网站备案 icp备案,网站建设公司织梦模板,泉州营销型网站设计,备案 网站负责人声明 学习视频来自B站UP主 泷羽sec,如涉及侵权马上删除文章 笔记的只是方便各位师傅学习知识,以下网站只涉及学习内容,其他的都与本人无关,切莫逾越法律红线,否则后果自负 关于云技术基础的那些事儿-Base1 一、云技术基础什么是云架构#xff1f;什么是云服务#xff1f;什么…声明 学习视频来自B站UP主 泷羽sec,如涉及侵权马上删除文章 笔记的只是方便各位师傅学习知识,以下网站只涉及学习内容,其他的都与本人无关,切莫逾越法律红线,否则后果自负 关于云技术基础的那些事儿-Base1 一、云技术基础什么是云架构什么是云服务什么是云分类共享责任模型云架构使用什么技术集成部署有什么作用云设计模式由有哪些安全控制有哪些方式容器与云 搭建属于自己的容器--Docker什么是docker呢为什么不用kail搭建docker容器在 Ubuntu 上安装docker有哪些方式呢1、 前置条件2、卸载旧版本3、开始安装 Docker 如何使用apt安装docker呢使用 APT 安装推荐方式通过 .deb 包手动安装使用脚本自动安装 Docker测试docker是否安装成功在Ubuntu中安装加速器容器的真相Linux中的命名空间详解docker中有命名空间吗docke用什么配置文件限制访问呢 实践是检验真理的唯一标准 在过去搭建一个应用程序可真是个大工程。得去购买服务器租赁机房进行安装、上架还得拧螺丝、接网线。但如今情况大不相同啦。现在很多基础设施都已经云化了。我们可以直接找像阿里云、腾讯云这样的云服务器厂家购买一些云服务器短短几分钟就能申请下来。基于这些云服务器我们可以轻松地进行各种各样的应用部署。
一、云技术基础
什么是云架构
不管是防御系统还过是进攻系统强大的底层技术基础都是必不可少的。
从防御的角度来看只有了解底层技术我们才能知道如何构建防御体系。从进攻的角度讲了解底层技术才能发现漏洞并开发出漏洞利用的方法。所以呢攻击者和防御者都必须清楚对方的运作方式。
以前构建系统的时候需要购买设备、租用数据中心机柜然后搭建基础设施。随着处理器的不断进化虚拟机出现了。它能把一台机器的资源分成多台机器来使用提高了资源利用率变得更加灵活可拓展实现了从裸机基础设施到虚拟化基础设施的转变。接着容器化技术登场进一步提高了效率实现了服务器、网络和存储的虚拟交付。现在我们把最新一代的基础设施称为“云”它可不是单一的技术哦而是众多技术的集合。
什么是云服务
云是一种 IT 基础设施系统它将资源的创建抽象在容错、地理分布和可扩展的物理基础设施之上。并以服务器的形式按需求交付能力非常易于使用可以自动创建服务器、存储、网络等等。云基础架构必须稳定不能频繁出现中断。地理分布的云基础设施能够提高容错能力而且云必须能够快速扩展以满足各种需求。
有很多公有云服务商比如 Amazon Web ServicesAWS、Azure、GoogleGCP还有华为云、腾讯云、阿里云等等。组织可以使用 OpenStack 等工具在自己的数据中心搭建私有云或者一部分业务运行在私有云中一部分运行在公有云中。
什么是云分类
基础设施即服务IaaS就像提供建筑材料和工具让你可以自己搭建房子。平台即服务PaaS类似有了基本框架的房子你只需进行装修和布置。软件即服务SaaS直接给你一个装修好可以直接入住的房子。
共享责任模型
云服务在提供容错和扩展的同时也在不同层面增加了安全性的模糊性。如果是 AWS 程序漏洞导致大量数据泄露AWS 不承担责任。但如果 AWS 数据中心物理安全遭到破坏客户数据被盗取AWS 就得承担责任。
云架构使用什么技术
虚拟化把一台机器的资源分成多台虚拟机器多台裸机汇集形成资源集群隔离资源的使用灵活且可扩展资源池。它抽象了硬件安装过程但仍有改进空间并非专为云而生。技术栈的灵活性和可定制性提升促使了容器的出现。容器容器就像一个个独立的小空间允许开发人员与堆栈各部分灵活交互实现按需生成服务提高网络抽象程度方便应用迁移扩展更高效地使用资源。系统管理和网络工程可以外包给其他公司。云是多种技术的集合。组件选择确定架构这很难改选择绑定或非绑定组件可以自己开发、用开源的或者购买。云原生组件是为分布式系统设计的CNCF 认证不是必须的要安全编码部分是开源的。基础设施即代码IaC包括引导介质Packer、安装系统Terraform、自动配置Ansible、状态强制Monit。
集成部署有什么作用
使用持续集成和持续交付CICD管道来构建环境包括测试、测量和扫描代码更改的自动化测试和部署GitOps。要做到有弹性可靠即任何单点故障都有故障转移或其他机制让业务能持续提供这叫冗余。全球负载均衡GSLB比如智能 DNS、GTM能解决客户单访问的单点故障隐患。还要平衡控制控制保护系统免受漏洞和内部攻击的组件应平衡控制和可用性。
云设计模式由有哪些
云架构设计不必从头开始采用已检验的设计模式是最佳选择。
微服务架构为松散耦合、模块化服务而设计微服务协同工作完成整体服务。每个服务都可以独立修改代码和重用提高系统整体弹性和容错。大多数云利用微服务架构云原生应用被构建充当微服务便于水平扩展。安全优势是每个微服务应用强化、隔离单一服务漏洞对整体系统影响小。缺点是调试更复杂需要跨不同服务跟踪事务性能可能有短板。零信任架构对资源的每个请求都需要验证来源已授权然后授权短期访问用令牌。实现零信任架构的一种常见方法是 Open ID ConnectOIDC联盟访问。授权处于活动状态时可以访问任何联合内服务。密码重置是针对零信任架构的常见攻击方式。
