配置不当那些事,你怎么看?
获奖名单已公布:http://bbs.chinaunix.net/thread-4189724-1-1.html话题背景
不可能每个管理员都有很好的知识水平,都能把每个配置掌握的很好,因为运维人员或管理人员配置服务只是照着书或者照着网上的文章配置,也就是说一步一步按照别人所说的做。其实就是按部就班,做苦力活吧。这次的话题与以往有所不同的是,我将把我自己所理解的东西分享出来,希望能与大家共同探讨。上案例:
1.Memcached
“Memcached服务器端都是直接通过客户端连接后直接操作,没有任何的验证过程,且Mecached默认以root权限运行。
这里可能运维攻城湿会问:加个密码不就行了,改个端口就行了。(你以为人人都和你一样呀!)
实例:
互联网查找 11211端口
随便找了个都可以爆菊花。
看下一个案例:
2.Mongodb
“MongoDB安装时不添加任何参数,默认是不开启权限验证的,登录的用户可以对数据库任意操作而且可以远程访问数据库。”
随便找个菊花:
3.Redis
“redis直接启动默认没有任何限制的,可以直接连接,查看,更改redis中的数据”
懂的人自然懂,点到为止,不再列举其它的服务了。至于为什么你们心里清楚。
这里可能又会说了:“我不相信那些大公司的人还会犯这样的错”!
可能你这样问有点无知,我只能说:各种大型的公司存在这样的问题非常多,非常多,非常多,别问我为什么说三遍。
以上测试完全可以通过Python来批量测试公司业务所存在的问题。现在到了回答问题时间:
讨论话题
1.某些服务配置的过程中,你或者不知道,或者是猪队友配置的,导致了整个公司数据被脱了,这种现象该如何防和如何进行人员培训?
2.像某些服务刚出来,手册资料都还不全,但很可能某个配置会产生安全问题,作为一名运维或管理人员该如何在接触新服务的时候,要注意那些问题?
3.运维或安全人员会经常编写一些脚本来测试吗?写过哪些类型的测试代码?
讨论时间
2015-08-24至2015-09-24
活动奖励
活动结束后将选取4名讨论精彩的童鞋,每人赠送一本《Python 黑帽子:黑客与渗透测试编程之道》图书+互动出版网购书券一张,面值20元以作为奖励。
购书券使用说明:购书券为互动出版网的直减通用券,使用无限制,在支付的时候选择代金券支付即可。有效期为一年。
购书券使用链接:http://www.china-pub.com/
奖品简介
作者: (美)Justin Seitz(贾斯汀·塞茨)
译者: 孙松柏 李聪 润秋
出版社:电子工业出版社
出版日期:2015 年8月
开本:16开
页码:184
版次:1-1
内容简介:
Python 黑帽子:黑客与渗透测试编程之道》是畅销书《Python 灰帽子-黑客与逆向工程师的Python 编程之道》的姊妹篇,那本书一面市便占据计算机安全类书籍的头把交椅。《Python 黑帽子:黑客与渗透测试编程之道》由Immunity 公司的高级安全研究员Justin Seitz 精心撰写。作者根据自己在安全界,特别是渗透测试领域的几十年经验,向读者介绍了Python 如何被用在黑客和渗透测试的各个领域,从基本的网络扫描到数据包捕获,从Web 爬虫到编写Burp 扩展工具,从编写木马到权限提升等。作者在《Python 黑帽子:黑客与渗透测试编程之道》中的很多实例都非常具有创新和启发意义,如HTTP 数据中的图片检测、基于GitHub命令进行控制的模块化木马、浏览器的中间人攻击技术、利用COM 组件自动化技术窃取数据、通过进程监视和代码插入实现权限提升、通过向虚拟机内存快照中插入shellcode 实现木马驻留和权限提升等。通过对这些技术的学习,读者不仅能掌握各种Python 库的应用和编程技术,还能拓宽视野,培养和锻炼自己的黑客思维。读者在阅读《Python 黑帽子:黑客与渗透测试编程之道》时也完全感觉不到其他一些技术书籍常见的枯燥和乏味。 LZ是通过知道创宇的ZoomEye搜索出来的么? 是不是通过谷歌搜索外加装一个插件,会入侵摄像头 :oo 1、现在公司还没有运维,都是开发兼职做个运维
对于提到的mongodb,直接来了个只限本机访问,应用程序跟它放一台机器了,查了下资料,加安全挺费劲,实在没时间弄,目前.....
2.现在公司还没有运维,都是开发兼职做个运维,很多时候都不知道做啥.....
