发布在即!企业 AIGC 应用程度测评,3 步定制专属评估报告。抢首批测评权益>>> 了解详情
写点什么

LINUX ON AZURE 安全建议

  • 2017-08-31
  • 本文字数:1485 字

    阅读完需:约 5 分钟

(点击放大图像)

1、网络与安全规划

Azure 虚拟网络 (VNet) 是用户自己的网络在云中的表示形式,对用户进行网络逻辑隔离。类似 AWS 的 VPC,用户可以完全控制该网络中的 IP 地址块、DNS 设置、安全策略和路由表。你还可以进一步将 VNet 细分成各个子网,子网之间可以直接通讯。

不论是否设置外网地址,所有的虚机缺省都可以直接访问互联网,可以通过网络安全组 (NSG) 来控制访问。网络安全组您可以认为是一个自定义免费的网络防火墙。网络安全组 (NSG) 包含一系列访问控制列表 (ACL) 规则,这些规则可以允许或拒绝虚拟网络中流向 VM 实例的网络流量。NSG 可以设置在不同维度:VNET,子网,某台虚机,虚机上的某个网卡,是非常强大的流量与访问控制工具。

NSG 是 ACL(访问控制列表)的升级版本,和访问控制列表互斥。只能选择一种方式,在新的 ARM PORTAL 中,Azure 采用 NSG 方式来进行访问控制。防火墙按照优先级,根据源 IP 及端口,目的 IP 及端口,协议类型做出相应的动作访问或者拒绝。

NSG 的详细设置见官方文档链接: https://www.azure.cn/documentation/articles/virtual-networks-nsg

网络与安全建议汇总:

  • 用户网络使用一个 VNET,可以划分应用层,逻辑处理层和数据层,每层采用一个子网,根据需要可以设置 NSG 防火墙;
  • 逻辑处理层和数据库不设置外部 IP,这样不会直接暴露在外面;
  • 可以单独设置一台跳板管理机用来做后端服务器的管理;
  • 可以使用 Azure VPN 或者专线来连接跳板管理机,安全性更高;

2. 软件安装和组件

  • 安装过程中使用复杂密码或者直接使用 SSH 密钥方式;
  • 安装镜像来源有 Azure 官方,镜像市场,自传镜像,尽量使用 Azure 官方镜像;
  • 安装(Ubuntu 为例)完成后查看已经安装的软件列表:dpkg -l
  • 使用 ps -al 查看是否有可疑程序在运行;
  • 查看端口使用情况:netstat -an
  • 根据上面提示停止并删除不需要的第三方程序;

3. 系统安全与服务

  • 密码安全策略,符合 Azure 要求,尽量复杂难猜些;
  • 使用 shadow 来隐藏密文,Azure 官方镜像此处是默认设置
  • 清除或者禁用不必要的系统帐户;
  • 不在 passwd 文件中包含个人信息;
  • 修改 shadow,passwd,gshadow 文件属性为不可改变
  • 不要使用.netrc 文件;
  • 以前 Oracle 安装 RAC 经常需要设置主机间信任关系,在云端请不要使用对等信任文件 /.rhosts;/etc/hosts.equiv;
  • 使用 SSH 来代替 telnetd,ftpd,pop 等通用服务,传统的网络服务程序,如:ftp、pop 和 telnet 口令和数据是明文传输的

4 网络与服务安全

  • 只对外开放所需要的服务,关闭所有不需要的服务;
  • 做好前后端的分离和访问控制的控制;
  • 将所需的不同服务分布在不同的主机上,这样不仅提高系统的性能,同时便于配置和管理,减小系统的安全风险;
  • 定期进行扫描检测,建议可以使用 nmap 软件进行自检。
  • 在负载均衡服务的入站规则中设置 NAT 端口转换,将常用端口映射成高位端口,增加外部扫描难度;
  • 关闭 PING(Azure 已经关闭);
  • 在子网层级设置 NSG 将不需要使用的端口全部禁用;

5 文件加固

  • Linux 随机启动的服务程序都在 /etc/init.d 这个文件夹里,定期检查这些文件时间等属性是否异常,做好备份;
  • 设置 /etc/services 文件权限为 600;

6. 防火墙

启用 Linux 自带的防火墙,

7 防病毒软件

Windows 环境在创建时可以选择安装防病毒软件,Linux 镜像没有自带防病毒软件,需要安装第三方防病毒软件。

8 Fail2ban

fail2ban 可以监视你的系统日志,然后匹配日志的错误信息执行相应的屏蔽动作(建议启用服务器防火墙,可以用来做服务异常监控),如果发现异常,软件会发送 e-mail 通知系统管理员并自动采取动作。

