数据中心的主机包括物理服务器和虚拟化云主机,所有主机都面临入侵和攻击的风险。主机安全主要包括两个方面:
- 在主机上部署病毒/木马查杀软件,包括 Linux 和 Windows 系统,降低病毒/木马入侵主机和蔓延的风险。
- 对主机进行加固,降低主机遭受攻击和入侵的风险。
对于数据中心的服务器和云主机,无论系统或应用本身安全与否,都可能存在漏洞,安全管理员应负责定期(例如 1 月/次)对包括物理服务器和云主机等进行安全加固。系统加固策略包括:
1、使用 GRUB 的 password 参数对 GRUB 设置密码,防止通过编辑 GRUB 启动参数轻松的进入单用户模式从而修改 root 密码,从而造成安全隐患;
2、对 ssh 服务进行加固,关闭 root 账号远程连接,不允许使用空密码用户远程登录,设置最大登录尝试次数为 3;
3、对 xinetd 服务进行加固,根据最少服务原则,凡是不需要的服务一律禁用,减少系统所暴露攻击面,从而提高系统的安全性;
4、清理无主的文件,防止账号删除后系统残留未知文件;
5、删除非授权文件的全局可写属性,控制文件的可写操作权限,避免任何人都具有写权限的目录或文件存在;
6、设置守护进程 umask 值,控制守护进程访问权限范围;
7、为指定分区设置 nodev 挂载项,限制访问该文件系统上的文件;
8、限制 at、cron 定时任务命令的使用权限虚拟化层防护;
9、对于重要文件设置只有 root 可读、写和执行,主要检查目录为/etc/、/etc/rc.d/init.d/、/tmp、/etc/inetd.conf、/etc/passwd、/etc/shadow、/etc/group、/etc/group、/etc/services、/etc/security、/etc/rc*.d;
10、检查未授权 SUID/SGID 文件,可通过对比 SUID/SGID 文件列表及时发现可疑后门程序;
11、检查异常隐藏的文件的存在;
12、开启 TCP sync cookie 保护;
13、关闭系统 core dump 状态; 17、开启 syslog 服务记录用户登录、sudo 操作等日志;
相关文章
-
信息安全教育培训管理制度
信息安全培训旨在强化全体人员的信息安全意识,使之明确信息安全是每个人的责任,并掌握其岗位所要求的信息安全操作技能。 第一章 目的 第一条 为加强信息安全建设,提高全体人员的信息安全意识和技能,保障信息系统安全稳定的运行,特制定本制度。 第二章 总则 第二条 信息安全培训旨在强化全体人员的信息安全意识,使之明确信息安全是每个人的责任,并掌握其岗位所要求的信息安全操作技能。 第三章 管理细则 第三条 培训计划 针对不同的培训对象进行分层次的培训,信息安全培训分为管理层培训、…
-
大数据信息系统中的系统审计、日志审计和数据库审计
在服务器端部署轻量级蜜罐系统 ShellLog,攻击者一旦入侵服务器将会获得 console 和正常使用的 shell,该 console 基于攻击防御安全实践进行深度定制,一方面实现对攻击者渗透系统后主机操作系统后的 shell 操作全记录,记录攻击者或恶意使用用户登录服务器后的各项操作并形成分类日志,实时发送至蜜罐系统日志服务器。 管理后台能够对日志服务器的收集的日志进行分析和规则匹配,能够对高危操作命令、关联恶意操作命令,提权操作进行告警,还能够自定义安全规则,安全人员登录管理后台对告警 …
-
IDC 数据中心动力环境监控系统(动环监控通用方案)
随着 5G 时代的正式启动,IDC 数据中心必将为各互联网产业带来翻天覆地的变化,据 IDC 统计数据,目前国内超出 500 亿的终端设备与设施连接网络,将来超出 50%的数据资料需要在互联网边缘侧开展解析、解决与储存,IDC 机房的安全稳定高效运行管理必将从传统管理模式迭代到智能环境监控管理模式。 IDC 机房通过接入动力环境监控系统对网络运行环境的电力供应、温度、湿度、漏水、空气含尘量等诸多环境变量,UPS、空调、新风、除尘、除湿等诸多设备运行状态变量,进行 24 小时实时监测与智能化调节控…
-
代码编写安全规范
第一章 安全编码 第一条 应用程序应该彻底验证所有用户输入,然后再根据用户输入执行操作。验证可能包括筛选特殊字符。针对用户意外地错误使用和某些人通过在系统中注入恶意命令 蓄意进行攻击的情况,这种预防性措施对应用程序起到了保护作用。常见的例子包括 SQL 注入攻击、脚本注入和缓冲区溢出。此外,对于任何非受控的外部系统,都不要假定其安全性。 第二条 尝试使用让人迷惑的变量名来隐藏机密信息或将它们存储在不常用的文件位置,这些方法都不能提供安全保障,最好使用平台功能或使用已被证实可行的技术来保护数据。 …
-
医院信息中心机房建设存在问题探讨(医院数据中心建设)
很多医院实施机房工程时把机房建设等同于普通的建筑装修工程,比如对于一个在建大楼来讲,建设者把机房建设归属于大楼装修中的弱电工程分支,因此没有把机房的建设独立出来实施,而是交由大楼基建部门同大楼装修工程一并实施。事实上医院机房建设工程并没有这么简单,这不仅仅是一个装修工程,它涵盖很多学科,是集中多专业技术含量很高的综合工程,其实质是电子和环境综合工程的建设,除要保证装修效果外,更注重于内部环境和配套系统的建设。因此必须明确机房建设的重要性和独立性,单独规划并交由有机房建设资质的公司来实施,同时最好…
-
弱电项目中的安全性设计:网络安全、系统安全、物理安全和数据安全
电系统工程主要指通讯自动化、楼宇自动化、办公自动化、消防自动化和保安自动化,当然信息化技术发展至今,弱电系统已远不止于此,具体可以看看这篇文章:什么是弱电智能化系统集成?主要包括哪些系统?本篇众平给各位说说一般信息化系统中的安全性设计。 网络安全设计要求 在弱电系统规划设计环节应结合信息安全需求,落实必要的安全防护和技术保障措施。 系统自身安全功能 账号权限设计。按照系统安全要求,本系统采用角色-模块化-权限-功能四位一体的方案来实现账号权限管理,具体如下: 角色:如系统管理员角色,系统操作员角…
