2023.8.30 运维老炮工作心得（1 / 2）

今天拿到一家央企的系统集成商公司高级运维工程师职位。

在家没事做，写篇随笔。

运维老炮心得

运维工程师作为公司数字资产的守护者，信息安全很重要。

1.笔记本电脑做运维工程师的工作电脑的时候记得给bios进入和开机bios加个密码，bios密码要有管理员密码和普通系统密码。防止笔记本遗失。dell笔记本电脑可以在bios-pw网站查询到bios超级密码，其实就是厂商密码，万用密码，这个密码跟笔记本电脑序列号有关。

2.笔记本电脑需要在bios里给硬盘加一个硬盘锁，商业笔记本一般都有这个功能。这个硬盘锁存在master密码，在网上可以查询到，如果你的硬盘是新加的或者换过的一般就查不到master密码，用的硬盘master密码跟型号有关，是固定的，有的跟硬盘序列号有关。有的master密码可以改，有的不能。给硬盘加硬盘锁也是为了防止电脑遗失，被人取出硬盘盗取数据。dell笔记本原厂硬盘的硬盘锁master密码可以在bios-pw网站查询到。

3.操作系统文件系统加密，linux和windows都自带这个功能，存在一个缺陷，无论windows还是linux的操作系统文件系统加密都是无法对引导分区加密的，比如efi分区，所以可以通过把硬盘挂载到其他系统上，修改替换引导启动程序来截获密钥。还可以取得备份密钥来解锁。

4.少用云系统和云服务来管理自己笔记本电脑上的资料信息，比如我现在用的苹果备忘录，数据就存在贵州服务器，肯定会有其他人偷看。存在这个苹果备忘录和icloud账号上就不安全。加上手机随身带相当于数据随身带，手机验证码也很容易被人截获，造成云账号和云数据的泄密。

5.指纹识别和人脸识别并不可靠，人只有10根手指，10个不变的指纹，人脸不整形也不会改变，很容易在外出差，或者是摸粘手的东西被人盗取指纹制作指模。人脸也可能被在外出差或旅游睡着的时候用膜进行克隆制作脸膜，指模和脸膜现在都可以加载类似生物电和加温散发红外线。所以生物识别其实并不可靠。掌纹一样，虹膜未知。但是即便是虹膜也避免不了人被控制，强制解锁。所以最好的认证是密码作认证，且只存在于大脑中，不在任何电子设备和纸张上做记录。在预知到危险时可以提前服用引起电解质紊乱的药物，不纠正电解质的情况下会造成记忆假性遗失，即便在被控制审讯的情况下也无法说出密码，因为当时是真的忘了。可在事后自行服用药物纠正电解质来恢复记忆。引起电解质紊乱的药物有利尿剂、导泄剂、催吐剂，也可以大量服用含有某种元素的药物，或者催汗剂。

6.资本的力量，权力的力量，使用哪家的硬件和软件相当于把数据交给了这家硬件厂商和软件厂商，如果供职一家公司，对手公司甚至对手势力，对手集团，对手资本、对手国家的软件硬件都不要使用，这里不单指装在自己硬件上的软件，对手造的硬件和含有对手造的芯片的硬件，也包含使用的对方的云服务。即便使用己方的软硬件，也可能这些软硬件技术提供商，技术供应商都有对手阵营的技术原件，造成后门。

7.全供应链安全。比如硬件考虑主板bios和主板加密芯片、硬盘芯片、cpu是否是对手阵营造的，肯定存在后门。软件一样，用开源解决替代方案的时候考虑软件生产的全链路采用己方软件，从可视化代码编辑器ide，到编译工具，都要采用己方的，防止在编辑和编译软件的软件生产流程中被插入后门代码。既要编译的源代码是没有这些后门的，但是通过对手阵营的代码编辑器编辑或者对手阵营的编译器编译，编译后的程序就有后门了。

8.操作系统阵营的选择，除了看开源闭源还要看是谁用什么编译器什么环境编译的。编译的人，编译器，编译环境，3者都跟目标编译结果是否有后门相关联。

9.windows在系统自带的沙箱软件sandbox下运行社交软件，即时通讯软件。想要系统开销小一点可以用sandboxie这款第三方沙箱软件，但是安全性没windows系统自带的沙箱高。

10.用windows自带杀毒软件。记得关闭自动上传样本。

11.linux做桌面系统，在安卓容器和wine模拟器下运行程序相对安全点。linux也不容易中毒。做运维工程师办公桌面也不错，缺点是rdp工具不支持ssp加密。

12.小心站在屏幕背后的人，手机和电脑屏幕要贴防窥膜，但是还要防止旁边的人用手机摄像头录下你手指的操作，手指点击手机屏幕的大致位置和手指敲击电脑键盘的动作，然后用慢速播放视频还原敲击的密码。