随笔分类 - 安全
security
摘要:一,nginx配置:只允许get/post方法访问 配置规则: location / { if ($request_method !~ ^(GET|POST)$ ) { return 403; } ... } 效果:使用PUT等非GET/POST方法 二,modsecurity配置: 只允许get/
阅读全文
摘要:一,?:的功能 ()表示捕获分组,()会把每个分组里的匹配的值保存起来,使用$n(n是一个数字,表示第n个捕获组的内容) (?:)表示非捕获分组,和捕获分组唯一的区别在于,非捕获分组匹配的值不会保存起来 例子:#该规则表示,如果请求方式是PUT、CONNECT、TRACE、DELETE的任意一种方式
阅读全文
摘要:一,根据参数的值进行判断: 1,对所有参数进行判断 规则: SecRule ARGS "@rx attack" "phase:1,log,deny,id:1" 测试: http://a.b.com/index.html?name=attack 2,根据变量名进行判断 规则:判断name变量中是否包含
阅读全文
摘要:一,默认自启动服务和默认运行服务的区别 服务的类型: Type:定义启动时的进程行为。它有以下几种值。 simple:默认值,执行ExecStart指定的命令,启动主进程 forking:以 fork 方式从父进程创建子进程,创建后父进程会立即退出 oneshot:一次性进程,Systemd 会等当
阅读全文
摘要:一,列出服务 查看服务的命令: systemctl list-unit-files --type=service --state=enabled 结果: UNIT FILE STATE PRESET aegis.service enabled disabled aliyun.service enab
阅读全文
摘要:一,列出所有服务: systemctl list-units --type=service 二,列出所有运行中的服务 1, 用--state指定状态 systemctl list-units --type=service --state=running 2,直接grep systemctl list
阅读全文
摘要:一,拦截包含一个字符串的访问: 1,例子:如下: 11.89.39.11 - - [23/Oct/2024:04:47:22 +0800] "GET /.git/config HTTP/1.1" 404 548 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x6
阅读全文
摘要:一,现象: 原来的过滤规则 failregex = ^<HOST> .* "(GET|POST|HEAD).*HTTP.*" (404|400|403|503) .*$ ignoreregex =.*(robots.txt|favicon.ico|jpg|png) 一条nginx的记录 35.203
阅读全文
摘要:一,每个事务的生命周期: 如图: 每个事务在modsecurity需要经历5个阶段,在每个阶段可能需要解析等操作,然后调用相应阶段的规则进行匹配,对应规则中的phase 阶段一:request headers请求头,这是modsecurity最先接触到的数据, 需要验证请求头相关的规则,并根据请求头
阅读全文
摘要:一,是否启用防火墙 SecRuleEngine是接受来自ModSecurity-CRS目录下的所有规则的安全规则引擎。因此,我们可以根据需求设置不同的规则。 #SecRuleEngine On:将在服务器上激活ModSecurity防火墙。它会检测并阻止该服务器上的任何恶意攻击。 #SecRuleE
阅读全文
摘要:一,设置debug日志: 1, modsecurity的设置注意要先创建保存调试日志的目录 SecDebugLog /opt/logs/modsecuritylogs/debug.log SecDebugLogLevel 5 2,设置完成后重启nginx,使设置生效 systemctl restar
阅读全文
摘要:一,bash脚本 #!/bin/bash # backup base # rpm va log backup 的路径 back_base=/storage/logs/rpmvalogs if [ ! -d ${back_base} ];then mkdir -p ${back_base} fi #
阅读全文
摘要:一,安装busybox 1,用dnf安装 [root@backup ~]# dnf install busybox 2,安装后查看版本 [root@backup ~]# busybox --help BusyBox v1.35.0 (2022-01-19 00:00:00 UTC) multi-ca
阅读全文
摘要:一,查看用户登录的日志: 1,查看用户的登录记录: [root@backup ~]# last 说明:它的数据从/var/log/wtmp文件中读取 [root@backup ~]# ll /var/log/wtmp -rw-rw-r--. 1 root utmp 36480 Oct 12 15:1
阅读全文
摘要:一,列出可登录shell的用户 root@lhdpc:~# grep bash /etc/passwd root:x:0:0:root:/root:/bin/bash liuhongdi:x:1000:1000:liuhongdi,,,:/home/liuhongdi:/bin/bash 只显示用户
阅读全文
摘要:一,systemctl 列出所有自启动的单元: [laoliu@web ~]$ systemctl list-unit-files --state=enabled 列出所有自启动的服务: [laoliu@web ~]$ systemctl list-unit-files --type=service
阅读全文
摘要:一,用systemctl 列出所有timer 不加-all参数时,只列出状态active的timer [root@web 2314699]# systemctl list-timers -all: 列出所有timer,不管是否active [root@web 2314699]# systemctl
阅读全文
摘要:一,问题现象: firewalld未重新加载规则前,可以看到fail2ban添加的防火墙规则: [root@web ~]# firewall-cmd --list-all public (active) target: default icmp-block-inversion: no interfa
阅读全文
摘要:一,问题现象: 1,一台新服务器上安装了snoopy之后,发现一个问题,它只能记录root的操作命令,其他用户的操作命令完全记录不下来 2,查看配置: [root@backup ~]# snoopyctl conf ; Options from config file (or defaults):
阅读全文
摘要:一,配置snoopy只记录控制台上执行的命令: 编辑配置文件 [root@blog ~]# vi /etc/snoopy.ini 设置filter_chain项的值为only_tty: filter_chain = "only_tty;exclude_uid:1001" 查看效果: [root@bl
阅读全文