你不应该在容器中使用root用户
你不应该使用root用户在容器中启动程序,或者类似的特权用户,你应该在Dockerfile中创建一个普通用户,并且制定一个特别的uid和gid,然后用这个账户来启动进程,这样更加容易限制容器访问资源的权限。
预览
根据Linux的最低权限原则,一个程序应该只能访问他运行所必须的资源。这是一件非常严肃的事情。运行在系统上可能是一个病毒也可能是一个包含bug的程序,会对他能访问到的资源造成破坏。为了保证系统的安全稳定,你应该限制应用能够访问的资源和能够获取的权限。
许多容器化的程序并不要求使用root权限,docker本身也不要求使用root权限,所以编写一个安全和服用的镜像,不能期望容器将来会使用root权限运行,为了易于控制权限,你也不应该在镜像中使用root。
为什么
在使用Docker的时候,你需要清楚,容器中的进程和宿主机器上的其进程是没有区别的,他们使用的是同一个内核,受同一个内核管理权限,如果说容器中的进程是root权限,那么也就意味这这个进程在宿主机器上其实也是root权限。如果资源被挂载到容器中,那么意味着容器中的进程能够获取,修改,删除这些资源,因为它是root权限。
如果你要创建一个镜像,那么你就应该在Dockerfile中创建一个默认的用户,而不是使用默认的root。这样更加容器控制权限。我们举一个root容器的例子,看一下他的危害:
我在宿主机器的root目录下创建一个隐私文件,我使用root用户创建,只有root权限的用户才能访问这个文件
[email protected]:~$ sudo -s
[email protected]:~# cd /root
[email protected]:~# echo "top secret stuff" >> ./secrets.txt
[email protected]:~# chmod 0600 secrets.txt
[email protected]:/root# ls -l
total 4
-rw------- 1 root root 17 Sep 26 20:29 secrets.txt
[email protected]:/root# exit
exit
[email protected]:~$ cat /root/secrets.txt
cat: /root/secrets.txt: Permission denied现在我退出root,使用一个普通的用户来创建一个Dockerfile:
FROM debian:stretch
CMD ["cat", "/tmp/secrets.txt"]
然后我编译运行这个镜像,并且将我们的隐私文件挂载进去:
[email protected]:~$ docker run -v /root/secrets.txt:/tmp/secrets.txt <img>
top secret stuff即便我在宿主机器上的容器是marc,但是在容器中,我已经拥有root权限了,能够访问宿主机上root权限才能访问的资源文件。这也就是说任何人在DockerHub上下载这镜像,都会暴露自己的特权文件(当然,还取决于你怎么它)。
建议
我建议在创建Dockerfile的时候创建一个普通用户,并且指定uid和gid。使用这个普通用户来启动容器。
FROM <base image>
RUN groupadd -g 999 appuser && \
useradd -r -u 999 -g appuser appuser
USER appuser
... <rest of Dockerfile> ...在上面的例子,我们能够非常用户控制容器用户和用户的权限。
更具上面的例子,我修改一下Dockerfile
FROM debian:stretch
RUN groupadd -g 999 appuser && \
useradd -r -u 999 -g appuser appuser
USER appuser
CMD ["cat", "/tmp/secrets.txt"]再次上之前那样运行容器
[email protected]:~$ docker run -v /root/secrets.txt:/tmp/secrets.txt <img>
cat: /tmp/secrets.txt: Permission denied这次隐私文件得到了保护。
复用其他容器
Docker容器非常有好的地方是他可以能够复用,你能够使用FROM来使用一个已经存在的容器。你能够创建你自己的用户,或者是root用户(前提是你确实需要root用户)。如果某些镜像中默认使用了root用户,你可以在自己的Dockerfile中覆盖这个设置,使用你自己的创建的用户。
translation package error when install laravel6
全新安装 laravel6,访问时报错:
Declaration of Symfony\Component\Translation\TranslatorInterface::setLocale($locale) must be
compatible with Symfony\Contracts\Translation\LocaleAwareInterface::setLocale(string $locale)查看资料发现该问题和环境有关系,解决办法如下:
修改 composer.json 文件, 添加:
"require": {
...
"symfony/translation": "4.3.8",
}运行
composer update即可~
laravel 的一些小技巧
一、数据表使用 uuid 作为主键,需要注意哪些事情?
可以在 boot 方法中增加生成 uuid 为主键的方法。如果在生成主键之后需要获取 id,那么需要设置 $incrementing = false。具体如下:
<?php
namespace App\Models;
use Illuminate\Database\Eloquent\Model;
use Uuid;
class Order extends Model
{
public $incrementing = false;
/**
* Setup model event hooks
*/
public static function boot()
{
parent::boot();
self::creating(function ($model) {
$model->id = (string) Uuid::generate(4);
});
}
}二、路由变量含有“/”,该如何定义路由?
