日常记录
secure.sh是一个通过访问日志分析恶意IP并用iptables -A INPUT -s IP -j DROP封IP的脚本
问题:在命令行执行sh secure.sh脚本执行没有问题,但是将脚本添加进计划任务后,脚本能执行,但是不能封掉IP。
原因:环境变量问题
解决办法:在脚本开头添加语句 source /etc/profile即可
全局删除匹配到的行
:g/pattern/d
注销其他登录用户
pkill -kill -t pts/2
在指明wtmp情况下通过who命令可以查询到所有以前的记录。运行结果显示自从wtmp文件创建、删改以来的每一次登录。
[root@ntbak ~]# who /var/log/wtmp
linux可疑日志分析
1.查看系统用户是否正常 cat /etc/passwd |grep /bin/bash
2.查看登录服务器用户信息 who /var/log/wtmp
3.查询历史命令 history
4.系统安全日志 /var/log/secure
5.系统消息日志 /var/log/messages
系统管理人员应该提高警惕,随时注意各种可疑状况,并且按时和随机地检查各种系统日志文件,包括一般信息日志、网络连接日志、文件传输日志以及用户登录日志等。在检查这些日志时,要注意是否有不合常理的时间记载。例如:
■ 用户在非常规的时间登录;
■ 不正常的日志记录,比如日志的残缺不全或者是诸如wtmp这样的日志文件无故地缺少了中间的记录文件;
■ 用户登录系统的IP地址和以往的不一样;
■ 用户登录失败的日志记录,尤其是那些一再连续尝试进入失败的日志记录;
■ 非法使用或不正当使用超级用户权限su的指令;
■ 无故或者非法重新启动各项网络服务的记录。
另外, 尤其提醒管理人员注意的是: 日志并不是完全可靠的。高明的黑客在入侵系统后,经常会打扫现场。所以需要综合运用以上的系统命令,全面、综合地进行审查和检测,切忌断章取义,否则很难发现入侵或者做出错误的判断。
强制覆盖复制
\cp -r xxx xxx
流量实时监控iftop
iftop -n -B
-n: 使host信息显示IP
-B: 以bytes为单位显示流量(默认是bits)
进入iftop后按
按B切换计算2秒或10秒或40秒内的平均流量
按S切换是否显示本机的端口信息
当数据库不完整,数据库数据恢复时需要先在数据库中用drop删除需要恢复的库,然后在导入备份数据库,不能直接在目录下删除库目录,不然导入的时候会报“表已经存在”的错误。
mysql>drop database t1;
mysqldump -uroot -p -S /var/lib/mysql/mysql.sock < /tmp/t1.sql
shell中判断浮点数的大小(shell里面是没有变量类型的,只能比较整数大小。)
$mya=5.5
if [ $(echo "$mya <= 4"|bc) = 1 ]; then echo "ok";else echo "fail";fi
这里借助了bc这个命令(bc是一个计算器,Bash内置了对整数四则运算的支持,但是并不支持浮点运算,而bc命令可以很方便的进行浮点运算,当然整数运算也不再话下。)
echo "3.4*2.5"|bc
8.5
#bc在shell中作浮点运算
前提:mysql主从复制。要求:丛库中binlog日志记录从主库复制过来的sql语句。
分析:默认情况下slave从master那边同步过来的sql是不会写入bilog的,因为一般不需要。如果需要的话,需要做配置。
丛库添加设置
log_bin=mysql-bin
log_slave_updates=1
解释:
log_bin=mysql-bin 打开从数据库的日志开关,如果对从库有非SELECT的操作,将会记录日志。
log_slave_updates=1 从主库复制过来的SQL语句,将会记录日志。这个的作用一般都A-B-C级联复制的时候使用。
history命令
1.不记录history命令
修改/etc/profile将HISTSIZE=1000改成0或1
2.永久清除历史命令记录
清除用户home路径下 .bash_history
3.立即清空里的history当前历史命令的记录(当前shell)
history -c
4.bash执行命令时不是马上把命令名称写入history文件的,而是存放在内部的buffer中,等bash退出时会一并写入。
不过,可以调用'history -w'命令要求bash立即更新history文件。
history -w
泛洪攻击
如何判断
一般情况下,可以一些简单步骤进行检查,来判断系统是否正在遭受TCP SYN Flood攻击。
1、 服务端无法提供正常的TCP服务。连接请求被拒绝或超时。
2、透过 netstat -an 命令检查系统,发现有大量的SYN_RECV连接状态。
检查服务器链接,SYN_RECV状态最高时有200多个,访问服务器网页特别慢,甚至超时,所以基本判定是SYN_RECV攻击。
解决方法(大概):
这个攻击的解决方法如下:
1,增加未完成连接队列(q0)的最大长度。
echo 1280>/proc/sys/net/ipv4/tcp_max_syn_backlog
2, 启动SYN_cookie。
echo 1>/proc/sys/net/ipv4/tcp_syncookies
这些是被动的方法,治标不治本。而且加大了服务器的负担,但是可以避免被拒绝攻击(只是减缓)
治本的方法是在防火墙上做手脚。但是现在能在一定程度上防住syn flood攻击的防火墙都不便宜。并且把这个命令加入"/etc/rc.d/rc.local"文件中
如果对 /proc/sys/net/ipv4 下的配置文件进行解释,可以参阅 LinuxAid技术站的文章。查看本文全文也可以参阅。
关于 syn cookies, 请参阅 <> http://cr.yp.to/syncookies.html
也许 使用mod_limitipconn.c来限制apache的并发数 也会有一定的帮助。
2. iptables的设置
防止同步包洪水(Sync Flood)
# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
也有人写作
#iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
--limit 1/s 限制syn并发数每秒1次,可以根据自己的需要修改
防止各种端口扫描
# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
Ping洪水攻击(Ping of Death)
# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
vim的编辑历史记录
vim ~/.viminfo
Centos7 rpm包安装php
yum -y install php php-devel php-fpm php-xml php-pdo php-ldap php-mysql
systemctl start php-fpm
atime、ctime和mtime的区别
1、 当仅读取或访问文件时(less、more),accesstime改变 、而change time、modify time不会改变。
