感谢关心老张的朋友们!关于阿里云OSS密钥泄露这件事!

Auth:老张       Date:2024/03/15       Cat:生活随笔       Word:共807字

◷2024/03/15   👁浏览:456   🗨58条评论

这几天一直在折腾的博客搬家,从CC搬到了软云_RuanCloud的香港GIA的VPS上,使用的宝塔一键迁移,搬家倒也是快的很。最后一步是网站文件、数据库的备份,我是三种备份方式,一是直接备份到服务器本地、二是备份到OneDrive、三是备份到阿里云OSS。由于原来的阿里云OSS密钥都使用了三年,便重新生成了一组密钥。我的一些常用密码一般记录在语雀或是Memos上,偶尔也会使用Bitwarden。

昨天下午两点多的时候,就把重新生成的阿里云OSS密钥记录在了Memos上。但是由于自己的粗心大意,没有把阅读权限设置成“私有”便发布了。我的Memos被林木木等几位大佬的Memos广场收录了,这下便把这条阿里云OSS密钥的信息给广播出去了。

下午五点来钟到家,打开TG后看到Raven和smartEnoughg两位朋友给我留言说我的OSS密钥泄露,Raven又跑到我的博客上给我留言。今天早上打开邮箱看到大大的小蜗牛也给我发邮件说OSS被泄露。当看到信息后立马登录阿里云OSS后台查看,看到文件什么的都还在,还好还好没有被删除。但是发现了有125.47M的流出流量,一定是某些文件被人下载了。阿里云OSS里都是我备份的网站文件、数据库。如果网站的配置文件被泄露的话,那后果真的不可想象。

感谢关心老张的朋友们!关于阿里云OSS密钥泄露这件事! - 第1张图片

通过查询桶文件的“文件访问统计”发现列表里有我之前做的论坛的网站备份,文件大小正好是125.47M,可想而知,这个论坛的文件备份被某人下载了。还好这个网站我已经不开,文件还是去年11月份的,数据库等重要东西也没有被泄露。也算是不幸中的万幸吧!如果发现的再晚一些,这位同志把我的数据库、网站文件全都下载了的话,那就等于我是一丝不挂的站在他面前了,后果真的不敢想象。

唉,做事可真的不能这么粗心大意了!

真的得要好好感谢关心老张的朋友们!特别是Raven、smartEnoughg和大大的小蜗牛,万分感谢!老张在这给大家鞠躬致谢了!感谢!

 

《感谢关心老张的朋友们!关于阿里云OSS密钥泄露这件事!》留言数:58

  1. 老张博客-sagrresagrreLV2

    怎么从cc换到了软云,看软云这价格真的很香,配置很高呀,访问你速度也很ok,不比之前查,现在用的什么配置的呢,参考参考。

    2楼 回复
    1. 老张博客-老张老张文章作者

      @sagrre: CC呢说快也不算太快,说慢也不是太慢,做站速度是在可以接受的范围内。用了软云的,速度算是起飞了。我目前用的是4C8G7M GIV款的,一年500块的。其实我们做博客的,二百多那款配置就可以了。

      1. 老张博客-FengFengLV2

        @老张: 我看网站有扶持计划,你这种大站应该可以拿个高配的,我这小破站问了一下,也可领个1年的入门机。软云这家之前都没怎么听过,不知道机子怎么样,你先试试水

      2. 老张博客-FengFengLV2

        @老张: 看了他们家的公告,说是香港的机子要实名https://ruan.cloud/knowledgebaseview?id=9(香港产品在正常情况下为必须实名,现发布香港产品实名新条例),境内的主机商还是逃不过呀,虽然咱们也都是良民

        1. 老张博客-广州软云网络广州软云网络

          @Feng: 您好,https://ruan.cloud/knowledgebaseview?id=9,此条例是针对免费试用产品用户的,付费产品与赞助计划为不强制实名,感谢您的支持,有任何问题可以通过联系平台在线客服或者平台工单与我们取得联系,祝您生活愉快!

          1. 老张博客-广州软云网络广州软云网络

            @老狼: 您看错产品区域了,活动页面的产品不是同一区域
            https://ruan.cloud/cart?action=configureproduct&pid=146
            https://ruan.cloud/cart?action=configureproduct&pid=147
            2h2g在特价区域的价格是166,2h4g在特价区域是199
            普价区域分别是199和249,有疑问可联系平台在线客服获得更多了解!

  2. 老张博客-w4j1ew4j1eLV1

    看到把密码记录在 memos 就猜到了结果。我个人还是更倾向于把一些不常用但是比较重要的密码记录在手机的备忘录里,还可以设置访问加密。
    不过自从没用苹果的设备后,出于对国内云服务的不信任,我把那些私密的内容都转到 onenote 去了。

    8楼 回复
  3. 老张博客-FengFengLV2

    感觉你的CC买了也没很久,到期了?另外软云用的怎么样?密钥这种东西还是放在专门的地方保管比较好,Bitwarden自己搭建一个也还不错,Memos的话可以再搭建一个只用来保管密钥的,统一设为私有

    10楼 回复
  4. 老张博客-大大的小蜗牛大大的小蜗牛

    看到第一时间就感觉大事不妙,刚好在检查邮件,就顺手发了封邮件。这种下载应该是故意下载的。不过没什么损失就好!这种 Access Key 可以控制细粒度的权限,应该是越少越好。

    14楼 回复
  5. 老张博客-两对半两对半

    还好,没有照片门泄露事件哈哈
    你会的软件真多。我用原始方法记密码,电脑的文本文档、手机的笔记,害怕泄露,用自己才知道的不同方式进行了二次加密

    16楼 回复
  6. 老张博客-电脑星人电脑星人

    最小权限原则,创建密钥时最好仅授予必要的权限(比如备份工具使用的密钥只授予写对象的权限,不授予列出对象的权限),这样即使不慎泄露,造成的影响也会小一些。

    17楼 回复
  7. 老张博客-邹江邹江LV2

    博客访问速度比之前更快了些,这个主机配置很高了,但好在访问速度快,我也确实该考虑一台大带宽的主机了。

    18楼 回复
  8. 老张博客-段先森段先森LV2

    看了张老师所用的,我也用上了软云,速度比之前快了好多,哈哈,不知道是不是因为上一个里面有论坛的缘故,现在这个就放了博客和博客圈这两个站

    21楼 回复

发表留言