部署audit监控文件、加固常见服务的安全、使用diff和patch工具打补丁

部署audit监控文件、加固常见服务的安全、使用diff和patch工具打补丁

要求熟悉audit审计工具的基本使用,完成以下任务操作:

使用audit监控/etc/ssh/sshd_config

当该文件发生任何变化即记录日志

通过手动和ausearch工具查看日志内容

审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件(正常或非正常行为的事件),审计不会为系统提供额外的安全保护,但她会发现并记录违反安全策略的人及其对应的行为。

审计能够记录的日志内容:

a) 日期与事件以及事件的结果

b) 触发事件的用户

c) 所有认证机制的使用都可以被记录,如ssh等

d) 对关键数据文件的修改行为等都可以被记录

实现此案例需要按照如下步骤进行。

步骤一:配置audit审计系统

1)安装软件包,查看配置文件(确定审计日志的位置)

1 [[email protected] ~]# yum -y  install  audit                //安装软件包
2 [[email protected] ~]# cat /etc/audit/auditd.conf            //查看配置文件,确定日志位置
3 log_file = /var/log/audit/audit.log                //日志文件路径
4 [[email protected] ~]# systemctl start auditd                //启动服务
5 [[email protected] ~]# systemctl enable auditd            //设置开机自启

2)配置审计规则

可以使用auditctl命令控制审计系统并设置规则决定哪些行为会被记录日志。

语法格式如下:

1 [[email protected] ~]# auditctl  -s                        //查询状态
2 [[email protected] ~]# auditctl  -l                        //查看规则
3 [[email protected] ~]# auditctl  -D                        //删除所有规则

定义临时文件系统规则:

#语法格式:auditctl  -w  path  -p  permission  -k  key_name

# path为需要审计的文件或目录

# 权限可以是r,w,x,a(文件或目录的属性发生变化)

# Key_name为可选项,方便识别哪些规则生成特定的日志项

1 [[email protected] ~]# auditctl  -w  /etc/passwd  -p wa  -k  passwd_change    //设置规则所有对passwd文件的写、属性修改操作都会被记录审计日志
2 [[email protected] ~]# auditctl  -w  /etc/selinux/  -p wa  -k  selinux_change    //设置规则,监控/etc/selinux目录
3 [[email protected] ~]# auditctl  -w  /usr/sbin/fdisk  -p x  -k  disk_partition     //设置规则,监控fdisk程序
4 [[email protected] ~]# auditclt  -w  /etc/ssh/sshd_conf  -p warx  -k  sshd_config   //设置规则,监控sshd_conf文件

如果需要创建永久审计规则,则需要修改规则配置文件:

1 [[email protected] ~]# vim  /etc/audit/rules.d/audit.rules
2 -w /etc/passwd -p wa -k passwd_changes
3 -w /usr/sbin/fdisk -p x -k partition_disks

步骤二:查看并分析日志

1)手动查看日志

查看SSH的主配置文件/etc/ssh/sshd_conf,查看audit日志信息:

 1 [[email protected] ~]# tailf  /var/log/audit/audit.log
 2 type=SYSCALL msg=audit(1517557590.644:229228): arch=c000003e
 3 syscall=2 success=yes exit=3
 4 a0=7fff71721839 a1=0 a2=1fffffffffff0000 a3=7fff717204c0
 5 items=1 ppid=7654 pid=7808 auid=0 uid=0 gid=0 euid=0 suid=0
 6 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts2 ses=3 comm="cat"
 7 exe="/usr/bin/cat"
 8 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="sshd_config"
 9 .. ..
10 #内容分析
11 # type为类型
12 # msg为(time_stamp:ID),时间是date +%s(1970-1-1至今的秒数)
13 # arch=c000003e,代表x86_64(16进制)
14 # success=yes/no,事件是否成功
15 # a0-a3是程序调用时前4个参数,16进制编码了
16 # ppid父进程ID,如bash,pid进程ID,如cat命令
17 # auid是审核用户的id,su - test, 依然可以追踪su前的账户
18 # uid,gid用户与组
19 # tty:从哪个终端执行的命令
20 # comm="cat"            用户在命令行执行的指令
21 # exe="/bin/cat"        实际程序的路径
22 # key="sshd_config"    管理员定义的策略关键字key
23 # type=CWD        用来记录当前工作目录
24 # cwd="/home/username"
25 # type=PATH
26 # ouid(owner‘s user id)    对象所有者id
27 # guid(owner‘s groupid)    对象所有者id

