报错代码
[: ......: unary operator expected解决方法
# vim <Shell Script>将以下内容修改为:
......
if [[ ...... ]];
......修改为:
......
if [[ ...... ]];
......[步骤] Linux SSH 加密方式 (cipher) 、信息验证代码 (message authentication code) 和算法 (algorithm) 的设置 (Ciphers、MACs 和 KexAlgorithms 参数的设置) (不使用来自 crypto policies 的系统全局设置) (RHEL 8 版)
注意:
RHEL 8 的 SSH 加密算法默认会使用来自 crypto policies 系统的全局 SSH 加密算法,而此方法将让 SSH 使用单独设置的 SSH 加密算法。
正文:
步骤一:启用 SSH 配置文件里加密方式 (cipher) 、信息验证代码 (message authentication code)和算法 (algorithm) 的设置
1.1 备份 /etc/sysconfig/sshd 配置文件
# cp /etc/sysconfig/sshd /etc/sysconfig/sshd_backup1.2 修改 /etc/sysconfig/sshd 配置文件
# vim /etc/sysconfig/sshd将以下内容:
# CRYPTO_POLICY=修改为:
......
CRYPTO_POLICY=
......步骤二:在 /etc/ssh/sshd_config 配置文件中设置要使用的 Ciphers、MACs 和 KexAlgorithm 参数
2.1 备份 /etc/ssh/sshd_config 配置文件
# cp /etc/ssh/sshd_config /etc/ssh/sshd_config_backup2.2 在 /etc/ssh/sshd_config 配置文件中添加要使用的 Ciphers、MACs 和 KexAlgorithms 参数
# vim /etc/ssh/sshd_config添加以下内容:
......
Ciphers aes256-ctr,aes192-ctr,aes128-ctr
MACs hmac-sha2-512,hmac-sha2-256
KexAlgorithms ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256(
补充:这里以使用:
1) aes256-ctr、aes192-ctr 和 aes128-ctr SSH 加密方式 (cipher)
2) hmac-sha2-512 和 hmac-sha2-256 SSH 信息验证代码 (message authentication code)
3) ecdh-sha2-nistp521、ecdh-sha2-nistp384、ecdh-sha2-nistp256 和 diffie-hellman-group-exchange-sha256 SSH 算法 (algorithm)
为例
)
2.3 让在 /etc/ssh/sshd_config 配置文件中添加要使用的 Ciphers、MACs 和 KexAlgorithms 参数生效
# systemctl restart sshd步骤三:测试 SSH 加密方式 (cipher)和算法 (algorithm)
3.1 测试 SSH Ciphers 参数
3.1.1 测试某个 SSH 加密方式 (ciphers)
# ssh -vv -oCiphers=3des-cbc -oPort=22 192.168.0.1(补充:这里以测试 IP 地址是 192.168.0.1,端口号是 22,有没有启用 3des-cbc SSH 加密方式 (cipher) 为例)
3.1.2 测试多个 SSH 加密方式 (ciphers)
# ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc -oPort=22 192.168.0.1(补充:这里以测试 IP 地址是 192.168.0.1,端口号是 22,有没有启用 3des-cbc、aes128-cbc、aes192-cbc 和 aes256-cbc SSH 加密方式 (cipher) 为例)
3.2 测试 SSH MACs 参数
3.2.1 测试某个 SSH ciphers 加密算法
# ssh -vv -oMACs=hmac-md5 -oPort=22 192.168.0.1(补充:这里以测试 IP 地址是 192.168.0.1,端口号是 22,有没有启用 hmac-md5 SSH 信息验证代码 (message authentication code) 为例)
3.2.2 测试多个 SSH ciphers 加密算法
# ssh -vv -oMACs=hmac-md5,hmac-md5-96,hmac-sha1,hmac-sha1-96,hmac-md5-etm@openssh.com,hmac-md5-96-etm@openssh.com -oPort=22 192.168.0.1(补充:这里以测试 IP 地址是 192.168.0.1,端口号是 22,有没有启用 hmac-md5、hmac-md5-96、hmac-sha1、hmac-sha1-96、hmac-md5-etm@openssh.com 和 hmac-md5-96-etm@openssh.com SSH 信息验证代码 (message authentication code) 为例)
3.3 显示所有在使用的 SSH 加密方式 (cipher)和算法 (algorithm)
3.3.1 使用 sshd 命令显示所有在使用的 SSH 加密方式 (cipher)和信息验证代码 (message authentication code)
# sshd -T | egrep -i "ciphers|macs"3.3.2 使用 nmap 命令显示所有在使用的 SSH 加密方式 (cipher)和算法 (algorithm)
# nmap --script ssh2-enum-algos -sV -p 22 127.0.0.1(补充:这里以测试 IP 地址是 192.168.0.1,端口号是 22 为例)
参考文献:
https://access.redhat.com/solutions/4410591
https://access.redhat.com/solutions/4278651
[内容] nftables 防火墙策略文件的常用规则
注意:
在给 nftables 防火墙的策略文件添加规则前,要先使用 nftables 防火墙的策略文件:
正文:
案例一:允许某个 IP 地址访问某个端口
ip saddr 192.168.0.1 tcp dport ssh accept或者:
ip saddr 192.168.0.1 tcp dport 22 accept(补充:这里以允许 IP 地址 192.168.0.1 访问 22 端口为例)
案例二:允许某个 IP 地址访问多个端口
ip saddr 192.168.0.1 tcp dport {22,80,443,3306,100,101,102,103} accept或者:
ip saddr 192.168.0.1 tcp dport {22,80,443,3306,100-103} accept(补充:这里以允许 IP 地址 192.168.0.1 访问 22 端口、80 端口、443 端口、3066 端口和 100 端口到 103 端口为例)
案例三:允许多个 IP 地址访问多个端口
ip saddr {192.168.0.1,192.168.0.2,192.168.0.3} tcp dport {22,80,443,3306} accept comment "accept local port"或者:
ip saddr {192.168.0.1-192.168.0.3} tcp dport {22,80,443,3306} accept comment "accept local port"(补充:这里以允许 IP 地址 192.168.0.1、192.168.0.2 和 192.168.0.3 访问 22 端口、80 端口、443 端口和 3066 端口并添加注释 “accept local port” 为例)
案例四:拒绝所有 IP 地址访问多个端口
tcp dport {22,80,443,3306} drop comment "drop remote port"(补充:这里以拒绝所有 IP 地址的 22 端口、80 端口、443 端口和 3306 端口并添加注释 “drop remote port” 为例)
案例五:拒绝所有 IP 地址访问所有端口
tcp dport {0-65535} drop
udp dport {0-65535} drop案例六:允许某个 IP 地址可以通过 ICMP 协议 ping 通
ip saddr 192.168.0.1 ip protocol icmp icmp type echo-request accept(补充:这里以允许 192.168.0.1 可以通过 ICMP 协议 ping 通为例)
案例七:允许由本发出请求后,回应请求的数据可以进入
ct state { established, related } accept[排错] openSUSE & SLES 解决执行 systemctl enable 命令或者 systemd-sysv-install enable 命令时报错 “…..: No such file or directory”
报错代码
......: No such file or directory解决方法
# zypper in insserv-compat[内容] /etc/resolv.conf 配置文件的 search 选项
内容一:测试 search 选项的配置
# cat /etc/resolv.conf
search eternalcenter.com local new
nameserver 8.8.8.8内容二:测试 search 选项
2.1 查询 zhumingyu
# host -a zhumingyu
Trying "zhumingyu.eternalcenter.com"
Trying "zhumingyu.local"
Trying "zhumingyu.new"
Trying "zhumingyu"
Host zhumingyu not found: 3(NXDOMAIN)
Received 102 bytes from 8.8.8.8#53 in 62 ms(补充:当查询 zhumingyu 时,也就是中间没有点 “.”,则默认会被视为查询主机名,会先依次把 eternalcenter.com、local 和 new 作为后缀添加到 zhumingyu 后进行查询,最后才查询 zhumingyu)
2.2 zhumingyu.com
# host -a zhumingyu.com
Trying "zhumingyu.com"
Received 31 bytes from 1.1.1.1#53 in 217 ms
Trying "zhumingyu.com.eternalcenter.com"
Trying "zhumingyu.com.local"
Trying "zhumingyu.com.new"
Host zhumingyu.com.new not found: 4(NOTIMP)
Received 35 bytes from 1.1.1.1#53 in 218 ms(补充:当查询 zhumingyu.com 时,也就是中间有 1 个点 “.”,则默认会被视为查询域名,会先查询 mingyuzhu.com,如果查询失败,则会先依次把 eternalcenter.com、local 和 new 作为后缀添加到 zhumingyu 后进行查询)
2.3 查询 zhumingyu.com.
# host -a zhumingyu.com.
Trying "zhumingyu.com"
Host zhumingyu.com not found: 4(NOTIMP)
Received 31 bytes from 1.1.1.1#53 in 204 ms
Received 31 bytes from 1.1.1.1#53 in 204 ms(补充:当查询 zhumingyu.com. 时,也就是末尾有 1 个点 “.”,默认会被视为查询域名,且只会查询这个域名。不会查询 search 里的每 1 项)