- 博客(78)
- 收藏
- 关注
RSS订阅原创 运维安全08,日志检测和 tcpdump (抓包) 的介绍以及使用
大家都知道,网络上的流量、数据包,非常的多,因此要想抓到我们所需要的数据包,就需要我们定义一个精准的过滤器,把这些目标数据包,从巨大的数据包网络中抓取出来。所以学习抓包工具,其实就是学习如何定义过滤器的过程。而在 tcpdump 的世界里,过滤器的实现,都是通过一个又一个的参数组合起来,一个参数不够精准,那就再加一个,直到我们能过滤掉无用的数据包,只留下我们感兴趣的数据包。
2025-09-22 15:27:25
1492
原创 运维安全07 ,JumpServer(堡垒机)介绍以及使用
架构描述外部网络:用户从外部网络发起连接请求。防火墙:限制访问,仅允许特定端口或IP地址通过。跳板机:位于内部网络边缘的一个安全节点,作为进入内部网络的单一接入点。目标服务器:位于内部网络中的各种服务和应用服务器。连接流程用户首先通过SSH或其他协议登录到跳板机。登录成功后,再从跳板机内部发起对目标服务器的连接请求。通常情况下,不允许直接从外部网络访问内部服务器,所有访问必须经过跳板机。==模拟本地的跳板机==
2025-09-21 12:01:25
1081
原创 运维安全06,服务安全
随着云计算的广泛应用,数据在共享和传输过程中的安全性面临严峻挑战。加密技术作为保障信息安全的核心手段,在云计算环境中发挥着至关重要的作用。
2025-09-18 16:48:02
1121
原创 运维安全05,iptables规则保存与恢复
端口伪装攻击:在上述的基础上,黑客进一步将源端口设为80(HTTP服务的默认端口)或其它常见的、被允许通过防火墙的服务端口。ftp服务器20端口号连接客户端特定端口号的第一次握手信息(SYN)将被连接跟踪模块视为相关性的 (RELATED),客户端的返回的(SYN,ACK)就是已连接(ESTABLISHED)的。客户端主动发起连接到ftp服务器的第一次握手信息(SYN)将被连接跟踪模块视为相关性的 (RELATED),ftp服务器的返回(SYN,ACK)则为已连接的(ESTABLISHED)
2025-09-16 17:12:10
926
原创 linux中Docker Swarm实践
这会在本地启动一个私有的 Docker Registry,并监听 5000 端口。上将 my-java 并推送镜像到 Docker Registry。来访问你的后端服务。请求会由 Nginx 转发到任意一个。将镜像上传到 Docker Registry。启动 Docker Registry 容器。如果后台压力过大可以多增加几个后台服务。镜像已构建并推送到可访问的镜像仓库。Nginx 做反向代理统一入口。所有副本使用相同的配置和逻辑。是你上面创建的服务名称。使用你自己的自定义镜像。这个要在主节点上创建。
2025-09-11 11:31:53
417
原创 LINUX中Docker Swarm的介绍和使用
DockerSwarm 是什么?Docker Swarm 是 Docker 的集群管理工具。其主要作用是把若干台 Docker 主机抽象为一个整体,并且通过一个入口统一管理这些 Docker 主机上的各种 Docker 资源。Docker Swarm 将一个或多个 Docker 节点组织起来,使得用户能够以集群方式管理它们。
2025-09-11 11:23:19
689
原创 安全运维04,iptables的介绍及其使用
iptables 理解为命令空间的命令行工具iptables理解为命令空间的命令行工具netfilter为内核空间的防火墙核心服务,真正的防火墙左上角iptables服务为CenstOS6及早期版本的iptables守护进程,右上角firewalld是CentOS7及更高版本的itables守护进程,但两者都需要itables命令与netfilter进行通讯netfilter:内核空间的防火墙核心服务位置:运行在 Linux 内核空间(Kernel Space)。
2025-09-09 09:44:25
633
原创 运维安全03,防火墙、包过滤介绍及其作用
防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网 之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。防火墙既可以是一个具体的硬件防火墙,可以是一套软件,即软件防火墙。在网络安全中起着非常重要 的作用。
