<![CDATA[拍拍尘土]]> http://blog.xg98.com/ zh-cn LBS v2.0.313 Mon, 04 May 2026 19:35:07 +0800 60 <![CDATA[http服务(nginx、apache)停用不安全的SSL协议、TLS1.0和TLS1.1协议/启用TLS1.3]]> ]]> Wed, 24 Dec 2025 10:43:10 +0800 p.s. windows版本的curl指定tls版本好像不生效,还是会按照tls1.3建立连接,所以无法判断是否禁止了tls1.1
curl -v --tlsv1.1 https://blog.xg98.com
TLS 1.0 和 TLS 1.1 是分别于 1996 年和 2006 年发布的老版协议,使用的是弱加密算法和系统。比如 SHA-1 和 MD5,这些算法和系统十分脆弱,存在重大安全漏洞,容易受到降级攻击的严重影响,而在 2008 年和 2017 年分别发布了协议的新版本,即 TLS 1.2 和 TLS 1.3,无疑更优于旧版本,使用起来也更安全。


nginx
我假设你有Nginx 1.13+
SSL设置下的默认配置(conf/nginx.conf)应如下所示
ssl_protocols TLSv1.2 TLSv1.3;
]]> <![CDATA[lnmp默认nginx的fastcgi配置中锁定了站点根目录问题,覆盖open_basedir参数问题]]> ]]> Wed, 05 Jan 2022 12:20:54 +0800
/usr/local/nginx/conf/fastcgi.conf
fastcgi_param PHP_ADMIN_VALUE "open_basedir=$document_root/:/tmp/:/proc/:/home/wwwroot/";
]]> <![CDATA[centos查看登陆用户和踢掉用户]]> ]]> Fri, 31 Dec 2021 11:12:34 +0800 w 或者 who
   16:16:06 up 12 min, 1 user, load average: 0.14, 0.18, 0.13
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/0 192.168.2.45 16:15 6.00s 0.02s 0.00s sshd: root [priv]


踢用户:
# pkill -KILL -t pts/0 (pts/0为w指令看到的用户终端号)]]> <![CDATA[关于阿里云【经典网络】转到【专有网络】后,pureftpd无法启动的问题]]> ]]> Fri, 10 Dec 2021 16:54:20 +0800 使用
   service pureftpd restart
会提示pureftpd没有启动

直接终端里面手工启动也失败
   /usr/local/pureftpd/sbin/pure-ftpd /usr/local/pureftpd/etc/pure-ftpd.conf
有提示启动了但是进程里面却没有。

想想除了网络啥也没有改动,就检查配置文件
pure-ftpd.conf 中把经典网络中绑定的公网Ip改回0.0.0.0后能正常启动,然后把被动连接IP改为公网IP即可。
#被动连接端口
PassivePortRange 20000 22000

#强制指定被动连接的公网IP
ForcePassiveIP 7.8.8.8
]]> <![CDATA[阿里云云服务器centos6下的硬盘分区及挂载]]> ]]> Fri, 10 Dec 2021 14:27:02 +0800 云服务器环境:CentOS 6.2 64位


一、是否入侵检查

1)检查系统日志

检查系统错误登陆日志,统计IP重试次数(last命令是查看系统登陆日志,比如系统被reboot或登陆情况)
[root@bastion-IDC ~]# last

2)检查系统用户

查看是否有异常的系统用户
[root@bastion-IDC ~]# cat /etc/passwd

查看是否产生了新用户,UID和GID为0的用户
[root@bastion-IDC ~]# grep "0" /etc/passwd

查看passwd的修改时间,判断是否在不知的情况下添加用户
[root@bastion-IDC ~]#&]]>
      
    
      
    
      <![CDATA[centos中top命令里 CPU状态 解释]]> 
       
       
      ]]> 
      Wed, 13 Oct 2021 15:01:12 +0800 
      p.s.  loadavg可以判断总的核心数是否够用, cpu% id 判断cpu空闲百分比

http://blog.xg98.com/attachments/202110/13_150241_20141221101809765.jpg


这里显示不同模式下所占cpu时间百分比,这些不同的cpu时间表示:

         us, user: 运行(未调整优先级的) 用户进程的CPU时间
         sy,system: 运行内核进程的CPU时间
         ni,niced:运行已调整优先级的用户进程的CPU时间
         wa,IO wait: 用于等待IO完成的CPU时间
         hi:处理硬件中断的CPU时间
         si: 处理软件中断的CPU时间
         st:这个虚拟机被hypervisor偷去的CPU时间(译注:如果当前处于一个hypervisor下的vm,实际上hypervisor也是要消耗一部分CPU处理时间的)。
]]>
      
    
      
    
      <![CDATA[云服务器挂载硬盘(此处以腾讯云服务器为例)]]> 
       
       
      ]]> 
      Mon, 13 Sep 2021 09:58:50 +0800 
      
首先查看服务器文件系统大小,命令:df
http://blog.xg98.com/attachments/202109/13_100005_20170815171228569.jpg


再检查硬盘是否有其他未挂载的数据盘,查询命令:  fdisk -l
http://blog.xg98.com/attachments/202109/13_100011_20170815171508974.jpg



上面df得到的是/dev/vda1数据盘为50G的信息,以下/dev/vdb的数据根本没有在df中显示,故可以得出有40G的数据盘没有挂载。


第二、ext4格式化分区
执行以下命令:mkfs.ext4 /dev/vdb

执行结果如下图:
http://blog.xg98.com/attachments/202109/13_100049_3.jpg




第三、写入fstab 设置开机自动挂载
首先要确定要新数据盘挂载在哪个目录下:如果没有,则新建一个目录。
]]>
      
    
      
    
      <![CDATA[centos6.9上预防SSH暴力破解的工具:denyhosts3.0 安装与配置记录]]> 
       
       
      ]]> 
      Sat, 13 Mar 2021 13:33:17 +0800 
      p.s.  denyhosts默认是在iptables也添加了封杀的IP,所以删除误删IP,需要denyhosts和iptables都要处理掉。其实在未受攻击的情况下,可以将iptables封IP关闭,目前的拨号VPS这么便宜,IP真不值钱,被杠上了封个几万IP也没用,加固密码强度才是必须的

DenyHosts是Python语言写的一个程序软件,运行于Linux上预防SSH暴力破解的,它会分析sshd的日志文件(/var/log/secure),当发现重复的攻击时就会记录IP到/etc/hosts.deny文件,从而达到自动屏IP的功能。

【下载】
https://sourceforge.net/projects/denyhosts/files/denyhosts/
本文下面以denyhosts-3.0.tar.gz为例记录过程,操作系统为 centos6.9 
]]>
      
    
      
    
      <![CDATA[才发现,putty的vi下面点鼠标右键可以把本地文本复制到vi]]> 
       
       
      ]]> 
      Fri, 12 Mar 2021 16:41:01 +0800 
      木想到,点个右键就把文字复制过去了,以后还是要多看看这些小技巧

本地复制到终端vi,鼠标右键 先复制本地文字内容,然后putty的vi中要插入的地方点鼠标右键
vi复制到本地,ctrl+c   (Shift+Insert也行)    putty的vi用鼠标选中文字内容按ctrl+c复制,本地ctrl+v实现粘贴





更多参考:
一文搞懂vim复制粘贴    https://www.cnblogs.com/huahuayu/p/12235242.html]]>