2. 程式人生 > >伺服器安全管理規範

伺服器安全管理規範

阿新 發佈:2019-06-04

現狀

目前,網上運維工程師伺服器安全意識參差不齊,大部分都存在這三方面的問題:

  • 伺服器安全不是很懂;

  • 伺服器安全重要,但沒按要求做,或安全設定不全面;

  • 伺服器安全重要,安全設定都有做,但實際操作有遺忘,安全意識不強。

  • 比如:在2017/01/31 18:00 UTC國外Gitlab出現故障,丟失了6小時的生產資料!Gitlab 資料庫終於在北京時間 2月2日 0:14 恢復成功(18:14 UTC 02/01)。運維工程師操作時。沒有檢查正在操作的伺服器,以至於誤刪除了正常的資料。

 

伺服器安全那些要做,那些不要做

  • 安全設定要不要做?做安全還是不做安全?還是說只做一些基礎設定。

  • 如果安全相關工作,能讓伺服器和伺服器叢集更安全,那就要去做。

  • 安全的相關工作儘量做,不會做的想辦法做,實在沒法做的,那就延後再說,也許現在沒辦法做,可能以後有辦法,想做總能找到辦法。

  • 安全無小事,要想想不安全的後果,如果出現安全事件,資料洩露,資料庫被拖庫,後果是很嚴重的,這樣的案例網際網路上很多,就不多說了。

  • 專案的口號是:使用伺服器安全運維規範,不掉坑,不背鍋!

事前檢查和監控

提前檢查

  1. 伺服器和網站漏洞檢測,對Web漏洞、弱口令、潛在的惡意行為、違法資訊等進行定期掃描。

  2. 程式碼的定期檢查,安全檢查,漏洞檢查。

  3. 伺服器安全加固,安全基線設定,安全基線檢查。

  4. 資料庫執行的命令,新增欄位、加索引等,必須是經過測試檢查的命令,才能在正式環境執行。

資料備份

  1. 伺服器資料備份,包括網站程式檔案備份,資料庫檔案備份、配置檔案備份,如有資源最好每小時備份和異地備份。

  2. 建立五重備份機制:常規備份、自動同步、LVM快照、Azure備份、S3備份。

  3. 定期檢查備份檔案是否可用,避免出故障後,備份資料不可用。

  4. 重要資料多重加密演算法加密處理。

  5. 程式檔案版本控制,測試,釋出,故障回滾。

對於生產環境的資料庫備份:「高逼格企業級MySQL資料庫備份方案,原來是這樣....」,讀者還可以在民工哥技術之路公眾號對話方塊直接回復「備份」,可以獲取一份完整的源自民工哥實際生產環境的資料庫備份方案。

 

安全監控

  1. nagios監控伺服器常規狀態CPU負載、記憶體、磁碟、流量,超過閾值告警。

  2. zabbix或cacti監控伺服器常規狀態CPU負載、記憶體、磁碟、流量等狀態,可以顯示歷史曲線,方便排查問題。

  3. 監控伺服器SSH登入記錄、iptables狀態、程序狀態,有異常記錄告警。

  4. 監控網站WEB日誌(包括nginx日誌php日誌等),可以採用EKL來收集管理,有異常日誌告警。

  5. 運維人員都要接收告警郵件和簡訊,至少所負責的業務告警郵件和簡訊必須接收,運維經理接收重要業務告警郵件和簡訊。(除非是專職運維開發)

  6. 除伺服器內部監控外,最好使用第三方監控,從外部監控業務是否正常(監控URL、埠等),比如:監控寶。

對於運維監控還可以參考一些之前寫過的一篇文章:

面試裝逼系列|這篇文章,讓運維監控不再成為你的短板!

故障避免預防

  1. 網站WEB增加WAF,避免XSS跨站指令碼、SQL注入、網頁掛馬等漏洞威脅。

  2. 程式程式碼連線資料庫、memcache、redis等,可以使用域名(域名HOSTS指定IP),當出問題,有備用的伺服器,就可以通過修改DNS或者HOSTS,恢復服務。

  3. 建立應急預案機制,定期演練事故場景,估算修復時間。

  4. 部署蜜罐系統,防範企業和伺服器內網APT攻擊。

  5. 建立雙活叢集,包括業務服務的高可用,避免業務服務單點。

  6. 伺服器叢集採用跳板機或堡壘機登入,避免伺服器叢集每臺伺服器可以遠端連線管理。

  7. 操作重要業務升級、遷移、擴容……之前,列一下操作步驟,越詳細越好,實際操作按步驟操作,操作完做好記錄。

事中操作

  1. 網站WEB增加WAF,發現XSS、SQL注入、網頁掛馬等攻擊,會自動攔截,並記錄日誌。

  2. 檢查伺服器資料備份是否可用。

  3. 在處理需求和故障時,執行風險命令(比如rm、restart、reboot等)需再三確認,執行命令前,檢查所在伺服器,所在伺服器路徑,再執行!

