按分类归档:服务器安全

linux下nginx使用Let’s Encrypt证书机构颁发ssl证书

Let’s Encrypt是一个证书机构,被浏览器信任,它会颁发一个免费3个月的证书,到期可以重新颁发或者更新。 这个机构搞了一个协议叫ACME (Automatic Certificate Management Environment) 根据这个协议搞了一个官网客户端叫 Certbot 便于给使用者申请证书。 官网地址:https://certbot.eff.org/ github地址:https://github.com/certbot/certbot # 克隆 certbot: # 生成证书 看到 Congratulations 即为成功。 /etc/letsencrypt/live/wx.rootop.org/fullchain.pem 证书路径 /etc/letsencrypt/live/wx.rootop.org/privkey.pem 私钥路径 # 原理推测: 如果上面的 -w 输入的网站路径不是网站的根目录,那么在验证信息的时候会报错。 可以看到验证的时候是访问了 http://wx.rootop.org/.well-known/acme-challenge/o-2oEswrYaKXstl3mckB9KFRt9kaxPsGhCDPngATQFA 这个路径的文件,但是我-w指定的路径是错的,并不是网站的目录,所以访问不到。 这样就可以推测,certbot是去网站根目录自动创建文件夹及文件,用于官方确认你对域名拥有所有权。 通过上面的错误提示,如下2个原因。 原因1,未添加dns解析 原因2,网站根目录配置错误 所以要确认dns已经解析及路径无误。 还有一种情况就是nginx做为反向代理,这样的话就需要自己写个location,并指定目录。如: 这样就让服务器在验证的时候,直接去/mnt/web/a下找自动生成的验证文件。 # … 继续阅读

评论关闭

利用Redis配置不当的漏洞对linux服务器root提权体验

文章来自:https://www.huangdc.com/443 修改并整理 redis安装后默认没有访问密码,但是默认监听在127.0.0.1地址,远程客户端无法远程访问。暂无法构成威胁。 如果监听在0.0.0.0的话,就可以利用下面“漏洞”了。 原理就是修改redis的持久化文件路径及数据文件实现秘钥连接。 有一个前提条件是 redis必须是用root用户启动的(才有权限往/root/.ssh写)。 # 运行ssh-keygen -t rsa生成秘钥 将公钥保存到另外一个文件 mypubkey.txt # 加换行,目的是为了形成正确的秘钥文件格式 (据我所知应该是一行一个公钥)。 # 在远程服务器 192.168.203.78 将公钥以key值的形式写入redis # 查看当前 redis数据存放目录 # 修改 redis 数据存放目录 # 查看 redis 数据存放文件 # 修改redis数据存放文件 # 保存 key # 恢复原先redis配置 ## 这样就把公钥写进目标主机的/root/.ssh下,并且名称为 … 继续阅读

评论关闭

使用chkrootkit检查linux是否被植入后门

所谓 rootkit ,是一类入侵者经常使用的工具。这类工具通常非常的隐秘、令用户不易察觉,通过这类工具,入侵者建立了一条能够常时入侵系统,或者说对系统进行实时控制的 途径。所以,我们用自由软件 chkrootkit 来建立入侵监测系统,来保证对系统是否被安装了 rootkit 进行监测。 chkrootkit 在监测 rootkit 是否被安装的过程中,需要使用到一些操作系统本身的命令。但不排除一种情况,那就是入侵者有针对性的已经将 chkrootkit 使用的系统命令也做修改,使得 chkrootkit 无法监测 rootkit ,从而达到即使系统安装了 chkrootkit 也无法检测出 rootkit 的存在,从而依然对系统有着控制的途径,而达到入侵的目的。那样的话,用 chkrootkit 构建入侵监测系统将失去任何意义。对此,我 们在操作系统刚被安装之后,或者说服务器开放之前,让 chkrootkit 就开始工作。而且,在服务器开放之前,备份 chkrootkit 使用的系统命 令,在一些必要的时候(怀疑系统命令已被修改的情况等等),让 chkrootkit 使用初始备份的系统命令进行工作。 官网地址:http://chkrootkit.org/download/ [root@1 ~]# wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz [root@1 ~]# … 继续阅读

评论关闭