服务器安全管理规范
服务器安全管理规范文章目录服务器安全管理规范Linux服务器安全管理规范系统安装堡垒机账号登录安全策略sudo策略审计策略应用策略防误操作策略Linux服务器安全管理规范系统安装同类型同配置服务器数量超过20台时,应制作自动安装镜像来进行无人值守安装,避免人工安装导致的不一致物理机操作系统使用最小化安装模式如需图形界面,应安装在虚拟机上磁盘分区采用主流模式(如CentOS7采用LVM卷管理系统、x
·
服务器安全管理规范
Linux服务器安全管理规范
系统安装
- 同类型同配置服务器数量超过20台时,应制作自动安装镜像来进行无人值守安装,避免人工安装导致的不一致
- 物理机操作系统使用最小化安装模式
- 如需图形界面,应安装在虚拟机上
- 磁盘分区采用主流模式(如CentOS7采用LVM卷管理系统、xfs文件系统)
磁盘条带化采取:软RIAD或硬RAID,LVM
文件系统选择主流:xfs,ext4
堡垒机
- 堡垒机设置一主一备,SSH为唯一远程管理入口
- 堡垒机为物理服务器而不是虚拟机
- 堡垒机配置为仅指定来源IP可登录(待定)
- 堡垒机的对应的公网SSH端口不能设置为默认端口
- 堡垒机之上如果有硬件防火墙,堡垒机必须配置为私网IP地址,通过NAT提供服务
- 对于安全审计有要求的服务器,使用Gateone等Web方式提供SSH服务
账号登录安全策略
- 账号密码长度至少8位,必须包含数字、字母、特殊字符
- 每个服务器的root密码都不相同(待定)
- 如有预算,使用电子令牌的动态口令作为用户的密码
- 配置SSH禁止root账户通过密码方式登录(可通过密钥登录)
配置示例:
修改配置文件/etc/ssh/sshd_config 修改PermitRootLogin without-password
- 为每一个工程师分配独立的账号
- 启用Denyhosts
- Shell终端5分钟无操作自动退出
sudo策略
- 日常维护需特权的操作使用sudo命令来执行
- 使用sudo时无须输入root或其它用户的密码
- sudoers文件中配置的命令只能是操作系统官方仓库的软件中的命令,命令后应带参数(待定)
- 设置sudo组,限制su命令的用户,系统中不允许任何用户都可以使用su命令来提升到root权限
配置示例(CentOS 7):
修改/etc/pam.d/su文件增加两行注释:
authsufficient/lib/security/pam_root ok.sodebug
Authrequired/lib/securit y/pam_wheel.sogroup=isd
这是就就有isd组的用户可以su到root
审计策略
- 启动auditd服务
- 配置auditd rules,对关键文件的rwxa操作进行记录
应用策略
- 自研应用对外服务端口不可设置在0-1024端口之内,且尽量避免和well known端口冲突
- 非操作系统自带的服务,应采用普通用户来安装和运行
- 开发或测试中的应用,需频繁调整系统的,应将其部署在单独的虚拟机上
防误操作策略
- 禁止ctrl+alt+delete重新启动机器的命令
更多推荐
已为社区贡献3条内容
所有评论(0)