根据不同的使用场景,mysqldump 所需要的权限也不同,一般需要这些权限, * 对于table 来说, mysqldump 最少要有select 权限,和 lock tables 权限, * 对于 view 来说,mysqldump 要有 show view 权限。 * 对于 trigger 来说,mysqldump 要有trigger 权限。 对应的赋权如下, ``` mysql> grant select, trigger, show view, lock tables on destdb.* to sqldump@‘%‘; ``` ...阅读全文
上都是通过讨论取得共识后再决定的。更最重要的是,现在 Django 中的不少提交者都处于非活动的状态,再加上“提交者”或“核心团队成员”这种头衔往往被视为有较高的门槛,容易让潜在的贡献者“不敢”与之相匹配。因此,从各层面来说,Django 的核心团队都已经失去了作用,倒不如直接解散。 作为替代者,两个新的角色将被正式化 —— 合并者(Merger)和 发布者(Releaser),合并者负责拉取请求到 Django ,发布者负责打包和发布版本。技术委员会作为最终的把关者,将继续保留,并赋予一些额外的决定权,主要是把控合并者和发布者的工作,并确认 Django 即将发布的版本。同时,董事会选举的频率将会降低,计划会是在每个主要版本发布时举办一次,而不是现在的每个版本发布时都进行。技术委员会的选举...阅读全文
您应该知道如何在一个新鲜的Linux服务器上执行的最基本的任务之一是添加和删除用户。当您创建一个新的系统,你往往只能给出默认root帐户。 虽然运行在root用户提供了大量的功能和灵活性,这也是危险的,可能是破坏性的。添加一个额外的,无特权的用户来执行常见任务几乎总是一个更好的主意。然后,您应为系统上可能有的任何其他用户创建其他帐户。 您仍然可以获取管理员权限,当你需要他们通过一个名为机制sudo 。 在本教程中,您将学习如何创建用户帐户,分配sudo特权,和删除用户。 如何添加用户 如果您作为root用户登录,您可以创建在通过键入任何时候一个新的用户: adduser sammy 如果要在谁被赋予了非root用户登录, sudo特权,因为在证明初始服务器设置向导 ,您可以添加通过键入新用...阅读全文
也预想了这种情况,在没有项目负责人的情况下,技术委员会主席和项目秘书有权做出各种决定,前提是他们能够达成一致。信中对这种情况表示乐观:“由于 Debian 开发人员向来以‘非争论群体’著称,所以达成一致应该不成问题。”但很明显这种不确定因素过高的方案不是一个良策。 联系一下此前 Debian 包维护者 Michael 对社区的不满,他认为 Debian 整个开发评估流程都非常迟缓,比如补丁的评估没有截止日期,有时候他会收到通知说几年前递交的补丁现在合并了;赋予维护者的个人自由度太高,一些维护者可以出于个人喜好拒绝合作等,这些都对 Debian 的发展产生不好的影响。 就像 Michael,许多人都认为社区内部给予开发者的自由度过高,并且带来不好的影响。按照前边对于 Debian 领导人实权的...阅读全文
能角色的分工不均衡,再加上个人角色的过度自由,使得 Debian 章程变成了 Joey 口中的那份“有毒文件”。 我想敏捷哲学中的一些事情是对的:想办法减少因为改变而产生的成本,去赋能一些个体决策的权利、去行动,而不是在事前就害怕失败、畏首畏尾。近来,我越来越怀疑 Debian 现行的决策机制(特别是技术委员会)是否真的合适。 敲下这几句话的几年后,Russ Allbery 再次成为了 Debian 技术委员会的成员。这次,他没有坐以待毙,而是提出了一份根本性的改革草案。详情请戳:《Debian 向左:或将迎来根本性改革》...阅读全文
恢复有要求的用户;希望轻松管理系统的用户。支持互联网应用,如电子商务、论坛、社交网络、企业网站和办公自动化系统;4.与租用物理服务器相比,云服务器的主要优势是什么?云服务器的租赁价格低于传统物理服务器,不需要押金。凭借快速供应和部署的能力,用户在提交租赁申请后,可以实时打开云主机并立即获得服务。支持业务平滑扩展,当用户业务规模扩大时,可以快速实现业务扩展。5.云服务器可以申请多个IP吗?云服务器将根据用户选择的不同线路配备不同数量的IP地址。默认情况下,单线会有一个独立的IP,双线会有两个独立的IP。由于IP的增加,带宽无法限制,所以暂时不会增加IP。6.云服务器出租产品是为了赋予产权吗?不送产权。云服务器是基于云计算平台的主机产品。用户实际上为云计算平台的计算和存储能力以及高质量的网络带宽...阅读全文
效率;二是新 IP 的灵活性使地址分割简化了边界路由器的设计,边界路由器不需要维护地址映射指令。 目前,New IP 网络架构技术已在建设中,将于 2021 年开始测试。 New IP 是否会带来垄断? 正如一切新事物在诞生初期都往往会招致人们的质疑和误会一样,New IP 也正深处这样的困境当中。 对于华为提出的 New IP 提案,沙特阿拉伯、伊朗、俄罗斯等国家均表示了支持。不过,有部分学者对这一“新事物”怀有质疑,主要有两方面立场: 一是关于绝对控制权。哈佛大学的社会科学家 Shoshana Zuboff 认为,华为提出新 IP 是为了通过技术基础设施赋予他们政治上的绝对控制权; 二是关于安全和人权。网络安全公司牛津信息实验室认为,New IP 虽能对网络基础进行细粒度控制,但网络协议...阅读全文
