域用户家目录删除 "无法登陆到你的账户" 参考 https://cloud.tencent.com/developer/article/1732573当域用户家目录出现配置文件错误需要删除重新登录重建时1、删除用户家目录登录本地管理员 administrator后，备份并删除对应的用户家目录如 C:\Users\wangwangjie可以改成 C:\Users\wangwangjiebak2、删除注册表域用户配置定位到计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList这个位置找到自己名字的配置文件，将左侧 S-1-5-21xxxxxxxxxxxxx删除3、重启，重新登陆域用户

Alma Linux 8安装mysql8 安装软件 配置软件源：/etc/yum.repos.d/mysql-community.repo[mysql-connectors-community] name=MySQL Connectors Community baseurl=https://mirrors.tuna.tsinghua.edu.cn/mysql/yum/mysql-connectors-community-el7-$basearch/ enabled=1 gpgcheck=0 gpgkey=https://repo.mysql.com/RPM-GPG-KEY-mysql [mysql-tools-community] name=MySQL Tools Community baseurl=https://mirrors.tuna.tsinghua.edu.cn/mysql/yum/mysql-tools-community-el7-$basearch/ enabled=1 gpgcheck=0 gpgkey=https://repo.mysql.com/RPM-GPG-KEY-mysql [mysql-8.0-community] name=MySQL 8.0 Community Server baseurl=https://mirrors.tuna.tsinghua.edu.cn/mysql/yum/mysql-8.0-community-el7-$basearch/ enabled=1 gpgcheck=0 gpgkey=https://repo.mysql.com/RPM-GPG-KEY-mysql禁用系统自带mysql模块yum module disable mysql安装mysql服务端yum install mysql-community-server配置 mysql8不区分大小写 必须在数据库启动前配置lower_case_table_names=0 表名存储为给定的大小和比较是区分大小写的 lower_case_table_names = 1 表名存储在磁盘是小写的，但是比较的时候是不区分大小写 lower_case_table_names=2 表名存储为给定的大小写但是比较的时候是小写的 unix,linux下lower_case_table_names默认值为 0 .Windows下默认值是 1 .Mac OS X下默认值是 2修改/etc/my.cnf，在最后一行添加lower_case_table_names=1启动mysqlsystemctl enable --now mysqld查看默认root密码 cat /var/log/mysqld.log[root@hr-test ~]# cat /var/log/mysqld.log 2023-08-03T05:19:39.377361Z 0 [System] [MY-013169] [Server] /usr/sbin/mysqld (mysqld 8.0.34) initializing of server in progress as process 2066 2023-08-03T05:19:39.383196Z 1 [System] [MY-013576] [InnoDB] InnoDB initialization has started. 2023-08-03T05:19:39.615099Z 1 [System] [MY-013577] [InnoDB] InnoDB initialization has ended. 2023-08-03T05:19:40.221227Z 6 [Note] [MY-010454] [Server] A temporary password is generated for root@localhost: i8ybtu&k&GoK 使用默认密码初始化mysqlmysql_secure_installation修改默认root密码、删除匿名用户、禁止root远程登陆、删除test数据库查看lower_case_table_namesmysql -uroot -p mysql> show variables like 'lower_case_table_names'; +------------------------+-------+ | Variable_name | Value | +------------------------+-------+ | lower_case_table_names | 1 | +------------------------+-------+ 1 row in set (0.00 sec) mysql> quit 允许创建函数 解决Mysql报错：This function has none of DETERMINISTIC, NO SQL, or READS SQL DATA in its delog_bin_trust_function_creators=1关闭严格模式 STRICT_TRANS_TABLES : 严格模式NO_ENGINE_SUBSTITUTION : 无引擎提交PAD_CHAR_TO_FULL_LENGTH : 填补字符到全长度编辑MySQL配置文件/etc/my.cnf[mysqld] sql_mode=NO_ENGINE_SUBSTITUTION保存、重启mysql事务隔离级别 read uncommitted（读未提交）read committed（读提交）repeatable read（重复读）Serializable（序列化） 编辑MySQL配置文件/etc/my.cnf[mysqld] transaction_isolation = READ-COMMITTED保存、重启mysql日志时区不对 编辑MySQL配置文件/etc/my.cnflog_timestamps=system日志存在大量反查信息和错误信息 编辑MySQL配置文件/etc/my.cnfskip-name-resolve完成

