数据中心的主机安全建设，系统加固策略

数据中心的主机包括物理服务器和虚拟化云主机，所有主机都面临入侵和攻击的风险。主机安全主要包括两个方面：

1. 在主机上部署病毒/木马查杀软件，包括 Linux 和 Windows 系统，降低病毒/木马入侵主机和蔓延的风险。
2. 对主机进行加固，降低主机遭受攻击和入侵的风险。

对于数据中心的服务器和云主机，无论系统或应用本身安全与否，都可能存在漏洞，安全管理员应负责定期（例如 1 月/次）对包括物理服务器和云主机等进行安全加固。系统加固策略包括：

1、使用 GRUB 的 password 参数对 GRUB 设置密码，防止通过编辑 GRUB 启动参数轻松的进入单用户模式从而修改 root 密码，从而造成安全隐患；

2、对 ssh 服务进行加固，关闭 root 账号远程连接，不允许使用空密码用户远程登录，设置最大登录尝试次数为 3；

3、对 xinetd 服务进行加固，根据最少服务原则,凡是不需要的服务一律禁用，减少系统所暴露攻击面，从而提高系统的安全性；

4、清理无主的文件，防止账号删除后系统残留未知文件；

5、删除非授权文件的全局可写属性，控制文件的可写操作权限，避免任何人都具有写权限的目录或文件存在；

6、设置守护进程 umask 值，控制守护进程访问权限范围；

7、为指定分区设置 nodev 挂载项，限制访问该文件系统上的文件；

8、限制 at、cron 定时任务命令的使用权限虚拟化层防护；

9、对于重要文件设置只有 root 可读、写和执行，主要检查目录为/etc/、/etc/rc.d/init.d/、/tmp、/etc/inetd.conf、/etc/passwd、/etc/shadow、/etc/group、/etc/group、/etc/services、/etc/security、/etc/rc*.d；

10、检查未授权 SUID/SGID 文件，可通过对比 SUID/SGID 文件列表及时发现可疑后门程序；

11、检查异常隐藏的文件的存在；

12、开启 TCP sync cookie 保护；

13、关闭系统 core dump 状态； 17、开启 syslog 服务记录用户登录、sudo 操作等日志；

主机安全 信息安全 数据中心 数据安全 网络安全

上一篇：数据中心与大数据安全系统建设的总体架构

下一篇：网络防病毒怎么做？数据中心防毒墙系统建设

相关文章

• 

  校园网络安全系统建设（通用方案）

  近年来随着《网络安全法》等法律法规、条例的办法，网络安全越来越受到企事业单位的重视，以往在咱们的信息系统里面只是配角的网络安全设备现在摇身一变成了“网络安全系统”…本文介绍的校园网络安全系统是针对一个真实智慧校园项目的安全加固，涉及面较多，各位可以参考下。 13. 网络安全系统概述 在 XXX 高中及初中学校云计算中心的北向和南向，与互联网对接的边界处以及与教育城域网对接的边界处均部署安全访问控制设备，包括防火墙、安全网关等，能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端…

• 

  智慧医院建设项目解决方案：医院预约平台

  专家医生、医技设备、住院床位是医院最紧缺的医疗服务资源之一，全院预约平台可实现人员与资源的合理分配，节约患者等待时间，推动医疗服务资源发挥最大效能，更好地辅助医院经营决策。包括门诊资源预约、医技资源预约以及住院资源预约三大部分。 1. 智慧医院预约平台解决方案 以“预约资源统一化、管理资源科学化、资源接口开放化”为目标，合理开放医院资源给患者使用。统一资源预约管理平台整合所有患者在就诊过程中使用的医疗资源，为患者安排就诊日期和次序，一方面合理安排患者的就诊时间，缩短排队就诊的时长，改善就诊体验；…

• 

  信息系统安全事件报告和处置办法

  为了严密规范信息系统的安全事件处理程序， 确保各业务系统的正常运行和系统及网络的安全事件得到 及时响应、处理和跟进，保障网络和系统持续安全运行，特制定本流程。本流程适用于使用的网络、计算机系统的安全事件处理。 第一章 目的 第一条 为了严密规范信息系统的安全事件处理程序， 确保各业务系统的正常运行和系统及网络的安全事件得到 及时响应、处理和跟进，保障网络和系统持续安全运行，特制定本流程。 第二章 范围 第二条 本流程适用于重庆XX中学范围内使用的网络、计算机系统的安全事件处理。 第三章 职责 第…

• 

  信息系统授权及审批管理

  为规范重庆XX中学信息安全管理各环节的审批流程和审批责任人，特制订本规范。本管理制度适用于重庆XX中学信息系统相关的所有授权和审批事项，明确各相关管理环节授权和审批的部门和责任人。 第一章 目的 第一条 为规范重庆XX中学信息安全管理各环节的审批流程和审批责任人，特制订本规范。 第二章 范围 第二条 本管理制度适用于重庆XX中学信息系统相关的所有授权和审批事项，明确各相关管理环节授权和审批的部门和责任人。 第三章 职责 第三条 网络安全办公室负责制订该规范并报信息安全领导小组审批通过后，由重庆X…

• 

  双网隔离方案简单介绍（办公电脑双网隔离卡）

  在本方案中介绍使用的双网隔离卡只需增加一块硬盘，即可将一台普通计算机分成两台虚拟计算机，分别连接内部网或外部网，实现安全环境和不安全环境的绝对隔离，以保证内部机密信息的安全。同时通过桌面切换软件，在保存工作现场的同时快速的在内外网之间切换，既保障了内外网的物理隔离，又保证了用户工作的流畅性。 1. 双网隔离系统总体方案 2. 双网隔离系统实现目标 3. 双网隔离系统实施要点 在本方案中介绍使用的双网隔离卡只需增加一块硬盘，即可将一台普通计算机分成两台虚拟计算机，分别连接内部网或外部网，实现安全环…

• 

  一家三甲医院，需要部署哪些网络安全设备？

  随着信息化建设的不断发展，信息系统在三甲医院中的角色也越来越重要，其所面临的安全挑战也不断涌现，患者隐私泄露、挂号系统中断以及木马病毒攻击直接威胁到医院运行秩序和信息系统安全。为进一步做好医院信息安全保护工作，卫生部曾下发《卫生行业信息安全等级保护工作的指导意见》的通知，通知明确了三甲医院的核心业务系统应按照信息安全等级保护第三级进行建设和保护。 根据 2018 年 4 月国家卫生健康委员会规划与信息司、国家卫生健康委员会统计信息中心所颁布的《全国医院信息化建设标准（试行）》中的各项条例，各等级…