来自 应用 2021-09-02 14:31 的文章

海外高防_防ddos盾_无限

海外高防_防ddos盾_无限

我从1999年开始从事Linux安全工作,当时我正在创建Bastille Linux,并领导创建Internet安全中心的第一个Linux安全标准指南。在早期,chroot(或"change root")监狱很受欢迎。我们的想法是,你可以监禁一个程序,要么破坏一个漏洞,要么遏制破坏程序的攻击者。要了解有关Linux容器的更多信息,包括如何使用它们来阻止漏洞攻击和遏制攻击者,请观看我相应的网络研讨会"使用Linux容器保护应用程序"。现在就看2005年,随着Linux容器的开发,Linux迈出了监禁程序的下一步。虽然有许多容器运行时,Docker在2013年推广了这一点。我是Docker及其分支"runc"程序的粉丝,因为它们让你的脚很容易被容器弄湿。我喜欢用人来展示如何轻易地破坏容器。以下是您可以对容器中的程序执行的一些操作:删除根功能将根用户替换为在容器外没有根权限的用户使用seccomp过滤程序可用的系统调用大量减少攻击者可用的操作系统程序应用特定于容器的AppArmor或SELinux配置文件让我们来谈谈根能力下降。在Linux中,实际上只有两类用户:"root",它可以随意访问任何文件或资源,10gddos防御,然后是其他所有用户,cc防御ddos防御,它只能访问它拥有的或每个用户都可以使用的资源。根用户具有许多特权特殊权限,例如:在1024以下的TCP或UDP端口上侦听的能力覆盖文件所有权的能力模仿其他用户的能力不过,这是有控制的。根的特殊能力被以适当的粒度枚举为根"能力"。当你把一个程序放入容器中时,你可以指定容器中存在哪些功能。这非常有用,因为许多以root权限运行的程序只在1024以下的端口上侦听。因此,如果你在一个容器中启动一个程序,除了NET_BIND_服务外没有根功能,华为云ddos防御上限,而攻击者破坏了该程序,他将无法使用root的任何特殊功能。根据您如何设置文件所有权,他可能无法写入文件系统中的单个文件,即使他是根用户!要了解有关Linux容器的更多信息,包括如何使用它们来阻止漏洞攻击和遏制攻击者,请观看我相应的网络研讨会"使用Linux容器保护应用程序"。杰伊·比尔InGuardians联合创始人兼首席运营官兼首席技术官jaybeale已经开发了一些防御安全工具,ddos防御绿盟,包括bastillelinux/UNIX和CIS-Linux评分工具,个人ip防御ddos,这两个工具在整个行业和政府中都得到了广泛的应用。他曾在许多行业和政府会议上担任特邀发言人,为信息安全杂志、SecurityPortal和SecurityFocus担任专栏作家,并为9本书撰稿,其中包括他的开源安全系列和"窃取网络"系列。他曾在Black Hat、CanSecWest、RSA和IDG会议上领导过关于Linux强化和其他主题的培训班,以及私人企业培训。Jay是信息安全咨询公司InGuardians的联合创始人、首席运营官和首席技术官。