1. 程式人生 > >Linux運維基礎注意事項

Linux運維基礎注意事項

linux運維安全: 賬號以及密碼一定要複雜,密碼需要符合這樣的規範:字元大於10個;至少包含大小寫以及數字;密碼中不能包含賬號,不能包含自己的姓名全拼,不能有自己的生日數字,不能有自己的電話號碼;密碼要定期更換;不能把密碼儲存再技術本等文件中,要用專業的存密碼軟體儲存; 可以拿一臺機器作為跳板機來登陸其他伺服器,其他伺服器做登陸IP限制(/etc/hosts.allow,/etc/hosts.deny) 能使用金鑰儘量避免使用密碼登陸 可以禁止root直接登陸伺服器,只允許普通使用者登陸,普通使用者su到root 伺服器上用不到的埠關閉,用不到的服務停掉 應用環境程式軟體(apache,nginx,php,mysql)避免使用太老版本 不可逆操作在操作前一定要備份相關的資料或配置檔案(備份可以選擇以日期為命名的方式,例如:cp /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf_20161204) 重要資料一定要備份,儘量本地和遠端儲存兩份 敲命令切勿太快,避免誤操作

web禁止目錄瀏覽(apache:Options -lndexes;nginx編譯時加上 --without-http_autoindex_module) web可寫目錄下禁止解析php(apache:php_admin_flag engine off;nginx:localtion ~ . *abc/. *\.php?$ {deny all;}) web默虛擬機器禁止訪問,apache第一個虛擬主句,nginx如果不單獨分離虛擬主機配置檔案也為第一個,否則就是有 "listen 80 default"那個。 設定php禁止函式:php.ini中增加disable——functions = popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,opennlog,syslog,readlink,symlink,leak,popepassthru,stream,stream_socket_server,popen,proc_open,proc_close,phpinfo 設定openbase_dir(apache: php_admin_value open_basedir /data/123:/tmp/; php-fpm: php_admin_value[open_basedir]=/data/123:/tmp/)

網站根目錄下禁止有test命令的檔案如test.php php.ini中關閉display_error php禁止訪問遠端檔案(php.ini中allow_url_fopen = off;allow_url_include = off) 站點後臺訪問需要限定ip 建議每個站點都配置訪問日誌,並且做日誌切割壓縮歸檔,磁碟空間允許的話,儘量儲存比較久的時間 儘量避免開放ftp服務,如果要開放需要滿足兩個原則:(1、限定ip訪問(iptables實現);2、密碼設定一定要複雜)

DNS的view功能可以根據ip庫來只能解析電信、聯通、教育網、移動等網路,前提是我們需要一個比較全面的ip庫。目前有個免費的解決方案-dnspod Squid快取伺服器快取的是靜態檔案(圖片、js、css等) 機房可以選擇多線機房,伺服器之間通過內網傳輸 Memcached為MySQL資料的快取服務,需要web伺服器支援(安裝php的memcache擴充套件) 共享儲存可以自己搭建NFS,但效率不高,建議使用SAN裝置

使用visio設計架構圖(需要網上找個可用的金鑰)