创建新的仓库

git init

全局配置

git config --list

git config --global user.name hilyso
git config --global user.email [email protected]

全局配置

vim ~/.gitconfig

[user]
        name = hilyso
        email = [email protected]

验证ssh配置

ssh -T [email protected]

示例 1

拉取远程仓库到本地, 添加 123.txt后在推动至远程仓库

git init 
git remote add origin [email protected]:hilyso/test.git
git pull origin master
echo 123>123.txt
git add 123.txt
git commit -m 'add 123.txt'
git push origin master

远程仓库管理

git remote add git@github.com:hilyso/hilyso.hithub.io.git
git remote show

ENV:

HW: kvm
Arch: x86_64
OS: CentOS7.9

一、 安装 nodejs

1.1 yum 安装

yum install nodejs

1.2 二进制安装

https://nodejs.org/download/release/v16.20.2/

本文采用二进制安装, 因为yum安装的node和openssl版本有冲突
下载文件后, 解压至 /usr/local; 然后通过软连接到系统变量

tar -xzvf node-v12.22.12-linux-x64.tar.gz
mv node-v12.22.12-linux-x64 /usr/local/
ln -s /usr/local/node-v12.22.12-linux-x64/ /usr/local/nodejs
ln -s /usr/local/nodejs/bin/node /usr/bin/node
ln -s /usr/local/nodejs/bin/npm /usr/bin/npm

二、 安装 hexo

2.1 创建目录

后面所有的命令都在这个目录下执行
mkdir /mdzz
npm install hexo

2.2 创建软连接

ln -s /mdzz/node_modules/hexo/bin/hexo /usr/bin/hexo

2.3 建站

hexo init blog
cd blog
npm install

2.4 临时启动

hexo s

2.5 完整启动

hexo g

合适的语法高亮可以帮助快速找到想要的信息

下面正则适用secureCRT, 理论上xshell也是适用

解决了 secureCRT 在某些场景下的开启语法高亮后卡顿的问题

一、 secureCRT shell 高亮

ipv4

([0-9]{1,3})\.([0-9]{1,3})\.([0-9]{1,3})\.([0-9]{1,3})

stop end disable close

(\bstop(ped)?\b)|(\bend\b)|(\bfinish(ed)?\b)|(\bdisable(d)?\b)|(\bdelete(d)?\b)|(\bclose(d)?\b)

error fail flase down dead failure

(\berror(s)?\b)|(\bfail(ed)?\b)|(\bfalse\b)|(\bdown\b)|(\bdead\b)|(\bfailure\b)

active success true ok up enable

(\bactive(d)?\b)|(\bsuccess(ful(ly)?)?\b)|(\btrue\b)|(\bok\b)|(\bup\b)|(\benable(d)\b)

username@hostname

[a-z0-9-]*@[a-z0-9-]*

注意: xshell中关于电子邮件的高亮规则如何在secureCRT, 会消耗大量资源, 导致执行htop或者查看大量日志的时候终端卡顿.

效果图:

SecureCRT开启高亮

Options-->Configure-->Default Session-->keyword Highlighting

Xshell开启高亮

工具-->突出显示集

一、 samba 部署

1.1 samba 安装

yum install samba*

1.2 samba 启动

systemctl enable smb --now
systemctl status smb

1.3 测试 smb

添加配置
vim /etc/samba/smb.conf

[share]
    path = /samba/share
    browsable = Yes
    writable = Yes
    guest ok = Yes
    read only = N

创建用户
useradd smb
smbpasswd smb

Windows资源管理器输入 \\192.168.1.201 , 在跳出的窗口输入刚才的用户名和密码即可.