安全控制有哪些方式
网络控制传统架构用防火墙实现网络控制云环境网络抽象为 SDN、SD WAN。SDN 可以对不同的接口如 API 或 GUI设置网络规则。通过 mTLS 不仅能加密流量还能对客户端进行身份验证有证书才能访问微服务。不正确的访问管理可导致权限提升甚至破坏整个基础设施。现代访问管理系统多使用令牌进行访问控制提供对服务的短时访问权。JWT 通常用于访问云端资源伪造和破解密码是常见攻击手段。另一种类型的权限控制机制是强制访问控制 MAC。身份管理企业通常用 AD、LDAP 进行身份管理。AWS IAM 是身份和访问管理的公共云服务。Google 联盟认证 OIDC 经常用于 2FA。云身份提供者IdP作为真实身份来源是更安全的解决方案比如 Azure AD。
容器与云
虚拟化中每个 VM 需要运行自己的操作系统大大增加了总体开销。容器化是更现代的架构容器共享内核与硬件更快、更小、更高效。容器是对虚拟化的补充而非取代。容器的系统开销更小可以进一步分离应用组件比如搜索、登录、查询、订单功能分开。容器使用映像作为模板生成映像相当于计算机硬盘。容器使用不同发行版文件加载内核运行容器。
搭建属于自己的容器–Docker
这里的我选择使用ubuntu搭建docker的容器
什么是docker呢
Docker 是一个开源的应用容器引擎它允许开发者打包他们的应用以及应用的依赖包到一个轻量级、可移植的容器中然后发布到任何流行的 Linux 机器上也可以实现虚拟化。容器是完全使用沙箱机制相互之间不会有任何接口。
以下是 Docker 的一些关键特性和概念
容器化Containerization Docker 使用容器来隔离应用和环境这与传统的虚拟化技术不同容器共享宿主机的操作系统内核但提供隔离的用户空间。 镜像Images Docker 镜像是一个轻量级、可执行的软件包包含了运行应用所需的代码、运行时、系统工具、系统库和设置。镜像是创建 Docker 容器的基础。 容器Containers 容器是镜像的运行实例。容器可以被创建、启动、停止、删除等。每个容器都是独立的并且与其他容器隔离。 Dockerfile Dockerfile 是一个文本文件包含了一系列的指令和参数用于自动构建 Docker 镜像。 Docker 客户端和守护进程 Docker 使用客户端-守护进程架构。Docker 守护进程dockerd运行在宿主机上管理 Docker 对象如镜像、容器、网络和卷。Docker 客户端docker是用户用来与守护进程交互的命令行工具。 Docker 仓库Registries Docker 仓库用于存放 Docker 镜像。最知名的公共仓库是 Docker Hub用户可以上传push和下载pull镜像。企业也可以搭建私有仓库。 Docker 网络Networking Docker 提供了网络功能允许容器之间以及容器与外部世界之间进行通信。Docker 支持多种网络配置包括桥接网络、覆盖网络和自定义网络。 Docker 卷Volumes Docker 卷是一种数据持久化机制允许数据在容器之间共享以及在容器和宿主机之间共享。卷独立于容器的生命周期即使容器被删除卷中的数据也不会丢失。 Docker Compose Docker Compose 是一个工具用于定义和运行多容器 Docker 应用程序。使用 YAML 文件来配置应用程序的服务然后使用一个简单的命令 docker-compose up 来启动和停止所有服务。 安全性 Docker 提供了多种安全特性包括内核能力、AppArmor、Seccomp、用户命名空间等以确保容器的安全性。 可移植性 Docker 容器可以在多种环境中运行包括物理机、虚拟机、数据中心和云平台。 轻量级 由于容器共享宿主机的内核因此启动速度快资源占用少。
为什么不用kail搭建docker容器
因为kail是secure的系统镜像很大工具众多ubuntu系统稳定但是容器还是得centos7真正的稳定后面我将搭建一些网恋避险的网站使用就是云服务器中的centos7。这个嘛就后续分享现在我们继续搭建docker容器后续咱学习Kubernetes 容器Podman容器。容器有很多咱会其中几个即可就像数据库一样学到就用到。
在 Ubuntu 上安装docker有哪些方式呢
在 Ubuntu 上生成 CentOS 7 容器可以使用 Docker 这个流行的容器化工具。步骤如下 注意如果时用的虚拟机记得网卡选择桥接不然就需要配置dns比较繁琐
1、 前置条件
操作系统要求 Docker 支持以下版本的 Ubuntu 64 位操作系统
Ubuntu Jammy 22.04 (LTS)Ubuntu Impish 21.10Ubuntu Focal 20.04 (LTS)Ubuntu Bionic 18.04 (LTS)CPU 架构要求x86_64 (或 amd64), armhf, arm64, 和 s390x 均支持 Docker 安装。
2、卸载旧版本
如果你之前安装过老版本的 Docker , 请先执行如下面命令卸载
sudo apt-get remove docker docker-engine docker.io containerd runc这里我未安装所以也就不存咋卸载一说
3、开始安装 Docker
