在信息爆炸的時(shí)代，網(wǎng)絡(luò)安全從來不是技術(shù)人員的專屬課題，而是每個(gè)人必須掌握的生存技能。當(dāng)黑客利用人性弱點(diǎn)編織陷阱，當(dāng)數(shù)據(jù)泄露事件頻發(fā)敲響警鐘，我們比任何時(shí)候都更需要建立 “主動(dòng)防御” 的安全意識(shí)。為此，安在特別推出“1分鐘安全意識(shí)講堂”，用1分鐘識(shí)破釣魚鏈接的破綻，花60秒學(xué)會(huì)密碼設(shè)置的黃金法則，讓你在通勤路上、午休間隙，就能輕松 get 保護(hù)自己的 “數(shù)字盔甲”。

本期主題：系統(tǒng)運(yùn)維安全

現(xiàn)實(shí)中的業(yè)務(wù)、運(yùn)維、安全的關(guān)系是互相關(guān)聯(lián)、彼此依賴的。即運(yùn)維安全=業(yè)務(wù)+運(yùn)維+安全。

系統(tǒng)運(yùn)維安全意識(shí)包括：

關(guān)閉對(duì)外開放的敏感端口

db或者cache屬于敏感應(yīng)用，通常部署在內(nèi)網(wǎng)，但是如果部署的機(jī)器有內(nèi)外網(wǎng)ip，且默認(rèn)監(jiān)聽地址為0.0.0.0的話，則敏感端口會(huì)對(duì)外開放。如MySQL/MongoDB/Redis/rsync/docker daemon api 等端口對(duì)外開放。應(yīng)予以關(guān)閉。

默認(rèn)監(jiān)聽內(nèi)網(wǎng)或者本地。

如需監(jiān)聽全部外網(wǎng)，iptables、password和ac1能加都加上。

敏感應(yīng)用認(rèn)證、修改空口令或者弱口令

修改敏感應(yīng)用默認(rèn)配置，

MlySQL/MongoDB/Redis/rsync/supervisord rpc/Memcache等。不能貪圖測(cè)試方便，配置弱口令或空口令。

避免敏感信息泄露，如代碼備份、版本跟蹤信息、認(rèn)證信息泄露

web.tar.gz/backup.bak/.svn/.git/config.inc.php /test.sq1等信息泄露隨處可見，人人知道危險(xiǎn)但是始終時(shí)不時(shí)會(huì)有人會(huì)踩坑，應(yīng)加強(qiáng)防范。

關(guān)閉應(yīng)用系統(tǒng)debug模式

Django debug模式開啟暴露uri路徑，phpinfo()暴露服務(wù)器信息甚至webroot等，之后攻擊者便可借此進(jìn)步滲透，很多白帽子應(yīng)當(dāng)有此同感，發(fā)現(xiàn)了sq1注入但是寫不了webshe11，如果能遇上個(gè)phpinfo()那是再好不過的事情了。所以應(yīng)關(guān)閉應(yīng)用系統(tǒng)debug模式。

及時(shí)升級(jí)應(yīng)用漏洞

越是通用的應(yīng)用，就越經(jīng)常爆出漏洞。有句話說得好：不是因?yàn)楹诳瓦@個(gè)世界才不安全，而是因?yàn)椴话踩艜?huì)有了黑客，黑客去揭開那層假象，我們才發(fā)現(xiàn)有那么多不安全。于是struts2、0penSSL、Apache、Nginx、Flash等等CVE接踵而來。及時(shí)升級(jí)應(yīng)用漏洞非常重要。

加強(qiáng)權(quán)限管理

遵循最小權(quán)限原則，盡量避免給開發(fā)提供root權(quán)限或者給業(yè)務(wù)賬號(hào)授權(quán)admin權(quán)限。

采用puppet、ansib1e或者saltstack等集群管理工具統(tǒng)一管理操作系統(tǒng)權(quán)限。

遇到臨時(shí)需要高級(jí)權(quán)限時(shí)手工后添加定時(shí)回收，量大時(shí)采用自動(dòng)化方式配置。

關(guān)注【安在新媒體】聯(lián)系我們，免費(fèi)獲取本期全部講義

獲取完整意識(shí)課程，加入諸子云，關(guān)注【知識(shí)星球】

安在意識(shí)服務(wù)