OAuth 2.0 是目前比较流行的做法，它率先被Google, Yahoo, Microsoft, Facebook等使用。之所以标注为 2.0，是因为最初有一个1.0协议，但这个1.0协议被弄得太复杂，易用性差，所以没有得到普及。2.0是一个新的设计，协议简单清晰，但它并不兼容1.0，可以说与1.0没什么关系。所以，我就只介绍2.0。

协议的参与者

从引言部分的描述我们可以看出，OAuth的参与实体至少有如下4个：

• RO (resource owner): 资源所有者，对资源具有授权能力的人。如上文中的用户Alice。
• RS (resource server): 资源服务器，它存储资源，并处理对资源的访问请求。如Google资源服务器，它所保管的资源就是用户Alice的照片。
• Client: 第三方应用，它获得RO的授权后便可以去访问RO的资源。如网易印像服务。
• AS (authorization server): 授权服务器，它认证RO的身份，为RO提供授权审批流程，并最终颁发授权令牌(Access Token)。读者请注意，为了便于协议的描述，这里只是在逻辑上把AS与RS区分开来；在物理上，AS与RS的功能可以由同一个服务器来提供服务。
  阅读全文 »

在墙里的同学们不难发现，现在除了百度云以外，国内几乎没有什么公开的云盘服务了，有时我们想在自己的不同设备之间、或者给客户共享点资料非常困难，试想一下如果能有自己私有云存储，并且能支持自动同步本地数据还能轻松与他人共享，是件多面嗨皮的事。本文介绍一下如何利用华为云，基于Docker+Seafile搭建私人云存储。

开通华为云服务

工欲善其事，必先利其器。如何购买华为云，这里就不赘述了，详见官网介绍，总之乖乖按照官方指引轻松几步就搞定。笔者双11把手打折了，索性只买了1C1G的弹性云服务器（首月只要30+元），预装了Centos7.2操作系统。通过“管理控制台”进入弹性云服务器界面，可以远程登录主机，如下图所示。

ELK在运维监控领域使用非常广泛，日志采集通常依靠Logstash，但是通常来讲Logstash架构比较重载，一个安装包由几百MB，相比之下Elastic还提供另一种更轻量的采集工具Beats。Beats 平台集合了多种单一用途数据采集器。这些采集器安装后可用作轻量型代理，从成百上千或成千上万台机器向 Logstash 或 Elasticsearch 发送数据。本文简要介绍一下使用Winlogbeat收集Windows日志，并用ES + Kibana检索的配置方法。

最近在研读Hive社区版本的源码，发现其中多处用到了Java依赖注入，这里简单总结一下依赖注入的几种实现方法。在谈java依赖注入之前，有必要先回顾一下设计模式中的Proxy模式。

其实每个模式名称就表明了该模式的作用，代理模式就是多一个代理类出来，替原对象进行一些操作，比如我们在租房子的时候回去找中介，为什么呢？因为你对该地区房屋的信息掌握的不够全面，希望找一个更熟悉的人去帮你做，此处的代理就是这个意思。再如我们有的时候打官司，我们需要请律师，因为律师在法律方面有专长，可以替我们进行操作，表达我们的想法。先来看看关系图：

最近看到越来越多的安全圈的同学开始关注UBA或者UEBA的相关产品和技术，恰好这一段时也一直在跟进UBA产品的状况，正如Gartner报告所述，最具创新能力的UBA供应商往往都是一些初创公司，我们比较了IBM、HPE、Splunk这类大公司的UBA产品，但是感觉无非就是SIEM产品的更新升级罢了，相反一些名不见经传的初创公司如Balabit、Sqrrl等的UBA产品到让人眼前一亮。在参考业界的同时，我们也在UBA的核心算法上做了一番研究，要知道UBA之所以号称下一代SIEM，其核心就是将机器学习引入行为数据检测，本文简要总结一下近期研究的适用于UBA的机器学习算法和效果。

UBA产品并不依赖某个“银弹”算法，其必定是一系列机器学习算法的有机融合，稍微了解机器学习的同学都清楚，像贝叶斯家族、线性回归这类有监督学习算法往往都需要大量的训练样本，但是网络安全领域APT攻击的样本一年抓不住两个，要说大量训练几乎没可能，因此UBA产品大量采用非监督学习算法，通过聚合行为数据巧妙的达到异常检测的目的。下面简要介绍一下在行为检测过程中常用的机器学习算法。

首先我们假设一个用户场景，张三，是一个SO的系统管理员，他的账号有很多出入IT系统的权限，某天他的账号被黑客盗用了，黑客通过VPN等通道接入内网，并且将数据偷盗到公司外出售给竞争对手。

在入侵防御领域，运用数据分析的方法保护数据的技术其实没有什么新的东西，比如防火墙-分析数据包的内容以及其他的元数据，如IP地址，从增长的数据条目中检测和阻断攻击者；防病毒软件不断的扫描文件系统，通过检查比特流代码和其他一些特征来标记文件是否被感染。

与防火墙和防病毒软件不同，用户行为检测或者UBA聚焦于用户正在发生的行为：应用启动、网络连接活动、最关键的文件访问（当文件或邮件被访问的时候，谁访问的，在文件上做了什么以及操作的频率）。

UBA技术检索那些可以表征不常见或者异常动作的行为模式，不管这些操作具体是来自黑客、内部人员、甚至是恶意软件或其他进程，UBA并不阻止黑客或者内部威胁进入你的系统，但它可以迅速标记这些行为，让损失最小化。

UBA是SIEM的近亲（Security and Information Event Management），SIEM历来专注于分析防火墙捕获的事件、OS和其他系统的日志，从而发现并标记一些有趣的关联的目的，通常是通过一些预定义的规则来发现，举个例子，几个登录失败的事件可能会匹配到另一个网络日志中流量的增加，SIEM可能会认为这是一个黑客入侵系统并删除数据的信号。

本文基于自建的Docker平台速搭建一套完整的ELK系统，相关的镜像直接从Docker Hub上获取，可以快速实现日志的采集和分析检索。

#准备镜像

• 获取ES镜像：docker pull elasticsearch:latest

• 获取kibana镜像：docker pull kibana:latest

• 获取logstash镜像：docker pull logstash:latest

#启动Elasticsearch
官方镜像里面ES的配置文件保存在/usr/share/elasticsearch/config，如果有需要可以将该目录映射到宿主机上；数据文件目录/usr/share/elasticsearch/data，这里我们把数据目录映射出来；容器默认对外提供9200端口，用作API交互。

下载MPic

地址：http://mpic.lzhaofu.cn/

MPic设置账号

• 启动工具，点击“账号设置”，如下图
  
• 填写七牛云账号，七牛地址：https://www.qiniu.com/
  阅读全文 »