trivy 容器安全扫描工具
摘要:trivy 是一个容器的安全扫描工具,特别适合ci工具的集成,同时官方也提供了一个与现有 工具的比较,也是一个不错的参考,通过下图可以了解一些常用的扫描工具 参考资料 https://github.com/aquasecurity/trivy
阅读全文
posted @ 2020-11-01 13:48
随笔分类 - 安全
基于openresty的ip白名单控制
摘要:目的很简单,因为基于nginx的 ngx_http_access_module ip 模块有点太弱了,不灵活,可以直接使用openresty 在access_by_lua 阶段处理 预备 我们需要支持cidr格式的ip,所以需要一个灵活的ip解析处理包, hamishforbes/lua-resty
阅读全文
posted @ 2020-10-19 20:41
monio 的一些安全实践
摘要:这个本来属于s3 的特性,但是我们在实际使用的过程中肯定不想别人直接可以通过浏览器或者http就可以可以我们的文件内容 这个属于安全的控制,以下是一个实践以及一些安全控制 一些原则 不能直接暴露minio 访问到公网环境(可以基于nginx,以及反向代理工具解决) 配置合理的bucket 策略,可以
阅读全文
posted @ 2020-07-18 21:15
topngx 一个不错的nginx 日志分析工具
摘要:topngx 是ngxtop 的重写,可以方便的分析nginx logi 基于rust 编写,是一个值得使用的工具 参考资料 https://github.com/lebinh/ngxtop https://github.com/gsquire/topngx
阅读全文
posted @ 2020-06-09 09:37
fusionauth 通用sso 解决方案学习二 基本试用
摘要:前边有简单的关于fusionauth的环境搭建,以下是关于fusionauth使用的说明 环境搭建 参考https://www.cnblogs.com/rongfengliang/p/12777247.html 配置 创建app 集成url 代码配置 参考代码:https://github.com/
阅读全文
posted @ 2020-04-26 15:13
postgresql_anonymizer 方便的数据脱敏扩展
摘要:postgresql_anonymizer 是一个灵活切强大的数据脱敏扩展,以下是一个简单的使用 环境准备 基于docker-compose 运行 dockerfile FROM dalongrong/pgspider:base as build WORKDIR /app RUN apt-get u
阅读全文
posted @ 2020-03-11 08:45
circus security 来自官方的安全建议
摘要:转自:https://circus.readthedocs.io/en/latest/design/security/ Circus is built on the top of the ZeroMQ library and comes with no security at all in its
阅读全文
posted @ 2019-06-11 14:00
使用vault pki 为nginx 生成tls 证书文件
摘要:关于vault pki 管理的使用的可以参考官方文档或者docker-vault 以下演示一个简单的基于vault pki 为nginx 提供tls 证书 项目环境配置 nginx 配置文件 worker_processes 1; events { worker_connections 1024;
阅读全文
posted @ 2019-05-31 10:26
使用vault pki engine 方便的管理证书
摘要:vault 是一个很方便的secret 、敏感数据管理工具,当前的版本已经包含了UI,使用起来很方便 以下演示一个简单的pki 管理 项目使用docker-compose 运行,为了简单使用单机开发模式 环境准备 docker-compose 文件 version: "3" services: va
阅读全文
posted @ 2019-05-31 09:58
保护 SSH 的三把锁
摘要:转自:https://www.ibm.com/developerworks/cn/aix/library/au-sshlocks/index.html 简介 如果需要远程访问计算机并启用了 Secure Shell (SSH) 连接,黑客就会尝试突破您的防线并控制您的计算机,您必须接受这个事实。尽管
阅读全文
posted @ 2019-05-22 09:48
ssh:no matching host key type found. Their offer: ssh-dss
摘要:最近突然ssh 服务连接出现 no matching host key type found. Their offer: ssh-dss 以前一直没有问题 可能的原因 openssh 服务升级,加密算法支持问题 小心被挖矿了(以前一直可以,但是新的不行,主要查看sshd 服务配置) 一般解决方法 s
阅读全文
posted @ 2019-05-21 09:59
openresty 集成 keycloak-oauth-oidc
摘要:keycloak 是一个比较全,而且比较方便的sso 解决方案,同时为我们提供了灵活的扩展特性 备注: 测试使用docker-compose 运行,对于keycloak 使用pg 数据库做为后端存储 环境准备 docker-compose文件 version: "3" services: openr
阅读全文
posted @ 2019-01-29 14:01
keycloak docker-compose 运行
摘要:内容很简单,主要是搭建一个可运行的keycloak 环境,方便开发测试,同时支持数据库的持久化 docker-compose 文件 version: "3" services: auth: image: jboss/keycloak ports: - "8080:8080" environment:
阅读全文
posted @ 2019-01-28 16:33
Gravitational Teleport docker-compose组件独立部署运行
摘要:Gravitational Teleport 可以作为堡垒机进行使用,上次写过一个all in one 的,这次参考官方 的配置运行一个proxy node auth 分离的应用 备注: 基于docker-compose 运行 环境准备 docker-compose 文件 version: '2'
阅读全文
posted @ 2018-12-29 09:41
Gravitational Teleport docker-compose简单运行
摘要:Gravitational Teleport 可以作为堡垒机进行使用,为了测试方便使用docker-compose 运行一个all in one 的demo 备注: 官方提供的docker-compose 文件版太旧,而且复杂 环境准备 docker-compose 文件 version: '2'
阅读全文
posted @ 2018-12-28 19:44
Gravitational Teleport简单使用
摘要:使用官方提供的二进制包进行快速启动测试,详细细节还需要在学习 下载软件包 mac 系统 https://gravitational.com/teleport/download/ wget https://get.gravitational.com/teleport-v3.1.1-darwin-amd
阅读全文
posted @ 2018-12-28 17:08
Gravitational Teleport 开源的通过ssh && kubernetes api 管理linux 服务器集群的网关
摘要:Gravitational Teleport 是一个开源的通过ssh && kubernetes api 管理linux 服务器集群的网关 支持以下功能: 基于证书的身份认证 ssh 访问位于防火墙后 支持基于rbac 的访问控制 会话记录&&ssh 审核日志 kubernetes 审计日志 当然也
阅读全文
posted @ 2018-12-28 14:58
Open-sourcing sso, the way we secure services at BuzzFeed
摘要:文章来源: https://tech.buzzfeed.com/unleashing-the-a6a1a5da39d6 说明: 设计有好多地方值得借鉴,粘贴过来的排版不好 Today we are open-sourcing sso, our single-sign-on authenticatio
阅读全文
posted @ 2018-10-23 11:23
vault 集群搭建(active standby 模式)
摘要:参考架构图: consul server cluster 搭建 consul 基本配置格式 { "server": true, "node_name": "CONSUL_DATA_PATH", "bind
阅读全文
posted @ 2018-09-28 14:54
Vault 0.10包含了web ui
摘要:Vault 是一个很不错的访问控制,secret api key 管理工具 新的0.10 有好多新的功能的添加,最棒的是有一个web ui 了 包含的新特性如下: K/V Secrets Engine v2 with Secret Versioning: Vault's Key-Value Secr
阅读全文
posted @ 2018-09-28 09:05
