唉，研发密钥泄露，导致整个私有 gitlab 被拖。。。

请教下，怎么扫描整个公司相关系统弱密码，用什么自动化工具呀，还是人工一个一个来搞

外网是怎么访问到内网的？还是说这个内网只是一个概念，并不是真正意义上的隔离😂

@pydiff 很麻烦，正常用户内部系统统一 SSO 登录就行了；管理员账号仅限于 VPN 或者内网登录。

@guoooo00oohao 哦哦，就是搞个类似 ldap 的东西是吧

正常，这种事情我们也干过，token 直接放代码里，省事嘛！不用写代码从 secret manager 里取了。。。

哈哈哈。。。嗝

强制要求团队成员开启 2FA, 并且 2FA 要有两种方式. 同时再建议开启 Passkey 在日常中节约时间.

@iugo #26
作为开发，我真的非常反感 2FA ，但是不能不用，唉。不过这个 passkey 看来能解决我的痛点，不用每天登陆两次了。

答案是公司内做一个 vault 统一管服务端机密，那玩意开源自托管，就是上手有点难

你们的 GitLab 是公网可达的吧？

分享我们思路：

我们从基建最初便落地了基于 WireGuard 的 VPN 网络，入职时签发配置，离职时注销，每个设备一份不可复用，只影响 172.31.0.0/16 这一个网段（避免路由冲突），加入 VPN 网络的人才能访问公司内部服务。

这里有很多好处，比如：

1. 有效的内部服务隔离。解决人员流动问题，降低内部服务因为人为疏忽暴露的风险（相对于公网可达而言）。
2. 每个设备一个独立的 VPN 证书，解决远程办公的联调问题。
3. VPN 网络还能打通 K8s 集群，满足直连 Pod IP ，Service IP 的需求。

FYI

纠正：每个设备一个独立的 VPN 证书 -> 每个设备一个独立的 VPN IP

被黑客攻击进入内网了。建议找乙方安全公司做红队演练、渗透测试吧。

几个问题整改，
1. 内网网络隔离或者说内网网段隔离（交换机设置或者搞个防火墙）
2. 密码策略，尽量使用统一密码认证，然后密码要求强密码
3. 电脑权限管理，非必须情况下，不授予管理员权限（其实就是最小权限原则）
4. 电脑系统尽量不要用 win10 以下，以及用自带的防病毒
5. 给他们一个错觉，公司有网络安全监控知道他们在电脑做的任何事（让他们悠着点）

最后建议找个安全公司，给你们公司员工做下安全培训。

这种内网爆破无解吧。总有一个人弱口令。

当然了，库中就不应该添加 敏感的 key 。

@jianghuan2 #3 密钥配置这类的不都变量么，写入系统变量去配置，最后即使 ush 了也没啥事

@yjxjn #34 当时刚毕业菜，而且是测试 demo 学习用的，我就直接写在配置文件 push 了。因为邮件是先发到我这里，然后我立马找组长、老大交代情况，后面检讨一下也就过去了。

我只知道曾经呆过的团队, 有人把代码贴公网了, 然后不知道他贴的源头在哪, 最要命的, 被 csdn 农场型博客给爬了, 好了, 全网搜关键字都能搜出来, 听说被项目被扣分....

@Felldeadbird 能说出口令这个词，同行。

现在搞安全的，脚本小子太多，基础太不扎实了

既然能够爆破成功，说明肯定不是最近几天才黑进去的，因为爆破可能是漏洞攻击不奏效之后的手段了。
建议整体排查一下受害范围内的主机，如检查一下 ssh-key 、/tmp 目录下的可以文件等，别被留下后门了

@daxin945 可以文件->可疑文件

还有一个事，公司的所有网站密码都不要保存到 Chrome 浏览器，要是不小心安装了个什么软件的婆姐版，其实是个病毒，人家可以直接盗走 Chrome 保存的密码和 cookie