我的编程空间,编程开发者的网络收藏夹
学习永远不晚

运维是必需品,安全是奢侈品

短信预约 -IT技能 免费直播动态提醒
省份

北京

  • 北京
  • 上海
  • 天津
  • 重庆
  • 河北
  • 山东
  • 辽宁
  • 黑龙江
  • 吉林
  • 甘肃
  • 青海
  • 河南
  • 江苏
  • 湖北
  • 湖南
  • 江西
  • 浙江
  • 广东
  • 云南
  • 福建
  • 海南
  • 山西
  • 四川
  • 陕西
  • 贵州
  • 安徽
  • 广西
  • 内蒙
  • 西藏
  • 新疆
  • 宁夏
  • 兵团
手机号立即预约

请填写图片验证码后获取短信验证码

看不清楚,换张图片

免费获取短信验证码

运维是必需品,安全是奢侈品

安全,一直是大部分公司想引起重视,又不引起重视的存在。想引起重视的原因是安全问题不断出现,经常会听到某某云厂商的服务器不可用了,某某公司的服务器被入侵了,某某公司的数据库被前员工删了,层出不穷的安全问题让安全人员防不胜防。

就算如此,大部分公司还是不引起重视。我觉得主要有以下三种原因:

(1)公司并没有专业的安全人员,没有较强的安全意识,再加上没有发生太大的安全事故

(2)安全==花钱,要做安全,就要做好花钱的准备,并且价格不菲

(3)侥幸心里

我有段时间也曾抱着侥幸心里:这类事情应该不会发生在我身上。

但是,侥幸往往会在未来的某一时刻发生。今年,我负责的环境就发生了两次安全事故,虽然没有造成损失,但是给我敲了警钟。

(1)第一个安全事故是一台 Windows 系统被入侵,植入后门,我在《服务器中毒了——菜是原罪》中有阐述整个过程。

(2)第二个安全事故是一台 Linux 服务器被黑客利用应用软件漏洞植入恶意脚本进行挖矿

两件事情虽然都在第一时间去解决了,但是现在想想还是后背发凉,如果我这些服务器和其他服务器开了免密,那后果将是怎样的?

所幸的是,虽然我并没有买其他的安全产品,但是基础的安全规范还是做了,并没有造成太大的影响。

鉴于个人的能力水平有限,我总结整理了下面几个安全规范:

  • 端口安全
  • 系统安全
  • 应用安全
  • 网络安全
  • 数据安全

端口安全

现在的应用基本都是 TCP/IP 形式进行通信,如果想从外面环境进行访问,就需要放开相应的端口和 IP,比如常用的 HTTP/HTTPS 端口,SSH 端口,RDP 端口等,为了安全,我会遵从以下原则:

  • 除了 80 和 443 端口,都不对外开放
  • 远程维护端口要开白名单
  • 能用 443 的尽量不使用 80

如果是普通的服务器,可以使用 iptables 进行规则制定,如果是云服务器,可以通过云安全组进行访问控制。

系统安全

如果按着等保 3 级的标准,系统安全要做的就比较多,比如要开启防火墙,要备份审计日志,要配置各种策略。我一般只做下面几种:

  • 登录/密码管理
  • 漏洞管理
  • 基线检查

登录/密码管理

日常的服务器维护需要我们登录到目标服务器进行操作,那么就会涉及到密码、密钥等问题,我一般会遵从以下原则:

  • 提升密码复杂度
  • 设置密码失效时间
  • 定期修改密码
  • 设置密码重试次数
  • 检查系统是否存在空密码
  • 禁止空密码登录
  • 建议使用密钥进行登录管理
  • 通过堡垒机来做访问控制

漏洞管理

“漏洞是修不完的,我们只能查漏补缺”。

大部分公司现在都是以开源为主,而且大部分公司都是借助开源软件构造自己的业务体系,并没有对这些开源软件做太多的安全质量把控,以至于很多安全问题都是开源软件引起的。而且现在很多软件供应商对外售卖的商业软件中也大量采用了开源软件,但是安全责任并没有从开源代码提供者转移到软件供应商,这就导致最终还是由用户来承担了软件漏洞的安全风险。

就拿 CentOS 系统而言,企业会在服务器上安装各种软件,比如 ssh、mysql、redis 等,而这些应用软件又会有许多漏洞,这就导致我们的系统就像一个筛子:漏洞百出。如果被用心之人利用,损失将不可估量。

为此,我们一定要经常对系统进行漏洞扫描和修复,切记抱着侥幸心里。

如果你常用云,就算不买安全产品,它们也会提供基础的漏洞扫描能力,但是不会帮你修复,不然就要额外收费了。我们可以借助它把漏洞整理出来,自己修复。

基线检查

基线检查是一个日常检查维护,主要检查以下问题:

  • 弱口令
  • 账号权限
  • 身份鉴别
  • 密码策略
  • 访问控制
  • 安全审计
  • 入侵防范

安全并不是一劳永逸的事情,它需要每时每刻都投入心血、时间,而基线检查可以有效的指出安全问题,方便进行安全加固。

条件允许,建议购买商业的软件。退而求其次,就只能去找一些开源的软件了,比如百度推出的 OpenRASP。

应用安全

应用是业务的基石,应用是业务的载体。如果应用出问题,业务也不远了。

而且,现在很多开放人员都只关注业务实现与否,并不太关注应用的安全,这就会导致:

  • 在开发的过程中可能引入了有漏洞的组件
  • 涉及的用户密码没有做加密处理
  • 把用户密码直接放代码中,然后上传到公开仓库中

我就遇到过某开发人员将代码放到 Github,而里面有阿里云 OSS 的密钥,这就直接导致密钥泄漏。幸亏阿里在这方面的扫描能力很足,很快就发现并告警处理。

在应用安全这块,主要关注以下问题:

  • 应用漏洞扫描
  • 网站后门
  • 密钥泄漏
  • 入侵检测

这类基本需要借助商业软件来完成,比如 WAF。

网络安全

买买买。重要的事情说三遍。

网络防御这块,除了买,好像没什么其他的办法,比如 DDoS。

当然,除了 DDoS 这类攻击外,暴力破解也是常有的事,如果不嫌麻烦,可以自己去封禁 IP,其结果是真麻烦。

所以,最终都要以 RMB 破万法。

数据安全

数据安全牵扯的就比较多,常规主要以下几种:

  • 防止 SQL 注入
  • 敏感数据脱敏
  • 数据库审计
  • 访问控制
  • 备份冗余

这里以数据库为例,我们主要按以下规则进行处理:

  • 使用数据库堡垒机,所有操作都通过数据库堡垒机进行
  • 原则上不开放读写权限给个人用户
  • 应用建议一个应用一个账号原则
  • 要对敏感数据进行脱敏处理

最后

大家有没有发现,安全拼到最后都是 RMB,当 RMB 都不能解决的时候,就拼人脉了。

道路千万条,

安全第一条。

操作不规范,

运维两行泪。

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

运维是必需品,安全是奢侈品

下载Word文档到电脑,方便收藏和打印~

下载Word文档

猜你喜欢

运维是必需品,安全是奢侈品

安全,一直是大部分公司想引起重视,又不引起重视的存在。想引起重视的原因是安全问题不断出现,经常会听到某某云厂商的服务器不可用了,某某公司的服务器被入侵了,某某公司的数据库被前员工删了,层出不穷的安全问题让安全人员防不胜防。

卫达信息张长河:真实对抗是验证安全产品是否有效的必要手段

9月10日—17日,由卫达信息主办的千万悬赏“2023全球黑客挑战赛”落下帷幕,在全赛程无人工值守的前提下,经过七天七夜的激烈攻防对抗,最终卫达信息实现了“零攻破”的防御目标,为赛事画下圆满的句号。
卫达信息2024-11-30

《网络产品安全漏洞管理规定》:不仅是白帽子的紧箍咒,也是合规必答题

我们建议严格按照《网络产品安全漏洞管理规定》为自己的行为边界划出红线,更充分地利用自己的网络安全技能。

编程热搜

  • Python 学习之路 - Python
    一、安装Python34Windows在Python官网(https://www.python.org/downloads/)下载安装包并安装。Python的默认安装路径是:C:\Python34配置环境变量:【右键计算机】--》【属性】-
    Python 学习之路 - Python
  • chatgpt的中文全称是什么
    chatgpt的中文全称是生成型预训练变换模型。ChatGPT是什么ChatGPT是美国人工智能研究实验室OpenAI开发的一种全新聊天机器人模型,它能够通过学习和理解人类的语言来进行对话,还能根据聊天的上下文进行互动,并协助人类完成一系列
    chatgpt的中文全称是什么
  • C/C++中extern函数使用详解
  • C/C++可变参数的使用
    可变参数的使用方法远远不止以下几种,不过在C,C++中使用可变参数时要小心,在使用printf()等函数时传入的参数个数一定不能比前面的格式化字符串中的’%’符号个数少,否则会产生访问越界,运气不好的话还会导致程序崩溃
    C/C++可变参数的使用
  • css样式文件该放在哪里
  • php中数组下标必须是连续的吗
  • Python 3 教程
    Python 3 教程 Python 的 3.0 版本,常被称为 Python 3000,或简称 Py3k。相对于 Python 的早期版本,这是一个较大的升级。为了不带入过多的累赘,Python 3.0 在设计的时候没有考虑向下兼容。 Python
    Python 3 教程
  • Python pip包管理
    一、前言    在Python中, 安装第三方模块是通过 setuptools 这个工具完成的。 Python有两个封装了 setuptools的包管理工具: easy_install  和  pip , 目前官方推荐使用 pip。    
    Python pip包管理
  • ubuntu如何重新编译内核
  • 改善Java代码之慎用java动态编译

目录