为即将到来的 Linux 5.12 合并窗口预定的 USB4 / Thunderbolt 变更已经被排入 USB-next 树中。这是英特尔的开发人员为下一个内核合并窗口所做的Thunderbolt改变,作为其中的一部分,包括最新的USB4方面的改进。Linux 5.12的新安全选项之一是支持USB 4的安全级别5(SL5)。 通过这个新的安全级别,PCIe隧道将被禁用。这个禁用PCI Express隧道的更高安全级别通常是支持USB 4硬件的BIOS配置选项。这个 "nopcie "选项在只使用DisplayPort的 "dponly "模式下也会被强制执行。 Linux内核现在已经支持 Thunderbolt / USB 4 安全设置,特性包括要求用户批准授权新设备,自动隧道...阅读全文
SSL指的是安全套接层协议(以及传输层协议TLS),位于 TCP/IP 协议与各种应用层协议之间,为数据通讯提供安全支持。 ssl 在市面上多指的是安全证书,SSL证书是数字证书的一种,因为配置在服务器上,也称为服务器证书。 数字证书在广义上可分为:个人数字证书、单位数字证书、单位员工数字证书、服务器证书、VPN证书、WAP证书、代码签名证书和表单签名证书。我们这里介绍SSL证书的类型与区别。 DV(域名型)SSL证书:只验证域名,适合个人网站、博客等站点使用;在网络黑客、钓鱼威胁层出不穷,域名型SSL数字证书可有效保护通过互联网所发送的数据,为网络账户登录、邮件等机密信息资讯提供安全防护。安全级别较低。 OV(企业型)SSL证书:验证网站所属单位身份,适合于中型企业级用户使用;企业型证...阅读全文
提供的所有算法实现都可以通过“高级” API 访问,无法使用 “低级 API” 访问它们。目前可用的一个标准 Providers 是 FIPS Providers。这使得 FIPS 验证的加密算法可用。FIPS Providers 默认处于禁用状态,需要在配置时使用enable-fips选项显式启用。如果启用,除了其他标准 Providers 之外,还会构建和安装 FIPS Providers,不需要单独的安装过程。低级别的 APIOpenSSL 历来提供两套用于调用加密算法的 API:"高级" API(如 EVP API)和 "低级" API。高级别的 API 通常被设计成适用于所有算法类型。而 "低级" API 则是针对特定的算法实现的。长期以来,OpenSSL 开发团队一直不鼓励使用低...阅读全文
head 信息对模型进行 数据库级别约束对于 runserver 兼容性的调整 ,以改进浏览大量文件进行更改时的性能 随着 Django 2.2 的发布,Django 2.1 已到达获得主流支持的终点 —— 今天发布了最后的小错误修复版本 2.1.8。Django 2.1 将在 2019 年 12 月之前收到安全问题和数据丢失的修复程序。因此鼓励所有用户在此之前升级以继续接收安全问题的修复程序。 有关受支持版本以及未来发布计划的安排表,请参阅 下载页面 。 Django roadmap 路线发布计划 Django 生命周期...阅读全文
微软已经发布了适用于 Linux 的 Microsoft Defender ATP 的公开预览版。需要区分的是,Microsoft Defender 是微软的安全杀毒软件,而 Defender ATP(高级威胁防护)是一个企业级平台,旨在帮助企业网络阻止、检测、调查和响应高级威胁。 现在,可在六种不同的 Linux 发行版中测试该产品,分别是 RHEL 7+、CentOS Linux 7+、Debian 9+、Ubuntu 16 LTS+、SLES 12+ 和 Oracle EL7。 除此之外,微软还宣布计划将 Defender ATP 引入 iOS 和 Android 设备。 微软副总裁 Rob Lefferts 在接受采访时表示,尽管 Apple 和 Google 的应用商店的都相当安...阅读全文
SQL审核是保证数据库 DDL 和 DML 安全使用、SQL变更可追溯、降低线上数据事故概率的重要手段。去哪儿网开源的 Inception 工具有较大的使用基础,提供了相对完善的 API 接口,结合一些外层的操作界面,可以实现SQL审核、执行、备份和恢复功能,为DBA操作利器。本文详细介绍如何配置 Inception 和 Yearning 的整合。 Inception Inception是一个自动化运维工具,在Mysql前做一个审核和操作的屏障。跟Inception的交互是程序级别的,即通过Python或其他程序编程实现对Inception的命令调用,并解析结果。 Inception的文档地址:http://mysql-inception.github.io/inception...阅读全文
