企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net

导致攻击者可访问所有命名空间中的密钥数据，包括用户凭据和访问令牌，以及在Ingress NGINX Controller 的 Pod 上执行任意代码，因其是高权限角色，一旦遭到利用，攻击者就有机会在未经授权的情况下访问Kubernetes集群，挖掘所有命名空间（namespace）其中的全部机密数据，导致k8s集群完全失控被远程接管利用。以此达到域名分配和动态更新的目的。在Kubernetes中，服务和Pod的IP地址仅可以在集群网络内部使用，对于集群外的应用是不可见的。重大，CVSS风险评为 9.8。

近期安全扫描发现，OpenSSH（OpenBSD Secure Shell） 9.7p1及之前版本中存在多个漏洞，影响大部分开源版本，如下所示，更多参看版本说明和厂商安全公告受影响版本漏洞编号漏洞说明修复版本OpenSSH 9.7p1及之前版本其中，scp的scp.c文件存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中，网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。

本文将记录安全管控之安全协议，安全设备，安全管控手段，攻防演练，安全管控措施，数据安全，等保护网等相关知识，以供日常安全管理借鉴。工业互联网产业联盟工业控制系统信息安全产业联盟网络安全等级保护基本要求。

CAS（Central Authentication Service）即中央认证服务，是 Yale 大学发起的一个企业级开源项目，旨在为Web 应用系统提供一种可靠的 SSO 解决方案，它是一个企业级的开源单点认证登录解决方案，采用java语言编写，使用Apache-2.0协议，主要用于为Web应用程序创建和维护单点登录会话。它提供了一个安全可靠的方式来验证用户的身份，并且可以集成到各种Web应用程序中。CAS提供了多种认证机制，包括基于令牌的认证、基于密码的认证和多因素认证等。

现场的为中小型项目，未直接使用功能tomcat作为容器使用，仅是jar包里spring-boor框架引入tomcat 内嵌到 web项目中作为web server使用，从而保证项目包可直接运行 webapp项目，无需再部署到额外的tomcat服务了；当不想因为Tomcat就改变SpringBoot的版本时，可以采用排除SpringBoot中的Tomcat包，然后手动指定新的Tomcat的版本来实现升级内置组件的目的，当然还要引入Tomcat相关的包。其中，Coyote作为Tomcat的。

开启该服务（Windows 远程桌面授权服务）并且操作系统版本在受影响范围的 Windows Server 受影响，没有开启该服务但是操作系统版本在受影响范围的Windows Server 不受影响，Windows 10、Windows 11 等非 Server 版本的操作系统，不论是否开启Windows 远程桌面（RDS），均不受影响。这一漏洞存在于Windows远程桌面许可管理服务（RDL）中，该服务被广泛部署于开启Windows远程桌面（3389端口）的服务器，用于管理远程桌面连接许可。

的函数，最终造成Double-Free内存管理问题。根据已公开技术细节中的描述，在开启ASLR的i386设备上，利用该漏洞大约需要6-8小时获取root shell，在开启ASLR的amd64设备上则可能需要约一周左右。Red Hat Enterprise Linux 9，该缺陷不会影响Red Hat Enterprise Linux 8附带的OpenSSH版本，因其中所涉易受攻击的代码是在上游的较新OpenSSH版本中引入的，且未向后移植到Red Hat Enterprise Linux 8。

2024年3月28日，监 Linux kernel权限提升漏洞（CVE-2024-1086）的PoC/EXP在互联网上公开，该漏洞的CVSS评分为7.8，目前漏洞细节已经公开披露，美国网络安全与基础设施安全局（CISA）6月1日也更新了其已知漏洞（KEV）目录，要求联邦机构在 2024 年 6 月 20 日之前打上补丁，修复追踪编号为 CVE-2024-1086 的 Linux 内核权限提升漏洞。由于该漏洞的公开性，攻击者可能会利用这个漏洞进行恶意攻击，因此建议尽快采取修复措施。

