安全

Docker 的镜像并不安全！

最近使用Docker下载官方容器镜像的时候，我发现这样一句话： ubuntu:14.04: The image you are pulling has been verified （您所拉取的镜像已经经过验证） 起初我以为这条信息引自Docker大力推广的镜像签名系统，因此也就没有继续跟进。后来，研究加密摘要系统的时候Docker用这套系统来对镜像进行安全加固我才有机会更深入的发现，逻辑上整个与镜像安全相关的部分具有一系列系统性问题。 Docker所报告的，一个已下载的镜像经过验证，它基于的仅仅是一个标记清单（signed manifest)，而Docker却从未据此清单对镜像的校验和进行验证。一

红帽反驳：“grinch（鬼精灵）”算不上Linux漏洞

图片来源：Natalia Wilson，受Creative Commons许可 安全专家表示，Linux处理权限的方式仍有可能导致潜在的误操作。 但红帽对此不以为然，称 Alert Logic 于本周二（译者注：12月16日）公布的 grinch (鬼精灵) Linux漏洞根本算不上是安全漏洞。 红帽于周三发表简报 回应Alert Logic 说法，表示：（Alert Logic的）这份报告错误地将正常预期动作归为安全问题。 安全公司Alert Logic于本周二声称鬼精灵漏洞其严重性堪比 Heartbleed 臭虫，并称其是 Linux 系统处理用户权限时的重大设计缺陷，恶意攻击者可借此获取机器的root权限。 Alert L

PHP-RSA加密跨域通讯实战

基于POST GET 的http通讯虽然非常成熟，但是很容易被人监听。 并且如果使用跨域jsonp的通讯很容易在历史记录中发现通讯网址以及参数。为了克服这些问题， 并且降低服务器成本，我们没有使用SSL而使用 RSA加密。文章中的php加密解密 JS的加密解密 互相加密解密 都能验证通过。

恰当地管理开源，让软件更加安全

越来越多的公司意识到，要想比对手率先开发出高质量具有创造性的软件，关键在于积极使用开源项目。软件版本更迭要求市场推广速度足够快，成本足够低，而仅仅使用商业源代码已经无法满足这些需求了。如果不能选择最合适的开源软件集成到自己的项目里，一些令人称道的点子怕是永无出头之日了。 然而，使用开源软件也要面对新的挑战。一方面，你的团队从开源软件中汲取力量变得更快更灵活，另一方面，开源代码在传播过程中是否经历了不可控修改、安全性该如何保障的问题也日益凸显了出来。 OpenSSL Heartbleed 漏洞已经证实。如果你不了解你

Canonical解决了一个Ubuntu 14.04 LTS中的nginx漏洞

用户应该更新他们的系统来修复这个漏洞！ Canonical已经在安全公告中公布了这个影响到Ubuntu 14.04 LTS (Trusty Tahr)的nginx漏洞的细节。这个问题已经被确定并被修复了 Ubuntu的开发者已经修复了nginx的一个小漏洞。他们解释nginx可能已经被利用来暴露网络上的敏感信息。 根据安全公告，Antoine Delignat-Lavaud和Karthikeyan Bhargavan发现nginx错误地重复使用了缓存的SSL会话。攻击者可能利用此问题，在特定的配置下，可以从不同的虚拟主机获得信息。 对于这些问题的更详细的描述，可以看到Canonical的安全公告。用户应该升级自己的L

保护你的Linux系统的九个老生常谈

在现在这个世道中，保障基于Linux的系统的安全是十分重要的。但是，你得知道怎么干。一个简单反恶意程序软件是远远不够的，你需要采取其它措施来协同工作。那么试试下面这些手段吧。 1. 使用SELinux SELinux是用来对Linux进行安全加固的，有了它，用户和管理员们就可以对访问控制进行更多控制。SELinux为访问控制添加了更细的颗粒度控制。与仅可以指定谁可以读、写或执行一个文件的权限不同的是，SELinux可以让你指定谁可以删除链接、只能追加、移动一个文件之类的更多控制。（LCTT译注：虽然NSA也给SELinux贡献过很多代码，但是目前尚无

Linux 安全新闻: Linux 3.13、SystemRescueCD 4和BackBox 3.13

Linux 3.13 Linus Torvalds 前一段时间释出了 Linux Kernel 3.13 作为2014年的开门红。按照惯例，此版本更新了大量驱动。 并且，Linux Kernel 3.13 包含了 nftable，这个软件是大名鼎鼎的 iptables 的继任者。从 …