二、 修改 samba 默认端口

由于安全原因, 不允许常见服务运行在常见的端口上

2.1 修改配置文件

在 [globle] 选项下面添加从参数 smb port = 9445
重启 smb 生效

vim /etc/samba/smb.conf

三、 修改端口后客户端去连接smb

3.1 Linux下smb客户端安装

sudo apt install smbclient

3.2 连接 9445端口的 smb

sudo smbclient -L 192.168.1.201 -p 9445 -U smb
sudo smbclient //192.168.1.201/smb -p 9445 -U smb

3.3 Windows下连接 smb

smb的Windows客户端没有指定端口的选项, 可以通过修改注册表, 但是不一定成功。
使用端口映射, 将192.168.1.201:9445 映射到本地 127.0.0.1:445
资源管理器访问 \\127.0.0.1

3.3.1 关闭Windows下的smb服务端

[服务]–>[server]–>[关闭]–>[重启Windows]

3.3.2 添加端口映射

管理员权限cmd执行:
netsh interface portproxy add v4tov4 listenport=445 listenaddress=127.0.0.1 connectport=9445 connectaddress= 192.168.1.201

查看映射规则:

netsh interface portproxy show all

一、 密码复杂度审计

1.1 查看当前密码策略

MySQL> SHOW VARIABLES LIKE 'validate_password%';

1.2 插件安装

MySQL> install plugin validate_password soname 'validate_password.so';

1.3 my.cnf 参数配置

vim /etc/my.cnf

[mysqld]
plugin-load-add=validate_password.so
validate-password=ON
validate_password_policy = 1
validate_password_length = 8
validate_password_mixed_case_count = 1
validate_password_number_count = 2
validate_password_special_char_count = 1

二、 登录失败处理

2.1 数据库并查看是否开启登录失败和超时功能参数

MySQL> show variables like '%connection_control%';

2.2 安装插件

MySQL> install plugin CONNECTION_CONTROL soname 'connection_control.so';
MySQL> install plugin CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS soname 'connection_control.so';

2.3 修改配置文件my.cnf

vim /etc/my.cnf

[mysqld]
plugin-load-add=connection_control.so
connection-control-failed-connections-threshold=5 
connection-control-min-connection-delay=300000

三、 配置模板

3.1 某生产环境使用的配置文件

[mysqld]
skip_ssl
skip-name-resolve
default_password_lifetime=0
user = mysql
basedir = /usr/local/mysql
datadir = /data/mysql/data
port = 3306
server_id = 1
socket = /usr/local/mysql/mysql.sock
pid-file = /usr/local/mysql/mysql.pid
log-error = /data/mysql/data/mysql.err
log-bin = /data/mysql/data/binlog/mysql-bin
sql_mode=NO_ENGINE_SUBSTITUTION,STRICT_TRANS_TABLES
lower_case_table_names=1
character-set-server = utf8mb4
log_bin_trust_function_creators=1
explicit_defaults_for_timestamp=true
default_time_zone = "+8:00"
log_timestamps = SYSTEM
explicit_defaults_for_timestamp = 1

table_open_cache = 500
table_definition_cache = 1000
table_open_cache_instances = 64
thread_stack = 512K
thread_cache_size = 700
max_allowed_packet = 256M
join_buffer_size = 4M
key_buffer_size = 32M
read_buffer_size = 8M
read_rnd_buffer_size = 8M
sort_buffer_size = 2M
max_connections = 3000
max_connect_errors = 2000

innodb_log_buffer_size = 32M
innodb_log_file_size = 2G
innodb_log_files_in_group = 2
innodb_buffer_pool_size = 48G #重要参数，建议为内存的80%
innodb_buffer_pool_instances = 8
innodb_io_capacity=1200
innodb_page_cleaners=8

log_bin_trust_function_creators=1
binlog_cache_size = 1M
expire_logs_days = 7
binlog_format = row

####mysql master
gtid-mode = ON
enforce-gtid-consistency = ON

slow_query_log = 1
slow_query_log_file = /data/mysql/data/slow_query.log
long_query_time= 60
log_queries_not_using_indexes = 1

[mysqldump]
quick
max_allowed_packet = 256M

[client]
port = 3306
socket = /usr/local/mysql/mysql.sock
#default-character-set = utf8mb4

零、 说明

仅在 CentOS7 下测试, 理论上适用RHEL系列
适用于 二级等保, 三级等保, 阿里云安全基线检查

一、 系统用户密码策略相关

Linux对应的密码策略模块有：pam_passwdqc.so 和 pam_pwquality.so
密码复杂度: pam_pwquality.so 模块对应文件的是 /etc/security/pwquality.conf
密码有效期: pam_passwdqc.so 模块对应文件的是 /etc/login.defs

