IT运维技术讨论之三：Linux网络安全维护面面观

DiDeCrouse

安全从大的方向可分为网络安全和内部信息安全，这里主要针对防护外部入侵攻击的网络安全说说个人的一些看法。
个人认为，网络安全技术是IT相关技术中最难的，这里说的最难，当然是要达到一定的高度。
因为要做好安全，必须先掌握甚至精通位于安全技术防护之下的IT技术。比如网络安全，必须特别熟悉TCP/IP协议，必须对网络数据的封包、解包过程特别熟悉，必须熟悉路由器，交换机工作原理……否则，类似ARP、IP、DNS欺骗的防护是无法做好的；系统安全要做好更难，必须熟悉操作系统内核代理，精通底层程序语言（汇编、C），否则连缓冲区溢出是什么都不知道，逆向、反逆向更是无从谈起；web应用安全，需要熟悉W3C、HTML规范，熟悉ASP，PHP，JSP（JAVA），甚至要做一段时间web开发，否则不会理解“要对用户输入进行严格的校验、对服务器输出进行规范的编码”用来防止SQL注入、XSS等漏洞……
做安全，兴趣是很重要的；另外，必须先掌握需要防护的底层业务技术。所以，要做好，很难。

之前遇到过一些服务器被入侵事件，绝大多数是因为弱口令暴力破解，还有一部分是web应用没有进行安全开发、web容器（tomcat，jboss）没有安全配置、以及一些已知漏洞比如struts2；
大多数入侵者并不会**成功入侵的服务器，而是将其作为“肉鸡”继续获取更多的“肉鸡”。对于此类入侵问题，需要通过查看系统（应用）日志，关注业界漏洞信息，排查出漏洞根因，然后修复漏洞，才能在很大程度上防止下次再被入侵的可能；而不是仅仅删除几个恶意控制程序、杀死几个进程，或者重装系统暂时解决。

安全防护远比安全攻击难，安全防护需要考虑所有的漏洞和风险，安全攻击只需要发现少数的漏洞；另外，在企业，安全的投入和产出是严重失衡的，领导往往看不到安全防护前期投入所带来的产出，所以做到一部分的时候，会逐渐缩小安全的投入，甚至忽略。所以，安全做的比较好的，要么是大型企业，要么是安全要求高的企业（金融证券，互联网公司，电商）
安全防护要做的事情很多，这里大概列举一些：划分明确的网络区域边界，网络入口处增加防火墙，IPS设备，或者下一代防火墙；不对外开放的服务器，坚决不对外；对外开放的服务器做好安全加固（补丁，安全配置、严格控制对外端口）；对外的web应用进行安全开发，上线前进行安全测试，或者增加web应用防火墙……

最后说一些个人对安全前景的看法：
随着信息化的快速发展，大数据、互联网金融、移动办公、斯诺登事件……企业、个人的信息安全都面临很大的挑战，企业和个人对安全也越来越**；无论是专业安全公司，从事安全产品开发、安全服务，还是在企业从事安全运维，抑或是从事安全咨询，安全体系建设等等，都有比较大的需求，安全人员就业前景暂时还是比较乐观的。
但是，安全很难做好，还是那个原因----要做好安全，需要先掌握底层技术。
当今底层技术发展太快，现有的安全技术、经验、方法论能不能hold住？企业ISO27001认证、安全产品3C认证等标准是否切实符合安全现状？未来安全问题是否有可能发展成政治问题？这些都值得安全从业人员思考。

kooleon

（1）你有没有想成为黑客的冲动，并为之努力过？
    有的，人不冲动枉少年！少不经事时，感兴趣的领域都会有膜拜些“神”一样的人物：别安(beyond)、杰克逊、汤姆 汉克斯、苍老师……理查德·斯托曼(对,就是那个大胡子！听说他开发的编辑器可以来煮咖啡……)。
    后来买了本书《黑客攻防必杀技》，什么流光、冰河、灰鸽子、3389……都给弄了个遍，都没见什么效果（人家都把补丁给打了）。只是学校机房的老版本万象，让我免费上了不少时间的网（都玩斗地主去了）。很多攻击原理都弄不清，只是会使用几个工具而已，说不上努力，仅是觉得好玩，也说不上是黑客，充其量只能算个搞**的骇客。但谁又说得清“黑客”一词在中国是不是变味了呢？
（2）说说你遇到过的黑客事件，并是如何处理的。
   目前正在遭受黑客事件，主要涉及AD、DNS、及PC（都是windows平台下的），域里的帐号密码修改、删除；DNS里的记录被清空；PC糟安装远程虚拟键盘，远程控制……无柰自己对windows安全这一块真心不熟悉，帮不上忙。安全部门自然是忙得不可开交。涉及linux主机的层层防火墙开启，ssh端口变更，密码随机，禁root远程。
rpm -Va 对所有文件检验，rootkit过一次，由于上头的不是很**ossec没能用上，只买了360的服务针对windows平台……由于某台PC的ssh key被攻破，几台服务器也不幸遭殃，处理不了(修改内核对于黑客来说应该不难，可是我不会啊），也只能重装了。接下来要上EMC的RSA安全产品。这阵子对“越方便，越不安全”的说法算是深有体会了。
（3）你是如何在你所管理的网络中防止黑客的入侵？
    这个问题在（2）的回答里提到过一些，从一个请求到达防火墙的那一刻：防火墙的IP限制，端口过滤，包检查等等；主机防火墙IP限制，堡垒机，端口过滤，连接数限制，不响应特定的IP包等等；服务层的用户密码验证，密码强度及有效日期，操作日志记录；还有就是安全软件的辅助检查：rpm 检验，rootkit检查，ossec实时监控（这些一般公司都不做）
（4）如何成为一个安全专家，你觉得安全方面的职业是否会有钱途？
个人觉得要成为一个安全专家要面临这样的问题：
a)首先“安全”这个职位是不会有直接利益产出的，公司能看到“安全”的利益甚至要排到运维之后。很多公司都招运维来堆积服务器生产出利益，而少有公司招安全人员来为服务器保驾护航，这“护驾”的任务一般都给运维给做了。即追求利益最大化，缺少安全意识，安全人员需求量少。
b)做为一个安全人员，需求的技能很多，很深。系统你得熟悉吧？windows linux 必须的。编程你得会吧？c  shell  精通，必须的。数据库你得会吧？“脱 mysql oracle 的裤”必须的！……这个社会挺浮躁的，压力也挺大的，能静下心来精通这些的人，应该不会很多。
c)安全专家少，但还是有的。当练就一身本领，在服务器之前竖起铜墙铁壁，别人都攻不进来的时候。也许你能东方不败一般傲然独立，但公司是否能够理解呢？会不会认为你这只是“叶公好龙”是在装X呢？
d)最后，有能力，有毅力，也被赏识的安全专家，肯定是很有钱途的。（老总说，公司被入侵后，每月估计损失几百万，若某安全专家能挽回或者阻止，钱途可想而知）

