用户:控制用户权限,访问权,执行权,不必要的权限不给,公共文件,只能看不能改eg:/usr/local/*
他人的文件不可看不可改。同组的人员,依具体情况而定。
文件:严格控制文件/文件夹的写入权限,控制文件/文件夹的访问权限,属组。私人文件放家目录,各种操作
尽量在家目录进行。公有文件可以放共享目录下,文件是否可更改依情况决定。
程序:程序独立性,坚决不能用root去执行程序,同理也不要用自己的用户执行业务程序。程序运行用户要互相独立
例如nginx,有专门的nginx的系统用户执行程序。每新增业务程序需要生成新的用户去执行,并设置为nologin
降低程序之间的耦合性,保证程序高可用。
端口:非必须的端口不开放,开放端口区分外网,内网。(内网可开放例如22 ,3306 之类的端口。外网不可开放。)
内网之间开放端口也要注意,只开放软件必须端口。防火墙做好设置,授权要针对性授权,不能随便开放整个网段,
外网开放端口需要严格控制,一般只开放 80/443 。
数据库:规划阶段做好分库分表。做好数据规划,保证数据安全,禁止root用户远程登陆,使用随机密码。
grant授权时,尽量做到授权精准到具体的表。不能随便授权*.* 这种过高的权限。 授权ip做到具体ip不要随便授权
某个IP段,或所有人。
系统层:严格控制命令权限,不随便给超越位权限给某些危险命令,sudo权限严格把控,如果有特殊需求,可以用
ACL权限,不要随便授权给普通用户。如有必要,可用pam模块做服务器上的权限,限制。原则上禁止所有用户密码
登陆。
758
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
