1、本科及以上学历,计算机相关专业,4年以上运维工作经验;
2、熟练主流Linux操作系统的加固,安全,审计配置;
3、精通shell脚本开发,熟悉Python脚本开发(加分);
4、熟悉ansible自动化运维;
5、熟悉Jenkins配置 和CI/CD持续集成流程;
6、精通lamp、lnmp安装,性能调优,安全加固;
7、熟悉MySQL,redis主从架构和集群的搭建和维护;
8、能够熟练编写和执行常用SQL语句;
9、从事阿里云环境服务器搭建优先;
10、熟练搭建、维护和优化rocketmq单机,主从,集群环境;
11、对devops有一定的理解。
Linux操作系统的加固,安全,审计配置
1、用户账号---唯一身份。
2、统一认证---你是谁。
3、授权管理---你有什么权限。
4、操作审计---你可以干什么
账号口令生存期
口令复杂度
登录超时限制
检查是否使用PAM认证模块禁止wheel组之外的用户su为root
禁止root用户登陆FTP
4)、禁止匿名FTP
预防Flood攻击
文件与目录缺省权限控制
配置用户最小权限
日志审计
启用远程日志功能
检查是否记录安全事件日志
身份鉴别、访问控制、安全审计、资源控制和入侵防范5个方面
01身份鉴别
《信息系统等级保护基本要求》
主机安全---身份鉴别
b)应对登录操作系统和数据库系统的用户进行身份标识和鉴别;
c)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,系统的静态口令应在8位以上并由字母、数字、符号等混合组成并每三个月更换口令。
口令复杂度策略
口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
/etc/security/pam_pwcheck.conf
Minlen //密码最小长度要求;
Lcredit //小写字符数量
Ocredit //特殊字符数量
多次登录失败锁定策略
系统应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号,root用户不适用该项配置。
修改/etc/pam.d/sshd文件,添加如下两行:
auth requiredpam_tally.so no_magic_root #此行的位置需要在该文件的第一行。
account requiredpam_tally.so deny=6 no_magic_root
重启sshd服务:/etc/init.d/sshdrestart
不同版本可尝试:
设置连续登陆6次后帐号锁定:
修改/etc/pam.d/sshd文件,添加如下两行:
auth requiredpam_tally.so deny=6
account requiredpam_tally.so
重启sshd服务:/etc/init.d/sshdrestart
解锁方法:以root用户登录,执行如下操作:
查看哪些用户被锁定:pam_tally
为用户解锁:pam_tally--user username --reset=0
口令最长生存期策略
要求操作系统的账户口令的最长生存期不长于90 天。
/etc/login.defs
PASS_MAX_DAYS 90//密码最长使用期限为90天
PASS_MIN_DAYS 10//密码最短使用期限为10天
PASS_WARN_AGE 7//密码到期10天前提醒
修改Banner信息
修改回显信息/etc/issue和/etc/http://issue.net
echo "Authorized users only. All activity may be monitored and reported "> /etc/issue
echo "Authorized users only. All activity may be monitored and reported "> /etc/http://issue.net
02访问控制
《信息系统等级保护基本要求》
主机安全---访问控制
e)应及时删除多余的、过期的账户,避免共享账户的存在。
多余账户锁定策略
应锁定与设备运行、维护等工作无关的账号。
/etc/password以root账户登录Linux系统
锁定用户方法一:
修改/etc/password文件,将需要锁定的用户的shell域后添加nologin;
test❌1000