说六件事
阅读本文大概需要 3 分钟。
如题。
说六件事。
1.最近的“脱裤”事件,it人都叫“拖库”。闹腾的沸沸扬扬,真心比这40的高温都热。事件的起因是把数据库的连接方式传到了github,直接导致黑客攻击信息泄露,把这些开房信息都拉出来售卖。老实交代,读者们年轻时开过几次房?想想都恐怖。透明的时代!用户名“root”,密码“123456”。当我看到的时候当时下意识的有两个想法:
1、笑尿了。
2、专业的事应该交给专业的人去做。
附上3张图,大家应该能感受到事情的严重性,我说最近咋么卖保险的、售楼处的、健身的,学英语的都给我打电话呢。。。
由于我也是陕西人,特地搜索了下陕西的,出来这么一大波,我相信其他省的也应该不会少。艾玛,咋么忘记打上马赛克了。
这么多数据为什么都裸奔了?妈蛋,保护措施没做好呀!
再比如
鲁迅说得好:
傻人有傻福,但傻X没有啊。
用户名用root,密码123456,在我看来说白了,这就相当于小学老师问你1+1等于几呀?有点智商的人都会回答2,可是它也有可能也等于3啊,至于为什么呢?因为还有可能生个小崽子。
2.公众号『说点特别的』已经和云栖社区、阿里云科技快讯达成合作战略协议。有图为证,我相信会越走越远。合作,本来就是双赢的事。这是一件好事。
3.明天某人生日,会送大家一波福利,大家明天记得领取。
4.高哥吊打伸手党!
5.又推了一个广告,就是这么尿性。不为啥,就因为我觉得合作不真诚。这是我一贯的原则。
6.重点来了,聊聊数据库的安全性。
数据库安全包含两层:第一层是指系统运行安全,系统运行安全通常受到的威胁如下,一些网络不法分子通过网络,局域网等途径通过入侵电脑使系统无法正常启动,或超负荷让机子运行大量算法,并关闭cpu风扇,使cpu过热烧坏等破坏性活动; 第二层是指系统信息安全,系统安全通常受到的威胁如下,黑客对数据库入侵,并盗取想要的资料。数据库系统的安全特性主要是针对数据而言的,包括数据独立性、数据安全性、数据完整性、并发控制、故障恢复等几个方面。
1、数据库尽量不要裸奔在公网上。
一般数据库服务器,也就是装数据库的机器尽量不要装在公网机器上。公网机器很可能被SQL注入。危险性非常大。退一步讲,就算装在了公网机器上,也要进行防火墙设置,比如开白名单、入出站规则设置。去年的勒索病毒就是最好的案例。
2、应用系统配置文件加密
比如,一般的应用系统都会有配置文件webconfig,一般里面会涉及到链接数据库的字符串,如ip、端口、数据库名称、用户名、密码建议都进行加密。一般采用md5或base64去进行加密,但是这种方法太低级了。需要去用更难破解的手段去加密。其他行业我不太清楚、在医疗行业医院在三级等保时,配置文件各个应用系统配置文件必须要求是加密的。
3、操作系统层面的漏洞
操作系统也是有漏洞的,这个时候就必须要去打补丁,很重要。吃碗泡面,没调料我估计也好吃不到哪里去。
4、数据库的用户名和密码复杂程度
用root或者administrator密码123或者123456的这种都是在作死。
5、还要防止那种删库跑路的
一个rm-rf/*或者回收站就彻底凉凉了。『从删库到跑路』这本书在某宝上已经卖的很火了。开个玩笑,删库获刑的不少了,千万不可冲动。
机会从来都不是一蹴而就的,五年磨一剑。这才刚开始。多一个朋友多一条路。
明天某人生日,敬请期待。
往期文章:
懂业务的技术人!
如题。