iptables

Q：发觉系统漏洞后各企业的解决状况，能升級的升級，不可以升級的都有哪些解决方法？ A：最先对系统漏洞开展等级分类，不一样的系统漏洞设定不一样的安全隐患等级。系统漏洞的修复也是有多种多样方法，根据形成根本原因从根本原因修复、设定主机iptables启用策略路由、关掉有关功能模块...总而言之，先推充分修复，缓解或避开其次。不需要去强求所有都需要充分修复，可是也须要留意防止暂时的限定对策被开放，须要认证措施，例如基本漏洞扫描系统。 Q：系统漏洞整治项目生命周期管理模式或网络平台的实践活动案例分析，重点难点和疼点有什么？ A：本人觉得系统漏洞整治网络平台要由三部分构成：资本管理、漏扫管理体系、系统漏洞推修步骤，连通并组成在一块就能cover住系统漏洞资源形成的系统漏洞、基本漏扫形成的系统漏洞。重点难点毫无疑问便是在资本管理、系统漏洞预警信息形成的系统漏洞分辨定级、系统漏洞推修闭环控制，不但须要技术，还须要配套设施步骤和规章制度来整治。 Q：现阶段的漏洞管理软件很多的是根据软件扫描后将结果导进，怎样能将微信朋友圈或是我国漏洞平台上边发布的系统漏洞给数据同步到漏洞管理网络平台中的预警信息功能模块？ A：微信朋友圈和漏洞平台上的系统漏洞都须要挑选和分辨，何不设定网络监控抓取有关网站的系统漏洞资源，归纳到漏洞平台上开展解决。 Q：平时漏洞扫描系统发觉很多的系统漏洞怎样整顿及其是不是修复

　　什么是容器？在生活中我们常见的容器有各种瓶瓶罐罐、各种能够容纳其它物料的东西叫容器；容器的特点就是有着很好的隔离作用，使得不同的物料互相隔离；除此之外容器还方便运输、方便储存；这是生活中所说的容器，以及它的特点；在计算机领域中，所谓容器不外乎也有同生活中的容器的特点，隔离，方便“运输”（计算机中的运输我们叫移植，从系统A到系统B），方便“存储”（这里指程序以及运行所依赖的库文件打包，即程序及运行时环境打包）；LXC是Linux containers的缩写，意思就是Linux 容器；Linux容器技术其实就是整合内核的功能，让其支持多个容器运行时资源相互隔离；我们知道内核的功能用户是无法直接操作的，必须得有一用户空间的软件，通过系统调用去操作内核功能；所以lxc就是用来操作Linux内核容器化的工具；这种逻辑有点类似iptables，iptables本身不对用户的报文做任何检查，真正生效的是内核netfilter; 　　LXC关键技术点： 　　1、chroot：根切换，一个改变当前运行进程以及其子进程的根目录的操作。一个运行在这种环境的程序无法访问根目录外的文件和命令。 　　2、namespaces：名称空间，LXC在隔离控制方面依赖于Linux内核的namespace特性，具体而言就是在clone时加入相应的flag； 　　3、CGroups：控制组

最近回收利用一台被征用做邮件服务的服务器，重新部署新的业务。 清理了所有的安装软件和目录文件后，调整了网络安全组规则，仅开放所需端口。 看了下防火墙的配置： # iptables -L Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere ACCEPT icmp -- anywhere anywhere icmp echo-request ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ACCEPT tcp -- anywhere anywhere tcp dpt:http ACCEPT tcp -- anywhere anywhere tcp dpt:https ACCEPT tcp -- anywhere anywhere tcp dpt:smtp ACCEPT tcp -- anywhere anywhere tcp dpt:pop3 ACCEPT tcp -- anywhere anywhere tcp dpt:pop3s ACCEPT tcp -- anywhere anywhere

1、安全组没添加 2、防火墙6379端口未开放 vim /etc/sysconfig/iptables 添加6379端口 -A INPUT -m state --state NEW -m tcp -p tcp --dport 6379 -j ACCEPT 启动防火墙 service iptables start 3、修改redis.conf文件 找到 bind 127.0.0.1 然后注释掉（即在前面加#） 4、redis.conf文件protected-mode yes改成 protected-mode no 来源： oschina 链接： https://my.oschina.net/boringblue/blog/4328020

