服务器mysql存在漏洞,临时屏蔽一下端口
Bash
iptables -I INPUT -p tcp --dport 3306 -j DROP
所有服务只调用本地mysql,但是屏蔽完以后发现服务不正常了,没法登录,查看日志报错连接失败
尝试逐个网段屏蔽,服务仍然可以正常运行,一旦执行
Bash
iptables -I INPUT -p tcp --dport 3306 -j DROP
服务马上无法连接
开启lo设备请求接收
Bash
iptables -I INPUT -i lo -j ACCEPT
一般iptables配置的是eth设备,而本机用的是lo设备,所以lo设备也要操作。
登录成功(服务功能恢复正常)
来源:https://www.hyluz.cn/post/70797.html
1.启动firewalld服务 systemctl start firewalld.service 2.关闭firewalld服务 systemctl stop firewalld.service 3.重启firewalld服务 systemctl restart firewalld.service 4.查看firewalld状态 systemctl status firewalld.service 5.开机自启firewalld systemctl enable firewalld 6.查看版本 firewall-cmd --version 7.查看帮助 firewall-cmd --help 8.显示状态 firewall-cmd --state 9.查看所有打开的端口 firewall-cmd --zone=public --list-ports 10.更新防火墙规则 firewall-cmd --reload 11.添加开放端口 firewall-cmd --zone=public --add-port=80/tcp --permanent (permanent永久生效,没有此参数重启后失效)12.查看端口是否开放 firewall-cmd --zone=public --query-port=80/tcp 13.删除开放端口 firewall-cmd --zone=public --remove-port=80/tcp --permanent 注:每次更改firewall规则后需重新加载(firewall-cmd --reload)
接手项目nginx存在漏洞,需要升级nginx修复
发现现场nginx是docker版本,也不知道容器内是否做过其他配置修改 不敢直接删容器更新镜像启动
按照常规更新方法
下载源码--docker没有wget
安装wget--apt下载失败
更新apt源--还是莫名其妙失败
主机上wget下载完成使用docker cp拷进去--是拷进去了
解压,编译--没有make
安装make--陷入apt无法使用的死循环
尝试直接替换二进制文件 /usr/sbin/nginx
在自己服务器内起一个新版的nginx容器 提取其中的
/usr/sbin/nginx 文件放置到现场容器的对应目录中
一开始复制的时候不要起nginx这个名字,否则容器会起不来,起一个nginx2啥的
中间报错缺少了几个库,或者库中没有相关函数
再次从自己的nginx容器中提取相关文件放置到容器(做好原库备份!!!)
最终nginx2可以执行了,此时可以尝试 cp nginx2 nginx
报错nginx正在使用,可以把nginx进程停止后覆盖,或者停止容器后搜索nginx2文件的位置
cd进入该目录 将nginx2改成nginx
容器正常运行
测试业务是否正常
升级完毕
可以再进容器验证nginx版本
优点:非常安全,不涉及任何配置文件的修改,理论上一定可以成功(做好中间过程记录和文件备份)
缺点:如果原先没有做集群,业务会中断一段时间
来源:https://www.hyluz.cn/post/67875.html
头文件的结构体的定义为:
typedef struct{
u8 bmRequestType;
u8 bRequest;
u16 wValue;
u16 wIndex;
u16 wLength;
}USB_Request_Header_t;
虽然粉丝最后都理解了,但是仍想趁着这个机会整理一下结构体的用法,希望能够对刚入行的童鞋们有所帮助。
在实际的开发过程中,一组数据往往具有不同的数据类型,此时数组是不能够满足需求了。因为数组中各元素的类型必须是一致的。为了解决这个需求,C中给出了另一种数据类型-结构体,每一个成员可以是任意一种数据类型。
定义一个结构体的类型为:
struct 结构名 {
成员列表
};
其中struct后面的叫做结构体名,而struct 结构名叫做结构体类型,只有结构体类型才可以定义变量,结构体名是不能定义变量的。注意}后面是需要加;的。
struct stu {XXX};
stu stu1; //fail
struct stu stu1; //true
结构变量有以下三种方式。
struct stu{
int age;
};
struct stu stu1; //定义了变量stu1
struct stu{
int age;
}stu1;
struct {
int age;
