数据中心的主机安全建设，系统加固策略

数据中心的主机包括物理服务器和虚拟化云主机，所有主机都面临入侵和攻击的风险。主机安全主要包括两个方面：

1. 在主机上部署病毒/木马查杀软件，包括 Linux 和 Windows 系统，降低病毒/木马入侵主机和蔓延的风险。
2. 对主机进行加固，降低主机遭受攻击和入侵的风险。

对于数据中心的服务器和云主机，无论系统或应用本身安全与否，都可能存在漏洞，安全管理员应负责定期（例如 1 月/次）对包括物理服务器和云主机等进行安全加固。系统加固策略包括：

1、使用 GRUB 的 password 参数对 GRUB 设置密码，防止通过编辑 GRUB 启动参数轻松的进入单用户模式从而修改 root 密码，从而造成安全隐患；

2、对 ssh 服务进行加固，关闭 root 账号远程连接，不允许使用空密码用户远程登录，设置最大登录尝试次数为 3；

3、对 xinetd 服务进行加固，根据最少服务原则,凡是不需要的服务一律禁用，减少系统所暴露攻击面，从而提高系统的安全性；

4、清理无主的文件，防止账号删除后系统残留未知文件；

5、删除非授权文件的全局可写属性，控制文件的可写操作权限，避免任何人都具有写权限的目录或文件存在；

6、设置守护进程 umask 值，控制守护进程访问权限范围；

7、为指定分区设置 nodev 挂载项，限制访问该文件系统上的文件；

8、限制 at、cron 定时任务命令的使用权限虚拟化层防护；

9、对于重要文件设置只有 root 可读、写和执行，主要检查目录为/etc/、/etc/rc.d/init.d/、/tmp、/etc/inetd.conf、/etc/passwd、/etc/shadow、/etc/group、/etc/group、/etc/services、/etc/security、/etc/rc*.d；

10、检查未授权 SUID/SGID 文件，可通过对比 SUID/SGID 文件列表及时发现可疑后门程序；

11、检查异常隐藏的文件的存在；

12、开启 TCP sync cookie 保护；

13、关闭系统 core dump 状态； 17、开启 syslog 服务记录用户登录、sudo 操作等日志；

主机安全 信息安全 数据中心 数据安全 网络安全

上一篇：数据中心与大数据安全系统建设的总体架构

下一篇：网络防病毒怎么做？数据中心防毒墙系统建设

相关文章

• 

  《数据中心基础设施施工及验收规范》(GB 50462-2015) 下载

  《数据中心基础设施施工及验收规范》(GB 50462-2015)是中华人民共和国国家标准，旨在规范数据中心基础设施的施工及验收流程，确保工程质量和运行可靠性。该标准于 2015 年 12 月 3 日发布，自 2016 年 8 月 1 日起实施，取代了原《电子信息系统机房施工及验收规范》(GB 50462-2008)。它适用于陆地建筑内新建、改建和扩建的数据中心基础设施工程，涵盖配电、防雷、空调、综合布线等多个子系统，为数据中心建设提供统一的技术指导。 本规范由住房和城乡建设部及工业和信息化部联合…

• 

  弱电项目中的安全性设计：网络安全、系统安全、物理安全和数据安全

  电系统工程主要指通讯自动化、楼宇自动化、办公自动化、消防自动化和保安自动化，当然信息化技术发展至今，弱电系统已远不止于此，具体可以看看这篇文章：什么是弱电智能化系统集成？主要包括哪些系统？本篇众平给各位说说一般信息化系统中的安全性设计。 网络安全设计要求 在弱电系统规划设计环节应结合信息安全需求，落实必要的安全防护和技术保障措施。 系统自身安全功能 账号权限设计。按照系统安全要求，本系统采用角色-模块化-权限-功能四位一体的方案来实现账号权限管理，具体如下： 角色：如系统管理员角色，系统操作员角…

• 

  模块化数据中心解决方案：动力环境监控系统

  随着云计算、物联网等信息技术的高速发展，原有传统机房越来越不适应业务应用快速发展的需要，机房升级改造势在必行。越来越多的政府机构、企事业单位在新建或改建数据机房的时候，都倾向于使用更精致、安全、灵活的模块化数据中心解决方案。 本”微模块数据中心、双排模块化机房效果图及整体解决方案“是基于真实案例，即一个新建档案馆的数据机房，结合众平网站分享的需要，做了一定的删减发表，原文档**数据中心方案书共 90 页，登陆即可下载。本页文章主要是模块化机房中的动力环境监控系统，文章列表： 1. 动环监控系统方…

• 

  《关键信息基础设施安全保护要求》（GB/T 39204-2022）.pdf

  随着信息技术的迅猛发展，关键信息基础设施（CII）在现代社会中的重要性日益凸显。为了保障这些基础设施的安全性和稳定性，《关键信息基础设施安全保护要求》（GB/T 39204-2022）应运而生。该标准不仅明确了 CII 的安全保护框架，还提供了具体的技术和管理措施，确保其免受各类威胁的影响。 1. 安全保护框架与基本原则 1.1 总体框架 《关键信息基础设施安全保护要求》提出了一个全面的安全保护框架，涵盖识别、评估、防护、检测、响应和恢复六个主要方面。该框架强调了从整体上提升 CII 的安全水平…

• 

  模块化机房建设实施建议：装修、底座及消防

  本”微模块数据中心、双排模块化机房效果图及整体解决方案“是基于真实案例——一新建档案馆的数据机房，结合众平网站分享的需要，做了一定的删减发表，原文档**数据中心方案书共 90 页，登陆即可下载。本页文章是系列文章最后一篇，内容为模块化机房项目实施中的一些建议，包括装修方案、消防建议及底座安装等。系列文章列表： 1. 模块化机房机柜底座 根据GB 50174-2017《数据中心设计规范》等相关标准要求，机房需考虑“防静电”措施，若机房整体规划铺设“防静电地板”，微模块数据中心应根据“柜位”数量定制…

• 

  数据中心机房建设方案：门禁管理系统

  随着高科技的蓬勃发展，智能化管理已经走进了人们的社会生活，适应信息的时代需要，作为跨世纪使用的建筑和办公环境，数据中心机房必须在功能上满足当前和未来发展的需求，成为文化和经济发展的基地。 本系列文章包含了机房建设中的装修方案、供配电系统、动环监控系统、防雷系统、机柜系统、制冷系统等，本篇主要是介绍一般的门禁系统建设方案。不过部分内容有些许过时，请灵活看待，酌情修改。本方案之完整内容有： 1. 门禁管理系统概述 感应式 IC 卡出入管理控制系统（简称门禁系统），具有对门户出入控制、实时监控、保安防…