本文为个人原创,可以自由转载,转载请注明出处,多谢!

本文地址:http://www.cnblogs.com/taosha/p/6399554.html

1、网络与安全规划

Azure 虚拟网络 (VNet) 是用户自己的网络在云中的表示形式,对用户进行网络逻辑隔离。类似AWS的VPC,用户可以完全控制该网络中的 IP 地址块、DNS 设置、安全策略和路由表。你还可以进一步将 VNet 细分成各个子网,子网之间可以直接通讯。

不论是否设置外网地址,所有的虚机缺省都可以直接访问互联网,可以通过网络安全组 (NSG) 来控制访问。网络安全组您可以认为是一个自定义免费的网络防火墙。网络安全组 (NSG) 包含一系列访问控制列表 (ACL) 规则,这些规则可以允许或拒绝虚拟网络中流向 VM 实例的网络流量。NSG 可以设置在不同维度:VNET,子网,某台虚机,虚机上的某个网卡,是非常强大的流量与访问控制工具。

NSG是ACL(访问控制列表)的升级版本,和访问控制列表互斥。只能选择一种方式,在新的ARM PORTAL中,Azure采用NSG方式来进行访问控制。防火墙按照优先级,根据源IP及端口,目的IP及端口,协议类型做出相应的动作访问或者拒绝。

NSG的详细设置见官方文档链接:https://www.azure.cn/documentation/articles/virtual-networks-nsg

网络与安全建议汇总:

l  用户网络使用一个VNET,可以划分应用层,逻辑处理层和数据层,每层采用一个子网,根据需要可以设置NSG防火墙;

l  逻辑处理层和数据库不设置外部IP,这样不会直接暴露在外面;

l  可以单独设置一台跳板管理机用来做后端服务器的管理;

l  可以使用Azure VPN或者专线来连接跳板管理机,安全性更高;

2.软件安装和组件

l  安装过程中使用复杂密码或者直接使用SSH密钥方式;

l  安装镜像来源有Azure官方,镜像市场,自传镜像,尽量使用Azure官方镜像;

l  安装(Ubuntu为例)完成后查看已经安装的软件列表:dpkg -l

l  使用ps -al  查看是否有可疑程序在运行;

l  查看端口使用情况:netstat -an

l  根据上面提示停止并删除不需要的第三方程序;

3.系统安全与服务

l  密码安全策略,符合Azure要求,尽量复杂难猜些;

l  使用shadow来隐藏密文,Azure官方镜像此处是默认设置

l  清除或者禁用不必要的系统帐户;

l  不在passwd文件中包含个人信息;

l  修改shadow,passwd,gshadow文件属性为不可改变

l  不要使用.netrc文件;

l  以前Oracle安装RAC经常需要设置主机间信任关系,在云端请不要使用对等信任文件 /.rhosts;/etc/hosts.equiv;

l  使用SSH来代替telnetd,ftpd,pop等通用服务,传统的网络服务程序,如:ftp、pop和telnet口令和数据是明文传输的

4 网络与服务安全

l  只对外开放所需要的服务,关闭所有不需要的服务;

l  做好前后端的分离和访问控制的控制;

l  将所需的不同服务分布在不同的主机上,这样不仅提高系统的性能,同时便于配置和管理,减小系统的安全风险;

l  定期进行扫描检测,建议可以使用nmap软件进行自检。

l  在负载均衡服务的入站规则中设置NAT端口转换,将常用端口映射成高位端口,增加外部扫描难度;

l  关闭PING(Azure已经关闭);

l  在子网层级设置NSG将不需要使用的端口全部禁用;

5文件加固

l  Linux随机启动的服务程序都在/etc/init.d这个文件夹里,定期检查这些文件时间等属性是否异常,做好备份;

l  设置/etc/services文件权限为600;

6.防火墙

启用Linux自带的防火墙,

7 防病毒软件

Windows环境在创建时可以选择安装防病毒软件,Linux镜像没有自带防病毒软件,需要安装第三方防病毒软件。

8 Fail2ban

fail2ban可以监视你的系统日志,然后匹配日志的错误信息执行相应的屏蔽动作(建议启用服务器防火墙,可以用来做服务异常监控),如果发现异常,软件会发送e-mail通知系统管理员并自动采取动作。

9 日常的备份

最后也是最重要的一步,常在河边走哪能不湿鞋,做好日常重要文件和数据的备份,确保万无一失。

LINUX ON AZURE 安全建议(全)的更多相关文章

  1. Linux一键安装web环境全攻略phpstudy版

    此教程主要是应对阿里云Linux云服务器ecs的web环境安装,理论上不限于阿里云服务器,此教程对所有Linux云服务器都具有参考价值. 写这篇文章的目的:网上有很多关于Linux一键安装web环境全 ...

  2. 总结4点对学习Linux有帮助的建议(纯干货)

    学习需要足够的毅力和耐心 有些人把Linux运维看作一项冗长而枯燥的工作:有些人把linux运维看作一项得力的工具.如果是前者建议还是改变一下认识,不然不建议入门这行.毕竟linux运维工作是对人的毅 ...

  3. 20个Linux服务器安全强化建议(二)

    接上文,继续介绍一些Linux服务器的安全配置. #6.强密码策略.   当我们使用 useradd.usermod 命令创建或维护用户账号时,确保始终应用强密码策略.例如,一个好的密码至少包括8个字 ...

  4. 20个Linux服务器安全强化建议(一)

    Linux服务器安全对于保护用户数据.知识产权非常重要,同时还能减少你面对黑客的时间.在工作中,通常由系统管理员对Linux的安全负责,在这篇文章中,介绍了20条对Linux系统进行强化的建议.本文所 ...

  5. Linux系统默认服务建议开启关闭说明列表

    服务名称 功能简介 建议 acpid 电源管理接口.如果是笔记本用户建议开启,可以监听内核层的相关电源事件. 开启 anacron 系统的定时任务程序.cron的一个子系统,如果定时任务错过了执行时间 ...

  6. Linux VIM python 自动补全插件:pydiction

    Pydiction 可以是我们使用Tab键自动补全Python代码在Vim,是一款非常不错的插件. Pydiction不需要安装,所有没有任何依赖包问题,Pydiction主要包含三个文件. pyth ...

  7. linux内核学习-建议路线

    三大经典书: LDD: Linux Device Driver 容易上手 LKD: Linux Kernel Development 通俗易懂 UDK: Understand Linux Kernel ...

  8. Linux(CentOS)搭建SVN服务器全攻略

    虽然在windows上搭建SVN很简单,但是效能却不高,这当然是和linux相比了.然而在linux上搭建SVN却非常繁琐,所以今天这篇文章就来一步一步教您如何在Centos上搭建SVN 安装#yum ...

  9. linux 系统分区方案建议

    前言: 以前初识Linux时,对Linux系统安装时分区的选择,一点都不了解,导致几次没法进行下一步安装,因此就静下心来,专门拿出时间研究了研究这方面的知识: 以下内容就是以前通过研究Linux安装过 ...

随机推荐

  1. C#实现分页组件

    分页无论是前端和后端,基本都有广泛应用!下面通过一个小小案例完成这个分页效果: 参数含义:string urlFormat: 要传给服务器端的URL地址格式,方便在点超链接时进行相应的跳转 long ...

  2. UI设计学习路线图

    文章转载自「开发者圆桌」一个关于开发者入门.进阶.踩坑的微信公众号 这里整理的UI设计学习路线图包含初中高三个部分,你可以通过百度云盘下载观看对应的视频 链接: http://pan.baidu.co ...

  3. Mac上关于shell使用Python3和C++11声明

    1.使用Python3 Mac上的shell上自带的Python版本是2.7,当需要使用Python3时,下载安装好Python时,在shell上敲入Python发现却还是显示Python2.7,这是 ...

  4. 使用IDEA的gradle整合spring+ mybatis 采用javaconfig配置

    1.新建一个工程 2.工程目录 3.添加gradle.propertes文件 activeMQVersion=5.7.0 aspectJVersion=1.7.2 commonsLangVersion ...

  5. [复习]java中hashCode的作用

    1.HashCode的官方文档定义 (1)hashcode方法返回该对象的哈希码值.支持该方法是为哈希表提供一些优点,例如java.util.HashTable提供的哈希表. (2)hashCode的 ...

  6. .dll 无法查找或者打开PDB文件

    https://www.baidu.com/link?url=XBkzyMPU8bmyHSKAvBde6955fX2ecFJXfk8D44_VCuH_4U04E0bHFjk8D2_mXSqgjcUyQ ...

  7. 适用MySQL Migration Toolkit 1.0 将oracle迁移到mysql中遇到的问题

    这里主要说一下我在适用中碰到的问题,主要过程参考 http://www.cnblogs.com/duwenlei/p/3520759.html. 首先启动MySQLMigrationTool.exe ...

  8. linux性能监控分析及通过nmon_analyse生成分析报表

    nmon是一款分析 AIX 和 Linux 性能的免费工具 nmon 工具还可以将相同的数据捕获到一个文本文件,便于以后对报告进行分析和绘制图形.输出文件采用电子表格的格式 (.csv). 性能介绍 ...

  9. c#关于时间TimeHelper类的总结

    using System; namespace DotNet.Utilities{    /// <summary>    /// 时间类    /// 1.SecondToMinute( ...

  10. iOS开发之文件(分段)下载

    1.HTTP HEAD方法 NSMutableURLRequest *request = [NSMutableURLRequest requestWithURL:url cachePolicy:0 t ...