machismo0311/netframe-security-assessment-public
GitHub: machismo0311/netframe-security-assessment-public
一份对个人 Proxmox/Kubernetes 家庭实验室进行的安全评估报告公开删减版,以方法论和报告撰写演示为目的。
Stars: 0 | Forks: 0
# NetFRAME 家庭实验室,安全评估(公开删减版)
对我自己的家庭实验室(**NetFRAME**)进行的一次防御性、非破坏性的安全评估,该操作
是在我本人的授权下进行的。本公开版已将所有内部 IP 地址、主机名、MAC
地址、拓扑细节和机密信息**泛化或移除**;主机以通用
角色(`NODE-A`、`STORAGE-HOST`、`WORKSTATION`)显示。其分享目的是作为安全评估
方法论和报告的演示,而非操作文档。
## 这所展示的内容
- 在任何测试之前编写的**范围和交战规则**(默认只读,95% 的
安全标准,非破坏性,一次只进行一项更改,对任何维护窗口期内的操作需明确批准)。
- **证据驱动的发现**按严重程度和置信度评级进行排序,每一项都映射到
它所关闭的发现,并给出了具体的补救措施、复杂性和优先级。
- **攻击链分析**:评估的重点在于各个中级发现如何*结合*成一条从立足点到实际影响的现实路径,而不仅仅是一份扁平的漏洞列表。
- **客观坦诚的覆盖盲区**:报告说明了*未*测试的内容(例如,检测
有效性是根据配置推断出来的,而不是通过触发警报来证明的)。
- **已确认的正面控制措施**:已经做对的事情(默认拒绝的 VLAN 间
隔离、带外 BMC 隔离、仅密钥 SSH、无入站暴露、全局 SIEM)。
- **优先补救路线图**(首先是破坏攻击链项,然后是减少爆炸半径,最后是强化加固)。
## 环境(泛化版)
一个由 7 个节点组成的 Proxmox VE 集群,位于单个防火墙之后并具有分段的 VLAN,一个 Kubernetes 集群,
带有机外备份的共享 ZFS 存储,位于专用 VLAN 上的带外管理,以及
Prometheus/Grafana/Loki 加 SIEM 的可观测性技术栈。保留了足够的上下文以使
发现易于理解;同时移除了足够的内容,使得这里的任何信息都不会对攻击者有所帮助。
## 报告
**[NetFRAME-Security-Assessment.pdf](NetFRAME-Security-Assessment.pdf)**
部分:参与和授权、范围和方法论、攻击链、发现登记表
(摘要加上针对高危项目的单项详细说明)、已确认的正面控制措施,以及
分层的补救路线图。
## 伴随工作(同样是公开的)
同一环境在一个小型作品集中进行了记录:一个基础设施家庭实验室代码库
([Home-Lab](https://github.com/machismo0311/Home-Lab)),包含拓扑参考、操作手册和
RCA,以及一个只读的集群健康监控器
([netframe-monitor](https://github.com/machismo0311/netframe-monitor))。完整未删减的
安全版本、红队攻击路径评估以及 SRE 可靠性评估保存在
私有代码库中。
## 注意
这是我自己的基础设施,在我本人的授权下进行评估,并有意以删减形式
发布。展示*保留*哪些内容也是该练习的一部分。
标签:DNS 反向解析, GitHub Advanced Security, Proxmox VE, XXE攻击, 反取证, 子域名突变, 安全加固, 安全评估, 家庭实验室, 插件系统, 攻击链分析, 渗透测试报告, 自定义请求头