办公安全,用什么来保护我的运维安全

这个漏洞构成一定的影响范围。打个比方这个是入侵的,格子格开只能入侵,他只能提权,其他什么干不了,这样以后两个串不通了,不能组合在一起了。如果没有防控体系,这个漏洞和那个漏洞通过串通以后可以实现入侵、提权,想干什么干什么,我们必须建立起像这样网格化、蜘蛛网一样的安全加固体系。

办公网对外端口开放的需求主要来源于测试需求

二.webshell长什么样子

一个帐号就是最高权限的,只干开帐号和赋予权限的,第二个帐号是用来干活的,只有这样的情况下面,才能避免误操作的情况。作为运维工作角度来说,它不仅仅要防范已知漏洞会造成黑客入侵,还要防护未知漏洞,更要防范内鬼,还要防范误操作,还要防范一些日常等特殊情况。

三.应用安全

利用系统前台的上传业务,上传WebShell脚本,上传的目录往往具有可执行的权限。在web中有上传图像、上传资料文件的地方,上传完后通常会向客户端返回上传的文件的完整URL信息,有时候不反馈,我们也可以猜到常见的image、upload等目录下面,如果Web对网站存取权限或者文件夹目录权限控制不严,就可能被利用进行webshell攻击,攻击者可以利用上传功能上传一个脚本文件,然后在通过url访问这个脚本,脚本就被执行。然后就会导致黑客可以上传webshell到网站的任意目录中,从而拿到网站的管理员控制权限。

然后是内网安全,内网服务器之间根据彼此调用关系开放相应的端口,防火墙策略必须严格细致,比如来源IP,到本机的目的地IP,网卡、请求的协议,请求的断口号,允许请求的频率,接受或拒绝等等。

互联网公司很多电脑都是自带办公的(BYOD),病毒防护/补丁更新方面很难强制要求,可以提醒大家安装防病毒软件。

4)系统其他站点被攻击,或者服务器上还搭载了ftp服务器,ftp服务器被攻击了,然后被注入了webshell的木马,从而导致网站系统也被感染。

你的编译环境要跟你的生产环境大的版本必须是一致的。如果大的版本不一致,编译出来的放上去也是没用的。把相关的文件从编译的环境放在位置上就可以了。整个的编译过程,编译的时候会需要一个环境,编译好了以后环境是不需要的。

这点需要特别关注,因为OA、财务系统等都是外部开发的,加上使用的人多,研究安全漏洞的人也多,容易出现web 0 day漏洞,非常容易被入侵,所以这块系统的安全评估,也不能拉下。

排查程序存在的漏洞,并及时修补漏洞,如果没有安全能力,可以通过应急响应服务人工界入协助排查漏洞及入侵原因,同时可以选用阿里云商业web应用防火墙防御,降低入侵机率。

安全在你真实做的时候并不是方格型的,我们在做安全的时候应该做到层层防护,步步为营。就好象二战打仗的时候,战场上面你出于保护国家的目的有第一道防线,第二道防线。我们做运维也是应该做到这样,怎么样能够把操作系统维护好,把应用维护好,同时对于黑客的入侵我们能够做到关门打狗。

2.收到钓鱼邮件,说由于系统升级原因需要修改邮箱帐号密码,然后输入邮箱帐号密码,被黑客拿到帐号密码

1)通过web站点漏洞上传webshell

使用SED替换,首先能全部记录下来,如果有问题只要找到相关的文件改两下就可以,改了那么多行信息改到哪里都不知道,大海捞针。

1.警惕钓鱼邮件,特别是修改邮箱密码的邮件

webshell中由于需要完成一些特殊的功能就不可避免的用到一些特殊的函数,我们也就可以对着特征值做检查来定位webshell,同样的webshell本身也会进行加密来躲避这种检测。

权限绝对要管理严格,正确的做法,如果是对物理服务器,首先最高权限只能有两个人。这两个人是不同的两个人,这两个人其中一个做A角,一个做B角,B角平时绝对不能用的。最高权限只能用A角,他只能干两件事,一个是在系统里开帐号,帐号开好以后,给这个帐号赋予相应的权限,这个是A角的工作。所有人的工作都是由它赋予帐号和权限,用这个权限开展工作的。

3.办公网和IDC访问控制

原文链接

外网安全有这几个原则

图片 1

五.如何防止系统被植入WebShell?

