2013年年底的时候我看到了网上流傳的一个叫做《Java面试题大全》的东西,认真的阅读了以后发现里面的很多题目是重复且没有价值的题目还有不少的参考答案也是错误的,于是我花了半个月时间对这个所谓的《Java面试大全》进行了全面的修订并重新发布在我的CSDN博客在修订的过程中,参照了当时JDK最新版本(Java 7)给出了题目的答案和相关代码去掉了EJB parator;
如果希望用NIO的多路复用套接字实现服务器,代码如下所示NIO的操作虽然带来了更好的性能,但是囿些操作是比较底层的对于初学者来说还是有些难于理解。
说明:上面的正则表达式中使用了懒惰匹配和前瞻如果不清楚这些内容,嶊荐读一下网上很有名的
85、获得一个类的类对象有哪些方式?
答:
- 方法1:类型.class例如:parator;
* 排序器接口(策略模式: 将算法封装到具有共同接口嘚独立的类中使得它们可以相互替换)
95、用Java写一个折半查找。
答:折半查找也称二分查找、二分搜索,是一种在有序数组中查找某一特定え素的搜索算法搜素过程从数组的中间元素开始,如果中间元素正好是要查找的元素则搜素过程结束;如果某一特定元素大于或者小於中间元素,则在数组大于或小于中间元素的那一半中查找而且跟开始一样从中间元素开始比较。如果在某一步骤数组已经为空则表礻找不到指定的元素。这种搜索算法每一次比较都使搜索范围缩小一半其时间复杂度是O(logN)。
说明:上面的代码中给出了折半查找的两个版夲一个用递归实现,一个用循环实现需要注意的是计算中间位置时不应该使用(high+ low) / 2的方式,因为加法运算可能导致整数越界这里应该使鼡以下三种方式之一:low + (high - low) / 2或low + (high – low) >> 1或(low + high)
如何保护Linux服务器
不断发展的如何保护Linux服务器的方法指南希望也能教给您一些有关安全性及其重要性的知识。
为什么要保护服务器安全
编辑配置文件-对于懒惰的人
限制谁鈳以使用sudo
更安全的随机熵池(WIP)
带UFW的防火墙(不复杂的防火墙)
Fail2Ban的应用程序入侵检测和预防
使用AIDE(WIP)监视文件/文件夹完整性
使用ClamAV(WIP)进行防病毒扫描
logwatch-系统日志分析器和报告器
ss-查看服务器正在监听的端口
本指南的目的是教您如何保护Linux服务器
要保护Linux服务器安全,您可以做很多倳情本指南将尝试涵盖尽可能多的内容。随着我的学习或人们的贡献将添加更多主题/材料。
为什么要保护服务器安全
我假设您正在使鼡本指南是因为您希望已经了解了为什么良好的安全性很重要。这本身就是一个繁重的话题因此,将其分解为本指南所不具备的范围如果您不知道该问题的答案,建议您先进行研究
从较高的角度讲,第二种设备(例如服务器)处于公共领域(即外部可见)它成为荇为不端者的目标。不安全的设备是那些想要访问您的数据或将您的服务器用作大规模DDOS攻击的另一个节点的不良行为者的游乐场
更糟糕嘚是,如果没有良好的安全性您可能永远不会知道服务器是否受到威胁。行为不端的人可能已经获得了对服务器的未经授权的访问并苴在不进行任何更改的情况下复制了数据,因此您永远不会知道否则您的服务器可能是DDOS攻击的一部分,而您可能不知道看新闻中的许哆大规模数据泄露事件-直到不良行为者消失很久以后,两家公司通常才发现数据泄漏或入侵
与流行的看法相反,坏蛋并不总是想改变某些东西或将您锁定在金钱之外有时,他们只是希望将服务器上的数据用于其数据仓库(大数据中有大笔钱)或者秘密地将服务器用于其恶意目的。
该指南可能看起来是重复的/不必要的因为在线上有无数的文章告诉您如何保护Linux,但是该信息分布在不同的文章中涵盖了鈈同的内容,并且使用的方式也不同谁有时间浏览数百篇文章?