}stu1;
这种方法和第一种方法相比,就是省略了结构体名,而省略的结构体名,就无法组合结构体类型了,而无这种结构体类型,自然就不能再定义这种结构体类型的变量了。
这种结构体也被称为匿名结构体,即没有结构体名。匿名结构体通常作为结构体成员的一个变量去使用。如下:
struct stu{
int age;
struct {
int month;
}birthday;
}stu1;
sut1.birthday.month = 10; //用法
struct stu stu1, *pstu1;
pstu1 = &stu1;
stu1.age = 10; //true
(&stu1)->age = 10; //true
pstu1->age = 10; //true
(*pstu1).age = 10; //true
*pstu1.age = 10; //fail
如果对变量访问成员,则使用.运算符,如果是对指针访问成员则使用->运算符。
上例中除了最后一个都是对的。因为.运算符的优先级高于*,所以会先执行pstu1.age,而pstu1是一个指针,不可以使用.运算符去访问,需要正确使用->运算符访问。所以最终会报错。
struct stu stu1;
void fun(struct stu *val);
fun(&stu1);
在这里也有新手误解的地方,在函数入参这一块,传入的是一个指针,并不是说外部一定要先定义一个指针变量struct stu *xxx,然后把xxx传进去。就像下面一样。
struct stu stu1;
struct stu *p_stu1 = &stu1;
fun(p_stu1);
struct stu{
int age;
}stu1 = {18};
struct stu stu1,stu2;
stu1.age = 18;
stu2 = stu1; //结构体之间可以直接赋值
在开发过程中,一个结构体之间会存在若干成员,极其复杂。这个时候通常是将成员全部清零,然后再对需要的成员进行构造。
struct stu stu1;
memset(&stu1, 0 ,sizeof(stu1));
XXX_Init(&stu1.xxx);
常规定义结构体类型需要用struct 结构名的方式,比较繁琐。所以结构体定义往往与typedef相结合使用。
如果使用下面这种方法,结构体名我通常是省略的,因为我已经不打算使用struct方式定义变量了。
typedef struct _stu{
int age;
}STU;
此时STU就等价于struct _stu,只不过换了个名字。
struct _stu stu1; //true
STU stu2; //true
struct STU stu3; //fail,多了struct
_stu stu4; //fail,缺少struct
在定义结构体的时候,往往会碰到这种情况,结构体成员中需要用到此结构体的类型。首先下面定义是正确的,如下:
struct stu {
int age;
struct stu stu2;
}stu1;
如果和typedef一块使用,然后用重新定义的类型。就需要前置声明。
typedef struct stu STU;
struct stu{
int age;
STU stu2;
};
这样成员变量中就不用struct加结构体名的形式定义了,直接可以用STU定义所需变量。
结构如何对齐呢,使用的是伪指令#pragma
#pragma pack(push,2)
typedef struct stu {
char sex;
int age;
}STU;
#pragma pack(pop)
2代表是以2个字节对齐的,此时sizeof(STU)等于6,因为sex为char型占1个字节,但是指定了两个字节对齐,所以分配给sex的内存实际有两个字节的空间。
注意字节对齐是以2的n次幂对齐的。即1、2、4、8等。不能是3字节对齐。
即使Linux服务器只在80端口侦听服务, 也允许有10万、100万个用户连接服务器。Linux系统不会限制连接数至于服务器能不能承受住这么多的连接,取决于服务器的硬件配置、软件架构及优化。
我们知道两个进程如果需要进行通讯最基本的一个前提是:能够唯一的标识一个进程。在本地进程通讯中我们可以使用PID来唯一标识一个进程,但PID只在本地唯一,网络中的两个进程PID冲突几率很大。
这时候就需要另辟它径了,IP地址可以唯一标示主机,而TCP层协议和端口号可以唯一标示主机的一个进程,这样可以利用IP地址+协议+端口号唯一标示网络中的一个进程。
能够唯一标识网络中的进程后,它们就可以利用socket进行通信了。socket(套接字)是在应用层和传输层之间的一个抽象层,它把TCP/IP层复杂的操作抽象为几个简单的接口供应用层调用以实现进程在网络中通信。
socket源自Unix,是一种"打开—读/写—关闭"模式的实现,服务器和客户端各自维护一个"文件",在建立连接打开后,可以向自己文件写入内容供对方读取或者读取对方内容,通讯结束时关闭文件。另外,搜索公众号顶级科技后台回复“API接口”,获取一份惊喜礼包。
唯一能够确定一个连接有4个东西:
服务器的IP和Port可以保持不变,只要客户端的IP和Port彼此不同就可以确定一个连接数。
