忘记密码   免费注册 查看新帖 | 论坛精华区

ChinaUnix.net

  平台 论坛 博客 认证专区 大话IT 视频 徽章 文库 沙龙 自测 下载 频道自动化运维 虚拟化 储存备份 C/C++ PHP MySQL 嵌入式 Linux系统
123下一页
最近访问板块 发新帖
查看: 11671 | 回复: 24

配置不当那些事,你怎么看? [复制链接]

论坛徽章:
0
发表于 2015-08-24 10:53 |显示全部楼层
获奖名单已公布:http://bbs.chinaunix.net/thread-4189724-1-1.html

话题背景

不可能每个管理员都有很好的知识水平,都能把每个配置掌握的很好,因为运维人员或管理人员配置服务只是照着书或者照着网上的文章配置,也就是说一步一步按照别人所说的做。其实就是按部就班,做苦力活吧。这次的话题与以往有所不同的是,我将把我自己所理解的东西分享出来,希望能与大家共同探讨。

上案例:
1.Memcached
“Memcached服务器端都是直接通过客户端连接后直接操作,没有任何的验证过程,且Mecached默认以root权限运行。
这里可能运维攻城湿会问:加个密码不就行了,改个端口就行了。(你以为人人都和你一样呀!)
实例:
互联网查找 11211端口
file0001.jpg
file0002.jpg
随便找了个都可以爆菊花。

看下一个案例:
2.Mongodb
“MongoDB安装时不添加任何参数,默认是不开启权限验证的,登录的用户可以对数据库任意操作而且可以远程访问数据库。”
file0003.jpg
随便找个菊花:
file0004.jpg

3.Redis
“redis直接启动默认没有任何限制的,可以直接连接,查看,更改redis中的数据”
file0005.jpg
file0006.jpg

懂的人自然懂,点到为止,不再列举其它的服务了。至于为什么你们心里清楚。
这里可能又会说了:“我不相信那些大公司的人还会犯这样的错”!
可能你这样问有点无知,我只能说:各种大型的公司存在这样的问题非常多,非常多,非常多,别问我为什么说三遍。



以上测试完全可以通过Python来批量测试公司业务所存在的问题。现在到了回答问题时间:
讨论话题
1.某些服务配置的过程中,你或者不知道,或者是猪队友配置的,导致了整个公司数据被脱了,这种现象该如何防和如何进行人员培训?
2.像某些服务刚出来,手册资料都还不全,但很可能某个配置会产生安全问题,作为一名运维或管理人员该如何在接触新服务的时候,要注意那些问题?
3.运维或安全人员会经常编写一些脚本来测试吗?写过哪些类型的测试代码?



讨论时间
2015-08-24至2015-09-24



活动奖励
活动结束后将选取4名讨论精彩的童鞋,每人赠送一本《Python 黑帽子:黑客与渗透测试编程之道》图书+互动出版网购书券一张,面值20元以作为奖励。

购书券使用说明:购书券为互动出版网的直减通用券,使用无限制,在支付的时候选择代金券支付即可。有效期为一年。
购书券使用链接:http://www.china-pub.com/



奖品简介
zcover.jpg
作者: (美)Justin Seitz(贾斯汀·塞茨)   
译者: 孙松柏 李聪 润秋
出版社:电子工业出版社
出版日期:2015 年8月
开本:16开
页码:184
版次:1-1



