运维安全图谱1.0
2023-10-19 22:00:47 0 举报AI智能生成
常识级别入门分享
作者其他创作
大纲/内容
漏洞分类
已知
未知
开源软件
程序
专业性入侵
未知
拓扑安全
主要服务器不直接放在互联网,通过负载转发
数据库,应用,web放不同服务器
管理后台,数据库,操作系统的链路要专线,或者vpn访问
高权限登录安全性
root禁用
账号分类
系统账号
root1
建立监测机制
root2
应用账号
tomcat
mysql
redis
功能账号
租户中心
权限中心
账号权限设置工具
工具:sudo
所有服务器的权限收集到一个权限服务器
通过网络
访问访问
运维访问
内网访问
互联网用户访问的进出限制
重点外网访问到内网的探测
网络安全
外网安全
常规外网设备,中等规模公司4台设备即可
负载均衡机器价值
转发内网请求
日志安全
转发外网请求
日志安全
防火墙
负载均衡
定期巡检
实时监控
内网安全
根据调用关系确定策略
请求频率
请求协议
网络频段,端口
默认策略设置为连接拒绝
防火墙实时监控,失效就告警
案例:公司外前置访问机器到公司内机器
设置专线
不走交换机
注意对方如果开放外网造成我们的安全问题
杜绝访问到我们内网其他服务器
交换机安全
禁止外网,telnet访问
设置ssh访问
定期更换密码,设置复杂密码
更好的方式,使用证书
使用vpn ,限制来源ip
权限管理
操作系统安全
linux
系统裁剪
最少自启动服务
network
sshd
iptables
rsylog
禁止异地登录
禁用root账号
禁用编辑器
使用命令操作
禁止账号密码登录
使用ssh登录
日志
禁止编辑和删除
重要文件锁定
敏感账户监控并告警
敏感日志监控并告警
关闭默认生成的账号
防止黑客通过默认账号进来
敏感命令设置账号权限和操作范围
rm
user add
windows
本地安全策略
用户权限
调整组策略
防火墙
IPSEC策略
数据库安全
数据库服务器
远程连接数据库,不要连接服务器然后登录
基本的软件安装之后的加固
常见配置项参考mysql手册
脚本携带数据库账号密码的,限制账号权限
不要命令行操作mysql
命令行不要直接输入密码
给不同数据库的账号不同的权限
数据库安全
每个应用最小数据库权限
访问用户限制来源IP
定期修改密码
VPN连接数据库
不同数据库放在不同数据库服务器
不同数据库不同的账号密码
0 条评论
下一页
