V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
牛客网
huahuacui
V2EX  ›  程序员

对于微盟事件,怎么来做权限管控呢????

  •  
  •   huahuacui · 232 天前 · 7338 次点击
    这是一个创建于 232 天前的主题,其中的信息可能已经有所发展或是发生改变。

    现在很多公司开始重视运维了,大家有啥权限管控的建议,大家集思广益一下。

    92 条回复    2020-03-06 14:17:57 +08:00
    Ravenddd
        1
    Ravenddd   232 天前   ❤️ 41
    员工钱多一点,高管管好自己❀鸡
    augustheart
        2
    augustheart   232 天前
    只能像电影里面管核弹一样了,左右两个人同时转按钮。
    否则无论用什么方法,最后肯定有一个人能独立删空你的库。
    b821025551b
        3
    b821025551b   232 天前
    多服务商下多 root 账户备份吧。
    ifxo
        4
    ifxo   232 天前
    没办法,主要还是对员工好一点
    mytsing520
        5
    mytsing520   232 天前
    权限最小化
    huahuacui
        6
    huahuacui   232 天前
    @b821025551b 可以
    huahuacui
        7
    huahuacui   232 天前
    @mytsing520 就是权限隔离
    huahuacui
        8
    huahuacui   232 天前
    @Ravenddd 哈哈哈 你这个到位
    Vegetable
        9
    Vegetable   232 天前
    三权分立。
    ThirdFlame
        10
    ThirdFlame   232 天前
    双 dba 各自负责一套独立的备份。

    就算不能删库,有 update 权限,覆盖一遍 岂不是也是爽歪歪。
    mytsing520
        11
    mytsing520   232 天前
    再加一条,危险命令高管二次确认
    huahuacui
        12
    huahuacui   232 天前
    就是高危操作权限审批
    murmur
        13
    murmur   232 天前
    多重要的数据就有多少备份,不过微盟也是没办法,不自建机房,腾讯投资,那只能相信腾讯云了,现在的结果不也是放弃自建直接上云数据库么
    greed1is9good
        14
    greed1is9good   232 天前 via Android   ❤️ 5
    这个事的教训难道不应该是“千万不要绿手下的技术人员”吗?
    realpg
        15
    realpg   232 天前
    15 年运维 没怎么在大公司呆过 但是我经历的项目规模、项目紧要程度比大部分大公司牛逼运维大佬要多很多……

    最开始微盟出事,V2 帖子里有个自称微盟运维的一顿洗 什么运维就有 root 权限 无法阻止什么的 我只能笑笑不说话


    现在大公司的运维体系,就是炒概念,谈量级,各种虚的。

    甚至都不如我 200X 年刚入行时候单凭自己脑袋设计出来的运维体系。

    公司运维就能管所有服务器,包括硬性不可覆盖不可手动删除全量冷备(不好意思 因为各种大厂运维讲座都不讲这个,高端大佬讲座也不提,他们都不知道有这个)不能让运维团队管理这种事儿都不知道。
    passerbytiny
        16
    passerbytiny   232 天前   ❤️ 3
    像神盾局那样,多级权限层层控制,最后搞得被九头蛇层层渗透,能出现局长都没权限的东西。
    像宋朝皇帝管外派将军那样,排监军时刻监视,结果一打仗就输。
    像东汉末年搞黄巾军那样,让州牧刺史因地制宜自行处理,结果刺史个个成了主公。

    这事不是让运维管控全公司,而是公司管控运维,还靠权限管控,那是在闹笑话。

    大概能行的就一句古话:疑人不用,用人不疑。
    xiaocongcong
        17
    xiaocongcong   232 天前
    卧槽,原来是这个原因。怪不这关键时期我们公司的微信小程序隔两天就挂了,一看是微盟提供的技术支持。。。
    iConnect
        18
    iConnect   232 天前 via Android
    注入脏数据才是最困难的,备份都脏了没法恢复。这种激情删库稍微加强备份和权限管理就 OK 啦
    nelujah
        19
    nelujah   232 天前
    给 2 个员工每人发一半的大饼,等两半大饼拼在一起的时候才能开始删库
    TypeError
        20
    TypeError   232 天前
    Zerotrust ?
    谷歌在被极光行动攻击以后搞了个 BeyondCorp,不依赖传统的 VPN 控制,

