今天小编要跟大家分享的文章是关于运维工作到底是做什么?运维如何分工?互联网运维工作，以服务为中心，以稳定、安全、高效为三个基本点，确保公司的互联网业务能够 7×24 小时为用户提供高质量的服务。

运维人员对公司互联网业务所依赖的基础设施、基础服务、线上业务进行稳定性加强，进行日常巡检发现服务可能存在的隐患，对整体架构进行优化以屏蔽常见的运行故障，多数据中接入提高业务的容灾能力。

运维人员需要保障公司提供的互联网业 运行在安全、可控的状态下，确保公司业务数据和用户隐私数据的安全，同时还需要具备抵御各种恶意攻击的能力。

同时，还需要通过各种工具平台提升内部产品发布交付的效率，提升公司内运维相关的工作效率。

运维的工作方向比较多，随着业务规模的不断发展，越成熟的互联网公司，运维岗位会划分得越细。

当前很多大型的互联网公司，在初创时期只有系统运维，随着服务规模、服务质量的要求，也逐渐进行了工作细分。

一般情况下运维团队的工作分类和职责如下。

系统运维负责IDC、网络、CDN和基础服务的建设(LVS、NTP、DNS);负责资产管理，服务器选型、交付和维修。详细的工作职责如下。

1.IDC数据中心建设

收集业务需求，预估未来数据中心的发展规模，从骨干网的分布，数据中心建筑，以及Internet接入、网络攻击防御能力、扩容能力、空间预留、外接专线能力、现场服务支撑能力等方面评估选型数据中心。负责数据中心的建设、现场维护工作。

设计及规划生产网络架构，这里面包括：数据中心网络架构、传输网架构、CDN网络架构等，以及网络调优等日常运维工作。

LVS 是整个站点架构中的流量入口，根据网络规模和业务需求，构建负载均衡集群。完成网络与业务服务器的衔接，提供高性能、高可用的负载调度能力，以及统一的网络层防攻击能力。SNAT .集中提供数据中心的公网访问服务，通过集群化部署，保证出网服务的高性能与高可用。

CDN 工作划分为第三方和自建两部分。建立第三方 CDN 的选型和调度控制;根据业务发展趋势，规划CDN新节点建设布局;完善CDN业务及监控，保障CDN 系统稳定、高效运行。分析业务加速频道的文件特性和数量，制定最优的加速策略和资源匹配;负责用户劫持等CDN日常故障排查工作。

5.服务器选型、交付和维护

负责服务器的测试选型，包含服务器整机、部件的基础性测试和业务测试，降低整机功率，提升机架部署密度等。

结合对公司业务的了解，推广新硬件、新方案减少业务的服务器投入规模。负责服务器硬件故障的诊断定位，服务器硬件监控、健康检查工具的开发和维护。

6.OS、内核选型和 OS 相关维护工作

负责整体平台的 OS 选型、定制和内核优化，以及 Patch 的更新和内部版本发布;建立基础的YUM包管理和分发中心，提供常用包版本库;跟进日常各类 OS 相关故障;针对不同的业务类型，提供定向的优化支持。

记录和管理运维相关的基础物理信息，包括数据中心、网络、机柜、服务器、ACL、IP等各种资源信息，制定有效的流程，确保信息的准确性;开放API接口，为自动化运维提供数据支持。

业务对 DNS、NTP、SYSLOG 等基础服务的依赖非常高，需要设计高可用架构避免单点，提供稳定的基础服务。

应用运维负责线上服务的变更、服务状态监控、服务容灾和数据备份等工作，对服务进行例行排查、故障应急处理等工作。详细的工作职责如下所述。

在产品研发阶段，参与产品设计评审，从运维的角度提出评审意见，使服务满足运维准入的高可用要求。

负责制定线上业务升级变更及回滚方案，并进行变更实施。掌握所负责的服务及服务间关联关系、服务依赖的各种资源。能够发现服务上的缺陷，及时通报并推进解决。制定服务稳定性指标及准入标准，同时不断完善和优化程序和系统的功能、效率，提高运行质量。完善监控内容，提高报警准确度。在线上服务出现故障时，第一时间响应，对已知线上故障能按流程进行通报并按预案执行，未知故障组织相关人员联合排障。

