记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

论数据库运维的全流程管控技术

“重建设 轻管理”一直是我国各行业信息化发展的主要困境,这个问题在数据库系统的建设、管理工作中同样存在。近年来,这种局面造成的后果已开始明显显现:各类来自内部或第三方外包人员的数据泄露、丢失和被篡改事件频频发生,由此导致的珍贵数据资产损失和相关系统功能瘫痪等情况,如同紧箍咒一般,三不五时地刺激着运维部门本就紧绷的神经。数据库运维安全现状数据库运维人员需要承担数据库系统的权限分配、故障处理、性能优化、数据迁移备份等工作任务。这些关键环节中,如果出现任何纰漏,都可能导致不可逆的数据资产损失或其他不良后果。
发布时间:2017-08-24 04:00 | 阅读:116305 | 评论:0 | 标签:技术产品 数据库运维 运维安全

运维安全相关辅助系统及工具

JSRC小课堂上,HRay和橙子师傅分享的,做个小笔记,以后可能会用到。 freeipa:ssh认证统一管理 巡风:一款适用于企业内网的漏洞快速应急、巡航扫描系
发布时间:2017-08-03 18:35 | 阅读:112683 | 评论:0 | 标签:Linux/Unix 系统加固 主机安全 入侵检测 运维安全

互联网企业的等级保护建设之路

阅读: 108随着互联网企业的迅猛发展,其自身核心业务安全性的不断提升和行业监管力度的不断加强,如何应对与日俱增的内部需求和外部驱动,本文分析了互联网企业面临的安全威胁及合规监管,以及业内现有的针对该行业的安全建设内容,然后提出了我们基于三级等保的互联网企业信息安全建设思路,从整体上发现并解决互联网行业的安全问题。

G20峰会网络安全保障

阅读: 3杭州G20峰会9月5日在浙江杭州落下帷幕。其间,绿盟科技受主管机构指派参与G20峰会网络安全保障工作,涉及G20相关网站及系统、杭州区域内相关站点及行业客户等。绿盟科技结合历年数十次重大活动安保经验,协同多部门顺利完成峰会期间网络安全保障工作。2016年9月6日星期二09时58分27秒,安保活动进入尾声,绿盟科技G20峰会网络安全保障团队进行团队内总结。本次安全保障工作共为客户监测、评估站点及重点页面1127个,梳理互联网暴露面资产359830个。

绿盟科技全力保障G20峰会网络安全

阅读: 1杭州G20峰会9月5日在浙江杭州落下帷幕。其间,绿盟科技受主管机构指派参与G20峰会网络安全保障工作,涉及G20相关网站及系统、杭州区域内相关站点及行业客户等。绿盟科技结合历年数十次重大活动安保经验,协同多部门顺利完成峰会期间网络安全保障工作。

信息泄露之拖库撞库思考(2)

阅读: 160某网站被曝“信息泄露”事件,使拖库、撞库这两个黑产中的专有术语再次呈现于公众舆论面前。上次绿盟君从攻击实现角度,对拖库、撞库攻击进行简单分析;从安全防护设计、建设运维角度,给出针对这两种攻击实践总结的安全防御40条策略。本文主要从拖库角度出发聊聊。
发布时间:2016-06-09 08:25 | 阅读:220647 | 评论:0 | 标签:运维安全 信息泄露 拖库 拖库 技术 拖库 撞库 拖库撞库 撞库攻击 数据库 拖库 数据库拖库

MySQL和PostgreSQL数据库安全配置

0x00 MySQL和PostgreSQL安全配置 针对开源数据库MySQL和PostgreSQL的安全配置主要主要通过身份鉴别、访问控制、安全审计、入侵防范、资源控制五个方面来实现。 0x01 身份鉴别 MySQL和PostgreSQL均可以实现身份鉴别功能。通过设置数据库基本上能够实现能够满足《信息系统安全等级保护基本要求》第三级身份鉴别中大部分要求,但是对于“f 项应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别”,需要使用第三方的身份鉴别技术,如:口令、数字证书、生物特征等2。
发布时间:2016-05-27 07:50 | 阅读:96897 | 评论:0 | 标签:运维安全

linux下tomcat安全配置

0x00 删除默认目录 安装完tomcat后,删除$CATALINA_HOME/webapps下默认的所有目录文件 rm -rf /srv/apache-tomcat/webapps/* 0x01 用户管理 如果不需要通过web部署应用,建
发布时间:2016-05-25 09:50 | 阅读:91755 | 评论:0 | 标签:运维安全