    鉴权之后更深的权限管理也不知道有没有最佳实践
    wtks1
        21
    wtks1   232 天前 via Android   ❤️ 1
    想我们这敏感操作要金库审批,搞得奇烦无比,上传个文件部署东西感觉跟上传到月球一样,层层跳转,还不能下载任何东西,根本没法下载日志调试,只能在线看日志情况,很多人吐槽这是不想让我们干活了
    wenzichel
        22
    wenzichel   232 天前
    1. 对员工好点;
    2. 权限分离:操作权限、审批权限,多设备权限分支;
    3. 备份:多重备份,设置不同的备份权限
    defunct9
        23
    defunct9   232 天前
    无解。运维拥有最高权限,无法控制
    anyele
        24
    anyele   232 天前
    @realpg #14 说实话, 你嘲讽了半天,我没看懂你的牛逼方案在哪
    mayx
        25
    mayx   232 天前 via Android
    权限都是运维管的,那只能管运维
    outoftimeerror
        26
    outoftimeerror   232 天前   ❤️ 1
    老板自学运维。
    tuding
        27
    tuding   232 天前
    好多公司都不重视运维。就说我前东家吧,公司有三百号员工,user 表有上千万条记录,运维只有 2 个人,更滑鸡的是没有运维部门,这两个人一会儿挂在市场部,一会儿挂在运营部,好歹挂个技术部门吧。需要找人背锅的时候就想起运维了。尽管如此,还要负责全公司的网络维护和电脑维护。完全是瞎搞

    我的建议是加人,钱给够,写 SOP,权限最小化,有自己的一套管理系统。
    V69EX
        28
    V69EX   232 天前
    公司老板自己当运维呗,否则无论怎么搞,都是避免不了的,堡垒最容易从内部攻破,方法多了去了……
    V69EX
        29
    V69EX   232 天前
    @outoftimeerror 我晕,刚发同样的,一回复,发现被你先说了~~~
    webshe11
        30
    webshe11   232 天前
    最高职位老板,亲自删库,亲自跑路
    lc7029
        31
    lc7029   232 天前
    1,堡垒机
    2,数据库审计
    不过,你能防住运维进机房用锤子砸服务器吗?
    kamushin
        32
    kamushin   232 天前
    对于小公司, 指不愿意组织一个年薪加起来 2000w 以上的团队来维护这个事情的, 多备份吧。。
    大公司么, 应该都慢慢在做了
    wisdom
        33
    wisdom   232 天前
    负责任的 ciso 都会做零信任设计的吧。
    xiaoxinshiwo
        34
    xiaoxinshiwo   232 天前
    @nelujah #19 这不是虎符吗
    LokiSharp
        35
    LokiSharp   232 天前 via iPhone
    多备份而且给不同的人分管备份权限
    OneMan
        36
    OneMan   232 天前
    @realpg 你有什么高招呢
    nelujah
        37
    nelujah   232 天前
    @xiaoxinshiwo 饼符
    dxgfalcongbit
        38
    dxgfalcongbit   232 天前
    我觉得老板自己应该有一个最顶级的帐号吧?然后一些重要操作需要由老板帐号批准,就像签合同需要老板签字或者使用公司公章一样的道理。

    @greed1is9good 绿的出处是哪?
    x340
        39
    x340   232 天前
    公司解散。
    whp1473
        40
    whp1473   232 天前   ❤️ 5
    一、中小公司
    (1)多备份
    (2)钱给够
    (3)心别受委屈了(杀父 夺妻)
    (4)备份存储独立服务器,CEO 掌管密码
    中小公司有的运维就几个人,甚至开发兼职,管理层不懂技术,这种真想删,挡也挡不住,连备份都能一起删了。
    二、大公司
    (1)独立备份服务器,只有最高层有权限,运维都不能有。或者另一个运维团队管数据备份。
    (2)细化权限,至少别让普通开发人员删库跑路
    (3)增加备份频率
    (4)做到账号一人一个,删了你也好找,有些公司有公用账号,删了都不知道谁。
    (5)钱给够 别让员工受太大委屈
    三、做一个理智的运维~
    0.获得公共账号,多跳板机访问
    1.应该先删除备份的所有数据
    2.然后再删除 binlog 日志
    3.然后再删除从库
    4.然后再删除主库
    5.然后再使用文件粉碎机 或 手动填满磁盘垃圾文件后删除。覆盖磁盘防止数据找回
    6.清除服务器操作日志
    7.找到 git maven confluence 所在服务器,重复执行以删除 覆盖操作
    8.云服务器记得释放实例
    hyshuang2006
        41
    hyshuang2006   232 天前   ❤️ 1
    这是人造成的问题,管好人,自然意外少。即便没权限,当事人可以去到机房,照样可以破坏。
    假如层层设防,最高权限的是老板;实际上老板是打工的,和大股东闹矛盾,一恼火删库,还是会出事。
    Mogamigawa
        42
    Mogamigawa   232 天前
    @iConnect
    学习了, 下次删库先注入脏数据, 再删数据库, 然后覆写硬盘, 最后删系统
    get ✓
    nrtEBH
        43
    nrtEBH   232 天前
    高危权限审批 原则上不允许删除命令
    AWS S3 支持一次写入永不删除 做好备份不至于让人一锅端了
    arcaitan
        44
    arcaitan   232 天前
    冷热备份。
    权限多维。

