转到正文

存档

分类: 技术文章

Confluence 从7.3.1 升级到 7.3.4,升级过程很顺利

这次主要是想看看7.3这个版本是不是已经不用修改
atlassian-universal-plugin-manager-plugin-*.jar 文件

目前测试结果是:
7.3 版本只需要修改atlassian-extras-decoder-v2-3.4.1.jar文件
插件也可以跟随主程序注册完成,我新安装了一个原来没有安装过的插件
better content archiving
仅申请了测试key,输入后,如下图显示和主程序一样的注册信息

打开插件设置,把思维导图地址替换为:

https://cdn.jsdelivr.net/wp/wp-editormd/tags/10.1.0/assets/MindMap/mindMap.min.js

然后再次刷新网页。

2020年2月20日,国家信息安全漏洞共享平台(CNVD)发布关于Apache Tomcat的安全公告,Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。Tomcat AJP协议由于存在实现缺陷导致相关参数可控,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若服务器端同时存在文件上传功能,攻击者可进一步实现远程代码的执行。

解决方案

将Tomcat立即升级到9.0.31、8.5.51或7.0.100版本进行修复

禁用AJP协议

编辑 /conf/server.xml,找到如下行:

<!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />-->

将此行注释掉(也可删掉该行):

<!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />-->

  • 配置secret来设置AJP协议的认证凭证。

例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值)

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS" secret="YOUR_TOMCAT_AJP_SECRET"/>

回到Confluence :

2月23日,Confluence更新版本是7.3.2,我们可以在/opt/atlassian/confluence/bin目录下,执行 ./version.sh

Server startup logs are located in /opt/atlassian/confluence/logs/catalina.out


Using Java: /opt/atlassian/confluence/jre//bin/java

2020-02-28 18:45:56,953 INFO [main] [atlassian.confluence.bootstrap.SynchronyProxyWatchdog] A Context element for ${confluence.context.path}/synchrony-proxy is found in /opt/atlassian/confluence/conf/server.xml. No further action is required


Using CATALINA_BASE: /opt/atlassian/confluence
Using CATALINA_HOME: /opt/atlassian/confluence
Using CATALINA_TMPDIR: /opt/atlassian/confluence/temp
Using JRE_HOME: /opt/atlassian/confluence/jre/
Using CLASSPATH: /opt/atlassian/confluence/bin/bootstrap.jar:/opt/atlassian/confluence/bin/tomcat-juli.jar
Using CATALINA_PID: /opt/atlassian/confluence/work/catalina.pid

NOTE: Picked up

JDK_JAVA_OPTIONS: --add-opens=java.base/java.lang=ALL-UNNAMED --add-opens=java.base/java.io=ALL-UNNAMED --add-opens=java.rmi/sun.rmi.transport=ALL-UNNAMED

Server version: Apache Tomcat/9.0.27
Server built: Oct 7 2019 09:57:22 UTC
Server number: 9.0.27.0
OS Name: Linux
OS Version: 2.6.32-573.el6.x86_64
Architecture: amd64
JVM Version: 11.0.5+10
JVM Vendor: AdoptOpenJDK

可以看到7.3.2自带的tomcat版本是9.0.27,是受影响的版本(9.0.31以前的版本),但检查server.xml,可以发现此文件已经被修改为不支持AJP协议,所以在atlassian升级tomcat版本之前,我们也不用过度担心这个问题。

在值班时候升级了Confluence到7.3.1,头条号第26篇来了

从Confluence6.15 升级到7.3.1碰到的问题总结

今天登陆一台公用的服务器,登陆上去以后觉得有点异样,不是安全的问题,竟然有人建立了一个名为\的文件

好吧,删除之,如下两个命令都可以

删除后心情舒畅

不用担心上面那个nohup.out,昨天网络出了问题,就生成了这么一个大家伙,已删掉了。。。

各位可能用的多的都是阿里云,不过我最近逆其道而行之,接触了一下华为云,首先说一下,目前的华为云并不支持CentOS8,所以怎么办呢?

驻场的工程师提出的方案是
1、做个临时公有镜像放上去
2、我依据这个公有镜像创建一个CentOS8的虚拟机
3、我把这个虚拟机停机并且做成私有镜像
4、我把这个虚拟机删除以便驻场工程师删除公有镜像
5、待他删除后,我再依据私有镜像生成新的服务器
6、测试,如果成功的话,以后都可以用此私有镜像生成服务器了

我最小化安装是指,只安装了所有的开发环境,所有的应用都没装,也没有任何的图形界面,然后成功创建后,我只干了两件事
1、安装net-tools工具
2、chmod +x /etc/rc.d/rc.local