一是作为数据库本身服务器的安全,还有数据库自己软件的安全

对于数据库服务器来说,严格设置防火墙安全策略,系统和数据库参数进行优化。如果你的服务器做数据库,内核参数还有配置文件,都要进行优化,这样发挥服务器的性能。尽量限制本地系统帐号登录数据库,首先登录服务器上面,这样可以提高安全性,直接通过VPN的方式,对他们来讲操作比较简单,安全性又好。

二是对于数据库应用程序安装完毕后进行安全加固。

尽量避免使用-e参数,必须要输入用户名和密码的,这个时候你的数据库的用户名和密码就显示出来了,是非常不安全的。

禁止在LINUX命令中带密码,禁止在脚本中使用最高权限的帐号密码。脚本中必须带数据库帐号密码的情况,必须严格限制帐号的权限。你在对数据库进行备份的时候要设置备份的帐号,备份哪一个库,开一个帐号。

接下来讲数据库本身的安全,对于每个WEB应用调用数据库使用单独的帐号密码,根据工作需要开放最小的权限,避免使用all privilages的权限。不同的库不同的WEB服务器调动,有可能存在1和2调到A库。

5.办公网入侵防御

一.什么是WebShell?

当然后面还有开发人员或者DBA,DBA只需要登录到数据库就可以了,通过VPN的设置允许登陆这四台服务器就可以了,这样就可以把不同的技术人员,对服务器不同管理登陆的权限就可以进行分离和分组了,这样会大大提高安全性。对于互联网普通用户的访问进出权限也需要进行严格限制这是通过网络层面的,通过网络对不同级别的权限进行分类或分组限制,对运维人员、运营人员DBA进行分组。对于互联网普通用户的访问进出权限也需要进行严格限制。3.2网络安全

6.网络安全准入

3)利用数据库备份与恢复功能获取webshell。如备份时候把备份文件的后缀改成asp。或者后台有mysql数据查询功能,黑客可以通过执行select..in To outfile 查询输出php文件,然后通过把代码插入到mysql,从而导致生成了webshell的木马。

如果从安全角度考虑,对于事故处理,不应该说只是开除当事责任人的方式了事,我认为这是不正确的。真正应该是自己公司内部做好管理体制和机制,把安全做得更好才是准确的。

--做了准入控制,无法接入办公网络

“web”的含义是显然需要服务器开放web服务,“shell”的含义是取得对服务器某种程度上操作权限。webshell常常被称为匿名用户(入侵者)通过网站端口对网站服务器的某种程度上操作的权限。

十年磨一剑,十年入门,二十年进阶。

另外很重要的是要开启windows防火墙,严格控制服务器对外开放端口。

2)站点部署时混入了webshell文件

4.安全认识误区误区一 使用安全设备就能解决安全问题安全认识误区,使用安全设备就能解决安全问题,很多公司包括老板、技术总监都是这么认为的,包括在中国电信、移动、联通的技术总监和移动通讯的老总,包括一些银行,他们都是认为购买安全设备就能解决安全问题,都是这么认为的,这是不对的。误区二 安全是运维部门的事安全设备自己也是有问题的。还有安全是运维部门的事,其实大家也知道安全包括代码的安全,包括运维的安全,包括系统的安全,包括网络的安全,并不是安全运维部门一个部门的事情。就像我前面说的大公司里面也都出了被黑客入侵、攻击这些情况,出现了很严重的安全问题。所以大公司有钱再搞安全,有一两台服务器,不需要搞安全和架构设计。误区三 大公司的安全都出事,安全不重要大公司可以其他措施可以弥补,小公司付出的代价越大了,越是小的公司越要注意安全,才能让钱花在刀刃上。很多公司技术总监跟我交流我这段时间很稳定,半年了没出什么事,过去三个月没出什么事,他们就认为是安全的,这种观念是非常错误的。误区四 没出事,就是安全的,等出事了再说从安全角度来说,安全是为了防范出事故的,你前面一段时间不出事故,不见得你明天就是安全的。所以说安全问题不是看以前的,是要往后看的,是要看未来的。还有公司就是说安全成本太高,本公司有钱融到资以后再来进行安全工作,这主要是因为因为现在的社会竞争比较激烈,我觉得公司有这方面的考量是正常的,但是千万不要偷鸡不着蚀把米,不要因为安全问题搞的反而竞争不过别人了。误区五 安全成本太高,等公司有钱了再搞安全就像前段时间摩拜单车跟OFO两家在打,特别是创业型的公司,我就一两台服务器,不需要搞安全和架构设计是不对的。当你用到一台服务器的时候你就要搞安全问题,当你用到两台服务器,你就需要考虑架构设计。最起码两台设备的时候要考虑到安全冗余,当你有两台服务器就开始考虑做架构设计。还有这也是很普通的。安全太影响效率效益,回报率更重要。因为如果安全没做好,因为安全问题你会带来更大的损失。误区六 就一两台服务器,不需要搞安全和架构设计云主机供应商会提供安全产品,不需要安全和运维。打个比方说阿里云和腾讯云提供安骑士等等产品,只是在外围做防护,没有深入到你的系统和客户架构方面做安全加固,所以说光靠云厂商提供的安全设备,是不能够完全解决自己的安全问题的,是一道门槛而已。