    不同备份的 root 权限在不同角色手里。
    重要角色不允许同一个人兼任。

    当然最重要的,把任何员工当人看。
    lscho
        45
    lscho   232 天前 via iPhone
    @Mogamigawa 再加一条,删库脚本提前半年写好,设定时间执行,期间写一个脚本每天随机修改少部分关键数据。。。。
    salamanderMH
        46
    salamanderMH   232 天前 via Android
    别伤人心就行了。
    loryyang
        47
    loryyang   232 天前
    注意备份啊,备份没有权限删除。删库挡不住的,你禁止直接上机器删,人家在应用里面写段代码也一样删,拦不住的。大公司都很难做到所有漏洞都堵住,更不用说小一点的公司了
    aoxiansheng
        48
    aoxiansheng   232 天前 via iPhone
    得跟原子弹攻击一样,得三个人在,一人掌握密码的一部分。哈哈哈。纯 YY。
    wanguorui123
        49
    wanguorui123   232 天前
    泄露用户数据才是最可怕的
    18ac0877
        50
    18ac0877   232 天前
    @Mogamigawa
    @lscho

    你们两个都是坏人,俺们是好人,俺们是遵纪守法的好人,俺们好人的做法是:

    如果业务规则 A、B、C 同时,就会出现少量的数据错误,这个错误数据是没有业务规则监控的,这个发生的概率是几个月才能发生一次的,这个是程序 bug,不负法律责任的。
    cnkuner
        51
    cnkuner   232 天前 via Android
    重要数据强制备份 6 个月,不可删除。
    hsddszjs
        52
    hsddszjs   232 天前 via iPhone
    备份 审计 秘密共享 Shamir
    alcarl
        53
    alcarl   232 天前 via Android
    砍掉危险的远程操作的权限
    降低操作基础设施的频率,增加制度需多人同时操作,以及多因素登录验证,因素分人存放
    更新和操作通过运维系统编写脚本自动执行,增加脚本提交后的审核机制
    sobigfish
        54
    sobigfish   232 天前
    很早以前 v2 有个相机 app 招聘帖 贴主拿可以看用户妹子的手机号 吹嘘~(找不到这贴了 好想找到)
    这就充分暴露其没有划分最小权限的结果, 和对隐私视若无物的无知
    sobigfish
        55
    sobigfish   232 天前
    重要操作,删数表 /据库等 加个 2fa 的验证,要求 2 名运维的 2fa,或者主管的(软 /硬) key

    类似银行的交叉认证,会好很多吧
    当然银行没实行这些前 也有资金被盗的记录
    rrfeng
        56
    rrfeng   232 天前   ❤️ 1
    纸上谈兵罢了,权限漏洞不是一两个人、一两天能补上的。

    我敢保证现在 90% 的互联网公司,都有至少一个人具有破坏性的权限,可能他自己不知道,可能他自己不会用,可能他自己有良知。

    所谓的权限最小化,成本(技术、管理、以及影响效率)高的飞起……这才是大家都没搞的原因。

    到头来你只能相信大部分人。

    就跟你拿刀随便去砍人一样,没人限制你不能砍,只是你会坐牢所以不做。
    cwyalpha
        57
    cwyalpha   232 天前 via iPhone
    金融系统是所有数据全部异地+物理磁带库备份
    yankebupt
        58
    yankebupt   232 天前
    看標題還在想這是有多大的數據量都沒有 Journal 型存儲裸奔麼,然後搜了一下新聞說 7 天就找回來了,確實是有的。
    看來只是恢復便捷性上沒有刻意去做或者做了犧牲。
    這就不知道了,因爲完全不熟。
    wupher
        59
    wupher   232 天前
    然后呢?高管们以后外遇下属人妻再无后顾之忧?

