网络安全
文章平均质量分 87
Dontla
Life is short, I use AI.
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
ssh-keygen命令介绍(密钥生成密钥、私钥生成私钥、公钥生成公钥、非对称加密、密钥指纹、密钥验证密钥、密钥测试密钥SSH生成)~/.ssh/authorized_keys、ssh-copy-id
ssh-keygen是 OpenSSH 提供的密钥生成工具,用于创建、管理和维护 SSH 密钥对。SSH 密钥是现代 Linux 运维、Git 仓库认证、服务器登录以及自动化部署中的基础设施之一。更高的安全性无需频繁输入密码支持自动化脚本执行可与 GitHub、GitLab 等代码托管平台集成支持数字签名和身份认证几乎所有基于 SSH 的认证体系,都离不开ssh-keygen。本地生成密钥→ 得到prod(私钥)和prod.pub(公钥)上传公钥→ 把prod.pub。原创 2026-07-01 21:33:37 · 327 阅读 · 0 评论 -
SSH known_hosts文件作用(防止中间人攻击MITM,记录已信任的服务器)
文件是 SSH 客户端的一个重要安全文件,主要用于服务器身份验证。以下是详细说明:内容格式示例每行包含:选择 后,服务器公钥指纹会被添加到 后续连接SSH 客户端自动验证服务器公钥如果匹配,正常连接如果不匹配,显示警告:🛡️ 安全意义保护场景网络劫持:攻击者试图伪装成目标服务器DNS 欺骗:域名被解析到恶意服务器IP 欺骗:攻击者使用相同 IP 地址风险提示不要随意删除:删除后需要重新验证所有服务器,增加被攻击风险谨慎处理警告:当出现主机密钥变更警告时:原创 2026-07-01 18:43:55 · 258 阅读 · 0 评论 -
SSH多身份管理介绍(多个SSH账号、Host别名、~/.ssh/config文件、SSH密钥、SSH身份)
多身份管理”指的是通过 SSH 配置文件()实现对多个 SSH 身份(如不同账号、不同密钥)的灵活管理核心问题当你需要在同一台电脑上使用多个 SSH 账号(例如:工作 GitHub 账号 + 个人 GitHub 账号)时,每个账号通常需要独立的 SSH 密钥对(公钥/私钥)。但默认情况下,SSH 只会使用默认密钥(),无法自动区分不同账号的密钥,导致冲突。解决方案:SSH 多身份管理通过配置文件,可以为不同的账号/场景定义独立的Host 别名HostName(目标服务器地址,如github.com。原创 2026-06-30 16:01:46 · 202 阅读 · 0 评论 -
Hetzner服务器购买和Cloudflare域名配置记录(hcloud CLI)
第一次建议你手动 Console 建机,我把部署脚本聚焦在「连上已有服务器后的配置」。这部分我会写进 server-setup.sh 自动化,但核心是:装 Docker、关 SSH 密码登录、装 fail2ban、配防火墙(ufw 或 Hetzner Cloud Firewall 放行 22/80/443)。等你服务器和 DNS 好了,我把脚本写出来你跑一遍即可。买好服务器、配好 DNS 后,把公网 IP 也发我,我就开始落地代码 + 部署脚本。都应返回你的 Hetzner IP(可能要等几分钟)。原创 2026-06-29 21:12:43 · 236 阅读 · 0 评论 -
Cloudflare域名购买记录(Cloudflare Registrar、DNSSEC、ICANN费用)
你的服务器在 Hetzner(海外),不需要 ICP 备案,流程很简单。推荐 Cloudflare Registrar(按成本价卖、不加价、自带免费 DNS)或 Porkbun(便宜 TLD多)。提到 Cloudflare,很多开发者首先想到的是 CDN、DDoS 防护、WAF 和 Zero Trust 等服务。事实上,Cloudflare 近年来也推出了自己的域名注册服务——Cloudflare Registrar。按成本价出售域名无隐藏加价自动启用域名安全保护。原创 2026-06-29 20:52:26 · 204 阅读 · 0 评论 -
nip.io介绍(把IP地址包装成域名的免费动态DNS服务)sslip.io、OAuth登录、Cookie Domain、HTTPS证书测试、访问集群访问、本地微服务开发
