忘记密码   免费注册 查看新帖 | 论坛精华区

ChinaUnix.net

  平台 论坛 博客 认证专区 大话IT 视频 徽章 文库 沙龙 自测 下载 频道自动化运维 虚拟化 储存备份 C/C++ PHP MySQL 嵌入式 Linux系统
1234下一页
最近访问板块 发新帖
查看: 55797 | 回复: 36

话题讨论:由Heartbleed想到的那些你忽视的系统安全(获奖名单已公布-2014-6-18) [复制链接]

论坛徽章:
4
CU大牛徽章
日期:2013-03-13 15:29:07CU大牛徽章
日期:2013-03-13 15:29:49CU大牛徽章
日期:2013-03-13 15:30:192015年迎新春徽章
日期:2015-03-04 09:57:09
发表于 2014-04-18 15:50 |显示全部楼层
获奖名单已公布,详情请看:http://bbs.chinaunix.net/thread-4142524-1-1.html

题记:
这个在2011年底出现的漏洞,在2014年4月7日被修复。他就像互联网的的大地震,一时间消息满天飞,各大发行版争先恐后修复漏洞、发布补丁。受影响网站,发来一封封密码重置邮件。想必,又有一曲苦逼的运维彻夜难眠……

(还好我管理的机器上都是低版本的OpenSSL,不受影响……真是庆幸啊,原来不追新也是一种福。)

我们开启防火墙,封端口,换密匙,上各种监控,最后,再在前端放上一个“牛逼”的硬件防火墙。
我们每天看日志,分析流量,警惕各种预警。
我们关心备份,研究各种自动化运维,写各种“偷懒”的脚本。
我们做好了充分的准备,我们考虑到了前端用户,做了Web、App、微信;迎合了老板,上了高大上的云计算;安心了自己,各种监测平台、维护脚本候着。可我们始终站在“前端”,即便你“前端”做的再好,再仔细,再完美,你也受不了“背后”的用力一击……

本期讨论话题:
1. 那些你曾经忽视过的安全问题,给你带来的苦头?
2. 你是如何做安全防范的?
3. 除了update系统,对于不可预知的系统漏洞,我们如何做好系统漏洞被发现到漏洞被修复这段空档时间的安全防范?
4. 作为系统软件应用者,我们没有审计代码的时间,甚至没有这种能力,我们该如何应付代码级的安全问题?
5. 魔高一尺,道高一丈,不会攻击,何谈防范?你是如何测试自己系统的安全性的?
6. 你是否关注各种安全漏洞平台,比如:某云、某数字库带、某度漏洞报告中心?你可能不知道有多少小菜盯着他们等着脱你的“裤”……
7. 必不可少的安全工具?sqlmap、WebCruiser?

活动规则:
分享你的安全保障经验,除了密码换密匙、改端口、登陆限制,还有啥高大上的东东?
恳请大家倒出自己的真货啊!!!

活动须知:
针对以上任意问题跟帖回答,我们会在讨论结束后,择优挑选6名网友赠送图书《高度安全环境下的高级渗透测试》图书一本

图书简介:
高度安全环境下的高级渗透测试  京东  当当   亚马逊

作者: (英)Lee Allen   
译者: 孙松柏 李聪 陈力波
出版社:人民邮电出版社
ISBN:9787115342560
上架时间:2014-3-19
出版日期:2014 年4月

活动时间:
2014年4月18日-2014年5月4日

PS:

About Heartbleed:http://heartbleed.com/
在线检测Heartbleed:http://filippo.io/Heartbleed/
测试脚本:
https://gist.github.com/takeshixx/10107280
https://gist.github.com/RixTox/10222402
测试案例:http://www.oschina.net/translate ... bleed-vulnerability
知乎讨论:http://www.zhihu.com/question/23328658/answer/24241031

论坛徽章:
104
ChinaUnix元老
日期:2015-02-02 08:55:39CU十二周年纪念徽章
日期:2015-02-02 08:55:50午马
日期:2014-04-30 10:30:44双子座
日期:2013-08-20 08:22:52双鱼座
日期:2013-08-20 17:47:58丑牛
日期:2013-09-13 13:10:45水瓶座
日期:2013-09-13 21:15:33寅虎
日期:2013-09-25 11:23:51戌狗
日期:2013-09-26 13:21:25丑牛
日期:2013-09-26 14:23:42亥猪
日期:2013-09-27 17:42:00亥猪
日期:2013-09-27 17:45:14
发表于 2014-04-18 16:54 |显示全部楼层
幸亏俺们的 web server 用的是 IHS 而不是 Apache

