服務器安全性的運行與維護 理論（一）

提早檢查

服務器和網站漏洞檢測，對Web漏洞、弱口令、潛在的惡意行爲、違法信息等進行按期掃描。代碼的按期檢查，安全檢查，漏洞檢查。服務器安全加固，安全基線設置，安全基線檢查。數據庫執行的命令，添加字段、加索引等，必須是通過測試檢查的命令，才能在正式環境運行。

 數據備份

服務器數據備份，包括網站程序文件備份，數據庫文件備份、配置文件備份，若有資源最好每小時備份和異地備份。創建五重備份機制：常規備份、自動同步、LVM快照、Azure備份、S3備份。按期檢查備份文件是否可用，避免出故障後，備份數據不可用。重要數據多重加密算法加密處理。程序文件版本控制，測試，發佈，故障回滾。

安全監控

nagios監控服務器常規狀態CPU負載、內存、磁盤、流量，超過閾值告警。zabbix或cacti監控服務器常規狀態CPU負載、內存、磁盤、流量等狀態，能夠顯示歷史曲線，方便排查問題。監控服務器SSH登陸記錄、iptables狀態、進程狀態，有異常記錄告警。監控網站WEB日誌（包括nginx日誌php日誌等），能夠採用EKL來收集管理，有異常日誌告警。運維人員都要接收告警郵件和短信，至少所負責的業務告警郵件和短信必須接收，運維經理接收重要業務告警郵件和短信。（除非是專職運維開發）除服務器內部監控外，最好使用第三方監控，從外部監控業務是否正常（監控URL、端口等），好比：監控寶。

故障避免預防

網站WEB增長WAF，避免XSS跨站腳本、SQL注入、網頁掛馬等漏洞威脅。程序代碼鏈接數據庫、memcache、redis等，可使用域名（域名HOSTS指定IP），當出問題，有備用的服務器，就能夠經過修改DNS或者HOSTS，恢復服務。創建應急預案機制，按期演練事故場景，估算修復時間。部署蜜罐系統，防範企業和服務器內網APT攻擊。創建雙活集羣，包括業務服務的高可用，避免業務服務單點。服務器集羣採用跳板機或堡壘機登陸，避免服務器集羣每臺服務器能夠遠程鏈接管理。操做重要業務升級、遷移、擴容……以前，列一下操做步驟，越詳細越好，實際操做按步驟操做，操做完作好記錄。

事中操做

網站WEB增長WAF，發現XSS、SQL注入、網頁掛馬等攻擊，會自動攔截，並記錄日誌。檢查服務器數據備份是否可用。在處理需求和故障時，執行風險命令（好比rm、restart、reboot等）需再三確認，執行命令前，檢查所在服務器，所在服務器路徑，再執行！不要疲勞駕駛，喝酒不上機，上機不喝酒，尤爲別動數據庫，避免在不清醒的狀態下，在服務器上執行了錯誤命令，致使數據丟失或業務故障。在處理事故時，必定要考慮處理措施是否會引起連鎖故障，重要操做三思而行。

過後檢查分析

實現網絡安全可視化管理，能夠看到天天有那些異常IP和異常URL請求，服務器集羣開放端口列表等。能對全網進行安全策略集中管理。統一日誌收集和分析。備份及篡改恢復功能，程序文件、圖片、數據文件、配置文件的備份，故障回滾機制。對攻擊日誌進行深度分析，展示攻擊路徑、攻擊源，協助管理員溯源。踐行DevOps的無指責文化，尤爲是在作事故分析時。事故分析重在定位緣由，制定改進措施；