5.SSL VPN安全接入

我们发现有大量的客户在使用从网上下载的第三方开源代码时,混入了WebShell的恶意脚本,造成二次入侵或多次入侵,所以在部署前期,如果不是新开发的代码,需要对代码进行恶意文件扫描查杀,防止上线后被入侵。

A帐号最高权限只负责开帐号和赋予帐号权限,就这么几条固定的命令,如果一旦服务器出现你的最高权限用了别的命令了就说明存在安全隐患,就说明有可能被黑客入侵了。A角给你开的权限和命令操作服务器,你想犯错误也是不可能的,全部给限定死了。也就是说对服务器的操作,一定要被限定死,要牢牢控制住。

同上,例外的如邮箱可以开放SMTP等端口。

简单理解: WebShell通常是以asp、php、jsp、asa或者cgi等网页文件形式存在的—种命令执行环境,也可以称为—种网页后门。黑客在入侵网站后,通常会将WebShell后门文件与网站服务器WEB目录下正常的网页文件混在—起,然后就可以使用浏览器来访问这些后门,得到命令执行环境,以达到控制网站或者WEB系统服务器的目的。

我们在做开发的时候需要我们的应用跟第三方合作伙伴,比方说用支付宝需要干什么,需要外网调用别的合作伙伴API接口,我们一般来讲通过IP转发方式调动API接口的,同时对于对方的IP地址、端口,要在配置当中写的非常详细。

guest用户:提供guest用户帐号密码,只能访问互联网,不能访问办公网

四.WebShell能够肆虐的重要原因是什么?

5.如何做好安全

因为办公网服务器一般是Windows系统,经常爆出各种安全漏洞,如近期NSA Shadow Brokers漏洞,所以需要定期更新安全补丁,数量少可以手动更新,数量多可以使用WSUS。

配置必要的防火墙开启防火墙策略,防止暴露不必要的服务,为黑客提供利用条件。

现在很多的漏洞补丁都是大家宣布出来以后才有相应的策略,特别是勒索病毒等等。REDIS漏洞、bash漏洞,肯定还有很多漏洞没有公布出来了,REDIS漏洞是开发者自己说出来的,如果不说没有人知道这个漏洞的。作为我们的运维从安全角度考虑,我们不仅仅要防御已知漏洞,我们更要防御未知漏洞,怎么防御呢?

下面是一个典型的互联网企业办公网相关网络示意图:

安装webshell检测工具,发现检测结果后,立即隔离查杀,并排查漏洞。

对于技术我们要有敬畏心,对技术敬畏心不够的,今天玩弄技术,明天就要被黑客玩弄。现在都说牛人牛人,在中国我们整个在技术领域,其实专业程度还不够高的,跟美国比,其实我们技术水平还是不高的,所以我觉得在我们中国牛蛙是很多的,牛人不多,没有几个。

3.禁止将公司内部信息传播到外部渠道(如网盘、微博)

加强权限管理,对敏感目录进行权限设置,限制上传目录的脚本执行权限,不允许配置执行权限。

网络安全我们分成外网安全、内网安全和交换机安全。一般来说外网安全,所有公司都可以做得到,都很重视。内网安全和交换机安全往往会忽视的,绝大多数的公司都会出现这样的情况。

另外如果有条件的话,像财务系统/OA可以考虑不开放,通过VPN接入和访问。

WebShell能够被注入很大程度是由于服务器或中间件的安全漏洞。例如:老版本的IIS目录解析漏洞、文件名解析漏洞、应用后台暴露和弱口令、fast-CGI解析漏洞、apache文件解析漏洞、截断上传、后台数据库备份功能上传、利用数据库语句上传等漏洞实现。

不同的数据库应用放在不同的数据库服务器上,最好是拆开放。如果放在一起危险性大一些,拆开放安全性高一些。这一块我基本上就把立体型安全防护的理论知识讲完了,我这里所有的知识点都是点到为止,不可能在这个时间范围内我展开讲的很细,大家领会这个意思就可以了,具体要做比我讲的要复杂多,没这么简单。

说明:

5)黑客直接攻击Web服务器系统漏洞入侵Web服务器在系统层面也可能存在漏洞,如果黑客利用其漏洞攻击了服务器系统,那么黑客获取了其权限,则可以在web服务器目录里上传webshell文件。

首先是拓扑架构的安全,有几个基本的原则。

3.外部访客接入公司网络,入侵公司系统获取敏感资料

对服务器进行安全加固,例如:关闭远程桌面这些功能、定期更换密码、禁止使用最高权限用户运行程序、使用https加密协议。

陈天乐上海富虎系统网络有限公司 创始人

职业生涯中有超过20多年专业的互联网公司运维、架构和安全工作经验,在职业生涯中有近8年的时间是在大型跨国公司工作。是资深的系统工程师、MySQL资深顾问、MCSE,RHCE,CMDBA。运维经验丰富。

