Lightbeard's questions

我们正在经历基于CIS强化 Amazon Linux 1 的过程。

在“预期值”下控制 5.2.12 状态：

以下列表字符串值X表示/etc/ssh/sshd_config文件中定义 的MAC设置的当前状态。

======期望值======
包含正则表达式列表
hmac-sha2-512-etm@openssh.com
hmac-sha2-256-etm@openssh.com
umac-128-etm@openssh .com
hmac-sha2-512 hmac-sha2-256
umac-128@openssh.com curve25519-sha256@libssh.org
diffie -hellman
-group-exchange-sha256

基于此设置的 RHEL 文档，我们将以下内容附加到/etc/ssh/sshd_config：

MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com,curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256

/etc/init.d/sshd restart导致以下错误：

启动 sshd：/etc/ssh/sshd_config 第 142 行：Bad SSH2 Mac spec 'hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com ,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com,curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256'。[失败的]

我们如何在 Amazon Linux 上配置 SSHD MAC？

假设我们有两个 AWS 帐户：Account-A、Account-B 和一个在 AccountA 上运行的 ec2 实例。

aws ec2 describe-instances~/.aws/credentials对于没有具有实例角色的文件的实例自己的帐户，可以按预期工作。

我的目标是aws ec2 describe-instances从这个实例中为 Account-B 运行。

以下命令起作用并输出凭据：

$ aws sts assume-role --role-arn arn:aws:iam::012345678901:role/accountb-role --role-session-name test

但是，这不会：

$ aws ec2 describe-instances --profile AccountB

'aws_access_key_id'

~/.aws/config

[default]
region = us-east-1

[profile AccountB]
role_arn = arn:aws:iam::012345678901:role/accountb-role
source_profile = default

正如我提到的，~/.aws/credentials不存在，因为实例使用 IAM 的实例角色。

accountb-role 信任关系策略

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "lambda.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    },
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::012345678900:role/accounta-role"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

实例内联策略

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1490625590000",
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": [
                "arn:aws:iam::012345678901:role/accountb-role"
            ]
        }
    ]
}

实例accounta-role角色和附加accountb-role的股票ReadOnlyAccessIAM 策略。

我有两个独立的服务器，都运行 Ubuntu 8.04。

服务器 1 拥有我们网站的真实域名，我们将其称为example.com. 服务器 2 是我使用 postfix/courier 设置的邮件服务器。此服务器的主机名是mail.example.com。

我在服务器 1 上设置了 iptables，将端口 25 上的所有流量转发到服务器 2。我使用了这个脚本（除了我将目标 IP 地址和端口从 80 更改为 25）。

当我向它发送电子邮件时，user@mail.example.com它可以工作。但是，当我尝试user@example.com从 gmail 发送电子邮件时，我收到此错误： 550 550 #5.1.0 Address rejected user@example.com (state 14)

/var/log/mail.log发生这种情况时不显示新行。

奇怪的是它可以在我的本地机器上使用 telnet。例如：

$ 远程登录 example.com 25
220 VO13421.localdomain SMTP 后缀
EHLO example.com
250-VO13421.localdomain
250-流水线
250 尺寸 10240000
250-ETRN
250-STARTTLS
250 增强状态代码
250-8BITMIME
250 DSN
发件人：me@gmail.com
250 2.1.0 好的
RCPT 收件人：user@example.com
250 2.1.5 好的
数据
354 请开始邮件输入。
你好用户...你好吗？
.
250 邮件排队等待投递。
退出
221 关闭连接。再见。

/var/log/mail.log显示成功（并且电子邮件发送到 maildr）：

2 月 24 日 09:47:36 VO13421 后缀/smtpd[2212]：从 81.208.68.208.static.dnsptr.net[208.68.xxx.xxx] 连接
2 月 24 日 09:48:01 VO13421 后缀/smtpd [2212]：警告：忽略“许可”后的限制“smtpd_data_restrictions”
2 月 24 日 09:48:01 VO13421 后缀/smtpd[2212]: 65C68120321: client=81.208.68.208.static.dnsptr.net[208.68.xxx.xxx]
2 月 24 日 09:48:29 VO13421 后缀/smtpd [2212]：警告：忽略“许可”后的限制“smtpd_data_restrictions”
2 月 24 日 09:48:29 VO13421 后缀/smtpd[2212]: 6BDFA120321: client=81.208.68.208.static.dnsptr.net[208.68.xxx.xxx]
2 月 24 日 09:48:29 VO13421 后缀/清理 [2216]: 6BDFA120321: message-id=
Feb 24 09:48:29 VO13421 postfix/qmgr[2042]: 6BDFA120321: from=, size=395, nrcpt=1 (queue active)
2 月 24 日 09:48:29 VO13421 后缀/虚拟[2217]：6BDFA120321：to=，relay=virtual，delay=0.28，delays=0.25/0.02/0/0.01，dsn=2.0.0，status=sent（发送到邮件目录）
2 月 24 日 09:48:29 VO13421 后缀/qmgr[2042]：6BDFA120321：已删除
2 月 24 日 09:48:30 VO13421 后缀/smtpd[2212]：断开与 81.208.68.208.static.dnsptr.net[208.68.xxx.xxx] 的连接

