LINUX ON AZURE 安全建议(全)
本文为个人原创,可以自由转载,转载请注明出处,多谢!
本文地址:http://www.cnblogs.com/taosha/p/6399554.html
1、网络与安全规划
Azure 虚拟网络 (VNet) 是用户自己的网络在云中的表示形式,对用户进行网络逻辑隔离。类似AWS的VPC,用户可以完全控制该网络中的 IP 地址块、DNS 设置、安全策略和路由表。你还可以进一步将 VNet 细分成各个子网,子网之间可以直接通讯。
不论是否设置外网地址,所有的虚机缺省都可以直接访问互联网,可以通过网络安全组 (NSG) 来控制访问。网络安全组您可以认为是一个自定义免费的网络防火墙。网络安全组 (NSG) 包含一系列访问控制列表 (ACL) 规则,这些规则可以允许或拒绝虚拟网络中流向 VM 实例的网络流量。NSG 可以设置在不同维度:VNET,子网,某台虚机,虚机上的某个网卡,是非常强大的流量与访问控制工具。
NSG是ACL(访问控制列表)的升级版本,和访问控制列表互斥。只能选择一种方式,在新的ARM PORTAL中,Azure采用NSG方式来进行访问控制。防火墙按照优先级,根据源IP及端口,目的IP及端口,协议类型做出相应的动作访问或者拒绝。
NSG的详细设置见官方文档链接:https://www.azure.cn/documentation/articles/virtual-networks-nsg
网络与安全建议汇总:
l 用户网络使用一个VNET,可以划分应用层,逻辑处理层和数据层,每层采用一个子网,根据需要可以设置NSG防火墙;
l 逻辑处理层和数据库不设置外部IP,这样不会直接暴露在外面;
l 可以单独设置一台跳板管理机用来做后端服务器的管理;
l 可以使用Azure VPN或者专线来连接跳板管理机,安全性更高;
2.软件安装和组件
l 安装过程中使用复杂密码或者直接使用SSH密钥方式;
l 安装镜像来源有Azure官方,镜像市场,自传镜像,尽量使用Azure官方镜像;
l 安装(Ubuntu为例)完成后查看已经安装的软件列表:dpkg -l
l 使用ps -al 查看是否有可疑程序在运行;
l 查看端口使用情况:netstat -an
l 根据上面提示停止并删除不需要的第三方程序;
3.系统安全与服务
l 密码安全策略,符合Azure要求,尽量复杂难猜些;
l 使用shadow来隐藏密文,Azure官方镜像此处是默认设置
l 清除或者禁用不必要的系统帐户;
l 不在passwd文件中包含个人信息;
l 修改shadow,passwd,gshadow文件属性为不可改变
l 不要使用.netrc文件;
l 以前Oracle安装RAC经常需要设置主机间信任关系,在云端请不要使用对等信任文件 /.rhosts;/etc/hosts.equiv;
l 使用SSH来代替telnetd,ftpd,pop等通用服务,传统的网络服务程序,如:ftp、pop和telnet口令和数据是明文传输的
4 网络与服务安全
l 只对外开放所需要的服务,关闭所有不需要的服务;
l 做好前后端的分离和访问控制的控制;
l 将所需的不同服务分布在不同的主机上,这样不仅提高系统的性能,同时便于配置和管理,减小系统的安全风险;
l 定期进行扫描检测,建议可以使用nmap软件进行自检。
l 在负载均衡服务的入站规则中设置NAT端口转换,将常用端口映射成高位端口,增加外部扫描难度;
l 关闭PING(Azure已经关闭);
l 在子网层级设置NSG将不需要使用的端口全部禁用;
5文件加固
l Linux随机启动的服务程序都在/etc/init.d这个文件夹里,定期检查这些文件时间等属性是否异常,做好备份;
l 设置/etc/services文件权限为600;
6.防火墙
启用Linux自带的防火墙,
7 防病毒软件
Windows环境在创建时可以选择安装防病毒软件,Linux镜像没有自带防病毒软件,需要安装第三方防病毒软件。
8 Fail2ban
fail2ban可以监视你的系统日志,然后匹配日志的错误信息执行相应的屏蔽动作(建议启用服务器防火墙,可以用来做服务异常监控),如果发现异常,软件会发送e-mail通知系统管理员并自动采取动作。
9 日常的备份
最后也是最重要的一步,常在河边走哪能不湿鞋,做好日常重要文件和数据的备份,确保万无一失。
LINUX ON AZURE 安全建议(全)的更多相关文章
- Linux一键安装web环境全攻略phpstudy版
此教程主要是应对阿里云Linux云服务器ecs的web环境安装,理论上不限于阿里云服务器,此教程对所有Linux云服务器都具有参考价值. 写这篇文章的目的:网上有很多关于Linux一键安装web环境全 ...
