前因:
今天下午收到宝塔站点监控发送的邮件,我的那台阿里的学生水管有宕机了
初步怀疑是服务器上某些乱七八糟的东西太多加之管理不善导致被抓肉鸡。
分析:
其实早就想重新装系统来修补 centos 在日常迭代中不断产生的bug,和0day,自己知道服务器上存在漏洞,但是意识不到问题的严重性质。很多时候往往是亡羊补牢,终为晚矣,凡人说过,被人骗钱不可怕,数据丢了才是最要命的。一但发生这种灾难性质的后果,从根本上说是运管人员的失败,但也可说 是宝塔的失败,是一个产品的失败。所以我觉得,宝塔可以做一个安全跑分的功能,通过直端的数字,告诉运维人员,当前的服务器所处的风险等级。我不认为当一个运管人员看见满屏红色的警告的时候他会无动于衷,但是我真的认为,对于一些小bug,或者一些小风险,有些人可能真的能一拖在拖,拖上很久
实现:
我在宝塔的开源协议里看见过这么一条 “宝塔不会扫描用户的网站和隐私”,所以这个功能在做的时候:
1.要强调功能的原理,要坚持自己的初心,不该做的就不做
2.通过 对用户网站是否开启SSL,用户是否安装了防火墙 文件锁 等产品(有点自卖自夸的嫌疑) 用户是否开放了某些风险端口 用户的CPU,Mem, Network 是否长时间高负载,用户多长时间登录一次面板,用户登录地点,多长时间备份一次数据,用户服务器是否有爆破 撞库记录等等 综合性的去列一个表(占大比例)去给出一个相对合理的评分
3. 在针得用户的同意的前提下,通过集成 Zoomeye , Shodan 这种安全平台,定期的获得当前服务器可能存在的漏洞信息 ,其实很多时候,往往很多时候,这些安全网站对服务器的漏洞 安全信息 还是具有一定准确性的,就如同我这次重装系统时顺手 查下自己服务器的数据一样 发现很多漏洞是切实存在的
4.阿里的云服务器(统一安装)安骑士 系统,(其实就是藏在系统里的shell ?),腾讯 有自己云镜 系统,宝塔虽然目前暂时没有深度开发 这种主动防御功能能力和精力,但是我觉得可以先立小牌坊,像凡人说的一样,最小版本迭代,谋求快速发展
|
|
运维要高效,装宝塔