针对密码复杂度, 推荐编辑pam配置文件/etc/pam.d/system-auth-ac去引用pam_pwquality.so
也可以直接编辑 /etc/security/pwquality.conf
但 “禁止使用最近三次使用过的密码” 就无法在 pwquality.conf 配置

1.1 密码复杂度

示例: 要求所有用户密码复杂度达到

• 至少15个字符
• 至少包含一个大写字符
• 至少包含一个数字
• 至少包含一个小写字母
• 至少包含一个特殊字符
• 拒绝包含连续相同字符超过5个
• 允许与原密码相同的字符不超过3个
• 禁止使用最近24次使用过的密码

方法一: 编辑配置文件: /etc/pam.d/system-auth-ac
注释15行, 并添加如下两行
line16:

password    requisite     pam_pwquality.so try_first_pass local_users_only enforce_for_root minlen=15 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 maxrepeat=5 retry=3 difok=3 

或

password    requisite     pam_pwquality.so try_first_pass local_users_only enforce_for_root minlen=15 minclass=4 maxrepeat=5 retry=3 difok=3 

line17:

password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=24

方法二: 编辑配置文件 /etc/security/pwquality.conf
修改下面参数

• retry=3: 定义登录 / 修改密码失败时，可以重试的次数
• minlen=8: 密码最小长度为 8 个字符
• lcredit=-1: 密码应包含的小写字母的至少1个
• ucredit=-1: 密码应包含的大写字母至少1个
• dcredit=-1: 将密码包含的数字至少为1个
• ocredit=-1: 设置其他符号的最小数量，例如 @，＃、! $％等，至少要有1个
• minclass=3: 所需字符类最小数量(大写, 小写, 数字, 其他)
• enforce_for_root: 即使是 root 用户设置密码，也应强制执行复杂性策略检查
• maxrepeat=5: 拒绝包含超过相同连续字符个数
• difok=3 : 允许不超过与原密码相同的字符个数
• remember=24: 禁止使用最近24次使用过的密码

注意关于上述参数的负数解释, 详见引用

引用: pam_pwquality(8) - Linux man page

pam_pwquality.so相关错误日志: /var/log/secure

1.2 密码有效期

修改配置文件: /etc/login.defs
注意: 该配置文件对所有用户生效, 若只想针对某个用户生效, 使用命令 chage

一般设置如下:
PASS_MAX_DAYS 90 对应命令为: chage --maxdays 90 root
PASS_MIN_LEN 12
PASS_MIN_DAYS 7 对应命令为: chage --mindays 7 root
PASS_WARN_AGE 30 对应命令为: chage --warndays 7 root
UMASK 077

推荐修改/etc/login.defs后, 再使用chage执行相应的命令

引用: pam_passwdqc(8) - Linux man page

1.3 空密码账户

查找空密码账户: awk -F: '($2 == "") {print $1}' /etc/shadow
锁定该账户: passwd -l 用户名

1.4 UID 为0的账户

查找 UID为0的账户: awk -F: '$3 == 0' /etc/passwd

Linux 系统中 UID为0的账户为root, 如果发现UID为0而不是root账户, 应该立即删除此账户或者修改该账户的UID不为0

删除用户: userdel 用户名

二、 SSH 服务相关策略

编辑配置文件: /etc/ssh/sshd_config

ClientAliveInterval = 600     服务器向客户端发送请求以确认客户端是否仍然活跃的时间间隔(单位:秒)
ClientAliveCountMax = 2       服务器终止连接之前，允许服务器向客户端发送请求的次数
PermitEmptyPasswords = no     是否允许空密码登录
MaxAuthTries = 4              允许最大登陆失败尝试次数
LogLevel INFO                 日志等级: 信息

三、 安全审计

3.1 开启日志审计

systemctl enable rsyslog --now
systemctl enable auditd --now

四、 权限相关

4.1 敏感文件及目录

chown root:root /etc/hosts.allow 
chown root:root /etc/hosts.deny 
chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow 

chmod 644 /etc/hosts.deny 
chmod 644 /etc/hosts.allow
chmod 0644 /etc/group 
chmod 0644 /etc/passwd 
chmod 0400 /etc/shadow 
chmod 0400 /etc/gshadow

