saltstack很早安全漏洞,公司中标了

事故原因

公司在某云服务上租用服务器,服务器管理通过saltstack搭建自动化运维平台,最近几天突然有机器内存溢出,cpu暴涨出现死机严重影响服务。事后分析原因由于我们开放了外网的saltstack权限,黑客利用其远程漏洞,对saltstack管理的机器批量远程执行wget命令,从恶意网站下载一个shell脚本,安装salt-store到大量机器上并启动,salt-store启动后,下载挖矿木马salt-minions并启动并造成了这次事故,影响版本范围
SaltStack < 2019.2.4
SaltStack < 3000.2

修复方案

  1. 升级至官方发布的修复版本及其以上,升级前建议做好快照备份措施。 官方修复版本:2019.2.4 3000.2
  2. 设置SaltStack为自动更新,及时获取相应补丁。
  3. 将Salt Master默认监听端口(默认4505 和 4506)设置为禁止对公网开放,或仅对可信对象开放。

安全建议

  1. 关闭所有没有必要的端口,无论是内网还是外网。
  2. 日常运维全部使用堡垒机,ssh或3389的访问来源限制为堡垒机ip
  3. 内网划分业务区域,不同区域之间的访问使用iptables或者云上的内网防火墙限制
  4. 核心数据库所在主机禁止访问外网

你可能感兴趣的:(笔记)