Windows打印机漏洞修复
知识文档:
CVE-2021-34527
漏洞风险描述:Windows 打印后台处理程序远程代码执行漏洞 (CVE-2021-34527)
当 Windows 打印后台处理程序服务不正确地执行特权文件操作时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以使用系统特权运行任意代码。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
解决方法Powershell运行PowerShell:Win+X,选择以管理员身份运行命令行或 Windows Terminal;确定打印后台处理程序服务是否正在运行:
1Get-Service -Name Spooler
关闭并禁用打印后台处理程序服务:
12Stop-Service -Name Spooler -ForceSet-Service -Name Spooler -StartupType Disabled
注意:禁用打印后台处理程序服务会禁用本地和远程打印功能
手动关闭
ansible role远程关闭
Windows端需要提前进行环境配置,文档请参考ansible 远程Windows主机;
配置i ...
AWS S3 Bucket 简介
知识文档:
产品介绍
DOSC
对象存储 Amazon S3Amazon Simple Storage Service (Amazon S3) 是一种对象存储服务,提供行业领先的可扩展性、数据可用性、安全性和性能。Amazon S3 可达到 99.999999999%(11 个 9)的持久性,并为全球各地的公司存储数百万个应用程序的数据。
使用 Amazon S3 的优势Amazon S3 特意内置了着重于简易性和稳健性的最小功能集。以下是使用 Amazon S3 的一些优势:
创建存储桶 – 创建和命名存储数据的存储桶。存储桶是 Amazon S3 中用于数据存储的基础容器。
存储数据 – 在存储桶中存储无限量的数据。可将所需数量的对象上传到 Amazon S3 存储桶。每个对象可包含最多 5 TB 的数据。使用开发人员分配的唯一键值存储和检索每个对象。
下载数据 – 下载您的数据或允许其他人进行下载。随时下载您的数据或允许其他人进行下载。
权限 – 对于要在您的 Amazon S3 存储桶中上传或下载数据的其他人员,您可以授予其访问权限或拒绝其访问。将上传和下载的许可授 ...
s3cmd—AWS S3存储桶管理工具
s3cmd 是用于创建S3桶,上传,检索和管理数据到对象存储命令行实用程序。 本文将指导linux下安装s3cmd程序,以及对象存储服务桶和对象数据管理,包括创建桶、上传、检索、删除及本地与对象存储服务间数据同步等。本文以下内容将以CentOS 7.3的弹性云服务器为例,windows操作系统使用类似。
1. 安装s3cmd1$ yum -y install s3cmd
2. 配置s3cmd执行 $ s3cmd --configure生成配置文件,一路Enter,注意跳过认证并保存配置
123456.........Test access with supplied credentials? [Y/n] nSave settings? [y/N] yConfiguration saved to '/root/.s3cfg'
修改一下几项:
123456$ vim /root/.s3cfgaccess_key = xxxsecret_key = xxxhost_base = ip: ...
AWS应用程序负载均衡的使用
配置负载均衡器名称:就是ELB的标识名称模式:如果是需要对外Internet访问就选择面向internet;如果是内网服务使用,就选择内部侦听器:就是填写监听的端口,端口号,自定义
可用区:(这个比较重要)你后端的那些机器在那个VPC、子网、可用区内,这里你就选哪个。例如,我的两台web在默认VPC内的,az-1a和az-1d内,所以我在ALB选择可用区的话,就选择az-1a和az-1d
查看后端实例所在的可用区
ALB设置可用区
配置安全组此安全组跟实例的安全组不是一个。详情区分请看,如何理解使用安全组和NACL
配置路由目标组:就是后端使用机器的群组,新建或者选择现有的名称:标记性名称协议:就是ALB到后端服务器之前的协议。端口:这个是后端服务的端口。如果是访问NLB的80端口转到后端机器8080的端口。这里就要填8080了。80—》8080目录类型:这里要选择instance(实例类型)
注册目标这里选择的要注意:
1、在下方选择相应的实例,记住你这里的机器所处的可用区必须要和前面选的可用区是一样的,要不无法使用
2、选择好实例后,记住!一定要点击添加到已注册!!如果 ...
AWS 侦听器配置管理
知识文档:
ALB侦听器
ELB disable TLSv1.0
Application Load Balancer 的侦听器在开始使用 应用程序负载均衡器 之前,您必须添加一个或多个侦听器。侦听器是一个使用您配置的协议和端口检查连接请求的进程。您为侦听器定义的规则确定负载均衡器如何将请求路由到其已注册目标。
更新HTTPS侦听器更新安全策略:ELB disable TLSv1.0
在创建 HTTPS 侦听器时,您可以选择满足您的需求的安全策略。添加新的安全策略后,您可以将 HTTPS 侦听器更新为使用此新安全策略。Application Load Balancer 不支持自定义安全策略。
使用控制台更新安全策略:
打开 Amazon EC2 控制台 https://console.aws.amazon.com/ec2/
在导航窗格上的 LOAD BALANCING 下,选择 Load Balancers。
选择负载均衡器,然后选择 Listeners。
选中 HTTPS 侦听器对应的复选框,然后选择 Edit (编辑)。
对于 Security policy (安全策略), ...