一个socket是可以建立多个连接的,一个TCP连接的标记为一个四元组(source_ip, source_port, destination_ip, destination_port),即(源IP,源端口,目的IP,目的端口)四个元素的组合。只要四个元素的组合中有一个元素不一样,那就可以区别不同的连接。
举个例子:
你的主机IP地址是1.1.1.1, 在8080端口监听
当一个来自 2.2.2.2 发来一条连接请求,端口为5555。这条连接的四元组为(1.1.1.1, 8080, 2.2.2.2, 5555)
这时2.2.2.2又发来第二条连接请求,端口为6666。新连接的四元组为(1.1.1.1, 8080, 2.2.2.2, 6666)
那么,你主机的8080端口建立了两条连接;
(2.2.2.2)发来的第三条连接请求,端口为5555(或6666)。第三条连接的请求就无法建立,因为没有办法区分于上面两条连接。
同理,可以在同一个端口号和IP地址上绑定一个TCP socket和一个UDP socket 因为端口号虽然一样,但由于协议不一样,所以端口是完全独立的。TCP/UDP一般采用五元组来定位一个连接:source_ip, source_port, destination_ip, destination_port, protocol_type即(源IP,源端口,目的IP,目的端口,协议号)
综上所述,服务器的并发数并不是由TCP的65535个端口决定的。服务器同时能够承受的并发数是由带宽、硬件、程序设计等多方面因素决定的。
所以也就能理解淘宝、腾讯、头条、百度、新浪、哔哔哔哔等为什么能够承受住每秒钟几亿次的并发访问,是因为他们采用的是服务器集群。服务器集群分布在全国各地的大型机房,当访问量小的时候会关闭一些服务器,当访问量大的时候会不断的开启新的服务器。
牛逼啊!接私活必备的 N 个开源项目!赶快收藏
要解释好这个问题,就要先说清楚65535的含义。在Linux系统中,如果两个机器要通信,那么相互之间需要建立TCP连接,为了让双方互相认识,Linux系统用一个四元组来唯一标识一个TCP连接:{local ip, local port, remote ip, remote port},即本机IP、本机端口、远程IP、远程端口,IP和端口就相当于小区地址和门牌号,只有拿到这些信息,通信的双方才能互相认知。在Linux系统中,表示端口号(port)的变量占16位,这就决定了端口号最多有2的16次方个,即65536个,另外端口0有特殊含义不给使用,这样每个服务器最多就有65535个端口可用。因此,65535代表Linux系统支持的TCP端口号数量,在TCP建立连接时会使用。
Linux服务器在交互时,一般有两种身份:客户端或者服务器端。典型的交互场景是:
可以看到,端口port主要用在服务器和客户端的“握手认识”过程,一旦互相认识了,就会生成新的socket进行通信,这时候port就不再需要了,可以给别的socket通信去使用,所以很明显TCP连接的数量可以大于TCP端口号的数量65,535。
考虑一下两个极端场景,即某台Linux服务器只作为客户端或者服务器端
这时候每发起一个TCP请求,系统就会指定一个空闲的本地端口给你用,而且是独占式的,不会被别的TCP连接抢走,这样最多可以建立65535个连接,每个连接都与不同的服务器进行交互。这种场景,就是题主所描述的样子,但是由于条件过于苛刻,属于小概率事件,所以更多的还是理论上的可能,现实的环境中几乎不会出现。
这种场景下,服务端就会固定的监听本地端口port,等着客户端来向它发起请求。为了计算简单,我们假设服务器端的IP跟端口是多对一的,这样TCP四元组里面就有remote ip和remote port是可变的,因此最大支持创建TCP个数为2的32次方(IP地址是32位的)乘以2的16次方(port是16位的)等于2的48次方。
现实中单台Linux服务器支持的TCP连接数量
通过前面的分析我们知道,在现实场景中,由于存在端口port复用的情况,服务器可同时支持的TCP连接数跟65535没有一一对应关系,事实上,真正影响TCP连接数量的,是服务器的内存以及允许单一进程同时打开文件的数量,因为每创建一个TCP连接都要创建一个socket句柄,每个socket句柄都占用一部分系统内存,当系统内存被占用殆尽,允许的TCP并发连接数也就到了上限。一般来讲,通过增加服务器内存、修改最大文件描述符个数等,可以做到单台服务器支持10万+的TCP并发。
当然,在真实的商用场景下,单台服务器都会编入分布式集群,通过负载均衡算法动态的调度不同用户的请求给最空闲的服务器,如果服务器平均内存使用超过80%的警戒线,那么就会及时采用限流或者扩展集群的方式来保证服务,绝对不会出现服务器的内存被耗尽的情况,那样就算事故了。
总之,65535只是Linux系统中可使用端口port数量的上限,端口port数量与TCP连接数量并非完全一一对应的关系,服务器支持的TCP并发连接数量主要跟服务器的内存以及允许单个进程同时打开的文件数量有关系,通过端口复用及调整服务器参数等手段,单台服务器支持的TCP并发连接数是可以高于65535的。
声明:本文部分素材转载自互联网,如有侵权立即删除 。