运维应该从哪几层去防护机房安全?

1、硬件层面

  • 进出机房,设置门禁、指纹识别、来访登记、具体操作的事项;
  • 防止静电、监控机房温度、电子监控、空调安全运行的情况;
  • 电力安全保障、UPS+服务器双电源、灭火器、消防设备;
  • 接地线、防水、防地震、机房异地灾备、机柜加固、防雷。

2、系统层面&防护的策略

  • Linux内核版本是否稳定、BUG、漏洞;
  • 远程连接端口、SSHD服务、端口和服务;
  • 登录用户名、密码安全、授权访问的IP地址;
  • 启动文件、误操作、误删除、备份核心文件。
  • 定期升级Linux内核版本,尽量使用稳定版本,及时给系统打补丁;
  • 尽量不使用root用户登录,启用普通用户+sudo配置提权;
  • 定期修改服务器远程登录用户名、密码,密码复杂度足够复杂;
  • 引入系统级别的防火墙,关闭不必要的服务、端口、进程、设置安全策略;
  • 引入杀毒软件,木马拦截工具、定期扫描服务器系统的安全;
  • 编写运维服务器管理流程、规范运维人员命令、配置,防止误操作、删除;
  • 7x24小时x365监控服务器系统CPU、MEM、DISK、NET、I/O使用情况;
  • 引入Selinux系统级别的安全防护,限制某个软件、进程、目录访问权限;
  • 定期备份操作系统重要配置文件、WEB代码、数据库、启动文件、任务计划。

3、软件层面&防护的策略

  • 软件服务的BUG、是否存在漏洞;
  • 软件服务的安全、权限设置、对外进程、端口;
  • 软件服务是否携带病毒、木马,定时检查;
  • WEB页面防止篡改、数据库对外权限、执行的SQL;
  • 防止人为误操作、误删除、定期备份软件服务等。
  • 尽量使用普通用户运行软件服务,不建议使用root;
  • 定期更新软件服务的版本,尽量使用稳定版本,及时打补丁;
  • 尽可能隐藏软件服务的版本号,替换软件服务的名称;
  • 保障软件服务之间的依赖库稳定、保障其兼容性、稳定性;
  • 授予用户访问软件服务的权限、r、w、x权限,尽量设置最小的权限。

4、网络层面

  • 硬件设备、防火墙、交换机、路由器设备的安全;
  • ARP欺骗、攻击、冒充局域网网关;
  • DDOS攻击、大的流量访问;
  • 过滤请求包、数据包协议、开放的策略。

发表评论

登录... 后才能评论