免费午夜福利不卡片在线,亚洲av高清在线观看一区二区三区 ,无码骚夜夜精品

論壇徽章:: 0

21樓 [報告]

發(fā)表于 2012-03-08 16:16 |只看該作者

回復(fù) 17# dooros

弱口令是大忌，這個必須引起重視，至于系統(tǒng)層的漏洞溢出、提權(quán)事件也時有發(fā)生，所以要引起我們的注意，防患于未然

實戰(zhàn)分享：從技術(shù)角度談機器學(xué)習(xí)入門| 【大話IT】RadonDB低門檻向MySQL集群下戰(zhàn)書 | ChinaUnix打賞功能已上線！ | 新一代分布式關(guān)系型數(shù)據(jù)庫RadonDB知多少？

king_819

版主

論壇徽章:: 0

22樓 [報告]

發(fā)表于 2012-03-08 16:21 |只看該作者

本帖最后由 king_819 于 2012-03-08 16:25 編輯

回復(fù) 18# dooros

安全是相對的，還得看實際的需求，安全級別要達到什么程度，在我們實際生產(chǎn)環(huán)境中，對freebsd系統(tǒng)內(nèi)核進行優(yōu)化后，性能、安全性上有很大的提升

實戰(zhàn)分享：從技術(shù)角度談機器學(xué)習(xí)入門| 【大話IT】RadonDB低門檻向MySQL集群下戰(zhàn)書 | ChinaUnix打賞功能已上線！ | 新一代分布式關(guān)系型數(shù)據(jù)庫RadonDB知多少？

king_819

版主

論壇徽章:: 0

23樓 [報告]

發(fā)表于 2012-03-08 16:23 |只看該作者

回復(fù) 19# gilet

sudo對于權(quán)限的分配要合理，不然會給后期的維護帶來很多麻煩

實戰(zhàn)分享：從技術(shù)角度談機器學(xué)習(xí)入門| 【大話IT】RadonDB低門檻向MySQL集群下戰(zhàn)書 | ChinaUnix打賞功能已上線！ | 新一代分布式關(guān)系型數(shù)據(jù)庫RadonDB知多少？

gilet

富足長樂

論壇徽章:: 18

15-16賽季CBA聯(lián)賽之吉林
日期:2016-04-18 15:24:24

15-16賽季CBA聯(lián)賽之八一
日期:2016-06-20 15:13:14

15-16賽季CBA聯(lián)賽之廣夏
日期:2016-06-29 10:38:28

15-16賽季CBA聯(lián)賽之吉林
日期:2017-03-06 13:47:55

24樓 [報告]

發(fā)表于 2012-03-08 16:24 |只看該作者

回復(fù) 23# king_819

我不用sudo，也不建議我的同事用，這是個怪東西

實戰(zhàn)分享：從技術(shù)角度談機器學(xué)習(xí)入門| 【大話IT】RadonDB低門檻向MySQL集群下戰(zhàn)書 | ChinaUnix打賞功能已上線！ | 新一代分布式關(guān)系型數(shù)據(jù)庫RadonDB知多少？

dooros

版主

論壇徽章:: 4

25樓 [報告]

發(fā)表于 2012-03-08 16:27 |只看該作者

sudo這東西，我在服務(wù)器上也沒用。

實戰(zhàn)分享：從技術(shù)角度談機器學(xué)習(xí)入門| 【大話IT】RadonDB低門檻向MySQL集群下戰(zhàn)書 | ChinaUnix打賞功能已上線！ | 新一代分布式關(guān)系型數(shù)據(jù)庫RadonDB知多少？

king_819

版主

論壇徽章:: 0

26樓 [報告]

