運維安全在現在的運維環境中依然是非常重要的、我将常見的安全分幾個大項列出、有不足之處、歡迎補充。
網絡
1、資料庫和redis等不對外開放的服務禁止公網連接配接
2、關閉一些無用的服務和端口
3、公網通路的端口開放80和443端口(vpn或跳闆機端口)
4、禁止公網ssh連接配接伺服器(可選,需要安裝vpn或跳闆機)
系統
1、最小化安裝系統
2、伺服器用非root權限登陸或者證書登陸
3、服務啟動用非root使用者啟動
4、開啟防火牆隻開啟對外提供的端口
5、更新系統軟體如:bash openssl openssl-devel libc 等一些安全或加密方面的
6、安裝fail2ban 軟體防止ssh暴力破解工具(可選)
7、密碼滿足最短長度及複雜性
操作
1、用非root使用者登陸伺服器及操作
2、操作記錄(審計),危險指令非root禁止使用
服務
1、隐藏服務版本号
2、服務端口劃分,如:8000-9000,給所有的應用使用
應用
一般的都有
webshell
SQL 注入
監控
1、基礎監控,如:cpu、記憶體、内盤、網絡流量
2、服務監控,如:nginx、tomcat
3、服務健康檢測、可通過api或直接模拟通路監控
4、日志監控、分系統日志和服務日志監控
對ssh登入監控
審計
對使用者操作記錄和審計
日常巡檢
定期檢查及更新系統更新檔