4.2 系统账户三权分立

普通用户: ordinary

useradd ordinary
passwd ordinary
chmod 750 /home/ordinary

审计用户: auditors

useradd auditors
passwd auditors
chmod 750 /home/auditors

安全用户: security

useradd security
passwd security
chmod 750 /home/security

注意: 三个用户的密码应符合1.1和1.2这两条策略

五、 入侵防范

5.1 开启地址空间布局随机化

编辑配置文件
/etc/sysctl.conf
添加参数: kernel.randomize_va_space = 2
使其生效: sysctl -p

一、 离线安装

1.1 下载安装包

Github Release

1.2 解压

tar -xzvf harbor-offline-installer-v2.7.3.tgz -C /usr/local

1.3 加载镜像

docker load -i /usr/local/harbor/harbor.v2.7.3.tar.gz

1.4 创建相关数据日志目录

mkdir /data/harbor /var/log/harbor -p

1.5 创建配置文件

cp /usr/local/harbor/harbor.yml.tmpl /usr/local/harbor/harbor.yml

vim /usr/local/harbor/harbor.yml

修改相应的主机,端口号, 密码等.

1.6 安装

./prepare
./install

二、 注意事项

harbor自带registry, 安装之前请卸载原来官方的registry(如果你有的话)

零、 ENV

• OS: CentOS 7.9
• HW: 4c4g
• platform: KVM
• version: GitLab Community Edition 12.10.6
• ip: 192.168.128.100

一、 官方源安装

1.1 安装 CE 版本yum源

https://packages.gitlab.com/gitlab/gitlab-ce
curl -s https://packages.gitlab.com/install/repositories/gitlab/gitlab-ce/script.rpm.sh | sudo bash

1.2 安装

yum repo-pkgs gitlab_gitlab-ce list --showduplicates
yum install gitlab-ce-12.10.6

二、 启动

2.1 编辑gitlab配置文件

vim /etc/gitlab/gitlab.rb

• line29: http://192.168.128.100

2.2 配置生效

gitlab-ctl reconfigure

2.3 启动 gitlab

gitlab start

三、 GitLab升级

由于GitLab有严格的版本控制, 无法随意升级.

官方给出的升级办法.

3.1 升级路线查询

https://gitlab-com.gitlab.io/support/toolbox/upgrade-path/

升级

1. 可以直接 yum install + 包名称-版本号
2. 也可以直接下载 rpm 包然后通过 rpm -uvh + xxx.rpm

看到如下标志表示安装/升级成功.

零、 说明

• 三种部署方式
  • rpm 包部署 (简单, 不写)
  • 二进制部署
  • docker 构建

一、 二进制安装

1.1 下载

下载连接

1.2 解压并复制到指定目录

tar -zxvf grafana-enterprise-10.1.2.linux-amd64.tar.gz
cp -rf grafana-10.1.2/ /usr/local/grafana

1.3 创建用户/组

groupadd grafana
useradd -g grafana grafana

1.4 创建相关目录

mkdir -p /etc/grafana
mkdir -p /etc/grafana/provisioning
mkdir -p /var/log/grafana
mkdir -p /var/lib/grafana
mkdir -p /var/lib/grafana/plugins

1.5 修改目录权限

chown -R grafana:grafana /usr/local/grafana/
chown -R grafana:grafana /etc/grafana/
chown -R grafana:grafana /var/lib/grafana/
chown -R grafana:grafana /var/log/grafana/

1.6 复制 grafana 配置文件

cp /usr/local/grafana/conf/sample.ini /etc/grafana/grafana.ini

1.7 环境配置文件

vim /etc/sysconfig/grafana-server

GRAFANA_USER=grafana
GRAFANA_GROUP=grafana
GRAFANA_HOME=/usr/local/grafana
LOG_DIR=/var/log/grafana
DATA_DIR=/var/lib/grafana
MAX_OPEN_FILES=10000
CONF_DIR=/etc/grafana
CONF_FILE=/etc/grafana/grafana.ini
RESTART_ON_UPGRADE=true
PLUGINS_DIR=/var/lib/grafana/plugins
PROVISIONING_CFG_DIR=/etc/grafana/provisioning
# Only used on systemd systems
PID_FILE_DIR=/var/run/grafana

