運維安全概述

時間 2019-12-14

原文原文鏈接

運維安全概述

iv4n · 2015/09/02 19:31

0x00 前言

運維安全是企業安全保障的基石，不一樣於Web安全、移動安全或者業務安全，運維安全環節出現問題每每會比較嚴重。python

一方面，運維出現的安全漏洞自身危害比較嚴重。運維服務位於底層，涉及到服務器，網絡設備，基礎應用等，一旦出現安全問題，直接影響到服務器的安全；另外一方面，一個運維漏洞的出現，一般反映了一個企業的安全規範、流程或者是這些規範、流程的執行出現了問題，這種狀況下，可能不少服務器都存在這類安全問題，也有可能這個服務還存在其餘的運維安全問題。git

本文一方面但願幫助甲方覆蓋一些盲點，另外一方面也可以爲白帽子提供一些漏洞挖掘的方向和思路。github

0x01 Attack Surface

一圖勝千言，下圖是我的近期總結的一些常見的運維風險點。web

附XMIND源地址：https://github.com/LeoHuang2015/ops_security/blob/master/%E8%BF%90%E7%BB%B4%E5%AE%89%E5%85%A8.xmindshell

0x02 運維安全對抗發展

攻防對抗自己就是不平等的，防護是一個面，而攻擊者只須要一個點。要防住同一level的攻擊，須要投入的防護成本是巨大的。在攻防對抗的各個level，高level的攻擊手段是能夠隨意貫穿低level的防護層面。數據庫

救火

對於不少小公司（其實也包括不少大公司），對待安全漏洞的態度基本上都是遇到一個坑，填一個坑，這種純「救火」的態度沒法保障運維安全，只會像打地鼠同樣，疲於奔命。安全

然而大部分公司都處在這個level——填坑救火（不救火的公司沒有討論的必要）。一方面是公司自身的安全意識不強；另外一方面是小公司的安全資源配備有限。服務器

漏網之魚 VS 建設 + 運營

不一樣於小公司，一些大公司，特別是互聯網公司，安全發展已經逐漸的從「救火」進入到「建設」的階段。網絡

從甲方的角度而言，這個過程是艱辛的，長久的。運維

在企業進入安全「建設」的階段時，運維安全漏洞會呈指數級降低，一些常見和普通的問題再也不出現。

這個時候，對抗點會集中在一些比較邊緣的點。包括不常見的服務端口，依賴第三方服務的問題，又或者是一些合做方服務器安全漏洞等狀況。

好比：

WooYun: 騰訊內部員工接私活致使某qq.com域服務器shell進入內網

WooYun: 騰訊某站配置不當可致使部分地區騰訊視頻播放源損壞

一般狀況下，形成這些安全問題並不是是安全技術的缺陷，更多的是安全規範、標準流程覆蓋不全的狀況，如新業務、三方業務、收購的業務，運維體系尚未統一，運維安全建設沒有及時跟上；即便在安全規範和流程覆蓋徹底的狀況下，在具體的執行也會出現一系列問題。安全規範和標準流程越多，越容易出現執行上的問題。

這兩類問題是建設時期比較典型的狀況。不少時候，領導都會有這樣的疑問，咱們的規範、流程已經推到各個部門，看起來各個部門也按照標準執行了，爲何還會有這麼多「漏網之魚」？

因而如何主動的發現這些漏網之魚也是一個急迫的需求。

這個時候須要安全運營的介入，安全運營在戴明環中扮演的量C/A的角色，按期check安全規範、流程標準的執行狀況，而後推進安全問題的Fix，找到根本緣由，一方面不斷的完善規範和流程，另外一方面不斷的提高運維安全的覆蓋面。

比較常見的就是安全掃描，經過按期掃描發現的問題，反推流程和規範的執行；固然，經過白帽子報告的漏洞，肯定是流程和規範的緣由後，進行反推也是一種有效的方式。

「新」漏洞 VS 預警 + 響應

天下武功，惟快不破

在運維安全提醒建設到相對完善的狀況下，一般狀況下，企業是相對安全的。可是，一旦有新漏洞的出現(在國內，有exp發佈的漏洞每每就等於新漏洞），拼的就是響應速度。

一方面是須要安全運營對這些嚴重漏洞的快速預警；另外一方面就是安全專家的技術功底了。在沒有官方補丁發佈的狀況下，如何經過一些hack技巧進行防護也是很是重要的。

好比最近幾年比較大的安全事件，如2013年7月17日的struts2漏洞，2014年4月7日的心血漏洞，就算是國內甲方最強安全團隊BAT也是難於倖免。這一level，甲方很是難作，惟一能保障的就是在中招後提示響應和修復的速度。

人安全意識 VS 安全教育

在整個運維安全的對抗中，人這一塊尤其重要，運維安全作的越好，這塊愈加重要。

安全規範和標準能夠落實到各個部門，以流程的方式強制執行。可是運維人員安全意識的問題，很難進行控制。

最簡單的就是弱口令，弱口令，弱口令！

各類系統的弱口令，各類後臺的弱口令，各類服務的弱口令。這麼多年了歷來沒有斷過。

不少運維有些「壞」習慣。

好比直接在web目錄進行web文件備份、nohup後臺運行程序。這樣會致使備份文件、程序執行的日誌泄露；又或者隨便開一個web服務下日誌或者傳數據，如python -m SimpleHTTPServer，這樣就直接把目錄映射到全部用戶，若是是根目錄，影響就更大了；固然，還有些運維喜歡把自動化腳本上傳到git，腳本這東西，密碼就在裏面，一不當心就直接泄露了密碼。

好比弱口令： WooYun: 百度某分站修改了弱口令還更弱（可shell可內網）

好比web服務開放問題： WooYun: 騰訊某服務配置不當致使包括數據庫文件、密碼hash等任意文件可下載

好比運維在Github泄露致使的安全問題： WooYun: 淘寶敏感信息泄漏可進入某重要後臺（使用大量敏感功能和控制內部服務器）