php官方在其主页上发表了一个安全公告,表示曾经可能被成功入侵,但是经过排查源码并未被植入后门作为一款被广泛使用的开发语言,php源码的安全性令人堪忧,最近php官方就在一则公告里表明有人曾经成功侵入到php官方服务器内,并且成功渗透到php源码的修改权限,尽管经过排查表明入侵者并没有植入后门,但是已经表明了php源码存在风险的可能。最初的消息提交在wooyun安全信息报告平台上,提交者附上了原始的截图
图片显示wiki.php.net被成功入侵
攻击者测试成功修改了php的源码,并且有意思的他只是在phpinfo里留下了Wolegequ,Geliveable字样,似乎只是尝试是否能够对php源码成功修改,并且这些字样也表明应该是一个国内黑客所为。提交信息的昵称为BNE的人也并没有提到这些截图是如何获得的,也没有回应是否官方的公告是正确的。最原始的公告在http://www.wooyun.org/bugs/wooyun-2010-01635注:wooyun.org是一个安全信息报告平台,有很多安全爱好者在这里提交国内外主要厂商的安全问题,包括之前的微软的mhtml漏洞,IE8 css渲染问题,以及Google的一些安全问题都在这里被公开然后才被发布到国外的安全社区里。转自cnbeta
SSH-KeyGen 的用法
假设 A 为客户机器,B为目标机;
要达到的目的:
A机器ssh登录B机器无需输入密码;
加密方式选 rsa|dsa均可以,默认dsa
做法:
1、登录A机器
2、ssh-keygen -t [rsa|dsa],将会生成密钥文件和私钥文件 id_rsa,id_rsa.pub或id_dsa,id_dsa.pub
3、将 .pub 文件复制到B机器的 .ssh 目录, 并 cat id_dsa.pub >> ~/.ssh/authorized_keys
4、大功告成,从A机器登录B机器的目标账户,不再需要密码了;
ssh-keygen做密码验证可以使在向对方机器上ssh ,scp不用使用密码.
具体方法如下:
ssh-keygen -t rsa
然后全部回车,采用默认值.
这样生成了一对密钥,存放在用户目录的~/.ssh下。
将公钥考到对方机器的用户目录下,并拷到~/.ssh/authorized_keys中。
要保证.ssh和authorized_keys都只有用户自己有写权限。否则验证无效。