基础的同事对redhat rhel 6u1进行测试发现问题多多:
测试机型:宝德PR1510N,DELL 2950,1950,R410,R610,IBM x3550m3
1、text安装无法定制软件和分区的问题,在redhat官方文档找到确认。
2、dell 1950,r410安装的过程中识别到的硬盘顺序是sdb、sdc,安装完成系统识别到的正常,是sda、sdb,测试的其他机型中未发现。
3、在IBM x3550m3手动安装中会出现“You have not created a /boot/efi partition.”需要手工 添加分区
4、R610(BCM5709)、R410(BCM5716)识别到的网卡标识是em1、em2,x3550m3网卡型号也是BCM5709,但识别到的网卡是eth0、eth1,
其他也都跟以前一致是eth0、eth1。
5、R610安装的时候如果没有在配置文件中指定ksdevice=em1,pxe安装的过程中无法自动识别,需手动干预去选择网卡。
6、SRPM包安装路径/usr/src/redhat变为/root/rpmbuild,这个对应的基础设置已改。
使用中也有一些问题,不知道各位同学有没有发现其他问题
今天建了一个免费的centos源,喜欢的朋友可以用,主要是铁通、移动的网络访问速度会比较好,另外计划此源rsync时不会添加delete参数,即以后即使centos删掉老版本的包,你也可以在这里找到
http://mirrors.cnlinux.net/centos/
使用方法如下:
http://mirrors.cnlinux.net/help/centos.html
最近刚刚放出来的rhel 6.1文本模式安装时无法自定义分区,无法自定义安装软件包,据redhat的人讲是有bug,因为打开此功能会有某个bug,所以屏蔽掉了。
只能通过图形界面模式或者kickstart安装才能自行定义分区与软件包
好像这还是redhat头一回这样
最近在折腾openvpn,另一同事也在折腾,我在纯电信、联通idc是一直udp方式正常的,他在双线(双ip、网关)idc就单位正常,回家adsl拨号异常,经过一番测试,发现双线idc单独启用电信或者联通时,udp方式都能正常。
于是又启用双线采用iproute2+策略路由方式,由于策略路由是根据收集的IP list来实现,最近电信更新了183.0.0.0/10的IP地址没收集进去,导致出现从电信进来,往联通回包的现象,本来iproute2是可以解决从那个网卡进来就从哪个网卡回去的问题,但由于udp是无状态的,所以这种方式对于udp失效,也是导致udp方式异常,tcp正常。
更新IP list来解决之!
加密你的shell,shc是一个加密shell脚本的工具。它的作用是把shell脚本转换为一个可执行的二进制文件。
用shell脚本对系统进行自动化维护,简单,便捷而且可移植性好.但shell脚本是可读写的,很有可能会泄露敏感信息,如用户名,密码,路径,IP等。同样,在shell脚本运行时会也泄露敏感信息。
shc是一个加密shell脚本的工具。它的作用是把shell脚本转换为一个可执行的二进制文件。
这就很好的解决了上述问题。
http://www.datsi.fi.upm.es/~frosal/
这里下载:shc-3.8.7.tgz
安装:
#make 生成shc文件
#cp shc /usr/local/bin/ 把shc文件拷贝到你的目录
加密shell:
shc -r -f script-name.sh
会生成2个文件,script-name.sh.x跟script-name.sh.x.c文件。
script-name.sh.x为生成的2 进制文件
script-name.sh.x.c为shell脚本转换的c文件源代码
编辑 /etc/sysctl.conf文件
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_fin_timeout = 30
说明:
net.ipv4.tcp_syncookies = 1 表示开启SYN Cookies。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击,默认为0,表示关闭;
net.ipv4.tcp_tw_reuse = 1 表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接,默认为0,表示关闭;
net.ipv4.tcp_tw_recycle = 1 表示开启TCP连接中TIME-WAIT sockets的快速回收,默认为0,表示关闭。
net.ipv4.tcp_fin_timeout 修改系統默认的 TIMEOUT 时间
apt升级的时候遇到如下错误:
[root@sbear ~]# apt-get install net-snmp-devel net-snmp-perl net-snmp-utils
Reading Package Lists... Done
Building Dependency Tree... Done
The following extra packages will be installed:
beecrypt (4.1.2-10.1.1)
beecrypt-devel (4.1.2-10.1.1)
elfutils-devel (0.137-3.el5)
elfutils-devel-static (0.137-3.el5)
lm_sensors (2.10.7-4.el5)
lm_sensors-devel (2.10.7-4.el5)
net-snmp (5.3.2.2-7.el5)
The following NEW packages will be installed:
beecrypt (4.1.2-10.1.1)
beecrypt-devel (4.1.2-10.1.1)
elfutils-devel (0.137-3.el5)
elfutils-devel-static (0.137-3.el5)
lm_sensors (2.10.7-4.el5)
lm_sensors-devel (2.10.7-4.el5)
net-snmp (5.3.2.2-7.el5)
net-snmp-devel (5.3.2.2-7.el5)
net-snmp-perl (5.3.2.2-7.el5)
net-snmp-utils (5.3.2.2-7.el5)
0 upgraded, 10 newly installed, 0 removed and 13 not upgraded.
