安全運維小技巧

今天分享一些實用安全運維小技巧。

1、主動預防

攻防之間資訊往往不對稱，很多攻擊利用安全漏洞趁火打劫，運維工程師未必能在第一時間攔截，導致伺服器被黑。因此運維 工程師要主動預防，積極獲取資訊。

原因無外乎：

1、使用開源程式出現高危漏洞被攻擊者上傳webshell，伺服器配置錯誤導致攻擊者利用運維缺陷上傳webshell。

2、程式設計師編寫程式碼存在諸如sql注入、檔案包含，命令執行問題被攻擊者發現並利用導致被上傳webshell。

俗話說的好，進攻是最好的防守。被動就一定捱打嗎？

也不盡然

能夠 提前預測問題， 及時發現問題， 處理問題 ，系統安全就穩了。

運維工程師可以透過這些小技巧，將攻擊扼殺在萌芽中。

1、系統加固，取消弱口令、回收外網預設管理後臺。訪問許可權設定，如tomcat、jboss、resin之類伺服器做好加固，避免出現弱口令。

2、主動發現、修復漏洞。定期對生產環境和web進行掃描，外網埠掃描要結合資產進行，否則掃描結果差強人意。 

3、密切關注開源軟體、第三方中介軟體，瞭解可能存在的安全風險：比如struts漏洞，早期發現也可控制；

其次是許可權控制，在struts漏洞中，使用root執行的struts2，受影響最嚴重，而執行許可權為tomcat 之類的較輕， 不會產生 更進一步操作比如rm -rf /。

4、被動發現漏洞可以透過AI機器學習演算法預測異常，快速修復，不會產生重大生產事故。

2、監控為主、分析為輔

監控的重要性毋庸置疑，在系統執行中，監控可幫助預測異常。對攻擊行為作出預測。

記錄動作步驟，如上傳檔案，修改許可權等，可溯源系統執行的每一個動作。

分析為輔，可以多點結合準確判斷。

比如攻擊者對於網站的注入行為，都會觸發記錄， 用作對攻擊者的行為分析， 且這些行為都是可以分析和追溯攻擊者的。

其次日誌記錄可遠端備份，可以利用機器學習演算法分析，可追溯 攻擊者的操作記錄，使攻擊無處遁形。

全棧式監控，提前預測問題、分析問題，安全運維事半功倍。

3、伺服器安全措施

1、硬防火牆。

透過硬體防火牆acl策略也決定是否可以訪問某臺主機；

2、軟防火牆 

比如iptables，tcpwrappers，防護軟體等，內部對主機進一步進行限制；

3、修改預設的ssh埠

預設是22，建議改成五位。

4、密碼要符合複雜性要求，防止暴力破解

避免ssh暴力破解，建議密碼稍微複雜一些。

5、禁止root登陸

禁止root遠端ssh登入。

6、禁止密碼登陸

刪除不必要的賬號，禁止使用者密碼登陸。

7、公鑰私鑰認證

透過公鑰私鑰rsa2048，並設定複雜性密碼。

8、LDAP等方式統一認證登陸

透過對ssh賬號集中化管理，進一步提升安全。

 安全、穩定是運維的工作核心，一個好的運維產品， 可大大降低運維人員的工作壓力，高效服務業務執行。 LinkSLA智慧運維管家，全棧監控，主動預防，moc線上值守，閉環運維。 基於多年的研發、服務經驗的積累，結合不同行業資訊化特點，為使用者提供專業、高效的服務方案。