2)通过工具搜索日志

系统提供的ausearch命令可以方便的搜索特定日志,默认该程序会搜索/var/log/audit/audit.log,ausearch options -if file_name可以指定文件名。

1 [[email protected] ~]# ausearch -k sshd_config -i     //根据key搜索日志,-i选项表示以交互式方式操作

加固常见服务的安全

2.1 问题

本案例要求优化提升常见网络服务的安全性,主要完成以下任务操作:

优化Nginx服务的安全配置

优化MySQL数据库的安全配置

优化Tomcat的安全配置

2.2 方案

Nginx安全优化包括:删除不要的模块、修改版本信息、限制并发、拒绝非法请求、防止buffer溢出。

MySQL安全优化包括:初始化安全脚本、密码安全、备份与还原、数据安全。

Tomcat安全优化包括:隐藏版本信息、降权启动、删除默认测试页面.

2.3 步骤

实现此案例需要按照如下步骤进行。

步骤一:优化Nginx服务的安全配置

1) 删除不需要的模块

Nignx是模块化设计的软件,需要什么功能与模块以及不需要哪些模块,都可以在编译安装软件时自定义,使用--with参数可以开启某些模块,使用--without可以禁用某些模块。最小化安装永远都是对的方案!

下面是禁用某些模块的案例:

1 [[email protected] ~]# tar -xf nginx-1.12.tar.gz
2 [[email protected] ~]# cd nginx-1.12
3 [[email protected] nginx-1.12]# ./configure 4 >--without-http_autoindex_module \            //禁用自动索引文件目录模块
5 >--without-http_ssi_module
6 [[email protected] nginx-1.12]# make
7 [[email protected] nginx-1.12]# make install

2) 修改版本信息,并隐藏具体的版本号

默认Nginx会显示版本信息以及具体的版本号,这些信息给攻击者带来了便利性,便于他们找到具体版本的漏洞。

如果需要屏蔽版本号信息,执行如下操作,可以隐藏版本号。

1 [[email protected] ~]# vim /usr/local/nginx/conf/nginx.conf
2 … …
3 http{
4      server_tokens off;                            //在http下面手动添加这么一行
5      … …
6 }
7 [[email protected] ~]# nginx -s reload
8 [[email protected] ~]# curl -I http://192.168.4.5          //查看服务器响应的头部信息

但服务器还是显示了使用的软件为nginx,通过如下方法可以修改该信息。

 1 [[email protected] nginx-1.12]# vim +48 src/http/ngx_http_header_filter_module.c
 2 //注意:vim这条命令必须在nginx-1.12源码包目录下执行!!!!!!
 3 //该文件修改前效果如下:
 4 static u_char ngx_http_server_string[] = "Server: nginx" CRLF;
 5 static u_char ngx_http_server_full_string[] = "Server: " NGINX_VER CRLF;
 6 static u_char ngx_http_server_build_string[] = "Server: " NGINX_VER_BUILD CRLF;
 7 //下面是我们修改后的效果:
 8 static u_char ngx_http_server_string[] = "Server: Jacob" CRLF;
 9 static u_char ngx_http_server_full_string[] = "Server: Jacob" CRLF;
10 static u_char ngx_http_server_build_string[] = "Server: Jacob" CRLF;
11 //修改完成后,再去编译安装Nignx,版本信息将不再显示为Nginx,而是Jacob
12 [[email protected] nginx-1.12]# ./configure
13 [[email protected] nginx-1.12]# make && make install
14 [[email protected] nginx-1.12]# killall nginx
15 [[email protected] nginx-1.12]# /usr/local/nginx/sbin/nginx            //启动服务
16 [[email protected] nginx-1.12]# curl -I http://192.168.4.5            //查看版本信息验证

