緊急通過saltstack漏洞獲取root許可權

【緊急】通過saltstack漏洞獲取root許可權

the more you know the more you know you don』t know

近期開源的集群管理工具saltstack爆出cvss得分為10分的漏洞如果你對cvss的評分沒有概念，那麼前幾年震驚網際網路圈的openssl心臟滴血漏洞，cvss base評分為5.0，由此可知道近期爆出來的saltsatck漏洞有多麼嚴重

漏洞 cve-2020-11651 and cve-2020-11652

攻擊者可以通過漏洞控制saltstack-master並傳送指令，控制在資料中心或者雲環境中的各個minion節點

該漏洞是f-secure研究人員在3月份發現的，目前該漏洞已經在最新版本被修復

本次是兩個不同的漏洞導致，乙個是身份驗證繞過漏洞，乙個是目錄遍歷漏洞沒有過濾掉不受信任的輸入，從而導致攻擊者可以不受限制的訪問salt-master的整個檔案系統

將salt-stack版本更新至最新版本

新增acl控制，禁止其他使用者訪問salt-master的4505、4506埠

如果可能最好將其設定在內網，目前salt-stack的對於身份驗證和鑑權還不足以安全的將其暴露在公網

漏洞爆出後，saltstack催促使用者盡快應用saltstack的推薦管理方案

如果你不想看英文，沒關係我幫你翻譯一下：

系統的技巧

1. 限制可以登入到salt-master的人員 2. 登入saltstack-master通過ssh金鑰登入，並在金鑰中新增密碼驗證 3. 妥善保管好你的ssh私鑰 4. 通過堡壘機或者vpn來登入salt-master 5. 限制對外暴露的埠的範圍 6. 保持系統補丁更新 7. 將安全提高到高優先順序列表中 8. 使用防火牆

salt的技巧

1. 訂閱salt官方的通告，以便接收最新的通知 2. 使用salt acl系統來限制salt-minion的root許可權 3. 使用salt acl系統來限制salt-minion可以執行哪些命令 4. 使用外部的pillar管理工具來替代登入到系統中修改檔案的方式 5. 將sls檔案通過版本控制工具管理起來，並經過評審後在生產環境中執行 6. 如果要將salt-master暴露給外部服務，要用salt-api\ssl並通過驗證 7. salt-minion通過event系統和reactor來向master通訊，而不是直接訪問salt-master 8. salt-master執行在非root使用者下 9. 禁用部分模組載入到minion上，例如cmd模組 10. 閱讀完所有的master和minion的注釋，其中有大量關於安全防護的說明 11. 特別敏感的minion可以執行在無主環境，通過salt-ssh或者modules.sudo模組來進一步控制 12. 監控salt的日誌

對於運維人員來說，安全是非常重要的乙個環節，維護生產環境必須遵守許可權最小化的思想，即使這可能給你添了一些麻煩，但相比於資料洩密、資料丟失，提前預防的代價還是要小很多。本次漏洞級別雖然比較高，但是在日常運維工作中已經控制了埠的訪問許可權，那麼本次漏洞你只需要排期更新salt版本即可

緊急通過saltstack漏洞獲取root許可權

手工清除Saltstack漏洞導致的挖礦病毒

Linux Glibc幽靈漏洞緊急修補方案

Linux Bash嚴重漏洞緊急修復方案

緊急 通過saltstack漏洞獲取root許可權

手工清除Saltstack漏洞導致的挖礦病毒

Linux Glibc幽靈漏洞緊急修補方案

Linux Bash嚴重漏洞緊急修復方案

相關推薦

緊急通過saltstack漏洞獲取root許可權