一.背景二.需求案四.QA五.ref-審計六.對新4A管控疑問七.通過

可抓取信息調研一.背景省端系統花樣繁多，層出不窮，甚至還有大量規劃外系統。總部對省端

的實際系統的組織分布、軟硬件規模以及具體的應用承載方式知之甚少，造成規劃脫節、

。伴隨很大的審計不確定性。二.需求自動化的方式信息，摸清省端省端

系統的基本軟硬件配置、運行服務、承載應用等系統的具體情況，隨時掌握系統動態；集中化展示全網 系統摸底情況；對 系統進行分析比較，發現省間差異和異常；對全網 系統的運行情況（主要是故障和性能維度）進行分析。案一2017-6-5目標機Agent采集CenterServerAdminPortal上報展示整體方案層通過

/插件通過ssh/net自登陸linux命令匯聚層指標匯聚安全告警閥值展示層信息展示安全配置問題定位審計查找方案二-20170607省端目標機IT管理掃描工具性的觸點，因此在博弈局面下，想利用這個觸點盡量發揮作用，方案依據：4A是總部對省端系統的具有一定強制性和實現一部分對省端系統調研甚至管控分析的功能。結果服務器4A安全2.信息同步登陸指令獲取1.掃描指令提交黑盒掃描3.掃描策略選擇noyes白盒掃描&業務服務探測端口分析服務探測利用yesno4.掃描策略執行AdminPortal展示4A作為觸點,主要利用4A對于省端主機/虛機IP，以及賬號信息可以通過IP黑盒掃描全量端口（0—65535）分析部署的服務，以及安全

。例如：

mysql:3306oracle

：1521在安全 可利用情況獲取主機和其它服務的信息ssh登陸 ，直接對需求信息進行抓取上報。5.掃描結果上報分析方案二-疑問2017-06-08寫特定

， 資源信息如硬盤、內存、是否虛擬機等信息。實現對省里資源信息 。該方案可以寫安全處規范中的描述，是從 側4A通過賬號口令（下圖紅色框） 省4A，然后借助于省里的指令通道 系統資源，通過識別進程，但無法準確識別業務系統。而附件方案二中，直接從4A，判斷能否獲得省端目標機器登陸指令，隨后進行黑盒/白盒掃描，我理解的與安全處的方案基本不同， 是要利用總部4A另起爐灶來實現資源信息嗎？From云霞答：

側4A通過賬號口令 省4A，這個問題涉及對安全規范的質疑，我覺得流程應該反過來。按照現在流程，

能的通道數（指向的資源數）還是類似省端報給的，無法掌控真是的省端機器數量。4A（至鑒于以上，所謂直接從

4A，判斷能否獲得省端目標機器登陸指令，隨后進行黑盒/白盒掃描，

所謂直接從于

4A是怎么 省端的，省端是如果做資源 細節先不

）舉個例子說明：假如通過4A可以獲取IP-list-A：0(1(但是懷疑其實是 IP-list-A’：0(1(202.30.56.XX()

cmcc_zb_ismp)

cmcc_zb_ismp)

cmcc_zb_ismp)

cmcc_zb_ismp)

未知123456123456123456123456未知IP-list-AIP-list-A內網IP白盒IP-list-A上執行通網段內網IP探測獲取IP-list-A’探測IP-list-A&IP-list-A’取交集黑盒存在安全漏洞可被破譯登陸的機器白盒方案二-疑問-2017-06-08寫特定

， 資源信息如硬盤、內存、是否虛擬機等信息。實現對省里資源信息 。該方案可以寫安全處規范中的描述，是從 側4A通過賬號口令（下圖紅色框） 省4A，然后借助于省里的指令通道 系統資源，通過識別進程，但無法準確識別業務系統。而附件方案二中，直接從4A，判斷能否獲得省端目標機器登陸指令，隨后進行黑盒/白盒掃描，我理解的與安全處的方案基本不同， 是要利用總部4A另起爐灶來實現資源信息嗎？From云霞答：該方案可以寫 識別進程，但無法準確識別業務系統（O域業務）既然進程列表的都已拿到，可以根據 頒布的技術規范（當然本人不清楚規范細致到何種程度）例如：

