it系統(tǒng)管控調(diào)研報告

一.背景二.需求案四.QA五.ref-審計六.對新4A管控疑問七.通過

可抓取信息調(diào)研一.背景省端系統(tǒng)花樣繁多，層出不窮，甚至還有大量規(guī)劃外系統(tǒng)?？偛繉κ《?/p>

的實(shí)際系統(tǒng)的組織分布、軟硬件規(guī)模以及具體的應(yīng)用承載方式知之甚少，造成規(guī)劃脫節(jié)、

。伴隨很大的審計不確定性。二.需求自動化的方式信息，摸清省端省端

系統(tǒng)的基本軟硬件配置、運(yùn)行服務(wù)、承載應(yīng)用等系統(tǒng)的具體情況，隨時掌握系統(tǒng)動態(tài)；集中化展示全網(wǎng) 系統(tǒng)摸底情況；對 系統(tǒng)進(jìn)行分析比較，發(fā)現(xiàn)省間差異和異常；對全網(wǎng) 系統(tǒng)的運(yùn)行情況（主要是故障和性能維度）進(jìn)行分析。案一2017-6-5目標(biāo)機(jī)Agent采集CenterServerAdminPortal上報展示整體方案層通過

/插件通過ssh/net自登陸linux命令匯聚層指標(biāo)匯聚安全告警閥值展示層信息展示安全配置問題定位審計查找方案二-20170607省端目標(biāo)機(jī)IT管理掃描工具性的觸點(diǎn)，因此在博弈局面下，想利用這個觸點(diǎn)盡量發(fā)揮作用，方案依據(jù)：4A是總部對省端系統(tǒng)的具有一定強(qiáng)制性和實(shí)現(xiàn)一部分對省端系統(tǒng)調(diào)研甚至管控分析的功能。結(jié)果服務(wù)器4A安全2.信息同步登陸指令獲取1.掃描指令提交黑盒掃描3.掃描策略選擇noyes白盒掃描&業(yè)務(wù)服務(wù)探測端口分析服務(wù)探測利用yesno4.掃描策略執(zhí)行AdminPortal展示4A作為觸點(diǎn),主要利用4A對于省端主機(jī)/虛機(jī)IP，以及賬號信息可以通過IP黑盒掃描全量端口（0—65535）分析部署的服務(wù)，以及安全

。例如：

mysql:3306oracle

：1521在安全 可利用情況獲取主機(jī)和其它服務(wù)的信息ssh登陸 ，直接對需求信息進(jìn)行抓取上報。5.掃描結(jié)果上報分析方案二-疑問2017-06-08寫特定

， 資源信息如硬盤、內(nèi)存、是否虛擬機(jī)等信息。實(shí)現(xiàn)對省里資源信息 。該方案可以寫安全處規(guī)范中的描述，是從 側(cè)4A通過賬號口令（下圖紅色框） 省4A，然后借助于省里的指令通道 系統(tǒng)資源，通過識別進(jìn)程，但無法準(zhǔn)確識別業(yè)務(wù)系統(tǒng)。而附件方案二中，直接從4A，判斷能否獲得省端目標(biāo)機(jī)器登陸指令，隨后進(jìn)行黑盒/白盒掃描，我理解的與安全處的方案基本不同， 是要利用總部4A另起爐灶來實(shí)現(xiàn)資源信息嗎？From云霞答：

側(cè)4A通過賬號口令 省4A，這個問題涉及對安全規(guī)范的質(zhì)疑，我覺得流程應(yīng)該反過來。按照現(xiàn)在流程，

能的通道數(shù)（指向的資源數(shù)）還是類似省端報給的，無法掌控真是的省端機(jī)器數(shù)量。4A（至鑒于以上，所謂直接從

4A，判斷能否獲得省端目標(biāo)機(jī)器登陸指令，隨后進(jìn)行黑盒/白盒掃描，

所謂直接從于

4A是怎么 省端的，省端是如果做資源 細(xì)節(jié)先不

）舉個例子說明：假如通過4A可以獲取IP-list-A：0(1(但是懷疑其實(shí)是 IP-list-A’：0(1(202.30.56.XX()

cmcc_zb_ismp)

cmcc_zb_ismp)

cmcc_zb_ismp)

cmcc_zb_ismp)