3) 限制并发量

DDOS攻击者会发送大量的并发连接,占用服务器资源(包括连接数、带宽等),这样会导致正常用户处于等待或无法访问服务器的状态。

Nginx提供了一个ngx_http_limit_req_module模块,可以有效降低DDOS攻击的风险,操作方法如下:

 1 [[email protected] ~]# vim /usr/local/nginx/conf/nginx.conf
 2 … …
 3 http{
 4 … …
 5 limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
 6     server {
 7         listen 80;
 8         server_name localhost;
 9         limit_req zone=one burst=5;
10             }
11 }
12 //备注说明:
13 //limit_req_zone语法格式如下:
14 //limit_req_zone key zone=name:size rate=rate;
15 //上面案例中是将客户端IP信息存储名称为one的共享内存,内存空间为10M
16 //1M可以存储8千个IP信息,10M可以存储8万个主机连接的状态,容量可以根据需要任意调整
17 //每秒中仅接受1个请求,多余的放入漏斗
18 //漏斗超过5个则报错
19 [[email protected] ~]# /usr/local/nginx/sbin/nginx -s reload

客户端使用ab测试软件测试效果:

1 [[email protected] ~]# ab -c 100 -n 100  http://192.168.4.5/

4) 拒绝非法的请求

网站使用的是HTTP协议,该协议中定义了很多方法,可以让用户连接服务器,获得需要的资源。但实际应用中一般仅需要get和post。

具体HTTP请求方法的含义如表-1所示。

表-1 HTTP请求方法及含义

未修改服务器配置前,客户端使用不同请求方法测试:

1 [[email protected] ~]# curl -i -X GET  http://192.168.4.5            //正常
2 [[email protected] ~]# curl -i -X HEAD http://192.168.4.5            //正常

//curl命令选项说明:

//-i选项:访问服务器页面时,显示HTTP的头部信息

//-X选项:指定请求服务器的方法

通过如下设置可以让Nginx拒绝非法的请求方法:

 1 [[email protected] ~]# vim /usr/local/nginx/conf/nginx.conf
 2 http{
 3        server {
 4      listen 80;
 5 #这里,!符号表示对正则取反,~符号是正则匹配符号
 6 #如果用户使用非GET或POST方法访问网站,则retrun返回444的错误信息
 7               if ($request_method !~ ^(GET|POST)$ ) {
 8                      return 444;
 9                }
10         }
11 }
12 [[email protected] ~]# /usr/local/nginx/sbin/nginx -s reload

修改服务器配置后,客户端使用不同请求方法测试:

1 [[email protected] ~]# curl -i -X GET  http://192.168.4.5            //正常
2 [[email protected] ~]# curl -i -X HEAD http://192.168.4.5            //报错

4) 防止buffer溢出

当客户端连接服务器时,服务器会启用各种缓存,用来存放连接的状态信息。

如果攻击者发送大量的连接请求,而服务器不对缓存做限制的话,内存数据就有可能溢出(空间不足)。

修改Nginx配置文件,调整各种buffer参数,可以有效降低溢出风险。

1 [[email protected] ~]# vim /usr/local/nginx/conf/nginx.conf
2 http{
3 client_body_buffer_size  1K;
4 client_header_buffer_size 1k;
5 client_max_body_size 1k;
6 large_client_header_buffers 2 1k;
7  … …
8 }
9 [[email protected] ~]# /usr/local/nginx/sbin/nginx -s reload

步骤二:数据库安全

1) 初始化安全脚本

安装完MariaDB或MySQL后,默认root没有密码,并且提供了一个任何人都可以操作的test测试数据库。有一个名称为mysql_secure_installation的脚本,该脚本可以帮助我们为root设置密码,并禁止root从远程其他主机登陆数据库,并删除测试性数据库test。

