Lionel-Rousseau/laflanelle-secops-architecture

# 安全运维与业务连续性 — 多站点 Linux 基础设施 ## 为什么创建此仓库 本仓库作为技术展示。它记录了一个支持 24/7 经济活动、每天处理约 170 封传入电子邮件和约 19,000 个 HTTP 请求的真实基础设施。它面向招聘人员、首席信息安全官 (RSSI) 和运维经理，希望借此在简历之外具体评估我的实际业务能力。 此处展示的所有内容均已进行匿名化处理：未披露任何内部主机名、公共 IP 地址或可用于攻击性目的的可利用元素。 ## 概述 该基础设施部署在六个不同的环境中： - **2 台 OVH 专用服务器** (Ubuntu LTS) 承载着暴露在互联网上的服务：Web、邮件、辅助 MX、异地备份。 - **3 个物理站点** 通过 Tailscale mesh VPN 互联：主站点托管着内部核心基础设施，辅助站点（外部办公室），第三站点（带有智能家居和冗余出口节点的第二居所）。 纵深防御应用于四个层面：前端的 Cloudflare WAF，边界的 OPNsense NGFW + Zenarmor，LAN 内部采用 deny-by-default 策略的 VLAN 分段，以及基于 CIS benchmark 的主机层强化。基于 Wazuh (XDR/SIEM) 和 Security Onion (NSM/IDS) 的内部 SOC 负责主机和网络来源的关联，以及边界威胁的检测。 ## 技术栈 | 领域 | 工具 | |---|---| | 系统 | Debian, Ubuntu Server LTS, Rocky, Oracle Linux, FreeBSD (OPNsense) | | 暴露的服务 | Apache 2, Nginx, Postfix, Dovecot, Rspamd, Unbound DNS, MySQL | | 虚拟化 | Proxmox VE, Proxmox Backup Server, Docker | | 网络与安全 | OPNsense NGFW, Zenarmor IPS, Tailscale (mesh VPN), Cloudflare WAF/CDN, Let's Encrypt | | 检测与监控 | Wazuh, Security Onion (Suricata + Zeek), Zabbix, Fail2ban, SNORT, RKhunter, Tripwire, ClamAV | | 邮件 | SPF, DKIM, DMARC, OpenARC, OpenPGP, TLS 1.2+ strict | | 备份 | Rsync/restic (AES-256, LUKS 容器), Proxmox Backup Server, 3-2-1 规则 | | 自动化 | Ansible, Bash, Git, systemd timers | | 密钥管理 | Proton Pass, pass (GPG + Yubikey), Kleopatra | ## 运营指标 | 指标 | 数值 | |---|---| | 7 年累计正常运行时间 | 99.9 % | | 邮件处理量 | ~170 封/天 - ~63,000 封/年，涵盖 13 个域名 | | Web 流量 | ~19,000 个 HTTP 请求/天 | | 邮件 RPO/RTO | 15 分钟 / 1 小时，每月测试 | | Web 电商 RPO/RTO | 1 小时 / 1 小时，每月测试 | | 数据泄露事件 | 0 | | 超过 3 小时的中断事件 | 0 | ## 可用文档 - [`docs/Architecture.pdf`](./docs/Architecture.pdf) — 完整的技术文档（约 12 页）：背景、架构、安全控制、业务连续性计划、自动化、路线图、经验反馈。 - [`docs/Network-Diagram.pdf`](./docs/Network-Diagram.pdf) — 匿名化的架构图。 ## 亮点展示 - **多层网络可见性。** 被动 NSM (Security Onion + Suricata + Zeek) 连接到 L2+ 交换机的 SPAN 端口，用于分析南北向流量，包括通向 OPNsense 的 10 Gbps passthrough。OPNsense 过滤 (deny-by-default ACL) 和 Wazuh 主机日志关联确保了 VLAN 间东西向流量的防御。将 NSM 扩展至东西向流量已列入路线图。 - **内部业务连续性，防火墙和关键服务切换。