原创 《白帽子講web安全》讀書筆記系列1:互聯網業務安全
一、安全是產品的一個特性,在設計之初就應該考慮安全隱患。 開發者眼中一個項目影響因素優先級排序: 1、功能實現 2、性能 3、可用性 4、如期上線 5、可維護性 6、安全 搜索引擎:釣魚網站、欺詐網站、掛馬網站 郵箱垃圾:AD、釣魚、
原创 MySQL主主集羣節點遷移方案
需求:A、B節點爲mysql主主集羣,現在需要接入C節點,與B形成主主,A節點降級爲B的從節點。 規劃: 1、完成B到C的主從配置; 2、停掉A的業務接入(或將流量暫時切換到B),即停止A的寫入,關閉A到B的主從,AB節點降級爲單純的B到
原创 Linux主機被入侵系列1:主機被抓做礦機的處置辦法---亂碼進程耗費CPU,殺掉自動重啓
1、現象 某臺測試環境主機,root口令簡單,某天被發現某進程(進程名爲亂碼,類似:wswdkfreuo,查看進程執行的命令爲常用系統命令,如who、ls、top、route -n等)極耗CPU,殺掉後分分鐘再次出現,進程名變更成其他亂碼
原创 《白帽子講web安全》讀書筆記系列7:認證與會話管理
1、認證VS授權 authentication authorization 認證:認出用戶是誰;實際上就是一個驗證憑證的過程。 授權:決定用戶能幹什麼。 單因素認證:只驗證一個憑證 雙因素認證:只驗證兩個憑證 多因素認證:.... 2
原创 視頻編輯心得
各類視頻編輯軟件不要太多,大部分要求付費或會強制加入片頭、水印啥的,爲了完成孩子的表演伴奏視頻,只好硬着頭皮搞了一波,效果還不錯,總結一下。 用到的工具: MemoriesOnTV:將照片合成爲視頻,原本是製作VCD的,可以導出視頻爲mp
原创 《白帽子講web安全》讀書筆記系列8:訪問控制
1、權限控制(訪問控制):某個主體對某個客體需要實施某種操作,系統對這種操作的限制即權限控制; 如網絡中的ACL、OS中的文件訪問控制、web應用的訪問控制等 常見的web應用訪問控制: 1)基於URL 2)基於方法(method) 3)
原创 小白指南-kubeadm部署K8S集羣1.14.3
1、環境準備 主機規劃 hostname IP CentOS 部署 pod網段 service網段 k8s-master 192.168.2.51 7.6 docker , kubeadm, kube
原创 K8S之1.14版本外部依賴版本說明
原文:https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG-1.14.md#changelog-since-v1142 etcd updated to v3.3.
原创 MySQL集羣模式選擇
沒有最好,只有最適合,根據實際需求和條件選擇最適合自己業務系統的就是最好的。 1、MySQL主從模式 傳統Master-Slave模式,可實現讀寫分離,數據備份; 侷限:需手動切換數據庫 2、MySQL主主模式+keepalive
原创 MySQL的分區(Partition)與分片(sharding)
分區(Partition) 優點:業務無感,多個物理存儲,邏輯上還是一張表 侷限:侷限於單庫,不能跨主機 適用:數據量不超過單主機物理承載 分片(sharding) 優點:無限擴展,可以跨庫、跨主機 侷限:擴展時需要調整業務配置 適用
原创 FastDFS、Hadoop、TiDB共同點與各自特點
有一天,看TiDB資料的時候,突然想起FastDFS、Hadoop的存儲模型,發現與TiDB極爲相似,於是總結下。 架構特點:都是管理節點(管理元信息、負載均衡)和處理節點(管理數據、計算)的架構; 共有的優點:分佈式、高可用、無限水平擴
原创 CentOS7下nagios+pagerduty的yum安裝與應用
1、nagios的優勢 1)部署和配置最便捷 2)完善的基礎服務監控,直接有效 2、nagios的兩種核心工作模式 遠程直連採集:IP(ping)、端口(telnet)、URL(curl -I) 橋接間接採集:CPU、內存、磁盤、進程
原创 jenkins+gulp+maven實現前後端一鍵打包+部署
需求:前後端在一個應用包,前端基於node、使用gulp打包,後端使用maven打包;配置jenkins實現一鍵從svn拉取代碼、打前端、封裝後端、部署。 1、jenkins配置 jenkins的安裝、配置,網上有很多相關指導,也不是
原创 《白帽子講web安全》讀書筆記系列15:我(吳翰清)的安全世界觀
1、安全問題的本質是信任的問題; 安全是一個持續的過程; 安全三要素: 機密性 confidentiality 數據內容不能泄露,常用手段:加密 完整性 integrity 數據內容完整、不被篡改,常用手段:數字簽名 可用性 availa
原创 《白帽子講web安全》讀書筆記系列14:點擊劫持與HTML5安全
1、各種點擊劫持 點擊劫持:一種視覺上的欺騙手段,使用一個透明的、不可見的iframe,覆蓋在網頁上,然後誘使用戶在該網頁上進行操作,此時用戶在不知情的情況下點擊透明的iframe頁面。 Flash點擊劫持:攻擊者製作一個flash遊