摘要:从安全的角度来讲,安全加固的镜像是需要有KMS加密的,但由于镜像是需要在多个AWS账号中分享使用, 加上一些特殊的背景原因,需要取消KMS加密,这样的话,在各个AWS中,创建EC2虚拟机时,就需要注意使用上KMS就可以了 笔者实现的大体过程如下: 1、创建一台机临时的机器,可以使用AWS官方的Red
阅读全文
posted @ 2024-04-26 16:59
随笔分类 - [12]信息-安全
摘要:环境:AWS平台,使用t2.medium机型创建的EC2,然后制作的镜像 现象:通过镜像,创建 m5.large 机型的EC2,执行lvm相关的命令,报如下错误 [root@qq-5201351 ~]# vgs Devices file PVID sQ2p8KDx0VDRB5bpzsGq5uR6wP
阅读全文
posted @ 2024-01-05 10:53
摘要:本文操作系统版本环境:Red Hat Enterprise Linux release 9.0 (Plow) 先说说此加固项的影响: If password protection is enabled, only the designated superuser can edit a Grub 2
阅读全文
posted @ 2023-10-31 16:10
摘要:本文的操作系统版本: Red Hat Enterprise Linux release 9.0 (Plow) 可以通过如下的脚本,进行验证-确认 usb-storage 是否开启了 #!/usr/bin/env bash { l_output="" l_output2="" l_mname="usb
阅读全文
posted @ 2023-10-31 14:23
摘要:笔者在一生产主机上,发现一些普通用户、是可以执行 sudo xxx 命令的 而且是可以 sudo 执行所有的命令,(当然是会要求输入自己账号的密码的) 如果非业务需求,这将是一个安全的风险,于是笔者查询了一下细节 最后发现 /etc/sudoers 配置文件中,是如下的配置为那些用户添加了sudo命
阅读全文
posted @ 2023-09-07 16:32
摘要:关于Linux服务器上设置禁ping ,可以一定程度上在互联网上隐藏自己,防止一些批量扫描软件探测主机,减少被入侵的几率 另一方面禁止ping也会增加服务器的防护能力,防止别人使用的大量的恶意ping消耗服务器的网络、cpu等资源 1、关于是否允许被ping,主要是看 /proc/sys/net/i
阅读全文
posted @ 2023-08-14 11:58
摘要:在AWS,ELB下的ALB中,SSL/TLS证书是配置到Listener/侦听器中的(有时我们也会称为监听器),一般监听的是TCP/443号端口 一个侦听器中可以配置多个域名证书的,但默认的域名证书只有一个(当域名匹配不到最合适的证书时,就会使用默认证书) 也即是,当通过域名访问过来的时,会检查与域
阅读全文
posted @ 2023-07-31 14:39
摘要:一般说来,公司之间的关系,有子母关系,总分关系,集团公司,或者其他 在中国,需要注意AWS CN的账号,目前只开放给公司注册,个人无法创建 这样一来,任何一个AWS CN账号就必须有一个主体(也即是一个具体的公司)与之绑定了 如果一个域名的主体刚好也是上面的AWS CN账号的主体一样,那么备案就显得
阅读全文
posted @ 2023-07-14 21:42
摘要:本文为了演示出效果,准备了如下的环境 操作系统:Red Hat Enterprise Linux release 8.7 (Ootpa) 内核版本:4.18.0-372.9.1.el8.x86_64 1、关于操作系统版本、内核、内核相关的软件包版本,情况如下: [root@qq-5201351 ~]
阅读全文
posted @ 2023-07-01 12:01
摘要:由于内核补丁模块是通过 RPM 软件包交付和应用,更新累积内核补丁模块就如同更新任何其他 RPM 软件包一样。 先决条件:系统已订阅实时补丁流,如将当前安装的内核订阅到实时补丁流中所述。 流程如下: 更新至当前内核的新累计版本: # yum update "kpatch-patch = $(unam
阅读全文
posted @ 2023-06-30 21:59
摘要:kpatch 内核补丁解决方案使用 livepatch 内核子系统将旧功能重定向到新功能,详细的过程及说明如下: The kpatch kernel patching solution uses the livepatch kernel subsystem to redirect old funct
阅读全文
posted @ 2023-06-30 21:48
摘要:关于Linux, 我们可以使用 Red Hat Enterprise Linux 内核实时修补解决方案在不重启或者重启任何进程的情况下对运行的内核进行补丁 先看一下官网的一段关于Applying patches with kernel live patching 的介绍: https://acces
阅读全文
posted @ 2023-06-30 21:36
摘要:这里笔者主要讲述如何生成一个CSR证书签名请求文件,方法过程可能有多种 笔者这里将使用一种最为简单简洁的方式进行讲解,使用到的环境与软件如下: 操作系统:Red Hat Enterprise Linux release 8.7 (Ootpa) openssl软件包版本:openssl-1.1.1k-
阅读全文
posted @ 2023-06-03 19:24
摘要:关于信息的含义--经典的信息含义 1、最早由哈特莱(Ralph Vinton Lyon Hartley)提出 , 他认为 信息是指有新内容、新知识的消息 2、美国数学家,贝尔实验室电话研究所的 香农 (Claude Elwood Shannon),也有译作申农, 他认为 信息是用以消除随机不确定性的
阅读全文
posted @ 2023-05-21 05:34
摘要:在一些Linux系统-sshd服务,的主配置文件,/etc/ssh/sshd_config 我们可能会看到配置有AllowUsers与AllowGroups的安全加固选项,关于两个选项的说明如下: 从选项名称上就可以知道这两个是选项,是属于白名单选项的,在安全中,如果能使用白名单模式,肯定是更安全的
阅读全文
posted @ 2023-05-01 12:10
摘要:关于sshd服务的主配置文件,/etc/ssh/sshd_config 有一个选项叫做PasswordAuthentication,根据单词意思、就知道此选项是与密码相关的 即可以知道此值默认为yes,即使不写或者注释,代表是允许用户通过密码进行ssh登录 有时我们可以在加固的操作系统中看到,此值会
阅读全文
posted @ 2023-05-01 11:35
摘要:在等保测评中,都会去要求查看sshd配置,看是否有禁止root用户直接ssh登录,此项一般也会作为一个强制要求安全配置项 笔者这里的操作系统为Redhat 8.x 如下,对于Redhat 7.x应该也是一样的,可以自行测试 [qq-5201351@Localhost ~]$ cat /etc/red
阅读全文
posted @ 2023-05-01 10:06