服务器端口

下载frp https://github.com/fatedier/frp/releases 下载完成后，将软件上传到阿里云服务器 - 阿里云添加安全策略，开放frp绑定的端口 https://help.aliyun.com/document_detail/25471.html?spm=a2c4g.11186623.4.2.rnoiv9 CentOS系统中使用命令开启端口 Centos7 开启 , 关闭端口 CentOS7 默认没有使用iptables , 所以不能通过编辑 iptables 的配置文件来开启端口 , CentOS7 采用了 firewalld 防火墙 如要查询是否开启3306端口则 : 开启端口 : 重启防火墙 : 关闭端口 : Centos6.X 开启 , 关闭端口 使用 iptables 开放如下端口 : 保存 : # /etc/rc.d/init.d/iptables save 重启服务 : # /etc/rc.d/init.d/iptables restart 查看端口是否开放 : # /etc/init.d/iptables status 关闭端口 : - 配置frp 详见frp文档 - 测试 文章来源: 阿里云Centos frp透传配置

项目中使用Tomcat作为web容器，目前在同端口下已经部署了3个项目，随着其他项目的上线，需要监测一下目前tomcat的使用情况。现将其简单配置记录如下： 　　1、修改tomcat_home/bin/catalina.sh 文件，搜索 Execute The Requested Command 字样，在其上，添加 CATALINA_OPTS = " $CATALINA_OPTS -Dcom.sun.management.jmxremote -Djava.rmi.server.hostname=[服务器ip] -Dcom.sun.management.jmxremote.port=[端口] -Dcom.sun.management.jmxremote.ssl=false -Dcom.sun.management.jmxremote.authenticate=false" 　　2、此时，如果直接启动tomcat，会在启动log中提示如下信息 Password file read access must be restricted : /usr/ jdk1 . 6.0 _32 / jre / lib / management / jmxremote . password 　　这个问题是因为jmx的安全设置引起的，解决办法： 　　　　根据提示的路径信息，找到jmxremote

1、定义：防火墙是由软件和硬件组成的系统，它处于安全的网络（通常是内部局域网）和不安全的网络之间，根据由系统管理员设置的访问控制规则，对数据流进行过滤。 2、防火墙对数据流有三种处理方式：1）允许数据流通过；2）拒绝数据流通过；3）将这些数据流丢弃。当数据流被拒绝时，防火墙要向发送者回复一条消息进行提示。当数据流被丢弃时，防火墙不会对这些数据包进行任何处理，也不会向发送者发送任何提示信息。 3、防火墙的要求：1）所有进出网络的数据流都必须经过防火墙；2）只允许经过授权的数据流通过防火墙；3）防火墙自身对入侵是免疫的。 4、根据防火墙在网络协议栈中的过滤层次不同，通常把防火墙分为3种：包过滤防火墙、电路级网关防火墙和应用级网关防火墙。 5、防火墙对开放系统互联模型（OSI）中各层协议所产生的数据流进行检查。要知道防火墙是哪种类型的结构，关键是要知道防火墙工作于OSI模型中的哪一层。防火墙工作于OSI模型的层次越高，其检查数据包中的信息就越多，因此防火墙所消耗的处理器工作周期就越长，所提供的安全保护等级就越好。 6、网络地址转换 1）静态网络地址转换：在进行网络映射时，内部网络地址与外部的Internet IP地址是一一对应的关系。在这种情况下，不需要NAT盒在地址转换时记录转换信息。 2）动态网络地址转换：可用的Internet IP地址限定在一个范围

所有程序都需要编写检查错误的代码 一.基础知识 客户端与服务器之间将展开一段结构化对话，叫协议。 在C语言中，如果写一个与网络通信的程序，就需要新的数据流-套接字，套接字是双向的，既可以输入也可以输出 1.使用socket()函数创建一个套接字数据流 #include <sys/socket.h> int xxxx = socket(PF_INET, SOCK_STREAM, 0); xxxx是套接字名字 套接字与客户端程序通信，服务器需要经历，绑定端口，监听，接受连接，开始通信，四个阶段 服务启动时，服务器会为每项服务分配一个端口，服务器启动时，需要告诉操作系统将要使用哪个端口，这个过程叫做端口绑定。 2.这些代码将创建一个表示"互联网xxx端口"的套接字名 #include <arpa/inet.h> struct sockeaddr_in xxxx; xxxx.sin_family = PF_INET; xxxx.sin+port = (in_port_t)htons(端口号); xxxx.sin_addr.s_addr = htonl(INADDR_ANY); int x = bind (套接字名字, (struct sockaddr * ) &xxxx, sizeof(name)); 3.设置客户端连接服务器的排队数量 listen(套接字名字, xx) xx为人数

生成密钥 默认密钥 ssh - keygen - t rsa - C zcw1994@live . com 生成自定义文件名密钥 ssh - keygen - t rsa - f ~ /.ssh/ id_rsa_github - C zcw1994@live . com 多密钥配置 添加文件~/.ssh/config，内容如下 Host test - github #网站本地别称，建议设置成网站域名，该行不要直接复制，具体见下文 Hostname github . com #网站实际地址 IdentityFile ~ /.ssh/ test - github #密钥路径 User zcw 多密钥测试 ssh - v git@test - github @符号后面的地址需要使用config文件中的 host 的值，而不是 hostname ，所以说建议设置成一样，测试连接 github.com 不行，这个大坑 sshd安全 vi /etc/ssh/sshd_config X11Forwarding no # PermitEmptyPasswords no # 禁止空密码 MaxStartups 10 # 最多保持多少个未认证的连接，防止SSH拒绝服务 PermitRootLogin no # 禁止root登录，否则很容易被用来暴力猜解 ssh端口转发 场景举例 pc net ip

