0
点赞
收藏
分享

微信扫一扫

常见运维安全陋习(2)

7、sudo授权

sudo授权过大,导致自定义脚本提权

如果者可修改脚本内容则提权易如反掌。

sudo script.sh

8、root权限对象

给开发或者QA授权root权限,他搞事情你背锅?

一直以来我们强调RBAC,但是运维太忙,开发测试人员需求太多时,很多运维人员会直接授权他们root权限,而他们对系统级访问控制不甚了了,因此造成的漏洞非常可观。

dev@pro-app-01:/home/dev$su
root@pro-app-01:/home/dev#whoami
root

9、ssh私钥

key/token/ssh私钥保存在未加密的txt文件里,虽然方便但是很不安全,也有把个人ssh私钥放在服务器的,这是很危险的

op@pro-app-01:/home/op$ls ~/.ssh
id_rsa id_rsa.pub

10、代码存放意识

把工作上的代码对外发布

连着遇到实习生把项目代码提交github了,回复的理由是git配错了。虽然不知真假,但我认为,至少他们是安全意识不足。没有安全的代码。

git remote add origin https://github.com/secondwatchCH/EFS.git
git push origin master

11、home目录

个人home目录那么敏感,也有人拿来直接托管服务,至少.bash_history泄露是跑不了

dev@pro-app-01:/home/dev$python -m HTTPSimpleServer

12、应用选型

应用选型时没有考虑安全风险

Apache Struts Version:Struts 2.5 - Struts 2.5.12 #线上业务使用受S2-052影响的S2版本

13、对软件供应链安全没有概念

从苹果xcode开发环境事件到pip官方发现恶意ssh库,都在向我们昭示一个道理:软件供应链安全风险极大。目前比较运维人员中比较常见问题有:

ssh客户端或者开发IDE从百度网盘下载
两眼一闭,把github/pypi/dockerhub等网站下载的应用/库/镜像直接用到生产环境
未清理默认口令或者默认配置


举报

相关推荐

0 条评论