1 [[email protected] ~]# systemctl status mariadb    //确保服务已启动
2 [[email protected] ~]# mysql_secure_installation    //执行初始化安全脚本

2)密码安全

手动修改MariaDB或MySQL数据库密码的方法:

 1 [[email protected] ~]# mysqladmin -uroot -predhat password ‘mysql‘
 2 //修改密码,旧密码为redhat,新密码为mysql
 3 [[email protected] ~]# mysql -uroot -pmysql
 4 MariaDB [(none)]>set password for [email protected]‘localhost‘=password(‘redhat‘)
 5 //使用账户登录数据库,修改密码
 6 MariaDB [(none)]> select user,host,password from mysql.user;
 7 +--------+---------+---------------------------------------------+
 8 | user     | host     | password                                       |
 9 +--------+---------+---------------------------------------------+
10 | root     | localhost     | *84BB5DF4823DA319BBF86C99624479A198E6EEE9 |
11 | root     | 127.0.0.1     | *84BB5DF4823DA319BBF86C99624479A198E6EEE9 |
12 | root     | ::1           | *84BB5DF4823DA319BBF86C99624479A198E6EEE9 |
13 +--------+-----------+--------------------------------------------+

修改密码成功,而且密码在数据库中是加密的,有什么问题吗?问题是你的密码被明文记录了,下面来看看明文密码:

1 [[email protected] ~]# cat .bash_history
2 mysqladmin -uroot -pxxx password ‘redhat‘
3 //通过命令行修改的密码,bash会自动记录历史,历史记录中记录了明文密码
4 [[email protected] ~]# cat .mysql_history
5 set password for [email protected]‘localhost‘=password(‘redhat‘);
6 select user,host,password from mysql.user;
7 flush privileges;
8 //通过mysql命令修改的密码,mysql也会有所有操作指令的记录,这里也记录了明文密码

另外数据库还有一个binlog日志里也有明文密码(5.6版本后修复了)。

怎么解决?

管理好自己的历史,不使用明文登录,选择合适的版本5.6以后的版本,

日志,行为审计(找到行为人),使用防火墙从TCP层设置ACL(禁止外网接触数据库)。

3)数据备份与还原

首先,备份数据库(注意用户名为root,密码为redhat):

1 [[email protected] ~]# mysqldump -uroot -predhat mydb table > table.sql  //备份数据库中的某个数据表
2 [[email protected] ~]# mysqldump -uroot -predhat mydb > mydb.sql   //备份某个数据库
3 [[email protected] ~]# mysqldump -uroot -predhat --all-databases > all.sql  //备份所有数据库

接下来,还原数据库(注意用户名为root,密码为redhat):

1 [[email protected] ~]# mysql -uroot -predhat mydb  < table.sql            //还原数据表
2 [[email protected] ~]# mysql -uroot -predhat mydb  < mydb.sql            //还原数据库
3 [[email protected] ~]# mysql -uroot -predhat < all.sql                    //还原所有数据库

4)数据安全

在服务器上(192.168.4.5),创建一个数据库账户:

1 [[email protected] ~]# mysql -uroot -predhat     //使用管理员,登陆数据库
2 MariaDB [(none)]> grant all on *.* to [email protected]‘%‘ identified by ‘123‘;     //创建一个新账户tom
3 使用tcpdump抓包(192.168.4.5)
4 [[email protected] ~]# tcpdump -w log -i any src or dst port 3306    //抓取源或目标端口是3306的数据包,保存到log文件中

客户端(192.168.4.100)从远程登陆数据库服务器(192.168.4.5)

1 [[email protected] ~]# mysql -utom -p123 -h 192.168.4.5
2 //在192.168.4.100这台主机使用mysql命令登陆远程数据库服务器(192.168.4.5)
3 //用户名为tom,密码为123
4 MariaDB [(none)]> select * from mysql.user;    //登陆数据库后,任意执行一条查询语句

回到服务器查看抓取的数据包

1 [[email protected] ~]# tcpdump -A -r log
2 //使用tcpdump查看之前抓取的数据包,很多数据库的数据都明文显示出来

如何解决?

