发表于 | 更新于 | 分类于
本文字数: 8.3k | 阅读时长 ≈ 8 分钟

SSH隧道与端口转发及内网穿透

大家都知道SSH是一种安全的传输协议,用在连接服务器上比较多。不过其实除了这个功能,它的隧道转发功能更是吸引人。下面是个人根据自己的需求以及在网上查找的资料配合自己的实际操作所得到的一些心得。

SSH/plink命令的基本资料:

首先,认识下这三个非常强大的命令:

相关参数的解释:

-f Fork into background after authentication.
后台认证用户/密码,通常和-N连用,不用登录到远程主机。

-L port:host:hostport
将本地机(客户机)的某个端口转发到远端指定机器的指定端口. 工作原理是这样的, 本地机器上分配了一个 socket 侦听 port 端口, 一旦这个端口上有了连接, 该连接就经过安全通道转发出去, 同时远程主机和 host 的 hostport 端口建立连接. 可以在配置文件中指定端口的转发. 只有 root 才能转发特权端口. IPv6 地址用另一种格式说明: port/host/hostport

-R port:host:hostport
将远程主机(服务器)的某个端口转发到本地端指定机器的指定端口. 工作原理是这样的, 远程主机上分配了一个 socket 侦听 port 端口, 一旦这个端口上有了连接, 该连接就经过安全通道转向出去, 同时本地主机和 host 的 hostport 端口建立连接. 可以在配置文件中指定端口的转发. 只有用 root 登录远程主机才能转发特权端口. IPv6 地址用另一种格式说明: port/host/hostport

-D port
指定一个本地机器 “动态的’’ 应用程序端口转发. 工作原理是这样的, 本地机器上分配了一个 socket 侦听 port 端口, 一旦这个端口上有了连接, 该连接就经过安全通道转发出去, 根据应用程序的协议可以判断出远程主机将和哪里连接. 目前支持 SOCKS4 协议, 将充当 SOCKS4 服务器. 只有 root 才能转发特权端口. 可以在配置文件中指定动态端口的转发.

-C Enable compression.
压缩数据传输。

-N Do not execute a shell or command.
不执行脚本或命令,通常与-f连用。

-g Allow remote hosts to connect to forwarded ports.
在-L/-R/-D参数中,允许远程主机连接到建立的转发的端口,如果不加这个参数,只允许本地主机建立连接。注:这个参数我在实践中似乎始终不起作用。

阅读全文 »

发表于 | 更新于 | 分类于 >
本文字数: 25k | 阅读时长 ≈ 23 分钟

目的

微信现在是我们手机中必不可少的软件,通过它可以和朋友亲人聊天视频等。作为运维,让监控系统通过微信报警,及时提醒我们,保证线上服务稳定运行,这是SRE的职责所在。通过本教程学习,让zabbix server增加微信报警媒介。

环境

阅读全文 »

发表于 | 更新于 | 分类于 >
本文字数: 14k | 阅读时长 ≈ 13 分钟

前言

公司用openldap搭了一套ldap认证系统,用于统一内部各个系统的账户,避免每次添加或删除用户还得一个个登陆上去操作,使账户密码统一,能减轻很多工作和保证安全性,今天是想把ldap与zabbix进行结合。

环境

centos7.x

zabbix4.0.x

阅读全文 »

发表于 | 更新于 | 分类于
本文字数: 4.2k | 阅读时长 ≈ 4 分钟

局域网内网有服务器对外发布,基于对服务器的保护,内网用户需通过域名或者公网ip来访问内网服务器。

如下图所示:

img

名词解释

DNAT:转换目标ip地址。

SNAT: 转换源ip地址。

阅读全文 »

发表于 | 更新于 | 分类于 >
本文字数: 6.5k | 阅读时长 ≈ 6 分钟

目的

对于监控服务器越来越多的情况,如果还单独一个一个添加,那效率也太低,因此就要实现批量添加监控服务器的操作,Zabbix提供两种批量自动监控的方式:

自动发现:由服务端主动发起,Zabbix Server开启发现进程,定时扫描局域网中IP服务器、设备。

自动注册:由客户端主动发起,客户端必须安装并启动Agentd,否则无法被自动注册添加至主机列表。对于使用SNMP的就要采用自动发现了。

本篇教程就是自动注册,让客户端自动向Server去注册。

阅读全文 »

发表于 | 更新于 | 分类于 >
本文字数: 1.8k | 阅读时长 ≈ 2 分钟

有时git库里的东西比较多,我们只希望像SVN一样,只拉取git库的一个目录。

例如:基础代码仓库infra-code_ops有很多基础代码,我们只想拉取仓库里nginx-conf目录的文件。

1
2
3
4
5
6
$ git init infra-code_ops-nginx && cd  infra-code_ops-nginx          //初始化仓库,并进入该目录
$ git remote add -f origin http:``//gitlab.xxx.com/ops/infra-code_ops.git   //添加远程仓库地址
$ git config core.sparsecheckout ``true    //开启sparse checkout功能
$ echo ``"nginx-conf/"` `>> .git/info/sparse-checkout   //将nginx-conf/目录写入到该文件中
$ cat .git/info/sparse-checkout   //确认查看该文件内容
$ git pull origin master    //拉取远程master分支

发表于 | 更新于 | 分类于
本文字数: 7.8k | 阅读时长 ≈ 7 分钟

目的

运维日常工作中常见服务的docker快速安装汇总。

cadvisor docker监控

阅读全文 »

发表于 | 更新于 | 分类于 >
本文字数: 22k | 阅读时长 ≈ 20 分钟

目的

zabbix监控系统是目前企业常用的监控系统之一。具有快速上手,监控简单明了等特点。通过本文教程快速安装zabbix4.0 LST监控系统,为企业搭建监控系统,保驾护航。

环境

centos7.x

zabbix4.0.x LST

参考文档和下载地址

官方文档

下载地址

阅读全文 »

发表于 | 更新于 | 分类于 >
本文字数: 12k | 阅读时长 ≈ 11 分钟

背景

早上到公司就接到总部信息安全组邮件。邮件内容是:Atlassian公开了一个Jira未授权SSRF漏洞。Jira的/plugins/servlet/gadgets/makeRequest资源存在SSRF漏洞,原因在于JiraWhitelist这个类的逻辑缺陷,成功利用此漏洞的远程攻击者可以以Jira服务端的身份访问内网资源。此漏洞无需任何凭据即可触发。

影响范围

版本小于8.4.0

漏洞详情链接: https://jira.atlassian.com/browse/JRASERVER-69793

基于以上情况,把在线上的jira 7.4.1版本升级为最新版本8.4.1,因为官方在8.4.0已经修复这个漏洞。

阅读全文 »