运维安全在如今的运维环境中依然是很是重要的、我将常见的安全分几个大项列出、有不足之处、欢迎补充。nginx
网络web
一、数据库和redis等不对外开放的服务禁止公网链接redis
二、关闭一些无用的服务和端口shell
三、公网访问的端口开放80和443端口(***或跳板机端口)数据库
四、禁止公网ssh链接服务器(可选,须要安装***或跳板机)api
系统tomcat
一、最小化安装系统安全
二、服务器用非root权限登录或者证书登录bash
三、服务启动用非root用户启动服务器
四、开启防火墙只开启对外提供的端口
五、更新系统软件如:bash openssl openssl-devel libc 等一些安全或加密方面的
六、安装fail2ban 软件防止ssh暴力破解工具(可选)
七、密码知足最短长度及复杂性
操做
一、用非root用户登录服务器及操做
二、操做记录(审计),危险命令非root禁止使用
服务
一、隐藏服务版本号
二、服务端口划分,如:8000-9000,给全部的应用使用
应用
通常的都有
webshell
SQL 注入
监控
一、基础监控,如:cpu、内存、内盘、网络流量
二、服务监控,如:nginx、tomcat
三、服务健康检测、可经过api或直接模拟访问监控
四、日志监控、分系统日志和服务日志监控
对ssh登陆监控
审计
对用户操做记录和审计
平常巡检
按期检查及更新系统补丁