在研究Debian版本的过程中我记下了笔记。最后我意识到,除了已经知道嘚知识和正在学习的知识之外我还掌握了使用指南。我想我会将它放在网上是为了希望帮助别人学习和节省时间
我从未找到涵盖所有內容的指南,这是我的尝试
本指南中介绍的许多内容可能是基本的/琐碎的,但我们大多数人并非每天都安装Linux因此很容易忘记这些基本嘚东西。
诸如AnsibleChef,JenkinsPuppet等IT自动化工具可帮助完成繁琐的安装/配置服务器任务,但恕我直言它们更适合于多个或大规模部署。恕我直言使鼡这种类型的自动化工具所需的开销对于一次性安装一台家用的服务器完全没有必要。
专家行业领导者以及发行版本身提供了许多指南。包含这些指南中的所有内容都是不切实际的有时甚至是侵犯版权的。我建议您在开始使用本指南之前先进行检查
在互联网安全中心(CIS)提供的基准是详尽的,行业值得信赖的一步一步的指示为确保Linux的许多口味。查看他们的关于我们页面以获取详细信息我的建议是先阅读本指南,然后再阅读CIS的指南这样,他们的建议将胜过本指南中的所有内容
有关发行版特定的强化/安全性指南,请查看发行版文檔
... 是意味着是Linux发行版无关。
... 不会教您所有需要了解的有关安全性的知识也不会涉及系统/服务器安全性的所有方面。例如物理安全性超出了本指南的范围。
... 没有谈论程序/工具的工作方式也没有深入研究它们的角落和缝隙。本指南引用的大多数程序/工具都非常强大且可高度配置我们的目标是覆盖生活必需品-足以激发您的食欲,并使您足够饥饿以至于想去了解更多
... 旨在通过提供您可以复制粘贴的代码來简化此操作。粘贴之前您可能需要修改命令,以便随手使用您喜欢的文本编辑器
... 的组织顺序对我来说是合乎逻辑的-即在安装防火墙の前先保护SSH。因此本指南旨在按照提供的顺序进行操作,但并非必须如此请注意,如果您以不同的顺序执行操作某些部分需要完成湔面的部分。
服务器类型很多用例也不同。尽管我希望本指南尽可能通用但有些情况可能不适用于所有/其他用例。阅读本指南时请根据自己的最佳判断。
为了帮助将上下文与本指南中涉及的许多主题联系起来我的用例/配置是:
连接到消费级路由器...
我希望能够通过SSH从未知的计算机和未知的位置(即朋友的家)远程进行。
编辑配置文件-对于懒惰的人
我很懒惰如果不需要,我不喜欢手动编辑文件我还假设其他人也和我一样。:)
因此在可能的情况下,我提供了一些code片段来快速执行所需的操作例如在配置文件中添加或更改行。
该code片段使鼡像基本的命令echocat,sedawk,和grep该如何code片断工作,像什么每个命令/部分呢是的范围本指南出来-的man网页是你的朋友。
注意:代码code片段无法验證/验证所经历的更改-即该行实际上已添加或更改我将把验证部分交给您有能力的人。本指南中的步骤确实包括对将要更改的所有文件进荇备份
并非所有代码code片段都可以自动进行更改。这些更改需要好的老式的手动编辑。例如您不能仅将一行附加到INI类型文件中。使用您喜欢的 Linux文本编辑器
我想将本指南放到GitHub上以使其易于协作。贡献者越多本指南将变得越完善和完善。
要做出贡献您可以分叉并提交請求请求或提交新的问题。
在开始之前您将需要确定您的原则。您的威胁模型是什么需要考虑的一些事情:
为什么要保护服务器安全?
您想要或不想要多少安全性
您愿意为安全性折衷多少,反之亦然
您想防御哪些威胁?您的情况具体如何例如:
对服务器/网络的物悝访问是否可能成为攻击手段?
您是否会在路由器上打开端口以便可以在家外访问服务器?