可以使用SSH远程连接服务器后,再从本地登陆数据库(避免在网络中传输数据,因为网络环境中不知道有没有抓包者)。

或者也可以使用SSL对MySQL服务器进行加密,类似与HTTP+SSL一样,MySQL也支持SSL加密(确保网络中传输的数据是被加密的)。

步骤三:Tomcat安全性

1) 隐藏版本信息、修改tomcat主配置文件(隐藏版本信息)

未修改版本信息前,使用命令查看服务器的版本信息

注意:proxy有192.168.2.5的IP地址,这里使用proxy作为客户端访问192.168.2.100服务器。

1 [[email protected] ~]# curl -I http://192.168.2.100:8080/xx        //访问不存在的页面文件,查看头部信息
2 [[email protected] ~]# curl -I http://192.168.2.100:8080    //访问存在的页面文件,查看头部信息
3 [[email protected] ~]# curl http://192.168.2.100:8080/xx//访问不存在的页面文件,查看错误信息

修改tomcat配置文件,修改版本信息(在192.168.2.100操作):

1 [[email protected] tomcat]# yum -y install java-1.8.0-openjdk-devel
2 [[email protected] tomcat]# cd /usr/local/tomcat/lib/
3 [[email protected] lib]# jar -xf catalina.jar
4 [[email protected] lib]# vim org/apache/catalina/util/ServerInfo.properties    //根据自己的需要,修改版本信息的内容
5 [[email protected] lib]# /usr/local/tomcat/bin/shutdown.sh        //关闭服务
6 [[email protected] lib]# /usr/local/tomcat/bin/startup.sh        //启动服务

修改后,客户端再次查看版本信息(在192.168.2.5操作):

1 [[email protected] ~]# curl -I http://192.168.2.100:8080/xx        //访问不存在的页面文件,查看头部信息
2 [[email protected] ~]# curl -I http://192.168.2.100:8080    //访问存在的页面文件,查看头部信息
3 [[email protected] ~]# curl http://192.168.2.100:8080/xx//访问不存在的页面文件,查看错误信息

再次修改tomcat服务器配置文件,修改版本信息,手动添加server参数(在192.168.2.100操作):

1 [[email protected] lib]# vim /usr/local/tomcat/conf/server.xml
2 connectionTimeout="20000"  redirectPort="8443" server="jacob" />
3 [[email protected] lib]# /usr/local/tomcat/bin/shutdown.sh        //关闭服务
4 [[email protected] lib]# /usr/local/tomcat/bin/startup.sh        //启动服务

修改后,客户端再次查看版本信息(在192.168.2.5操作):

1 [[email protected] ~]# curl -I http://192.168.2.100:8080/xx        //访问不存在的页面文件,查看头部信息
2 [[email protected] ~]# curl -I http://192.168.2.100:8080    //访问存在的页面文件,查看头部信息
3 [[email protected] ~]# curl http://192.168.2.100:8080/xx//访问不存在的页面文件,查看错误信息

2)降级启动

默认tomcat使用系统高级管理员账户root启动服务,启动服务尽量使用普通用户。

1 [[email protected] ~]# useradd tomcat
2 [[email protected] ~]# chown -R tomcat:tomcat /usr/local/tomcat/    //修改tomcat目录的权限,让tomcat账户对该目录有操作权限
3 [[email protected] ~]# su -c /usr/local/tomcat/bin/startup.sh tomcat   //使用su命令切换为tomcat账户,以tomcat账户的身份启动tomcat服务
4 [[email protected] ~]# chmod +x /etc/rc.local                //该文件为开机启动文件
5 [[email protected] ~]# vim /etc/rc.local                     //修改文件,添加如下内容
6 su -c /usr/local/tomcat/bin/startup.sh tomcat

