写点什么

LINUX ON AZURE 安全建议

  • 2017-08-31
  • 本文字数:1485 字

    阅读完需:约 5 分钟

(点击放大图像)

1、网络与安全规划

Azure 虚拟网络 (VNet) 是用户自己的网络在云中的表示形式,对用户进行网络逻辑隔离。类似 AWS 的 VPC,用户可以完全控制该网络中的 IP 地址块、DNS 设置、安全策略和路由表。你还可以进一步将 VNet 细分成各个子网,子网之间可以直接通讯。

不论是否设置外网地址,所有的虚机缺省都可以直接访问互联网,可以通过网络安全组 (NSG) 来控制访问。网络安全组您可以认为是一个自定义免费的网络防火墙。网络安全组 (NSG) 包含一系列访问控制列表 (ACL) 规则,这些规则可以允许或拒绝虚拟网络中流向 VM 实例的网络流量。NSG 可以设置在不同维度:VNET,子网,某台虚机,虚机上的某个网卡,是非常强大的流量与访问控制工具。

NSG 是 ACL(访问控制列表)的升级版本,和访问控制列表互斥。只能选择一种方式,在新的 ARM PORTAL 中,Azure 采用 NSG 方式来进行访问控制。防火墙按照优先级,根据源 IP 及端口,目的 IP 及端口,协议类型做出相应的动作访问或者拒绝。

NSG 的详细设置见官方文档链接: https://www.azure.cn/documentation/articles/virtual-networks-nsg

网络与安全建议汇总:

  • 用户网络使用一个 VNET,可以划分应用层,逻辑处理层和数据层,每层采用一个子网,根据需要可以设置 NSG 防火墙;
  • 逻辑处理层和数据库不设置外部 IP,这样不会直接暴露在外面;
  • 可以单独设置一台跳板管理机用来做后端服务器的管理;
  • 可以使用 Azure VPN 或者专线来连接跳板管理机,安全性更高;

2. 软件安装和组件

  • 安装过程中使用复杂密码或者直接使用 SSH 密钥方式;
  • 安装镜像来源有 Azure 官方,镜像市场,自传镜像,尽量使用 Azure 官方镜像;
  • 安装(Ubuntu 为例)完成后查看已经安装的软件列表:dpkg -l
  • 使用 ps -al 查看是否有可疑程序在运行;
  • 查看端口使用情况:netstat -an
  • 根据上面提示停止并删除不需要的第三方程序;

3. 系统安全与服务

  • 密码安全策略,符合 Azure 要求,尽量复杂难猜些;
  • 使用 shadow 来隐藏密文,Azure 官方镜像此处是默认设置
  • 清除或者禁用不必要的系统帐户;
  • 不在 passwd 文件中包含个人信息;
  • 修改 shadow,passwd,gshadow 文件属性为不可改变
  • 不要使用.netrc 文件;
  • 以前 Oracle 安装 RAC 经常需要设置主机间信任关系,在云端请不要使用对等信任文件 /.rhosts;/etc/hosts.equiv;
  • 使用 SSH 来代替 telnetd,ftpd,pop 等通用服务,传统的网络服务程序,如:ftp、pop 和 telnet 口令和数据是明文传输的

4 网络与服务安全

  • 只对外开放所需要的服务,关闭所有不需要的服务;
  • 做好前后端的分离和访问控制的控制;
  • 将所需的不同服务分布在不同的主机上,这样不仅提高系统的性能,同时便于配置和管理,减小系统的安全风险;
  • 定期进行扫描检测,建议可以使用 nmap 软件进行自检。
  • 在负载均衡服务的入站规则中设置 NAT 端口转换,将常用端口映射成高位端口,增加外部扫描难度;
  • 关闭 PING(Azure 已经关闭);
  • 在子网层级设置 NSG 将不需要使用的端口全部禁用;

5 文件加固

  • Linux 随机启动的服务程序都在 /etc/init.d 这个文件夹里,定期检查这些文件时间等属性是否异常,做好备份;
  • 设置 /etc/services 文件权限为 600;

