99%的人会中招的运维安全陋习，请规避！

docker技能给我们带来的便利自不必言，可是docker带来的安详风险却一点也不少。并且，docker daemon默认是能节制宿主iptables的，假如docker daemon行使tcp socket可能启动的容器可被外部会见，则连宿主一同沦亡也不在话下。好比下面一启动容器则将tcp/443端口对外开放了：

docker restart 
 
*nat 
 
:PREROUTING ACCEPT [8435539:534512144] 
 
:INPUT ACCEPT [1599326:97042024] 
 
:OUTPUT ACCEPT [4783949:343318408] 
 
:POSTROUTING ACCEPT [4783949:343318408] 
 
:DOCKER - [0:0] 
 
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER 
 
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER 
 
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE 
 
-A POSTROUTING -s 172.17.0.1/32 -d 172.17.0.1/32 -p tcp -m tcp --dport 443 -j MASQUERADE 
 
-A FORWARD -o docker0 -j DOCKER 
 
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT 
 
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT 
 
-A FORWARD -i docker0 -o docker0 -j ACCEPT 
 
-A DOCKER -d 172.23.0.3/32 ! -i br-1bf61a2fa2e7 -o br-1bf61a2fa2e7 -p tcp -m tcp --dport 443 -j ACCEPT 
 
*filter 
 
-A INPUT -s 10.0.0.0/8 -j ACCEPT 
 
-A INPUT -s 127.0.0.1 -j ACCEPT 
 
-A INPUT -j DROP 
 
#最后的法则被绕过 

8、sudo授权过大，导致自界说剧本提权

假如进攻者可修改剧本内容则提权轻而易举。

sudo script.sh 

参考链接：

script.sh：http://script.sh

9、给开拓可能QA授权root权限，他搞事你背锅?

一向以来我们夸大RBAC，可是运维太忙，开拓测试职员需求太多时，许多运维职员会直接授权他们root权限，而他们对体系级会见节制不甚了了，因此造成的裂痕很是“可观”。

dev@pro-app-01:/home/dev$su 
 
root@pro-app-01:/home/dev#whoami 
 
root 

10、key/token/ssh私钥生涯在txt文件里，也有把小我私人ssh私钥放在处事器的

op@pro-app-01:/home/op$ls ~/.ssh 
 
id_rsa id_rsa.pub 

11、把事变上的代码对外宣布

连着碰着演习生把项目代码提交github了，回覆的来由是git配错了。固然不知真假，但我以为，至少他们是安详意识不敷。

git remote add origin https://github.com/secondwatchCH/EFS.gitgit push origin master 

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!