数据中心的主机安全建设，系统加固策略

数据中心的主机包括物理服务器和虚拟化云主机，所有主机都面临入侵和攻击的风险。主机安全主要包括两个方面：

1. 在主机上部署病毒/木马查杀软件，包括 Linux 和 Windows 系统，降低病毒/木马入侵主机和蔓延的风险。
2. 对主机进行加固，降低主机遭受攻击和入侵的风险。

对于数据中心的服务器和云主机，无论系统或应用本身安全与否，都可能存在漏洞，安全管理员应负责定期（例如 1 月/次）对包括物理服务器和云主机等进行安全加固。系统加固策略包括：

1、使用 GRUB 的 password 参数对 GRUB 设置密码，防止通过编辑 GRUB 启动参数轻松的进入单用户模式从而修改 root 密码，从而造成安全隐患；

2、对 ssh 服务进行加固，关闭 root 账号远程连接，不允许使用空密码用户远程登录，设置最大登录尝试次数为 3；

3、对 xinetd 服务进行加固，根据最少服务原则,凡是不需要的服务一律禁用，减少系统所暴露攻击面，从而提高系统的安全性；

4、清理无主的文件，防止账号删除后系统残留未知文件；

5、删除非授权文件的全局可写属性，控制文件的可写操作权限，避免任何人都具有写权限的目录或文件存在；

6、设置守护进程 umask 值，控制守护进程访问权限范围；

7、为指定分区设置 nodev 挂载项，限制访问该文件系统上的文件；

8、限制 at、cron 定时任务命令的使用权限虚拟化层防护；

9、对于重要文件设置只有 root 可读、写和执行，主要检查目录为/etc/、/etc/rc.d/init.d/、/tmp、/etc/inetd.conf、/etc/passwd、/etc/shadow、/etc/group、/etc/group、/etc/services、/etc/security、/etc/rc*.d；

10、检查未授权 SUID/SGID 文件，可通过对比 SUID/SGID 文件列表及时发现可疑后门程序；

11、检查异常隐藏的文件的存在；

12、开启 TCP sync cookie 保护；

13、关闭系统 core dump 状态； 17、开启 syslog 服务记录用户登录、sudo 操作等日志；

主机安全 信息安全 数据中心 数据安全 网络安全

上一篇：数据中心与大数据安全系统建设的总体架构

下一篇：网络防病毒怎么做？数据中心防毒墙系统建设

相关文章

• 

  信息系统建设服务商安全管理

  第一章 目的 第一条 为了规范重庆XX中学信息系统建设和运行过程中服务商的选择，按照信息安全等级保护要求进行服务商管理，特制定本管理规范。 第二章 范围 第二条 本办法适用于重庆XX中学在信息化建设和运行过程中服务商选择的安全管理。 第三章 职责 第三条 较小项目由网络安全办公室负责服务商选择， 较大项目的服务商选择，可通过招标方式由招标小组进行选择，但须遵循本管理办法的要求。 第四章 管理细则 第四条 系统集成商的要求：要有一个国家权威部门系统工程师及数据库认证工程师； 第五条 工商要求： 第…

• 

  模块化机房建设实施建议：装修、底座及消防

  本”微模块数据中心、双排模块化机房效果图及整体解决方案“是基于真实案例——一新建档案馆的数据机房，结合众平网站分享的需要，做了一定的删减发表，原文档**数据中心方案书共 90 页，登陆即可下载。本页文章是系列文章最后一篇，内容为模块化机房项目实施中的一些建议，包括装修方案、消防建议及底座安装等。系列文章列表： 1. 模块化机房机柜底座 根据GB 50174-2017《数据中心设计规范》等相关标准要求，机房需考虑“防静电”措施，若机房整体规划铺设“防静电地板”，微模块数据中心应根据“柜位”数量定制…

• 

  智慧城市建设与大数据安全问题研究

  通过对智慧城市建设总体架构、大数据安全等内容进行研究，归纳整理了智慧城市建设过程中面临的大数据安全问题。通过分析大数据安全问题产生的原因，给出提升大数据安全能力的方案建议，从而保证智慧城市建设中真正实现数据融通、信息安全，进而促进智慧城市建设持续、健康发展。 这是一篇原载于《信息通信技术与政策（2020 年 11 期）》的论文，作者是徐明慧等人，本站分享仅限技术交流学习之用。 1. 引言 随着“网络强国”战略、“大数据”战略、“互联网+”行动计划的实施和“数字中国”建设的不断发展，我国智慧城市建…

• 

  GB/T 42574-2023 信息安全技术 个人信息处理中告知和同意的实施指南

  《GB/T 42574—2023 信息安全技术 个人信息处理中告知和同意的实施指南》是中国国家标准委员会发布的有关个人信息保护的实施指南，旨在为组织在个人信息处理过程中如何有效进行告知和获得用户同意提供明确的技术规范和操作指南。随着个人信息保护法规的逐步完善，尤其是《个人信息保护法》（PIPL）等法律的实施，如何合法合规地处理用户个人信息，尤其是获取用户的知情同意，已经成为信息安全管理中至关重要的一环。 该指南的发布，是为了帮助组织和企业在个人信息处理活动中，做到透明、公正地告知用户信息处理的目…

• 

  移动存储介质安全管理制度

  为规范重庆XX中学内部移动存储介质的使用和管理，防止出现因移动存储的使用造成重庆XX中学网络与信息系统感染病毒、信息外泄等情况， 根据西重庆XX中学信息安全建设及保密工作需要，特编制本规定。本管理程序适用于重庆XX中学对可移动介质的安全管理。 第一章 目的 第一条 为规范重庆XX中学内部移动存储介质的使用和管理，防止出现因移动存储的使用造成重庆XX中学网络与信息系统感染病毒、信息外泄等情况， 根据西重庆XX中学信息安全建设及保密工作需要，特编制本规定。 第二章 范围 第二条 本管理程序适用于重庆…

• 

  制造业客户数据安全解决方案（数据防泄密需求分析）

  机械行业是历史悠久的工业形式，与国民经济密切相关，属于周期性行业，是我国最重要的工业制造行业之一。即使网络经济与 IT 信息技术在世界范围内占据主导地位，依然离不开一个发达的、先进的物质基础，而机械行业正是为生成这种物质基础提供工艺装备的主要行业，一个国家的富强离不开机械行业的支撑。 机械行业中的机械设计和机械制造业具有以离散为主、流程为辅、装配为重点的主要特点。以设备制造为例，生产方式一般由单独的零部件组成最终产成品，这属于典型的离散型工业。典型的离散型机械制造业企业由于主要从事单件、小批量生…