iptables

http://www.cnblogs.com/weafer/archive/2011/06/10/2077852.html OpenSSH是SSH连接工具的免费版本。telnet，rlogin和ftp用户可能还没意识到他们在互联网上传输的密码是未加密的，但SSH是加密的，OpenSSH加密所有通信（包括密码），有效消除了窃听，连接劫持和其它***。此外，OpenSSH提供了安全隧道功能和多种身份验证方法，支持SSH协议的所有版本。 SSH是一个非常伟大的工具，如果你要在互联网上远程连接到服务器，那么SSH无疑是最佳的候选。下面是通过网络投票选出的25个最佳SSH命令，你必须牢记于心。 （注：有些内容较长的命令，在本文中会显示为截断的状态。如果你需要阅读完整的命令，可以把整行复制到您的记事本当中阅读。） 1、复制SSH密钥到目标主机，开启无密码SSH登录 ssh-copy-id user@host 如果还没有密钥，请使用ssh-keygen命令生成。 2、从某主机的80端口开启到本地主机2001端口的隧道 ssh -N -L2001:localhost:80 somemachine 现在你可以直接在浏览器中输入http://localhost:2001访问这个网站。 3、将你的麦克风输出到远程计算机的扬声器 dd if=/dev/dsp | ssh -c arcfour -C

信息安全课程：复习纲要 问答题[60分]： 一、ARP协议问题。 ARP协议的作用是什么。 引入ARP缓存的功能是什么。 ARP缓存中毒的攻击方法和效果是什么。 二、IP协议安全问题 为什么IP要进行分片？ IP分片如何进行重组？ 泪滴攻击（teardrop）的原理是什么？ 包过滤防火墙，通过过滤SYN包，防止外部链接。攻击者可以如何绕过这个过滤？ 三、ICMP协议安全。 什么是SMURF攻击？如何防止？ 什么是ICMP重定向攻击？如何防止？ 四、TCP协议安全。 什么是SYN flooding攻击？效果是什么？如何防止？ 端口扫描的原理是什么？ nmap -sS和nmap -sT的区别是什么？ nmap -sA扫描的原理是什么？ nmap idle扫描的原理是什么？ 五、防火墙。 iptables是状态防火墙。状态防火墙相比于包过滤防火墙的优点是什么？ NAT的作用是什么？ sudo iptables –P INPUT DROP； iptables -A INPUT -p tcp --sport 80 -j ACCEPT 这两条语句的作用是什么？ 六、Rootkit。 什么是rootkit？ LKM的好处是什么？ 请描述系统调用劫持的过程。 请解释，为何Unix可以做到一切皆文件。 七、缓冲区溢出。 什么是返回地址？ 汇编语言中，call指令的作用是什么？ 请描述当函数调用发生时

由于业务需要，近期在研究k8s，故就需要先部署一套。我通过官方文档来部署发现还是有一些坑，故整理了部署中遇到的问题做个记录。本文章主要介绍了在centos7环境下k8s 1.8.2+dashboard+metrics server+ingress的部署。 系统环境 1，k8s的版本为1.8.2 2，docker ce的版本为19.03.8-3 3，五台主机操作系统版本为centos7，kernel版本3.10.0-957 4，使用五台主机部署，机器列表 172.18.2.175 master1 172.18.2.180 master2 172.18.2.181 master3 172.18.2.186 work1 172.18.2.187 work2 172.18.2.182 apiserver-lb 部署HA架构 1，etcd是使用Go语言开发的一个开源的、高可用的强一致性分布式key-value存储系统，可以用于配置共享和服务的注册和发现集群，每个节点都可以提供服务。 2，kubernetes系统组件间只能通过API服务器通信，它们之间不会直接通信，API服务器是和etcd通信的唯一组件。 其他组件不会直接和etcd通信，需要通过API服务器来修改集群状态。 3，controller-manager和scheduler监听API服务器变化，如果API服务器有更新则进行对应的操作