版本的发行说明,并未做好升级的准备。 Debian 的仓库自 squeeze 起与 Ubuntu 基本相同。除主仓库外,有: 「security」,Ubuntu 用于指安全性更新。即影响系统安全的 bug 修补。Debian 特殊一些,见下文。 「updates」,非安全性更新。即不影响到系统安全的 bug 修补。 「proposed-updates」,预更新。小 beta 版。过后会进入「updates」或「security」。Ubuntu 仅用「proposed」,无后缀「updates」。 「backports」,后备。Debian stable 发布后,Ubuntu 某版本正式发布后,其所有软件版本号便已被冻结,所有软件只修 bug,不增加任何特性。但有人可能需要新特性,甚至某些较新...阅读全文
特性和业务模型的第 4 层上。Dizme 生态系统预计将包括利用 Hyperledger堆栈和添加基于Algorand 区块链协议的货币化层的各种技术组件,这将使可验证凭证的交换和新的垂直应用程序的开发成为可能。身份凭证通过三个级别的保证进行管理:低级别的自我声明信息;中等级别的自动检查;以及可靠的实质性标识。这些级别的保证将使行业拥有更安全、创新和成本效益高的入职流程。 Linux基金会成立于 2000 年,有超过 1000 名成员支持,是世界上在开源软件、开放标准、开放数据和开放硬件方面进行合作的主要机构。Linux 基金会的项目对包括 Linux、Kubernetes、Node.js 等等。作为 Linux 基金会的一部分,DizmeID 基金会将利用开放治理和区块链技术社区的现有创新...阅读全文
了十个速度最快的镜像,然后把它们写入到你的软件包源列表。apt-spy执行类似的功能。 3. apt-transport-tor 你可能也知道了,Tor是一款匿名浏览工具。然而,即便你注重安全,下载软件包有可能让别人跟踪你的活动,进而一路跟踪你的系统。 apt-transport-tor让你可以堵住这个安全漏洞,它通过Tor来传输软件包管理指令。 2. cron-apt 如果你注重安全,或者只想要最新软件包,cron-apt可以帮助你确保版本最新。顾名思义,cron-apt可以为你的系统调度定期下载,并通知可用更新版。用户往往每天更新一次。 然而要注意:cron-apt下载但不安装更新的软件包。这个限制是有意设置的,因为在无人照看的情况下安装一切会导致系统问题。检查什么更新版可用后,你可以手...阅读全文
master和minion的注释,其中有大量关于安全防护的说明 11. 特别敏感的minion可以运行在无主环境,通过salt-ssh或者modules.sudo模块来进一步控制 12. 监控salt的日志 总结 对于运维人员来说,安全是非常重要的一个环节,维护生产环境必须遵守权限最小化的思想,即使这可能给你添了一些麻烦,但相比于数据泄密、数据丢失,提前预防的代价还是要小很多。 本次漏洞级别虽然比较高,但是在日常运维工作中已经控制了端口的访问权限,那么本次漏洞你只需要排期更新salt版本即可。 总结 目录...阅读全文
输数据,在不使用的情况下默认不会传输任何 UDP 数据包,所以比常规VPN省电很多,可以像ShadowSocks一样一直挂着使用。 WireGuard协议的速度几乎秒杀其它VPN协议,测试结果如下图; WireGuard 受到 Linus 本人的推荐,将整合到最新版Linux Kernel中,安装部署更方便。WireGuard 总共几千行代码,只需十分钟就能搞定一台WireGuard服务器。 Wireguard安全性高。极佳的VPN漫游特性,设备支持广泛。内核级别的端对端隧道加密技术,拥有良好的加密特性。Wireguard配置文件由两部分组成:interface和peer。服务器端、客户端互为平等关系。支持预共享密钥preshared key加密,防止量子计算攻击。 国际著名项目,开源代码审...阅读全文
Uyuni 4.0.2, 发布了,新版本基于 openSUSE Leap 15.1 但同时支持 Leap 15.1, CentOS, Ubuntu 和其他客户端。Debian 的支持目前还在体验阶段。此外新版本使用 Salt 2019.2, Grafana 6.2.5, Cobbler 3.0 和 Python 3.6 。详细说明请看这里 。 Uyuni 是一种解决方案,适用于需要对其服务器上的维护和软件包部署进行绝对控制的组织。 通过自动化软件管理,资产管理和系统配置,Uyuni 使您能够管理大型 Linux 系统并使其保持最新。 Uyuni 允许您在有效管理系统生命周期要求的同时保持高级别的安全性。 Uyuni 使用 Salt 来提供事件驱动的配置和管理控制。 Salt-master...阅读全文
司来回应业界和媒体联系,这并非正常安全公司的风格。 AnandTech就这些疑问向CTS-Labs发去邮件查询,尚未得到任何回应。 很多人可能会和此事将近来闹得沸沸扬扬的Meltdown熔断、Spectre幽灵漏洞相比,但后者是Google等权威安全团体早就确认的,而且第一时间和Intel、AMD、ARM、微软、亚马逊等等业内相关企业都做了联系沟通,共同解决,最后媒体踢爆属于意外曝料,而且当时距离解禁期已经很近了。 另外值得注意的是,这次曝光的漏洞,都是涉及AMD Zen处理器内部的安全协处理器(ARM A5架构模块)和芯片组(祥硕给AMD外包做的),和Zen微架构本身并无任何关系,并非核心级别问题。 还有媒体报道指出,攻击者如果要利用这些漏洞,都必须提前获取管理员权限,然后才能通过网络安装...阅读全文
