為符合資安ISO27001驗證,須針對系統帳號進行安全設定。
資安規範:
密碼管理系統應為互動式: 強度太低會告知密碼強度不足
密碼長度至少8字元
複雜度要求: (大小寫、英數……)
最長天數: 90
最短天數: 1
驗證失敗機制:失敗5次上鎖15分鐘
密碼代數: 不能與前三代相同
為符合資安ISO27001驗證,須針對系統帳號進行安全設定。
資安規範:
密碼管理系統應為互動式: 強度太低會告知密碼強度不足
密碼長度至少8字元
複雜度要求: (大小寫、英數……)
最長天數: 90
最短天數: 1
驗證失敗機制:失敗5次上鎖15分鐘
密碼代數: 不能與前三代相同
vsftpd 在尚未出現帳號登入提示前,就出現 500 OOPS: vsftpd: refusing to run with writable root inside chroot() 的錯誤訊息,是因為 vsftpd 為了增強安全,當帳號可使用 chroot() 目錄時,該目錄就不得為可寫入(writeable)。
而在尚未出現使用者帳號登入提示前,就出現該錯誤,要去修改 secure_chroot_dir 的寫入權限,在 /etc/vsftpd.conf 裡面會指定 secure_chroot_dir 的位置:
secure_chroot_dir=/var/run/vsftpd/empty
將該目錄的寫入權限移除,該目錄只要移除 other 的 w 權限,然後重啟 vsftpd 服務即可:
#chmod o-w secure_chroot_dir=/var/run/vsftpd/empty
#service vsftpd restart
從 VMware ESXi 7.x 的環境匯出 Windows VM 成 ovf,至 VMware Workstation 16.x 匯入並啟動電源後,會出現「停止代碼:SYSTEM THREAD EXCEPTION NOT HANDLED」藍幕錯誤。
現在連線都以 IPv6 優先,但有時 IPv6 連線失敗時,yum / dnf 不會自動轉成 IPv4 連線,可在 /etc/yum.conf 加設定,強制使用 IPv4 連線。
#vi /etc/yum.conf
ip_resolve=4
這樣即可強制使用 IPv4 連線。
使用 systemctl status 查詢服務狀態時,有時服務出現錯誤會有錯誤訊息,但常常會因螢幕寬度的問題,文字被截斷,可使用:
#systemctl status --no-pager --full
這樣訊息會全部顯示,不會被截斷了。
sshd 及 vsftpd 除了可用 firewall-cmd 或 iptables 的 –hitcount 參數下指令來防範暴力破解,也可安裝現成的 fail2ban 套件來防範。
使用 firewll-cmd 建立封包 forward 機制,可使用:
#firewall-cmd --permanent --add-forward
#firewall-cmd --permanent --add-masquerade
#firewall-cmd --permanent --add-forward-port=port=53:proto=udp:toport=53:toaddr=8.8.8.8
#firewall-cmd --reload
上面的指令,可以將DNS查詢的封包,全部轉送到Google DNS去。
閱讀全文
想要使用 Windows 排程,利用 PuTTY 以 System 身份透過金鑰的方式登入遠端 Linux 伺服器,但有時會有互動式詢問是否接受遠端主機的HostKey,而造成排程執行失敗。
IPv4:
grep -Eo "([0-9]{1,3}[.]){3}[0-9]{1,3}" filename
IPv6:
grep -Eo "([0-9a-fA-F]{4}[:])([0-9a-fA-F]{0,4}[:]){0,6}([0-9a-fA-F]{0,4})" filename
因為目前有效的IPv6格式,前置為 2001、ff80、ff02,所以使用 ([0-9a-fA-F]{4}[:]) 做為開頭 (排除 ::1 格式)。
一、先建立黑名單:
ipset create blacklist hash:ip hashsize 4096
二、加入 IP 位址:
ipset add blacklist 192.168.0.5
ipset add blacklist 192.168.0.100
ipset add blacklist 192.168.0.220
三、建立 firewalld 規則:
firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -m set --match-set blacklist src -j DROP