通信网络和服务提供者为了确保网络和信息安全、提高信息系统抵抗能力、规避意外事件而进行紧急个人数据处理。 6.2 CCPA关于被遗忘权的规定——原则与例外 与GDPR一样,CCPA也赋予了数据主体“被遗忘权”,但不同的是,CCPA对于被遗忘权的执行设置了更为确定的例外情形,具体包括: 该信息对于完成数据主体请求的交易,或对于履行协议来说是必要的;该信息对于侦察安全事件来说是必要的;该信息对于防止欺诈、欺骗或不法行为来说是必要的;该信息对于鉴定或修复错误来说是必要的;该信息对于促进言论自由来说是必要的;该信息对于公共利益的科学性、历史性或统计性的研究来说是必要的;如果该信息对某个公司的内部使用(且该使用被消费者合理地期待)来说是必要的;该信息以与搜集目的相匹配的形式被内部利用; 6.3 小结...阅读全文
如果你是在一个大型组织,你运行了 NFS 或者 Samba 服务给不同的用户,你将会需要灵活的挑选并设置很多复杂的配置和权限去满足你的组织不同的需求。Linux(以及其他Unix等POSIX兼容的操作系统)有一个被称为访问控制列表(ACL)的权限控制方法,它是一种权限分配之外的普遍范式。例如,默认情况下你需要维护3个权限组:owner、group和other。 使用ACL后,你可以设置权限给其他用户或组,而不单只是简单的"other"。可以允许指定的用户A、B、C拥有写权限而不再是让他们整个组拥有写权限。 ACL支持多种Linux文件系统,包括ext2, ext3, ext4, XFS, Btrfs等。如果你不确定你的文件系统是否支持ACL,请参考文档。 首先我们需要安装工具来管理ACL...阅读全文
AWS Identity and Access Management (IAM) 是AWS云平台上的一种 Web 服务,可帮助你安全地控制用户对 AWS 资源的访问权限。通过 IAM 可以控制哪些人可以使用你的 AWS 资源(身份验证)以及他们可以使用的资源和采用的方式(授权)。 IAM 主要功能与特点 Shared access to your AWS accountGranular permissionsSecure access to AWS resources for applications that run on Amazon EC2Identity federationIdentity information for assurancePCI DSS...阅读全文
许匿名用户有创建目录的权利 dirmessage_enable=YES 是否显示目录说明文件,默认是YES但需要收工创建.message文件 xferlog_enable=YES 是否记录ftp传输过程 xferlog_file=/var/log/vsftpd.log 设置日志文件的路径 connect_from_port_20=YES 是否确信端口传输来自20(ftp-data) idle_session_timeout=600 设置默认的断开不活跃session的时间 data_connection_timeout=120 设置数据传输超时时间 max_clients=Number 如果以standalone模式起动,那么只有$Number个用户可以连接,其他的用户将得到错误信息,默认是...阅读全文
> 作者:[SRE运维博客](https://www.cnsre.cn/) > > 博客地址: [https://www.cnsre.cn/](https://www.cnsre.cn/) > > 文章地址:[https://www.cnsre.cn/posts/211203931498/](https://www.cnsre.cn/posts/211203931498/) > > 相关话题:[https://www.cnsre.cn/tags/aws/](https://www.cnsre.cn/tags/aws/) 因为创建 Amazon EKS 集群时,IAM 用户或角色会自动在集群的 RBAC 配置中被授予 system:masters 权限。例如,IAM 用户或角色可以是创建集群...阅读全文
做得很突出是不够的,不是每个人都适合做管理。要找到好的经理人,需要观察他们是如何与其他员工共事的,看看他们是否具备足够的灵活性并是否能够拥抱变化。要想知道一个人是否适合管理岗位,可以先分配一些小任务给他们,比如让他带实习生或者让他管理一个小项目。经过一段时间的观察后,看看他是否胜任。 培训经理人需要几个月的时间。Calderon建议这个时间不要太长,以免养成不好的习惯,只要等到他们开始理解管理者角色的时候就可以了。在谷歌,这个时间一般是三个月。Calderon说,不要在他们还没开始工作或刚开始工作时就培训他们,而是要让他们先工作几个月,让他们对工作有所了解,并经历一些挑战。到了培训阶段,不要只是纸上谈兵,而是真正赋予他们管理者的角色。 不要一开始就让他们承担太多的工作。一个新经理人刚开始工作...阅读全文
