本文记录了工作中团队对于服务器安全的一些措施,记录一下,就当是个笔记。我们的服务器还是那种早期的机房--实体机--hyperV虚拟化的形式,并没有上云。高可用还是靠LVS或数据库standby这些技术。所以服务器安全也是在这种配置下来考虑的。
一,机房环境
空调,UPS这两个是最主要的,核心就是物理机不要宕机。空调应该适当冗余,并且定期检查保养;UPS可以对抗电源闪断,电压不稳,也要定期保养。
二,网络
服务器,办公室,生产车间三者的网段应该分开,之间要有防火墙,这样便于管理,可以防止病毒蔓延。
三,服务器硬件
每天去机房看看,最重要的是硬盘状态,坏了要及时更换,否则raid坏了,数据就没了,其次是听声音,如果风扇狂转,要看是否机器过热,考虑清理灰尘。此外,不同产商的服务器,可能会有些缺陷,比如我曾经遇到过更新固件后服务器起不来。这些就要及时和客服沟通。
四、操作系统
这部分也是工作量最大的分windows和linux两部分,先说windows
1.停用guest用户,把administrator账号的密码修改到非常复杂,12位以上带数字大小写字母和特殊符号。或者把administrator的用户名也改了,比如改为winroot之类。不必要的账号不要开启。
2.不需要的服务不要安装,高危端口封掉,在本地组策略新建策略,封掉TCP 445 ,135 ,139 UDP 137, 138端口。防火墙我们是没有在用的,就用本地安全策略来管端口。
3.月度安全补丁要更新,但是建议不是微软发布了就立即更新,除非是紧急漏洞。一般会等一周,然后去微软官网,会有这个补丁的信息,会写更新了会对哪些功能有影响,看看没什么大问题再更,曾经有过补丁更新导致虚拟机无法开机的情况。
4.杀毒软件病毒库及时更新。
5.远端默认端口3389要修改为其它端口。
linux服务器
1.ssh服务的端口22修改为其它端口
2.账号的密码满足复杂度要求
3.我们没在linux上安装杀毒软件