数据中心的主机安全建设，系统加固策略

数据中心的主机包括物理服务器和虚拟化云主机，所有主机都面临入侵和攻击的风险。主机安全主要包括两个方面：

1. 在主机上部署病毒/木马查杀软件，包括 Linux 和 Windows 系统，降低病毒/木马入侵主机和蔓延的风险。
2. 对主机进行加固，降低主机遭受攻击和入侵的风险。

对于数据中心的服务器和云主机，无论系统或应用本身安全与否，都可能存在漏洞，安全管理员应负责定期（例如 1 月/次）对包括物理服务器和云主机等进行安全加固。系统加固策略包括：

1、使用 GRUB 的 password 参数对 GRUB 设置密码，防止通过编辑 GRUB 启动参数轻松的进入单用户模式从而修改 root 密码，从而造成安全隐患；

2、对 ssh 服务进行加固，关闭 root 账号远程连接，不允许使用空密码用户远程登录，设置最大登录尝试次数为 3；

3、对 xinetd 服务进行加固，根据最少服务原则,凡是不需要的服务一律禁用，减少系统所暴露攻击面，从而提高系统的安全性；

4、清理无主的文件，防止账号删除后系统残留未知文件；

5、删除非授权文件的全局可写属性，控制文件的可写操作权限，避免任何人都具有写权限的目录或文件存在；

6、设置守护进程 umask 值，控制守护进程访问权限范围；

7、为指定分区设置 nodev 挂载项，限制访问该文件系统上的文件；

8、限制 at、cron 定时任务命令的使用权限虚拟化层防护；

9、对于重要文件设置只有 root 可读、写和执行，主要检查目录为/etc/、/etc/rc.d/init.d/、/tmp、/etc/inetd.conf、/etc/passwd、/etc/shadow、/etc/group、/etc/group、/etc/services、/etc/security、/etc/rc*.d；

10、检查未授权 SUID/SGID 文件，可通过对比 SUID/SGID 文件列表及时发现可疑后门程序；

11、检查异常隐藏的文件的存在；

12、开启 TCP sync cookie 保护；

13、关闭系统 core dump 状态； 17、开启 syslog 服务记录用户登录、sudo 操作等日志；

主机安全 信息安全 数据中心 数据安全 网络安全

上一篇：数据中心与大数据安全系统建设的总体架构

下一篇：网络防病毒怎么做？数据中心防毒墙系统建设

相关文章

• 

  数据中心机房建设方案：KVM 系统

  中心机房规划设计 5 台服务器机柜，所有设备接入 KVM 系统。本地管理人员和远程管理人员管理所有服务器，方案设计服务器通过 6 类双绞线连接到主切换器上，再把主切换器接入到网络即可从远程互联网直接访问、管理机房的任一服务器。 1. 机房 KVM 系统描述 在系统管理人员的统一安排下，操作人员只需要通过控制终端（任意一台连通 KVM 网络的个人电脑）就可以接入分布于机房内的各种平台服务器/设备以进行对这些设备的各种操作,而不需要来回穿梭于机房内外或不同楼层。KVM 系统应已包括所有必备的组件 。…

• 

  数据中心机房建设方案：动环监控系统

  本系列文章分享了一个关于某医院的完整机房建设方案，内容详实、丰富，包含了机房中的装修方案、供配电系统、动环监控系统、防雷系统、机柜系统、制冷系统等，不过部分内容有些许过时，请灵活看待，酌情修改。本页内容是机房动环监控部分，本方案之完整内容有： 1. 机房动环监控系统组成 集中监控内容：配电监测子系统、UPS 监测子系统、精密空调监控子系统、温湿度监测子系统、漏水检测子系统、消防监测子系统、新风机监控子系统。 动力环境监控的各个子系统均通过 ICP 系列采控模块采集数据，以 RS485 方式传输至…

• 

  《数据中心基础设施施工及验收规范》(GB 50462-2015) 下载

  《数据中心基础设施施工及验收规范》(GB 50462-2015)是中华人民共和国国家标准，旨在规范数据中心基础设施的施工及验收流程，确保工程质量和运行可靠性。该标准于 2015 年 12 月 3 日发布，自 2016 年 8 月 1 日起实施，取代了原《电子信息系统机房施工及验收规范》(GB 50462-2008)。它适用于陆地建筑内新建、改建和扩建的数据中心基础设施工程，涵盖配电、防雷、空调、综合布线等多个子系统，为数据中心建设提供统一的技术指导。 本规范由住房和城乡建设部及工业和信息化部联合…

• 

  数据中心机房建设方案：机房消防系统

  本系列数据中心机房建设方案内容较多，包含了一般机房建设项目中的装修方案、供配电系统、动环监控系统、防雷系统、机柜系统、制冷系统等。本页内容是机房建设中消防工程建设部分，分享时做了一定的删减，详细内容请下载附件。本系列文章： 1. 机房消防系统设计要求及依据 机房的消防报警设计，根据消防防火级别设置确定机房的设计方案，建筑内首先要求具备常规的消防栓、消防通道等，按机房面积和设备分布装设烟雾、温度检测装置、自动 报警警铃和指示灯、自动/手动灭火设备和器材。 设计依据： 2. 机房消防系统设计内容 对…

• 

  校园网络安全系统建设（通用方案）

  近年来随着《网络安全法》等法律法规、条例的办法，网络安全越来越受到企事业单位的重视，以往在咱们的信息系统里面只是配角的网络安全设备现在摇身一变成了“网络安全系统”…本文介绍的校园网络安全系统是针对一个真实智慧校园项目的安全加固，涉及面较多，各位可以参考下。 13. 网络安全系统概述 在 XXX 高中及初中学校云计算中心的北向和南向，与互联网对接的边界处以及与教育城域网对接的边界处均部署安全访问控制设备，包括防火墙、安全网关等，能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端…

• 

  IDC 数据中心动力环境监控系统（动环监控通用方案）

  随着 5G 时代的正式启动，IDC 数据中心必将为各互联网产业带来翻天覆地的变化，据 IDC 统计数据，目前国内超出 500 亿的终端设备与设施连接网络，将来超出 50%的数据资料需要在互联网边缘侧开展解析、解决与储存，IDC 机房的安全稳定高效运行管理必将从传统管理模式迭代到智能环境监控管理模式。 IDC 机房通过接入动力环境监控系统对网络运行环境的电力供应、温度、湿度、漏水、空气含尘量等诸多环境变量，UPS、空调、新风、除尘、除湿等诸多设备运行状态变量，进行 24 小时实时监测与智能化调节控…