- 博客(15)
- 资源 (5)
- 收藏
- 关注
RSS订阅原创 Docker 守护进程配置之设置容器的默认空间大小
描述在某些情况下,可能需要大于 10G 的容器空间,需要仔细选择空间的大小。安全出发点守护进程重启时可以增加容器空间的大小。用户可以通过设置默认容器空间值来进行扩大,但不允许缩小。设立该值的时候需要谨慎,防止设置不当导致主机资源耗尽的情况。审计方法ps -ef | grep dockerd结果判定不应显示任何 --storage-opt dm.basesize 参数。修复...
2019-11-28 11:38:27
1019
原创 Docker 守护进程配置之使用默认的 cgroup
描述查看 --cgroup-parent 选项允许设置用于所有容器的默认 cgroup parent。建议如果没有特定用例,则应该保留默认值。安全出发点系统管理员可定义容器运行的 cgroup。若系统管理员没有明确定义 cgroup,容器也会在 docker cgroup 下运行。应该监测和确认 cgroup 的使用情况。通过加到与默认不同的 cgroup,导致不合理地共享资源,从而可能...
2019-11-27 20:36:49
1383
原创 Docker 守护进程配置之启用用户命名空间
描述在 Docker 守护进程中启用用户命名空间支持,可对用户进行重新映射。该建议对镜像中没有指定用户是有帮助的。如果在容器镜像中已经定义了非 ' root ' 运行,可以跳过此建议,因为该功能比较新,可能会带来不可预测的问题。安全出发点Docker 守护进程中对 Linux 内核用户命名空间支持为 Docker 主机系统提供了额外的安全性。它允许容器具有独特的用户和组 ID。这些用户...
2019-11-26 19:45:18
533
原创 Docker 守护进程配置之配置合适的 ulimit
描述需要根据环境设置默认的 ulimit 选项。安全出发点ulimit 提供对 shell 可用资源的控制。设置系统资源控制可以防止资源耗尽带来的问题,如 fork 炸弹。有时候合法的用户和进程也可能过度使用系统资源,导致系统资源耗尽。为 Docker 守护进程设置默认的 ulimit 将强制执行所有容器的 ulimit。不需要单独为每个容器设置 ulimit。但默认的 ulimit ...
2019-11-26 09:46:46
2472
2
原创 Docker 守护进程配置之 TLS 身份认证
描述可以让 Docker 守护进程监听特定的 IP 和端口以及除了默认的 Unix 套接字以外的任何其他 Unix 套接字。配置 TLS 身份验证以限制通过 IP 和端口访问 Docker 守护进程。安全出发点默认情况下,Docker 守护进程绑定到非联网的 Unix 套接字,并以 'root' 权限运行。如果将默认的 Docker 守护进程更改为绑定到 TCP端口或任何其他的 Uni...
2019-11-25 18:04:24
878
原创 Docker 守护进程配置之不使用 aufs 存储驱动程序
描述不要使用 'aufs' 作为 Docker 实例的存储驱动。安全出发点'aufs' 存储驱动程序是较旧的存储驱动程序。它是基于 Linux 内核的补丁集,不太可能合并到主要的 Linux 内核中。'aufs' 在 Docker 中只是保留了历史遗留支持的,现在主要是使用 'overlay2' 和 'devicemapper' 。而且最重要的是,在许多的使用最新的 Linux 内核的...
2019-11-24 15:19:20
233
原创 Docker 守护进程配置之允许 Docker 更改 Iptables
描述Iptables 用于建立、维护和检查 Linux 内核中得 IP 包过滤规则表。建议允许 Docker 守护程序自动更改 Iptables 规则。安全出发点如果允许 Docker 守护进程更改 Iptables 的话,Docker 会根据用户为容器选择网络选项的方式自动对 Iptables 进行必要的更改。建议让 Docker 服务自动更改 Iptables,这样就可以避免可能妨...
2019-11-24 14:45:33
2455
1
原创 区块链中的共识算法
区块链中的一个核心概念是去中心化,在区块链中没有和传统数据库系统一样的中心数据库,每个节点都是对等的,这样就需要一套算法和机制来保证所有对等节点之间可以有效协作。这套算法和方式称为共识机制。共识机制的存在可以有效保证各个节点之间按照既定的原则共同维护账本。共识机制本质上是区块链系统中实现不同节点之间建立信任、获取权益的数学算法。共识算法在区块链技术出现之前就已经存在,最早出现在分布式...
