运维安全的攻与防课件

资源描述

《运维安全的攻与防课件》由会员分享，可在线阅读，更多相关《运维安全的攻与防课件（26页珍藏版）》请在金锄头文库上搜索。

1、运维安全的攻与防,KNOW IT,开源带来的风险-php官方代码被改了,开源代码被篡改(php/chef/ssh/vsftpd.) 某些开发人员的安全编码规范不行架构设计范围太广，安全可控性差，成本高,信息的泄漏-58火了,一个dns区域传送泄漏所有子域名一个mongodb agent端口对外，非授权访问情况下，直接get shell 一个svn信息泄漏，导致源代码被拖，挖洞，入侵官方，进行内网渗透。甚至导致svn服务器被黑，篡改代码，所有相关同步服务器沦为肉鸡。一个管理网后台泄漏，导致58被脱裤。一个zabbix后台泄漏，导致所有服务器沦为肉鸡一个备份文件泄漏，导致源代码 Rsyn

2、c信息泄漏 Hadoop集群地址，将会导致。,权限问题,应用服务用户权限过高存储敏感信息任意用户可读执行脚本代码可注入,密码问题-优酷/奇艺挂了,默认密码弱口令第三方导致的密码泄漏一个密码走天下案例: 从一个默认口令到youku和tudou内网http:/www.wooyun.org/bugs/wooyun-2010-019917,自动化带来的问题-这个很暴力,通常我们搭建一个服务器通过http来下载一些安装包. 恩，很方便如果包被篡改怎么办？缺乏监控，校验和审计流程，风险大，可控性差开发人员安全编码不够规范例如：opscode的chef 一个普通的客户端用户可以通过api

3、访问到其他的用户了客户端信息，以及一些帐号密码，包括曾经存在的其他越权漏洞，可以导致从一个客户端之间入侵到其他客户端甚至服务器端，最终导致所有网络瘫痪。,默认/错误配置的风险-Treasure Data被黑,Jboss直接通过jmx-console部分上传webshell Mongodb任意ip访问，默认无授权，存在远程溢出漏洞 Memcache任意ip访问读取数据，无任何验证 Nginx网上错误的nginx php解析配置 Hive的tranform函数导致任意代码/命令执行 Apache错误的目录不解析php配置,流量攻击-低成本，高损失,Ddos攻击 Cc攻击其他各种网络攻击,0day

4、-0day在手，长枪我有,GOOGLE等三十多个高科技公司的极光攻击美国能源部的夜龙攻击针对RSA窃取SECURID令牌种子的攻击针对伊朗核电站的震网攻击据统计2011年NASA被成功入侵13次一个贴近我们的实例，nginx解析漏洞。,误操作带来的纠纷,某天我们某服务器的防火墙发现被人关了然后大家都是说：我没动，是不是你们那边谁弄得啊。闹鬼？什么时候？哪里来的？谁干的？还干了什么？,HACK IT,访问控制,内部/办公网和平台网络的隔离平台网站后台/zabbix后台限制 ssh/memcache等端口访问控制开发运维人员测试机网络要和线上运营服务器隔离统一采用密钥验证进

5、一步的审计和规范还没做。,运维操作审计系统,实时地、完整地记录基于SSH协议访问的用户操作，并提供方便灵活的操作回放或查询检索的手段和操作进行过程的抓取，从而可以录像方式对所有运维人员的所有操作进行记录，并具备强大的搜索功能，可对特定时段、特定事件、特定用户等逻辑要素进行搜索与提取从而达到真正意义上的审计与风险控制。,Ngx_lua_waf,Waf的功能过滤常见的web攻击过滤常见的敏感文件泄漏屏蔽常见的扫描黑客工具屏蔽异常的网络请求屏蔽图片附件类目录php执行权限防护cc攻击帮助发现，记录分析黑客攻击行为了解平台被攻击情况一起来看下我们的waf代码新waf的代码和畅想,

6、Webshell监控,Webshell监控：自研发对网站文件操作进行实时监控，并对恶意文件进行本地记录。然后报警(邮箱，RTX)，并且入库检测报警上报到运维安全中心。,漏洞检测系统,SQL Injection XSS CSRF JSON Hijacking OS Injection Etc.,high-risk port low version remote overflow unsecu config weak pwd Etc.,主机安全agent,端口扫描/弱口令检查,基于nmap+medusa定期对平台的危险端口和弱口令自动进行检测，以邮件方式发送给相关负责人,日志分析,基于大数据对日志进行分析，得出常规分析，安全分析，漏洞扫描，webshell检查,安全运营中心,渗透性测试,在保障业务不受影响的情况下，从攻击者的角度出发对公司平台进行安全测试，渗透性测试的基本方法包括：黑白盒。,应急响应,云安全-Security as a service,总结,安全无绝对，攻击和防守永远是此消彼长的一个过程因此安全需要大家共同参与，不断完善加强,

展开阅读全文