# vim /etc/zypp/zypp.conf将以下内容:
......
multiversion.kernels = latest,latest-1,running
......修改为:
......
multiversion.kernels = latest,latest-1,latest-2,latest-3,running
......(补充:这里以使用 zypper 升级内核时保留内核的数量从 3 个增加到 5 个为例)
[内容] CVE 简介
内容一:什么叫 CVE
CVE 全称是:Common Vulnerabilities and Exposures,翻译成中文是:常见脆弱性和暴露,是一个业界统一的脆弱性和暴露。
内容二:CVE 的常用格式
CVE-2016-4658,其中 2016-4658 是编号
内容三:CVE 的用途
用于标签系统和应用的漏洞,并实现了一个漏洞数据库以进行漏洞的查询和管理
内容四:CVE 的网站
4.1 CVE 官方网站
https://www.cvedetails.com
4.2 RedHat CVE 官方网站
4.2.1 RedHat CVE 官方网站
https://access.redhat.com/security/security-updates/#/cve
4.2.2 RedHat CVE 勘误官方网站
https://access.redhat.com/management/errata
4.3 openSUSE CVE 官方网站
openSUSE CVE 安全补丁官方网站
https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/
4.4 SUSE CVE 官方网站
SUSE CVE 安全补丁官方网站
https://www.suse.com/security/cve/
内容五:显示软件 CVE 信息
5.1 显示软件 CVE 信息的变更历史
# rpm -q openssh-clients --changelog | grep -i cve(补充:这里以显示 openssh-clients 软件的 CVE 信息的变更历史为例)
5.2 显示软件现在的版本是否修复 CVE 漏洞
# rpm -qpi --changelog redis-6.0.14-6.8.1.x86_64.rpm |grep -E '32675'
- Fix CVE-2021-32675, Denial Of Service when processing RESP request
(CVE-2021-32675, bsc#1191303)
* cve-2021-32675.patch(补充:这里以确认 redis-6.0.14-6.8.1.x86_64.rpm 软件包是否已修复 CVE-2021-32675 为例)
[步骤] nftables 防火墙的使用 (永久版)
注意:
只有 CentOS 8 & RHEL 8 才可以使用 nftables 防火墙
正文:
步骤一:从 firewalld 防火墙切换至 nftables 防火墙
1.1 安装 nftables 防火墙
# dnf install nftables1.2 清空 iptables 防火墙的策略表
1.2.1 清空 ipv4 iptables 防火墙的策略表
# iptables -F1.2.2 清空 IPv6 iptables 防火墙的策略表
# ip6tables -F1.3 停止使用 firewalld 防火墙
1.3.1 取消 firewalld 防火墙开机自启
# systemctl disable firewalld.service1.3.2 停止 firewalld 防火墙
# systemctl stop firewalld.service1.4 启用 nftables 防火墙
1.4.1 开机自启 nftables 防火墙
# systemctl enable nftables1.4.2 启动 nftables 防火墙
# systemctl start nftables步骤二:创建永久的 nftales 防火墙的策略表并条件永久的 nftables 防火墙策略
2.1 在 nftables 防火墙的配置文件中添加 nftables 防火墙策略文件
# vi /etc/sysconfig/nftables.conf添加以下内容:
......
include "/etc/nftables/nftables.rules"2.2 在 nftables 防火墙策略文件中添加 nftables 防火墙策略
# vi /etc/nftables/nftables.rules
flush ruleset
table inet siemens_FW {
chain siemens_FW_input {
type filter hook input priority 0; policy accept;
iif "lo" accept
ip saddr 127.0.0.0/8 counter packets 0 bytes 0 drop
ip6 saddr ::1 counter packets 0 bytes 0 drop
ip saddr 192.168.1.1 tcp dport ssh accept
tcp dport ssh drop
}
chain siemens_FW_forward {
type filter hook forward priority 0; policy accept;
}
chain siemens_FW_output {
type filter hook output priority 0; policy accept;
}
}(
补充:
(1)这里以基本的本地巡回路由策略并禁止除 192.168.1.1 的 IP 地址访问本地的 22 端口为例
(2)这里的 /etc/nftables/nftables.rules 是在 2.1 中添加的
)
2.3 让添加的 nftables 防火墙策略生效
# systemctl start nftables补充:
[步骤] nftables 防火墙的使用 (临时版)
注意:
只有 CentOS 8 & RHEL 8 才可以使用 nftables 防火墙
正文:
步骤一:从 firewalld 防火墙切换至 nftables 防火墙
1.1 安装 nftables 防火墙
# dnf install nftables1.2 清空 iptables 防火墙的策略表
1.2.1 清空 ipv4 iptables 防火墙的策略表
# iptables -F1.2.2 清空 IPv6 iptables 防火墙的策略表
# ip6tables -F1.3 停止使用 firewalld 防火墙
1.3.1 取消 firewalld 防火墙开机自启
# systemctl disable firewalld.service1.3.2 停止 firewalld 防火墙
# systemctl stop firewalld.service1.4 启用 nftables 防火墙
1.4.1 开机自启 nftables 防火墙
# systemctl enable nftables1.4.2 启动 nftables 防火墙
# systemctl start nftables步骤二:创建 nftables 防火墙的策略表
2.1 创建 nftables 防火墙的策略表
# nft create table inet <table>2.2 创建 nftables 防火墙的策略表的 input 链
# nft create chain inet <table> input { type filter hook input priority 0 \; }2.3 创建 nftables 防火墙的策略表的 forward 链
# nft create chain inet <table> forward { type filter hook forward priority 0 \; }2.4 创建 nftables 防火墙的策略表的 output 链
# nft create chain inet <table> output { type filter hook output priority 0 \; }步骤三:添加临时基本的本地巡回路由策略
# nft add rule inet filter input iif lo accept
# nft add rule inet filter input ip saddr 127.0.0.0/8 counter drop
# nft add rule inet filter input ip6 saddr ::1 counter drop[步骤] Linux 全局加密 SSL 的设置 (CentOS Linux 8 & RHEL 8 版)
步骤一:显示当前 SSL 全局加密 SSL 的状况
# update-crypto-policies --show
DEFAULT(补充:这里的 DEFAULT 表示可以使用 2048 位及以上位数的 SSL)
步骤二:切换当前 SSL 全局加密 SSL
# update-crypto-policies --set FUTURE(
补充:
1) 这里以将全局加密 SSL 切换到 FUTURE 状态为例
2) 此时只能使用 4096 位及以上位数的 SSL
)