昨天某产品众多、公司名称包含了国内某著名大学做前缀的公司要在我负责的项目系统上做网页防篡改的测试,据说现场人员要求直接在生产环境部署,所幸被要求先在测试环境上做测试再决定,我想我对该公司产品的反感或许起于其直接生产环境做测试的要求。
因为我们没有人员在现场,在询问了我们的web目录后,部署等事宜都是该贵公司自己实施的,后来要求我加个过滤器,还问我过滤器懂吧,我问是在web容器层的还是更前端层次的,答曰就是要修改应用代码来实现。很配合的帮他们把2个class文件集成到项目中,我和他们说部署好了,然后就听见电话那端有人说没问题了 -_- -_- ,我郁闷了,部署好==没问题 ?
昨天下午由于很多事情也没看具体的机制,因为也没有得到什么文档,不知道人家具体的实现机制。后来听说可以实现即使使用root帐户登陆也能保障文件不被篡改,下班的路上和同事讨论了这个,同事认为如果不修改系统的内核、不使用外置硬件装置,就不能说能做到root都无法修改。我也认为root帐户如果都丢了,人家就算不破坏你啥文件,只需要把内核的文件破坏了或者关机啥的一样能造成不良影响。再说如果能实现让root还有做不到的事情,那明显和root用户设计的初衷为超级帐户而不吻合(我瞎想的 基于我对linux的很初级的认识)。
查看了下系统的进程、端口以及文件内容,总结如下:
1. 禁止root用户修改删除文件机制的实现为使用 chattr +i 更改文件的权限实现
2. 防篡改及发布的同步机制主要依赖rsync实现
3. 进程守护(猜测作用为守护定时调度程序,
联系了下进程守护的作者聊了下,人家也很是气愤,同时又感叹程序员辛苦的写代码,但是没有市场资源,有市场资源的家伙拿着开源的代码,甚至连了简单的封装都不做,也不做任何的改进,不管人间代码发布使用的著作权协议,就去投标拿钱。
世道啊!
Tags: 防篡改 网络安全
很气愤啊,这种做法