《 “[collect]运维安全” 》 有 31 条评论

1. 用PHP遍历Memcache数据
   http://www.leixuesong.cn/1671

   回复

2. 别让黑客毁掉运维
   http://mp.weixin.qq.com/s/e1WEAkE1g_QU-6hi8Y1zxA

   链家网的第三种运维
   http://mp.weixin.qq.com/s?__biz=MzA4Nzg5Nzc5OA==&mid=2651665169&idx=1&sn=239acd32d1d001a37b997b7cdf615f61

   回复

3. 为何运维人员集体焦虑？
   http://www.yunweipai.com/archives/11981.html

   回复

4. SaltStack 与 Ansible 选择？
   https://www.zhihu.com/question/22707761
   puppet vs saltstack vs chef?
   https://www.zhihu.com/question/21053472
   Ansible vs SaltStack 谁才是自动化运维好帮手？
   http://dockone.io/article/1899
   Salt与Ansible全方位比较
   http://jensrantil.github.io/salt-vs-ansible.html
   http://www.cnblogs.com/huang0925/p/4664608.html

   Mozilla的安全leader的博客（里面有一些关于MIG的描述和说明）
   https://jve.linuxwall.info/jve.html

   回复

5. 企业开发运维工具链中的攻与防(150 页的 PPT)
   https://insomnihack.ch/wp-content/uploads/2017/04/CG-KJ-devoops-2017_22Mar-insomnia.pdf

   回复

6. AWS 安全入门，对 AWS 的安全架构进行了概述
   https://cloudonaut.io/aws-security-primer/
   https://news.ycombinator.com/item?id=14628108
   https://twitter.com/binitamshah/status/878936500049592321/photo/1
   `
   AWS Security
   　　账户结构(Account Structure)
   　　服务API(Service API)
   　　AWS API
   　　　　认证(Authentication)
   　　　　授权(Authorization)
   　　网络(Network)
   　　数据加密(Data Encryption)
   　　治理(Governance)
   `

   回复

7. 卡巴斯基开源数字取证工具Bitscout
   https://github.com/vitaly-kamluk/bitscout

   回复

8. 用于收集和报告指标的插件驱动服务器agent（用Golang编写）
   https://github.com/influxdata/telegraf

   回复

9. 运维的价值和目标拆解
   http://www.jianshu.com/p/f1d831a9afaf
   `
   运维目标：
   安全
   质量
   成本
   效率
   `

   下一代监控系统构思
   http://www.jianshu.com/p/ce371ebebb02
   Open-Falcon存在的问题，重写一套？
   http://www.jianshu.com/p/623b96175915
   https://github.com/dinp

   回复

10. 如何建立有效的安全运维体系
    https://mp.weixin.qq.com/s/Iop2lb0rcblH5cF9wfu7Qg
    `
    1.操作系统安全
    　　—-漏洞扫描
    2.网络安全设备
    　　—-硬件防火墙
    　　—-IPS
    　　—-网络安全设备在大型网络中的应用
    3.安全运维准则
    4.应急响应
    `

    回复

11. CVE-2017-11882 漏洞利用脚本，无需使用 WebDAV
    https://github.com/rxwx/CVE-2017-11882/blob/master/packager_exec_CVE-2017-11882.py

    回复

12. Puppet发送的cron任务如何打散？
    https://serverfault.com/questions/493002/randomizing-minute-for-crontab-entries-between-servers
    https://www.reddit.com/r/Puppet/comments/19cjz6/random_minute_for_cronjob/
    https://puppet.com/docs/puppet/5.3/type.html#cron
    `
    #方法一
    minute => inline_template(“”),

    #方法二
    minute => fqdn_rand(60),
    `
    让puppet agent同步变得更加随机和离散
    http://blog.51cto.com/lustlost/1309141

