RBAC介绍(权限)
RBAC(Role-Based Access Control)基于角色的访问控制。权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。
核心三元组
Who:权限的拥有者或主体(User,Role)
What:操作或对象(Operation,Object)
How:具体的权限(Privilege,正向授权与负向授权)
四种模型
RBAC0:RBAC 的核心思想,最基础
RBAC1:在 RBAC0 基础上增加了角色分层模型
RBAC2:在 RBAC0 基础上增加了约束模型(如互斥角色)
RBAC3:RBAC1 + RBAC2,即完整模型
表设计典型的 RBAC 表结构:
用户表(user):用户基本信息
角色表(role):角色信息
权限表(permission):权限信息
用户角色关联表(user_role):用户与角色的多对多关系
角色权限关联表(role_permission):角色与权限的多对多关系
业务结合在实际权限系统中,完全遵循 RBAC 模型很难,因为业务差异化考量会导致系统无法扩展。
设计建议:RBAC 是一种模型和思想,不是要完全参照,而是在这 ...
在 Harbor 上使用 Cosign 给 Docker 镜像签名
本文介绍如何在 Harbor 私有仓库中使用 Cosign 对 Docker 镜像进行数字签名,并提供离线验证方法,确保交付镜像的完整性和来源可信。
1. 背景
为什么签名?
确保客户拿到的镜像和发布镜像一致,避免中间篡改。
提升交付安全性,满足安全或合规要求。
客户可以在部署前自动验证镜像真实性。
Cosign 特点
开源,操作简单。
签名存储在 OCI 兼容仓库(如 Harbor)中。
支持离线签名,不依赖公有 Rekor 服务。
2. 安装 Cosign在 Linux 上执行:
123curl -sSL https://github.com/sigstore/cosign/releases/latest/download/cosign-linux-amd64 -o cosignsudo mv cosign /binsudo chmod +x /bin/cosign
生成签名密钥对:
1cosign generate-key-pair
cosign.key:私钥,用于签名,需妥善保管
cosign.pub:公钥,用于验证,提供给客户
3. 构建并推送镜像 ...
使用 OpenSCAP 和 SCAP Security Guide 加固 Ubuntu 24.04.2
使用 OpenSCAP 和 SCAP Security Guide 加固 Ubuntu 24.04.2
参考原文:*使用 OpenSCAP 和 SCAP Security Guide 加固Ubuntu 24.04.2 (Noble Numbat)*
TL;DR(最短路径)
安装工具:12sudo apt update && sudo apt install -y libopenscap8oscap --version # 确认安装(例:OpenSCAP command line tool (oscap) 1.3.9)
下载 SSG 内容并解压:12wget https://github.com/ComplianceAsCode/content/releases/download/v0.1.77/scap-security-guide-0.1.77.zipunzip scap-security-guide-0.1.77.zip && cd scap-security-guide-0.1.77
查看 Ubuntu 24.04 的数据流(DS)文件并 ...
hugo 初使用
#hugo 初使用
本文记录我如何使用 Hugo 创建博客,并在其中通过 JavaScript 接口动态加载数据的完整流程,包括安装、主题设置、Nginx 配置和最终实现一个调用外部 API 的文章效果。
1. 安装 Hugo我使用的是 Hugo 的 extended 版本:
1234567wget https://github.com/gohugoio/hugo/releases/download/v0.148.1/hugo_extended_0.148.1_linux-amd64.debsudo dpkg -i hugo_extended_0.148.1_linux-amd64.deb验证版本:hugo version# 输出示例:hugo v0.148.1+extended linux/amd64 ...
2. 创建 Hugo 项目并配置主题12345hugo new site hugo-democd hugo-demogit initgit submodule add https://github.com/theNewDynamic/gohugo-theme-ananke.g ...
通过trivy命令下载最新的trivydb
前言因为国内网络原因,自动更新db的trivy经常遇到更新db时候超时。经过研究发现trivy的时候可以跳过更新,但是会导致db老旧,有时候会无法扫描到最新的漏洞。所以找了一个折中的办法,在外网机器上通过定时任务定时下载最新的db,然后再传到trivy服务器上做扫描。
install trivy command123456# 这里也可以直接下载编译好的二进制命令文件,不过为了保证后续能更新trivy的新版本,我这里加了一个apt源sudo apt-get install wget gnupgwget -qO - https://aquasecurity.github.io/trivy-repo/deb/public.key | gpg --dearmor | sudo tee /usr/share/keyrings/trivy.gpg > /dev/nullecho "deb [signed-by=/usr/share/keyrings/trivy.gpg] https://aquasecurity.github.io/trivy-repo/deb generic ma ...

