windows server 2016預計在今年第三季度發布,微軟正在通過提供賞金尋找bug獵人——確保下乙個關鍵伺服器作業系統版本中的nano server中沒有任何漏洞。
正如大多數管理員所知,修補遠端**執行(rce)漏洞會獲得乙個關鍵評級。針對nano server中這些型別的漏洞,微軟將支付15000美元懸賞「高質量」報告。不同於其他正在進行的賞金計畫,該型別參與者必須在7月29日截止之前提交報告。
其他漏洞則回報少一點。對於「遠端未經身份驗證的拒絕服務、許可權提公升或nano server dlls中其他更高階別的嚴重漏洞」,獵人可以賺取高達9000美元的賞金。對於影響nano server dlls的bug,如欺騙和資訊披露等,賞金為500美元。
nano server是乙個輕量級的伺服器作業系統,對於需要快速部署和管理容器和/或虛擬機器的組織來說優勢巨大,因此特別適合devops環境。
nano server安裝後只有400mb,而完整的windows server 2012部署則需要占用6.3gb的硬碟空間。
通過削減伺服器安裝消耗,只留下核心服務,nano server這種較小的部署規模能夠允許組織最大化主機上的虛擬機器執行數量。微軟還將nano server定位於擴充套件檔案伺服器和託管windows server和hyper-v容器的主機。
削減大量的**也意味著大幅減少了nano server的受攻擊面。理論上,nano server的占用空間小意味著更少的弱點可乘。尤其是當企業採用了容器基礎設施,微服務執行在底層作業系統之上,那麼作業系統的安全性是至關重要的。
這聽起來是不是很熟悉?事實上,微軟已經在windows server 2008中通過發布server core來試圖簡化作業系統部署。但是server core並沒有吸引到大多數管理員。雖然server core略微比windows伺服器安全,但管理員必須克服它的學習曲線。
那麼,nano server有什麼不同呢?也許並沒有什麼太大差異,只是時代變了。越來越多的公司正在大規模部署伺服器,導致管理員們對powershell的興趣大增。並且微軟不可能對vmware等競爭對手用photon討好雲客戶這種情況袖手旁觀,因此推出了自己的精簡的linux作業系統來託管容器。
對於此次的漏洞報告獎勵,你可以從兩方面看待。首先,可以認為這種努力是微軟ceo satya nadella帶領下的文化轉變,其更強調透明度。
Spring Cloud Config安全保護方法
由於配置中心的內容比較敏感,做一定的安全是有必要的。為了防止配置內容外洩應該採取安全保護。因為本來用的是基於springboot的,所以整合spring security比較容易。預設情況下回獲得乙個名為user的使用者名稱,並且在啟動的時候,會在日誌中列印隨機密碼。大多數情況下,我們並不採用隨機密...
Docker為整個軟體生命週期提供安全保障
提到docker的安全性和隔離性,人們關注點大多都在執行階段。但是,執行時的安全問題僅僅是整個軟體生命週期中的一部分,我們需要在整個軟體生命週期都考慮安全問題。管理者必須把安全作為乙個關鍵因素考慮,並貫穿軟體產品 鏈的全過程,考慮當出現持續的人員流動 更新 架構變化時,如何保證安全。用生產手機的 鏈...
Docker為整個軟體生命週期提供安全保障
提到docker的安全性和隔離性,人們關注點大多都在執行階段。但是,執行時的安全問題僅僅是整個軟體生命週期中的一部分,我們需要在整個軟體生命週期都考慮安全問題。管理者必須把安全作為乙個關鍵因素考慮,並貫穿軟體產品 鏈的全過程,考慮當出現持續的人員流動 更新 架構變化時,如何保證安全。用生產手機的 鏈...