3.目前还没写过
现在公司还米有找运维的打算{:yct49:} 这都不是事 至少服务跑起来了 总比不能用要好些 。。。 本帖最后由 rickcafe 于 2015-08-25 15:34 编辑
讨论话题
1.某些服务配置的过程中,你或者不知道,或者是猪队友配置的,导致了整个公司数据被脱了,这种现象该如何防和如何进行人员培训?
1. 内部培训,老带新,熟带生;
2. 请专业厂商进行信息安全培训;
3. 配置专业的漏洞扫描系统、服务器加固系统、攻防演练系统(支持更新的)
4. 这种系统一般都要连互联网吧?要购买专业的网站防护,大数据漏洞分析系统,威胁情报服务。
2.像某些服务刚出来,手册资料都还不全,但很可能某个配置会产生安全问题,作为一名运维或管理人员该如何在接触新服务的时候,要注意那些问题?
1. 让原厂商或高手培训;
2. 让原厂商或高手配置一个安全框架;
3. 考核新人培训结果;
4. 用实践检验新人的训练效果;
3. 运维或安全人员会经常编写一些脚本来测试吗?写过哪些类型的测试代码?
这种脚本水平不可能高,也就批量扫描,检查配置,有限压力测试之类。
如果系统真有漏洞,还是需要大牛级的人物来处理的,这叫黑客/白帽子,发现系统未知漏洞,零日攻击,APT。一般公司养不起这种人,而且未知漏洞在黑客市场上是有销售的,随便一个20万美金,半个月有效,有几家公司会买?no people, no money, 玩这种高大上就没意思了。
招个安全工程师 你们这说得都是大公司,像那种还是用阿里云的小公司怎么办? 安全工程师,不是万能的,真要较真起来,全都加密。
这也完全不切实际 1.某些服务配置的过程中,你或者不知道,或者是猪队友配置的,导致了整个公司数据被脱了,这种现象该如何防和如何进行人员培训?
这种现象几乎在所有公司都出现过(在乌云平台可以看到挺多的,如例子中说的memcached、redis之类等等),只是每个公司的响应速度不同,导致问题的影响不同,
根据自身公司实践、以及与其他公司交流,目前大致总结了以下方法:
(1)最重要的说在前面:生产环境不是每个运维、开发都可以直接操作的,操作之前,需要向运维经理申请具体操作原因以及操作内容、步骤文档,审批流程通过后,由专人(一般是运维骨干)协助申请人进行操作;
这里面基本保证了两点:第一,保证专人操作生产环境,而不是猪队友;第二,保证不出现“因为不知道而导致的错误”;
(之所以说基本保证,因为可能专人也会有疏漏)
(2)人员培训分为运维内部培训以及开发人员对运维培训。
运维内部培训 主要是培训对系统的操作、配置;
开发人员对运维培训 主要是由对某个组建比较熟悉的开发人员,对运维讲解组建原理以及配置思路,例如阅读过memcached代码的开发, 讲解memcached的应用、原理,端口使用等。
(3)最好是有专业的安全工程师,自己的安全工程师,比较了解自己的业务,外面外包的安全监测,很多是走流程过的,只能发现一些基础的问题。
2.像某些服务刚出来,手册资料都还不全,但很可能某个配置会产生安全问题,作为一名运维或管理人员该如何在接触新服务的时候,要注意那些问题?
(1)在我司,新服务或者技术,都是由预研组完成预研后,才交付开发进行使用的,如果手册资料不全、代码不稳定,一般都过不了预研这一关,所以很少出现市面上一个半成品上到我们生产环境的问题;
(2)假设某个资料不太齐全的组建上线了,还是会由相关开发人员以及测试人员对运维人员进行培训,降低不稳定性;
(3)其实一般来说,不稳定还是不要上生产环境;
3.运维或安全人员会经常编写一些脚本来测试吗?写过哪些类型的测试代码?
(1)运维写的脚本还是比较多的,包括:功能测试脚本、监控脚本、自动化运维脚本
(2)运维也写一部分qt代码,在 新品上线前 或 老产品版本更新完成后做一些功能验证测试,这些基本上是抄测试人员的脚本了;
(3)监控脚本、自动化运维脚本 : 这应该不必多说,生产环境的监控系统少不了脚本,也少不了自动运维
(4)安全人员写的脚本倒是比较少,多是用自己已经写好的现成安全监测工具,以及配合手工测试,脚本多用户扫描、压力测试(也有可能不用脚本,用webbench、ab)等重复性工作。