数据中心的主机安全建设，系统加固策略

数据中心的主机包括物理服务器和虚拟化云主机，所有主机都面临入侵和攻击的风险。主机安全主要包括两个方面：

1. 在主机上部署病毒/木马查杀软件，包括 Linux 和 Windows 系统，降低病毒/木马入侵主机和蔓延的风险。
2. 对主机进行加固，降低主机遭受攻击和入侵的风险。

对于数据中心的服务器和云主机，无论系统或应用本身安全与否，都可能存在漏洞，安全管理员应负责定期（例如 1 月/次）对包括物理服务器和云主机等进行安全加固。系统加固策略包括：

1、使用 GRUB 的 password 参数对 GRUB 设置密码，防止通过编辑 GRUB 启动参数轻松的进入单用户模式从而修改 root 密码，从而造成安全隐患；

2、对 ssh 服务进行加固，关闭 root 账号远程连接，不允许使用空密码用户远程登录，设置最大登录尝试次数为 3；

3、对 xinetd 服务进行加固，根据最少服务原则,凡是不需要的服务一律禁用，减少系统所暴露攻击面，从而提高系统的安全性；

4、清理无主的文件，防止账号删除后系统残留未知文件；

5、删除非授权文件的全局可写属性，控制文件的可写操作权限，避免任何人都具有写权限的目录或文件存在；

6、设置守护进程 umask 值，控制守护进程访问权限范围；

7、为指定分区设置 nodev 挂载项，限制访问该文件系统上的文件；

8、限制 at、cron 定时任务命令的使用权限虚拟化层防护；

9、对于重要文件设置只有 root 可读、写和执行，主要检查目录为/etc/、/etc/rc.d/init.d/、/tmp、/etc/inetd.conf、/etc/passwd、/etc/shadow、/etc/group、/etc/group、/etc/services、/etc/security、/etc/rc*.d；

10、检查未授权 SUID/SGID 文件，可通过对比 SUID/SGID 文件列表及时发现可疑后门程序；

11、检查异常隐藏的文件的存在；

12、开启 TCP sync cookie 保护；

13、关闭系统 core dump 状态； 17、开启 syslog 服务记录用户登录、sudo 操作等日志；

主机安全 信息安全 数据中心 数据安全 网络安全

上一篇：数据中心与大数据安全系统建设的总体架构

下一篇：网络防病毒怎么做？数据中心防毒墙系统建设

相关文章

• 

  数据中心机房建设方案：项目概述、设计依据及工程范围

  众平科技网站分享的本系列中心机房建设方案内容详实，包括机房装修方案、机房供配电系统、数据中心动环监控系统、机房防雷系统、机柜系统、制冷系统等。部分内容有些许过时，请灵活看待酌情修改。本页内容主要是机房建设的项目概述、设计依据及工程范围等，本方案完整版见附件。本数据中心机房建设方案系列文章根据原文档结构标序，阅读时请见谅。 1. 信息中心机房项目概述 该工程项目主要建设内容有：机房装修、机房供、配电系统（包括机房内的主设备用电、辅助设备用电）、防雷接地、UPS 系统、机房新风系统、机房空调系统、机…

• 

  代码编写安全规范

  第一章 安全编码 第一条 应用程序应该彻底验证所有用户输入，然后再根据用户输入执行操作。验证可能包括筛选特殊字符。针对用户意外地错误使用和某些人通过在系统中注入恶意命令 蓄意进行攻击的情况，这种预防性措施对应用程序起到了保护作用。常见的例子包括 SQL 注入攻击、脚本注入和缓冲区溢出。此外，对于任何非受控的外部系统，都不要假定其安全性。 第二条 尝试使用让人迷惑的变量名来隐藏机密信息或将它们存储在不常用的文件位置，这些方法都不能提供安全保障，最好使用平台功能或使用已被证实可行的技术来保护数据。 …

• 

  2023年网络安全十大发展趋势：隐私计算、数据安全、安全治理等

  近日，中国计算机学会（CCF）计算机安全专委会中来自国家网络安全主管部门、高校、科研院所、大型央企、民营企业的委员投票评选出2023年网络安全十大发展趋势。 一、数据安全治理成为数字经济的基石 我国《数据安全法》提出“建立健全数据安全治理体系”，各地区各部门均在探索和建立数据分类分级、重要数据识别与重点保护制度。2022年12月，中共中央、国务院《关于构建数据基础制度更好发挥数据要素作用的意见》提出建立数据产权结构性分置制度，这将保障数据生产、流通、使用过程中各参与方享有的合法权利，进一步激发数…

• 

  网络安全管理制度模板

  本《网络安全管理制度》是我司此前应用与一普通中学的弱电工程项目中，系作为机房建设服务内容的一部分。本网络安全管理制度通用性强，适合各种应用环境，做一块挂墙的展板刚刚合适……结合个人经验，我们认为再好的物理、设备环境，如果缺失了对应的管理制度，那么这个系统都不堪一击，要么逐渐臃肿失控，要么被攻击控制。 为了保护本单位网络安全、促进网络信息化办公的应用和发展、保证单位网络的正常运行和网络用户的使用权益，制定本安全管理制度。 一、网络管理人员负责监控办公网络的运行状态，随时了解网络运行情况，如有异常，…

• 

  GB/T 42574-2023 信息安全技术 个人信息处理中告知和同意的实施指南

  《GB/T 42574—2023 信息安全技术 个人信息处理中告知和同意的实施指南》是中国国家标准委员会发布的有关个人信息保护的实施指南，旨在为组织在个人信息处理过程中如何有效进行告知和获得用户同意提供明确的技术规范和操作指南。随着个人信息保护法规的逐步完善，尤其是《个人信息保护法》（PIPL）等法律的实施，如何合法合规地处理用户个人信息，尤其是获取用户的知情同意，已经成为信息安全管理中至关重要的一环。 该指南的发布，是为了帮助组织和企业在个人信息处理活动中，做到透明、公正地告知用户信息处理的目…

• 

  设备入网安全检查办法，入网检查清单

  为减少新入网用户的计算机可能带来的风险， 全面保办公室计算机网络的安全，特对办公室新入网用户的计算机做安全检查。 第二章 范围 第二条 新入网用户包括 第三章 管理细则 第三条 对新入网用户的计算机检查的主要项目包括： 第四条 检查系统关键补丁 关键补丁检查主要检测系统是否开启了“自动更新补丁” 选项，如果目标系统未及时安装补丁，可能随时导致系统漏洞被恶意程序利用，最终导致恶意程序在局域网内传播，干扰正常用户。 第五条 检查恶意插件与木马 使用XXXX对系统进行完整的恶意插件与流行木马检查。在检…