某次“春耕”期间，某业务系统发现xxl-job反序列化漏洞，通过该漏洞不仅爆破了页面账号密码，还获取了内网主机及数据库权限，“家”被偷了。XXL-JOB是一个轻量级分布式任务调度平台。支持通过web页面对任务进行操作，基于Java-spring boot框架开发，利用Maven依赖编译好，开箱即用。XXL-JOB任务调度中心后台存在命令执行漏洞，经过身份验证的（比如存在弱密码）攻击者可通过该漏洞接管服务器，造成严重信息泄露。

xz由Tukaani项⽬开发，⼏乎存在于每个Linux发⾏版中，⽆论是社区项⽬还是商业产品发⾏版，此漏洞影响范围较⼤，目前的调查表明，这些呗恶意代码修改的包只存在于Red Hat社区生态系统中的Fedora 40和Fedora Rawhide中。xz项⽬⽬前官⽅尚⽆最新版本，需对软件版本进⾏降级⾄5.4.6，但有人在社区爆料，攻击者可能已补发5.4.6的恶意版本，故可选5.4更低的版本，完成后进行漏洞扫描检测；，任何与该库链接的软件都可以使用它，拦截并修改与该库交互的数据。，其中5.2.5涉及。

大多数情况下，x64 和 x86-64 处理器的性能没有显着差异。x64 和 x86-64 是同一种 64 位计算机架构，没有实际区别，主要取决于处理器制造商。x64 和 x86-64 都支持 64 位寻址，这意味着它们可以访问比 32 位架构更多的内存（高达 2^64 字节）。x64 和 x86-64 都向后兼容 32 位应用程序，这意味着它们可以在 64 位系统上运行 32 位软件。x86-64 是英特尔对 x64 架构的名称，用于其酷睿 2 处理器。它们都是 64 位计算机架构的两种名称。

utm_id=0。

Linux勒索病毒（Linux ransomware）是一种最令人恶心的计算机恶意病毒，它以侵入Linux系统，捆绑文件并要求支付赎金才能释放文件为主要目的，破坏用户的数据，造成数据讹诈。Linux勒索病毒它们的存在已经很长一段时间，但安全警示显示最近活跃度是又开始增加的。感染方式也比过去更先进，它们的攻击目标也更广泛，涉及到Linux系统上的多种文件，包括文档、图片、音频和视频文件等。

即需要满足密码复杂度要求，至少8位长度，大小写各1个，数字2个，特殊字符至少1个，密码有效期3个月。现场版本5.7.34；Mysql 5.6后自带validate_password.so插件（windows为validate_password.dll）某次某平台进行安全性符合型评估时，列出了数据库相关安全选项，本文特对此记录，以供备忘参考。1）对登录Mysql系统用户的密码复杂度是否有要求？

QEMU Guest Agent（qga）类似于vmware中的 vmtools，相关安全报告显示它的Windows版本安装程序存在本地提权高危漏洞（CVE-2023-0664），攻击者可利用该漏洞进行本地权限提升，获得SYSTEM特权运行的交互式命令行界面，可能对各类云主机产品产生一定影响，漏洞详细信息请见附件。简单理解：Fedora 是RedHat的“试验场”，很多新功能和特性先加入Fedora 稳定后再加入RedHat（收费），然后从RedHat再拉出CentOS(免费，培养用户和生态）

Linux系统上的文件名是存储在父目录的Block里面的，并指向了这个文件的Inode节点，这个文件的Inode节点再标记指向存放这个文件的Block的数据块。从文件存储特性来看，一个文件在文件系统中的存放分为两个部分：数据部分和指针部分，指针位于文件系统的meta-data中，当用户删除文件时，系统首先会将该文件的索引节点标记为已删除，即这个指针就从meta-data中清除了，而数据部分存储在磁盘block中，等待新的数据到来进行分配，该文件占用的存储空间被释放。上丢失了的、格式化的和被删除的数据。