上海富虎系统网络有限公司富虎系统网络有限公司是一家专业从事系统网络集群架构设计和运维,系统、网络、应用立体型安全加固,系统、网络、内核、数据库优化的一家技术公司。公司与阿里巴巴核心研发组、MYSQL技术支持部门、REDHAT软件公司、NGINX开源小组保持良好的技术合作关系,共同解决各种底层技术难题,技术力量雄厚。

二.终端安全

1)利用站点上传漏洞实现上传webshell

2.立体型安全防护简介

1.员工将公司代码上传到github,含VPN帐号密码,被入侵,这个帐号正好是某运维人员,然后就进入了生产网络

三.WebShell是如何入侵系统的?

3.2.2内网安全

一.网络安全

2)黑客获取管理员的后台密码,登陆到后台系统,利用后台的管理工具向配置文件写入WebShell木马,或者黑客私自添加上传类型,允许脚本程序类似asp、php的格式的文件上传。

要建立起像蜘蛛网的安全防护体系,如果碰到一些不知道的漏洞,但是刚刚被曝出来的时候,可以通过自己的安全加固体系可以权衡一下这个漏洞到底是什么样的危害,如果危害不是很大,我们可以慢慢对它进行修补,如果危害比较大快速修补掉,你就可以对漏洞可控可管理。不会像有一些公司漏洞一旦曝出来了,就四脚朝天,死给你看,一点办法没有了,做不到关门打狗的效果。

采购专业入侵检测系统设备,放在办公网出口,可发现入侵、网络木马等安全风险。

以下是asp webshell的样例,从界面看,它的功能还是比较全的,可以对服务器的文件目录进行读写操作,如果你是网站管理员的话肯定是不希望普通用户获得下面的权限的。

前言

1.办公网对外端口开放和管理

1.安全从构建制度机制开始1.1 制度和机制是保障安全生产的重要前提

首先从系统层面,不允许22/3389等端口或服务对外开放,这是基本原则;(在我进入公司的初期,发生几起服务器开放22端口被入侵事件)

我话说回来,我这里讲的也是一些基本的点,哪怕你技术水平不高的人做到这一些,至少安全性可以做的比较到位了。因为我今天跟大家讲不是专业的运维工程师讲,所以我不可能讲的很深入,我讲的比较简单一点,让大家能够理解,所以说讲的比较简单,基本上属于入门级的运维安全知识。

办公网安全主要关注网络安全、终端安全、系统安全、安全意识培训。

其次访问方式方面。使用VPN方式,并限制来源IP,对交换机帐户权限分组,严格管理。因为交换机设置不同的帐号,每个帐号组拥有不同的权限,特别是规模大了以后分组管理比较演进一些。

2.收到钓鱼邮件,说由于系统升级原因需要修改邮箱帐号密码,然后输入邮箱帐号密码,被黑客拿到帐号密码

对于帐号权限要定位到来源IP,打个比方说我这个WEB调用数据库,我的IP地址是192.168.3.1,权限再是数据库,这样可以设置比较严格。根据功能不同使用不同的帐号、密码、权限。定期或根据情况更改帐号、密码、频率。包括WEB调用数据库,过几个月要变,规律是最好按照你们架构改造的时候一起做,不要平时经常去换,这样会不稳定的。

所以说做企业安全,也需要特别关注办公安全,因为办公网的弱点很容易被黑客利用,造成不可估量的损失。

作者介绍

总之,办公安全同样不可忽略,属于企业安全的一个重要环节。

3.2.3交换机安全

2.代码安全,禁止将代码上传到github上

从安全角度来说,永远是预防比消防更加重要。

图片 2

如果你所有WEB服务器调用数据库只用一个帐号,比方说我用A号设置一个密码调用所有数据库,如果这个刚好代码没有写好,可以入侵到我的数据库,可以拿走所有数据,是非常不安全的。比方说一个A的帐号密码调用它。WEB2用B的帐号,各自的帐号和密码,都不要使用同一个,如果一个被黑进去了,只是伤害极小部分,而不是全部。

1.办公使用的电脑终端/测试服务器一般在办公网络(可能有总部/分公司等)

如果你的WEB服务器被黑客入侵了,要么盗取你信息,要么就是当肉机干别的坏事。如果没有作为严格限制,就可以干坏事了,如果安全设置比较严格,只能调用这里,想干别的坏事干不了。在服务器上架应用之初,应该联合做好避免攻击入侵的防护。

