我这里测试使用了一台机器
1 | # egrep -v "^#|^$" /etc/ansible/hosts |
CentOS7.x操作系统自带的OpenSSH版本默认为7.4p1,使用yum update最高也只能升级到7.4p1的补丁版本,漏扫会发现很多OpenSSH相关的漏洞,根据等保安全测评的要求,需要将OpenSSH升级到更新的版本,本篇文档记录了我本次升级的过程以及遇到的问题,供大家参考。
Openssl 下载地址:https://ftp.openssl.org/source/
Openssh 下载地址:https://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/
注:受perl版本限制,最新版的openssl1.1.1需要perl5.10+版本,
1 | yum -y install ntpdate wget gcc gcc-c++ glibc make krb5-libs krb5-devel zlib-devel pam-devel perl |
1 | ntpdate ntp.aliyun.com |
静态路由配置原则:
NFS 是Network File System的缩写,即网络文件系统。NFS在文件传送或信息传送过程中依赖于RPC协议。(nfs服务器是搭建过程最简单的服务,鲁迅说的……)
安装NFS服务端
1 | yum install nfs-utils rpcbind |
设置 NFS 服务开机启动
1 | systemctl enable rpcbind |
开放防火墙策略
1 | firewall-cmd --zone=public --permanent --add-service={rpc-bind,mountd,nfs} |
使用数据库连接工具查询数据报错“无法从套接字获取更多的数据,供应商错误17410”,alter_orcl.log中没有报错,oracle服务和监听正常,排查了数据库监听日志也没有报错,表空间容量也正常。在数据库本机查询正常,但是其他机器报错,重启了数据库也不行;经过查询,此错误为oracle的bug。
1 | Alert log XML文件位置: |
FirewallD 是 CentOS 7 服务器上默认可用的防火墙管理工具。基本上,它是 iptables 的封装,有图形配置工具 firewall-config 和命令行工具 firewall-cmd。使用 iptables 服务,每次改动都要求刷新旧规则,并且从 /etc/sysconfig/iptables 读取新规则,然而 firewalld 只应用改动了的不同部分。
boot 分区是系统启动中最重要的部分,如果服务器由于病毒攻击又或者被管理员误删除了 boot 分区。那么就会存在潜在的风险。为什么说是潜在的风险?因为 boot 分区被删除后系统仍在继续运行,看似无状况但是在执行关机操作后就会无法启动。正常情况下/boot 分区都是普通文件系统,ext3/ext4/xfs(安装操作系统的时候要注意这一点),其他分区为 lvm 逻辑分区,我们这里来模拟一下这个故障,手动删除/etc/fstab,/boot 目录! (no zuo no die!!! )
严重声明:禁止在生产环境操作,出现任何问题,和本人无关~
