对于微盟事件，怎么来做权限管控呢？？？？

员工钱多一点，高管管好自己鸡

只能像电影里面管核弹一样了，左右两个人同时转按钮。
否则无论用什么方法，最后肯定有一个人能独立删空你的库。

多服务商下多 root 账户备份吧。

没办法，主要还是对员工好一点

权限最小化

@b821025551b 可以

@mytsing520 就是权限隔离

@Ravenddd 哈哈哈 你这个到位

三权分立。

双 dba 各自负责一套独立的备份。

就算不能删库，有 update 权限，覆盖一遍 岂不是也是爽歪歪。

再加一条，危险命令高管二次确认

就是高危操作权限审批

多重要的数据就有多少备份，不过微盟也是没办法，不自建机房，腾讯投资，那只能相信腾讯云了，现在的结果不也是放弃自建直接上云数据库么

这个事的教训难道不应该是“千万不要绿手下的技术人员”吗？

15 年运维 没怎么在大公司呆过 但是我经历的项目规模、项目紧要程度比大部分大公司牛逼运维大佬要多很多……

最开始微盟出事，V2 帖子里有个自称微盟运维的一顿洗 什么运维就有 root 权限 无法阻止什么的 我只能笑笑不说话


现在大公司的运维体系，就是炒概念，谈量级，各种虚的。

甚至都不如我 200X 年刚入行时候单凭自己脑袋设计出来的运维体系。

公司运维就能管所有服务器，包括硬性不可覆盖不可手动删除全量冷备（不好意思 因为各种大厂运维讲座都不讲这个，高端大佬讲座也不提，他们都不知道有这个）不能让运维团队管理这种事儿都不知道。

像神盾局那样，多级权限层层控制，最后搞得被九头蛇层层渗透，能出现局长都没权限的东西。
像宋朝皇帝管外派将军那样，排监军时刻监视，结果一打仗就输。
像东汉末年搞黄巾军那样，让州牧刺史因地制宜自行处理，结果刺史个个成了主公。

这事不是让运维管控全公司，而是公司管控运维，还靠权限管控，那是在闹笑话。

大概能行的就一句古话：疑人不用，用人不疑。

卧槽，原来是这个原因。怪不这关键时期我们公司的微信小程序隔两天就挂了，一看是微盟提供的技术支持。。。

注入脏数据才是最困难的，备份都脏了没法恢复。这种激情删库稍微加强备份和权限管理就 OK 啦

给 2 个员工每人发一半的大饼，等两半大饼拼在一起的时候才能开始删库

Zerotrust ？
谷歌在被极光行动攻击以后搞了个 BeyondCorp，不依赖传统的 VPN 控制，

鉴权之后更深的权限管理也不知道有没有最佳实践

想我们这敏感操作要金库审批，搞得奇烦无比，上传个文件部署东西感觉跟上传到月球一样，层层跳转，还不能下载任何东西，根本没法下载日志调试，只能在线看日志情况，很多人吐槽这是不想让我们干活了

1. 对员工好点；
2. 权限分离：操作权限、审批权限，多设备权限分支；
3. 备份：多重备份，设置不同的备份权限

无解。运维拥有最高权限，无法控制

@realpg #14 说实话， 你嘲讽了半天，我没看懂你的牛逼方案在哪

权限都是运维管的，那只能管运维

老板自学运维。

好多公司都不重视运维。就说我前东家吧，公司有三百号员工，user 表有上千万条记录，运维只有 2 个人，更滑鸡的是没有运维部门，这两个人一会儿挂在市场部，一会儿挂在运营部，好歹挂个技术部门吧。需要找人背锅的时候就想起运维了。尽管如此，还要负责全公司的网络维护和电脑维护。完全是瞎搞

