堡垒机可以设置高危命令阻断,防止操作人员误操作造成删库跑路。但是什么是高危命令,需要管理员通过配置正则表达式,进行命令匹配。
今天2021年8月6日先匹配最常见的删库跑路命令 rm -rf / ,以下几种表达式联合起来就可以阻断这类命令。
rm\s+-[rf]+(.*\s+/\s+.*)-[rf]+
rm(.*\s+/\s+.*)-[rf]+
rm\s+-[rf]+\s+-[rf]+((.*\s+/\s+.*)|(.*\s+/\s*$))
rm\s+-[fr]+((.*\s+/\s+.*)|(.*\s+/\s*$)) 他们可以匹配如下高危命令,以及通过增加其他目录蒙混过关的情况。
rm -r / -f
rm -f / -rrm / -r -f
rm / -f -r
rm / -rf
rm / -frrm -r -f /
rm -f -r /rm -rf /
rm -fr /rm -rf abc text / dir/ # 不要想蒙混过关