关于下一代安全防护的讨论

0x00 前言 从事互联网安全研究有些年了,研究杀毒软件,安全套装,防火墙,IPS之类的监控设备也有一段时间了,开始对现有和下一代安全防护有一点自己的想法,并且开始琢磨更为安全的架构,致力于让互联网更安全。 0x01 现状 先说一下现有安全设备或者服务。 第一个肯定是说杀毒软件或者相应杀毒安防套装。杀毒软件或者安防套装应该为现如今最主流的安防手段。国内,不管从事什么职业的人,安装完系统,第一件事就想着安装什么杀毒软件更能保护我不受恶意软件的入侵。大众已经开始比较杀毒软件优劣了,安全意识能到达如此高的地步,甚是欣慰。
发布时间:2016-01-27 04:15 | 阅读:92988 | 评论:0 | 标签:运维安全

虚拟防火墙典型部署

阅读: 112虚拟防火墙功能简称为VSYS,是能够将一台物理防火墙在逻辑上划分成多个虚拟的防火墙,在用户的角度每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备,拥有独立的系统资源,且能够实现防火墙的二层、三层(路由+NAT)转发、ACL控制、安全检测功能。每个虚拟防火墙系统之间相互独立,不可直接相互通信。不同型号的NF物理防火墙设备支持的最大VSYS个数不同,支持License控制的VSYS个数的扩展。

Linux入侵检测基础

0x00 审计命令 在linux中有5个用于审计的命令: last:这个命令可用于查看我们系统的成功登录、关机、重启等情况;这个命令就是将/var/log/wtmp文件格式化输出。 lastb:这个命令用于查看登录失败的情况;这个命令就是将/var/log/btmp文件格式化输出。 lastlog:这个命令用于查看用户上一次的登录情况;这个命令就是将/var/log/lastlog文件格式化输出。 who:这个命令用户查看当前登录系统的情况;这个命令就是将/var/log/utmp文件格式化输出。 w:与who命令一致。
发布时间:2015-12-19 03:50 | 阅读:129652 | 评论:0 | 标签:运维安全

建设IaaS模式的可信网站云平台

阅读: 478摘要:一直以来,运营商各个业务网站分散在各个地市分公司,因为安全投入不够,人员和技能不足,导致信息安全事件频发。因此,广东移动借鉴美国建设TIC可信互联网连接通道的思路,将地市分公司的分散出口进行整合关停,通过构建集约化网站保护安全云平台,统一利用双层异构防火墙、网络入侵保护、web应用防火墙和负载均衡设备来组建强大的IaaS资源池,通过创新的代理服务和访问控制来实现地市各个业务网站的按需接入云服务,并进行统一的安全运维,大大提升广东省的网站安全形势。
发布时间:2015-12-01 18:05 | 阅读:139452 | 评论:0 | 标签:运维安全 iaas云平台 iaas云平台 厂商 iaas平台搭建 云安全服务 云计算 iaas

恶意代码清除实战

阅读: 338恶意代码清除实战 什么是恶意代码,指令集?是二进制可执行指令?还是脚本语言?字处理宏语言?其他指令集等等……以常见的类型举例,那么如果一台服务器存在恶意代码,windows系列机器的恶意代码一般指的是病毒,蠕虫,木马后门,linux系统机器恶意代码一般就是Rootkit。那么如何快速判断自己的web服务器是否存在恶意代码,是否由于web端的问题导致的内网渗透,或被植入恶意代码作为跳板机、肉鸡等;如何通过手工或者工具的方式快速清除恶意代码,加固系统加固,预防下一次入侵带来的问题。绿盟科技博客邀请安全服务团队的安全工程师从一个实战案例入手,来讲解如何手工清除恶意代码。

基于攻击链的威胁感知系统

阅读: 380随着网络威胁形式的多样化和复杂化以及面临APT攻击的挑战,新一代威胁不仅传播速度更快,其利用的攻击面也越来越宽广,可以覆盖移动、桌面、网络、web和各种应用、社交网络等,新常态下仅仅依靠传统NIPS/NIDS设备提供给用户的信息已经不能满足现阶段客户的需要,专业化、系统化、智能化等越来越显得尤为关键;尤其是伴随着互联网的发展,用户体验需求的提升,更需要对网络威胁的行为通过大数据分析的方式,直观的给客户展示出整个动态攻击过程。

OSSEC服务端配置客户端批量部署方案

0x00 前言 最近也在研究ossec报警规则,还没研究的很透彻,暂时不是这篇文章的内容。ossec中文资料还是比较少,外文文献比较多。之前看到drops的两篇文章分享http://drops.wooyun.org/tips/2821,http://drops.wooyun.org/tips/636,看到评论都说批量部署是个坑,比较麻烦。现在说下我的方案,如何批量安装部署客户端。对大家有帮助,可以解决大家在批量部署过程遇到的问题。
发布时间:2015-10-16 18:00 | 阅读:138023 | 评论:0 | 标签:运维安全