2025-09-09 09:32:46
922
原创 运维安全02,PAM介绍及其使用
PAM(Pluggable Authentication Modules)即可插拔式认证模块。它是一种高效且灵活的用户级别的认证方式,广泛应用于当前Linux服务器中作为主要的认证机制。PAM允许系统管理员通过配置不同的认证模块来实现对用户的网段、时间、用户名、密码等多方面的认证。PAM被称为“可插拔”主要是因为它提供了一种灵活、动态的方式来处理认证请求,而不需要修改应用程序本身。
2025-09-08 09:18:03
1119
1
原创 安全运维和系统安全
我们谈论云计算安全时,很多人会第一时间想到网络隔离、API 安全、身份认证、数据加密等上层的安全机制。然而,很少有人意识到:任何云环境,无论它是虚拟机、容器还是无服务器架构,最终都运行在操作系统之上。而操作系统的安全性,尤其是 Linux 系统的安全机制,构成了整个云平台安全体系的底层基石。换句话说,没有牢固的系统安全基础,云计算安全就像空中楼阁,缺乏真正的保障。因此,要真正理解和构建一个完整的云计算安全体系,我们不能忽视对操作系统层面安全机制的学习和掌握。项目推荐做法配置方式永远使用。
2025-09-06 09:34:58
1122
1
原创 Docker中的Compose, 私库 registry,使用私库 Harbor
思考: 现有 docker 进行项目部署存在的问题?对于现代应用来说,大多都是通过很多的微服务互相协同组成的一个完整应用。例如,订单管理、用户管理、品类管理、缓存服务、数据库服务等,它们构成了一个电商平台的应用。而部署和管理大量的服务容器是一件非常繁琐的事情。而 Docker Compose 就是解决这类问题的。docker 容器提供了一种封装格式,可以将应用和其运行环境封装在一起,但是在线上实践过程中,应用和应用之间难免要产生依赖,一个上游的应用,可能会依赖于下游的一个或者几个应用给其提供数据。
2025-07-17 11:19:05
1022
原创 Docker,镜像构建原因
在 CentOS 7 容器中安装httpd,并提交为新镜像启动容器并进入交互式 shell这会创建一个名为的容器,并进入它的 bash 环境。在容器内安装 httpd配置启动服务注意:容器中通常不推荐使用systemctl来启动服务。PID 1 问题:Docker 容器的设计初衷是运行单个进程。当你尝试在容器内运行 Systemd 或其他初始化系统作为 PID 1(即主进程),可能会遇到一些问题,包括无法正确处理信号和僵尸进程的管理。
2025-07-17 10:49:25
817
原创 Kubernetes
摘取官网:概述 | KubernetesKubernetes 这个名字源于希腊语,意为舵手或飞行员。k8s 这个缩写是因为 k 和 s 之间有八个字符的关系。Google 在 2014 年开源了 Kubernetes 项目。Kubernetes 建立在Google 大规模运行生产工作负载十几年经验的基础上, 结合了社区中最优秀的想法和实践。Kubernetes 是一个可移植、可扩展的开源平台,用于管理容器化的工作负载和服务,可促进声明式配置和自动化。
2025-07-17 10:21:00
864
原创 Docker容器命令,本质,端口映射,网络模式,网络驱动程序,自定义网络
docker network create 命令用于在 Docker 中创建一个新的网络。这个命令允许指定网络的名称、驱动程序以及其他选项,以满足不同的网络需求。OPTIONS:这是可选参数,可以用来指定网络的属性,如网络驱动程序、子网、网关等。NETWORK:这是要创建的网络的名称,可以根据实际需求进行命名。创建一个默认的 bridge 网络这将创建一个名为 my-custom-network 的自定义 bridge 网络,具有指定的子网、网关、IP 地址范围和辅助地址。
2025-07-09 11:52:21
661
原创 微服务介绍,服务器选型,Docker
大概在20多年前,随着互联网的出现,功能单元可以用远程"服务"的形式提供,就诞生出了"面向服务架构"(service-oriented architecture,简称 SOA)。这样就不需要多台服务器了,最简单的情况下,本机运行多个容器,只用一台服务器就实现了面向服务架构,这在以前是做不到的。而且,它可以标准化,同样的容器不管在哪里运行,结果都是一样的,所以市场上有很多 SaaS 产品,提供标准化的微服务。总之,单体架构的大型软件,不仅开发速度慢,而且会形成难以维护和升级的复杂代码,成为程序员的沉重负担。
