运维安全图谱1.0
2023-10-19 22:00:47 0 举报AI智能生成
常识级别入门分享
作者其他创作
大纲/内容
已知
开源软件
程序
专业性入侵
未知
漏洞分类
主要服务器不直接放在互联网,通过负载转发
数据库,应用,web放不同服务器
管理后台,数据库,操作系统的链路要专线,或者vpn访问
root禁用
建立监测机制
root1
root2
系统账号
tomcat
mysql
redis
应用账号
租户中心
权限中心
功能账号
账号分类
工具:sudo
所有服务器的权限收集到一个权限服务器
账号权限设置工具
高权限登录安全性
访问访问
运维访问
内网访问
通过网络
重点外网访问到内网的探测
互联网用户访问的进出限制
拓扑安全
常规外网设备,中等规模公司4台设备即可
日志安全
转发内网请求
转发外网请求
防火墙
负载均衡
定期巡检
实时监控
负载均衡机器价值
外网安全
请求频率
请求协议
网络频段,端口
根据调用关系确定策略
默认策略设置为连接拒绝
防火墙实时监控,失效就告警
设置专线
不走交换机
注意对方如果开放外网造成我们的安全问题
杜绝访问到我们内网其他服务器
案例:公司外前置访问机器到公司内机器
内网安全
禁止外网,telnet访问
设置ssh访问
更好的方式,使用证书
定期更换密码,设置复杂密码
权限管理
交换机安全
网络安全
系统裁剪
network
sshd
iptables
rsylog
最少自启动服务
禁止异地登录
禁用root账号
使用命令操作
禁用编辑器
禁止账号密码登录
使用ssh登录
禁止编辑和删除
日志
重要文件锁定
敏感账户监控并告警
敏感日志监控并告警
防止黑客通过默认账号进来
关闭默认生成的账号
rm
user add
敏感命令设置账号权限和操作范围
linux
本地安全策略
用户权限
调整组策略
防火墙
IPSEC策略
windows
操作系统安全
远程连接数据库,不要连接服务器然后登录
常见配置项参考mysql手册
基本的软件安装之后的加固
脚本携带数据库账号密码的,限制账号权限
不要命令行操作mysql
给不同数据库的账号不同的权限
命令行不要直接输入密码
数据库服务器
每个应用最小数据库权限
访问用户限制来源IP
定期修改密码
VPN连接数据库
不同数据库放在不同数据库服务器
不同数据库不同的账号密码
数据库安全
运维安全图谱1.0
0 条评论
回复 删除
下一页
