现阶段，掌握一门开发语言已经成为高级运维工程师的必备计能，不会开发，你就不能充分理解你们系统的业务流程，你就不能帮助调试、优化开发人开发的程序，开发人员有的时候很少关注性能的问题，这些问题就得运维人员来做，一个业务上线了，导致CPU使用过高，内存占用过大，如果你不会开发，你可能只能查到进程级别，也就是哪个进程占用这么多，然后呢？然后就交给开发人员处理了，这样咋体现你的价值？
        另外，大一点的公司，服务器都上几百，上千，甚至数万台，这种情况下怎样做自动化运维？用Shell写脚本for循环？呵呵，歇了吧，Shell也就适合简单的系统管理工作。
        到复杂的自动化任务还得要用专门的开发语言。你可能说了，自动化管理有专门的开源软件监控也有，直接拿来用下就好了，但是现有的开源软件如Puppet、Saltstack、 OpenStack、Zabbix、Nagios 等多为通用的软件，不可能完全适用你公司的所有需求，当你需要做定制、做二次开发的时候，你咋办？找开发部门？
        开发部门不懂运维的实际业务逻辑，写出来的东西太烂不能用，我自己也做运维系统，6年运维工作经验，开发出来的第一版照样烂的不行，这还是懂的运维业务逻辑的，让开发人员来做，跑偏可能更多了，这就是为什么我见过很多公司自行开发运维平台，最后都扔那了。
        其次，不会运维开发，你就不能自己写运维平台复杂的运维工具，一切要借助于找一些开源软件拼拼凑凑，如果是这样，那就请不要抱怨你的工资低，你的工作不受重视了，话说人家FaceBook一个运维工程师管2万台机器，运维工程师年薪十几万USD，你以为人家是盖的呢？哪个不是身怀绝技，开发运维兼备？

        nginx的日志格式中，有一个字段叫做 $http_user_agent 这个其实是客户端浏览器的一个信息，比如咱们平时使用IE浏览器的话，nginx的日志中会记录类似于这样的信息：

1

Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)

        xss表示Cross Site Scripting(跨站脚本攻击)，它与SQL注入攻击类似，SQL注入攻击中以SQL语句作为用户输入，从而达到查询/修改/删除数据的目的，而在xss攻击中，通过插入恶意脚本，实现对用户游览器的控制。

        xss攻击可以分成两种类型：

• 非持久型攻击
• 持久型攻击

        过滤”<”和”>”标记XSS跨站攻击的最终目标是引入script代码在用户的浏览器中执行，所以最基本最简单的过滤方法，就是转换”<”和’>”标记。

1
2

replace(str, "<", "<")
replace(str, ">", ">")

        首先建立下面的配置文件放在nginx的conf目录下面,命名为deny.ip

1

cat deny.ip

1
2
3

deny 192.168.1.11;
deny 192.168.1.123;
deny 10.0.1.0/24;

        有时为了特殊需求，只允许普通账户登陆Linux，而不允许root账户登陆，而普通账户登陆后，然后再su 到root下是可以的。打开sshd的配置文件

1

vim /etc/ssh/sshd_config

        打开sshd配置文件

1

vim /etc/ssh/sshd_config

一、锁定系统重要文件

        系统运维人员有时候可能会遇到通过root用户都不能修改或者删除某个文件的情况，产生这种情况的大部分原因可能是这个文件被锁定了。在Linux下锁定文件的命令是chattr，通过这个命令可以修改ext2、ext3、ext4文件系统下文件属性，但是这个命令必须有超级用户root来执行。和这个命令对应的命令是lsattr，这个命令用来查询文件属性。

        在server部分加如下代码：

1
2
3
4
5

server {
    listen 80 default;
    server_name suibian.com; #这里的域名可以乱填一个
    deny all;
}