新服务器做数据库服务器用,如何测试
发布网友
发布时间:2022-04-09 12:12
共1个回答
热心网友
时间:2022-04-09 13:41
1 - 用户配置
如果它不是您的操作系统设置的一部分,您要做的第一件事就是更改root密码。这应该是不言而喻的,但在例行服务器设置期间可能会被忽略。密码应至少为8个字符,使用大写和小写字母,数字和符号的组合。如果要使用本地帐户,还应设置密码策略,以指定老化,锁定,历史记录和复杂性要求。在大多数情况下,您应该完全禁用root用户,并为需要提升权限的用户创建具有sudo访问权限的非特权用户帐户。
2 - 网络配置
您需要做的最基本配置之一是通过为服务器分配IP地址和主机名来启用网络连接。对于大多数服务器,您将需要使用静态IP,因此客户端始终可以在同一地址找到资源。如果您的网络使用VLAN,请考虑服务器段的隔离程度以及最适合的位置。如果您不使用IPv6,请将其关闭。设置主机名,域和DNS服务器信息。应使用两个或多个DNS服务器进行冗余,您应该测试nslookup以确保名称解析正常工作。
3 - 软件包管理
据推测,您正在为特定目的设置新服务器,因此如果它们不属于您正在使用的分发版,请确保安装可能需要的任何软件包。这些可以是PHP,MongoDB,ngnix等应用程序包,也可以是pear等支持包。同样,应删除系统上安装的任何无关软件包以缩小服务器占用空间。所有这一切都应该通过您的分销包管理解决方案来完成,例如yum或apt,以便在未来更轻松地进行管理。
4 - 更新安装和配置
一旦在服务器上安装了正确的软件包,就应该确保一切都已更新。不仅包括您安装的软件包,还包括内核和默认软件包。除非您需要特定版本,否则应始终使用最新的生产版本来保证系统的安全。通常,您的包管理解决方案将提供最新的支持版本。您还应该考虑在程序包管理工具中设置自动更新,如果这样做适用于您在此服务器上托管的服务
5 - NTP配置
配置服务器以将其时间同步到NTP服务器。如果您的环境具有这些服务器,则可以是内部NTP 服务器,也可以是可供任何人使用的外部时间服务器。重要的是防止时钟漂移,服务器的时钟偏离实际时间。这可能会导致许多问题,包括在授予访问权限之前测量服务器和身份验证基础结构之间的时间偏差的身份验证问题。这应该是一个简单的调整,但它是可靠基础设施的关键点。
6 - 防火墙和iptables
根据你的发行版,iptables可能已被完全锁定并要求你打开你需要的东西,但无论默认配置如何,你都应该看看它并确保它按照你想要的方式设置。请记住始终使用最小权限原则,并且只打开那些服务器上的服务绝对需要的端口。如果您的服务器位于某种专用防火墙后面,请务必否认所有内容,但也有必要。假设您的iptables /防火墙在默认情况下是*性的,请不要忘记打开您的服务器完成其工作所需的内容!
7 - 保护SSH
SSH是Linux发行版的主要远程访问方法,因此应该得到适当的保护。您应该远程禁用root的远程SSH功能,即使您禁用了该帐户,以防万一由于某种原因在服务器上启用了root,它仍然无法远程利用。如果您有一组将要连接的固定客户端IP,您还可以将SSH*为某些IP范围。或者,您可以更改默认的SSH端口以“隐藏”它,但老实说,简单的扫描会向想要找到它的任何人显示新的开放端口。最后,您可以完全禁用密码身份验证,并使用基于证书的身份验证来进一步降低SSH利用的可能性。
8 - 守护程序配置
您已经清理了软件包,但在重新启动时将正确的应用程序设置为自动启动也很重要。务必关闭任何不需要的守护进程。安全服务器的一个关键是尽可能减少活动占用空间,因此可用于攻击的唯一表面区域是应用程序所需的区域。完成此操作后,应尽可能加强剩余服务以确保弹性。
9 - SELinux和进一步硬化
如果您曾经使用过Red Hat发行版,那么您可能熟悉SELinux,这是一种保护系统免受各种操作影响的内核强化工具。SELinux非常善于防止未经授权的使用和访问系统资源。它在打破应用程序方面也很出色,因此请确保在启用SELinux的情况下测试配置,并使用日志确保没有任何合法内容被阻止。除此之外,您还需要研究强化MySQL或Apache等任何应用程序,因为每个应用程序都有一套最佳实践可供遵循。
10 - 日志记录
最后,您应确保已启用所需的日志记录级别,并且您有足够的资源。您最终将对此服务器进行故障排除,因此请立即帮忙,并构建您需要快速解决问题的日志记录结构。大多数软件都具有可配置的日志记录,但您需要一些试验和错误才能在信息不足和过多之间找到适当的平衡点。有许多第三方日志记录工具可以帮助处理从聚合到可视化的所有内容,但是每个环境都需要首先考虑其需求。然后,您可以找到有助于填充它们的工具。
这些步骤中的每一步都需要一些时间来实施,尤其是第一次。但是,通过建立初始服务器配置例程,您可以确保环境中的新计算机具有弹性。如果您的服务器可能是攻击的目标,则不采取任何这些步骤可能会导致相当严重的后果。
做好这些并不能保证足够安全, 但它确实使恶意行为者变得更加困难,并且需要一定程度的技术能力来克服。