  4. 不要疲勞駕駛,喝酒不上機,上機不喝酒,尤其別動資料庫,避免在不清醒的狀態下,在伺服器上執行了錯誤命令,導致資料丟失或業務故障。

  5. 在處理事故時,一定要考慮處理措施是否會引發連鎖故障,重要操作三思而行。

     

事後檢查分析

 

  1. 實現網路安全視覺化管理,可以看到每天有那些異常IP和異常URL請求,伺服器叢集開放埠列表等。

  2. 能對全網進行安全策略集中管理。

  3. 統一日誌收集和分析。

  4. 備份及篡改恢復功能,程式檔案、圖片、資料檔案、配置檔案的備份,故障回滾機制。

  5. 對攻擊日誌進行深度分析,展現攻擊路徑、攻擊源,協助管理員溯源。

  6. 踐行DevOps的無指責文化,尤其是在做事故分析時。事故分析重在定位原因,制定改進措施;

 

伺服器遭受攻擊後,這樣排查處理不背鍋! :https://mp.weixin.qq.com/s/sEFxSo60s6MWz4UYu-Bbcw

一篇超實用的服務異常處理指南 :https://mp.weixin.qq.com/s/dduLDD2T1e6GVwdWWtVxsA

黑客入侵 linux 系統常用手段 : https://mp.weixin.qq.com/s/-gkdtMR-rus6nLLvfkOntA

 

相關推薦

伺服器安全管理規範

現狀 目前,網上運維工程師伺服器安全意識參差不齊,大部分都存在這三方面的問題: 伺服器安全不是很懂; 伺服器

Tomcat安全管理規範

靜態化 using classpath 端口配置 黑客 shel 情況 aps ssp s 前言 隨著公司內部使用Tomcat作為web應用服務器的規模越來越大,為保證Tomcat的配置安全,防止信息泄露,惡性攻擊以及配置的安全規範,特制定此Tomcat安全配置規範。

尚思卓越堡壘機安全管理規範

第一章 總 則 第一條 為加強堡壘機的安全管理工作,有效保證堡壘機部署、運維和使用的合規性、安全性和可審計性,結合實際情況,特制定本管理規範。 第二條 本規範中使用到的相關術語定義如下: (一)堡壘機:是一種系統運維安全管理工具,提供使用者對系統進行運維操作的統一入口,既能夠對身份認證、運維

伺服器安全管理總結

1、網站everyone許可權 新增everyone許可權的時候,不需要寫的許可權,不要習慣性讀寫都勾上; 2、解除Netbios和TCP/IP協議的繫結 網路連線》點選本地連線》屬性》點選TCP/IPv4》屬性》高階》WINS》禁用TCP/IP上的Netbios; 3、開

11、高效能web架構之tomcat安全管理規範

Tomcat的常用安全管理規範: 如何修改tomcat的預設路徑: 1、主配置檔案是server.xml ,如何修改tomcat預設訪問路徑: a、建立jsp目錄和index.jsp頁面: [[email protected] ~]# mkdir

Linux 伺服器安全管理

1、刪除系統預設賬戶、組 可以刪除的使用者有:adm,lp,sync,shutdown,halt,news,uucp,operator,games,gopher 等 可以刪除的組有:adm,lp,news,uucp,games,dip,pppusers,popusers,s

網絡安全規範管理解決方案

理解 解決 phone 電影 感染病毒 校園 所有 命令 允許 問題:公司現在有計算機當前在線人數:140移動終端人數:52移動設備受信任情況: 受信任終端數:0 非受信任終端數:0每種終端分布情況: Android人數:32 iphone OS人數:20 。現帶寬共享20

伺服器管理規範

*.伺服器管理規範: 1)最小化安裝,用什麼裝什麼。儘量不解除安裝。 2)遠端伺服器不允許關機,只能重啟。 3)伺服器在負載高峰,不能執行高負載命令(例如:全盤查詢)。 4)伺服器應該定期重啟,高負載伺服器每週應該重啟一次,低負載伺服器最少一月重啟一次。 5)越是安全等級高的伺服器,越要嚴格劃分許可權等級

