最近在学习 hadoop 如何使用,谷歌搜索ubuntu hadoop
,然后在网上找到了一篇博客:Ubuntu 16.04 上安装 Hadoop 并成功运行 | Chares's Blog
如果你是在已有的一个用户存在下, 想安装 Hadoop 那么需要创建一个 Hadoop 用户,毕竟创建一个新的用户,配置环境相对更加干净一些。
然后,接着上面的操作, 再对这个用户设置密码,可以简单设置为 hadoop(可以设置成你想设置的), 注意两次设置为相同的密码。
为了我们后续的操作方便。我们这里对之前添加的 Hadoop 用户添加管理员的权限。
当时没细想,真的创建一个用户名为 hadoop,密码也为 hadoop 的用户。然后今早凌晨收到了 digitalocean 发来的邮件:
当时我惊呆了,因为 root 用户的密码比较复杂,不敢相信有人破解成功了,然后想到了 hadoop 用户,果真在 Hadoop 目录下发现了木马文件:
惨痛的教训,不能相信网上的博客的内容,尤其是中文博客的内容。
1
zhzy 2020-06-20 10:04:10 +08:00 via iPhone
?这跟人家博客有什么关系???
|
2
leeshuai 2020-06-20 10:05:23 +08:00
这跟博客有啥关系,自己设置的密码太简单
|
3
Deteriorator 2020-06-20 10:06:51 +08:00
和人家博客有啥关系?博客开始背锅了
|
4
zhangpeter OP @zhzy 他的博客建议创建一个用户名为 hadoop,密码也为 hadoop 的用户。如果服务器在公网上,这个用户会被远程登录,服务器被入侵。我觉得博客中至少提一下如果服务器位于公网,密码设置复杂点,不要使用弱密码。
|
5
youxiachai 2020-06-20 10:07:25 +08:00 3
天啊。。这都能怪写博客的人。。lz 是脑子怎么想的。。
|
6
herozzm 2020-06-20 10:09:21 +08:00 via Android 13
如果你用了别人的一键安装脚本且没看脚本内容可以这样说,但是这个教程不是一键脚本啊,而且都是透明的命令行啊
|
7
youxiachai 2020-06-20 10:10:01 +08:00
|
8
whitehack 2020-06-20 10:10:01 +08:00 1
`最后我们用 Hadoop 用户登录我们的电脑了,所以我们注销当前用户,注销后,在登录的界面中使用刚刚创建的 Hadoop 用户登录。`
这操作很明显是有 ssh 权限的. 这教程还加了 sudo 权限.. 的确是有点误导. 不过归根结底还是基础不牢呀. 当个教训以后就小心了. |
9
RJH 2020-06-20 10:11:57 +08:00
我买了一把菜刀,不小心割伤了手,都怪生产菜刀的工厂把菜刀弄得太锋利了。
|
10
Death 2020-06-20 10:12:58 +08:00 1
这是使用常用弱口令被爆了,和那博客的举例有啥关系
它也说了 “可以设置成你想设置的” 你的标题让人以为是博客的教程有后门 |
11
22too 2020-06-20 10:13:56 +08:00
这个太正常了。你根本不知道,互联网上有多少 ssh 扫描。你这样的密码,几乎和不设置密码一样,自己的安全意识要提高啊。
|
12
zhangpeter OP @leeshuai
@Deteriorator @youxiachai 我写一篇 ubuntu 开启 SSH 服务远程登录的博客,告诉来看博客的小白创建用户 root,密码也为 root,这不是误导是什么。 |
13
zhch602 2020-06-20 10:17:05 +08:00 via Android
天才
|
14
youxiachai 2020-06-20 10:18:36 +08:00
|
15
jzphx 2020-06-20 10:19:31 +08:00
@zhangpeter 这个怪不了博客主,人家是内网 Ubuntu,环境都不一样。
|
16
daozhihun 2020-06-20 10:19:43 +08:00
lz 真是个天才,要是有个教程说银行卡设置六位密码,比如 123456 (你自己定义),你是不是也会设置成 123456
|
17
youxiachai 2020-06-20 10:21:24 +08:00 2
@zhangpeter 我大概也明白 lz 的脑回路,觉得人家教就要从底层开始教全。。
问题是我一个客户端跑 Hadoop 的。。。为啥还要把一堆怎么运维的东西也教给你。。。 而且,你也没系统学过运维的知识,有点运维方面的常识也不至于在公网搞简单口令,这都能挂写博客的,有你这种读者真是悲哀 |
18
810244966 2020-06-20 10:22:24 +08:00 via Android
@zhangpeter 一般看教程学习的都是虚拟机折腾下啊,这种密码没毛病。既然你都部署到公网上去了,肯定会有一定的安全基础知识。
|
19
youxiachai 2020-06-20 10:23:32 +08:00 1
其实最搞笑的还是 lz 知道把 root 的命令搞得及其复杂。。然后其他用户就可放过了?
