运维风险预估措施

运维风险预估措施

⏹部门运维部⏹版本编号Ver_1.0

⏹日期2014-05-20 ⏹密级公司内部使用

文档信息

文档名称服务器故障应急措施方案

日期版本号更新说明

2014-05-20 Ver_1.0 建立文档、初始化

一、服务器风险预估

1.服务器被攻击

1.1.拒绝服务攻击

拒绝服务攻击的方式很多，主要常用的攻击手段有SYN Flood、UPD洪水、IP欺骗攻击、CC攻击。

防范DDOS攻击首先要能够检测到，并且及时做出响应，才可以防范。

SYN Flood通过TCP三次握手的原理，服务器如果出现第三次握手包迟迟收不到，将会占用服务器的内存资源，攻击者在较短时间内伪造大量不存在的源IP地址数据包进行攻击，将会耗尽服务器的内存资源，最后无法提供正常服务。

根据SYN Flood的攻击方式，可见动态的根据攻击流量进行设置TCP第三次握手的超时时间是降低攻击效果的主要方法。

1.2.入侵检测

遭受黑客入侵不可怕，可怕的是被入侵还不知道，这就需要部署一台入侵检测设备，可以使用开源的Snort进行部署，但是IDS的误报率会很高，而使用OSSIM的关联分析功能就可以减少很多误报。

1.3.防火墙防护

将服务器放置在防火墙的DMZ区域，通过对防火墙进行配置可以避免外网对服务器进行端口扫描，从而提高服务器的安全。放置在DMZ区有另一个好处就是可以保护内部网络。

2.内部环境安全

2.1.防止ARP欺骗攻击

通过在交换机的接口进行MAC绑定，实现终端设备的接入控制，这样就可以防止恶意用户的接入。

终端电脑绑定网关的MAC地址，以防攻击者欺骗网关。对ARP数据包进行检测，防止ARP洪泛攻击。

2.2.可信任主机接入

在交换机端口下，对IP地址与MAC地址进行绑定，可以限制特定用户对网络进行访问，其余的用户无法接入网络。

2.3.DHCP欺骗攻击

在接入层网络伪造一台DHCP服务器，将所有的网络流量指向黑客创建的伪造网关，所有到伪造网关的流量都会被分析，并且通过伪造DNS，把国内一些大站点的域名指向钓鱼网站，或者放入最新的溢出漏洞夹杂在页面中，造成的危害会很大。

通过在交换机上配置DHCP可行端口进行防范DHCP的欺骗攻击。

3.安全配置

3.1.帐户密码安全

root进程指的是只有root用户的权限才可以启动的服务，通过root绑定1024以下的端口，这样可以防止恶意用户开启低于1024的端口进行欺诈攻击。

用户密码放置在以下路径中：

/etc/passwd

/etc/shadow

可以通过预定的安全策略对密码进行定期修改，并且强制设置高强度的密码，以及使用目前加密强度最大的加密算法，防止被爆破以及APT攻击。

3.2.远程访问安全

禁用明文密码传输的telnet远程访问协议，使用安全shell（ssh）保障数据的安全交换。

3.2.1.修改ssh 服务root登录权限

修改ssh服务配置文件，使的ssh服务不允许直接使用root用户来登录，这样减少系统被恶意登录攻击的机会。

3.2.2.修改ssh服务的端口号

ssh默认会监听在22端口，通过修改至6022端口以避过常规的扫描。

注意：修改端口错误可能会导致你下次连不到服务器，可以先同时开着22和6022两个端口，然后再关掉22端口；重启sshd不会弹掉你当前的连接，可以另外开一个客户端来测试服务;

3.2.3.阻止任何人su作为root

通过禁止普通用户切换到root，但可以设置一组特殊用户切换，降低了服务器被提权的风险。3.3.审计系统日志

对系统日志、关键应用日志进行定期自动异地备份，可用来做故障排错，故障提前报警，也可以防止被黑客为了抹掉登录痕迹而删除，目前对最前沿的日志审计系统是SOC，全称为安全运维中心，可以对各种网络设备、服务器、终端主机进行日志审计，并且做出关联分析。

3.3.1.减小history缓存命令条数

对于linux系统来说，有一条history命令，可以记录用户所输入的命令，如果命令中涉及一些密码或者敏感的操作，将会被黑客利用。通过设置bash的环境变量可以设置history缓存命令的数目。3.3.2.注销时删除命令记录

注销用户的时候就自动清除$home/.bash_history，历史命令只是对当时用户在调试服务器时会用到，当用户退出tty线路自动清除可以防止泄露服务器的历史配置命令，如果有需要可以异地备份。3.3.3.对auth.log进行定期分析

在文件系统/var/log/auth.log的文件下，保存了登录操作系统的时间、ip地址、用户名，对这些日志进行定期分析，可以查出那些未授权的用户登录过。

3.4.DNS安全

服务器系统的Dns被篡改成用于欺诈与钓鱼的dns，将会导致下面连接代理上网的终端被钓鱼网站欺骗，用户信息窃取等情况出现。

4.服务器环境

操作系统本身几乎每天都在更新的，如未能及时打上补丁可能会被攻击，网络如果出现linux的0day 漏洞，就必然会有相应的批量拿站的工具出现，所以危害很大，那么就需要进行定期更新，但是由于公司的服务器都是在生产环境下的，升级操作系统可能会带来风险，

建议可以使用影子服务器进行测试，之后才让生产环境的服务器进行升级，这样可以降低风险。

更新操作系统的流程：

4.1.筛选需要进行更新的补丁，对严重影响服务器系统安全的补丁，以及影响服务器业务的补丁，列入更新

列表。

4.2.验证测试环境下做更新测试，测试更新成功后进行升级。

4.3.获得业务系统所有人的授权

4.4.申请维护时间窗口，尽量选择在网络流量低峰时期。

4.5.升级系统之前，需要对数据进行备份，并且准备回退方案。

5.服务器负载问题

5.1.数据超过硬盘读写负载能力导致应用程序崩溃；

5.2.CPU使用率跑满导致服务器宕机；

5.3.使用内存cache占用过多导致宕机；

5.4.硬盘空间使用满导致宕机；

5.5.用户量过多，服务器带宽不足，导致卡顿，用户访问程序故障；

5.6.系统连接数过多造成系统拥堵网络带宽使用不上；

5.7.数据库数据读写占用过多服务器连接数，达不到预期的服务器带宽；