2、 当修改文件内容时(vim), change time、modify time会改变,而accesstime也改变(不一定)。
3、 当修改文件权限属性时(chmod),change time改变,而access time 和modify time不会改变。
安装iostat和mpstat工具包
yum -y install sysstat
格式化进程环境变量
cat /proc/PID/environ |tr '\0' '\n'
查看系统内存使用率
cat /proc/meminfo | awk 'NR==1{t=$2}NR==2{f=$2;print(t-f)/t*100}' |awk -F. '{print $1}'
tomcat优化
一.内存优化(启动参数优化)
JAVA_OPTS='-server -Xms2048m -Xmx2048m -XX:PermSize=512m -XX:MaxPermSize=512m -XX:+UseBiasedLocking -XX:+AggressiveOpts -XX:+DisableExplicitGC -XX:+UseConcMarkSweepGC -XX:+DisableExplicitGC -XX:+UseParNewGC -XX:+CMSParallelRemarkEnabled -XX:+UseCMSCompactAtFullCollection'
二.并发优化(能承受超过300W的访问量,其中优化项包括:调整连接器connector的并发处理能力,Tomcat缓存优化等)
<Connector port="80"
protocol="HTTP/1.1"
maxHttpHeaderSize="8192"
maxThreads="1000"
minSpareThreads="100"
maxSpareThreads="1000"
minProcessors="100"
maxProcessors="1000"
enableLookups="false"
compression="on"
compressionMinSize="2048"
compressableMimeType="text/html,text/xml,text/javascript,text/css,text/plain"
connectionTimeout="20000"
URIEncoding="utf-8"
acceptCount="1000"
redirectPort="443"
disableUploadTimeout="true"/>
参数说明
compression 打开压缩功能
compressionMinSize 启用压缩的输出内容大小,这里面默认为2KB
compressableMimeType 压缩类型
connectionTimeout 定义建立客户连接超时的时间. 如果为 -1, 表示不限制建立客户连接的时间
maxThreads 客户请求最大线程数
minSpareThreads Tomcat初始化时创建的 socket 线程数
maxSpareThreads Tomcat连接器的最大空闲 socket 线程数
enableLookups 若设为true, 则支持域名解析,可把 ip 地址解析为主机名,一般不开启,占内存
redirectPort 在需要基于安全通道的场合,把客户请求转发到基于SSL 的 redirectPort 端口
acceptAccount 监听端口队列最大数,满了之后客户请求会被拒绝(不能小于maxSpareThreads )
connectionTimeout 连接超时
minProcessors 服务器创建时的最小处理线程数
maxProcessors 服务器同时最大处理线程数
URIEncoding URL统一编码
ftp用mget批量下载时,关闭交互式
ftp>prompt //关闭交互式,避免每次都需手动输入Y确认
ftp>mget mysql-bin.* //mget批量下载
查看系统i节点使用率
df -i /
创建用户并指定用户家
解决方法如下:
useradd -s /sbin/nologin -d /data/user/danny danny
awk -v 解析
shell中的变量在awk程序中无法使用,因为在执行AWK时,是一个新的进程去处理的,因此就需要-v 来向awk程序中传参数了,你比如在shell程序中有一个变量a=15,你在awk程序中直接使用变量a是不行的,而你用awk -v b=a, 这样在AWK程序中就可以使用变量b了!也就相当于使用a了!
查看服务的配置文件位置
[root@A audit]# rpm -qc php
/etc/httpd/conf.d/php.conf
查看分区表的详细信息(如UUID)
dumpe2fs -h /dev/sdb1
查看所有分区表的UUID
blkid
简单查看磁盘信息
lsblk
CentOS7.2默认安装mariadb-server,解决Failed to start mysqld.service: Unit not found
当输入命令
~]# systemctl start mysql.service
要启动MySQL数据库是却是这样的提示
Failed to start mysqld.service: Unit not found
原因:
CentOS 7的yum源中貌似没有正常安装mysql时的mysql-sever文件,需要去官网上下载
解决方法如下:
方法一:
首先需要安装mariadb-server
~]# yum install -y mariadb-server
启动服务
~]# systemctl start mariadb.service
添加到开机启动
~]# systemctl enable mariadb.service
进行一些安全设置,以及修改数据库管理员密码
~]# mysql_sceure_installation
至此完成!
可以测试一下
~]# mysql -u root -p
方法二:(常用+实用)
wget http://dev.mysql.com/get/mysql-community-release-el7-5.noarch.rpm
rpm -ivh mysql-community-release-el7-5.noarch.rpm
service mysqld start
查看cup信息
lscpu、uptime、top、htop vmstat mpstat
centos7查看开机启动项
systemctl list-unit-files
设置开机启动
systemctl enable iptables.service
(注意:centos7中开机启动项有两个,一个是通过systemctl设置,一个是通过chkconfig设置,对于一个需要设置开机启动的服务项,可以先通过systemctl设置,通过提示再考虑是否需要设置chkconfig)
varnish通过curl -I http://xxx 查看网页是否被缓存
sub vcl_deliver {
if (obj.hits >0 ){
set resp.http.X-Cache= "HIT from " + client.ip; #如果命中,则显示HIT from +客户端ip地址
} else {
set resp.http.X-Cache= "MISS"; #否则显示"MISS"
}
}
