- 博客(26)
- 收藏
- 关注
RSS订阅原创 解决并发问题的方法
通过增加服务器数量或提升服务器硬件性能,如增加CPU核心数、内存容量等,或者采用异步架构将请求分发到多个服务器或实例上,确保每个服务器都能够处理适当的负载,从而提高整个系统的处理能力。缓存可以包括页面缓存、数据缓存、分布式缓存等,通过将热点数据存储在内存中,减轻数据库的访问压力,提高系统的并发能力。:通过异步处理来提升系统的并发能力,减少等待时间。2 数据库垂直切割:将数据按照业务模块进行划分,将不同的模块的数据存储在不同的数据库中,减轻单一数据库的压力,提高扩展性和并发能力。
2024-09-09 10:20:07
789
原创 基线配置讲解
从整个安全工作来说,需要组织高层的支持,基线配置管理也同样需要,安全运维人员需要跟业务、开发、运维一起讨论,定制一个适用的基础运维环境统一计划,使用相同版本的操作系统和应用软件(容器、框架)。落实好基线配置还是于其他部门做好配合,一般安全基线的创建和检查属于安全部门负责,实际的实施由运维来做,如果没有比较成熟的运维能力和系统支持,做基线效率很低容易遗漏。安全人员可以协助运维建立基础运维支撑环境,安全运维和运维共通的部分很多,很多痛点是一样的,多和其他部门的人员沟通,一起提升组织的安全防御能力。
2024-09-04 15:02:15
860
原创 CDH大数据平台
是一种基于内存的分布式并行计算框架,不同于MapReduce的是——Job中间输出结果可以保存在内存中,从而不再需要读写HDFS,因此Spark能更好地适用于数据挖掘与机器学习等需要迭代的MapReduce的算法。Hive是CDH中的一个数据仓库工具,它提供了类似于SQL的查询语言(HiveSQL),它可以将结构化的数据映射到Hadoop集群中的文件,并支持高性能的数据查询和分析。供的信息包括主机上的CDH版本、主机所属的集群、 运行在主机上的角色的数量。CM管理的集群中,只能使用CM进行角色进程的启停。
2024-09-04 11:40:27
2565
原创 高可用架构和keepalive原理
如果主服务器故障,热备服务器将接管服务,保证服务的连续性。1、Keepalived高可用对之间是通过VRRP进行通信的,VRRP是通过竞选机制来确定主备的,主的优先级高于备,因此,工作时主会优先获得所有的资源,备节点处于等待状态,当主挂了的时候,备节点就会接管主节点的资源,然后顶替主节点对外提供服务。2、在Keepalived服务对之间,只有作为主的服务器会一直发送VRRP广播包,告诉备它还活着,此时备不会抢占主,当主不可用时,即备监听不到主发送的广播包时,就会启动相关服务接管资源,保证业务的连续性。
2024-09-03 17:02:07
781
原创 PKI/CA体系架构讲解
PKI技术以公钥技术为基础,以数字证书为媒介,结合对称加密和非对称加密技术,将个人、组织、设备的身份标识信息与各自的公钥捆绑在一起,其主要目的是通过自动管理密钥和证书,为用户建立起一个安全可信的网络运行环境使,用户可以在多种应用环境下方便地使用加密和数字签名技术,保证传输信息的机密性、完整性、认证性和不可否认性。数字证书也称公钥证书,是一个经权威机构认证中心CA签名的包含了公钥及公钥持有者身份信息的文件,相当于CA颁发的“身份证”,解决“公钥属于谁”的问题,帮助用户安全地获得对方公钥。
2024-09-03 15:39:49
610
原创 Shell脚本编写方法
它使用的是 Shell 解释器(如 Bash、Korn Shell、Zsh 等)来解释和执行其中的命令。&&(必须保证两边都为真,条件才会成立,只要有一个为假条件都不会成立,即只有当左侧命令执行成功时,右侧的命令才会被执行。“-i 0.2” 选项表示设置每个 ICMP 请求的时间间隔为 0.2 秒(即每 200 毫秒发送一个请求)。说明:“$()” 是 Bash 中的命令替换语法,它表示将命令的输出结果作为一个整体嵌入到命令行中。||(两边有一个为真就为真,两边都为真也为真,两边为假才为假。
2024-09-03 14:30:05
1302
原创 Kubernetes组件讲解
