教育数字化知识图谱

云运维

苏迪安全云运维系统主要执行网站可用性监控，对设定的网站域名或IP地址进行7*24小时互联网可用性检测，及时发现网站无法访问等问题，并向苏迪运维团队及时预警。

安全防范措施建议

账户与登录：

口令和登录控制是系统的第一道防线,目前大多数数攻击都是截获口令或猜测口令等口令攻击开始的；对账户和登录的控制将会成为安全工作的重点。

1. 借助于学校的防火墙来对ssh默认的22端口进行封锁，如没有防火墙，可设置ListenAddress的地址，绑定可登陆的IP或者修改SSH默认的Port 22端口；如果有必要，在“两会”期间可以关闭SSH服务；

2. 修改root密码并禁止root直接登录，提高其复杂度并设置账户的生命周期并妥善保存账户信息；

3. 安全管理系统中的账户，删除不用的帐号和组，对帐户登录超时时间、错误登录次数的限制、命令的历史记录数、环境变量等环节进行安全设置。

系统安全设置：

第一道关口防护完成后，接下来就是对操作系统本身进行安全防护设置，可以抵御大多数来自互联网的攻击。

1. 检查更新操作系统，修复系统本身存在的漏洞；

2. 只对外开放所需要的服务，关闭所有不需要的服务。对外提供的服务越少，所面临的外部威胁越小；
   

3. 对于重要文件或者目录进行权限设置；

4. 外网地址禁止写入，实现通过外网地址或域名访问进来的所有请求只读不写；

5. 限制用户使用系统资源,主要包括资源最大进程数,内存使用量等，可以一定程度上防止DOS类型攻击；

6. 禁止外来ping请求、防止IP地址欺骗、隐藏操作系统敏感信息等措施来进行系统加固；

7. 借助于操作系统的iptables防火墙和tcp_wrappers来实现底层防护；

8. 开启操作系统日志，通过日志来分析和查看一些操作系统的异常行为；

9. 远程桌面禁止，限制通过破解远程账号密码达到直接攻入服务器的攻击操作，从物理隔离；

10. 清理磁盘，检查历史无效页面及可能隐藏的攻击危险；

11. 限制文件上传，对上传文件做类型限制，只允许上传非动态文件（如HTML,ZIP,DOC等），禁止上传动态文件（如JSP,JAR,BAT等），防止攻击者通过上传入口，上传攻击时利用的文件；

12. 有条件的话可以架设堡垒机，或者使用第三方安全工具进行防护。

检查备份服务器，当其他类型服务器出现问题时，备份服务器可以顶替问题服务器继续提供服务。

针对不同的中间件采取相应的安全设置。

如需升级，在测试服务器预演后升级至正式服务器。

1.如您较长时间未更改操作系统以及应用系统账户密码，请在近期更改并妥善保管。

2.虽然苏迪网站群存在备份机制，但仍建议管理员下载最新备份数据并在本地妥善保存，以保障信息安全。