符十三郎

RBAC（Role-Based Access Control）基于角色的访问控制。权限与角色相关联，用户通过成为适当角色的成员而得到这些角色的权限。 核心三元组 Who：权限的拥有者或主体（User，Role） What：操作或对象（Operation，Object） How：具体的权限（Privilege，正向授权与负向授权） 四种模型 RBAC0：RBAC 的核心思想，最基础 RBAC1：在 RBAC0 基础上增加了角色分层模型 RBAC2：在 RBAC0 基础上增加了约束模型（如互斥角色） RBAC3：RBAC1 + RBAC2，即完整模型 表设计典型的 RBAC 表结构： 用户表（user）：用户基本信息 角色表（role）：角色信息 权限表（permission）：权限信息 用户角色关联表（user_role）：用户与角色的多对多关系 角色权限关联表（role_permission）：角色与权限的多对多关系 业务结合在实际权限系统中，完全遵循 RBAC 模型很难，因为业务差异化考量会导致系统无法扩展。 设计建议：RBAC 是一种模型和思想，不是要完全参照，而是在这 ...

本文介绍如何在 Harbor 私有仓库中使用 Cosign 对 Docker 镜像进行数字签名，并提供离线验证方法，确保交付镜像的完整性和来源可信。 1. 背景 为什么签名？ 确保客户拿到的镜像和发布镜像一致，避免中间篡改。 提升交付安全性，满足安全或合规要求。 客户可以在部署前自动验证镜像真实性。 Cosign 特点 开源，操作简单。 签名存储在 OCI 兼容仓库（如 Harbor）中。 支持离线签名，不依赖公有 Rekor 服务。 2. 安装 Cosign在 Linux 上执行： 123curl -sSL https://github.com/sigstore/cosign/releases/latest/download/cosign-linux-amd64 -o cosignsudo mv cosign /binsudo chmod +x /bin/cosign 生成签名密钥对： 1cosign generate-key-pair cosign.key：私钥，用于签名，需妥善保管 cosign.pub：公钥，用于验证，提供给客户 3. 构建并推送镜像 ...

使用 OpenSCAP 和 SCAP Security Guide 加固 Ubuntu 24.04.2 参考原文：*使用 OpenSCAP 和 SCAP Security Guide 加固Ubuntu 24.04.2 (Noble Numbat)* TL;DR（最短路径） 安装工具：12sudo apt update && sudo apt install -y libopenscap8oscap --version # 确认安装（例：OpenSCAP command line tool (oscap) 1.3.9） 下载 SSG 内容并解压：12wget https://github.com/ComplianceAsCode/content/releases/download/v0.1.77/scap-security-guide-0.1.77.zipunzip scap-security-guide-0.1.77.zip && cd scap-security-guide-0.1.77 查看 Ubuntu 24.04 的数据流（DS）文件并 ...

#hugo 初使用 本文记录我如何使用 Hugo 创建博客，并在其中通过 JavaScript 接口动态加载数据的完整流程，包括安装、主题设置、Nginx 配置和最终实现一个调用外部 API 的文章效果。 1. 安装 Hugo我使用的是 Hugo 的 extended 版本： 1234567wget https://github.com/gohugoio/hugo/releases/download/v0.148.1/hugo_extended_0.148.1_linux-amd64.debsudo dpkg -i hugo_extended_0.148.1_linux-amd64.deb验证版本：hugo version# 输出示例：hugo v0.148.1+extended linux/amd64 ... 2. 创建 Hugo 项目并配置主题12345hugo new site hugo-democd hugo-demogit initgit submodule add https://github.com/theNewDynamic/gohugo-theme-ananke.g ...

前言因为国内网络原因，自动更新db的trivy经常遇到更新db时候超时。经过研究发现trivy的时候可以跳过更新，但是会导致db老旧，有时候会无法扫描到最新的漏洞。所以找了一个折中的办法，在外网机器上通过定时任务定时下载最新的db，然后再传到trivy服务器上做扫描。 install trivy command123456# 这里也可以直接下载编译好的二进制命令文件，不过为了保证后续能更新trivy的新版本，我这里加了一个apt源sudo apt-get install wget gnupgwget -qO - https://aquasecurity.github.io/trivy-repo/deb/public.key | gpg --dearmor | sudo tee /usr/share/keyrings/trivy.gpg > /dev/nullecho "deb [signed-by=/usr/share/keyrings/trivy.gpg] https://aquasecurity.github.io/trivy-repo/deb generic ma ...