LINUX系統(tǒng)有哪些危險命令

這9個“非常危險”的Linux命令一定要記住!

舞陽ssl適用于網(wǎng)站、小程序/APP、API接口等需要進行數(shù)據(jù)傳輸應(yīng)用場景，ssl證書未來市場廣闊！成為創(chuàng)新互聯(lián)建站的ssl證書銷售渠道，可以享受市場價格4-6折優(yōu)惠！如果有意向歡迎電話聯(lián)系或者加微信：18982081108（備注：SSL證書合作）期待與您的合作！

1、rm-rf命令

rm-rf命令是刪除文件夾及其內(nèi)容最快的一種方式，僅僅一丁點的敲錯或者無知都可能導(dǎo)致不可恢復(fù)的系統(tǒng)崩壞。

rm命令在Linux下通常用來刪除文件

rm-f命令遞歸的刪除文件夾，甚至是空的文件夾

rm-f命令能不經(jīng)過詢問直接刪除只讀文件

rm-rf/：強制刪除根目錄下所有東西

rm-rf/*：強制刪除當(dāng)前目錄的所有文件

rm-rf.：強制刪除當(dāng)前文件夾及其子文件

溫馨提示：當(dāng)你要執(zhí)行rm -rf命令時，一定要留心，可以在“.bashrc”文件對“rm”命令創(chuàng)建rm

-i的別名，來預(yù)防用‘rm’命令刪除文件時的事故。

2、:(){:|:};:命令

這就是一個fork炸彈的實例。具體操作是通過定義一個名為'：'的函數(shù)，它會調(diào)用自己兩次，一次在前臺另一次運行在后臺。它會反復(fù)的執(zhí)行下去直到系統(tǒng)崩潰。

3、命令 /dev/sda

上列命令會將某個'命令'的輸出寫到塊設(shè)備/dev/sda中。該操作會將在塊設(shè)備中的所有數(shù)據(jù)塊替換為命令寫入的原始數(shù)據(jù)，從而導(dǎo)致整個塊設(shè)備的數(shù)據(jù)丟失。

4、mv文件夾/dev/null

這個命令會移動某個'文件夾'到/dev/null。在Linux中/dev/null或null設(shè)備是一個特殊的文件，所有寫入它的數(shù)據(jù)都會被清除，然后返回寫操作成功。

5、wget -O- | sh

上面這個命令會從一個惡意源下載一個腳本并執(zhí)行。Wget命令會下載這個腳本，而sh會執(zhí)行下載下來的腳本。

溫馨提示：你應(yīng)該時刻注意你下載包或者腳本的源。只能使用那些從可信任的源中下載腳本/程序。

6、mkfs.ext3 /dev/sda

上列命令會格式化設(shè)備'sda'，你無疑知道在執(zhí)行上列命令后你的塊設(shè)備會被格式化，嶄新的。沒有任何數(shù)據(jù)，直接讓你的系統(tǒng)達到不可恢復(fù)的階段。

7、 file

上面命令常用來清空文件內(nèi)容，如果用上列執(zhí)行時輸入錯誤或無知的輸入類似“ xt.conf”　的命令會覆蓋配置文件或其他任何的系統(tǒng)配置文件。

8、^foo^bar

這個命令用來編輯先前運行的命令而無需要打整個命令。但當(dāng)用foobar命令時如果你沒有徹底檢查改變原始命令的風(fēng)險，這可能導(dǎo)致真正的麻煩。

9、dd if=/dev/random of=/dev/sda

上面這個命令會向塊設(shè)備sda寫入隨機的垃圾文件從而擦出數(shù)據(jù)。當(dāng)然，你的系統(tǒng)可能陷入混亂和不可恢復(fù)的狀態(tài)。

如何在Linux上高效阻止惡意IP地址

在Linux中，只要借助netfilter/iptables框架，就很容易實現(xiàn)阻止IP地址這一目的：

$ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP

如果你想要禁止某一整個IP地址區(qū)段，也能同樣做到這一點：

$ sudo iptables -A INPUT -s 1.1.2.0/24 -p TCP -j DROP

不過，要是你有1000個沒有共同CIDR(無類別域間路由)前綴的獨立IP地址想要禁止訪問，該如何是好?那你就要設(shè)定1000個iptables規(guī)則!很顯然這種方法不具有良好的擴展性。

$ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP

$ sudo iptables -A INPUT -s 2.2.2.2 -p TCP -j DROP

$ sudo iptables -A INPUT -s 3.3.3.3 -p TCP -j DROP

. . . .

