有哪些不为人知的安全运维小技巧?
今天分享一些实用安全运维小技巧。
1、主动预防
攻防之间信息往往不对称,很多攻击利用安全漏洞趁火打劫,运维工程师未必能在第一时间拦截,导致服务器被黑。因此运维工程师要主动预防,积极获取信息。
原因无外乎:
1、使用开源程序出现高危漏洞被攻击者上传webshell,服务器配置错误导致攻击者利用运维缺陷上传webshell。
2、程序员编写代码存在诸如sql注入、文件包含,命令执行问题被攻击者发现并利用导致被上传webshell。
俗话说的好,进攻是最好的防守。被动就一定挨打吗?
也不尽然
能够提前预测问题,及时发现问题,处理问题,系统安全就稳了。
运维工程师可以通过这些小技巧,将攻击扼杀在萌芽中。
1、系统加固,取消弱口令、回收外网默认管理后台。访问权限设置,如tomcat、jboss、resin之类服务器做好加固,避免出现弱口令。
2、主动发现、修复漏洞。定期对生产环境和web进行扫描,外网端口扫描要结合资产进行,否则扫描结果差强人意。
3、密切关注开源软件、第三方中间件,了解可能存在的安全风险:比如struts漏洞,早期发现也可控制;
其次是权限控制,在struts漏洞中,使用root运行的struts2,受影响最严重,而运行权限为tomcat 之类的较轻,不会产生更进一步操作比如rm -rf /。
4、被动发现漏洞可以通过AI机器学习算法预测异常,快速修复,不会产生重大生产事故。
2、监控为主、分析为辅
监控的重要性毋庸置疑,在系统运行中,监控可帮助预测异常。对攻击行为作出预测。
记录动作步骤,如上传文件,修改权限等,可溯源系统运行的每一个动作。
分析为辅,可以多点结合准确判断。
比如攻击者对于网站的注入行为,都会触发记录,用作对攻击者的行为分析,且这些行为都是可以分析和追溯攻击者的。
其次日志记录可远程备份,可以利用机器学习算法分析,可追溯攻击者的操作记录,使攻击无处遁形。
全栈式监控,提前预测问题、分析问题,安全运维事半功倍。
3、服务器安全措施
1、硬防火墙。
通过硬件防火墙acl策略也决定是否可以访问某台主机;
2、软防火墙
比如iptables,tcpwrappers,防护软件等,内部对主机进一步进行限制;
3、修改默认的ssh端口
默认是22,建议改成五位。
4、密码要符合复杂性要求,防止暴力破解
避免ssh暴力破解,建议密码稍微复杂一些。
5、禁止root登陆
禁止root远程ssh登录。
6、禁止密码登陆
删除不必要的账号,禁止用户密码登陆。
7、公钥私钥认证
通过公钥私钥rsa2048,并设置复杂性密码。
8、LDAP等方式统一认证登陆
通过对ssh账号集中化管理,进一步提升安全。
安全、稳定是运维的工作核心,一个好的运维产品,可大大降低运维人员的工作压力,高效服务业务运行。LinkSLA智能运维管家,全栈监控,主动预防,moc在线值守,闭环运维。基于多年的研发、服务经验的积累,结合不同行业信息化特点,为用户提供专业、高效的服务方案。
扫码试用,开启无忧运维
需求 在运维工作中随着经验不断增多,以下场景想必经常遇到: Linux如何快速删除大量文件? Vsphere如何在不重启的情况下识别新添加的iscsi硬盘? Linux中rm命令如何做到防误删? 不同 ... shell函数是什么 shell函数可以看作是一组shell命令的组合,用来完成一个特定的功能,它的功能和java中的方法类似. 2. shell函数长什么样 铛铛铛,先上代码. function l ... 运维小菜鸟随笔&Linux入门级操作命令 从事实施运维行业已三年有余,却从未系统的学习过Linux,一直停留在有问题找百度的境界.近日终于痛下决心,系统的梳理一下Linux相关知识,顺便看看, ... 智慧楼宇管理运营端app.运维管理.工单管理.报修管理.维保管理.巡检查询.巡检管理.能源管理.维保查询.智慧社区.巡检统计.工单统计.能源管理.智能楼宇.设备监控.智能社区.系统运营.楼宇运维小程序 ... 题记 早上,收到95后的星友[在路上(昵称)]发的动态,得知其已经通过了Elastic认证考试. 仔细一看,他准备时间只有20天左右,真厉害!为他高兴和点赞. 运维小哥第一时间在星球做了分享,我特意邀 ... OA运维小知识 功能开关目录: D:\WEAVER\ecology\WEB-INF\prop\module 路径存放目录: D:\WEAVER\ecology\WEB-INF\prop\page 右键 ... 目录 事情是这样的 给小姐姐排查问题 系统版本 查看错误 问题分析 停止维护详细时间表 问题解决 1.使用本地镜像源 2.网络镜像源 推荐阅读 python及安全系列 pygame系列文章 事情是这样 ... (本文已不再同步更新,最新代码请移步github) 这阵子一直在学python,碰巧最近想把线上服务器环境做一些规范化/统一化,于是便萌生了用python写一个小工具的冲动.就功能方面来说,基本上是在 ... 第一部分:基础部分 1.1window到linux互传文件 1.1.1使用rz/sz命令 安装:yum install lrzsz –y 最好安装下面的内容: yum install telnet n ...有哪些不为人知的安全运维小技巧?相关推荐
最新文章
热门文章