security

OpenVAS 打包记

docker pull dustise/openvas

git clone https://github.com/fleeto/docker-openvas.git


上回书说到的 OpenVAS,其中的安装过程用的居然不是 Docker,其主要原因有:

  • 第一,安装使用都不熟悉,直接上手第三方比较容易跑偏,官网靠谱一点(现在我知道了,官网也有不靠谱的)。
  • 第二,因为上面的原因,Docker Hub 上的 mikesplain/openvas-docker 不得要领,尤其是客户端连接这部分。(后来知道他的强制更新高估了天朝的网络条件)。
  • 第三,我喜新厌旧,不想用老旧的 8 版本。
  • 第四,多语言支持,在上述 Docker Hub 版本上删节了。

但是作为一个容器云鼓吹者,不弄个顺手的封装的确是不合适的,所以花了些时间,重新来了一次,中间波折蛮多,不过也多了些容器封装方面的经验,就此记录下来。

Kubernetes 部署安全最佳实践

编者按:本文作者是来自 Aqua Security 的 Amir Jerbi 和 Michael Cherny,他们以大量的案例和经验为基础,总结并描述了 Kubernetes 部署中的最佳安全实践。

Kubernetes 提供了很多能够提高应用安全的方法。要进行这些配置,就要掌握 Kubernetes 的相关知识,同时也要清楚的了解安全需求。这里我们关注的安全内容集中在容器的生命周期上:构建、传输以及运行,并且针对 Kubernetes 进行了特别的裁剪。我们自己的 SaaS 就是运行在 Google Cloud Platform 上的 Kubernetes 中,已经采用了这些最佳实践。

下面是我们对于安全部署 Kubernetes 应用的一些建议。

确保镜像无漏洞

运行带有漏洞的容器会让你的环境身处险境。只要运行中的系统的所有组件都不存在已知漏洞,就能够避免很多被攻击的机会。

Drupal 基础安全实战

最近翻译了一篇老外写的全站SSL介绍,感觉水得一塌糊涂,恰好前一段时间被合作方的安全团队在安全方面骚扰很久,涉及的问题范围较广,也比较全面,这里做个总结,也给大家一个参考。

下面行文主要从Issues List里面提取,顺序上可能稍显跳跃,因为是工程案例,所以偏重于见招拆招的解决问题,而较少提供问题的剖析,不过尽量会提供引文供读者延伸阅读。

SSLv3 Enabled

Openssl对于ssl poodle问题的说明

Digital Ocean对这个问题的说明和对策

Apache Server的配置:

    SSLProtocol all -SSLv3 -SSLv2

Nginx Server的配置

Security Kit模块

该模块为Drupal提供了大量的安全加固选项,能降低Web应用被攻击的风险。

跨域脚本

通过IE和Firefox的X-Content-Security-Policy、Chrome和Safari的X-WebKit-CSP以及Content-Security-Policy(官方名称)的HTTP响应头,来实现内容安全策略。其中包含配置页面,并且对违反CSP的访问记录到Watchdog。

Internet Explorer/Apple Safari/Google Chrome提供了内置的XSS过滤功能,利用XSS-Protection这一HTTP响应头来进行控制浏览器的这些功能。

修复Drupal 6的上传问题,Drupal 7的上传功能合并到了FileField中,所有D7版本没有这一选项。

页面