-
请教下怎样控制 Linux 的出口访问,只允许 Linux 访问指定域名?
iptables 可以控制出口流量,但是只能针对 IP 进行限制,无法针对域名。需求是这样的,限制了整个公网出口,只允许服务器去请求特定的一些域名,比如只允许请求百度,百度全国 CDN,拥有很多节点 IP,并且这些 IP 可能还会变化,因此将百度的 IP 全部加入 iptables 也不太现实,这里我也无法去收集到这些域名的 IP 或 IP 段,请问还有其它办法控制 Linux 的出口...
-
有什么快捷的方式生成 [访问密钥(AK/SK)]
访问密钥( AK/SK )( ACCESS_KEY/SECRET_KEY )发现很多云服务都有生成这个访问密钥。那如果我想自己生成这个,有什么好的方式?命令行或者简单脚本 Python 也行date|md5sum...
-
Linux 防火墙关闭了,为什么还是可以访问
[背景]centos8 主机一个,firewalld 正常运行,使用 firewall-cmd list 查看,端口 32768 并不在列表内,使用 docker 起的一个应用占用了 32768 端口.[疑问]按照一般情况,32768 端口不在 firewall-cmd list 的列表内,所以应该是端口关闭了,但是现象是通过浏览器访问这个端口的服务仍然正常[解决过程]重启了 fire...
-
咨询一个 Linux 内网主机通过代理访问外网的方法
需求背景,内网需要通过域名访问阿里云的一些库(使用域名)。内网不能直接去外网,只能通过 dmz 的代理出去代理防火墙已经放开 dns,以及 443,80 等目的端口,能解析域名。现在使用 squid 作为代理软件。(内网机器未设置任何 DNS 服务器,只设置了 http_proxy 和 https_proxy ),可以访问出去。但是内网用户访问有时候会卡住,squid 返回 TAG_N...
-
Linux 下隔离部分软件的文件访问权限
Windows 下的 QQ 会扫描浏览器历史记录,Android 下的部分软件会在根目录乱建文件。Linux 下虽然暂时少有类似的情况,但随着国内大厂软件数量的增多,也要未雨绸缪。这里分享一种比 docker 更轻量的隔离软件文件权限的简易方法:修正家目录下现有的权限:chmod o-rwx ~ # even g-rwx to be more strict 修复未来的权限,在.bas...
-
Linux 下的命名管道如何限制其它进程访问?
有个需求如下:Linux 下进程 A (特权)是系统内唯一的管道读取方,如果有其它进程试图在同一个管道上试图读取,则报错退出。包括其它 root 进程都不应该能读取这个管道。我现在测试了下如果我正常开管道的话,cat 还是能读取该管道。如果创建管道后删除管道文件并且调用 fl大带宽服务器ock 加上独占锁(在读取进程里),去 /proc/pid/fd 下面依旧能使用 cat 对管道执行...
-
请问这样配置的防火墙为什么可以 web 访问?
服务器用的 IPFW,规则如下:Ipfw -q add allow tcp from xxx.xxx.xxx.xxx to me 80 in setup keep-stateIpfw -q add allow tcp from me to xxx.xxx.xxx.xxx 80 out setup keep-state第一个规则是允许客户端访问服务器的 80 端口,这个没有问题,第二个规...
-
求助大佬:系统中了挖坑病毒后, authorized_keys 无法访问了
前两天发现系统中了挖坑病毒,清理病毒后出现 authorized_keys 无法访问的情况,具体如下:1. 任何用户包括 root 用户,任何路径下(不光是 .ssh 目录)试图创建 authorized_keys 这个文件,只要执行 'touch authorized_keys',就会报以下错误:touch: 无法创建"authorized_keys": 没有那个文件或目录。touc...
-
求助,关于 Nginx 需要访问静态资源鉴权的一个配置问题
server {listen 14011;server_name localhost; #charset koi8-r; #access_log logs/host.access.log main; location / { root /; index index.html index.htm; } locati...
-
如何对单体应用的 api 进行恶意访问的防范
如果某一个已获授权的用户对 api 进行恶意访问,比如使用脚本超高频率的访问某一个 GET 请求,影响服务器性能,类似这类请求,微服务架构的话可以在 gateway 中写相关的 filter 逻辑,那美国服务器么单体应用有哪些方法可以防范这类情况?这种运维方面的一般交给云 来处理。。...