3)删除默认的测试页面

1 [[email protected] ~]# rm -rf  /usr/local/tomcat/webapps/*

3 案例3:使用diff和patch工具打补丁

3.1 问题

本案例要求优化提升常见网络服务的安全性,主要完成以下任务操作:

使用diff对比文件差异

使用diff生成补丁文件

使用patch命令为旧版本打补丁

3.2 方案

程序是人设计出来的,总是会有这样那样的问题与漏洞,目前的主流解决方法就是为有问题的程序打补丁,升级新版本。

在Linux系统中diff命令可以为我们生成补丁文件,然后使用patch命令为有问题的程序代码打补丁。

3.3 步骤

实现此案例需要按照如下步骤进行。

步骤一:对比单个文件差异

1) 编写两个版本的脚本,一个为v1版本,一个为v2版本。

1 [[email protected] ~]# cat test1.sh                                //v1版本脚本
2 #!/bin/bash
3 echo "hello wrld"
4 [[email protected] ~]# cat test2.sh                                //v2版本脚本
5 #!/bin/bash
6 echo "hello the world"
7 echo "test file"

2) 使用diff命令语法

使用diff命令查看不同版本文件的差异。

 1 [[email protected] ~]# diff  test1.sh test2.sh                     //查看文件差异
 2 @@ -1,3 +1,3 @@
 3  #!/bin/bash
 4 -echo "hello world"
 5 -echo "test"
 6 +echo "hello the world"
 7 +echo "test file"
 8 [[email protected] ~]# diff -u test1.sh test2.sh                 //查看差异,包含头部信息
 9 --- test1.sh    2018-02-07 22:20:02.723971251 +0800
10 +++ test2.sh    2018-02-07 22:20:13.358760687 +0800
11 @@ -1,3 +1,3 @@
12  #!/bin/bash
13 -echo "hello world"
14 -echo "test"
15 +echo "hello the world"
16 +echo "test file"

diff制作补丁文件的原理:告诉我们怎么修改第一个文件后能得到第二个文件。

这样如果第一个版本的脚本有漏洞,我们不需要将整个脚本都替换,仅需要修改有问题的一小部分代码即可,diff刚好可以满足这个需求!

像Linux内核这样的大块头,一旦发现有一个小漏洞,我们不可能把整个内核都重新下载,全部替换一遍,而仅需要更新有问题的那一小部分代码即可!

diff命令常用选项:

-u 输出统一内容的头部信息(打补丁使用),计算机知道是哪个文件需要修改

-r 递归对比目录中的所有资源(可以对比目录)

-a 所有文件视为文本(包括二进制程序)

-N 无文件视为空文件(空文件怎么变成第二个文件)

-N选项备注说明:

A目录下没有txt文件,B目录下有txt文件

diff比较两个目录时,默认会提示txt仅在B目录有(无法对比差异,修复文件)

diff比较时使用N选项,则diff会拿B下的txt与A下的空文件对比,补丁信息会明确说明如何从空文件修改后变成txt文件,打补丁即可成功!

步骤二:使用patch命令对单文件代码打补丁

1)准备实验环境

1 [[email protected] ~]# cd demo
2 [[email protected] demo]# vim test1.sh
3 #!/bin/bash
4 echo "hello world"
5 echo "test"
6 [[email protected] demo]# vim test2.sh
7 #!/bin/bash
8 echo "hello the world"
9 echo "test file"

2) 生成补丁文件

1 [[email protected] demo]# diff -u test1.sh test2.sh > test.patch

3)使用patch命令打补丁

在代码相同目录下为代码打补丁

 1 [[email protected] demo]# yum -y install patch
 2 [[email protected] demo]# patch -p0 < test.patch                    //打补丁
 3 patching file test1.sh
 4 //patch -pnum(其中num为数字,指定删除补丁文件中多少层路径前缀)
 5 //如原始路径为/u/howard/src/blurfl/blurfl.c
 6 //-p0则整个路径不变
 7 //-p1则修改路径为u/howard/src/blurfl/blurfl.c
 8 //-p4则修改路径为blurfl/blurfl.c
 9 //-R(reverse)反向修复,-E修复后如果文件为空,则删除该文件
10 [[email protected] demo]# patch -RE < test.patch                     //还原旧版本,反向修复