问题: 没有占用多少流量，但是网络连接很慢，ping超时。已发现被大量不同的机器访问导致tcp连接数非常高，nf_conntrack满了 vim /var/log/message报错 nf_conntrack: table full, dropping packet 先关掉iptables /etc/init.d/iptables stop 查看当前的连接数： # grep nf_conntrack /proc/slabinfo 查出目前 nf_conntrack 的排名： $ cat /proc/net/nf_conntrack | cut -d ' ' -f 10 | cut -d '=' -f 2 | sort | uniq -c | sort -nr | head -n 10 优化参数 状态跟踪表的最大行数的设定，理论最大值 CONNTRACK_MAX = RAMSIZE (in bytes) / 16384 / (ARCH / 32) 以64G的64位操作系统为例，CONNTRACK_MAX = 64*1024*1024*1024/16384/2 = 2097152 即时生效请执行： sysctl –w net.netfilter.nf_conntrack_max = 524288 （16G） 其哈希表大小通常为总表的1/8，最大为1/2。CONNTRACK

作者 | 声东 阿里巴巴技术专家 <关注阿里巴巴云原生公众号，回复 排查 即可下载电子书> 导读：《深入浅出 Kubernetes》一书共汇集 12 篇技术文章，帮助你一次搞懂 6 个核心原理，吃透基础理论，一次学会 6 个典型问题的华丽操作！ 什么是 Kubernetes？ 我们来看一下什么是 Kubernetes。这部分内容我会从四个角度来跟大家分享一下我的看法。 1. 未来什么样 这是一张未来大部分公司后端 IT 基础设施的架构图。简单来说，以后所有公司的 IT 基础设施都会部署在云上。用户会基于 Kubernetes 把底层云资源分割成具体的集群单元，给不同的业务使用。而随着业务微服务化的深入，服务网格这样的服务治理逻辑会变得跟下边两层一样，成为基础设施的范畴。 目前，阿里基本上所有的业务都跑在云上。而其中大约有一半的业务已经迁移到了自己定制 Kubernetes 集群上。另外据我了解，阿里计划今年完成 100% 的基于 Kubernetes 集群的业务部署。 而服务网格这块，在阿里的一些部门，像蚂蚁金服，其实已经有线上业务在用了。大家可以通过蚂蚁一些同学的分享来了解他们的实践过程。 虽然这张图里的观点可能有点绝对，但是目前这个趋势是非常明显的。所以未来几年， Kubernetes 肯定会变成像 Linux 一样的，作为集群的操作系统无处不在。 2. Kubernetes

服务端Linux版本：Redhat6.5 客户端Linux版本：centos7 一、服务端配置 1.检查本机是否安装nfs服务 #rpm -qa nfs-utils rpcbind 2.安装程序包 #yum install nfs-utils rpcbind -y 3.创建共享文件夹 #mkdir -p /home/nfstest 4.修改配置文件 #vim /etc/exports 在文件中添加以下内容 /home/nfstest 192.168.57.129(rw,sync,insecure,no_subtree_check,no_root_squash) 5.查看服务用的端口 #rpcinfo -p 6.修改默认端口 #vim /etc/sysconfig/nfs 在文件中添加一下内容 RQUOTAD_PORT=30001 LOCKD_TCPPORT=30002 LOCKD_UDPPORT=30002 MOUNTD_PORT=30003 STATD_PORT=30004 7.重启rpcbind和nfs #service rpcbind restart #service nfs restart 8.添加防火墙规则 #vi /etc/sysconfig/iptables 在文件中添加以下内容 nfs -A INPUT -p tcp -s 192.168.57.129/24 -

