MikroTik路由器升级以及安全加固

最近<<20万台MikroTik路由器沦为挖矿帮凶>>,近日安全研究人员再次发现有20万台未更新固件的MikroTik路由器遭到挖矿恶意软件攻击。其中主要是CVE-2018-7445 MikroTik路由器系统缓冲区溢出漏洞。

漏洞概述

CVE-2018-7445 MikroTik RouterOS SMB 缓冲区溢出

参考信息:https://www.coresecurity.com/advisories/mikrotik-routeros-smb-buffer-overflow

路由器漏洞分析

http://www.freebuf.com/articles/wireless/168063.html

oday 工具地址

https://github.com/mrmtwoj/0day-mikrotik

Name Project :0day Mikrotik

Last version :1.0.0

Last updated : 25/07/2018

Programming language : Python

youtube : https://youtu.be/h6JSNFhQUN8

Company name : acyber (IT Security Lab Iran)

ros1

ros2
.我们今天来进行ros的升级和一些安全加固设置。

继续阅读

linux文件系统高级权限属性

最近在cu论坛看见有同学在问,如何给一个目录设定root都不能删除的权限。

其实linux有高级权限,除了0777的权限位还有更高级的权限控制。在Linux下我们可以用lstat命令查看文件的相关属性信息,除了这些属性之外,Linux下的文件还有一些隐藏的属性,我们可以用lsattr命令来查看:

root@sklinux:/opt# lsattr
——a——e– ./src
如上面的a\e权限

上面这条命令的输出表示src文件具有扩展属性a和e,即只能向该文件添加数据,而不能删除,并且该文件使用extends来映射磁盘块。显然,将那些只允许增长但不允许修改和删除的文件设置为这样的隐藏属性是非常有利于保护数据安全的。 继续阅读

apollo配置中心增加环境的方法

Apollo(阿波罗)是携程框架部门研发的开源配置管理中心,能够集中化管理应用不同环境、不同集群的配置,配置修改后能够实时推送到应用端,并且具备规范的权限、流程治理等特性。

Apollo支持4个维度管理Key-Value格式的配置:

  1. application (应用)
  2. environment (环境)
  3. cluster (集群)
  4. namespace (命名空间)

 

配置结构图为:

apollo配置架构
一、portal启动参数如下: 继续阅读

如何防止CSRF攻击

背景

随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行“查漏补缺”。

前端安全

近几年,美团业务高速发展,前端随之面临很多安全挑战,因此积累了大量的实践经验。我们梳理了常见的前端安全问题以及对应的解决方案,将会做成一个系列,希望可以帮助前端同学在日常开发中不断预防和修复安全漏洞。本文是该系列的第二篇。

今天我们讲解一下 CSRF,其实相比XSS,CSRF的名气似乎并不是那么大,很多人都认为“CSRF不具备那么大的破坏性”。真的是这样吗?接下来,我们还是有请小明同学再次“闪亮”登场。

CSRF攻击

CSRF漏洞的发生

相比XSS,CSRF的名气似乎并不是那么大,很多人都认为CSRF“不那么有破坏性”。真的是这样吗? 继续阅读

为什么前后端分离了,你比从前更痛苦?—转载

你有没有遇到过:

  • 前端代码刚写完,后端的接口又变了。
  • 接口文档永远都是不对的。
  • 测试工作永远只能临近上线才能开始。

为什么前后端分离了,你比从前更痛苦?

  前后端分离早已经不是新闻,当真正分离之后确遇到了更多问题。要想解决现在的痛,就要知道痛的原因:

为什么接口会频繁变动?

  设计之初没有想好。 这需要提高需求的理解能力和接口设计能力。

  变动的成本较低。

  德国有句谚语:“朝汤里吐口水。” 只有这样,才能让人们放弃那碗汤,停止不合理的行为。前后端同学坐在一起工作的时候效率会有提升,当后端同学接口变化时,只需要口头上通知一下即可,我们没有文档,我们很敏捷啊。没错,我们需要承认这样配合开发的效率会很高,但是频繁的变动会导致不断返工,造成了另一种浪费,这种浪费是可以被减少,甚至是被消除的。

为什么接口文档永远都是不对的?

