数据中心的主机安全建设，系统加固策略

数据中心的主机包括物理服务器和虚拟化云主机，所有主机都面临入侵和攻击的风险。主机安全主要包括两个方面：

1. 在主机上部署病毒/木马查杀软件，包括 Linux 和 Windows 系统，降低病毒/木马入侵主机和蔓延的风险。
2. 对主机进行加固，降低主机遭受攻击和入侵的风险。

对于数据中心的服务器和云主机，无论系统或应用本身安全与否，都可能存在漏洞，安全管理员应负责定期（例如 1 月/次）对包括物理服务器和云主机等进行安全加固。系统加固策略包括：

1、使用 GRUB 的 password 参数对 GRUB 设置密码，防止通过编辑 GRUB 启动参数轻松的进入单用户模式从而修改 root 密码，从而造成安全隐患；

2、对 ssh 服务进行加固，关闭 root 账号远程连接，不允许使用空密码用户远程登录，设置最大登录尝试次数为 3；

3、对 xinetd 服务进行加固，根据最少服务原则,凡是不需要的服务一律禁用，减少系统所暴露攻击面，从而提高系统的安全性；

4、清理无主的文件，防止账号删除后系统残留未知文件；

5、删除非授权文件的全局可写属性，控制文件的可写操作权限，避免任何人都具有写权限的目录或文件存在；

6、设置守护进程 umask 值，控制守护进程访问权限范围；

7、为指定分区设置 nodev 挂载项，限制访问该文件系统上的文件；

8、限制 at、cron 定时任务命令的使用权限虚拟化层防护；

9、对于重要文件设置只有 root 可读、写和执行，主要检查目录为/etc/、/etc/rc.d/init.d/、/tmp、/etc/inetd.conf、/etc/passwd、/etc/shadow、/etc/group、/etc/group、/etc/services、/etc/security、/etc/rc*.d；

10、检查未授权 SUID/SGID 文件，可通过对比 SUID/SGID 文件列表及时发现可疑后门程序；

11、检查异常隐藏的文件的存在；

12、开启 TCP sync cookie 保护；

13、关闭系统 core dump 状态； 17、开启 syslog 服务记录用户登录、sudo 操作等日志；

主机安全 信息安全 数据中心 数据安全 网络安全

上一篇：数据中心与大数据安全系统建设的总体架构

下一篇：网络防病毒怎么做？数据中心防毒墙系统建设

相关文章

• 

  奇安信下一代智慧防火墙系统 （NSG 系列）

  奇安信网神新一代智慧防火墙是一款能够全面应对传统网络攻击和高级威胁的创新型防火墙产品，可广泛运用于政府机构、各类企业和组织的业务网络边界，实现网络安全域隔离、精细化访问控制、高效的威胁防护和高级威胁检测等功能。该产品在下一代防火墙基础上超越性的集成了威胁情报、大数据分析和安全可视化等创新安全技术，并通过与网络威胁感知中心、安全管理分析中心、终端安全管理系统等的智能协同，为用户在网络边界构建数据驱动的新一代威胁防御平台。

• 

  模块化数据中心解决方案：冷通道密闭系统

  本”微模块数据中心、双排模块化机房效果图及整体解决方案“是基于真实案例，即一个新建档案馆的数据机房，结合众平网站分享的需要，做了一定的删减发表，文章结构见本页末，原文档**数据中心方案书共 90 页，由单排和双排方案组成，本部分内容是模块化数据中心具体选型时涉及到的冷通道建设方案，以下是本系列文章列表： 针对本项目，采用密闭“冷通道”设计方案，密闭冷通道结构由冷通道端门、天窗组件、IT 机柜（正面）、精密空调（正面）、UPS 主机（正面）、智能配电柜（正面）共同组成，缺一不可。采用密闭“冷通道”…

• 

  《信息安全与管理》专业社会调研报告、岗位调研

  随着前几年《网络安全法》的正式发布，网络安全越来越受到政府、企事业单位的关注和重视，对应的信心安全人才也逐渐走俏，人才市场上有大量岗位空缺。于是，一大波网络安全厂商便向各个高效推出了校企合作的模式，对口培训、招收人才。各个厂商之间的方案或许都有不同，本文主要参考了启明星辰的方案，当然替换成其他品牌如奇安信、深信服、绿盟等都是可以的。 信息安全专业现状 信息已成为企业的重要资源之一，随着计算机技术应用的普及，各个组织机构的运行越来越依赖计算机，各种业务的运行架构于现代化的网络环境中。企业信息系统作…

• 

  Web 应用防护系统是什么？该怎么预防 Web 攻击

  大数据平台采用先进的多维防护体系，对 HTTP 数据流进行深度分析。通过对 WEB 应用安全的深入研究，固化了一套针对 WEB 攻击防护的专用特征规则库，规则涵盖诸如 SQL 注入、XSS（跨站脚本攻击）等 OWASP TOP10 中的 WEB 应用安全风险，及远程文件包含漏洞利用、目录遍历、OS 命令注入等当今黑客常用的针对 WEB 基础架构的攻击手段。 对于 HTTP 数据包内容具有完全的访问控制权限，检查所有经过网络的 HTTP 流量，回应请求并建立安全规则。一旦某个会话被控制，就会对内外…

• 

  网络信息系统变更管理程序

  为规范咱们单位的各信息系统需求变更操作，增强需求变更的可追溯性，控制需求变更风险， 特制定本规程。本规范适用于所有业务信息系统、网络系统的变更管理。 第一章 目的 第一条 为规范重庆XX中学各信息系统需求变更操作，增强需求变更的可追溯性，控制需求变更风险， 特制定本规程。 第二章 范围 第二条 本规范适用于重庆XX中学所有业务信息系统、网络系统的变更管理。 第三章 职责 第三条 各业务科室信息系统使用和维护人员按照本办法发起和进行各信息系统的变更，网络安全办公室系统管理员和网络管理员按照本办法发…

• 

  XXX 信息系统网络安全服务内容和技术要求

  面对当前信息系统安全面临的复杂、严峻形势，基础信息网络和重要信息系统一旦出现大的信息安全问题，不仅仅影响本单位、本行业，而是直接威胁社会稳定、经济发展甚至国家安全。因此，XXX 信息系统有必要进一步完善和加强信息安全保障体系。信息安全建设重在安全保障体系的建设，它是一个循序渐进、不断完善的过程，较好的方式是信息安全建设与系统建设同步规划、同步设计。同时，结合等级保护标准，逐步完善和加强安全保障体系建设，与信息安全行业的领先者强强联合，引入专业的安全服务、先进的安全管理理念，有效控制和降低信息系统…