by ·0评论

检查是否有 linux bash的ShellShock系列漏洞

ShellShock系列漏洞包含有

CVE-2014-6271

CVE-2014-7169

CVE-2014-7186

CVE-2014-7187

CVE-2014-6277

CVE-2014-6278

 

检查是否有ShellShock系列漏洞

wget --no-check-certificate  https://github.com/hannob/bashcheck/raw/master/bashcheck;sh bashcheck

有漏洞显示为

shellshock20141011151023

 

检查方式任选1

检查方式1

在 bash 中输入如下命令可以检测是否受影响:如果显示You are vulnerable,很遗憾,必须立即打上安全补丁修复

env t='() { :;}; echo You are vulnerable.' bash -c "true"

检查方式2

在 bash 中输入如下命令可以检测是否受影响:如输出 vulnerable,很遗憾,必须立即打上安全补丁修复

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

 

修复bash ShellShock系列漏洞

包管理器更新bash版本即可

yum -y update bash;/sbin/ldconfig;rpm -qa -changelog bash  | grep "2014"

修复后检查

sh bashcheck

 

shellshock20141011151102

参考

Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271)

Resolution for Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271) in Red Hat Enterprise Linux

CVE-2014-6271: remote code execution through bash

Bash 远程任意代码执行安全漏洞(最严重漏洞)

by ·2条评论

2014年6月5日OpenSSL.org官方发布OpenSSL存在诸多漏洞。这些漏洞可能导致中间人攻击,拒绝服务,任意代码执行,会话注入数据等威胁,严重影响到网站的安全。

官网详细信息看这里 http://www.openssl.org/news/secadv_20140605.txt

修复漏洞有:

SSL/TLS MITM vulnerability (CVE-2014-0224)
DTLS recursion flaw (CVE-2014-0221)
DTLS invalid fragment vulnerability (CVE-2014-0195)
SSL_MODE_RELEASE_BUFFERS NULL pointer dereference (CVE-2014-0198)
SSL_MODE_RELEASE_BUFFERS session injection or denial of service (CVE-2010-5298)
Anonymous ECDH denial of service (CVE-2014-3470)

 

Centos /Redhat 系统,官网制作最新的openssl rpm包速度是非常快的. 有现成的官方rpm包,没必要去编译安装.

 

#yum 升级 openssl

yum -y update openssl openssl-devel


#确定是否已经是最新修复了openssl漏洞的版本, 检查openssl 的 rpm changelog

rpm -q --changelog openssl |grep -E "2014|CVE-2010-5298"


#* Mon Jun 02 2014 Tomáš Mráz <tmraz@redhat.com> 1.0.1e-16.14

#- fix CVE-2010-5298 - possible use of memory after free
#- fix CVE-2014-0195 - buffer overflow via invalid DTLS fragment
#- fix CVE-2014-0198 - possible NULL pointer dereference
#- fix CVE-2014-0221 - DoS from invalid DTLS handshake packet
#- fix CVE-2014-0224 - SSL/TLS MITM vulnerability
#- fix CVE-2014-3470 - client-side DoS when using anonymous ECDH
#* Mon Apr 07 2014 Tomáš Mráz <tmraz@redhat.com> 1.0.1e-16.7
#- fix CVE-2014-0160 - information disclosure in TLS heartbeat extension  包括之前的心脏出血漏洞修复
#* Tue Jan 07 2014 Tomáš Mráz <tmraz@redhat.com> 1.0.1e-16.4
#* Mon Jan 06 2014 Tomáš Mráz <tmraz@redhat.com> 1.0.1e-16.3
# 可以看到最新漏洞都通通修复了~


#虽然openssl看到的版本号没变,但是已经是最新漏洞修复版本了,看看 编译时间

openssl version -a

#OpenSSL 1.0.1e-fips 11 Feb 2013
#built on: Thu Jun 5 12:49:27 UTC 2014
#platform: linux-elf
#options: bn(64,32) md2(int) rc4(8x,mmx) des(ptr,risc1,16,long) idea(int) blowfish(idx)
#compiler: gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DKRB5_MIT -DL_ENDIAN -DTERMIO -Wall -O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -#fexceptions -fstack-protector --param=ssp-buffer-size=4 -m32 -march=i686 -mtune=atom -fasynchronous-unwind-tables -Wa,--noexecstack -DPURIFY -DOPENSSL_BN_ASM_PART_WORDS -DOPENSSL_IA32_SSE2 -#DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DRMD160_ASM -DAES_ASM -DVPAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
#OPENSSLDIR: "/etc/pki/tls"
#engines: dynamic

