在家沒事做，根據自己十幾年工作經驗，寫篇隨筆。(不是公司培訓也不是公司要求，是自己行業經驗）

運維老炮心得

運維工程師作為公司數字資產的守護者，信息安全很重要。

1.筆記本電腦做運維工程師的工作電腦的時候記得給bios進入和開機bios加個密碼，bios密碼要有管理員密碼和普通系統密碼。防止筆記本遺失。dell筆記本電腦可以在bios-pw網站查詢到bios超級密碼，其實就是廠商密碼，萬用密碼，這個密碼跟筆記本電腦序列號有關。

2.筆記本電腦需要在bios里給硬盤加一個硬盤鎖，商業筆記本一般都有這個功能。這個硬盤鎖存在master密碼，在網上可以查詢到，如果你的硬盤是新加的或者換過的一般就查不到master密碼，用的硬盤master密碼跟型號有關，是固定的，有的跟硬盤序列號有關。有的master密碼可以改，有的不能。給硬盤加硬盤鎖也是為了防止電腦遺失，被人取出硬盤盜取數據。dell筆記本原廠硬盤的硬盤鎖master密碼可以在bios-pw網站查詢到。

3.操作系統文件系統加密，linux和windows都自帶這個功能，存在一個缺陷，無論windows還是linux的操作系統文件系統加密都是無法對引導分區加密的，比如efi分區，所以可以通過把硬盤掛載到其他系統上，修改替換引導啟動程序來截獲密鑰。還可以取得備份密鑰來解鎖。

4.少用云系統和云服務來管理自己筆記本電腦上的資料信息，比如我現在用的蘋果備忘錄，數據就存在貴州服務器，肯定會有其他人偷看。存在這個蘋果備忘錄和icloud賬號上就不安全。加上手機隨身帶相當于數據隨身帶，手機驗證碼也很容易被人截獲，造成云賬號和云數據的泄密。

5.指紋識別和人臉識別并不可靠，人只有10根手指，10個不變的指紋，人臉不整形也不會改變，很容易在外出差，或者是摸粘手的東西被人盜取指紋制作指模。人臉也可能被在外出差或旅游睡著的時候用膜進行克隆制作臉膜，指模和臉膜現在都可以加載類似生物電和加溫散發紅外線。所以生物識別其實并不可靠。掌紋一樣，虹膜未知。但是即便是虹膜也避免不了人被控制，強制解鎖。所以最好的認證是密碼作認證，且只存在于大腦中，不在任何電子設備和紙張上做記錄。在預知到危險時可以提前服用引起電解質紊亂的藥物，不糾正電解質的情況下會造成記憶假性遺失，即便在被控制審訊的情況下也無法說出密碼，因為當時是真的忘了?？稍谑潞笞孕蟹盟幬锛m正電解質來恢復記憶。引起電解質紊亂的藥物有利尿劑、導泄劑、催吐劑，也可以大量服用含有某種元素的藥物，或者催汗劑。

6.資本的力量，權力的力量，使用哪家的硬件和軟件相當于把數據交給了這家硬件廠商和軟件廠商，如果供職一家公司，對手公司甚至對手勢力，對手集團，對手資本、對手國家的軟件硬件都不要使用，這里不單指裝在自己硬件上的軟件，對手造的硬件和含有對手造的芯片的硬件，也包含使用的對方的云服務。即便使用己方的軟硬件，也可能這些軟硬件技術提供商，技術供應商都有對手陣營的技術原件，造成后門。

7.全供應鏈安全。比如硬件考慮主板bios和主板加密芯片、硬盤芯片、cpu是否是對手陣營造的，肯定存在后門。軟件一樣，用開源解決替代方案的時候考慮軟件生產的全鏈路采用己方軟件，從可視化代碼編輯器ide，到編譯工具，都要采用己方的，防止在編輯和編譯軟件的軟件生產流程中被插入后門代碼。既要編譯的源代碼是沒有這些后門的，但是通過對手陣營的代碼編輯器編輯或者對手陣營的編譯器編譯，編譯后的程序就有后門了。