对各服务的服务器资产进行管理，梳理服务器资源状况、数据中心分布情况、网络专线及带宽情况，能够合理使用服务器资源，根据不同服务的需求，分配不同配置的服务器，确保服务器资源的充分利用。

制定服务例行排查点，并不断完善。根据制定的服务排查点，对服务进行定期检查。对排查过程中发现的问题，及时进行追查，排除可能存在的隐患。

确定服务所需的各项监控、系统指标的阈值或临界点，以及出现该情况后的处理预案。建立和更新服务预案文档，并根据日常故障情况不断补充完善，提高预案完备性。能够制定和评审各类预案，周期性进行预案演练，确保预案的可执行性。

制定数据备份策略，按规范进行数据备份工作。保证数据备份的可用性和完整性，定期开展数据恢复性测试。

数据库运维负责数据存储方案设计、数据库表设计、索引设计和优化，对数据库进行变更、监控、备份、高可用设计等工作。详细的工作职责如下所述。

在产品研发初始阶段，参与设计方案评审，从DBA的角度提出数据存储方案、库表设计方案、SQL开发标准、索引设计方案等，使服务满足数据库使用的高可用、高性能要求。

掌握所负责服务的数据库的容量上限，清楚地了解当前瓶颈点，当服务还未到达容量上限时，及时进行优化、分拆或者扩容。

制定数据备份与灾备策略，定期完成数据恢复性测试，保证数据备份的可用性和完整性。

完善数据库存活和性能监控，及时了解数据库运行状态及故障。数据库安全建设数据库账号体系，严格控制账号权限与开放范围，降低误操作和数据泄露的风险;加强离线备份数据的管理，降低数据泄露的风险。

5.数据库高可用和性能优化

对数据库单点风险和故障设计相应的切换方案，降低故障对数据库服务的影响;不断对数据库整体性能进行优化，包括新存储方案引进、硬件优化、文件系统优化、数据库优化、SQL优化等，在保障成本不增加或者少量增加的情况下，数据库可以支撑更多的业务请求。

设计开发数据库自动化运维系统，包括数据库部署、自动扩容、分库分表、权限管理、备份恢复、SQL审核和上线、故障切换等功能。

运维研发负责通用的运维平台设计和研发工作，如：资产管理、监控系统、运维平台、数据权限管理系统等。提供各种API供运维或研发人员使用，封装更高层的自动化运维系统。详细的工作职责如下所述。

记录和管理服务及其关联关系，协助运维人员自动化、流程化地完成日常运维操作，包括机器管理、重启、改名、初始化、域名管理、流量切换和故障预案实施等。

负责监控系统的设计、开发工作，完成公司服务器和各种网络设备的资源指标、线上业务运行指标的收集、告警、存储、分析、展示和数据挖掘等工作，持续提高告警的及时性、准确性和智能性，促进公司服务器资源的合理化调配。

参与部署自动化系统的开发，负责自动化部署系统所需要的基础数据和信息，负责权限管理、API开发、Web端开发。结合，研发和提供PaaS相关高可用平台，进一步提高服务的部署速度和用户体验，提升资源利用率。

运维安全负责网络、系统和业务等方面的安全加固工作，进行常规的安全扫描、渗透测试，进行安全工具和系统研发以及安全事件应急处理。详细的工作职责如下所述。

根据公司内部的具体流程，制定切实可行，且行之有效的安全制度。

定期向员工提供具有针对性的安全培训和考核，在全公司内建立安全负责人制度。

通过黑白盒测试和检查机制，定期产生对物理网络、服务器、业务应用、用户数据等方面的总体风险评估结果。

根据风险评估结果，加固最薄弱的环节，包括设计安全防线、部署安全设备、及时更新补丁、防御病毒、源代码自动扫描和业务产品安全咨询等。为了降低可能泄露数据的价值，通过加密、匿名化、混淆数据，乃至定期删除等技术手段和流程来达到目的。

