在只使用自由访问控制DAC(Discretionary Acces Control)策略的虚拟化环境中,主机上运行的恶意虚拟机可能存在gongji hypervisor或其他虚拟机的情况。为了提升虚拟化场景的安全性,openEuler使用了sVirt保护。sVirt是基于SELinux,适用于KVM虚拟化场景的安全防护技术。虚拟机本质是主机操作系统上的普通进程,sVirt机制在hypervisor将虚拟机对应的QEMU进程进行SELinux标记分类,除了使用type表示虚拟化专有进程和文件,还用不同的的category(在seclevel区间)表示不同虚拟机,每个虚拟机只能访问自身相同category的文件设备,防止虚拟机访问非授权的主机或其他虚拟机的文件和设备,从而防止虚拟机逃逸,提升主机和虚拟机的安全性。
点击上方 "编程技术圈"关注, 星标或置顶一起成长后台回复“大礼包”有惊喜礼包!每日英文Make the person mature is not the time, but the experience. subway tasted, through the nature; through the world, see light the world.使人成熟的不是岁月,而是经历。百味尝遍,自然
转载 2021-05-28 22:16:22
207阅读
在前文[15分钟从零开始搭建支持10w+用户的生产环境(二)]中提了一句MongoDB的安全,有小伙伴留心了,在公众号后台问。所以今天专门开个文,写一下关于MongoDB的安全。一、我的一次MongoDB被黑经历近几年,MongoDB应用越来越多,MongoDB也越来越火。从2015年开始,MongoDB被一些「非法组织/黑客」盯上了。他们的做法也很简单,连到你的数据库上,把你的数据拿走,然后把你
转载 2021-05-07 13:15:38
154阅读
2评论
加固服务器包括修改 SSH 端口,关闭/删除不必要的服务等
原创 9月前
0阅读
用户使用libvirt远程调用功能时,如果不进行任何鉴权校验,所有连接到主机所在网络的第三方程序都可以通过libvirt的远程调用操作虚拟机,存在安全隐患。为了提升系统安全性,openEuler提供了libvirt鉴权功能,即用户通过libvirt远程调用操作虚拟机前,必须经过身份校验,只有特定用户允许访问虚拟机,从而保护组网中的虚拟机。
qemu-ga(Qemu Guest Agent)它是运行在虚拟机内部的守护进程,它允许用户在host OS上通过QEMU提供带外通道实现对guest OS的多种管理操作:包括文件操作(open、read、write、close,seek、flush等)、内部关机、虚拟机休眠(suspend-disk、suspend-ram、suspend-hybrid),获取虚拟机内部的信息(包括内存,CPU,网卡,OS等相关信息 )等。
0个Nginx Web服务器最佳安全实践   20个Nginx Web服务器最佳安全实践  Nginx 是一个轻量级,高性能的Web服务器/反向代理和电子邮件代理(IMAP/POP3),它可以运行在UNIX,GNU/Linux,BSD变种,MAC OS X,Solaris和Microsoft Windows上。根据Netcraft的调查数据显示,互联网上6%的
转载 精选 2011-09-03 13:09:46
679阅读
1点赞
2020年,CVE Details的数据显示,平均每天发现50个新的漏洞。因此,采取防护措施保护Web应用程序对企业安全的至关重要。本文将探索七种最佳实践给予Web应用程序最安全的保护。 ...
转载 2021-10-27 11:42:00
59阅读
2评论
背景:由于项目紧急,入职第一天就开需求评审会,需求方要求系统需要在发货流程静默打印PDF采购清单,不能使用先
原创 2022-03-25 14:54:21
1659阅读
 kelvinji2009 译 分布式实验室这是题为《保护Kubernetes for Cloud Native Applications》系列文章的倒数第二篇,延续我们关于如何保护集群重要组件的讨论,如API server和 Kubelet。 在本文中,我们将使用集群的一些固有安全机制来解决如何应用安全控制的最佳实践问题。如果将Kubernetes比作内核,那么我们将讨论保护用户空间,位于内核之
原创 2021-05-11 17:29:08
280阅读
/************************************************** Author : Samson * Date : 08/07/2015 * Test platform: * gcc (Ubuntu 4.8.2-19ubuntu1) 4.8.2 * GNU bash, 4.3.11(1)-release (x86_64-pc-linux-gnu) * ***
转载 2017-07-23 13:56:00
112阅读
极力推荐文章:欢迎收藏Android 干货分享 本篇文章主要介绍 Android 开发中的部分知识点,通过阅读本篇文章,您将收获以下内容: 一、加强APP 安全沟通 建议显示使用应用选择器应用共享数据时,建议使用 签名权限禁止其他应用访问...
转载 2019-06-20 17:10:00
330阅读
2评论
前言配置管理作为软件开发中重要的一环,肩负着连接代码和环境的职责,能很好的分离开发人员和维护人员的关注点。Nacos的配置管理功能就很好地满足了云原生应用对于配置管理的需求:既能做到配置和代码分离,也能做到配置的动态修改。在1月份,Nacos出了一个安全漏洞,外部用户能够伪装为Nacos-server来获取/修改配置( https://github.com/alibaba/nacos/issues
转载 2021-03-24 11:01:13
340阅读
2评论
原文链接:https://fuckcloudnative.io/posts/security-best-practices-for-kubernetes-pods/ 对于大部分 Kubernetes 用户来说,安全是无关紧要的,或者说没那么紧要,就算考虑到了,也只是敷衍一下,草草了事。实际上 Kub ...
转载 2020-12-15 14:28:00
149阅读
2评论
前言对于大部分 Kubernetes 用户来说,安全是无关紧要的,或者说没那么紧要,就算考虑到了,也只是敷...
转载 2021-07-16 17:47:35
460阅读
在 Kubernetes 中安全地运行工作负载是很困难的,有很多配置都可能会影响
原创 2022-08-16 21:45:24
109阅读
前言 配置管理作为软件开发中重要的一环,肩负着连接代码和环境的职责,能很好的分离开发人员和维护人员的关注点。 Nacos的配置管理功能就很好地满足了云原生应用对于配置管理的需求:既能做到配置和代码分离,也能做到配置的动态修改。 在1月份,Nacos出了一个安全漏洞,外部用户能够伪装为Nacos-server来获取/修改配置( https://github.com/alibaba/nacos/iss
转载 2021-03-23 17:24:08
376阅读
2评论
20个Nginx Web服务器最佳安全实践(1)2010-03-12 10:48  黄永兵 编译  51CTO.com 我要评论(3) 字号:T | T本文的主要目是介绍如何提高运行在Linux或UNIX类操作系统上的Nginx Web服务器的安全性。AD:2013大数据全球技术峰会课程PPT下载【51CTO.com精选译文】20个Nginx Web服务器最佳安全实践Nginx
转载 精选 2013-05-29 18:03:46
249阅读
JavaWeb应用的代码分层最佳实践代码分层,对于任何一个JavaWeb开发来说应该都不陌生。一个好的层次划分不仅可以能使代码结构更加清楚,还可以使项目分工更加明确,可读性大大提升,更加有利于后期的维护和升级。从另外一个角度来看,好的代码分层架构,应该是可以很好的匹配上单一职责原则的。这样就可以降低层与层之间的依赖,还能最大程度的复用各层的逻辑。本文就来介绍下JavaWeb项目的代码到底应该如何分
原创 2020-10-29 09:36:30
389阅读
  • 1
  • 2
  • 3
  • 4
  • 5