内容简介:
Python 黑帽子:黑客与渗透测试编程之道》是畅销书《Python 灰帽子-黑客与逆向工程师的Python 编程之道》的姊妹篇,那本书一面市便占据计算机安全类书籍的头把交椅。《Python 黑帽子:黑客与渗透测试编程之道》由Immunity 公司的高级安全研究员Justin Seitz 精心撰写。作者根据自己在安全界,特别是渗透测试领域的几十年经验,向读者介绍了Python 如何被用在黑客和渗透测试的各个领域,从基本的网络扫描到数据包捕获,从Web 爬虫到编写Burp 扩展工具,从编写木马到权限提升等。作者在《Python 黑帽子:黑客与渗透测试编程之道》中的很多实例都非常具有创新和启发意义,如HTTP 数据中的图片检测、基于GitHub命令进行控制的模块化木马、浏览器的中间人攻击技术、利用COM 组件自动化技术窃取数据、通过进程监视和代码插入实现权限提升、通过向虚拟机内存快照中插入shellcode 实现木马驻留和权限提升等。通过对这些技术的学习,读者不仅能掌握各种Python 库的应用和编程技术,还能拓宽视野,培养和锻炼自己的黑客思维。读者在阅读《Python 黑帽子:黑客与渗透测试编程之道》时也完全感觉不到其他一些技术书籍常见的枯燥和乏味。

论坛徽章:
19
CU大牛徽章
日期:2013-04-17 11:48:262015年辞旧岁徽章
日期:2015-03-03 16:54:15羊年新春福章
日期:2015-03-10 22:39:202015年中国系统架构师大会
日期:2015-06-29 16:11:282015亚冠之平阳省
日期:2015-07-31 09:19:042015七夕节徽章
日期:2015-08-21 11:06:17IT运维版块每日发帖之星
日期:2015-09-30 06:20:002015亚冠之柏太阳神
日期:2015-10-19 20:29:5915-16赛季CBA联赛之天津
日期:2016-11-29 14:03:43双鱼座
日期:2015-01-12 20:58:53水瓶座
日期:2014-07-31 22:02:02CU大牛徽章
日期:2013-04-17 11:48:40
发表于 2015-08-25 08:41 |显示全部楼层
LZ是通过知道创宇的ZoomEye搜索出来的么?

论坛徽章:
6
CU大牛徽章
日期:2013-03-13 15:15:08CU大牛徽章
日期:2013-03-13 15:26:06CU大牛徽章
日期:2013-03-13 15:26:47戌狗
日期:2013-10-17 09:48:53CU十二周年纪念徽章
日期:2013-10-24 15:41:34丑牛
日期:2014-09-19 14:58:11
发表于 2015-08-25 09:50 |显示全部楼层
是不是通过谷歌搜索外加装一个插件,会入侵摄像头

论坛徽章:
13
数据库技术版块每日发帖之星
日期:2015-08-06 06:20:002017金鸡报晓
日期:2017-02-08 10:39:422017金鸡报晓
日期:2017-01-10 15:13:29极客徽章
日期:2016-12-07 14:08:02JAVA
日期:2016-10-25 16:01:09luobin
日期:2016-06-17 17:46:362016猴年福章徽章
日期:2016-02-18 15:30:3415-16赛季CBA联赛之天津
日期:2015-12-16 22:35:03黄金圣斗士
日期:2015-11-24 10:43:13IT运维版块每日发帖之星
日期:2015-10-09 06:20:002015亚冠之广州恒大
日期:2015-09-21 21:40:222015七夕节徽章
日期:2015-08-21 11:06:17
发表于 2015-08-25 11:20 |显示全部楼层
1、现在公司还没有运维,都是开发兼职做个运维

    对于提到的mongodb,直接来了个只限本机访问,应用程序跟它放一台机器了,查了下资料,加安全挺费劲,实在没时间弄,目前.....

2.现在公司还没有运维,都是开发兼职做个运维,很多时候都不知道做啥.....