0基础上手python3编程，远程JVM内存占用监控、企业微信告警 前言 0、添加注释1、采用json配置文件添加主机，可批量监控jvm主机并分别报警2、日志以每天为单位通过web展示，如XX/jvmlog/20231108app02.txt3、添加redis重复报警控制位，不会重复报警4、json配置文件采用编码存储密码，配置文件不存在明文密码5、已开源基础知识 查看JVM内存占用jps 获取jvm的IDjmap -heap ID 查看jvm详细信息------------------------------- Attaching to process ID 15005, please wait... Debugger attached successfully. Server compiler detected. JVM version is 8.1.086 11.0.14+000 using thread-local object allocation. Concurrent Mark-Sweep GC Heap Configuration: MinHeapFreeRatio = 40 MaxHeapFreeRatio = 70 MaxHeapSize = 34359738368 (32768.0MB) NewSize = 11453595648 (10923.0MB) MaxNewSize = 11453595648 (10923.0MB) OldSize = 22906142720 (21845.0MB) NewRatio = 2 SurvivorRatio = 6 MetaspaceSize = 21807104 (20.796875MB) CompressedClassSpaceSize = 268435456 (256.0MB) MaxMetaspaceSize = 10737418240 (10240.0MB) G1HeapRegionSize = 0 (0.0MB) Heap Usage: New Generation (Eden + 1 Survivor Space): capacity = 10021896192 (9557.625MB) used = 1244541496 (1186.8872604370117MB) free = 8777354696 (8370.737739562988MB) 12.418223778784078% used Eden Space: capacity = 8590196736 (8192.25MB) used = 1003974176 (957.4643859863281MB) free = 7586222560 (7234.785614013672MB) 11.687441008103123% used From Space: capacity = 1431699456 (1365.375MB) used = 240567320 (229.4228744506836MB) free = 1191132136 (1135.9521255493164MB) 16.802920402869805% used To Space: capacity = 1431699456 (1365.375MB) used = 0 (0.0MB) free = 1431699456 (1365.375MB) 0.0% used concurrent mark-sweep generation: capacity = 22906142720 (21845.0MB) used = 13349348192 (12730.93051147461MB) free = 9556794528 (9114.06948852539MB) 58.278464231973494% used JVM的内存占用可计算为(New Generation)used + (concurrent mark-sweep generation)used，即为物理内存占用，与JVM配置的内存量即可计算占用百分比架构图 1、执行jvmcheck程序 2、登录远程主机 3、通过jmap命令获取、计算内存占用百分比 4、检查故障标记位、记录日志并进行告警预览 企业微信机器人告警web页面日志查看程序组成 由jvmcheck.py和jvmcheck.json组成，需要配置redis数据库程序代码 jvmcheck.pyimport paramiko,linecache,json,requests,time,base64,redis from io import StringIO def get_config(): config = json.loads(open("/root/jvmcheck.json", encoding='utf-8').read()) #读取配置文件，填写绝对路径 return config class redis_operate(): def redis_set(text1,text2): #radis写入 redis_pool.set(text1, text2) def redis_get(text): #redis读取 return redis_pool.get(text) def getjvm(): try: # 实例化一个transport对象，填写IP和端口 trans = paramiko.Transport((sshdata['ip'], int(sshdata['port']))) # 建立连接，输入用户名密码，密码使用base64解码 trans.connect(username=sshdata['username'], password=base64.b64decode(sshdata['password'])) # 将sshclient的对象的transport指定为以上的trans ssh = paramiko.SSHClient() ssh._transport = trans # 执行命令，和传统方法一样 stdin, stdout, stderr = ssh.exec_command('jps') #执行shell命令 jps = StringIO(stdout.read().decode()) startid = 0 for line in jps: if "Start" in line: #找到运行中的jvm进程ID startid = line.split() stdin, stdout, stderr = ssh.exec_command('jmap -heap ' + startid[0]) #执行shell命令 jmaporiginal = stdout.read().decode() jmap = StringIO(jmaporiginal).readlines() # 关闭连接 trans.close() NewGeneration = int(jmap[25].split()[2]) concurrentmarksweepgeneration = int(jmap[45].split()[2]) #print(NewGeneration) #print(concurrentmarksweepgeneration) used = NewGeneration + concurrentmarksweepgeneration #计算使用的内存总量 Usagerate = used / 34359738368 # JVM配置32G内存 print(Usagerate) if Usagerate > 0.8: #设置为超过80%报警 if redis_operate.redis_get(sshdata['hostname']) != "NO": #读取主机名命名的redis key Usagerate = '%.2f%%' % (Usagerate * 100) post_weixin(sshdata['hostname'] + " " + sshdata['ip'] + "\nJVM内存使用率为" + str( Usagerate) + "，请立即处理。\n点击可查看日志") f = open(sshconfig['path'] + time.strftime('%Y%m%d', time.localtime()) + sshdata['hostname'] + ".txt", 'a') f.write("-------------------------------\n" + time.strftime('%Y-%m-%d %H:%M:%S', time.localtime()) + "\n" + jmaporiginal + "\n") print("发送告警") redis_operate.redis_set(sshdata['hostname'],"NO") #写入主机名命名的redis key值 else: print("告警已存在") else: if redis_operate.redis_get(sshdata['hostname']) != "YES": Usagerate = '%.2f%%' % (Usagerate * 100) post_weixin(sshdata['hostname'] + " " + sshdata['ip'] + "\nJVM内存使用率为" + str( Usagerate) + "，已恢复正常。\n点击可查看日志") redis_operate.redis_set(sshdata['hostname'],"YES") else: print("告警已解除") except: print(sshdata['ip']+"主机连接失败") def post_weixin(stats): #发送微信 url = sshconfig['weixin']['url'] body = { "msgtype": "news", "news": { "articles": [ { "title": sshconfig['weixin']['title'], "description": stats, "url": sshconfig['weixin']['url2']+time.strftime('%Y%m%d', time.localtime())+sshdata['hostname']+".txt", "picurl": sshconfig['weixin']['picurl'] } ] }} response = requests.post(url, json=body) print(response.text) print(response.status_code) sshconfig = get_config() #建立redis连接池 redis_pool = redis.Redis(connection_pool=redis.ConnectionPool(host=sshconfig['redis']['host'], port=sshconfig['redis']['port'], password=sshconfig['redis']['password'], decode_responses=sshconfig['redis']['decode'])) #开始依次执行json文件中的主机 for sshdata in sshconfig['data']: getjvm() print("\n程序执行完成")jvmcheck.json{ "weixin" : { "url" : "https://qyapi.weixin.qq.com/cgi-bin/webhook/send?key=填写自己的", "title": "java虚拟机内存监控", "url2": "http://90apt.com/", "picurl": "自定义图片连接" }, "path" : "./", "redis" : { "host": "IP地址", "port": "端口", "password": "密码", "decode": "True" }, "data" : [ { "ip" : "IP地址" , "username" : "用户名" , "password" : "base64转换后的密码" , "port" : "端口","hostname" : "主机名"}, { "ip" : "IP地址" , "username" : "用户名" , "password" : "base64转换后的密码" , "port" : "端口","hostname" : "主机名"} ] }定时运行 配置定时任务，每五分钟执行一次，并记录日志crontab -e */5 * * * * python3.11 /root/jvmcheck/jvmcheck.py >> /root/jvmcheck/jvmcheck.log 2>&1总结 好好好

联想ThinkSystem SR860虚拟化改造，接入IPSAN 服务器外观 SR860是一台四路服务器，同时，此台服务器BMC购买了远程KVM授权，可以通过web网页进行远程控制改造目标 将服务器原有硬盘拆除，仅保留2块硬盘安装RAID1，并安装ESXi7虚拟化系统，接入vCenter后，接入IPSAN。改造步骤 1、记录当前服务器重要信息并进行数据备份IP、网口配置、VLAN配置等，确保没有业务会受到影响。2、点亮服务器定位指示灯3、服务器关机、移除多余硬盘、配置RAID1、只保留一根网线，安装ESXi7登录BMC由于移除了一块硬盘，RAID需要重新配置进入raid配置清除原有配置新建阵列配置RAID1选择两块硬盘保存配置BIOS可以查看RAID配置结果F12选择开机启动项选择金士顿U盘启动我是用Ventoy制作了启动盘系统安装4、配置VLAN、IP和主机名，加入vCenter安装完成配置VLAN、IP、DNS、主机名5、配置IPSAN、配置NTP、进行系统更新、配置虚拟交换机6、配置完成总结 好好好

记一次厂区永恒之蓝挖矿病毒溯源处置实战-MS17-010 文章内IP、地点、部门均为化名处理 事件描述 2023年10月31日，王工收到蜜罐系统持续告警，某IP持续攻击蜜罐445端口，王工立刻进行应急处置。基础知识 445端口：是windows共享文件服务端口MS17-010： 是微软2017年第10号漏洞，该病毒是不法分子利用NSA（National Security Agency，美国国家安全局）泄露的危险漏洞“EternalBlue”（永恒之蓝）进行传播 。溯源过程 2023年10月31日08:19，王工收到蜜罐系统持续告警告警内容：标题: HFish Threat Alert 节点名称: 内置节点 节点IP: 192.168.21.9 攻击类型: attack 扫描类型: 扫描端口: 蜜罐类别: 端口监听 蜜罐类型: TCP 蜜罐名称: TCP端口监听 帐号信息: 源IP: 192.168.210.101 源端口: 51744 目的IP: 192.168.21.9 目的端口: 445 地理位置: 局域网 威协情报: 攻击时间: 2023-10-31 08:19:45 攻击行为: 威胁等级: other 攻击详情: 192.168.210.101:51744 already connected.08:20 王工放下手头其他工作，开始进行溯源溯源手段主要为：1、通过EDR查找是否为已管控主机2、通过goby进行反制探测3、通过上网行为系统查找是否为已认证主机4、通过IP判断物理位置08:22 通过EDR没有查找到此主机08:25 通过goby反制探测，确认目标基本信息，并进行部门通告各位领导同事 当前检测到网络攻击行为，正在对公司内网进行攻击，此设备连接 隐私保护 无线热点，在线时间 隐私保护 小时， IP: 192.168.210.101 MAC地址：隐私保护 主机名：隐私保护 可能为win7系统同时探测到目标具有MS17-010漏洞，判断为目标中了永恒之蓝病毒08:30 通过上网行为系统查找，此主机未通过认证，判断为非域用户设备08:32 通过IP地址进行物理位置查找1、通过IP判断，为无线设备2、登录AC控制器，查找IP和对应的AP3、查找到AP名称为 隐私保护 ，但无法判断AP位置，通过人工判断，为AP名称拼写错误08:35 前往现场处置08:40 抵达现场，现场为一台台式机、一台平板，没有找到目标08:42 对现场AP进行MAC查询，确认设备一定在此AP下08:43 发现现场生产设备运行windows系统，查看IP确认为目标系统，查看主机名为目标系统，经询问现场当前不生产，可以进行相应处理。处置过程 08:45 对目标主机安装EDR安全软件，进行系统补丁更新，随后进行全盘查杀，未发现病毒 此处暴露EDR软件查杀能力严重不足09:30 通过EDR对系统补丁安装完成 09:32 安装火绒杀毒软件进行病毒查杀，全盘扫描到56个病毒，根据描述判断为永恒之蓝挖矿病毒09:38 经过火绒杀毒处理，蜜罐没有再接收到新的攻击告警10:00 返回工位，进行处置记录，进行事件关闭通告。后续措施1、AP重新命名 已完成2、主机重新命名 已完成3、安装EDR软件管控 已完成总结 1、设备部门对设备联网，没有及时通知信息安全部门，导致风险系统暴露在内网中 2、厂家对设备联网调试，没有及时通知信息安全部门，导致病毒持续运行扩散 3、AP命名及主机名命名不规范，导致溯源难度增加