Your Code: Immutable Infrastructure and Disposable Components”, Chad Fowler, 2013“Phoenix Server”, Martin Fowler, 2012不可变基础设施里的“不可变”非常类似于程序设计中的“不可变”概念。程序设计中不可变变量(Immutable Variable)就是在完成赋值后就不能发生更改,只能创建新的来整体替换旧的。由于具有这样的特性这种变量可以在并发环境下安全的使用。对于基础设施的不可变性,最基本的就是指运行服务的服务器在完成部署后,就不在进行更改。在过去依赖传统的高可靠性基础设施的时代,服务的可靠性依赖于高可靠性的服务器。然而,这些基础设施具有很高的拥有成本,并且初始化,配置的成本也非常高...阅读全文
生态 微软 CEO Nadella 谈到了微软在过去几年中如何成为 GitHub 上最活跃的组织,提交了超过 200 万次的项目 commits 和 updates ,并表示微软正在全身心地投入开源。 至于 GitHub 将如何发展成为一家微软公司,Nadella 主要关注三大策略:在开发周期的各个阶段为开发者赋能,加速 GitHub 用于企业开发,并利用该平台让更多用户使用微软的开发工具和服务。 2、保持 GitHub 的开放性 GitHub 创始人 Chris Wanstrath 表示,无论使用的是哪种编程语言、平台、操作系统或编码设备,GitHub 都会是面向所有开发者的开放平台。像之前的 LinkedIn 和 Minecraft 一样,Nadella 时期的微软会让被收购的公司保持其...阅读全文
DNS SRV 是 DNS 记录中一种,用来查询指定服务的地址。与常见的A记录、CNAME 不同的是,SRV中除了记录服务器的地址,还记录了服务的端口,并且可以设置每个服务地址的优先级和权重。RFC-2782 给出DNS SRV的建议标准,它是在2000年的时候提出来的。 访问服务的时候,本地的服务从 DNS 服务器查询到一个地址列表,根据优先级和权重,从中选取一个地址作为本次请求的目标地址。 一个支持SRV的 LDAP client 通过查询域名,可以得知 LDAP 服务的 IP 地址和服务端口: _ldap._tcp.example.com 这个域名的格式是 rfc-2782 中推荐的格式,_ldap表示LDAP服务,_tcp表示通过TCP协议访问LDAP服务。 SRV 的 DNS 类...阅读全文
-apiserver 的角度来看,它已经验证了我们的身份并且赋予了相应的权限允许我们继续,但对于 Kubernetes 而言,其他组件对于应不应该允许发生的事情还是很有意见的。所以这个请求还需要通过 Admission Controller 所控制的一个 准入控制链 的层层考验,官方标准的 “关卡” 有近十个之多,而且还能自定义扩展! 虽然授权的重点是回答用户是否有权限,但准入控制器会拦截请求以确保它符合集群的更广泛的期望和规则。它们是资源对象保存到 etcd 之前的最后一个堡垒,封装了一系列额外的检查以确保操作不会产生意外或负面结果。不同于授权和认证只关心请求的用户和操作,准入控制还处理请求的内容,并且仅对创建、更新、删除或连接(如代理)等有效,而对读操作无效。 Note 准入控制器的工作方式与授权者和验证...阅读全文
我们重视保护用户的隐私权,请您在浏览本网站以及使用本网站的特定服务前,仔细阅读本隐私权声明。使用本网站,即视为您同意本隐私权声明并同意本网站根据本隐私权声明收集、使用、披露您的部分信息。 本隐私权声明主要包括如下内容:当您浏览本网站时,我们向您收集哪些信息;我们如何使用这些信息;我们会在何种情况下披露这些信息;以及您的选择。 本隐私权声明适用于本网站收集的关于您的个人信息。请注意本网站可能包含连接到其他网站的链接,我们对这些其他网站的隐私权做法不承担任何责任。我们建议您仔细阅读您所浏览的其他网站的隐私权声明。 1. 信息的收集 您向我们提供的信息。 如果您仅仅浏览本网站的一般性内容,我们并不要求您提供任何个人信息。在您需要使用或浏览我们提供的特定服务或信息时(比如参...阅读全文
Debian和Ubuntu都有一组官方授予的针对贡献者的成员角色,他们可以以参加选举或其他官方决策等方式参与到项目的治理中,同时这也是给贡献者分配工作的一种手段,大部分贡献者对他们获得的身份都感到很自豪。 在一个发行版的发展过程中,成员结构扮演中重要的角色:它定义了受项目欢迎的贡献者类型,以及项目对贡献者的期望和贡献者拥有的权利。最后,这种方式形成了项目招募新贡献者的吸引力,而只有不断吸收新贡献者才能使项目保持活力。 本文将以Debian和Ubuntu对比为例,介绍不同背景的社区成员是如何进行贡献以及官方认可的。 简介 在具体介绍开始之前,先为大家简单的介绍一下Debian和Ubuntu这两个项目。 Debian是由各种开源协议下的自由软体组成的作业系统,由“Debian计划”组织维护...阅读全文