nip.io是一个基于通配符解析(Wildcard DNS)的免费 DNS 服务。它最大的特点是:只需要把 IP 地址写进域名中,就能自动解析到对应服务器,无需购买域名、无需配置 DNS 记录。注册域名配置 DNS等待 DNS 生效这也是 nip.io 在开发环境中非常受欢迎的原因。*.nip.ionip.io 本质上是:一个能够把域名中的 IP 自动转换成 DNS 解析结果的公共 DNS 服务。它最大的价值在于:用零成本、零配置的方式,让开发环境立即拥有真实域名体验。原创 2026-06-29 20:35:04 · 348 阅读 · 0 评论 -
DNS在线验证工具、在线查询、DNS地址查询、DNS验证、DNS查询、域名查询、域名检测、域名检查
ᅟᅠ ᅟᅠ ᅟᅠ ᅟᅠ ᅟᅠ ᅟᅠ ᅟᅠ ᅟᅠ ᅟᅠ ᅟᅠ ᅟᅠ ᅟᅠ ᅟᅠ ᅟᅠ ᅟᅠ ᅟᅠ ᅟᅠ ᅟᅠ ᅟᅠ ᅟᅠ ᅟᅠ ᅟᅠ原创 2026-06-29 17:24:31 · 81 阅读 · 0 评论 -
DNS域名系统介绍(将域名解析成IP地址)FQDN完整域名、完全限定域名、根域名APEX、TLD顶级域名、主域名、子域名、主机名(www)、DNS查询、递归DNS、权威DNS、TTL缓存、DNSSEC
DNS(Domain Name System)是一套分布式命名系统。它的核心作用只有一句话:将域名(Domain Name)解析成 IP 地址。↓访问淘宝:访问GitHub:访问Bilibili:几乎没人能记住。DNS 的出现让互联网拥有了友好的名称体系。可以把 DNS 理解成互联网的导航系统。原创 2026-06-29 05:16:05 · 413 阅读 · 0 评论 -
Cloudflare橙云Proxied反向代理(Orange Cloud)和灰云纯DNS解析(Grey Cloud)概念
Cloudflare 相当于一个普通 DNS 服务商。而是 Cloudflare 的 Anycast IP。这是使用 Cloudflare 时最重要的概念之一。Cloudflare 控制台会显示一个橙色的小云朵。你的服务器只接受来自 Cloudflare 的连接。这是很多人使用 Cloudflare 的核心原因。Cloudflare 仅负责回答 DNS 查询。是否经过 Cloudflare 的代理网络。流量不会经过 Cloudflare。Cloudflare 吸收攻击流量。你的真实 IP 被隐藏起来了。原创 2026-06-28 05:55:57 · 396 阅读 · 0 评论 -
Cloudflare DNS记录类型介绍(DNS Record)(AAAA、CNAME、MX、NS、CAA、SVCB、SRV、PTR、DNSKEY、TLSA、SSHFP、SMIMEA)DNS类型
Cloudflare 里的这些其实都是DNS Record(DNS 记录类型)。大部分人真正会用到的只有 5~6 种,其余很多属于专业场景,例如邮件、安全认证、VoIP、Kubernetes、PKI 等。我按照「常用程度」给你分类介绍。原创 2026-06-28 02:56:56 · 240 阅读 · 0 评论 -
WHOIS介绍(域名户口本,一种用于查询域名注册信息的协议和数据库系统)GDPR、ICANN Lookup
WHOIS(读作 “Who Is”)是一种用于查询域名注册信息的协议和数据库系统。简单来说:WHOIS 就是互联网的“域名户口本”。域名是谁注册的注册时间到期时间域名状态使用的 DNS域名注册商WHOIS 本质上是互联网的域名登记系统,用于记录域名所有权信息。过去 WHOIS 会公开显示注册人的姓名、电话和地址,因此产生大量隐私问题。随着 GDPR 等隐私法规实施,大多数注册商(包括 Cloudflare)已经默认隐藏这些信息。外界通常看不到你的真实资料;原创 2026-06-26 04:18:34 · 253 阅读 · 0 评论 -
域名赎回费介绍(Restore fee,域名恢复费)
当您注册域名时,注册商会提前告知您:如果域名过期且错过了正常的续费期限,想要重新获得这个域名,就需要支付额外的恢复费用(也称为赎回费用)。原创 2026-06-25 04:22:49 · 237 阅读 · 0 评论 -
Cloudflare域名后缀(顶级域名TLD:Top-Level Domain)区别与避坑指南(域名购买、ICANN)