    回复

13. 【应用安全】浅谈Linux系统MongoDB安全配置
    https://mp.weixin.qq.com/s/j5NFI8oX-BC5waxLOl58aQ
    `
    0x00 MongoDB应用介绍
    0x01 为什么要做安全配置
    0x02 如何进行安全配置
    　　1.安装最新的安全补丁
    　　2.MongoDB数据库启用认证
    　　3.MongoDB仅在授权接口上监听网络连接
    　　4.MongoDB使用非特权专用服务帐户运行
    　　5.禁止通过HTTP接口进行JSONP访问
    　　6.禁用REST接口
    　　7.禁用HTTP接口
    　　8.配置正确审计过滤器
    　　9.系统活动应被审计
    　　10.禁用服务端脚本
    　　11.将新条目追加到日志文件的末尾
    　　12.设置正确的数据库文件权限
    　　13.MongoDB 使用非默认端口
    0x03 总结
    `

    回复

14. CIS(Center for Internet Security)上有100多项安全（免费）配置指南，以保护系统免受当今不断变化的网络威胁。
    https://www.cisecurity.org/cis-benchmarks/
    https://github.com/seclog/CIS_Benchmark_Archive_PDF_Library

    回复

15. 运维系统是这样做烂的
    http://tom.preston-werner.com/2016/09/10/how-system-turn-bad
    `
    对需求的把控，不够严格
    需求到产品的转化，不够严肃
    `
    运维系统要区分用户特质
    http://tom.preston-werner.com/2016/09/27/classify-op-systems

    运维权限系统
    http://tom.preston-werner.com/2016/01/31/rbac1

    监控系统Falcon自监控实践
    http://tom.preston-werner.com/2015/08/16/falcon-self-monitor-availability

    回复

16. Linux轻量级自动运维工具-Ansible浅析-~微风~-51CTO博客
    https://paper.tuisec.win/detail/aa1f5e4953d8212
    http://blog.51cto.com/weiweidefeng/1895261

    回复

17. Open-Falcon 监控系统监控 MySQL/Redis/MongoDB 状态监控
    https://www.cnblogs.com/zhoujinyi/p/6645104.html
    https://github.com/iambocai/falcon-monit-scripts
    https://github.com/ZhuoRoger/redismon

    回复

18. 治大国若烹小鲜，大规模Kubernetes集群的运营哲学
    https://mp.weixin.qq.com/s/Q5Hz1vWcACZQnnxmTve-jw

    回复

19. 听说掌握这些利器，运维就能运筹帷幄
    https://mp.weixin.qq.com/s/e5_sSkRXOSLPDiTE6H9G5Q
    https://github.com/geekwolf/sa-scripts

    回复

20. Hacking MongoDB
    https://www.netscylla.com/blog/2018/09/13/hacking-mongodb.html
    https://github.com/stampery/mongoaudit
    https://www.scmagazineuk.com/veeam-mongodb-left-unsecured-440-million-records-exposed/article/1492715
    `
    MongoDB是什么？
    如何发现 MongoDB 服务？
    安全和认证的梦魇
    MongoDB的操作列表
    给MongoDB添加安全性：
    　　认证
    　　基于SSL添加加密
    　　审计
    `

    回复

21. 信息安全从运维向运营的进化
    https://www.sec-un.org/%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8%E4%BB%8E%E8%BF%90%E7%BB%B4%E5%90%91%E8%BF%90%E8%90%A5%E7%9A%84%E8%BF%9B%E5%8C%96/
    `
    如果安全每天将应急和救火当做常态，是在用战术上的勤劳掩盖战略上的懒惰。安全管理是技术与艺术的结合，水善利万物而不争，需要做的是大象无形，大音希声，安全应作为能力服务业务，背书业务，赋能业务。

    随着数据中心规模扩大，安全运维内生需要逐渐向安全运营进化，统一安全理念，提高服务意识，提升专业能力。安全运营是对安全运维的继承式发展，而不是颠覆，意味着以业务发展为基础，以事件核查为线索，以能力提升为关键，以持续优化为根本，跟进业务发展并提供细化分工的安全服务并持续提升。类同企业跟随外界环境进行变革，安全赋能业务也要随着信息化的发展和机构战略方向的转变持续优化。
    `