很好奇 lz 平时怎么学习的。。。 |
20
ChiangKaishek 2020-06-20 10:24:56 +08:00
涉及密码的这些东西,不设置弱密码本身就是常识.总之,看教程还是要带脑子的,无脑跟着教程敲不可取.博客不背锅.
|
21
ctro15547 2020-06-20 10:28:40 +08:00
以后密码记得改成自己的哦。 很多 mysql 教程也有用户名密码都是 mysql 的例子呢亲亲
|
22
vk42 2020-06-20 10:29:12 +08:00
虽然想笑,不过大家也放过 lz 吧,这种事情没有被毒打过一次可能都没啥记性,不过 lz 这个代价基本忽略不计了,很划算了其实……
|
23
coolair 2020-06-20 10:29:23 +08:00 5
额,打个比方,有人告诉你裸睡舒服,但是,你在公司午休的时候不能裸睡啊。环境不一样啊,博主教学用的是测试环境而已。
|
24
youxiachai 2020-06-20 10:30:36 +08:00
看了一下 lz 的主页,按道理 lz 的编程能力不弱啊。。。。
只能说,真的没系统学习过运维相关的知识,对相关方面不敏感 然后看了一下之前的帖子,也难怪。。lz 会怪写博客的人。。 |
25
XanderChen 2020-06-20 10:31:39 +08:00 2
好好地 hadoop 文档不看。
看啥博客,百度上不知道有多少六七年前的玩意儿。 当个教训吧。 |
26
YFeei 2020-06-20 10:34:27 +08:00 via Android
看到你最后一段,觉得写博客的人好冤
|
27
yanqiyu 2020-06-20 10:34:52 +08:00 via Android
不不不,典型常见账户名+密码同账户名+不限制 ssh 登录
这就是要被 hack 的标志 |
28
cnzjl 2020-06-20 10:38:14 +08:00
不能怪博主啊,当个教训就好了
|
29
saucerman8 2020-06-20 10:41:31 +08:00 via Android
这事很显然是你自己的原因,你在服务器上装,新建用户和密码的时候这点风险都想不到吗?
|
30
imdong 2020-06-20 10:43:29 +08:00 via iPhone 3
楼主可能是比较菜,但没必要喷楼主,正好可以把教训教给论坛其他人。
不要照抄网上的教程,大多不靠谱。要结合实际。 创建用户,要么不要开启远程登录,要么密码复杂一点(或者禁用密码改用密钥登录) 那个帖子有问题,但主要怪自己学艺不精。 |
31
opengps 2020-06-20 10:44:48 +08:00
习惯就好,公网环境安全问题本来就很恶劣,各种扫描器爆破工具实时运行,若密码等问题的弊端立刻会暴露,虽然运维角度讲只有几个地方进行调这个就能回避 90%的问题,我常年帮人上云,基本只讲这些就够大部分人用,但是这几个地方很多人都刚入门不会用好,大致如下:
默认端口(安全组,防火墙,第三方主机安全工具,具体服务要协调到位) 防火墙如规则 强密码 ip 白名单 防火墙出规则(这个很少有人用到位) |
32
baobao1270 2020-06-20 10:58:21 +08:00
我觉的楼主可能是觉得 root 用户复杂密码+SSH 就足以保障安全了
单纯的弱密码并非足以导致此事故 而是新用户的弱密码、SSHd 的错误配置和 sudo 权限的混乱三者共同导致的 任何一起事故都不是单一原因导致的 |
33
Cielsky 2020-06-20 11:07:21 +08:00 via Android
@zhangpeter 这样提不就太过繁琐了,既然是教怎么安装,那就怎么简单怎么来,不相关的事少说
|
34
liwl 2020-06-20 11:11:51 +08:00
可以简单设置为 hadoop(可以设置成你想设置的)
这个还提示的不到位? |
35
msg7086 2020-06-20 11:14:55 +08:00 2
> 设置密码
> 然后,接着上面的操作, 再对这个用户设置密码,可以简单设置为 hadoop(可以设置成你想设置的), 注意两次设置为相同的密码。 非常疑惑,一个系统账号为什么要设密码……adduser --system 他不香吗? |
36
huiyue 2020-06-20 11:15:22 +08:00
@zhangpeter 难道你不知道添加用户可以设置不允许远程登录?还有公网上,开 root 远程,怎么想的?