Ubuntu 支持如下几种方法安装 Docker: 通过 apt 安装后续升级更方便推荐方法 手动下载 .deb 包安装完全手动管理升级 使用脚本自动安装 Docker, 适用于测试、开发环境中 一般来说选择使用apt安装方便且实用快捷
如何使用apt安装docker呢
使用 APT 安装推荐方式
1、更新 apt 包索引
sudo apt-get update2、由于 apt 源使用 HTTPS 以确保软件下载过程中不被篡改。因此我们需要添加使用 HTTPS 传输的软件包以及 CA 证书。
sudo apt-get install \apt-transport-https \ca-certificates \curl \gnupg \lsb-release注意这里安装的时候若是在终端中安装那不需要换行符\若是通过vim编辑后执行则需要换行额外空间yes即可 3、为了确认所下载软件包的合法性需要添加 Docker 的 GPG 密钥为了确保下载速度走的国内源注释的为国外源
sudo mkdir -p /etc/apt/keyrings
# 国内源
curl -fsSL https://mirrors.aliyun.com/docker-ce/linux/ubuntu/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg
# 官方源
# curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg这里我选择用国内源国外的源下载太慢了当然也可以直接编辑源为一个vim文件进行执行 设置国内镜像源你可以配置 Docker 使用国内的镜像源比如阿里云的镜像源以加速镜像的拉取。创建或编辑 /etc/docker/daemon.json 文件 具体的源url如下 注意这里的源文件时是非常重要的其他源可能报错无法访问毕竟ubuntu的服务器在国外。ubuntu比较坑没有vim 使用命令apt install vim 是不是不想手动敲学会信息收集ubuntu是无法从主机复制路径的噢相信大家会信息收集到解决方式的winscpvm tools也可以。 再次强调没有源是无法访问docker 的hello world镜像的噢 4、向 sources.list 中添加 Docker 软件源
echo \deb [archamd64 signed-by/usr/share/keyrings/docker-archive-keyring.gpg] https://mirrors.aliyun.com/docker-ce/linux/ubuntu \$(lsb_release -cs) stable | sudo tee /etc/apt/sources.list.d/docker.list /dev/null
# 官方源
# echo \
# deb [archamd64 signed-by/usr/share/keyrings/docker-archive-keyring.gpg] https://download.docker.com/linux/ubuntu \
# $(lsb_release -cs) stable | sudo tee /etc/apt/sources.list.d/docker.list /dev/null5、安装 Docker 更新 apt 软件包索引安装最新版本的 Docker Engine、containerd 和 Docker Compose sudo apt-get updatesudo apt-get install docker-ce docker-ce-cli containerd.io docker-compose-plugin选择yes即可 到这里也就安装完成了 注意 运行 apt-get update 报 GPG 错误 你默认的 umask 可能设置不正确导致无法检测到 repo 的公钥文件。运行以下命令然后再次尝试更新 apt 索引sudo chmod ar /etc/apt/keyrings/docker.gpg 6、如何安装指定版本的 Docker ? 要想安装特定版本的 Docker, 需要先获取 repo 中可用的版本号然后再安装
apt-cache madison docker-ce
docker-ce | 5:20.10.16~3-0~ubuntu-jammy | https://download.docker.com/linux/ubuntu jammy/stable amd64 Packages
docker-ce | 5:20.10.15~3-0~ubuntu-jammy | https://download.docker.com/linux/ubuntu jammy/stable amd64 Packages
docker-ce | 5:20.10.14~3-0~ubuntu-jammy | https://download.docker.com/linux/ubuntu jammy/stable amd64 Packages
docker-ce | 5:20.10.13~3-0~ubuntu-jammy | https://download.docker.com/linux/ubuntu jammy/stable amd64 Packages第二列中显示的即为版本号如5:20.10.163-0ubuntu-jammy.
