本帖最后由 新手小明 于 2023-8-16 09:14 编辑
1.客户环境
零信任atrust控制中心、代理服务器1(测试)、代理服务器2(正式); 控制中心以域名的形式对接客户的cas服务器;客户的域名使用了代理服务器做代理; 用户访问形式,先登录门户再拉起零信任从而访问业务系统;
2.问题现象 (1)用户登录atrust,提示认证失败,连接第三方服务器超时; (2)查看零信任后台设备安全日志,出现大量的接口拒绝;
3.问题定位 (1)查看日志 /hislog/log/nginx/sdp-proxy/error.log Cookie字段中有”+”等特殊符号,被atrust记录为攻击日志; 此处日志主要为报接口拒绝的错误问题,不是登录零信任失败的原因; (2)查看日志 /hislog/log/sdp-passport/sdp-passport-web.log 表面登录零信任失败还是和cas服务器有关; (3)控制中心在webconsole中telnetcas服务器域名+端口,发现解析正常; 测试ping域名,正常ping通,但是解析到的地址是代理服务器1的地址 (4)更换host,设置为代理服务器2的地址,正常登录零信任;
4.问题根因 (1)客户侧cas域名使用的是代理服务器域名,由于代理服务器故障,导致cas服务异常,更换代理服务器后解决。 (2)atrust控制中心审计日志—设备安全日志中出现大量的告警,根因为用户在登录门户再跳转零信任web资源的cookie头中添加了加密字段,从而导致零信任将加密字段中的特殊符号匹配到waf规则,从而产生告警; 和研发核对后,该告警只会记录,不会影响认证或业务访问;建议客户开放优化cookie或refer字段。
ps: atrust抓取后台日志不需要进ssh后台,可以直接在webconsole上执行; 如需要copy和tar压缩日志,只需要执行相关命令,保存路径为/share即可保存在webconsole里的文件管理中。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员3级