黄楼-跨平台的安全运维建设实践-青藤云安全.pdf

跨平台的安全运维建设实践
青藤云安全:黄楼
01 资产梳理
02 命令审计
03 行为监控
04 响应机制
资产梳理
运维工作的第一件事
网络设备服务器资产
机柜、路由器、防火墙、交换机、存储服务器型号、配置信息、所属机柜、机房、
01 02 02 OS、内网IP
01 03
网络资产业务属性
公网IP列表、网段划分、路由映射关系、业务分组、数据库、WEB、微服务、
端口开放策略和网络拓扑
03 04 04 负责人、上下架、云/物理机
运维关心的资产
风险资产梳理
安全运维工作的第一件事
帐户安全网站信息
主机管理多少服务器上有多少帐户
有多少root权限帐户哪些网站部署在哪些业务组的
主机数量、IP、计算机名
有多少无密码sudo账户哪些服务器上
操作系统、业务分组
验证密码或私钥Key的安全网站配置路径在哪个目录
业务系统、邮箱系统密码安全这些目录是什么权限
01 02 03 04 05
进程服务端口
哪些机器运行了哪些进程服务哪些服务器监听哪些端口
分布在哪个业务组哪些端口外部可以访问
哪些是业务进程哪些端口限制哪些IP访问
哪些是系统进程
哪些框架?是否开源?
设定公司IP白
定制每个业务名单,防止异
及操作系统的
安全基线 IP白名单常登录
安全配置基线配置检查登录安全
对帐户密码的安全对所有登录系统的
策略配置和系统服日志进行安全分析
务的安全策略配置
提升安全意识分析不同地域
进行周期性的检查
规范运维操作安全验证 IP和异常登录
避免策略失效异常登录时间及时告警
及时发现系统通过内容关键
漏洞和补丁定跟进漏洞网站***词匹配和相似
制解决方案软件漏洞网站安全度匹配发现
对系统软件包进行对网站目录进行
漏洞补丁的检查和 ******和
风险文件检查对源代码
结合业务评估修复(svn,git)目录、
影响,提供修风险文件数据库备份文
复方法推进推进修复件、压缩包进
行检查
风险指数弱密码
70% 例如操作系统弱密码、网站后台弱密码、
OA系统弱密码、邮箱系统弱密码、AD域账
风 30% 户弱密码、其他办公业务系统弱密码
百分之70系统存在中低危漏洞
关键信息泄露
险百分之30系统存在高危漏洞
例如网站目录放压缩包、备份文件;github
入侵事件上放运维脚本,特别是包含公司初始密码的
统 40% 邮件报警脚本
计 60% 产品漏洞
百分之40的入侵事件被公开例如OpenSSL心脏滴血、Bash破壳、glibc
百分之60的入侵事件被黑产利用幽灵、ImageMagck、Redis写文件等等远
程直接利用等高危漏洞
命令审计
运维规范的重要标准
黑客无法绕过但复杂度高
,数据量小,而去黑客无法绕过

伪终端可以记录所有屏 Bash、zsh、csh每一
幕的输入输出,但是日个都去研究源码,修改、
志超大,审计也非常不编译、打包、安装
方便

流量问题绕过审计
所有人操作所有服务器 export HISTFILE=/dev/null
都通过跳板机,随便传 export HISTSIZE=0
点文件,大家就卡不动 export HISTIGNORE=*
了 unset HISTFILE