V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  onice  ›  全部回复第 11 页 / 共 59 页
回复总数  1169
1 ... 7  8  9  10  11  12  13  14  15  16 ... 59  
2023-05-25 14:19:56 +08:00
回复了 GuDream8 创建的主题 宽带症候群 深圳城中村办的电信宽带变成了移动宽带,算欺诈吗?
电信宽带在中国电信 app 里面能查到。移动同理。打官方客服电话也能核实。
2023-05-17 14:50:10 +08:00
回复了 onice 创建的主题 职场话题 为什么自己任何工作都做不长久
@zmysna 找培训。线上的话可以看看暗月,小迪,异空间。线下的话可以看看农夫安全。
2023-05-17 14:45:25 +08:00
回复了 DJCNMHG 创建的主题 程序员 作为程序员,有什么提升生活/工作体验的 App、硬件、服务?
滴答清单 App ,,极大的提高了工作效率。
2023-05-13 21:21:52 +08:00
回复了 nightnotlate 创建的主题 生活 科目三总共练了两个半小时 就被催着约考了
我考科三,一车人共五个人共练了周末两个上午。没那么难,放宽心。
2023-05-08 14:46:25 +08:00
回复了 jwautumn 创建的主题 程序员 如何合理的,合法的在日常中携带着“正当防卫工具”
给你推荐个防身工具:战术鞭。
2023-05-07 21:41:15 +08:00
回复了 slomo 创建的主题 Linux 我该用哪个 Linux 发行版
@zhaoyy0513 我也推荐 Linux Mint ,我前段时间虚拟机体验了下,感觉很不错。Windows 无痛迁移。
2023-05-07 21:38:30 +08:00
回复了 sfdev 创建的主题 Linux 时隔多年再次体验 Linux 桌面系统
我前段时间玩了玩 Linux Mint ,,感觉也挺不错的。Linux 桌面越来越好了。
2023-05-07 21:24:11 +08:00
回复了 Befehishaber 创建的主题 Java 最近想搭一个服务器 大佬们来指导下安全问题
@onice
问:
1 、改 ssh 端口 2 、禁止 root 远程登录 3 、禁止除 xxx 用户的一切用户 su 4 、禁用密码使用密钥 5 、上 fail2ban 6 、使用 nginx 代理 7 、除 ssh 和服务端口其他端口全部关闭 8 、vm 自动快照

在做好上述步骤后 还会存在侵入和数据丢失风险吗

答:
1. 改了 ssh 端口没用,使用端口扫描器依旧能找到你设置的新端口
2. 禁止 root 远程登录。可以防御部分攻击,例如大部分僵尸木马,都是暴力破解 root 口令控制服务器,做到这点可防止这类木马。
3. 禁止除 xxx 用户的一切用户。可以提升攻击者的攻击门槛,但作为一个合格的攻击者,还有其他方法在系统中添加新用户。
4. 禁用密码使用密钥。可以防御针对 ssh 服务的暴力破解。但无法防御钓鱼和社会工程学。例如攻击者通过网站找到你,告诉你网站有问题,给你发包含木马的文档,如果你中招了,可以窃取你的私钥。
5. 上 fail2ban 。可以限制同一个 IP 的访问频率,从而防止 CC 攻击,但攻击者可能会使用分布式的 DDos ,这样就防不住了。
6 、使用 nginx 代理。这一步没啥意义。如果 web 应用出现问题,无论你用的是 httpd(apache),tomcat ,还是 iis ,都防不住。
7. 除 ssh 和服务端口其他端口全部关闭。这个能提高攻击门槛吧。攻击者不会只从端口上找漏洞。
8. vm 自动快照。这个是可以保证数据完整性,但无法保证安全性。
2023-05-07 21:13:57 +08:00
回复了 Befehishaber 创建的主题 Java 最近想搭一个服务器 大佬们来指导下安全问题
对于大多数场景的安全加固,从三个方面入手。分别是:

1. 项目安全。如果是自己开发的项目,专业点的可以找人进行代码审计,次一点是也要找渗透测试人员进行漏洞挖掘。如果是自己干,最起码要通过漏洞扫描器的测试。例如 awvs 。如果这一步检测出安全问题,可以修改代码进行修复。如果是使用的开源项目,要确保项目不存在公开漏洞。例如很多网站都是用 php 开发的,但开发 php 项目的框架 thinkphp5 存在漏洞。因此,如果你部署的项目使用这个版本的框架开发的,就容易受到攻击。当然,自己开发的项目,也要避免使用存在漏洞的库。不过一般知名的 web 漏洞扫描器都能检测出来这些安全问题。

2. 系统安全。大多数时候,就操作系统层面来说,系统默认配置就足够安全了。你只需要保持操作系统打上最新的补丁就行了。当然,对于弱口令这类问题,服务器操作系统基本上都有密码复杂度检测,密码简单了无法设置密码的。当然,你关了这个检查,强行设定的简单的密码,就没办法了。

3. 应用安全。大多数时候,操作系统本身是很安全的。但是操作系统上安装的应用却不一定安全。例如 Linux 操作系统上的 ssh 应用,你使用了弱口令,攻击者可以通过暴力破解攻进来。或则是你安装了 redis ,没有设置密码,而默认配置是没有密码的,攻击者可以通过控制 redis 进而控制服务器。还有你使用了其他低版本含有漏洞的软件。例如之前比较火的心脏滴血漏洞。这一步往往是最难的,因为一个系统的软件包那么多,我们无法知道哪些软件包存在问题。不过,你可以使用 nessus 扫描器,来找出哪些软件存在问题。对于存在问题的软件包,只需要升级到最新的版本即可。
2023-05-07 20:47:33 +08:00
回复了 tohert 创建的主题 服务器 window 云服务器如何防止被黑被勒索
网络空间中存在大量扫描器。你改了端口为非默认端口,也会收到扫描的流量,所以你能看到日志。这是正常的,不必紧张,为了防御暴力破解,设置一个强密码即可。

应用是 C#开发的,服务器系统是 Windows ,Web 中间件是 IIS ,数据库是 sqlserver 。根据这些条件,可以采用最小权限原则对系统和应用进行加固。

1. 确保 C#开发的系统没有漏洞。如果你是开发的 web 应用,要确保没有 SQL 注入,上传漏洞等。大公司做这块,会找代码审计人员进行审计,或者是找渗透测试人员进行漏洞挖掘。这一点,如果自己来做安全的话,可以通过 awvs 进行扫描,百度上有 crarck 。这一步,是保障部署的应用安全。

2. Windows 系统,一定要确保开启自动更新。部署应用前,应当先打上所有补丁。这一步是保障操作系统的安全。

3. 对于 IIS 中间件,要进行安全加固,关闭不必要的组件,采用最小化组件原则,即开发的应用用到什么就开什么,不要图方面把所有组件全部打开。这一步,核对安全基线进行加固即可。
参考文档: https://download.wanglejie.com/CyberSecurity/目录下的 IIS 服务器安全配置基线文档。

4. sqlserver 数据库,需要做两件事,一是检查数据库服务的权限,运行数据库进程的账户必须是普通用户,就是打开系统的服务管理,确保数据库的服务不是以管理员或 system 用户启动。第二个就是数据库必须是强口令,以及网站配置文件中的数据库连接用户不能用 sa ,应该用普通用户,且该用户只对 web 应用用到的数据库有访问权限。例如我部署网站创建了一个 app 数据库,那么我需要建立一个普通用户并设置复杂的密码,让这个普通用户的权限只能操作 app 这个库。然后网站的配置文件中,使用这个普通用户。