3.目前还没写过


现在公司还米有找运维的打算

论坛徽章:
39
水瓶座
日期:2013-08-15 11:26:422015年辞旧岁徽章
日期:2015-03-03 16:54:152015年亚洲杯之乌兹别克斯坦
日期:2015-03-27 14:01:172015年亚洲杯之约旦
日期:2015-03-31 15:06:442015亚冠之首尔
日期:2015-06-16 23:24:37IT运维版块每日发帖之星
日期:2015-07-01 22:20:002015亚冠之德黑兰石油
日期:2015-07-08 09:32:07IT运维版块每日发帖之星
日期:2015-08-29 06:20:00IT运维版块每日发帖之星
日期:2015-08-29 06:20:00IT运维版块每日发帖之星
日期:2015-10-10 06:20:00IT运维版块每日发帖之星
日期:2015-10-11 06:20:00IT运维版块每日发帖之星
日期:2015-11-10 06:20:00
发表于 2015-08-25 11:45 |显示全部楼层
这都不是事 至少服务跑起来了 总比不能用要好些 。。。

论坛徽章:
4
IT运维版块每日发帖之星
日期:2015-08-19 06:20:002015七夕节徽章
日期:2015-08-21 11:06:17IT运维版块每日发帖之星
日期:2015-08-28 06:20:00IT运维版块每周发帖之星
日期:2015-09-11 19:20:31
发表于 2015-08-25 15:34 |显示全部楼层
本帖最后由 rickcafe 于 2015-08-25 15:34 编辑

讨论话题


1.某些服务配置的过程中,你或者不知道,或者是猪队友配置的,导致了整个公司数据被脱了,这种现象该如何防和如何进行人员培训?

1.        内部培训,老带新,熟带生;
2.        请专业厂商进行信息安全培训;
3.        配置专业的漏洞扫描系统、服务器加固系统、攻防演练系统(支持更新的)
4.        这种系统一般都要连互联网吧?要购买专业的网站防护,大数据漏洞分析系统,威胁情报服务。

2.像某些服务刚出来,手册资料都还不全,但很可能某个配置会产生安全问题,作为一名运维或管理人员该如何在接触新服务的时候,要注意那些问题?

1.        让原厂商或高手培训;
2.        让原厂商或高手配置一个安全框架;
3.        考核新人培训结果;
4.        用实践检验新人的训练效果;

3.        运维或安全人员会经常编写一些脚本来测试吗?写过哪些类型的测试代码?

这种脚本水平不可能高,也就批量扫描,检查配置,有限压力测试之类。

如果系统真有漏洞,还是需要大牛级的人物来处理的,这叫黑客/白帽子,发现系统未知漏洞,零日攻击,APT。一般公司养不起这种人,而且未知漏洞在黑客市场上是有销售的,随便一个20万美金,半个月有效,有几家公司会买?no people, no money, 玩这种高大上就没意思了。

求职 : Linux运维
论坛徽章:
202
拜羊年徽章
日期:2015-03-03 16:15:432015年辞旧岁徽章
日期:2015-03-03 16:54:152015年迎新春徽章
日期:2015-03-04 09:57:092015小元宵徽章
日期:2015-03-06 15:58:182015年亚洲杯之约旦
日期:2015-04-05 20:08:292015年亚洲杯之澳大利亚
日期:2015-04-09 09:25:552015年亚洲杯之约旦
日期:2015-04-10 17:34:102015年亚洲杯之巴勒斯坦
日期:2015-04-10 17:35:342015年亚洲杯之日本
日期:2015-04-16 16:28:552015年亚洲杯纪念徽章
日期:2015-04-27 23:29:17操作系统版块每日发帖之星
日期:2015-06-06 22:20:00操作系统版块每日发帖之星
日期:2015-06-09 22:20:00
发表于 2015-08-25 21:26 |显示全部楼层
招个安全工程师  

论坛徽章:
1
IT运维版块每日发帖之星
日期:2015-08-25 06:20:00
发表于 2015-08-26 10:09 |显示全部楼层
你们这说得都是大公司,像那种还是用阿里云的小公司怎么办?

