iptables

yum yum: Yellowdog Update Modifier，rpm的前端程序，可解决软件包相关依赖性，可在多个库之间定位软件包，up2date的替代工具 [root@Centos7~]#which yum /usr/bin/yum yum repository: yum repo，存储了众多rpm包，以及包的相关的元数据文件（放置于特定目录repodata下） http:// https:// ftp:// file:// yum客户端配置文件： /etc/yum.conf：为所有仓库提供公共配置 /etc/yum.repos.d/*.repo：为仓库的指向提供配置 yum软件的配置信息 yum的repo配置文件中可用的变量： $releasever: 当前OS的发行版的主版本号 $arch: 平台，i386,i486,i586,x86_64等 $basearch：基础平台；i386, x86_64 $YUM0-$YUM9:自定义变量 [root@Centos7~]#cat /etc/yum.conf 查看yum的默认信息 [main] cachedir=/var/cache/yum/$basearch/$releasever keepcache=0 * 是否保留rpm文件* debuglevel=2 logfile=/var/log/yum.log exactarch

作者 | 子白（阿里云开发工程师）、溪恒（阿里云技术专家） <关注阿里巴巴云原生公众号，回复 排查 即可下载电子书> 《深入浅出 Kubernetes》一书共汇集 12 篇技术文章，帮助你一次搞懂 6 个核心原理，吃透基础理论，一次学会 6 个典型问题的华丽操作！ Kubernetes 集群中，业务通常采用 Deployment + LoadBalancer 类型 Service 的方式对外提供服务，其典型部署架构如图 1 所示。这种架构部署和运维都十分简单方便，但是在应用更新或者升级时可能会存在服务中断，引发线上问题。今天我们来详细分析下这种架构为何在更新应用时会发生服务中断以及如何避免服务中断。 图1 业务部署图 为何会发生服务中断 Deployment 滚动更新时会先创建新 pod，等待新 pod running 后再删除旧 pod。 新建 Pod 图 2 服务中断示意图 中断原因 ：Pod running 后被加入到 Endpoint 后端，容器服务监控到 Endpoint 变更后将 Node 加入到 SLB 后端。此时请求从 SLB 转发到 Pod 中，但是 Pod 业务代码还未初始化完毕，无法处理请求，导致服务中断，如图 2 所示。 解决方法 ：为 pod 配置就绪检测，等待业务代码初始化完毕后后再将 node 加入到 SLB 后端。 删除 Pod 在删除旧 pod

端口做为服务器的大门安全很重要，当服务器运行很多服务时并向外提供服务，为防止有人恶意侦测服务器用途，可使用portsentry来迷惑对方 portsentry可设定侦听指定的TCP/UDP端口，当遇到扫描时会回应端口开放，并记录扫描者信息可做相应处理：防火墙阻止、路由定向、执行自定义脚本 实验环境 centos-5.8 实验软件 gcc gcc-c++ portsentry-1.2.tar.gz 软件安装 yum install -y gcc gcc-c++ tar zxvf portsentry-1.2.tar.gz cd portsentry_beta/ vim portsentry.c 1584 printf ("Copyright 1997-2003 Craig H. Rowland <craigrowland at users dot sourceforget dot net>\n"); 次行编译的时候不能折行 make linux make install vim /usr/local/psionic/portsentry/portsentry.conf #TCP_PORTS="1,7,9,11,15,70,79,80,109,110,111,119,138,139,143,512,513,514,515,540,635,1080,1524,2000,2001,4000

可以说是我试图进入安全口的天才第一步了，能走多远鬼知道呢 背景 去年年前接到的一个外包项目，是一个base在日本的中国人留学机构做的静态页面。出于锻炼自己的目的，选择为他们按次结薪做长期服务维护。20年618当天给我越洋电话打过来说大量潜在客户试图访问机构官网报错无法访问服务器，让我去帮他们看看怎么回事。 回到电脑前登陆阿里云，发现带宽和CPU被占满了，如下图所示： 第一反应就是：坏了，拒绝服务攻击，搞不好还是分布式的……然后登陆后台尝试看日志，发现还真是拒绝服务攻击： 还行，不是分布式的，不过也够吃满了服务器的1核1G1MBps小水管了……对方还挺无聊，发post没把body整的整齐划一，内容缤纷多彩 处理过程 第一阶段：请求洪泛 iptable bans： 由于发现对方没有使用分布式的攻击手段，我考虑停止对攻击流量的来源IP地址进行HTTP响应，经过查询学习，我选择使用iptables命令完成这一操作： iptables -I INPUT -s <ip addr.> -j DROP 通过此命令，当传入网关的ip地址为定义的ip时，网关会直接丢弃请求，不做任何处理。然而很快我就发现自己太年轻了。对方显然不是抱着笔记本在攻击我，他们不仅更换了ip, 还欢乐骂我的话…… 我当时很幼稚的不死心，又用iptables ban了对面五个IP，然后对方换了IP继续打我，我真的毫无办法……

一、经常升级系统 将软件更新到最新版本通常是任何操作系统所必需的安全预防措施。软件在更新时通常会在大到关键漏洞补丁、小到bug修复的范围内进行，很多漏洞实际上在被公布时就已经被修复了。 二、自动安全更新 你可以调节服务器关于自动更新的的参数。Fedora的Wiki页面上有一篇文章对自动更新进行了深入解读，文章里提到我们可以通过调整参数为安全更新会把自动更新的风险降低至最少。 当然，是否选择自动更新必须由你自己决定，因为这取决于你将要在你的服务器上进行何种工作。自动更新只能通过仓库里的包才能进行，你自己编译的程序可不能用。你会需要一个与生产环境一致的测试环境，在进行最终部署之前，一定要在测试环境确认无误才行。 · CentOS使用yum-cron 进行自动更新。 · Debian和Ubuntu使用 无人值守更新。 · Fedora使用dnf-automatic。 三、添加一个受限用户账户 我们假定你已经使用 root 权限进入了服务器中，你此时拥有服务器的至高权限，一个不小心就会把服务器搞瘫痪。所以，你应该有一个受限制账户而不是一直使用 root 账户。这不会给你的操作带来多大麻烦，因为你可以通过 sudo来进行任何你想要的操作。 有的发行版可能并不把 sudo设为默认选项，不过你还是可以在软件包仓库中找到。如果你获得的提示是 sudo：command not found

