運維安全思考

   運維安全在現在的運維環境中依然是非常重要的、我将常見的安全分幾個大項列出、有不足之處、歡迎補充。

網絡

1、資料庫和redis等不對外開放的服務禁止公網連接配接

2、關閉一些無用的服務和端口

3、公網通路的端口開放80和443端口（vpn或跳闆機端口）

4、禁止公網ssh連接配接伺服器（可選，需要安裝vpn或跳闆機）

系統

1、最小化安裝系統

2、伺服器用非root權限登陸或者證書登陸

3、服務啟動用非root使用者啟動

4、開啟防火牆隻開啟對外提供的端口

5、更新系統軟體如：bash openssl openssl-devel libc 等一些安全或加密方面的

6、安裝fail2ban 軟體防止ssh暴力破解工具（可選） 

7、密碼滿足最短長度及複雜性

操作

    1、用非root使用者登陸伺服器及操作

    2、操作記錄（審計），危險指令非root禁止使用

服務

     1、隐藏服務版本号

     2、服務端口劃分，如：8000-9000，給所有的應用使用

應用

    一般的都有

       webshell

       SQL 注入

監控

1、基礎監控，如：cpu、記憶體、内盤、網絡流量

2、服務監控，如：nginx、tomcat

3、服務健康檢測、可通過api或直接模拟通路監控

4、日志監控、分系統日志和服務日志監控

對ssh登入監控

審計

    對使用者操作記錄和審計

日常巡檢

    定期檢查及更新系統更新檔