我正在创建一个开发网络/环境,用于开发 Web 应用程序和软件应用程序。我希望系统管理员参与实施,因此我正在创建一个粗略的概述,说明应该提供哪些类型的功能以及系统管理员应该做什么。
以下是我所想到的第一次尝试。如果您能提供我可能遗漏的补充想法/评论,我将不胜感激!
网络系统管理员须知
网络清单
决定使用静态/动态分配 IP 地址
- 不要忘记无线连接的笔记本电脑。处理网络安全
,决定开发/测试/生产系统需要哪些功能,
决定每台服务器上的流程/功能保留所有这些记录/注释
- 最终将注释保存在 wiki 中以供系统管理员
使用 - 限制此 wiki 的读取/使用处理所有备份流程;
为备份程序建立恢复策略;
为不同的服务器/功能建立网络/系统范围的备份程序/策略;
为用户访问各种服务/机器建立策略;
应该有一个中央/主位置来处理登录/访问进程
- 可能为系统 / 服务实施 sudo 策略
为网站建立反向代理
建立路由器端口转发策略
建立隧道进程(如果需要)
建立单点路由器访问,然后作为一种安全的方法转发到其他服务器...(或设计一种不同的/更好的方法)
创建包含服务器 / 功能 / IP 地址的网络图为
我们需要 / 拥有的不同类型的服务器创建中央映像为
rpms / net / PXE 安装创建中央 rpm / 存储库...
创建执行 PXE 安装的进程...
为 Apache 测试
定义服务器为 DNS / shcp / Nagios / iptables / security / NFS
定义服务器为 MySQL / 数据库
定义服务器为 porj mgmt 应用
定义服务器为爬虫客户端
定义测试服务器为管理分布式爬虫 / 应用程序定义服务器
定义邮件服务器
定义备份服务器
为备份 / 恢复数据策略定义冗余策略
答案1
我会将该handle the security for the network功能至少扩展到以下子功能:
- 建立服务器(操作系统和软件)的强化基线
- 定期漏洞分析
- 适当时监控和修补软件警报
- (以类似的方式)升级和/或维护升级服务器(WSUS、apt-dater......)
- 日志分析和集中化(以及使用 Splunk 或类似软件管理日志存储库)
- 入侵检测(可能将入侵检测集中在像 OSSIM 这样的平台上)
- 网络:snort
- 主办方:OSSEC
答案2
您需要将备份和恢复功能提前。考虑添加执行和确认测试恢复、定义异地策略、定义和实施恢复点和恢复时间目标等内容。