服务器操作规范

安全规范

• 账号

  非必要情况下，以非root用户登录操作 多人操作环境，给定普通用户账号

• 口令

  控制口令强度，修改频次为一个月或三个月

• 磁盘使用

  监控磁盘使用情况，防止爆盘

• 重要文件管理 备份 添加不可更改位，这样root用户修改也要指定特定参数

  chattr  +i  filename    /* 加‘不可更改位‘ */         
  chattr  -i  filename    /* 去掉‘不可更改位‘ */

• IP，端口

  限制端口访问机器 禁止修改登录端口 禁止绑定任意程序到特定端口 进程不直接绑定在环路地址上面(0.0.0.0)，需绑定内网ip

• 监控

  开启监控 比如监开启控日志，nginx，thinkjs默认自带开启日志 版本 系统或软件从官方渠道下载 系统命令禁止修改，如rm，mv

• 访问控制

  禁用目录浏览，敏感文件数据禁止放在web目录下面（包括svn，cvs版本控制的文件）

操作规范

• 服务器

  危险操作前一定要备份

• 数据库

  绑定内网ip 设置登录密码 删除默认数据库及用户 新建mysql用户和组，相关权限给到mysql用户 库，表级别操作慎重

• 危险操作

  rm -rf dir/filename 此命令强制删除文件或目录，操作前务必备份（cp -r） kill -9 pid 此命令强制杀掉正在运行的进程，使当前进程对应程序立即退出，一般会丢失数据 数据库相关 （delete，drop，truncate） 操作前一定备份数据，操作时最好有人结对

• 自动化

  重要文件或数据库备份自动化 可通过crontab任务来定时执行 服务或程序本身属于定时任务，则对于重要数据、文件在服务或程序内部自行实现