Docker是目前最具代表性的容器技术之一，对云计算及虚拟化技术产生了颠覆性的影响。本文对Docker容器在应用中可能面临的安全问题和风险进行了研究，并将Docker容器应用环境中的安全机制与相关解决方案分为容器虚拟化安全、容器安全管理、容器网络安全三部分进行分析。 一、从虚拟化安全到容器安全 1、传统虚拟化技术 虚拟化技术是实现硬件基础设施资源的充分利用、合理分配和有效调度的重要技术手段。例如，在基于OpenStack的典型IaaS服务中，云服务提供商可通过搭建设备集群建立资源池，并将服务器、存储和网络等底层资源进行弹性虚拟化提供给租户。 传统虚拟化技术以虚拟机为管理单元，各虚拟机拥有独立的操作系统内核，不共用宿主机的软件系统资源，因此具有良好的隔离性，适用于云计算环境中的多租户场景。 2、容器技术 容器技术可以看作一种轻量级的虚拟化方式，将应用与必要的执行环境打包成容器镜像，使得应用程序可以直接在宿主机（物理机或虚拟机）中相对独立地运行。容器技术在操作系统层进行虚拟化，可在宿主机内核上运行多个虚拟化环境。相比于传统的应用测试与部署，容器的部署无需预先考虑应用的运行环境兼容性问题；相比于传统虚拟机，容器无需独立的操作系统内核就可在宿主机中运行，实现了更高的运行效率与资源利用率。 Docker是目前最具代表性的容器平台之一，它模糊了传统的IaaS和PaaS的边界，具有持续部署与测试

Docker是目前最具代表性的容器技术之一，对云计算及虚拟化技术产生了颠覆性的影响。本文对Docker容器在应用中可能面临的安全问题和风险进行了研究，并将Docker容器应用环境中的安全机制与相关解决方案分为容器虚拟化安全、容器安全管理、容器网络安全三部分进行分析。 一、从虚拟化安全到容器安全 1、传统虚拟化技术 虚拟化技术是实现硬件基础设施资源的充分利用、合理分配和有效调度的重要技术手段。例如，在基于OpenStack的典型IaaS服务中，云服务提供商可通过搭建设备集群建立资源池，并将服务器、存储和网络等底层资源进行弹性虚拟化提供给租户。 传统虚拟化技术以虚拟机为管理单元，各虚拟机拥有独立的操作系统内核，不共用宿主机的软件系统资源，因此具有良好的隔离性，适用于云计算环境中的多租户场景。 2、容器技术 容器技术可以看作一种轻量级的虚拟化方式，将应用与必要的执行环境打包成容器镜像，使得应用程序可以直接在宿主机（物理机或虚拟机）中相对独立地运行。容器技术在操作系统层进行虚拟化，可在宿主机内核上运行多个虚拟化环境。相比于传统的应用测试与部署，容器的部署无需预先考虑应用的运行环境兼容性问题；相比于传统虚拟机，容器无需独立的操作系统内核就可在宿主机中运行，实现了更高的运行效率与资源利用率。 Docker是目前最具代表性的容器平台之一，它模糊了传统的IaaS和PaaS的边界，具有持续部署与测试

Linux命令：iptables 网络防火墙 一.iptables的发展: iptables的前身叫ipfirewall （内核1.x时代）,这是一个作者从freeBSD上移植过来的，能够工作在内核当中的，对数据包进行检测的一款简易访问控制工具。但是ipfirewall工作功能极其有限(它需要将所有的规则都放进内核当中，这样规则才能够运行起来，而放进内核，这个做法一般是极其困难的)。当内核发展到2.x系列的时候，软件更名为ipchains，它可以定义多条规则，将他们串起来，共同发挥作用，而现在，它叫做iptables，可以 将规则组成一个列表，实现绝对详细的访问控制功能 。 他们都是工作在用户空间中，定义规则的工具，本身并不算是防火墙。它们定义的规则，可以 让在内核空间当中的netfilter来读取 ，并且实现让防火墙工作。而放入内核的地方必须要是特定的位置，必须是tcp/ip的协议栈经过的地方。而这个tcp/ip协议栈必须经过的地方，可以实现读取规则的地方就叫做 netfilter.(网络过滤器) 一共在内核空间中选择了5个位置， 1.内核空间中：从一个网络接口进来，到另一个网络接口去的 2.数据包从内核流入用户空间的 3.数据包从用户空间流出的 4.进入/离开本机的外网接口 5.进入/离开本机的内网接口 二. iptables的工作机制及命令啟用