未知123456123456123456123456未知IP-list-AIP-list-A內(nèi)網(wǎng)IP白盒IP-list-A上執(zhí)行通網(wǎng)段內(nèi)網(wǎng)IP探測獲取IP-list-A’探測IP-list-A&IP-list-A’取交集黑盒存在安全漏洞可被破譯登陸的機(jī)器白盒方案二-疑問-2017-06-08寫特定

， 資源信息如硬盤、內(nèi)存、是否虛擬機(jī)等信息。實(shí)現(xiàn)對省里資源信息 。該方案可以寫安全處規(guī)范中的描述，是從 側(cè)4A通過賬號口令（下圖紅色框） 省4A，然后借助于省里的指令通道 系統(tǒng)資源，通過識別進(jìn)程，但無法準(zhǔn)確識別業(yè)務(wù)系統(tǒng)。而附件方案二中，直接從4A，判斷能否獲得省端目標(biāo)機(jī)器登陸指令，隨后進(jìn)行黑盒/白盒掃描，我理解的與安全處的方案基本不同， 是要利用總部4A另起爐灶來實(shí)現(xiàn)資源信息嗎？From云霞答：該方案可以寫 識別進(jìn)程，但無法準(zhǔn)確識別業(yè)務(wù)系統(tǒng)（O域業(yè)務(wù)）既然進(jìn)程列表的都已拿到，可以根據(jù) 頒布的技術(shù)規(guī)范（當(dāng)然本人不清楚規(guī)范細(xì)致到何種程度）例如：

資管服務(wù)

技術(shù)規(guī)范規(guī)定

https

端口

6233

，那么是否可以認(rèn)為綁定此端口的進(jìn)程就是資管業(yè)務(wù)呢。反之，掃出來進(jìn)程，確實(shí)未知，端口以及其規(guī)范中可參考信息都無法定位獲取。我覺得這也是一個結(jié)論，省端確實(shí)亂搞，也算審計的結(jié)果，或者進(jìn)一步讓省端配合弄清楚，達(dá)到管控目的。是要利用總部4A另起爐灶來實(shí)現(xiàn)資源信息

嗎目前僅限于框架，如果《4A的資產(chǎn)管理子系統(tǒng)》

規(guī)劃做了， 直接從子系統(tǒng)拿結(jié)果就行。如子系統(tǒng)對 需求不能 ，需要額外工作量，

是給4A加新需求，還是另起爐灶，看 決斷我是覺得4A以外的東西，不應(yīng)過多的放在4A里邊。即使4A來做，不宜耦合的太多。報32

臺機(jī)器，

實(shí)際 32

確實(shí)沒問題。4A獲取不到，是否省端需要解釋一下?；蛘呖刂平粨QPS:另外，也可借助其它設(shè)備來定位問題。例如交換機(jī)64口，哪天突然

發(fā)現(xiàn)

交換機(jī)

32+1

=33

口被占用，多出的一臺設(shè)備機(jī)直接 接入。主機(jī)&WEB安全掃描工具產(chǎn)品·Nikto：很多地方都在 ，但游俠本人實(shí)在不喜歡命令行產(chǎn)品……各位喜歡的或Baidu

下吧·ParosProxy：基于Java

搞的掃描工具，速度也挺快，在淘寶QA

團(tuán)隊(duì)博客也看到在介紹這個

?！ebScarab： 中很NB

的OWASP

出的產(chǎn)品，不過我看 地址的時候貌似更新挺慢·Sandcat：掃描速度很快，檢查的項(xiàng)目也挺多。機(jī)子現(xiàn)在就裝了這個?！BSI：應(yīng)該說是 工具更靠譜，國內(nèi)最早的，可能也是地球上最早的一批SQL

注入及后續(xù)工作利用工具，當(dāng)年是黑站掛馬必備……·HDSI：教主所寫，支持ASP

和PHP

注入，功能就不多說了，也是 越貨必備！掃描服務(wù)器上的服務(wù)器，在很長一段時：批量掃描的必備產(chǎn)品，通過whois間內(nèi)風(fēng)靡 圈?！essus：當(dāng)然它有商業(yè)版，不過 常用的是免費(fèi)版。脆弱性評估工具，更擅長于主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備掃描。

