Linux系统部署规范v1.0

  1. Linux系统部署规范v1.0 
  2. 目的: 
  3. 1、尽可能减少线上操作; 
  4. 2、尽可能实现自动化部署; 
  5. 3、尽可能减少安装服务和启动的服务; 
  6. 4、尽可能使用安全协议提供服务; 
  7. 5、尽可能让业务系统单一; 
  8. 6、尽可能监控可监控的一切信息; 
  9. 7、尽可能控制一切可控制的安全策略; 
  10. 8、尽可能定期更新补丁修补漏洞; 
  11.  
  12. 具体规范: 
  13. A、 帐户和口令 
  14. 帐户: 
  15. 1.为每个系统维护人员建立一个独立的普通权限帐号,为监控机建立监控帐号,分别用于日常系统维护和系统监控; 
  16. 2.FTP 服务器配置虚拟帐号; 
  17. 3.禁止除root 帐号, 系统维护人员帐号和监控机帐号之外所有帐号使用SHELL的权限; 
  18. 4.锁定所有在安装系统时自动建立的帐号; 
  19. 口令: 
  20. 1.强度:15位以上;包含了字母(大写字母和小写字母),数字和特殊符号;不允许包含英文单词; 
  21. 2.更改频率:120天; 
  22. 3.推荐的选择口令的方法:想出一个句子,用其中每个单词的首字母及其包含的符合,并将字母替换为跟其相似的数字或符号来生成口令,但依据第一条而定; 
  23.  
  24. B、 程序部署 
  25. 1、 部署前注意检查是否有冲突业务端口以及程序; 
  26. 2、 采用自动化安装脚本部署至约定目录; 
  27. 3、 部署完成后删除临时文件以及具有保密约束的信息文件; 
  28. 4、 命令操作时不要直接带密码操作;如:mysql –uroot –p123456 
  29. 5、 服务部署完成后,轻易不要更改系统环境,以免引起业务故障; 
  30.  
  31. C、 系统优化 
  32. 调整如下内核参数,以提高系统防止IP欺骗及DOS攻击的能力: 
  33. 范例: 
  34. net.ipv4.ip_forward = 0 # 对于LVS,网关或VPN服务器,要设置为1 
  35. net.ipv4.tcp_syncookies = 1 
  36. net.ipv4.conf.all.accept_source_route = 0 
  37. net.ipv4.conf.all.accept_redirects = 0 
  38. net.ipv4.conf.all.rp_filter = 1 # 对于LVS 后端服务器,要设置为0 
  39. net.ipv4.icmp_echo_ignore_broadcasts = 1 
  40. net.ipv4.icmp_ignore_bogus_error_responses = 1 
  41. net.ipv4.conf.all.log_martians = 1 
  42. kernel.sysrq = 0 
  43. kernel.core_uses_pid = 1 
  44.  
  45. D、服务优化和安全 
  46. 1、具体性能优化,依据硬件而定,一般需要修改的较少,视情况而定; 
  47. 2、服务安全 
  48. 仅供参考: 
  49. Apache 
  50. 1、 隐藏版本号 
  51. ServerTokens ProductOnly 
  52. ServerSignature Off 
  53. 或 
  54. ServerTokens Prod 
  55. ServerSignature Off 
  56.  
  57. 2、 禁用符号链接 
  58. 3、 使用特定用户运行nobody 
  59. 4、 指定监听的端口和ip(如不需多ip提供服务) 
  60. 5、 根目录权限 
  61. 6、 mod_security是一个集入侵检测和防御引擎功能的开源web应用安全程序(或web应用程序防火墙).它以Apache Web服务器的模块方式运行, 目标是增强web应用程序的安全性, 防止web应用程序受到已知或未知的攻击. 
  62. 7、 mod_evasive 是Apache(httpd)服务器的防DDOS的一个模块 
  63. 8、 mod_cband模块,可以限制用户和虚拟主机带宽。包括:带宽限额,最高下载速度,每秒访问请求速度和最高并发访问ip连接数 
  64.  
  65. PHP 
  66. 1、隐藏版本号 
  67. 2、禁止远程文件功能 
  68. 3、提升程序安全性 
  69. 4、不显示错误信息,需要查错时开启 
  70. 5、禁止全局变量(视情况而定) 
  71. sed -i ‘s/expose_php = On/expose_php = Off/g’ /home/system/php/lib/php.ini 
  72. sed -i ‘s/allow_url_fopen = On/allow_url_fopen = Off/g’ /home/system/php/lib/php.ini 
  73. sed -i ‘s/magic_quotes_gpc = Off/magic_quotes_gpc = On/g’ /home/system/php/lib/php.ini 
  74. sed -i ‘s/display_errors = On/display_errors = Off/g’ /home/system/php/lib/php.ini 
  75. sed -i ‘s/ register_globals= On/ register_globals= Off/g’ /home/system/php/lib/php.ini 
  76. 5、php-ids 
