如何做好日常運(yùn)維的安全工作

一、主動(dòng)與被動(dòng)發(fā)現(xiàn)漏洞

這里的主動(dòng)是指安全工程師主動(dòng)去做的事情，而被動(dòng)并不是被動(dòng)挨打，而是積極去獲取信息，積極防御。

因?yàn)?**之間信息不對(duì)稱，很多***、利用方式及漏洞安全工程師不一定能第一時(shí)間獲取到信息

就導(dǎo)致了服務(wù)器被黑，出現(xiàn)被上傳webshell無外乎這集中情況：

使用開源程序出現(xiàn)高危漏洞被***者上傳webshell，服務(wù)器配置錯(cuò)誤導(dǎo)致***者利用運(yùn)維缺陷上傳webshell

程序員編寫代碼存在諸如sql注入、文件包含，命令執(zhí)行問題被***者發(fā)現(xiàn)并利用導(dǎo)致被上傳webshel

那是不是說作為防御者我們就一定是被動(dòng)挨打的呢？答案當(dāng)然是否定的

如果運(yùn)維安全做的好的情況下，會(huì)在服務(wù)器上線初期做安全檢查將加固服務(wù)做成加固基線包

后期邀請(qǐng)外部人員進(jìn)行***測(cè)試來檢查企業(yè)安全情況，安全基礎(chǔ)就牢靠。

從主動(dòng)來說，企業(yè)可以通過這些辦法來將***者的想法消滅在萌芽之中。

1、積極主動(dòng)的做好對(duì)系統(tǒng)加固工作，堅(jiān)決消滅弱口令、回收外網(wǎng)默認(rèn)管理后臺(tái)
    (能回收的回收，不能回收的做好訪問控制)，對(duì)諸如tomcat、jboss、resin之類的服務(wù)器做好加固
    避免出現(xiàn)弱口令，因?yàn)榛ヂ?lián)網(wǎng)上每時(shí)每刻都有人來通過這幾種服務(wù)來抓肉雞。
   
2、對(duì)于漏洞的修復(fù)不能只僅限于加固還要主動(dòng)去發(fā)現(xiàn)，需要定期對(duì)生產(chǎn)環(huán)境和web進(jìn)行掃描
    其中外網(wǎng)端口掃描需要結(jié)合資產(chǎn)進(jìn)行，如果不能結(jié)合資產(chǎn)，掃描的結(jié)果會(huì)差強(qiáng)人意。
   
3、對(duì)企業(yè)所使用的開源程序另外諸如webserver、第三方中間件都有深入了解
     并關(guān)注這些app近期存在安全風(fēng)險(xiǎn)：比如struts漏洞
     如果能早發(fā)現(xiàn)事情也可控制(通過關(guān)注烏云、微博等來及時(shí)獲取信息)
     其次是權(quán)限控制，在struts漏洞中，使用root運(yùn)行的struts2
     受影響最嚴(yán)重而運(yùn)行權(quán)限為tomcat之類的較輕，較輕不是說不被***
     而是***者沒有權(quán)限對(duì)服務(wù)器來做更進(jìn)一步操作比如rm -rf /，所以對(duì)于權(quán)限的控制也需要考慮到加固中去
     
4、被動(dòng)發(fā)現(xiàn)漏洞可以依靠對(duì)烏云等平臺(tái)的漏洞提交來預(yù)測(cè)可能爆發(fā)的漏洞情況
     并且結(jié)合第3點(diǎn)對(duì)應(yīng)用做檢測(cè)，如果發(fā)現(xiàn)漏洞了則快速修復(fù)，將不會(huì)到被***者上傳webshell的情況

二、監(jiān)控為主分析為輔

監(jiān)控的重要性不需要在陳述，在城市的各個(gè)角度都有監(jiān)控?cái)z像頭，監(jiān)控的作用是屬于事中或者事后階段

舉個(gè)例子，某人犯罪如果沒有監(jiān)控的情況下，無法追溯，這時(shí)候如果有監(jiān)控的話就可以對(duì)其行為做分析和追溯。

舉一反三，在企業(yè)安全防護(hù)方面也可以這樣做，通過部署ossec之類的行為監(jiān)控，對(duì)***者的行為做檢測(cè)

比如對(duì)于webshell的檢測(cè)來說，更關(guān)注”行為”,啥叫行為呢，你的一舉一動(dòng)都是行為，上傳了文件，修改了權(quán)限

