数据中心的主机安全建设，系统加固策略

数据中心的主机包括物理服务器和虚拟化云主机，所有主机都面临入侵和攻击的风险。主机安全主要包括两个方面：

1. 在主机上部署病毒/木马查杀软件，包括 Linux 和 Windows 系统，降低病毒/木马入侵主机和蔓延的风险。
2. 对主机进行加固，降低主机遭受攻击和入侵的风险。

对于数据中心的服务器和云主机，无论系统或应用本身安全与否，都可能存在漏洞，安全管理员应负责定期（例如 1 月/次）对包括物理服务器和云主机等进行安全加固。系统加固策略包括：

1、使用 GRUB 的 password 参数对 GRUB 设置密码，防止通过编辑 GRUB 启动参数轻松的进入单用户模式从而修改 root 密码，从而造成安全隐患；

2、对 ssh 服务进行加固，关闭 root 账号远程连接，不允许使用空密码用户远程登录，设置最大登录尝试次数为 3；

3、对 xinetd 服务进行加固，根据最少服务原则,凡是不需要的服务一律禁用，减少系统所暴露攻击面，从而提高系统的安全性；

4、清理无主的文件，防止账号删除后系统残留未知文件；

5、删除非授权文件的全局可写属性，控制文件的可写操作权限，避免任何人都具有写权限的目录或文件存在；

6、设置守护进程 umask 值，控制守护进程访问权限范围；

7、为指定分区设置 nodev 挂载项，限制访问该文件系统上的文件；

8、限制 at、cron 定时任务命令的使用权限虚拟化层防护；

9、对于重要文件设置只有 root 可读、写和执行，主要检查目录为/etc/、/etc/rc.d/init.d/、/tmp、/etc/inetd.conf、/etc/passwd、/etc/shadow、/etc/group、/etc/group、/etc/services、/etc/security、/etc/rc*.d；

10、检查未授权 SUID/SGID 文件，可通过对比 SUID/SGID 文件列表及时发现可疑后门程序；

11、检查异常隐藏的文件的存在；

12、开启 TCP sync cookie 保护；

13、关闭系统 core dump 状态； 17、开启 syslog 服务记录用户登录、sudo 操作等日志；

主机安全 信息安全 数据中心 数据安全 网络安全

上一篇：数据中心与大数据安全系统建设的总体架构

下一篇：网络防病毒怎么做？数据中心防毒墙系统建设

相关文章

• 

  模块化机房与普通机房的区别在哪里？模块化机房的优势整理

  模块化数据中心是为了应对云计算、虚拟化、集中化、高密化等服务器的变化，提高数据中心的运营效率，降低能耗，实现快速扩容且互不影响的一种较新形式的数据中心建设方案。本文主要是分享了模块化数据中心相比传统机房的一些优势点，但其实一些中大型或者微小机房大多数仍旧是传统机房的配置。 一般的，微模块数据中心是指由多个具有独立功能、统一的输入输出接口的微模块、不同区域的微模块可以互相备份，通过相关微模块排列组合形成一个完整的数据中心。微模块数据中心是一个整合的、标准的、最优的、智能的、具备很高适应性的基础设施…

• 

  数据中心机房建设方案：机房制冷和新风系统

  本数据中心机房建设方案内容较多，比较齐全，包含了数据中心机房中的装修方案、供配电系统、动环监控系统、防雷系统、机柜系统、制冷系统等。不过部分内容有些许过时，请灵活看待，酌情修改。本页内容是数据中心机房中的新风和制冷系统介绍，本方案之完整内容有： 1. 空调工程及新风工程设计内容 2. 空调工程及新风工程设计依据 3. 空调工程及新风工程发热量计算 设备发热量计算公式：Q＝Σ（860×W×F），式中： 同时根据主机房内服务器、交换机等的数量以及未来的扩容来考虑。照明设备发热量计算：一般可按 20~…

• 

  信息系统建设服务商安全管理

  第一章 目的 第一条 为了规范重庆XX中学信息系统建设和运行过程中服务商的选择，按照信息安全等级保护要求进行服务商管理，特制定本管理规范。 第二章 范围 第二条 本办法适用于重庆XX中学在信息化建设和运行过程中服务商选择的安全管理。 第三章 职责 第三条 较小项目由网络安全办公室负责服务商选择， 较大项目的服务商选择，可通过招标方式由招标小组进行选择，但须遵循本管理办法的要求。 第四章 管理细则 第四条 系统集成商的要求：要有一个国家权威部门系统工程师及数据库认证工程师； 第五条 工商要求： 第…

• 

  《数据中心基础设施施工及验收规范》(GB 50462-2015) 下载

  《数据中心基础设施施工及验收规范》(GB 50462-2015)是中华人民共和国国家标准，旨在规范数据中心基础设施的施工及验收流程，确保工程质量和运行可靠性。该标准于 2015 年 12 月 3 日发布，自 2016 年 8 月 1 日起实施，取代了原《电子信息系统机房施工及验收规范》(GB 50462-2008)。它适用于陆地建筑内新建、改建和扩建的数据中心基础设施工程，涵盖配电、防雷、空调、综合布线等多个子系统，为数据中心建设提供统一的技术指导。 本规范由住房和城乡建设部及工业和信息化部联合…

• 

  模块化数据中心解决方案：配电系统设计

  根据GB 50174-2017《数据中心设计规范》规定，将数据中心机房划分为A、B、C三级，规范中A级数据中心设计为一级负荷（应由双重电源供电）， B级数据中心设计为二级荷（宜由双重电源供电），不属于以上两种的为C级数据中心，设计为三级负荷（两回线路供电）。 《供配电系统设计规范》GB50052-2009规定，一级负荷由两个电源供电,当一个电源发生故障时,另一个电源应不至于受到损坏，同时两路电源应互为备用，每路电源均能承担本工程全部负荷。即当正常工作电源事故停电时,另一路备用电源能够自动投入。综…

• 

  模块化数据中心解决方案：制冷系统设计

  随着云计算、物联网等信息技术的高速发展，原有传统机房越来越不适应业务应用快速发展的需要，机房升级改造势在必行。越来越多的政府机构、企事业单位在新建或改建数据机房的时候，都倾向于使用更精致、安全、灵活的模块化数据中心解决方案。本系列文章分享的是一套基于档案馆新建数据中心，产品上选用深圳商宇的技术方案，本文分享模块化机房中的制冷系统设计。 根据“《数据中心设计规范》GB50174-2017”及“《采暖通风与空气调节设计规范》GB 50019-2003”等相关规范要求，对数据中心室内环境参数作了严格规…