1.8 systemd 管理脚本

vim /usr/lib/systemd/system/grafana-server.service

# /usr/lib/systemd/system/grafana-server.service
[Unit]
Description=Grafana instance
Documentation=http://docs.grafana.org
Wants=network-online.target
After=network-online.target
After=postgresql.service mariadb.service mysqld.service influxdb.service

[Service]
EnvironmentFile=/etc/sysconfig/grafana-server
User=grafana
Group=grafana
Type=notify
Restart=on-failure
WorkingDirectory=/usr/local/grafana
RuntimeDirectory=grafana
RuntimeDirectoryMode=0750
ExecStart=/usr/local/grafana/bin/grafana server                                     \
                            --config=${CONF_FILE}                                   \
                            --pidfile=${PID_FILE_DIR}/grafana-server.pid            \
                            --packaging=rpm                                         \
                            cfg:default.paths.logs=${LOG_DIR}                       \
                            cfg:default.paths.data=${DATA_DIR}                      \
                            cfg:default.paths.plugins=${PLUGINS_DIR}                \
                            cfg:default.paths.provisioning=${PROVISIONING_CFG_DIR}

LimitNOFILE=10000
TimeoutStopSec=20
CapabilityBoundingSet=
DeviceAllow=
LockPersonality=true
MemoryDenyWriteExecute=false
NoNewPrivileges=true
PrivateDevices=true
PrivateTmp=true
ProtectClock=true
ProtectControlGroups=true
ProtectHome=true
ProtectHostname=true
ProtectKernelLogs=true
ProtectKernelModules=true
ProtectKernelTunables=true
ProtectProc=invisible
ProtectSystem=full
RemoveIPC=true
RestrictAddressFamilies=AF_INET AF_INET6 AF_UNIX
RestrictNamespaces=true
RestrictRealtime=true
RestrictSUIDSGID=true
SystemCallArchitectures=native
UMask=0027

[Install]
WantedBy=multi-user.target

1.9 启动

systemctl daemon-reload
systemctl enable grafana-server --now

1.10 注意

如果启动报错, 注意配置文件还有相关目录的权限

二、 docker 构建

2.1 拉取镜像

docker pull grafana/grafana-enterprise

2.2 docker-compose

vim grafana.yaml

version: "3"
services:
  grafana:
    image: grafana/grafana-enterprise
    container_name: grafana
    restart: unless-stopped
    user: "0"
    ports:
      - "3000:3000"
    volumes:
      - /var/lib/grafana:/var/lib/grafana

2.3 启动

docker-compose -f grafana.yaml up -d

零、 说明

• 两种部署方式
  • 二进制包部署+systemd管理
  • docker 部署

一、 二进制方式部署

1.1 下载

下载连接

1.2 解压

tar -xzvf prometheus-2.47.0.linux-amd64.tar.gz
cp -r prometheus-2.47.0.linux-amd64 /usr/local/prometheus

1.3 运行测试

cd /usr/local/prometheus
./prometheus --config.file=./prometheus.yml

默认数据目录: ./data

1.4 访问测试

curl http://192.168.128.203:9090/metrics

有数据返回一般就没什么问题了.

1.5 使用 systemd 管理

# /usr/local/prometheus-2.47/prometheus.service
[Unit]
Description=Prometheus Server
Documentation=https://prometheus.io/docs/introduction/overview/
After=network-online.target

[Service]
Type=simple
User=root
Restart=on-failure
ExecReload=/bin/kill -HUP $MAINPID
ExecStart=/usr/local/prometheus-2.47/prometheus \
  --config.file=/usr/local/prometheus-2.47/prometheus.yml \
  --storage.tsdb.path /usr/local/prometheus-2.47/data \
  --storage.tsdb.retention=15d

[Install]
WantedBy=multi-user.target

systemctl daemon-reload
systemctl enable prometheus --now

二、 使用 docker 构建

2.1 基于centos7.9镜像构建

docker build --network=host -t prometheus-2.47.0 .

