1. 众平科技首页
  2. 解决方案
  3. 数据中心的主机安全建设,系统加固策略

数据中心的主机包括物理服务器和虚拟化云主机,所有主机都面临入侵和攻击的风险。主机安全主要包括两个方面:

  1. 在主机上部署病毒/木马查杀软件,包括 Linux 和 Windows 系统,降低病毒/木马入侵主机和蔓延的风险。
  2. 对主机进行加固,降低主机遭受攻击和入侵的风险。

对于数据中心的服务器和云主机,无论系统或应用本身安全与否,都可能存在漏洞,安全管理员应负责定期(例如 1 月/次)对包括物理服务器和云主机等进行安全加固。系统加固策略包括:

数据中心
数据中心

1、使用 GRUB 的 password 参数对 GRUB 设置密码,防止通过编辑 GRUB 启动参数轻松的进入单用户模式从而修改 root 密码,从而造成安全隐患;

2、对 ssh 服务进行加固,关闭 root 账号远程连接,不允许使用空密码用户远程登录,设置最大登录尝试次数为 3;

3、对 xinetd 服务进行加固,根据最少服务原则,凡是不需要的服务一律禁用,减少系统所暴露攻击面,从而提高系统的安全性;

4、清理无主的文件,防止账号删除后系统残留未知文件;

5、删除非授权文件的全局可写属性,控制文件的可写操作权限,避免任何人都具有写权限的目录或文件存在;

6、设置守护进程 umask 值,控制守护进程访问权限范围;

7、为指定分区设置 nodev 挂载项,限制访问该文件系统上的文件;

8、限制 at、cron 定时任务命令的使用权限虚拟化层防护;

9、对于重要文件设置只有 root 可读、写和执行,主要检查目录为/etc/、/etc/rc.d/init.d/、/tmp、/etc/inetd.conf、/etc/passwd、/etc/shadow、/etc/group、/etc/group、/etc/services、/etc/security、/etc/rc*.d;

10、检查未授权 SUID/SGID 文件,可通过对比 SUID/SGID 文件列表及时发现可疑后门程序;

11、检查异常隐藏的文件的存在;

12、开启 TCP sync cookie 保护;

13、关闭系统 core dump 状态; 17、开启 syslog 服务记录用户登录、sudo 操作等日志;

上一篇:

下一篇:

相关文章

  • 信息系统建设的安全机制建设

    信息系统建设的安全机制建设

    本XXX方案需要充分考虑长远发展需求,统一规划、统一布局、统一设计、规范标准,并根据实际需要及投资金额,突出重点、分步实施,保证系统建设的完整性和投资的有效性。在方案设计和项目建设中应当遵循以下的原则: 1、合规性和规范化原则 安全规划和建设应严格遵循国家信息安全等级保护或分级保护标准和行业有关法律法规和技术规范的要求,同时兼顾参考国际上较为成熟的ISO27000、CSA的成熟范例,从技术、运行管理等方面对项目的整体建设和实施进行设计,充分体现标准化和规范化。 2、国产自主化原则 大数据中心信息…

  • Web 应用防护系统是什么?该怎么预防 Web 攻击

    Web 应用防护系统是什么?该怎么预防 Web 攻击

    大数据平台采用先进的多维防护体系,对 HTTP 数据流进行深度分析。通过对 WEB 应用安全的深入研究,固化了一套针对 WEB 攻击防护的专用特征规则库,规则涵盖诸如 SQL 注入、XSS(跨站脚本攻击)等 OWASP TOP10 中的 WEB 应用安全风险,及远程文件包含漏洞利用、目录遍历、OS 命令注入等当今黑客常用的针对 WEB 基础架构的攻击手段。 对于 HTTP 数据包内容具有完全的访问控制权限,检查所有经过网络的 HTTP 流量,回应请求并建立安全规则。一旦某个会话被控制,就会对内外…

  • 数据中心机房建设方案:项目背景与需求分析

    数据中心机房建设方案:项目背景与需求分析

    本数据中心机房建设方案内容详实,原方案书是基于一个医院的 B 级机房编制,内容包含了网络中心机房中的装修方案、供配电系统、动环监控系统、防雷系统、机柜系统、制冷系统等,不过可能部分内容有些许过时,请灵活看待酌情修改。 依据 GB50174-2017《电子信息系统机房设计规范》对机房分级的要求,设计时应根据机房的使用性质、管理要求及其在经济和社会中的重要性确定所属级别。电子信息系统机房划分为 A、B、C 三种级别。机房具体按照哪个等级标准进行建设,应根据数据丢失或网络中断在经济或社会上造成的损失或…

  • 网络与信息安全管理制度(简版)

    网络与信息安全管理制度(简版)

    根据众平科技的经验,在一个基本的网络信息系统中,造成信息泄露或损害的原因,更多的是系统运维制度和人员的缺失,是网络安全体系的建设不足,相对而言其实网络信息安全设备更多的是个辅助。 本文是一个简版的网络与信息安全管理制度,内容比较少,但该有的都有了,各位在参考使用时注意把内文所涉用户信息删除。整理不易,投个币再下载吧,相关文章: 网络安全管理制度 网络机房管理制度 监控中心管理制度 信息系统建设的安全机制建设 网络与信息安全管理制度(简版) 第一章 目的 第一条 为规范重庆市XX网络信息系统安全管…

  • 数据中心机房建设方案:KVM 系统

    数据中心机房建设方案:KVM 系统

    中心机房规划设计 5 台服务器机柜,所有设备接入 KVM 系统。本地管理人员和远程管理人员管理所有服务器,方案设计服务器通过 6 类双绞线连接到主切换器上,再把主切换器接入到网络即可从远程互联网直接访问、管理机房的任一服务器。 1. 机房 KVM 系统描述 在系统管理人员的统一安排下,操作人员只需要通过控制终端(任意一台连通 KVM 网络的个人电脑)就可以接入分布于机房内的各种平台服务器/设备以进行对这些设备的各种操作,而不需要来回穿梭于机房内外或不同楼层。KVM 系统应已包括所有必备的组件 。…

  • 网络安全服务项目的服务及质量需求(安全服务方案模板)

    网络安全服务项目的服务及质量需求(安全服务方案模板)

    为深入贯彻习近平总书记关于网络安全的重要指示精神,严格落实党中央、国务院和市委、市政府关于网络安全的决策部署,重庆市国资委下发了关于市属国有企业网络安全的通知。通知中指出,国有企业应当深刻认识到网络安全工作的重要意义、健全网络安全制度体系、健全风险评估与安全审计制度、建立重要岗位人员审查制度等要求。 1. 网络安全服务项目服务管理 (1)服务交付计划制定:在整个服务期的开始时,根据采购人需求提供年度服务交付计划,并根据需要进行更新。 (2)季度服务报告:通过技术专家和客户相关人员的准备,与采购人…

- 联 系 我 们 -

+86 186-2315-0440

在线咨询:点击这里给我发消息

电子邮箱:i@zzptech.com

工作时间:9:00~18:30,工作日

微信客服