论坛徽章:
89
CU大牛徽章
日期:2013-11-29 22:26:36CU大牛徽章
日期:2014-02-21 14:21:56CU十二周年纪念徽章
日期:2014-02-21 14:22:02CU大牛徽章
日期:2014-02-21 14:22:07CU大牛徽章
日期:2014-02-21 14:22:09CU大牛徽章
日期:2015-02-28 17:45:342015元宵节徽章
日期:2015-03-06 16:56:38羊年新春福章
日期:2015-02-28 17:42:522015七夕节徽章
日期:2015-09-14 09:24:55CU大牛徽章
日期:2014-02-21 14:22:44CU大牛徽章
日期:2015-02-28 17:48:12CU大牛徽章
日期:2015-02-28 17:47:58
发表于 2014-04-18 17:12 |显示全部楼层
不追新~不追新~

论坛徽章:
4
摩羯座
日期:2014-07-22 09:03:552015元宵节徽章
日期:2015-03-06 15:50:392015亚冠之大阪钢巴
日期:2015-06-12 16:01:352015年中国系统架构师大会
日期:2015-06-29 16:11:28
发表于 2014-04-18 17:40 |显示全部楼层
顶楼主

论坛徽章:
18
卯兔
日期:2013-09-27 17:41:0615-16赛季CBA联赛之佛山
日期:2016-07-09 17:34:45操作系统版块每周发帖之星
日期:2015-12-02 15:01:04IT运维版块每日发帖之星
日期:2015-12-02 06:20:00IT运维版块每日发帖之星
日期:2015-10-07 06:20:00IT运维版块每日发帖之星
日期:2015-10-03 06:20:00IT运维版块每日发帖之星
日期:2015-10-01 06:20:00羊年新春福章
日期:2015-04-01 17:56:06拜羊年徽章
日期:2015-04-01 17:56:062015年迎新春徽章
日期:2015-03-04 09:49:452015年辞旧岁徽章
日期:2015-03-03 16:54:15天秤座
日期:2015-01-14 06:39:28
发表于 2014-04-18 18:02 |显示全部楼层
安全始终是一个大问题啊

论坛徽章:
19
CU大牛徽章
日期:2013-04-17 11:48:262015年辞旧岁徽章
日期:2015-03-03 16:54:15羊年新春福章
日期:2015-03-10 22:39:202015年中国系统架构师大会
日期:2015-06-29 16:11:282015亚冠之平阳省
日期:2015-07-31 09:19:042015七夕节徽章
日期:2015-08-21 11:06:17IT运维版块每日发帖之星
日期:2015-09-30 06:20:002015亚冠之柏太阳神
日期:2015-10-19 20:29:5915-16赛季CBA联赛之天津
日期:2016-11-29 14:03:43双鱼座
日期:2015-01-12 20:58:53水瓶座
日期:2014-07-31 22:02:02CU大牛徽章
日期:2013-04-17 11:48:40
发表于 2014-04-18 21:30 |显示全部楼层
1. 那些你曾经忽视过的安全问题,给你带来的苦头?
    目前还没有碰到过什么严重的安全问题
2. 你是如何做安全防范的?
    安全防范:对于Linux操作系统来说,首先,根据稳定、安全等需要,选择适合于自己业务的OS版本,其次,其实权限最小化原则,开启iptables防火墙,关闭其它的闭口,只保留业务端口的远程访问的ssh端口,同时,把ssh的默认22端口改为其它的端口,如2222等。给数据库用户设置复杂口令,对web应用程序做代码审计,避免存在SQL注入,XSS,CSRF这样的漏洞,加强对web开发人员的安全培训。
3. 除了update系统,对于不可预知的系统漏洞,我们如何做好系统漏洞被发现到漏洞被修复这段空档时间的安全防范?
    对于不可预知的系统漏洞,既然是不可预知,那几乎没有什么好的方法,那就试着开启SELinux,通过强制访问控制增加Linux操作系统安全
4. 作为系统软件应用者,我们没有审计代码的时间,甚至没有这种能力,我们该如何应付代码级的安全问题?
     通过一些工具来分析
5. 魔高一尺,道高一丈,不会攻击,何谈防范?你是如何测试自己系统的安全性的?
    通过SQLMAP, AppSCAN等工具,以及与第三方安全公司合作,由他们来对web应用进行安全评估和测试
6. 你是否关注各种安全漏洞平台,比如:某云、某数字库带、某度漏洞报告中心?你可能不知道有多少小菜盯着他们等着脱你的“裤”……
       关注CNVD,关注乌云漏洞平台,关注FreeBuff  
7. 必不可少的安全工具?sqlmap、WebCruiser?
     nmap nessus  AppSCAN等工具
   

