数据中心的主机安全建设，系统加固策略

数据中心的主机包括物理服务器和虚拟化云主机，所有主机都面临入侵和攻击的风险。主机安全主要包括两个方面：

1. 在主机上部署病毒/木马查杀软件，包括 Linux 和 Windows 系统，降低病毒/木马入侵主机和蔓延的风险。
2. 对主机进行加固，降低主机遭受攻击和入侵的风险。

对于数据中心的服务器和云主机，无论系统或应用本身安全与否，都可能存在漏洞，安全管理员应负责定期（例如 1 月/次）对包括物理服务器和云主机等进行安全加固。系统加固策略包括：

1、使用 GRUB 的 password 参数对 GRUB 设置密码，防止通过编辑 GRUB 启动参数轻松的进入单用户模式从而修改 root 密码，从而造成安全隐患；

2、对 ssh 服务进行加固，关闭 root 账号远程连接，不允许使用空密码用户远程登录，设置最大登录尝试次数为 3；

3、对 xinetd 服务进行加固，根据最少服务原则,凡是不需要的服务一律禁用，减少系统所暴露攻击面，从而提高系统的安全性；

4、清理无主的文件，防止账号删除后系统残留未知文件；

5、删除非授权文件的全局可写属性，控制文件的可写操作权限，避免任何人都具有写权限的目录或文件存在；

6、设置守护进程 umask 值，控制守护进程访问权限范围；

7、为指定分区设置 nodev 挂载项，限制访问该文件系统上的文件；

8、限制 at、cron 定时任务命令的使用权限虚拟化层防护；

9、对于重要文件设置只有 root 可读、写和执行，主要检查目录为/etc/、/etc/rc.d/init.d/、/tmp、/etc/inetd.conf、/etc/passwd、/etc/shadow、/etc/group、/etc/group、/etc/services、/etc/security、/etc/rc*.d；

10、检查未授权 SUID/SGID 文件，可通过对比 SUID/SGID 文件列表及时发现可疑后门程序；

11、检查异常隐藏的文件的存在；

12、开启 TCP sync cookie 保护；

13、关闭系统 core dump 状态； 17、开启 syslog 服务记录用户登录、sudo 操作等日志；

主机安全 信息安全 数据中心 数据安全 网络安全

上一篇：数据中心与大数据安全系统建设的总体架构

下一篇：网络防病毒怎么做？数据中心防毒墙系统建设

相关文章

• 

  数据中心机房建设方案：动环监控系统

  本系列文章分享了一个关于某医院的完整机房建设方案，内容详实、丰富，包含了机房中的装修方案、供配电系统、动环监控系统、防雷系统、机柜系统、制冷系统等，不过部分内容有些许过时，请灵活看待，酌情修改。本页内容是机房动环监控部分，本方案之完整内容有： 1. 机房动环监控系统组成 集中监控内容：配电监测子系统、UPS 监测子系统、精密空调监控子系统、温湿度监测子系统、漏水检测子系统、消防监测子系统、新风机监控子系统。 动力环境监控的各个子系统均通过 ICP 系列采控模块采集数据，以 RS485 方式传输至…

• 

  GB/T 42572-2023 信息安全技术 可信执行环境服务规范

  《GB/T 42572-2023 信息安全技术 可信执行环境服务规范》是中国国家标准委员会发布的一项重要标准，旨在为可信执行环境（TEE，Trusted Execution Environment）服务的建设、部署和管理提供安全技术要求和规范。可信执行环境是一种通过硬件和软件的结合，提供隔离的安全区域，用于执行敏感操作和处理安全数据的技术。它在保证数据的机密性、完整性和可用性方面发挥着重要作用，广泛应用于金融、医疗、物联网、数字身份等多个领域。 随着信息安全需求的不断提高，如何在开放的计算环境中…

• 

  模块化数据中心解决方案：机柜系统详细介绍

  本文是模块化数据中心建设方案的系列文章之一，主要内容是模块化机房的机柜系统部分。原项目设计的是共采用XX“微模块数据中心”1套，“微模块数据中心”采用“双排”布局，采用“冷通道”方案，共规划套16台可用IT机柜， IT机柜功耗按3kW/台，所以本项目单套“微模块数据中心”IT负载按16台*3kW/台=48kW核算。系列文章列表： 本”微模块数据中心、双排模块化机房效果图及整体解决方案“核心提要： 微模块数据中心主要由机柜系统、冷通道组件、不间断供电系统、配电系统、制冷系统、动力环境监控系统等组成…

• 

  外包软件开发管理，信息安全管理制度

  第一章 目的 第一条 明确重庆XX中学对于软件外包开发的过程控制方法，通过对外包软件过程的有效控制，使外包开发软件满足等级保护的规范和要求。 第二章 范围 第二条 本管理办法适用于重庆XX中学对于外包软件的开发管理。 第三章 职责 第三条 网络安全办公室负责对软件开发方（外包方）的调查、评定和选择。 第四条 网络安全办公室提出外包要求，并组织对外包要求的审核，确定后将细节要求纳入外包开发合同。 第五条 网络安全办公室实施对外包过程的控制，并组织在项目结束时对外包供方的评估。 第四章 管理细则 第…

• 

  LED 显示屏信息安全该如何保障？论某医院 LED 出现辱华言论

  目前，LED 显示屏作为户外传媒的重要载体之一，已经被广泛应用于各大商圈、广场、火车站等公共场所，不但提升了城市的形象还丰富了人们的文化生活。LED 显示屏是各种信息传递的基本载体，不但集文艺娱乐、宣传功能于一身，流畅的显示画面、细腻的色彩表现，在舞台舞美中占有举足轻重的作用。 然而近日，却出现了医院 LED 屏辱华言论，引发公众一片哗然。2019 年 4 月 8 日上午 10 时许，高阳县医院急诊科 LED 屏出现辱华言论，县医院立即切断 LED 屏电源并报警，公安机关迅速介入调查，下午 3 …

• 

  简单的网络安全服务方案模板下载（安全服务体系 & 报价方案）

  本次分享一个简单的、明确的、实用的网络安全服务方案模板，涉及到具体的网络安全服务内容和服务报价需要进一步修改，切勿完全照抄搬用。本站在网络分享时为了可读性，删减了部分内容、更改了序号，原文档请下载附件。 随着数字化时代的无缝延展，网络安全已成为国家治理的一个关键块面。从习近平主席在中央网络安全和信息化领导小组第一次会议上强调“没有网络安全就没有国家安全”的战略视角出发，我国密集推出了一系列立法举措，旨在建立一套健全的网络安全法律体系，从网络运营安全、个人信息保护、数据安全管理各个维度筑牢网络安全…