业务上线前检查清单

拉清单?😂

实际上那些错误执行者,他也是有一本账的,这个帐是记在那儿的。一旦他出事了,这个帐全给你拉出来了。别看你今天闹得欢,小心今后拉清单,这都得应验的。不要干这种事情。头上三尺有神明,一定要有敬畏之心。

此处引用自 《将改革进行到底》 系列纪录片

所以在我们应用上线之前一定要对生产环境有敬畏之心,切记不可马虎大意,不然会会酿出巨大的线上事故,造成巨大的经济损失。因此我们在上线之前要层层把关,拉一个清单出来,把一些该做的事项认真检查完毕后再按规矩上线。这样我们的业务上线后才能万无一失,让老板和领导都安心省事儿。

1.硬件环境检查

  1. 网络设备、分配公网IP、边界路由器

  2. 安全设备、硬件防火墙、负载均衡器、堡垒机

  3. 主机硬件资源(磁盘、内存、CPU、带宽)是否满足业务需求

  4. 边界完整性检查、访问控制检查

  5. 检查域名解析是否正确、SSL 证书有效期

2.系统安全检查

  1. 检查是否禁止 ssh 密码登录、是否禁止root用户远程登录

  2. 修改 ssh 默认端口号、添加 ssh 防火墙白名单规则

  3. 添加 ssh 远程登录IP白名单、禁止白名单以外IP登录

  4. 防火墙默认规则、确保过滤所有传入端口、只开放服务端口

  5. 开启系统权限审计日志、认证登录日志

  6. 日志收集与监控服务运行状态

  7. 检查进程运行用户的权限

  8. 外部安全扫描(nmap扫描端口)

  9. 系统运行服务检查

  10. 检查 SSH 与 PGP 的私钥

  11. 文件系统完整性检查

  12. 检查系统安全更新

  13. 检查时钟是否同步为北京时间

  14. 检查是否需要开启swap,预防业务高峰时期内存不足引起OOM

3.应用服务器安全检查

  1. 统一设置40X错误页面、禁止输出服务器状态信息

  2. 检查Tomcat后台管理弱口令或禁用Tomcat后台默认应用

  3. Web服务器配置文件检查、避免端口或域名冲突

  4. 删除 Tomcat 默认安装的应用

  5. 设置禁止列出目录,防止直接访问目录时由于找不到默认页面,而列出目录下的文件的情况

  6. 确保生产环境与开发环境所需的依赖一致

搞企业先扫描,扫描器商业好;默密码都知道 ,社工库找一找;

邮箱号先列好,九头蛇跑一跑 ;搞不定放大招,发邮件凭伪造;

没邮箱搞网站 ,二级域皆可爆;老漏洞没修好,新漏洞刷一票 ;

干研发 Git 找,源代码全都要;CDN 可以跳, 防火墙可以撬;

堡垒机可以秒,云防护可以秒 ;是企业都可搞

此处引用自 考えるF4n9X

4.数据库安全检查

  1. 确保数据库连接的正确性

  2. 检查连接数据库用户的权限、开启数据库连接用户审计

  3. 上线前数据库做一次备份

  4. 检查数据库监听地址和端口、禁止监听外网IP地址

5.代码控制

  1. 使用sonar进行代码质量检测

  2. 备份旧数据、做好回滚准备

  3. jar包版本检查、检查内部jar包引用

  4. 检查 webshell 漏洞、SQL 注入漏洞等

6.监控和日志收集

  1. 确保监控和日志收集的数据正确

  2. 确保异常监控警报可以触发并做好处理措施

7.监控

  1. 确保监控服务正常运行
  2. 确保监控指标采集正常
  3. 确保监控报警系统面对突发事故时能准时准确地通知到相应人员
  • 本文作者: 木子
  • 本文链接: https://blog.502.li/archives/checklist.html
  • 版权声明: 本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。