遇到了這種情況，趕緊上個堡壘機

幾天前我們的一個制造業的客戶突然給我打了一個電話，說是他們的伺服器被入侵了，具體的現象是他們的一個OA軟體的實施顧問正在運維部署一台Windows伺服器的過程中突然被人“擠掉”了，然後阿裡雲的雲安全中心控制台告訴他伺服器在非常用地點被人登入了。

接到求援電話後我立即調閱分析了雲防火牆、雲WAF、雲安全中心的相關事件日志，确實有兩個在非常用地登入的預警，但雲WAF和雲防火牆中沒有比較明顯的被入侵的痕迹，在這種情況下我立即建議客戶更換一下Windows伺服器的管理者密碼，并和OA的實施方去确認是否有其他同僚登入過這台伺服器，結果回報的資訊是否定的，OA實施方并沒有其他同僚登入過伺服器。

得到這個資訊後我又去仔細的檢查了一下雲防火牆、雲WAF、雲安全中心的日志，還是沒有看出明顯的被攻破的痕迹，假如通過應用和作業系統的漏洞進入了伺服器肯定是會留下痕迹的，尤其是在雲防火牆的主動外聯流量裡或多或少都會留下蛛絲馬迹，但這次确實沒有。

難道真的是被人暴力破解了密碼？應該也不會，因為雲安全中心擁有防暴力破解政策，強行猜測密碼出錯達到一定次數後會被自動屏蔽。

現在的情況就相當于家裡的門鎖被人直接拿鑰匙打開了，完全沒有敲砸的痕迹。

難道是鑰匙丢了？依據奧卡姆剃刀定理，我傾向于這種假設。

奧卡姆剃刀定理的應用：如果對于同一現象有兩種或多種不同的假說，我們應該采取比較簡單或可證僞的那一種。

那到底是誰登入了伺服器呢？又是誰洩露了登入密碼呢？時間将告訴我們答案。果不其然，過了一會兒客戶給我打來了電話，告訴我案件終于偵破了。原來是OA實施方的人員将管理者密碼告訴了ERP的實施顧問，ERP的實施顧問登入了OA伺服器，因為管理者密碼已經被修改了是以ERP的實施顧問登入不了了去詢問這才水落石出。

之是以OA伺服器的密碼會告訴ERP的實施顧問是因為這一段時間客戶的資訊化系統正在進行更新改造，需要ERP、OA進行內建整合，是以在很多時候為了簡單直接的完成工作，實施方的顧問們會傾向于采用這種方式進行協作。其實這種情況在很多客戶那裡都存在，在事後追溯過程中也不容易定位到底是誰登入了伺服器，誰又做了什麼操作，假如出現了資料丢失或其他損失，互相的推诿扯皮估計是免不的。

上個堡壘機，問題将迎刃而解。我們可以在堡壘機上為每個實施顧問單獨建立個人賬号，顧問們能夠登入哪些伺服器可以随時進行授權，實施顧問們通過自己的個人賬号登入堡壘機再轉到伺服器上進行實施和運維過程操作，在此過程中的所有操作将被堡壘機完整記錄以便于事後追溯。假如不希望顧問繼續通路這台伺服器了，修改或删除政策即可讓這個顧問無法通路對應的伺服器，在此過程中實施顧問始終不知道伺服器的管理者使用者名密碼。

假如您也遇到了類似的情況，趕緊上個堡壘機。