Vervet) Ubuntu 15.10 (Wily Werewolf) [For Node >= 4.2.x] 安装步骤 Ghost 目前支持 0.10.*、0.12.* 和 >=4.2 <5.* (LTS) 版本的 Node.js,推荐的是 >0.10.40 (最新版本)。详细说明请看这里:http://support.ghost.org/supported-node-versions/ 根据我们的安装经验,推荐安装 4.x(LTS)版本的 Node.js。 安装 Node.js v4.x 以 root 权限执行下列指令 curl -sL https://deb.nodesource.com/setup_4.x | bash - apt-get install -y nodejs 安装...阅读全文
作为RISC精简指令集的代表,MIPS处理器曾经比ARM还要火,比ARM更早支持64位,也是安卓系统支持的三大指令集之一,只不过现在MIPS指令集在移动、嵌入式领域影响比ARM小多了,这方面的原因也是多方面的。 MIPS在被辗转卖了几次之后,最终结局倒也不坏——MIPS走向开源了,上周末官方宣布开放了MIPS R6指令集及相关工具,32位、64位MIPS都可以免费下载使用。 2012年Imagination Technologies斥资1亿美元收购了MIPS公司,准备加强CPU业务,这样就能提供完整的CPU、GPU授权,不过Imagination Technologies在这方面并不算成功,在苹果放弃他们的PowerVR GPU授权之后,Imagination Technologies也把...阅读全文
AWS 的临时权限可以通过 AssumeRole 访问控制台,但需要经过一些配置和操作。以下是如何使用 AssumeRole 通过 SessionToken 访问 AWS 的管理控制台。 以下步骤,包括了生成临时凭证 SessionToken,并通过这个凭证生成可访问 AWS Web控制台的登录 URL。完整的流程如下。一. 创建并配置 IAM 角色• 创建目标角色(RoleA):• 创建一个 IAM 角色,为其分配所需的权限策略(如 AdministratorAccess 或自定义策略)。• 配置信任关系,使特定用户或角色可以 Assume 该角色。例如:{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow...阅读全文
channel通道golang的并发模型是序列通信处理CSP(communicating sequential process)——使用通信来共享内存 ,避免goroutine因竞争共享内存频繁加锁产生的性能问题。基本数据结构golang中提供了一个特殊的类型channel实现goroutine之间的通信。channel类似于队列,先进先出。channel数据结构源码在src/runtime/chan.go下。chan 使用 hchan 表示,它的传参与赋值始终都是指针形式,每个 hchan 对象代表着一个 chan。hchan 中包含一个缓冲区 buf,它表示已经发送但是还未被接收的数据缓存。buf 的大小由创建 chan 时的参数来决定。qcount 表示当前缓冲区中有效数据的总量...阅读全文
”、“梅花”等。从这一点上看,域名的独有性,似乎更好一些。 从商业的角度来看,域名因其独特性,可以把它当作一个企业的网上商标。不过,可以肯定地说,域名与商标没有绝对的联系。 在这个眼球经济时代,作为企业,最理想的状态,当然是希望它的实物商标与网上商标保持高度一致的,以使大众无论从哪个途径,都能将目光聚焦在它的身上,为此,企业们也付出了巨大的努力,比如商标之争比较有名的当属“加多宝”和“王老吉”,域名方面,作为米农,所听到见到的域名仲裁案例也不在少数。 由于域名和商标分属不同领域的不同系统,再加上时间差的原因,一般企业想要达到理想状态,是有难度的。比如说,自已注册的商标,其对应的域名不一定是未注册状态,这个时候,域名权与商标权,甚至商号权、网站名称权等就形成了冲突。除了收购外,另外一个途径就是仲裁...阅读全文
容视图中,管理员现在可以使用新列“创建日期”过滤存储的数据,例如,该列可以简化从特定日期开始搜索备份的过程。可以无缝更改 Web 界面的语言,而无需重新启动会话。添加了阿拉伯语翻译,因此 Proxmox VE 总共支持 20 种语言。 Linux 容器: 集成容器技术已更新为 LXC 4.0.2 和 lxcfs 4.0.3。Proxmox VE 6.2 现在允许在基于目录的存储上为容器创建模板。适用于 Ubuntu 20.04、Fedora 32、CentOS 8.1、Alpine Linux 和 Arch Linux 的新 LXC 模板。 Zstandard用于备份/还原: 集成的备份管理器支持快速高效的无损数据压缩算法 Zstandard(zstd)。 用户和权限管理: Proxmox...阅读全文