Rancher 2.2.2 发布了。Rancher 是一个开源的企业级 Kubernetes 平台,可以管理所有云上、所有发行版、所有 Kubernetes 集群,解决了生产环境中企业用户可能面临的基础设施不同的困境,改善 Kubernetes 原生 UI 易用性不佳以及学习曲线陡峭的问题。 新版本的更新亮点有: Rancher CVE-2019-11202 修复 开发团队发现过一个问题:Rancher 首次启动时创建的默认管理员帐户将在 Rancher 的后续重新启动时重新创建,即使 Rancher 管理员明确删除了该帐户,也仍会如此。这会带来一定的安全风险,因为帐户是使用 Rancher 的默认用户名和密码重新创建的。因此,攻击者可以使用这些默认账号密码来获取对 Rancher...阅读全文
软件。RagnarLocker排名第二,泄漏了全球26家受害企业的数据。值得一提的是,美国司法部在2021年1月宣布协调国际执法行动,瓦解NetWalker勒索软件团伙。由NetWalker运营商管理的托管泄漏数据的暗网域名已经无法访问。图片来自于 派拓网络全球威胁情报团队 Unit 42最后报告提出三项建议,分别是初始进入、备份和恢复流程以及安全监控。在初始进入方面,建议企业使用者保持对电子邮件安全的认识和培训,并在恶意电子邮件进入邮箱后立即识别和补救。其次企业要进行适当的修补管理,并审查哪些服务可能暴露在互联网上。再者远端桌面服务要正确配置并确保安全,尽可能使用最低许可权,并制定策略对付勒索软件。在备份和恢复流程方面,企业需备份资料,并提前规划好适当的恢复流程。企业要确保所有备份都在离线...阅读全文
互联网工程指导委员会(IETF)释出了传输层安全性协议的最新版本 TLS 1.3。TLS 被广泛用于创建安全连接,TLS 1.3 是基于 TLS 1.2,主要区别是移除了较少使用的弱加密算法,移除 MD5 和 SHA-224 哈希支持,请求数字签名,集成 HKDF,移除许多不安全或过时特性的支持,不再支持静态 RSA 密钥交换,握手将默认使用前向安全 Diffie-Hellman,客户端只需要一次往返就能与服务器建立安全和验证的连接,等等。Firefox 和 Chrome 都已经支持 TLS 1.3 的草拟版本。 TLS 1.3是一种新的加密协议,它既能提高各地互联网用户的访问速度,又能增强安全性。我们把使互联网实现安全通信的基础性技术称为传输层安全协议(TLS)。TLS是安全套接层协议...阅读全文
单独存储,除了减轻配置中心与注册中心的工作压力之外,还为将来 更丰富的服务治理 打下基础。未来,Dubbo 会基于元数据中心提供服务测试、服务 Mock 以及服务 API 管理等特性。针对三个中心的分离,Dubbo 还会配套发布全新设计的 Dubbo Ops 控制台 。另外,2.7.x 会是 Dubbo 在 Apache 软件基金会 毕业的版本 ,安装包包名正式切换到了 org.apache.dubbo,为了保证向前的兼容性,我们还在这个版本中提供了 com.alibaba.dubbo 的兼容包。 Dubbo 2.7.0 具体更新内容 如下: (环境要求:需要 Java 8 及以上版本支持) 新增功能 服务治理规则增强。更丰富的服务治理规则,新增应用级别条件路由、Tag 路由等治理规则与注册...阅读全文
不少博主,出于安全、稳定的考虑,在自己的服务器上使用了 Debian 操作系统。我们知道,对于多数应用环境,特别是 LNMP 环境,绝大多数安全更新可以自行安装,本文我们将详细介绍,如何在 Debian 环境下自行下载安装最新的系统安全补丁。 首选,我们安装关联的系统包 命令如下; apt -y install unattended-upgrades apt-listchanges apticron 安装完成后,编辑未完成的升级配置: vi /etc/apt/apt.conf.d/50unattended-upgrades 将下面的内容粘贴到这个文件中,然后用它修改条目,记得移除那些小行星。 APT::Periodic::Update-Package-Lists "1"; APT...阅读全文
列。Exynos 2200采用最先进的4纳米(nm)EUV(极紫外光刻)工艺,ISOCELL HP3的像素尺寸比上一代产品的0.64μm小12%,可以使摄像头模块的表面积减少约20%,使智能手机制造商能够保持其高端设备的纤薄。三星展示了其ISOCELL HP3的实际应用,向技术日的与会者展示了用20万像素传感器相机拍摄的照片质量,并展示了System LSI用于生物识别支付卡的指纹安全IC的工作原理,该IC结合了指纹传感器、安全元件(SE)和安全处理器,为支付卡增加了额外的认证和安全层。存储器业务亮点今年是三星在DRAM和NAND闪存领域分别领先30年和20年的一年,三星发布了第五代10纳米级(1b)DRAM以及第八代和第九代垂直NAND(V-NAND),肯定了该公司在未来十年继续提供最强大...阅读全文