  接口文档在定接口时起到一定作用,写完接口就没有用了。后面接口的频繁变化,文档必定会永远落后于实际接口,维护文档的带来了一定的成本却没能带来价值。除非对外提供的接口,否则文档谁来看呢?没人看,用处又在哪?

  有些公司干脆丢掉接口文档,说我们要拥抱敏捷。

  所以接口文档落后的原因在于没有给我们带来价值

为什么测试工作永远只能临近上线才能开始?

继续阅读

前端优化DNS预获取 dns-prefetch 提升页面载入速度

DNS Prefetch,即DNS预获取,是前端优化的一部分。一般来说,在前端优化中与 DNS 有关的有两点: 一个是减少DNS的请求次数,另一个就是进行DNS预获取 。

DNS 作为互联网的基础协议,其解析的速度似乎很容易被网站优化人员忽视。现在大多数新浏览器已经针对DNS解析进行了优化,典型的一次DNS解析需要耗费 20-120 毫秒,减少DNS解析时间和次数是个很好的优化方式。DNS Prefetching 是让具有此属性的域名不需要用户点击链接就在后台解析,而域名解析和内容载入是串行的网络操作,所以这个方式能 减少用户的等待时间,提升用户体验 。

默认情况下浏览器会对页面中和当前域名(正在浏览网页的域名)不在同一个域的域名进行预获取,并且缓存结果,这就是隐式的 DNS Prefetch。如果想对页面中没有出现的域进行预获取,那么就要使用显示的 DNS Prefetch 了。 继续阅读

虚拟货币管好它可以成为利器

这些年炒来炒去引起金融混乱的虚拟货币除了捣蛋金融市场还有没有用?日本金融厅首度认定虚拟货币的融资功能,虚拟货币进入金融体系,被当做类似于有价证券同等属性。此外,金融厅放权给自治组织,不仅上币审核,连牌照发放都能直接影响。日本通过自主制约与法律的结合,保证虚拟货币市场的健康发展,非常值得借鉴。

日本走在前列

在十一假期期间,日本金融厅召开了第六次《虚拟货币交易业者研讨会》。会议结果如下:

第一,金融厅首次认定虚拟货币的融资功能;

第二,承认虚拟货币拥有证券属性;

第三,金融厅通过法律和自治协会管理虚拟货币交易。

这次研讨会,在虚拟货币发展史上写下了重要一笔。尤其是在融资功能上,已经确定相关法律规定,ICO将在日本进一步合法化。 继续阅读

自签泛域名证书

自签泛域名证书
此工具用于颁发泛域名证书,方便开发环境调试。

请勿用于生产环境,生产环境还是购买正式的证书。
或者到 Let’s Encrypt 可以申请到免费证书
(支持多域名和泛域名)。

优点
1.你可以创建任意网站证书,只需导入一次根证书,无需多次导入;
2.减少重复又无谓的组织信息输入,创建证书时只需要输入域名;
3.泛域名证书可以减少 nginx 配置,例如你要模拟 CDN:
4.假设你的项目网站是 example.dev,CDN 网站设置为 cdn.example.dev,
你只需在 nginx 里面配置一个网站,server_name 同时填写 example.dev
和 cdn.example.dev,它们可以使用同一个 *.example.dev 的证书。
5.现在你只需要一个证书,就可以搞定所有项目网站!

zabbix监控RouteOS

zabbix on docker

1.使用镜像zabbix/zabbix-server-mysql:latest
该镜像功能如下
支持mysql数据库的zabbix server
zabbix-server-mysql – Zabbix server with MySQL database support

暴露zabbix-server端口10051
2.运行zabbix-server

docker run –name some-zabbix-server-mysql \
-e DB_SERVER_HOST=”some-mysql-server” \
-e MYSQL_USER=”some-user” \
-e MYSQL_PASSWORD=”some-password” \
-itd –restart=’always’ \
-p 10051:10051 \
zabbix/zabbix-server-mysql:tag

