摘要:
Redis 安全 买了个阿里云,上面yum install安装了个redis,没有设置密码,过两天就收到了阿里云的安全告警信息, top了下,看到cpu飙升到了290%,进程kill不掉,最后发,/var/spool/cron下有个redis文件,跑定时任务,立马将redis停止 防护 首先,从认证 阅读全文
摘要:
Docker服务:Docker所提供的功能以及在宿主机Linux中的Docker进程 Docker镜像:通过Dockerfile构建出来的Docker镜像 Docker容器:实际运行的Docker容器,通常来说,一个Docker镜像会生成多个Docker容器。Docker容器运行与Docker服务至 阅读全文
摘要:
内网中的最小权限原则 对内网进行水平划分:划分不同的身份和权限 对内网进行垂直划分:内、外网隔离 有线和无线网络安全 无线网络的防护:使用安全协议(WAP2协议),认证技术(“强制门户”,再次认证),以及对办公网络中的未知热点进行扫描,避免伪造热点 有线网络安全防护:只需要防护劫持。第一种方法是对网 阅读全文
摘要:
Linux中的安全模型 内核层防护:确保使用官方的镜像并保持更新 用户层防护:确保正确配置权限 黄金法则应用 Linux中的认证机制 安全问题:认证是linux内核提供的,在用户层只需要关注弱密码导致的身份信息泄露 防护:在/etc/shadow中,制定适当的密码策略;使用已知的弱密码库来检测lin 阅读全文
摘要:
在进入一个系统后,黑客会进行一系列的操作来扩大自己的权限和攻击影响,这些操作可以被概括为权限提升和权限持久化。权限提升就是利用各种漏洞进行水平或者垂直的扩展,去获得新的身份和权限。权限持久化则是留下“后门”,并保持“后门”的长期有效性。 为了阻止黑客的进一步攻击行动,我们需要对应用和系统进行相应的防 阅读全文
摘要:
了解插件 你所使用的所有插件的版本是什么?(包括前端和后端,直接引用和间接引用) 你所使用的这些插件,是否存在漏洞,是否不被维护了,是否被废弃了? 你所使用的这些插件,会在哪些地方发布更新信息和漏洞信息? 你所使用的这些插件,是否会定期更新? 你是否会对更新插件进行完整的测试? 你所使用的这些插件, 阅读全文