Linux系統部署規範v1 0

linux系統部署規範v1.0

目的：

1、盡可能減少線上操作；

2、盡可能實現自動化部署；

3、盡可能減少安裝服務和啟動的服務；

4、盡可能使用安全

協議提供服務；

5、盡可能讓業務系統單一；

6、盡可能監控可監控的一切資訊；

7、盡可能控制一切可控制的安全策略；

8、盡可能定期更新補丁修補漏洞；

具體規範：

a、帳戶和口令

帳戶:

1．為每個系統維護人員建立乙個獨立的普通許可權帳號，為監控機建立監控帳號，分別用於日常系統維護和系統監控；

2．ftp 伺服器配置虛擬帳號；

3．禁止除root 帳號, 系統維護人員帳號和監控機帳號之外所有帳號使用shell的許可權；

4．鎖定所有在安裝系統時自動建立的帳號；

口令：

1．強度：15位以上；包含了字母（大寫字母和小寫字母），數字和特殊符號；不允許包含英文單詞；

2．更改頻率：120天；

b、程式部署

1、部署前注意檢查是否有衝突業務埠以及程式；

2、採用自動化安裝指令碼部署至約定目錄；

3、部署完成後刪除臨時檔案以及具有保密約束的資訊檔案；

4、命令操作時不要直接帶密碼操作；如：mysql –uroot –p123456

5、服務部署完成後，輕易不要更改系統環境，以免引起業務故障；

c、系統優化

調整如下核心引數，以提高系統防止ip欺騙及dos攻擊的能力：

範例：

net.ipv4.ip_forward = 0 # 對於lvs，閘道器或vpn伺服器，要設定為1

net.ipv4.tcp_syncookies = 1

net.ipv4.conf.all.accept_source_route = 0

net.ipv4.conf.all.accept_redirects = 0

net.ipv4.conf.all.rp_filter = 1 # 對於lvs 後端伺服器，要設定為0

net.ipv4.icmp_echo_ignore_broadcasts = 1

net.ipv4.icmp_ignore_bogus_error_responses = 1

net.ipv4.conf.all.log_martians = 1

kernel.sysrq = 0

kernel.core_uses_pid = 1

d、服務優化和安全

1、具體效能優化，依據硬體

而定，一般需要修改的較少，視情況而定；

2、服務安全

僅供參考：

apache

1、隱藏版本號

servertokens productonly

serversignature off

或 servertokens prod

serversignature off

2、禁用符號鏈結

3、使用特定使用者執行nobody

4、指定監聽的埠和ip(如不需多ip提供服務)

5、根目錄許可權

6、 mod_security是乙個集入侵檢測和防禦引擎功能的開源web應用安全程式(或web應用程式防火牆).它以apache web伺服器的模組方式執行, 目標是增強web應用程式的安全性, 防止web應用程式受到已知或未知的攻擊.

7、 mod_evasive 是apache（httpd)伺服器的防ddos的乙個模組

php

1、隱藏版本號

2、禁止遠端檔案功能

3、提公升程式安全性

4、不顯示錯誤資訊，需要查錯時開啟

5、禁止全域性變數（視情況而定）

sed -i 『s/expose_php = on/expose_php = off/g』 /home/system/php/lib/php.ini

sed -i 『s/allow_url_fopen = on/allow_url_fopen = off/g』 /home/system/php/lib/php.ini

sed -i 『s/magic_quotes_gpc = off/magic_quotes_gpc = on/g』 /home/system/php/lib/php.ini

sed -i 『s/display_errors = on/display_errors = off/g』 /home/system/php/lib/php.ini

sed -i 『s/ register_globals= on/ register_globals= off/g』 /home/system/php/lib/php.ini

5、php-ids

6、用suhosin加強php指令碼語言安全性

mysql

1.修改root使用者口令，刪除空口令

2.刪除預設test資料庫

3.使用獨立使用者執行msyql

4.禁止遠端連線資料庫（根據需要開通特定ip）

5.限制連線使用者的數量

6、嚴格控制使用者許可權：僅給予使用者完成其工作所需的最小的許可權;禁止授予process, super, file 許可權給非管理帳戶；

7、禁止將mysql資料目錄的讀寫許可權授予給mysql使用者外的其它os 使用者；

e、系統安全

安全措施僅供參考，因軟體實現的基本只對小量攻擊有效，遇到大量攻擊交由硬體防火牆處理。

針對centos系統的安全措施

1、開啟iptables

限制埠掃瞄；

針對業務開啟相應埠；

針對**ip限制不對外的埠訪問；

2、安裝ossec-hids入侵檢測程式

ossec是一款開源的入侵檢測系統，包括了日誌分析，全面檢測，rook-kit檢測。

3、針對攻擊的防護

針對少量syn-flood攻擊的防護

echo 「1″ > /proc/sys/net/ipv4/tcp_syn_retries

echo 「1″ > /proc/sys/net/ipv4/tcp_synack_retries

echo 「1″ > /proc/sys/net/ipv4/tcp_syncookies

echo 「4096″ > /proc/sys/net/ipv4/tcp_max_syn_backlog

針對少量ddos攻擊的防護

第一種方法：

installation

wget

chmod 0700 install.sh

./install.sh

uninstallation

wget

chmod 0700 uninstall.ddos

./uninstall.ddos

第二種方法：

[root@ddos]# cat ddos.sh

#!/bin/bash

/bin/netstat -na|grep established|awk 『』|awk -f: 『』|sort|uniq -c|sort -rn|head -10|grep -v -e 』192.168|127.0′|awk 『}』>/tmp/dropip

for i in $(cat /tmp/dropip)

do /sbin/iptables -i input -s $i -j drop

/sbin/iptables -d input -s 122.228.193.245 -j drop

echo 「$i kill at `date`」>>/var/log/ddos

done

[root@ ddos]#

針對arp攻擊的防護

在硬體裝置上對ip+mac繫結

交由機房做雙向繫結（付費）

針對cc攻擊的防護

限制單位時間內的連線數：

windows server的防護

（1）、安裝[賽門鐵克終端保護12.小企業版].endpoint_12，對病毒以及埠掃瞄等做防護；

（2）、開啟防火牆、ipsec。

f、安全審計

審計物件工具頻次

linux系統 nmap 1個月

nessus 3個月

口令檔案 john the ripper 3個月

web業務 nikto 1個月

zed attack proxy 1個月

skipfish 1個月

注：新安裝的伺服器必須經過安全審計才允許投入產品環境；

新發布了應用後，必須立即進行安全審計；

g、監控和報警

1、採用nagios針對不同硬體不同業務進行監控，給予相應的閾值，提供報警；

2、採用cacti針對系統歷史資料生成效能圖表，便於故障處理和預防；

總結：

以上規範只限於了解系統部署實施需要注意的事項，可以理解為，安裝部署，效能安全，故障報警等各階段性的工作內容，每一項都需要具體實施操作，雖不嚴格要求按照文件說明一項項完成，但必須在每一階段都做相應的處理，以保障業務系統

Linux系統部署規範v1 0

unity 模型製作規範v1 0

點對點聊天系統 v1 0

TOUCH日誌系統V1 0

Linux系統部署規範v1 0

unity 模型製作規範v1 0

點對點聊天系統 v1 0

TOUCH日誌系統V1 0

相關推薦