如测试环境和生产环境网络从物理上隔离;系统端口/应用端口段规范;对外提供web服务的机器和核心应用数据环境的分离; 1.测试机集中管理,在物理机上采用虚拟机方式部署测试环境,与核心生产环境隔离。 2.类似于web服务,邮件服务器这种对外服务的业务环境,与核心业务线上环境隔离,集中管理并使用虚拟机部署 3.网关这类需要面向所有用户开放的服务器,严格控制WEB服务的IP访问许可,不允许部署完全开放的WEB服务。 4.所有核心业务的WEB服务从根目录开始必须配置IP访问控制,针对特定需求对子目录配置权限白名单。 5.核心业务的数据库服务器在配置完成后即只能通过指定的IP连接,需要WEB管理的后台,严格限制IP访问许可。 6.当在服务器上安装系统时,如果服务器是业务部门申请使用的机器,则根据业务部门的申请,确认审批后开放适当的端口,并且必须限制访问IP。否则一律只开ssh登陆端口和监控端口。SSH远程连接仅限公司堡垒机。 7.每台服务器系统禁止root用户远程登陆,并开通仅供系统部门服务器管理人员使用的管理账号,远程连接必须密钥登陆,使用sudo来执行管理命令,每次连接服务器第一次执行sudo相关命令时,需要输入密码。 8.如果服务器是给指定项目使用,则此服务器上存在仅供项目负责人使用的账号,这个账号可以启动关闭应用服务,可以对应用服务所在的目录进行数据的增删改查。如果项目内其他人需要有开启关闭服务的权限。
服务器是业务平稳运行的基石,需要统一管理。 1.系统版本 2.分区方式 3.目录使用规范 4.默认防火墙规则 5.默认账号权限 6.ssh远程连接 7.新软件的安装 8.新应用申请流程
分区:根据磁盘大小分成n个分区,分区名字为datan
项目目录用 /opt/project/
系统脚本目录 /opt/scripts/
静态网站数据 /opt/www
数据目录 + 项目名称 /data/ /data/mysql/
日志目录 +项目名称 /data/log/
默认只对特定IP开放ssh端口
1.统一版本信息 2.统一安装方式 3.安全机制 4.统一服务端口 5.系统管理权限 6.备份策略
1.统一版本信息 2.安全机制 3.统一服务端口
1.定期更新密码 2.定期对业务系统进行安全扫描