7、sudo授权
sudo授权过大,导致自定义脚本提权
如果者可修改脚本内容则提权易如反掌。
sudo script.sh
8、root权限对象
给开发或者QA授权root权限,他搞事情你背锅?
一直以来我们强调RBAC,但是运维太忙,开发测试人员需求太多时,很多运维人员会直接授权他们root权限,而他们对系统级访问控制不甚了了,因此造成的漏洞非常可观。
dev@pro-app-01:/home/dev$su
root@pro-app-01:/home/dev#whoami
root
9、ssh私钥
key/token/ssh私钥保存在未加密的txt文件里,虽然方便但是很不安全,也有把个人ssh私钥放在服务器的,这是很危险的
op@pro-app-01:/home/op$ls ~/.ssh
id_rsa id_rsa.pub
10、代码存放意识
把工作上的代码对外发布
连着遇到实习生把项目代码提交github了,回复的理由是git配错了。虽然不知真假,但我认为,至少他们是安全意识不足。没有安全的代码。
git remote add origin https://github.com/secondwatchCH/EFS.git
git push origin master
11、home目录
个人home目录那么敏感,也有人拿来直接托管服务,至少.bash_history泄露是跑不了
dev@pro-app-01:/home/dev$python -m HTTPSimpleServer
12、应用选型
应用选型时没有考虑安全风险
Apache Struts Version:Struts 2.5 - Struts 2.5.12 #线上业务使用受S2-052影响的S2版本
13、对软件供应链安全没有概念
从苹果xcode开发环境事件到pip官方发现恶意ssh库,都在向我们昭示一个道理:软件供应链安全风险极大。目前比较运维人员中比较常见问题有:
ssh客户端或者开发IDE从百度网盘下载
两眼一闭,把github/pypi/dockerhub等网站下载的应用/库/镜像直接用到生产环境
未清理默认口令或者默认配置