** 备用 Proxmox 节点 (HP ProDesk) 托管着 OPNsense (NGFW + IPS + Tailscale Router) 和 FreeRADIUS/Unbound VM 的副本，每 24 小时同步一次，保留 2 天。切换流程已文档化并定期测试，关键服务（互联网访问、Wi-Fi 认证）的目标 RTO 低于 15 分钟。 - **地理分布式外部业务连续性。** 两台 OVH 专用服务器（站点 FR A 和 FR B）托管在不同的数据中心，以抵御单站点故障。FR B 上的辅助 MX (优先级 20) 确保在 FR A 不可用时邮件接收的连续性。加密的 restic/rsync 备份从 FR A 复制到 FR B，在完全丢失的情况下可从备份重建。恢复到 3 节点外部架构（2018 至 2024 年间使用的配置）已列入路线图，以彻底解耦 Web 和邮件并提高 Web 弹性。 - **经过验证的定期备份。** 采用 3-2-1 规则，通过加密的 restic/rsync (LUKS) 复制到 OVH 异地，并对最敏感的 NAS 数据每日在可移动介质上进行拷贝。每月进行有效的恢复测试并轮换目标，在此期间通过这些测试发现并纠正了多个隐性 (silencieux) 问题。 - **严格的攻防实验室隔离。** Lab VLAN 与生产 LAN 隔离，Internet 出口采用 deny-all 并仅显式白名单训练目标，仅在按需时激活。已计划迁移至物理分离的专用 Proxmox 以彻底消除残留的横向渗透风险。 ## 路线图 未来十二个月内正在进行或计划的一些项目： - Security Onion 与 Wazuh 的集成。 - 匿名化的公开 Ansible playbook 的工业化 (Debian/Ubuntu 强化、Wazuh 部署、Postfix/Rspamd 部署)。 - 通过 heartbeat CARP/VRRP 实现 OPNsense PCA (业务连续性计划) 的半自动切换。 - Unbound 上的 DNS IDS (被动 DNS + DGA / 隧道检测)。 - VLAN Lab 中的 HashiCorp Vault 概念验证 (POC) — 动态密钥轮换研究。 - Web 和邮件服务解耦，以恢复到 3 台外部服务器。 - 针对公共 OVH 服务器的 NixOS 研究 (原子化可重现、事务性回滚)。 ## 关于 **Lionel Rousseau** — Linux 系统管理员与安全运维 拥有 CompTIA Security+ 和 CySA+ 认证 · TOEIC 980 (C1/C2) 可胜任 Linux 运维、系统管理或 SecOps 职位。 📧 lionel@rousseau.kr 💼 [LinkedIn](https://www.linkedin.com/in/lionel-rousseau-kr/) ## 许可证 文档在 [Creative Commons BY-SA 4.0](https://creativecommons.org/licenses/by-sa/4.0/) 下发布 — 允许在使用相同许可证并注明出处的前提下进行再利用。 ## 真实性验证 PDF 使用我的 GPG 密钥进行签名。要验证它们未被修改： # 导入我的公钥 gpg --import lionel-rousseau-pubkey.asc # 验证分离的签名 gpg --verify docs/Architecture.pdf.sig docs/Architecture.pdf gpg --verify docs/Network-Diagram.pdf.sig docs/Network-Diagram.pdf 密钥指纹：`111D 0326 757E C7EC B3EC 17F5 D28C 8EB0 557B 5620`

标签：Anthropic, Apache, CDN, CIS基准, Cloudflare WAF, Debian, DevSecOps, Dovecot, GitHub Advanced Security, IPS, IP 地址批量处理, Linux系统运维, Mesh VPN, Metaprompt, NGFW, Nginx, OPNsense, PCA, Postfix, Proxmox, Rspamd, SecOps, Security Onion, Tailscale, VLAN微隔离, Wazuh, Web服务架构, Zabbix, 上游代理, 业务连续性, 云安全架构, 多站点架构, 威胁检测与响应, 子域名变形, 安全加固, 安全运营, 容灾, 扫描框架, 插件系统, 生产环境, 系统提示词, 纵深防御, 网络安全, 虚拟化, 请求拦截, 邮件服务, 隐私保护