一、服务器安全
1.1 账号密码管理
弱口令
避免使用容易记忆的简单密码
建议使用随机密码生成器(http://tool.c7sky.com/password/)生成19位随机密码
阿里云账号密码
阿里云账号密码严格保密,仅提供给相关技术负责人,并开启绑定手机号验证功能
SSH登录账号密码
禁用root账号直接远程登录
root密码收敛到Leader名下,减少泄漏风险
定期(每隔一个月)修改一次密码
免密登录秘钥
禁止个人电脑在服务器设置个人公钥
检查服务器对应账号下的 ~/.ssh/authorized_keys
数据库账号密码
禁用root账号远程连接Mysql数据库,分配服务器账号及ip
离职人员密码回收
人员离职后,需在一周内重置SSH登录账号密码
个人账号,业务确认后在一周内删除处理
1.2 服务器高危端口管理
高危端口
程序默认端口会是重点攻击目标,如21(FTP),22(SSH),25(SMTP),3306(MySql),6379(Redis),27017(Mongo)……,需要设置自定义端口号
无需对外的服务,禁止绑定外网IP
使用iptables管理端口访问规则
SSH端口
关闭22端口,改用2000以上的端口号,如2485端口号
数据库端口
禁止使用3306端口
使用IP白名单管理,只有IP白名单内的机器才能直连访问阿里云数据库
1.3 Linux服务器软件管理
服务器基线更新
及时根据阿里云提示更新系统底层包
常用软件漏洞修复
及时根据阿里云提示更新软件补丁包
1.4 敏感数据管理
业务数据
正式环境业务数据库的数据,同步到测试环境时,需注意剔除敏感数据(订单,用户表)
二、 代码安全
源代码管理(svn、git)
禁止在正式服务器上直接拉取源码,需使用本地或测试机器编译后发布
前端XSS漏洞检查
对页面输入和用户传入的参数,需要先进行XSS过滤,再提交后台或展示到页面。
https://help.aliyun.com/knowledge_detail/37444.html
后台SQL注入漏洞检查
后台服务提供统一的安全过滤器,对请求参数进行SQL关键词过滤
后台数据库连接加密
需要对数据库连接配置文件做加密处理
(待续。。。)