数据中心的主机安全建设，系统加固策略

数据中心的主机包括物理服务器和虚拟化云主机，所有主机都面临入侵和攻击的风险。主机安全主要包括两个方面：

1. 在主机上部署病毒/木马查杀软件，包括 Linux 和 Windows 系统，降低病毒/木马入侵主机和蔓延的风险。
2. 对主机进行加固，降低主机遭受攻击和入侵的风险。

对于数据中心的服务器和云主机，无论系统或应用本身安全与否，都可能存在漏洞，安全管理员应负责定期（例如 1 月/次）对包括物理服务器和云主机等进行安全加固。系统加固策略包括：

1、使用 GRUB 的 password 参数对 GRUB 设置密码，防止通过编辑 GRUB 启动参数轻松的进入单用户模式从而修改 root 密码，从而造成安全隐患；

2、对 ssh 服务进行加固，关闭 root 账号远程连接，不允许使用空密码用户远程登录，设置最大登录尝试次数为 3；

3、对 xinetd 服务进行加固，根据最少服务原则,凡是不需要的服务一律禁用，减少系统所暴露攻击面，从而提高系统的安全性；

4、清理无主的文件，防止账号删除后系统残留未知文件；

5、删除非授权文件的全局可写属性，控制文件的可写操作权限，避免任何人都具有写权限的目录或文件存在；

6、设置守护进程 umask 值，控制守护进程访问权限范围；

7、为指定分区设置 nodev 挂载项，限制访问该文件系统上的文件；

8、限制 at、cron 定时任务命令的使用权限虚拟化层防护；

9、对于重要文件设置只有 root 可读、写和执行，主要检查目录为/etc/、/etc/rc.d/init.d/、/tmp、/etc/inetd.conf、/etc/passwd、/etc/shadow、/etc/group、/etc/group、/etc/services、/etc/security、/etc/rc*.d；

10、检查未授权 SUID/SGID 文件，可通过对比 SUID/SGID 文件列表及时发现可疑后门程序；

11、检查异常隐藏的文件的存在；

12、开启 TCP sync cookie 保护；

13、关闭系统 core dump 状态； 17、开启 syslog 服务记录用户登录、sudo 操作等日志；

主机安全 信息安全 数据中心 数据安全 网络安全

上一篇：数据中心与大数据安全系统建设的总体架构

下一篇：网络防病毒怎么做？数据中心防毒墙系统建设

相关文章

• 

  源代码质量安全怎么做？

  源代码安全缺陷分析、源代码合规分析、源代码溯源分析及代码安全保障。在对源代码进行高精度安全缺陷分析及溯源检测,实现源代码安全的可视化管理，提升的软件安全质量。 1、本地的代码检测，SVN等代码库的源代码检测。 2、检测结果与Bug管理系统融合，检测结果可导入至Bug管理系统中。 3、代码缺陷检测，检查源代码中存在的安全缺陷。 4、源代码合规，检查源代码是否违背代码开发规范，约束开发者的开发行为。 5、对源代码的不同版本的检测结果进行比对分析，分析代码安全趋势。 6、缺陷信息数据的深度挖掘，按时间…

• 

  GB/T 22240-2020《信息系统安全等级保护定级指南》PDF 下载

  随着信息技术的迅猛发展和广泛应用，信息系统的安全问题日益凸显。为了指导和规范信息系统安全等级保护工作，提高我国信息安全保障能力和水平，《信息安全技术 信息系统安全等级保护定级指南》（GB/T 22240-2020）应运而生。该标准为信息系统的运营、使用单位提供了一套科学合理的安全等级划分方法，旨在根据信息系统的实际重要性和面临的安全威胁，确定适当的安全保护等级，并采取相应的安全措施。 本标准主要针对非涉密信息系统，明确了信息系统安全等级保护的基本概念、定级要素、定级流程以及不同安全保护等级的具体…

• 

  双网隔离方案简单介绍（办公电脑双网隔离卡）

  在本方案中介绍使用的双网隔离卡只需增加一块硬盘，即可将一台普通计算机分成两台虚拟计算机，分别连接内部网或外部网，实现安全环境和不安全环境的绝对隔离，以保证内部机密信息的安全。同时通过桌面切换软件，在保存工作现场的同时快速的在内外网之间切换，既保障了内外网的物理隔离，又保证了用户工作的流畅性。 1. 双网隔离系统总体方案 2. 双网隔离系统实现目标 3. 双网隔离系统实施要点 在本方案中介绍使用的双网隔离卡只需增加一块硬盘，即可将一台普通计算机分成两台虚拟计算机，分别连接内部网或外部网，实现安全环…

• 

  某仓库防雷技术要求，弱电系统中的防雷设计说明

  某仓库的各类地面防雷场所，应按不同的防雷类别，采取防直击雷、防雷电感应和防雷电波侵入的措施；各类地下、半地下防雷场所，应采取防雷电感应和防雷电波侵人的措施。防雷场所内设有电子信息系统时，还应采取防雷击电磁脉冲措施。 本文是一个军队机房建设方案的一部分，因此防雷等部分都做的比较完善，本文适用于一般库房、机房等的防雷建设。 1. 防直击雷措施 地面一类防雷场所，应设置独立避雷针或架空避雷线(网)等避雷装置，使被保护场所及其所属物体，均处在接闪器的保护范围内。其接闪器、引下线和接地装置的设置应符合第 …

• 

  GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求.pdf

  随着信息技术的迅猛发展，网络安全已成为国家、企业及个人关注的核心议题之一。为了更好地保障信息系统的安全性，提高我国网络安全防护水平，《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）应运而生。该标准于 2019 年发布并实施，旨在为各类信息系统提供一套科学合理的安全防护框架，确保这些系统能够在复杂多变的网络环境中稳定运行，有效抵御潜在的安全威胁。本标准适用于指导和规范非涉密信息系统的网络安全等级保护工作，是构建我国网络安全治理体系的重要组成部分。 GB/T 22239-…

• 

  信息系统安全事件报告和处置办法

  为了严密规范信息系统的安全事件处理程序， 确保各业务系统的正常运行和系统及网络的安全事件得到 及时响应、处理和跟进，保障网络和系统持续安全运行，特制定本流程。本流程适用于使用的网络、计算机系统的安全事件处理。 第一章 目的 第一条 为了严密规范信息系统的安全事件处理程序， 确保各业务系统的正常运行和系统及网络的安全事件得到 及时响应、处理和跟进，保障网络和系统持续安全运行，特制定本流程。 第二章 范围 第二条 本流程适用于重庆XX中学范围内使用的网络、计算机系统的安全事件处理。 第三章 职责 第…