resurfaceio graylog 的api 安全方案
摘要:resurfaceio 是graylog 的api 安全方案,包含的特性 特性 简易的api 调用捕捉 立即攻击以及异常的rest 以及graphql api 处理 基于webhook ,sql 查询,以及数据导出自动化处理 快速部署本地或者基于k8s 的云环境 架构设计 resurfaceio 对
阅读全文
posted @ 2024-03-05 13:10
随笔分类 - 安全网关
长亭waf-ce 版本嵌入模式集成说明
摘要:就在最近的ce 版本中,支持直接集成waf 能力到外部openresty (nginx 服务中),这样waf 能力就类似一个外部服务了,对于openresty 来说 就是在不同阶段使用waf-ce 提供的方法,详细安装暂时就不说了,官方已经提供了,我只说明关于集成的一些问题 集成问题 玩法参考图 注
阅读全文
posted @ 2023-07-01 08:30
长亭waf-ce 版本试用
摘要:最近长亭提供了ce 版本的waf ,部分开源了(部分管理UI,t1k 部分,部分语义分析自动机引擎) 运行 离线下载docker 镜像 以下地址http://demo.waf-ce.chaitin.cn/image.tar.gz 加载镜像cat image.tar.gz | gzip -d | do
阅读全文
posted @ 2023-06-26 22:56
一些不错的开源内网穿透工具
摘要:整理一些可以支持内网穿透的工具,方便日常使用 说明 工具仅供参考学习使用 参考资料 https://github.com/ffay/lanproxyhttps://github.com/ginuerzh/gosthttps://github.com/fatedier/frphttps://githu
阅读全文
posted @ 2022-11-29 12:10
ldap 认证密码为空问题
摘要:ldap 协议使用使用simple 协议同时没有包含密码的情况就会存在自动转换为匿名认证,但是如果同时ad 开启了需要null bind 就会造成木有输入密码也可以认证成功的问题,机制上是协议栈的设计,但是对于如果ad 系统开启了此选项的问题就比较突出了,就会有安全隐患了,具体可以参考以下内容 参考
阅读全文
posted @ 2022-11-17 13:15
使用nginx limit_except 保护暴露外网的minio 服务
摘要:minio 做为比较热门的开源s3 服务,受到好多团队的青睐,使用率还是比较高的,如果我们的服务是部署在内网的还好 一般不用太担忧安全问题(但是也得做好内网的安全防护),但是如果直接将s3 服务暴露到公网问题就比较多了,解决 方法很多,比如使用waf,自己配置一些安全策略,以下是基于nginx li
阅读全文
posted @ 2022-10-26 21:42
基于iap 的安全控制
摘要:一篇来自Teleport 团队的安全实践,还是值得学习的,链接https://thenewstack.io/zero-trust-network-security-with-identity-aware-proxies/ 参考架构 说明 来自hashicorp 的Boundary 方案也是一个不错的
阅读全文
posted @ 2022-08-21 18:39
pixie k8s 原生应用即时监控工具
摘要:pixie 使用了ebpf 进行k8s 服务的观测 支持的特性 自动遥测: Pixie 使用 eBPF 自动收集遥测数据,例如全身请求、资源和网络指标、应用程序配置文件等。在此处查看完整的数据源列表。 集群内边缘计算: Pixie 在集群本地收集、存储和查询所有遥测数据。Pixie 使用不到 5%
阅读全文
posted @ 2022-08-17 21:36
nginx 一些简单访问控制模块
摘要:nginx 已经内置了一些简单的访问控制模块,利用好这些模块我们可以提升系统的安全 几个比较有用的标准模块 基本都是利用了access 阶段的能力 limit_except 限制请求方法的(类似白名单,可以与access 集成使用) access 的allow 以及deny (ip 防护,支持基于c
阅读全文
posted @ 2022-08-15 09:40
通过openresty 解决遗留 webservice 接口安全问题
摘要:技术一直在变革,老的技术一般都会成为现在的技术债,加上早期大家一般对于安全不是很重视(尤其是在内网环境的时候),尽管webservice 是包含了 ws-security 安全指南的,但是很多时候大家不是很重视(而且这个规范稍晚),以下是一个简单的实践 参考图 原理简单说明 核心还是利用了openr
阅读全文