很多人第一次买域名时只看价格,结果一年后续费翻倍、邮箱无法注册、SEO信誉差、某些国家无法访问,最后又重新买域名迁移。实际上,域名后缀(TLD,Top Level Domain)不仅仅是名字好不好看,还涉及品牌、信任度、SEO、邮箱、续费成本和长期运营风险。原创 2026-06-25 04:12:07 · 277 阅读 · 0 评论 -
caddy介绍(现代化Web服务器与反向代理,Nginx的现代化替代品)Round Robin轮询算法、Least Connections最少连接算法、Caddyfile
Caddy 是一个采用 Go 语言开发的开源 Web 服务器和反向代理软件,由 Matt Holt 创建。默认启用 HTTPS自动申请和续期 TLS 证书配置简单易读单二进制部署支持反向代理、负载均衡和静态网站托管官方网站将其定位为:一个自动 HTTPS 的现代化 Web 服务器。对于很多开发者而言,Caddy 可以看作是 Nginx 的现代化替代品。原创 2026-06-24 19:32:23 · 187 阅读 · 0 评论 -
Docker Overlay网络介绍(一种跨主机的虚拟网络技术,允许不同Docker宿主机上的容器像在同一局域网内一样通信)VXLAN隧道技术、重叠在宿主机自身的物理网络之上、Swarm集群专用
Overlay在 Docker 中指的是Overlay 网络,它是一种跨主机的虚拟网络技术。原创 2026-06-23 18:30:06 · 256 阅读 · 0 评论 -
Let‘s Encrypt介绍(免费、自动化、开放的SSL/TLS证书颁发机构CA,Certificate Authority)cert-manager
这是目前 Kubernetes 公网服务部署中最主流、最接近事实标准(de facto standard)的 HTTPS 方案。是一个免费的、自动化的、开放的 SSL/TLS 证书颁发机构(CA,Certificate Authority)。定义 cert-manager 如何向 Let’s Encrypt 申请和续期 HTTPS 证书。让网站能够使用 HTTPS 加密通信,而不用花钱购买证书。Kubernetes 最常见的自动证书管理方案。获得的证书就是正式 HTTPS 证书。全部自动获得 HTTPS。原创 2026-06-22 17:57:21 · 218 阅读 · 0 评论 -
TLS终止(TLS Termination)介绍(某个网络组件负责解密HTTPS,然后把明文流量继续转发到后端服务)HTTPS终止、负载均衡器负责处理TLS终止、TLS透传、TLS二次加密
TLS(Transport Layer Security)是一种:用于保护网络通信安全的加密协议它是 HTTPS 的核心。HTTP + TLS数据加密防止窃听防止中间人攻击身份认证数据完整性校验TLS Termination 的本质是:某个网络组件负责“解密 HTTPS”,然后把明文流量继续转发到后端服务。客户端│HTTPS(TLS)│负载均衡器 / Ingress / API Gateway│HTTP(明文)│后端服务TLS 在负载均衡器处结束。原创 2026-05-10 04:09:39 · 443 阅读 · 0 评论 -
OpenSSL文件加密与解密
首先,选择适当的加密算法。OpenSSL是一个强大的安全套接字层密码库,包括主要的加密算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其他目的使用。总的来说,OpenSSL提供了一套完整的工具集,可以用来对文件进行加密和解密。:在加密和解密过程中,可能会遇到各种错误,例如密码错误、密钥文件不存在等。在深入讨论如何使用OpenSSL进行文件加密和解密之前,首先需要理解一些基本的加密和解密概念。以上三条命令分别生成了一对RSA密钥,然后使用公钥加密输入的消息,并将加密的内容保存到。原创 2026-05-10 03:45:13 · 494 阅读 · 0 评论 -
CVE(Common Vulnerabilities and Exposures 通用漏洞披露)介绍(给每个已公开安全漏洞分配一个唯一编号)MITRE公司、CNA、CVE-年份-编号、CVSS评分
