这几天证书过期这种草台班子,怎么没人从流量 sni 层面去做黑盒告警

1 月 7 日
 guanzhangzhang

在公司测试环境的出口网络设备上,给流量镜像下,大致下面

即使某些公司存在一些冷门业务在跑,而该域名没记录到 cmdb 里,这样也能抓到

9060 次点击
所在节点    程序员
87 条回复
guanzhangzhang
1 月 8 日
@yungyu #54 看看 38 楼
guanzhangzhang
1 月 8 日
@dmanbu LOL 前几天那个证书就是上古遗留交接来交接去的遗漏的,我指的是这种未知的,从黑盒未知角度上探测的,你说的都是基于已知和统一管理的,但是现实情况千奇百怪,需要有一些兜底手段
guanzhangzhang
1 月 8 日
@edsion996 是的,各种交接情况和历史遗留因素造成了大厂的个别域名 https 证书过期
guanzhangzhang
1 月 8 日
@yungyu #52 LOL 前几天那个证书就是上古遗留交接来交接去的遗漏的,我指的是这种未知的,从黑盒未知角度上探测的,你说的都是基于已知和统一管理的,但是现实情况千奇百怪,需要有一些兜底手段。你可以看下 38 楼的评论
rb6221
1 月 8 日
大公司+基建完善,基本上不会出问题,出问题也很快解决。
小公司+基建不完善,其一是业务少、实际影响范围并不大,其二是业务简单、修复起来也很快,而且小公司一个电话随便摇人,修复也不需要走繁琐流程。
大公司+基建不完善,这种情况少之又少。这次只是被你遇到了而已。就像上面说的,成本问题。
salmon5
1 月 8 日
端口镜像你不知道要多少成本吧? 1G/10G/40G 端口镜像,成百上千的出口设备都做镜像到专用的服务器?运行你的所谓的分析程序,就为了分析一个证书到期问题?
salmon5
1 月 8 日
我觉得可以打通地球南半球和北半球,这样地球一年四季如春,都比你这方案靠谱
salmon5
1 月 8 日
你这黑盒也是马后炮,实际中就是管理问题,当时这个程序员没有做好测试和验证,没有考虑到证书到期问题,他的 leader 也没考虑到
salmon5
1 月 8 日
https://dev.mysql.com/doc/relnotes/mysql/5.7/en/news-5-7-28.html
2019-10-14 发布,DBA 习惯二进制安装,默认启用了 SSL ,默认有效期 10 年;
2029-10-14 后会有陆陆续续的证书过期问题,导致数据库连接失败

你是不是再来一个方案,镜像所有数据库的流量?
ihciah
1 月 8 日
@salmon5 > 端口镜像你不知道要多少成本吧? 1G/10G/40G 端口镜像,成百上千的出口设备都做镜像到专用的服务器?
假设客户端一定有走 TLS 协议的,那么就只需要抓 TCP 443 的前几个包就够用了。
MacsedProtoss
1 月 8 日
你搁这搞笑呢,罗技是 developer 证书挂了,又不是 ssl 证书,在这立个假靶子?
mintongcn
1 月 8 日
发现证书过期方式很多,过期后怎么处理麻烦。
yungyu
1 月 8 日
@guanzhangzhang #64 你这种 roi 很低的,因为一些边缘的、冷门的流量,去镜像处理所有流量。有点 大炮打蚊子 的意思。不过可以短暂跑一阵,把没有录入 cmdb 的域名收集起来,作为后续运维、监控的蓝本。
给自己手上的东西做好配套的稳定性保障手段就行吧,我感觉不会有公司像你这么玩的,除非那种全站 qps 几百上千的可能会,但是这点流量的小公司也不至于那么混乱吧。
ofyann
1 月 8 日
最开始没做,后面的人也不会去做这类没收益的事。
hanyuwei70
1 月 8 日
uptime-kuma 里面已经自带此类功能了啊,过期前甚至可以给你提报警。运维自己不加告警怪得了谁?
Daybyedream
1 月 8 日
真在意写个监控项然后快到期了告警就行了。
没人说呀,屁大点事。
Lee2019
1 月 8 日
老哥你方案太重了。
https://github.com/enix/x509-certificate-exporter + https://github.com/prometheus/blackbox_exporter
这哥俩一个把 k8s 集群里用的证书监控了,一个把域名的证书监控了
如果怕域名监控不全,写个脚本定期去抓一下,然后改配置文件就齐活了

要是还有别的证书过期了不知道,就认栽吧。
dcdlove
1 月 8 日
一个 ssl 证书 让这些云服务商和国产化的片子赚得满嘴流油
wzy44944
1 月 8 日
往前几年可能是没有监控告警的问题,发展到现在,这种问题一般是域名分散在很多部门,历史上又有交接,会出现收到告警的人和实际负责人不一致,收到告警没人处理等等各种非技术问题,实际上是公司资产统一管理的问题
guanzhangzhang
1 月 9 日
@Lee2019 你这列举的都是知道的域名的情况,你看下 38 楼

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://study.congcong.us/t/1183705

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX