数据中心的主机安全建设，系统加固策略

数据中心的主机包括物理服务器和虚拟化云主机，所有主机都面临入侵和攻击的风险。主机安全主要包括两个方面：

1. 在主机上部署病毒/木马查杀软件，包括 Linux 和 Windows 系统，降低病毒/木马入侵主机和蔓延的风险。
2. 对主机进行加固，降低主机遭受攻击和入侵的风险。

对于数据中心的服务器和云主机，无论系统或应用本身安全与否，都可能存在漏洞，安全管理员应负责定期（例如 1 月/次）对包括物理服务器和云主机等进行安全加固。系统加固策略包括：

1、使用 GRUB 的 password 参数对 GRUB 设置密码，防止通过编辑 GRUB 启动参数轻松的进入单用户模式从而修改 root 密码，从而造成安全隐患；

2、对 ssh 服务进行加固，关闭 root 账号远程连接，不允许使用空密码用户远程登录，设置最大登录尝试次数为 3；

3、对 xinetd 服务进行加固，根据最少服务原则,凡是不需要的服务一律禁用，减少系统所暴露攻击面，从而提高系统的安全性；

4、清理无主的文件，防止账号删除后系统残留未知文件；

5、删除非授权文件的全局可写属性，控制文件的可写操作权限，避免任何人都具有写权限的目录或文件存在；

6、设置守护进程 umask 值，控制守护进程访问权限范围；

7、为指定分区设置 nodev 挂载项，限制访问该文件系统上的文件；

8、限制 at、cron 定时任务命令的使用权限虚拟化层防护；

9、对于重要文件设置只有 root 可读、写和执行，主要检查目录为/etc/、/etc/rc.d/init.d/、/tmp、/etc/inetd.conf、/etc/passwd、/etc/shadow、/etc/group、/etc/group、/etc/services、/etc/security、/etc/rc*.d；

10、检查未授权 SUID/SGID 文件，可通过对比 SUID/SGID 文件列表及时发现可疑后门程序；

11、检查异常隐藏的文件的存在；

12、开启 TCP sync cookie 保护；

13、关闭系统 core dump 状态； 17、开启 syslog 服务记录用户登录、sudo 操作等日志；

主机安全 信息安全 数据中心 数据安全 网络安全

上一篇：数据中心与大数据安全系统建设的总体架构

下一篇：网络防病毒怎么做？数据中心防毒墙系统建设

相关文章

• 

  企业数据防泄密系统建设，大数据脱敏方案建设

  在我们的系统里面，存在着大量的敏感信息：如公民数据、业务数据等，业务系统软件开发的最后阶段，是需要尽量真实的数据来作为基础测试软件的一系列功能。尤其是用户系统这样的大型系统实施或开发的时候，对于基础数据的要求很严格，很多时候都是直接克隆生产环境的数据来进行软件系统的测试，但是随之而来的影响却是深远的…因此，应该重视数据的泄密和脱敏。 1. 数据防泄密方案 根据数据的生命周期，在数据的产生阶段、使用阶段和销毁阶段都需对数据的安全进行保护： 2. 大数据脱敏方案 在我们的系统里面，存在着大量的敏感信…

• 

  信息系统应急预案管理制度，系统安全事件应急处理办法

  为保证业务信息系统的连续性，必须有系统、有组织地作好应急预案的管理工作， 特制定本管理办法。本系统安全事件应急处理办法适用于发生在网络上的突发性事件应急工作。 第一章 目的 第一条 为保证重庆XX中学业务信息系统的连续性，必须有系统、有组织地作好应急预案的管理工作， 特制定本管理办法。 第二章 范围 第二条 适用于发生在重庆XX中学网络上的突发性事件应急工作。 第三章 原则 第三条 应急处置工作原则：统一领导、统一指挥、各司其职、整体作战、发挥优势、保障安全。 第四章 管理细则 第四条 职责 应…

• 

  Web 应用防护系统是什么？该怎么预防 Web 攻击

  大数据平台采用先进的多维防护体系，对 HTTP 数据流进行深度分析。通过对 WEB 应用安全的深入研究，固化了一套针对 WEB 攻击防护的专用特征规则库，规则涵盖诸如 SQL 注入、XSS（跨站脚本攻击）等 OWASP TOP10 中的 WEB 应用安全风险，及远程文件包含漏洞利用、目录遍历、OS 命令注入等当今黑客常用的针对 WEB 基础架构的攻击手段。 对于 HTTP 数据包内容具有完全的访问控制权限，检查所有经过网络的 HTTP 流量，回应请求并建立安全规则。一旦某个会话被控制，就会对内外…

• 

  一家三甲医院，需要部署哪些网络安全设备？

  随着信息化建设的不断发展，信息系统在三甲医院中的角色也越来越重要，其所面临的安全挑战也不断涌现，患者隐私泄露、挂号系统中断以及木马病毒攻击直接威胁到医院运行秩序和信息系统安全。为进一步做好医院信息安全保护工作，卫生部曾下发《卫生行业信息安全等级保护工作的指导意见》的通知，通知明确了三甲医院的核心业务系统应按照信息安全等级保护第三级进行建设和保护。 根据 2018 年 4 月国家卫生健康委员会规划与信息司、国家卫生健康委员会统计信息中心所颁布的《全国医院信息化建设标准（试行）》中的各项条例，各等级…

• 

  网络信息系统变更管理程序

  为规范咱们单位的各信息系统需求变更操作，增强需求变更的可追溯性，控制需求变更风险， 特制定本规程。本规范适用于所有业务信息系统、网络系统的变更管理。 第一章 目的 第一条 为规范重庆XX中学各信息系统需求变更操作，增强需求变更的可追溯性，控制需求变更风险， 特制定本规程。 第二章 范围 第二条 本规范适用于重庆XX中学所有业务信息系统、网络系统的变更管理。 第三章 职责 第三条 各业务科室信息系统使用和维护人员按照本办法发起和进行各信息系统的变更，网络安全办公室系统管理员和网络管理员按照本办法发…

• 

  数据中心如何管理系统漏洞？如何部署漏洞扫描系统

  系统漏洞扫描平台用于发现数据中心安全漏洞，是一个非常有效的安全防预措施。随着当前业务的日趋庞大，在数据中心中业务在物理或逻辑部署上均出现了多点部署的现象，单一化、单点化的扫描器往往不能适用业务平台的高速发展和业务的复杂性。数据中心有大数量级的服务器/IT设备，安全工程师每天使用不同的工具对这些服务器进行安全扫描，是一个庞大、重复性很高的工作。 实现自动化的多类型扫描器的整合和分布式化部署，能够有效解决业务多点化、多样化的安全问题覆盖和发现，解脱安全工程师的重复性安全扫描工作。 1、平台实现了多个…