有时候,我们需要在路由中传入复杂的变量,比如一段路径,这个时候可以通过在 routeServiceProvider 中定义一个 pattern 来实现变量被正确的解析。
<?php
namespace App\Providers;
use Illuminate\Support\Facades\Route;
use Illuminate\Foundation\Support\Providers\RouteServiceProvider as ServiceProvider;
class RouteServiceProvider extends ServiceProvider
{
protected $namespace = 'App\Http\Controllers';
public function boot()
{
//
Route::pattern('path', '[a-zA-Z0-9-_/.:\?]+');
parent::boot();
}
}这样,比如有以下一张动态剪裁的图片,图片的 path 为:
images/201911/bd484d1ef139b1d7f257d6f96baa3ac2.jpeg构造的 url 为:
http://inspection.test/image/500x335/90/1/c296c89eb4c0fe68/images/201911/bd484d1ef139b1d7f257d6f96baa3ac2.jpeg路由就可以这样定义了:
Route::get('/image/{width}x{height}/{quality}/{type}/{signature}/{path}', "[email protected]");三、laravel 的 访问控制策略
laravel 提供了针对模型数据访问控制的方法,称之为 Policy,通过定义 Policy,我们可以非常方便的解决细粒度的权限问题。
比如,我们允许用户编辑,删除自己的文章,而不能编辑和删除他人的文章,这个该怎么做呢?
一般情况下,我们需要在控制器的代码段中做一下判断,判断一下该文章是否属于该用户,在这里 laravel 帮我们做了很好的封装,可以非常方便的定义这样的访问控制。
3.1 第一步: 生成策略
使用 artisan 命令,可以生成一个策略类,该类默认被写入到 AppPolicies 目录下:
php artisan make:policy PostPolicy所生成的类,大致上是这样的:
<?php
namespace App\Policies;
use App\User;
use App\Post;
class PostPolicy
{
/**
* 判断该方法能否被用户操作。
*
* @param \App\User $user
* @param \App\Post $post
* @return bool
*/
public function update(User $user, Post $post)
{
return $user->id === $post->user_id;
}
}3.2 第二步: 注册策略
一旦策略存在,它就需要进行注册。新的 Laravel 应用中包含的 AuthServiceProvider 有一个 policies 属性,可以将各种模型对应到它们的策略中。注册一个策略将引导 Laravel 在授权动作访问指定模型的时候使用哪种策略:
<?php
namespace App\Providers;
use App\Post;
use App\Policies\PostPolicy;
use Illuminate\Support\Facades\Gate;
use Illuminate\Foundation\Support\Providers\AuthServiceProvider as ServiceProvider;
class AuthServiceProvider extends ServiceProvider
{
/**
* 应用的策略映射。
*
* @var array
*/
protected $policies = [
Post::class => PostPolicy::class,
];
/**
* 注册任意应用认证、应用授权服务
*
* @return void
*/
public function boot()
{
$this->registerPolicies();
}
}3.3 第三步: 执行策略
- 通过控制器:
$this->authorize('create', Post::class);- 通过中间件:
Route::post('/post', '[email protected]')->middleware('can:update,post');- 通过模版:
@can('update', $post)
<!-- The Current User Can Update The Post -->
@elsecan('create', App\Post::class)
<!-- The Current User Can Create New Post -->
@endcanPBN 是什么?PBN 怎么做?
一、PBN 是什么?
PBN 是英文 Private Blog Network 的缩写,中文意思大致是“秘密博客网络”,建立多个站点,形成一个网络,然后用这个网络给目标网站建立外链,用于给目标网站的页面增加权重。因为这属于 SEO 作弊,不希望被搜索引擎发现,所以号称是秘密的。
PBN,在国内也被称为站群,是一种高风险高投入高回报的 SEO 手段,属于黑帽SEO的范畴,具有被 Google K站的风险,当然,这种方法所带来的效果也非常明显,是有效的 SEO 高级手段。
但是,不得不说,这条路难度系数也很高,需要很多资源的支持。
二、PBN 的基本原理
那么 PBN 是怎么样给目标网站增加权重呢?
核心思想是这样子:PBN 中的每个站的域名都会有权重。通过在这个站做直接的外链去目标网站的目标页面,就能把这个站本身的权重值传递给目标站。一般是直接用一级外链指向目标网站,为了安全起见,可以选择把站群的外链作为二级外链,从而进一步规避风险。
三、PBN 怎么做?
不得不说,这是一件非常复杂且非常讲究的事情,大体上来说,至少包含以下几个方面:
- 购买高权重域名
- 购买服务器资源
- 制作站点
- 部署站点
- 通过链接传递权重