167fad20eb
- 新增 Nezha Agent client_secret 更新 playbook(两种实现方案) - 建立三层文档架构:docs/(用户文档)、examples/(配置示例)、llmdoc/(技术文档) - 添加项目主 README.md 和配置示例文件 - 初始化 .gitignore 保护敏感信息
33 lines
782 B
Markdown
33 lines
782 B
Markdown
# 安全最佳实践指南
|
||
|
||
## 1. 权限管理
|
||
|
||
### Sudo 权限使用
|
||
1. **始终** 使用 `become: yes`
|
||
2. 仅在必要时提升权限
|
||
3. 避免使用全局 root 权限
|
||
|
||
### 脚本下载安全
|
||
1. 始终启用证书验证 `validate_certs: yes`
|
||
2. 限制下载脚本权限 `mode: '0755'`
|
||
3. 使用 HTTPS 下载源
|
||
|
||
## 2. 日志安全
|
||
|
||
### 日志配置最佳实践
|
||
1. 限制日志总大小(默认 500M)
|
||
2. 控制单个日志文件大小(默认 100M)
|
||
3. 设置日志保留期限(默认 7 天)
|
||
4. 启用日志速率限制
|
||
|
||
### 防御策略
|
||
1. 防止日志炸弹攻击
|
||
2. 定期审查日志配置
|
||
3. 备份重要日志
|
||
|
||
## 3. 安全检查清单
|
||
|
||
- [ ] 验证所有下载脚本的来源
|
||
- [ ] 检查 sudo 权限使用范围
|
||
- [ ] 审核日志配置
|
||
- [ ] 定期更新和补丁 |