XX平台服务器配置与运行规范v1.0

XXX服务器运营配置与规范

作

业

指

导

书

拟制部门：运维部

编制人：陈永科

1、目的

为规范XXX服务器运营管理、配置、安全及稳定使用，指导系统管理人员正确维护使用系统、系统故障时能迅速解决问题、在新安装实例中作为参考，特建立本运营配置规范，以确保公司系统的可靠运营。

2、适用范围

适用于XXXIDC机房所有linux操作系统服务器。

3、职责

运维部负责人：负责对Linux系统的配置管理规范的实施控制和监督检查，定时更新本规范。

运维部运维工程师：需要严格遵循本规范的操作标准对所有linux主机进行系统配置维护和管理。

4、系统版本

针对XXX使用的Linux操作系统Centos6.3版本以及相应的更新版本。

5、系统账号管理

5.1针对操作系统管理员账号密码等策略

5.1.1 口令要求：口令最短8位，最少包含字母、数字、特殊字符，测试服务器也不能使用简单密码

5.1.2 登陆次数限制：登陆失败尝试5次锁定该账户60分钟，管理员至少每季度更改一次密码，发现有异常要及时更改密码

/etc/pam.d/system-auth系统认证配置文件，添加下面一行：

"auth required pam_tally2.so onerr=fail deny=5 unlock_time=60"

/etc/login.defs修改密码全局更新密码策略

"PASS_MAX_DAYS=9999"改为"PASS_MAX_DAYS=90"，每季度须更改一次密码。

"/etc/shadow"修改所有用户的密码策略

修改对应用用户以"::"分段的第五列，将"99999"改为"90"

5.2 用户密码检查与管理

每星期对关键管理员用户进行检查，检查结果登记得服务器巡检

文件配置：/etc/passwd系统用户文件

/etc/group系统用户组文件

/etc/shadow系统用户密码文件

用命令"cat /etc/passwd"查看系统用户文件是否正常

6 各系统应用运行环境管理

6.1 远程访问管理

所有设备/服务器必须使用ssh v2.0进行登陆管理，禁止使用telnet进行管理，关闭telnet服务，每个管理员必须使用自己的用户名登陆系统。

SSH配置文件：/etc/ssh/sshd_config

service sshd start|stop|restart|status ssh服务的启动、停止、重启、运行状态修改SSH默认端口

修改"#Port 22"将22改为22022端口

将SSH密码尝试次数限制为5次

修改"#MaxAuthTries 6"，改为5

将允许root登陆改为禁止ROOT登陆

6.2 防火墙iptables配置

防火墙应根据业务系统开放需要的应用端口，默认禁止所有流量进入

防火墙配置文件/etc/sysconfig/iptables

命令："iptables -p INPUT DROP" 默认禁止所有流量进入

iptables -D INPUT -p tcp --dport 端口号-j -ACCEPT"允许TCP端口号进入

chkconfig iptables on 系统启动时加载防火墙

service iptables save 保存防火墙配置

service iptables start 启动防火墙服务

6.3 禁止不需要服务自动启动

命令：chkconfig --list 查看所有chkconfig列表中的服务

chkconfig auditd off 将auditd服务由自动启动中关闭

6.4 定时和周期运行的程序

命令：crontab -l 查看定期运行的任务

crontab -e 编辑定期支行的任务

6.5 系统启动项管理

文件位置：/etc/rc.d/rc.local

命令：cat /etc/rc.d/rc.local查看自启动的服务或者命令

7、系统备份管理

每月1号在vCenter Server 5.1对每台服务器进行快照备份，删除上月快照。

8、系统日志管理

每次巡检必须对系统日志进行检查，日志检查结果记录在巡检表格

九、操作系统安全性检测

系统安全检测策略：每一个应用系统上线前必须对服务器进行漏洞扫描，每个季度须对

应用服务器进行一次扫描，发现任何漏洞必须让安全管理人员评估进行修复。

漏洞扫描工具：

1、软件nessus

2、硬件漏洞扫描器

10、系统逻辑图

附：系统各服务器配置模板