为了满足例如支付牌照等合规性要求，安全团队承担着安全合规的对外接口人工作。

建立安全报警系统，通过安全中心收集第三方发现的安全问题，组织各部门对已经发现的安全问题进行修复、影响面评估、事后安全原因追查。

以上就是小编今天为大家分享的关于运维工作到底是做什么?运维如何分工的文章，希望本篇文章能够对正在从事Linux运维相关工作的小伙伴们有所帮助，想要了解更多Linux相关知识记得关注官网，最后祝愿小伙伴们工作顺利，成为一名优秀的Linux运维工程师。

【免责声明：本文图片及文字信息均由小编转载自网络，旨在分享提供阅读，版权归原作者所有，如有侵权请联系我们进行删除。】

*本文作者：liong03；本文属FreeBuf 原创奖励计划，未经许可禁止转载。

先简单自我介绍一下，其实，我是一个安全工程师。现就职于某互联网金融企业负责公司整体网络安全。 

刚到公司时首先是了解一些企业规则和规则制定者，当然了我的工作主要是安全。初来乍到，先了解下公司的IT资产，收集完IT资产后，做一个IP资产开放端口的梳理，端口信息的收集这是一个很重要的过程，因为渗透实战中对端口的渗透是常用手段。

端口收集过程中关注几个问题：

端口信息的获取，最为常见的应该就是nmap（端口信息比较详细）、御剑（只显示开放的端口，速度很快），也可以结合其他的主机漏洞扫描工具对端口扫描，如天镜、极光、nusses都可以扫描端口和一些漏洞。

通过端口来进行渗透会很大提升渗透成功效率，在工作中发现运维人员开放了很多端口，很多网上曝过的漏洞可以找到，对于个人来说，这是个学习、实践的机会，连环境都搭好了，但对于企业来说这是个很危险的事情。

为什么有这么多端口开放，甚至有些已经关闭了的端口过段时间又会重新开启。还有些端口要求去整改，但却没有整改，这里面有很多因素，也包括人员安全意识和水平不一样。在公司也发起过安全意识培训和一些安全技术规范，但人员流动，各自专业不一样，关注点不一样。甚至一些人认为安全检查是找茬的，影响发版进度。还一个因素，运维部的安全员在执行安全管理时大部分情况是从下往上推，更尴尬的是还换了领导了。也遇到过帮别的甲方企业发现漏洞，告诉了封端口、打补丁，可是运维人员没有去整改，然后大概一个星期后就被黑客入侵了，再花一笔不小的费用让我去封端口、打补丁。一入甲方深似海。。。

在运维部这边遇到安全问题大部分是跟端口、口令相关，开发部那边的情况另说。这里例举了一些常见的端口及可能存在的安全问题，当然了，端口还是要结合服务来看。这里的端口也并不全，我一般看到端口就会去想它的服务，去百度查可能有哪些安全漏洞，大部分是从CVE、CNVD、安全厂商公证号、各大安全论坛也包括freebuf获取漏洞信息。也做过针对企业具体IP的端口、服务、软件版本的资产服务列表，这样有新的漏洞曝出来，就能很快知道哪些服务器可能有安全风险。

端口漏洞也是挺多的，以下3种漏洞在企业内网比较常见，在外网一般都是做了毕竟严端口控制，外网端口控制简单很多，不像内网架构那么复杂。

漏洞名称：Rsync未授权访问漏洞

漏洞详情：Rsync因配置不当，导致未授权访问，可未授权上传、下载服务器文件。

Rsync 是一个通过检查文件的时间戳和大小，来跨计算机系统高效地传输和同步文件的工具。通常情况下，管理程序在启动Rsync 服务后，会直接运行传输任务。如果 Rsync 服务未经过安全加固，出现未授权访问等安全问题；其直接后果是传输数据裸露在网络中，可以被任何人访问获取，带来严重的数据泄露风险。