6. 防火墙

启用 Linux 自带的防火墙,

7 防病毒软件

Windows 环境在创建时可以选择安装防病毒软件,Linux 镜像没有自带防病毒软件,需要安装第三方防病毒软件。

8 Fail2ban

fail2ban 可以监视你的系统日志,然后匹配日志的错误信息执行相应的屏蔽动作(建议启用服务器防火墙,可以用来做服务异常监控),如果发现异常,软件会发送 e-mail 通知系统管理员并自动采取动作。

9 日常的备份

最后也是最重要的一步,常在河边走哪能不湿鞋,做好日常重要文件和数据的备份,确保万无一失。

2017-08-31 09:241077

评论

发布
暂无评论
发现更多内容

华为云软件冗余依赖智能消除技术Slimming取得重大突破,相应文章已被软工顶会ICSE 2024录用

华为云PaaS服务小智

云计算 软件开发 华为云

上汽海外出行选择亚马逊云科技为重要云服务供应商

财见

macOS 14 Sonoma(最新MacOS系统) pkg完整安装包 14.1.2正式版

iMac小白

使用 Go 构建高性能的命令行工具

高端章鱼哥

命令行 cli Go 语言

AREX 在开发自测场景中应用实践

AREX 中文社区

开源 自动化测试 回归测试 流量回放

Go语言实现GoF设计模式:备忘录模式的实践探索

华为云开发者联盟

开发 华为云 Go 语言 华为云开发者联盟

2023开发者必备iOS开发工具

手把手入门MO | 如何通过 Superset 实现 MatrixOne 的可视化监控

MatrixOrigin

分布式数据库 云原生数据库 MatrixOrigin MatrixOne HTAP数据库

哈啰一面:如何优化大表的查询速度?

王磊

Java 面试

Istio 网格的出口定义者:深入了解 Egress Gateway

华为云开发者联盟

云计算 云原生 后端 华为云 华为云开发者联盟

MIAOYUN荣获“2023中国赛宝信息技术应用创新优秀解决方案应用创新示范方向三等奖”

MIAOYUN

云原生 信创 AI大模型 一云多芯解决方案 信创解决方案

“碳”出新路!天翼云紫金架构给产业发展一点“颜色”!

天翼云开发者社区

人工智能 云计算

【AIOps】一种全新的日志异常检测评估框架:LightAD,相关成果已被软工顶会ICSE 2024录用

华为云PaaS服务小智

云计算 华为云

矩阵起源入选IDC《中国大数据管理解决方案技术评估,2023》

MatrixOrigin

分布式数据库 云原生数据库 MatrixOrigin MatrixOne HTAP数据库

KeyShot 2023 Pro for mac(3D渲染和动画制作软件)v12.2.2.4激活版

iMac小白

如何使用 NFTScan NFT API 在 Starknet 网络上开发 Web3 应用

NFT Research

NFT\ NFTScan nft工具

Motion 5 for Mac v5.7中文免激活版(视频后期特效处理)

iMac小白

蝉联第一,天翼云电脑持续领跑中国DaaS市场!

天翼云开发者社区

云计算 云服务 IDC

iOS 开发高效率工具包:10 大必备工具

雪奈椰子

class-dump 混淆加固、保护与优化原理

Parallels Desktop 19永久激活版下载 附最新破解教程

iMac小白

Medis for Mac(可视化管理工具)v2.13.0激活版

iMac小白

MatrixOne Meetup回顾 | 深圳站

MatrixOrigin

分布式数据库 云原生数据库 MatrixOrigin MatrixOne HTAP数据库

RazorSQL for Mac(多功能SQL数据库编辑器)支持M1 v10.5.0注册激活版

iMac小白

分享一个关于 Go 错误处理的新提案

伤感汤姆布利柏

inBuilder低代码平台新特性推荐-第十二期

inBuilder低代码平台

亚马逊云科技推出新一代自研芯片

财见

一文带你掌握C语言的分支结构

不在线第一只蜗牛

算法 编程语言 C语言

MatrixOne实战系列回顾 | MatrixOne 集群运维

MatrixOrigin

分布式数据库 云原生数据库 MatrixOrigin MatrixOne HTAP数据库

IT领域最被低估的六项技术,再加上一项尚未消亡的技术

互联网工科生

技术 IT管理 生成式AI

LINUX ON AZURE 安全建议_微软_沙涛_InfoQ精选文章