第20講++安全管理

log images play ges right isp bsp 技術分享 ima 第20講++安全管理

[oracle]Oracle數據庫安全管理

網絡安全 lan 系統資源 dip 監視 選項 登陸 null tle 目錄 + 1.數據庫安全控制策略概述 + 2.用戶管理 + 3.資源限制與口令管理 + 4.權限管理 + 5.角色管理 + 6.審計 1.數據庫安全控制策略概述 安全性是評估一個數據

LogSec日誌大數據審計平臺,企業信息安全管理人員不再“躺槍”

信息安全 it運維 日誌審計 合規審計 作為一名企業信息安全管理人員,你有沒有被各種安全設備、服務器、網絡設備的安全日誌搞得焦頭爛額?無論是要從各種日誌中進行問題分析和定位,還是從日誌中提取有用的信息,是不是都像大海撈針一樣忙得筋疲力盡收獲卻總是寥寥?而且,而且,你們單位裏只有你一個安全管理員

Tomcat 6 --- 你很少使用的安全管理SecurityManager

can 作用 開發 see 方法 encoding txt ava 以及 試想一下,如果你的JSP頁面中包含一句代碼“System.exit(1);”,你的web應用訪問到該JSP時,會發生什麽? 一般使用tomcat可能都沒有註意到這個問題,

SOC(網絡安全管理平臺)

運維 管理平臺 專家 維度 信息 度量 tab -s 快速 SOC平臺,網絡安全管理平臺。 提供集中、統一、可視化的安全信息管理,通過實時采集各種安全信息,動態進行安全信息關聯分析與風險評估,實現安全事件的快速跟蹤、定位和應急響應。從監控、審計、風險和運維四個維度建立起來的

Linux服務及安全管理第八周作業【Linux微職位】

加密解密技術;ca;dns1、詳細描述一次加密通訊的過程,結合圖示最佳。一次完整的加密通訊過程如下:通訊的雙方需要事先協商好單向加密算法,並交換各自的公鑰發送端加密過程1、發送端先用單向加密算法計算出數據的特征碼2、發送端用自己的私鑰加密特征碼,生成數字簽名,並將該數字簽名附加在數據之後3、發送端生成一個臨時

Linux服務及安全管理第九周作業【Linux微職位】

http1、請描述一次完整的http請求處理過程;(1)建立或處理連接:接收請求或拒絕請求;(2)接收請求:接收來自於網絡上的主機請求報文中對某特定資源的一次請求的過程;(3)處理請求:對請求報文進行解析,獲取客戶端請求的資源及請求方法等相關信息;(4)訪問資源:獲取請求報文中請求的資源;(5)構建響應報文:

關於個人密碼安全管理的分析

鍵盤記錄 軟件 密碼 手機 到來 截屏 定期 手機號 解鎖 不管是否接受和喜歡,基於網絡的數字化生活已經到來。 在沒人知道你是不是一條狗的網絡上,密碼極其重要。密碼的安全也極其重要。 不重視密碼安全管理的人,早晚會交學費的。 晚上嗑著瓜子分析了一下,並擬定了自己的密碼

Linux安全管理

文件查看 base64 ash 支持 序列號 詳細 設置 ssh服務 start 安全ssl 功能 機密性 認證 完整性 重放保護TLS協議工作在應用層的下層傳輸層的上層TLS協議(也是大的協議集合) Handshake協議:協商 服務器身份驗證 密鑰交換

linux系統安全標準規範

sys modify any grub加密 icmp server can fixed bit 首先確保所使用的linux系統中的所有軟件都已經安裝到最新版本。linux下的漏洞或者叫做不規範大致如下幾點:用戶登錄,openssl, CA證書,GRUB加密,SMB密碼永不過

GIT管理規範

bsp 文章 gpo 成長 兩個 說明 轉移 版本 一個 當公司的項目大了後,管理上就需要規範起來。 我剛來公司時,公司的項目少,由兩個部門負責。那個時候使用的版本控制是SVN,那個時候還沒有獨立發版的概念(獨立發版--待下篇文章說明),每次發版都是一個大版本。 隨著公司的

WMI問題全解(Windows管理規範)<轉>

hive http arc windows com gin htm itl ID WMI問題全解(Windows管理規範)<轉>WMI問題全解(Windows管理規範)<轉>