。 - 大容量:支持扩展的内存寻址功能。 - 支持即插即用:在电脑开机时可以直接插入标准的双列内存插槽,并立刻与同一总线上的DDR内存交互操作。 NVDIMM-P的主要特征: - 与现有DDR通道完全兼容,包括物理接口、电气性能、协议、时钟。 - 保证为下一代CPU插槽增加的针脚尽可能少。 - 协议支持数据读取时的不确定延迟。 - 确保数据在非易失内存中的事务性操作。 - 从NAND到DRAM多种延迟模式的支持(在模块级别)。 - 内存本身具备高可靠性、链路错误保护功能。 事实上,NVDIMM是一个系列标准,除了这里说的NVDIMM-P,还有NVDIMM-F、NVDIMM-N、NVDIMM-H。 NVDIMM-F本质上就是DDR接口的SSD固态盘,只使用NAND闪存,优点是延迟低(纳秒级别)、带宽高...阅读全文
耗的 Lakefield,以及新近发现的低功耗 Elkhart Lake。 Intel 新驱动中就赫然列出了 Ice Lake(ICL)、Lakefield(LKF) 所搭载的第 11 代核显的型号乃至是执行单元核心规格,分别有 9 个和 4 个不同版本,总计达到了 13 个,不止型号而且规格都有点凌乱。 先来看 Ice Lake 家族的,最顶级核显型号是 Iris Plus 950,64 个完整单元 ,应该会用于高端 i9、i7 序列;接下来是 Irus Plus 940,64 单元和 48 单元两种版本 ,估计前者频率会降低一些;Iris Plus 930 更乱了,分为 64 单元、32 单元两种版本 ,不知道是出于什么安排。 UHD 920、UHD 910 自然都是主流型号,都是 32...阅读全文
源。相反,我们需要另一种形式的身份:以某种内在方式与工作负载、用户或系统相关联。而且这种身份需要以某种方式进行验证,而这种方式本身并不需要信任网络。这是一个具有丰富含义的大要求。提供网络安全但依赖于 IP 地址等网络标识符(如 IPSec 或 Wireguard)的系统不足以实现零信任。策略有了新的身份模型,我们现在需要一种方法来捕获每个身份的访问类型。在上面的边界方案中,通常授予一系列 IP 地址对敏感资源的完全访问权限。例如,我们可能会设置 IP 地址过滤,以确保仅允许防火墙内的 IP 地址访问敏感服务。在零信任的情况下,我们反而需要执行必要的最低访问级别。基于身份以及任何其他相关因素,应尽可能限制对资源的访问。虽然我们的应用程序代码可以自己做出这些授权决策,但我们通常会使用在应用程序之...阅读全文
本指南解释了从 Debian 10 升级到 Debian 11 的步骤。 Debian 的大版本发布是很罕见的,因为它往往需要社区的多年努力。这就是为什么 Debian 是真正的通用操作系统,并且在稳定性方面坚如磐石。 代号 Bullseye 的 Debian 11 即将正式发布。2021 年 7 月 15 日,Debian 11 进入完全冻结状态,这意味着发行在即。虽然官方发布日期还没有最终确定,但你现在就可以从 Debian 10 安装或升级到 Debian 11。 以下是方法。 前提条件 升级的过程非常简单明了。然而,采取某些预防措施是一个好的做法。特别是如果你正在升级一台服务器。 对你的系统进行备份,包括所有重要的数据和文件。 尝试禁用/删除你可能在一段时间内添加的任何外部仓库...阅读全文
4月1日,腾讯公司发布了一段短片,跟大家开了个愚人节玩笑。腾讯宣布,筹备近两年的“AI生态鹅厂”已在贵州贵安新区完成项目主体建设,预计于年内投产运行。由于企鹅所需饲养条件较高,目前腾讯将先以贵州平坝灰鹅作为试点,未来或考虑引入天鹅和企鹅。据说还有鹅脸识别、鹅语翻译、觅影治鹅、鹅屎咖啡等技术。 今天腾讯宣布,养鹅是不存在的,但贵州贵安新区的那个山洞却是真正存在的。它叫腾讯贵安七星数据中心,是一个特高等级数据中心。 2017年10月,腾讯贵安七星数据中心工程正式进入项目建设施工阶段,项目主体为五横一竖共六个隧道。工程建成后,整个数据中心的工作、电力等设备将全部置于其中。 腾讯表示,它具有高度安全,高隐蔽、高防护的特点,将用来放置腾讯业务最核心的数据,代表着腾讯在数据产业的前瞻战略。 数据中心是...阅读全文
更灵活的安装程序。 管理和程序包管理方面的区别 Debian和Ubuntu都鼓励使用根帐户用于管理,使用受限制帐户用于日常计算,这一点不足为奇。然而,选择的安全模式不一样。 在Debian中,用户通常通过直接登录进入到根帐户来执行管理任务,然后尽快再次注销,以便缩短安全隐患期。不过,Ubuntu隐藏了根密码;不是使用sudo,而是允许至少1个用户输入自己的密码,以便下达管理命令。 Debian的程序包主要分为三大类:测试版、稳定版和不稳定版。新的程序包进入稳定版,然后在经过调试后转变成测试版。官方版本准备好后,处于测试版的现有程序包接受进一步的检查,最后成为新的稳定版。 近些年来,官方、甚至非官方增添了另外一些程序包,比如Backports、Experimental、Security、Old...阅读全文