posted @ 2022-08-13 12:27
nginx proxy webservie 问题&实践
摘要:webservice 具有特殊性,因为wsdl 文件是服务器端生成的(大部分,而且是动态的),所以我们直接使用nginx 进行proxy 会有问题 实际上此问题比较常见,而且网上也有人碰到,可能因为时间比较长了,技术变动,不见得就能解决问题,以下是自己在实践中一些整理 主要的问题 对于soap 的地
阅读全文
posted @ 2022-08-12 21:22
cossacklabs acra 开源数据库安全套件
摘要:acra是cossacklabs 开源的数据库安全工具,支持数据库的proxy,同时提供了安全处理能力(加密) 参考使用模式 说明 目前cossacklabs acra 支持mysql 以及pg,其他的暂时不支持(理论上可以自己扩展),cossacklabs acra 的源码也是值得学习参考的,尤其
阅读全文
posted @ 2022-07-03 20:38
openmetadata abac 实现简单说明
摘要:昨天简单说明了下,通过研究abac 发现abac 是比较强大的权限控制方案(相比常用的rbac 更加方便灵活) abac 参考落地方案 openmetadata 参考实体定义 openmetadata 的处理 pap, openmetadata 实现了admin api 以及ui,可以进行管理 pi
阅读全文
posted @ 2022-06-26 20:09
wundergraph 开源了
摘要:就在今天wundergraph完全开源了,而且基于apache 2.0 协议 参考架构 说明 wundergraph 的一些玩法还是比较有意思的,比如server side 使用了graphql,客户端反而基于了代码生成的客户端代码,官方的说法是基于json-rpc模式的操作同时基于get, 可以生
阅读全文
posted @ 2022-06-06 23:46
nginx 安全请求头
摘要:一些关于 nginx 配置以及安全头的链接,值得参考,可以保障我们系统的安全 参考资料 https://geekflare.com/tools/tests/rj6uevqzwhttps://github.com/GetPageSpeed/ngx_security_headershttps://dev
阅读全文
posted @ 2022-05-20 12:28
几个不错的java otp 包
摘要:个人比较推荐使用BastiaanJansen/otp-java,使用简单,而且包含了生成以及校验 参考代码 pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0
阅读全文
posted @ 2022-02-11 19:29
epress proxy+ nodeesi 实现简单微前端
摘要:实际上我以前也写过类似的(ssi+client esi 的)以下是一个服务器端的esi 参考玩法(内容来自youtube) 参考图 环境准备 http proxy 部分代码 const app = require("express")() const proxy = require("express
阅读全文
posted @ 2022-01-03 13:18
使用squid 让 docker for mac 支持基于容器ip 访问
摘要:尽管docker for mac 实现了类似linux 的docker 使用体验,但是毕竟使用技术上是不一样的(还是虚拟化技术) 但是我们可以直接基于正向代理实现直接基于容器ip 的访问体验 环境准备 docker-compose version: "3" services: nginx: imag
阅读全文
posted @ 2022-01-02 11:03
基于squid 暴露k8s 服务
摘要:实际上与我去年基于golang编写的一个特别简单的功能是类似的,知识基于squid 解决 原有方案 基于squid 的方案 技术上是一样的都是正向代理,强大的地方在于利用了squid 强大的控制能力,同时可以直接使用squid 的认证,增强系统的安全 说明 技术上没啥核心与基于golang 的模式是
阅读全文
posted @ 2022-01-01 23:43
haproxy tcp 白名单配置说明
摘要:基于acl 可以让haproxy 支持强大的访问控制以及流程处理,以下是一个简单的基于tcp-request 进行4层ip白名单的处理 参考配置 环境准备 version: '3' services: haproxy: image: haproxytech/haproxy-debian:2.5.0
阅读全文
posted @ 2021-12-09 17:50
