0x1本周话题
A1:当然不公开啊,公开的都是钓鱼的。
Q:堡垒机有的公司是公开的,想要开放的直接需求是什么?需求还是技术运维需求?
A2:技术运维觉得要连VPN,不太方便。
A3:安全有时候确实会影响使用方面的问题,但这通常是可以接受的,你这还是运维的系统,业务后台我们都要求收vpn后面。像演习期间,很多系统都直接关停,挂个维护页。
A4:先连VPN,到内网,该怎么操作就怎么操作了。大厂提供的 VPN 虽然有时候会有漏洞,但是大家能比较快地收到漏洞信息,并且能尽快安排修复。运维系统,一般架构也复杂,不能保证完全没洞,也不能保证被黑了能感知到啊。多一层 VPN,增加攻击难度。
A5:对特定人员开放,VPN+绑定硬件特征码+动态令牌+用户名密码+短信验证码。
Q:想咨询下,如果把类似这种放到安全网关后面咋样,这种安全网关可能多个企微钉钉类似登录步骤,但是没有和终端设备啥的关联,也不清楚算不算零信任,但是内网应用就开出去了。
A6:如果是纯web页面其实还好,感觉有点SDP的意思,但也建议做分级处理,不建议所有系统后台都这么搞,并且网关层也得做好加固。主要是网关这东西其实也未必靠谱。
A7:我今天跟我们运维聊,要不要加VPN,人家就说为什么用VPN,我防火墙限制源不就行了么。
A8:开,当然可以开,前面挂个SDP,为了工作效率,一点小钱钱投入是必要的。一层不够来两层。一个产品不够,再来个异构的。逻辑隔离也是隔离嘛。
A9:这年头还在用vpn,真的有点头铁。
A10:用vpn还是比较普遍的吧,现在比较先进的都用啥啊?
A11:堡垒机+MFA。目前正在使用这个方式,半年多了,远程办公也是这个模式。
A12:就传统架构蛮好的,vpn+堡垒机+跳板机,配上otp,出不了事。
Q:话说你们的服务器密码都是怎么管的?每台服务器密码不一样,并且定期更换?
A13:堡垒机托管,3 个月改一次。或者用密钥对,密码随机。
Q:具体实现就是依靠堡垒机的功能实现,不需要依托其他产品?这种相当于密码放在堡垒机上面存储,运维也是不知道具体服务器密码的?然后通过控制堡垒机账号来管理?如果堡垒机故障了,还有其他方式登录服务器不?
A14:是,需要的话经过领导审批,才走流程打印密码,不能堡垒机托管的账号,做密码信封,定时改密,堡垒机可以做双机或者多机热备。
Q:不能堡垒机托管的一般是什么场景?双机是ok的,除了这个是否有其他逃生通道?那root账号密码怎么整呢?
A15:建议别托管root账号,root限制远程登录。一般留有应急通道,网络策略预先准备好,出现极端情况启用。
A16:那是不是得上个密码机,意思是root的密码就不定期改了,限制只能本地登录?
A17:root密码由主机管理负责可以循环,可以通过事后审计来稽核root账号的使用,root一般最大风险是远程登录和登陆后账号切换。root账号一般是要求禁用的,双机热备不放心可以搞个集群。特殊情况下可以通过防火墙策略放行。
A18:1.可以设置部分运维终端,堡垒机出现问题时直接登录,但是要对这些终端做好监控和管理,平时不得使用。2.设置堡垒机密码文件定时存储机制,比如多少天存储一次所有服务器的密码,当堡垒机出现问题时,导出文件来使用,但使用完后密钥作废。
A19:但是前提是需要知道服务器的密码才行。导出文件来使用,但使用完后密钥作废。这个也是堡垒机的功能。
A20:登录最好不要用root加密码,至少都应该用ssh key吧。最好直接与AD关联,权限有不同的AD Group。我们没有搞其它认证,就一套。
A21:创建运维专用账号由堡垒机进行密码托管,administer账号同样加强使用限制。一般这种成本最低。
A22:特权账号堡垒机金库模式?
A23:Linux以前也用AD,现在直接用session manager。
Q:每个windows的admin密码都一样,这个还是得设置不一样吧?不然这个只要一台遭后的风险有点大吧。AD感觉有一台域中的服务器遭了后被抓,密码hash传递这个风险怎么整?
A24:也需要限制远程访问,如果是虚拟机的话通过运维的控制台进入,作为应急通道,物理机就限制源ip,admin的密码可以要求主机管理定时轮换,咱定期审计,并不一定全部密码都得抓在咱安全手里。
原文始发于微信公众号(君哥的体历):企业内部技术运维系统管理的经验之谈 | 总第221周
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论