中文通常称为“通用漏洞披露”。CVE 是给每一个已公开的安全漏洞分配一个唯一编号的标准体系。你可以把它理解为:👉漏洞的“身份证号”CVE-2021-44228(著名的 Log4Shell 漏洞)CVE-2024-3094(xz 后门事件)这些编号背后,代表的是一个具体、可复现、被公开披露的安全问题。CVE 是漏洞的统一编号体系,是现代软件安全自动化的基础。CVE = “发现问题”CVSS = “评估风险”Pipeline 策略 = “决定是否发布”原创 2026-04-18 03:36:39 · 623 阅读 · 0 评论 -
入站流量(Ingress)与出站流量(Egress)介绍(网络流量数据流动的方向)Ingress Rule(入站规则)、Egress Rule(出站规则)
从本质上讲,这两个词描述的是数据流动的方向。维度Ingress(入站)Egress(出站)流量方向外 → 内内 → 外常见费用通常免费通常收费安全关注防攻击防数据泄露控制重点谁能进来能访问哪里Ingress = 流量进入系统,Egress = 流量离开系统,本质是“从谁的视角看数据流动”。原创 2026-04-17 17:12:35 · 493 阅读 · 0 评论 -
VPC(Virtual Private Cloud虚拟私有云)介绍(内部网络隔离、逻辑私有网络、子网隔离Subnet、公有子网、私有子网、路由表控制、安全组)
用户自定义 IP 地址段(CIDR)子网划分能力路由控制安全控制(类似防火墙)“你在云上的一个独立数据中心网络”→ 无隔离,风险极高通过“分区 + 控制通信路径”,降低攻击面和错误影响范围子网划分(Subnet)路由控制(Route Table)安全组(Security Group)网络 ACL私有连接微隔离。原创 2026-04-17 16:00:39 · 599 阅读 · 0 评论 -
基于角色的访问控制(RBAC)介绍(Role-Based Access Control)(通过角色来管理用户权限的访问控制模型)角色继承、角色层级、职责分离SoD、互斥角色、ACL、ABAC
RBAC(Role-Based Access Control)是一种通过“角色”来管理用户权限的访问控制模型。用户不直接绑定权限,而是通过角色间接获得权限解耦用户与权限提升系统可维护性支持复杂组织结构RBAC = 用户 → 角色 → 权限 → 资源。原创 2026-04-15 01:59:54 · 448 阅读 · 0 评论 -
Anycast(任播)网络介绍(一种网络寻址和路由机制,多个节点共享同一个IP,请求路由到最近节点)BGP:Border Gateway Protocol、GeoDNS
Anycast多个节点共享同一个 IP 地址,请求会被路由到“最近”的节点。这里的“最近”不是物理距离,而是基于网络拓扑(通常由 BGP 路由协议决定的最优路径)。🌍全球就近访问🔁自动故障切换🛡️天然抗 DDoS⚡低延迟高性能会话问题路由不可控调试复杂Anycast + 无状态架构 + 应用层调度(DNS / L7)结合使用。原创 2026-04-15 00:06:02 · 3390 阅读 · 0 评论 -
DoS(拒绝服务攻击) Denial of Service Attack介绍(通过消耗目标系统资源,使合法用户无法正常访问服务)流量型攻击Volume-based协议攻击Protocol Attack
DoS(拒绝服务攻击)是一种通过消耗目标系统资源,使合法用户无法正常访问服务的攻击方式。👉 简单理解就是:攻击者不是“入侵系统”,而是“把系统挤爆”。用资源消耗击垮服务可用性核心:资源耗尽类型:流量型 / 协议型 / 应用层升级版:DDoS(分布式)防御:多层次 + 架构设计。原创 2026-04-14 22:51:05 · 482 阅读 · 0 评论 -
JWKS(JSON Web Key Set)介绍(为JWT 验证提供“动态可发现”的公钥集合)公钥分发、kid:Key ID密钥标识符、密钥轮换Key Rotation
是一个标准格式(JSON),用于表示一组公钥。"keys": [JWT 公钥的“动态配置中心”✅ 解耦认证系统与业务系统✅ 支持多 key + kid 精确匹配✅ 实现无缝密钥轮换✅ 提供标准化、自动化的公钥分发机制。原创 2026-04-14 17:46:37 · 616 阅读 · 0 评论 -
JWT认证流程(JSON Web Token)