3.办公网和IDC使用专线或者VPN联通

运维需要经常巡检经常检查,监控软件配套起来做二次开发,如果有什么异常情况马上报警,大大提高安全性。只要符合规范就可以配合工作了,很方便。最好的安全措施是什么,比方说有监控服务器,对于每一个被监控下,最好自己把需要监控的内容,自己整理弄好之后形成一个文件,这样是最安全的。每隔几分钟推送给服务器,读取必要的信息,这样服务器的性能也不会受太大影响。

2.服务器安全

1.2 多账号+权限分离,用反人性来构建安全

---VPN需要短信进行二次认证,拿到了也进不生产网络

黑客太厉害,安全技术难度抬高,让高手或者安全公司来搞,这种观念也是不对的,哪怕是运维工程师,哪怕是入门级的运维工程师,我刚才举的运维安全加固的手段并没有包含太高的技术难度,所以说哪怕技术水平不高,你也通过一些最基本的安全手段来给互联网应用做一些安全加固,那也比裸奔强多了

四.安全培训

技术能力也不高,大部分的小黑客都可以防范掉,你自己有多少能力,就做多少的安全加固,那就很不错了。有的员工认为我做的再好老板也看不到,做了也白做,这就看你自己内心了,愿意对工作更加负责一点还是愿意混日子,这个观点是错误的,反面教材。

办公网和IDC只允许堡垒机的22端口,80/443端口,其他的也要走审批需求方可开放特殊端口。

今天首先要带给大家讲的是安全防控体系的理论知识介绍,这个题材在很多大型的演讲中会说成纵深防御,其实原理是一样的。大家都可以共同理解。再后面是我自己做了20多年运维的一些工作经验总结。

办公安全问题很多都是由于安全意识薄弱造成的,我们公司的做法是开展入职安全意识培训,不断灌输安全意识,长期宣贯,形成正确的信息安全观念,减少由于人为疏忽造成的安全问题。

首先登陆设备方面设备要禁止WEB访问,调试需要时开启,调试完毕后立即关闭。禁止TELNET访问,设置SSH访问。最好使用证书方式登陆,如果不行,使用复杂密码,设置密码复杂程度。定期更换证书或密码。

SSL VPN接入重点考虑认证安全,除了帐号密码,要增加第二认证因子(如短信),这个非常重要,因为你无法保证你的VPN帐号密码足够安全,也无法保证你的帐号密码不泄漏。

当你服务器上架之前,包括你的远程管理卡,都要做一些安全的设置,安装完操作系统进行安全加固,同时对于WEB服务器,在设置的时候在边缘安装的时候考虑到入侵,考虑好之后做到位。

3.外部访客接入公司网络,入侵公司系统获取敏感资料

作为技术人员,怎么样做好安全工作呢?下面是几个基本的原则。

谢谢大家,欢迎关注"企业安全最佳实践"

1.3 实践案例分析场景描述:在平时企业局域网的权限分配中,只设置了一个人有最高权限,这个权限给了公司的管理层或者老板,外围通常会外包一些运维的人做定期的维护。案例分析:在这个场景中,如果出于安全考虑,首先公司地面不管有没有外包,你们公司里面必须要有懂技术的运维人员,由他负责控制最高权限,最好这个人日常维护的工作不要操作,只有最高权限,他作为B角。然后你可以放权给外包公司或者你公司的IT工程师去给他最高权限,这个权限只负责开帐号和给帐号赋予权限这两件事情。其他人的工作,包括外聘人员的其他工作,全部是由A角,给他分配的权限操作,这种方法不会误操作,也可以避免内鬼,也可以避免员工的工作情绪化导致的异常情况发生。

那么办公安全不重要吗,看下以下几种场景,都是因为办公安全没做好而发生的安全问题:

2.2 建立蜘蛛网式的安全防护体系实现关门打狗的效果

---员工安全意识提升后,会问下安全或IT的同事,这个修改帐号密码的邮件是不是真的,从而避免了帐号泄漏

原则一 忧患意识首先作为技术人员来说时刻要有忧患意识,要对服务器定期巡检,发现蛛丝马迹,要有警觉意识,能够发现蛛丝马迹或者异常的情况能够深究下去找到真正的原因。不要等到出了事情再想办法,这个就晚了。原则二 换位思考作为技术人员要能够换位思考,自己做安全架构的时候也要站在黑客的角度思考问题,这就好比有个电影蛮有名的,好莱坞的叫《兵临城下》,二战纳粹的狙击手和苏联的狙击手,两个人就说你想把我消灭,我想把你消灭,一方面通过自己高超的技术手段互相算计对方,另一方面也是通过周围的犹太小孩子中间来穿针引线去诱惑别人,想一些办法,作为我们运维工程师,是要经常站在对方的角度思考。原则三 勇于探索勇于探索,安全的网站上面多去看看,互联网安全网站上面多学习一些安全漏洞知识,安全知识之类的。然后对技术要有敬畏之心,不要玩弄技术,不要沽名钓誉。然后要有工匠之心,对待技术要专心钻研,技术这个东西都是厚积薄发,不要急功近利。原则四 严格自律要做到严格自律,你的方便就给黑客提供的方便,从某种意义上来说运维工程师的职业,实际上是非常自虐的工作,自己去约束自己,自己去管理自己,只有做到这一些严格自律以后,任何技术困难都是纸老虎,就不会出现各种各样的疑难杂症了。6.总结

