linux脚本内容审计

发表于 2022-05-01 更新于 2022-05-06 分类于 Linux

Bash脚本内容

常规Bash审计方案或方法，很少有记录“脚本内容”的，一般只会记录test用户执行了test.sh脚本：test.sh具体内容是什么不清楚

这就容易造成：

恶意的审计绕过
完整事件无法回溯，test.sh完全可以执行完毕后进行删除或修改

阅读全文 »

Linux 平均负载 - load averages

发表于 2022-04-23 更新于 2022-04-28 分类于 Linux

平均负载 load averages

很多文章介绍负载拿高速公路、银行取号、餐厅取餐等场景举例，有的确实能让人融会贯通，有的让刚接触的人更迷糊

其实要想很好的理解负载，看man uptime足够了

阅读全文 »

同网段通信Server端发送arp请求Client端

发表于 2022-03-27 更新于 2022-03-28 分类于 Linux

同网段通信是基于MAC地址

clientA（192.168.168.1）发送数据/连接 serverA（192.168.168.2）: clientA没有本地arp cache的情况下, 首先会发送arp请求

ServerA 抓包如下

17:02:03.332700 52:54:00:8c:d8:6e > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Request who-has 192.168.168.2 tell 192.168.168.1, length 28
17:02:03.332756 52:54:00:85:ff:6c > 52:54:00:8c:d8:6e, ethertype ARP (0x0806), length 42: Reply 192.168.168.2 is-at 52:54:00:85:ff:6c, length 28
17:02:03.333484 52:54:00:8c:d8:6e > 52:54:00:85:ff:6c, ethertype IPv4 (0x0800), length 98: 192.168.168.1 > 192.168.168.2: ICMP echo request, id 9336, seq 1, length 64
17:02:03.333575 52:54:00:85:ff:6c > 52:54:00:8c:d8:6e, ethertype IPv4 (0x0800), length 98: 192.168.168.2 > 192.168.168.1: ICMP echo reply, id 9336, seq 1, length 64
...
...
17:02:08.843216 52:54:00:85:ff:6c > 52:54:00:8c:d8:6e, ethertype ARP (0x0806), length 42: Request who-has 192.168.168.1 tell 192.168.168.2, length 28
17:02:08.844172 52:54:00:8c:d8:6e > 52:54:00:85:ff:6c, ethertype ARP (0x0806), length 42: Reply 192.168.168.1 is-at 52:54:00:8c:d8:6e, length 28

疑惑的是通信过程中serverA也会发送arp请求clientA的MAC，这个细节之前还真没注意过。

阅读全文 »

H3C交换机IRF堆叠未开启全局地址同步导致的泛洪

发表于 2022-03-27 更新于 2022-03-28 分类于 Network

现象

某主机的流量监控图IN方向流量远超预期,抓包（混杂模式）发现海量目的地址不是本机的报文

随机抽查发现部分主机也存在类似情况

初步认定是单播泛洪导致

阅读全文 »

位（bit）运算, Bash为例

发表于 2022-03-20 更新于 2022-03-22 分类于 Linux

位运算

不管是几进制的位运算, 涉及到位（bit）肯定是转换为二进制后再运算

左移/右移

转为二进制后向左/右移动,比如3左移2位

3二进制表示为’11’, 向左移动2为变为’1100’, 代表10进制的12

阅读全文 »

Linux下限制某进程/服务访问特定网段/网卡

发表于 2022-03-05 更新于 2022-03-07 分类于 Linux

环境背景:

某业务需复用物理主机资源,同时安全原因只允许其访问公网网段/网卡,另外最好能为其指定一些网络配置或安全策略（例如特定DNS服务器）

方案一

Iptables + 特定组/用户

创建一个新组

1	groupadd net-limit

阅读全文 »

Linux下patch文件生成及应用patch

发表于 2022-03-05 更新于 2022-03-04 分类于 Linux

文件patch

准备两个文件t1 t2

1 2	echo -e "1\n2" > t1 echo -e "1\n2\n3" > t2

通过diff命令生成patch文件

1	diff -u t1 t2 > file.patch

阅读全文 »

ClickHouse 由MergeTree转换为ReplicatedMergeTree（副本集）

发表于 2022-02-24 更新于 2023-09-04 分类于 DB

ClickHouse 由MergeTree转换为ReplicatedMergeTree（副本集）

测试环境准备

创建测试数据库

1
2
3

create database test;

use test;

创建测试表

CREATE TABLE foo
(
    `A` Int64,
    `D` Date,
    `S` String
)
ENGINE = MergeTree
PARTITION BY toYYYYMM(D)
ORDER BY A

阅读全文 »

Ext4文件系统inode限制

发表于 2021-12-17 更新于 2021-12-20 分类于 Linux

问题

盯日志,发现如下信息

1
2

2021-12-20T06:29:06.112829+08:00 test-server kernel: [17763482.361803] EXT4-fs warning (device dm-1): ext4_dx_add_entry:2190: Directory (ino: 17956865) index full, reach max htree level :2
2021-12-20T06:29:06.112851+08:00 test-server kernel: [17763482.361807] EXT4-fs warning (device dm-1): ext4_dx_add_entry:2194: Large directory feature is not enabled on this filesystem

Directory (ino: 17956865) index full第一反应哪个分区的inode满, 实际查看并没有

阅读全文 »

Linux系统加固 - (内核)模块签名

发表于 2021-11-23 分类于 Linux

目的

防止未授权的或恶意的驱动模块加载

测试模块准备

参考https://paper.seebug.org/779/

阅读全文 »