System Security (系统安全) – Page 9

May 14, 2022June 19, 2022

[步骤] Linux 内存地址空间布局随机化的开启（增加写入内存页漏洞的难度）

步骤一：开启内存地址空间布局随机化

1.1 修改 /etc/sysctl.conf 文件

# vim /etc/sysctl.conf

添加以下内容：

......
kernel.randomize_va_space = 2

（补充：当 kernel.randomize_va_space 的参数是 2 时则内存地址空间布局随机化已经开启）

1.2 设置系统正在运行的 kernel.randomize_va_space 参数

# sysctl -w kernel.randomize_va_space=2

（补充：当 kernel.randomize_va_space 的参数是 2 时则内存地址空间布局随机化已经开启）

步骤二：显示内存地址空间布局随机化的开启状态

2.1 显示 /etc/sysctl.conf 文件里的 kernel.randomize_va_space 参数

# grep "kernel\.randomize_va_space" /etc/sysctl.conf /etc/sysctl.d/*
kernel.randomize_va_space = 2

（补充：当 kernel.randomize_va_space 的参数是 2 时则内存地址空间布局随机化已经开启）

2.2 显示系统正在运行的 kernel.randomize_va_space 参数

# sysctl kernel.randomize_va_space
kernel.randomize_va_space = 2

（补充：当 kernel.randomize_va_space 的参数是 2 时则内存地址空间布局随机化已经开启）

May 14, 2022July 6, 2022

[工具] Shell 测试 SFTP 服务

介绍

基本信息

作者：朱明宇
名称：测试 SFTP 服务
作用：测试 SFTP 服务

使用方法

1. 在此脚本的分割线内写入相应的内容
2. 给此脚本添加执行权限
3. 执行此脚本

脚本分割线里的变量

IP=10.0.0.8 #要测试 SFTP 的服务器 IP 地址

注意

此脚本执行前必须要先保证执行脚本的主机能无秘钥远程需要测试 SFTP 服务的服务器

脚本

#!/bin/bash

####################### Separator ########################
IP=10.0.0.8
####################### Separator ########################

set timeout 3

rpm -q expect &> /dev/null
if [ $? -ne 0 ];then
        echo "Expect needs to be installed first"
fi

expect << EOF
spawn sftp $IP
expect "sftp>"                                   {send "cd /tmp\r" } 
expect "sftp>"                                   {send "ls -l\r"}
expect "sftp>"                                   {send "quit\r"}
expect ">"                                       {send "\r"}
EOF

May 14, 2022September 1, 2022

[内容] Rocky Linux 8 & RHEL 8 cockpit （Web Console）的管理

内容一：开启 cockpit （Web Console）

# systemctl enable --now cockpit.socket

（
注意：此时通过 SSH 登录服务器时或者 console 的登录界面上会显示：

Web console: https://<host>:9090/ or https://<IP address>:9090/

）

内容二：关闭 cockpit （Web Console）

# systemctl stop cockpit.socket
# systemctl disable cockpit.socket

May 14, 2022June 19, 2022

[排错] 解决 Linux SSH “PasswordAuthentication no” 参数不起作用

分析

如果以前成功密码 SSH 登录过目标服务器，那启用 SSH 的 ChallengeResponseAuthentication 参数可能会影响 PasswordAuthentication 参数的效果

解决方法

# vim /etc/ssh/sshd_conf

将其中的：

......
# ChallengeResponseAuthentication yes
......

修改为：

......
ChallengeResponseAuthentication no
......

April 29, 2022June 19, 2022

[步骤] Linux SSH 密钥的批量更新

步骤一：生成新的 SSH 密钥

1.1 进入 ~/.ssh 目录

# cd ~/.ssh

1.2 生成新的 SSH 密钥

# ssh-keygen -b 4096 -t rsa -C "<content>" -f "<public private key name>"

步骤二：将新的 SSH 公钥拷贝到目标服务器

# for i in `cat <server list>`;do echo $i;ssh-copy-id -i ~/.ssh/<public private key name>.pub $i;echo;done

步骤三：更新 SSH 密钥

3.1 更新 SSH 私钥

3.1.1 备份旧有的 SSH 私钥

# mv id_rsa id_rsa.backup

3.1.2 更新 SSH 私钥

# cp <public private key name> id_rsa

3.2 更新 SSH 公钥

3.2.1 备份旧有的 SSH 公钥

# mv id_rsa.pub id_rsa.pub.backup

3.2.2 更新 SSH 公钥

# cp <public private key name>.pub id_rsa.pub

步骤四：删除目标服务器的旧有 SSH 公钥

4.1 删除目标服务器的旧有 SSH 公钥

# for i in `cat <server list>`;do echo $i;ssh $i "sed -i /<old SSH key content>/d ~/.ssh/authorized_keys";echo;done

4.2 确定目标服务器就有的 SSH 已经删除

# for i in `cat <server list>`;do echo $i;ssh $i "cat ~/.ssh/authorized_keys | egrep -v '<content>'";echo;done