Need to get 0B/4176kB of archives.
After unpacking 15.9MB of additional disk space will be used.
Do you want to continue? [Y/n] y
Checking GPG signatures... ############################## [100%]
E: Unknown signature /var/cache/apt/archives/beecrypt-4.1.2-10.1.1.x86_64.rpm: (SHA1) DSA sha1 md5 (GPG) NOT OK (MISSING KEYS: GPG#37017186)
E: Unknown signature /var/cache/apt/archives/lm_sensors-2.10.7-4.el5.x86_64.rpm: (SHA1) DSA sha1 md5 (GPG) NOT OK (MISSING KEYS: GPG#37017186)
E: Unknown signature /var/cache/apt/archives/net-snmp-5.3.2.2-7.el5.x86_64.rpm: (SHA1) DSA sha1 md5 (GPG) NOT OK (MISSING KEYS: GPG#37017186)
E: Unknown signature /var/cache/apt/archives/beecrypt-devel-4.1.2-10.1.1.x86_64.rpm: (SHA1) DSA sha1 md5 (GPG) NOT OK (MISSING KEYS: GPG#37017186)
E: Unknown signature /var/cache/apt/archives/elfutils-devel-static-0.137-3.el5.x86_64.rpm: (SHA1) DSA sha1 md5 (GPG) NOT OK (MISSING KEYS: GPG#37017186)
E: Unknown signature /var/cache/apt/archives/elfutils-devel-0.137-3.el5.x86_64.rpm: (SHA1) DSA sha1 md5 (GPG) NOT OK (MISSING KEYS: GPG#37017186)
E: Unknown signature /var/cache/apt/archives/lm_sensors-devel-2.10.7-4.el5.x86_64.rpm: (SHA1) DSA sha1 md5 (GPG) NOT OK (MISSING KEYS: GPG#37017186)
E: Unknown signature /var/cache/apt/archives/net-snmp-devel-5.3.2.2-7.el5.x86_64.rpm: (SHA1) DSA sha1 md5 (GPG) NOT OK (MISSING KEYS: GPG#37017186)
E: Unknown signature /var/cache/apt/archives/net-snmp-perl-5.3.2.2-7.el5.x86_64.rpm: (SHA1) DSA sha1 md5 (GPG) NOT OK (MISSING KEYS: GPG#37017186)
E: Unknown signature /var/cache/apt/archives/net-snmp-utils-5.3.2.2-7.el5.x86_64.rpm: (SHA1) DSA sha1 md5 (GPG) NOT OK (MISSING KEYS: GPG#37017186)
E: Error(s) while checking package signatures:
0 unsigned package(s)
10 package(s) with unknown signatures
0 package(s) with illegal/corrupted signatures
E: Handler silently failed |
E: Unknown signature /var/cache/apt/archives/beecrypt-4.1.2-10.1.1.x86_64.rpm: (SHA1) DSA sha1 md5 (GPG) NOT OK (MISSING KEYS: GPG#37017186)
E: Unknown signature /var/cache/apt/archives/lm_sensors-2.10.7-4.el5.x86_64.rpm: (SHA1) DSA sha1 md5 (GPG) NOT OK (MISSING KEYS: GPG#37017186)
提示GPG证书问题,申请GPG证书后导入即可解决。
[root@sbear ~]# gpg --keyserver wwwkeys.eu.pgp.net --recv-keys 37017186 //从该网站申请公钥37017186
[root@sbear ~]# gpg --armor --export 37017186 >/root/key //把该公钥存为key
[root@sbear ~]# rpm --import /root/key //导入该公钥 |
