整体规划
测试环境和生产环境网络从物理上隔离;系统端口/应用端口段规范;对外提供web服务的机器和核心应用数据环境的分离
1.测试机集中管理,在物理机上采用虚拟机方式部署测试环境,与核心生产环境隔离。
2.类似于web服务,邮件服务器这种对外服务的业务环境,与核心业务线上环境隔离,集中管理并使用虚拟机部署
3.网关这类需要面向所有用户开放的服务器,严格控制WEB服务的IP访问许可,不允许部署完全开放的WEB服务。
4.所有核心业务的WEB服务从根目录开始必须配置IP访问控制,针对特定需求对子目录配置权限白名单。
5.核心业务的数据库服务器在配置完成后即只能通过指定的IP连接,需要WEB管理的后台,严格限制IP访问许可。
6.当在服务器上安装系统时,如果服务器是业务部门申请使用的机器,则根据业务部门的申请,确认审批后开放适当的端口,并且必须限制访问IP。否则一律只开ssh登陆端口和监控端口。SSH远程连接仅限公司堡垒机。
7.每台服务器系统禁止root用户远程登陆,并开通仅供系统部门服务器管理人员使用的管理账号,远程连接必须密钥登陆,使用sudo来执行管理命令,每次连接服务器第一次执行sudo相关命令时,需要输入密码。
8.如果服务器是给指定项目使用,则此服务器上存在仅供项目负责人使用的账号,这个账号可以启动关闭应用服务,可以对应用服务所在的目录进行数据的增删改查。如果项目内其他人需要有开启关闭服务的权限。
服务器标准
1.系统版本
2.分区方式
3.目录使用规范
4.默认防火墙规则
5.默认账号权限
6.ssh远程连接
7.新软件的安装
8.新应用申请流程
分区方式
目录规范
系统脚本目录
/opt/scripts/
静态网站数据
/opt/www
数据目录 + 项目名称
/data/
/data/mysql/
日志目录 +项目名称
/data/log/
防火墙
数据库标准
mysql数据库
1.统一版本信息
2.统一安装方式
3.安全机制
4.统一服务端口
5.系统管理权限
6.备份策略
应用服务器
其他
评论 (0)