将状态从服务端转移到客户端,通过数字签名保证不可伪造。它非常适合无状态 API、微服务架构和移动端应用。理解了登录颁发、请求验证、Token 刷新这三个阶段,就掌握了 JWT 认证的完整闭环。原创 2026-04-14 16:22:58 · 779 阅读 · 0 评论 -
IdP(Identity Provider身份提供者)介绍(托管IdP:Managed IdP)(单点登录SSO、OAuth2.0、OIDC、SAML)
IdP(身份提供者)是一个负责用户身份认证的系统。简单来说,它的职责是:👉 确认“你是谁”,并向其他系统证明这一点托管 IdP是指由第三方服务商提供的、开箱即用的身份认证服务。👉 你无需自己搭建认证系统,而是“外包”给专业平台👉 自建 IdP:灵活但复杂👉 托管 IdP:简单但有依赖IdP 是现代应用安全体系的核心组件,而托管 IdP 是工程效率与安全性的最佳平衡点。你可以这样理解:👉 IdP = “身份认证大脑”👉 托管 IdP = “外包的安全专家团队”SaaS 产品。原创 2026-04-12 13:10:34 · 583 阅读 · 0 评论 -
Redacted介绍(脱敏 / 涂黑 / 删改后公开,指对外展示或记录信息时,把敏感内容隐藏或替换,只保留必要信息用于排查问题、审计或协作沟通)敏感信息、马赛克
Redacted通常译作“脱敏 / 涂黑 / 删改后公开”。它指的是:在对外展示或记录信息(日志、报表、截图、文档、对话记录、API 返回等)时,把敏感内容隐藏或替换,只保留必要信息用于排查问题、审计或协作沟通。你最常见的体验是:合同/判决书里某些段落被黑条遮住;系统日志里 token 被打印成。原创 2026-03-18 18:06:53 · 390 阅读 · 0 评论 -
CA证书到底是怎么签发的?(CA签名、CA数字签名、CA数字证书、TLS Certificate、Certificate Authority、根证书、Root CA、中级 CA、网站签名、加密签名)
网站生成密钥↓向 CA 申请证书↓CA 验证域名并签名↓浏览器验证 CA 签名签发证书的 CA。原创 2026-03-02 16:32:27 · 923 阅读 · 0 评论 -
Https到底为什么能在一定程度保证安全?(内容加密、防止篡改(数据完整性)、身份认证(网站认证))中间人攻击、Man-in-the-middle attack
我用小白容易理解的方式解释一下 👇HTTPS 其实就是普通网页协议 HTTP 加了一层安全保护:可以理解为:2️⃣ HTTPS 解决的三个核心安全问题① 防止被偷看(加密)HTTPS 会使用 加密算法把数据变成乱码。例如:即使黑客截获了数据,也看不懂。常见用到的是:HTTPS 会给数据加一个 校验值(类似指纹)。如果数据在传输中被修改:服务器就会发现不一致,连接会被中断。HTTPS 网站必须有 数字证书,由可信机构签发,例如:浏览器会验证:如果不合法,浏览器会出现:3️⃣ HTTPS 实际原创 2026-03-02 16:07:00 · 1055 阅读 · 0 评论 -
SameSite=Lax属性(前端Set-Cookie属性)(跨站链接跳转保留登录态、防御跨站请求POST CSRF、防御跨站请求资源CSRF)子资源请求、安全铁三角HttpOnly&Secure
SameSite=Lax 不是妥协,而是经过深思熟虑的工程智慧。真正的安全,是让用户毫无感知地被保护,而非在每次点击时感到“被审查”。sameSite: 'Lax' // 给用户一个流畅的体验,给自己一份安心的保障延伸阅读。原创 2026-02-05 17:32:20 · 1188 阅读 · 0 评论 -
CSRF(Cross-site Request Forgery)跨站请求伪造攻击(浏览器自动携带同源Cookie机制)与XSS攻击区别、现代网站安全模板、sameSite、Referer校验
CSRF攻击利用的是“信任链”的断裂——我们信任用户浏览器,却未验证操作意图。真正的安全 = 技术防御(SameSite+Token) + 架构设计(无状态API) + 安全意识。🌐延伸思考随着SPA和Token-Based认证普及,CSRF风险在降低,但传统Cookie Session架构仍广泛存在。理解CSRF,不仅是防御攻击,更是培养“最小信任原则”的安全思维。原创 2026-02-05 16:26:59 · 999 阅读 · 0 评论 -
