数据中心的主机安全建设，系统加固策略

数据中心的主机包括物理服务器和虚拟化云主机，所有主机都面临入侵和攻击的风险。主机安全主要包括两个方面：

1. 在主机上部署病毒/木马查杀软件，包括 Linux 和 Windows 系统，降低病毒/木马入侵主机和蔓延的风险。
2. 对主机进行加固，降低主机遭受攻击和入侵的风险。

对于数据中心的服务器和云主机，无论系统或应用本身安全与否，都可能存在漏洞，安全管理员应负责定期（例如 1 月/次）对包括物理服务器和云主机等进行安全加固。系统加固策略包括：

1、使用 GRUB 的 password 参数对 GRUB 设置密码，防止通过编辑 GRUB 启动参数轻松的进入单用户模式从而修改 root 密码，从而造成安全隐患；

2、对 ssh 服务进行加固，关闭 root 账号远程连接，不允许使用空密码用户远程登录，设置最大登录尝试次数为 3；

3、对 xinetd 服务进行加固，根据最少服务原则,凡是不需要的服务一律禁用，减少系统所暴露攻击面，从而提高系统的安全性；

4、清理无主的文件，防止账号删除后系统残留未知文件；

5、删除非授权文件的全局可写属性，控制文件的可写操作权限，避免任何人都具有写权限的目录或文件存在；

6、设置守护进程 umask 值，控制守护进程访问权限范围；

7、为指定分区设置 nodev 挂载项，限制访问该文件系统上的文件；

8、限制 at、cron 定时任务命令的使用权限虚拟化层防护；

9、对于重要文件设置只有 root 可读、写和执行，主要检查目录为/etc/、/etc/rc.d/init.d/、/tmp、/etc/inetd.conf、/etc/passwd、/etc/shadow、/etc/group、/etc/group、/etc/services、/etc/security、/etc/rc*.d；

10、检查未授权 SUID/SGID 文件，可通过对比 SUID/SGID 文件列表及时发现可疑后门程序；

11、检查异常隐藏的文件的存在；

12、开启 TCP sync cookie 保护；

13、关闭系统 core dump 状态； 17、开启 syslog 服务记录用户登录、sudo 操作等日志；

主机安全 信息安全 数据中心 数据安全 网络安全

上一篇：数据中心与大数据安全系统建设的总体架构

下一篇：网络防病毒怎么做？数据中心防毒墙系统建设

相关文章

• 

  《信息安全与管理》专业社会调研报告、岗位调研

  随着前几年《网络安全法》的正式发布，网络安全越来越受到政府、企事业单位的关注和重视，对应的信心安全人才也逐渐走俏，人才市场上有大量岗位空缺。于是，一大波网络安全厂商便向各个高效推出了校企合作的模式，对口培训、招收人才。各个厂商之间的方案或许都有不同，本文主要参考了启明星辰的方案，当然替换成其他品牌如奇安信、深信服、绿盟等都是可以的。 信息安全专业现状 信息已成为企业的重要资源之一，随着计算机技术应用的普及，各个组织机构的运行越来越依赖计算机，各种业务的运行架构于现代化的网络环境中。企业信息系统作…

• 

  模块化数据中心解决方案：动力环境监控系统

  随着云计算、物联网等信息技术的高速发展，原有传统机房越来越不适应业务应用快速发展的需要，机房升级改造势在必行。越来越多的政府机构、企事业单位在新建或改建数据机房的时候，都倾向于使用更精致、安全、灵活的模块化数据中心解决方案。 本”微模块数据中心、双排模块化机房效果图及整体解决方案“是基于真实案例，即一个新建档案馆的数据机房，结合众平网站分享的需要，做了一定的删减发表，原文档**数据中心方案书共 90 页，登陆即可下载。本页文章主要是模块化机房中的动力环境监控系统，文章列表： 1. 动环监控系统方…

• 

  信息安全教育培训管理制度

  信息安全培训旨在强化全体人员的信息安全意识，使之明确信息安全是每个人的责任，并掌握其岗位所要求的信息安全操作技能。 第一章  目的 第一条 为加强信息安全建设，提高全体人员的信息安全意识和技能，保障信息系统安全稳定的运行，特制定本制度。 第二章  总则 第二条 信息安全培训旨在强化全体人员的信息安全意识，使之明确信息安全是每个人的责任，并掌握其岗位所要求的信息安全操作技能。 第三章  管理细则 第三条 培训计划 针对不同的培训对象进行分层次的培训，信息安全培训分为管理层培训、…

• 

  数据安全事件应急预案模板

  在学习、工作或生活中，保不准会发⽣突发事件，为了避免造成更严重的后果，常常需要预先准备应急预案。我们应该怎么编制应急预案呢？以下是众平帮⼤家整理的数据安全事件应急预案，欢迎⼤家借鉴与参考，希望对⼤家有所帮助。 第⼀章 总则 为建⽴健全公司数据安全事件应急响应机制，提⾼应对数据安全事件的应急处置能⼒，预防和减少数据安全事件造成的损失和危害，全⾯提升公司的数据安全事件应急管理水平，保障公司数据资产安全和用户合法权益，特制定本预案。 第⼆章 应急响应组织机构 一、公司成立数据安全事件应急响应领导小组，…

• 

  文件评审及发布制度（通用文档）

  本制度由信息安全工作小组的主体部门网络安全办公室负责信息安全管理体系文件的维护，包括制订、修订和评审，由信息安全领导小组负责体系文件的批准、发布和作废。 第一章  目的 第一条 为规范重庆 XX 中学信息安全管理体系文件的制订、修订及评审，特制定本制度。 第二章 范围 第二条 本管理规范适用于信息安全领导小组和工作小组对信息安全管理体系文件的维护管理。 第三章  职责 第三条 由信息安全工作小组的主体部门网络安全办公室负责信息安全管理体系文件的维护，包括制订、修订和评审，由信…

• 

  网络信息安全技能专业培养，校企合作方案

  随着前几年《网络安全法》的正式发布，网络安全越来越受到政府、企事业单位的关注和重视，对应的信心安全人才也逐渐走俏，人才市场上有大量岗位空缺。于是，一大波网络安全厂商便向各个高效推出了校企合作的模式，对口培训、招收人才。各个厂商之间的方案或许都有不同，本文主要参考了启明星辰的方案，当然替换成其他品牌如奇安信、深信服、绿盟等都是可以的。 您若是需要摘抄即可，整个文档约18页，登录即可下载，文档目录见末尾，本文是原WORD的摘抄。 一、招生对象及学制 招生对象：普通高等院校毕业生、社招人员 学制：四个…