何謂IP集?

這時候，IP集(IP set)就能派得上大用場。IP集是一種內(nèi)核功能，允許多個(獨立)IP地址、MAC地址或者甚至多個端口號高效地編碼并存儲在比特圖/散列內(nèi)核數(shù)據(jù)結(jié)構(gòu)里面。一旦創(chuàng)建了IP集，就能創(chuàng)建與該集匹配的iptables規(guī)則。

你應(yīng)該會立馬看到使用IP集帶來的好處，那就是你只要使用一個iptables規(guī)則，就能夠與IP集中的多個IP地址進行匹配!你可以結(jié)合使用多個IP地址和端口號來構(gòu)建IP集，還可以用IP集動態(tài)更新iptables規(guī)則，對性能根本沒有任何影響。

將IPset工具安裝到Linux上

想創(chuàng)建并管理IP集，你就需要使用一種名為ipset的用戶空間工具。

想將ipset安裝到Debian、Ubuntu或Linux Mint上：

$ sudo apt-get install ipset

想將ipset安裝到Fedora或CentOS/RHEL 7上：

$ sudo yum install ipset

使用IPset命令禁止IP地址

不妨讓我通過幾個簡單的例子，具體介紹如何使用ipset命令。

首先，不妨創(chuàng)建一個新的IP集，名為banthis(名稱隨意)：

$ sudo ipset create banthis hash:net

上述命令中的第二個變量(hash:net)必不可少，它代表了所創(chuàng)建的集的類型。IP集有多種類型。hash:net類型的IP集使用散列來存儲多個CIDR區(qū)段。如果你想在該集中存儲單個的IP地址，可以改而使用hash:ip類型。

一旦你創(chuàng)建了一個IP集，就可以使用該命令來檢查該集：

$ sudo ipset list

這顯示了可用IP 集的列表，另外還顯示了每個集的詳細信息，其中包括集成員。默認情況下，每個IP集可以最多含有65536個元素(這里是CIDR區(qū)段)。你只要在后面添加“maxelem N”選項，就可以調(diào)大這個極限值。

$ sudo ipset create banthis hash:net maxelem 1000000

現(xiàn)在不妨將IP地址區(qū)段添加到該集：

$ sudo ipset add banthis 1.1.1.1/32

$ sudo ipset add banthis 1.1.2.0/24

$ sudo ipset add banthis 1.1.3.0/24

$ sudo ipset add banthis 1.1.4.10/24

你會發(fā)現(xiàn)，集成員已發(fā)生了變化。

$ sudo ipset list

現(xiàn)在可以使用該IP集來創(chuàng)建一個iptables規(guī)則了。這里的關(guān)鍵在于，使用“-m set --match-set ”這個選項。

不妨創(chuàng)建一個iptables規(guī)則，阻止該集中的所有那些IP地址區(qū)段通過端口80訪問網(wǎng)站服務(wù)器。這可以通過這個命令來實現(xiàn)：

$ sudo iptables -I INPUT -m set --match-set banthis src -p tcp --destination-port 80 -j DROP

如果你想，還可以將特定的IP集保存到一個文件中，然后以后可以從該文件來恢復(fù)：

$ sudo ipset save banthis -f banthis.txt

$ sudo ipset destroy banthis

$ sudo ipset restore -f banthis.txt

在上述命令中，我試著使用destroy選項來刪除現(xiàn)有的IP集，看看我能不能恢復(fù)該IP集。

自動禁止IP地址

至此，你應(yīng)該會看到IP集這個概念有多強大。仍然維持一份最新的IP黑名單可能是件麻煩又費時的活兒。實際上，現(xiàn)在外頭有一些免費服務(wù)或收費服務(wù)可以為你維護這些IP黑名單。另外，不妨看一下我們?nèi)绾慰梢詫⒖捎肐P黑名單自動轉(zhuǎn)換成IP集。

