用途 您可以将 Wazuh 部署为单节点或多节点堆栈： * 单节点部署：部署一个 Wazuh 管理节点、索引节点和仪表盘节点。 * 多节点部署：部署两个 Wazuh 管理节点（一个主节点和一个工作节点）、三个 Wazuh 索引节点和一个 Wazuh 仪表盘节点。 两种部署都支持数据持久化，并允许配置证书以保障节点间通信安全。多节点堆栈 提供高可用性。 单节点部署 1. 进入 single-node 目录，在该目录中执行以下操作。 2. 为每个集群节点提供证书，以便安全通信。提供证书有两种方法： 克隆 Wazuh 仓库至您的系统： git clone https://github.com/wazuh/wazuh-docker.git -b v4.9.2 方法一：生成自签名证书 Wazuh 提供一个 Docker 镜像来自动生成证书。 执行以下命令生成证书： docker-compose -f generate-indexer-certs.yml run --rm generator 证书将保存至 config/wazuh_indexer_ssl_certs 目录中。 完整示例： # Wazuh App 版权所有 (C) 2017 Wazuh Inc. (GPLv2 许可) version: '3' services: generator: image: wazuh/wazuh-certs-generator:0.0.2 hostname: wazuh-certs-generator volumes: - ./config/wazuh_indexer_ssl_certs/:/certificates/ - ./config/certs.yml:/config/certs.yml environment: - HTTP_PROXY=您的代理地址或 DNS 如果您的系统使用代理，请在 generate-indexer-certs.yml 文件中添加以下内容： environment: - HTTP_PROXY=您的代理地址或 DNS 方法二：提供自有证书 如果您已有证书，将其放置到以下路径： Wazuh 仪表盘： config/wazuh_indexer_ssl_certs/wazuh.dashboard.pem config/wazuh_indexer_ssl_certs/wazuh.dashboard-key.pem config/wazuh_indexer_ssl_certs/root-ca.pem Wazuh 管理节点： config/wazuh_indexer_ssl_certs/root-ca-manager.pem config/wazuh_indexer_ssl_certs/wazuh.manager.pem config/wazuh_indexer_ssl_certs/wazuh.manager-key.pem Wazuh 索引节点： config/wazuh_indexer_ssl_certs/root-ca.pem config/wazuh_indexer_ssl_certs/wazuh.indexer-key.pem config/wazuh_indexer_ssl_certs/wazuh.indexer.pem config/wazuh_indexer_ssl_certs/admin.pem config/wazuh_indexer_ssl_certs/admin-key.pem 4. 启动 Wazuh 单节点部署： 5. * 用户名：admin * 密码：SecretPassword Wazuh 仪表盘默认用户名和密码： 为提高安全性，您可以更改 Wazuh 索引节点的默认密码。 后台运行： docker-compose up -d 前台运行： docker-compose up 注意 Wazuh 仪表盘容器在启动时通过多次调用 Wazuh 索引 API 查询是否就绪。您可能会看到多个以下消息，属于正常现象： * "Failed to connect to Wazuh indexer port 9200" * "Wazuh dashboard server is not ready yet" 索引节点启动大约需要 1 分钟，完成后设置过程将自动继续。 多节点部署 1. 进入 multi-node 目录，执行以下步骤。 2. 为每个集群节点生成或提供证书（操作方法与单节点相同）。 3. 启动 Wazuh 多节点部署： 4. 5. Wazuh 仪表盘默认用户名和密码： * 用户名：admin * 密码：SecretPassword 后台运行： docker-compose up -d 前台运行： docker-compose up 克隆 Wazuh 仓库至您的系统： git clone https://github.com/wazuh/wazuh-docker.git -b v4.9.2 构建本地 Docker 镜像 1. 构建镜像： 2. 对于 4.3.5 及以上版本： build-docker-images/build-images.sh 对于 4.3.4 及以前版本： docker-compose build 克隆 Wazuh 仓库： git clone https://github.com/wazuh/wazuh-docker.git -b v4.9.2 更改 Wazuh 用户密码 分两步更改： 1. 更新配置文件： 2. 在 docker-compose.yml 文件中更新对应的旧密码： services: wazuh.manager: environment: - INDEXER_PASSWORD=新密码 wazuh.dashboard: environment: - DASHBOARD_PASSWORD=新密码 打开 config/wazuh_indexer/internal_users.yml 文件，替换相应用户的哈希： admin: hash: "新生成的哈希值" kibanaserver: hash: "新生成的哈希值" 生成新密码的哈希值： docker run --rm -ti wazuh/wazuh-indexer:4.9.2 bash /usr/share/wazuh-indexer/plugins/opensearch-security/tools/hash.sh 输入新密码并复制生成的哈希。 停止部署堆栈： docker-compose down 结束 现在，您已经完成了 Wazuh Docker 单节点或多节点部署的设置及密码更改配置！