- 总结4点对学习Linux有帮助的建议(纯干货)
学习需要足够的毅力和耐心 有些人把Linux运维看作一项冗长而枯燥的工作:有些人把linux运维看作一项得力的工具.如果是前者建议还是改变一下认识,不然不建议入门这行.毕竟linux运维工作是对人的毅 ...
- 20个Linux服务器安全强化建议(二)
接上文,继续介绍一些Linux服务器的安全配置. #6.强密码策略. 当我们使用 useradd.usermod 命令创建或维护用户账号时,确保始终应用强密码策略.例如,一个好的密码至少包括8个字 ...
- 20个Linux服务器安全强化建议(一)
Linux服务器安全对于保护用户数据.知识产权非常重要,同时还能减少你面对黑客的时间.在工作中,通常由系统管理员对Linux的安全负责,在这篇文章中,介绍了20条对Linux系统进行强化的建议.本文所 ...
- Linux系统默认服务建议开启关闭说明列表
服务名称 功能简介 建议 acpid 电源管理接口.如果是笔记本用户建议开启,可以监听内核层的相关电源事件. 开启 anacron 系统的定时任务程序.cron的一个子系统,如果定时任务错过了执行时间 ...
- Linux VIM python 自动补全插件:pydiction
Pydiction 可以是我们使用Tab键自动补全Python代码在Vim,是一款非常不错的插件. Pydiction不需要安装,所有没有任何依赖包问题,Pydiction主要包含三个文件. pyth ...
- linux内核学习-建议路线
三大经典书: LDD: Linux Device Driver 容易上手 LKD: Linux Kernel Development 通俗易懂 UDK: Understand Linux Kernel ...
- Linux(CentOS)搭建SVN服务器全攻略
虽然在windows上搭建SVN很简单,但是效能却不高,这当然是和linux相比了.然而在linux上搭建SVN却非常繁琐,所以今天这篇文章就来一步一步教您如何在Centos上搭建SVN 安装#yum ...
- linux 系统分区方案建议
前言: 以前初识Linux时,对Linux系统安装时分区的选择,一点都不了解,导致几次没法进行下一步安装,因此就静下心来,专门拿出时间研究了研究这方面的知识: 以下内容就是以前通过研究Linux安装过 ...
随机推荐
- C#实现分页组件
分页无论是前端和后端,基本都有广泛应用!下面通过一个小小案例完成这个分页效果: 参数含义:string urlFormat: 要传给服务器端的URL地址格式,方便在点超链接时进行相应的跳转 long ...
- UI设计学习路线图
文章转载自「开发者圆桌」一个关于开发者入门.进阶.踩坑的微信公众号 这里整理的UI设计学习路线图包含初中高三个部分,你可以通过百度云盘下载观看对应的视频 链接: http://pan.baidu.co ...
- Mac上关于shell使用Python3和C++11声明
1.使用Python3 Mac上的shell上自带的Python版本是2.7,当需要使用Python3时,下载安装好Python时,在shell上敲入Python发现却还是显示Python2.7,这是 ...
- 使用IDEA的gradle整合spring+ mybatis 采用javaconfig配置
1.新建一个工程 2.工程目录 3.添加gradle.propertes文件 activeMQVersion=5.7.0 aspectJVersion=1.7.2 commonsLangVersion ...
- [复习]java中hashCode的作用
1.HashCode的官方文档定义 (1)hashcode方法返回该对象的哈希码值.支持该方法是为哈希表提供一些优点,例如java.util.HashTable提供的哈希表. (2)hashCode的 ...
- .dll 无法查找或者打开PDB文件
https://www.baidu.com/link?url=XBkzyMPU8bmyHSKAvBde6955fX2ecFJXfk8D44_VCuH_4U04E0bHFjk8D2_mXSqgjcUyQ ...
- 适用MySQL Migration Toolkit 1.0 将oracle迁移到mysql中遇到的问题
这里主要说一下我在适用中碰到的问题,主要过程参考 http://www.cnblogs.com/duwenlei/p/3520759.html. 首先启动MySQLMigrationTool.exe ...
- linux性能监控分析及通过nmon_analyse生成分析报表
nmon是一款分析 AIX 和 Linux 性能的免费工具 nmon 工具还可以将相同的数据捕获到一个文本文件,便于以后对报告进行分析和绘制图形.输出文件采用电子表格的格式 (.csv). 性能介绍 ...
- c#关于时间TimeHelper类的总结
using System; namespace DotNet.Utilities{ /// <summary> /// 时间类 /// 1.SecondToMinute( ...
- iOS开发之文件(分段)下载
1.HTTP HEAD方法 NSMutableURLRequest *request = [NSMutableURLRequest requestWithURL:url cachePolicy:0 t ...