服务器管理规范

1、效劳器管理制度v1.0编写人：审核人：批准人：修订记录：目录一、效劳器的管理和维护 2二、机房平安管理制度 2三、云效劳器管理制度 3四、网络平安管理制度 5五、平安及保密管理制度 6六、操作系统日常维护要求 7七、软件环境 14八、杀毒和系统平安 14九、操作系统补丁 14十、开关机和重启 15十一、文件、磁盘检查 16十二、日志检查 16十三、故障管理 16十四、保密制度 17附 1：效劳器管理员职责 . 17公司内部效劳器的平安是关系到公司数据保密和平安的一件大 事，是保证各个业务系统正常工作的前提条件，因此必须进行科学、有效地管理。为了保证网络系统平安、高效运行，结合现有网络结构情况，

2、特制定如下制度，请遵照执行：效劳器的管理和维护1. 维护目标是保证中心机房设备与信息的平安，保障机房具有良好的 运行环境和工作环境。2. 安排专人负责效劳器的日常操作维护工作，其它人不得私自操作服 务器；如果确实需要操作效劳器，应征得管理人员许可，并报部门主 管同意前方可进行。3. 效劳器必须建立完整的技术文档和维护方案。4. 效劳器必须定期进行双机热备份。5. 每次更新效劳器网站程序前，必须把相关内容备份到移动硬盘中，再进行操作，防止造成不可挽回的损失。6. 效劳器管理员应每周对效劳器及外围设备进行 1 次例行检查和维 护。7. 如发现效劳器故障应及时向部门主管报告，并负责计算机及外设的 日

3、常维护与排除故障， 在遇到电脑公司三包范围内的故障时， 应及时 催促电脑公司上门或将机器送至供给商处维修。机房平安管理制度1. 机房应防尘、防静电，保持清洁、整齐，设备无尘、排列正规、工 具就位、资料齐全。2. 机房门内外、 通道、设备前后和窗口附近， 均不得堆放物品和杂物， 做到无垃圾、无污水，以免阻碍通行和工作。3. 机房内严禁烟火，严禁存放和使用易燃易爆物品，严禁使用大功率 电器、严禁从事危险性高的工作。如需施工，必须取得领导、消防、 安保等相关部门的许可方可施工。4. 外来人员进入机房应严格遵照机房进出管理制度规定，填写人员进 出机房登记表，在相关部门及领导核准后，在值班人员陪同下进出

4、， 机房进出应换穿拖鞋或鞋套。5. 进入机房人员服装必须整洁，保持机房设备和环境清洁。外来人员 不得随意进行拍照，严禁将水及食物带入机房。6. 进入机房人员只能在授权区域与其工作内容相关的设备上工作，不 得随意进入和触动未经授权以外的区域及设备。7. 任何设备出入机房，经办人必须填写设备出入机房登记表，经相关 部门及领导批准前方可进入或搬出。云效劳器管理制度为了加强公司云效劳器的平安管理工作， 保障信息系统平安、 稳 定运行， 充分发挥系统效用， 特制定本管理制度 。本制度规定了公 司云效劳器维护管理和故障处理方法。适用于公司云效劳器 日常管理工作。系统管理员负责效劳器的日常操作维护，登录权限

5、的管理。具体内容如下：1用户管理? 用户如果需要在效劳器上进行操作设置的， 需要经过管理员授权， 管理员对操作进行监督，并做好操作记录 , 备查。每周末汇总数据， 提交部门经理。? 效劳器应禁止匿名 / 默认帐户或严格限制访问权限2 效劳器维护及管理? 每天上班检查所有效劳器运行情况，并做好登记，假设发现问题需 立刻处理， 并做好相应记录与分析； 假设存在自身无法处理的故障必须 在一刻钟之内向上级领导汇报。? 每天上下班前检查效劳器 cpu 、硬盘使用情况，发现异常及时汇 报上级领导，并做好日报记录。硬盘空间定期检查，对产生的不必要 文件进行删除。硬盘空间容量超过 80%时，需要及时申报租用新