3.运行zabbix管理页面后台
镜像:zabbix/zabbix-web-nginx-mysql
docker run –name some-zabbix-web-nginx-mysql \
-e DB_SERVER_HOST=”some-mysql-server” \
-e MYSQL_USER=”some-user” \
-e MYSQL_PASSWORD=”some-password” \
-e ZBX_SERVER_HOST=”some-zabbix-server” \
-e PHP_TZ=”some-timezone” \
-itd \
或者其他的一些参数
zabbix/zabbix-web-nginx-mysql:tag

4.后台添加设备
ip:161
5.关联模板 为 Template Net Mikrotik SNMPv2
下载地址:https://share.zabbix.com/network_devices/mikrotik/template-net-mikrotik-snmpv2
6.修改发现策略
7.展示流量图
ros

XenServer 7.1.0 安装及配置

Citrix Xenserver,思杰基于 Linux 的虚拟化服务器。Citrix XenServer 是一种全面而易于管理的服务器虚拟化平台,基于强大的 Xen Hypervisor 程序之上。Xen 技术被广泛看作是业界最快速、最安全的虚拟化软件。XenServer 是为了高效地管理 Windows(R) 和 Linux(R) 虚拟服务器而设计的,可提供经济高效的服务器整合和业务连续性。

下载安装 XenServer7

### 下载
下载ISO: http://downloadns.citrix.com.edgesuite.net/11988/XenServer-7.1.0-install-cd.iso
下载XenCenter(windows平台下的XenServer管理端): http://downloadns.citrix.com.edgesuite.net/12009/XenServer-7.1.0-XenCenterSetup-7.1.1.l10n.exe

### 安装
和安装普通的CentOS一样,插入光盘,启动安装就行,按照安装向导一步一步来
磁盘空间至少46G,推荐100G以上,内存最少2G,推荐4G以上

### 默认分区情况
GPT分区
18GB XenServer主机控制域(dom0)分区
18GB 升级备份分区
4GB 日志分区
1GB 交换分区
5GB UEFI引导分区

### 存储库(SR)、物理块设备(PBD)、虚拟磁盘映像(VDI)、虚拟块设备(VBD) 之间的关系 SR可用来存储ISO镜像文件,或者VDI
* ‘S R’ *
XenServer主机 <--> PBD <--> * VDI * <--> VBD <--> VM
XenServer主机 <--> PBD <--> * VDI * <--> VBD <--> VM
XenServer主机 <--> PBD <--> * VDI * <--> VBD <--> VM
* ‘S R’ *
XenServer 基本配置
1. 修改lvm配置,否则无法手动创建lvm逻辑卷
— /etc/lvm/lvm.conf —

metadata_read_only = 0

2. 准备另一块硬盘或者直接就在XenServer的系统分区(推荐另增一块硬盘),或者是Windows文件共享(CIFS),Linux文件共享(NFS),用来存放ISO镜像启动文件

3. XenCenter 创建SR,类型为ISO库,连接上面创建的ISO库,点击刷新就可以看到你的iso镜像文件了

4. 新建虚拟机VM -> 控制台 -> 然后就可以安装你的虚拟机了
XenServer 基本命令
### 新建SR
# ISO库
xe sr-create name-label=boot_iso type=iso content-type=iso device-config:location=/xenserver/iso device-config:legacy_mode=true
# VDI库
xe sr-create name-label=”Local storage 2″ type=lvm content-type=user device-config:device=/dev/xenserver/data host-uuid=uuid_host shared=false

xe vm-list # 查看vm
xe host-list # 查看host_uuid
xe-toolstack-restart # 重启toolstack

### 删除SR
xe sr-list
xe sr-list name-label=boot_iso # 查看sr的uuid

xe pbd-list sr-uuid=UUID_SR # 查看pbd的uuid
xe pdb-unplug uuid=UUID_PBD # 断开sr与pbd的连接

xe sr-forget uuid=UUID_SR # 删除sr
xe sr-destroy uuid=UUID_SR # 销毁sr

xe task-list # 查看后台任务
xe task-cancel uuid=… # 结束后台任务