一、网络配置验证
-
检查主网卡静态IP
ip addr show ens192 | grep 'inet 192.168.30.20/24'
预期输出:显示配置的静态IP地址和子网掩码。
-
验证备用网卡DHCP
nmcli con show ens224 | grep "ipv4.method" # 应显示auto ip addr show ens224 | grep dynamic # 确认DHCP获取到IP
-
检查防火墙开放端口
firewall-cmd --list-ports # 应显示22/tcp 80/tcp 443/tcp firewall-cmd --zone=public --list-services # 确保http和https服务已允许
二、用户与权限验证
-
确认用户组和用户创建
getent group dev_team test_team ops_admin # 检查组是否存在 id dev1 # 检查用户是否属于dev_team组
-
验证sudo权限
- 开发组可执行docker/git
sudo -u dev1 sudo -l # 应显示允许执行docker和git命令
- 测试组可重启Nginx
sudo -u test1 sudo -l # 应显示允许执行systemctl restart nginx
- 测试组操作/etc目录应失败
sudo -u test1 touch /etc/test_file # 预期权限被拒绝
- 开发组可执行docker/git
-
检查密码策略
grep "minlen = 12" /etc/security/pwquality.conf # 密码长度 grep "minclass = 4" /etc/security/pwquality.conf # 包含四类字符
三、存储与LVM验证
-
检查逻辑卷分配
lvs # 确认code(500G)、test(300G)、home(200G)存在 df -h /data/code /data/test /home # 查看挂载点和容量
-
验证磁盘配额
quota -u dev1 # 检查/home目录配额是否生效(15GB限制) repquota /home # 查看所有用户的配额状态
-
检查目录权限
- SGD权限(继承组权限)
ls -ld /data/code # 权限应为drwxrwsr-x(2775)
- Sticky Bit防误删
ls -ld /data/test # 权限应为drwxrwxrwt(1777)
- SGD权限(继承组权限)
四、服务部署验证
-
Nginx服务状态
systemctl status nginx # 确认服务正在运行 curl -I https://dev.internal.com # 检查HTTP/2和SSL证书状态(应返回200) curl -I http://test.internal.com # 内网访问测试站点(需从192.168.30.0/24网段测试)
-
SSL证书验证
openssl s_client -connect dev.internal.com:443 -servername dev.internal.com | grep "SSL-Session"
-
MySQL端口访问(内网)
nmap -p 3306 192.168.30.20 # 从内网IP扫描,端口应开放
五、安全配置验证
-
SSH安全设置
grep "PermitRootLogin no" /etc/ssh/sshd_config # 确认Root远程登录已禁用
-
自动更新检查
systemctl status dnf-automatic.timer # 确认定时更新服务已启用
-
日志管理
ls /var/log/remote/ # 确认日志已转存 grep "weekly" /etc/logrotate.conf # 检查日志轮转配置
六、定时任务验证
-
备份任务
crontab -l | grep "tar czf /backup/code" # 确认每日凌晨2点备份任务 ls /backup/ # 检查备份文件是否生成
-
临时文件清理
crontab -l | grep "find /data/test" # 确认每周五23:30清理任务
七、排错与补充检查
- 查看审计日志
sudo tail /var/log/sudo_audit.log # 检查sudo操作记录
- Nginx配置文件语法检查
/usr/local/nginx/sbin/nginx -t # 应返回"syntax is ok"
- 检查时间同步
chronyc tracking # 检查与阿里云NTP的同步状态(误差≤10ms)
Comments NOTHING