今天拿到一家央企的系统集成商公司高级运维工程师职位。
在家没事做,写篇随笔。
运维老炮心得
运维工程师作为公司数字资产的守护者,信息安全很重要。
1.笔记本电脑做运维工程师的工作电脑的时候记得给bios进入和开机bios加个密码,bios密码要有管理员密码和普通系统密码。防止笔记本遗失。dell笔记本电脑可以在bios-pw网站查询到bios超级密码,其实就是厂商密码,万用密码,这个密码跟笔记本电脑序列号有关。
2.笔记本电脑需要在bios里给硬盘加一个硬盘锁,商业笔记本一般都有这个功能。这个硬盘锁存在master密码,在网上可以查询到,如果你的硬盘是新加的或者换过的一般就查不到master密码,用的硬盘master密码跟型号有关,是固定的,有的跟硬盘序列号有关。有的master密码可以改,有的不能。给硬盘加硬盘锁也是为了防止电脑遗失,被人取出硬盘盗取数据。dell笔记本原厂硬盘的硬盘锁master密码可以在bios-pw网站查询到。
3.操作系统文件系统加密,linux和windows都自带这个功能,存在一个缺陷,无论windows还是linux的操作系统文件系统加密都是无法对引导分区加密的,比如efi分区,所以可以通过把硬盘挂载到其他系统上,修改替换引导启动程序来截获密钥。还可以取得备份密钥来解锁。
4.少用云系统和云服务来管理自己笔记本电脑上的资料信息,比如我现在用的苹果备忘录,数据就存在贵州服务器,肯定会有其他人偷看。存在这个苹果备忘录和icloud账号上就不安全。加上手机随身带相当于数据随身带,手机验证码也很容易被人截获,造成云账号和云数据的泄密。
5.指纹识别和人脸识别并不可靠,人只有10根手指,10个不变的指纹,人脸不整形也不会改变,很容易在外出差,或者是摸粘手的东西被人盗取指纹制作指模。人脸也可能被在外出差或旅游睡着的时候用膜进行克隆制作脸膜,指模和脸膜现在都可以加载类似生物电和加温散发红外线。所以生物识别其实并不可靠。掌纹一样,虹膜未知。但是即便是虹膜也避免不了人被控制,强制解锁。所以最好的认证是密码作认证,且只存在于大脑中,不在任何电子设备和纸张上做记录。在预知到危险时可以提前服用引起电解质紊乱的药物,不纠正电解质的情况下会造成记忆假性遗失,即便在被控制审讯的情况下也无法说出密码,因为当时是真的忘了。可在事后自行服用药物纠正电解质来恢复记忆。引起电解质紊乱的药物有利尿剂、导泄剂、催吐剂,也可以大量服用含有某种元素的药物,或者催汗剂。
6.资本的力量,权力的力量,使用哪家的硬件和软件相当于把数据交给了这家硬件厂商和软件厂商,如果供职一家公司,对手公司甚至对手势力,对手集团,对手资本、对手国家的软件硬件都不要使用,这里不单指装在自己硬件上的软件,对手造的硬件和含有对手造的芯片的硬件,也包含使用的对方的云服务。即便使用己方的软硬件,也可能这些软硬件技术提供商,技术供应商都有对手阵营的技术原件,造成后门。
7.全供应链安全。比如硬件考虑主板bios和主板加密芯片、硬盘芯片、cpu是否是对手阵营造的,肯定存在后门。软件一样,用开源解决替代方案的时候考虑软件生产的全链路采用己方软件,从可视化代码编辑器ide,到编译工具,都要采用己方的,防止在编辑和编译软件的软件生产流程中被插入后门代码。既要编译的源代码是没有这些后门的,但是通过对手阵营的代码编辑器编辑或者对手阵营的编译器编译,编译后的程序就有后门了。
8.操作系统阵营的选择,除了看开源闭源还要看是谁用什么编译器什么环境编译的。编译的人,编译器,编译环境,3者都跟目标编译结果是否有后门相关联。
9.windows在系统自带的沙箱软件sandbox下运行社交软件,即时通讯软件。想要系统开销小一点可以用sandboxie这款第三方沙箱软件,但是安全性没windows系统自带的沙箱高。
10.用windows自带杀毒软件。记得关闭自动上传样本。
11.linux做桌面系统,在安卓容器和wine模拟器下运行程序相对安全点。linux也不容易中毒。做运维工程师办公桌面也不错,缺点是rdp工具不支持ssp加密。
12.小心站在屏幕背后的人,手机和电脑屏幕要贴防窥膜,但是还要防止旁边的人用手机摄像头录下你手指的操作,手指点击手机屏幕的大致位置和手指敲击电脑键盘的动作,然后用慢速播放视频还原敲击的密码。
13.密码输入完被人打断叫走,后电脑被控制用了软件自带的显示密码功能,被你后面的人看到密码。
14.密码加密钥,密码加二次身份验证要安全得多。
15.必要可以使用硬件密钥,硬件令牌,加密狗。
16.密码要用本地库的密码加密保存软件来加密保存。比如keepass。
17.浏览器使用匿名隐私模式,免得被人拿到cookie.和历史记录。别用操作系统自带浏览器和操作系统自带软件仓库的浏览器。
18.使用防止截屏软件,截屏的时候会黑屏。
19.出差或者出去旅游的时候在外住宿,小心有人夜里进来给你提前服用吐真剂,再利用引导式催眠让你说出密码。吐真剂有平替的药物-麻药,某宝能买到。
20.小心输入法程序泄密。输入法程序知道你输入的所有字符和文字,并上传到服务器。小心选择输入法程序。
21.有些intel笔记本电脑带vpro和Amt或者EmA功能,可以实现带外网管,换句话说,可以从硬件底层查看你的所有操作并控制你的电脑,跟你安装的操作系统无关。输入密码的时候如果会显示刚输入的字符很可能在这样的平台下会泄密。
22.intel全系cpu都内置了一个minix操作系统在intel cpu内部,是谷歌的工程师发现的,intel员工可以通过账号密码来远程访问这枚cpu的电脑的所有文件,进程和电源,并远程控制这台电脑,intel官方解释这是intel的mE引擎的基础,并且有它intel更新基于cpu的微代码的时候更方便,更新后漏洞更少。这个minix系统对整台电脑都有控制权,但是这个minix没有人可以关闭。intel有个参数,reserve_hap,是intel提供给美国fbi使用的高可信平台,设置后据说可以关闭minix。amd有一个类似的技术叫ASt,所以Amd的cpu也是有这种后门的。
23.intel、Amd、高通全系列cpu都存在cpu漏洞,跟22条不同,22条是后门,而这一条是漏洞。漏洞如下:
a.meltdown对应cVE-2017-5754
b.Spectre对应cVE-2017-5753(边界检查绕过)与cVE-2017-5715(分支目标注入)
这些漏洞在新版cpu只是被弱化,并没有被屏蔽,因为这些cpu漏洞跟cpu执行性能有关,是cpu执行效率的副产品。
24.基于21.22.23条最好使用国产cpu会更安全。
现在就想到这些。