一:安全的杂谈
运维安全是企业安全保障的基石,不同于Web安全、移动安全或者业务安全,运维安全环节出现问题往往会比较严重。运维服务位于底层,涉及到服务器,网络设备,基础应用等,一旦出现安全问题,直接影响到服务器的安全。
安全上,又分为外在入侵风险和内在认为风险,我们往往致力于去努力保证防护外来入侵,但是内在的人为因素,也同样需要关注,否则,外部风险会籍此趁虚而入。同样,内部人员的误操作,未经授权的操作,同样会给企业带来不可预计的损失。
据国外统计,黑客只需要100小时的工作,便可以摧毁一个估值数百万美元的公司数年来的工作成果,运维的安全,本质上决定着企业的核心利益,不得不引起我们的重视。
本次分享,从我们内部一些因素入手,去防范可能发生的安全风险。
二:日常小案例
这里,我们分享几个碰到过的小案例:
- 文件删除案例
这是一个比较经典的案例,被rm搞崩的服务器不在少数,在我之前的公司,人数不多,运维一两个,系统基本裸奔状态,业务混合状态,有一天,我们需要清空一个业务的历史缓存,看似简单的一件事情,最后因为疏忽,删除了缓存的上级目录,导致业务受到影响。
- 愤怒的运维
这个是前几年的一个事情,杭州一个比较有名的地方站,19楼, 忽然有一天被发现打不开,最后发现,因为和运维人员发生了比较大的冲突,该伙伴清空了所有服务器。
- 进错门
当服务器数量多了之后,不可避免,要努力维护一个服务器信息的表,但总有失手的时候,之前,我们一直使用内部DNS进行机器映射,有一次,因为错误的DNS修改,导致DNS指向发生错误,直接导致脚本运行命令登录了错误的主机,对现有和新业务均造成很大的影响。
- 企业的运维过程中,不可避免的发生各种这样的因为人为发生的问题,无论是单打独斗还是运维成为了一个比较大的团队的时候。
三:服务器管理需要注意的问题
安全意识
听起来很空洞的东西,但是这并非一个不需要关注的一个问题,很多时候出现的安全问题,归根结底,是因为很多人并没有良好的安全意识,安全规范和标准可以落实到各个部门,以流程的方式强制执行。但是运维人员的安全意识受制于个人和体现,很难进行控制。
最简单的就是弱口令,各种系统的弱口令,后台的弱口令,服务的弱口令。这么多年了从来没有消失过,因为弱口令造成的损失,也没有减少过。
运维人员的一些坏习惯
有的人喜欢在web目录直接压缩文件作为备份,这样,很容易被扫描到备份文件,备份文件一旦被下载,必然造成信息泄露。
很多时候,为了方便偷懒,很多人喜欢用web的形式下载服务器上的文件,经常使用 php -S 或者 python -m SimpleHTTPServer 开一个服务器进行文件的下载,更有甚者,会在根目录运行,这样,就彻底把服务器大白于天下,一旦被利用,后果不堪设想。
有些人,在工作的过程中,产生了许许多多自己或者他人完成的自动化脚本,所以,很多时候,会在各种代码托管站中,上传自己的脚本,方便随时使用,脚本这东西,难免有敏感信息,不经意间,泄露了系统敏感信息。