發(fā)表于 2012-03-08 16:43 |只看該作者

本帖最后由 king_819 于 2012-03-08 16:45 編輯

iptables防護腳本，編譯內(nèi)核的時候要加上iptables的相關(guān)模塊，如connlimit、recent

#echo "Starting kerryhu-iptables rules..."
#!/bin/bash
#this is a common firewall created by 2010-3-27
#define some variable
IPT=/sbin/iptables
CONNECTION_TRACKING="1"
INTERNET="eth0"
CLASS_A="10.0.0.0/8"
CLASS_B="172.16.0.0/12"
CLASS_C="192.168.0.0/16"
CLASS_D_MULTICAST="224.0.0.0/4"
CLASS_E_RESERVED_NET="240.0.0.0/5"
BROADCAST_SRC="0.0.0.0"
BROADCAST_DEST="255.255.255.255"
LOOPBACK_INTERFACE="lo"
#Remove any existing rules
$IPT -F
$IPT -X
#setting default firewall policy
$IPT --policy OUTPUT ACCEPT
$IPT --policy FORWARD DROP
$IPT -P INPUT DROP
#stop firewall
if [ "$1" = "stop" ]
then
echo "Filewall completely stopped!no firewall running!"
exit 0
fi
#setting for loopback interface
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
# Stealth Scans and TCP State Flags
# All of the bits are cleared
$IPT -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
# SYN and FIN are both set
$IPT -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
# SYN and RST are both set
$IPT -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
# FIN and RST are both set
$IPT -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
# FIN is the only bit set, without the expected accompanying ACK
$IPT -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
# PSH is the only bit set, without the expected accompanying ACK
$IPT -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP
# URG is the only bit set, without the expected accompanying ACK
$IPT -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP
# Using Connection State to By-pass Rule Checking
if [ "$CONNECTION_TRACKING" = "1" ]; then
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A OUTPUT -m state --state INVALID -j DROP
fi
##################################################################
# Source Address Spoofing and Other Bad Addresses
# Refuse spoofed packets pretending to be from
# the external interface.s IP address
# Refuse packets claiming to be from a Class A private network
$IPT -A INPUT -i $INTERNET -s $CLASS_A -j DROP
# Refuse packets claiming to be from a Class B private network
$IPT -A INPUT -i $INTERNET -s $CLASS_B -j DROP
# Refuse packets claiming to be from a Class C private network
$IPT -A INPUT -i $INTERNET -s $CLASS_C -j DROP
$IPT -A INPUT -i $INTERNET -s 0.0.0.0/8 -j DROP
$IPT -A INPUT -i $INTERNET -s 169.254.0.0/16 -j DROP
$IPT -A INPUT -i $INTERNET -s 192.0.2.0/24 -j DROP
###################################################################
#setting access rules
#也可以對出站的詛求做一些嚴(yán)格的控制
#時鐘同步
#$IPT -A OUTPUT -d 192.43.244.18 -j ACCEPT
#允許ping出
#$IPT -A OUTPUT -p icmp -j ACCEPT
#$IPT -A OUTPUT -o $INTERNET -p udp --dport 53 -j ACCEPT
#$IPT -A OUTPUT -o $INTERNET -p tcp --dport 80 -j ACCEPT
#$IPT -A INPUT -i $INTERNET -p tcp -m mac --mac-source 00:02:3F:EB:E2:01 --dport 22 -j ACCEPT
$IPT -A INPUT -i $INTERNET -p tcp -s 192.168.9.201 --dport 65535 -j ACCEPT
$IPT -A INPUT -i $INTERNET -p tcp --dport 443 -j ACCEPT
$IPT -A INPUT -i $INTERNET -p tcp --dport 80 -j ACCEPT
#限制連往本機的web服務(wù)，單個IP的并發(fā)連接不超過30個，超過的被拒絕
#$IPT -A INPUT -i $INTERNET -p tcp --dport 80 -m connlimit --connlimit-above 30 -j REJECT
#限制連往本機的web服務(wù)，單個IP在60秒內(nèi)只允許最多新建30個連接，超過的被拒絕
#$IPT -A INPUT -i $INTERNET -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --update --seconds 60 --hitcount 30 -j REJECT
#$IPT -A INPUT -i $INTERNET -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --set -j ACCEPT
#限制連往本機的web服務(wù)，1個C段的IP的并發(fā)連接不超過100個，超過的被拒絕
#$IPT -A INPUT -i $INTERNET -p tcp --dport 80 -m iplimit --iplimit-above 100 --iplimit-mask 24 -j REJECT
#$IPT -A INPUT -i $INTERNET -p tcp -s 127.0.0.1 --dport 3306 -j ACCEPT
#$IPT -A INPUT -i $INTERNET -p udp --dport 123 -j ACCEPT