    回复

22. CloudWalker（牧云）开源计划
    https://github.com/chaitin/cloudwalker
    `
    CloudWalker（牧云）是长亭推出的一款开源服务器安全管理平台。根据项目计划会逐步覆盖服务器资产管理、威胁扫描、Webshell 查杀、基线检测等各项功能。

    本次开源作为开源计划的第一步，仅包含 Webshell 检测引擎部分，重点调优 Webshell 检测效果。目前放出的是一个可执行的命令行版本 Webshell 检测工具。
    `

    回复

23. kube-hunter – Kubernetes 安全扫描工具
    https://github.com/aquasecurity/kube-hunter

    回复

24. 和我一步步部署 kubernetes 集群
    https://github.com/opsnull/follow-me-install-kubernetes-cluster
    https://k8s-install.opsnull.com/

    回复

25. RedHat 发布 Kubernetes 特权提升漏洞（CVE-2018-1002105）的安全公告
    https://www.redhat.com/en/blog/kubernetes-privilege-escalation-flaw-innovation-still-needs-it-security-expertise?sc_cid=701f2000000tyBjAAI

    Kubernetes privilege escalation and access to sensitive information in OpenShift products and services – CVE-2018-1002105
    https://access.redhat.com/security/vulnerabilities/3716411
    https://access.redhat.com/security/cve/cve-2018-1002105

    回复

26. 检测环境是否容易受到 Kubernetes apiserver 漏洞（CVE-2018-1002105）攻击的工具
    https://github.com/gravitational/cve-2018-1002105

    kubernetes 特权提升漏洞详情与缓解措施（CVE-2018-1002105）
    https://github.com/kubernetes/kubernetes/issues/71411

    CVE-2018-1002105（k8s特权提升）原理与利用分析报告
    https://xz.aliyun.com/t/3542

    回复

27. Kubernetes 的安全研究技术资料的集合
    https://carnal0wnage.attackresearch.com/2019/01/kubernetes-master-post.html

    回复

28. 滥用 kubelet 默认配置攻击 Kubernetes 集群
    https://labs.mwrinfosecurity.com/blog/attacking-kubernetes-through-kubelet/

    回复

29. Kubernetes安全入门
    https://xz.aliyun.com/t/4276
    `
    Kubernetes架构
    　Master组件
    　Node组件
    使用Ansible脚本安装K8S集群
    　Deploy节点安装和准备ansible
    　Deploy上编排k8s
    　配置集群参数
    　分步安装
    Kubernetes安全相关
    　通过kubelet攻击Kubernetes
    Kube-Hunter寻找漏洞
    　kublet api 执行命令
    　kublet api 获取Token
    etcd获取敏感信息
    安全加固
    `

    回复

30. （译）33 个 Kubernetes 安全工具
    https://mp.weixin.qq.com/s/KoChroMcgBeAq0OelFVkzA
    https://sysdig.com/blog/33-kubernetes-security-tools/
    `
    Kubernetes 的安全工具多得很，有不同的功能、范围以及授权方式。因此我们建立了这个 Kubernetes 安全工具列表，其中有来自不同厂商的开源项目和商业平台，读者可以根据兴趣和需要进行了解和选择。

    为了方便读者浏览目录，我们把这些工具按照主要功能和范围进行了分类：
    Kubernetes 镜像扫描和静态分析
    Kubernetes 运行时安全
    Kubernetes 网络安全
    镜像分发和机密管理
    Kubernetes 安全审计
    端到端的 Kubernetes 安全商业产品
    `

    回复

31. DETAILING SALTSTACK SALT COMMAND INJECTION VULNERABILITIES
    https://www.thezdi.com/blog/2020/11/24/detailing-saltstack-salt-command-injection-vulnerabilities

    https://www.saltstack.com/blog/on-november-3-2020-saltstack-publicly-disclosed-three-new-cves/

    回复