可以看到成功下载文件到攻击电脑root目录了：

后续的操作姿势看个人喜好了，这里只是验证这个漏洞可以被利用入侵服务器。

漏洞名称：Redis服务器远程执行漏洞

利用原理：主要是通过无密码登录redis，然后往redis缓存写入数据库，再通过redis缓存保存到redis服务器任意目录。

为了验证漏洞影响，搭建了测试redis服务器，进行漏洞攻击测试。

测试过程（利用反弹shell控制服务器）：

1、由于redis服务器默认是没有设redis访问密码，攻击电脑可直接向rides服务器缓存写入一个反弹shell，每分钟执行一次

3、攻击电脑上监听反弹shell，成功连接了redis服务器，可执行任意操作

当然还有其他的利用姿势，如：

1）写入SSH的key，然后利用key远程登录；

3）写入网马（前提需要找到网站路径）；

利用原理：主要是通过破解账号密码登录Apache ActiveMQ，然后往Apache ActiveMQ目录写入数据库，再通过MOVE保存数据到服务器任意目录。

2、在下方空白处填写小马内容

3、访问，输入账号密码admin/admin登录成功，看到小马上传成功

二、移动小马到tomcat目录

使用小马客户端上传大马shell.jsp

可以使用大马去管理服务器为所欲为...为所欲为...

纵观端口与口令安全威胁，很多情况是因为默认配置有着诸多不足，而运维同学为了简单，都直接使用了默认配置。对于端口与口令的安全使用，建议可以参考如下措施：

1、采用白名单形式配置主机防火墙/网络防火墙访问控制策略，设置仅允许某IP访问服务某端口。

2、关闭非必要端口，尤其是非必要端口不要开放外网访问。

（很多木马工具也有特定的端口，一些端口由于配置原因容易被恶意人员利用。）

3、设置强壮口令，并定期修改口令。

（密码爆破技术最简单，往往采用字典和社工结合能进行最大效果的爆破。）

4、尽量采用密码防爆破，配合使用如限制次数、验证码等。

5、重要系统尽量使用双因子验证。

6、不要以明文方式传输账号密码。

7、远程运维尽量采用VPN连接方式。

8、尽量以非管理员用户运行服务程序。

9、及时升级版本、打补丁。 

强壮口令是指有以下特征的密码：

1) 同时具备大写和小写字符；

3) 8个字符或者以上；

4) 不是字典上的单词或者汉语拼音；

5) 不基于个人信息、名字和家庭信息。

当收集完端口信息后，我发现很多问题，跟运维人员、开发人员聊过人生。发现运维人员、开发人员不太懂安全，而安全人员也不太懂运维和开发，至少我之前是这样的。拿端口和弱口令来说，对于安全人员来说，发现了这个问题一般的建议：改口令、关端口；限制IP访问；打补丁/升级版本；删除一些配置文件。实际情况中运维或开发会反馈：

1）口令更改会涉及一些应用调用，需要同时改好几个地方的配置；

2）有其他系统需要调用这些端口，整改起来很麻烦；

3）linux防火墙还好限IP，windows防火墙有不少坑，网络防火墙限IP可能要改好几个防火墙，而且防火墙策略已经很乱；

4）一些补丁打不上，版本不能升不了级，甚至不能升级和打补丁；

5）这个问题好像没什么影响，我慢点改，最后可能不了了之；

6）有没有更简单的方法，我选更简单的。 

我只是个安全工程师，招入职我的领导升上去了，坚强的后盾没了，还好这么多年的工作经验在运维和开发都懂一些，安全工作也还是要继续：

1）把整改的方法一一分析，讨论可行性，甚至还把一些操作步骤给做成手册，甚至还写过杀毒软件的安装和配置使用手册；

2）把问题风险列出来，甚至进行成功渗透，必要时发个安全通告、安全预警之类，主要是要引起对问题的重视，同时也要避免出问题担责。

漏洞成功利用了，整改操作手册也有了，各位大佬同意整改了，然后就是漏洞跟踪形成闭环。

*本文作者：liong03；本文属FreeBuf 原创奖励计划，未经许可禁止转载。