Archive for 2016年11月21日


安全加固mysql小常识

yum install mysql-server
mysql_secure_installation

vi /etc/mysql/my.cnf
#不让外部IP访问mysql
bind-address = 127.0.0.1
#服务器端禁用所有LOAD DATA LOCAL命令
local-infile=0
#添加额外的log日志记录信息
log=/var/log/mylog

更改root用户名
rename user ‘root’@’localhost’ to ‘newAdmin’@’localhost’;

查看用户信息
select user,host,password from mysql.user;

在退出之前执行以下命令
FLUSH PRIVILEGES;

每个应用建立各自的MySQL用户,用户只具有所需的最小权限
create database newDb;
CREATE USER ‘newuser’@’localhost’ IDENTIFIED BY ‘password’;
GRANT SELECT,UPDATE,DELETE ON newDb.* TO ‘newuser’@’localhost’;
FLUSH PRIVILEGES;

移除某用户权限
REVOKE UPDATE ON newDb.* FROM ‘newuser’@’localhost’;

赋予用户所有权限
GRANT ALL ON newDb.* TO ‘newuser’@’localhost’;

yum install ejabberd

vi /etc/ejabberd/ejabberd.cfg
修改此行
{hosts, [“localhost"]}.
若按域名访问,修改为
{hosts, [“localhost","yourdomain.com"]}.
若按IP访问,修改为
{hosts, [“localhost","x.x.x.x"]}.

修改此行
{acl, admin, {user, “", “localhost"}}.
若按域名访问,修改为
{acl, admin, {user, “admin “, “yourdomain.com"}}.
若按IP访问,修改为
{hosts, [“localhost","x.x.x.x"]}.

重启服务后生效
/etc/init.d/ejabberd restart

给admin管理员设置密码
若按域名访问,修改为
ejabberdctl register admin yourdomain.com password
若按IP访问,修改为
ejabberdctl register admin x.x.x.x password

访问地址为:
若按域名访问,修改为
http://yourdomain.com:5280/admin
若按IP访问,修改为
http://x.x.x.x:5280/admin

建立新用户,并设置密码
若按域名访问,修改为
ejabberdctl register user1 yourdomain.com password1
若按IP访问,修改为
ejabberdctl register user1 x.x.x.x password1
基于XMPP协议比较流行的客户端有Adium、Pidgin。使用刚才建立的用户登录即可。

一、生成自己client端的ras证书(linux/mac,win就用PuTTY Gen)
ssh-keygen -t rsa -C “GitLab" -b 4096

二、服务器端linux安装git
useradd git
passwd git
yum install git
su – git
cd ~/.ssh
scp id_rsa.pub git@x.x.x.x:/home/git/id_rsa.pub

如果是win,就用
mkdir ~/.ssh
touch ~/.ssh/authorized_keys
cat ~/id_ras.pub >> .ssh/authorized_keys

三、建立git库
git init –bare new-repo.git

四、若已有本地库,迁移去新建的远端服务器
git remote set-url origin git@x.x.x.x:new-repo.git

五、如果远端是个新建库,用以下命令来新建远端库
git init && git remote add origin git@x.x.x.x:new-repo.git

六、若是克隆远程仓库
git clone git@x.x.x.x:/path/repo.git

话说回来,自己用私密的东东bitbucket不错,混搭就是gitlab了,公开的还是GitHub比较好。

一、生成证书登录
ssh-keygen -b 2048 -t rsa
cat .ssh/id_rsa.pub | ssh account@x.x.x.x ‘cat >> .ssh/authorized_keys’
chmod 600 ~/.ssh/authorized_keys
ssh -i ~/.ssh/id_rsa account@x.x.x.x

二、禁用root登录,禁用密码登录,更改ssh对外服务端口号为22222
# vi /etc/ssh/sshd_config
PermitRootLogin no
PermitEmptyPasswords no
PasswordAuthentication no
Port 22222

service sshd restart

三、配置防火墙,只允许ping、213213/80/443端口对外开放
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -p tcp -m tcp –dport 443 -j ACCEPT
iptables -A INPUT -p tcp -m tcp –dport 213213 -j ACCEPT
iptables -A INPUT -p tcp -m tcp –dport 80 -j ACCEPT
iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP

四、给自己丢个后门,放通自己IP的连接
iptables -A INPUT -p tcp -m tcp –s xx.xx.xx.xx –dport 22222 -j ACCEPT

五、保存防火墙配置,并加载规则到启动项
iptables-save > /root/iptables-rules
echo “iptables-restore < /root/iptables-rules" >> /etc/rc.local