服务器管理规范

时间 2019-11-17

标签服务器管理规范繁體版

原文原文链接

一配置管理规范全部设备信息必须录入配置管理系统，在配置系统中能随时查询到现网业务的部署分布状况具体信息待配置管理系统创建后再补充主机命名规范网卡vlan规范安全策略命名规范监控/部署/插件/模块命名规范版本命名规范二文件系统管理规范前端

文件布局

. 系统服务及配置文件优先采用LSF标准，其他文件可采用BSD标准[注1]，例如:

 
          -- vim默认配置 
         
          /etc/vimrc 
         
          -- shell环境配置    
         
          /etc/bash.bashrc 
         
          -- 环境变量配置 
         
          /etc/profile.d/ 
         
          -- 受权sudo 
         
          /etc/sudoers.d/

`用户脚本`

 
          -- 自定义脚本，函数 
         
          /opt/sa/shell/ 
         
          -- cron脚本 
         
          /opt/sa/cron/ 
         
          -- 防火墙脚本 
         
          /opt/sa/firwall/

/data分区

 
          -- web目录 
         
          /data/www 
         
          -- 备份目录 
         
          /data/backup

软件包java

 
          -- 服务安装目录 
         
          /usr/local/services/$ 
          package 
         
          -- 软件源码包目录 
         
          /usr/local/services/src 
         
          -- 服务日志目录 
         
          /data/logs/$ 
          package 
          /logs/*.log

文件修改

. 默认配置文件    ---- xxxx.orig
  在没有任何改动的状况下以orig扩展名作一次备份并保留注释，以供参考
. 修改配置文件    ---- xxxx.$date
  对当前配置文件作出修改时, 建议首先以xxxx.$date的命名方式对其作一次备份.
. 当前配置文件
  建议移除相关注释及空行, 在有缩进的状况下以四个空格做为缩进，以保证阅读的清爽性.

三软件包管理规范web

3.1 包管理shell

. 采用自动部署工具(salt, puppet等)管理相应软件包，应避免手动直接安装。
. 只保留安全补丁升级，应避免系统库及相应服务升级。
. 创建官方仓库本地镜像及私有仓库。

3.2 包安装数据库

. 尽可能采用官方源，及稳定的三方源安装相应软件包。
. 若有必须源码编译[注1]，务必遵守Debian官方打包方式进行打包[注2]，以保持LSF规范及自动化管理。
. 自打包程序经过测试及审核后放入私有仓库。
注1: GCC保持默认的o2就好，不要修改CFLAG，以稳定为优先原则。
注2: 勿用checkinstall直接打包。

四日志管理规范vim

4.1 系统日志安全

. 系统日志服务统一采用syslog-ng, 不该与rsyslogd混用
. 针对不一样日志类型, 存于不一样的文件. 例如
/var/log/auth.log      ---- 安全日志
/var/log/kern.log      ---- 内核日志
/var/log/user.log      ---- 用户日志
/var/log/daemon.log    ---- 守护进程日志
/var/log/misc.log      ---- 
/var/log/cron.log      ---- 计划任务日志
/var/log/syslog        ---- 系统日志
/var/log/boot.log      ---- 引导日志
/var/log/messages      ---- 全部日志
. 系统级日志保留7天回滚, 服务级日志保留15天回滚, 并作按期检查

4.2 操做日志bash

. 将全部ssh操做日志记录于文件, 方便系统管理员定位具体时间点的操做, 例如:
/var/log/audit/sysop   
/var/log/audit/dba
/var/log/audit/root

五安全管理规范服务器

5.1 .网络访问规则业务模块类型不一样策略组尽可能不通，好比db类，前端类，下载类等等。（这样作的目的是尽可能把权限控制死，减小黑客入口） ACL 外网策略默认入默认全关，针对访问需求开放外网策略默认出全开内网默认出和入均开放不一样vlan之间作绝对隔离 iptables 外网策略默认入全关，针对访问需求开放外网策略默认出全开内网默认出和入均开放 5.2 .程序监听端口非特殊需求1024如下端口禁止使用，且定义为高危端口，若发现高危端口暴露公网则进行罚款警告数据库端口和ssh进程端口严谨暴露外网只使用内网访问的程序禁止使用0.0.0.0监听网络

六 DB操做规范 6.1 用户权限分级业务帐户备份帐户管理帐户其余需求帐户（主要指查询）主从复制帐户 6.2 修改db和数据前先备份,大型db变动能够先停掉slave,待变动完成后再开启。 6.3 禁止擅自修改数据，若要修改须要提交需求 6.4 db 备份必需要有异地备份,db 须要打开binlog,备份须要有slave. 6.5 不肯定状况请找DBA 确认。

七版本更新规范 7.4 版本更新checklist模板制定每次版本更新须要针对实际操做状况根据checklist模板进行细化制定。 7.5 禁止开发登录服务器进行更新和修改操做（特殊状况请说明） 7.6 未经测试经过或者有严重bug的版本禁止对外发布，如须要发布，须要项目PM和QA确认。 7.7 临时修改发布内容视实际状况自行评估，原则上肯定的内容临时调整不接受。

八故障处理规范 .大型故障处理 .服务器故障 .业务故障处主要是checklist,须要包含故障现象，分析问题过程和故障处理恢复过程

九监控规范业务上线后必须立刻加入监控,此做为上线的其余步骤同等重要监控中必需监控指标项必须加入（以前lorin有提供文档）

十其余变动规范搬迁，开服，新功能上线等都属于变动范畴。 10.1 新服开放须要提早主动搜集运营需求，进行资源的准备和规划须要准备变动所需checklist 10.2 搬迁及升级升级扩容预案搬迁方案的准备回滚方案准备数据一致性校验以上方案在操做前须要提交运维团队进行评审确认。