自定义监控 EC2 内存和磁盘使用率
知识文档:
监控EC2内存和磁盘使用率
设置SNS通知
AWS提供的CloudWatch中,没有提供内存使用率和磁盘使用率的信息,因此需要手动添加cron不过,AWS提供了官方的脚本,可以直接下载安装;环境以Amazon Linux 2 或 Amazon Linux AMI 为例
Role权限首先确保用户权限中有操作权限,没有的话,用户界面添加:
cloudwatch:PutMetricData
cloudwatch:GetMetricStatistics
cloudwatch:ListMetrics
ec2:DescribeTags
依赖包的安装1sudo yum install -y perl-Switch perl-DateTime perl-Sys-Syslog perl-LWP-Protocol-https perl-Digest-SHA.x86_64
安装监控脚本下载、安装和配置监控脚本:
1curl https://aws-cloudwatch.s3.amazonaws.com/downloads/CloudWatch ...
AWS ELB介绍
知识文档:
Elastic Load Balancing 概况
Elastic Load Balancing 文档
概况Elastic Load Balancing 在多个目标(如 Amazon EC2 实例、容器、IP 地址和 Lambda 函数)之间自动分配传入的应用程序流量。它可以在单个可用区内处理不断变化的应用程序流量负载,也可以跨多个可用区处理此类负载。
Elastic Load Balancing 支持三种类型的负载均衡器:
Application Load Balancer(7层应用程序负载均衡器)
Network Load Balancer (4层网络负载均衡器)
Classic Load Balancer(传统负载均衡器)#这个使用很少了
可以根据应用程序需求选择不同类型的负载均衡器
底层实现原理
1、ELB由负载均衡器和目标组组成
2、⭐️A、B为两个安全组。
3、负载均衡器里面的实例地址IP也占用VPC子网的IP,并且负载均衡器里面的实例可以自动伸缩;负载均衡器内的实例对用户不可见;
4、VPC子网划分,IP使用数量,也要考虑elb的自动伸缩的场景; ...
EC2监控最佳实践
EC2监控最佳实践使用以下监控最佳实践,帮助您执行 Amazon EC2 监控任务。
让监控成为优先事务,阻止小问题演变为大问题。
创建并实施从 AWS 解决方案各个部分收集监控数据的监控计划,以便更轻松地调试发生的多点故障。您的监控计划至少应该解决以下问题:
您的监控目标是什么?
您将监控哪些资源?
监控这些资源的频率如何?
您将使用哪些监控工具?
谁负责执行监控任务?
出现错误时应通知谁?
尽可能自动监控任务。
检查 EC2 实例的日志文件。
使用 EC2 控制台创建警报
知识文档:
为实例创建 CloudWatch 警报
使用CloudWatch 警报
您可以使用 Amazon EC2 控制台创建 CloudWatch 警报,或者使用 CloudWatch 控制台提供的更多高级选项。
当该指标达到指定阈值时,CloudWatch 自动向您发送通知。
使用 CloudWatch 控制台创建警报有关示例,请参阅Amazon CloudWatch 用户指南中的创建 Amazon CloudWatch 警报。
使用 Amazon EC2 控制台创建警报
打开 Amazo ...
Lambda + Cloud Watch定时维护EC2
知识文档:
Lambda
Cloudwatch
有时候在EC2上的一些业务只需要在每天的某个时间段对外提供服务,其余的时候是处于闲置空转的状态。但付费方式为EC2的按需收费,那么闲置时间产生的费用就显得浪费了。怎么办呢?通过Lambda服务结合Cloudwatch规则,实现实例的定时开关,达到节约成本的目的。
业务需求:
每天上午(UTC)9:00~20:00,将实例启动使其处于running状态
每天晚上(UTC)20:00~次日上午9:00,将实例停止使其处于stopped状态。
环境需要用到的AWS服务包括:
EC2:即云端虚拟机,将用于运行我们的脚本。
Lambda, 用于操作我们的EC2实例,即启动和关闭。
IAM, AWS Identity and Access Management, 用于赋予Lambda函数操作我们EC2实例的权限。
Cloud Watch, 用于定时执行我们的Lambda函数,达到定时开关机的效果。
EC2实例的创建步骤这里就不介绍了,可以参考AWS 官方文档。
测试资源如下:
Name
实例ID
XLDSMILE-U ...
自定义创建 Amazon EBS 支持的AMI
知识文档:
创建 Amazon EBS 支持的 Linux AMI
自定义AMI,可以让我们结合日常工作,预置好一些应用程序或配置,以缩短配置耗时。
此外,您还可以借助自定义 AMI 对底层组件 (如 Linux 内核) 进行更改,这在配置文件中很难实现或需要很长时间才能完成。
AMI 包括以下内容:
一个或多个 Amazon Elastic Block Store (Amazon EBS) 快照;对于由实例存储支持的 AMI,包括一个用于实例(例如,操作系统、应用程序服务器和应用程序)根卷的模板。
控制可以使用 AMI 启动实例的 AWS 账户的启动许可。
数据块设备映射,指定在实例启动时要附加到实例的卷。
选择适合的AMI可以基于以下特性选择要使用的 AMI:
区域 (请参阅区域和可用区)
操作系统
架构 (32 位或 64 位)
启动许可
根设备存储
AMI类型确定 AMI 的根设备类型使用控制台确定 AMI 的根设备类型:
打开 Amazon EC2 控制台。
在导航窗格中,单击 AMI,然后选择 AMI。
在 Details (详细信息) 选项卡中检查 R ...