1.更新例子

通过elrepo源升级内核
官网：http://elrepo.org/tiki/tiki-index.php

本文 PDF 版本：H3C S5820二层端口聚合.pdf

0.前言

参考文档：

• S5820 产品介绍链接：http://www.h3c.com/cn/Products___Technology/Products/Switches/Park_switch/S6820/S6820/
• 以太网链路聚合配置文档：http://www.h3c.com/cn/d_201708/1019827_30005_0.htm

实验目标：实现sw1 Ten-GigabitEthernet1/0/49~52 4个万兆端口聚合，与 sw2 Ten-GigabitEthernet1/0/49~52 聚合后相连。
实验拓扑：两台H3C S5820 交换机。如下图，先不接线，把聚合配置完，才能接线。线务必后接，防止环路。

本文 PDF 版本：let’s encrypt免费ssl证书部署.pdf

0.前言

单域名证书使用 certbot 工具生成：https://certbot.eff.org/
通配符证书使用 acme.sh 脚本生成：https://github.com/Neilpang/acme.sh

1.单域名证书部署

1.1.安装依赖

1
2
3
4
5
6

# cat /etc/redhat-release  # 查看系统版本
CentOS Linux release 7.1.1503 (Core) 
# 打开 https://certbot.eff.org/  选择对应版本。这里是nginx + centos7
# yum -y install yum-utils  # 按照依赖
# yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional
# yum install python2-certbot-nginx # 安装插件

1.2.生成证书

certbot 工具生成证书：

• 域名不能是顶级，必须有前缀，比如可以是www.xsy.me，但不能是xsy.me
• 需要给域名添加解析，生成证书过程中会访问一个URL，URL链接是由工具在网站目录生成子目录，外加随机码组成，如果访问正常，那就证明这个域名是你的，可以给域名颁发证书。
• 如果服务器有nginx或其他web服务监听80端口了，可以使用下面方法一，没有web服务，就用了方法二。

方法一： 配置 nginx 插件，并生成证书。这两参数知道配置路径及nginx命令路径

1

# certbot --nginx-server-root /usr/local/nginx/conf --nginx-ctl /usr/local/nginx/sbin/nginx

方法二：指定域名网站目录，生成证书

1

# certbot certonly --webroot -w /data/www/chopper/frontend/public

方法三：服务器没有跑web服务，也是可以生成的。这种方法工具会启动自带的web服务，如果80被占用了，命令会失败

1

# certbot certonly --standalone

不管哪个方法，刚开始的时候，都会要填一个邮箱接收通知，以及同意协议。

远程拷贝数据的时候，我们一般使用rsync命令，但是如果拷贝大量的小文件，会导致rsync的传输速度慢。使用tar pv lz4打包压缩传输，可以解决这问题，使用这个方法，等同于使用scp、rsync传输大文件。

实测，使用rsync传输1200G，单个文件大小为几十KB~2GB,千兆网卡，需要同时跑6个rsync才能把带宽跑满，每个速度20MB左右，速度波动大。每分钟可以拷贝4.5GB左右。
但是，使用tar pv lz4，跑一个就可以了，而且速度波动小。每分钟可以拷贝6.8GB左右。

0.前言

在这里，少延给大家分享一些，学习 python 过程中，使用到的实用小技巧，希望对有需要的朋友有所帮助。

1.创建指定python版本的虚拟环境

这里系统环境是Ubuntu。

• 先更新 pip

  1 2 3 4 5 6 7 8

  root@xsy:~# pip install --upgrade pip Collecting pip Downloading pip-9.0.1-py2.py3-none-any.whl (1.3MB) 100% |████████████████████████████████| 1.3MB 4.7kB/s Installing collected packages: pip Found existing installation: pip 8.1.2 Not uninstalling pip at /usr/lib/python2.7/dist-packages, outside environment /usr Successfully installed pip-9.0.1

基本上是每次开机就要更新 SVN 仓库，所以偷个懒，进入系统时自动更新一下。

编写更新脚本：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

yan@chmod:~$ cat .svn_up.sh 
#!/bin/bash

# update coding
cd ~/1-svn/coding
echo '############### starting update coding... ####################' >>~/svn_update.log
svn up >>~/svn_update.log
echo -e `date "+%Y-%m-%d %H:%M:%S"` ' 更新 coding 完成\n' >> ~/svn_update.log

# update doc
cd ~/1-svn/doc
echo '------------------ starting update doc... ---------------------'>>~/svn_update.log
svn up >>~/svn_update.log
echo -e `date "+%Y-%m-%d %H:%M:%S"` ' 更新 doc 完成\n' >> ~/svn_update.log
cd ~

开机登录用户时调用脚本

1

yan@chmod:~$ echo '/bin/bash /home/yan/.svn_up.sh' >> .profile

本文 PDF 版本：Redis未授权访问漏洞.pdf

0.漏洞描述

Redis 默认情况下，是不设置认证密码，监听0.0.0.0:6379。用户可以在任意客户端访问 Redis，通过对 Redis 的操作，可以修改系统重要文件。

4.x.x版本看到已经把默认监听改成127.0.0.1:6379

1.漏洞形成的原因

• Redis 无密码或者使用了弱密码
• Redis监听在0.0.0.0:6379
• Redis 服务使用 root 账户运行

2.漏洞危害及常见的攻击方法

• Redis 数据库中的数据泄露或被恶意删除
• 修改服务器的重要文件，控制 Redis 服务器
  • 上传公钥到 /root/.ssh/authotrized_keys 文件，实现免密码登录服务器
  • 修改定时任务cron，实现反弹 shell
• 配合 SSRF 进行自动化的蠕虫攻击

0.前言

把系统更换成kubuntu 17.04后，安装了一系列软件。在这里简单记录一下。有需要的可以参考。

安装的软件如下：

• filezilla ：FTP 客户端工具
• 安装 Git：代码版本管理工具
• 安装 SVN ：代码版本管理
• 搜狗拼音输入法
• wps office ：办公软件
• 为知笔记：笔记管理软件
• pycharm：Python IDE 开发工具
• VMware workstation ：虚拟机
• virtualbox ：虚拟机
• calibre ：电子书管理软件，可以支持十多种电子书格式
• sublime ：文本编辑器
• Gnome Connection Manager 代替 Xshell ：管理 ssh 连接的工具
• 虚拟机上安装 win7 系统：安装 亿图、office 、qq、PHPCodeLock、百度云、迅雷、火车头、svn、京东阅读、sitemapx、Beyond Compare 3等软件工具
• teamviewer 远程控制

知识点回顾整理之——如何使用 VMware workstation 新建虚拟机，详情请看文档！

VMware workstations pro 12 新建虚拟机.pdf

这里使用源码编译安装的方式部署lnmp换，各个服务版本是：

• centos6.8
• nginx-1.10.2
• php-5.5.37
• mysql-5.5.53

源码包下载链接都在文档里面。除了编译安装配置 lnmp 服务，还包含简单安全设置，如去除 MySQL 安装隐患，配置 iptables 防火墙。详情请看文档。

lnmp部署文档.pdf

缺少的工具：cmake-2.8.10.2.tar.gz 密码：c1ej