谈谈做等保三级后的一些关于运维的想法
前言公司现在在跑的项目基本都是通过docker镜像部署在k8s集群当中,这次做等保自查,发现平台的一些高危漏洞(有专业的第三方做这方面的工作),基本上都是一些ssl,php,nfs,mysql这种。ssl这块直接升级就行了。phpphp这块我们是做了基础镜像,我这边的想法是用一个统一的基础镜像。采用Nginx+php-fpm来构建,里面可以加入一些常用的第三方库,例如memcache,redis,
·
前言
公司现在在跑的项目基本都是通过docker镜像部署在k8s集群当中,这次做等保自查,发现平台的一些高危漏洞(有专业的第三方做这方面的工作),基本上都是一些ssl,php,nfs,mysql这种。
ssl
这块直接升级就行了。
php
php这块我们是做了基础镜像,我这边的想法是用一个统一的基础镜像。采用Nginx+php-fpm来构建,里面可以加入一些常用的第三方库,例如memcache,redis,mongod这些。一般php的高危漏洞需要升级php的小版本来解决,所以我们只需要在外面将源码编译好之后拷贝进容器里面就可以了。记得在HTTP headers里面隐藏掉nginx版本,和PHP版本信息,避免泄露版本信息,使得攻击者可以利用当前版本漏洞。
mysql
mysql这块我遇到了zlib和curl两个高危漏洞。我这边提供的解决办法是,在部署mysql时候尽量采用官方提供的二进制包,然后通过软连接到一个目录。这样我们下次升级mysql版本时候,把mysql停掉,修改软连接到新版本目录就可以。这里需要注意的就是,安装mysql时候需要把data目录指定到其他目录,不然在安装目录下面
上面这些就是我在这次修复过程中的一些想法,希望对大家有所帮助
更多推荐
已为社区贡献2条内容
所有评论(0)