论坛徽章:
129
操作系统版块每日发帖之星
日期:2016-05-11 17:06:57操作系统版块每日发帖之星
日期:2016-05-11 17:06:57数据库技术版块每日发帖之星
日期:2016-05-11 17:07:05操作系统版块每日发帖之星
日期:2016-05-11 17:06:57操作系统版块每日发帖之星
日期:2016-05-11 17:06:57综合交流区版块每日发帖之星
日期:2016-05-11 17:07:052022北京冬奥会纪念版徽章
日期:2015-08-07 17:10:57IT运维版块每日发帖之星
日期:2016-05-11 17:06:49操作系统版块每日发帖之星
日期:2016-05-11 17:06:57综合交流区版块每日发帖之星
日期:2016-05-11 17:07:05操作系统版块每日发帖之星
日期:2016-05-11 17:06:57程序设计版块每日发帖之星
日期:2016-05-11 17:06:57
发表于 2015-08-26 23:14 来自手机 |显示全部楼层
安全工程师,不是万能的,真要较真起来,全都加密。


这也完全不切实际

论坛徽章:
3
黄金圣斗士
日期:2015-11-23 17:59:41黄金圣斗士
日期:2015-11-24 10:38:08IT运维版块每日发帖之星
日期:2015-12-04 06:20:00
发表于 2015-08-26 23:53 |显示全部楼层
1.某些服务配置的过程中,你或者不知道,或者是猪队友配置的,导致了整个公司数据被脱了,这种现象该如何防和如何进行人员培训?
    这种现象几乎在所有公司都出现过(在乌云平台可以看到挺多的,如例子中说的memcached、redis之类等等),只是每个公司的响应速度不同,导致问题的影响不同,
    根据自身公司实践、以及与其他公司交流,目前大致总结了以下方法:
    (1)最重要的说在前面:生产环境不是每个运维、开发都可以直接操作的,操作之前,需要向运维经理申请具体操作原因以及操作内容、步骤文档,审批流程通过后,由专人(一般是运维骨干)协助申请人进行操作;
            这里面基本保证了两点:第一,保证专人操作生产环境,而不是猪队友;第二,保证不出现“因为不知道而导致的错误”;
            (之所以说基本保证,因为可能专人也会有疏漏)
    (2)人员培训分为  运维内部培训  以及  开发人员对运维培训。
             运维内部培训            主要是培训对系统的操作、配置;
             开发人员对运维培训   主要是由对某个组建比较熟悉的开发人员,对运维讲解组建原理以及配置思路,例如阅读过memcached代码的开发, 讲解memcached的应用、原理,端口使用等。
    (3)最好是有专业的安全工程师,自己的安全工程师,比较了解自己的业务,外面外包的安全监测,很多是走流程过的,只能发现一些基础的问题。

2.像某些服务刚出来,手册资料都还不全,但很可能某个配置会产生安全问题,作为一名运维或管理人员该如何在接触新服务的时候,要注意那些问题?
     (1)在我司,新服务或者技术,都是由预研组完成预研后,才交付开发进行使用的,如果手册资料不全、代码不稳定,一般都过不了预研这一关,所以很少出现市面上一个半成品上到我们生产环境的问题;
     (2)假设某个资料不太齐全的组建上线了,还是会由相关开发人员以及测试人员对运维人员进行培训,降低不稳定性;
     (3)其实一般来说,不稳定还是不要上生产环境;

3.运维或安全人员会经常编写一些脚本来测试吗?写过哪些类型的测试代码?
     (1)运维写的脚本还是比较多的,包括:功能测试脚本、监控脚本、自动化运维脚本
     (2)运维也写一部分qt代码,在 新品上线前 或 老产品版本更新完成后  做一些功能验证测试,这些基本上是抄测试人员的脚本了;
     (3)监控脚本、自动化运维脚本 : 这应该不必多说,生产环境的监控系统少不了脚本,也少不了自动运维
     (4)安全人员写的脚本倒是比较少,多是用自己已经写好的现成安全监测工具,以及配合手工测试,脚本多用户扫描、压力测试(也有可能不用脚本,用webbench、ab)等重复性工作。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

  

北京皓辰网域网络信息技术有限公司. 版权所有 京ICP证:060528号 北京市公安局海淀分局网监中心备案编号:1101082001
广播电视节目制作经营许可证(京) 字第1234号 中国互联网协会会员  联系我们:
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP