云计算发展趋势强劲,不管是 AWS 还是阿里云,目前提供的云计算产品都非常多,对象存储作为基础四大件之一,所有云厂商都有提供,但是在权限设置上如果不够规范,将酝酿出巨大的安全风险。
开发人员在使用对象存储时往往并不具备运维人员的安全思维,所以在权限配置看似小事的事情上,难免会有所疏忽。
以阿里云为例,开通阿里云 OSS 服务后,若要存储文件,首先需要创建存储空间Bucket。OSS 的 Bucket 有 3 种读写权限:私有、公共读和公共读写。如果开发人员在配置权限时,将核心代码以及重要数据所在的 bucket 设置为“公共读”甚至“公共读写”,那就意味着,任何人,甚至是敌对公司将有权对该存储空间的文件进行任意操作,可以写入数据,这有可能会造成您数据的外泄以及因为数据写入带来的费用的激增,若被人恶意写入违法信息还可能会侵害您的合法权益。其实如无特殊场景,是不建议配置公共读写权限。如果希望让文件可以通过互联网被任何用户访问,只需要配置公共读权限即可。
可是这些细节点,真的很难被一一发现。可能这个oss的bucket压根都不是我开的,或者之前开的人离职了,也没有交接(谁离职时还记得曾经开过一个bucket)。接手的人就悲剧了。
今天为大家准备了一个终端 oss 管理工具,GitHub 开源,阿里云官方出品,OSS Browser。可以像Windows 的资源管理器功能一样管理您的 OSS。浏览、上传下载、支持断点续传等.
主要功能有:
登录:支持AK登录和授权码登录。
- Bucket管理:新建bucket,删除 bucket,bucket 权限修改,碎片管理。
- 文件管理:目录(包括 bucket )和文件的增删改查, 复制, 文件预览等。
- 文件传输任务管理: 上传下载,断点续传。
- 地址栏功能(支持oss://协议URL,浏览历史前进后退,保存书签)
- 授权功能: 简化RAM Policy授权。
- 生成授权码: STS临时授权。
GitHub 地址:https://github.com/aliyun/oss-browser
即使抛开接手满是风险的环境,每天检查各种服务器、域名、数据库情况实在是太耗时耗力了,而且枯燥无味,最重要还时刻有“背锅”的风险,不过近期发现有个工具能让这件事变的简单的工具,叫“王教授”,特地推荐出来。
它拥有监控功能的“先见”系统,针对中大型企业在公有云平台上的云资源、主机资源,应用系统、主流商业软件,提供自动检测与诊断。包括云平台、云主机、常用 Web 中间件如 IIS、Apache、Tomcat、Nginx、PHP-F 等的自动检测与诊断,以及主流商业套件如 Mongo 集群,Oracle 数据库集群,SAP 集群等的综合检测与诊断。
不仅能轻松发现不合理的配置风险,同时也能在主机内存不足、域名到期等重要时间节点发起通知,而且目前支持主流的云,如阿里云、腾讯云、AWS.
如果没有使用王教授,在运维时没有及时发现这一问题,在 oss 泄露之时,便是人在家中坐,锅从天上来。与其等待亡羊补牢那一刻,这个及时的提醒,“您的 OSS 存在公共读写权限的 Bucket”避免风险的酿成,避免猝不及防的“飞来横锅”,对于我们的运维同学确实是非常的有用。
但是目前王教授的检测项只有 600多项,还不是特别完善,但是对比去云管理控制台去一样样的查询检查,也已经省时省力不少了。据说会在之后更新到5000+,这样感觉就能更多依赖王教授来发现问题,为运维同学省下了不少时间呢。
王教授官网:https://www.prof.wang
如果大家有什么类似的工具软件,请一定要分享给同在运维第一线的苦逼小编。
网站崩溃找不到原因?平台搭建无从下手?热门技术不想落伍?想要变强找不到资料?
加入[IT拯救联盟]社群,让大牛和同伴拯救你,带你装x带你飞。群里有定期干货分享、大牛专业解答、实用IT工具优选.....
私信小编“联盟”,即可加入我们~
本文暂时没有评论,来添加一个吧(●'◡'●)