运维风险预估措施

运维风险预估措施⏹ 部门 ⏹ 日期运维部 2014-05-20⏹ 版本编号 ⏹密级Ver_1.0 公司内部使用日期2014-05-20版本号 Ver_1.0更新说明建立文档、初始化一、 服务器风险预估

运维风险预估措施

⏹ 部门 ⏹ 日期

运维部 2014-05-20

⏹ 版本编号 ⏹

密级

Ver_1.0 公司内部使用

日期

2014-05-20

版本号 Ver_1.0

更新说明

建立文档、初始化

一、 服务器风险预估

1. 服务器被攻击

1.1. 拒绝服务攻击

拒绝服务攻击的方式很多，主要常用的攻击手段有SYN Flood、UPD 洪水、IP 欺骗攻击、CC 攻击。防范DDOS 攻击首先要能够检测到，并且及时做出响应，才可以防范。

SYN Flood通过TCP 三次握手的原理，服务器如果出现第三次握手包迟迟收不到，将会占用服务器的内存资源，攻击者在较短时间内伪造大量不存在的源IP 地址数据包进行攻击，将会耗尽服务器的内存资源，最后无法提供正常服务。

根据SYN Flood的攻击方式，可见动态的根据攻击流量进行设置TCP 第三次握手的超时时间是降低攻击效果的主要方法。

1.2. 入侵检测

遭受黑客入侵不可怕，可怕的是被入侵还不知道，这就需要部署一台入侵检测设备，可以使用开源的Snort 进行部署，但是IDS 的误报率会很高，而使用OSSIM 的关联分析功能就可以减少很多误报。

1.3. 防火墙防护

将服务器放置在防火墙的DMZ 区域，通过对防火墙进行配置可以避免外网对服务器进行端口扫描，从而提高服务器的安全。放置在DMZ 区有另一个好处就是可以保护内部网络。

2. 内部环境安全

2.1. 防止ARP 欺骗攻击

通过在交换机的接口进行MAC 绑定，实现终端设备的接入控制，这样就可以防止恶意用户的接入。终端电脑绑定网关的MAC 地址，以防攻击者欺骗网关。对ARP 数据包进行检测，防止ARP 洪泛攻击。

2.2. 可信任主机接入

在交换机端口下，对IP 地址与MAC 地址进行绑定，可以限制特定用户对网络进行访问，其余的用户无法接入网络。

2.3. DHCP 欺骗攻击

在接入层网络伪造一台DHCP 服务器，将所有的网络流量指向黑客创建的伪造网关，所有到伪造网关的流量都会被分析，并且通过伪造DNS ，把国内一些大站点的域名指向钓鱼网站，或者放入最新的溢出漏洞夹杂在页面中，造成的危害会很大。

通过在交换机上配置DHCP 可行端口进行防范DHCP 的欺骗攻击。

3. 安全配置

3.1. 帐户密码安全

root 进程指的是只有root 用户的权限才可以启动的服务，通过root 绑定1024以下的端口，这样可以防止恶意用户开启低于1024的端口进行欺诈攻击。

用户密码放置在以下路径中：

/etc/passwd

/etc/shadow

可以通过预定的安全策略对密码进行定期修改，并且强制设置高强度的密码，以及使用目前加密强度最大的加密算法，防止被爆破以及APT 攻击。

3.2. 远程访问安全

禁用明文密码传输的telnet 远程访问协议，使用安全shell （ssh ）保障数据的安全交换。

3.2.1. 修改ssh 服务root 登录权限

修改ssh 服务配置文件，使的ssh 服务不允许直接使用root 用户来登录，这样减少系统被恶意登录攻击的机会。

3.2.2. 修改ssh 服务的端口号

ssh 默认会监听在22端口，通过修改至6022端口以避过常规的扫描。

注意：修改端口错误可能会导致你下次连不到服务器，可以先同时开着22和6022两个端口，然后再关掉22端口；重启sshd 不会弹掉你当前的连接，可以另外开一个客户端来测试服务;

3.2.3. 阻止任何人su 作为root

通过禁止普通用户切换到root ，但可以设置一组特殊用户切换，降低了服务器被提权的风险。

3.3. 审计系统日志

对系统日志、关键应用日志进行定期自动异地备份，可用来做故障排错，故障提前报警，也可以防止被黑客为了抹掉登录痕迹而删除，目前对最前沿的日志审计系统是SOC ，全称为安全运维中心，可以对各种网络设备、服务器、终端主机进行日志审计，并且做出关联分析。

