運維安全思考

   運維安全在如今的運維環境中依然是很是重要的、我將常見的安全分幾個大項列出、有不足之處、歡迎補充。

網絡

一、數據庫和redis等不對外開放的服務禁止公網鏈接

二、關閉一些無用的服務和端口

三、公網訪問的端口開放80和443端口（***或跳板機端口）

四、禁止公網ssh鏈接服務器（可選，須要安裝***或跳板機）

系統

一、最小化安裝系統

二、服務器用非root權限登錄或者證書登錄

三、服務啓動用非root用戶啓動

四、開啓防火牆只開啓對外提供的端口

五、更新系統軟件如：bash openssl openssl-devel libc 等一些安全或加密方面的

六、安裝fail2ban 軟件防止ssh暴力破解工具（可選） 

七、密碼知足最短長度及複雜性

操做

    一、用非root用戶登錄服務器及操做

    二、操做記錄（審計），危險命令非root禁止使用

服務

     一、隱藏服務版本號

     二、服務端口劃分，如：8000-9000，給全部的應用使用

應用

    通常的都有

       webshell

       SQL 注入

監控

一、基礎監控，如：cpu、內存、內盤、網絡流量

二、服務監控，如：nginx、tomcat

三、服務健康檢測、可經過api或直接模擬訪問監控

四、日誌監控、分系統日誌和服務日誌監控

對ssh登陸監控

   

審計

    對用戶操做記錄和審計

平常巡檢

    按期檢查及更新系統補丁