联想ThinkSystem SR590虚拟化改造，接入IPSAN 服务器外观 改造目标 将服务器原有硬盘拆除，仅保留2块硬盘安装RAID1，并安装ESXi7虚拟化系统，接入vCenter后，接入IPSAN。改造步骤 1、记录当前服务器重要信息并进行数据备份IP、网口配置、VLAN配置等，确保没有业务会受到影响。2、点亮服务器定位指示灯3、服务器关机、移除多余硬盘、配置RAID1、只保留一根网线，安装ESXi74、配置VLAN、IP和主机名，加入vCenter5、配置IPSAN、配置NTP、进行系统更新、配置虚拟交换机6、配置完成总结 好好好

浪潮英信NF5240M3虚拟化改造，接入IPSAN 服务器外观 改造目标 将服务器原有硬盘拆除，仅保留2块硬盘安装RAID1，并安装ESXi6.7虚拟化系统，接入vCenter后，接入IPSAN。改造步骤 1、记录当前服务器重要信息并进行数据备份IP、网口配置、VLAN配置等，确保没有业务会受到影响。2、点亮服务器定位指示灯3、服务器关机、移除多余硬盘、配置RAID1、只保留一根网线，安装ESXi6.74、配置VLAN、IP和主机名，加入vCenter5、配置IPSAN、配置NTP、进行系统更新、配置虚拟交换机6、配置完成总结 好好好

H3C无线AC WX3510H上线H3C无线AP WA6520-E Wi-Fi 6(802.11ax) 故障现象： 无线AC连接WX3510H后，无线AP WA6520-E Wi-Fi 6(802.11ax)无法上线故障处理： 1、电话联系客服询问WX3510H是否支持此AP得到答复，支持此AP2、查看AC当前固件版本H3C Comware Platform Software, Software Version 7.1.064, Release 5457 H3C WX3510H Copyright (c) 2004-2022 New H3C Technologies Co., Ltd. All rights reserved.3、登录H3C官网下载AC资料查找 WX3510H_WX3510HF-CMW710-R5457版本软件及说明书查找到支持此AP，但并未打包在固件中，需要独立安装4、下载ipe文件下载固件包20220803_32331_WX3510H_WX3510HF-CMW710-R5457_1656477_30005_40.zip解压出wa6500a.ipe5、上传ipe文件系统页面 操作-系统-文件管理-上传不需要指定位置，上传即可识别6、AP成功上线无需其他操作，AP自动上线总结： 好好好

安恒 明御终端安全及防病毒系统V3.0 EDR linux客户端卸载 检测到linux edr客户端全部掉线，CPU占用异常，进行卸载处理卸载命令 /usr/local/你的企业名/edr/uninstall_edr.sh please input the uninstall password: 你的密码 请确认是否需要备份运行日志? [y/n]n stop EDR ok stop EDR daemon ok uninstall successful, bye!