• -network=host可以有效避免yum install的报错
• -t prometheus-2.47.0 指定构建后的镜像名称

Dockerfile: vim Dockerfile

FROM centos:centos7

# Define Prometheus home and its version
ARG PROMETHEUS_HOME=/opt/prometheus
ARG PROMETHEUS_VERSION=2.47.0

# Define TAR & folder names, as well as download URL for easier use
ARG PROMETHEUS_TAR_MAYOR=prometheus-${PROMETHEUS_VERSION}.linux-amd64
ARG PROMETHEUS_TAR_FULLNAME=${PROMETHEUS_TAR_MAYOR}.tar.gz
ARG PROMETHEUS_URL=https://github.com/prometheus/prometheus/releases/download/v${PROMETHEUS_VERSION}/${PROMETHEUS_TAR_FULLNAME}

# Install wget; download Prometheus
RUN yum install -y wget && \
    wget ${PROMETHEUS_URL}

# Untar the file and rename it to "prometheus"
RUN tar xvfz ${PROMETHEUS_TAR_FULLNAME} -C /opt && \
    mv /opt/${PROMETHEUS_TAR_MAYOR} /opt/prometheus && \
    rm -rf /opt/prometheus/prometheus.yml

RUN groupadd -r prometheus && \
    useradd -g prometheus -s /bin/bash -c "Prometheus user" prometheus && \
    chown -R prometheus:prometheus /opt/prometheus

COPY config/prometheus.yml /opt/prometheus/prometheus.yml

RUN chown prometheus:prometheus /opt/prometheus/prometheus.yml && \
    chmod 755 /opt/prometheus/prometheus.yml

EXPOSE 9090
VOLUME  [ "/opt/prometheus" ]
WORKDIR ${PROMETHEUS_HOME}

USER prometheus

ENTRYPOINT [ "./prometheus" ]
CMD        [ "--config.file=prometheus.yml" ]

运行镜像测试:
docker run -p 9090:9090 prometheus-2.47.0

没有条件访问github的使用这个Dockerfile
docker build -f prometheus.yml -t prometheus-2.49-rc2 .

FROM centos:centos7.9.2009

ARG PROMETHEUS_HOME=/usr/local/prometheus

# Add file
COPY ./prometheus-2.49.0-rc.2.linux-amd64.tar.gz /opt

# tar file and rename to "prometheus"
RUN mkdir -p ${PROMETHEUS_HOME}
RUN tar -xzvf /opt/prometheus-2.49.0-rc.2.linux-amd64.tar.gz -C /usr/local/prometheus --strip-components=1

RUN groupadd -r prometheus && \
    useradd -g prometheus -s /bin/bash -c "Prometheus user" prometheus && \
    chown -R prometheus:prometheus /usr/local/prometheus

# port
EXPOSE 9090

VOLUME  [ "/usr/local/prometheus" ]

WORKDIR ${PROMETHEUS_HOME}

USER prometheus

ENTRYPOINT [ "./prometheus" ]
CMD        [ "--config.file=prometheus.yml" ]

2.2 使用 docker-compose 快速构建

vim Prometheus.yaml

version: "3"
services:
    prometheus:
        image: prometheus-2.47.0:latest
        user: "1000:1000"
        ports:
            - "9090:9090"
        container_name: prometheus
        restart: always
        volumes:
            - /usr/local/prometheus-2.47/prometheus.yml:/opt/prometheus/prometheus.yml
networks:
    default:
        driver: bridge

运行:

docker-compose -f prometheus.yaml up -d

三、 常见问题

3.1 Prometheus查询不到数据

报错详情: Error on ingesting samples that are too old or are too far into the future
报错详情: err=”out of bounds”

caller=scrape.go:1741 level=warn component="scrape manager" scrape_pool=prometheus target=http://192.168.128.203:9090/metrics msg="Error on ingesting samples that are too old or are too far into the future" num_dropped=666

caller=scrape.go:1405 level=warn component="scrape manager" scrape_pool=prometheus target=http://192.168.128.203:9090/metrics msg="Append failed" err="out of bounds"

引用

问题解决: 构建镜像或者其他原因造成的容器内时间和容器外时间不一致,且Prometheus已获取了错误时间内的相关数据.
清空容器内 /opt/prometheus/data 的数据 并重启容器.

清空容器内错误数据:
docker exec -it prometheus /bin/bash
cd /opt/prometheus/data
rm -rf 0* wal/0* wal/checkpoint.0*

重启容器:
docker-compose -f prometheus.yaml down
docker-compose -f prometheus.yaml up -d