2.办公网业务系统对外端口开放和管理

但是你可以利用架构改造或者升级的时候顺带着去做。对于开发人员的帐号通过WEB服务器登陆对应数据库,如果你是开发的人员配程序代码,对于WEB调用数据库,我们需要把数据库的帐号密码告诉开发人员,一般来说这种情况下面,就不要让开发人员登录到数据库里面,通过WEB登录到数据库看情况,这样会更加的安全。

开发一个端口开放检测系统,定期检测办公网/IDC/办公网 to IDC的端口开放情况,对应异常端口进行告警。

有的公司技术总监跟我交流的时候有很多安全上的缺陷和漏洞,就说我跟谁都不说,我也不跟员工讲,我就保密,说不定大家就没有人知道我这有安全问题了。但实际上不是这么回事,安全信息不是从别的那边听说的,是完全靠工具进行安全扫描的,所以跟保不保密,说不说都没有关系。

4.端口开放扫描系统

为什么要这么做呢?如果你没这么做,一台服务器入侵进去以后,所有的都可以通过内网登陆了,内网都要跟防火墙的规则写的非常详细,千万不要偷工减料。

办公网示意图

文章来自微信公众号:高效运维

如有特殊需求,建议可以通过管理制度,通过流程审批方可开放特殊端口。

从安全运维角度来说,确实应该把VI禁掉,如果自己设置每一条都有,黑客入侵进来以后,把自己的命令抹掉,你在服务器文档里面是抹不掉的,当我一台服务器上面不管是内鬼还是黑客,我在服务器上面马上记录下来,当我黑客把命令全部清除掉以后,这里还有,功能非常的大。ACL对文件控制权进行限制刚刚讲用sudo分配帐户权限,付给每个用户使用命令的权限。用户对于文件的控制权,因为系统地面就两样东西,一个是命令,一个是文件,对于命令我们是用sudo配备命令权限,我们文件是ACL,对文件控制权进行限制的。自己有时间可以研究一下,我这里不展开了,ACL展开可以讲三四个小时的。防火墙策略严格配置防火墙策略,这是非常重要的。防火墙对于操作系统自我防护来讲是非常重要的,登陆服务器的帐户IP严格限制。帐户严格限制管理对安装自动生成的帐户严格限制。对于系统中重要文件进行锁定,我刚刚说的各种各样的文件,根据你们自己来判断,要根据自己的工作需要严格限制的。缩小LINUX命令的使用范围。帐户登陆实时监控并报警对于帐户的登陆实时监控并报警,比方说最高权限进行监控和报警,对于帐户实时监控,特别是RM这样的命令我们也可以进行监控,可以避免出现这样的命令。对于重要的日志可以设置敏感词。3.4.2 Windows系统安装最小化的系统首先也是一样的,安装最小化的系统,把不需要画图的乱七八糟的,计算器能够去掉就区别掉。定期的手工补丁升级,使用用户口令策略加固。一般Windows下面可以对用户的口令的设置可以有严格限制,比方说要用大小写,数字要整合等等。账户管理把guest禁用,把administrator降权,调整日志和审核的策略配置。默认情况下对于日志和审核策略不是很严格的,作为生产系统,我们应该设置严格的日志审核。调整本地安全策略,本地安全策略有很多内容可以调整,大家可以回去自己试一下,可以把安全设置的比较严格。权限策略用户权限策略,还有注册表,可以提高更高的安全性。还有组策略,组略如果有耐心去搞,可以有很多安全加固,还有很多的显示界面,大家有兴趣可以研究一下,通过组策略,用户权限策略基本上可以把整个操作系统的安全加固做一个比较高的级别了。防火墙接下来要配置Windows自带防火墙,IPSEC可以设置的非常严格,一般来说我们这两个都设置,可以极大提高安全性。定期更改密码,Windows帐号密码需要自己经常修改。查找并关闭异常端口。3.5 数据库安全

1.办公PC安全

而真正做安全,不是说你要建立一个粗矿型网格就可以,我们必须要像蜘蛛网一样。当一个地方知道有漏洞了,我们就可以通过修补的方式,修补有一个问题。修补是需要时间的,而入侵进来可以非常快速的。我们要想办法怎么样利用安全防护体系来延长时间,能够让我们有时间修补。很多东西曝出来之后这一边在修补还没修补完,那边已经黑客入侵进来了。所以对于我们来说,为什么要建立起蜘蛛网的安全防护体系,也是为自己的漏洞打补丁,争取时间。

