结合漏洞分析和响应情况来看,常见的运维安全问题主要可分为下面几种:
1、敏感端口对外开放
db或者cache属于敏感应用,通常部署在内网,但是如果部署的机器有内外网ip,且默认监听地址为0.0.0.0的话,则敏感端口会对外开放。如mysql/mongodb/redis/rsync/docker daemon api等端口对外开放。
2、敏感应用无认证、空口令或者弱口令
同上,如果敏感应用使用默认配置,则不会开启认证,mysql/mongodb/redis/rsync/supervisord rpc/memcache等应用无认证。有时贪图测试方便,配置了弱口令或空口令,则认证形同虚设。
3、敏感信息泄露
如代码备份、版本跟踪信息、认证信息泄露
web.tar.gz/backup.bak/.svn/.git/config.inc.php/test.sql等信息泄露随处可见,人人知道危险,但是始终时不时会有人会踩坑。
4、应用默认配置未清除
jenkins script/apache server-status等默认功能未清理,可直接执行命令
5、应用系统打开debug模式
Django debug模式开启暴露uri路径,phpinfo()暴露服务器信息甚至webroot等,之后者便可借此进一步,很多白帽子应当有此同感,发现了sql注入但是写不了webshell,如果能遇上个phpinfo()那是再好不过的事情了。
6、应用漏洞未及时升级
越是通用的应用,就越经常爆出漏洞。有句话说的好:不是因为黑客这个世界才不安全,而是因为不安全才会有了黑客,才会有黑客去揭开那层假象,让我们发现有那么多不安全。于是Struts2、OpenSSL、Apache、Nginx、Flash等等CVE接踵而来。
7、权限管理松散
不遵循最小权限原则,给开发提供root权限或者给业务账号授权admin权限。
8、DDoS
DDoS对于运维人员而言,是再熟悉不过的安全问题了。我们都知道通过占满带宽、耗尽资源等方式可让服务器无法响应正常请求,说到底是资源对抗的一种方式。如果仅依赖服务器资源去抗,去过滤,在大流量、高并发之下,只会引来雪崩。加上DDoS平台大量存在,而且价格低廉,这就让DDoS成为打压竞争对手、报复、勒索等阴谋诡计者首选方式了。
9、流量劫持
还记得2015年小米、腾讯、微博、今日头条等六家共公司联合发表声明呼吁电信运营商打击流量劫持的报告吗?即便如此,现如今的互联网江湖仍是暗流滚滚。下面介绍三种常见的流量劫持方式,这也是困扰运维安全人员多年的痼疾。
- arp劫持:ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。基于ARP协议的这一工作特性,黑客向对方计算机不断发送有欺诈性质的ARP数据包,假冒目标IP进行ARP响应,从而实现中间人。
- 域名劫持:通过劫持掉域名的DNS解析结果,将HTTP请求转发到特定IP上,使得客户端和者的服务器建立TCP连接,而非和目标服务器直接连接。
- HTTP劫持/直接流量修改:在数据通路上对页面进行固定的内容插入,比如广告弹窗等。