|
37
Miscedence 2020-06-20 11:15:53 +08:00 via Android
清奇的脑回路
|
38
zhangpeter OP @huiyue 好吧,本人真菜鸡,之前以为新增的用户默认是本地的,不知道需要设置禁止远程登录。公网 root 是因为 digitalocean 的 ubuntu 系统默认提供的用户就是 root 。
|
39
xianxiaobo 2020-06-20 11:39:53 +08:00
说到这个我就想到了安装 redis 不设置密码中挖矿病毒的事
|
40
jinliming2 2020-06-20 11:54:07 +08:00
这篇博客确实有问题,sudo 用户组没有限制,你把用户直接加到 sudo 组里,那么根本不需要 root 密码就能获得 root 权限了,因为 sudo 使用的是当前用户的密码。
这种安全常识问题写到博客里,可以说为了方便代码示例这么写,但最起码也要标一个警告,这会带来安全风险! |
41
Esec 2020-06-20 11:55:22 +08:00 via Android
看来上面这么多层禁用密码的提示楼主还是没看到,不过三两句介绍完事倒是很可能把自己锁外面,然后记得密码本一旦流出这台设备就不再保密了……
|
42
lpts007 2020-06-20 12:00:11 +08:00
@zhangpeter 不用太过懊恼,吃一堑长一智。
|
43
raaaaaar 2020-06-20 12:12:55 +08:00 via Android
这是意识问题,不是技术问题
|
44
yukiloh 2020-06-20 12:19:57 +08:00 1
|
45
tingyunsay 2020-06-20 12:41:04 +08:00
博客要是值贴一段啥都不告诉你的代码,那就可以骂了,csdn 上以前总能看到 rm -rf ...
|
46
imn1 2020-06-20 12:41:40 +08:00
想起日本各种家用电器的说明书,事无巨细都写了,面向家庭主妇编写的
|
47
huiyue 2020-06-20 12:43:42 +08:00
@zhangpeter 给你个建议。把你现在所有的用户梳理一遍,别被留后门了。只留一个用户可以远程(非 root ),再查看一下所有开放的端口,可疑的端口追踪一下进程,删掉。定时任务里面也看看。
|
48
BrettD 2020-06-20 12:45:33 +08:00 via iPhone
菜刀说明书上面都要写清楚不能对着人吗?这种基本安全常识也要博客博主写出来?
|
49
wdlth 2020-06-20 12:53:06 +08:00 1
你不是装了 hadoop,你是装了个蜜罐啊……
|
50
Mirage09 2020-06-20 13:26:04 +08:00 via iPad
邮件截图里的 ip 是你的 droplet 的地址吗?
|
51
luckyrayyy 2020-06-20 13:29:38 +08:00
建议报警,对博主采取强制措施
|
52
darer 2020-06-20 13:34:39 +08:00 11
看了下楼主最近发的几个帖子
> 跟着网上博客的教程安装 hadoop,然后我的服务器就被入侵了 > 在 V2EX 上展示自己的博客地址是高危行为,我的博客 2 天收到了 6 万恶意访问请求 > 我用腾讯云的服务器挂梯子,腾讯云把我服务器封了,大家有好用的服务器推荐吗? 嗯… |
53
npm 2020-06-20 13:41:44 +08:00
做教程真的是不容易啊!