#台式机硬件说明 cpu i3-4130 内存 4G 硬盘1T #vmware，virtualbox安装 http://bbotte.blog.51cto.com/6205307/1539484 # cat /etc/centos-release CentOS release 6.4 (Final) # uname -a #这里是安装好的kernel，所以不是2.6.32 此内核版本属于长期维护版 Linux localhost.localdomain 3.14.16-1.el6xen.x86_64 #1 SMP Fri Aug 8 16:33:18 EST 2014 x86_64 x86_64 x86_64 GNU/Linux 安装Xen： SELINUX=disabled #关闭selinux yum install bridge-utils yum install -y http://au1.mirror.crc.id.au/repo/kernel-xen-release-6-5.noarch.rpm yum install -y xen rpm -e xorg-x11-drv-ati-firmware-6.99.99-1.el6.noarch #没有卸载的话会因为冲突而提示错误 yum install kernel-xen 安装过程虽然只是上面几步

事由 早上起来实施反馈客户网站无法访问 于是打开服务器查看问题 发现登录很慢 于是感觉是宽带出问题了 iftop -B -P -i eth1 查看 发现好多此类的访问和输出 先把服务正常访问 禁止此类的访问 ping 6.205.186.35.bc.googleusercontent.com 找到对应的IP地址 再安全组里面禁止此类的ip地址访问 但是还有其他ip地址的继续访问过来 防火墙iptables禁止访问 -A INPUT -p tcp -m string --string "broad.cd.sc.dynamic.163data.com" --algo bm -j DROP -A INPUT -p tcp -m string --string "broad.cd.sc.dynamic.163data.com.cn" --algo bm -j DROP -A INPUT -p tcp -m string --string "bc.googleusercontent.com" --algo bm -j DROP -A OUTPUT -p tcp -m string --string "broad.cd.sc.dynamic.163data.com" --algo bm -j DROP -A OUTPUT -p tcp -m string --string "broad.cd

Q：Linux怎么开关端口 A： 1、使用命令行： 开启端口： iptables -A INPUT -ptcp --dport 端口号 -j ACCEPT 关闭端口： iptables -A OUTPUT -p tcp --dport 端口号 -j DROP 保存设置： service iptables save 2、直接修改iptables文件： vi /etc/sysconfig/iptables 打开配置文件加入如下语句: -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j DROP 修改完成后保存，执行service iptables restart 重启防火墙，修改生效 详情可参考： https://blog.csdn.net/weixin_37264997/article/details/80329786?utm_source=blogxgwz2 Q：Linux查看远程端口状态 A： 1、使用nmap扫描端口： nmap ip ，nmap ip -p port 2、使用telnet指令：telnet ip port 3、使用nc指令：nc [-options] [HostName

下载基础镜像 测试： 用ubuntu镜像输出hello world 如果没有ubuntu镜像，docker会默认给下载个最新的ubuntu镜像 docker run ubuntu echo 'hello world' 以交互式运行 docker run -i -t ubuntu /bin/bash # -i --interactive=ture|false 默认是false 始终打开标准输入 -t --tty=true|false 默认是false 为docker分配个伪tty终端 这样新创建的容器才能提供个交互式的shell 在ubuntu容器中就和在ubuntu服务器一样 执行ps -ef 测试 exit退出 docker attach 容器id能进去容器 ctrl+q+p能退出后台执行容器 添加各种依赖 添加ppa仓库 这个是OpenJDK 8 ppa仓库。 add-apt-repository ppa:openjdk-r/ppa 更新ubuntu的下载指令 apt-get update 安装openjdk8 apt-get install openjdk-8-jdk 安装curl apt install curl 安装vim apt-get install -y vim 安装sz rz apt-get install lrzsz 安装net指令库 apt install

一、服务器硬件与基础命令 1· 在32位操作系统最大可以使用_4 _G内存 多核CPU和单核CPU的优点和缺点，是否所有程序在多核CPU上运行速度都快？为什么？ ①多核 cpu 能处理更多的任务更大的缓存(可以并发处理更多的程序/请求) 缺点：功耗较大，需要大内存跟进。价格高 单个核心频率较低（速度稍慢） ②单核 cpu 不如多核处理器并发处理能力强，但是频率一般高些（速度快）。在启动多个应用的时候 可能会卡顿或者反应速度慢而导致用户体验变差； 不一定所有程序在多核 cpu 上运行速度都快，因为有的程序只需要单核运行，如果多核运行也只是一 个核心在运行. 服务器的主要组成部分有哪些 电源 风扇 磁盘 内存 CPU raid 卡 远程控制卡 在以前的工作中主要接触哪些服务器品牌和型号 dell r710 r720 r730 设超级用户root当前所在目录为：/usr/local，键入cd命令后，用户当前所在目录为（B） A ./home B./root C./home/root D./usr/local 在使用mkdir命令创建新的目录时，在其父目录不存在时先创建父目录的选项是_____(D) A.-m B.-d C.-f D.-p 在linux中，——命令不是针对目录操作的。(A) A.ps B .cd C．pwd D. ls 欲把当前目录下的file1.txt复制为file2