Rootop 服务器运维与web架构

2023-07-31
发表者 Venus
acl rule id重新排序已关闭评论

acl rule id重新排序

当插入的规则过多,没有空闲的id可用时,可以重新排序,这样就多出来可以插入的空间。
方法就是通过设置步长的方式重新生成rule id

[Huawei]acl name ui
[Huawei-acl-adv-ui]dis th
# 现在的序号是3、4、5
acl name ui 3000
 rule 3 permit ip source 192.168.1.3 0 destination 192.168.2.0 0.0.0.255
 rule 4 permit ip source 192.168.1.2 0 destination 192.168.2.0 0.0.0.255
 rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

# 使其从1开始重新排序
[Huawei-acl-adv-ui]step 1
[Huawei-acl-adv-ui]dis th
#
acl name ui 3000
 step 1
 rule 1 permit ip source 192.168.1.3 0 destination 192.168.2.0 0.0.0.255
 rule 2 permit ip source 192.168.1.2 0 destination 192.168.2.0 0.0.0.255
 rule 3 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

# 从5开始重新排序
[Huawei-acl-adv-ui]step 5
[Huawei-acl-adv-ui]dis	
[Huawei-acl-adv-ui]display this
#
acl name ui 3000
 rule 5 permit ip source 192.168.1.3 0 destination 192.168.2.0 0.0.0.255
 rule 10 permit ip source 192.168.1.2 0 destination 192.168.2.0 0.0.0.255
 rule 15 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

2023-07-27
发表者 Venus
为普通用户配置了sudoers免密码但还是要求输入已关闭评论

为普通用户配置了sudoers免密码但还是要求输入

# 用户信息

root@lanji-server:~# id lanji
uid=1000(lanji) gid=1000(lanji) groups=1000(lanji),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),116(lxd)

虽然在sudoers中配置了lanji用户的nopasswd指令,但是lanji此用户同时属于sudo 这个组

lanji@lanji-server:~$ cat /etc/group |grep lanji
adm:x:4:syslog,lanji
cdrom:x:24:lanji
sudo:x:27:lanji
dip:x:30:lanji
plugdev:x:46:lanji
lxd:x:116:lanji
lanji:x:1000:

在sudoers中也定义了 %sudo 组的权限是需要输入密码的。
所以根据 sudoers 的规则,如果匹配到多个,则最后一个生效。

root@lanji-server:~# cat /etc/sudoers|grep -vE "^$|^#"
Defaults	env_reset
Defaults	mail_badpass
Defaults	secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin"
root	ALL=(ALL:ALL) ALL
lanji   ALL=(ALL:ALL) NOPASSWD:ALL
%admin ALL=(ALL) ALL
%sudo	ALL=(ALL:ALL) ALL

解决办法就是把lanji用户挪到最下面

# 通过-l参数查看当前账号会匹配到哪些规则

lanji@lanji-server:~$ sudo -l
Matching Defaults entries for lanji on lanji-server:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin

User lanji may run the following commands on lanji-server:
    (ALL : ALL) ALL
    (ALL : ALL) NOPASSWD: ALL

现在可以看到匹配了2条,最后一条优先生效,就不需要输入密码了。

2023-07-26
发表者 Venus
key type ssh-rsa not in PubkeyAcceptedAlgorithms已关闭评论

key type ssh-rsa not in PubkeyAcceptedAlgorithms

xshell7连接Amazon Linux 2023系统,提示秘钥未在远程主机注册。

# ssh版本

[root@ip-172-31-36-0 ~]# ssh -V
OpenSSH_8.7p1, OpenSSL 3.0.8 7 Feb 2023

# 内核

[root@ip-172-31-36-0 ~]# uname -r
6.1.19-30.43.amzn2023.x86_64

# openssl

[root@ip-172-31-36-0 ~]# openssl version
OpenSSL 3.0.8 7 Feb 2023 (Library: OpenSSL 3.0.8 7 Feb 2023)

# /var/log/secure日志提示

userauth_pubkey: key type ssh-rsa not in PubkeyAcceptedAlgorithms [preauth]

百度说/etc/ssh/sshd_config加上

PubkeyAcceptedKeyTypes +ssh-rsa
PubkeyAcceptedAlgorithms +ssh-rsa

这2行可以解决,但是还是无法登录。

但是通过git软件包中的git bash here执行ssh -i rsa_id root@xxxx 是可以连接。

# 有资料说新版本ssh不支持rsa sha1,然后在本地通过git软件包自带的命令行创建 rsa-sha2-512 类型秘钥
# 查看ssh-keygen 支持创建哪些类型

-t dsa | ecdsa | ecdsa-sk | ed25519 | ed25519-sk | rsa
	 Specifies the type of key to create.  The possible values are “dsa”, “ecdsa”, “ecdsa-sk”, “ed25519”, “ed25519-sk”, or “rsa”.

	 This flag may also be used to specify the desired signature type when signing certificates using an RSA CA key.  The available RSA signature variants
	 are “ssh-rsa” (SHA1 signatures, not recommended), “rsa-sha2-256”, and “rsa-sha2-512” (the default).

 

$ ssh-keygen -t rsa-sha2-512 -f rsa-sha2-512

将私钥导入xshell中还是提示秘钥未注册,但是在git bash here中还是可以连接。

# 放弃rsa,在本地通过git软件包自带的git bash here命令行创建 ed25519 类型秘钥

$ ssh-keygen.exe -t ed25519 -f ed25519

导入到xshell中才可以连接

# 参考信息,里面有关闭安全策略方法
https://help.aliyun.com/document_detail/460037.html