步骤三:对比目录中所有文件的差异

1) 准备实验环境

 1 [[email protected] ~]# mkdir demo
 2 [[email protected] ~]# cd demo
 3 [[email protected] demo]# mkdir {source1,source2}
 4 [[email protected] demo]# echo "hello world"       > source1/test.sh
 5 [[email protected] demo]# cp /bin/find source1/
 6 [[email protected] demo]#  tree source1/                        //source1目录下2个文件
 7 |-- find
 8 `-- test.sh
 9 [[email protected] demo]# echo "hello the world"  > source2/test.sh
10 [[email protected] demo]# echo "test" > source2/tmp.txt
11 [[email protected] demo]# cp /bin/find source2/
12 [[email protected] demo]# echo "1" >> source2/find
13 [[email protected] demo]#  tree source2/                        //source1目录下3个文件
14 |-- find
15 |-- test.sh
16 `-- tmp.txt
17 //注意:两个目录下find和test.sh文件内容不同,source2有tmp.txt而source1没有该文件

2)制作补丁文件

1 [[email protected] demo]# diff -u source1/ source2/  //仅对比了文本文件test.sh;二进制文件、tmp都没有对比差异,仅提示,因为没有-a和-N选项
2 [[email protected] demo]# diff -Nu source1/ source2/   //对比了test.sh,并且使用source2目录的tmp.txt与source1的空文件对比差异。
3 [[email protected] demo]# diff -Nua source1/ source2/   //对比了test.sh、tmp.txt、find(程序)。

步骤四:使用patch命令对目录下的所有代码打补丁

1)使用前面创建的source1和source2目录下的代码为素材,生成补丁文件

1 [[email protected] ~]# cd demo
2 [[email protected] demo]# diff -Nuar source1/ source2/ > source.patch

2)使用patch命令为代码打补丁

 1 [[email protected] demo]# ls
 2 source1  source2  source.patch
 3 [[email protected] demo]# cat source.patch                //对比的文件有路径信息
 4 --- source1/test.sh 2018-02-07 22:51:33.034879417 +0800
 5 +++ source2/test.sh 2018-02-07 22:47:32.531754268 +0800
 6 @@ -1 +1 @@
 7 -hello world
 8 +hello the world
 9 [[email protected] demo]# cd source1
10 [[email protected] source1]# patch  -p1 < ../source.patch

原文地址:https://www.cnblogs.com/share368/p/9600002.html

时间: 2024-11-08 19:11:13

部署audit监控文件、加固常见服务的安全、使用diff和patch工具打补丁的相关文章

DotNetCore跨平台~Quartz热部署的福音~监控文件夹的变化

回到目录 在DotNetCore出来之后,同时也使用了quartz进行调度中心的设计,将它做到docker里方便部署,在之前的quartz版本里支持配置文件的方式,而现在不支持了,我们应该去想一下,为什么不去支持配置文件?当然大叔也为配置文件设计了支持的方式,但我们还是应该想想作者为什么不去支持配置? 热支持,服务发现? 和上面两个概念可能有点关系,热插拔很容易理解,就是把dll模块放到正在运行的项目时,它可以直接启动,这个功能对调度中心来说,很是必要,因为你可能需要按着不同的功能设计一些服务j

Zabbix服务安装部署及监控配置

1.1 Zabbix服务介绍 官方网站:http://www.zabbix.com/ The Enterprise-class Monitoring Solution for Everyone 企业级监控解决方案 zabbix是一个基于Web界面提供分布式系统监控以及网络监视功能的企业级的开源解决方案 Zabbix能监视各种网络参数,保证服务器系统的安全运营:并提供灵活的通知机制以及让系统管理员快速定位解决存在的各种问题. 1.1 Zabbix主要特点 安装与配置简单,学习成本地,支持多语言(包