Quick Controls 2的功能增强,还有基于openGL shader cache 对QML进行类型缓存, 以及.qml / .js文件生成的代码和数据结构的缓存的支持。 这些功能将大大提高使用Qt构建的设备的启动速度。 发布新Qt Creator 4.3.0,Quick Designer里面也看以同时看到和编辑qml code了! 作为Qml项目开发者确实立刻感到了方便! 还有新框架将允许Qt团队更容易创建新版本,包括修补程序和发布次要版本。 引入自动化性能回归测试,使得对Qt的监控与提高加强。 安全方面,Qt 5.9正式支持INTEGRITY RTOS。 确实越来越多的RTOS应用程亟需要更高级GUI框架来满足用户期望呢。 操作系统和硬件方面,Qt 5.9完全同时支持传统的Win32应用...阅读全文
Metasploit 项目是一个旨在提供安全漏洞信息的计算机安全项目,可以协助安全工程师进行渗透测试(penetration testing)及入侵检测系统签名开发。Metasploit 项目知名的功能还包括反取证与规避工具,其中的某些工具已经内置在 Metasploit Framework 里面。 Metasploit Framework —— 一套针对远程主机进行开发和执行 “exploit代码” 的工具,是 Metasploit 的最为知名的子项目。Metasploit Framework 全称为 The Metasploit Framework,简称 MSF。这是一个渗透测试的框架,不是一个直接的渗透测试攻击软件。Metasploit 作为全球最受欢迎的工具,不仅仅是因为它的方便性...阅读全文
的,而虚拟机对于像运行 LAMP 堆栈这样的单一应用程序使用情况是更好的。 Linux 容器 vs 虚拟机 – 安全性 与容器相比,虚拟机提供了更多的安全性。这并不是说容器不能被保护,而是说,默认的虚拟机提供了更大的隔离。请记住,容器可以共享系统资源而虚拟机不行。 在运行容器时,可以采取一些措施来降低风险,包括避免超级用户权限,确保从可信来源获取容器,并且保持最新状态。有些容器是数字签名的,这有助于确定您可以从可信来源获取容器。 最后,你需要保持容器的单一功能职责。一旦你开始在一个容器下结合软件职责,你会发现还是使用虚拟机最好。重申一下,容器是用于单一用途的应用程序,虚拟机用于多用途的应用程序。坚持这种做法,你将在安全性和整体功能方面处于更好的状况。 Linux 容器 vs 虚拟机 – 选择...阅读全文
Policy) 目前,Harbor 会对某些镜像的运行加以限制,即那些被安全策略进行了漏洞(CVE) 扫描,且结果符合限制条件的镜像。又是为了对的某些 CVE 的情况进行例外处理,例如,忽略低严重性 CVE 或当前无解决方案的 CVE,1.9 为管理员引入了一项功能,使其可以创建一个 CVE 白名单,从而允许这些镜像在有限的时间段内运行,而不管是否具有特定 CVE 安全漏洞 。系统管理员可以创建一个对所有项目都有效的全局 CVE 白名单,而项目管理员则可以在单个项目级别进一步细化此白名单。 内容复制的改进 1.8 版推出了在 Harbor 与其他 Registry(例如 Docker Hub 和 Huawei Cloud)之间进行跨 Registry 内容复制的功能,而 1.9 版对这些功能进行了扩展...阅读全文
田全球各地员工机器、网络相关的数据,而这些数据清楚表明了本田内部在使用哪家端点安全供应商,哪些设备在使用最新的安全防护软件,哪些设备依旧在运行旧版操作系统。 此外,这些数据包含了清楚的标记,可以非常容易地识别出 CEO、CFO 以及 CSO 等级别对应的电脑,本田 CEO 的完整电子邮件、全名、MAC 位置、Windows 操作系统版本、IP 及设备类型均可查到,甚至一些字符提供的信息与本田在日本的办事处位置相对应。 在研究人员提交该漏洞后,本田方面迅速封闭了该漏洞,并回复称:“非常感谢您指出漏洞。您发现的安全问题可能允许外部各方访问本田的一些基于云的数据,这些数据包括与员工及其计算机相关的信息。我们调查了系统的访问日志,发现没有任何第三方下载数据的迹象。目前,没有证据表明数据泄露,不包括您...阅读全文
2022年1月18日,全球企业级开源解决方案领导者SUSE宣布:NeuVector代码库现已在GitHub上向开源社区开放。将之前的专有技术全部开源是对SUSE开源文化的传承,也践行了SUSE向合作伙伴和客户提供开放、互操作性和创新的解决方案的承诺。基于本次发布,NeuVector成为了业界首个端到端的开源容器安全平台,唯一为容器化工作负载提供企业级零信任安全的解决方案。 三个月前,SUSE完成了对NeuVector的收购;此后,SUSE一直在考虑将这一云原生容器安全平台开源所涉及的技术和法律问题。NeuVector是业界领先的安全和合规解决方案,已被全球知名企业广泛采用;其代码库的开源不仅使NeuVector成为开源社区的首选技术,还为受严格监管的客户(包括政企、金融)提供了更可靠...阅读全文