近期Nginx安全发布几个中高危漏洞：CVE-2022-41741 (Memory Corruption) – CVSS score 7.1 (High)、CVE-2022-41742 (Memory Disclosure) – CVSS score 7.0 (High)，上述是：MP4 流媒体模块（ngx_http_mp4_module）中的漏洞影响到 NGINX Plus、NGINX 开源版以及 NGINX 企阅版。强烈建议您将您的软件升级到最新版本。2、禁用ngx_http_mp4_module。

0day 漏洞可以由黑客或攻击者利用来攻击他们的目标，可以通过不同的方式来实现，例如，攻击者可以利用远程漏洞攻击，通过恶意的网络链接或 e-mail 附件来攻击目标，或者利用本地漏洞攻击，在目标系统上安装木马程序或其他恶意程序。近日，网传监测发现WPS Office for Windows版本 存在0day漏洞，攻击者可以利用该0day漏洞在受害者主机上执行任意恶意文件，高危级别，官方尚未对此发布修复漏洞，目前建议只能临时弃用wps或者不要点开未知文件，尤其在线网络文件，中招概率极大。

PV（Page View访问量/也卖弄浏览数）：指在一定统计周期内，用户每次刷新网页一次即计算一次。PV高不一定代表来访者多:PV与来访者的数量成正比，但是PV并不直接决定页面的真实来访者数量。比如一个网站就即使一个人进来，但通过不断的刷新页面，也可以制造出非常高的PV。UV（Unique Visitor独立访客数）：指访问您网站的一个客户端（非出口ip）即为一个访客。UV是指不同的、通过互联网访问、浏览一个网页的自然人。00:00-24:00内相同的客户端只被计算一次。

它同样会根据 alpm 参数设置 ALPM ，根据 aspm 参数设置 ASPM，根据 scheduler_quantum 参数设置计划程序量程，根据 spindown 参数设置磁盘旋转降速，根据 readahead 参数设置磁盘 readahead ，根据 readahead_multiply 参数指定的常量乘以当前的 readahead 值。对于延迟敏感型任务（或庞大线程数），将该参数设置为较低的值，而对于受计算量限制或面向吞吐量的工作负载，则将其设置为较高的值。一方面，降低该参数的值可减少唤醒延迟。

Redis Labs Redis是美国Redis Labs公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值（Key-Value）存储数据库，并提供多种语言的API。官方补丁：https://github.com/redis/redis/，https://github.com/redis/redis/pull/11149，RDB 格式的内容和 AOF 格式的内容，该文件的前半段是 RDB 格式的全量数据，而后半段是 Redis 命令格式的增量数据；丢失数据的概率相对有点大。

另外，对于一个大规模的补丁安装，还可以使用脚本的方式，将所有的补丁文件集中到脚本中，这样可以实现大规模的补丁安装。修复措施：目前该漏洞已经修复，https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?下载地址：https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/refs/，打补丁fs/overlayfs/copy_up.c。

那么Tomcat就会删除之前的War包解压的文件夹，重新解压新的War包。导致信息泄露，相关分析这是由于在请求https的时候可重定向到http连接，这个过程会导致会话劫持风险，造成Cookie或Session不安全传输，攻击者可利用该漏洞可在未授权的情况下泄漏 Cookie 或 Session，最终造成服务器敏感性信息泄露。改变，包括web-inf/class,wen-inf/lib,web-inf/web.xml等文件，若发生更改，则局部进行加载，不清空session ，不释放内存。

因环境内部安全扫描发现CVE-2021-23017、CVE-2022-41741、CVE-2022-41742、CVE-2019-20372漏洞，经分析后，需要将nginx升级到1.23.4版本；现场环境：centos7.4 1708、nginx 1.20.1。