    然而又有几位高管还能敲命令,写脚本,开远程?最终也是把权限分散到 A 工程师 B 工程师 C 工程师。然后出事 A B C 一锅端。

    让我想起处理李 WenLiA 的 Officer。他其实也是小人物,受了上司或者领导的指派。他有亲人或者朋友不幸染病吗?他内心有后悔吗?
    aulia
        60
    aulia   232 天前 via iPhone
    感觉这次没有做异地备份就很有问题了,包括数据本地和备份一份在云能缓冲很多时间
    Jooooooooo
        61
    Jooooooooo   232 天前
    有备份能解决一大部分的问题

    比如每个小时定期备份数据, 就算删库也大概丢失这一小时的数据
    cyspy
        62
    cyspy   232 天前
    删库的哥们好像本来权限就挺高,只能强制交叉 review 了
    kajweb
        63
    kajweb   232 天前
    @mytsing520 遇到突发情况咋整。
    stabc
        64
    stabc   232 天前
    增量备份可以 0 数据丢失,哪怕 update。
    HangoX
        65
    HangoX   232 天前   ❤️ 1
    我看是效益问题,这个东西不出事的时候谁也不觉得很重要反而觉得很麻烦,你一开始弄好了,没有事情发生,很多人认为这个东西就是没有用的,浪费时间和金钱,所以还是出事了再弄比较名正言顺
    Kagari
        66
    Kagari   232 天前 via Android
    我记得以前在逼乎看删库跑路的话题时说有人讲他以前的公司领导人品很差,前 2 任跳槽了,然后顶上的暴躁老哥后面删库跑路了。我寻思这算不算是破坏生产工具
    sneezry
        67
    sneezry   231 天前 via iPhone
    访问生产环境使用专门的开发机,并且访问数据需要直接经理批准
    xenme
        68
    xenme   231 天前 via iPhone
    首先,公司得够大,否则就是一人管所有。
    1. 够大后,运维都是分开的,数据库存储以及备份数据都是不同的人管,你没法彻底删除所有数据,可以随时恢复
    2. 够大后,各种操作都标准化了,日常维护都需要 qa 测试,然后审批才能 uat 和 prod 变更,而且变更不是你手动操作,而且专用数据库系统自动变更,应用自动切换
    3. 监控:所有的变更都会记录并审计,非标准变更根据项目以及安全团队的需求,会 trigger 各种 alert 并通知到各级别运维
    4. 其他就不多讲了,其实到了某种行业某种级别,各种问题都是能预防和解决的
    fuchunliu
        69
    fuchunliu   231 天前 via Android
    @nelujah 要是加班到半夜,吃了一口咋整
    xy2020
        70
    xy2020   231 天前
    1、如果不是 CIO、CTO 及以上级别,谈这个没用;
    2、如果是 CIO、CTO 及以上级别,技术上的手段都是可以忽视的,只要做好 2 条:
    a、有管理权限的岗位薪资待遇上属于公司中上级;
    b、有管理权限的岗位人员每个月做一次法制教育;
    nelujah
        71
    nelujah   231 天前
    @fuchunliu 紧急事件,重罚吃饼员工,宣布另一半饼作废,重新画一个新饼
    NoKey
        72
    NoKey   231 天前
    看了上面各位大佬的回复
    小弟有些不明白的,请教一下。
    上面有说权限审批的,这个在我们这里也有审批,但是那只是一个流程,运维要删除数据,可以不管审批结果,直接上机器删,因为账号密码他是有的。除非是在流程审批完成后,生成一个账号密码给他。

    想了一下,要避免这个问题,大概就是多地备份加多个云备份,不同机器不同管理员,除非公司做的人神共愤,不然很难出现几个人联合起来一起删库。
    就算这样,备份不可能实时的,总有时差,数据不敏感的业务倒没什么,数据丢了,从备份恢复。
    如果是数据很敏感的,怎么办。

