it系统管控调研报告

一.背景二.需求案四.QA五.ref-审计六.对新4A管控疑问七.通过

可抓取信息调研一.背景省端系统花样繁多，层出不穷，甚至还有大量规划外系统。总部对省端

的实际系统的组织分布、软硬件规模以及具体的应用承载方式知之甚少，造成规划脱节、

。伴随很大的审计不确定性。二.需求自动化的方式信息，摸清省端省端

系统的基本软硬件配置、运行服务、承载应用等系统的具体情况，随时掌握系统动态；集中化展示全网 系统摸底情况；对 系统进行分析比较，发现省间差异和异常；对全网 系统的运行情况（主要是故障和性能维度）进行分析。案一2017-6-5目标机Agent采集CenterServerAdminPortal上报展示整体方案层通过

/插件通过ssh/net自登陆linux命令汇聚层指标汇聚安全告警阀值展示层信息展示安全配置问题定位审计查找方案二-20170607省端目标机IT管理扫描工具性的触点，因此在博弈局面下，想利用这个触点尽量发挥作用，方案依据：4A是总部对省端系统的具有一定强制性和实现一部分对省端系统调研甚至管控分析的功能。结果服务器4A安全2.信息同步登陆指令获取1.扫描指令提交黑盒扫描3.扫描策略选择noyes白盒扫描&业务服务探测端口分析服务探测利用yesno4.扫描策略执行AdminPortal展示4A作为触点,主要利用4A对于省端主机/虚机IP，以及账号信息可以通过IP黑盒扫描全量端口（0—65535）分析部署的服务，以及安全

。例如：

mysql:3306oracle

：1521在安全 可利用情况获取主机和其它服务的信息ssh登陆 ，直接对需求信息进行抓取上报。5.扫描结果上报分析方案二-疑问2017-06-08写特定

， 资源信息如硬盘、内存、是否虚拟机等信息。实现对省里资源信息 。该方案可以写安全处规范中的描述，是从 侧4A通过账号口令（下图红色框） 省4A，然后借助于省里的指令通道 系统资源，通过识别进程，但无法准确识别业务系统。而附件方案二中，直接从4A，判断能否获得省端目标机器登陆指令，随后进行黑盒/白盒扫描，我理解的与安全处的方案基本不同， 是要利用总部4A另起炉灶来实现资源信息吗？From云霞答：

侧4A通过账号口令 省4A，这个问题涉及对安全规范的质疑，我觉得流程应该反过来。按照现在流程，

能的通道数（指向的资源数）还是类似省端报给的，无法掌控真是的省端机器数量。4A（至鉴于以上，所谓直接从

4A，判断能否获得省端目标机器登陆指令，随后进行黑盒/白盒扫描，

所谓直接从于

4A是怎么 省端的，省端是如果做资源 细节先不

）举个例子说明：假如通过4A可以获取IP-list-A：0(1(但是怀疑其实是 IP-list-A’：0(1(202.30.56.XX()

cmcc_zb_ismp)

cmcc_zb_ismp)

cmcc_zb_ismp)

cmcc_zb_ismp)

未知123456123456123456123456未知IP-list-AIP-list-A内网IP白盒IP-list-A上执行通网段内网IP探测获取IP-list-A’探测IP-list-A&IP-list-A’取交集黑盒存在安全漏洞可被破译登陆的机器白盒方案二-疑问-2017-06-08写特定

， 资源信息如硬盘、内存、是否虚拟机等信息。实现对省里资源信息 。该方案可以写安全处规范中的描述，是从 侧4A通过账号口令（下图红色框） 省4A，然后借助于省里的指令通道 系统资源，通过识别进程，但无法准确识别业务系统。而附件方案二中，直接从4A，判断能否获得省端目标机器登陆指令，随后进行黑盒/白盒扫描，我理解的与安全处的方案基本不同， 是要利用总部4A另起炉灶来实现资源信息吗？From云霞答：该方案可以写 识别进程，但无法准确识别业务系统（O域业务）既然进程列表的都已拿到，可以根据 颁布的技术规范（当然本人不清楚规范细致到何种程度）例如：

资管服务

技术规范规定

https

端口

6233

，那么是否可以认为绑定此端口的进程就是资管业务呢。反之，扫出来进程，确实未知，端口以及其规范中可参考信息都无法定位获取。我觉得这也是一个结论，省端确实乱搞，也算审计的结果，或者进一步让省端配合弄清楚，达到管控目的。是要利用总部4A另起炉灶来实现资源信息

