常见运维安全陋习（2）

常见运维安全陋习（2）

7、sudo授权

sudo授权过大，导致自定义脚本提权

如果者可修改脚本内容则提权易如反掌。

sudo script.sh

8、root权限对象

给开发或者QA授权root权限，他搞事情你背锅？

一直以来我们强调RBAC，但是运维太忙，开发测试人员需求太多时，很多运维人员会直接授权他们root权限，而他们对系统级访问控制不甚了了，因此造成的漏洞非常可观。

dev@pro-app-01:/home/dev$suroot@pro-app-01:/home/dev#whoamiroot

9、ssh私钥

key/token/ssh私钥保存在未加密的txt文件里，虽然方便但是很不安全，也有把个人ssh私钥放在服务器的，这是很危险的

op@pro-app-01:/home/op$ls ~/.sshid_rsa id_rsa.pub

10、代码存放意识

把工作上的代码对外发布

连着遇到实习生把项目代码提交github了，回复的理由是git配错了。虽然不知真假，但我认为，至少他们是安全意识不足。没有安全的代码。

git remote add origin push origin master

11、home目录

个人home目录那么敏感，也有人拿来直接托管服务，至少.bash_history泄露是跑不了

dev@pro-app-01:/home/dev$python -m HTTPSimpleServer

12、应用选型

应用选型时没有考虑安全风险

Apache Struts Version：Struts 2.5 - Struts 2.5.12 #线上业务使用受S2-052影响的S2版本

13、对软件供应链安全没有概念

从苹果xcode开发环境事件到pip官方发现恶意ssh库，都在向我们昭示一个道理：软件供应链安全风险极大。目前比较运维人员中比较常见问题有：ssh客户端或者开发IDE从百度网盘下载两眼一闭，把github/pypi/dockerhub等网站下载的应用/库/镜像直接用到生产环境未清理默认口令或者默认配置

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。