数据中心的主机安全建设，系统加固策略

数据中心的主机包括物理服务器和虚拟化云主机，所有主机都面临入侵和攻击的风险。主机安全主要包括两个方面：

1. 在主机上部署病毒/木马查杀软件，包括 Linux 和 Windows 系统，降低病毒/木马入侵主机和蔓延的风险。
2. 对主机进行加固，降低主机遭受攻击和入侵的风险。

对于数据中心的服务器和云主机，无论系统或应用本身安全与否，都可能存在漏洞，安全管理员应负责定期（例如 1 月/次）对包括物理服务器和云主机等进行安全加固。系统加固策略包括：

1、使用 GRUB 的 password 参数对 GRUB 设置密码，防止通过编辑 GRUB 启动参数轻松的进入单用户模式从而修改 root 密码，从而造成安全隐患；

2、对 ssh 服务进行加固，关闭 root 账号远程连接，不允许使用空密码用户远程登录，设置最大登录尝试次数为 3；

3、对 xinetd 服务进行加固，根据最少服务原则,凡是不需要的服务一律禁用，减少系统所暴露攻击面，从而提高系统的安全性；

4、清理无主的文件，防止账号删除后系统残留未知文件；

5、删除非授权文件的全局可写属性，控制文件的可写操作权限，避免任何人都具有写权限的目录或文件存在；

6、设置守护进程 umask 值，控制守护进程访问权限范围；

7、为指定分区设置 nodev 挂载项，限制访问该文件系统上的文件；

8、限制 at、cron 定时任务命令的使用权限虚拟化层防护；

9、对于重要文件设置只有 root 可读、写和执行，主要检查目录为/etc/、/etc/rc.d/init.d/、/tmp、/etc/inetd.conf、/etc/passwd、/etc/shadow、/etc/group、/etc/group、/etc/services、/etc/security、/etc/rc*.d；

10、检查未授权 SUID/SGID 文件，可通过对比 SUID/SGID 文件列表及时发现可疑后门程序；

11、检查异常隐藏的文件的存在；

12、开启 TCP sync cookie 保护；

13、关闭系统 core dump 状态； 17、开启 syslog 服务记录用户登录、sudo 操作等日志；

主机安全 信息安全 数据中心 数据安全 网络安全

上一篇：数据中心与大数据安全系统建设的总体架构

下一篇：网络防病毒怎么做？数据中心防毒墙系统建设

相关文章

• 

  GB/T 42572-2023 信息安全技术 可信执行环境服务规范

  《GB/T 42572-2023 信息安全技术 可信执行环境服务规范》是中国国家标准委员会发布的一项重要标准，旨在为可信执行环境（TEE，Trusted Execution Environment）服务的建设、部署和管理提供安全技术要求和规范。可信执行环境是一种通过硬件和软件的结合，提供隔离的安全区域，用于执行敏感操作和处理安全数据的技术。它在保证数据的机密性、完整性和可用性方面发挥着重要作用，广泛应用于金融、医疗、物联网、数字身份等多个领域。 随着信息安全需求的不断提高，如何在开放的计算环境中…

• 

  数据中心机房建设方案：动环监控系统

  本系列文章分享了一个关于某医院的完整机房建设方案，内容详实、丰富，包含了机房中的装修方案、供配电系统、动环监控系统、防雷系统、机柜系统、制冷系统等，不过部分内容有些许过时，请灵活看待，酌情修改。本页内容是机房动环监控部分，本方案之完整内容有： 1. 机房动环监控系统组成 集中监控内容：配电监测子系统、UPS 监测子系统、精密空调监控子系统、温湿度监测子系统、漏水检测子系统、消防监测子系统、新风机监控子系统。 动力环境监控的各个子系统均通过 ICP 系列采控模块采集数据，以 RS485 方式传输至…

• 

  智慧医院建设项目解决方案：机房运维监控系统

  涵盖 IT 资源的实时监控、数据共享、相互协调与联动，立体化、全链路、全流程监测，具备数据分析与挖掘能力，实现故障预判与工单推送、资产资源的自动调度。提高资源利用率以及管理效率，降低运维成本，主动感知 IT 故障，提高医护人员及患者满意度，保障业务稳定运行。 本系列文章分享一个比较新（2023y）的智慧医院建设方案，原文系某三甲医院智慧医院建设项目的真实案例，全文共 200 页合计约 70000 字，本篇介绍该整体方案中的机房运维监控系统。智慧医院建设项目文章列表： 1. 机房运维监控系统 采用…

• 

  弱电项目中的安全性设计：网络安全、系统安全、物理安全和数据安全

  电系统工程主要指通讯自动化、楼宇自动化、办公自动化、消防自动化和保安自动化，当然信息化技术发展至今，弱电系统已远不止于此，具体可以看看这篇文章：什么是弱电智能化系统集成？主要包括哪些系统？本篇众平给各位说说一般信息化系统中的安全性设计。 网络安全设计要求 在弱电系统规划设计环节应结合信息安全需求，落实必要的安全防护和技术保障措施。 系统自身安全功能 账号权限设计。按照系统安全要求，本系统采用角色-模块化-权限-功能四位一体的方案来实现账号权限管理，具体如下： 角色：如系统管理员角色，系统操作员角…

• 

  某信息系统网络安全运行维护服务方案（技术方案模板）

  XXX 水运口岸营商环境优化系统运维项目涉及报关企业、物流企业、港口码头、船舶公司、船代企业、长江三峡局，应用主体多、业务范围广、业务量大，对项目运维服务的专业性、保障性要求高，为确保运维质量，需专业的软件运维保障单位进行服务管理。项目要求软件运维保障单位为系统提供统一、专业和持续的运维服务，确保系统运行稳定，保障进出口企业和航运相关企业业务运转的稳定性。 本文截取自该项目招标文件，服务期限一年（含一次三级等保测评），招标标的 105 万元。发表在此仅限技术交流，如有侵犯请联系管理员删除。 1.…

• 

  《信息安全与管理》专业社会调研报告、岗位调研

  随着前几年《网络安全法》的正式发布，网络安全越来越受到政府、企事业单位的关注和重视，对应的信心安全人才也逐渐走俏，人才市场上有大量岗位空缺。于是，一大波网络安全厂商便向各个高效推出了校企合作的模式，对口培训、招收人才。各个厂商之间的方案或许都有不同，本文主要参考了启明星辰的方案，当然替换成其他品牌如奇安信、深信服、绿盟等都是可以的。 信息安全专业现状 信息已成为企业的重要资源之一，随着计算机技术应用的普及，各个组织机构的运行越来越依赖计算机，各种业务的运行架构于现代化的网络环境中。企业信息系统作…