2025-07-09 11:07:46
745
原创 Docker文件操作、数据卷、挂载
操作命令说明创建数据卷创建一个名为 myvol 的数据卷列出数据卷查看所有已存在的数据卷查看数据卷详情查看数据卷的元数据及宿主机路径删除数据卷删除指定数据卷(需先删除使用它的容器)挂载数据卷到容器在运行容器时挂载数据卷多个数据卷挂载支持同时挂载多个数据卷创建一个名为app_logs的数据卷,并挂载到容器的/app/logs路径下。向数据卷中写入日志文件,然后删除容器再重建,验证日志是否还在。尝试使用两个不同的容器挂载同一个数据卷,实现数据共享。
2025-07-05 16:55:41
919
原创 Shell编程中的Ansible常用模块
copy:默认为yes,当copy=yes,拷贝的文件是从ansible主机复制到远程主机上,如果设置为copy=no,会在远程主机上寻找src源文件。remote_src:和copy功能一样且互斥,yes表示在远程主机,不在ansible主机,no表示文件在ansible主机上。src:源路径,可以是ansible主机上的路径,也可以是远程主机上的路径,如果是远程主机上的路径,则需要设置copy=no。解决办法:写到脚本时,copy到远程,执行,再把需要的结果拉回执行命令的机器。
2025-06-21 09:14:18
695
原创 ANSIBLE运维自动化管理端部署
ansible是一种由Python开发的自动化运维工具,集合了众多运维工具(puppet、cfengine、chef、func、fabric)的优点,实现了批量系统配置、批量程序部署、批量运行命令等功能。ansible是基于模块工作的,本身没有批量部署的能力。真正具有批量部署的是ansible所运行的模块,ansible只是提供一种框架。主要包括:连接插件connection plugins:负责和被监控端实现通信;ansible管理端和客户端基于ssh协议通信。
2025-06-19 11:38:32
1015
原创 SHELL编程中的awk实践和进阶知识
root@localhost ~]# awk 'BEGIN{printf "---------------------------\n|%-3s|%2s|%2s|%2s|%2s|\n---------------------------\n","姓名","语文","数学","历史","总分";然而,大量的数据输出中,只有一小部分是我们需要重点关注的,我们需要把我们需要的或者关注的这些信息过滤或者提取以备后续需要时调用。早先的学习中,我们学过使用。所谓的逻辑运算,其实指的就是 与或非的操作。
2025-06-18 11:35:26
732
原创 SHELL编程基础实践语法和进阶实践
脚本虽然功能很多,但是它最常用的功能还是处理文本文件,尤其是在正常的业务操作流程场景中,比如检查日志文件、读取配置、处理数据等现象,虽然我们能够使用。命令处理该空间中的内容,默认在当前终端界面打印内容,然后清空模式空间内容,再来读取第二行内容,依次循环下去。我们之前的所有操作基本上都是基于行的操作,其实本质上还有另外一些操作 -- 基于内容的操作。、|等符号实现文件内容的操作,但是整个过程有些繁琐。作用:用来自动编辑一个或多个文件,简化对文件的反复操作,编写转换程序等。实践4-首行指定列号替换匹配内容。
2025-06-16 16:04:23
907
原创 SHELL编程正则表达式和进阶知识
简介当系统配置完毕后,我们可以采用fdisk命令对额外的磁盘进行磁盘分区。而expect可以实现这个效果。手工演示脚本实践案例需求借助于expect实现在特定的主机上批量创建用户脚本实践。
2025-06-13 16:48:57
954
原创 SHELL编程循环控制和函数基础
在shell脚本的编写过程中,我们经常会遇到一些功能代码场景:多条命令组合在一起,实现一个特定的功能场景逻辑、一些命令在脚本内部的多个位置频繁出现。在函数作用范围中,我们可以通过大量的变量来实现特定数据的临时存储,不仅仅可以实现脚本层面的变量可视化,还可以借助于变量本身的全局和本地的特点实现更加强大的功能场景。传参函数定义和调用的实践,实现了函数层面的灵活性,但是它受到函数调用本身的参数限制。默认情况下,脚本中的普通变量就是全局变量,作用范围是shell脚本的所有地方,在函数内部也可以正常使用。
2025-06-13 09:39:05