  77. 6、用Suhosin加强PHP脚本语言安全性 
  78.  
  79. Mysql 
  80. 1.修改root用户口令,删除空口令 
  81. 2.删除默认test数据库 
  82. 3.使用独立用户运行msyql 
  83. 4.禁止远程连接数据库(根据需要开通特定IP) 
  84. 5.限制连接用户的数量 
  85. 6、严格控制用户权限:仅给予用户完成其工作所需的最小的权限;禁止授予PROCESS, SUPER, FILE 权限给非管理帐户; 
  86. 7、禁止将MySQL数据目录的读写权限授予给mysql用户外的其它OS 用户; 
  87. E、系统安全 
  88. 安全措施仅供参考,因软件实现的基本只对小量攻击有效,遇到大量攻击交由硬件防火墙处理。 
  89. 针对Centos系统的安全措施 
  90. 1、 开启iptables 
  91. 限制端口扫描; 
  92. 针对业务开启相应端口; 
  93. 针对来源ip限制不对外的端口访问; 
  94. 2、 安装ossec-hids入侵检测程序 
  95. OSSEC是一款开源的入侵检测系统,包括了日志分析,全面检测,rook-kit检测。 
  96. 3、 针对攻击的防护 
  97. 针对少量syn-flood攻击的防护 
  98. echo “1″ > /proc/sys/net/ipv4/tcp_syn_retries 
  99. echo “1″ > /proc/sys/net/ipv4/tcp_synack_retries 
  100. echo “1″ > /proc/sys/net/ipv4/tcp_syncookies 
  101. echo “4096″ > /proc/sys/net/ipv4/tcp_max_syn_backlog 
  102. 针对少量ddos攻击的防护 
  103. 第一种方法: 
  104. Installation 
  105. wget http://www.inetbase.com/scripts/ddos/install.sh 
  106. chmod 0700 install.sh 
  107. ./install.sh 
  108.  
  109. Uninstallation 
  110. wget http://www.inetbase.com/scripts/ddos/uninstall.ddos 
  111. chmod 0700 uninstall.ddos 
  112. ./uninstall.ddos 
  113.  
  114. 第二种方法: 
  115. [root@ddos]# cat ddos.sh 
  116. #!/bin/bash 
  117. /bin/netstat -na|grep ESTABLISHED|awk ‘{print $5}’|awk -F: ‘{print $1}’|sort|uniq -c|sort -rn|head -10|grep -v -E ’192.168|127.0′|awk ‘{if ($2!=null && $1>4) {print $2}}’>/tmp/dropip 
  118. for i in $(cat /tmp/dropip) 
  119. do 
  120. /sbin/iptables -I INPUT -s $i -j DROP 
  121. /sbin/iptables -D INPUT -s 122.228.193.245 -j DROP 
  122. echo “$i kill at `date`”>>/var/log/ddos 
  123. done 
  124. [root@ ddos]# 
  125.  
  126. 针对ARP攻击的防护 
  127. 在硬件设备上对IP+MAC绑定 
  128. 交由机房做双向绑定(付费) 
  129. 针对CC攻击的防护 
  130. 限制单位时间内的连接数: 
  131.  
  132. Windows Server的防护 
  133. (1)、安装[赛门铁克终端保护12.小企业版].ENDPOINT_12,对病毒以及端口扫描等做防护; 
  134. (2)、开启防火墙、ipsec。 
  135.  
  136. F、安全审计 
  137.  
  138. 审计对象 工具 频次 
  139. Linux系统 nmap 1个月 
  140. nessus 3个月 
  141. 口令文件 John the ripper 3个月 
  142. Web业务 Nikto 1个月 
  143. appscan 1个月 
  144. Zed Attack Proxy 1个月 
  145. Skipfish 1个月 
  146. 注:新安装的服务器必须经过安全审计才允许投入产品环境; 
  147. 新发布了应用后,必须立即进行安全审计; 
  148.  
  149. G、监控和报警 
  150. 1、采用nagios针对不同硬件不同业务进行监控,给予相应的阈值,提供报警; 
  151. 2、采用cacti针对系统历史数据生成性能图表,便于故障处理和预防; 
  152.  
  153. 总结: 
  154. 以上规范只限于了解系统部署实施需要注意的事项,可以理解为,安装部署,性能安全,故障报警等各阶段性的工作内容,每一项都需要具体实施操作,虽不严格要求按照文档说明一项项完成,但必须在每一阶段都做相应的处理,以保障业务系统的

 

http://www.brentron.com/xitong/linux/6344.html

posted @ 2014-08-19 18:15  修行,波动线  阅读(430)  评论(0编辑  收藏  举报