刪除了權(quán)限這些都該被記錄下來，而類似ossec之類的監(jiān)控工具可以做到，當(dāng)然你也可以編寫腳本來對(duì)目錄做實(shí)時(shí)檢測(cè)

分析為輔，可以從多點(diǎn)上來結(jié)合，比如***者對(duì)于網(wǎng)站的注入行為，都會(huì)觸發(fā)記錄，記錄到log里，***者對(duì)ssh的

掃描行為，都會(huì)被記錄到日志里，而這些都可以用作對(duì)***者的行為分析，更超前一些惡意的掃描都可以算作是行為

并且這些行為都是可以分析和追溯***者的，其次日志需要備份到遠(yuǎn)程，并且可以利用大數(shù)據(jù)日志分析利器splunk

來對(duì)日志分析，備份到遠(yuǎn)程也導(dǎo)致了***者刪除本機(jī)日志時(shí)能被追溯到。對(duì)于webshel檢測(cè)來說，可以從日志里進(jìn)行

分析，因?yàn)槿魏?**者的操作都會(huì)在日志里顯現(xiàn)記錄，這時(shí)候只要有足夠的日志分析能力就可以對(duì)產(chǎn)生的webshell

揪出來，使***者無處遁形。

最后說說運(yùn)維安全，運(yùn)維安全工作本來其實(shí)是工作范疇的事，但運(yùn)維做不好這部分工作或者說大多數(shù)運(yùn)維對(duì)安全

的理解并不深入，所以企業(yè)有了運(yùn)維安全這個(gè)職位，或者你可以把它叫做安全運(yùn)維

運(yùn)維安全需要有較寬的知識(shí)面來撐起企業(yè)安全的一片天。

有一個(gè)朋友是做游戲的，他告訴我他們公司關(guān)于ssh安全方面就有五層驗(yàn)證！

好吧，可能對(duì)于一些不是很注重安全的運(yùn)維小伙伴來說，弄那么復(fù)雜干嘛？

甚至有的公司直接root登陸(很危險(xiǎn))， 甚至有的ssh默認(rèn)端口都不改

我個(gè)人認(rèn)為不一定安全做的那么多

（當(dāng)然要根據(jù)公司業(yè)務(wù)具體環(huán)境具體來定）但起碼一些基本的安全方面要做到位！

下面是我多年實(shí)戰(zhàn)個(gè)人總結(jié)一些方法，介紹并分享給大家！

三、常用的服務(wù)器安全方面的措施

1、硬防火墻。

      通過硬件防火墻acl策略也決定是否可以訪問某臺(tái)主機(jī)

2、軟防火墻    [常用]

      比如iptables，tcpwrappers，防護(hù)軟件等，內(nèi)部對(duì)主機(jī)進(jìn)一步進(jìn)行限制

3、修改默認(rèn)的ssh端口    [必用]

      默認(rèn)是22，建議改成五位。

4、密碼要符合復(fù)雜性要求，防止暴力破解   [必用]

      避免ssh暴力破解，建議密碼稍微復(fù)雜一些，符合四分之三原則！

5、禁止root登陸             [必用]

      禁止root遠(yuǎn)程ssh登錄

      在/etc/ssh/sshd_config設(shè)置：PermitRootLogin no：

      禁止root本機(jī)登錄（根據(jù)具體環(huán)境，這個(gè)不是很必要）

      將 auth required pam_succeed_if.so user != root quiet

      添加到/etc/pam.d/login 文件第一行

6、禁止密碼登陸            [常用]

      刪除不必要的賬號(hào)，并禁止用戶密碼登陸

 7、公鑰私鑰認(rèn)證            [常用]

      通過公鑰私鑰rsa2048，并設(shè)置復(fù)雜性密碼

 8、LDAP等方式統(tǒng)一認(rèn)證登陸    

      通過對(duì)ssh賬號(hào)集中化管理，進(jìn)一步提升安全

9、對(duì)secure日志進(jìn)行日志切割，通過腳本，對(duì)于不安全的訪問ip進(jìn)行過濾并報(bào)警

      secure日志記錄著用戶遠(yuǎn)程登陸的信息，可通過查看此日志排查不安全因素。

10、搭建日志服務(wù)器，對(duì)secure日志進(jìn)行監(jiān)控。排查不安全因素

       一個(gè)好的日志服務(wù)器，可大大減輕管理員的工作，并方便管理。