数据中心的主机安全建设，系统加固策略

数据中心的主机包括物理服务器和虚拟化云主机，所有主机都面临入侵和攻击的风险。主机安全主要包括两个方面：

1. 在主机上部署病毒/木马查杀软件，包括 Linux 和 Windows 系统，降低病毒/木马入侵主机和蔓延的风险。
2. 对主机进行加固，降低主机遭受攻击和入侵的风险。

对于数据中心的服务器和云主机，无论系统或应用本身安全与否，都可能存在漏洞，安全管理员应负责定期（例如 1 月/次）对包括物理服务器和云主机等进行安全加固。系统加固策略包括：

1、使用 GRUB 的 password 参数对 GRUB 设置密码，防止通过编辑 GRUB 启动参数轻松的进入单用户模式从而修改 root 密码，从而造成安全隐患；

2、对 ssh 服务进行加固，关闭 root 账号远程连接，不允许使用空密码用户远程登录，设置最大登录尝试次数为 3；

3、对 xinetd 服务进行加固，根据最少服务原则,凡是不需要的服务一律禁用，减少系统所暴露攻击面，从而提高系统的安全性；

4、清理无主的文件，防止账号删除后系统残留未知文件；

5、删除非授权文件的全局可写属性，控制文件的可写操作权限，避免任何人都具有写权限的目录或文件存在；

6、设置守护进程 umask 值，控制守护进程访问权限范围；

7、为指定分区设置 nodev 挂载项，限制访问该文件系统上的文件；

8、限制 at、cron 定时任务命令的使用权限虚拟化层防护；

9、对于重要文件设置只有 root 可读、写和执行，主要检查目录为/etc/、/etc/rc.d/init.d/、/tmp、/etc/inetd.conf、/etc/passwd、/etc/shadow、/etc/group、/etc/group、/etc/services、/etc/security、/etc/rc*.d；

10、检查未授权 SUID/SGID 文件，可通过对比 SUID/SGID 文件列表及时发现可疑后门程序；

11、检查异常隐藏的文件的存在；

12、开启 TCP sync cookie 保护；

13、关闭系统 core dump 状态； 17、开启 syslog 服务记录用户登录、sudo 操作等日志；

主机安全 信息安全 数据中心 数据安全 网络安全

上一篇：数据中心与大数据安全系统建设的总体架构

下一篇：网络防病毒怎么做？数据中心防毒墙系统建设

相关文章

• 

  数据中心机房供电方案：配电、UPS 系统设计

  本系列数据中心机房建设方案内容较多，包含了书一般机房项目中的装修方案、供配电系统、动环监控系统、防雷系统、机柜系统、制冷系统等，不过部分内容有些许过时，请酌情修改。本网站在分享时将原有序号进行了删减，本页内容是机房工程中的供配电、防雷系统部分，本方案之完整内容有： 1. 机房配电工程的建设内容 2. 机房配电系统设计依据 计算机机房电源设计标准应符合《智能建筑设计标准》（GB/T 50314-2000），甲级标准应符合下列条件： 计算机房供电标准应符合《电子计算机机房设计规范》（GB50174-…

• 

  智慧医院建设项目解决方案：机房运维监控系统

  涵盖 IT 资源的实时监控、数据共享、相互协调与联动，立体化、全链路、全流程监测，具备数据分析与挖掘能力，实现故障预判与工单推送、资产资源的自动调度。提高资源利用率以及管理效率，降低运维成本，主动感知 IT 故障，提高医护人员及患者满意度，保障业务稳定运行。 本系列文章分享一个比较新（2023y）的智慧医院建设方案，原文系某三甲医院智慧医院建设项目的真实案例，全文共 200 页合计约 70000 字，本篇介绍该整体方案中的机房运维监控系统。智慧医院建设项目文章列表： 1. 机房运维监控系统 采用…

• 

  重庆市针对“重要网络与信息系统”密码应用提出明确要求

  本文为重庆市密码管理局公文：关于进一步规范全市重要网络与信息系统密码应用有关要求的通知。通过对本通知内容的阐述，我们可以清晰地看到为规范全市重要网络与信息系统密码应用与安全性评估工作所做的周密安排和具体要求。从项目的规划阶段到建设阶段，再到运行阶段，并且考虑到集约建设与经费保障的每个环节，本通知为确保网络与信息系统安全提供了一份详细可行的操作指南。这一系列措施不仅有助于提升我市密码应用的安全性和合规性，同时也标志着我市在网络与信息安全领域迈出了坚实的步伐。 随着政策的进一步实施，预计将极大提高公…

• 

  模块化机房与普通机房的区别在哪里？模块化机房的优势整理

  模块化数据中心是为了应对云计算、虚拟化、集中化、高密化等服务器的变化，提高数据中心的运营效率，降低能耗，实现快速扩容且互不影响的一种较新形式的数据中心建设方案。本文主要是分享了模块化数据中心相比传统机房的一些优势点，但其实一些中大型或者微小机房大多数仍旧是传统机房的配置。 一般的，微模块数据中心是指由多个具有独立功能、统一的输入输出接口的微模块、不同区域的微模块可以互相备份，通过相关微模块排列组合形成一个完整的数据中心。微模块数据中心是一个整合的、标准的、最优的、智能的、具备很高适应性的基础设施…

• 

  4A 安全体系建设：统一账号、认证、授权和审计

  由于 Hadoop、HBase、Spark 等大数据系统在设计之初对安全问题考虑不充分，需要对大数据平台进行安全加固，其中最重要的是建立大数据环境下的4A 体系（账号 Account、认证 Authentication、授权 Authorization、审计 Audit）。 1. 统一账号系统 大数据平台基于 LDAP 实现大数据统一账号系统，对大数据平台各个组件的系统账号、用户账号进行集中、安全的管理。 统一账号系统提供 Web 界面方便管理员进行日常操作，并提供 RESTful https …

• 

  文件评审及发布制度（通用文档）

  本制度由信息安全工作小组的主体部门网络安全办公室负责信息安全管理体系文件的维护，包括制订、修订和评审，由信息安全领导小组负责体系文件的批准、发布和作废。 第一章  目的 第一条 为规范重庆 XX 中学信息安全管理体系文件的制订、修订及评审，特制定本制度。 第二章 范围 第二条 本管理规范适用于信息安全领导小组和工作小组对信息安全管理体系文件的维护管理。 第三章  职责 第三条 由信息安全工作小组的主体部门网络安全办公室负责信息安全管理体系文件的维护，包括制订、修订和评审，由信…