hi,docker (in el7)

00搭建docker 仓库-配置docker-registry

01 配置apache,启动服务

启动

02 生成母版系统
使用mkimage-yum文件

03 push到服务器

04 docker for ssh server

05 可以让tomcat和postsql在不同容器内,然后让容器进行关联

虚拟机在启动或者迁移(migrate)时失败(Unable to find security driver for label selinux)

环境el6(rhel/centos6)
报错信息如:

在设置selinux从enforcing到disabed状态时,出现虚拟机无法开启的错误。错误原因如上:
解决方法:
删掉相关的虚拟机内xml文件的seclable标签。

centos/redhat kernel 支持rbd模块(el7)

el内核3.10.0-123.el7.x86_64默认不支持rbd模块,需要将rbd模块编译进去。

1 需要将config的配置项打开。如下:

2 编译过程可以选择只编译模块,也可以将kernel重新编译。模块编译见本博客相关内容,这里采用kernel重新编译,编译过程中出现以下问题:

经分析后,给内核该文件打了个patch

wget漏洞信息相关el7(CVE-2014-4877)

00漏洞原理:

wget ftp下载符号链接文件时(没开启retr-symlinks 选项),会在本身系统创建一个符号链接,当伪造一个ftp 数据包中有的文件夹符号链接和一个同名文件夹并且真实文件夹中有子文件时,wget递归下载时会把子文件下载到本地文件夹符号链接指向的地址。攻击者通过伪造ftp数据流可在目标任意目录中创建文件、文件夹、连接符号,甚至设置权限、时间等属性。
首次上报该漏洞给Wget开源项目组的人是Rapid7的首席安全官HD Moore,这个漏洞被命名为CVE-2014-4877。
01 漏洞测试(metasploits)

搭建msf监听本地端口

搭建一个攻击的ftp

攻击结果

02 漏洞测试(wget-symlink_attack_exploit)

攻击结果

03 代码分析

如上代码,wget 会通过symlink 在本地创建链接文件,指向数据包中链接的地址。当使用 -m/–mirror/-r选项时,递归去获取同名文件夹 fakedir 里面的文件,由于本地的fakedir 文件为符号链接,所以ftp 服务器中的同名fakedir 文件夹子层下面的都会被下载到链接文件指向的地址。
04 代码修复
centos/redhat 提供的patch