R-Bot项目 简单使用
建立窗口:系统提示有软件包需要更新,但运行升级命令时提示,无法完成升级
下列软件包的版本将保持不变:
libnss-systemd libpam-systemd libsystemd0 libudev1 systemd systemd-sysv systemd-timesyncd udev
解决办法:
1-添加源:
sudo add-apt-repository ppa:ubuntu-security-proposed/ppa
2-获取更新:
sudo apt update
3-安装systemd相关软件包:
sudo apt install libnss-systemd libpam-systemd libsystemd0 libudev1 systemd systemd-sysv udev
删除 apt-key:
sudo apt-key list
会出现这样:
/etc/apt/trusted.gpg
--------------------
pub rsa2048 2011-08-19 [SC] [有效至:2024-06-14]
573B FD6B 3D8F BC64 1079 A6AB ABF5 BD82 7BD9 BF62
uid [ 未知 ] nginx signing key <signing-key@nginx.com>
删除想删除的
sudo apt-key del "573B FD6B 3D8F BC64 1079 A6AB ABF5 BD82 7BD9 BF62"
或者,仅指定最后 8 个字符:
sudo apt-key del 73C62A1B
完成!仓库密钥已被删除。运行以下命令更新仓库列表:
sudo apt update
添加PPA源的命令为:
sudo add-apt-repository ppa:user/ppa-name
示例:sudo add-apt-repository ppa:ubuntu-security-proposed/ppa
添加完成!运行以下命令更新仓库列表:
sudo apt-get update
删除命令格式则为:
sudo add-apt-repository -r ppa:user/ppa-name
示例:sudo add-apt-repository -r ppa:ubuntu-security-proposed/ppa
删除完成!运行以下命令更新仓库列表:
sudo apt-get update
fail2ban 可以有效的防止 ssh 暴力密码破解攻击. 对于公网中开放ssh端口的服务器安全至关重要.
以下教程为最小可用方式, 也是最实用的方式, 即在使用 ssh 账户和密码登录的情况下, 防止ssh暴力破解.
Ubuntu/Debian 安装:
首先更新和升级服务器,
sudo apt-get update
sudo apt-get upgrade安装fail2ban:
sudo apt install -y fail2ban使用以下命令启动并启用该服务:
sudo systemctl start fail2ban # 启动fail2ban配置jail.local 文件:
创建一个新配置文件jail.local,它将覆盖jail.conf中的任何同类设置.
同时将监视/var/log/auth.log,
使用以下命令创建配置文件,
sudo vim /etc/fail2ban/jail.local 在此新文件中,粘贴以下内容:
[sshd]
enabled = true # 启用规则
port = 22 # 将SSH端口设置为22
filter = sshd # 使用fail2ban sshd过滤器,
logpath = /var/log/auth.log # 记录 log 在这个文件里
maxretry = 10 # 将最大重试次数设置为10, 超过就 ban 它的 ip重新启动fail2ban:
sudo systemctl restart fail2ban通过命令 sudo systemctl status fail2ban 查看服务运行状态: 如下反馈表示正常运行
root@ubuntu:~# sudo systemctl status fail2ban
● fail2ban.service - Fail2Ban Service
Loaded: loaded (/lib/systemd/system/fail2ban.service; disabled; vendor preset: enabled)
Active: active (running) since Sun 2022-09-25 09:03:35 UTC; 10s ago
Docs: man:fail2ban(1)
Main PID: 8733 (fail2ban-server)
Tasks: 3 (limit: 9429)
Memory: 10.2M
CPU: 80ms
CGroup: /system.slice/fail2ban.service
└─8733 /usr/bin/python3 /usr/bin/fail2ban-server -xf start
使用命令 sudo vim /etc/fail2ban/jail.local 修改配置文件并检查是否设置正确.