4.办公网或IDC有SSL VPN供移动办公接入

原则一:连接外网的设备越少越好一般中等规模的互联网公司最多只需要4台服务器设备连接到外网就可以了。如果有其他的安全设备就有其他的安全设备。

原则二:用户登陆到WEB服务器在这里登陆的,不是先登陆这里再登陆这里,是非常不安全的,直接登陆。

原则三:安全设备并不安全现在有一些安全设备,其实安全设备并不安全,安全设备本身就有漏洞。安全设备并不安全,公信部给下面的教育企业强制使用深信服的设备。结果该设备就被暴出bash漏洞。接下来看内网和外网的需求,通过转法方式严格控制。

2.办公使用的OA/邮箱系统/财务系统等一般放在IDC

3.2.1外网安全

好的,我们再回到开始讲的办公安全问题,如果做好了办公安全,会不会再发生呢?

而这些工作人员,他们所有的权限是被严格限定的,对哪个文件有权限都会进行严格限定,B角干什么用的?当A角不在了,有某些紧急情况由B角来,在特殊情况下,A角又要开帐号,有最高权限,又要操作服务器或者维护服务器,A角自己应该给自己开两个帐号。

培训时重点宣导:

交换机的安全,这也是绝大部分工作容易被忽视的。

从系统服务来看,只允许开放80/443等Web服务端口;

3.1拓扑架构的安全

1.员工将公司代码上传到github,含邮箱或VPN帐号密码,被入侵,这个帐号正好是某运维人员,然后就进入了生产网络

我们可以把安全进行分类,首先拓扑架构考虑安全措施,另外通过网络方面也可以做好安全加固。操作系统层面和应用环境层面的。应用环境层面指的是PHP等等应用软件,然后开发代码方面的安全,数据库方面。还有邮件服务器,共享存储安全等等。每个公司用的软件不一样,分配要根据公司内部的需要做自己的分类。我们展开看一下每一部分。

互联网企业,核心主营业务都是放在生产网络里的,比如IDC或者云上,在安全的投入和关注度上,也集中在生产网络安全。

2.1 网格化漏洞管理

有线接入:使用准入系统,接入时重定向 WebPortal,输入AD帐号密码登录

我们一般官网上面稳定的最新版,在编译的单独的服务器上面编译好,编译好以后再把编译的结果打包放到生产系统里面。没有任何编译环境的是非常干净的。然后你用那些软件编译出来的文件,你可以真正做到对操作系统你是了如指掌的。如果做不到这一点,如果被黑客入侵你自己都是不知道的。

WIFI接入:使用LDAP认证并对接AD系统,员工使用AD帐号和密码接入WIFI

作为运维公司来说对于曝出来的漏洞及时修补掉,还有对于未知的漏洞也要有一定的防御能力,是非常重要的。立体型安全防护体系原理就是这样的,我们继续往下看。

所以说运维要把这个工作做好是非常不容易的,要克服人性的弱点。你任何一个人水平再高,工作经验再丰富,误操作是没有人可以避免的,我们就可以通过技术手段把误操作避免掉,为什么呢?

安全设备只是解决你第一道防线,里面的一些东西靠你自己来做。对于连接外网的服务器内容和日志重点防范,多频率的定期巡检,人工巡检与实时监控报警相结合。用户对于互联网来说只是转发机制,是暴露在Intel网上的,这几台服务器,作为运维人员来说要特别重点防护的,因为最容易被黑客入侵。

我们相当于建立这样的网格,打个比方说这里有一个漏洞,它产生了一定的范围,漏洞一般都比较单一,要么是提权的,要么是入侵的,会造成这样的影响范围,同时这里面也有一个漏洞,它也构成一定的影响范围。

3.4操作系统安全

通过这种方式来做,黑客碰到这样的环境,哪怕黑进来了,穷乡僻壤也干不了什么坏事,太贫瘠了土地。操作要最小化裁减,一般来说操作系统只需要四自启动服务,network、sshd、iptables、rsyslog,删除无用的RPM包。SSH安全加固,允许登陆的帐户,禁止的帐户,重试次数等手工分配帐户的UID、GID,如果添加一个帐号有UID和GID,服务器多为了帐号的统一规范,我们建议UID、GID的手工配置。禁止异地或本地密码登录。禁止SU。SU一般我们大家的操作习惯是,先用自己的帐户登录,登录上去再用SU,建议不要这样做。我们对重要文件缩小相关权限,配置的帐号信息的文件,权限一定要缩小。而对于日志文件,也要锁住,避免黑客入侵以后抹掉自己的痕迹,都要进行锁定,这样提升服务器本身的安全性。禁用root帐户,这是最基本的原则。禁止使用编辑器,使用命令修改文件内容包括你的配置文件也好,包括修改文件内容也好,为什么要这么做,新浪微博发生过这样的事情,自动部署上去以后发现很奇怪的问题,日志收集不上来,他们开始排查原因。复杂小组的排查以后过了三个月没有查出来,最后他们把小组长撤销,运维经理亲自排查,排查三个月也是还没有排查出来,运维总监亲自上,最后排查出来了,就是配置文件有一个地方多打一个i,然后才把这个问题解决掉,花了大半年的时间。所以后来他们就把VI编辑器的命令给禁止了,全部用SED替换。