HttpOnly Cookie安全属性介绍(与LocalStorage Cookie、普通Cookie区别)防止XSS攻击、Set-Cookie、安全三件套:防XSS窃取+防明文传输+防CSRF
HttpOnly 是 Cookie 的一个安全属性,由服务器在Set-CookieHttpOnly;Secure;核心特性✅ 浏览器自动随同域请求携带(用于服务端验证身份)❌JavaScript 无法通过读取或修改🛡️ 有效阻断 XSS 攻击窃取敏感 Cookie(如 Session ID)💡 本质:将 Cookie 的“访问权”与“传输权”分离——前端无需知晓内容,但请求时自动附带。HttpOnly Cookie 不是炫技的黑科技,而是历经安全实践检验的基础防线。原创 2026-02-05 15:53:23 · 1348 阅读 · 0 评论 -
Access token(访问令牌:以JWT格式无状态存储)和Refresh token(刷新令牌:有状态存储于Redis/DB)区别与联系、Redis黑名单
Access Token 和 Refresh Token 是现代身份认证和授权机制中的核心组件,主要用于在保障安全性的同时提升用户体验。的存储策略需根据其生命周期、安全性和性能需求进行区分。在 OAuth2 认证体系中,原创 2025-08-28 17:58:53 · 1964 阅读 · 0 评论 -
OAuth2(授权框架:Authorization Framework)与Bearer Token(认证机制:Authentication Mechanism)的区别与联系
OAuth2 和 Bearer Token 是两种密切相关的认证机制,但它们的定位和功能有所不同。原创 2025-08-28 17:40:51 · 1129 阅读 · 0 评论 -
Token传输方式一览:请求头传递Header(Bearer Token、OAuth2.0、OpenID Connect)、URL参数传递、HttpOnly Cookie传输、请求体传递
安全建议。原创 2025-08-28 14:03:44 · 1242 阅读 · 0 评论 -
有状态认证(Stateful Authentication)(Cookie)和无状态认证(Stateless Authentication)(JWT:JSON Web Token)登录状态
有状态认证中,原创 2025-08-25 22:00:29 · 1295 阅读 · 0 评论 -
JWT用户认证后微服务间如何认证?(双向TLS(mTLS)、API网关、Refresh Token刷新Token)建议微服务间不要传递用户认证Token
在微服务架构中,用户通过账号密码获取 JWT 后,微服务之间的调用方式和认证机制需要根据业务场景和安全需求进行设计。通过合理设计认证流程,可以在保证安全性的同时,实现微服务架构的灵活性和可扩展性。服务间通信需要确保调用方的身份合法性,但。微服务无需依赖认证服务,减少耦合。,而是服务本身的身份验证。无状态,适合分布式系统。原创 2025-08-25 21:56:31 · 1375 阅读 · 0 评论 -
零信任架构(Zero Trust Architecture, ZTA)(通过动态验证和最小权限控制,实现对所有访问请求的严格授权和持续监控)
持续监控与更新身份与设备验证零信任架构代表了网络安全的未来方向,其核心在于通过持续验证和动态控制,构建一个更安全、更灵活的防护体系。对于企业而言,零信任不仅是技术升级,更是安全文化和管理流程的全面变革。原创 2025-08-14 18:39:53 · 1797 阅读 · 0 评论 -
单点登录SSO(Single Sign-On)(一种身份认证机制,允许用户通过一次登录操作,访问多个相互信任的应用系统或服务)CAS、SAML、OAuth2.0、OIDC、LDAP、TGT、ST
SSO 是现代企业数字化转型的重要工具,通过统一身份管理提升效率与安全性。选择适合的 SSO 协议(如 CAS、SAML、OAuth2.0)需根据业务场景和技术栈综合评估。尽管存在单点故障等挑战,但通过合理的架构设计和安全措施,SSO 可显著优化用户体验并降低运维成本。原创 2025-08-13 21:19:08 · 1100 阅读 · 0 评论
分享