可以通过将--cloud-providerflag设置为external启动kube-controller-manager ,来禁用控制器循环。Master组件可以在集群中任何节点上运行。kube-controller-manager运行管理控制器,它们是集群中处理常规任务的后台线程。逻辑上,每个控制器是一个单独的进程,但为了降低复杂性,它们都被编译成单个二进制文件,并在单个进程中运行。etcd是Kubernetes提供默认的存储系统,保存所有集群数据,使用时需要为etcd数据提供备份计划。
2024-09-03 11:45:40
776
原创 ISO27001、风险评估与纵深防御
因此,以上4个方面的应用充分贯彻了纵深防御的思想,对整个信息系统的各个区域、各个层次,甚至在每一个层次内部都部署了信息安全设备和安全机制,保证访问者对每一个 系统组件进行访问时都受到保障机制的监视和检测,以实现系统全方位的充分防御,将系统遭受攻进行访问时都受到保障机制的监视和检测,以实现系统全方位的充分防御,将系统遭受攻击的风险降至最低,确保数据的安全和可靠。在一个规范的信息系统网络中,我们可以看到在网络出口有防火墙,在DMZ区有防火墙,在服务器前端还有防火墙,这就是纵深防御思想的一个体现。
2024-09-03 10:55:22
1628
原创 渗透攻击主要工具及nmap命令讲解
Aircrack-ng是无线渗透测试领域的重量级选手, 提供了一整套工具和功能,专注于Wi-Fi安全的各个领域,如监控、发起隐秘攻击、严格测试防御以及像大师级锁匠一样破解棘手的WPA密钥。此外,ZAP还提供一系列实用的工具和功能,包括自动扫描仪、一组用于手动测试的工具以及用于扩展功能的各种附加组件,使其成为Web应用程序安全测试的全面解决方案。Nmap是强大的网络发现工具和细致的安全审计工具的完美结合,其与众不同之处在于其令人惊叹的可定制性,用户可以根据需要定制其扫描范围或精确程度。
2024-09-02 14:24:25
887
原创 分层网络架构设计
汇聚层(也称为分发层或汇聚层)位于网络的中间层次,它负责处理和分发来自接入层的数据,并将其发送到核心层。汇聚层的设备通常需要有更高的处理能力,因为它们需要进行更复杂的决策,例如基于网络策略的路由选择。在传统的扁平网络设计中,网络采用集线器和交换机连接,随着规模的扩大,网络变得难以管理和维护。流量聚合和分发: 汇聚层的主要职责是从接入层聚合来的流量,并将其分发到网络的其他部分。网络身份识别: 通过DHCP、802.1X认证等机制,接入层可以识别并控制连接到网络的设备,确保只有合法的设备能够访问网络。
2024-09-02 12:42:12
1432
原创 supervisor使用和配置方法
听过这个,我们可以获得由主进程控制的子进程的状态,停止和启动子进程,并获得主进程的运行列表。Supervisor是基于Python语言开发的一套的进程管理程序,它可以将一个普通的命令行进程变为后台daemon,并监控进程状态,异常退出时支持自动重启。supervisord:supervisor服务的主要管理器,负责管理我们配置的子进程,包括重启崩溃或异常退出的子进程,同时也响应来自客户端的请求。# 表示开启外网访问,要注意安全性,不需要外网,不要启用。nginx如果可以正常访问表示安装成功了。
2024-09-02 10:39:34
381
原创 端口扫描、拒绝服务和缓冲区溢出
拒绝服务”这个词来源于英文Denial of Service(简称DoS),它是一种简单的破坏性攻击,通常攻击者利用TCP/IP协议中的某个弱点,或者系统存在的某些漏洞,对目标系统发起大规模的进攻,致使攻击目标无法对合法的用户提供正常的服务。事实上,虽然不同的缓冲区溢出漏洞,其植入代码的返回地址都不同,但均处于某个较小的地址区间内。-攻击者通过巧妙的编写和设置,利用系统的漏洞将shellcode送入系统中使其得以执行,从而获取特殊权限的执行环境,或给自己设立有特权的帐户,取得目标机器的控制权。
2024-09-02 10:10:14
2196
原创 网络嗅探详论
原理:主机在实现ARP缓存表的机制中存在一个不完善的地方,当主机收到一个ARP的应答包后,它并不会去验证自己是否发送过这个ARP请求,而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。-它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常的计算机无法收到信息。-不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框。
