文章总结： 本文剖析美国海军运输司令部服务器架设文档，指出硬件环境中UPS与QNAP设备是明显短板，且安装过程暴露了产品密钥、舰艇名称及简单的用户密码策略。作者认为虽然运维流程严谨但外围安全不足，战略上该部队受限于文职比例和程序难以发挥作用，文末提及了此前高价值目标数据泄露内容。 综合评分： 65 文章分类： 漏洞分析,威胁情报,安全意识,数据泄露

美国海军运输司令部服务器架设教程

原创

bigeye_sec bigeye_sec

大眼睛网络安全

2026年2月3日 14:32 山东

美国海军运输司令部服务器架设教程

时间就像海绵里的水,俯仰皆是.

学习资料就像大海里的鱼,俯拾皆是.

下面是美国海军运维工程师编写的一篇服务器架设文档,小编觉得很有值得一看的地方,把阅读笔记放在下面大家一起看看,顺便也水一篇公众号.

先介绍背景:

这位美国海军工程师隶属的单位是MSC,这个单位虽然是一个Command,但是级别并不高,具体的职能也并不重要,通俗的说只是一个后勤运输队.

在海上运送一下枪炮弹药,运送一下作战设备,兼或做点海洋巡查、导弹跟踪劳什子事情.

也就是说,除非打弯弯了,否则根本就不存在跟这个单位打交道的情况.

莫名的,总感觉战争离的还挺远—想念小侠的第三天.

再看具体的安装之前,先快快的看一下硬件环境,小编mermaid个图如下:

先决条件很重要,从这个硬件环境基本就能断定就没有必要跟采购合同对照着看了,小编估计审计都懒得审,这个硬件环境太平淡了,正常到不能再正常.

来个智力小测验,这个硬件环境,哪个地方是薄弱点?哪里能留后门?

UPS.

在看看软件列表.

来个智力小测验,这个软件环境,哪个地方是薄弱点?哪里能留后门?

QNAP.

一个UPS,一个QNAP,其实就完美的印证了木桶理论,安全不取决于最长的那根木板,而是最短那根木板.

只要美国海军继续使用UPS和QNAP,基本就能说明这套方案跟安全两个字关系不大了.

下面看具体安装过程:

第一步创建阵列略过了,直接去到系统安装:

• key大啦啦的给了出来
• 舰艇的名字明晃晃的放到了Computer name.

一个字:”讲究”.

上次看见这样一板一眼的还是在小鬼子那边.

继续走到读盘—文档是2024年的,但是读盘中标识的版本是2016年,说明迭代的年头还是挺久了—这里有个小知识,这是DVD.

说个题外话,这个地球上曾经有一个绝密的地方,文件的存储方式也是光盘,而且是需要哪个抽哪个.

下一步是consent,这个consent就比较呆板了,西欧国家涉密单位通常这里只会写”泄露了你就是在犯罪喔”.

用户名又是一整个的朴实无华.

文档中所有的密码复杂度都是样的.

把telemetry关闭,巧合的验证了我们在”500块贵不贵”文章中的说法:telemetry一定要关闭的.

除了外围UPS和QNAP这两个明显的薄弱点,整体的看,已经收敛的很窄了.几乎没有用到任何高级特性,只做了该做,没有其他冗余动作.

这个工程师的水平,或者说美国海军运维部门的水平还是在线的,80分以上吧.

总结一下:

回顾历史我们已知美国海军这个部门运送物资的能力至少1200万吨,这个补给能力,能不能在弯弯有事的时候发挥相当作用?

小编看,不能.

一来这支部队主要都是文职,战略封运程序—运送装备和燃料有一个繁杂的流程.

二来他只要做 [预置作战物资] 的动作,就总能有一个观察的窗口.

两来相加,只要控了机器,旁边观察一下就行了,两个字:

手拿把掐.

说个题外话:

刚才瞄了一眼闲聊群,挺有意思,群里这么多手握重兵的人才,甚至有经费充足到8位数的.

估计这些小伙伴是刚看我们公众号,否则8位数肯定能花出去,我们随便举个例子,之前发的”格调数据”那篇.

• 新加坡总理
• 法国文化部长
• 特朗普三子 埃里克弗雷德里克特朗普
• 特朗普酒店餐饮总监 约翰尼
• NTT总裁
• 野村执行董事
• 韩国驻纽约总领事馆
• 哈萨克斯坦共和国驻联合国一等秘书
• 日本外交部大使
• 法国外交部
• saic
• mufg
• 美国国务院
• 以色列mfa

这些人的邮件,家庭电话,手机号码,传真,十几个字段,马志一应俱全.

8位数1000万,拿出来800万买一个ios圈天,这些人随便控几个不就行了?

还能剩200万公款贪墨.

美滋滋乎?

美滋滋矣.

msc.7z

格调

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：大眼睛网络安全 bigeyesec bigeyesec《美国海军运输司令部服务器架设教程》