系统管理及安全规范

整体规划

如测试环境和生产环境网络从物理上隔离；系统端口/应用端口段规范；对外提供web服务的机器和核心应用数据环境的分离; 1.测试机集中管理，在物理机上采用虚拟机方式部署测试环境，与核心生产环境隔离。 2.类似于web服务，邮件服务器这种对外服务的业务环境，与核心业务线上环境隔离，集中管理并使用虚拟机部署 3.网关这类需要面向所有用户开放的服务器，严格控制WEB服务的IP访问许可，不允许部署完全开放的WEB服务。 4.所有核心业务的WEB服务从根目录开始必须配置IP访问控制，针对特定需求对子目录配置权限白名单。 5.核心业务的数据库服务器在配置完成后即只能通过指定的IP连接，需要WEB管理的后台，严格限制IP访问许可。 6.当在服务器上安装系统时，如果服务器是业务部门申请使用的机器，则根据业务部门的申请，确认审批后开放适当的端口，并且必须限制访问IP。否则一律只开ssh登陆端口和监控端口。SSH远程连接仅限公司堡垒机。 7.每台服务器系统禁止root用户远程登陆，并开通仅供系统部门服务器管理人员使用的管理账号，远程连接必须密钥登陆,使用sudo来执行管理命令，每次连接服务器第一次执行sudo相关命令时，需要输入密码。 8.如果服务器是给指定项目使用，则此服务器上存在仅供项目负责人使用的账号，这个账号可以启动关闭应用服务，可以对应用服务所在的目录进行数据的增删改查。如果项目内其他人需要有开启关闭服务的权限。

服务器标准

服务器是业务平稳运行的基石，需要统一管理。 1.系统版本 2.分区方式 3.目录使用规范 4.默认防火墙规则 5.默认账号权限 6.ssh远程连接 7.新软件的安装 8.新应用申请流程

分区方式

分区：根据磁盘大小分成n个分区，分区名字为datan

目录规范

项目目录用 /opt/project/

系统脚本目录 /opt/scripts/

静态网站数据 /opt/www

数据目录 + 项目名称 /data/ /data/mysql/

日志目录 +项目名称 /data/log/

防火墙

默认只对特定IP开放ssh端口

数据库标准

mysql数据库

1.统一版本信息 2.统一安装方式 3.安全机制 4.统一服务端口 5.系统管理权限 6.备份策略

应用服务器

1.统一版本信息 2.安全机制 3.统一服务端口

其他

1.定期更新密码 2.定期对业务系统进行安全扫描