1. 优先使用 HTTP-Only Secure Cookie 优点： * 浏览器自动处理 Cookie，避免前端直接访问，防止 XSS 攻击。 * 可通过 SameSite 限制跨站请求。 操作： 1. 前端 API 请求： 2. 使用浏览器自动附带的 Cookie，而无需手动管理： fetch('/api/preferences', { method: 'GET', credentials: 'include', // 允许发送 Cookie }).then(response => response.json()) .then(data => console.log(data)); 服务器存储 Token 时设置 HttpOnly, Secure, 和 SameSite 属性： Set-Cookie: token=your-token-here; HttpOnly; Secure; SameSite=Strict 2. 使用 Local Storage + Short-lived Access Token 原理： * 将 Access Token 存储在 localStorage。 * 短时间有效性，过期后使用 Refresh Token 或重新登录。 优点： * 实现简单，Token 直接获取，适合前端场景。 * 减少长期凭据泄露风险。 实现： 1. 缺点及解决： * localStorage 不安全，容易被 XSS 攻击利用： * 可以启用 CSP（Content Security Policy）限制脚本来源。 * 定期轮转 Token。 每次 API 请求在 Header 带上 Token： const token = localStorage.getItem('token'); fetch('/api/preferences', { method: 'GET', headers: { 'Authorization': `Bearer ${token}`, }, }).then(response => response.json()) .then(data => console.log(data)); Token 保存到 localStorage： localStorage.setItem('token', yourToken); 3. 使用 Session Storage（临时 Token 保存） * 与 localStorage 类似，但浏览器会话结束时自动清除数据。 * 适合用户短期登录的情况。 4. Token 的轮转机制 无论选择哪种方法，都建议使用轮转机制提升安全性： 1. Access Token 短时间有效（如 15 分钟）： * 过期后通过 Refresh Token 获取新 Access Token。 * 确保 Refresh Token 保存在 HttpOnly Secure Cookie 中。 2. 后端刷新 API： 3. 提供一个 /refresh-token 接口，用于定期发放新 Token： fetch('/refresh-token', { method: 'POST', credentials: 'include' }) .then(response => response.json()) .then(({ token }) => { localStorage.setItem('token', token); }); 5. 结合场景做权衡 1. 如果安全性要求高（如涉及敏感数据）：优先使用 Cookie。 2. 如果用户体验优先：采用 localStorage 或 sessionStorage + 安全机制。 总结： * 理想方案：Access Token 存在内存中或短期内有效，使用 HttpOnly Secure Cookie 保存 Refresh Token，后端通过接口刷新令牌。 * 避免在全局环境中长时间暴露 Access Token 或存储敏感数据。

日本二手交易平台Mercari因一起"退货骗局"纠纷引发舆论风暴。卖家遭遇买家调包退货，平台处理不当导致事件在社交媒体发酵。分析指出Mercari存在风险管理缺失、处理偏颇和危机公关滞后等结构性问题，警示其他平台需完善用户保护机制、建立透明沟通和主动危机应对。该事件反映了平台经济下企业治理的普遍挑战，呼吁平台和用户共同提升交易安全与权益保护意识。

日本是个神奇的国度，多个二手交易平台全靠诚信，买家卖家之间互相交易。 这个在国内是想象不到的。 近日X上因被白嫖和欺诈以及煤炉官方的不作为引起愤怒。 貌似不管如何申述都类似AI似的回答。 并且近日又有一个事件，打破煤炉自身规则，即已互相评价的交易（88万日元的商品），在评价一周后，买家已假货为由联系了煤炉，煤炉单方面让卖家接受退款，并在过程中直接封了卖家账号并没收了卖家在煤炉上的销售额。 另外还有网友在X（twitter）上组建队伍试图维权。 虽然收效甚微，但希望他们能维权成功。 上文已经说了，如煤炉，在日本二手网上交易平台中买卖大部分靠自觉。 目前这个交易漏洞被某些坏人利用，貌似零元购原来越多，煤炉官方所为仅对卖家非常不友好，对于买家的话，只要对方评价好一般都没有问题。所以在二手平台上卖东西还需谨慎。