9 日常的备份

最后也是最重要的一步,常在河边走哪能不湿鞋,做好日常重要文件和数据的备份,确保万无一失。

2017-08-31 09:24974

评论

发布
暂无评论
发现更多内容

DBeaverUE for Mac旗舰激活版 数据库管理软件

iMac小白

DBeaverUE下载 DBeaverUE破解版

cad设计绘图工具:AutoCAD 2024 for Mac

展初云

设计 Mac软件 cad AutoCAD 2024下载

Java基础面试题【Spring】一

派大星

Java 面试题

博睿数据获评2023中国智能运维领域“最具商业合作价值企业”

博睿数据

可观测平台 智能运维AIOps

IPQ9554 with QCN6274 Solution forCommercial Applications|Wi-Fi7

wallyslilly

ipq9554 qcn6274

SAAS堡垒机安全吗?为什么性价比那么高?

行云管家

云计算 软件 SaaS SAAS软件

程序员常用的19款办公软件和开发工具推荐!

彭宏豪95

效率工具 开发工具 科技 办公软件 软件开发工具

宁夏企业过等保选哪家测评机构好?选哪家堡垒机?

行云管家

等保 等级保护 宁夏

「我在淘天做技术」一篇文章告诉你商品团队在做哪些有意思的事?

阿里技术

校园招聘 商品域

Sync Folders Pro for Mac(文件夹数据同步工具) v4.6.7永久激活版

mac

苹果mac Windows软件 Sync Folders Pro 文件夹同步工具

HTX 与 Zebec  Protocol 展开深度合作,并将以质押者的身份参与 ZBC Staking

西柚子

iOS代码混淆和加固技术详解

雪奈椰子

在 Windows 平台下安装与配置 MySQL 5.7.36

小齐写代码

RazorSQL for Mac注册激活版(多功能SQL数据库管理器)支持M1

iMac小白

数据库软件 RazorSQL下载 RazorSQL破解版

Bonree ONE 秋季产品发布会上新功能提前剧透!

博睿数据

可观测性 智能运维

记录TritonServer部署多模型到多GPU踩坑 | 京东云技术团队

京东科技开发者

人工智能 gpu 企业号10月PK榜

RazorSQL for Mac(数据库查询工具) v10.4.6完整激活版

mac

苹果mac Windows软件 RazorSQL SQL数据库管理工具

塑造未来经济的游戏规则改变者:去中心化金融交易所的发展

区块链软件开发推广运营

交易所开发 dapp开发 区块链开发 链游开发 NFT开发

TDengine 资深研发整理:基于 SpringBoot 多语言实现 API 返回消息国际化

TDengine

时序数据库 ​TDengine

文件比较对比软件中的佼佼者Beyond Compare 4 for Mac

展初云

Mac Mac软件 文件比较对比工具

Mac专业级的PDF编辑和管理软件:Acrobat Pro DC 2023

展初云

Mac软件 PDF编辑 PDF管理

李彦宏,AI原生应用的秋收时刻

脑极体

AI

浅谈分布式事务及解决方案 | 京东物流技术团队

京东科技开发者

数据库 分布式 分布式事务 事务 企业号10月PK榜

如何将电脑上的“小电影”隐藏为一张图片?这波操作绝了!!

冰河

程序员 图片 视频创作 知识分享 小视频

Mac电脑网页视频处理工具iTubeGo中文免激活版

mac大玩家j

视频处理工具 视频编辑器 在线视频工具

当 BACnet 遇上 IoT,你将体验到不一样的大楼

华为云开发者联盟

云计算 后端 物联网 华为云 华为云开发者联盟

专注二次元的 Niji 模型上线独立 APP;华为整体销量已超越苹果丨 RTE 开发者日报 Vol.68

声网

sip中继的内容介绍

ctsxiyou

SIP sip中继

AI大模型下一步怎么走?百度携AI原生应用抢先作答

陈橘又青

文心一言

简单好用的pdf编辑工具 PDF Expert 最新中文版

胖墩儿不胖y

PDF 编辑pdf pdf处理工具

深耕全面预算管理 拥抱企业数字未来

智达方通

自动化 全面预算管理 全面预算管理系统

LINUX ON AZURE 安全建议_微软_沙涛_InfoQ精选文章