2024-09-02 09:33:35
2338
原创 云计算和虚拟化的区别(简短)
虚拟化是一种技术,它涉及将物理资源(如服务器、存储、网络等)划分为多个虚拟资源,使得这些资源可以更高效地利用和管理。云计算则允许用户通过网络随时随地访问这些虚拟化的计算资源,包括服务器、存储、数据库、网络、软件、分析和智能。云计算是一种服务模式,它通过互联网提供这些虚拟化的计算资源,用户可以按需获取并按使用量付费。虚拟化是云计算的基础技术之一,它使得云计算能够实现资源的动态分配和隔离。云计算不仅包括虚拟化,还涉及资源管理、服务交付、自动化部署等多个层面。云计算和虚拟化是两个相关但不同的概念。
2024-08-30 08:47:45
462
原创 vpn、tls与ipsec
TLS(transport layer security)传输层安全协议多用于web服务的安全,由早期的安全套接字层(secure socket layer,SSL)协议演化而来,最初由Netscape公司开发,后IETF将SSL更名为TLS。在安全Web服务、安全邮件服务中,通过使用传输层安全协议(transport layer security,TLS)协议保证Http协议和邮件协议中传输数据的安全。禁止加密报文的压缩及收发双方的重协商,防止降级攻击,攻击者无法通过使用旧版本协议攻击已知漏洞。
2024-08-29 10:42:26
1071
原创 Raid区别
与RAID 5 相同的是当前磁盘数据块的校验数据不可能存在当前磁盘中,而是交错存储的。种数据上的并行操作可以充分利用总线的带宽,显著提高磁盘整体存取性能,但是无法容错,搭建RAID 0 至少需要两块磁盘。RAID 5 可以理解为是RAID 0 和RAID 1的折中方案,适合对性能和冗余都有一定要求,又都不是十分高的情况。RAID 10 不是独创的一种RAID级别,它由RAID 1 和 RAID 0 两种阵列形式组合而成,RAID 10继承了RAID 0 的快速与高效,同时也继承了RAID 1 的数据安全,
2024-08-29 10:05:23
1049
原创 操作系统常见命令
gpedit.msc:打开本地组策略编辑器,管理计算机和用户的组策略设置。services.msc:打开服务管理器,管理系统服务。tasklist:显示当前正在运行的进程列表。taskkill:终止正在运行的进程。netstat:显示网络连接和统计信息。dir:列出当前目录下的文件和文件夹。ping:测试与特定主机的连接。chown:更改文件所属用户和组。mkdir:创建新的文件夹。copy:复制文件或文件夹。chmod:更改文件权限。pwd:查看当前路径。touch:创建文件。scp:远程传输文件。
2024-08-29 09:57:42
388
原创 广播域与冲突域详解
1、冲突域指的是会产生冲突的最小范围,在计算机和计算机通过设备互联时,会建立一条通道,如果这条通道只允许瞬间一个数据报文通过,那么在同时如果有两个或更多的数据报文想从这里通过时就会出现冲突了。冲突域的大小可以衡量设备的性能,多口hub的冲突域也只有一个,即所有的端口上的数据报文都要排队等待通过。而交换机就明显的缩小了冲突域的大小,使到每一个端口都是一个冲突域,即一个或多个端口的高速传输不会影响其它端口的传输,因为所有的数据报文不同都按次序排队通过,而只是到同一端口的数据才要排队。
2024-08-29 09:42:01
1391
原创 Tcp粘包问题分析与对策
这是因为接收方先把收到的数据放在系统接收缓冲区,用户进程从该缓冲区取数据,若下一包数据到达时前一包数据尚未被用户进程取走,则下一包数据放到系统接收缓冲区时就接到前一包数据之后,而用户进程根据预先设定的缓冲区大小从系统接收缓冲区取数据,这样就一次取到了多包数据。这时候数据由两部分组成:数据头+数据块,数据头:存储当前数据包的总字节数,接收端先接收数据头,然后在根据数据头接收对应大小的字节,数据块:当前数据包的内容。接收4字节的包头,并将其从网络字节序转换为主机字节序,得到即将要接收的数据的总长度。
2024-08-28 19:56:54
578
原创 渗透攻击详解