安裝實(shí)踐參考：http:/

/lib/view/open1437375616506.html·NMAP：主要傾向于端口等的評估?！-Scan：安全焦點(diǎn) ，多少年過去了，依然是很強(qiáng)悍的產(chǎn)品。 天下曾經(jīng)做過商業(yè)版的“游刃”，但最近已經(jīng)不更新了，很可惜。其實(shí)能做評估的工具還有很多，如：·Retina

Network

Security

Scanner·LANguard

Network

Security

Scanner榕基RJ-iTop

網(wǎng)絡(luò)隱患掃描系統(tǒng)不過和Nessus

和NMAP

一樣，主要傾向于主機(jī)安全評估，而不是WEB

應(yīng)用安全評估。但 在WEB

安全評估的時候，不可避免的要對服務(wù)器做安全掃描，因此也是必然要用的工具。自動化工具-20170607案實(shí)現(xiàn)流程，即基礎(chǔ)平臺。系統(tǒng)進(jìn)行，確保系統(tǒng)此部分應(yīng)該屬于大FCAPS

里邊，服務(wù)系統(tǒng)本身的集中化前 省市端 系統(tǒng)，

集中化后同樣對大的健康穩(wěn)定技術(shù)前提：知曉機(jī)器的IP以及登陸安全或者賬號信息自動化工具：Prometheus

，Zabbix，Nagios

行業(yè)現(xiàn)成功能。基于上述工具，做插件定制化開發(fā)（對不能滿足的需求）新4A

工具（自研）四.QARef:《GKGF-3.0.0-015

中國移動《GKGF-3.0.0-025

中國移動管控平臺接口規(guī)范分冊四：程序調(diào)用接管控平臺接口規(guī)范分冊七：全網(wǎng)資源術(shù)規(guī)范_20150305》管理規(guī)范_20150304

》系統(tǒng)的覆蓋全面程度如何？Q1、4A的納管范圍是如何要求的？對答.

4A沒有 其范圍帳號管理，管理，認(rèn)證管理，審計管理4A的那管范圍用于合規(guī)管理平臺、智能巡檢、集中備份、各類集中操作

自行開發(fā)的

腳本等自動化程序通過

管控平臺

和操作接入資源。對于各類

系統(tǒng)

機(jī)所使用的程序，包括收集

數(shù)據(jù)用于

呈現(xiàn)的程序，均不屬于 范圍。Q2、從4A可以 哪些有用的信息實(shí)現(xiàn)上述管控能力？答.可以通過4A，打開后門，對目標(biāo)系統(tǒng)和主機(jī)進(jìn)行管控實(shí)施工作。Q3、哪些需求不能通過4A

的信息解決？答：主機(jī)/服務(wù)信息不能通過4A

，

但是可以通過4A進(jìn)行安全審計。Q4、從4A

信息需要哪些手續(xù)和要求？有哪些數(shù)據(jù)安全要求？網(wǎng)絡(luò)策略方面是否可行？能否給出一個可行

方案？答：1.

遵循規(guī)范，正常獲取資源 方式（目前系統(tǒng)尚未建立）暫無，是否取得

權(quán)限，就能部署

應(yīng)用值得網(wǎng)絡(luò)策略可行對于4A

日志可以進(jìn)行

，得到系統(tǒng)資源被哪些賬戶的

，以及

頻次和期間產(chǎn)生的故障記錄等四.QA五.Ref-審計查看所有登錄用戶的操作歷史在linux系統(tǒng)的環(huán)境下，不管是root用戶還是其它的用戶只有登陸系統(tǒng)后用進(jìn)入操作都可以通過命令history來查看歷史記錄，假如一臺服務(wù)器多人登陸，一天因?yàn)檎`操作了刪除了重要的數(shù)據(jù)。這時候通過查看歷史記錄（命令：history）是沒有什么意義了（因?yàn)閔istory只針對登錄用戶下執(zhí)行有效，即使root用戶也無法得到其它用戶histotry歷史）。那有沒有什么辦法實(shí)現(xiàn)通過記錄登陸后的IP地址和某用戶名所操作的歷史記錄呢？答案：有的。通過在/etc/profile里面加入以下代碼就可以實(shí)現(xiàn)：｛historyUSER=`whoami`USER_IP=`who

-u

am

i

2>/dev/null|

awk

'{print

$NF}'|sed

-e

's/[()]//g'`if

[

"$USER_IP"

=

""

];

thenUSER_IP=`hostname`fiif[

!