单位有一批dell r410的服务器,都是2个物理cpu(intel E5504),每个cpu都是4核,可在系统里边只看到共4个CPU,正常的话应该是8个才对。
系统中看到只有4个CPU
原来bois里边Number of Cores per Processor默认设置是DUAL,需要改为ALL才能8个核都用上,如果使用虚拟技术的话,还需要把Virtualization Technology打开才行。按dell的r410官方文档却说Number of Cores per Processor默认是ALL,可实际是dual
设置Number of Cores per Processor为all后重启机器即可看到8个核了。
漏洞介绍:nginx是一款高性能的web服务器,使用非常广泛,其不仅经常被用作反向代理,也可以非常好的支持PHP的运行。80sec发现其中存在一个较为严重的安全问题,默认情况下可能导致服务器错误的将任何类型的文件以PHP的方式进行解析,这将导致严重的安全问题,使得恶意的攻击者可能攻陷支持php的nginx服务器。
漏洞分析:nginx默认以cgi的方式支持php的运行,譬如在配置文件当中可以以
location ~ \.php$ {
root html;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
include fastcgi_params;
} |
的方式支持对php的解析,location对请求进行选择的时候会使用URI环境变量进行选择,其中传递到后端Fastcgi的关键变量SCRIPT_FILENAME由nginx生成的$fastcgi_script_name决定,而通过分析可以看到$fastcgi_script_name是直接由URI环境变量控制的,这里就是产生问题的点。而为了较好的支持PATH_INFO的提取,在PHP的配置选项里存在cgi.fix_pathinfo选项,其目的是为了从SCRIPT_FILENAME里取出真正的脚本名。
那么假设存在一个http://www.80sec.com/80sec.jpg,我们以如下的方式去访问
http://www.80sec.com/80sec.jpg/80sec.php
将会得到一个URI
/80sec.jpg/80sec.php
经过location指令,该请求将会交给后端的fastcgi处理,nginx为其设置环境变量SCRIPT_FILENAME,内容为
/scripts/80sec.jpg/80sec.php
而在其他的webserver如lighttpd当中,我们发现其中的SCRIPT_FILENAME被正确的设置为
/scripts/80sec.jpg
所以不存在此问题。
后端的fastcgi在接受到该选项时,会根据fix_pathinfo配置决定是否对SCRIPT_FILENAME进行额外的处理,一般情况下如果不对fix_pathinfo进行设置将影响使用PATH_INFO进行路由选择的应用,所以该选项一般配置开启。Php通过该选项之后将查找其中真正的脚本文件名字,查找的方式也是查看文件是否存在,这个时候将分离出SCRIPT_FILENAME和PATH_INFO分别为
/scripts/80sec.jpg和80sec.php
最后,以/scripts/80sec.jpg作为此次请求需要执行的脚本,攻击者就可以实现让nginx以php来解析任何类型的文件了。
POC: 访问一个nginx来支持php的站点,在一个任何资源的文件如robots.txt后面加上/80sec.php,这个时候你可以看到如下的区别:
访问http://www.80sec.com/robots.txt
HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Thu, 20 May 2010 10:05:30 GMT
Content-Type: text/plain
Content-Length: 18
Last-Modified: Thu, 20 May 2010 06:26:34 GMT
Connection: keep-alive
Keep-Alive: timeout=20
Accept-Ranges: bytes |
访问访问http://www.80sec.com/robots.txt/80sec.php
HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Thu, 20 May 2010 10:06:49 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: keep-alive
Keep-Alive: timeout=20
X-Powered-By: PHP/5.2.6 |
其中的Content-Type的变化说明了后端负责解析的变化,该站点就可能存在漏洞。
漏洞厂商:http://www.nginx.org
解决方案:
我们已经尝试联系官方,但是此前你可以通过以下的方式来减少损失
关闭cgi.fix_pathinfo为0
或者
if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
} |
另外发现php 4.xx不存在cgi.fix_pathinfo,同时测试也没发现此漏洞可用
本文来自:http://www.80sec.com/nginx-securit.html