yunas

难得见到安全书籍，安全专家写作，点赞。

shang2010

感谢大牛分享

chenyx

（1）你有没有想成为黑客的冲动，并为之努力过？
    曾经有过想法,实践倒是没有过,涉及的知识太多了,能力太差

（2）说说你遇到过的黑客事件，并是如何处理的。
    网站被人通过SQL注入黑了,将主页修改的一塌糊涂.
      处理吗,无外乎保留截图并报警.通过备份数据恢复网站数据,检查apache的日志,定位黑客ip,定位有漏洞的页面,通知程序员修改.

（3）你是如何在你所管理的网络中防止黑客的入侵？
     主要通过防火墙之类的硬件防护加上定期巡检.另外,Linux系统ssh不允许root登录,普通用户只能用key登录,可以防止猜测密码ssh进入.

（4）如何成为一个安全专家，你觉得安全方面的职业是否会有钱途？
    有矛必有盾,安全总是相对的,所谓道高一尺魔高一丈,安全产品总是落后于黑客技术的.
      当然了,安全方面肯定会有前途的,尤其是互联网高度发达的今天,信息安全更是提到了国家安全的层面了.

yestreenstars

（1）你有没有想成为黑客的冲动，并为之努力过？
      曾经有想成为黑客的冲动，可以追溯到中学时代，那时就对计算机很感兴趣，尤其是对网络和系统特别感兴趣，这也是我后来大学选择计算机专业的原因。初中时有个同学已经会用灰鸽子来盗号了，他通常用来盗梦幻西游的号，然后拿去卖钱，后来才知道灰鸽子是木马，也是黑客攻击的手段之一。曾经我也用我自己的电脑来学习过黑客技术，不幸的是，还没黑到别人，自己成了别人的肉鸡，从此之后就没有再研究过了。

（2）说说你遇到过的黑客事件，并是如何处理的。
      公司之前遭遇过ARP攻击，当时困恼了我许久，刚好那个网段的几台主机之前又是同一个平台的，需要互相通讯，所以，没解决之前，平台频繁出现问题，解决之后就没出过问题了。我是怎么解决的呢？其实我并没有彻底地解决这个问题，因为受影响的网段的服务器不多，所以我采取了在每台服务器上安装防火墙的方式来解决此事。ARP病毒不好杀，我曾经为了查杀ARP病毒，不小心把正常的业务程序给杀死了，整个目录都删了，还恢复不了，当时就把我吓尿了，后来，还好能在服务器上找到备份，不然我只能打包走人了。

（3）你是如何在你所管理的网络中防止黑客的入侵？
      在我来公司之前，上一任运维就经历了一次黑客入侵事件，从此之后，他就将所有平台，不管是Windows还是Linux平台，只要是对外开放了管理端口的，都将管理端口修改了，不再使用默认的端口，Linux平台禁止root用户直接登录，我觉得这样做挺好的，可以大大降低被黑客暴力破解的可能性。后来，我自己想了一套方案，就是部署一台跳板机（Windows Server 2003）来供开发人员使用，然后在每台服务器上配置防火墙，只允许该跳板机的IP访问，然后就是注意该跳板机安全，修改默认的远程桌面连接端口，并设置一个稍微复杂点的密码。其实一开始部署跳板机是为了避免每有人离职就要将所有平台的密码修改一遍，现在如果有人要离职，我只需修改跳板机的密码即可。

（4）如何成为一个安全专家，你觉得安全方面的职业是否会有钱途？
      如何成为一个安全专家？我印象中，有好多安全专家都是那些牛逼的自学成才的人自己写了一个软件，然后攻击很多大型网站，最后被关进监狱，出狱后就有很多公司来找他做安全专家了，比如熊猫烧香的作者，都说黑客和网络专家本质是一样的，只是心态不一样的，黑客中也有白帽子。当然了，也有走传统道路成为安全专家的，一般是对网络和系统非常熟悉的，对TCP/IP非常了解，对系统命令非常熟悉的，然后熟悉各种黑客攻击工具。要是能成为安全专家，那钱途肯定没话说的，一般小公司不会专门招安全专家，只有大公司才会招，可想而知，那钱途是多么的光明。

shang2010

，有好多安全专家都是那些牛逼的自学成才


就是这个自学成才成为了麻烦，不然人人都是黑客的料子了，——门槛不好进

kiongf

回复 7# beyondfly


    beyondfly兄，现在还有没有在开发SELinux策略....有问题想请教....

beyondfly

回复 21# kiongf


     没有在开发了，不过有问题还是可以问的，呵呵