数据中心的主机安全建设，系统加固策略

数据中心的主机包括物理服务器和虚拟化云主机，所有主机都面临入侵和攻击的风险。主机安全主要包括两个方面：

1. 在主机上部署病毒/木马查杀软件，包括 Linux 和 Windows 系统，降低病毒/木马入侵主机和蔓延的风险。
2. 对主机进行加固，降低主机遭受攻击和入侵的风险。

对于数据中心的服务器和云主机，无论系统或应用本身安全与否，都可能存在漏洞，安全管理员应负责定期（例如 1 月/次）对包括物理服务器和云主机等进行安全加固。系统加固策略包括：

1、使用 GRUB 的 password 参数对 GRUB 设置密码，防止通过编辑 GRUB 启动参数轻松的进入单用户模式从而修改 root 密码，从而造成安全隐患；

2、对 ssh 服务进行加固，关闭 root 账号远程连接，不允许使用空密码用户远程登录，设置最大登录尝试次数为 3；

3、对 xinetd 服务进行加固，根据最少服务原则,凡是不需要的服务一律禁用，减少系统所暴露攻击面，从而提高系统的安全性；

4、清理无主的文件，防止账号删除后系统残留未知文件；

5、删除非授权文件的全局可写属性，控制文件的可写操作权限，避免任何人都具有写权限的目录或文件存在；

6、设置守护进程 umask 值，控制守护进程访问权限范围；

7、为指定分区设置 nodev 挂载项，限制访问该文件系统上的文件；

8、限制 at、cron 定时任务命令的使用权限虚拟化层防护；

9、对于重要文件设置只有 root 可读、写和执行，主要检查目录为/etc/、/etc/rc.d/init.d/、/tmp、/etc/inetd.conf、/etc/passwd、/etc/shadow、/etc/group、/etc/group、/etc/services、/etc/security、/etc/rc*.d；

10、检查未授权 SUID/SGID 文件，可通过对比 SUID/SGID 文件列表及时发现可疑后门程序；

11、检查异常隐藏的文件的存在；

12、开启 TCP sync cookie 保护；

13、关闭系统 core dump 状态； 17、开启 syslog 服务记录用户登录、sudo 操作等日志；

主机安全 信息安全 数据中心 数据安全 网络安全

上一篇：数据中心与大数据安全系统建设的总体架构

下一篇：网络防病毒怎么做？数据中心防毒墙系统建设

相关文章

• 

  系统备份与恢复管理制度

  本办法涉及的存储备份系统包括：存储设备、光纤交换机、磁带库、移动介质、备份软件；管理适用对象包括网络安全办公室相关运维人员。 第一章 目的 第一条 为规范重庆XX中学存储备份系统管理，加强存储备份工作的日常管理及考核水平，保障系统安全稳定运行，明确管理责任，特制定本办法。 第二章 范围 第二条 本办法涉及的存储备份系统包括：存储设备、光纤交换机、磁带库、移动介质、备份软件；管理适用对象包括网络安全办公室相关运维人员。 第三章 职责 第三条 数据库管理员：负责存储备份系统的管理，包括存储设备的规划…

• 

  数据中心机房供电方案：配电、UPS 系统设计

  本系列数据中心机房建设方案内容较多，包含了书一般机房项目中的装修方案、供配电系统、动环监控系统、防雷系统、机柜系统、制冷系统等，不过部分内容有些许过时，请酌情修改。本网站在分享时将原有序号进行了删减，本页内容是机房工程中的供配电、防雷系统部分，本方案之完整内容有： 1. 机房配电工程的建设内容 2. 机房配电系统设计依据 计算机机房电源设计标准应符合《智能建筑设计标准》（GB/T 50314-2000），甲级标准应符合下列条件： 计算机房供电标准应符合《电子计算机机房设计规范》（GB50174-…

• 

  外包软件开发管理，信息安全管理制度

  第一章 目的 第一条 明确重庆XX中学对于软件外包开发的过程控制方法，通过对外包软件过程的有效控制，使外包开发软件满足等级保护的规范和要求。 第二章 范围 第二条 本管理办法适用于重庆XX中学对于外包软件的开发管理。 第三章 职责 第三条 网络安全办公室负责对软件开发方（外包方）的调查、评定和选择。 第四条 网络安全办公室提出外包要求，并组织对外包要求的审核，确定后将细节要求纳入外包开发合同。 第五条 网络安全办公室实施对外包过程的控制，并组织在项目结束时对外包供方的评估。 第四章 管理细则 第…

• 

  信息系统建设的安全机制建设

  本XXX方案需要充分考虑长远发展需求，统一规划、统一布局、统一设计、规范标准，并根据实际需要及投资金额，突出重点、分步实施，保证系统建设的完整性和投资的有效性。在方案设计和项目建设中应当遵循以下的原则： 1、合规性和规范化原则 安全规划和建设应严格遵循国家信息安全等级保护或分级保护标准和行业有关法律法规和技术规范的要求，同时兼顾参考国际上较为成熟的ISO27000、CSA的成熟范例，从技术、运行管理等方面对项目的整体建设和实施进行设计，充分体现标准化和规范化。 2、国产自主化原则 大数据中心信息…

• 

  模块化数据中心解决方案：制冷系统设计

  随着云计算、物联网等信息技术的高速发展，原有传统机房越来越不适应业务应用快速发展的需要，机房升级改造势在必行。越来越多的政府机构、企事业单位在新建或改建数据机房的时候，都倾向于使用更精致、安全、灵活的模块化数据中心解决方案。本系列文章分享的是一套基于档案馆新建数据中心，产品上选用深圳商宇的技术方案，本文分享模块化机房中的制冷系统设计。 根据“《数据中心设计规范》GB50174-2017”及“《采暖通风与空气调节设计规范》GB 50019-2003”等相关规范要求，对数据中心室内环境参数作了严格规…

• 

  智慧医院建设项目解决方案：医疗门户网站

  本系列文章分享一个比较新（2023y）的智慧医院建设方案，原文系X市某区县三甲医院智慧医院项目的真实案例，本篇是关于医院门户网站建设的功能介绍。又二篇： 智慧医院门户网站建设简介 网站设计风格以美观大方为基础，以大多数浏览者习惯为标准。网站属性为垂直型网站（中文版），医院门户网站栏目规划： （一）医院概况： 包括院长致辞、领导班子、发展历程、机构设置、通讯录等基本情况，主要以图片和文字的形式展示。（图片包含医院的建筑楼、大厅、候诊厅、病房、乘车路线图等）。 （二）院长致辞： “院长致辞”可设置在…