2017 年 5 月 30 日, 国外安全研究人员发现 Linux 环节下,可以通过 sudo 实现本地提权漏洞,漏洞编号为 CVE-2017-1000367,该漏洞几乎影响了所有 Linux 系统。详情如下: 漏洞编号: CVE-2017-1000367 漏洞名称: Sudo 本地提权漏洞 官方评级: 高危 漏洞描述: 当确定 tty 时,Sudo 没有正确解析/ proc / [pid] / stat 的内容,本地攻击者可能会使用此方法来覆盖文件系统上的任何文件,从而绕过预期权限或获取 root shell。 漏洞利用条件和方式: 本地利用 漏洞影响范围: Sudo 1.8.6p7 到 1.8.20 Red Hat Enterprise Linux 6 (sudo) Red Hat...阅读全文
-h127.0.0.1 -P6669 但是只能本机访问,远程访问不了,原因还未知。(更新:在安装Yearning时发现了阿里云的安全组问题,可能同样是这个原因导致。) Yearning安装 参考资料:https://cookiey.github.io/Yearning-document/install/ 安装pip3 1.1 安装python3的依赖包: sudo yum install openssl-devel 1.2 获取python3的压缩包: wget https://www.python.org/ftp/python/3.6.4/Python-3.6.4.tgz 1.3 安装python3(需要root权限) tar zxvf Python-3.6.4.tgz cd Python-3.6.4...阅读全文
这两天开源配置管理工具 saltstack 爆出了CVSS得分为10分的漏洞。如果你对CVSS的评分没有概念,那么前几年震惊互联网的 openssl心脏滴血漏洞,CVSS base评分是5.0,由此可知这次爆出来的 saltsatck 漏洞是多么严重。 漏洞信息: 该漏洞是 F-secure 研究人员在3月份发现的,目前该漏洞已经在最新版本中修复。本次极高危漏洞,是由两个不同的漏洞引起的,一个是身份验证绕过漏洞 CVE-2020-11651,一个是目录遍历漏洞没有过滤掉不受信任的输入 CVE-2020-11652,从而导致攻击者可以不受限制的访问 salt-master 的整个文件系统。 攻击者获取salt-master的权限后,便可以控制整个被salt-master管理的数据中心的各主机...阅读全文
Mesh 通过 Kubernetes 原生的 RBAC(基于角色的权限控制)功能对权限进行管理。用户可以根据实际的权限需求自由地创建多种 Role,然后绑定到用户名 Service Account 上,最后生成 Service Account 对应的 Token。用户使用该 Token 登陆 Dashboard,只能在该 Service Account 允许的权限范围内进行 Chaos 实验。此外 Chaos Mesh 还支持通过设置 Namespace Annotation 的方式开启特定 Namespace 下混沌实验的权限,进一步保障混沌实验的可控性。...阅读全文
根据 GitLab CEO Sid Sijbrandij 在圣诞节来临之际,向开发者宣布,在 GitLab 11.8 发布时,将开源 ChatOps 功能。 GitLab ChatOps 的主要功能,就是开发者通过即使通讯平台发送命令,目前支持的平台包括 Slack 和 Mattermost 。Sid Sijbrandij 表示,GitLab 在未来也会加入 GitLab ChatOps 功能。 ChatOps 共有以下 5 大特点: 提供监测功能,配备相关的监工仪表盘,让运维人员更方便的进行鼓掌排除。支持 JQuery 指令操作,也支持输入简单的 SQL 指令。整合角色控制权限,为每个使用者配置不同的权限。不需要进行相关的设置工作,开发者开通后即可使用。ChatOps 作为平台中的功能...阅读全文
这篇是 Buoyant 的创始人 William Morgan 文章《What Does Zero Trust Mean for Kubernetes?》 的翻译,文章很好的解释了什么是零信任、为什么要实施零信任,以及服务网格如何以最小的代码实现零信任。零信任是营销炒作,还是新的机会,各位看官你怎么看?要点零信任是一种被大量炒作的安全模型,但尽管存在营销噪音,但它对于具有安全意识的组织具有一些具体而直接的价值。零信任的核心是,将授权从“在边界验证一次”转变为“随时随地验证”。为此,零信任要求我们重新思考身份的概念,并摆脱基于位置的身份,例如 IP 地址。Kubernetes 采用者在网络层实现零信任时具有明显的优势,这要归功于基于 Sidecar 的服务网格,它提供无需更改应用程序就可实现...阅读全文
