运维经理的运维经验总结网站安全分享!

运维经理的运维经验总结

1.从买域名开始，要买多个域名，50个甚至100个。分为主域名和推广域名（给推广链接用的）。要从godaddy上买域名，因为这里的域名稳定，不会出现被攻击等事情。同时还要买域名保护，这样%ignore_a_1%用户ping这个域名就解析不到真实的服务器地址。同时域名解析的操作不要在godaddy上进行，要把解析的操作放在cloudflare上或者dnspod上进行操作，也可以放到zndns上（这个dns可以做到一个域名解析多个IP地址，根据就近原则，把最快的IP地址解析给用户。）也可以自己搭建dns服务器，在godaddy上只想到自己搭建的dns服务器就可以了。这样，修改dns指向的时候会更快。

2.Cdn，一定要买cdn服务。如果出现部分用户访问不了就使用cdn服务。可以从cloudflare上购买cdn服务，这样域名解析到cdn上，然后cdn解析到肉盾击还是那个，然后肉盾击指向核心服务器上。Cdn充当一个缓存和转发的作用，大流量攻击的时候他可以防御至少200G的攻击。Cdn是全球缓存的。

3.图片服务器，在国内租用几台服务器做图片缓存服务器即可，这样提高访问速度。其实nginx本身就是一个图片缓存服务器。

4.机房：选择机房太重要了，要服务质量好的，还要高防好的，还要可靠性高的，还要相应及时的，还要能随时可以查看服务器状态的，最重要还要服务态度好了。机房要买香港九河（用户核心服务器），美国圣安娜机房（用于肉盾击）（虽然慢，但是安全高防做的真好，大流量攻击的时候，这里的机房还是可以访问，所以，鸡蛋不要放在一个篮子里头，要各个等级都有才叫好的，国内机房快，但是高防效果差，美国机房慢但是高防效果好）

5.一个主页，就是招商或成为打广告的网站，可以租用云主机，这样被打死就被打死吧。里面可以有一个链接，指向游戏首页，这个链接可以是带端口号的，那就简单了。也可以是不带端口号的，这时候就一定要用cdn服务器，或者使用免备案机房，把肉盾击放在免备案机房，因为国内搭建网站都是要备案的，博彩这个行业是被禁止的，为了避免域名或者IP地址被和谐了（gwf）所以要用免备案机房。或者就把肉盾击也放到香港或者台湾或者韩国等等机房。这样用户可以不使用端口号，直接用域名就可以访问咱们的网站。

6.要个网站要有监控系统，实时监控服务器是否有攻击，功过查看日志是否激增，还要把日志放到日志服务器上（syslog服务），使用cacti服务可以把日志放到cacti上。网速是一定要查看的，网速激增则证明一定是有攻击。每天要看日志，要用日志分析软件，看看访问源是单一访问源还是多个不同的访问源.监控服务器要有报警功能，一旦情况异常就要立刻报警，然后起床处理攻击。

7.攻击一般看情况而定，一般的攻击都是直接攻击域名。小量的攻击可以通过nginx和iptables本身的防御功能就防掉。大量的攻击由于直接把网络带宽占用满了，服务器无法正常相应，只能依靠机房的高防了。所以要买大量的高防，建议至少200G。如果攻击源是单一IP或者几个IP，那么就让机房把这几个IP给屏蔽就可以了。遇到cc或者ddos攻击，只能靠机房解决。一台服务器被打死后，需要立刻把域名指向另一台服务器，（或者直接把域名指向百度）。大量的攻击还要使用cdn，让cdn直接指向核心服务器就可以了，这样能快一点，让用户还可以玩。总之大流量攻击是不能完全防止的。

8.一个网站一定要有冗余，比如现在是1000人同时访问的并发量，一定要让网站的负载达到2000人的并发量，要不然一搞活动，网站负载不了那么多人就完了。

9.服务器的配置，要用三网卡，一个用于用户连接，对外的访问（要好的网卡）。一个用于内网服务器之间的访问使用。一个用于ssh管理，这样大量攻击的时候咱们还可以操作服务器。每个网卡还要多个IP地址，这样防止某个IP被屏蔽了。国内网络和国外网络经常会有IP不好用的情况。硬盘至少要镜像（raid 1），cpu要两路的，双电源，总之不要有单点故障。至于肉盾击的配置可以低一些，甚至台式机的配置都可以，但是网络一定要好，尤其是和核心服务器之间的网络一定要好。

