R-Bot项目 简单使用
建立窗口:系统提示有软件包需要更新,但运行升级命令时提示,无法完成升级
下列软件包的版本将保持不变:
libnss-systemd libpam-systemd libsystemd0 libudev1 systemd systemd-sysv systemd-timesyncd udev
解决办法:
1-添加源:
sudo add-apt-repository ppa:ubuntu-security-proposed/ppa
2-获取更新:
sudo apt update
3-安装systemd相关软件包:
sudo apt install libnss-systemd libpam-systemd libsystemd0 libudev1 systemd systemd-sysv udev
删除 apt-key:
sudo apt-key list
会出现这样:
/etc/apt/trusted.gpg
--------------------
pub rsa2048 2011-08-19 [SC] [有效至:2024-06-14]
573B FD6B 3D8F BC64 1079 A6AB ABF5 BD82 7BD9 BF62
uid [ 未知 ] nginx signing key <signing-key@nginx.com>
删除想删除的
sudo apt-key del "573B FD6B 3D8F BC64 1079 A6AB ABF5 BD82 7BD9 BF62"
或者,仅指定最后 8 个字符:
sudo apt-key del 73C62A1B
完成!仓库密钥已被删除。运行以下命令更新仓库列表:
sudo apt update
添加PPA源的命令为:
sudo add-apt-repository ppa:user/ppa-name
示例:sudo add-apt-repository ppa:ubuntu-security-proposed/ppa
添加完成!运行以下命令更新仓库列表:
sudo apt-get update
删除命令格式则为:
sudo add-apt-repository -r ppa:user/ppa-name
示例:sudo add-apt-repository -r ppa:ubuntu-security-proposed/ppa
删除完成!运行以下命令更新仓库列表:
sudo apt-get update
fail2ban 可以有效的防止 ssh 暴力密码破解攻击. 对于公网中开放ssh端口的服务器安全至关重要.
以下教程为最小可用方式, 也是最实用的方式, 即在使用 ssh 账户和密码登录的情况下, 防止ssh暴力破解.
Ubuntu/Debian 安装:
首先更新和升级服务器,
sudo apt-get update
sudo apt-get upgrade安装fail2ban:
sudo apt install -y fail2ban使用以下命令启动并启用该服务:
sudo systemctl start fail2ban # 启动fail2ban配置jail.local 文件:
创建一个新配置文件jail.local,它将覆盖jail.conf中的任何同类设置.
同时将监视/var/log/auth.log,
使用以下命令创建配置文件,
sudo vim /etc/fail2ban/jail.local 在此新文件中,粘贴以下内容:
[sshd]
enabled = true # 启用规则
port = 22 # 将SSH端口设置为22
filter = sshd # 使用fail2ban sshd过滤器,
logpath = /var/log/auth.log # 记录 log 在这个文件里
maxretry = 10 # 将最大重试次数设置为10, 超过就 ban 它的 ip重新启动fail2ban:
sudo systemctl restart fail2ban通过命令 sudo systemctl status fail2ban 查看服务运行状态: 如下反馈表示正常运行
root@ubuntu:~# sudo systemctl status fail2ban
● fail2ban.service - Fail2Ban Service
Loaded: loaded (/lib/systemd/system/fail2ban.service; disabled; vendor preset: enabled)
Active: active (running) since Sun 2022-09-25 09:03:35 UTC; 10s ago
Docs: man:fail2ban(1)
Main PID: 8733 (fail2ban-server)
Tasks: 3 (limit: 9429)
Memory: 10.2M
CPU: 80ms
CGroup: /system.slice/fail2ban.service
└─8733 /usr/bin/python3 /usr/bin/fail2ban-server -xf start
使用命令 sudo vim /etc/fail2ban/jail.local 修改配置文件并检查是否设置正确.
