Techyou labs
真正的爱应该超越生命的长度,心灵的宽度,灵魂的深度
关于作者
文章分类
Default Linux/Unix Database Cloud Networking Security Programming
最新文章
openvpn自签名证书带你重走 TiDB TPS 提升 1000 倍的性能优化之旅Unicode 中的 BIDI 双向性算法[转]在linux中设置优先使用ipv4,而不是ipv6linux下WPS高分辨率下因字体缩放导致字体发虚的问题ssh-rsa not in pubkeyacceptedalgorithms问题解答及处理办法 Permission denied (publickey)在 Ubuntu 22.04 中使用 PipeWire 替换 PulseAudioMYSQL简单监控指标deepin-wine6-stable下TIM悄悄崩溃问题openwrt 设置ipv6地址分配
最新评论
renothing: 备注:路由器端优先设置ipv4并不影响客户端的ip... renothing: 二次反向代理跟你应用程序得处理时间有关系吧?尤其是... 二次反向代理性能很差,怎么优化的?: 我也用nginx 做了个二次反向代理,但是并发连3... hostyep: 交换链接么?目前每天保持30个左右对口IP,每月都... yzhkpli: error while loading share... 美肤宝: 感谢分享。。。 lq: 嗯 喜欢弄得点单点
按月归档
August 2023March 2023December 2022November 2022September 2022August 2022March 2022January 2022November 2021October 2021September 2021August 2021July 2021June 2021February 2021September 2020May 2020September 2019August 2019July 2019June 2019May 2019January 2019December 2018November 2018October 2018September 2018August 2018July 2018June 2018April 2018March 2018December 2017October 2017September 2017August 2017April 2017March 2017February 2017August 2016July 2015November 2014September 2014August 2014July 2014June 2014July 2013April 2013September 2012July 2012May 2012April 2012February 2012January 2012December 2011November 2011October 2011September 2011August 2011December 2010November 2010October 2010September 2010August 2010July 2010June 2010May 2010April 2010March 2010February 2010January 2010December 2009November 2009October 2009September 2009August 2009June 2009May 2009April 2009March 2009February 2009December 2008November 2008September 2008August 2008July 2008June 2008
常用标签
Mysql nginx mysql优化 linux debian

Powered by Typecho)))

Optimized by EAimTY

您正在查看: Security 分类下的文章
TLS1.3详解[转]
July 10, 2018

TLS1.3已经正式发布有段时间 ,cloudflare等cdn厂商已经率先支持。很多文章提到了TLS1.3以及QUIC协议可以有效的降低传输层的延迟,改善用户体验。而TLS1.3和QUIC降低用户延迟有一个共同点,那就是在提供同等功能特性下,减少Round-Trip Time (RTT)次数。你甚至会经常听到QUIC和TLS1.3的拥趸说TLS1.3和QUIC可以做到0-RTT,基本消灭了(安全)传输层的延迟。事实真的是这样吗?

TLS RTT

我们先看一下TLS1.2 (以ECDH为例)的建立加密连接的过程:

继续阅读
Ubuntu防火墙 UFW 设置
September 30, 2011

1.安装

sudo apt-get install ufw

2.启用

sudo ufw enable

sudo ufw default deny

运行以上两条命令后,开启了防火墙,并在系统启动时自动开启。关闭所有外部对本机的访问,但本机访问外部正常。

3.开启/禁用

sudo ufw allow|deny [service]

打开或关闭某个端口,例如:

sudo ufw allow smtp 允许所有的外部IP访问本机的25/tcp (smtp)端口

sudo ufw allow 22/tcp 允许所有的外部IP访问本机的22/tcp (ssh)端口

sudo ufw allow 53 允许外部访问53端口(tcp/udp)

sudo ufw allow from 192.168.1.100 允许此IP访问所有的本机端口

sudo ufw allow proto udp 192.168.0.1 port 53 to 192.168.0.2 port 53

sudo ufw deny smtp 禁止外部访问smtp服务

sudo ufw delete allow smtp 删除上面建立的某条规则

4.查看防火墙状态

sudo ufw status

继续阅读
dstat监控linux资源
November 28, 2010

ubuntu下直接sudo apt-get install dstat安装

redhat下yum install dstat

执行dstat -cdlmnpsyt 5 可以得到非常全面的系统资源利用情况
135929_Uufx_98095.png

Dstat的使用:

继续阅读
关于虚拟主机部署中的安全问题
October 12, 2010

现在很多linux虚拟主机商,都会开通shell权限给用户,方便管理,但是这样一来也带来了巨大的安全问题。先说说运行环境,Apache(suexec+fcgid)+php+mysql,所有用户均有shell权限。

默认情况下,一旦某个站点存在漏洞或者某位用户心存不轨,同服务器站点数据很容易被窃取。以下为例:
A,B站点同属服务器C。
比如A站点的用户发现B站点有漏洞,爆出了物理路径,但无法注入无法取得上传权限。
默认情况下,网站文件一般权限都会设置权限至少755,则漏洞就会产生(若设置成751,则html等静态文件无法读取,711会造成无法列举目录内文件,无法找到首页)。

A用户在得到了B站点的路径的情况下,完全可以通过shell登录窃取到B站点的机密配置文件如config.php等,从而窃取到B的数据库资料。

当然有一个办法,能避免文件被窃取。目录设置为755,动态文件设置为751/711/600(不给其他用户读的权限),静态文件设置成604/644

但这样做是无比的麻烦。。。

后继:通过配置ACL权限,额外分配给Apache运行用户读取和执行权限,并结合上述设置,能杜绝掉跨站攻击,而只需要设置目录或者文件权限为750即可。cgi(php)程序文件的权限可设置为600或400也能照常运行。但目录必须至少为750才能保证程序正常运行。

完美的方案是部署ACL+grsecurity+jailkit了。即便是爆了路径,也无法窃取到资料。

继续阅读
关于基于ACL的Apache(suexec)下虚拟主机文件权限配置
October 12, 2010

ACL+grsecurity+jailkit

目录最好设置成750,否则会出现403错误

php等cgi程序,去掉其他用户的任何权限,防止在开通了shell的情况下被跨站攻击
/home 目录本身为751(根据suexec配置选项所得)
/home下所有目录默认750,并分配如下ACL权限,web-httpd为Apache运行身份,www-data为nginx运行身份
/home/cgi-system/ 目录为751,子目录及其文件为750

setfacl -m u:web-httpd:rx,g:web-httpd:rx,u:www-data:rx,g:www-data:rx,o::- -R /home
setfacl -d -m u:web-httpd:rx,g:web-httpd:rx,u:www-data:rx,g:www-data:rx,o::- -R /home

logs目录设置用户可读

#setfacl -m u:user:r,g:user:r -R /home/user/logs
setfacl -d -m u:user:r,g:user:r -R /home/user/logs

/home/username 目录属性为710/750
下级目录和文件属主为用户本身,权限750

参考
http://linux.chinaunix.net/techdoc/beginner/2009/10/27/1141592.shtml
http://www.cnblogs.com/cabin/archive/2010/09/18/1830180.html
http://www.ibm.com/developerworks/cn/linux/l-acl/
http://ljh0242.blog.163.com/blog/static/5697009020088223959537/

继续阅读