在Ubuntu / Debian中,如果您想要禁用图形界面启动,可以通过设置系统默认的运行级别来实现。 Ubuntu使用systemd管理系统服务,运行级别被称为目标(targets)。 图形界面通常在graphical.target运行级别运行,而文本模式界面通常在multi-user.target运行级别运行。 要禁用图形界面启动,您可以设置系统默认启动到multi-user.target。 执行以下命令来设置默认的运行级别: ``` sudo systemctl set-default multi-user.target ``` 需要重启生效...阅读全文
玲珑,面面俱到 作为一个开发者,你很可能希望为开源项目解决一个特定的痛点。或许你想要运行在一个目前还不支持的系统上,抑或你很希望改革社区目前使用的安全技术。想要引进新技术,特别是比较有争议的技术,最好的办法就是让人无法拒绝它。你需要透彻地了解底层代码,考虑每个极端情况。在不影响已实现功能的前提下增加新功能。不仅仅是完成就行,还要在特性的完善上下功夫。 糜不有初,鲜克有终 开源社区也有许多玩玩就算的人,但是承诺了就不要轻易失信。不要就因为提交被拒就离开社区。找出原因,修正错误,然后再试一试。当你开发时候,要和整个代码库保持一致,确保即使项目发生变化而你的补丁仍然可用。不要把你的代码留给别人修复,要自己修复。这样可以在社区形成良好的风气,每个人都自己改。 这些“潜规则”看上去很简单,但是还是有许...阅读全文
的。apt-get upgrade——更新所有已安装的软件包apt-get dist-upgrade——将系统升级到新版本apt-cache search string——在软件包列表中搜索字符串dpkg -l package-name-pattern——列出所有与模式相匹配的软件包。如果您不知道软件包的全名,您可以使用“*package-name-pattern*”。aptitude——详细查看已安装或可用的软件包。与apt-get类似,aptitude可以通过命令行方式调用,但仅限于某些命令——最常见的有安装和卸载命令。由于aptitude比apt-get了解更多信息,可以说它更适合用来进行安装和卸载。apt-cache showpkg pkgs——显示软件包信息。apt-cache...阅读全文
直接集成到应用程序中的高级库。 2:bpftrace bpftrace是Linux eBPF的高级跟踪语言。它的语言受awk和C以及DTrace和SystemTap等以前的跟踪程序的启发。 bpftrace使用LLVM作为后端将脚本编译为eBPF字节码,并利用BCC作为与Linux eBPF子系统以及现有Linux跟踪功能和连接点进行交互的库。 3:Cilium Cilium是一个开源项目,提供基于eBPF的联网,安全性和可观察性。它是从头开始专门设计的,旨在将eBPF的优势带入Kubernetes的世界,并满足容器工作负载的新可伸缩性,安全性和可见性要求。 4:Falco Falco是一种行为活动监视器,旨在检测应用程序中的异常活动。 Falco在eBPF的帮助下审核Linux内核层的系统...阅读全文
问题被频繁提及,这不免令人有些惊讶。如果你不运行主流的发行版,这个问题会更严重。也许你在使用中没有更多的体会,但越来越多人在使用AppImage、Flatpak或者Snaps,这让我们意识到问题的存在,笔者很想更多地了解软件不兼容的问题,如果你最近遇到了,请在评论中告诉我们。 3.UEFI和安全引导 UEFI(UnifiedExtensibleFirmwareInterface)全称"统一的可扩展固件接口",是一种详细描述类型接口的标准。这种接口用于操作系统自动从预启动的操作环境,加载到一种操作系统上。尽管随着部署更多支持的硬件,UEFI和安全引导问题仍在改善,许多用户表示,他们仍然存在与UEFI安全启动相关的问题。使用一个完全支持UEFI安全启动开箱分配是最好的解决之道。 4.32位操作系...阅读全文
生的变化以及转向 Kubernetes 的趋势。 安全性将成焦点——DevSecOps CI/CD 管道让通过快速变更来满足客户的日常需求成为可能。CI/CD 管道也可以进行自动化,而安全性现在已经成为了一个设计约束。从一开始就要考虑安全性,将安全性构建到软件中,而不是作为插件,因为安全性不再是附加功能。 最近,我们看到了 DevSecOps 的上升趋势,DevSecOps 是指先在应用程序开发生命周期中注入安全性,从而减少漏洞,并让安全性更接近 IT 和业务目标。这个模型假设每个人都需要对安全性负责,因此减少了职责归咎方面的噪音和困境。 DevOps 和 DevSecOps 之间的区别 AI 和 ML 将促进 DevOps 增长 AI 和 ML 非常适用于 DevOps。它们可以处理大量信...阅读全文
Debian 9.13 已发布,这也是 Debian 9 的最后一个版本,因为安全和发布团队计划不再进行更新。官方鼓励用户升级到 Debian 10。 Debian 9.13 包含多个安全修复以及解决了部分“严重问题”。这些变更主要包括: 提供新版本的 ClamAV 以修复安全问题针对 CUPS 打印服务器的堆缓冲区溢出修复针对 D-Bus 的 DOS 问题修复针对 File-Roller 的安全修复对英特尔 Skylake 微代码文件进行降级以解决部分 CPU 在启动时的挂起问题针对 libvncserver 的堆溢出修复针对安全问题对 NVIDIA 驱动进行更新其他针对一般错误和安全问题的修复 详情查看 https://www.debian.org/News/2020/20200718...阅读全文