1.新建用户wwweee000 [root@localhost ~]# useradd wwweee000 [root@localhost ~]# passwd wwweee000 Changing password for user wwweee000. New password: BAD PASSWORD: The password is a palindrome Retype new password: passwd: all authentication tokens updated successfully. 2. #Port 22字段删掉,将22改为其他不被使用的端口, 服务器端口最大可以开到65536.//注意Port是大写的"P" [root@localhost ~]# cat -n /etc/ssh/sshd_config|grep "Port *" 17 #Port 22 100 #GatewayPorts no [root@localhost ~]# cat /etc/ssh/sshd_config|grep -n "Port *" 17:#Port 22 100:#GatewayPorts no [root@localhost ~]# awk "/Port */" /etc/ssh/sshd_config #Port 22 #GatewayPorts no

防火墙的五元组：源 IP ，目的 IP ，源端口，目的端口，协议。 防火墙配置文件中一个策略中都有什么，有哪些元素：源地址，源端口，目的地址，目的端口，源 zone ，目的 zone ，服务，时间，状态，描述。其中 zone 、时间、状态都是唯一的其他均可多个。 源地址： 地址簿： IP 地址具体展现的几种方式： IP /掩码： 10.1 . 1.1 / 16 或者 10.1 . 1.1 255.255 . 0.0 ip 范围： 10.1 . 1.1 - 10.1 . 1.100 或 range 引用地址簿： ɽʯ eg : address FCI - 10.1 . 89.14 ip 10.1 . 89.14 / 32 exit address FCI - 10.1 . 89.15 ip 10.1 . 89.15 / 32 exit 地址组： 同上地址簿的 IP 地址：具体差别需要看手册文档 引用地址簿： 引用地址组： ɽʯ eg ： address DNS - DENY - G member 10.1 . 88.74 / 32 member DOC - 10.1 . 88.7 member FAQS - 10.1 . 88.6 member intra - 10.1 . 88.12 member RPTS - 10.1 . 88.1 member SUMMIT - 10.1 .

补充一下端口复用的知识 端口复用也是很老的后门技术，主要是劫持 web服务器相关进程/服务的内存空间、系统API甚至劫持网络驱动 去达到目的， 在winsocket的实现中，对于服务器的绑定是可以多重绑定的，在确定多重绑定使用谁的时候，根据一条原则是谁的指定最明确则将包递交给谁，而且没有权限之分。这种多重绑定便称之为端口复用。 这里总结的是基于web服务组合HTTP.sys驱动进行端口服用后门维权。 参考：https://docs.microsoft.com/zh-cn/dotnet/framework/wcf/feature-details/configuring-the-net-tcp-port-sharing-service https://docs.microsoft.com/zh-cn/dotnet/framework/wcf/feature-details/net-tcp-port-sharing 简单来说，刚引入TCP/IP协议的时候，TCP/IP 通过为每一个应用程序协议分配一个唯一的 16 位端口号，从而 使用端口号来区分应用程序 。 不同的应用共享相同的web服务器端口 。 在 HTTP.SYS 模型中，许多不同的 HTTP 应用程序的通信中将多路 复用 这为防火墙管理员提供了一个公共控制点

服务器 server2012R2涉及一些漏洞需处理 漏洞的端口有两个 ftp的21端口，和 5986端口 5986端口以及相关 Windows 远程管理 ( WinRM ) 是 WS - Management 协议的 Microsoft 实现。该协议是基于简单对象访问协议 ( SOAP ) 的、防火墙友好的标准协议，使来自不同供应商的硬件和操作系统能够互操作。 WS - Management 协议由硬件和软件制造商群体开发，作为一种公共标准，可用于与实现该协议的任何计算机设备远程交换管理数据。使用 PowerShell 对服务器远程管理，要在远程服务器上启用 WinRMwinrm2 . 0 服务对应了两个端口默认为 5985 （ HTTP 端口）或 5986 （ HTTPS 端口） 针对5986端口发现一些漏洞 ssl - cve - 2016 - 2183 - sweet32 tlsv1_0 - enabled rc4 - cve - 2013 - 2566 sslv3 - cve - 2014 - 3566 - poodle sslv3 - supported ssl - cve - 2011 - 3389 - beast 居然这么多问题就关闭它吧 Powershell 命令关闭 winrm 5986 port : winrm delete winrm / config /

博文大纲： 一、什么是MSTP？ 二、MSTP的基本原理是什么？ 1.MSTP的网络层次。 2.MST域。 3.MSTI。 4.端口角色。 5.MSTP的端口状态。 三、MSTP的保护功能。 1.BPDU保护。 2.根保护。 3.环路保护。 4.TC保护。 四、MSTP的配置过程。 一、什么是MSTP？ MSTP是一个共有的生成树协议，在实际生产环境中得到广泛的应用。 MSTP（Multiple Spanning tree Algorithm and protocol）是多生成树技术，允许在一个交换环境中运行多个生成树，每个生成树称为一个实例（instance）。实例时间的生成树彼此独立，如一个实例下的阻塞接口在另一个实例上可能是一个转发端口。和Cisco私有的PVST技术不同，MSTP允许多个vlan运行一个生成树实例，相比较Cisco的PVST技术，这是一个优势，因为在Cisco交换机中，运行PVST技术，是一个实例一棵树，实例越多，生成树越多，交换机维护这些生成树，也是需要消耗硬件资源及网络开销的。大部分情况下，运行多个生成树实例的好处就在于链路的负载分担，但是当只有一条冗余链路时，运行两个生成树实例完全可以实现负载均衡，同时又能节约系统开销，如下图所示： 上图的网络环境中存在两个生成树实例，不同实例的根网桥在不同的物理交换机上，不但可以实现负载分担