验证

发布于 2025-04-24  93 次阅读



一、网络配置验证

  1. 检查主网卡静态IP

    ip addr show ens192 | grep 'inet 192.168.30.20/24'
    

    预期输出:显示配置的静态IP地址和子网掩码。

  2. 验证备用网卡DHCP

    nmcli con show ens224 | grep "ipv4.method"  # 应显示auto
    ip addr show ens224 | grep dynamic         # 确认DHCP获取到IP
    
  3. 检查防火墙开放端口

    firewall-cmd --list-ports                  # 应显示22/tcp 80/tcp 443/tcp
    firewall-cmd --zone=public --list-services # 确保http和https服务已允许
    

二、用户与权限验证

  1. 确认用户组和用户创建

    getent group dev_team test_team ops_admin  # 检查组是否存在
    id dev1                                    # 检查用户是否属于dev_team组
    
  2. 验证sudo权限

    • 开发组可执行docker/git
      sudo -u dev1 sudo -l  # 应显示允许执行docker和git命令
      
    • 测试组可重启Nginx
      sudo -u test1 sudo -l # 应显示允许执行systemctl restart nginx
      
    • 测试组操作/etc目录应失败
      sudo -u test1 touch /etc/test_file  # 预期权限被拒绝
      
  3. 检查密码策略

    grep "minlen = 12" /etc/security/pwquality.conf      # 密码长度
    grep "minclass = 4" /etc/security/pwquality.conf     # 包含四类字符
    

三、存储与LVM验证

  1. 检查逻辑卷分配

    lvs                    # 确认code(500G)、test(300G)、home(200G)存在
    df -h /data/code /data/test /home # 查看挂载点和容量
    
  2. 验证磁盘配额

    quota -u dev1          # 检查/home目录配额是否生效(15GB限制)
    repquota /home         # 查看所有用户的配额状态
    
  3. 检查目录权限

    • SGD权限(继承组权限)
      ls -ld /data/code      # 权限应为drwxrwsr-x(2775)
      
    • Sticky Bit防误删
      ls -ld /data/test      # 权限应为drwxrwxrwt(1777)
      

四、服务部署验证

  1. Nginx服务状态

    systemctl status nginx  # 确认服务正在运行
    curl -I https://dev.internal.com # 检查HTTP/2和SSL证书状态(应返回200)
    curl -I http://test.internal.com # 内网访问测试站点(需从192.168.30.0/24网段测试)
    
  2. SSL证书验证

    openssl s_client -connect dev.internal.com:443 -servername dev.internal.com | grep "SSL-Session"
    
  3. MySQL端口访问(内网)

    nmap -p 3306 192.168.30.20 # 从内网IP扫描,端口应开放
    

五、安全配置验证

  1. SSH安全设置

    grep "PermitRootLogin no" /etc/ssh/sshd_config  # 确认Root远程登录已禁用
    
  2. 自动更新检查

    systemctl status dnf-automatic.timer  # 确认定时更新服务已启用
    
  3. 日志管理

    ls /var/log/remote/       # 确认日志已转存
    grep "weekly" /etc/logrotate.conf # 检查日志轮转配置
    

六、定时任务验证

  1. 备份任务

    crontab -l | grep "tar czf /backup/code"  # 确认每日凌晨2点备份任务
    ls /backup/                              # 检查备份文件是否生成
    
  2. 临时文件清理

    crontab -l | grep "find /data/test"       # 确认每周五23:30清理任务
    

七、排错与补充检查

  • 查看审计日志
    sudo tail /var/log/sudo_audit.log        # 检查sudo操作记录
    
  • Nginx配置文件语法检查
    /usr/local/nginx/sbin/nginx -t         # 应返回"syntax is ok"
    
  • 检查时间同步
    chronyc tracking                     # 检查与阿里云NTP的同步状态(误差≤10ms)
    
Facing the sea,with spring blossom
最后更新于 2025-04-24