数据中心的主机包括物理服务器和虚拟化云主机,所有主机都面临入侵和攻击的风险。主机安全主要包括两个方面:

  1. 在主机上部署病毒/木马查杀软件,包括 Linux 和 Windows 系统,降低病毒/木马入侵主机和蔓延的风险。
  2. 对主机进行加固,降低主机遭受攻击和入侵的风险。

对于数据中心的服务器和云主机,无论系统或应用本身安全与否,都可能存在漏洞,安全管理员应负责定期(例如 1 月/次)对包括物理服务器和云主机等进行安全加固。系统加固策略包括:

数据中心
数据中心

1、使用 GRUB 的 password 参数对 GRUB 设置密码,防止通过编辑 GRUB 启动参数轻松的进入单用户模式从而修改 root 密码,从而造成安全隐患;

2、对 ssh 服务进行加固,关闭 root 账号远程连接,不允许使用空密码用户远程登录,设置最大登录尝试次数为 3;

3、对 xinetd 服务进行加固,根据最少服务原则,凡是不需要的服务一律禁用,减少系统所暴露攻击面,从而提高系统的安全性;

4、清理无主的文件,防止账号删除后系统残留未知文件;

5、删除非授权文件的全局可写属性,控制文件的可写操作权限,避免任何人都具有写权限的目录或文件存在;

6、设置守护进程 umask 值,控制守护进程访问权限范围;

7、为指定分区设置 nodev 挂载项,限制访问该文件系统上的文件;

8、限制 at、cron 定时任务命令的使用权限虚拟化层防护;

9、对于重要文件设置只有 root 可读、写和执行,主要检查目录为/etc/、/etc/rc.d/init.d/、/tmp、/etc/inetd.conf、/etc/passwd、/etc/shadow、/etc/group、/etc/group、/etc/services、/etc/security、/etc/rc*.d;

10、检查未授权 SUID/SGID 文件,可通过对比 SUID/SGID 文件列表及时发现可疑后门程序;

11、检查异常隐藏的文件的存在;

12、开启 TCP sync cookie 保护;

13、关闭系统 core dump 状态; 17、开启 syslog 服务记录用户登录、sudo 操作等日志;

相关文章

  • 文件评审及发布制度(通用文档)

    文件评审及发布制度(通用文档)

    本制度由信息安全工作小组的主体部门网络安全办公室负责信息安全管理体系文件的维护,包括制订、修订和评审,由信息安全领导小组负责体系文件的批准、发布和作废。 第一章  目的 第一条 为规范重庆 XX 中学信息安全管理体系文件的制订、修订及评审,特制定本制度。 第二章 范围 第二条 本管理规范适用于信息安全领导小组和工作小组对信息安全管理体系文件的维护管理。 第三章  职责 第三条 由信息安全工作小组的主体部门网络安全办公室负责信息安全管理体系文件的维护,包括制订、修订和评审,由信…

  • 智慧医院建设项目解决方案:机房运维监控系统

    智慧医院建设项目解决方案:机房运维监控系统

    涵盖 IT 资源的实时监控、数据共享、相互协调与联动,立体化、全链路、全流程监测,具备数据分析与挖掘能力,实现故障预判与工单推送、资产资源的自动调度。提高资源利用率以及管理效率,降低运维成本,主动感知 IT 故障,提高医护人员及患者满意度,保障业务稳定运行。 本系列文章分享一个比较新(2023y)的智慧医院建设方案,原文系某三甲医院智慧医院建设项目的真实案例,全文共 200 页合计约 70000 字,本篇介绍该整体方案中的机房运维监控系统。智慧医院建设项目文章列表: 1. 机房运维监控系统 采用…

  • 奇安信下一代智慧防火墙系统 (NSG 系列)

    奇安信下一代智慧防火墙系统 (NSG 系列)

    奇安信网神新一代智慧防火墙是一款能够全面应对传统网络攻击和高级威胁的创新型防火墙产品,可广泛运用于政府机构、各类企业和组织的业务网络边界,实现网络安全域隔离、精细化访问控制、高效的威胁防护和高级威胁检测等功能。该产品在下一代防火墙基础上超越性的集成了威胁情报、大数据分析和安全可视化等创新安全技术,并通过与网络威胁感知中心、安全管理分析中心、终端安全管理系统等的智能协同,为用户在网络边界构建数据驱动的新一代威胁防御平台。

  • 网络与信息安全管理制度(简版)

    网络与信息安全管理制度(简版)

    根据众平科技的经验,在一个基本的网络信息系统中,造成信息泄露或损害的原因,更多的是系统运维制度和人员的缺失,是网络安全体系的建设不足,相对而言其实网络信息安全设备更多的是个辅助。 本文是一个简版的网络与信息安全管理制度,内容比较少,但该有的都有了,各位在参考使用时注意把内文所涉用户信息删除。整理不易,投个币再下载吧,相关文章: 网络安全管理制度 网络机房管理制度 监控中心管理制度 信息系统建设的安全机制建设 网络与信息安全管理制度(简版) 第一章 目的 第一条 为规范重庆市XX网络信息系统安全管…

  • 网络与信息系统安全设计规范

    网络与信息系统安全设计规范

    为规范重庆XX中学信息系统安全设计过程,确保整个信息安全管理体系在信息安全设计阶段即符合国家相关标准和要求,特制订本规范。 第一章 目的 第一条 为规范重庆XX中学信息系统安全设计过程,确保整个信息安全管理体系在信息安全设计阶段即符合国家相关标准和要求,特制订本规范。 第二章 范围 第二条 本规范适用于重庆XX中学在信息安全设计阶段的要求和规范管理。 第三章 职责 第三条 网络安全办公室负责信息安全系统设计,并会同上级单位、相关部门和有关专家对设计方案进行评审后报信息安全领导小组批准。 第四章 …

  • 数据中心与大数据安全系统建设的总体架构

    数据中心与大数据安全系统建设的总体架构

    针对数据中心与大数据安全威胁的多样化、体系化,防御体系利用先发优势,在各个层面进行纵深覆盖,实现风险分化、协同互补,构建一套环环相扣的威胁感知、边界安全防护、平台安全防护、业务安全防护、数据安全防护多重纵深防御体系。 从云端到终端、从业务到数据、从事前到事后,为数据中心提供无所不在的全方位保护,在大数据环境中为用户提供多层次、多维度、体系化纵深防御的解决方案,综合提升应对新型安全威胁的能力,真正做到看得见的安全和有效安全。 1、边界安全防护 基于业务的风险和控制需求,在安全区域边界、网络出口边界…

- 联 系 我 们 -

+86 186-2315-0440

在线咨询:点击这里给我发消息

电子邮箱:i@zzptech.com

工作时间:9:00~18:30,工作日

微信客服