資管服務

技術規范規定

https

端口

6233

，那么是否可以認為綁定此端口的進程就是資管業務呢。反之，掃出來進程，確實未知，端口以及其規范中可參考信息都無法定位獲取。我覺得這也是一個結論，省端確實亂搞，也算審計的結果，或者進一步讓省端配合弄清楚，達到管控目的。是要利用總部4A另起爐灶來實現資源信息

嗎目前僅限于框架，如果《4A的資產管理子系統》

規劃做了， 直接從子系統拿結果就行。如子系統對 需求不能 ，需要額外工作量，

是給4A加新需求，還是另起爐灶，看 決斷我是覺得4A以外的東西，不應過多的放在4A里邊。即使4A來做，不宜耦合的太多。報32

臺機器，

實際 32

確實沒問題。4A獲取不到，是否省端需要解釋一下。或者控制交換PS:另外，也可借助其它設備來定位問題。例如交換機64口，哪天突然

發現

交換機

32+1

=33

口被占用，多出的一臺設備機直接 接入。主機&WEB安全掃描工具產品·Nikto：很多地方都在 ，但游俠本人實在不喜歡命令行產品……各位喜歡的或Baidu

下吧·ParosProxy：基于Java

搞的掃描工具，速度也挺快，在淘寶QA

團隊博客也看到在介紹這個

。·WebScarab： 中很NB

的OWASP

出的產品，不過我看 地址的時候貌似更新挺慢·Sandcat：掃描速度很快，檢查的項目也挺多。機子現在就裝了這個。————·NBSI：應該說是 工具更靠譜，國內最早的，可能也是地球上最早的一批SQL

注入及后續工作利用工具，當年是黑站掛馬必備……·HDSI：教主所寫，支持ASP

和PHP

注入，功能就不多說了，也是 越貨必備！掃描服務器上的服務器，在很長一段時：批量掃描的必備產品，通過whois間內風靡 圈。————·Nessus：當然它有商業版，不過 常用的是免費版。脆弱性評估工具，更擅長于主機、服務器、網絡設備掃描。

安裝實踐參考：http:/

/lib/view/open1437375616506.html·NMAP：主要傾向于端口等的評估。·X-Scan：安全焦點 ，多少年過去了，依然是很強悍的產品。 天下曾經做過商業版的“游刃”，但最近已經不更新了，很可惜。其實能做評估的工具還有很多，如：·Retina

Network

Security

Scanner·LANguard

Network

Security

Scanner榕基RJ-iTop

網絡隱患掃描系統不過和Nessus

和NMAP

一樣，主要傾向于主機安全評估，而不是WEB

應用安全評估。但 在WEB

安全評估的時候，不可避免的要對服務器做安全掃描，因此也是必然要用的工具。自動化工具-20170607案實現流程，即基礎平臺。系統進行，確保系統此部分應該屬于大FCAPS

里邊，服務系統本身的集中化前 省市端 系統，

集中化后同樣對大的健康穩定技術前提：知曉機器的IP以及登陸安全或者賬號信息自動化工具：Prometheus

，Zabbix，Nagios

行業現成功能。基于上述工具，做插件定制化開發（對不能滿足的需求）新4A

工具（自研）四.QARef:《GKGF-3.0.0-015

中國移動《GKGF-3.0.0-025

中國移動管控平臺接口規范分冊四：程序調用接管控平臺接口規范分冊七：全網資源術規范_20150305》管理規范_20150304

》系統的覆蓋全面程度如何？Q1、4A的納管范圍是如何要求的？對答.