3.3.1. 减小history 缓存命令条数

对于linux 系统来说，有一条history 命令，可以记录用户所输入的命令，如果命令中涉及一些密码或者敏感的操作，将会被黑客利用。通过设置bash 的环境变量可以设置history 缓存命令的数目。

3.3.2. 注销时删除命令记录

注销用户的时候就自动清除 $home/.bash_history，历史命令只是对当时用户在调试服务器时会用到，当用户退出tty 线路自动清除可以防止泄露服务器的历史配置命令，如果有需要可以异地备份。

3.3.3. 对auth.log 进行定期分析

在文件系统/var/log/auth.log的文件下，保存了登录操作系统的时间、ip 地址、用户名，对这些日志进行定期分析，可以查出那些未授权的用户登录过。

3.4. DNS 安全

服务器系统的Dns 被篡改成用于欺诈与钓鱼的dns ，将会导致下面连接代理上网的终端被钓鱼网站欺骗，用户信息窃取等情况出现。

4. 服务器环境

操作系统本身几乎每天都在更新的，如未能及时打上补丁可能会被攻击，网络如果出现linux 的0day 漏洞，就必然会有相应的批量拿站的工具出现，所以危害很大，那么就需要进行定期更新，但是由于公司的服务器都是在生产环境下的，升级操作系统可能会带来风险，

建议可以使用影子服务器进行测试，之后才让生产环境的服务器进行升级，这样可以降低风险。 更新操作系统的流程：

4.1. 筛选需要进行更新的补丁，对严重影响服务器系统安全的补丁，以及影响服务器业务的补丁，列入更新

列表。

4.2. 验证测试环境下做更新测试，测试更新成功后进行升级。

4.3. 获得业务系统所有人的授权

4.4. 申请维护时间窗口，尽量选择在网络流量低峰时期。

4.5. 升级系统之前，需要对数据进行备份，并且准备回退方案。

5. 服务器负载问题

5.1. 数据超过硬盘读写负载能力导致应用程序崩溃；

5.2. CPU 使用率跑满导致服务器宕机；

5.3. 使用内存cache 占用过多导致宕机；

5.4. 硬盘空间使用满导致宕机；

5.5. 用户量过多，服务器带宽不足，导致卡顿，用户访问程序故障；

5.6. 系统连接数过多造成系统拥堵网络带宽使用不上；

5.7. 数据库数据读写占用过多服务器连接数，达不到预期的服务器带宽；

6. 服务器硬件故障

6.1. 电源线损环；

6.2. 服务器电源损坏；

6.3. 服务器非人为硬盘损坏；

6.4. 服务器受黑客入侵攻击时导致硬盘损坏；

6.5. CPU 温度过高烧毁；

6.6. 内存使用中损坏；

6.7. 主板在电源损坏时容易烧毁；

二、 运营商风险预估

1. 机房网络故障

1.1. 骨干网光纤切割；

1.2. 机房网络升级；

1.3. 机房网络设备调试；

1.4. 机房网络设备损坏;

1.5. 骨干网网络出口故障；

2. DNS 域名解析缓存

每一个域名，在服务商那边都有一个DNS 服务器，作用是把利于用户记忆的域名转换成计算机方便理解的IP 地址，在域名管理中，其中一项就记录着你的域名指向，术语叫A 记录，用于指向一个IP 地址。

但是并不是每次访问你的网站，都会去你的服务商DNS 服务器查询IP 地址。通常你所在的城市ISP （网络服务提供商）都会有一个DNS 服务器，他会在你第一次访问时缓存你的域名指向。下次你再访问时，他会从缓存里把你曾经指向的IP 调出来。

3. 政治因素

3.1. 服务器没有备案；

3.2. 域名备案存在问题；

3.3. 黑客入侵导致服务器违法行为；

3.4. 违规代理服务器；

3.5. 服务器转发违禁网站；

3.6. 服务器放置的网站内容不符合当地的政府法例法规；

三、 故障处理

1. 划分故障等级

2. 应急处理流程

3. 故障处理流程

4. 故障报告邮件格式