我暫且從免費或收費發(fā)布各種IP阻止列表的iblocklist.com獲取免費的IP列表。提供了P2P格式的免費版本。

我要使用一款名為iblocklist2ipset的開源python工具，這個工具可以將P2P版本的iblocklist轉(zhuǎn)換成IP sets。

首先，你需要安裝好pip(想安裝pip，請參閱這篇指導(dǎo)文章：)。

然后安裝iblocklist2ipset，具體如下所示。

$ sudo pip install iblocklist2ipset

在Fedora之類的一些發(fā)行版上，你可能需要運行這個命令：

$ sudo python-pip install iblocklist2ipset

現(xiàn)在進入到iblocklist.com，獲取任何P2P列表URL(比如“l(fā)evel1”列表)。

然后將該URL粘貼到下面這個命令中：

$ iblocklist2ipset generate \

--ipset banthis ";fileformat=p2parchiveformat=gz" \

banthis.txt

在你運行上述命令后，你就創(chuàng)建了一個名為bandthis.txt的文件。如果你檢查其內(nèi)容，就會看到類似以下的內(nèi)容：

create banthis hash:net family inet hashsize 131072 maxelem 237302

add banthis 1.2.4.0/24

add banthis 1.2.8.0/24

add banthis 1.9.75.8/32

add banthis 1.9.96.105/32

add banthis 1.9.102.251/32

add banthis 1.9.189.65/32

add banthis 1.16.0.0/14

你可以使用ipset命令，就能輕松裝入該文件：

$ sudo ipset restore -f banthis.txt

現(xiàn)在，用下面這個命令檢查自動創(chuàng)建的IP集：

$ sudo ipset list banthis

截至本文截稿時，“l(fā)evel1”阻止列表含有237000多個IP地址區(qū)段。你會發(fā)現(xiàn)，許多IP地址區(qū)段已經(jīng)被添加到了IP集中。

最后，只需創(chuàng)建一個iptables規(guī)則，就能阻止所有這些地址!

linux如何攔截黑名單進程執(zhí)行危險命令

Linux進程間通信由以下幾部分發(fā)展而來：

早期UNIX進程間通信：包括管道、FIFO、信號。

基于System V的進程間通信：包括System V消息隊列、System V信號燈（Semaphore）、System V共享內(nèi)存。

基于Socket進程間通信。

基于POSIX進程間通信：包括POSIX消息隊列、POSIX信號燈、POSIX共享內(nèi)存。

Linux中，與IPC相關(guān)的命令包括：ipcs、ipcrm（釋放IPC）、

IPCS命令是Linux下顯示進程間通信設(shè)施狀態(tài)的工具。我們知道，系統(tǒng)進行進程間通信（IPC）的時候，可用的方式包括信號量、共享內(nèi)存、消息隊列、管道、信號（signal）、套接字等形式[2]。使用IPCS可以查看共享內(nèi)存、信號量、消息隊列的狀態(tài)。

例如在CentOS6.0上執(zhí)行ipcs

具體的用法總結(jié)如下：

1、顯示所有的IPC設(shè)施

# ipcs -a

2、顯示所有的消息隊列Message Queue

# ipcs -q

3、顯示所有的信號量

# ipcs -s

4、顯示所有的共享內(nèi)存

# ipcs -m

5、顯示IPC設(shè)施的詳細信息

# ipcs -q -i id

id 對應(yīng)shmid、semid、msgid等。-q對應(yīng)設(shè)施的類型（隊列），查看信號量詳細情況使用-s，查看共享內(nèi)存使用-m。

6、顯示IPC設(shè)施的限制大小

# ipcs -m -l

-m對應(yīng)設(shè)施類型，可選參數(shù)包括-q、-m、-s。

7、顯示IPC設(shè)施的權(quán)限關(guān)系

# ipcs -c

# ipcs -m -c

# ipcs -q -c

# ipcs -s -c

8、顯示最近訪問過IPC設(shè)施的進程ID。

# ipcs -p

# ipcs -m -p

# ipcs -q -p

9、顯示IPC設(shè)施的最后操作時間

# ipcs -t

# ipcs -q -t

# ipcs -m -t

# ipcs -s -t

10、顯示IPC設(shè)施的當(dāng)前狀態(tài)

# ipcs -u

Linux上的ipcs命令，不支持UNIX上的-b、-o指令，同樣UNIX中不支持-l、-u指令，所以在編寫跨平臺的腳本時，需要注意這個問題。