开篇 通过上一篇 Istio Sidecar注入原理 文章可以发现，在应用提交到kubernate部署时已经同时注入了Sidecar应用。 细心的话应该还可以发现，除了注入了 istio-proxy 应用外，另外还有注入一个 istio-init 的 Init Containers 。接下来一起来看看在这两个注入的容器中分别都有做一些什么操作。 istio-init istio-init init 容器 用于设置 iptables 规则，以便将入站/出站流量通过 sidecar 代理。初始化容器与应用程序容器在以下方面有所不同： 它在启动应用容器之前运行，并一直运行直至完成。 如果有多个初始化容器，则每个容器都应在启动下一个容器之前成功完成 我们可以看下sleep对应的pod kubectl describe pod sleep-54f94cbff5-jmwtf Name: sleep-54f94cbff5-jmwtf Namespace: default Priority: 0 Node: minikube/172.17.0.3 Start Time: Wed, 27 May 2020 12:14:08 +0800 Labels: app=sleep istio.io/rev= pod-template-hash=54f94cbff5 security.istio.io

1.iptables 简介 关于iptables的准确定义，这里可以参考[维基百科] : iptables，一个运行在用户空间的应用软件，通过控制Linux内核netfilter模块，来管理网络数据包的流动与转送。在大部分的Linux系统上面，iptables是使用/usr/sbin/iptables来操作，文件则放置在手册页（Man page[2]）底下，可以通过 man iptables 指令获取。通常iptables都需要内核层级的模块来配合运作，Xtables是主要在内核层级里面iptables API运作功能的模块。因相关动作上的需要，iptables的操作需要用到超级用户的权限。 iptables称为规则(hook function：钩子函数)管理工具，分为五表五链；framework netfilter即网络过滤器框架，起到防火墙的功能。 添加规则时考量点 1.要实现哪种功能，判断添加在哪张表； 2.报文流经的路径，判断添加在哪个链上; 2.五表五链 1.五表 filter: 用于控制到达某条链上的数据包是继续放行,直接丢弃(drop)或拒绝(re-ject) nat: 用于修改数据包的源和目的地址 mangle: 用于修改数据包的IP头信息 raw: iptables是有状态的，即iptables对数据包有连接追踪(connection tracking)机制

环境ubuntu-server 20.04 参考 https://kubernetes.io/zh/docs/setup/production-environment/tools/kubeadm/install-kubeadm/ https://kubernetes.io/docs/setup/production-environment/tools/kubeadm/create-cluster-kubeadm/ 同步集群时间 # 设定时区, 选择Asia -> 再选择Shanghai -> OK： sudo dpkg-reconfigure tzdata # 安装ntpdate工具 sudo apt-get install ntpdate # 将系统时间与网络同步 sudo ntpdate cn.pool.ntp.org #将时间写入硬件 sudo hwclock --systohc 编辑ubuntu apt使用阿里云镜像 sudo vi /etc/apt/sources.list deb http://mirrors.aliyun.com/ubuntu/ focal main restricted universe multiverse deb-src http://mirrors.aliyun.com/ubuntu/ focal main restricted

作者：王悦 爱可生研发团队成员，负责数据库管理平台相关项目的开发和故障排查，好奇 MySQL 技术原理及各类数据库实现方案。 本文来源：转载自公众号-图解 MySQL *爱可生开源社区出品，原创内容未经授权不得随意使用，转载请联系小编并注明来源。 注：阅读本文需要了解 pod，controller，service 等一些 kubernetes 的基本概念。 什么是 kubernetes？有了容器技术后为什么还需要 kubernetes？ 容器凭借其良好的移植性，敏捷性和革命性的打包方式迅速成为云服务的新基础设施。但 Docker 毕竟只是 “container runtime”，我们需要一个编排框架作为系统核心来串联开发、测试、部署、运维等整个软件生命周期。kubernetes 就提供这样一个框架，提供大量容器的部署、编排、管理的能力。 如果将 MySQL 部署在 kubernetes 会有哪些挑战？带来了什么收益？ 虽然 kubernetes 社区一直在努力使得有状态应用成为一等公民，也推出了 statefulset 控制器支持 pod 的顺序部署，稳定的域名访问和存储访问。但鉴于 MySQL 部署运维的多样性和复杂性，在 kubernetes 上部署 MySQL 仍然要面临众多挑战。 1、业务流量入口的配置方式 传统虚拟机环境下，我们通过虚 IP 的方式