公司刚开完晨会,运维小李就接到客服转来的紧急电话:官网打不开了。登录服务器一看,CPU直接飙到100%,日志里全是异常请求记录。这已经是本月第三次类似事件,问题出在哪?其实不是什么高深攻击,而是最基本的防护没做牢。
边界防火墙不是摆设,规则要常梳理
很多单位的防火墙配置一次后就再没人动过。新增业务开了端口,旧系统下线了却不关端口,时间一长,开放的端口比便利店的货架还多。攻击者最喜欢这种“敞门迎客”的环境。定期检查ACL规则,关闭非必要端口,比如开发测试用的22、3389,生产环境不该暴露在公网。
像下面这样限制SSH访问来源:
iptables -A INPUT -p tcp --dport 22 -s 192.168.10.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP账号权限得“分家”,别让一个人顶全队
张工是老员工,从建站开始就负责所有服务器。他离职前顺手导出了数据库,里面包含近两年用户订单信息。这类事并不罕见。运维账号必须分级管理,普通维护用低权限账号,核心操作才提权。sudo日志要集中收集,谁在什么时候执行了什么命令,翻记录就能查到。
Linux下可配置sudoers文件限制命令范围:
%ops ALL=(ALL) /bin/systemctl restart nginx, /usr/bin/tail /var/log/nginx/*.log补丁更新别拖,漏洞等不起
去年某医院被勒索病毒锁住系统,根源是半年前爆出的Apache Log4j漏洞一直没修。很多人觉得“现在没事就别动”,可攻击者专门盯着陈旧版本下手。建立补丁管理流程,测试环境先验证,生产环境分批更新,关键系统选在业务低峰期操作。
日志不是垃圾,关键时刻能救命
服务器被入侵后,最怕就是查不到线索。把所有设备的日志统一送到SIEM平台,设置异常登录、高频失败尝试的告警。有次我们发现某后台账户凌晨三点连续登录成功,查IP来自境外,立即封禁并复盘,避免了数据泄露。
备份要做真演练,不能只存不管
某电商年中大促前宣称“数据多重备份”,结果数据库损坏后恢复失败,因为最后一次有效备份是三个月前。定期做恢复测试,验证备份可用性。建议采用3-2-1原则:三份副本,两种介质,一份异地。
用脚本自动化备份检查:
#!/bin/bash
pg_dump -h localhost -U appuser orderdb > /backup/orderdb_$(date +\%Y%m%d).sql
if [ $? -eq 0 ]; then
echo "Backup success"
else
echo "Backup failed" | mail -s "DB Backup Alert" admin@company.com
fi物理与人员管理同样重要
机房钥匙挂在值班室墙上,保洁阿姨打扫时误碰电源总闸,导致服务中断两小时。运维安全不只是技术活,访客登记、权限卡授权、操作审批流程都得跟上。新员工入职配账号,离职当天就要冻结权限,这些细节决定成败。