某次安全漏扫，发现MySQL大量漏洞，基于Mysql之用于内网，且版本确实有点旧，考虑升级，综合漏洞分析，只能升级到最新版5.7.42和8.0.33，现场环境：Mysql 5.7.28、5.7.20和mysql：8.0.21。附录：[mysql5.7和mysql8.0区别(https://www.cnblogs.com/harda/p/16497988.html)、1）可以获取到MySQL/MariaDB/Percona/TiDB Server版本信息，版本泄露，隐藏版本即可。

在运行SNMP服务的设备上，若管理员配置不当运行默认团体名/弱口令访问,将导致敏感信息泄露。敏感不限于系统运行的进程、已安装的软件、系统存在的用户，运行的服务，端口情况等。通过这些信息，攻击者可以清晰的了解到设备整体情况，根据开放的端口和服务快速定位可入侵点，根据运行的进程名判断是否存在哪些防护软件，有什么bypass的方法。1> 开始—>程序—>管理工具—>服务—>SNMPService—>属性—>安全 在这个配置界面中，可以修改“社区名称”（community strings），也就是snmp密码。

IMAP协议运行在TCP/IP协议之上， 使用的端口是143。–with-http_geoip_module 启用ngx_http_geoip_module支持（该模块创建基于与MaxMind GeoIP二进制文件相配的客户端IP地址的ngx_http_geoip_module变量）–without-http_limit_req_module 禁用ngx_http_limit_req_module支持（该模块允许你对于一个地址进行请求数量的限制用一个给定的session或一个特定的事件）

into outfile…1）mysql启用尽量使用mysql用户，且mysql用户无本地登录权限，当使用mysql用户启动数据库时，可以防止任何具有file权限的用户能够用root创建文件。而如果使用root用户启动数据库，则任何具有file权限的用户都可以读写root用户的文件。2）注意防止DNS欺骗：创建mysql用户时，user权限表的host可以指定域名或者ip地址， 但是当使用域名时，就可能带来如下安全隐患： 如域名对应的ip址址被恶意修改，则数据库就会被恶意的ip地址进行访问，导致安全隐患。

漏洞描述如下：nginx中发现的该漏洞会影响涉及IPv4连接断开的ngx_resolver.c文件某些未知处理过程，攻击者利用该漏洞在发起远程攻击，导致这个过程中触发内存泄漏。从发布的版本看，1.23.2版本并没有标明修复CVE-2022-3638漏洞，但看文件已经删除了下列代码，最好使用补丁编译。：该主机上Nginx为从其他主机整体打包后拷贝过来，启动运行的，后来升级时发现很多依赖项并未安装；2）下载后，将补丁覆盖源码包，重新编译或直接用1.23.2版本重新编译。

这个时候会提示你输入提取代码. for-iis.pem就是可读的文本，生成pfx的命令类似这样：openssl pkcs12 -export -in certificate.crt -inkey privateKey.key -out certificate.pfx -certfile CACert.crt，其中CACert.crt是CA(权威证书颁发机构)的根证书,通过-certfile参数使用；KEY：通常用来存放一个公钥或者私钥，并非X.509证书，编码同样的，可能是PEM，也可能是DER。

一直跟Linux打交道，但是凡事多扰，一直未专门针对系统安全做过针对性总结，基于此，本文将记录总结一些Linux 安全配置过程中的常用实践，最后梳理成为安全最佳实践。

最近很多人不得不忽略的一个新闻事件就是：美国NSA的黑客卑劣的入侵了我国航空七子西工大的数据，互联网安全形势从来不容乐观。而这对如今的生产需要，是不能满足的，于是另一种解决方案网络绑定磁盘加密Network-Bound Disk Encryption（NBDE）出现了，它 可以在没有任何用户干预的情况下自动安全地解锁加密磁盘它可以在一些 Linux 发行版中已经默认启用，如 Red Hat Enterprise Linux 7.4、CentOS 7.4 和 Fedora 24 开始，以及之后的后续版本。

ssh服务器配置为支持密码块链接（cbc）加密。这可能允许攻击者从密文中恢复明文消息。注意，这个插件只检查ssh服务器的选项，不检查易受攻击的软件版本。CBC（Cipher-blockchaining，密码分组链接模式），它具备依赖性，加密过程是串行的，无法被并行化，但是解密可以并行化，因为一个密文会影响到该明文与后一个明文，不会对其他明文产生影响。消息必须是块大小的整数倍，不够需要填充。但无法直接从密文中看出明文信息块的规律，所以安全性比较好。...