1018
原创 MySQL xtrabackup备份
MySQL冷备、mysqldump、MySQL热拷贝都无法实现对数据库进行==增量备份==。在实际生产环境中增量备份是非常实用的,如果数据大于50G或100G,存储空间足够的情况下,可以每天进行完整备份,如果每天产生的数据量较大,需要定制数据备份策略。例如每周实用完整备份,周一到周六实用增量备份。而Percona-Xtrabackup就是为了实现增量备份而出现的一款主流备份工具,Xtrabackup有2个工具,分别是xtrabakup、innobakupe。
2025-06-09 16:51:16
787
原创 Linux中MySQL的逻辑备份与恢复
数据库是一堆物理文件的集合,主要包括:数据文件 /var/lib/mysql配置文件 => /etc/my.cnf日志文件(主要是二进制日志文件)
2025-06-07 17:05:56
941
原创 Linux中shell介绍
2 | $n | 获取当前执行的shell脚本的第n个参数值,n=1..9,当n为0时表示脚本的文件名,如果n大于9就要用大括号括起来${10} || 1 | $0 | 获取当前执行的shell脚本文件名 |这里的变量分类的特点仅仅是从字面上来理解的,因为在实际的操作的时候,还会涉及到环境优先级的问题。| 4 | $?${file:0-6:3} 从倒数第6个字符开始,截取之后的3个字符。
2025-06-05 17:42:15
887
原创 Linux磁盘管理 - RAID
独立磁盘冗余阵列(RAID)是一种存储技术,通过将两个或多个硬盘驱动器(HDD)或固态硬盘(SSD)合并成一个协调的存储单元或阵列,从而创建数据丢失的故障安全机制。RAID存储通过将数据重复或重新创建,并将其存储在附加的驱动器上来防止磁盘驱动器数据的完全丢失,这个过程也被称为数据冗余。提供数据丢失保护的配置被称为“容错”配置,这意味着即使磁盘驱动器发生故障,阵列仍然可以成功运行并提供可恢复的数据。
2025-06-04 11:28:23
715
原创 Linux中逻辑卷的配置
逻辑卷是使用逻辑卷组管理(Logic Volume Manager)创建出来的设备。物理卷(Physical Volume, PV):物理磁盘分区 ==fdisk==。卷组(Volume Group, VG):PV的集合,是物理存储资源的池。逻辑卷(Logic Volume, LV):从VG中划分出来的一块逻辑磁盘空间。物理区域(Physical Extent, PE):每个物理卷被划分为大小相同的基本单元,默认4MB,是LVM可寻址的最小单位。逻辑区域(Logical Extent, LE)
2025-06-04 11:11:44
667
原创 Linux中磁盘分区与挂载
在创建完分区后,需要对分区进行格式化,也就是创建文件系统。文件系统决定了操作系统如何在分区上组织和管理文件数据。Linux常见文件系统类型文件系统特点适用场景ext2不支持日志功能,适合小分区或闪存设备U盘、SD卡等ext3支持日志功能,可从ext2升级而来通用存储ext4ext3的改进版,支持更大文件和分区,性能更好现代Linux系统主要选择xfs高性能日志文件系统,支持大容量存储RHEL7/CentOS7默认文件系统btrfs新型写时复制文件系统,支持快照、校验和等。
2025-06-04 10:59:55
952
原创 Linux中Nginx的反向代理限速操作以及URL、nginx调优
虚拟主机就是把一台物理服务器划分成多个“虚拟”的服务器,每一个虚拟主机都可以有独立的域名和独立的目录,可以独立发布一个网站。同时发布两个网站:代理在网络中使用是比较常见的,比如我们说的最多的就是翻墙软件,比如ss、蓝灯等这些大家常用的软件,他们就是能改代理大家访问国内无法访问的一些国外网站,比如facebook、YouTube等网站。其原理也比较简单:1、用户将请求发给代理服务器2、代理服务器代用户去访问数据3、代理服务器将数据给用户正常没有代理情况上网。
2025-06-03 10:11:16
686
原创 LINUX中TOMCAT安装和Nginx源码安装
Web服务器是一种运行于互联网上的计算机硬件或软件,用于存储、处理和传输网页和其他网站内容。它通常运行在服务器上,绑定服务器的IP地址并监听某一个TCP端口,接收来自客户端的请求,然后向客户端发送所请求的网页或相关资源。Web服务器通常通过HTTP(超文本传输协议)或HTTPS(加密的HTTP)与客户端进行通信,并使用域名系统(DNS)来将网址转换为IP地址,以便正确定位和访问所请求的网页。