全部设置完毕
如果有机器试图通过SSH登录您的Ubuntu服务器,并且失败了三次,那么将通过iptables阻止其IP地址阻止它们进入。
取消禁止的IP:
可以使用以下命令取消已被自动禁止的IP地址:
sudo fail2ban-client set sshd unbanip IP_ADDRESS
# IP_ADDRESS是已被禁止的IP地址
更多:
要了解更多信息, 可输入以下命令
man fail2ban
# 提供了fail2ban可以执行的操作的完整概述
选中dwg文件,右键>打开方式>选择 C:\Program Files\Common Files\Autodesk Shared\AcShellEx\AcLauncher.exe 这个程序,并用该程序作为默认打开方式。
CloudFlare中一个完全接入的域名即为一个zone,点进去包括套餐、安全等等都是针对这一主域名配置的。官方SaaS功能针对的是你服务的客户,开放这项功能允许使用他们自己的域名直接附加在你的zone里,享受你zone下包含的安全、加速等功能。 官方公告:https://blog.cloudflare.com/waf-for-saas/
应用场景1:
example.com一级域名无法长期通过NS接入了CF(NS服务器可以临时修改为CF服务器地址将域名接入CF,接入后需要再次改回原服务地址,如使用使cloudflare作为DDNS服务存在不稳定必须使用国内的DDNS服务商的情况),但二级域名b.example.com需要接入CF;此时可以通过SaaS功能实现1.b.example.com/2.c.example.com等直接附加在example.com这个临时添加的域名zone下,二级域名通过CNAME指向CF的节点。简而言之,可以通过这项功能,实现二级域名的CNAME接入cloudflare服务
 |
永久保存 iptables 防火墙规则
您需要安装iptables-persistent将在重新启动时自动恢复 iptables 的软件包。
sudo apt install iptables-persistent如果您选择是,它将分别为 IPv4 和 IPv6创建现有的 iptables 规则并将其保存到/etc/iptables/rules.v4和/etc/iptables/rules.v6保存。
无论何时更改iptables的规则,都应该使用iptables-save命令将其保存到文件中,以便在重新启动后使更改保持不变。
对于 IPv4 iptables(使用最广泛的场景):
sudo iptables-save -f /etc/iptables/rules.v4对于 IPv6 iptables:
sudo iptables-save -f /etc/iptables/rules.v6请注意,每次对系统上的 iptables 进行更改时,都需要运行上述两行命令。它基本上将当前活动的 iptables 规则复制到指定的文件中。
恢复到您上次保存它们时的状态:
sudo netfilter-persistent reload使用cat 命令显示保存的文件 :
sudo cat /etc/iptables/rules.v4
sudo cat /etc/iptables/rules.v6此外,要删除持久性 iptables 规则,您只需打开相应的/etc/iptables/rules.v*文件并手动删除包含所有不需要的规则的行。
ipv4:iptables -I INPUT -p tcp --dport 8888 -j ACCEPT
iptables -I OUTPUT -p tcp --sport 8888 -j ACCEPTipv6:ip6tables -I INPUT -p tcp --dport 8888 -j ACCEPT
ip6tables -I OUTPUT -p tcp --sport 8888 -j ACCEPT针对这2条命令进行一些讲解吧
-A 参数就看成是添加一条 INPUT 的规则
-p 指定是什么协议 我们常用的tcp 协议,当然也有udp 例如53端口的DNS
到时我们要配置DNS用到53端口 大家就会发现使用udp协议的
而 –dport 就是目标端口 当数据从外部进入服务器为目标端口
反之 数据从服务器出去 则为数据源端口 使用 –sport
-j 就是指定是 ACCEPT 接收 或者 DROP 不接收
选 项 功 能
-A 添加防火墙规则
-D 删除防火墙规则
-I 插入防火墙规则
-F 清空防火墙规则
-L 列出添加防火墙规则
-R 替换防火墙规则
-Z 清空防火墙数据表统计信息
-P 设置链默认规则
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
sudo iptables -F关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。
下面是命令实现:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROPservice iptables stop
service ip6tables stop apt-get purge netfilter-persistent开启为:
apt-get install netfilter-persistentrm -rf /etc/iptables && reboot查看规则是否生效,命令:
IPV4:
iptables -L
IPV6:
ip6tables -Lnum target prot opt source destination
1 DROP tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306
2 DROP tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
3 DROP tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
多了 num 这一列, 这样我们就可以看到刚才的规则对应的是编号2,那么我们就可以进行删除了。
iptables -D INPUT 2
上述示例为删除INPUT链编号为2的规则。
iptables -D OUTPUT 2
上述示例为删除OUTPUT链编号为2的规则。
再 iptables -L -n 查看一下,发现规则已经被清除了。
iptables -I INPUT -p tcp --dport 500:800 -j ACCEPTip6tables -I INPUT -p tcp --dport 500:800 -j ACCEPTiptables -I OUTPUT -p tcp --sport 500:800 -j ACCEPTip6tables -I OUTPUT -p tcp --sport 500:800 -j ACCEPTiptables -I INPUT -p tcp --dport 500:800 -j ACCEPT &&
ip6tables -I INPUT -p tcp --dport 500:800 -j ACCEPT &&
iptables -I OUTPUT -p tcp --sport 500:800 -j ACCEPT &&
ip6tables -I OUTPUT -p tcp --sport 500:800 -j ACCEPT &&
sudo iptables-save -f /etc/iptables/rules.v4 &&
sudo iptables-save -f /etc/iptables/rules.v6
禁ipv4&ipv6 ping
sudo iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP
sudo ip6tables -I INPUT -p icmpv6 --icmpv6-type echo-request -j DROP
解除ipv4&ipv6 ping
sudo iptables -D INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP
sudo ip6tables -D INPUT -p icmpv6 --icmpv6-type echo-request -j DROP
通过命令iptables -L查看已有规则
注意,需要注释掉( # )此下规则,上述配置才有效。
这条策略的配置如下:
-A INPUT -p icmp -j ACCEPT
配置文件路径:
(/etc/iptables/rules.v4)
(/etc/iptables/rules.v6)
神奇的ghost的原理是什么呢?不就是数据复制吗?