2019-11-22 16:26:51
1430
6
原创 POW-工作量证明机制
工作量证明(Proof Of Work,POW),简单理解就是一份证明,用来确认你做过一定量的工作。检测工作的整个过程通常是极为低效的,而通过对工作的结果进行认证来证明完成了相应的工作量,则是一种非常高效的方式。比如现实生活中的毕业证、驾驶证等,也是通过检验结果的方式(通过相关的考试)所取得的证明。工作量证明系统主要特征是客户端需要做一定难度的工作得出一个结果,验证...
2019-11-22 16:25:06
840
原创 POS-股权证明机制
股权证明机制的基本概念是产生区块的难度应该与你在网络里所占的股权(所有权占比)成比例。简单来说POS就是一个根据你持有货币的量和时间给你发利息的一个制度。在POS模式下有一个名词叫币龄,每个币每天产生1币龄。比如你持有100个币,总共持有了30天,那么此时你的币龄就是3000。这个时候如果你发现了一个POS区块,你的币龄就会被清空为0。你没被清空365币龄,你将会从区块中获得0.05...
2019-11-22 16:18:52
359
原创 Docker 守护进程配置之限制默认网桥上容器之间的网络流量
描述默认情况下,默认网桥上同一主机上的容器之间允许所有网络通信。如果不需要,限制所有的容器间通信,将需要通信的特定容器链接在一起,或者创建自定义网络,并只加入需要与该自定义网络通信的容器。安全出发点默认情况下,默认网桥上同一主机上的所有容器之间启用不受限制的网络通信。因此,每个容器都有可能读取同一主机上容器网络上的所有包,这可能会导致意外和不必要的信息泄露给其他容器。因此,需要限制默认...
2019-11-22 11:20:35
1233
原创 github 合并某个分支上某次提交更改
使用 github 合并分支时,有时候我们仅仅需要合并自己修改的文件,简单的说就是合并另一个分支的某一次提交的更改。此时,我们就可以使用以下命令来进行在当前分支合并某个分支上的提交更改了。git cherry-pick commit-id此时,在当前分支上,就合并了在某分支上的 commit-id 的所有更改了。这里的某分支主要指的是 master 分支,因为 commit-id 所在的 ...
2019-11-22 09:44:56
1362
原创 主机安全配置之只有受信任的用户才能控制 Docker 守护进程
描述Docker 守护进程需要 'root' 权限。对于添加到 'docker' 组的用户被提供了拥有完整的 'root' 访问权限。安全出发点Docker 允许在 Docker 主机和访客容器之间共享目录,而不会限制容器的访问权限。这意味着可以启动容器并将主机上的 / 目录映射到容器。容器能够不受任何限制地更改主机文件系统。简而言之,这意味着只需作为 'docker' 组的成员即可获得较...
2019-11-21 18:49:54
335
原创 主机安全配置之为容器创建一个单独分区
描述所有 Docker 容器及其数据和元数据都存储在 /var/lib/docker 目录下。默认情况下,/var/lib/docker 目录将根据可用性挂载在 / 或者 /var 分区下。安全出发点Docker 依赖于 /var/lib/docker 作为默认目录,其存储所有 Docker 相关文件,包括镜像文件等。该目录下可能会被恶意写满,导致 Docker、甚至主机可能无法使用。因此...
2019-11-21 18:09:13
562
原创 PBFT-拜占庭共识算法
PBFT算法是根据拜占庭问题演变而来的拜占庭共识算法。在拜占庭问题被提出后一直有各种共识算法来解决拜占庭问题,但是无论从执行流程的复杂度还是算法效率来说,PBFT是目前公认效率最好的算法。该算法是Miguel Castro(卡斯特罗)和Barbara Liskov(利斯科夫)在1999年提出来的。PBFT算法有效地解决了原始拜占庭容错算法效率不高的问题,该算法复杂度由指数级降低到多项...
2019-11-21 17:42:12
550
基于JAVA语言开发失物招领系统的设计和实现
2018-07-12
基于go语言开发的2048游戏
2018-07-10
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人