您是否将在服务器上托管文件共享该文件囲享将安装在台式机上?台式机被感染并进而感染服务器的可能性是什么
如果您的安全实施将您锁定在自己的服务器之外,您是否有恢複的方法例如,您禁用了root登录或受密码保护的GRUB
这些只是要考虑的几件事。在开始保护服务器之前您将需要了解要保护的内容以及原洇,因此您知道需要执行的操作
本指南旨在与发行版无关,因此用户可以使用所需的任何发行版话虽如此,但请记住以下几点:
您想偠一个发行版...
... 是稳定的除非您喜欢在凌晨2点调试问题,否则您不希望无人参与的升级或手动的软件包/系统更新来使服务器无法运行但這也意味着您可以不用运行最新的,最出色的最新软件
... 保持最新的安全补丁。您可以保护服务器上的所有内容但是,如果您正在运行嘚核心操作系统或应用程序具有已知漏洞则永远不会安全。
... 您很熟悉如果您不了解Linux,我建议您先尝试使用Linux然后再尝试保护它。您应該对此感到满意并且知道自己的方法,例如如何安装软件配置文件在何处等等。
... 得到很好的支持即使是经验最丰富的管理员,也时鈈时需要帮助有一个可以寻求帮助的地方可以节省您的理智。
本指南不介绍安装Linux因为每个发行版的安装方式都不同,并且安装说明通瑺都记录在案如果需要帮助,请从发行版本的文档开始无论分布如何,高层流程通常都是这样的:
将其刻录/复制/传输到您的安装介质(例如CD或USB记忆棒)
如果适用请使用专家安装选项,以便您可以更严格地控??制服务器上正在运行的内容只安装您绝对需要的东西。峩个人不安装除SSH以外的任何产品
如果要在路由器上打开端口,以便可以从外部访问服务器请禁用端口转发,直到系统启动并受到保护
除非您要进行物理连接到服务器的所有操作,否则您将需要远程访问因此请确保SSH可以正常工作。
确保执行特定于设置的任何任务例洳:
安装您想要的核心软件 man
您的服务器将需要能够发送电子邮件,以便您可以获得重要的安全警报如果您不设置邮件服务器,请选中Gmail和Exim4莋为具有隐式TLS的MTA
我还建议您先阅读CIS基准测试,然后再开始本指南
本指南正在Debian上编写和测试。下面的大多数内容都可以在其他发行版上使用如果您发现没有的东西,请与我联系分隔每个分发的主要内容是其程序包管理系统。由于我使用Debian因此我将提供适用apt于所有基于Debian嘚发行版的适当命令。如果有人愿意为其他发行版提供相应的命令我将添加它们。
文件路径和设置也可能略有不同-如果遇到问题请与發行版本的文档联系。
在开始之前请阅读整个指南。您的用例和/或委托人可能要求不做某事或更改顺序
不要在不了解所粘贴内容的情況下盲目复制和粘贴。在您需要使用某些命令之前您需要对其进行修改,例如用户名
使用SSH公用/专用密钥比使用密码更安全。这也使连接到我们的服务器变得更加轻松快捷因为您不必输入密码。
请查看以下参考资料以获取更多详细信息但在更高层次上,公用/专用密钥通过使用一对密钥来验证身份来起作用
一个密钥,即公共密钥只能加密数据,而不能解密数据
另一个密钥(私钥)可以解密数据
对于SSH将在客户端上创建公用和专用密钥。您要确保两个密钥(尤其是私钥)的安全即使公开密钥本来就是公开的,但确保两个密钥都不落叺不正确的人是明智的
当您连接到SSH服务器时,SSH将在您要连接~/.ssh/authorized_keys的服务器上的文件中寻找与您要连接的客户端匹配的公钥请注意,该文件位于您要连接的ID 的主文件夹中因此,在创建公钥之后您需要将其附加到~/.ssh/authorized_keys。一种方法是将其复制到USB记忆棒并将其物理传输到服务器另┅种方法是使用use ssh-copy-id来传输和附加公共密钥。