伦堡的 SUSE 办公室。 而在2012年2月1日,Linux基金会官方发文正式宣称GKH加入。 https://www.linuxfoundation.org/press-release/2012/02/leading-kernel-maintainer-greg-kroah-hartman-joins-the-linux-foundation/ Linux基金会的执行董事Jim Zemlin对GKH更是赞不绝口,“Greg是这个世界上最具天赋的软件开发者之一,他将会对Linux的发展提供无与伦比的贡献。”,并表明GKH的工作将会聚焦于Linux内核方面。 会员类别与年费 Linux基金会的会员分为企业会员和个人会员,而企业会员又分为白金会员、黄金会员和白银会员三种。 会员类别企业/个人会...阅读全文
" //go:embed hello.txt var s string func main() { print(s) } 我们首先在对应的目录下创建了 hello.txt 文件,并且写入文本内容 “吃煎鱼”。 在代码中编写了最为核心的 //go:embed hello.txt 注解。注解的格式很简单,就是 go:embed 指令声明,外加读取的内容的地址,可支持相对和绝对路径。 输出结果: 吃煎鱼 读取到静态文件中的内容后自动赋值给了变量 s,并且在主函数中成功输出。 而针对其他的基础类型,Go embed 也是支持的: //go:embed hello.txt var s string //go:embed hello.txt var b []byte //go:embed hello.txt var f...阅读全文
Apollo(阿波罗)是携程框架部门研发的分布式配置中心,能够集中化管理应用不同环境、不同集群的配置,配置修改后能够实时推送到应用端,并且具备规范的权限、流程治理等特性,适用于微服务配置管理场景。 本文简单从功能特点做介绍,更详细的说明请参考Apollo配置中心介绍。本地快速部署可以参考这里。线上的演示环境从这里可以访问到: 106.54.227.205 (账号/密码: apollo/admin) Apollo 配置中心产生背景 大多情况下程序随着功能的复杂,程序的配置也会增多:包括各种功能开关、参数配置、服务地址信息配置等,同时开发人员对程序配置的期望值也越来越高:配置修改后实时生效,灰度发布,分环境、分集群的管理配置、权限控制、审核机制等。 在这样的大环境下,传统的通过配置文件、数据库...阅读全文
为即将到来的 Linux 5.12 合并窗口预定的 USB4 / Thunderbolt 变更已经被排入 USB-next 树中。这是英特尔的开发人员为下一个内核合并窗口所做的Thunderbolt改变,作为其中的一部分,包括最新的USB4方面的改进。Linux 5.12的新安全选项之一是支持USB 4的安全级别5(SL5)。 通过这个新的安全级别,PCIe隧道将被禁用。这个禁用PCI Express隧道的更高安全级别通常是支持USB 4硬件的BIOS配置选项。这个 "nopcie "选项在只使用DisplayPort的 "dponly "模式下也会被强制执行。 Linux内核现在已经支持 Thunderbolt / USB 4 安全设置,特性包括要求用户批准授权新设备,自动隧道...阅读全文
这些漏洞(被追踪为 CVE-2021-27363、CVE-2021-27364 和 CVE-2021-27365)存在于内核的 iSCSI 模块中。虽然在默认情况下该模块是没有被加载的,但是 Linux 内核对模块按需加载的支持意味着它可以很容易地被调用到行动中。安全专家在 Red Hat 所有已测试版本和其他发行版本中均存在这些漏洞。在 GRIMM 博客上,安全研究员 Adam Nichols 表示:“我们在 Linux mainline 内核的一个被遗忘的角落里发现了 3 个BUG,这些 BUG 已经有 15 年的历史了。与我们发现的大多数积满灰尘的东西不同,这些 BUG 依然存在影响,其中一个原来可以作为本地权限升级(LPE)在多个 Linux 环境中使用”。这些漏洞存在于无法远程访...阅读全文
Debian 项目近日发布了针对 Debian GNU/Linux 9 “ Stretch ” 系列操作系统新的 Linux 内核安全更新,修复了最近发现的几个漏洞 。 根据最新的 DSA 4073-1 Debian 安全通报,在 Debian GNU/Linux 9 “ Stretch ” 操作系统的 Linux 4.9 LTS 内核中,共有 18 个安全漏洞,其中包括信息泄露,提权升级和拒绝服务等问题。 通报显示,在 Linux 内核的 DCCP 实现、dvb-usb-lmedm04 驱动程序、hdpvr 媒体驱动程序、扩展 BPF 验证程序、netfilter 子系统、netlink 子系统、xt_osf 模块、USB 核心以及 IPv4 原始套接字实现都存在问题。另外,Linux...阅读全文