sudo apt-get install docker-ceVERSION_STRING docker-ce-cliVERSION_STRING containerd.io docker-compose-plugin通过 .deb 包手动安装
如果你无法通过 apt 安装 Docker, 还可以手动下载指定版本的 .deb 包来安装。注意每次升级时同样需要下载一个新的 .deb 包。
1、访问 https://download.docker.com/linux/ubuntu/dists/ 选择你的 Ubuntu 版本然后进入 pool/stable/, 选择对应的 CPU 架构 amd64、 armhf、arm64或s390x下载.deb 安装包。 安装 Docker, 将下面的路径更改为你下载的 .deb 包路径:
sudo dpkg -i /path/to/package.deb使用脚本自动安装 Docker
在测试或开发环境中 Docker 官方为了简化安装流程提供了一套便捷的安装脚本Ubuntu 系统上可以使用这套脚本安装另外可以通过 --mirror 选项使用国内源进行安装
curl -fsSL get.docker.com -o get-docker.sh
sudo sh get-docker.sh --mirror Aliyun若你想安装测试版的 Docker, 可以从 test.docker.com 获取脚本后再执行它
$ curl -fsSL test.docker.com -o get-docker.sh执行这个命令后脚本就会自动的将一切准备工作做好并且把 Docker 的稳定(stable)版本安装在 Ubuntu 系统中。
测试docker是否安装成功
1、启动 Docker
# 设置 Docker 服务开机自动启动
sudo systemctl enable docker
# 启动 Docker 服务
sudo systemctl start docker2、建立 Docker 用户组 默认情况下docker 命令会使用 Unix socket 与 Docker 引擎通讯。只有 root 用户和 docker 组的用户才可以访问 Docker 引擎的 Unix socket。 出于安全考虑一般 Linux 系统上不会直接使用 root 用户。因此更好地做法是将需要使用 docker 的用户加入 docker 用户组。
建立 docker 组
sudo groupadd docker将当前用户加入 docker 组
sudo usermod -aG docker $USER验证 Docker 是否安装成功 运行 Docker 并打印 hello-world:
sudo docker run hello-world此命令会下载测试镜像并基于此镜像运行容器然后在打印 hello-world 后退出容器。若成功打印信息表示 Docker 安装成功。
当然docker的使用还未真正开始 具体的使用手册大家可以学习如下 学会使用docker
在Ubuntu中安装加速器
安装升级 Docker 客户端 推荐安装 1.10.0 以上版本的 Docker 客户端参考文档 docker-ce配置镜像加速器 针对 Docker 客户端版本大于 1.10.0 的用户 您可以通过修改 daemon 配置文件 /etc/docker/daemon.json 来使用加速器
sudo mkdir -p /etc/docker
sudo tee /etc/docker/daemon.json -EOF
{registry-mirrors: [https://xxx.mirror.aliyuncs.com]
}
EOF
sudo systemctl daemon-reload
sudo systemctl restart docker创建 Apache 容器后台运行“docker container run -d --rm -p 8080:80 httpd”。 常用命令
“docker container ls”查看所有容器。 “docker exe -it 899 /bin/bash”进入特定容器。 首先需要知道容器id 列出所有容器包括未运行的 docker ps -a 列出正在运行的容器docker ps 进入特定 docker exec -it [id] /bin/bash 通过docker ps 就可以获取到容器的id 容器还有很多的命令容器docker的命令很多大家自行学习和了解也可以在官方文档上进行学习。 容器要学的东西很多一时半会是写不完的咱现在就先了解下后面慢慢再来系统的学习下docker。 Podman 是 Docker 的替代产品无守护进程。“sudo podman run -d --r-m --network host httpd”运行容器。“podman pod create --name wha”创建空 pod。“podman run -d --pod wha httpd”在 pod 中运行容器。“podman run -pod wha -it alpine/curl /bin/asho”在 pod 中运行可找东西的工具并互动。
