系統(tǒng)安全方案

系統(tǒng)和平臺安全方案1系統(tǒng)漏洞解決方案1定期由具有安全檢測資質(zhì)的第三方公司對系統(tǒng)和平臺進行安全測試和漏洞掃描，并出具相關(guān)報告對報告中的漏洞進行補丁升級，對不安全的部分進行整改系統(tǒng)和平臺的漏洞整改后，進行漏洞二次掃描，直到合格為止2系統(tǒng)安全配置方案生產(chǎn)機器禁止密碼登陸，采用密鑰登陸系統(tǒng)設(shè)置口令復(fù)雜度參數(shù)，設(shè)置口令最小長度不得少于16位字符、最短使用期限大于1天，最長使用期限小于180天，須滿足以下示范T5p2eX4m9IyXjA==系統(tǒng)在賬戶名/密碼驗證機制的基礎(chǔ)上，添加了密鑰認證方式；系統(tǒng)修改默認權(quán)限，限制了普通用戶系統(tǒng)權(quán)限；數(shù)據(jù)庫設(shè)置賬戶登錄失敗處理，設(shè)置賬戶失敗鎖定次數(shù)為5次以下，鎖定時間大于30分鐘平臺提供登錄失敗次數(shù)（3-5次）限制，如超過次數(shù)鎖定賬戶或者鎖定賬戶一段時間，避免口令猜測；部署tomcat服務(wù)時，刪掉自帶應(yīng)用linux機器服務(wù)運行mysqlphpnginx外，其它服務(wù)以普通用戶起服務(wù)redis/zookeeper/mysql等啟動綁定本地網(wǎng)卡需要暴露公網(wǎng)的端口使用10000號以上linux機器文件和目錄權(quán)限目錄755文件64412使用高版本tomcat，高版本phpopenssh升級[ops@master-]$ssh-V0penSSH_7t4pl,OpenSSL1.0,2k-tips26Jan2017zookeeper和memcached加密起動系統(tǒng)日志進行安全過濾cat/var/log/secure|awk'/Failed/{print$(NF-3)}'|sort|uniq-c|sort-nr系統(tǒng)安全登陸設(shè)置sed-i's@#PermitRootLoginyes@PermitRootLoginno@'/etc/ssh/sshd_configsed -i 's@#PermitEmptyPasswordsno@PermitEmptyPasswordsno@'/etc/ssh/sshd_configsed-i's@#UseDNSyes@UseDNSno@'/etc/ssh/sshd_config

/etc/ssh/sshd_config系統(tǒng)賬號錯誤登陸鎖定sed-iauthrequiredpam_tally2.sodeny=3'1aunlock_time=6/etc/pam.d/sshd'1aunlock_time=6/etc/pam.d/sshd3重大安全隱患保障服務(wù)器木馬事件處置預(yù)案1適用場景描述：服務(wù)器掛馬,cpu被挖礦原因歸類：服務(wù)器安全維護問題應(yīng)急操作步驟：進入服務(wù)器查看服務(wù)器負載Tasks:139total,1running,13Bsleeping,0stopped, 0zombie^jCpu(s):白.咅us,1.0sy±G.6nir53.3id^48.1w巧0.9hir9.2 &.2stKiBMein:3880415total,1M112free, 632G92used,3054212bLff/cacheKiBSwap:16777212tota\t16777212free. aussd.2936836availHemPIDUSER PRNI VIRT RESSHR5垃丙酬EN TIME+COMMAND267root31206root3595zabbix1G335ops30761[rysqlrootrootrootroot7rootroot號root10267root31206root3595zabbix1G335ops30761[rysqlrootrootrootroot7rootroot號root10root20202fl23?D20200rt20?Drt122646B767615770815S9S32516885212167622163472sea15524&1643438?3312i9eeD

S

SR5S5Ssss5S09.52]bd2/xvdal-316.53AViYunDun^abbixagentclGGnQItop55h65mysqld27.96systend00.39kthreaddkscftirqd/G00.00kwrker/0：fiH20.OSitiigrmtion/OflG.00rcu_bh47.70rcu^sched25.76waftchdog/Q(2)查看cpu使用率高的服務(wù)進程[opsgmaster?]$ps-ef|grep31208(3)kill命令殺死木馬進程ops@masterT$kill31208服務(wù)器入侵事件處置預(yù)案1適用場景描述：數(shù)據(jù)入侵篡改2.原因歸類：服務(wù)器安全維護問題3.應(yīng)急操作步驟：

[root^docker-)#rkhunter--check[RootkitHunterversion1.4.6]Checkingsystemcommands,...Performing'strings1commandchecksChecking'strings1€on)mand[OK]Performing'sharedlibralies1checksCheckingforpreloadiigvariables[Nonefound]Checkingforpreloadedlibraries[Honefound]如果出現(xiàn)紅色，會替換相應(yīng)的系統(tǒng)程序服務(wù)器流量異常事件處置預(yù)案1適用場景描述：服務(wù)器網(wǎng)卡流量異常2.原因歸類：服務(wù)器安全維護問題3.應(yīng)急操作步驟：(1)用nethogs查看服務(wù)器進程流量[root@docker-]#nethogs-aethO(2)找到最高流量的進程Net^CMjsversion0.3.5I PIDUSERPROGRAMDEVSENTRECEIVEDroot19.51.21.24:54624-10.173.161.40:133060.-993￡1.104K0/sec7root10.51.21-74:B9-IK,97.219.1：3794■0,2350,569KB/sec7rootIS.51.21.24:1G05Q10.252.223.133i6294fl0-417G?4斗4K0/sec?root10s31.21-24553&ae-10.60,226,59;2^694Q.2540.333KH/sec?root10.51.21,24^4^3-100.97..223.131;59S310,1650.211KB/stc532C4opssshid:ops@pt&/3ethQ6.35BS.D52K0/sec7r?t18.51,21,24；3&642-1?.168-&7,42：21?1□.-025Q.014NB/stc：ir&ot10.51?21.24151160-10.168.&7.42:21616.-D230.D14K0/sec1r&ot19.51.21.54510-ID.IBS.&7.42!21S1白點學(xué)B.S14KB/s^c?rootIS.51-21.24;56110-IS.174.96.65;2161e.f)230.014?ront10.51.21.24147114-10?168-ST.