在现代 DevOps 和云原生开发环境中，安全管理敏感数据（如 API 密钥、数据库凭证等）是一项至关重要的任务。手动管理这些敏感信息既不高效也不安全，因此自动化的加密工具成为了必备。而 SOPS，由 Mozilla 开发，凭借其简洁的操作和强大的功能，成为开发者和运维人员的首选。 本篇博客将介绍 SOPS 的核心功能、适用场景以及如何将它集成到您的项目中。 什么是 SOPS？ SOPS（全称：Secrets OPerationS）是一个文件加密工具，专注于管理敏感数据的安全性。与传统的加密工具（如 GPG 或 OpenSSL）不同，SOPS 的设计目标是以结构化和自动化的方式加密和解密文件内容。 核心特点 1. 结构化加密 SOPS 可以对文件的部分内容进行加密，而非整个文件。例如，可以加密 YAML 或 JSON 文件中的特定字段。 2. 多种密钥后端支持 SOPS 支持与多种密钥管理服务集成，包括： * AWS KMS * Google Cloud KMS * Azure Key Vault * HashiCorp Vault * PGP/GPG 3. 原生支持 YAML、JSON、INI 和 ENV 文件 SOPS 能够自动解析这些格式，并加密指定字段，同时保留文件的整体结构。 4. 简单易用 提供简单的命令行工具，支持快速加解密操作，且能方便地集成到 CI/CD 管道中。 SOPS 的应用场景 1. 敏感信息管理 将敏感信息以加密文件的形式存储在代码仓库中，避免明文泄漏风险。 2. 云原生环境中的密钥管理 配合 Kubernetes 或其他容器化平台，将加密文件解密后注入到环境变量或配置文件中。 3. 团队协作 与密钥管理服务集成后，团队成员可以无缝访问加密文件，而无需共享实际密钥。 安装与配置 1. 安装 SOPS SOPS 是一个独立的二进制文件，可通过以下命令快速安装： * 手动下载二进制文件：SOPS Releases 2. 配置密钥后端 在使用 SOPS 加密文件之前，需要配置密钥后端。例如： * GCP KMS： 启用 Google Cloud KMS 并获取密钥的 keyId。 验证安装 安装完成后，运行以下命令检查版本： sops --version AWS KMS： 确保您的 AWS CLI 已正确配置，并创建一个 KMS 密钥： aws kms create-key Linux（通过包管理器）： sudo apt-get install sops macOS（通过 Homebrew）： brew install sops 快速入门：加密和解密文件 编辑加密文件 使用 SOPS 内置编辑功能，可以直接在加密状态下编辑文件： sops secrets.enc.yaml 解密文件 运行以下命令解密文件： sops -d secrets.enc.yaml > secrets.dec.yaml 加密文件 使用以下命令加密文件： sops -e secrets.yaml > secrets.enc.yaml 加密后的文件内容如下： db_username: ENC[AES256_GCM,data:jHyIghx...,iv:jMjshjk...,tag:Ghojs...] db_password: ENC[AES256_GCM,data:hjksHja...,iv:ghJjks...,tag:sds78...] api_key: ENC[AES256_GCM,data:KjsksJs...,iv:AskskJj...,tag:Asdjjk...] 创建一个敏感文件 创建一个包含敏感信息的 YAML 文件： db_username: admin db_password: secret123 api_key: abcdefg123456 在 Kubernetes 中使用 SOPS 在 Kubernetes 环境中，可以结合 SOPS 和 Helm Secrets 插件管理敏感数据。 解密并注入到集群 在 CI/CD 中使用 SOPS 解密文件，然后通过 kubectl apply 部署： sops -d secrets.enc.yaml | kubectl apply -f - 加密 Kubernetes 配置 将 Kubernetes Secret 文件加密： apiVersion: v1 kind: Secret metadata: name: my-secret data: username: admin password: secret123 使用 SOPS 加密后文件仍保留 YAML 格式，但敏感数据被加密。 集成到 CI/CD 管道 在自动化工作流中，SOPS 是处理敏感数据的理想工具。以下是与 GitHub Actions 的简单集成示例： 1. 配置密钥管理服务，如 AWS KMS。 在 GitHub Actions 中添加解密步骤： steps: - name: Checkout code uses: actions/checkout@v2 - name: Decrypt secrets run: | sops -d secrets.enc.yaml > secrets.yaml - name: Use secrets run: | echo "Using secrets from decrypted file" SOPS 的优势与对比 特性 SOPS KMS 直接使用 GPG 文件部分加密 ✅ ❌ ❌ 多格式支持 ✅（YAML, JSON, ENV 等） ❌（需自行实现） ✅ 易用性 ✅（简洁高效） ❌（复杂） ❌（需学习曲线） 自动密钥管理 ✅（与 KMS 集成） ✅ ❌ 总结 SOPS 是现代化敏感数据管理的优秀工具，它的灵活性和易用性使其成为 DevOps 和云原生开发的首选解决方案。通过与 KMS 等密钥管理服务集成，SOPS 能够帮助团队高效、安全地管理敏感数据，避免传统方法中常见的安全风险。 如果您的项目中需要处理大量敏感数据，不妨尝试一下 SOPS，为您的开发和运维流程增添一层强大的安全保障！ 更多信息请访问 SOPS 官方 GitHub 仓库。