iptables -L -n -v --line在 example.com 上产生以下内容。任何人都知道一个 iptables 命令来查看端口转发？此外，它似乎接受所有流量，这可能很糟糕吧？;]

num pkts bytes target prot opt in out source destination
1 14041 1023K 全部接受 -- * * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD（策略接受 0 个数据包，0 个字节）
num pkts bytes target prot opt in out source destination
1 338 20722 接受所有 -- * * 0.0.0.0/0 0.0.0.0/0

链输出（策略接受 419K 数据包，425M 字节）
num pkts bytes target prot opt in out source destination
1 13711 2824K 全部接受 -- * * 0.0.0.0/0 0.0.0.0/0

postconf -n结果是：

alias_database = hash:/etc/postfix/aliases
alias_maps = hash:/etc/postfix/aliases
append_dot_mydomain = 否
比夫=没有
config_directory = /etc/postfix
delay_warning_time = 4h
disable_vrfy_command = 是
inet_interfaces = 所有
local_recipient_maps =
邮箱大小限制 = 0
masquerade_domains = mail.example.com mail1.example.com
masquerade_exceptions = 根
最大退避时间 = 8000 秒
最大队列寿命 = 7d
minimum_backoff_time = 1000s
我的目的地 =
我的网络 = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mynetworks_style = 主机
myorigin = example.com
自述目录 = 否
收件人分隔符 = +
中继主机 =
smtp_helo_timeout = 60s
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_banner = $myhostname SMTP $mail_name
smtpd_client_restrictions = reject_rbl_client sbl.spamhaus.org，reject_rbl_client blackholes.easynet.nl，reject_rbl_client dnsbl.njabl.org
smtpd_delay_reject = 是
smtpd_hard_error_limit = 12
smtpd_helo_required = 是
smtpd_helo_restrictions = permit_mynetworks、warn_if_reject reject_non_fqdn_hostname、reject_invalid_hostname、permit
smtpd_recipient_limit = 16
smtpd_recipient_restrictions = reject_unauth_pipelining，permit_mynetworks，reject_non_fqdn_recipient，reject_unknown_recipient_domain，reject_unauth_destination，允许 smtpd_data_restrictions = reject_unauth_pipelining
smtpd_sender_restrictions = permit_mynetworks、warn_if_reject reject_non_fqdn_sender、reject_unknown_sender_domain、reject_unauth_pipelining、permit
smtpd_soft_error_limit = 3
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = 是
unknown_local_recipient_reject_code = 450
virtual_alias_maps = mysql:/etc/postfix/mysql_alias.cf
virtual_gid_maps = mysql:/etc/postfix/mysql_gid.cf
virtual_mailbox_base = /var/spool/mail/virtual
virtual_mailbox_domains = mysql:/etc/postfix/mysql_domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql_mailbox.cf
virtual_uid_maps = mysql:/etc/postfix/mysql_uid.cf

我们在 Ubuntu Hardy (8.04) 上安装了 db2 express-c x86_64。当我尝试启动服务器时，我们看到以下我们认为阻止 db2 获取端口 50000（nmap -sS -O 127.0.0.1不显示 db2）：

$ . ~db2inst1/sqllib/db2profile
$ db2start
SQL5043N 对一种或多种通信协议的支持未能成功启动。然而，共
re 数据库管理器功能已成功启动。

这是db2diag显示的内容：

2010-02-15-20.55.03.560232-360 I51779E417 级别：事件
PID：2044 TID：47604511533392PROC：db2sysc
实例：db2inst1 节点：000
EDUID：1 EDUNAME：db2sysc
功能：DB2 UDB，快速通信管理器，sqlkf_init_allocate_shared，探针：500
START : FCM 基础设施启动
FCM 在非共享模式下运行；FCM并行度：1；通讯协议：TCP/IPv4

2010-02-15-20.55.04.266997-360 I52197E459 级别：错误
PID：2044 TID：47604511533392PROC：db2sysc
实例：db2inst1 节点：000
EDUID：1 EDUNAME：db2sysc
FUNCTION：DB2 UDB，普通通信，sqlcctcpconnmgr，probe:5
MESSAGE : DIA3201E 数据库中指定的服务名称“db2c_db2inst1”
          在 TCP/IP 服务中找不到管理器配置文件
          文件。

2010-02-15-20.55.05.404750-360 E52657E305 级别：事件
PID：2039 TID：48004268800672PROC：db2star2
实例：db2inst1 节点：000
功能：DB2 UDB，基本系统实用程序，DB2StartMain，探针：911
MESSAGE : ADM7513W 数据库管理器已启动。
开始：DB2 DBM