运维安全操作建议规范手册

运维安全操作建议规范手册

数据安全规则要求：

1.凡是测试项目，软件和数据库原则上不上阿里云。

2.部署在企业内部的项目可以自行创建数据库。

3.自建数据库，如果涉及到重要数据，必须要做定时备份，或者主备或者高可用，避免数据丢失。

4.公司阿里云上的数据库，不得通过 ODOO 自动创建，可以通过人工创建数据库名称，以及数据库备注。

（项目，负责人）

5.测试环境的数据库，研发可以自行删除，也可以自行创建。

6.阿里云上的正式数据需要删除的，由研发和管理员核对无误后删除。

7.所有项目自建数据库系统不得使用弱口令，特别是 MYSQL。(长度>7,不得连续字母数字，不使用通用密

码，不得连续键盘按键 qwer 等)

8.如有数据 库备份到本地的，可以放到公司 NAS 上面。

9.新项目在阿里云上的正式数据库要新建用户赋予单独的权限，无法操作其他数据库。

10.避免在操作 linux 系统的时候，手敲输入 rm -rf / xxx，应该明确进入到需要删除的文件夹统计目录，

确认后再输入 rm -rf xxx。

11.数据库有条件的，尽量不开放外网访问。

12.研发更新程序之前要确保自己的代码不会造成删库影响。

13.公有云账号上不应该保留太多的余额，保留几千就行了，避免按量付费的东西被黑客攻击导致大量费用。

14.所有正式数据库都要有备份策略。

15.所有重要的测试环境数据库也要有备份策略。

容器部署规则要求：

1.docker 部署的文件路径凡是有重要数据的必须映射出来。

2.K8S 集群部署数据库必须设置 POD 亲和性，不允许漂移，或者直接映射网络存储后再允许漂移。

3.研发应提供相应的容器启动命令。

病毒安全防护规则要求：

1.杜绝使用弱口令。

2.老版本系统（WINXP

,WIN7,WIN10-1800 以前）要严防 U 盘病毒。

3.尽量从腾讯、360 等正规应用市场下载软件。

4.操作系统和应用系统的漏洞，一些重要项目上线前要做安全扫描，并修复漏洞。

5.windows 环境，有条件可以使用 360 团队版，最大化程度的预防勒索病毒。

6.阿里云的服务器要使用定时自动快照功能，即便文件被加密也有备份。

7.关闭 135、445、137、138、139 端口。

8.关闭共享文件夹、或者关闭弱口令的共享文件夹。

9.应用程序高危漏洞要及时修复。

其他运维操作规范要求

1.研发不能以本地运行都正常为借口搪塞运维，运维也不能以别的业务都正常，就单个应用有问题为借口

搪塞研发，需要具体原因具体分析。

2.尽量避免运维参与代码层面的错误检查，但是可以向研发反馈错误。

3.项目上的全职或者是兼职运维，可以深度参入项目的运维活动，可以指定研发人员作为某个项目的兼职

运维负责人。

4.对服务器复杂或者没把握的操作之前要打快照。

5.对删除或者破坏性的操作要谨慎小心，应该用先停用、禁用的原则 ，非必要不要去删除操作。

6.生产环境操作要有敬畏之心、任何影响系统运行的操作都要向上报备。

7.修改某些复杂设置，要保留之前的配置截图。

8.不懂的要多百度搜索。

9.某些批处理的安装脚本，要检查一下脚本内容，最好在干净的环境先运行，免得对其它服务造成影响。

10.触摸计算机零件之前先摸机箱机柜放静电。

11.FRP 关闭和操作防火墙的时候，别把自己远程的路给断了。

12.Centos7.9千万别偷懒直接关闭防火墙，关闭防火墙会导致docker网卡故障。

13.FRP、NGROK、NPS客户端启动的名称要写清楚客户端端口和IP，避免无法追溯的链接。

14.请勿使用静电口袋垫底通电开机，因为静电口袋是导体或者半导体。
15.LGA2011平台散热器螺丝切勿拧太紧。
16.请不要将显卡供电插入cpu供电，需要双8针供电，极端情况下可以改造插头，正负极反转使用。
17.主板安装螺丝孔要对准
18.部分机箱底部不够平整，或者距离主板太近，底部请做好绝缘处理。
19.请不要将cpu座椅上的针脚弄坏弯曲等。
20.安装轻拿轻放。
21.请勿擅自维修。
22.主板跳线请注意usb插针位置，切勿乱插，官网有说明书。
23.请注意开机跳线的位置，其他的灯拿不准建议不插。
24.内存请先将少量的内存从CPU最外侧开始增加，切勿第一次就插内测或者插满内存条。
25.请不要将电源的小4针插到主板风扇4针接口上。
26.如果是用100W以内的双CPU，在CPU供电只有8pin的情况下，一边插4针，功耗大一点的CPU不建议这么干。