数据中心的主机安全建设，系统加固策略

数据中心的主机包括物理服务器和虚拟化云主机，所有主机都面临入侵和攻击的风险。主机安全主要包括两个方面：

1. 在主机上部署病毒/木马查杀软件，包括 Linux 和 Windows 系统，降低病毒/木马入侵主机和蔓延的风险。
2. 对主机进行加固，降低主机遭受攻击和入侵的风险。

对于数据中心的服务器和云主机，无论系统或应用本身安全与否，都可能存在漏洞，安全管理员应负责定期（例如 1 月/次）对包括物理服务器和云主机等进行安全加固。系统加固策略包括：

1、使用 GRUB 的 password 参数对 GRUB 设置密码，防止通过编辑 GRUB 启动参数轻松的进入单用户模式从而修改 root 密码，从而造成安全隐患；

2、对 ssh 服务进行加固，关闭 root 账号远程连接，不允许使用空密码用户远程登录，设置最大登录尝试次数为 3；

3、对 xinetd 服务进行加固，根据最少服务原则,凡是不需要的服务一律禁用，减少系统所暴露攻击面，从而提高系统的安全性；

4、清理无主的文件，防止账号删除后系统残留未知文件；

5、删除非授权文件的全局可写属性，控制文件的可写操作权限，避免任何人都具有写权限的目录或文件存在；

6、设置守护进程 umask 值，控制守护进程访问权限范围；

7、为指定分区设置 nodev 挂载项，限制访问该文件系统上的文件；

8、限制 at、cron 定时任务命令的使用权限虚拟化层防护；

9、对于重要文件设置只有 root 可读、写和执行，主要检查目录为/etc/、/etc/rc.d/init.d/、/tmp、/etc/inetd.conf、/etc/passwd、/etc/shadow、/etc/group、/etc/group、/etc/services、/etc/security、/etc/rc*.d；

10、检查未授权 SUID/SGID 文件，可通过对比 SUID/SGID 文件列表及时发现可疑后门程序；

11、检查异常隐藏的文件的存在；

12、开启 TCP sync cookie 保护；

13、关闭系统 core dump 状态； 17、开启 syslog 服务记录用户登录、sudo 操作等日志；

主机安全 信息安全 数据中心 数据安全 网络安全

上一篇：数据中心与大数据安全系统建设的总体架构

下一篇：网络防病毒怎么做？数据中心防毒墙系统建设

相关文章

• 

  信息系统安全操作规程

  第一章 维护人员 第一条 信息设备严禁非法关机，严禁在未关机的情况下直接断开电源开关。 第二条 信息设备开机后，检查各功能指示正常，系统无报警提示；否则应查找故障原因，直至故障排除。 第三条 系统设置严格遵循各信息系统操作说明，禁止不安说明操作；当与操作说明有出入，需要咨询相关供应商技术支持人员确认后方可操作。 第四条 禁止删除需要保留的信息，需要删除某项关键信息或数据时，必须得到许可，必要时进行信息备份。 第五条 禁止在未经许可的情况下修改或透露信息系统中的信息和数据。 第六条 发生信息系统故…

• 

  医院HIS系统应用高可用及备份一体机方案

  这是年初给渝东南某二甲医院做的容灾备份方案，当时信息科的领导要求首先是要数据灾备，其次还要做到应用接管，所以本方案的标题有点儿奇怪，叫应用容灾及数据备份方案。有朋友可能会问了，为啥不用Rac呢？问就是没钱呗！ 方案整体采用了RoseHA的高可用方案，为了方便，备份一体机也是用的他们家的。当然你也可以根据实际情况做些改变，比如爱数、英方、精容数安都是不错的选择。 一、 医院信息化现状和需求 1.1 前言 在信息技术广泛应用的今天，系统停机意味着不能正常进行业务流程，可能失去一些业务订单；业务数据丢…

• 

  智慧医院建设项目解决方案：医院预约平台

  专家医生、医技设备、住院床位是医院最紧缺的医疗服务资源之一，全院预约平台可实现人员与资源的合理分配，节约患者等待时间，推动医疗服务资源发挥最大效能，更好地辅助医院经营决策。包括门诊资源预约、医技资源预约以及住院资源预约三大部分。 1. 智慧医院预约平台解决方案 以“预约资源统一化、管理资源科学化、资源接口开放化”为目标，合理开放医院资源给患者使用。统一资源预约管理平台整合所有患者在就诊过程中使用的医疗资源，为患者安排就诊日期和次序，一方面合理安排患者的就诊时间，缩短排队就诊的时长，改善就诊体验；…

• 

  数据中心机房供电方案：配电、UPS 系统设计

  本系列数据中心机房建设方案内容较多，包含了书一般机房项目中的装修方案、供配电系统、动环监控系统、防雷系统、机柜系统、制冷系统等，不过部分内容有些许过时，请酌情修改。本网站在分享时将原有序号进行了删减，本页内容是机房工程中的供配电、防雷系统部分，本方案之完整内容有： 1. 机房配电工程的建设内容 2. 机房配电系统设计依据 计算机机房电源设计标准应符合《智能建筑设计标准》（GB/T 50314-2000），甲级标准应符合下列条件： 计算机房供电标准应符合《电子计算机机房设计规范》（GB50174-…

• 

  数据中心抗DDoS攻击系统的功能有哪些？

  数据中心的安全性建设应考虑针对DoS/DDoS、应用层CC攻击、非TCP/IP协议层攻击等多种未知攻击进行安全防御。保证网络正常运转，清洗攻击流量。系统具备如下功能： 1、攻击检测：利用了多种技术手段对DoS/DDoS攻击进行有效的检测，在针对不同的流量触发不同的保护机制，提高效率的同时确保准确度。 2、主机识别：自动识别其保护的各个主机及其地址，某些主机受到攻击不会影响其它主机的正常服务。 3、指纹识别：用来识别整个连接过程，其中包括：源、目的、协议、端口等情况的识别。 4、协议分析：对于TC…

• 

  模块化机房与普通机房的区别在哪里？模块化机房的优势整理

  模块化数据中心是为了应对云计算、虚拟化、集中化、高密化等服务器的变化，提高数据中心的运营效率，降低能耗，实现快速扩容且互不影响的一种较新形式的数据中心建设方案。本文主要是分享了模块化数据中心相比传统机房的一些优势点，但其实一些中大型或者微小机房大多数仍旧是传统机房的配置。 一般的，微模块数据中心是指由多个具有独立功能、统一的输入输出接口的微模块、不同区域的微模块可以互相备份，通过相关微模块排列组合形成一个完整的数据中心。微模块数据中心是一个整合的、标准的、最优的、智能的、具备很高适应性的基础设施…