一、防火墙

防火墙是服务器的第一道防线，虽然不能百分百防护得到，但至少能阻挡大多数黑客的DOS或DDOS以及利用部分开源软件的漏洞进行病毒植入等攻击。

1.防火墙设置开机自启动

systemctl enable firewalld

2.防火墙常用命令

(1)防火墙状态查看(开启或关闭)

systemctl status firewalld

(2)开放端口

firewall-cmd --permanent --add-port=端口/tcp

(3)关闭端口

firewall-cmd --permanent --remove-port=端口/tcp

(4)防火墙重启

firewall-cmd --reload

(5)查看防火墙已开放端口

firewall-cmd --list-ports

注意:
无论是服务器开放端口还是关闭端口必须要重启防火墙生效，否则无效。

二、远程连接

1.ssh端口修改

vim /etc/ssh/sshd_config

添加一行Port 12593即可，如图所示:

重启sshd:

systemctl restart sshd

需要开启防火墙：

firewall-cmd --permanent --add-port=12593/tcp
firewall-cmd --reload

2.禁用root远程登录

修改配置文件:

vi /etc/ssh/sshd_config

添加如下内容:

找到 # PermitRootLogin yus
改为 PermitRootLogin no

创建用户及授权：

useradd blog #添加用户
passwd #重置密码
chown -R 用户名  路径

三、备份管理

1.数据备份

编写服务脚本通过scp命令进行远程传输到备份服务器对应的数据备份
目录。
核心命令如下:

scp  -r sql_月份或天.zip mysql@ip:/home/mysql/backup

数据备份脚本内容可供参考(可以结合上面的scp命令，实现备份到另外的服务器):


#!/bin/bash
base_dir=/home/blog/sql_script
DATE=$(date +%Y%m%d)
time=$(date "+%Y-%m-%d %H:%M:%S")
cd $base_dir
mysqldump -uroot -p123456 --databases wordpress nacos > dump_$DATE.sqlif [ $? -eq 0 ]
thenecho "成功备份mysql数据库,当前日期为:"$time >> /home/blog/mysql_dump.logelseecho "备份mysql数据库失败:当前日期为:"$time>> /home/blog/mysql_dump.logfi

2.程序日志备份

目前日志主要存储在/home/blog/dev/log目录下。
核心命令如下(可写入shell脚本定时执行):

scp -r server_log_月份或天.zip server@ip:/home/server/backup

3.系统日志备份(针对服务器所产生的系统日志)

一般日志主要存储在/var/log下。
核心命令如下(可写入shell脚本定时执行):

scp -r system_log_月份或天.zip system@ip:/home/system/backup

四、定期更新系统内核

1.硬件兼容性更好(支持更多的硬件)；
2.修复原有内核系统漏洞(有的黑客会以原有系统漏洞来达到攻击服务器的目的)，提升系统稳定性；
3.系统将拥有更多的内存(内核部分将不会被交换到虚拟内存中，这也是不少朋友感觉服务器内存虽然16G，实际能用的可能只有12~13G左右)；
4.更多的新功能和特性，提高效率，减少运维工作量

要按照实际情况更新系统内核，切不可随意更新，更新前一定要有充足的准备，防止更新以后出现不兼容性问题导致影响巨大(特别是生产环境，要特别小心，可以事先做试验更新确保问题，同时也把坑给踩了)。

1.更新yum源仓库
yum -y update
2.启用 ELRepo 仓库
rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org
3.安装ELRepo仓库的yum源
yum install
https://www.elrepo.org/elrepo-release-7.el7.elrepo.noarch.rpm
4.查询可用的系统内核包
yum --disablerepo="*" --enablerepo="elrepo-kernel" list available
5.安装最新版本内核
yum --enablerepo=elrepo-kernel install kernel-ml
6.设置新的内核为grub2的默认版本
grub2-set-default 0
7.生成 grub 配置文件并重启
grub2-mkconfig -o /boot/grub2/grub.cfg (必须等待该命令执行完毕后才执行reboot重启服务器)
reboot
8.验证新内核
uname -r

五、服务管理

1.应用软件

(1)MySQL

a.避免使用默认端口3306；

b.如需对外暴露，限制IP；

c.对外连接账户，密码设置复杂且做严格库表权限控制；

d.不使用根用户运行MySQL。

(2)Redis

a.禁止监听公网；

b.禁止使用root用户启动；

c.限制Redis配置文件访问权限(chmod 600 redis.conf)

d.修改默认端口(最好不要为6379)；

e.打开保护模式；

f.开启账号密码认证模式；

g.数据加密，开启SSL代理。

(3)Nginx

a.隐藏版本号(防止黑客针对版本漏洞进行攻击)；

b.开启HTTPS；

c.开启黑白名单；

d.添加账号认证(一般为basic，双重认证的体系)；

e.限制请求方法；

f.拒绝User-Agent和Header头设置；

g.图片防盗链；

h.控制并发连接数；

i.限制缓冲区大小(防止缓冲区溢出攻击)。

2.微服务

(1)通过网关代理访问，仅暴露网关(网关处于公网下，一般Nginx代理网关，网关处于内网)。

(2)各个微服务处于内网，通过注册中心建立联系，如涉及集群，可通过Nginx负载均衡策略实现请求分发。

服务器实战部署安全策略相关推荐

【微学堂】线上Linux服务器运维安全策略经验分享
技术转载:https://mp.weixin.qq.com/s?__biz=MjM5NTU2MTQwNA==&mid=402022683&idx=1&sn=6d403ab447 ...
OpenStack Icehouse私有云实战部署
linux运维 OpenStack Icehouse私有云实战部署前言相信你一定对"云主机"一词并不陌生吧,通过在Web页面选择所需主机配置,即可快速定制一台属于自己的虚拟主机 ...
实战部署MySQL用户认证的Postfix邮件系统（3）
实战部署Postfix+MySQL+Dovecot+Postfixadmin+Extmail邮件系统(3) -----构建开源邮件系统系列如果您对本系列文章感兴趣,可以通过点击以下链接查看全文: 点 ...
Nginx高性能Web服务器实战教程PDF
网站更多书籍点击进入>> CiCi岛下载电子版仅供预览及学习交流使用,下载后请24小时内删除,支持正版,喜欢的请购买正版书籍电子书下载(皮皮云盘-点击"普通下载" ...
Centos7 搭建LNMP架构服务器实战
Centos7 搭建LNMP架构服务器实战前言需求分析拓朴设计及各服务器地址规划配置部分后端服务器实现 Web-1 nginx整合 Web-2 nginx整合后端服务器测试高可用Web集 ...
Docker实战-部署GPE微服务的监控体系
Docker实战-部署GPE微服务的监控体系前言微服务体系架构里,有很多的解决方案都是使用GPE作为微服务体系的监控体系, 如下图所示: 我们这里经常提到的GPE,包括Grafana,Promet ...
Jenkins服务器实战-臧雪园-专题视频课程
Jenkins服务器实战-125人已学习课程介绍本套课程从持续集成--持续传送--持续测试--持续传送--持续监控和管理都有涉及.能够让没有接触过或者不太了解DevOps实践全过程 ...
K8S实战基础篇：一文带你深入了解K8S实战部署SpringBoot项目
K8S实战基础篇:一文带你深入了解K8S实战部署SpringBoot项目 1.前言 2.简介 2.1.为什么写这篇文章 2.2.需求描述 2.3.需求分析 3. 部署实战 3.1 环境准备 3.2 i ...
服务器安全部署文档（转载）
转载链接http://www.cnblogs.com/EmptyFS/p/3547796.html 年前一直在赶项目,到最后几日才拿到新服务器新添加的硬盘,重做阵列配置生产环境,还要编写部署文档做好安 ...

服务器实战部署安全策略