6、的硬 盘。? 效劳器系统必须及时升级安装平安补丁，翻开防火墙。弥补系统 漏洞；必须为效劳器系统做好病毒及木马的实时监测， 及时升级病毒 库。? 系统管理员对密码不定期的更换。 对账户、密码等信息严格保密。? 不得擅自在效劳器上安装其他软件。? 不得擅自更改、删除、备份效劳器数据。不得擅自修改效劳器时 间。如需要登录效劳器， 必须要在管理员处出示具有相关领导批示的 单据。操作人员必须在管理人员的陪同下进行相关操作。 如果要更新 效劳器的应用， 必须提供程序测试报告， 并且该程序经过测试可以上 线试运。? 效劳器故障发生后，管理员需及时对故障问题进行处理并做好详 细的登记，包括故障时间，故障现象、

7、处理方法和结果，同时根据故 障现象及处理方案， 完成效劳器故障处理技术文档的更新。 效劳器的 数据库必须做好按时备份。 如遇到效劳器重启或安装、 调试关键效劳 时，提前做好备份。确保系统一旦发生故障时能够快速恢复。重要的 数据必须定期、完整地转储到 U 盘或者硬盘上，每月定期检查备份 数据，如有损坏，及时重新备份。? 每次效劳器进行数据操作及维护后，必须在?效劳器运营表?上 进行登记，用来备查。网络平安管理制度1. 运行维护部门必须制定相应的体系确保网络平安， 维护人员必须确 立网络平安第一的意识。2. 在网络建设期必须考虑工程和现网的关系， 加强施工平安管理和网 络割接准备工作，确保现网的平

8、安，严禁人为事故发生。3. 网络运行维护期应确保维护工作、设备运行、系统数据的平安。4. 客户数据的制作以及对设备的指令操作要严格按照客户数据制作 标准和设备技术手册的要求根据工单执行； 对设备的所有操作要有详 细记录，操作时要一人操作一人核对，准确无误方可执行，操作人员 要在工单上签字确认。5. 网络运行维护期的平安可以通过三种控制方法保证， 操作控制包括 对操作流程、 客户分级、 权限分级、操作记录、远程管理、密码管理、 防火墙技术、 数据备份的平安保证； 运行控制包括对告警处理、 测试、 性能分析、应急预案的平安保证；操作设备控制包括防病毒、杀毒软 件、非生产应用软件的平安控制。6. 未

9、经许可，严禁设备厂商通过远程控制技术对设备进行修改维护， 运行维护部门应有可靠的防范措施。7. 为保证远程技术支持的可靠性， 需定期对远程维护设备、 端口进行 检查，在确保平安保密的同时确保其可用性。8. 磁盘、磁带等必须进行检查确认无病毒后，方可使用。9. 为保证网络平安， 远程维护设备在一般情况下要处于关闭状态， 只 有在需要的时候才开通使用。平安及保密管理制度1. 维护工程师必须熟悉并严格执行平安保密准那么。2. 外部人员因公需进入机房，应经上级批准并指定专人带着方可入内。3. 有关通信设备、网络组织电路开放等资料不得任意抄录、复制，防 止失密。需要监听电路时，应按保密规那么进行。4.

10、机房内消防器材应定期检查， 每个维护人员应熟悉一般消防和平安 操作方法。5. 机房内严禁吸烟和存放、使用易燃、易爆物品。6. 搞好平安保密教育， 建立定期检查制度， 加强节假日的平安保密工 作。7. 未经有关领导批准，非机房管理人员严禁入机房。8. 机房内严禁烟火，不准存放易燃易爆物品。9. 注重电气平安，严禁违章使用电器设备，不准超负荷使用电器。10. 按规定配备消防器材，并定期更新。11. 定期检查接地设施、配电设备、避雷装置，防止雷击、触电事故 发生。12. 发现事故苗头，应尽快采取有效措施，并及时报告领导。13. 进行维修时，严格按照程序进行，杜绝人为事故发生。14. 禁违规接入大功率

11、无线发射设备。操作系统日常维护要求一WindowsServer系统/Linux 系统1. 系统运行状况检查1事件日志检查 应用程序 /平安性/系统:每日检查:发现有错误的日志出现需要检查出原因并排除错误2共享文件夹检查:每日检查:发现有未经允许的共享文件夹 ,马上删除3本地用户和组检查:每日检查:发现有未经允许的用户和组 ,马上删除4磁盘大小和碎片检查:每日检查:发现磁盘空间低于警戒值 30%可用 ,需要清理无用的磁盘文件:发现磁盘碎片大于警戒值 70%碎片 ,需要在效劳器空闲时间进行碎片整理5系统效劳和应用程序检查:每日检查:发现未经允许的系统效劳和应用程序的安装，马上删除6IIS 的检查