吗目前仅限于框架，如果《4A的资产管理子系统》

规划做了， 直接从子系统拿结果就行。如子系统对 需求不能 ，需要额外工作量，

是给4A加新需求，还是另起炉灶，看 决断我是觉得4A以外的东西，不应过多的放在4A里边。即使4A来做，不宜耦合的太多。报32

台机器，

实际 32

确实没问题。4A获取不到，是否省端需要解释一下。或者控制交换PS:另外，也可借助其它设备来定位问题。例如交换机64口，哪天突然

发现

交换机

32+1

=33

口被占用，多出的一台设备机直接 接入。主机&WEB安全扫描工具产品·Nikto：很多地方都在 ，但游侠本人实在不喜欢命令行产品……各位喜欢的或Baidu

下吧·ParosProxy：基于Java

搞的扫描工具，速度也挺快，在淘宝QA

团队博客也看到在介绍这个

。·WebScarab： 中很NB

的OWASP

出的产品，不过我看 地址的时候貌似更新挺慢·Sandcat：扫描速度很快，检查的项目也挺多。机子现在就装了这个。————·NBSI：应该说是 工具更靠谱，国内最早的，可能也是地球上最早的一批SQL

注入及后续工作利用工具，当年是黑站挂马必备……·HDSI：教主所写，支持ASP

和PHP

注入，功能就不多说了，也是 越货必备！扫描服务器上的服务器，在很长一段时：批量扫描的必备产品，通过whois间内风靡 圈。————·Nessus：当然它有商业版，不过 常用的是免费版。脆弱性评估工具，更擅长于主机、服务器、网络设备扫描。

安装实践参考：http:/

/lib/view/open1437375616506.html·NMAP：主要倾向于端口等的评估。·X-Scan：安全焦点 ，多少年过去了，依然是很强悍的产品。 天下曾经做过商业版的“游刃”，但最近已经不更新了，很可惜。其实能做评估的工具还有很多，如：·Retina

Network

Security

Scanner·LANguard

Network

Security

Scanner榕基RJ-iTop

网络隐患扫描系统不过和Nessus

和NMAP

一样，主要倾向于主机安全评估，而不是WEB

应用安全评估。但 在WEB

安全评估的时候，不可避免的要对服务器做安全扫描，因此也是必然要用的工具。自动化工具-20170607案实现流程，即基础平台。系统进行，确保系统此部分应该属于大FCAPS

里边，服务系统本身的集中化前 省市端 系统，

集中化后同样对大的健康稳定技术前提：知晓机器的IP以及登陆安全或者账号信息自动化工具：Prometheus

，Zabbix，Nagios

行业现成功能。基于上述工具，做插件定制化开发（对不能满足的需求）新4A

工具（自研）四.QARef:《GKGF-3.0.0-015

中国移动《GKGF-3.0.0-025

中国移动管控平台接口规范分册四：程序调用接管控平台接口规范分册七：全网资源术规范_20150305》管理规范_20150304

》系统的覆盖全面程度如何？Q1、4A的纳管范围是如何要求的？对答.

4A没有 其范围帐号管理，管理，认证管理，审计管理4A的那管范围用于合规管理平台、智能巡检、集中备份、各类集中操作

自行开发的

脚本等自动化程序通过

管控平台

和操作接入资源。对于各类

系统

机所使用的程序，包括收集

数据用于

呈现的程序，均不属于 范围。Q2、从4A可以 哪些有用的信息实现上述管控能力？答.可以通过4A，打开后门，对目标系统和主机进行管控实施工作。Q3、哪些需求不能通过4A

的信息解决？答：主机/服务信息不能通过4A

，

但是可以通过4A进行安全审计。Q4、从4A

信息需要哪些手续和要求？有哪些数据安全要求？网络策略方面是否可行？能否给出一个可行

方案？答：1.

遵循规范，正常获取资源 方式（目前系统尚未建立）暂无，是否取得

权限，就能部署

应用值得网络策略可行对于4A

日志可以进行

，得到系统资源被哪些账户的

，以及

频次和期间产生的故障记录等四.QA五.Ref-审计查看所有登录用户的操作历史在linux系统的环境下，不管是root用户还是其它的用户只有登陆系统后用进入操作都可以通过命令history来查看历史记录，假如一台服务器多人登陆，一天因为误操作了删除了重要的数据。这时候通过查看历史记录（命令：history）是没有什么意义了（因为history只针对登录用户下执行有效，即使root用户也无法得到其它用户histotry历史）。那有没有什么办法实现通过记录登陆后的IP地址和某用户名所操作的历史记录呢？答案：有的。通过在/etc/profile里面加入以下代码就可以实现：｛historyUSER=`whoami`USER_IP=`who

-u

am

i

2>/dev/null|

awk

'{print

$NF}'|sed

-e

's/[()]//g'`if

[

"$USER_IP"

=

""

];

thenUSER_IP=`hostname`fiif[

!

-d

/var/log/history

];thenmkdir

/var/log/historyod

777/var/log/historyfiif

[

!

