to/password/file 这里也需要输入密码 touch /etc/crypttab luksname /dev/vgname/lvname /path/to/password/file 在/etc/fstab添加如下 /dev/mapper/luksname /secret ext4 defaults 1 2 这样就可以开机自动挂载加密分区了 Unit4 Managing File Systems nosuid,noexec 命令没有suid权限和执行权限 tune2fs -l /dev/vd1 |head -n 19 tune2fs -l /dev/vda1 |grep 'mount options' tune2fs -o user_xattr,acl /dev/vda1 给分区添加acl权限,也可以修改/etc/fstab文件 lsattr 查看文件特殊属性 chattr +、- 语法 a 只能追加 i 禁止修改 Unit5 Managing Special Permissions suid setUID guid setGID chmod u+s /path/to/procedure 所有人对程序有运行权限 chmod g+s /path/to/dir 文件夹下生成的文件的所属组不变 find /bin -perm /7000 查找/bin下所有特殊权限位 find /bin -perm 4000 精确查找 find /bin -perm -4000 setUID find /bin -perm -2000 setGID find /bin
使用openldap认证linux的ssh登录本来是很简单的,所以这里只是说下基本操作,后面有空会增加一些比较高级的玩法,比如限制哪些用户登录哪些Linux主机,比如允许特定用户sudo,比如开启ssl。
将公钥 id_rsa.pub 上传到目标主机,保存为 ~/.ssh/authorized_keys
作者 黑狐 [译自vpsboard] Linux服务器一直就是以稳定、高效、安全而著称。安全是比较重要的一个环节,这关系到商业机密,更关系到企业的存亡。本文介绍了如何使用optw生成一次性口令及只允许执行特定命令,以下为译文: 我想允许我的朋友登录我的服务器下载一些资料,但是只允许他登录10次,登陆后只允许执行scp命令,不许干别的事情,该怎么办呢? 归纳起来,完成以下2件事情: 生成一次性口令 只允许用户执行scp任务 实现目标1:生成一次性口令 安装otpw sudo apt-get in
#安装chrony软件,chrony 是网络时间协议的(NTP)的另一种实现,因为动态口令再验证时用到了时间,所以要保持时间上的一致性
Linux服务器一直就是以稳定、高效、安全而著称。安全是比较重要的一个环节,这关系到商业机密,更关系到企业的存亡。本文介绍了如何使用optw生成一次性口令及只允许执行特定命令,以下为译文: 我想允许我
现在大多数 VPS 主机都给了两个 IP 地址,安装之后的主机一般只启用了一个 IP,另外一个 IP 需要大家手动添加,在网上搜索,使用 KLOXO 来添加的教程非常多,而基本上没有看到怎么使用 webmin 来添加多个IP。本教程将教大家如何在 webmin 中添加 IP。
https://github.com/chokepoint/azazelapt-get install libpam0g-dev gcc make python libssl-dev libpcap-dev -yubuntu16-servermake && make installINSTALL=/libCFLAGS+= -WallLDFLAGS+= -lc -ldl -lpam -lutilall: config libselinux.soclient:$(CC) -fPIC client.c -shar
一个认证因素是单件的使用信息,以证明你有权要执行的操作,如登录到系统中。的认证信道是认证系统提供了一个因子给用户或要求用户回答的方式。密码和安全令牌是身份验证因素的示例; 电脑和手机就是频道的例子。
[TOC] 0x00 前言介绍 Q:什么是PAM? 答:PAM 的全称为可插拔认证模块(Pluggable Authentication Modules:简称 PAM /pæm/ ),Linux中的一
对于用户账户的管理是系统管理员最重要的工作之一。尤其是,对于任何自称安全的linux系统,最受关心的应该是密码安全问题。在本教程中,我将介绍如何在linux上设置严密的密码策略。
pam_tally2模块可于用于在对系统进行一定次数的失败ssh登录尝试后锁定用户
我经常需要用 SSH 连加家到自己的电脑上,如果单独用密码验证,存在很多安全隐患,如果用密钥,又很麻烦,所以我选择的是用 Google 的双重验证。顺便换了一个非 22 端口。 下面的方法同样适用于 Ubuntu VPS,我的几个 VPS 都是这样设置的。
这个后门真的又可怕又好用... 网上流传的都是Centos的版本,因为场景不同,我研究了一下针对Ubuntu,大同小异。 我的理解是在服务器在装一个不同版本的Openssh,打上相应的Patch使其能正常运作。 两个文件我存起来了: openssh-5.9p1.tar.gz openssh-5.9p1.patch.tar.gz root:openssh-5.9p1/ # ssh -V Op
本篇文章主要想说一说我对入侵防范中前3个测评项的理解(对于centos系统而言),如果大家有其他的看法或者思路也可以在回复中提出,我也跟着学习学习。
Secure Shell(安全外壳协议,简称SSH)是一种加密的网络传输协议,可在不安全的网络中为网络服务提供安全的传输环境。SSH通过在网络中创建安全隧道来实现SSH客户端与服务器之间的连接。虽然任何网络服务都可以通过SSH实现安全传输,SSH最常见的用途是远程登录系统,人们通常利用SSH来传输命令行界面和远程执行命令。使用频率最高的场合类Unix系统,但是Windows操作系统也能有限度地使用SSH。 SSH本身是一个非常安全的认证连接方式。不过由于人过等方面的原因,难免会造成密码的泄露。针对这种问题我们不妨给SSH再加一把锁。当然,增加这层锁的方式有很多种。例如:knockd、S/KEY、OPIE/OPTW、Two-factor authentication等。
SSH是一种可以让你在不安全的网络上,安全的运行网络服务的网络协议的.ssh的标准TCP端口为22端口,其最佳应用场景是用户远程登录至计算机系统。因此,SSH端口也是攻击者必扫的端口之一。本文将就SSH端口的安全性展开讨论,并为大家提供多种保护SSH端口安全性的建议和方法。
普通情况下的服务器登录,是 “服务器+密码” 这种直白的验证方式,但是这种方式太过简单,一旦密码泄露,服务器就有危险。 于是为了安全我们就要在登录上再加一把锁,那就是使用 Google Authenticator(谷歌身份验证器)这个工具,在登录的时候进行一次验证,只有 “验证通过了”+“密码正确” 才能登陆服务器。
本章讲述了基本的基于命令行界面的系统配置方法。在学习本章前,你需要先阅读 Ubuntu 系统安装提示, 第 3 章.
领取专属 10元无门槛券
手把手带您无忧上云