8.操作系統陣營的選擇，除了看開源閉源還要看是誰用什么編譯器什么環境編譯的。編譯的人，編譯器，編譯環境，3者都跟目標編譯結果是否有后門相關聯。

9.windows在系統自帶的沙箱軟件sandbox下運行社交軟件，即時通訊軟件。想要系統開銷小一點可以用sandboxie這款第三方沙箱軟件，但是安全性沒windows系統自帶的沙箱高。

10.用windows自帶殺毒軟件。記得關閉自動上傳樣本。

11.linux做桌面系統，在安卓容器和wine模擬器下運行程序相對安全點。linux也不容易中毒。做運維工程師辦公桌面也不錯，缺點是rdp工具不支持ssp加密。

12.小心站在屏幕背后的人，手機和電腦屏幕要貼防窺膜，但是還要防止旁邊的人用手機攝像頭錄下你手指的操作，手指點擊手機屏幕的大致位置和手指敲擊電腦鍵盤的動作，然后用慢速播放視頻還原敲擊的密碼。

13.密碼輸入完被人打斷叫走，后電腦被控制用了軟件自帶的顯示密碼功能，被你后面的人看到密碼。

14.密碼加密鑰，密碼加二次身份驗證要安全得多。

15.必要可以使用硬件密鑰，硬件令牌，加密狗。

16.密碼要用本地庫的密碼加密保存軟件來加密保存。比如keepass。

17.瀏覽器使用匿名隱私模式，免得被人拿到cookie.和歷史記錄。別用操作系統自帶瀏覽器和操作系統自帶軟件倉庫的瀏覽器。

18.使用防止截屏軟件，截屏的時候會黑屏。

19.出差或者出去旅游的時候在外住宿，小心有人夜里進來給你提前服用吐真劑，再利用引導式催眠讓你說出密碼。吐真劑有平替的藥物-麻藥，某寶能買到。

20.小心輸入法程序泄密。輸入法程序知道你輸入的所有字符和文字，并上傳到服務器。小心選擇輸入法程序。

21.有些intel筆記本電腦帶vpro和AMT或者EMA功能，可以實現帶外網管，換句話說，可以從硬件底層查看你的所有操作并控制你的電腦，跟你安裝的操作系統無關。輸入密碼的時候如果會顯示剛輸入的字符很可能在這樣的平臺下會泄密。

22.intel全系cpu都內置了一個minix操作系統在intel cpu內部，是谷歌的工程師發現的，intel員工可以通過賬號密碼來遠程訪問這枚cpu的電腦的所有文件，進程和電源，并遠程控制這臺電腦，intel官方解釋這是intel的ME引擎的基礎，并且有它intel更新基于cpu的微代碼的時候更方便，更新后漏洞更少。這個minix系統對整臺電腦都有控制權，但是這個minix沒有人可以關閉。intel有個參數，reserve_hap，是intel提供給美國fbi使用的高可信平臺，設置后據說可以關閉minix。amd有一個類似的技術叫AST，所以AMD的cpu也是有這種后門的。

23.intel、AMD、高通全系列cpu都存在cpu漏洞，跟22條不同，22條是后門，而這一條是漏洞。漏洞如下:

a.Meltdown對應CVE-2017-5754

b.Spectre對應CVE-2017-5753（邊界檢查繞過）與CVE-2017-5715（分支目標注入）

這些漏洞在新版cpu只是被弱化，并沒有被屏蔽，因為這些cpu漏洞跟cpu執行性能有關，是cpu執行效率的副產品。

24.基于21.22.23條最好使用國產cpu會更安全。

25.采用的編程語言和編譯器使用了國外的庫文件和程序語言的框架，庫文件和框架沒有進行代碼審計，絕對存在大量安全漏洞。所以應該用國產編譯器，自己寫庫文件和框架。

現在就想到這些。