• 阻斷惡意的連線 | NGINX

    我知道網上已經爆多這類的文章教學,而我只是mark 自己最適合我網的配置。

    2019-12-31 24
  • Linux | 關於 sshd_config 的安全配置

    其實寫這篇文章,我有點不好意思,因為網上寫的非常好的文章很多,只是我只想留下一些我理解的關鍵,那我就美其名為 個人筆記 關於 sshd_config 的安全配置吧! 如果您有一台 Linux  不管什麼分支,只要開放在網路上,有幾件事,您必須先配置對應好,免得上線後花更多的時間補救,很鬧心啊~~~ 本文依 Cent OS 系統修改 sshd_config ,通常 Liunx 重點檔案幾乎都一樣的。 第一件事:修改 SSH 端口【重要】 https://92owl.com/701 第二件事:修改 sshd_config 提升安全指數 建議修改的參數 修改完畢!存檔 接著,重新載入 sshd:systemctl restart sshd.service 開新的  Terminal 連線一下,測試一下!完成啦!

    2019-09-18 33
  • Fail2ban | 使用 iptables-xt_recent 代替 iptables-multiport

    OWL簡單說: 狀況:Fail2ban 版本 0.9.7 ,有幾個問題,有些困擾…… 問題1: Fail2ban 每重啓一次,iptables 里就會多一條冗余的規則。(我就是發現…這點) 問題2: Fail2ban 在把表給 iptables 時,會把原本 iptables 的規則鏈重新計數,如果你有使用 iptables 做防禦時,就會有問題。 好在,找到解決的辦法! 解決辦法: 原文作者:fail2ban 使用 iptables-xt_recent 代替 iptables-multiport 解決問題1 & 2 只需要把 jail.conf 里的 banaction 修改成  iptables-xt_recent-echo ; 或是在 jail.local 另外指定也可以的。 Fail2ban 默認使用的 iptables-multiport ,我們不去改動默認的iptables-multiport;我們改用 iptables-xt_recent-echo,因為改用 iptables-xt_recent-echo 就避免了Fail2ban 在 ben表給 iptables後,不會留下多餘的規則。 iptables-xt_recent-echo 使用的是 Iptables 的 recent 模塊 用於限制一段時間內的連接數,是謹防大量請求攻擊的必殺絕技!善加利用可充分保證服務器安全。 學習 :recent模块學習原作者網站,有提供修改的shell 哦! 好方便~ 另,如果需要直接斷開 ben IP 的連線的話,可以這樣设定: 打開  /etc/fail2ban/action.d/iptables-common.conf 不過,我看到這篇文章的測試,好像是其實使用 REJECT --reject-with icmp-port-unreachable 的方式佔用的資源是最少的耶~ 我是在想,讓ben ip 回到 127.0.0.1… 無止境慢響應,不是更好,哈! 最後記得,要重新啟動 iptables 跟 Fail2ban 服務!

    2019-09-09 16
  • Nginx HTTP Response Splitting For WordPress | 發現

    最近,我查看瀏覽WEB日誌,發現到 WordPress 的這台服務器,掃目錄的IP真的很多~🙄️讓我檢查了再檢查,沒有發現有啥問題的啊?最後在 這裡!漏洞?!  擷取原文: 長話短說,WordPress 官方推薦的一個 wp-admin 轉發規則: rewrite /wp-admin$ $scheme://$host$uri/ permanent; 然而這個規則的 $uri 是可以帶有轉義字符的函數,於是就導致了上面的漏洞。 作者提供的解決修改:rewrite /wp-admin$ $scheme://$host$request_uri/ permanent; 我修改後,經過一段時間的觀察,掃目錄的行為好像有比較少一些了,因此Mrak 釘上OWL筆記!

    2019-09-09 20
  • CentOS 7 版本 改 Port 靠譜文

    最近部署新的 VPS 遇到了新問題—— SSH 端口:22,沒有辦法修改?!再登入另一台 CentOS 6,修改 port 登入是 OK 的呀; 再看看這台 CentOS 7,日誌有800 多次來自登錄服務器失敗,想著~ 還是研究怎麼改吧! CentOS 7 版本中做了一些改動,其中有防火牆預設是 firewall,進程管理為 SELinux 系统和服务管理器 systemd。 腰瘦!又要學新的指令~ 防火牆 firewall 放行 Port 預設:54321 修改 sshd_config 找到  #Port 22 ,取消注釋 (把前面的 # 去掉)在下一行新增新端口 Port 1. 先不刪除 22 端口是為了防止修改後新端口無法訪問,造成無法用 ssh 連接服務器。 2. 最好是12000以上的端口,不超過65535 以免和其他常規服務端口衝突 儲存後,重新啟動 sshd : systemctl restart sshd.service 若出現下列回應訊息: job for sshd.service failed because the control process exited with error code. See “systemctl status sshd.service” and “journalctl -xe” for details. 大部分是因為 SELINUX 的問題,沒權限綁定端口,所以我們先關閉 SELinux 並安裝他的管理工具,讓端口可以自訂! 暫時關閉 SELinux 並安裝 SELinux 管理工具【關鍵!】 SELinux 全稱 Security Enhanced Linux (安全強化 Linux),是 MAC (Mandatory Access Control,強制訪問控制系統)的一個實現,目的在於明確的指明某個進程可以訪問哪些資源(文件、網絡端口等)。 這時,我們先暫時關閉 SELinux 吧! 指令:(重新開機後 SELinux 就會恢復啟動!) 先不用測試新 SSH Port 54321 的連線了,因为 SELinux 没有放行!目前 SELinux 管理預設只允許 22 端口,我們可以安裝 SELinux 管理配置工具 semanage,來新增 ssh 的端口。 安装 semanage 工具: 使 ssh 打开 54321 端口: 查詢目前 SELinux 允許的端口: 再修改一次,步驟2 ,再重新啟動 sshd: systemctl restart sshd.service 測試新端口連線 原連線中的視窗,不要關閉!不要關閉!不要關閉! 再開一個新的 Terminal 連接 SSH新端口: 可以登入成功的話,最後重新啟動服務器: reboot 参考: https://www.oschina.net/question/2294923_232866

    2019-08-20 52
  • Bot 收集區

    本文紀錄一下,爬蟲的bot,跟良性的bot。
    更新中~

    2019-08-09 27