查看磁盘分区情况
lsblk
查询硬盘使用情况
df -h
为避免网络中断,以screen 窗口运行,创建后台执行窗口 恢复后台窗口 结束后台窗口
screen -S dd screen -r dd screen -S dd -X quit
卸载旧版本:
#卸载软件
sudo apt purge nginx
#自动清理一些程序
sudo apt autoremove nginx
#删除不需要的配置文件
sudo apt autoclean
dpkg -l |grep ^rc|awk ‘{print $2}’ |sudo xargs dpkg -P nginx
#更新本地缓存文件及系统
sudo apt update && sudo apt upgrade && sudo apt dist-upgrade
需要添加Nginx官方源才能下载Nginx的最新稳定版本
添加nginx_signing.key:
获取nginx_signing.key文件,
sudo wget http://nginx.org/keys/nginx_signing.key
或
sudo wget https://mirrors.nju.edu.cn/nginx/keys/nginx_signing.key
添加,
sudo apt-key add nginx_signing.key
删除nginx_signing.key,
rm -f nginx_signing.key
在 /etc/apt/sources.list.d 文件夹中新建nginx.list文件写入下面对应的两行:
jammy 为操作系统版本代号,要根据系统来选择 , 详见
查看操作系统版本命令:
lsb_release -c
官方源:
Ubuntu:
deb https://nginx.org/packages/ubuntu/ jammy nginx
deb-src https://nginx.org/packages/ubuntu/ jammy nginx
debian:
deb https://nginx.org/packages/debian/ bullseye nginx
deb-src https://nginx.org/packages/debian/ bullseye nginx
国内源:
Ubuntu22.04:
deb https://mirrors.nju.edu.cn/nginx/ubuntu/ jammy nginx
deb-src https://mirrors.nju.edu.cn/nginx/ubuntu/ nginx
debian11:
deb https://mirrors.nju.edu.cn/nginx/debian/ bullseye nginx
deb-src https://mirrors.nju.edu.cn/nginx/debian/ bullseye nginx
或debian12:
deb https://mirrors.nju.edu.cn/nginx/debian/ bookworm nginx
deb-src https://mirrors.nju.edu.cn/nginx/debian/ bookworm nginx
最后输入以下命令进行安装:
sudo apt update
如有以下报错,
W: https://nginx.org/packages/ubuntu/dists/jammy/InRelease: Key is stored in legacy trusted.gpg keyring (/etc/apt/trusted.gpg), see the DEPRECATION section in apt-key(8) for details.
执行以下命令后再次更新源:
sudo cp /etc/apt/trusted.gpg /etc/apt/trusted.gpg.d
开始安装 nginx
sudo apt install nginx
输入nginx -v查看安装版本:
新版nginx的/etc/nginx/下的目录结构:
/etc/nginx
├── conf.d
│ ├── default.conf
├── fastcgi_params
├── mime.types
├── modules -> /usr/lib/nginx/modules
├── nginx.conf
├── scgi_params
└── uwsgi_params
主要配置文件存放于/etc/nginx/conf.d 目录
重新加载配置并重启
nginx -t #测试配置语法
nginx -s reload #重新加载配置
sudo systemctl restart nginx #重启Nginx
nginx.pid” failed 修复:
/usr/sbin/nginx -c /etc/nginx/nginx.conf
安装PHP支持,Nginx不具有处理PHP文件的内置支持。将使用PHP-FPM(“ fastCGI进程管理器”)来处理PHP文件。
sudo apt install php-fpm
安装完成后,FPM服务将自动启动。要检查服务状态,请运行
systemctl start php7.4-fpm
systemctl status php7.4-fpm
systemctl start php8.1-fpm
systemctl status php8.1-fpm
或使用/etc/init.d 启动:
{start|stop|status|restart|reload|force-reload}
/etc/init.d/php8.1-fpm start
/etc/init.d/php8.1-fpm restart
默认静态配置
server {
listen 80;
server_name localhost;
location / {
root /var/www/html/;
index index.html index.htm;
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /var/www/html/;
}
}
默认PHP配置
server {
listen 80;
server_name localhost;
# 启用HTTPS
# listen 2443 ssl;
# ssl_protocols TLSv1.3;
# ssl_certificate /etc/ssl/zs/fullchain.crt;
# ssl_certificate_key /etc/ssl/zs/private.pem;
location / {
root /var/www/html/;
index index.php index.html index.htm;
try_files $uri $uri/ /index.php?$args;
}
error_page 404 /404.html;
location = /404.html {
root /var/www/html;
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /var/www/html/;
}
location ~ \.php$ {
fastcgi_pass unix:/run/php/php8.1-fpm.sock;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /var/www/html$fastcgi_script_name;
include fastcgi_params;
}
location ~ /\.ht {
deny all;
}
}
TCP/UDP端口转发:
/etc/nginx/nginx.conf文件末尾添加配置代码:
stream {
include /etc/nginx/conf.d/*.stream;
}
conf.d目录下,添加*.stream后缀的配置文件,server
#TCP示例:server {
listen 90;
listen [::]:90;
proxy_connect_timeout 5s;
proxy_timeout 20s;
proxy_pass localhost:89;
}
#UDP示例:server {
listen 90 udp reuseport;
listen [::]:90 udp reuseport;
proxy_timeout 20s;
proxy_pass localhost:89;
}
-