然后一切都可以正常使用了,相比CentOS7至少在初始化这里,至少是方便多了。。。多说一句,我们这个华为云是私有云,所以以上这些并不适合所有人。。。还有,虚拟机默认用Root登陆,太不安全了,还是指定用户改之吧。

写在前面:
Atlassian公司的我测试的软件除了使用OVF直接导入虚拟机的,其余基本都可以使用如下方法安装。
操作系统:CentOS8_1905,默认最小化安装联通外网,并安装Net-tools工具
数据库:MariaDB,关于MariaDB 和 MySQL的渊源大家请自行Google

一、安装最新的 MariaDB 10.3.18

先说结果,在这个地方失败了很多回,后来终于搞明白问题了,如果按官方说明,写个MariaDB.repo就搞定了。。。这是个坑!最新的CentOS8_1905版本,使用dnf来替换yum, 不管你写多少个REPO,如果默认软件仓库里有这个软件,那么肯定是从默认软件仓库里找,这个也好理解,稳定性支持吗,毕竟在REDHAT企业版8出来5个月以后,CentOS8_1905版本才和我们见面。所以我们首先要知道系统默认的软件仓库名称是什么,把它屏蔽了就可以用dnf安装最新的MariaDB了。
dnf repolist --all //查询REPO列表

我们在这里主要屏蔽的是仓库标识为 AppStream 的主软件仓库。当然,前提是按MariaDB官方说明,建立MariaDB.repo,但是官方的BaseURL是在国外,我们需要修改一下URL地址为国内的镜像

# /etc/yum.repos.d/MariaDB.repo
[mariadb]
name = MariaDB
baseurl = https://mirrors.ustc.edu.cn/mariadb/yum/10.3/centos8-amd64
gpgkey=https://mirrors.ustc.edu.cn/mariadb/yum/RPM-GPG-KEY-MariaDB
gpgcheck=1

安装MariaDB

# dnf install MariaDB-server MariaDB-client --disablerepo=AppStream //禁用仓库标识为 AppStream 的主软件仓库

设置自动启动

systemctl enable mariadb

启动 MariaDB 数据库

systemctl start mariadb

确认3306端口是否启用,服务是否正常

netstat -nlp

为调试方便禁用防火墙(不安全)

systemctl stop firewalld
systemctl disable firewalld

初始化MariaDb

mysql_secure_installation //用来设置数据库密码和简单的安全选项

继续阅读

最近在搞这个,众所周知的原因,内部使用的话,还是推荐 Atlassian 公司的 Hipchat Server

Hipchat Server 的好处显而易见,就是可以绕过公用的服务器,现在各国越来越严格的监管措施,可能也会对这个软件的未来产生很大影响,不过目前还是支持Server软件下载,只不过地址隐藏起来了。目前我们能下载到的地址是:
https://hipchat-server-stable.s3.amazonaws.com/HipChat.ova
版本是 Atlassian HipChat 2.4.5 (2019.06.24.115346)

OVA软件包下载后我们把它导入虚拟机里即可。需要注意的地方是,在导入OVF模板的时候,选择网络里会让你选择IP分配,默认是DHCP,这个地方就保留DHCP,否则会报
无法初始化属性“vami.DNS0.HipChat_Server_2.0”。网络 “*”不具有关联的网络协议配置文件的错误。

部署完成后启动Hipchat服务器,在服务器界面中使用默认用户名 admin 密码 hipchat 登陆服务器后用如下命令修改网络配置
hipchat network -m static -i IPADDR -s NETMASK -g GATEWAY -r DNS_Address

设置好网络,并确定网络可正常使用的前提下,需重置hipchat服务器ubantu的root密码,这个网上有很多介绍,我就不在这里过多提了,如果确实你无法重置密码,可以发邮件给我(xu1701@hotmail.com)探讨。

修改完Root密码后,我们进入系统,要做一些简单的安全,首先我们要修改默认用户admin的密码
passwd admin
其次,我们需要修改SSH登陆的安全选项
vi /etc/ssh/sshd_config
vi /hipchat-scm/chef-repo/cookbooks/openssh/templates/default/sshd_config.erb
确认
PermitRootLogin 为 No
确保用admin登陆后,只能su成root权限,而不能用root用户直接登陆。重启服务器后,我们就可以用WEB浏览器来安装Hipchat了。

继续阅读

Centos8 在我昏天黑地加班加点的时候,终于发布了。

官方中文的发行说明:https://wiki.centos.org/Manuals/ReleaseNotes/CentOS8.1905

以后可以高兴的使用新版本了,值得庆贺。

如果从
systemctl status sshd.service
以及
journalctl -xe

都找不到实际原因的话,那可以尝试
setenforce 0

一般来说,想要痛快的修改程序配置文件,可以把SELINUX关闭
修改/etc/selinux/config 文件
将SELINUX=enforcing改为SELINUX=disabled
重启机器即可