软考机考模拟系统 2023年下半年计算机技术与软件专业技术资格（水平）考试模拟练习平台上线的公告2023-10-15 来源： 中国计算机技术职业资格网 【字体：大 中 小】 为方便考生熟悉计算机软件资格考试计算机化考试系统操作流程及操作方法，进一步便利考生备考,确保2023年下半年计算机软件资格考试工作顺利进行，工业和信息化部教育与考试中心向参加2023年下半年计算机软件资格考试的考生上线模拟练习平台，现将有关事项公告如下： 一、模拟演练时间 模拟练习平台开放时间:2023年10月16日至11月3日，考生可在该时间内自愿参加网上模拟练习平台练习。 二、登录方式 考生可通过如下网址进入模拟练习平台(登录练习平台需先完成实名认证)：https://bm.ruankao.org.cn/sign/welcome，该练习平台仅支持电脑端登录访问，不支持移动端访问。 模拟练习平台旨在让考生熟悉计算机化考试环境和作答方式，考试题型、题量、分值、界面及文字内容以正式考试答题系统为准。 操作过程中如遇相关技术问题，请拨打技术服务电话010-68607740（工作日9:00—11:30，13:30—17:00），或通过中国计算机技术职业资格网（www.ruankao.org.cn/）首页右侧的主任信箱直接反馈。 工业和信息化部教育与考试中心 2023年10月14日模拟系统使用 下载模拟系统运行模拟系统使用软考账号登陆系统选择科目1、综合知识2、案例分析、论文完毕

域策略 将域用户加入本地管理员组，替代域管理员权限 问题描述 在域环境中，由于普通域用户无管理员权限，不仅无法安装软件，甚至任务管理器都无法打开；为了方便运维，一般会将IT人员的用户升级为域控管理员，即加入 Domain Admins 组，此方法存在严重的安全风险，域控管理员可登录域控服务器进行任意更改。为了解决此问题，我们通常采用的方法是，在本地计算机上，将用户加入administrators用户组，这样该用户在此计算机上就可以具备管理员权限。而非域控管理员的加域次数是有限制的。由此，我们可以衍生出一种更加简单和安全的方法，即通过域策略将IT人员的账号下发到所有本地计算机的本地管理员组中，并且为这些人员赋予加域和退域的权限。操作步骤 1、新建一个用户组在组中加入需要配置本地管理员的域用户，这样一次操作完成后，后续只需要对组成员进行调整即可2、AD 域委派控制授权域成员管理域在AD用户与计算机 中找到需要进行委外控制的域，委派控制注意，向导仅能进行加域配置，按向导添加完成委派控制后的权限从 域属性 - 安全 中查看和修改点击高级，增加退域权限双击需要修改权限的用户或组，即可进行更加详细的配置3、通过域策略将域用户或组加入本地管理员组打开组策略管理，在域中新建一个组策略右键编辑，在 计算机配置-控制面板设置-本地用户和组-新建-本地组操作:更新 组名:administrators(内置) 成员：添加需要的域用户或组4、刷新域策略在域控服务器刷新域策略gpupdate /force 正在更新策略... 计算机策略更新成功完成。 用户策略更新成功完成。5、本地计算机查看本地组本地计算机刷新域策略或重启后，查看本地组成员>net localgroup administrators 别名 administrators 注释 成员 ------------------------------------------------------------------------------- Administrator 90apt\wangwangjie 90apt\90aptadmin功能测试 1、进行多次退域、加域操作，正常 2、添加后的用户，非域控管理员，在本地计算机上可以使用管理员权限运行程序，正常能力拓展 通过net命令在本地计算机上将用户加入本地管理员组 将用户wangwangjie2加入本地管理员net localgroup administrators 90APT\wangwangjie2 /add 命令成功完成。查看用户组net localgroup administrators 别名 administrators 注释 成员 ------------------------------------------------------------------------------- Administrator 90APT\wangwangjie2从本地组中移除用户net localgroup administrators 90APT\wangwangjie2 /del 命令成功完成。小结 好好好

域控信任关系修复-此工作站和主域间的信任关系失败（脱域问题） 故障现象 加域电脑登陆域账号时提示“此工作站和主域间的信任关系失败”修复信任关系 因域用户无法登录，因此登录本地管理员 administrator 运行powershell，查看信任状态为 False 信任关系失败 test-computersecurechannel False修复域信任，使用的域账号需要具备管理员权限90apt.com\wangwangjie为我的域和域管理员，按提示输入域管理员密码test-computersecurechannel -credential 90apt.com\wangwangjie -repair再次查看域信任关系test-computersecurechannel True修复完成域账号再次登录，成功总结 无