漏洞管理电子流

0x01 写在前面 这篇文章主要是为了分享和记录自己的一些成长,如有写得不好的地方,还望斧正。在最早期针对漏洞管理这个事情,个人觉得比较恶心。特别是各种邮件发来发去,到最后追溯到某个系统曾经出现的安全风险时,一顿猛翻,甚至连源邮件出处都找不到…然后就有了这篇文章。 0x02 原来的方式 原来的方式比较蛋疼的是,这里面有很多各种各样的问题,各种各样的拖延,例如:研发会质问,这个漏洞严重吗,为啥要马上修复?又比如:这个漏洞是正常逻辑,需要修改还要过产品那边,又或者这个漏洞看不懂啥的,又比如你提供的信息不够全面等等。因为这些问题导致修复一个漏洞需要2-3天,甚至更长的时间。
发布时间:2015-09-18 22:15 | 阅读:94472 | 评论:0 | 标签:运维安全 漏洞

NFS配置不当那些事

0x00 背景 NFS(Network File System):是FreeBSD支持的文件系统中的一种,它允许网络中的计算机之间通过TCP/IP网络共享资源; NFS配置:(声明:以下NFS实验
发布时间:2015-09-17 02:00 | 阅读:111008 | 评论:0 | 标签:技术分享 运维安全

运维安全概述

0x00 前言 运维安全是企业安全保障的基石,不同于Web安全、移动安全或者业务安全,运维安全环节出现问题往往会比较严重。 一方面,运维出现的安全漏洞自身危害比较严重。运维服务位于底层,涉及到服务器,网络设备,基础应用等,一旦出现安全问题,直接影响到服务器的安全;另一方面,一个运维漏洞的出现,通常反映了一个企业的安全规范、流程或者是这些规范、流程的执行出现了问题,这种情况下,可能很多服务器都存在这类安全问题,也有可能这个服务还存在其他的运维安全问题。 本文一方面希望帮助甲方覆盖一些盲点,另一方面也能够为白帽子提供一些漏洞挖掘的方向和思路。
发布时间:2015-09-03 00:35 | 阅读:116910 | 评论:0 | 标签:运维安全

浅谈Elasticsearch的AAA (I)

0x00 前言 Elasticsearch(以下简称es)被越来越多的公司广泛使用,而其本身安全问题也备受关注,最近出现的安全问题比较多,例如影响比较大的漏洞有CVE-2014-3120和CVE-2015-1427。 这些漏洞和es本身没有认证授权机制有很大关系,同时公司内部多业务使用使用同一套es集群的情况非常多,如何做好认证授权的管理的问题尤为凸显。 官方竟然将安全模块Shield作为收费模块,所以普及率并不高。本着为公司省下仨瓜俩枣的精神寻找其他的解决方案。实现过程中走了一些弯路,记录下来以方便其他遇到这些问题的同仁。
发布时间:2015-08-18 19:30 | 阅读:104937 | 评论:0 | 标签:技术分享 运维安全

Sybase数据库安全

0x00 Sybase数据库介绍 简介 Sybase的全称又叫: SAP Sybase Adaptive Server Enterprise(简称ASE或Sybase ASE),继承于MSSQL的原始代码,和MSSQL血缘很近。Sybase是一种关系型数据库系统,是一种典型的UNIX或WindowsNT平台上客户机/服务器环境下的大型数据库系统。它以PowerBuilder为开发工具,以SAP Sybase SQL Anywhere为客户端。
发布时间:2015-08-17 14:20 | 阅读:108318 | 评论:0 | 标签:运维安全

BIND DoS漏洞分析

防护方案:BIND DoS漏洞分析近日,互联网系统协会ISC 发布紧急补丁(CVE-2015-5477),修复隐藏在开源软件BIND中named的严重安全漏洞。远程攻击者通过发起畸形的TKEY查询,可对DNS服务器造成DoS拒绝服务。
发布时间:2015-08-06 19:50 | 阅读:159494 | 评论:0 | 标签:Web安全 漏洞分析 运维安全 BIND CVE-2015-5477 DNS DoS TKEY 拒绝服务 漏洞情报 漏洞

web攻击日志分析之新手指南

from:http://resources.infosecinstitute.com/log-analysis-web-attacks-beginners-guide/ 0x00 前言 这是经常发生的情况:web应用出于不同的原因面对着可疑的活动,比如一个小孩使用自动化漏洞扫描器扫描web站点或者一个家伙试图模糊测试(fuzz)一个参数用以SQL注入等等。在许多这样的情况中,要分析web服务器上的日志以理解正在发生什么。如果是严重的情况,可能要求取证调查。 除此之外,还有其他场景。 作为一名管理员,理解如何从安全的角度来分析日志真的很重要。
发布时间:2015-03-30 21:20 | 阅读:131083 | 评论:0 | 标签:运维安全

