一.系统安全相关

二.服务安全相关

三.备份相关

一.系统安全相关

1.对新申请的服务器进行前期初始化

前期初始化即运行初始化脚本/data/adminshell/preinstall20160705.sh(如果没此文件请自行去svn下载).

1.初始化脚本脚本的相关配置介绍:

1.关闭selinux

2.添加jumpserver的公钥到单台服务器上

3.配置主机名为本地服务器的后两位IP

4.配置dns服务器

5.添加yum源(源包括epel ius nginx zabbix等)

6.系统初始的安装包(zabbix-agent bash gcc gcc-c++ glibc make cmake libaio-devel gmp-devel  libmcrypt-devel zlib zlib-devel openssh openssl openssl-devel  pcre pcre-devel  libjpeg libjpeg-devel libpng libpng-devel freetype freetype-devel libxml2 libxml2-devel glibc glibc-devel glib2 glib2-devel bzip2 bzip2-devel ncurses ncurses-devel curl curl-devel e2fsprogs e2fsprogs-devel xinetd lrzsz dos2unix  postfix libtool)

7.安装nginx(刚去是1.10.1)

8.linux的历史记录的配置

9.最大打开文件的配置

10.基本的内核优化

11.防火墙的初始配置及iptables(注意以后更新iptables统一编辑和执行/bin/iptables.sh)

12.安装chhunter 和monit等扫描和监控软件

2.ssh用key的方式登录,对应sshd的其他配置比如更改端口等配置还没测试,之后更新

3.通过ckhunter入侵检测工具定期检测系统,ckhunter相关功能检测如下:

1.对关键的文件进行md5验证(第一次需要生成验证库),查看文件是否被替换

2.检测是否被入侵,挂马等

4.通过monit对相关的程序、文件、设备等进行监控并发送告警邮件,当前计划监控项目如下:

1.nginx 如果服务宕掉自动重启 是否报警自定义

2.php-fpm 同上 是否报警自定义

3./var/log/seuce 检测文件相应的内容 是否报警自定义

4.iptables 如果服务当掉自动重启 是否报警自定义

5.定期更新服务器的root密码

二.服务安全相关

1.针对于阿里云的所有服务器中的所有业务,服务都使用内网ip开启

2.所有服务的用户权限尽量控制到最小

3.如非必要并已经确认清楚的服务关闭并去掉自启动

4.不定时的通过zabbix,elk等监控分析系统对业务进行分析挖掘异常情况(连接数,流量等)

三.备份相关

1.数据库备份

2.nfs文件备份

3.redis备份

4.nginx等配置文件的备份

5.防火墙更新脚本的备份(/bin/iptables.sh)