最近在某群聽到這句話：運維是必需品，安全是奢侈品。

安全，一直是大部分公司想引起重視，又不引起重視的存在。想引起重視的原因是安全問題不斷出現(xiàn)，經(jīng)常會聽到某某云廠商的服務(wù)器不可用了，某某公司的服務(wù)器被入侵了，某某公司的數(shù)據(jù)庫被前員工刪了，層出不窮的安全問題讓安全人員防不勝防。

就算如此，大部分公司還是不引起重視。我覺得主要有以下三種原因：

（1）公司并沒有專業(yè)的安全人員，沒有較強的安全意識，再加上沒有發(fā)生太大的安全事故

（2）安全==花錢，要做安全，就要做好花錢的準(zhǔn)備，并且價格不菲

（3）僥幸心里

我有段時間也曾抱著僥幸心里：這類事情應(yīng)該不會發(fā)生在我身上。

但是，僥幸往往會在未來的某一時刻發(fā)生。今年，我負責(zé)的環(huán)境就發(fā)生了兩次安全事故，雖然沒有造成損失，但是給我敲了警鐘。

（1）第一個安全事故是一臺 Windows 系統(tǒng)被入侵，植入后門，我在《服務(wù)器中毒了——菜是原罪》中有闡述整個過程。

（2）第二個安全事故是一臺 Linux 服務(wù)器被黑客利用應(yīng)用軟件漏洞植入惡意腳本進行挖礦

兩件事情雖然都在第一時間去解決了，但是現(xiàn)在想想還是后背發(fā)涼，如果我這些服務(wù)器和其他服務(wù)器開了免密，那后果將是怎樣的？

所幸的是，雖然我并沒有買其他的安全產(chǎn)品，但是基礎(chǔ)的安全規(guī)范還是做了，并沒有造成太大的影響。

鑒于個人的能力水平有限，我總結(jié)整理了下面幾個安全規(guī)范：

• 端口安全
• 系統(tǒng)安全
• 應(yīng)用安全
• 網(wǎng)絡(luò)安全
• 數(shù)據(jù)安全

端口安全

現(xiàn)在的應(yīng)用基本都是 TCP/IP 形式進行通信，如果想從外面環(huán)境進行訪問，就需要放開相應(yīng)的端口和 IP，比如常用的 HTTP/HTTPS 端口，SSH 端口，RDP 端口等，為了安全，我會遵從以下原則：

• 除了 80 和 443 端口，都不對外開放
• 遠程維護端口要開白名單
• 能用 443 的盡量不使用 80

如果是普通的服務(wù)器，可以使用 iptables 進行規(guī)則制定，如果是云服務(wù)器，可以通過云安全組進行訪問控制。

系統(tǒng)安全

如果按著等保 3 級的標(biāo)準(zhǔn)，系統(tǒng)安全要做的就比較多，比如要開啟防火墻，要備份審計日志，要配置各種策略。我一般只做下面幾種：

• 登錄/密碼管理
• 漏洞管理
• 基線檢查

登錄/密碼管理

日常的服務(wù)器維護需要我們登錄到目標(biāo)服務(wù)器進行操作，那么就會涉及到密碼、密鑰等問題，我一般會遵從以下原則：

• 提升密碼復(fù)雜度
• 設(shè)置密碼失效時間
• 定期修改密碼
• 設(shè)置密碼重試次數(shù)
• 檢查系統(tǒng)是否存在空密碼
• 禁止空密碼登錄
• 建議使用密鑰進行登錄管理
• 通過堡壘機來做訪問控制

漏洞管理

“漏洞是修不完的，我們只能查漏補缺”。

大部分公司現(xiàn)在都是以開源為主，而且大部分公司都是借助開源軟件構(gòu)造自己的業(yè)務(wù)體系，并沒有對這些開源軟件做太多的安全質(zhì)量把控，以至于很多安全問題都是開源軟件引起的。而且現(xiàn)在很多軟件供應(yīng)商對外售賣的商業(yè)軟件中也大量采用了開源軟件，但是安全責(zé)任并沒有從開源代碼提供者轉(zhuǎn)移到軟件供應(yīng)商，這就導(dǎo)致最終還是由用戶來承擔(dān)了軟件漏洞的安全風(fēng)險。

就拿 CentOS 系統(tǒng)而言，企業(yè)會在服務(wù)器上安裝各種軟件，比如 ssh、mysql、redis 等，而這些應(yīng)用軟件又會有許多漏洞，這就導(dǎo)致我們的系統(tǒng)就像一個篩子：漏洞百出。如果被用心之人利用，損失將不可估量。

為此，我們一定要經(jīng)常對系統(tǒng)進行漏洞掃描和修復(fù)，切記抱著僥幸心里。

如果你常用云，就算不買安全產(chǎn)品，它們也會提供基礎(chǔ)的漏洞掃描能力，但是不會幫你修復(fù)，不然就要額外收費了。我們可以借助它把漏洞整理出來，自己修復(fù)。

基線檢查

基線檢查是一個日常檢查維護，主要檢查以下問題：

• 弱口令
• 賬號權(quán)限
• 身份鑒別
• 密碼策略
• 訪問控制
• 安全審計
• 入侵防范

安全并不是一勞永逸的事情，它需要每時每刻都投入心血、時間，而基線檢查可以有效的指出安全問題，方便進行安全加固。

條件允許，建議購買商業(yè)的軟件。退而求其次，就只能去找一些開源的軟件了，比如百度推出的 OpenRASP。

應(yīng)用安全

應(yīng)用是業(yè)務(wù)的基石，應(yīng)用是業(yè)務(wù)的載體。如果應(yīng)用出問題，業(yè)務(wù)也不遠了。

而且，現(xiàn)在很多開放人員都只關(guān)注業(yè)務(wù)實現(xiàn)與否，并不太關(guān)注應(yīng)用的安全，這就會導(dǎo)致：

• 在開發(fā)的過程中可能引入了有漏洞的組件
• 涉及的用戶密碼沒有做加密處理
• 把用戶密碼直接放代碼中，然后上傳到公開倉庫中

我就遇到過某開發(fā)人員將代碼放到 Github，而里面有阿里云 OSS 的密鑰，這就直接導(dǎo)致密鑰泄漏。幸虧阿里在這方面的掃描能力很足，很快就發(fā)現(xiàn)并告警處理。

在應(yīng)用安全這塊，主要關(guān)注以下問題：

• 應(yīng)用漏洞掃描
• 網(wǎng)站后門
• 密鑰泄漏
• 入侵檢測

這類基本需要借助商業(yè)軟件來完成，比如 WAF。

網(wǎng)絡(luò)安全

買買買。重要的事情說三遍。

網(wǎng)絡(luò)防御這塊，除了買，好像沒什么其他的辦法，比如 DDoS。

當(dāng)然，除了 DDoS 這類攻擊外，暴力破解也是常有的事，如果不嫌麻煩，可以自己去封禁 IP，其結(jié)果是真麻煩。

所以，最終都要以 RMB 破萬法。

數(shù)據(jù)安全

數(shù)據(jù)安全牽扯的就比較多，常規(guī)主要以下幾種：

• 防止 SQL 注入
• 敏感數(shù)據(jù)脫敏
• 數(shù)據(jù)庫審計
• 訪問控制
• 備份冗余

這里以數(shù)據(jù)庫為例，我們主要按以下規(guī)則進行處理：

• 使用數(shù)據(jù)庫堡壘機，所有操作都通過數(shù)據(jù)庫堡壘機進行
• 原則上不開放讀寫權(quán)限給個人用戶
• 應(yīng)用建議一個應(yīng)用一個賬號原則
• 要對敏感數(shù)據(jù)進行脫敏處理

最后

大家有沒有發(fā)現(xiàn)，安全拼到最后都是 RMB，當(dāng) RMB 都不能解決的時候，就拼人脈了。

道路千萬條，

安全第一條。

操作不規(guī)范，

運維兩行淚。