我有时候也会遇到有人评论说:“这么简单的知识你也要说。。。?” 嫌弃我讲的太详细。 而楼主这个遇到了讲的不够详细,又指责博主讲得不详细。 唉~真的不好伺候啊! 讲的详细,你嫌弃啰嗦。 讲得不详细,你又嫌弃讲得不够明确。 |
54
baoshuai33 2020-06-20 13:54:55 +08:00 via iPhone
银行卡密码你设置的什么? 111111 ?
|
55
hfutzj 2020-06-20 14:45:46 +08:00
得出中文教程不可信。。。十分无语,建议自己摸索不要看教程
|
56
zhangpeter OP @msg7086 感谢这位老哥的回复,--system 很好用,学到了。
|
57
rr41ns 2020-06-20 15:46:30 +08:00
国家级甩锅表演艺术家
|
58
zhangpeter OP @npm 没有吧,我看到讲得很详细的博客底下的回复基本都是这篇博客讲得很详细
[url=https://sm.ms/image/T7cXEZPxoe5UBNV][img]https://i.loli.net/2020/06/20/T7cXEZPxoe5UBNV.png[/img][/url] |
59
zhangpeter OP @Mirage09 已经重装系统换 ip 了
|
60
efaun 2020-06-20 16:01:22 +08:00
果然,人穷是可以怪社会的
|
61
winglight2016 2020-06-20 16:35:50 +08:00
这不能怪人家不提醒你呀。因为默认情况下,云服务器本来就应该禁掉常用端口以外的端口,这样即使你用了弱密码也不影响,反之如果是暴露端口就不能使用弱密码——这种常识不是这篇文章的主题。
楼上有说,小白的话会怎样怎样,知道自己小白就不要急着用云服务器呀,先在本地研究清楚安全问题怎么解决不是更合理吗? |
62
Tyuans 2020-06-20 16:54:27 +08:00
root 都设置复杂密码了。。。怎么这个小事儿还能翻车。。。人博客里也提了改成自己的密码啊啊啊。。。
|
63
cs419 2020-06-20 18:44:24 +08:00
安全点都是只支持密钥登录
偷懒点 端口改成 2w 以后呀 |
64
irainsoft 2020-06-20 19:00:35 +08:00
这我傻了,这也能甩锅... 很多软件安装时都是有个默认密码让用户自己改的,况且密码这个东西不都是每个人自己设置吗?难道银行介绍说交易密码不要设 123456 你就去设置个 123457 吗?我在自己博客上写教程时涉及密码时都不会给很复杂的密码因为可能会暴露我设置密码的习惯,一般给 demo 时都是使用软件默认密码或者 123456,但读者要是甚至连设置自己的密码这种行为都不愿意去做,那实在是没办法了。博客主写文章不是在为软件写官方文档,自然要挑着重点写,不可能从为软件单独创建帐号来详细些的(我写 Microsoft office 教程为什么要教你安装 Windows 呢)
|
65
0312birdzhang 2020-06-20 20:11:24 +08:00 via iPhone
把👴给逗乐了
|
66
lewis89 2020-06-20 20:20:46 +08:00
新加用户 没有登录必要 换成 nologin 不是常规操作吗
|
67
zhangpeter OP @lewis89 是我孤陋寡闻了,之前学习 linux 时老师没提到这件事,网上自学看教程时也没有博客提到这件事。
|
68
eallion 2020-06-20 21:44:15 +08:00 via Android
走简易处理流程,楼主负主要责任,教程负次要责任。
|
69
lewis89 2020-06-20 21:50:07 +08:00
@zhangpeter #67 /etc/passwd nologin 一般操作
|
70
lightingtime 2020-06-21 00:05:40 +08:00
这东西还要学校教的嘛?又和博客提到有什么关系?楼主就是不愿意承认自己疏忽了一定要找个外界因素来解释自己的愚蠢错误嘛?
|
71
changgavin 2020-06-21 02:01:18 +08:00
只能说楼主没有认真看。博主只是说明注释用法。没让照着做
|
72
tcpdump 2020-06-21 02:52:20 +08:00
脑洞清奇
|
73
FRYF 2020-06-21 09:03:29 +08:00
笑了,我一个外行都看笑了
|
74
ximoer007 2020-06-23 09:41:29 +08:00
弱口令 也要怪博客
|
75
sowish 2020-07-02 15:17:06 +08:00
怎么不怪谷歌呢,这搜索引擎居然把有漏洞的博客排在前面,简直吃人血馒头。
|
76
dtgxx 2020-07-03 09:48:26 +08:00
不是问题多么简单,是你人有问题,你一定要好好反思啊,要不我觉得你会错怪很多人还不自知。
|