4A沒有 其范圍帳號管理，管理，認證管理，審計管理4A的那管范圍用于合規管理平臺、智能巡檢、集中備份、各類集中操作

自行開發的

腳本等自動化程序通過

管控平臺

和操作接入資源。對于各類

系統

機所使用的程序，包括收集

數據用于

呈現的程序，均不屬于 范圍。Q2、從4A可以 哪些有用的信息實現上述管控能力？答.可以通過4A，打開后門，對目標系統和主機進行管控實施工作。Q3、哪些需求不能通過4A

的信息解決？答：主機/服務信息不能通過4A

，

但是可以通過4A進行安全審計。Q4、從4A

信息需要哪些手續和要求？有哪些數據安全要求？網絡策略方面是否可行？能否給出一個可行

方案？答：1.

遵循規范，正常獲取資源 方式（目前系統尚未建立）暫無，是否取得

權限，就能部署

應用值得網絡策略可行對于4A

日志可以進行

，得到系統資源被哪些賬戶的

，以及

頻次和期間產生的故障記錄等四.QA五.Ref-審計查看所有登錄用戶的操作歷史在linux系統的環境下，不管是root用戶還是其它的用戶只有登陸系統后用進入操作都可以通過命令history來查看歷史記錄，假如一臺服務器多人登陸，一天因為誤操作了刪除了重要的數據。這時候通過查看歷史記錄（命令：history）是沒有什么意義了（因為history只針對登錄用戶下執行有效，即使root用戶也無法得到其它用戶histotry歷史）。那有沒有什么辦法實現通過記錄登陸后的IP地址和某用戶名所操作的歷史記錄呢？答案：有的。通過在/etc/profile里面加入以下代碼就可以實現：｛historyUSER=`whoami`USER_IP=`who

-u

am

i

2>/dev/null|

awk

'{print

$NF}'|sed

-e

's/[()]//g'`if

[

"$USER_IP"

=

""

];

thenUSER_IP=`hostname`fiif[

!

-d

/var/log/history

];thenmkdir

/var/log/historyod

777/var/log/historyfiif

[

!

-d

/var/log/history/${LOGNAME}

];

thenmkdir

/var/log/history/${LOGNAME}od300

/var/log/history/${LOGNAME}fiexport

HISTSIZE=4096DT=`date

+"%Y%m%d_%H:%M:%S"`export

HISTFILE="/var/log/history/${LOGNAME}/${USER}@${USER_IP}_$DT"od

600

/var/log/history/${LOGNAME}/*history*

2>/dev/null｝六.新4A的疑問2017-6-6總部省側總部管控平臺省管控平臺省應用省側citrix6、打開citrix

資源1、點擊省

5、將ICA文件應用

發送給終端7、連接省應用請求漫游4、返回單點登錄參數及ICA文件2、申請單點登錄參數及ica文件10、打開應用頁面3、生成ICA文件自行實現代填過程總部省側總部管控平臺省管控平臺省應用1、點擊省應用5、連接省應用請求漫游2、申請單點登錄參數3、返回單點登錄參數7、完成認證6、提交票據發起認證請求8、打開應用頁面4、打開省應用資源應用系統應用系統總部用戶可以通過管控平臺Web門戶中發布的被

省 應用通過省側citrix，被訪問省相應 應用，不需再次認證。總部用戶可以通過管控平臺Web門戶中發布的被直接省被應用

，省相應應用，不需再次認證。關于新4A規范關鍵內容截取總部安全管理應用省佛山廣州市指令通道1廣州市指令通道2廣州市指令通道3廣州設備1

設備2

設備3

設備40

1

2

3區域一設備1

設備2

設備3

設備4

0

1

2

3區域三設備1

設備2

設備3

設備4

0

1

2

3區域二…………請求連接：省廣州市設備0省一級指令通道一級分發廣州市一級指令通道二級分發根據實際情況自行實現省一級指令通道省一級指令通道…...負載均衡省內資源 場景管控平臺為自動化程序設立單獨的主帳號及口令，自動化程序通過調用程序調用接口的方式被管資源時必須使用此主帳號及口令。總部由省內資源場景建立一個cmcc_zb_ismp帳號供總部

