来自 数据 2021-07-18 04:16 的文章

DDOS高防服务_高防服务器托管_零元试用

DDOS高防服务_高防服务器托管_零元试用

构建一个服务器的过程——无论是物理的还是虚拟的——有很多步骤,我们都要写检查表来确保我们没有遗漏任何一个。虽然它们很有价值,但它们会导致额外的工作来检查每个新系统,并且可能根本无法在响应负载而启动的云服务器上运行。我们不能有一个检查表,它可以在每个新服务器上自动执行检查,而不需要任何人工操作吗?服务器自定义让我们来看看必须在每个新的web服务器上执行的一些示例任务。安装httpd和mod_ssl包删除gcc编译器(因为我们不想在生产机器上编译代码,kpa高防cdn,许多恶意软件需要编译器来传播)下载SSL密钥和证书并检查密钥是否只有用户httpd可读为我们的两个管理员jparker和cadams创建本地用户帐户确保我们将所有日志发送到2个中央syslog服务器显然还有很多,但这为我们的演示提供了一个有用的示例。在一个房间里放上10个DevOps,你会听到10种不同的定制方法:厨师或傀儡食谱,在OS安装结束时完成的kickstart任务,在克隆来制造真正的web服务器的gold master上执行一次的定制,一个下载并运行的shell脚本,或在命令行手动完成的自定义。所有安装方法都有一个共同的问题,那就是它们可能会失败。他们可能会以不同的方式失败…在安装过程中,持有密钥和证书的git服务器正在重新启动,因此我们从不下载它们。一个网络链接断开了,所以我们永远不会得到httpd或mod_ssl包一个新的DevOps被要求创建一个新的web服务器,并且不知道需要额外的定制。有人匆忙或分心,忘记执行其中一个步骤。黄金图片很快就过时了,不会更新。我们需要的是一种自动的方法来验证所有的定制都是为了防止错误和错误的发生。光环配置策略许多Halo用户已经使用我们为基本操作系统或服务器应用程序提供的预构建策略。这些策略检查常见的安全风险,并创建报告或发送警报,以便您对其进行修正。您可以从头开始创建自己的配置策略,我们将在这里向您展示如何检查所有配置步骤是否已执行。如果遗漏了一个,您将在您的服务器扫描报告中看到一个失败(服务器扫描每天运行;您也可以按需运行手动扫描来检查)。首先,创建一个名为"Apache服务器检查表"的配置策略,并将其应用于"Web服务器"组:现在打开策略进行编辑。让我们看看示例清单中的各个项目,看看如何在我们的新政策中检查它们。规则:安装httpd和mod_ssl包检查清单:安装httpd和mod_ssl包删除gcc编译器下载SSL密钥和证书并检查密钥是否只有用户httpd可读为我们的两个管理员jparker和cadams创建本地用户帐户确保我们将所有日志发送到2个中央syslog服务器在我们的政策中,这条规则和接下来的2条规则将归入"软件配置"。我们无法直接测试已安装的软件包。为了测试是否安装了一个包,我们可以查看系统上是否存在该包中的文件。对于httpd,我们要测试系统上是否存在/usr/sbin/httpd。对于mod_ssl,我们将检查/etc/httpd/conf.d/ssl.conf公司有。此文件状态检查将告诉我们已安装这两个软件包:要为给定的包选择一个标记文件,如/usr/sbin/httpd,请查看包文件列表。对于已安装的软件包,请使用:rpm-ql httpd |更少对于未安装的软件包,请下载该软件包的一个RPM并运行:rpm-qpl httpd-2.2.22-4.fc17.x86|64.rpm |以下,替换rpm文件的名称。找到的任何文件都可以作为标志文件正常工作。规则:gcc包被删除检查清单:安装httpd和mod_ssl包删除gcc编译器下载SSL密钥和证书并检查密钥是否只有用户httpd可读为我们的两个管理员jparker和cadams创建本地用户帐户确保我们将所有日志发送到2个中央syslog服务器与上面一样,我们将进行文件存在性检查,但我们希望检查文件是否不存在而不是存在。我们将检查gcc包是否缺少/usr/bin/gcc。