请不要卷，我 8 点 30 下班，到家 9 点 10 分

"我去你妈的鸟命，我命由我不由天"
感觉别扭是因为前半句骂的不够脏，情绪没到位

爽

看起来好像不是很聪明

@WoneFrank 严格意义上来说是：文件读写、数据库操作、有没有命令执行漏洞。
其他的如果用 oss 那就注意下 aksk 权限就行了。

没必要，多了很多没有啥用还折腾的操作。
要真正理解安全，在必要的地方做好防护就行了。
做网站类无非就是 ssh+web 服务+数据库，那你只需要 ssh 公私钥登陆/白名单登陆，数据库本地访问，web 服务 go 代码就考虑三个事：文件写入、数据库操作、命令执行，剩下的都不需要管

web 上个 cdn 、waf ，app 加个壳
app 和 web 都看看源代码有没有明显漏洞
到这就差不多完事了

别卷了红队哥

现在网安很难了，没什么发展空间，搞哪个方向要求都比以前高。
楼主这应该是 web 方向，那最起码审计的语言：go ，java ，php ，c#，python 都是要会的。
再往下走，开发能力：python ，go 要有，不说到研发那种的大平台开发，正常写个脚本小工具肯定要会。
上面是基础能力，再往下细分，乙方要会打，甲方要知道乙方怎么打的然后建设。

费大劲把这些都搞明白了，全栈了，过一阵子大佬带着 2 个 ai 小弟干着 10 个你能干的活，何必呢

你可以写一个简单的，网站上线前备份然后记录一下哈希，然后实时、每分钟监控文件哈希变动。
文件修改和写入可以白名单后缀或者目录，其余的发现文件有改动直接备份文件覆盖就行了。
网站进程低权限跑，防篡改进程高权限跑。

看完了，这文章文笔看着真舒服，哪天不想干计算机了可以去写文章啊

好文，感谢分享！

睡前喂点小零食就好了，亲测有效，吃饱就困

希望有转机，祝好

其他端口确定安全就在 web 端口前面套个带认证的 nginx 。
如果不确定那就通过白名单、socks5 、vpn 这种方式访问。

chmod 600 你的 publickey

cve-2021-4034 这个是 linux 下 pkexec 逻辑提权的，直接能提到 root 权限。
你这个应该是自己跑的业务有漏洞被打了，也就是被人写了 webshell 或者直接利用 java 命令执行了。
root 被拿了多半会有各种计划任务、rootkit 之类的后门操作。
如果源码和数据有备份建议先把漏洞修了，然后重开一台新服务器再把业务部上去。

@chanChristin 所以实际上安全的应该只能是纯邮箱注册