论坛徽章:
19
CU大牛徽章
日期:2013-04-17 11:48:262015年辞旧岁徽章
日期:2015-03-03 16:54:15羊年新春福章
日期:2015-03-10 22:39:202015年中国系统架构师大会
日期:2015-06-29 16:11:282015亚冠之平阳省
日期:2015-07-31 09:19:042015七夕节徽章
日期:2015-08-21 11:06:17IT运维版块每日发帖之星
日期:2015-09-30 06:20:002015亚冠之柏太阳神
日期:2015-10-19 20:29:5915-16赛季CBA联赛之天津
日期:2016-11-29 14:03:43双鱼座
日期:2015-01-12 20:58:53水瓶座
日期:2014-07-31 22:02:02CU大牛徽章
日期:2013-04-17 11:48:40
发表于 2014-04-18 21:30 |显示全部楼层
1. 那些你曾经忽视过的安全问题,给你带来的苦头?
    目前还没有碰到过什么严重的安全问题
2. 你是如何做安全防范的?
    安全防范:对于Linux操作系统来说,首先,根据稳定、安全等需要,选择适合于自己业务的OS版本,其次,其实权限最小化原则,开启iptables防火墙,关闭其它的闭口,只保留业务端口的远程访问的ssh端口,同时,把ssh的默认22端口改为其它的端口,如2222等。给数据库用户设置复杂口令,对web应用程序做代码审计,避免存在SQL注入,XSS,CSRF这样的漏洞,加强对web开发人员的安全培训。
3. 除了update系统,对于不可预知的系统漏洞,我们如何做好系统漏洞被发现到漏洞被修复这段空档时间的安全防范?
    对于不可预知的系统漏洞,既然是不可预知,那几乎没有什么好的方法,那就试着开启SELinux,通过强制访问控制增加Linux操作系统安全
4. 作为系统软件应用者,我们没有审计代码的时间,甚至没有这种能力,我们该如何应付代码级的安全问题?
     通过一些工具来分析
5. 魔高一尺,道高一丈,不会攻击,何谈防范?你是如何测试自己系统的安全性的?
    通过SQLMAP, AppSCAN等工具,以及与第三方安全公司合作,由他们来对web应用进行安全评估和测试
6. 你是否关注各种安全漏洞平台,比如:某云、某数字库带、某度漏洞报告中心?你可能不知道有多少小菜盯着他们等着脱你的“裤”……
       关注CNVD,关注乌云漏洞平台,关注FreeBuff  
7. 必不可少的安全工具?sqlmap、WebCruiser?
     nmap nessus  AppSCAN等工具
   

论坛徽章:
129
操作系统版块每日发帖之星
日期:2016-05-11 17:06:57操作系统版块每日发帖之星
日期:2016-05-11 17:06:57数据库技术版块每日发帖之星
日期:2016-05-11 17:07:05操作系统版块每日发帖之星
日期:2016-05-11 17:06:57操作系统版块每日发帖之星
日期:2016-05-11 17:06:57综合交流区版块每日发帖之星
日期:2016-05-11 17:07:052022北京冬奥会纪念版徽章
日期:2015-08-07 17:10:57IT运维版块每日发帖之星
日期:2016-05-11 17:06:49操作系统版块每日发帖之星
日期:2016-05-11 17:06:57综合交流区版块每日发帖之星
日期:2016-05-11 17:07:05操作系统版块每日发帖之星
日期:2016-05-11 17:06:57程序设计版块每日发帖之星
日期:2016-05-11 17:06:57
发表于 2014-04-18 21:47 |显示全部楼层
本帖最后由 shang2010 于 2014-04-22 13:27 编辑

1. 那些你曾经忽视过的安全问题,给你带来的苦头?
经历太少了,没因安全问题带来苦头,反倒因为“安全问题”带来不少麻烦,比如ssh不能root登陆,还要麻烦自己去修改配置
(经验太少,呵呵,不过我说的也是很多同仁共同遇到的问题,安全的同时也会带来麻烦)



