Thursday, April 1, 2021

Web Application Potentially Vulnerable to Clickjacking (nginx)

在 nginx 配置文件添加:

add_header X-Frame-Options SAMEORIGIN;


三个选项:
DENY
表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
SAMEORIGIN
表示该页面可以在相同域名页面的 frame 中展示。
ALLOW-FROM URI
表示该页面可以在指定来源的 frame 中展示。
 

注: 在网页中设置meta标签是无用的!例如,<meta http-equiv="X-Frame-Options" content="deny"> 是没有效果的。不要使用这种方式。需要在下面的配置实例中配置HTTP Header的方式来进行配置,X-Frame-Options才会起作用。

 

参考:

https://www.imperva.com/learn/application-security/clickjacking/ 

https://www.jianshu.com/p/51cc683402f0

 

nginx SSL 安全密码套件

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK

nginx.service: PID file /var/run/nginx.pid not readable (yet?) after start: No such file or dir

需要 Systemd 等待 nginx 创建 PID 文件之后再往下执行

 

1. 在服务配置文件 /usr/lib/systemd/system/nginx.service 添加一行:

ExecStartPost=/bin/sleep 0.1

 

2. 然后执行:systemctl daemon-reload

 

参考:

https://www.programmersought.com/article/95721475597/




 

Monday, March 8, 2021

CentOS 7 SSH 登录安全性加固

vi /etc/ssh/sshd_config

# 禁止 Root 账号登录

PermitRootLogin no

# 版本

Protocol 2

systemctl restart sshd

 

vi /etc/pam.d/sshd

# 在 auth 部分添加一行

# even_deny_root 表示同样限制 root 账号

# file 用于指定统计次数用的文件,默认是 /var/log/tallylog

auth required pam_tally2.so even_deny_root deny=5 unlock_time=300 file=/var/log/tallylog

# 如果不生效,则在 account 部分再添加一行

account required pam_tally2.so



vi /etc/profile.d/auto-logout.sh

# 添加一行

readonly TMOUT=300



参考:

https://man7.org/linux/man-pages/man8/pam_tally2.8.html 

https://mp.weixin.qq.com/s/IR96o6bgNH0Yzd88AwdLUQ

https://www.tecmint.com/use-pam_tally2-to-lock-and-unlock-ssh-failed-login-attempts/ 

Sunday, February 7, 2021

ntpd服务经常崩溃,开机不自动启动

 报错日志:

ntpd[1706]: 0.0.0.0 0617 07 panic_stop -26754 s; set clock manually within 1000 s.

 

解决方案:

停止chronyd服务

systemctl stop chronyd
systemctl disable chronyd

 

 或者直接改用chronyd

 

参考:

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/system_administrators_guide/ch-configuring_ntp_using_ntpd#s1-Disabling_chrony 

 

 



把多个png文件转换成支持多个分辨率的ico文件

工具:ImageMagick 命令:magick convert -background transparent sample*.png sample.ico