windows操作系统的稳定性和安全性随着版本的提升而得到不断的提高,但难免会出现这样或那样的安全隐患,这些安全隐患就是漏洞。为了达到长期控制目标主机的目的,黑客在取得管理员权限之后,会立刻在其中建立后门,这样就可以随时登陆该主机,为了避免被目标主机的管理员发现,在完成入侵之后需要清除其中的系统日志文件、应用程序日志文件和防火墙的日志文件等。此外,ZAP还提供一系列实用的工具和功能,包括自动扫描仪、一组用于手动测试的工具以及用于扩展功能的各种附加组件,使其成为Web应用程序安全测试的全面解决方案。
2024-08-28 11:23:15
975
原创 Waf防火墙作用与策略配置
可是经验并不一定是对的,真实的情况更是糟糕:整个网络的安全性将被网络中最脆弱的短板所制约,即著名的木桶理论。攻击手法:黑客在电商平台的用户评论区插入恶意脚本代码,试图在其他用户的浏览器中执行该脚本,从而窃取用户的会话信息或伪造用户操作。攻击手法:黑客通过在电商平台的搜索框中输入恶意SQL语句,试图绕过应用程序的输入验证,直接访问和篡改数据库中的用户信息。平台的安全性得到了保障,用户的数据和系统的完整性得到维护。我们所能做的是提高用户系统的安全系数,延长安全的稳定周期,缩短消除威胁的反应时间。
2024-08-28 10:51:45
985
原创 Devops各种组件与架构
因为如果同一时间有很多被监控主机都把数据推送给监控主机的话,就很可能导致监控主机处理不过来,所以通过Pull方式,被采集端无需感知监控系统的存在,完全独立于监控系统之外,这样数据的采集完全由监控系统控制。随着技术的发展和企业需求的变化,自动化运维将继续成为IT管理领域的核心趋势,而Ansible和Docker的结合无疑为实现这一目标提供了强有力的工具。Grafana是一个开源的度量分析和可视化工具(没有监控功能),可以通过将采集的数据分析,查询,然后进行可视化的展示,并能实现报警。
2024-08-28 10:40:42
1395
原创 Sql注入攻击
(很多数据量大的网站中会记录客户使用的操作系统或浏览器版本等然后将其存入数据库中)。如果支持HttpOnly的浏览器检测到包含HttpOnly标志的cookie,并且客户端脚本代码尝试读取该cookie,则浏览器将返回一个空字符串作为结果。Cookie 注入是一种安全漏洞,攻击者可以通过它来读取、写入或修改网站用户的cookie。如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,只能通过http方式获取cookie。2.修改或篡改存储在cookie中的数据。
2024-08-27 20:53:24
586
原创 Docker常见命令及docker images使用方法
例如,docker tag IMAGE_ID REPOSITORY:TAG将给镜像IMAGE_ID添加一个新的标签REPOSITORY:TAG。Docker容器命令是Docker生态系统中非常重要的一部分,它们允许用户管理容器的生命周期、操作容器内的数据、以及与容器进行交互。例如,docker rmi REPOSITORY:TAG将删除镜像REPOSITORY:TAG的标签。镜像ID是镜像的唯一标识,而标签是镜像的名称,可以有多个,但不会重复。可以通过先删除原有标签,再添加新标签的方式来修改镜像的标签。
2024-08-27 20:31:25
1122
原创 网络安全体系框架的具体设计
确保系统和应用程序保持最新状态,及时安装安全补丁,以避免已知的安全漏洞被攻击者利用。:降低软件权限,确保软件仅拥有执行其功能所需的最小权限,以减少潜在的安全风险。:限制远程访问,例如通过IP地址限制,确保只有授权的用户可以远程访问系统。:定期审查和更新系统中的账号和口令,避免使用默认或易于猜测的口令。:优化服务,关闭不必要的共享和远程访问功能,减少潜在的攻击入口。:合理配置关键文件的权限,防止未经授权的访问。:对系统软件进行安全优化,确保系统的安全性。:关闭不必要的服务和功能,减少攻击面。
2024-08-27 20:17:05
764
原创 系统中间件介绍
系统中间件是一类位于操作系统和应用程序之间的软件,它们提供了一种通信机制,使不同的应用程序或系统能够相互交互和协作。系统中间件可以按照不同的标准进行分类,以下是一些常见的系统中间件:
2024-08-27 20:15:56
1172
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人