导言:安全生产无小事,运维责任重如山。想要守护住我们的运维安全,构建起网格化的蛛网防御体系,实现关门打狗的防御效果,请往下看~

主要的应用服务器不要直接连接到互联网上面。为什么呢?因为像NGINX都是有漏洞的,如果服务器直接挂到互联网上了,相当于黑客可以对官网进行扫描。WEB或应用服务与数据库服务部署在不同的服务器上。打个比方说WEB服务器有它的漏洞,数据库有数据库的漏洞,如果同时部署在一台服务器上漏洞量就大了,更方便黑客的入侵。所以我们一般来说把不同的应用放在不同的服务器上,这样可以提高更高的安全性。管理后台数据库操作系统登陆不要与外部互联网普通用户的访问使用同一条线路,需要隔离或者剥离。什么意思呢?我们从拓扑架构来说,前端也许是LB(负载均衡)设备,接下来是WEB服务器集群,WEB1、WEB2、WEB3、WEB4。调用缓存设备,然后调动数据库。普通的互联网用户通过这里进来访问WEB1,缓存调动数据库的,我们自己的运维角度来说,这里访问用的是VPN,使用的是office环境。也就是说我们的office环境下面运维人员、开发人员调用这些应用的时候我们不是在同一条线路上的,我们是通过VPN的线路和你的办公室打通,办公室里面的人员则是使用一条光纤线路,你的管理线路和你的互联网应用使用的光纤线路不要放在一起。通过网络对不同级别的权限进行分类或分组限制打个比方说这是GDP的网络,如果VPN的线路在不同网段的,比方说80.77.63.47,去跟公司的VPN连,为什么要这么做?首先互联网的应用是比较复杂的,有可能受到入侵的攻击。如果你的线路从这来,作为你运维人员来说,登都登不进去。如果出现任何问题,你在办公室里面,在运维人员都可以通过VPN的线路进行排查,通过出口架构线路设计方面提高更多的安全性。

为什么这么说?运维涉及的面太广了,现在还好,DBA,还有监控工程师,还有运维研发,这些工作都是从运维工作当中剥离开来了,都有专门的职位和岗位,以前这些都是属于运维工作。

后面是数据库的安全,分为两部分。

我们下面讲操作系统安全,现在最多的是LINUX操作系统和Windows操作系统。

真实事故事件因为权限不管理严格,浙江的华数管有线电视的,发生一个情况,温州那边整个有线电视所有电视都在滚屏,反动标语。后来查出来是给华数他们有线电视公司做软件开发的外包公司,就是北京的一家公司。

它里面的程序员,因为跟公司内部待遇各方面没谈好,心里面不开心,觉得自己的工作没有得到认可,为了泄愤入侵到华数的有线电视里面的区域服务器上面搞了破坏,为什么可以进去呢?因为华数在应用的时候是由他们开发的软件部署的,帐号密码出厂默认值,最后被抓住了,造成的社会影响是非常恶劣的。

运维的工作岗位知识面包罗万象,所以说要做的深入,差不多十年我觉得才可以入门,20年可以上一个台阶的,中国黑客不可怕,无视安全最可怕,这是非常重要的。因为黑客之所以能够入侵,关键是自己对安全的不够重视。

3.4.1 Linux系统系统安装最小化在很多公司在生产系统上面会对软件下载并且进行安装到编译,这些是非常不安全的,最小化裁减,到最后只需要大概45个RPM包操作系统就起来了,没有最基本的LINUX命令,什么都没有,但是能够起来。这样做的好处是45个RPM包你背都背得出来,每个包里包含哪些文件,文件内容是什么,花点时间和精力就可以搞清楚。裁减好以后,整个操作系统里面有什么东西,有哪些文件,标准的环境是什么样的,如果一旦被黑客入侵并且修改以后,你就很容易的去分辨出来。

3.安全的分类

默认策略设置为拒绝,尽量不要为了调试而随便关闭防火墙,对防火墙实时监控,一旦失效或关闭,立即报警。

本文由澳门威斯尼人平台登录发布于服务器&运维,转载请注明出处:办公安全,用什么来保护我的运维安全

相关阅读