大部分容器化过程都采用开放容器计划OCI标准所以 Podman 和 Docker 可互操作。
容器的真相
Linux 没有单一被称为“容器”的特性。实际上“容器”是阻止进程访问其他进程和资源的特性组合发生在内核级别可以控制其限制级别。 容器的历史
197x 年代引入 chroot可以指示进程的新根目录但不完美。命名空间可实现每个进程分离网络、进程和其他命名空间。1999 年 FreeBSD 发布 Jails在 chroot 之上提供更多限制Linux 不支持。2002 年引入命名空间分离内核资源。2006 年谷歌引入进程容器后被称为 cgroup可限制特定进程的内存和 CPU 资源。结合 cgroup 和命名空间发布了 Linux 容器LXC项目。
Linux 中有八种用户命名空间挂载、进程 ID、网络、进程间通信、UTS、用户 ID、控制组、时间、syslog。
Linux中的命名空间详解
在Linux操作系统中命名空间namespaces是一种内核级别的特性用于将系统资源隔离开来使得在不同命名空间中的进程看到不同的系统视图。Linux提供了多种类型的命名空间每种都隔离了不同的系统资源。以下是一些常用的Linux命名空间
Mount Namespace挂载命名空间
用于隔离文件系统挂载点。在不同的挂载命名空间中可以有不同的挂载点和文件系统结构。 UTS NamespaceUNIX Time-Sharing System Namespace
用于隔离网络主机名和域名。在不同的UTS命名空间中可以有不同的主机名和NIS域名。 IPC Namespace进程间通信命名空间
用于隔离进程间通信设施如System V IPC、POSIX消息队列等。 Network Namespace网络命名空间
用于隔离网络设备、网络栈、端口等网络资源。在不同的网络命名空间中可以有不同的网络配置和网络接口。 PID Namespace进程ID命名空间
用于隔离进程编号。在不同的PID命名空间中进程ID是独立的一个进程在不同的命名空间中可以有不同的PID。 User Namespace用户命名空间
用于隔离用户和组ID。在不同的用户命名空间中可以有不同的用户和组ID映射。 Cgroup Namespace控制组命名空间
用于隔离控制组层次结构允许对资源进行更细粒度的控制。 Time Namespace时间命名空间
用于隔离系统时间。在不同的时间命名空间中可以有不同的时钟和定时器。 Signal Namespace信号命名空间
用于隔离信号的发送和接收。
docker中有命名空间吗docke用什么配置文件限制访问呢
Docker 默认不使用用户命名空间。为防止特权内核调用它使用内核 capabilities 和 seccomp 配置文件限制访问。Linux 有特权或非特权进程。非特权进程有正确权限可写入系统文件特权进程几乎无所不能。当非特权用户只需要特殊权限时可使用 Capabilities。Linux 将一些系统级任务分组为 40 多个类别称为 Capabilities。 常见 Capabilities
CAP_CHOWN允许进程修改文件所有者。CAP_NET_ADMIN对网络配置执行管理任务。CAP_NET_BIND_SERVICE允许绑定低于 1024 的端口。CAP_NET_RAW允许使用 RAW 套接字。CAP_SYS_ADMIN“根”权限危险启用过多功能集。CAP_SYS_BOOT允许重新启动主机。CAP_SYS_MODULE允许加载和卸载内核模块。CAP_SYS_TIME允许进程设置系统时钟。CAP_SYS_CHROOT允许使用 chroot。CAP_AUDIT_WRITE允许写入内核审计日志。 提升工具权限有隐患可能被恶意用户利用破坏系统、窃取敏感信息或完全控制整个系统。
通过docker中的内核capabilities 我们知道一般来说docker中都是非特权的进程不同的进程执行也是需要排队的故提升权限是很重要的可以使用常见的Capabilities参数进行提权。这不仅仅在渗透中很有用在实际搭建靶场和网站时也是非常有用的。
实践是检验真理的唯一标准
