白名单

传统基于单机的数据库技术已经无法支撑海量数据的访问处理，在此情况下，支持系统高扩展，强一致的分库分表Sharding架构的数据库集群GaussDB 100应运而生。它采用Shared-nothing架构的分布式系统，它是由众多拥有独立且互不共享CPU、内存、存储等系统资源的逻辑节点组成。 1、操作系统设置 1.1 内核参数 [root@hwd10 ~]# /etc/sysctl.conf kernel.sem = 50100 128256000 50100 2560 net.core.netdev_max_backlog = 1000 net.ipv4.tcp_max_syn_backlog = 2048 kernel.core_pattern = /tmp/core.%p.%e kernel.core_uses_pid = 1 kernel.shmmni = 4096 net.ipv4.ip_local_port_range = 9000 65500 net.core.rmem_default = 262144 net.core.wmem_default = 262144 net.core.rmem_max = 4194304 net.core.wmem_max = 1048576 fs.aio-max-nr = 1048576 fs.file-max = 6815744

1.编辑/etc/hosts.allow文件 # vim /etc/hosts.allow 添加指定IP货值IP段 # 允许192.168.1.10 IPssh连接 sshd : 192.168.1.10 : allow # 允许192.168.2. IP段ssh连接 sshd : 192.168.2.* : allow all:192.168.1.12//他表示接受12这个ip的所有请求！（不推荐） 2.编辑/etc/hosts.deny文件 # vim /etc/hosts.deny 最后添加 sshd:all:deny # sshd:all:deny（拒绝所有请求，当hosts.allow和 host.deny相冲突时，以hosts.allow设置为准） 3.重启sshd服务 # /bin/systemctl restart sshd.service 来源： CSDN 作者： qq_31256487 链接： https://blog.csdn.net/qq_31256487/article/details/104671661

文件上传漏洞： 介绍： 一般Web站点会有用户注册功能，而当用户登入之后大多数情况下都会存在类似 头像上传、附件上传 一类的功能，这些功能点往往存在上传验证方式不严格的安全缺陷，是在Web渗透中非常关键的突破口，只要经过仔细测试分析来 绕过上传验证机制 ，往往会造成被攻击者直接上传Web后门，进而控制整个Web业务的控制权，复杂一点的情况是结合Web Server的解析漏洞来上传后门获取权限。 原理： 由于文件上传功能实现代码没有严格限制用户上传的 文件后缀以及文件类型 ，导致允许攻击者向某个可通过 Web 访问的目录上传任意PHP文件，并能够将这些文件传递给 PHP 解释器，就可以在远程服务器上执行任意PHP脚本。 成功攻击条件： 1.可以上传任意脚本文件，且上传的文件能够 被Web服务器解析执行 ，具体来说就是存放上传文件的目录要有执行脚本的权限。 2.用户能够通过Web 访问这个文件 。如果文件上传后，不能通过Web访问，那么也不能成功实施攻击。 3.知道文件上传到服务器后的 存放路径和文件名称 ，因为许多Web应用都会修改上传文件的文件名称，那么这时就需要结合其他漏洞去获取到这些信息。如果不知道上传文件的存放路径和文件名称，即使你上传了也无法访问。 基本概念： >shell与webshell： 1）SHELL：对服务器的某种操作权限 2）WEBSHELL：以ASP、PHP

应用场景 为了防止存储在BOS上的数据被其他人盗链，BOS支持基于HTTP header referer字段的防盗链方法。可通过BOS控制台设置Referer字段的白名单。设置白名单后，只有Referer字段在白名单内的用户才可访问Bucket中存储的数据，不在白名单内的请求会被拒绝。但若Referer为空时，默认可访问，不受白名单限制。 规则 只有在Bucket高级权限下才能设置白名单。 Referer白名单对访问BOS的所有API请求均生效。 Referer白名单不区分大小写，使用换行符分隔，并支持通配符(*)且每个Referer只支持1个通配符。 Referer白名单遵循完全匹配原则。例如： http://www.baidu.com/abc/ 与 http://www.baidu.com/abc 在白名单中则被认为是不同的。 Referer白名单系统支持检查http和https两种协议，对于host不以“/”结尾的，会自动加“/”。 选择“允许referer为空”时，HTTP请求中带白名单中的Referer和空Referer都允许访问； 选择“不允许referer为空”时，HTTP请求只有带白名单的Referer可以访问，空Referer不允许。 来源： oschina 链接： https://my.oschina.net/u/2658128/blog/644005

新建一个项目后左侧目录栏如图 “app.js"和”app.json"是必须的文件。前者是小程序的逻辑，后者为小程序的公共配置。而"app.wxss"是小程序的公共样式表，为非必须。 在项目目录中，以下文件会经过编译，因此上传之后无法直接访问到：.js、app.json、.wxml、*.wxss（其中 wxml 和 wxss 文件仅针对在 app.json 中配置了的页面）。除此之外，只有后缀名在白名单内的文件可以被上传，不在白名单列表内文件在开发工具能被访问到，但无法被上传。 白名单包括：wxs,png,jpg,jpeg,gif,svg,json,cer,mp3,aac,m4a,mp4,wav,ogg,silk 来源： CSDN 作者： mahaxinzhi 链接： https://blog.csdn.net/mahaxinzhi/article/details/104576199

