shuspieler

想给服务器加一个功能，每当有人SSH成功登录都给管理员发封邮件作为提醒。 同时若有人暴力破解密码达到一定次数封禁对方IP数小时并且同时也发邮件提醒。 服务器发邮件用到了sendmail包： sudo apt install sendmail 首先检查OpenSSH是否开启了PAM，检查”/etc/ssh/sshd_config” 看下UsePAM是否非yes并且未被注释掉，我的服务器默认是正确的 然后创建一个login-notify.sh文件，我放在了/etc/ssh/，填入下边内容： #!/bin/sh # Change these two lines: sender=”” recepient=”” if [ “$PAM_TYPE” != “close_session” ]; then host=”`hostname`” subject=”SSH Login: $PAM_USER from $PAM_RHOST on $host” # Message to send, e.g. the current environment variables. message=”`env`” echo “$message” | sendmail -r “$sender” -s “$subject” “$recepient” fi 其中sender和recepient为发件用的地址和收件邮箱， 根据需求更改

最近新配置了一台新服务器用于生产环境，为了使整个系统生命周期长一些，我在配置环境时候安装的都是最新版的稳定系统/软件，比如操作系统选的Debian10， PHP和MySQL选的都是版本8。在安装MySQL时候遇到了之前类似的问题，就是默认root用户不知为何在预配置阶段密码设置无效，在安装后经过测试是空密码。我之前在5.7时候由于遇到过root账户不能远程登录的问题，当时记录了一些解决方法，可是其中的某些步骤提示语法错误，经过查询得知在MySQL8之后之前设置密码的语法已经被淘汰了，现在给空root账户设置密码步骤如下： 首先通过如下命令用root用户名和空密码登录数据库： sudo mysql -u root 然后通过下边命令给root账户修改密码： use mysql; ALTER USER ‘root’@’localhost’ IDENTIFIED WITH caching_sha2_password BY ‘yourpasswd’; flush privileges; exit; 命令成功执行后可以查看一下是否可以用新密码登陆： sudo mysql -u root -p 理论上现在已经可以通过sudo结合root用户名和密码在BASH里边登录数据库了。当时此时root账户可能不能通过phpMyAdmin或者外部工具登录（修正：这是由于root 用户使用 unix_socket 身份验证插件，只有在以系统 root 身份调用 mysql 命令或将 sudo 添加到命令时，才能以 root 身份连接到数据库，如果验证插件是其他比如我现在的Caching sha2 authentication，也是可以在phpmyadmin使用root登录的），这是从MySQL 5.7开始的安全策略原因，详细介绍以及解决方案可以看刚刚提到的那篇博文记录。 另外 Debian 10 的默认软件源中并不包含 MySQL 软件包，它已被 MariaDB 替代。我这次安装参考了不少教程，列在这里以表感谢：   Reference： https://blog.shuspieler.com/1090/ https://www.digitalocean.com/community/tutorials/how-to-install-the-latest-mysql-on-debian-10 https://www.jianshu.com/p/59a9bcc136c2

服务器的SSH服务由于远程配置的原因，需要暴露在公网。虽然使用了一系列安全措施比如关闭root登录，普通权限与超级管理员权限分离，更改端口以及使用第三方工具比如强力爆破，可是看sshd的log每天依旧有数不清的登陆尝试，Fail2Ban也在孜孜不倦地一直将这些IP拉黑。昨天看到Fail2Ban可以开通邮件提醒功能，于是配置了一下，没想到邮件雪花片就飞了过来，基本上每分钟都有被ban掉的IP，一晚上竟然收到了一千多封邮件，并且早晨早早的，由于手机勿扰模式天亮就自动关闭了，邮件提示音把我吵死了。 另外看邮件日志，IP来源于世界各地，应该就是被黑客攻破的肉鸡，我之前维护的一台DigitalOcean也被黑过，DO给我发邮件说我abuse应该是我在那台服务器的Wordpress没有及时升级被利用漏洞了。从日志还有一个很严峻的发现是来之中国大陆或者中国服务商的攻击特别特别多，IP将近一半来自中国大陆或者阿里云腾讯云等在大陆外的服务器。这反映了国内互联网服务运营人员对于系统安全的意识是多么的薄弱，有这么多服务器带病运行，不经被黑客当多肉鸡攻击其他的设备，同时运行在这些服务器上的服务也被黑客一览无余，那里边的用户数据的安全性更是无从谈起。 随便摘几个日志过来，首先是中国移动的端口，感觉黑客控制可一个网段，来自这个地址以及相似地址的特别多，不排除运营商的机房已经被黑客控制的可能： Hi, The IP 221.181.xxx.xxx has just been banned by Fail2Ban after 5 attempts against sshd. Here is more information about 221.181.xxx.xxx : % [whois.apnic.net] % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html % Information related to ‘221.176.0.0 – 221.183.255.255’ % Abuse contact for ‘221.176.0.0 – 221.183.255.255’ is ‘’ inetnum: 221.176.0.0 – 221.183.255.255 netname: CMNET

看一些帖子，部分网友需要公开一些信息比如一个网址或者自己邮箱，可是又怕被爬虫给爬走造成信息泄露，或者是想增加一些门槛让路人无法理解而通道中人能看懂。于是不少人选择了Base64编码，这个咋一看是乱码，路人可能就走开了，而感兴趣的人可能会尝试下解码。我把这个过程自己起了个名字叫做浅加密。这里有个例子：   这个小站服务邮箱是： 通过Base64编码变成了： YmxvZ0BzaHVzcGllbGVyLmNvbQ==   很像随机乱码，可是使用工具可以还原出我原本邮箱地址。 Base64之外，还有Base32， Base128等等等，但是多数人约定熟成使用Base64。当小伙伴之后遇到类似上文的乱码，并且想知道写的是写啥的话，可以试下Base64解密。之前用过一些网友制作的在线编解码网站，可是由于是个人制作，有自己提交的信息被泄露的嫌疑。在这里提供一个老外的Base64在线编解码网站，虽然也有信息泄露嫌疑，可是这个网址流量较大，且是老外的，相比网友个人网站，心理作用可能稍微放心一丢丢吧。 https://www.base64decode.org/