全部设置完毕
如果有机器试图通过SSH登录您的Ubuntu服务器,并且失败了三次,那么将通过iptables阻止其IP地址阻止它们进入。
取消禁止的IP:
可以使用以下命令取消已被自动禁止的IP地址:
sudo fail2ban-client set sshd unbanip IP_ADDRESS
# IP_ADDRESS是已被禁止的IP地址
更多:
要了解更多信息, 可输入以下命令
man fail2ban
# 提供了fail2ban可以执行的操作的完整概述
选中dwg文件,右键>打开方式>选择 C:\Program Files\Common Files\Autodesk Shared\AcShellEx\AcLauncher.exe 这个程序,并用该程序作为默认打开方式。
CloudFlare中一个完全接入的域名即为一个zone,点进去包括套餐、安全等等都是针对这一主域名配置的。官方SaaS功能针对的是你服务的客户,开放这项功能允许使用他们自己的域名直接附加在你的zone里,享受你zone下包含的安全、加速等功能。 官方公告:https://blog.cloudflare.com/waf-for-saas/
应用场景1:
example.com一级域名无法长期通过NS接入了CF(NS服务器可以临时修改为CF服务器地址将域名接入CF,接入后需要再次改回原服务地址,如使用使cloudflare作为DDNS服务存在不稳定必须使用国内的DDNS服务商的情况),但二级域名b.example.com需要接入CF;此时可以通过SaaS功能实现1.b.example.com/2.c.example.com等直接附加在example.com这个临时添加的域名zone下,二级域名通过CNAME指向CF的节点。简而言之,可以通过这项功能,实现二级域名的CNAME接入cloudflare服务
 |
永久保存 iptables 防火墙规则
您需要安装iptables-persistent将在重新启动时自动恢复 iptables 的软件包。
sudo apt install iptables-persistent如果您选择是,它将分别为 IPv4 和 IPv6创建现有的 iptables 规则并将其保存到/etc/iptables/rules.v4和/etc/iptables/rules.v6保存。
无论何时更改iptables的规则,都应该使用iptables-save命令将其保存到文件中,以便在重新启动后使更改保持不变。
对于 IPv4 iptables(使用最广泛的场景):
sudo iptables-save -f /etc/iptables/rules.v4对于 IPv6 iptables:
sudo iptables-save -f /etc/iptables/rules.v6请注意,每次对系统上的 iptables 进行更改时,都需要运行上述两行命令。它基本上将当前活动的 iptables 规则复制到指定的文件中。
恢复到您上次保存它们时的状态:
sudo netfilter-persistent reload使用cat 命令显示保存的文件 :
sudo cat /etc/iptables/rules.v4
sudo cat /etc/iptables/rules.v6此外,要删除持久性 iptables 规则,您只需打开相应的/etc/iptables/rules.v*文件并手动删除包含所有不需要的规则的行。
ipv4:iptables -I INPUT -p tcp --dport 8888 -j ACCEPT
iptables -I OUTPUT -p tcp --sport 8888 -j ACCEPTipv6:ip6tables -I INPUT -p tcp --dport 8888 -j ACCEPT
ip6tables -I OUTPUT -p tcp --sport 8888 -j ACCEPT针对这2条命令进行一些讲解吧
-A 参数就看成是添加一条 INPUT 的规则
-p 指定是什么协议 我们常用的tcp 协议,当然也有udp 例如53端口的DNS
到时我们要配置DNS用到53端口 大家就会发现使用udp协议的
而 –dport 就是目标端口 当数据从外部进入服务器为目标端口
反之 数据从服务器出去 则为数据源端口 使用 –sport
-j 就是指定是 ACCEPT 接收 或者 DROP 不接收
选 项 功 能
-A 添加防火墙规则
-D 删除防火墙规则
-I 插入防火墙规则
-F 清空防火墙规则
-L 列出添加防火墙规则
-R 替换防火墙规则
-Z 清空防火墙数据表统计信息
-P 设置链默认规则
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
sudo iptables -F关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。
下面是命令实现:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROPservice iptables stop
service ip6tables stop apt-get purge netfilter-persistent开启为:
apt-get install netfilter-persistentrm -rf /etc/iptables && reboot查看规则是否生效,命令:
IPV4:
iptables -L
IPV6:
ip6tables -Lnum target prot opt source destination
1 DROP tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306
2 DROP tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
3 DROP tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
多了 num 这一列, 这样我们就可以看到刚才的规则对应的是编号2,那么我们就可以进行删除了。
iptables -D INPUT 2
上述示例为删除INPUT链编号为2的规则。
iptables -D OUTPUT 2
上述示例为删除OUTPUT链编号为2的规则。
再 iptables -L -n 查看一下,发现规则已经被清除了。
iptables -I INPUT -p tcp --dport 500:800 -j ACCEPTip6tables -I INPUT -p tcp --dport 500:800 -j ACCEPTiptables -I OUTPUT -p tcp --sport 500:800 -j ACCEPTip6tables -I OUTPUT -p tcp --sport 500:800 -j ACCEPTiptables -I INPUT -p tcp --dport 500:800 -j ACCEPT &&
ip6tables -I INPUT -p tcp --dport 500:800 -j ACCEPT &&
iptables -I OUTPUT -p tcp --sport 500:800 -j ACCEPT &&
ip6tables -I OUTPUT -p tcp --sport 500:800 -j ACCEPT &&
sudo iptables-save -f /etc/iptables/rules.v4 &&
sudo iptables-save -f /etc/iptables/rules.v6
禁ipv4&ipv6 ping
sudo iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP
sudo ip6tables -I INPUT -p icmpv6 --icmpv6-type echo-request -j DROP
解除ipv4&ipv6 ping
sudo iptables -D INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP
sudo ip6tables -D INPUT -p icmpv6 --icmpv6-type echo-request -j DROP
通过命令iptables -L查看已有规则
注意,需要注释掉( # )此下规则,上述配置才有效。
这条策略的配置如下:
-A INPUT -p icmp -j ACCEPT
配置文件路径:
(/etc/iptables/rules.v4)
(/etc/iptables/rules.v6)