-d

/var/log/history

];thenmkdir

/var/log/historyod

777/var/log/historyfiif

[

!

-d

/var/log/history/${LOGNAME}

];

thenmkdir

/var/log/history/${LOGNAME}od300

/var/log/history/${LOGNAME}fiexport

HISTSIZE=4096DT=`date

+"%Y%m%d_%H:%M:%S"`export

HISTFILE="/var/log/history/${LOGNAME}/${USER}@${USER_IP}_$DT"od

600

/var/log/history/${LOGNAME}/*history*

2>/dev/null｝六.新4A的疑問2017-6-6總部省側(cè)總部管控平臺省管控平臺省應(yīng)用省側(cè)citrix6、打開citrix

資源1、點(diǎn)擊省

5、將ICA文件應(yīng)用

發(fā)送給終端7、連接省應(yīng)用請求漫游4、返回單點(diǎn)登錄參數(shù)及ICA文件2、申請單點(diǎn)登錄參數(shù)及ica文件10、打開應(yīng)用頁面3、生成ICA文件自行實(shí)現(xiàn)代填過程總部省側(cè)總部管控平臺省管控平臺省應(yīng)用1、點(diǎn)擊省應(yīng)用5、連接省應(yīng)用請求漫游2、申請單點(diǎn)登錄參數(shù)3、返回單點(diǎn)登錄參數(shù)7、完成認(rèn)證6、提交票據(jù)發(fā)起認(rèn)證請求8、打開應(yīng)用頁面4、打開省應(yīng)用資源應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)總部用戶可以通過管控平臺Web門戶中發(fā)布的被

省 應(yīng)用通過省側(cè)citrix，被訪問省相應(yīng) 應(yīng)用，不需再次認(rèn)證。總部用戶可以通過管控平臺Web門戶中發(fā)布的被直接省被應(yīng)用

，省相應(yīng)應(yīng)用，不需再次認(rèn)證。關(guān)于新4A規(guī)范關(guān)鍵內(nèi)容截取總部安全管理應(yīng)用省佛山廣州市指令通道1廣州市指令通道2廣州市指令通道3廣州設(shè)備1

設(shè)備2

設(shè)備3

設(shè)備40

1

2

3區(qū)域一設(shè)備1

設(shè)備2

設(shè)備3

設(shè)備4

0

1

2

3區(qū)域三設(shè)備1

設(shè)備2

設(shè)備3

設(shè)備4

0

1

2

3區(qū)域二…………請求連接：省廣州市設(shè)備0省一級指令通道一級分發(fā)廣州市一級指令通道二級分發(fā)根據(jù)實(shí)際情況自行實(shí)現(xiàn)省一級指令通道省一級指令通道…...負(fù)載均衡省內(nèi)資源 場景管控平臺為自動化程序設(shè)立單獨(dú)的主帳號及口令，自動化程序通過調(diào)用程序調(diào)用接口的方式被管資源時必須使用此主帳號及口令?？偛坑墒?nèi)資源場景建立一個cmcc_zb_ismp帳號供總部

本省內(nèi)資源使用，并提供唯一一個認(rèn)證憑證，要求總部 程序調(diào)用的主帳號為cmcc_zb_ismp。認(rèn)證憑證由省公司平臺定期修改，并同步到總部，憑證信息生成規(guī)則參考“7.2

認(rèn)證串生成方式”。六.新4A的疑問2017-6-6關(guān)于新4A規(guī)范關(guān)鍵內(nèi)容截取六.新4A的疑問2017-6-6問題總結(jié)：1.

無論是流程圖還是文字描述，都不能認(rèn)為4A是為管控省端服務(wù)的。2.

