服務器管理規範

時間 2019-11-17

標籤服務器管理規範简体版

原文原文鏈接

一配置管理規範全部設備信息必須錄入配置管理系統，在配置系統中能隨時查詢到現網業務的部署分佈狀況具體信息待配置管理系統創建後再補充主機命名規範網卡vlan規範安全策略命名規範監控/部署/插件/模塊命名規範版本命名規範二文件系統管理規範前端

文件佈局

. 系統服務及配置文件優先採用LSF標準，其他文件可採用BSD標準[注1]，例如:

 
          -- vim默認配置 
         
          /etc/vimrc 
         
          -- shell環境配置    
         
          /etc/bash.bashrc 
         
          -- 環境變量配置 
         
          /etc/profile.d/ 
         
          -- 受權sudo 
         
          /etc/sudoers.d/

`用戶腳本`

 
          -- 自定義腳本，函數 
         
          /opt/sa/shell/ 
         
          -- cron腳本 
         
          /opt/sa/cron/ 
         
          -- 防火牆腳本 
         
          /opt/sa/firwall/

/data分區

 
          -- web目錄 
         
          /data/www 
         
          -- 備份目錄 
         
          /data/backup

軟件包java

 
          -- 服務安裝目錄 
         
          /usr/local/services/$ 
          package 
         
          -- 軟件源碼包目錄 
         
          /usr/local/services/src 
         
          -- 服務日誌目錄 
         
          /data/logs/$ 
          package 
          /logs/*.log

文件修改

. 默認配置文件    ---- xxxx.orig
  在沒有任何改動的狀況下以orig擴展名作一次備份並保留註釋，以供參考
. 修改配置文件    ---- xxxx.$date
  對當前配置文件作出修改時, 建議首先以xxxx.$date的命名方式對其作一次備份.
. 當前配置文件
  建議移除相關注釋及空行, 在有縮進的狀況下以四個空格做爲縮進，以保證閱讀的清爽性.

三軟件包管理規範web

3.1 包管理shell

. 採用自動部署工具(salt, puppet等)管理相應軟件包，應避免手動直接安裝。
. 只保留安全補丁升級，應避免系統庫及相應服務升級。
. 創建官方倉庫本地鏡像及私有倉庫。

3.2 包安裝數據庫

. 儘可能採用官方源，及穩定的三方源安裝相應軟件包。
. 若有必須源碼編譯[注1]，務必遵守Debian官方打包方式進行打包[注2]，以保持LSF規範及自動化管理。
. 自打包程序經過測試及審覈後放入私有倉庫。
注1: GCC保持默認的o2就好，不要修改CFLAG，以穩定爲優先原則。
注2: 勿用checkinstall直接打包。

四日誌管理規範vim

4.1 系統日誌安全

. 系統日誌服務統一採用syslog-ng, 不該與rsyslogd混用
. 針對不一樣日誌類型, 存於不一樣的文件. 例如
/var/log/auth.log      ---- 安全日誌
/var/log/kern.log      ---- 內核日誌
/var/log/user.log      ---- 用戶日誌
/var/log/daemon.log    ---- 守護進程日誌
/var/log/misc.log      ---- 
/var/log/cron.log      ---- 計劃任務日誌
/var/log/syslog        ---- 系統日誌
/var/log/boot.log      ---- 引導日誌
/var/log/messages      ---- 全部日誌
. 系統級日誌保留7天回滾, 服務級日誌保留15天回滾, 並作按期檢查

4.2 操做日誌bash

. 將全部ssh操做日誌記錄於文件, 方便系統管理員定位具體時間點的操做, 例如:
/var/log/audit/sysop   
/var/log/audit/dba
/var/log/audit/root

五安全管理規範服務器

5.1 .網絡訪問規則業務模塊類型不一樣策略組儘可能不通，好比db類，前端類，下載類等等。（這樣作的目的是儘可能把權限控制死，減小黑客入口） ACL 外網策略默認入默認全關，針對訪問需求開放外網策略默認出全開內網默認出和入均開放不一樣vlan之間作絕對隔離 iptables 外網策略默認入全關，針對訪問需求開放外網策略默認出全開內網默認出和入均開放 5.2 .程序監聽端口非特殊需求1024如下端口禁止使用，且定義爲高危端口，若發現高危端口暴露公網則進行罰款警告數據庫端口和ssh進程端口嚴謹暴露外網只使用內網訪問的程序禁止使用0.0.0.0監聽網絡

六 DB操做規範 6.1 用戶權限分級業務帳戶備份帳戶管理帳戶其餘需求帳戶（主要指查詢）主從複製帳戶 6.2 修改db和數據前先備份,大型db變動能夠先停掉slave,待變動完成後再開啓。 6.3 禁止擅自修改數據，若要修改須要提交需求 6.4 db 備份必需要有異地備份,db 須要打開binlog,備份須要有slave. 6.5 不肯定狀況請找DBA 確認。

七版本更新規範 7.4 版本更新checklist模板制定每次版本更新須要針對實際操做狀況根據checklist模板進行細化制定。 7.5 禁止開發登錄服務器進行更新和修改操做（特殊狀況請說明） 7.6 未經測試經過或者有嚴重bug的版本禁止對外發布，如須要發佈，須要項目PM和QA確認。 7.7 臨時修改發佈內容視實際狀況自行評估，原則上肯定的內容臨時調整不接受。

八故障處理規範 .大型故障處理 .服務器故障 .業務故障處主要是checklist,須要包含故障現象，分析問題過程和故障處理恢復過程

九監控規範業務上線後必須立刻加入監控,此做爲上線的其餘步驟同等重要監控中必需監控指標項必須加入（以前lorin有提供文檔）

十其餘變動規範搬遷，開服，新功能上線等都屬於變動範疇。 10.1 新服開放須要提早主動蒐集運營需求，進行資源的準備和規劃須要準備變動所需checklist 10.2 搬遷及升級升級擴容預案搬遷方案的準備回滾方案准備數據一致性校驗以上方案在操做前須要提交運維團隊進行評審確認。