规则:安装web服务器SSL密钥和证书并检查权限检查清单:安装httpd和mod_ssl包删除gcc编译器下载SSL密钥和证书并检查密钥是否只有用户httpd可读为我们的两个管理员jparker和cadams创建本地用户帐户确保我们将所有日志发送到2个中央syslog服务器 首先,我们要确保/etc/httpd/conf/ssl.key/服务器.key和/etc/httpd/conf/ssl.crt/服务器.crt存在于上面的文件状态检查中。因为SSL密钥非常敏感,我们还希望使用文件所有权检查来确保它属于用户httpd,并使用文件ACL检查来确保它不是全世界可读的。实际上,我们会进行检查,以确保该文件的所有者以外的任何人都不可读、不可写或不可执行。我们不关心文件ACL的前两位数字,因为它们分别处理用户所有者和组所有者权限。不过,我们确实关心第三个数字,因为这可能会向系统中的所有其他用户授予权限。我们希望它是一个0,以阻止所有其他用户读、写(或执行,尽管在这里没有影响)该文件。配置策略系统没有显式检查来强制将"0"置于第三个位置;我们使用的语法略有不同,阿里云ddos防御节点,但效果相同。我们使用"NOT:**1,防火墙能防御ddos吗,**2,google防御ddos,**3,**4,**5,**6,**7"来声明第三位数不能是1到7之间的任何值。由于0-7是唯一可能的值,因此如果该文件对所有非所有者具有任何权限,则会发出警报。规则:已创建管理员帐户检查清单:安装httpd和mod_ssl包删除gcc编译器下载SSL密钥和证书并检查密钥是否只有用户httpd可读为我们的两个管理员jparker和cadams创建本地用户帐户确保我们将所有日志发送到2个中央syslog服务器最后两条规则将在策略中的"系统配置"下进行。有两种方法可以检查是否使用Halo创建了特定的用户帐户;检查/etc/passwd中是否有"{account_name}:….."行,或者查找名为"/home/{account\uname}"的目录。后者不是一个好的选择,因为用户帐户的主目录可能位于不同的位置,因此我们将改为检查/etc/passwd。我们可以使用字符串状态检查来查找^J帕克:和^地籍:在/etc/passwd中。规则:Syslog将日志发送到中心日志服务器检查清单:安装httpd和mod_ssl包删除gcc编译器下载SSL密钥和证书并检查密钥是否只有用户httpd可读为我们的两个管理员jparker和cadams创建本地用户帐户确保我们将所有日志发送到2个中央syslog服务器我们想要/等等/系统日志.conf每个中央syslog服务器有一行,防御ddos费用,如下所示:*.*@1.2.3.4条下面是一个示例,它检查1.2.3.4和1.2.3.75作为中央系统日志服务器:您将对每个中央syslog服务器进行一次检查。分层配置策略您可以根据需要将多个配置策略应用到您的服务器上—如果您还记得在这个过程的开始,我们将"Apache服务器检查表"应用于已经应用了核心安全策略的组("CentOS和RHEL Linux core policy v.2"),因此Halo正在扫描这两个策略中的检查。我们也可以在编写清单策略时使用这种分层功能——例如,上面的检查中只有两个特定于Apache("Install httpd and mod_ssl"和"Install certificate and check permissions")。其他三个检查可以非常合理地放在"通用服务器检查表"策略中,将两个apache检查留在"apache服务器检查表"中。我们可以将这两个策略应用于"Web服务器"组,并将"通用服务器检查表"应用于所有其他服务器组。简言之,设置一个"常规"策略来检查所有服务器,并根据需要设置特定于应用程序/任务/组的策略。使用此方法,您的CentOS Linux web服务器组可以非常合理地具有三个配置策略:CentOS Linux分发策略、Apache配置策略和全局设置配置策略。