12、/其他中间件:每日检查:发现有未经允许的web网站运行，马上删除7进程和应用程序检查:每日屡次检查:发现有可疑的进程和应用程序，马上关闭并找到运行文件进行删除8检查 cpu 使用和内存的占用情况:每日屡次检查:发现 cpu 长时间占用过高 90%检查主要原因 ,看情况重启效劳器。2. windows 常规平安设置1计算机配置 /Windows 设置/平安设置 /软件限制策略选项，同时用鼠标右 键单击该选项，并执行快捷菜单中的创立软件限制策略命令;用鼠标双击强制组策略工程，翻开的设置对话框，选中其中的除本地管理员以外的所有用户选项， 其余参数都保持默认设置，再单击确定按钮结束上述设置操作2拒绝网

13、络病毒藏于临时文件组策略编辑命令gpedit.msc依次选中计算机配置/Windows设置/平安设置/ 软件限制策略 /其他规那么选项，同时用鼠标右键单击该选项，并执行快捷菜单中 的新建路径规那么命令， 翻开的设置对话框， 单击其中的浏览按钮， 从弹出的文件 选择对话框中， 选中并导入 WindowsServer 系统的临时文件夹， 同时再将平安级 别参数设置为不允许，最后单击确定3防止非法 PING字符串命令gpedit.msc计算机配置节点选项，并从目标节点下面逐一点选 Windows 设置、平安设置、高级平安 Windows 防火墙、高级平安 Windows 防火 墙;本地组策略对象选项

14、，再用鼠标选中目标选项下面的入站规那么工程;接着在对应入站规那么工程右侧的操作列表中， 点选新规那么选项， 此时系统屏幕会自动弹出 新建入站规那么向导对话框， 依照向导屏幕的提示， 先将自定义选项选中， 再将所 有程序工程选中，之后从协议类型列表中选中ICMPv4。之后向导屏幕会提示我们选择什么类型的连接条件时， 我们可以选中阻止连 接选项。4断开远程连接恢复系统状态 特殊情况下处理 输入gpedit.msc命令，其次选中组策略控制台窗口左侧位置处的用户配置节 点分支，并用鼠标逐一点选目标节点分支下面的管理模板/网络 /网络连接组策略选项，之后双击网络连接分支下面的删除所有用户远程访问连接选项

15、， 在选项设 置对话框中，选中已启用选项，再单击确定按钮保存。5强行保护所有连接运行框中输入字符串命令gpedit.msc,进入本地效劳器系统的组策略编辑界 面;其次将鼠标定位于计算机配置 /管理模板 /网络/网络连接 /Windows 防火墙 / 标准配置文件分支选项，在标准配置文件分支选项下面，用鼠标双击 Windows 防火墙：保护所有网络连接组策略选项， 目标组策略属性界面， 选中该界面中的 已启用工程，最后单击确定按钮。3. Linux 常规平安设置1ROOT 用户平安方案禁止 ROOT 远程登陆因为没有物理管理的条件，这一条就没有意义 修改ROOT权限，把ROOT修改为普通用户权限

16、，把一个普通用户修改为 ROOT 权限。注意：经过比拟简单的测试发现修改 ROOT 的用户名或者权限标记都导致了系 统不能正常启动；通过测试的只有修改 ROOT 的登录方式为 Nologin ，再为一 个普通用户修改权限标记为0;重启后到达效果ROOT用户名无法登录、被修改 的普通用户登录后系统显示为 root#以下是修改后的内容root:x:0:0:/root:/sbin/nologin huojun:x:0:0:/home/huojun:/bin/bash2设置密码时间 为普通用户设置密码的最大修改时间， 保证所有的普通用户即时更新密码， 如果用户长期不用那么会被禁止登陆。来到达对普通用户