以上便是针对你实际情况的安全方案。
2023-05-06 22:05:21 +08:00
回复了 wellwellwell 创建的主题 程序员 有什么 Anki 卡片集可以方便进行单句练习?
我目前在用带歌词的新概念课文音频。用 potplayer ,打开字幕浏览器,一行一行的回车,就能逐句朗读。如果是英语电影,也可以这么来。这个是免费的,资源要自己找。

如果愿意花钱,可以试试: https://dict.eudic.net/ting

氪金后,大部分资源搜索就能找到,找不到也可以自己传。上传后,AI 会自动生成整句音频。

打开听力资源,选择隐藏文字,点一句播放一句。而且氪金这个方法,跨平台。PC ,移动端通杀。
2023-05-06 21:52:41 +08:00
回复了 meisen 创建的主题 健康 减肥真的太痛苦了,特别是晚上,饿的能吃一头牛 🐂
一看这个饮食方案就不健康。试试轻断食这个方法吧,我曾经用过,挺好使的。
上一份工作在给公安客户提供攻防技术支持,和经侦的民警接触过。他们说只要你一转账,,钱就立马在东南亚赌场走一遍了,早就被洗出来了,大概率追不回来了。即使是抓住诈骗集团,钱也要不回来,不过如果成员被逮捕,会坐牢。
2017 年,我实习的时候,就是用的 Jquery 。当时是用的: https://jqueryui.com/
2023-04-29 15:50:38 +08:00
回复了 ALLROBOT 创建的主题 程序员 为啥公网环境这么恶劣?一放开端口必中病毒
你言重了,一开放端口就中病毒。实际上并不是这样,中病毒的都是不懂安全的人。比如安装 redis ,保持默认配置不设置密码,又开放 9379 端口到公网上。攻击者可以直接访问你的 redis ,覆盖你的 ssh key 直接控制你的服务器,或者是直接反弹 shell 控制你服务器。

你说,这种情况,你不中毒谁中毒呢?

你去自驾游,然后停车不关车门,东西被偷了,反而抱怨环境恶劣,需要整顿。问题是大家都关车门,谁叫你不关车门呢。
2023-04-26 15:31:25 +08:00
回复了 Pil0tXia 创建的主题 程序员 24 届实习,求问联想 Java 开发和奇安信 Go 开发选哪个?
奇安信是安全厂商,主要业务是政企安全。安全这块,大部分公司不重视,除非出了安全事故。奇安信的大部分客户都是国企央企和政府单位,有点吃国家饭和政策饭的意思。

我是奇安信的安服,上个月刚被裁,所以奇安信并不养老,但福利还是不错,公积金给 12%。

鹰图那个平台,竞争对手也蛮多的。比如 FOFA ,Zoomeye ,360Quake ,shodan 等等。

我个人的建议是,既然是实习,肯定是以学技术为主。你可以和负责人聊聊,哪里能学到东西去哪里。如果特别看重能否转正,就去能转正的地方。
2023-04-24 11:50:40 +08:00
回复了 oColtono 创建的主题 程序员 一个老套的问题:大龄社畜转码。
现在行情很不好,大把三五年经验的人找不到工作。

况且你还不是计算机专业,又没有工作经验。

既然害怕 996 ,就建议不要入开发行业。大多数软件软件公司都加班,很辛苦。

其他城市我不清楚,但我 19-20 年在成都做开发,换了三家公司,都加班。

这也是导致我转网络安全行业的导火索。

强行入行也可以,但建议要做好心理准备,会很难。
2023-04-23 16:38:50 +08:00
回复了 nyxsonsleep 创建的主题 程序员 求教网络安全相关。
@onice 还有一个重要的事忘了说:测试前先备份下网站数据。以防万一。
1 ... 7  8  9  10  11  12  13  14  15  16 ... 59  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5480 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 40ms · UTC 07:22 · PVG 15:22 · LAX 23:22 · JFK 02:22
Developed with CodeLauncher
♥ Do have faith in what you're doing.