    可能到头来,还是需要加强员工法制教育,企业关怀,人文关怀。。。
    dreamage
        73
    dreamage   231 天前   ❤️ 1
    我司绝对不会出现删备份库的情况,因为没有备份……
    st2udio
        74
    st2udio   231 天前
    我们有磁带备份,只能去仓库放火了
    raptor
        75
    raptor   231 天前
    这种事情说起来,可能是微盟以前的运维干得还不错,或者运气好,没出过什么大事,当然可能是领导心太大,以前出过事也没当回事。

    正常的公司在发展过程中,肯定是会有时不时发生运维事故的时候,开始都是小事故,只要重视起来,把问题一点点补上,很少会忽然出大事故。

    微盟这种公司有可能以前从来没出过小事故吗?感觉不太可能,所以结论就是领导心大,活该。
    camillo
        76
    camillo   231 天前
    话说这次删库是因为绿化该运维头部导致的 有实锤吗?除了那张 iPad 微信朋友圈截图之外 怎么一点后续的新瓜也没有
    luzihang
        77
    luzihang   231 天前
    @camillo 员工贷款太多还不上,疫情没回家,抑郁,想吃牢饭解脱了
    xabc
        78
    xabc   231 天前
    有多异地备份就行,除非你的数据永远不需要人为干预,那么总要有人有权限操作这些数据,那么这个人就会有破坏数据的可能性,所以备份就行了
    leonard916
        79
    leonard916   231 天前
    自動運帷可以最大程度的減少這類事件。
    sobigfish
        80
    sobigfish   231 天前
    @luzihang #73 看来高权限的人心理评估也得抓上去 😂 doge
    类似小蝌蚪找爸爸的《星际探索》里那样
    bilibiliCXK
        81
    bilibiliCXK   231 天前
    现在的女人也真是的,不守妇道,都有老公了,
    mostkia
        82
    mostkia   231 天前
    公司到了一定规模的话,可以请两个 dba,各自异地容灾备份一份数据库。这样就算一个暴走了,那数据就还有救,当然,最重要的是对员工有起码的尊重,也不说好要对员工有多好,那不太现实。但睡别人老婆算什么?不删你库删谁的?这样的公司管理层,再多请几个员工容灾也没用。
    victor
        83
    victor   231 天前
    公司不要雇佣别的人,全都自己干
    zxcslove
        84
    zxcslove   231 天前
    按照高管的思维,难道不是给重要岗位人员一些股份?
    magiclz233
        85
    magiclz233   231 天前
    这种没办法的,除非你删库权限只给领导自己一个人知道账号,或者可以搞成多人的权限,比如有三个账号给三个人,只有三个人全部同意删库的时候,才能删。
    leonardyang
        86
    leonardyang   231 天前
    微盟事件对权限管控没有什么指导意义,说直接点这个就是触犯信息安全法的犯罪行为,99.999%的人都会威慑于会坐牢的结果不敢实施,如果你的权限控制要达到防止这种事情的程度,那基本也干不了日常工作了
    huahuacui
        87
    huahuacui   231 天前
    @whp1473 可以
    qlhai
        88
    qlhai   231 天前
    还是对员工好点吧
    shaohan0228
        89
    shaohan0228   231 天前
    没用 有文中这种权限的可能本身就是审批权限的人
    要刻意干公司的时候 总能造成损失
    artandlol
        90
    artandlol   231 天前 via Android
    @ThirdFlame 这个可操性比较强。其他的说控制权限,如果你不觉得烦可以试试,运维几乎每个命令都是高危的,怎么去管。
    mywaiting
        91
    mywaiting   231 天前
    说到底其实就是个信任的问题,这样的问题曾经无数次在脑袋里互相战斗过

    只能说,这问题无法完全解决,只能缓解

    因为任何一个系统里面最后至少会有一个人有上帝视觉(操作 /权限)的,绝对无可避免

    说过解决方案:

    现在的磁带多便宜啊,就微盟那点数据,一天一盘磁带根本就不是什么事情,一年 365 盘磁带,保存个几年也不是什么问题啊。

    只是这事情,有人要想到也要有人去做

    备份是什么鬼?有我股价重要?捞钱最重要啊,说什么改变世界都是扯蛋

    都是屁股决定脑袋吧
    gitopen
        92
    gitopen   230 天前
    @augustheart #2 root 密码分两部分啊~前 6 位一个人知道后 6 位另一个人知道~🙃️
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1053 人在线   最高记录 5168   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 21:04 · PVG 05:04 · LAX 14:04 · JFK 17:04
    ♥ Do have faith in what you're doing.