17、的平安管理。3使用固定 IP 登录配置sshd_config文件，添加远程登录的固定IP,将非授权的IP地址登录 排除在外。vim/etc/ssh/sshd_config添加一行：注：xxx为你用来登入效劳器的用户名，可以为多个用户添加多个IP地址4SSH 端口将默认的登录端口 22，修改成其他端口，可以有效防止非法尝试登录。vi/etc/ssh/sshd_config/找到Port22修改为自定义的端口5ping 请求不在响应 ping 请求，立即生效。 echo“1/proc/sys/net/ipv4/icmp_ec_higonore_all6关闭 SELinux 这是一个控制平安策略的内

18、核平安机制，因为与现有的应用不兼容所以不使用，再对其深入研究后再使用也不迟。vi/etc/sysconfig/selinux关闭 SELinux：修改 SELINUX=enforcing 为 SELINUX=disabled7防火墙防火墙使用的是Firewall，暂不提供IPtable。 firewall-cmd-state#查看防火墙状态，是否是 running firewall-cmd-list-all/ 查看防火墙规那么，可查到你当前开放的端口信息。 firewall-cmd-z on e=public-add-port=8888/tcp-perma nen t 为 防火墙添加端 口注意

19、：使用 systemctl 重启防火墙二数据库状态检查维护1检查数据库的日常维护的运行结果:每日检查:保证数据和日志按要求正确备份 ,运行失败的重新手工备份且排除出错原因2检查数据库的事务日志:每日检查:当事务日志大于 300M 时候，需要完整备份日志后对日志进行收缩操作3检查数据库文件的碎片:每半月检查:当数据库的碎片大于警戒值 ,需要进行碎片整理工作:方法，如果扫描密度与平均页面密度小于 100%表示有碎片产生， 此两项应 保持较高的百分比。 而逻辑与扇区扫描碎片应尽可能接近于 0，一般不应超过 10。三web 系统检查1web 系统的登陆检查:每日检查:确保 web 系统能正常登陆2we

20、b 系统的响应检查:每日检查:检查 web 系统的请求和响应速度 ,如果响应过慢或者无响应，需要检查原因 和排除 .3web 系统的文件检查:每月检查:检查和备份 web 系统的程序文件4web流量检查:每日检查 :确保流量正常，发现流量异常的情况，需要查明原因和解决掉。软件环境去掉其它的网络文件与打印效劳、 QoS、终端效劳、终端授权服务、SiteServerILS效劳、消息队列效劳MSMQ、远程存储、证书 效劳等其他目前暂时用不到的效劳。 为了保证效劳器的最大优化， 除 了安装解压缩、 杀毒软件等必要的应用软件外， 一般不安装其他非必 要的软件，包括 OFFICE 等，不设置壁纸、屏幕保护

21、等。严禁安装游 戏、聊天工具。杀毒和系统平安1. 需要拷贝到效劳器上的程序和数据，必须经过检测确认无病毒前方 可进行传入。2. 设置效劳器晚间 0 点进行定时杀毒。3. 杀毒软件要定时升级病毒库。4. 在得知有新病毒流行时应立即确认杀毒源库是否为最新，如果不是 应立即上网下载，同时应立即上微软网站下载最新的补丁程序。5. 在得知有最新的平安漏洞时，应立即上网查看微软最新平安补丁。 操作系统补丁1. 每隔 7 天上微软网站查看是否有最新的更新通知2. 在得知有最新的平安漏洞时，应立即上网查看微软最新平安补丁3微软一般在8-12个月内会发一次SP 目前为SP2,届时应全数 下载，并立即分发各工作站

22、开关机和重启一般情况下，效劳器不得随意关机，在以下情况下，可以关机， 但尽量安排在晚上； 假设必须在工作时间重启效劳器， 应提前通知各部 门人员：更新效劳器上运行的网站，比方公司 OA 安装必要的软件 正常的维护需要效劳器在出现严重故障非重起不能解决时 效劳器在得到停电通知时 效劳器出现严重的硬件故障时效劳器在出现严重故障非重起不能解决时，应用：NETSENDDOMIAN/US效劳器需要重启，请存盘，3分钟后恢复正常 通知网络用户，以便用户保存正在编辑的文件或中断数据库连接 效劳器在得到UPS亭电通知时，必须在1个小时内关闭。此项设置必 须在APC勺监控软件中设置效劳器出现严重的硬件故障时， 应立即通知网络用户并立即关机， 同 时通知硬件供给商处理效劳器在开机时必须确认 UPS供电是否正常文件、磁盘检查1. 每天检查效