名称也是如此(开源项目的产品通常与项目共享名称,但有些项目会生产多个产品)。声明项目的品牌为商标,并考虑注册商标。制定商标使用指南,以便采用者知道如何使用此品牌。这是一个与开源软件基金会合作可以增值的领域。基金会可以代表社区持有和捍卫项目的商标。这可以避免任何特定的个人或组织劫持开源项目的名称。 13、管理知识产权和版权 为项目作出贡献的代码、文档和其他工件都是知识产权。谁是这些知识产权的拥有者呢?作者保留所有权还是指派给了另一个实体?确保所有的贡献者理解贡献者的权利和责任。考虑让贡献者签署开发者原产地证书(DCO)或贡献者许可证协议(CLA)。确保版权声明包含在源代码和通知中。 请注意,项目本身不可能作为持有版权的法律实体。这是另一个开源基金会可以提供有价值的服务的地方。 14、选择OSI...阅读全文
大家详细介绍CET,以及推出它的全球知名数字资产交易服务商CoinEx。 CET(CoinEx Token)诞生于2018年1月,是 CoinEx业务生态内的用户增值服务权益体系,最开始 CET 基于 Ethereum ERC20 协议发行。CoinEx业务生态内的用户增值服务权益体系,CET价值远不止这些。CET可以在多种场景下流通并使用。CET的核心价值包括并不限于: ** 1、长期回购销毁 ** CoinEx每天自动将平台手续费收入的50%用于回购CET,并在每个自然季度结束时将当季回购的CET全部销毁,直至CET总量减至30亿。CET总量减至30亿后,CoinEx将继续把平台手续费收入的20%用于回购并销毁CET,直至CET全部销毁。 ** 2、优惠抵扣平台交易费 ** CoinEx...阅读全文
给每个节点和待分配的pod进行打分。1.首先可用的node和pod会被打分函数进行打分,分数在0-10分之间。并且每个打分函数还有一个权重值。那么一个可用的node节点最后的总分就是:Σ函数打分*函数的权重值。 node节点总分 =(函数1的打分 * 函数1权重值)+......+(函数n的打分 * 函数n的权重值) 2.打分函数即优先级函数的种类: 这里只介绍了一部分的优先级函数算法,还有许多算法在这里未解释有兴趣的小伙伴可以上网查一下哦。 小结 kube-scheduler组件将整个集群资源调配变得很科学。比如该如何分配pod的副本到其他的node节点中,或者如何分配pod使得集群运转的更加高效。此外kube-scheduler还支持第三方的调度器进行扩展,所以是一种插件化的实现。...阅读全文
Django 此前的治理模式不太合理,对于持续发展壮大的 Django 社区产生阻碍。官网博客介绍,最开始 Django 项目发起人(Adrian Holovaty 和 Jacob Kaplan-Moss)可以授权其他人 commit 的权限。到了 2014 年,committer 的核心团队人数已经不少,在两位创始人辞去领导职务后, 保留了一个核心 committer 团队的基本结构,该团队可以根据自己的选择向 Django 添加代码。同时创建了一个新的小组:由核心 committer 选举产生的由 5 名 committer 组成的“技术委员会”,并作为最终的决策者。 但是实际上,现在几乎所有添加到 Django 的代码都由 Django Software Foundation(DSF...阅读全文
Linux内核维护者Greg Kroah-Hartman在私人Google+发布一条短消息,将Linux Kernel 4.9分支标记为“longterm”,意味着4.9版本将会作为长期支持版本。 事实上关于Linux Kernel 4.9是否是长期支持版本的故事要从2016年8月12日开始说起,当时Greg Kroah-Hartman在Google+上发布信息,说“4.9 == next LTS kernel”;去年9月6日,Greg Kroah-Hartman改变了这个想法,表示将会在Kernel.org网站上保留给4.9当作“长期支持”的权利。 在他的私人博客中写道:“因为很多人滥用这个通知这给我们造成了很大的困扰, 因此我保留是否选择4.9作为长期支持的权利。如果是这样,我可能会重...阅读全文
GitLab 11.5 正式版已发布 ,该版本带来了许多关于安全的新功能。如新的 Group Security Dashboard、Operations Dashboard,和对 GitLab Pages 的访问控制权限等。 Group Security Dashboard Group Security Dashboard 提供了项目组中所有项目 SAST 漏洞的摘要,以及可用于启动修复过程的可操作条目列表。例如,可以使用建议的解决方案开启 issue,或者如果需要将其归类为误报,则只需关闭该条目。将来会添加对其他测试(依赖扫描、容器扫描和 DAST)的支持。 Operations Dashboard GitLab 11.5 引入了一个新的、以操作为中心的仪表板,提供了用户感兴趣的每个项目...阅读全文
保持会话时使用 cookie:应用层,有更好的负载均衡效果; 2,hash/weight%ip :除以权重取模 3.15 uri:对URI的左半部分(“问题”标记之前的部分)或整个URI进行hash运算,并由服务器的总权重相除后派发至某匹配的服务器;这可以使得对同一个URI的请求总是被派发至某特定的服务器,除非服务器的权重总数发生了变化;此算法常用于代理缓存或反病毒代理以提高缓存的命中率;需要注意的是,此算法仅应用于HTTP后端服务器场景;其默认为静态算法,不过也可以使用hash-type修改此特性; 3.16 url_param:通过