2025-05-29 11:04:47
926
原创 LINUX中DNS服务搭建
DNS(Domain Name System)域名管理系统域名:由特定的格式组成,用来表示互联网中某一台计算机或者计算机组的名称,能够使人更方便地访问互联网,而不用记住能够被机器直接读取的IP地址。==域名就是ip的别名,ip不好记忆====域名与ip的关系是否是一对一?不是的,服务器可能都具备负载均衡的策略==计算机通过IP地址进行互相访问。由于IP地址过于复杂,域名可以代替IP实现计算机的访问(高级/上层应用,底层还是IP地址)。每个域名都会通过DNS服务器解析为对应的IP地址。
2025-05-23 10:45:03
857
原创 LINUX中NSF服务命令使用
由于业务驱动,为了提高用户的访问效率,现需要将原有web服务器上的静态资源文件分离出来,单独保存到一台文件服务器上。一台应用服务器web-server部署apache,静态网页资源存放在另外一台NFS服务器上NFS(Network File System)网络文件系统,主要用于Linux系统上实现文件共享的一种协议,其客户端主要是Linux。没有用户认证机制,且数据在网络上传送的时候是明文传送,一般只能在局域网中使用支持多节点同时挂载及并发写入。
2025-05-17 10:28:45
1035
原创 linux中的ftb文件共享以及基础使用
某创业公司刚刚起步,随着业务量的增多,咨询和投诉的用户也越来越多,公司的客服部门由原来的2个增加到5个。客服部门平时需要处理大量的用户反馈,不管是邮件,还是QQ,还是电话,客服人员都会针对每一次的用户反馈做详细的记录,但是由于客观原因,客服人员没有成熟稳定的客户服务系统,所以希望运维部门能够协助搭建一个文件共享服务来管理这些文档,并且随时跟踪客户的反馈情况。FTP(File Transfer Protocol)是一种应用非常广泛并且古老的一个互联网文件传输协议。文件传输:文件上传与文件下载。
2025-05-17 09:38:55
998
原创 Linux 换源 yum安装 nginx和mysql下载
在CentOS系统中,软件管理方式通常有三种方式:rpm安装、yum安装以及编译安装。编译安装,从过程上来讲比较麻烦,包需要用户自行下载,下载的是源码包,需要进行编译操作,编译好了才能进行安装,这个过程对于刚接触Linux的人来说比较麻烦,而且还容易出错。好处在于是源码包,对于有需要自定义模块的用户来说非常方便。==难度:编译安装>rpm安装>yum安装(有网络+yum源支持)。==
2025-05-16 12:09:25
1126
原创 进程检测与控制
如果我们打开多个谷歌浏览器窗口,系统会为每个窗口生成一个子进程,每个子进程都有自己的PID,但它们的PPID(父进程ID)都是相同的,即它们的父进程是启动它们的主浏览器进程。父母(父进程)负责照顾和管理孩子(子进程),每个孩子都有自己的名字(PID),但他们的父母的名字(PPID)是相同的。每个进程都有一个父进程,除非它是系统启动时创建的第一个进程(通常是init进程)。:在公司中,经理是父进程,员工是子进程。: 显示当前系统中的进程总数、运行中的进程、睡眠中的进程、停止的进程和僵尸进程的数量。
2025-05-11 17:00:06
617
原创 任务计划管理
计划任务是指让系统在指定的时间点自动执行特定命令或脚本的功能。它的主要作用是:自动执行重复性工作,无需人工干预在系统负载较低时执行资源密集型任务确保关键维护任务按计划执行实现系统的自动化管理计划任务就像是给计算机设置的"闹钟",到了指定时间,计算机就会自动执行你安排的工作。
2025-05-11 09:42:16
1001
原创 linux防火墙
防火墙是一种网络安全设备,它能够:监控和过滤进出网络的流量阻止不安全的连接保护计算机和网络免受未授权访问创建一个安全边界简单来说,防火墙就像是电脑的"安全门卫",决定谁能进、谁能出。Nginx(发音为"engine-x")是一个高性能的开源Web服务器和反向代理服务器。轻量级:占用资源少,内存消耗低高并发:能够同时处理数万个连接高性能:处理静态文件的速度非常快可扩展性:丰富的模块系统反向代理:可以作为前端服务器分发请求。
2025-05-09 10:28:08
1010
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人