Linux系统常见服务

Linux常见的系统服务如下: 服务名称 功能简介 建议 acpid 电源管理接口.如果是笔记本用户建议开启,可以监听内核层的相关电源事件. 开启 anacron 系统的定时任务程序.cron的一个子系统,如果定时任务错过了执行时间,可以通过anacron继续唤醒执行. 关闭 alsasound Alsa声卡驱动.如果使用alsa声卡,开启 关闭 apmd 电源管理模块.如果支持acpid,就不需要apmd,可以关闭 关闭 atd 指定系统在特定时间执行某个任务,只能执行一次.如果需要则开启,但

部署zabbix监控mysql (一) 安装zabbix

部署zabbix监控mysql (1)安装LAMP环境 [[email protected] ~]# yum -y installmysql-server http php (2)安装zabbix web所需要的依赖包 [[email protected] ~]# yum -y installmysql-dev gcc net-snmp-devel curl-devel perl-DBI php-gd php-mysql php-bcmathphp-mbstring php-xml 安装Fpin

linux开发脚本自动部署及监控

开发脚本自动部署及监控 1.编写脚本自动部署反向代理.web.nfs: 要求: I.部署nginx反向代理三个web服务,调度算法使用加权轮询: #!/bin/sh ngxStatus=`ps aux | grep -v grep |grep -c nginx` function ngxProxyInstall() { if [ -e /usr/sbin/nginx ];then echo "nginx already installed" exit 110 else yum inst

部署cacti监控windows

一.安装LAMP架构 本篇主要介绍cacti如何监控windows主机,cacti的搭建过程也很简单,同样,监控linux主机也不难.这里主要记录部署监控windows过程中遇到的两个问题1.LAMP #yum install -y httpd php mysql-server 2.插件  #yum install -y mysql-server  php-mysql net-snmp* zlib libpng freetype libjpeg  gd libxml2 3.安装rrdtool #

Redis高可用部署及监控

Redis高可用部署及监控 目录                        一.Redis Sentinel简介 二.硬件需求 三.拓扑结构 1.单M-S结构 2.双M-S结构 3.优劣对比 四.配置部署 1.Redis配置 2.Redis Sentinel配置 3.启动服务 4.故障模拟检测 五.备份恢复 1.备份策略 2.灾难恢复 六.运维监控 1.安全监控 2.性能监控   一.           Redis Sentinel简介   Redis Sentinel是redis自带的集

部署Cacti监控平台

1 部署Cacti监控平台 1.1 问题 本案例要求部署一台Cacti监控主机,并安装相关监控组件,为进一步执行具体的监控任务做准备: 安装net-snmp.net-snmp-utils 安装LAMP及相关依赖软件包 部署Cacti监控平台 初始化监控页面 1.2 方案 使用1台RHEL6虚拟机,安装部署LAMP环境.Cacti及相关的snmp组件包,配置数据库并对Cacti监控平台进行初始化操作. 1.3 步骤 实现此案例需要按照如下步骤进行. 步骤一:准备基础软件包 1)安装LAMP环境 C

Security基础(五):部署Cacti监控平台、构建Cacti监测系统

一.部署Cacti监控平台 目标: 本案例要求部署一台Cacti监控主机,并安装相关监控组件,为进一步执行具体的监控任务做准备: 安装net-snmp.net-snmp-utils 安装LAMP及相关依赖软件包 部署Cacti监控平台 初始化监控页面 方案: 使用1台RHEL7虚拟机,安装部署LAMP环境.Cacti及相关的snmp组件包,配置数据库并对Cacti监控平台进行初始化操作. 步骤: 步骤一:准备基础软件包 1)安装LAMP环境 Cacti监控需要通过Web页面展示出来,并且还需要使