V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
chijince
V2EX  ›  程序员

求一个服务器安全管理规范制度

  •  1
     
  •   chijince · 2021-05-26 09:43:51 +08:00 · 2321 次点击
    这是一个创建于 1038 天前的主题,其中的信息可能已经有所发展或是发生改变。
    公司有几台 Windows 操作系统的服务器,之前出现过中毒、删库的情况,管理太混乱,连是谁搞出来的问题都不知道。我临危受命,现在要搞一个服务器的管理制度出来,但是之前没有太接触这一块,希望大家帮我看看怎么弄。

    目前的情况是:
    1 、我们有一个软件服务商,他们都使用一个远程工具连接我们的服务器,而且这个工具在我们服务器上没有任何日志记录,也就是说是谁什么时间连进来我们也不知道。据说他们那边有日志,但是我们没有。
    2 、服务器上装的东西太乱,360 浏览器各种广告横飞,查询资料直接在服务器上查询,各种下载...
    3 、U 盘什么的随意使用,也没有专门使用的盘。
    4 、数据库有公网端口,有时候服务商直接远程连接数据库。

    请问怎样做才能比较安全呢,至少不会中毒删库跑路也不知道谁干的,可以做到责任可追查,日志记录完善。
    9 条回复    2021-05-26 15:49:46 +08:00
    suifengdang666
        1
    suifengdang666  
       2021-05-26 09:49:44 +08:00
    堡垒机
    barrysn
        2
    barrysn  
       2021-05-26 09:54:07 +08:00   ❤️ 2
    1. 先禁用高权限用户直接登录,只用普通用户登录,高权限操作需要申请
    2. 设置审计用户,记录用户做的所有操作
    3. 启用堡垒机,所有人必须通过堡垒机登录服务器,堡垒机也开审计
    4. 定期更换服务器密码
    5. 定期漏扫
    6. 数据库业务用户设置 select,update,delete,insert 足够了,
    7. 可以考虑开启 VPN,所有了解服务器的操作需要登录 vpn 后 才可以访问
    目前就想到这么多
    Routeros
        3
    Routeros  
       2021-05-26 09:56:02 +08:00   ❤️ 1
    1 、所谓服务商,连接过来的无非也是“个人”而已;所以建议堡垒机。可以就用开源的,能力不行就花钱。有 3A 审计功能。
    2 、装的东西乱说明管理不善,用的人多,谁都知道密码。建议密码由一个人保存,达到责任落实到个人。
    3 、U 盘是万万不能瞎逼插的,公 A 网、交警网络都有这个问题。建议你用专门的杀毒软件封锁 U 盘端口。或者直接物理锁。
    4 、数据库公网端口?这个端口就不该出现,数据库就不该有这个。老老实实待在“后置区”,如果必须要公网, 说明这个系统真的垃圾!
    ladypxy
        4
    ladypxy  
       2021-05-26 10:08:38 +08:00
    最简单的,
    1. 公司搞一个 Linux 机器当 jump host,从外网只能通过 ssh 连进来。需要连内网服务器就用端口转发连。这样 linux 就有登录日志。
    2.所有服务器加入域,然后使用组策略开启审核和禁用 U 盘
    3. 所有用户不给 adm 权限
    willis
        5
    willis  
       2021-05-26 10:27:20 +08:00
    简单解决方案 招个运维,权限都回收,有操作向运维申请

    楼上几个说的都不错,我在补充一下想到的:
    1. windows 服务器补丁要定时打,普通用户能提权到 root 的也很多
    2. 有域控的话,用域策略或企业级的杀毒软件控制软件安装权限和一些敏感操作。把普通用户权限降到最低
    3. zabbix 之类的做好流量和性能监控
    4. 用开源堡垒机或者付费堡垒机审计,规范订出来之后,发现异常先先杀鸡儆猴
    dko
        6
    dko  
       2021-05-26 10:46:54 +08:00
    jumpserver 了解一下,免费版的功能够你用了
    freecloud
        7
    freecloud  
       2021-05-26 10:50:02 +08:00
    堡垒机,等保服务。有需要,可以联系我。
    zhjits
        8
    zhjits  
       2021-05-26 12:20:52 +08:00
    首先你得有域控,禁用本地账号,保证所有用户必须是域用户。关一下 NTLM 以及常见的别的不安全协议。
    然后就方便了,GPO 限制一下用户权限,HVCI 全部设置成强制模式,只允许 MS 签名的程序和你的业务程序运行。
    数据库这种东西当然是至少得进了堡垒机才能访问的啦……防火墙上干掉所有非必要的端口转发。(啥,你服务器直接连的公网,那当我没说)
    至于监控,日志收集,这些慢慢搞起来就好了。
    alvinbone88
        9
    alvinbone88  
       2021-05-26 15:49:46 +08:00
    既然楼上说要关 NTLM,那我提醒一下 windows 的一个坑
    windows 下不能关闭 NTLM 的同时开启 NLA,不然远程连不上
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   2889 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 11:21 · PVG 19:21 · LAX 04:21 · JFK 07:21
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.