完整请求（包括HTTP标头，可包括cookie或身份验证数据等敏感信息）将在TRACE响应的实体主体中返回。该请求主要由开发人员用于测试和调试HTTP应用程序，并且在大多数Web服务器软件中默认可用。2、Doris部署BE后端时，会使用python的SimpleHTTPServer(生产环境不建议使用，它只实现了简单的安全性)或http.server模块（不建议生产）来快速实现web服务。3、基于上，更换doris的web为http或nginx来实现。在http和nginx上实现禁用trace。...

TLS1.0的现代实现减轻了这些问题，但是像1.2和1.3这样的TLS的新版本是针对这些缺陷设计的，应该尽可能地使用。PCIDSSv3.2要求在2018年6月30日前完全禁用TLS1.0，但POSPOI终端(以及它们连接的SSL/TLS终端点)除外，这些终端可以被验证为不受任何已知的漏洞的影响。ProfileList文件夹下的每个SID的ProfileImagePath值内，您可以找到所需的SID和其他详细信息。修复建议启用对TLS1.2和1.3的支持，并禁用对TLS1.0的支持。...

SMB签名旨在帮助提高SMB协议的安全性，为了防止在传输过程中修改SMB数据包，SMB协议支持SMB数据包的数字签名。要利用SMB数据包签名，通信中涉及的客户端SMB组件和服务器端SMB组件必须启用或需要SMB数据包签名。当启用SMB签名时，SMB将停止使用RDMA远程直接数据存取，因为最大MTU限制为1,394字节，这会导致邮件碎片和重组，并降低整体性能。SMB签名未配置漏洞是指远程SMB服务器上未配置需要签名，这将导致未经身份验证的远程攻击者可以利用此漏洞对SMB服务器进行中间人攻击。...

某次对内网网络设备进行了一次漏洞扫描过程暴露出该漏洞，利用此漏洞可远程NTP服务器响应模式6查询。响应这些查询的设备有可能用于NTP放大攻击。未经身份验证的远程攻击者可能通过精心设计的模式6查询利用此漏洞，导致反映的拒绝服务情况。修复建议：限制NTP模式6查询。漏洞级别：中级.........

IT行业日常运维中，安全工作是其中最重要也是主要的一项工作，且随着近几年对IT行业对安全的更加重视，IT服务的安全稳定，日常工作的安全管理都将是我们必须面对和需要掌握的，本文基于此，整理相关安全知识点以作记录.........

一、风险描述集团公司近期通知，根据相关安全纰漏，对Fastjson反序列化远程代码执行漏洞提出预警，开源Java开发组件Fastjson存在反序列化远程代码执行漏洞。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为，造成服务器权限被窃取、敏感信息泄漏等严重影响，特要求限期排查整改。Fastjson是开源JSON解析库，fastjson.jar是阿里开发的一款专门用于Java开发的包，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序

一、前言在企业网络信息化建设中，经常会使用AD域（Active Directory Domain）来统一管理网络中的PC终端。在AD域中，DC（域控制器）中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。因此，攻击者在对AD域进行攻击时，通常以获取DC的控制权限为目标。攻击者如果利用漏洞或者社工等方法获取了外网系统的控制权限，找到了和内网联通的通道，再进一步进行深入渗透，便形成了纵向渗透的通道。然后，攻击者通过mimikazt等工具利用票据传递等攻击手段，实现域控服务器的权限控制，从