分析“蜜罐NS”上的查询,提升DNS日志的质量

from:http://securityintelligence.com/analyzing-queries-on-a-honeypot-name-server-for-better-dns-log-quality/ 0x00 网络杂讯 “蜜罐”是统计“网络杂讯”的一种常用方法,并且这种方法也比较简单。你对“网络杂讯”了解的程度越高,那么你就能更好地做安全分析。
发布时间:2015-03-25 23:35 | 阅读:143357 | 评论:0 | 标签:技术分享 运维安全

Pfsense HA(高可用性群集)

0x00 前言 前段时间公司防火墙所在物理机死机了,导致公司网络瘫痪。公司各网站无法访问,所以才想到去研究这个Pfsense HA。正好公司在准备举办一个比赛,作为安全工作者,肯定有压力啦!!各个方面都要去考虑是否存在安全隐患。这个防火墙必然也在考虑的范围之内,如果这个防火墙被破坏者弄挂了怎么搞了???那比赛是不是就没法进行了。 这名字有点高大上的感觉啊!其实说白了,就是弄两pfsense防火墙,一台挂了,另外一台马上接管工作,不至于中断业务。 0x01 Pfsense&&HA简单介绍 pfSense是一个基于FressBSD,专为防火墙和路由器功能定制的开源版本。
发布时间:2014-11-25 14:30 | 阅读:123508 | 评论:0 | 标签:运维安全

fail2ban防暴力破解介绍使用

0x00 介绍 fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是调用防火墙iptables屏蔽),如:当有人在试探你的SSH、SMTP、FTP密码,只要达到你预设的次数,fail2ban就会调用防火墙屏蔽这个IP,而且可以发送e-mail通知系统管理员,是一款很实用、很强大的软件! fail2ban由python语言开发,基于logwatch、gamin、iptables、tcp-wrapper、shorewall等。如果想要发送邮件通知道,那还需要安装postfix或sendmail。
发布时间:2014-09-19 16:05 | 阅读:103859 | 评论:0 | 标签:技术分享 运维安全 暴力破解

lnmp虚拟主机安全配置研究

0x00 背景 众所周知,虚拟主机的安全不好做,特别是防止跨目录成为了重点。apache+php服务器防止跨目录的方式比较简单,网上的所有成熟虚拟主机解决方案都是基于apache的,如directadmin、cpanel。 但如今已然不是apache的时代了,在linux+nginx+mysql+php下怎么防止不同虚拟主机进行跨站? 首先我们要清楚明白Nginx是怎么运行的,再考虑怎么具体操作吧。乌云知识库里有一篇很好的文章http://drops.wooyun.org/tips/1323,介绍了nginx的安全配置,大家可以看看。
发布时间:2014-08-25 21:30 | 阅读:108896 | 评论:0 | 标签:技术分享 运维安全

撞库扫号防范

0x00 背景 撞库扫号攻击已经是Top 10 Security Risks for 2014之一,不管你的网站密码保存的额多好,但是面试已经泄露的账号密码,撞库扫号防御还是一个相当重要的环节。之前一篇普及了扫号的基本防止防范和危害。 本篇讲详细解决面对技术同步在进步的黑色产品如何更好地防止撞库扫号。由于涉及相关内部策略,也只是抛砖引玉。 撞库扫号,无非是自动化或者脚本化执行用户名密码来进行登陆,通过页面跳转302状态或者返回特征及包的大小,是否重新set-cookies来判断是否登陆成功。
发布时间:2014-08-16 20:20 | 阅读:114626 | 评论:0 | 标签:技术分享 运维安全

基于ossec logstash es大数据安全关联分析

0x00 前言: 对于大数据我相信大多数人都不陌生,特别现在是在大数据时代,当下流行的技术很多人都可以朗朗上口比如hadoop、hbase、spark、storm,那么在数据收集中,是否有好的解决办法来帮助企业进行安全管理及策略分析呢,笔者搜索了很多资料,通过自己的实践分享一篇我对大数据日志分析及处理的见解,本篇技术是基于logstash elasticsearch、redis结合ossec来做的开源方案。
发布时间:2014-08-15 14:40 | 阅读:87924 | 评论:0 | 标签:技术分享 运维安全

ADS

标签云