我的建议是加人，钱给够，写 SOP，权限最小化，有自己的一套管理系统。

公司老板自己当运维呗，否则无论怎么搞，都是避免不了的，堡垒最容易从内部攻破，方法多了去了……

@outoftimeerror 我晕，刚发同样的，一回复，发现被你先说了～～～

最高职位老板，亲自删库，亲自跑路

1，堡垒机
2，数据库审计
不过，你能防住运维进机房用锤子砸服务器吗？

对于小公司， 指不愿意组织一个年薪加起来 2000w 以上的团队来维护这个事情的， 多备份吧。。
大公司么， 应该都慢慢在做了

负责任的 ciso 都会做零信任设计的吧。

@nelujah #19 这不是虎符吗

多备份而且给不同的人分管备份权限

@realpg 你有什么高招呢

@xiaoxinshiwo 饼符

我觉得老板自己应该有一个最顶级的帐号吧？然后一些重要操作需要由老板帐号批准，就像签合同需要老板签字或者使用公司公章一样的道理。

@greed1is9good 绿的出处是哪？

公司解散。

一、中小公司
(1)多备份
(2)钱给够
(3)心别受委屈了(杀父 夺妻)
(4)备份存储独立服务器，CEO 掌管密码
中小公司有的运维就几个人，甚至开发兼职，管理层不懂技术，这种真想删，挡也挡不住，连备份都能一起删了。
二、大公司
(1)独立备份服务器，只有最高层有权限，运维都不能有。或者另一个运维团队管数据备份。
(2)细化权限，至少别让普通开发人员删库跑路
(3)增加备份频率
(4)做到账号一人一个，删了你也好找，有些公司有公用账号，删了都不知道谁。
(5)钱给够 别让员工受太大委屈
三、做一个理智的运维~
0.获得公共账号，多跳板机访问
1.应该先删除备份的所有数据
2.然后再删除 binlog 日志
3.然后再删除从库
4.然后再删除主库
5.然后再使用文件粉碎机 或 手动填满磁盘垃圾文件后删除。覆盖磁盘防止数据找回
6.清除服务器操作日志
7.找到 git maven confluence 所在服务器，重复执行以删除 覆盖操作
8.云服务器记得释放实例

这是人造成的问题，管好人，自然意外少。即便没权限，当事人可以去到机房，照样可以破坏。
假如层层设防，最高权限的是老板；实际上老板是打工的，和大股东闹矛盾，一恼火删库，还是会出事。

@iConnect
学习了, 下次删库先注入脏数据, 再删数据库, 然后覆写硬盘, 最后删系统
get

高危权限审批 原则上不允许删除命令
AWS S3 支持一次写入永不删除 做好备份不至于让人一锅端了

@Mogamigawa 再加一条，删库脚本提前半年写好，设定时间执行，期间写一个脚本每天随机修改少部分关键数据。。。。

别伤人心就行了。

注意备份啊，备份没有权限删除。删库挡不住的，你禁止直接上机器删，人家在应用里面写段代码也一样删，拦不住的。大公司都很难做到所有漏洞都堵住，更不用说小一点的公司了

得跟原子弹攻击一样，得三个人在，一人掌握密码的一部分。哈哈哈。纯 YY。

泄露用户数据才是最可怕的

@Mogamigawa
@lscho

你们两个都是坏人，俺们是好人，俺们是遵纪守法的好人，俺们好人的做法是：

如果业务规则 A、B、C 同时，就会出现少量的数据错误，这个错误数据是没有业务规则监控的，这个发生的概率是几个月才能发生一次的，这个是程序 bug，不负法律责任的。

重要数据强制备份 6 个月，不可删除。

备份 审计 秘密共享 Shamir

砍掉危险的远程操作的权限
降低操作基础设施的频率，增加制度需多人同时操作，以及多因素登录验证，因素分人存放
更新和操作通过运维系统编写脚本自动执行，增加脚本提交后的审核机制

很早以前 v2 有个相机 app 招聘帖 贴主拿可以看用户妹子的手机号 吹嘘~（找不到这贴了 好想找到）
这就充分暴露其没有划分最小权限的结果， 和对隐私视若无物的无知

重要操作，删数表 /据库等 加个 2fa 的验证，要求 2 名运维的 2fa，或者主管的（软 /硬） key

类似银行的交叉认证，会好很多吧
当然银行没实行这些前 也有资金被盗的记录

纸上谈兵罢了，权限漏洞不是一两个人、一两天能补上的。

我敢保证现在 90% 的互联网公司，都有至少一个人具有破坏性的权限，可能他自己不知道，可能他自己不会用，可能他自己有良知。

所谓的权限最小化，成本（技术、管理、以及影响效率）高的飞起……这才是大家都没搞的原因。

到头来你只能相信大部分人。

就跟你拿刀随便去砍人一样，没人限制你不能砍，只是你会坐牢所以不做。

金融系统是所有数据全部异地+物理磁带库备份

看在想是有多大的量都有 Journal 型存裸奔，然後搜了一下新 7 天就找回了，是有的。
看只是恢便捷性上有刻意去做或者做了牲。
就不知道了，因完全不熟。

然后呢？高管们以后外遇下属人妻再无后顾之忧？

然而又有几位高管还能敲命令，写脚本，开远程？最终也是把权限分散到 A 工程师 B 工程师 C 工程师。然后出事 A B C 一锅端。

让我想起处理李 WenLiA 的 Officer。他其实也是小人物，受了上司或者领导的指派。他有亲人或者朋友不幸染病吗？他内心有后悔吗？

感觉这次没有做异地备份就很有问题了，包括数据本地和备份一份在云能缓冲很多时间

有备份能解决一大部分的问题

比如每个小时定期备份数据, 就算删库也大概丢失这一小时的数据

删库的哥们好像本来权限就挺高，只能强制交叉 review 了

@mytsing520 遇到突发情况咋整。

增量备份可以 0 数据丢失，哪怕 update。

我看是效益问题，这个东西不出事的时候谁也不觉得很重要反而觉得很麻烦，你一开始弄好了，没有事情发生，很多人认为这个东西就是没有用的，浪费时间和金钱，所以还是出事了再弄比较名正言顺

我记得以前在逼乎看删库跑路的话题时说有人讲他以前的公司领导人品很差，前 2 任跳槽了，然后顶上的躁老哥后面删库跑路了。我寻思这算不算是破坏生产工具

访问生产环境使用专门的开发机，并且访问数据需要直接经理批准

首先，公司得够大，否则就是一人管所有。
1. 够大后，运维都是分开的，数据库存储以及备份数据都是不同的人管，你没法彻底删除所有数据，可以随时恢复
2. 够大后，各种操作都标准化了，日常维护都需要 qa 测试，然后审批才能 uat 和 prod 变更，而且变更不是你手动操作，而且专用数据库系统自动变更，应用自动切换
3. 监控：所有的变更都会记录并审计，非标准变更根据项目以及安全团队的需求，会 trigger 各种 alert 并通知到各级别运维
4. 其他就不多讲了，其实到了某种行业某种级别，各种问题都是能预防和解决的

@nelujah 要是加班到半夜，吃了一口咋整

1、如果不是 CIO、CTO 及以上级别，谈这个没用；
2、如果是 CIO、CTO 及以上级别，技术上的手段都是可以忽视的，只要做好 2 条：
a、有管理权限的岗位薪资待遇上属于公司中上级；
b、有管理权限的岗位人员每个月做一次法制教育；

@fuchunliu 紧急事件，重罚吃饼员工，宣布另一半饼作废，重新画一个新饼

看了上面各位大佬的回复
小弟有些不明白的，请教一下。
上面有说权限审批的，这个在我们这里也有审批，但是那只是一个流程，运维要删除数据，可以不管审批结果，直接上机器删，因为账号密码他是有的。除非是在流程审批完成后，生成一个账号密码给他。

想了一下，要避免这个问题，大概就是多地备份加多个云备份，不同机器不同管理员，除非公司做的人神共愤，不然很难出现几个人联合起来一起删库。
就算这样，备份不可能实时的，总有时差，数据不敏感的业务倒没什么，数据丢了，从备份恢复。
如果是数据很敏感的，怎么办。

可能到头来，还是需要加强员工法制教育，企业关怀，人文关怀。。。

我司绝对不会出现删备份库的情况，因为没有备份……

我们有磁带备份，只能去仓库放火了

这种事情说起来，可能是微盟以前的运维干得还不错，或者运气好，没出过什么大事，当然可能是领导心太大，以前出过事也没当回事。

正常的公司在发展过程中，肯定是会有时不时发生运维事故的时候，开始都是小事故，只要重视起来，把问题一点点补上，很少会忽然出大事故。

微盟这种公司有可能以前从来没出过小事故吗？感觉不太可能，所以结论就是领导心大，活该。

话说这次删库是因为绿化该运维头部导致的 有实锤吗？除了那张 iPad 微信朋友圈截图之外 怎么一点后续的新瓜也没有

@camillo 员工贷款太多还不上，疫情没回家，抑郁，想吃牢饭解脱了

有多异地备份就行，除非你的数据永远不需要人为干预，那么总要有人有权限操作这些数据，那么这个人就会有破坏数据的可能性，所以备份就行了

自帷可以最大程度的少事件。

@luzihang #73 看来高权限的人心理评估也得抓上去 doge
类似小蝌蚪找爸爸的《星际探索》里那样

现在的女人也真是的，不守妇道，都有老公了，

公司到了一定规模的话，可以请两个 dba，各自异地容灾备份一份数据库。这样就算一个暴走了，那数据就还有救，当然，最重要的是对员工有起码的尊重，也不说好要对员工有多好，那不太现实。但睡别人老婆算什么？不删你库删谁的？这样的公司管理层，再多请几个员工容灾也没用。

公司不要雇佣别的人，全都自己干

按照高管的思维，难道不是给重要岗位人员一些股份？

这种没办法的，除非你删库权限只给领导自己一个人知道账号，或者可以搞成多人的权限，比如有三个账号给三个人，只有三个人全部同意删库的时候，才能删。

微盟事件对权限管控没有什么指导意义，说直接点这个就是触犯信息安全法的犯罪行为，99.999%的人都会威慑于会坐牢的结果不敢实施，如果你的权限控制要达到防止这种事情的程度，那基本也干不了日常工作了

@whp1473 可以

还是对员工好点吧

没用 有文中这种权限的可能本身就是审批权限的人
要刻意干公司的时候 总能造成损失

@ThirdFlame 这个可操性比较强。其他的说控制权限，如果你不觉得烦可以试试，运维几乎每个命令都是高危的，怎么去管。

说到底其实就是个信任的问题，这样的问题曾经无数次在脑袋里互相战斗过

只能说，这问题无法完全解决，只能缓解

因为任何一个系统里面最后至少会有一个人有上帝视觉（操作 /权限）的，绝对无可避免

说过解决方案：

现在的磁带多便宜啊，就微盟那点数据，一天一盘磁带根本就不是什么事情，一年 365 盘磁带，保存个几年也不是什么问题啊。

只是这事情，有人要想到也要有人去做

备份是什么鬼？有我股价重要？捞钱最重要啊，说什么改变世界都是扯蛋

都是屁股决定脑袋吧

@augustheart #2 root 密码分两部分啊~前 6 位一个人知道后 6 位另一个人知道~