数据中心的主机安全建设，系统加固策略

数据中心的主机包括物理服务器和虚拟化云主机，所有主机都面临入侵和攻击的风险。主机安全主要包括两个方面：

1. 在主机上部署病毒/木马查杀软件，包括 Linux 和 Windows 系统，降低病毒/木马入侵主机和蔓延的风险。
2. 对主机进行加固，降低主机遭受攻击和入侵的风险。

对于数据中心的服务器和云主机，无论系统或应用本身安全与否，都可能存在漏洞，安全管理员应负责定期（例如 1 月/次）对包括物理服务器和云主机等进行安全加固。系统加固策略包括：

1、使用 GRUB 的 password 参数对 GRUB 设置密码，防止通过编辑 GRUB 启动参数轻松的进入单用户模式从而修改 root 密码，从而造成安全隐患；

2、对 ssh 服务进行加固，关闭 root 账号远程连接，不允许使用空密码用户远程登录，设置最大登录尝试次数为 3；

3、对 xinetd 服务进行加固，根据最少服务原则,凡是不需要的服务一律禁用，减少系统所暴露攻击面，从而提高系统的安全性；

4、清理无主的文件，防止账号删除后系统残留未知文件；

5、删除非授权文件的全局可写属性，控制文件的可写操作权限，避免任何人都具有写权限的目录或文件存在；

6、设置守护进程 umask 值，控制守护进程访问权限范围；

7、为指定分区设置 nodev 挂载项，限制访问该文件系统上的文件；

8、限制 at、cron 定时任务命令的使用权限虚拟化层防护；

9、对于重要文件设置只有 root 可读、写和执行，主要检查目录为/etc/、/etc/rc.d/init.d/、/tmp、/etc/inetd.conf、/etc/passwd、/etc/shadow、/etc/group、/etc/group、/etc/services、/etc/security、/etc/rc*.d；

10、检查未授权 SUID/SGID 文件，可通过对比 SUID/SGID 文件列表及时发现可疑后门程序；

11、检查异常隐藏的文件的存在；

12、开启 TCP sync cookie 保护；

13、关闭系统 core dump 状态； 17、开启 syslog 服务记录用户登录、sudo 操作等日志；

主机安全 信息安全 数据中心 数据安全 网络安全

上一篇：数据中心与大数据安全系统建设的总体架构

下一篇：网络防病毒怎么做？数据中心防毒墙系统建设

相关文章

• 

  GB/T 42564-2023 信息安全技术 边缘计算安全技术要求

  《GB/T 42564-2023 信息安全技术 边缘计算安全技术要求》是中国国家标准委员会发布的一项重要技术规范，旨在确保边缘计算环境中的数据安全、网络安全以及系统的可靠性。随着物联网（IoT）和人工智能（AI）等技术的迅速发展，边缘计算逐渐成为实现大规模数据处理和实时响应的关键技术之一。边缘计算将计算资源从云端推向网络边缘，能够降低延迟、节省带宽并提高效率。然而，这种新的计算架构也带来了诸多新的安全挑战，特别是数据隐私、设备安全、身份认证等方面。 为了应对这些挑战，《GB/T 42564-20…

• 

  账号口令和权限管理制度，密码管理条例

  为加强重庆XX中学信息系统账号和口令管理，通过控制用户口令、权限，实现控制访问权限分配，防止对重庆XX中学网络的非授权访问，特制订本管理办法。 第一章 目的 第一条 为加强重庆XX中学信息系统账号和口令管理，通过控制用户口令、权限，实现控制访问权限分配，防止对重庆XX中学网络的非授权访问，特制订本管理办法。 第二章 范围 第二条 所有使用重庆XX中学网络信息系统的人员。 第三章 职责 第三条 重庆XX中学所有使用信息系统的人员均需遵守本管理办法规定，网络安全办公室负责建立账号和口令管理的规范并推…

• 

  信息系统安全操作规程

  第一章 维护人员 第一条 信息设备严禁非法关机，严禁在未关机的情况下直接断开电源开关。 第二条 信息设备开机后，检查各功能指示正常，系统无报警提示；否则应查找故障原因，直至故障排除。 第三条 系统设置严格遵循各信息系统操作说明，禁止不安说明操作；当与操作说明有出入，需要咨询相关供应商技术支持人员确认后方可操作。 第四条 禁止删除需要保留的信息，需要删除某项关键信息或数据时，必须得到许可，必要时进行信息备份。 第五条 禁止在未经许可的情况下修改或透露信息系统中的信息和数据。 第六条 发生信息系统故…

• 

  系统运维保密协议，科技装设备维护服务保密协议

  甲方：重庆市x 乙方：重庆众平科技有限公司 受甲方委托，乙方对委托的XXXX2023年度科技装设备进行维护服务，为了促进双方合作，依据《中华人民共和国合同法》的规定并经双方经友好协商，签订如下协议（以下简称本协议）。 1．乙方不得在维护服务中获取非甲方提供的保密信息，乙方不得将甲方的保密信息透露给任何第三方，而应尽力避免由于疏忽将保密信息披露给任何第三方，所使用的计算机必须坚持“专网专用”、“专机专用”的原则，实行“谁管理、谁负责”、“谁使用、谁负责”的安全责任制，严禁私自将自带笔记本电脑接入业…

• 

  制造业客户数据安全解决方案（数据防泄密需求分析）

  机械行业是历史悠久的工业形式，与国民经济密切相关，属于周期性行业，是我国最重要的工业制造行业之一。即使网络经济与 IT 信息技术在世界范围内占据主导地位，依然离不开一个发达的、先进的物质基础，而机械行业正是为生成这种物质基础提供工艺装备的主要行业，一个国家的富强离不开机械行业的支撑。 机械行业中的机械设计和机械制造业具有以离散为主、流程为辅、装配为重点的主要特点。以设备制造为例，生产方式一般由单独的零部件组成最终产成品，这属于典型的离散型工业。典型的离散型机械制造业企业由于主要从事单件、小批量生…

• 

  数据中心机房供电方案：配电、UPS 系统设计

  本系列数据中心机房建设方案内容较多，包含了书一般机房项目中的装修方案、供配电系统、动环监控系统、防雷系统、机柜系统、制冷系统等，不过部分内容有些许过时，请酌情修改。本网站在分享时将原有序号进行了删减，本页内容是机房工程中的供配电、防雷系统部分，本方案之完整内容有： 1. 机房配电工程的建设内容 2. 机房配电系统设计依据 计算机机房电源设计标准应符合《智能建筑设计标准》（GB/T 50314-2000），甲级标准应符合下列条件： 计算机房供电标准应符合《电子计算机机房设计规范》（GB50174-…