linux运维安全:
账号以及密码一定要复杂,密码需要符合这样的规范:字符大于10个;至少包含大小写以及数字;密码中不能包含账号,不能包含自己的姓名全拼,不能有自己的生日数字,不能有自己的电话号码;密码要定期更换;不能把密码保存再技术本等文档中,要用专业的存密码软件保存;
可以拿一台机器作为跳板机来登陆其他服务器,其他服务器做登陆IP限制(/etc/hosts.allow,/etc/hosts.deny)
能使用密钥尽量避免使用密码登陆
可以禁止root直接登陆服务器,只允许普通用户登陆,普通用户su到root
服务器上用不到的端口关闭,用不到的服务停掉
应用环境程序软件(apache,nginx,php,mysql)避免使用太老版本
不可逆操作在操作前一定要备份相关的数据或配置文件(备份可以选择以日期为命名的方式,例如:cp /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf_20161204)
重要数据一定要备份,尽量本地和远程保存两份
敲命令切勿太快,避免误操作
web禁止目录浏览(apache:Options -lndexes;nginx编译时加上 --without-http_autoindex_module)
web可写目录下禁止解析php(apache:php_admin_flag engine off;nginx:localtion ~ . *abc/. *\.php?$ {deny all;})
web默虚拟机禁止访问,apache第一个虚拟主句,nginx如果不单独分离虚拟主机配置文件也为第一个,否则就是有 "listen 80 default"那个。
设定php禁止函数:php.ini中增加disable——functions = popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,opennlog,syslog,readlink,symlink,leak,popepassthru,stream,stream_socket_server,popen,proc_open,proc_close,phpinfo
设定openbase_dir(apache: php_admin_value open_basedir /data/123:/tmp/; php-fpm: php_admin_value[open_basedir]=/data/123:/tmp/)
网站根目录下禁止有test命令的文件如test.php
php.ini中关闭display_error
php禁止访问远程文件(php.ini中allow_url_fopen = off;allow_url_include = off)
站点后台访问需要限定ip
建议每个站点都配置访问日志,并且做日志切割压缩归档,磁盘空间允许的话,尽量保存比较久的时间
尽量避免开放ftp服务,如果要开放需要满足两个原则:(1、限定ip访问(iptables实现);2、密码设置一定要复杂)
DNS的view功能可以根据ip库来只能解析电信、联通、教育网、移动等网络,前提是我们需要一个比较全面的ip库。目前有个免费的解决方案-dnspod
Squid缓存服务器缓存的是静态文件(图片、js、css等)
机房可以选择多线机房,服务器之间通过内网传输
Memcached为MySQL数据的缓存服务,需要web服务器支持(安装php的memcache扩展)
共享存储可以自己搭建NFS,但效率不高,建议使用SAN设备
使用visio设计架构图(需要网上找个可用的密钥)