 

by ·0评论

官网的rpm二进制包是不是不够用啊!什么都编译安装是否很蛋疼,我反正是这么觉得的,没必要什么东西非要自己编译安装。

在对版本没有特殊需求,不需要改动源码的情况下,果断的yum的方式安装rpm包吧。

yum 方式安装rpm包 和 用rpm包管理器命令安装rpm包,区别是:yum 方式安装rpm包会解决包依赖关系,而rpm包管理器直接安装rpm包,不会解决包依赖关系。

 

RepoForge 源

 

CentOS7.x安装RepoForge 源

wget http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.3-1.el7.rf.x86_64.rpm
yum -y install rpmforge-release-0.5.3-1.el7.rf.x86_64.rpm

 

CentOS6.x安装RepoForge 源

取自己对应的版本,我这里是centos6.x x64

yum -y install http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.3-1.el6.rf.x86_64.rpm

试试安装一个比自带的top好用的 htop “任务管理器”。

yum -y install htop

 

EPEL 源

CentOS7.x安装EPEL 源

64位系统

wget http://dl.fedoraproject.org/pub/epel/7/x86_64/e/epel-release-7-6.noarch.rpm
yum -y install epel-release-7-6.noarch.rpm
yum makecache
yum repolist
yum --enablerepo=epel info htop

 

CentOS6.x安装EPEL 源

32位系统

yum -y install https://dl.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm

64位系统

yum -y install https://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm

CentOS5.x安装EPEL 源

32位系统

yum -y install https://dl.fedoraproject.org/pub/epel/5/i386/epel-release-5-4.noarch.rpm

64位系统

yum -y install https://dl.fedoraproject.org/pub/epel/5/x86_64/epel-release-5-4.noarch.rpm

 

 

by ·0评论

    前言

MySQL衍生版 Percona Server的更多资料请搜索~ 对于如今mysql在甲骨文的掌控下,最为开源软件来说前景堪忧~ mysql的衍生版倒是有几个,这些东西到底能不能用? 红薯都用percona作为oschina的生产数据库了。我也不怕了!哈哈,上!坚决的上!因为我是先拿vps小内存的环境开刀(搞熟悉了上生产线),所以centos6系统为32位滴,那么64位、centos5等等,如法炮制即可~
对 Percona Server 的担忧,使用这个不会出问题吧,是不是和mysql都不一样。不用担心,mysql怎么用你他就怎么用,配置也是一样的。

继续阅读

by ·0评论

RPM packages for RHEL (CENTOS)5 and RHEL(CENTOS) 6

cd  /etc/pki/rpm-gpg

wget http://www.percona.com/downloads/RPM-GPG-KEY-percona

rpm -Uhv http://www.percona.com/downloads/percona-release/percona-release-0.0-1.x86_64.rpm
vi /etc/yum.repos.d/Percona.repo
写入
[percona]
name = CentOS $releasever - Percona
baseurl=http://repo.percona.com/centos/$releasever/os/$basearch/
enabled = 1
gpgkey = file:///etc/pki/rpm-gpg/RPM-GPG-KEY-percona
gpgcheck = 1

yum list | grep percona

yum install Percona-Server-server-55

如果出错

warning: rpmts_HdrFromFdno: Header V4 DSA signature: NOKEY, key ID cd2efd2a

GPG key retrieval failed: [Errno 5] OSError: [Errno 2] No such file or directory: ‘/etc/pki/rpm-gpg/RPM-GPG-KEY-percona’

cd  /etc/pki/rpm-gpg

wget http://www.percona.com/downloads/RPM-GPG-KEY-percona

官网yum apt-get安装文档

http://www.percona.com/doc/percona-server/5.5/installation.html

 

btw:mysql配置在线生成器  Percona配置在线生成器

Percona Online Tools

https://tools.percona.com/