许吉友 - 运维

三级登保经验

  1. 建议在服务器上限制可登录服务器的管理终端地址,仅允许特定的地址登录。

    修改 /etc/ssh/sshd_config,添加:

    AllowUsers bbders@59.212.43.0/24
    AllowUsers fgwxy@59.212.43.0/24

    所有机器都设置了这一规则,想要登录,需要先登录 59.212.43.84,然后进行跳转。

  1. 建议修改允许的最大登录重试次数为3-5次,设置页面超时自动退出时间

    /etc/ssh/sshd_config 添加参数:

    MaxAuthTries 3
    ClientAliveInterval 600

    允许失败3次,ssh 空闲超时时间是 10 分钟。

  1. 增加除用户名/口令以外的身份鉴别技术,如密码/ 令牌、生物鉴别方式等,实现双因子身份鉴别,增强身份鉴别的安全力度。
  1. 建议修改或禁用系统默认账户root。

    /etc/ssh/sshd_config 添加参数:

    PermitRootLogin no
  1. 根据管理用户的角色对权限进行细致的划分,有利于各岗位细致协调工作,同时仅授予管理用户所需的最小权限,避免出现权限的漏洞使得一些高级用户拥有过大的权限。例如,将管理用户划分为网络管理员、安全管理员、主机管理员、数据库管理员等角色,并设置对应的权限。

    已设置 bbders、fgwxy、mysql 等多个用户

  1. 由于实现安全标记的条件比较苛刻,一般情况下,不做要求。但对于必须实行强制访问控制的重要信息资源,可以选择特殊的操作系统或专用设备来实现。
  1. 设置定期自动备份审计记录,尽量采用非覆盖的备份方式。如果有条件,做异机或者冷备。定期查阅备份的成功与否。

    有自动定期脚本 /opt/backup-script/audit-backup-script.sh

    #!/bin/bash
    
    rsync -a -e 'ssh -p 22022' --delete /var/log/audit bbders@node84/data1/backupData/node83/
    
    DATE=`date + '%F-%T'`
    
    echo "$DATE backup audit log done" >> audit-backup.log

    定期执行 /etc/crontab

    0 0 * * * root /opt/backup-script/audit-backup-script.sh
  1. 漏洞扫描测试还未做(等系统部署完成后统一做漏洞扫描)
  1. 建议在服务器操作系统上安装防病毒软件,并及时进行病毒库更新,以保障操作系统运行安全。

    yum install -y clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-scanner-cladv-devel clamav-lib clamav-server-systemd
    
    systemctl enable clamd@scan
    systemctl start clamd@scan
    systemctl status clamd@scan
  1. 建议尽量采购已应用“可信计算”的关键网络设备、安全设备和关键计算设备。
  1. 部署专门的备份设备或执行备份作业任务,合理配置备份策略,定期进行备份数据的恢复校验测试,确保备份的有效性。
  1. 建立符合规范要求的异地灾备场地,确保两地间用于实时备份的网络带宽富裕且畅通无阻。部署专门的备份设备或执行备份作业任务,合理配置备份策略,定期进行异地备份数据的恢复校验测试,确保备份的有效性。
  1. 应用服务器和数据库服务器等重要数据处理系统均要采用双机热备等方式部署,消除单点故障,确保重要数据处理系统的高可靠性。