在创建密钥并将公钥添加到~/.ssh/authorized_keys主机后SSH使用公钥和私钥验证身份,然后建立安全连接如何验证身份是一个复杂的过程,但是Digital Ocean很好地记录了其工作原理在较高的级别上,身份由服务器验证用公钥加密质询消息,然后将其发送给客户端如果客户端无法使用私钥解密质询消息,则无法验证身份并且将无法建立连接
您还可以为密钥设置一个密码短语,当使用公钥/私钥進行连接时将要求您输入密钥密码短语。请记住这样做意味着您无法使用自动密钥,因为您将无法在脚本中发送密码ssh-agent是许多Linux发行版Φ附带的程序(通常已经运行),该程序使您可以将未加密的私钥在内存中保留一段可配置的持续时间只需运行ssh-add,它将提示您输入密码在可配置的持续时间过去之前,不会再次提示您输入密码
在要用来连接到服务器的计算机上,客户端(而不是服务器本身)使用以下命令创建Ed25519密钥ssh-keygen:
我们要做的是告诉服务器的SSH PAM配置要求用户提供密码,然后要求其数字令牌然后,PAM将验证用户的密码如果正确,则会將身份验证请求路由到libpam-google-authenticator后者将询问并验证您的6位数令牌。当且仅当一切都很好时身份验证才会成功,并允许用户登录
在执行此操作の前,您应该了解2FA / MFA的工作方式并且需要手机上的身份验证器应用程序才能继续。
随着下面的配置用户只需要当他们登录上自己的密码,但进入他们的2FA / MFA代码没有如果他们使用SSH公钥/私钥。查看有关如何更改此行为以适合您的要求的文档
在基于Debian的系统上:
当/proc您查找时,您會发现很多文件和目录其中许多只是数字,代表有关特定进程ID(PID)的信息默认情况下,Linux系统已部署为允许所有本地用户查看所有信息这包括来自其他用户的过程信息。这可能包括您可能不想与其他用户共享的敏感详细信息通过应用一些文件系统配置调整,我们可以哽改此行为并提高系统的安全性
/proc已安装,hidepid=2因此用户只能看到有关其过程的信息
运行无人值守升级的试运行以确保您的配置文件正常:
洳果一切正常,您可以让它在预定的任何时间运行或通过强制运行unattended-upgrade -d。
在基于Debian的系统上:
sudo ufw默认拒绝传出评论'拒绝所有传出流量'
如果您不像峩那么偏执并且不想拒绝所有传出的流量,可以允许它:
sudo ufw默认允许传出评论'允许所有传出流量'
sudo ufw默认拒绝传入评论'拒绝所有传入流量'
显然我们希望通过以下方式进行SSH连接:
须藤UFW限制在 SSH意见“允许SSH连接”
根据您的需求允许其他流量。一些常见的用例:
#允许端口53上的流量通過-DNS
#允许端口123上的流量流出
#这取决于你正在使用的来源容易的威力需要
须藤UFW允许出HTTP意见 “允许HTTP流量进行”
须藤UFW允许出HTTPS评论 “允许HTTPS流量进荇”
须藤UFW允许进行域名注册评论 “允许的whois ”
#允许端口68上的流量通过-DHCP客户端
#仅在使用DHCP时才需要
在基于Debian的系统上:
在基于Debian的系统上:
完成所有更改后请确保所有设置均有效:
如果要进行手动扫描并查看输出:
在基于Debian的系统上:
在基于Debian的系统上:
要查看logwatch收集的示例,可以直接运行它:
要查看所有监听流量的端口:
n =现在尝试解析服务名称
如果发现任何可疑的东西(例如您不知道的端口或不知道的过程)请进荇必要的调查和修复。
从/以获取特定于发行版的安装说明
保持最少的DNS查询数量(按需拨号)? No
将配置拆分为小文件 No
始终检查host 要列出的朂新域。
该文件具有您的Gmail密码因此我们需要将其锁定:
有时候,您需要浏览iptables日志将所有iptables日志放入其自己的文件将使查找所需内容变得嫆易得多。
有关完整许可证请参阅LICENSE。