复杂的。一旦它的安装,你需要启动数据库,你可以轻松地开始你的支票。如果您需要一个集成良好的Linux入侵检测系统,则开源Triptrip可能是您的最佳选择,但它有一些限制。例如,它不会实时通知您,因此您需要自己查看日志。您还需要在安装操作系统后进行安装,以使其在安装之前不会检测到恶意活动。以下屏幕快照除了其他指示之外,还说明了每个规则和安全级别。图23. WazuhWazuh是另一个用于完整性监视,事件响应和合规性的开源监视解决方案。撰写本文时,最新版本为3.8.2。如前所述,您可能会在网上看到Wazuh与OSSEC的比较,但这不仅是因为相似的目的,而且是一个共同的起源。Wazuh最初是OSSEC的分支,并且如官方文档所示,它的构建具有更高的可靠性和可伸缩性。除了执行日志分析,完整性检查...阅读全文
JSON 的支持,添加了基于路径查询参数从 JSON 字段中抽取数据的 JSON_EXTRACT() 函数,以及用于将数据分别组合到 JSON 数组和对象中的 JSON_ARRAYAGG() 和 JSON_OBJECTAGG() 聚合函数。 9. 可靠性:InnoDB 现在支持表 DDL 的原子性,也就是 InnoDB 表上的 DDL 也可以实现事务完整性,要么失败回滚,要么成功提交,不至于出现 DDL 时部分成功的问题,此外还支持 crash-safe 特性,元数据存储在单个事务数据字典中。 10. 高可用性(High Availability):InnoDB 集群为您的数据库提供集成的原生 HA 解决方案。 11. 安全性:对 OpenSSL 的改进、新的默认身份验证、SQL 角色、密码强度...阅读全文
关于添加TLS 1.2的博文中都没有提到PCI。它表示,它想要删除“弃用旧的安全协议”的障碍,并致力于“一流的加密”。 但是,如果更好的安全性是真正的目标,为什么微软忽略增加其他现代功能?为了公平起见,Windows Server 2008的TLS支持不是过于差劲。由于ECDHE支持,它至少具有PFS(完全正向保密)密码。 有时候,强行优化一个老系统可能会带来更多安全和生态上的落差。因为它使企业和用户有借口坚持早就该被替换或升级的系统。 这也是为什么去年Chrome把整个Diffie-Hellman密码类都移除掉的部分原因。尽管它可以只保留支持更强的2048位参数,直接取消全部更为简单安全。 Debian放出的仅支持TLS1.2的消息可能不是最终决定,但这种胆识确实值得赞许。与此同时,在...阅读全文
政府称,微软、甲骨文以及IBM等公司提供的软件有可能带来安全隐患,特别是隐藏后门。但需要承认的是,虽然俄罗斯政府方面热情很高,但考虑到开源企业鲜少在俄罗斯建立办事处,因此相关产品的支持工作恐怕得不到保障。 6. Linux支撑全球最快超级计算机 多年来,Linux一直作为全球最快最强大的超级计算机的运转核心。这一趋势在2016年仍在继续保持。在今年的全球超算五百强榜单中,有497台设备采用Linux系统,这意味着99.4%的超级计算机都依赖于Linux。其余三台则采用IBM的AIX(一款Unix衍生型系统)。 7.车辆以Linux作为客观标准 Linux基金会已经建立车辆级Linux(简称AGL)项目,旨在将Linux引入各类车辆产品。尽管该项目已经存在数年,但在2016年中才开始为多家技术...阅读全文
级的记录,按照权重选择,记录的权重越高,被选择的可能性越高。 选择的时候,将所有记录的权重值累加,得到一个选择区间[0,sum],每个记录在[0,sum]中占据一段连续的、长度为自身权重值区间。然后生成一个[0,sum]中的随机数,随机数落在的区间所属的记录就是被选择的记录。 注意事项 在使用DNS SRV的时候,要注意DNS Client是否按照预期的方式处理收到的SRV记录。当前DNS SRV只能够负责提供服务地址列表,对这个列表如何解读,完全取决于Client的实现。rfc-1035中规定,通过UDP协议传输DNS响应时,UDP报文的负载不能超过512字节,在添加 SRV 记录的时候,要特别注意。通过TCP传输时没有512字节的限制。当一个服务地址有多个相同优先级的SRV记录的时候...阅读全文
使用场景 Federating Existing Users 下图介绍用户如何使用 IAM 获取临时 AWS 安全凭证以访问您 AWS 账户中的资源 访问控制相关概念 Permissions 基于身份的 (IAM) 权限和基于资源的权限 下图阐明了两种权限类型。第一列显示与身份(两个用户和两个组)关联的权限。其中一些权限确定可对其执行操作的特定资源。这些操作支持资源级 权限。第二列显示挂载到资源的权限。这些服务支持基于资源的权限。 Policies 要给用户、组、角色或资源指定许可,您必须创建一个策略,它是一个显式列出许可的文档。从最基本的意义上而言,策略使您能够指定以下内容: 操作:您将允许哪些操作。每个 AWS 服务都有自己的一组操作。例如,您可能允许用户使用 Amazon S3...阅读全文
