数据中心的主机安全建设，系统加固策略

数据中心的主机包括物理服务器和虚拟化云主机，所有主机都面临入侵和攻击的风险。主机安全主要包括两个方面：

1. 在主机上部署病毒/木马查杀软件，包括 Linux 和 Windows 系统，降低病毒/木马入侵主机和蔓延的风险。
2. 对主机进行加固，降低主机遭受攻击和入侵的风险。

对于数据中心的服务器和云主机，无论系统或应用本身安全与否，都可能存在漏洞，安全管理员应负责定期（例如 1 月/次）对包括物理服务器和云主机等进行安全加固。系统加固策略包括：

1、使用 GRUB 的 password 参数对 GRUB 设置密码，防止通过编辑 GRUB 启动参数轻松的进入单用户模式从而修改 root 密码，从而造成安全隐患；

2、对 ssh 服务进行加固，关闭 root 账号远程连接，不允许使用空密码用户远程登录，设置最大登录尝试次数为 3；

3、对 xinetd 服务进行加固，根据最少服务原则,凡是不需要的服务一律禁用，减少系统所暴露攻击面，从而提高系统的安全性；

4、清理无主的文件，防止账号删除后系统残留未知文件；

5、删除非授权文件的全局可写属性，控制文件的可写操作权限，避免任何人都具有写权限的目录或文件存在；

6、设置守护进程 umask 值，控制守护进程访问权限范围；

7、为指定分区设置 nodev 挂载项，限制访问该文件系统上的文件；

8、限制 at、cron 定时任务命令的使用权限虚拟化层防护；

9、对于重要文件设置只有 root 可读、写和执行，主要检查目录为/etc/、/etc/rc.d/init.d/、/tmp、/etc/inetd.conf、/etc/passwd、/etc/shadow、/etc/group、/etc/group、/etc/services、/etc/security、/etc/rc*.d；

10、检查未授权 SUID/SGID 文件，可通过对比 SUID/SGID 文件列表及时发现可疑后门程序；

11、检查异常隐藏的文件的存在；

12、开启 TCP sync cookie 保护；

13、关闭系统 core dump 状态； 17、开启 syslog 服务记录用户登录、sudo 操作等日志；

主机安全 信息安全 数据中心 数据安全 网络安全

上一篇：数据中心与大数据安全系统建设的总体架构

下一篇：网络防病毒怎么做？数据中心防毒墙系统建设

相关文章

• 

  双排模块化数据中心解决方案：设计效果图和平面图

  随着云计算、物联网等信息技术的高速发展，原有传统机房越来越不适应业务应用快速发展的需要，机房升级改造势在必行。越来越多的政府机构、企事业单位在新建或改建数据机房的时候，都倾向于使用更精致、安全、灵活的模块化数据中心解决方案。 1. 模块化机房工程量清单 略，详见附件 2. 档案馆模块化机房总体设计 本项目是在渝中区档案馆项目的规划基础上进行建设，同时采用“微模块数据中心”解决方案，要求指定安装的主机房净高（静电地板距天花板净高）最小 2600mm、合理 2800mm、最优 3000mm；本项目采…

• 

  某仓库防雷技术要求，弱电系统中的防雷设计说明

  某仓库的各类地面防雷场所，应按不同的防雷类别，采取防直击雷、防雷电感应和防雷电波侵入的措施；各类地下、半地下防雷场所，应采取防雷电感应和防雷电波侵人的措施。防雷场所内设有电子信息系统时，还应采取防雷击电磁脉冲措施。 本文是一个军队机房建设方案的一部分，因此防雷等部分都做的比较完善，本文适用于一般库房、机房等的防雷建设。 1. 防直击雷措施 地面一类防雷场所，应设置独立避雷针或架空避雷线(网)等避雷装置，使被保护场所及其所属物体，均处在接闪器的保护范围内。其接闪器、引下线和接地装置的设置应符合第 …

• 

  重庆市针对“重要网络与信息系统”密码应用提出明确要求

  本文为重庆市密码管理局公文：关于进一步规范全市重要网络与信息系统密码应用有关要求的通知。通过对本通知内容的阐述，我们可以清晰地看到为规范全市重要网络与信息系统密码应用与安全性评估工作所做的周密安排和具体要求。从项目的规划阶段到建设阶段，再到运行阶段，并且考虑到集约建设与经费保障的每个环节，本通知为确保网络与信息系统安全提供了一份详细可行的操作指南。这一系列措施不仅有助于提升我市密码应用的安全性和合规性，同时也标志着我市在网络与信息安全领域迈出了坚实的步伐。 随着政策的进一步实施，预计将极大提高公…

• 

  信息安全管理岗位人员管理制度

  为防止品质不良、技能欠佳的人员进入重庆XX中学从事信息岗位，降低职工因信息系使用不当所带来的差错、欺诈及滥用设施的风险，减少人员对于信息安全保密性、完整性、可用性的负面影响，特制定本制度。 第一章 目的 第一条 为防止品质不良、技能欠佳的人员进入重庆XX中学从事信息岗位，降低职工因信息系使用不当所带来的差错、欺诈及滥用设施的风险，减少人员对于信息安全保密性、完整性、可用性的负面影响，特制定本制度。 第二章 范围 第二条 本规定适用于重庆XX中学信息系统岗位人员的聘用、任职、离职的安全考察、保密控…

• 

  恶意代码防范管理制度

  本管理办法适用于重庆XX中学所有服务器和终端操作系统。本办法所称的计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据， 影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 第一章 目的 第一条 为加强对计算机病毒的预防和治理，保护信息系统安全，根据公安部《计算机病毒防治管理办法》以及有关计算机病毒防治的规定，制定本办法。 第二章 范围 第二条 本管理办法适用于重庆XX中学所有服务器和终端操作系统。本办法所称的计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁…

• 

  信息系统工程实施管理

  第一章 目的 第一条 为了规范重庆XX中学信息系统建设管理和工程实施管理，在工程实施各个环节按照信息安全等级保护要求进行管理，特制定本管理规范。 第二章 范围 第二条 本规范适用于重庆XX中学信息系统建设管理和工程实施管理。 第三章 职责 第三条 网络安全办公室负责系统建设管理和工程实施管理。 第四章 管理细则 第四条 工程实施阶段的主要目的是将所有的模块（软硬件）集成为完整的系统，并且检查确认集成以后的系统符合要求。 第五条 本阶段应完成以下具体信息安全工作： 第六条 安全建设整改工程实施的组…