为了保护数据不被泄漏,我们使用软件和硬件防火墙来限制外部未经授权的访问,但是数据泄露也可能发生在内部。 为了消除这种可能性,机构会限制和监测访问互联网,同时禁用 USB 存储设备。 在本教程中,我们将讨论三种不同的方法来禁用 Linux 机器上的 USB 存储设备。所有这三种方法都在 CentOS 6&7 机器上通过测试。那么让我们一一讨论这三种方法。 方法 1:伪安装 在本方法中,我们往配置文件中添加一行 install usb-storage /bin/true, 这会让安装 usb-storage 模块的操作实际上变成运行 /bin/true, 这也是为什么这种方法叫做伪安装的原因。 具体来说就是,在文件夹 /etc/modprobe.d 中创建并打开一个名为...阅读全文
在漏洞,这件事也显得很诡异。 国外权威硬件媒体AnandTech在报道此事的时候,也首先提出了一系列质疑: CTS-Labs只给了AMD 24小时的时间知晓问题所在,而行业标准都是在漏洞发现后,提前联系涉事公司,并且要等90天才会对外公开,以便修复解决,而且初期不会披露漏洞技术细节。 在告知AMD和公开之前,CTS-Labs首先联系了一些媒体,向他们通报情况。 CTS-Labs 2017年才刚刚成立,资质尚浅,这只是他们的第一份公开安全报告,也未公开自己的任何客户。 CTS-Labs并没有自己的官方网站,公布此次漏洞却专门建立了一个名为AMDFlaws.com的网站,还是2月22日刚刚注册的。 从网站布局看,很像是已经提前准备了很久,并未考虑AMD的回应。 CTS-Labs还雇佣了一个公关公...阅读全文
在 macOS 上安装 Nessus 10 macOS安装Nessus一、下载二、 安装三、初始化登录四、 安装插件和创建配置文件五、重启服务编译插件六、验证七、如何更新插件 macOS安装Nessus 修复部分破解方法在安装Nessus10重启之后重置授权问题。 一、下载 下载 macOS:https://sysin.org/blog/macOS/ 下载 Nessus:https://sysin.org/blog/nessus-10/ 或者链接:https://pan.baidu.com/s/1DrkX1nbysFgdmbO4657JIg?pwd=9jxl 提取码:9jxl 下载插件: 插件版本202301231642 链接:https://pan.baidu.com/s...阅读全文
拖再拖。我举一个典型的例子:rsync,其维护者完全出于个人的喜好拒绝我的补丁包使用debhelper。 赋予个人维护者如此大的自由,导致我们无法开展提高构建Debian软件包抽象级别的项目,这反过来又让工具更加困难。 更好的方式是什么? 作为一个项目,我们应该努力实现更多的统一。统一性并不能完全去除实验,它只是改变了两者的平衡,从简单的实验和难度较高的自动化变成了难度较高的实验和简单的自动化。我们的文化需要从“这个包归我管,你不能碰”转变为共同的所有权意识,项目中的任何人都可以很容易地贡献(经过审查的)变更,而不必凡事都要通过个人维护者。 支离破碎的工作流程和基础设施 Debian似乎更倾向于采用分散式的方法,而不是集中式的方法。例如,每个包都保存在单独的代码库中(而不是在一个统一的代码库...阅读全文
JDK 11。 此次更新主要内容如下: 重要更新: JavaFX 模块指定:因为 JDK 不再包含 JavaFX,那么必须明确包含应用程序使用的 JavaFX 模块,详情见:https://openjfx.io/openjfx-docs/。 添加 API 以自定义 Spinner 控件的步骤重复计时。在 JavaFX 11 中修改值步骤之前,必须在 Spinner 控件箭头按钮上按下鼠标一段默认持续时间,JavaFX 11 中已添加两个新属性“initialDelay”和“repeatDelay”来配置此操作。 javafx.* 模块现在由应用程序类加载器加载,默认情况下不再具有权限。想要在启用安全管理器的情况下运行的应用程序需要使用“-Djava.security.policy”指定自定义策略...阅读全文
以同时管理多个 Kubernetes 集群,更方便地管理多个集群。 丰富的权限管理 :将资源抽象化为部门、项目级别,角色的权限可以更细化的控制,适用于多部门、多项目的统一集中管理。 多种登录模式 :支持企业级 LDAP 登录、支持 OAuth2 登录,支持数据库登录多种模式。 完备的审计 :所有操作都会有完整的审计功能,方便追踪操作历史。 开放平台 :支持 APIKey 开放平台,用户可自主申请相关 APIKey 并管理自己的项目。 多层次监控 :提供多级别的监控统计信息,实时关注集群的运行状态。 架构图 整体采用前后端分离的方案: 前端采用 Angular 框架进行数据交互和展示,使用 Ace 编辑器进行 Kubernetes 资源模版编辑。 后端采用 Beego 框架做数据接口处理,使用...阅读全文