WordPress 本质上并没大家认为的那么危险,而且开发者也在努力工作,以确保危险漏洞能被快速修复。但不幸的是,WordPress 的成功使其成为众矢之的:如果你能攻破一个 WordPress 安装,那么可能会有数以百万计的网站向你 “开放”。而且即使 WordPress 是安全的,也并不是所有的主题和插件都会有同样级别的开发重视程度。 有些人攻击 WordPress 是为了挑战或造成恶意的损害,这些行为都很容易被发现。最糟糕的罪魁祸首是那种潜入内容的行为,它们会将钓鱼网站深入到文件夹结构,或使用你的服务器发送垃圾邮件。一旦你安装的 WordPress 被破解,可能需要删除所有内容并从头重新安装。 庆幸的是,有很多简单的方案来提升安全性。下面提到的安全修复方案都不会超过几分钟。 1. 切...阅读全文
网线即可交换机或路由器,以便将所有树莓派连接到一个内网中 安装的大部分工作都依赖网络,因此还需要能访问公网网络。 集群概览 在这个集群里,我们会使用三个树莓派。其中一个树莓派作为主节点,我们将它命名为 kmaster,并为其分配一个静态 IP 192.168.0.50(注:假设使用的私有网段是 192.168.0.0/24),而另外两个树莓派作为工作节点,分别命名为 knode1 和 knode2,也分别分配 192.168.0.51 和 192.168.0.52 两个 IP 地址。 当然,如果你的内网网段和我的不一样,注意 IP 与集群个节点角色的对应关系。 为了能通过主机名直接访问节点,我们会更新每个节点的 /etc/hosts 文件,记录IP到主机名的对应关系: echo -e...阅读全文
基于最近发布的Debian GNU/Linux 8.7 "Jessie" 操作系统,Q4OS 1.8.2 "Orion" 现在是该发行版的最新版本,修复了 173 个 bug,并通过新的 Debian GNU/Linux 发行中的 Debian 项目实现了安全升级。 此外,Q4OS 1.8 "Orion" 系列的第二次维护更新引入了 Q4OS Update Manager 的重写,Q4OS Update Manager 是一个内部构建的图形界面更新管理实用程序,可从官方渠道获取最新的软件更新和安全补丁, 用于升级操作系统。 可以肯定的说,Q4OS 1.8.2 是第一个基于 Debian GNU/Linux 8.7 的 GNU/Linux 发行版,但一个主要版本 Q4OS 2.2...阅读全文
AMD即将推出第二代Ryzen 2000系列处理器,各方面全面提升,从最近泄露的规格和性能看十分值得期待。Ryzen二代基于12nm新工艺和Zen+新架构,频率平均提升400MHz,并支持更高级的动态加速技术,超频空间也更大,同时改进了缓存、内存性能。 权威评测软件SiSoftware不小心泄露了一份Ryzen 7 2700X、Ryzen 5 2600的评测报告,虽然很快被撤下还是有网友保留了下来。这份评测都是考察SiSoftware的理论性能项目,没有实际应用和游戏测试,但是Ryzen二代的架构提升已经十分明显。 首先来看一下这两款新品的主要规格和 SiSoftware 的评价: 内存频率: 2400MHz提高到2933MHz,可以大大改进内存性能,就是现在高频内存太贵了。 核心线程...阅读全文
于 RPM 的 Linux 发行版上安装、更新和删除软件包。引入 Cockpit 服务器远程管理器,这是一个简单、轻量级但功能强大的交互式 GNU/Linux 服务器远程管理器,可通过 Web 浏览器提供实时 Linux 会话。 内核 modinfo 命令已更新,可识别和显示使用 CMS 和 PKCS#7 格式签名的模块签名信息。一组内核模块移动到 kernel-modules-extra 包中,这意味着默认情况下这些模块都不安装,非 root 用户也无法加载这些组件,因为默认情况下它们也被列入黑名单。内存总线限制已扩展到 128 PiB 的虚拟地址空间和 4 PB 的物理内存容量。Linux 内核中的 I/O 内存管理单元(IOMMU)代码也会更新以启用 5 级分页表。kdump 特性可以...阅读全文
/etc/apt/sources.list 和 /etc/apt/sources.list.d/ 目录下的 .list 文件定义的。 $ sudo apt-get upgrade #更新系统所有已安装软件包,只更新包会忽略依赖关系 $ sudo apt upgrade $ sudo apt-get upgrade -u #-u 列出可升级软件列表 $ sudo apt-get upgrade -s #模拟升级 $ sudo apt-get dist-upgrade #根据依赖关系更新系统所有已安装软件包 $ sudo apt-get --reinstall install pkgname #只升级指定的软件包 $ sudo apt-get source pkgname #只下载源码包 $ sudo...阅读全文
