数据中心的主机安全建设，系统加固策略

数据中心的主机包括物理服务器和虚拟化云主机，所有主机都面临入侵和攻击的风险。主机安全主要包括两个方面：

1. 在主机上部署病毒/木马查杀软件，包括 Linux 和 Windows 系统，降低病毒/木马入侵主机和蔓延的风险。
2. 对主机进行加固，降低主机遭受攻击和入侵的风险。

对于数据中心的服务器和云主机，无论系统或应用本身安全与否，都可能存在漏洞，安全管理员应负责定期（例如 1 月/次）对包括物理服务器和云主机等进行安全加固。系统加固策略包括：

1、使用 GRUB 的 password 参数对 GRUB 设置密码，防止通过编辑 GRUB 启动参数轻松的进入单用户模式从而修改 root 密码，从而造成安全隐患；

2、对 ssh 服务进行加固，关闭 root 账号远程连接，不允许使用空密码用户远程登录，设置最大登录尝试次数为 3；

3、对 xinetd 服务进行加固，根据最少服务原则,凡是不需要的服务一律禁用，减少系统所暴露攻击面，从而提高系统的安全性；

4、清理无主的文件，防止账号删除后系统残留未知文件；

5、删除非授权文件的全局可写属性，控制文件的可写操作权限，避免任何人都具有写权限的目录或文件存在；

6、设置守护进程 umask 值，控制守护进程访问权限范围；

7、为指定分区设置 nodev 挂载项，限制访问该文件系统上的文件；

8、限制 at、cron 定时任务命令的使用权限虚拟化层防护；

9、对于重要文件设置只有 root 可读、写和执行，主要检查目录为/etc/、/etc/rc.d/init.d/、/tmp、/etc/inetd.conf、/etc/passwd、/etc/shadow、/etc/group、/etc/group、/etc/services、/etc/security、/etc/rc*.d；

10、检查未授权 SUID/SGID 文件，可通过对比 SUID/SGID 文件列表及时发现可疑后门程序；

11、检查异常隐藏的文件的存在；

12、开启 TCP sync cookie 保护；

13、关闭系统 core dump 状态； 17、开启 syslog 服务记录用户登录、sudo 操作等日志；

主机安全 信息安全 数据中心 数据安全 网络安全

上一篇：数据中心与大数据安全系统建设的总体架构

下一篇：网络防病毒怎么做？数据中心防毒墙系统建设

相关文章

• 

  数据中心和大数据环境下的安全风险分析

  随着大数据规模性、多样性、高速性、真实性特征的逐步显现，以及数据资产逐渐成为现代商业社会的核心竞争力，大数据对行业用户的重要性也日益突出。 世界经济论坛报告认为，“大数据为新财富，价值堪比石油”，大数据之父维克托则预测，数据列入企业资产负债表只是时间问题。同时，大数据将推动国民经济各行业各领域的创新应用，电子政务、电子商务都将发生变化，信息资源的战略重要性空前鼎盛，大数据将成为经济社会管理决策的基本平台。另外，大数据也将引领商业模式的重要创新，传统商业模式将开展大数据的挖掘，信息服务商将利用大数…

• 

  机房动环监测系统解决方案

  IDC(Internet Data Center) - 数据中心，它是传统的数据中心与 Internet 的结合，它除了具有传统的数据中心所具有的特点外，如数据集中、主机运行可靠等，还应具有访问方式的变化、要做到 7x24 服务、反应速度快等。IDC 是一个提供资源外包服务的基地，它应具有非常好的机房环境、安全保证、网络带宽、主机的数量和主机的性能、大的存储数据空间、软件环境以及优秀的服务性能。 IDC 机房内拥有大量的服务器、网络设备、供电设备、制冷设备、消防设备等对这些设备如何进行高效的管理…

• 

  智慧医院建设项目解决方案：机房运维监控系统

  涵盖 IT 资源的实时监控、数据共享、相互协调与联动，立体化、全链路、全流程监测，具备数据分析与挖掘能力，实现故障预判与工单推送、资产资源的自动调度。提高资源利用率以及管理效率，降低运维成本，主动感知 IT 故障，提高医护人员及患者满意度，保障业务稳定运行。 本系列文章分享一个比较新（2023y）的智慧医院建设方案，原文系某三甲医院智慧医院建设项目的真实案例，全文共 200 页合计约 70000 字，本篇介绍该整体方案中的机房运维监控系统。智慧医院建设项目文章列表： 1. 机房运维监控系统 采用…

• 

  GB/T 25058-2019 信息安全技术 网络安全等级保护实施指南.pdf

  随着数字化时代的加速发展，网络安全问题日益严峻，信息系统的安全防护已成为国家、企业及个人共同关注的重点。为了规范和指导我国各类信息系统开展网络安全等级保护工作，《信息安全技术 网络安全等级保护实施指南》（GB/T 25058-2019）应运而生。该标准由中国电子技术标准化研究院牵头制定，于 2019 年正式发布并实施，是落实《网络安全法》中关于网络安全等级保护制度的重要技术支撑文件。该指南为不同等级的信息系统提供了从定级、备案、建设整改到等级测评的全过程实施路径，具有高度的实用性和指导性。 本标…

• 

  GB/T 31168-2023 信息安全技术 云计算服务安全能力要求

  《GB/T 31168-2023 信息安全技术 云计算服务安全能力要求》是中国国家标准委员会发布的一项重要技术规范，旨在为云计算服务提供商和使用者提供关于云计算安全能力的详细要求。随着云计算技术的广泛应用，如何确保云环境中的数据安全、隐私保护以及服务的可靠性已经成为关键问题。这一标准的发布旨在帮助企业和组织提升云计算服务的安全性，确保云计算环境中的数据和应用得到充分保护。 1. 标准背景与意义 云计算作为一种新兴的计算和服务模式，近年来得到了快速发展。越来越多的企业和个人将数据、应用和计算任务迁…

• 

  恶意代码防范管理制度

  本管理办法适用于重庆XX中学所有服务器和终端操作系统。本办法所称的计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据， 影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 第一章 目的 第一条 为加强对计算机病毒的预防和治理，保护信息系统安全，根据公安部《计算机病毒防治管理办法》以及有关计算机病毒防治的规定，制定本办法。 第二章 范围 第二条 本管理办法适用于重庆XX中学所有服务器和终端操作系统。本办法所称的计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁…