菜鸟运维升级之路

在项目验收阶段反馈服务器未开启审计日志以及该日志没有做备份处理,不满足等保要求,必须整改。前提是客户不愿意购买第三方审计系统,同时对服务器资源也非常限制，在此种情况下，三方会谈后确认将所有服务器的审计日志备份到当前环境的跳板机服务器中，保留30天,超过30天则删除最早的那一次备份。在此种情况下进行备份脚本的开发，其实shell也可以简单实现,为了加强python语法，因此该脚本功能使用python开发实现二、脚本开发1.脚本示例2.执行示例2.1.2.2.2.5.

早晨收到项目安全同事邮件,内容是当前项目的harbor镜像仓库存在swagger接口泄露漏洞,可能会导致SQL注入、命令执行等漏洞风险，需要立即修复。因此才有这篇灌水文章。

该漏洞是三个月前由安全团队扫描出来的，主要影响是: FastJSON是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。由于具有执行效率高的特点，应用范围广泛。FastJSON 存在反序列化远程代码执行漏洞，漏洞成因是Fastjson autoType开关的限制可被绕过，然后反序列化有安全风险的类。攻击者利用该漏洞可实现在目标机器上的远程代码执行。本文主要从运维侧修复手段介绍了该漏洞的两种修复方式。

因为现阶段属于护网期,因此公司对服务器、业务的安全都很关注,只要再次期间被漏扫出来的漏洞，都需要及时响应处理,恰好昨天下午我负责维护的一个项目被漏扫出来了Consul未授权访问漏洞【原理扫描】HashiCorp Consul 安全漏洞(CVE-2021-41803)这两个漏洞，经过查询漏洞编号及名称，并验证该项目上的consul，才发现是因为该consul未配置任何安全认证,即当在浏览器访问consul的web界面时会直接暴露出已注册的services、nodes等相关信息，容易导致信息泄露。

收到集团侧安全团队邮件提示,MinIo verify接口(未授权问题)存在敏感信息泄露漏洞,攻击者通过构造特殊URL地址,读取系统敏感信息,其中包括环境变量,有的服务器还会获取到AK/SK，获取后可直接登录后台。建议升级到安全版本RELEASE.2023-03-20T20-16-18Z及以上,在waf上配置策略,拒绝所有post到/minio/bootstrap/verify的请求。因为还有环境的minio版本是RELEASE.2020-05-08T02-40-49Z。

2024年7月1日接到安全部门同事邮件通知,目前生产环境及测试环境服务器Openssh存在远程代码执行漏洞(CVE-2024-6387),漏洞等级高,且攻击者可以成功利用该漏洞获得远程root shell最高权限从而执行任意代码及命令，主要受影响版本为8.5p1

安全等级测评的目的是通过对目标系统在安全技术及管理方面的测评，对目标系统的安全技术状态及安全管理状况做出初步判断，给出目标系统在安全技术及安全管理方面与其相应安全等级保护要求之间的差距。测评结论作为委托方进一步完善系统安全策略及安全技术防护措施依据!!