我正在尝试为一组 Linux 服务器制定安全策略。我的组织中有 8 个人需要通过 SSH 进行根级别访问。
在过去的一家公司,我的解决方案是只允许使用 RSA 密钥,并为每个人提供一个拥有自己密钥的用户。
为了授予 root 权限,我将 UID 设置为 0。这不需要设置 sudo 或 su,人们似乎只是 sudo su - 或 sudo /bin/bash 反正。它还让我执行以下操作。
我修补了 Bash 以将 getlogin() 的返回值和命令记录到 syslog。然后,我记录了服务器上运行的所有内容以及与用户相关联的用户名。如果我使用 su 或 sudo,我只会获得用户 root。
我现在在一家新公司处于一种全新的状态,想知道是否有人有他们使用和喜欢的政策。
===已解决===
这个问题解决了。事实证明,ImageMagick 在使用多个 CPU 时有问题。编译 ImageMagick 使用一个 CPU 解决了这个问题。
================
我添加了一个新的 Web 服务器作为升级,但它在几秒钟内就崩溃了。
旧盒子有 8 个 2.33GHz 的至强核心。新机拥有 16 个 2.40GHz 至强核心。新机内存为8G和32G。
另一个主要区别是从 32 位跃升至 64 位。
两者的操作系统都是 CentOS 5.6,Apache 也是 2.2.3-45。
PHP 是 5.2.10 并且是手工编译的。除了架构位之外,配置选项是相同的。
从所有这些信息中,你会认为新机器会尖叫,但当前的盒子处理负载并且偶尔会摔倒。新机器每次都在不到一分钟的时间内死亡。
内存很好,I/O 很好,但是 CPU 很卡。这是来自两者的 mpstat 的输出
旧盒子
09:14:18 PM CPU %user %nice %sys %iowait %irq %soft %steal %idle intr/s
09:14:20 PM all 31.34 0.00 2.62 9.68 0.12 1.00 0.00 55.24 11163.50
09:14:20 PM 0 53.00 0.00 5.50 16.00 0.50 6.50 0.00 18.50 10249.50 …