XX平台服务器配置与运行规范v1.0
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
XXX服务器运营配置与规范
作
业
指
导
书
拟制部门:运维部
编制人:陈永科
1、目的
为规范XXX服务器运营管理、配置、安全及稳定使用,指导系统管理人员正确维护使用系统、系统故障时能迅速解决问题、在新安装实例中作为参考,特建立本运营配置规范,以确保公司系统的可靠运营。
2、适用范围
适用于XXXIDC机房所有linux操作系统服务器。
3、职责
运维部负责人:负责对Linux系统的配置管理规范的实施控制和监督检查,定时更新本规范。
运维部运维工程师:需要严格遵循本规范的操作标准对所有linux主机进行系统配置维护和管理。
4、系统版本
针对XXX使用的Linux操作系统Centos6.3版本以及相应的更新版本。
5、系统账号管理
5.1针对操作系统管理员账号密码等策略
5.1.1 口令要求:口令最短8位,最少包含字母、数字、特殊字符,测试服务器也不能使用简单密码
5.1.2 登陆次数限制:登陆失败尝试5次锁定该账户60分钟,管理员至少每季度更改一次密码,发现有异常要及时更改密码
/etc/pam.d/system-auth系统认证配置文件,添加下面一行:
"auth required pam_tally2.so onerr=fail deny=5 unlock_time=60"
/etc/login.defs修改密码全局更新密码策略
"PASS_MAX_DAYS=9999"改为"PASS_MAX_DAYS=90",每季度须更改一次密码。
"/etc/shadow"修改所有用户的密码策略
修改对应用用户以"::"分段的第五列,将"99999"改为"90"
5.2 用户密码检查与管理
每星期对关键管理员用户进行检查,检查结果登记得服务器巡检
文件配置:/etc/passwd系统用户文件
/etc/group系统用户组文件
/etc/shadow系统用户密码文件
用命令"cat /etc/passwd"查看系统用户文件是否正常
6 各系统应用运行环境管理
6.1 远程访问管理
所有设备/服务器必须使用ssh v2.0进行登陆管理,禁止使用telnet进行管理,关闭telnet服务,每个管理员必须使用自己的用户名登陆系统。
SSH配置文件:/etc/ssh/sshd_config
service sshd start|stop|restart|status ssh服务的启动、停止、重启、运行状态修改SSH默认端口
修改"#Port 22"将22改为22022端口
将SSH密码尝试次数限制为5次
修改"#MaxAuthTries 6",改为5
将允许root登陆改为禁止ROOT登陆
6.2 防火墙iptables配置
防火墙应根据业务系统开放需要的应用端口,默认禁止所有流量进入
防火墙配置文件/etc/sysconfig/iptables
命令:"iptables -p INPUT DROP" 默认禁止所有流量进入
iptables -D INPUT -p tcp --dport 端口号-j -ACCEPT"允许TCP端口号进入
chkconfig iptables on 系统启动时加载防火墙
service iptables save 保存防火墙配置
service iptables start 启动防火墙服务
6.3 禁止不需要服务自动启动
命令:chkconfig --list 查看所有chkconfig列表中的服务
chkconfig auditd off 将auditd服务由自动启动中关闭
6.4 定时和周期运行的程序
命令:crontab -l 查看定期运行的任务
crontab -e 编辑定期支行的任务
6.5 系统启动项管理
文件位置:/etc/rc.d/rc.local
命令:cat /etc/rc.d/rc.local查看自启动的服务或者命令
7、系统备份管理
每月1号在vCenter Server 5.1对每台服务器进行快照备份,删除上月快照。
8、系统日志管理
每次巡检必须对系统日志进行检查,日志检查结果记录在巡检表格
九、操作系统安全性检测
系统安全检测策略:每一个应用系统上线前必须对服务器进行漏洞扫描,每个季度须对
应用服务器进行一次扫描,发现任何漏洞必须让安全管理人员评估进行修复。
漏洞扫描工具:
1、软件nessus
2、硬件漏洞扫描器
10、系统逻辑图
附:系统各服务器配置模板