Linux服务器防火墙白名单设置 登上服务器，编辑防火墙配置文件 　　 vi /etc/sysconfig/iptables 　　 把需要访问本台服务器的其他服务器ip地址，以及本台服务器需要开放的端口号添加上 　　如下： # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] #这里开始增加白名单服务器ip(请删除当前服务器的ip地址) -N whitelist -A whitelist -s 192.168.111.xxx -j ACCEPT -A whitelist -s 192.168.111.xxx -j ACCEPT -A whitelist -s 192.168.111.xxx -j ACCEPT -A whitelist -s 192.168.111.xxx -j ACCEPT -A whitelist -s 192.168.111.xxx -j ACCEPT #这里结束白名单服务器ip -A INPUT -m state --state

IP白名单的实现（PHP） 有些项目可能会用到一个IP地址的白名单黑名单之类的验证。 比如，只有IP地址在白名单中，才可以访问该系统。 那么此时，白名单的维护，一般是一个文件，里边是一些IP地址（每行一个IP），当然也有的可能是用数据库记录白名单。 当然，即使放在数据库中记录（方便管理），也可以在后台根据数据库生成IP白名单的配置文件，每次更新白名单时，都根据数据库数据，重新写一下白名单的配置文件。 这里，假设白名单的IP地址是存储在一个文件中：while_ips.conf 一般常见的两种情况：一种是白名单文件中的所有IP都是完整的，另一种是有的IP是有范围的（带.*） 一、每一个IP都是完整的IP 1 127.0.0.0 2 192.168.1.1 3 192.168.1.2 4 192.168.1.30 5 123.200.20.200 6 123.101.21.201 　　以上假设就是IP白名单。 此时的思路是，从文件中读取所有IP地址写入一个数组，每行就是一个元素。 然后判断当前IP是否在这个数组中。这样就实现了这个IP是不是在白名单的验证。 这种实现，比较简单。 1 function white_ips($file) 2 { 3 $a = []; 4 if (is_file($file)) {// 判断是不是文件 5 $f = fopen($file, 'r');//

申请的github账号，绑定邮箱之后才能创建库，而反复几次的发送邮件均为收到验证邮件，猜测有两个原因： 1.腾讯邮件服务器屏蔽了github的来信 （腾讯不会这么狭隘的， × ） 2.自己邮箱的域名黑名单里设置了github.com （没有拉黑啊 o(╯□╰)o） 3.自己邮箱的域名白名单里没有设置github.com（正解！ √ ） 那么，着重说下” 设置域名白名单 “ ①登录您的qq邮箱 ②点击设置—>反垃圾—>设置域名白名单 ③设置域名白名单 经过以上几步，github再次发送邮件时就可以收到了。 来源： https://www.cnblogs.com/qq-757617012/p/5763621.html

最近在搞微信公众平台这方面的东西，公司里用的是能配置微信公众平台的CMS，但实际使用的时候发现和access_token有关的接口都无法正常调用，于是debug了下，发现获取到了AppID和AppSecret，在最后请求access_token的时候返回了null，于是查了查微信公众平台的文档，发现微信公众平台多了个IP白名单，所谓IP白名单就是说，只有白名单内的IP地址才可以拿着我的id和secret去取我的assess_token，很多人应该和我一样测试的时候使用的是隧道，内网穿透什么的工具在测试，博主用的是natapp和花生壳，都是不错的，都可以完成测试，但是获取不到assess_token。网上很多方法其实都是说输入自己的本地ip就可以了，但亲测不大行，也可能我操作问题，因为外网的出入口不是一样的，比如我用的natapp其实最后我在白名单输入的ip并不是我本地的ip也不是那种拿着url去查ip得到的ip，那些都不准。下面开始表演。 其实微信的报错已经做的很好了，我们只需要去微信公众平台的开发者工具里面有在线接口调试工具 在这里输入id和secret之后检查，如果获取失败会返回一个×××not int whitelist也就是说这里会告诉你你使用的外网ip是多少。把这个ip填到白名单中就可以了 { "errcode": 40164, "errmsg": "invalid ip

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 防攻击可以增加IP白名单/etc/hosts.allow和黑名单/etc/hosts.deny 配置文件格式参考： 修改/etc/hosts.allow文件 # # hosts.allow This file describes the names of the hosts which are # allowed to use the local INET services, as decided # by the ‘/usr/sbin/tcpd’ server. # sshd:210.13.218.*:allow sshd:222.77.15.*:allow 以上写法表示允许210和222两个ip段连接sshd服务（这必然需要hosts.deny这个文件配合使用），当然:allow完全可以省略的。 www.111cn.net 当然如果管理员集中在一个IP那么这样写是比较省事的 all:218.24.129.110//他表示接受110这个ip的所有请求！ /etc/hosts.deny文件，此文件是拒绝服务列表，文件内容如下： # # hosts.deny This file describes the names of the hosts which are # *not* allowed to use