运维应该从哪几层去防护机房安全?
1、硬件层面
- 进出机房,设置门禁、指纹识别、来访登记、具体操作的事项;
- 防止静电、监控机房温度、电子监控、空调安全运行的情况;
- 电力安全保障、UPS+服务器双电源、灭火器、消防设备;
- 接地线、防水、防地震、机房异地灾备、机柜加固、防雷。
2、系统层面&防护的策略
- Linux内核版本是否稳定、BUG、漏洞;
- 远程连接端口、SSHD服务、端口和服务;
- 登录用户名、密码安全、授权访问的IP地址;
- 启动文件、误操作、误删除、备份核心文件。
- 定期升级Linux内核版本,尽量使用稳定版本,及时给系统打补丁;
- 尽量不使用root用户登录,启用普通用户+sudo配置提权;
- 定期修改服务器远程登录用户名、密码,密码复杂度足够复杂;
- 引入系统级别的防火墙,关闭不必要的服务、端口、进程、设置安全策略;
- 引入杀毒软件,木马拦截工具、定期扫描服务器系统的安全;
- 编写运维服务器管理流程、规范运维人员命令、配置,防止误操作、删除;
- 7x24小时x365监控服务器系统CPU、MEM、DISK、NET、I/O使用情况;
- 引入Selinux系统级别的安全防护,限制某个软件、进程、目录访问权限;
- 定期备份操作系统重要配置文件、WEB代码、数据库、启动文件、任务计划。
3、软件层面&防护的策略
- 软件服务的BUG、是否存在漏洞;
- 软件服务的安全、权限设置、对外进程、端口;
- 软件服务是否携带病毒、木马,定时检查;
- WEB页面防止篡改、数据库对外权限、执行的SQL;
- 防止人为误操作、误删除、定期备份软件服务等。
- 尽量使用普通用户运行软件服务,不建议使用root;
- 定期更新软件服务的版本,尽量使用稳定版本,及时打补丁;
- 尽可能隐藏软件服务的版本号,替换软件服务的名称;
- 保障软件服务之间的依赖库稳定、保障其兼容性、稳定性;
- 授予用户访问软件服务的权限、r、w、x权限,尽量设置最小的权限。
4、网络层面
- 硬件设备、防火墙、交换机、路由器设备的安全;
- ARP欺骗、攻击、冒充局域网网关;
- DDOS攻击、大的流量访问;
- 过滤请求包、数据包协议、开放的策略。
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
