為符合資安ISO27001驗證,須針對系統帳號進行安全設定。
資安規範:
密碼管理系統應為互動式: 強度太低會告知密碼強度不足
密碼長度至少8字元
複雜度要求: (大小寫、英數……)
最長天數: 90
最短天數: 1
驗證失敗機制:失敗5次上鎖15分鐘
密碼代數: 不能與前三代相同
作者彙整: ishm
500 OOPS: vsftpd: refusing to run with writable root inside chroot()
vsftpd 在尚未出現帳號登入提示前,就出現 500 OOPS: vsftpd: refusing to run with writable root inside chroot() 的錯誤訊息,是因為 vsftpd 為了增強安全,當帳號可使用 chroot() 目錄時,該目錄就不得為可寫入(writeable)。
而在尚未出現使用者帳號登入提示前,就出現該錯誤,要去修改 secure_chroot_dir 的寫入權限,在 /etc/vsftpd.conf 裡面會指定 secure_chroot_dir 的位置:
secure_chroot_dir=/var/run/vsftpd/empty將該目錄的寫入權限移除,該目錄只要移除 other 的 w 權限,然後重啟 vsftpd 服務即可:
#chmod o-w secure_chroot_dir=/var/run/vsftpd/empty#service vsftpd restart
ESXi 7 匯出 ovf 在 Workstation 16 開啟會出現 SYSTEM THREAD EXCEPTION NOT HANDLED 藍幕問題
從 VMware ESXi 7.x 的環境匯出 Windows VM 成 ovf,至 VMware Workstation 16.x 匯入並啟動電源後,會出現「停止代碼:SYSTEM THREAD EXCEPTION NOT HANDLED」藍幕錯誤。
停止代碼: SYSTEM THREAD EXCEPTION NOT HANDLED
CentOS / Red Hat 停用 yum / dnf 的 IPv6 連線
現在連線都以 IPv6 優先,但有時 IPv6 連線失敗時,yum / dnf 不會自動轉成 IPv4 連線,可在 /etc/yum.conf 加設定,強制使用 IPv4 連線。
#vi /etc/yum.conf
ip_resolve=4
這樣即可強制使用 IPv4 連線。
systemctl status 訊息被截斷
使用 systemctl status 查詢服務狀態時,有時服務出現錯誤會有錯誤訊息,但常常會因螢幕寬度的問題,文字被截斷,可使用:
#systemctl status --no-pager --full這樣訊息會全部顯示,不會被截斷了。
使用 fail2ban 防範 sshd 及 vsftpd 密碼暴力破解
sshd 及 vsftpd 除了可用 firewall-cmd 或 iptables 的 –hitcount 參數下指令來防範暴力破解,也可安裝現成的 fail2ban 套件來防範。
利用 firewall-cmd 建立封包轉送並記錄機制
使用 firewll-cmd 建立封包 forward 機制,可使用:
#firewall-cmd --permanent --add-forward
#firewall-cmd --permanent --add-masquerade
#firewall-cmd --permanent --add-forward-port=port=53:proto=udp:toport=53:toaddr=8.8.8.8
#firewall-cmd --reload
上面的指令,可以將DNS查詢的封包,全部轉送到Google DNS去。
閱讀全文
如何使用 Windows 系統帳號(system) 執行 PuTTY
想要使用 Windows 排程,利用 PuTTY 以 System 身份透過金鑰的方式登入遠端 Linux 伺服器,但有時會有互動式詢問是否接受遠端主機的HostKey,而造成排程執行失敗。
PHP 內執行 BASH Script 的權限問題
有時為了自己方便,會想要在 PHP 網頁執行 BASH Script 指令來更改目錄內的檔案,這時會遇到權限問題。
自己有遇到的解決方式筆記如下:
一、先修改該目錄的 SELinux 的 context 設定成網站內可寫入:
chcon -R -t httpd_sys_rw_content_t FOLDERS/
grep 使用正規表示式找 IPv4 及 IPv6 位址
IPv4:
grep -Eo "([0-9]{1,3}[.]){3}[0-9]{1,3}" filename
IPv6:
grep -Eo "([0-9a-fA-F]{4}[:])([0-9a-fA-F]{0,4}[:]){0,6}([0-9a-fA-F]{0,4})" filename
因為目前有效的IPv6格式,前置為 2001、ff80、ff02,所以使用 ([0-9a-fA-F]{4}[:]) 做為開頭 (排除 ::1 格式)。