企业内部技术运维系统管理的经验之谈 | 总第221周

‍‍

0x1本周话题

A1：当然不公开啊，公开的都是钓鱼的。

Q：堡垒机有的公司是公开的，想要开放的直接需求是什么？需求还是技术运维需求？

A2：技术运维觉得要连VPN，不太方便。

A3：安全有时候确实会影响使用方面的问题，但这通常是可以接受的，你这还是运维的系统，业务后台我们都要求收vpn后面。像演习期间，很多系统都直接关停，挂个维护页。

A4：先连VPN，到内网，该怎么操作就怎么操作了。大厂提供的 VPN 虽然有时候会有漏洞，但是大家能比较快地收到漏洞信息，并且能尽快安排修复。运维系统，一般架构也复杂，不能保证完全没洞，也不能保证被黑了能感知到啊。多一层 VPN，增加攻击难度。

A5：对特定人员开放，VPN+绑定硬件特征码+动态令牌+用户名密码+短信验证码。

Q：想咨询下，如果把类似这种放到安全网关后面咋样，这种安全网关可能多个企微钉钉类似登录步骤，但是没有和终端设备啥的关联，也不清楚算不算零信任，但是内网应用就开出去了。

A6：如果是纯web页面其实还好，感觉有点SDP的意思，但也建议做分级处理，不建议所有系统后台都这么搞，并且网关层也得做好加固。主要是网关这东西其实也未必靠谱。

A7：我今天跟我们运维聊，要不要加VPN，人家就说为什么用VPN，我防火墙限制源不就行了么。

A8：开，当然可以开，前面挂个SDP，为了工作效率，一点小钱钱投入是必要的。一层不够来两层。一个产品不够，再来个异构的。逻辑隔离也是隔离嘛。

A9：这年头还在用vpn，真的有点头铁。

A10：用vpn还是比较普遍的吧，现在比较先进的都用啥啊？

A11：堡垒机+MFA。目前正在使用这个方式，半年多了，远程办公也是这个模式。

A12：就传统架构蛮好的，vpn+堡垒机+跳板机，配上otp，出不了事。

Q：话说你们的服务器密码都是怎么管的？每台服务器密码不一样，并且定期更换？

A13：堡垒机托管，3 个月改一次。或者用密钥对，密码随机。

Q：具体实现就是依靠堡垒机的功能实现，不需要依托其他产品？这种相当于密码放在堡垒机上面存储，运维也是不知道具体服务器密码的？然后通过控制堡垒机账号来管理？如果堡垒机故障了，还有其他方式登录服务器不？

A14：是，需要的话经过领导审批，才走流程打印密码，不能堡垒机托管的账号，做密码信封，定时改密，堡垒机可以做双机或者多机热备。

Q：不能堡垒机托管的一般是什么场景？双机是ok的，除了这个是否有其他逃生通道？那root账号密码怎么整呢？

A15：建议别托管root账号，root限制远程登录。一般留有应急通道，网络策略预先准备好，出现极端情况启用。

A16：那是不是得上个密码机，意思是root的密码就不定期改了，限制只能本地登录？

A17：root密码由主机管理负责可以循环，可以通过事后审计来稽核root账号的使用，root一般最大风险是远程登录和登陆后账号切换。root账号一般是要求禁用的，双机热备不放心可以搞个集群。特殊情况下可以通过防火墙策略放行。

A18：1.可以设置部分运维终端，堡垒机出现问题时直接登录，但是要对这些终端做好监控和管理，平时不得使用。2.设置堡垒机密码文件定时存储机制，比如多少天存储一次所有服务器的密码，当堡垒机出现问题时，导出文件来使用，但使用完后密钥作废。

A19：但是前提是需要知道服务器的密码才行。导出文件来使用，但使用完后密钥作废。这个也是堡垒机的功能。

A20：登录最好不要用root加密码，至少都应该用ssh key吧。最好直接与AD关联，权限有不同的AD Group。我们没有搞其它认证，就一套。

A21：创建运维专用账号由堡垒机进行密码托管，administer账号同样加强使用限制。一般这种成本最低。

A22：特权账号堡垒机金库模式？

A23：Linux以前也用AD，现在直接用session manager。

Q：每个windows的admin密码都一样，这个还是得设置不一样吧？不然这个只要一台遭后的风险有点大吧。AD感觉有一台域中的服务器遭了后被抓，密码hash传递这个风险怎么整？

A24：也需要限制远程访问，如果是虚拟机的话通过运维的控制台进入，作为应急通道，物理机就限制源ip，admin的密码可以要求主机管理定时轮换，咱定期审计，并不一定全部密码都得抓在咱安全手里。