-d

/var/log/history/${LOGNAME}

];

thenmkdir

/var/log/history/${LOGNAME}od300

/var/log/history/${LOGNAME}fiexport

HISTSIZE=4096DT=`date

+"%Y%m%d_%H:%M:%S"`export

HISTFILE="/var/log/history/${LOGNAME}/${USER}@${USER_IP}_$DT"od

600

/var/log/history/${LOGNAME}/*history*

2>/dev/null｝六.新4A的疑问2017-6-6总部省侧总部管控平台省管控平台省应用省侧citrix6、打开citrix

资源1、点击省

5、将ICA文件应用

发送给终端7、连接省应用请求漫游4、返回单点登录参数及ICA文件2、申请单点登录参数及ica文件10、打开应用页面3、生成ICA文件自行实现代填过程总部省侧总部管控平台省管控平台省应用1、点击省应用5、连接省应用请求漫游2、申请单点登录参数3、返回单点登录参数7、完成认证6、提交票据发起认证请求8、打开应用页面4、打开省应用资源应用系统应用系统总部用户可以通过管控平台Web门户中发布的被

省 应用通过省侧citrix，被访问省相应 应用，不需再次认证。总部用户可以通过管控平台Web门户中发布的被直接省被应用

，省相应应用，不需再次认证。关于新4A规范关键内容截取总部安全管理应用省佛山广州市指令通道1广州市指令通道2广州市指令通道3广州设备1

设备2

设备3

设备40

1

2

3区域一设备1

设备2

设备3

设备4

0

1

2

3区域三设备1

设备2

设备3

设备4

0

1

2

3区域二…………请求连接：省广州市设备0省一级指令通道一级分发广州市一级指令通道二级分发根据实际情况自行实现省一级指令通道省一级指令通道…...负载均衡省内资源 场景管控平台为自动化程序设立单独的主帐号及口令，自动化程序通过调用程序调用接口的方式被管资源时必须使用此主帐号及口令。总部由省内资源场景建立一个cmcc_zb_ismp帐号供总部

本省内资源使用，并提供唯一一个认证凭证，要求总部 程序调用的主帐号为cmcc_zb_ismp。认证凭证由省公司平台定期修改，并同步到总部，凭证信息生成规则参考“7.2

认证串生成方式”。六.新4A的疑问2017-6-6关于新4A规范关键内容截取六.新4A的疑问2017-6-6问题总结：1.

无论是流程图还是文字描述，都不能认为4A是为管控省端服务的。2.

只能算是省端给

省端资源开了个口子。而且省端随时可以关闭（当然实际不会这么干，虽然技术上可行）。如果将4A抽象成一个堡垒机的情况，那么

4A应该是堡垒机的详细的建议架构流程如下：省端APPS省端资源安全

URL指令通道4A服务安全redis账号数据库持久化日志系统-日志审计审计portal省端用户用户普通用户用户/用户系统扁平化4A系统集中化省端资源/服务透明化七.通过可抓取信息调研结合当前需求，进行深入调研实际

命令会根据目标OS以及

版本号不同做对应适配。1.OS版本-获取操作系统OS版本信息，通过INI文件得到对应参数2.网络配置--查看网卡MAC以及IP3.CPU处理器--查看处理器更改数后dmidecode

-s

system-product-name

|

grep

irtual判断是否是虚拟机。。？没有内容则为物理机。对于单核处理器，则认为是其CPU，对于多核处理器则可以是物理核、或者使各选项的含义：processor

：系统中逻辑处理器的用超线程技术虚拟的逻辑核vendor_id

：CPU制造商cpu

family

：CPU产品系列代号model

：CPU属于其系列中的哪一代的代号model

name

：CPU属于的名字及其 、主频stepcpuMHz：CPU属于制作更新版本：CPU的实际使用主频cache

size

：CPU二级缓存大小physical

id

：单个CPU的标号siblingscore

id：单个CPU逻辑物理核数：当前物理核在其所处CPU中的 ，这个 不一定连续cpu

cores

：该逻辑核所处CPU的物理核总数apicid

：用来区分不同逻辑核的 ，系统中每个逻辑核的此 必然不同，此 不一定连续fpu

：是否具有浮点运算单元（Floating

Point

Unit）fpu_exception

：是否支持浮点计算异常cpuid

level

：执行cpuid指令前，eax寄存器中的值，根据不同的值cpuid指令会返回不同的内容wpflags：表明当前CPU是否在内核态支持对用户空间的写保护（Write

Protection）：当前CPU支持的功能bogomips

：在系统内核启动时粗略测算的CPU速度（Million

Instructions

Per

Second）clflush

size

：每次刷新缓存的大小单位cache_alignment

：缓存地址对齐单位addresssizes

：可 地址空间位数4.

内存—资源获取单位是MB测试主机是虚拟机，只是分配了1G5.

磁盘—资源获取6.网络—资源获取当然还能计算某个服务端口当前

数，

下图是我打开火狐浏览器前后，针对

80端口的前后 数统计示例（瞬时）7.进程—进程名称，资源消耗，详细信息Name

应用程序或命令的名字State

任务的状态，运行/睡眠/僵死/SleepAVG

任务的平均等待时间(以nanosecond为单位)，交互式任务因为休眠次数多、时间长，它们的sleep_avg

也会相应地更大一些，所以计算出来的优先级也会相应高一些。Tgid

线程组号Pid

任务IDPpid

父进程IDTracerPid

接收 该进程信息的进程的ID号_vm)，其中total_vm为进程的地址空间的大小，

_v