香港云服务器租用怎样查看Linux端口占用 查看系统版本相关命令 $ uname -a # 查看系统，主机名，内核版本，系统架构等命令 $ top # 总览系统全面信息命令，Ctrl + C 退出界面 $ hostname # 查看服务器主机名命令 $ cat /etc/issue # 查看 Ubuntu Debian 系发行版版本命令 $ cat /etc/redhat-release # 查看 CentOS RedHat 系发行版版本命令 $ cat /etc/os-release # 查看通用 Linux 发行版版本命令 查看CPU相关命令 $ cat /proc/cpuinfo # 查看 CPU 核心数，架构，名字，频率，缓存，指令集等命令 $ grep name /proc/cpuinfo # 查看 CPU 名字命令 $ grep cores /proc/cpuinfo # 查看 CPU 核心数命令 $ grep MHz /proc/cpuinfo # 查看 CPU 频率命令 查看内存相关命令 $ cat /proc/meminfo # 查看内存硬件相关信息命令 $ free -m # 查看内存总量，使用量，swap 信息等命令 $ swapon -s # 查看 swap 交换分区的路径，大小命令 查看硬盘分区相关系统命令 $ df -h # 查看硬盘分区以及占用情况命令

centos7下安装mongodb chenlongjs 2020-03-03 20:14:47 746 收藏 2 分类专栏： 个人问题总结 服役器配置 版权 mongodb介绍 MongoDB 是一个介于关系数据库和非关系数据库之间的产品，是非关系数据库当中功能最丰富，最像关系数据库的。他支持的数据结构非常松散，是类似json的bson格式，因此可以存储比较复杂的数据类型。Mongo几乎可以实现类似关系数据库单表查询的绝大部分功能，还支持对数据建立索引。 下载解压mongodb 下载压缩包 我这里选择的是先在官网下载好，然后复制到服务器下 我下载的是 mongodb-linux-x86_64-rhel70-4.0.10.tgz 1）定位到 usr 目录 cd /usr1 2）新建mongodb目录 然后再把下载好的压缩包复制到这里来，我用的是winSCP这个软件直接拖拉过来的 mkdir -m 777 mongodb12 3）解压到 usr/mongodb 目录下，并重命名文件夹 tar zxvf mongodb-linux-x86_64-rhel70-4.0.10.tgz1 在这里插入图片描述 4）重命名文件夹 mv mongodb-linux-x86_64-rhel70-4.0.10 mongodb-4.0.101 配置环境变量和初始化操作 1）配置环境变量 vi /etc

文档将介绍如何使用二进制部署Kubernetes v1.16高可用集群，而不是使用自动化部署(kubeadm)集群。在部署过程中，将详细列出各个组件启动参数，以及相关配置说明。部署完成后，将理解k8s各个组件的交互原理，并且可以快速解决实际问题。 * 环境及组件版本 Centos7.2 Kubernetes v1.16.10 Docker 18.09 .01(需要和k8s版本匹配) Etcd 3.3.13 Flanneld 0.12.0 一、 环境准备 服务器准备 master节点 10.13.33.29 master-01 10.13.33.40 master-02 10.13.33.38 master-03 node节点 10.13.33.31 node-01 修改主机名 为对应服务器设置永久主机名 cat >> /etc/hosts <<EOF 10.13.33.29 master-01 10.13.33.40 master-02 10.13.33.38 master-03 10.13.33.31 node-01 EOF hostnamectl set-hostname master-01 #所有机器按照要求修改 bash #刷新主机名 更新PATH变量 k8s所有文件和配置都会存储在/opt/k8s/ 中,运行以下命令，配置环境变量 echo 'PATH=/opt/k8s