本省內資源使用，并提供唯一一個認證憑證，要求總部 程序調用的主帳號為cmcc_zb_ismp。認證憑證由省公司平臺定期修改，并同步到總部，憑證信息生成規則參考“7.2

認證串生成方式”。六.新4A的疑問2017-6-6關于新4A規范關鍵內容截取六.新4A的疑問2017-6-6問題總結：1.

無論是流程圖還是文字描述，都不能認為4A是為管控省端服務的。2.

只能算是省端給

省端資源開了個口子。而且省端隨時可以關閉（當然實際不會這么干，雖然技術上可行）。如果將4A抽象成一個堡壘機的情況，那么

4A應該是堡壘機的詳細的建議架構流程如下：省端APPS省端資源安全

URL指令通道4A服務安全redis賬號數據庫持久化日志系統-日志審計審計portal省端用戶用戶普通用戶用戶/用戶系統扁平化4A系統集中化省端資源/服務透明化七.通過可抓取信息調研結合當前需求，進行深入調研實際

命令會根據目標OS以及

版本號不同做對應適配。1.OS版本-獲取操作系統OS版本信息，通過INI文件得到對應參數2.網絡配置--查看網卡MAC以及IP3.CPU處理器--查看處理器更改數后dmidecode

-s

system-product-name

|

grep

irtual判斷是否是虛擬機。。？沒有內容則為物理機。對于單核處理器，則認為是其CPU，對于多核處理器則可以是物理核、或者使各選項的含義：processor

：系統中邏輯處理器的用超線程技術虛擬的邏輯核vendor_id

：CPU制造商cpu

family

：CPU產品系列代號model

：CPU屬于其系列中的哪一代的代號model

name

：CPU屬于的名字及其 、主頻stepcpuMHz：CPU屬于制作更新版本：CPU的實際使用主頻cache

size

：CPU二級緩存大小physical

id

：單個CPU的標號siblingscore

id：單個CPU邏輯物理核數：當前物理核在其所處CPU中的 ，這個 不一定連續cpu

cores

：該邏輯核所處CPU的物理核總數apicid

：用來區分不同邏輯核的 ，系統中每個邏輯核的此 必然不同，此 不一定連續fpu

：是否具有浮點運算單元（Floating

Point

Unit）fpu_exception

：是否支持浮點計算異常cpuid

level

：執行cpuid指令前，eax寄存器中的值，根據不同的值cpuid指令會返回不同的內容wpflags：表明當前CPU是否在內核態支持對用戶空間的寫保護（Write

Protection）：當前CPU支持的功能bogomips

：在系統內核啟動時粗略測算的CPU速度（Million

Instructions

Per

Second）clflush

size

：每次刷新緩存的大小單位cache_alignment

：緩存地址對齊單位addresssizes

：可 地址空間位數4.

內存—資源獲取單位是MB測試主機是虛擬機，只是分配了1G5.

磁盤—資源獲取6.網絡—資源獲取當然還能計算某個服務端口當前

數，

下圖是我打開火狐瀏覽器前后，針對

80端口的前后 數統計示例（瞬時）7.進程—進程名稱，資源消耗，詳細信息Name

應用程序或命令的名字State

任務的狀態，運行/睡眠/僵死/SleepAVG

任務的平均等待時間(以nanosecond為單位)，交互式任務因為休眠次數多、時間長，它們的sleep_avg

也會相應地更大一些，所以計算出來的優先級也會相應高一些。Tgid

線程組號Pid

任務IDPpid

父進程IDTracerPid

接收 該進程信息的進程的ID號_vm)，其中total_vm為進程的地址空間的大小，

_v