互联网企业安全高级指南读书笔记之基础安全措施
互联网服务安全域抽象示例
虚线部分代表安全域的边界,把不同的业务(垂直纵向)以及分层的服务(水平横向)切开,只在南北向的 API 调用上保留最小权限的访问控制,在东西向如无系统调用关系则彼此隔离
生成网络和办公网络
- 生产网络的 SSH 22 端口在前端防火墙或交换机上默认阻止访问
- 远程访问(运维连接)通过 VPN 或专线连接到机房生产网络
- 通过生产网络的内网而非外网登录各服务器或自动化运维平台
- 办公网络中运维环境、发布源和其他 OA 环境 VLAN 隔离
- 虽然在同一个物理办公地点,但运维专线和办公网络的接入链路各自独立
- 为保证可用性,运维专线最好有两条以上巨来自不同的 ISP,防止单链路故障时无法运维
- 跳板机有所有的运维操作审计
系统安全加固
Linux 加固
- 禁用 LKM
- 限制 /dev/mem
- 内核参数调整
- 禁用 NAT
- Bash 日志
高级技巧
高阶的方法就是修改 shell 本身,不依赖于内置的 HISTFILE,而是对所有
执行过的命令无差别的记录
修改 shell 源代码是一种方式,不过相比之下,直接修改 libc 可能会更加高效。主要涉及的对象就是 exec 函数族:
#include <unistd.h>
extern char **environ;
int execl();
int execlp();
int execle();
int execv();
int execvp();
int execue();
修改以上库函数,支持额外的 syslog,这样能记录所有运行过的程序。实际上,另外 5 个函数都是调用的 execve()
另一种 Shell 审计的高级方式是将 Shell 的 log 统一收集后基于机器学习,以算法学习正常管理员的 Shell 命令习惯,而不是以静态规则定义黑白名单
应用配置加固
目录权限
可写目录不解析,解析目录不可写。在诸如 node.js 等新型语言发展的时候,这些规则适用面可能会越来越小
解析目录不可写:chmod 755 /web/root
可写目录不解析:
location ~* ^/data/cgisvr/log/.*\.(php|php5)$ {
deny all;
}
对于 PHP,在 Nginx 配置文件中添加上述配置
Web 进程以非 root 运行
Nginx 的 master 进程默认以 root 权限运行,而处理用户数据的 worker 进程默认以 Nginx 权限运行
过滤特定文件类型
location ~* \.(log|class|inc|bak) $ {
rewrite ^ http://www.example.com/ permanent;
}
远程访问
- 使用 SSH V2
- 禁止 root 远程登录
帐号密码
对付暴力破解最有效的方式是多因素认证、非密码认证
网络访问控制
- 资产权重划分到位,对最高安全优先级的网络追求多维和细粒度的 NACL
- 单点实现较强的入侵检测和降维防御能力
补丁管理
- 自动化运维:如何大批量地 push 补丁
- ITSM 成熟度:打补丁尽可能地不影响在线服务的可用性
- 架构容灾能力:支持有损服务,灰度和滚动升级,好的架构应该支持比如让逻辑层的某些功能功能服务器下线,接入层把流量负载均衡到其他服务器,打完补丁后再切回来
- 系统能力:提供热补丁,不需要重启
- 快速单个漏洞扫描:补丁 push 升级成功的检测
日志审计
日志成千上万,一开始就想建 SOC 的往往都是没有经验的人。
可以通过 syslogd 导出日志,统一集中存储,是否使用 ELK、Splunk 要看公司的具体需求
服务器 4A
账户(Account)、认证(Authentication)、授权(authorization)、审计(Audit)
规模很大的服务器集群,必须使用类似 SSO 的统一权限管理,目前有两种方式:一种是基于 LDAP 的方案,另一种是基于堡垒机的方案
基于 LDAP
LDAP 的方案可以使用 LDAP 服务器作为登录的 SSO,统一托管所有的服务器账号,在服务器端对于 Linux 系统只要修改 PAM(Pluggable Authentication Modules),Windows 平台则推荐 pGina(pGina 是一个开源插件,作为原系统凭证提供者 GINA 的替代品,实现用户认证和访问管理),使登录认证重定向到 LDAP 服务器做统一认证
基于堡垒机
在 Radius 上新建用户 Richard,为该用户生成 SSH 的公私钥对,使用自动化运维工具将公钥分发到该用户拥有对应权限的服务器上。用户的 SSH 连接由堡垒机托管,登录时到 Radius 服务器使用动态令牌认证身份,认证成功后授权访问其私钥,则对于有 SSH 公钥的服务器该用户都可以登录。网络访问控制上应设置服务器 SSHD 服务的访问源地址为堡垒机的 IP
互联网企业安全高级指南读书笔记之基础安全措施相关推荐
- 互联网企业安全高级指南读书笔记之网络安全
网络入侵检测 传统 NIDS 绿盟 IDS 体系架构 绿盟 IPS 体系架构 IDS/IPS 部署示意图 大型全流量 NIDS 由于 NIDS 采用的是基于攻击特征的签名库,只要加载的攻击特征一多,系 ...
- 互联网企业安全高级指南读书笔记之安全管理体系
外部评价指标 攻防能力--如果安全团队没几个懂攻防的骨干,那像样的安全团队这件事就无从谈起.对攻防的理解是做安全的基础,业界普遍的状况是整体实力强的安全团队攻防能力必然不弱,而攻防能力弱的团队其安全建 ...
- 互联网企业安全高级指南读书笔记之大规模纵深防御体系设计与实现
设计方案 数据流视角 服务器视角 IDC 视角 逻辑攻防视角 场景裁剪 应对规模 自研 HIDS.RASP 都是奢侈品,可以用 OSSEC.OSquery 等产品代替 网络分光可以用扫描器+ Web ...
- 【读书笔记】《互联网企业安全高级指南(赵彦等)》
文章目录 理论篇 第一章 安全环境与大背景 1. 企业安全包括哪些事情 1. 互联网企业和传统企业在安全建设中的区别 参考链接 理论篇 第一章 安全环境与大背景 1. 企业安全包括哪些事情 企业安全涵 ...
- 高质量解读《互联网企业安全高级指南》三部曲——实践篇
前言: 高效读书,一张逻辑图读懂.读薄书中重点. 注:下面文字只是对逻辑思维图的"翻译",节省时间,只看图即可. 实践篇逻辑思维图 1. 业务安全与风控 1.1. 说明 ...
- 互联网企业安全高级指南1.2 企业安全包括哪些事情
1.2 企业安全包括哪些事情 企业安全涵盖7大领域,如下所示: 1)网络安全:基础.狭义但核心的部分,以计算机(PC.服务器.小型机.BYOD--)和网络为主体的网络安全,主要聚焦在纯技术层面 2)平 ...
- 高质量解读《互联网企业安全高级指南》三部曲(技术篇)——办公网络安全
前言: 高效读书,一张逻辑图读懂.读薄书中重点. 注:下面文字只是对逻辑思维图的"翻译",节省时间,只看图即可. 办公网络安全逻辑思维图 1. 说明 1.1. 办公网络 ...
- 互联网企业安全高级指南3.5 选择在不同的维度做防御
3.5 选择在不同的维度做防御 攻击的方法千千万万,封堵同一个安全风险的防御方法往往不止一种,如何选择性价比最高的手段是甲方安全从业者需要权衡的. 1. 技术实现维度场景 在纵深防御的概念中(参考后面 ...
- 高质量解读《互联网企业安全高级指南》三部曲(技术篇)——移动应用安全
前言: 高效读书,一张逻辑图读懂.读薄书中重点. 注:下面文字只是对逻辑思维图的"翻译",节省时间,只看图即可. 移动应用安全逻辑思维图 1. 说明 1.1. 互联网公 ...
最新文章
- pandas批量为列名添加字符并重命名实战
- 无向图的最小生成树(克鲁斯卡尔算法 Kruskal)
- lottie 导出html,Lottie Web动效基本原理
- Assertion desc failed at src/libswscale/swscale_internal.h:668
- android事件传递机制以及onInterceptTouchEvent()和onTouchEvent()详解二之小秘与领导的故事...
- kafka java api 删除_Kafka入门系列—6. Kafka 常用命令及Java API使用
- Ibatis2.0使用说明(二)——配置篇
- ospf避免环路_【网络干货】超全的OSPF路由协议技术汇总解析
- pthread线程传递数据回主线程_操作系统4:线程(1)
- Google Volley框架源码走读
- 记一次天猫商城系统高并发的优化
- 双活数据中心存储问题梳理
- 11种QQ技术 ,让你成为QQ高手
- linux乱码文件删不掉,linux删除乱码文件或文件夹
- 国庆第三天的一些杂感
- Go语言学习14-基本流程控制
- Fast Global Registration(快速全局配准)
- 2022爆火的AIGC,能给AI续命吗
- IKAnalyzer分词器自定义扩展词典
- opencv 三通道图像转四通道透明图像