只能算是省端給

省端資源開了個口子。而且省端隨時可以關(guān)閉（當(dāng)然實(shí)際不會這么干，雖然技術(shù)上可行）。如果將4A抽象成一個堡壘機(jī)的情況，那么

4A應(yīng)該是堡壘機(jī)的詳細(xì)的建議架構(gòu)流程如下：省端APPS省端資源安全

URL指令通道4A服務(wù)安全redis賬號數(shù)據(jù)庫持久化日志系統(tǒng)-日志審計審計portal省端用戶用戶普通用戶用戶/用戶系統(tǒng)扁平化4A系統(tǒng)集中化省端資源/服務(wù)透明化七.通過可抓取信息調(diào)研結(jié)合當(dāng)前需求，進(jìn)行深入調(diào)研實(shí)際

命令會根據(jù)目標(biāo)OS以及

版本號不同做對應(yīng)適配。1.OS版本-獲取操作系統(tǒng)OS版本信息，通過INI文件得到對應(yīng)參數(shù)2.網(wǎng)絡(luò)配置--查看網(wǎng)卡MAC以及IP3.CPU處理器--查看處理器更改數(shù)后dmidecode

-s

system-product-name

|

grep

irtual判斷是否是虛擬機(jī)。。？沒有內(nèi)容則為物理機(jī)。對于單核處理器，則認(rèn)為是其CPU，對于多核處理器則可以是物理核、或者使各選項(xiàng)的含義：processor

：系統(tǒng)中邏輯處理器的用超線程技術(shù)虛擬的邏輯核vendor_id

：CPU制造商cpu

family

：CPU產(chǎn)品系列代號model

：CPU屬于其系列中的哪一代的代號model

name

：CPU屬于的名字及其 、主頻stepcpuMHz：CPU屬于制作更新版本：CPU的實(shí)際使用主頻cache

size

：CPU二級緩存大小physical

id

：單個CPU的標(biāo)號siblingscore

id：單個CPU邏輯物理核數(shù)：當(dāng)前物理核在其所處CPU中的 ，這個 不一定連續(xù)cpu

cores

：該邏輯核所處CPU的物理核總數(shù)apicid

：用來區(qū)分不同邏輯核的 ，系統(tǒng)中每個邏輯核的此 必然不同，此 不一定連續(xù)fpu

：是否具有浮點(diǎn)運(yùn)算單元（Floating

Point

Unit）fpu_exception

：是否支持浮點(diǎn)計算異常cpuid

level

：執(zhí)行cpuid指令前，eax寄存器中的值，根據(jù)不同的值cpuid指令會返回不同的內(nèi)容wpflags：表明當(dāng)前CPU是否在內(nèi)核態(tài)支持對用戶空間的寫保護(hù)（Write

Protection）：當(dāng)前CPU支持的功能bogomips

：在系統(tǒng)內(nèi)核啟動時粗略測算的CPU速度（Million

Instructions

Per

Second）clflush

size

：每次刷新緩存的大小單位cache_alignment

：緩存地址對齊單位addresssizes

：可 地址空間位數(shù)4.

內(nèi)存—資源獲取單位是MB測試主機(jī)是虛擬機(jī)，只是分配了1G5.

磁盤—資源獲取6.網(wǎng)絡(luò)—資源獲取當(dāng)然還能計算某個服務(wù)端口當(dāng)前

數(shù)，

下圖是我打開火狐瀏覽器前后，針對

80端口的前后 數(shù)統(tǒng)計示例（瞬時）7.進(jìn)程—進(jìn)程名稱，資源消耗，詳細(xì)信息Name

應(yīng)用程序或命令的名字State

任務(wù)的狀態(tài)，運(yùn)行/睡眠/僵死/SleepAVG

任務(wù)的平均等待時間(以nanosecond為單位)，交互式任務(wù)因?yàn)樾菝叽螖?shù)多、時間長，它們的sleep_avg

也會相應(yīng)地更大一些，所以計算出來的優(yōu)先級也會相應(yīng)高一些。Tgid

線程組號Pid

任務(wù)IDPpid

父進(jìn)程IDTracerPid

接收 該進(jìn)程信息的進(jìn)程的ID號_vm)，其中total_vm為進(jìn)程的地址空間的大小，

_v