5.3.2.1 权限最小化原则

文档摘要

5.3.2.1 权限最小化原则 5.3.2.1 权限最小化原则：别让成为系统里的“万能钥匙”——一个被忽视的配置陷阱与精准提权的实战重构凌晨两点十七分，某金融级容器平台告警突响：核心支付网关节点CPU持续98%，抓取堆栈时，却只看到一串重复的调用——不是Java进程干的，是它fork出的某个子进程。运维同事第一反应是“中勒索病毒了”，安全团队立刻拉起应急响应；但三小时后真相浮出水面：一个本该仅能执行的监控脚本，因配置中一行看似无害的通配符，悄然获得了读取的权限。而那个脚本，正运行在以用户身份启动的Prometheus Exporter里。这不是虚构的攻防演练剧本。