linux運維安全： 賬號以及密碼一定要複雜，密碼需要符合這樣的規範：字元大於10個；至少包含大小寫以及數字；密碼中不能包含賬號，不能包含自己的姓名全拼，不能有自己的生日數字，不能有自己的電話號碼；密碼要定期更換；不能把密碼儲存再技術本等文件中，要用專業的存密碼軟體儲存； 可以拿一臺機器作為跳板機來登陸其他伺服器，其他伺服器做登陸IP限制（/etc/hosts.allow,/etc/hosts.deny） 能使用金鑰儘量避免使用密碼登陸 可以禁止root直接登陸伺服器，只允許普通使用者登陸，普通使用者su到root 伺服器上用不到的埠關閉，用不到的服務停掉 應用環境程式軟體（apache，nginx,php,mysql）避免使用太老版本 不可逆操作在操作前一定要備份相關的資料或配置檔案（備份可以選擇以日期為命名的方式，例如：cp /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf_20161204） 重要資料一定要備份，儘量本地和遠端儲存兩份 敲命令切勿太快，避免誤操作

web禁止目錄瀏覽（apache：Options -lndexes;nginx編譯時加上 --without-http_autoindex_module） web可寫目錄下禁止解析php（apache：php_admin_flag engine off;nginx：localtion ~ . *abc/. *\.php?$ {deny all;}） web默虛擬機器禁止訪問，apache第一個虛擬主句，nginx如果不單獨分離虛擬主機配置檔案也為第一個，否則就是有 "listen 80 default"那個。 設定php禁止函式：php.ini中增加disable——functions = popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,opennlog,syslog,readlink,symlink,leak,popepassthru,stream,stream_socket_server,popen,proc_open,proc_close,phpinfo 設定openbase_dir(apache: php_admin_value open_basedir /data/123:/tmp/; php-fpm: php_admin_value[open_basedir]=/data/123:/tmp/)

網站根目錄下禁止有test命令的檔案如test.php php.ini中關閉display_error php禁止訪問遠端檔案（php.ini中allow_url_fopen = off；allow_url_include = off） 站點後臺訪問需要限定ip 建議每個站點都配置訪問日誌，並且做日誌切割壓縮歸檔，磁碟空間允許的話，儘量儲存比較久的時間 儘量避免開放ftp服務，如果要開放需要滿足兩個原則：（1、限定ip訪問（iptables實現）；2、密碼設定一定要複雜）

DNS的view功能可以根據ip庫來只能解析電信、聯通、教育網、移動等網路，前提是我們需要一個比較全面的ip庫。目前有個免費的解決方案-dnspod Squid快取伺服器快取的是靜態檔案（圖片、js、css等） 機房可以選擇多線機房，伺服器之間通過內網傳輸 Memcached為MySQL資料的快取服務，需要web伺服器支援（安裝php的memcache擴充套件） 共享儲存可以自己搭建NFS，但效率不高，建議使用SAN裝置

使用visio設計架構圖（需要網上找個可用的金鑰）