【牧云】牧云（CloudWalker）主机安全管理平台产品自身的安全性

产品自身的安全性产品自身的安全性

安全产品自身的安全性是一个备受关注的话题，尤其是作为主机安全产品，由于管理着所有服务器，一旦被攻击者控制，所有服务器均有风险。

服务端的安全性

管理界面使用 mvvm 框架开发，可避免 xss 等前端安全风险
管理服务全面使用 orm 对数据库进行访问，可避免引入 sql 注入漏洞
管理服务使用 golang 开发，可避免大部分中间件安全风险

管理员身份的安全性

可配置不同管理员在后台的操作权限，有效限制提权限管理员
可配置不同管理员对于不同主机的管理权限，有效限制管理员可访问的数据范围
提供了管理员二次认证机制，采用随机密码来对抗暴力破解与弱口令带来的安全风险支持使用 oauth 等第三方集中认证机制，提升账号的安全性

探针的安全性

探针与服务端采用加密通信，可避免遭受中间人攻击
探针与服务端采用单向连接方式，探针本身不监听任何端口，可大大降低被远程攻击的可能性
探针更新升级包会经过私钥签名再发布，因此无法通过伪造升级包的方式给探针下发更新指令
探针使用非root权限运行，使探针行为有效可控

探针非root权限问题

作为主机安全产品最核心的部分，探针面临的风险和挑战也最大，探针自身的任何异常都有可能影响到操作系统稳定性，甚至产生严重的安全风险。因此探针的运行权限是大部分使用者最关心的问题之一。主机安全管理平台探针以非 root 方式运行，一方面可以避免意外导致系统稳定性受到挑战，另一方面也是对于安全性的有效保证。Linux 内核在 2.1 版本以后引入了 capability 机制，他打破了原有超级用户与普通用户严格区分的限制，使普通用户也可以完成部分特权操作。主机安全管理平台探针使用 capability 在探针安装阶段对探针进行授权，使探针具有完整的对操作系统监控的能力。同时确保探针在运行阶段即使发生异常，也不会做超出能力范围之外的事情，从而保证了业务负载的稳定性和探针自身的安全性。