10.数据库要做主从复制，要有异地备份，nginx服务器要做集群，就是upstream。前台（提供用户访问页面）和后台（员工管理界面）要用两台不同的机器，不要互相影响。其余的服务可以使用一台虚拟机完成。这样可以省钱，邮箱直接买google的gmail企业邮箱就好了，非常好用，最好没人一个。或者公司内部搭建自己的聊天软件（最好还钱买聊天软件）。

11.测试环境要三套，开发人员电脑上自己的环境，要局域网一套测试环境，互联网一套测试环境，生产环境。局域网的测试环境一定要稳定，可以买一个机柜等等的网络设备放在一起，不要用普通电脑。局域网要有svn或git的代码管理工具。充分测试后在上传到生产环境。

12.肉盾击和核心服务器之间一定要可以使用ping命令，这样可以看看那个IP地址不能使用了，网络连通性都可以看出来。

13.运维人员至少两个，如果有运维经理一个运维人员就够了。这样所有运维工作必须有操作文档，两个人互相协调工作，不需要倒班，但是24小时待命。网管一个就够了。

14.普通的运维部门大概就这样，如果是大的网络架构，会有自己的数据中心机房到时候在安排人手。

15.Linux系统要有优化和安全配置，比如说nginx基于cpu的优化，每个程序基于cpu和内存的限制。

16.所有密码要有3个月就修改一次，尤其是域名的账号和邮箱密码，域名是最重要也是最脆弱的环节。

17.局域网一定要稳定，可以买两条网线，至少10M带宽，还要买一个移动wifi，给员工手机上网。

18.如果是大型网络架构，那得有自己的核心机房，就不是租用机房了，每个岗位都是若干人组成的，包括运维工程师，数据库管理工程师，网络工程师，安全工程师，存储备份系统工程师，运维经历负责协调各个部门间的工作。目前就是一个运维就能完成所有的工作。

19.运维的工具要统一，比如连接数据库使用sqlyog工具，连接服务器使用crt工具，密码管理用keepass，上传服务器代码使用winscp工具，等等。这样运维人员之间工作比较好协调。另外运维一定要有大量时间学习，每天都要上网找新技术，好的资料，最好要懂英文，因为好的技术文档都是英文写的。这样对运维工作很有帮助，而且运维技术实力会有很大的进步的，为迎接更大的需求做准备。

20.最后一定要有预案，就是服务器一旦出现重大问题，就是解决不了了，这个时候就不要去解决这台服务器，使用预案，把启用备用方案，尽快让网站可用。平时多做预案演习，还要多做备份的还原操作，因为有的备份不可用，这是常见现象。别到关键时刻备份不能用，整个网站就完了。

21.服务器安全要有一整套的安全配置，包括用户安全，应用安全，系统安全，文件安全等。这样防止服务器被黑客侵入。

22.一定要做高并发测试，模拟同时在线用户2000人，看服务器的负载情况，要有服务器高并发配置，网络方面是机房的事情，但是得选择最合适的IP地址，最适合的机房，及出口带宽。高并发是服务器架构的事情，不是单单一台服务器的事情。该花钱的地方一定要花，可以省钱的地方要知道怎么省钱。

23.运维所有信息两个人共享，包括密码和服务器配置步骤，由运维经理带领团队，打造成一个互相学习，技术实力雄厚，目标一致的和谐团队。让每个人在团队中都得到自己想要的。运维经理的为人就很重要，要不然留不住人，大家心不往一起使劲。运维工作技术不是最重要的，因为这个职位现学现用也来得及，所以工作态度/为人和经验是最重要的。

24.对服务器建立日志，所有服务器的所有操作都要有记录，并且写清时间操作内容。对生产服务器操作之前一定要做风险评估及解决方案。

25.运维之道： 网站可用性/监控与报警/容量规划/流程规范/知识管理与积累/自动化管理

26.应用上线后，运维工作才刚开始，具体工作可能包括：升级版本上线工作、服务监控、应用状态统计、日常服务状态巡检、突发故障处理、服务日常变更调整、集群管理、服务性能评估优化、数据库管理优化、随着应用PV增减进行应用架构的伸缩、安全、运维开发工作：

27.图片服务器和其他服务器要分开，肉盾击可做图片缓存。

28.查看了连接数和当前的连接数，分别是 netstat -ant | grep $ip:80 | wc -l netstat -ant | grep $ip:80 | grep EST | wc -l

—-想了解更多的网站安全相关处理怎么解决关注<编程笔记>