服务器安全管理规范

Linux服务器安全管理规范

系统安装

• 同类型同配置服务器数量超过20台时，应制作自动安装镜像来进行无人值守安装，避免人工安装导致的不一致
• 物理机操作系统使用最小化安装模式
• 如需图形界面，应安装在虚拟机上
• 磁盘分区采用主流模式（如CentOS7采用LVM卷管理系统、xfs文件系统）

磁盘条带化采取：软RIAD或硬RAID，LVM
文件系统选择主流：xfs，ext4

堡垒机

• 堡垒机设置一主一备，SSH为唯一远程管理入口
• 堡垒机为物理服务器而不是虚拟机
• 堡垒机配置为仅指定来源IP可登录（待定）
• 堡垒机的对应的公网SSH端口不能设置为默认端口
• 堡垒机之上如果有硬件防火墙，堡垒机必须配置为私网IP地址，通过NAT提供服务
• 对于安全审计有要求的服务器，使用Gateone等Web方式提供SSH服务

账号登录安全策略

• 账号密码长度至少8位，必须包含数字、字母、特殊字符
• 每个服务器的root密码都不相同（待定）
• 如有预算，使用电子令牌的动态口令作为用户的密码
• 配置SSH禁止root账户通过密码方式登录（可通过密钥登录）

配置示例：
修改配置文件/etc/ssh/sshd_config 修改PermitRootLogin without-password

• 为每一个工程师分配独立的账号
• 启用Denyhosts
• Shell终端5分钟无操作自动退出

sudo策略

• 日常维护需特权的操作使用sudo命令来执行
• 使用sudo时无须输入root或其它用户的密码
• sudoers文件中配置的命令只能是操作系统官方仓库的软件中的命令，命令后应带参数（待定）
• 设置sudo组，限制su命令的用户，系统中不允许任何用户都可以使用su命令来提升到root权限

配置示例（CentOS 7）：
修改/etc/pam.d/su文件增加两行注释：
authsufficient/lib/security/pam_root ok.sodebug
Authrequired/lib/securit y/pam_wheel.sogroup=isd
这是就就有isd组的用户可以su到root

审计策略

• 启动auditd服务
• 配置auditd rules，对关键文件的rwxa操作进行记录

应用策略

• 自研应用对外服务端口不可设置在0-1024端口之内，且尽量避免和well known端口冲突
• 非操作系统自带的服务，应采用普通用户来安装和运行
• 开发或测试中的应用，需频繁调整系统的，应将其部署在单独的虚拟机上

防误操作策略

• 禁止ctrl+alt+delete重新启动机器的命令