2. 你是如何做安全防范的?
对于线上环境,一般都会规矩照着产品手册中的安全指导的要求来。比如,尽量少的package, service, port等等,还有加固等等;尽量选择有维护支持的产品
当然还有基本的工作,防火墙,杀软扫描,漏洞扫描,日志行为审计
总之,配置很老实。比如简单lamp单机环境,mysql就只接受本地unix/socket连接

3. 除了update系统,对于不可预知的系统漏洞,我们如何做好系统漏洞被发现到漏洞被修复这段空档时间的安全防范?
1,资源访问限制,比如网络隔离。我们没有实力做足够的防范,(我也不相信那些嘴上说得很轻松的同仁)
2,唯一可靠的就是抓紧数据备份和保存日志,保证客户利益优先

4. 作为系统软件应用者,我们没有审计代码的时间,甚至没有这种能力,我们该如何应付代码级的安全问题?
这类问题太复杂了。一般管理流程上,让代码给资深员工(权限)过目后,才肯commit到正式产品代码库。关于研发的那些事,应用者真是太被动了,

5. 魔高一尺,道高一丈,不会攻击,何谈防范?你是如何测试自己系统的安全性的?
不会做专业测试。只能相信红帽微软提供的是高科技产品,本身提供了一些防范,比如采用ubuntu/apparmor, rhel/selinux,这些能将系统安全性从c2提高到b级别。
这里有个介绍https://help.ubuntu.com/14.04/serverguide/apparmor.html,rhel的产品文档做得更好 ,就不列举。

自己pc或实验环境就充分不安全了,比如root密码就是root,比如win8的微软账户,我还专门搞pin快速登录1234,主要是为了方便

6. 你是否关注各种安全漏洞平台,比如:某云、某数字库带、某度漏洞报告中心?你可能不知道有多少小菜盯着他们等着脱你的“裤”……
优先关注产品官方提供的安全通告,打补丁,毕竟人家有实力,能提供可靠的支持。偶尔也会关心某云,某库,事不关己高高挂起

7. 必不可少的安全工具?sqlmap、WebCruiser?
http://www.tenable.com/products/nessus
还有一些商业扫描器

求各位大大赏本书

论坛徽章:
129
操作系统版块每日发帖之星
日期:2016-05-11 17:06:57操作系统版块每日发帖之星
日期:2016-05-11 17:06:57数据库技术版块每日发帖之星
日期:2016-05-11 17:07:05操作系统版块每日发帖之星
日期:2016-05-11 17:06:57操作系统版块每日发帖之星
日期:2016-05-11 17:06:57综合交流区版块每日发帖之星
日期:2016-05-11 17:07:052022北京冬奥会纪念版徽章
日期:2015-08-07 17:10:57IT运维版块每日发帖之星
日期:2016-05-11 17:06:49操作系统版块每日发帖之星
日期:2016-05-11 17:06:57综合交流区版块每日发帖之星
日期:2016-05-11 17:07:05操作系统版块每日发帖之星
日期:2016-05-11 17:06:57程序设计版块每日发帖之星
日期:2016-05-11 17:06:57
发表于 2014-04-18 22:01 |显示全部楼层
回复 2# Shell_HAT


    性能刚刚的吧???ibm的产品还是口碑不错的

论坛徽章:
19
CU大牛徽章
日期:2013-04-17 11:48:262015年辞旧岁徽章
日期:2015-03-03 16:54:15羊年新春福章
日期:2015-03-10 22:39:202015年中国系统架构师大会
日期:2015-06-29 16:11:282015亚冠之平阳省
日期:2015-07-31 09:19:042015七夕节徽章
日期:2015-08-21 11:06:17IT运维版块每日发帖之星
日期:2015-09-30 06:20:002015亚冠之柏太阳神
日期:2015-10-19 20:29:5915-16赛季CBA联赛之天津
日期:2016-11-29 14:03:43双鱼座
日期:2015-01-12 20:58:53水瓶座
日期:2014-07-31 22:02:02CU大牛徽章
日期:2013-04-17 11:48:40
发表于 2014-04-19 07:41 来自手机 |显示全部楼层
互联网从诞生的那一天起,就充满了这种安全问题,作为系统管理员,要做的是,让系统和应用受到最少的安全威胁
您需要登录后才可以回帖 登录 | 注册

本版积分规则

  

北京皓辰网域网络信息技术有限公司. 版权所有 京ICP证:060528号 北京市公安局海淀分局网监中心备案编号:1101082001
广播电视节目制作经营许可证(京) 字第1234号 中国互联网协会会员  联系我们:
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP