数据中心的主机安全建设，系统加固策略

数据中心的主机包括物理服务器和虚拟化云主机，所有主机都面临入侵和攻击的风险。主机安全主要包括两个方面：

1. 在主机上部署病毒/木马查杀软件，包括 Linux 和 Windows 系统，降低病毒/木马入侵主机和蔓延的风险。
2. 对主机进行加固，降低主机遭受攻击和入侵的风险。

对于数据中心的服务器和云主机，无论系统或应用本身安全与否，都可能存在漏洞，安全管理员应负责定期（例如 1 月/次）对包括物理服务器和云主机等进行安全加固。系统加固策略包括：

1、使用 GRUB 的 password 参数对 GRUB 设置密码，防止通过编辑 GRUB 启动参数轻松的进入单用户模式从而修改 root 密码，从而造成安全隐患；

2、对 ssh 服务进行加固，关闭 root 账号远程连接，不允许使用空密码用户远程登录，设置最大登录尝试次数为 3；

3、对 xinetd 服务进行加固，根据最少服务原则,凡是不需要的服务一律禁用，减少系统所暴露攻击面，从而提高系统的安全性；

4、清理无主的文件，防止账号删除后系统残留未知文件；

5、删除非授权文件的全局可写属性，控制文件的可写操作权限，避免任何人都具有写权限的目录或文件存在；

6、设置守护进程 umask 值，控制守护进程访问权限范围；

7、为指定分区设置 nodev 挂载项，限制访问该文件系统上的文件；

8、限制 at、cron 定时任务命令的使用权限虚拟化层防护；

9、对于重要文件设置只有 root 可读、写和执行，主要检查目录为/etc/、/etc/rc.d/init.d/、/tmp、/etc/inetd.conf、/etc/passwd、/etc/shadow、/etc/group、/etc/group、/etc/services、/etc/security、/etc/rc*.d；

10、检查未授权 SUID/SGID 文件，可通过对比 SUID/SGID 文件列表及时发现可疑后门程序；

11、检查异常隐藏的文件的存在；

12、开启 TCP sync cookie 保护；

13、关闭系统 core dump 状态； 17、开启 syslog 服务记录用户登录、sudo 操作等日志；

主机安全 信息安全 数据中心 数据安全 网络安全

上一篇：数据中心与大数据安全系统建设的总体架构

下一篇：网络防病毒怎么做？数据中心防毒墙系统建设

相关文章

• 

  双网隔离方案简单介绍（办公电脑双网隔离卡）

  在本方案中介绍使用的双网隔离卡只需增加一块硬盘，即可将一台普通计算机分成两台虚拟计算机，分别连接内部网或外部网，实现安全环境和不安全环境的绝对隔离，以保证内部机密信息的安全。同时通过桌面切换软件，在保存工作现场的同时快速的在内外网之间切换，既保障了内外网的物理隔离，又保证了用户工作的流畅性。 1. 双网隔离系统总体方案 2. 双网隔离系统实现目标 3. 双网隔离系统实施要点 在本方案中介绍使用的双网隔离卡只需增加一块硬盘，即可将一台普通计算机分成两台虚拟计算机，分别连接内部网或外部网，实现安全环…

• 

  网络防病毒怎么做？数据中心防毒墙系统建设

  在数据中心核心交换上部署一台网络防毒服务器对全网制定完善的防病毒策略，实施统一的防病毒策略，使分布在数据中心每台计算机上的防病毒系统实施相同的防病毒策略，全网达到统一的病毒防护强度。 同时防毒服务器实时地记录防护体系内每台计算机上的病毒监控、检测和清除信息，根据管理员控制台的设置，实现对整个防护系统的自动控制。数据中心网络防病毒系统功能如下： 1、病毒防范和查杀能力 开启实时监控后能完全预防已知病毒的危害；可防范、检测并清除隐藏于电子邮件、公共文件夹及数据库中的计算机病毒、恶性程序、病毒邮件；能…

• 

  数据中心与大数据安全系统建设的总体架构

  针对数据中心与大数据安全威胁的多样化、体系化，防御体系利用先发优势，在各个层面进行纵深覆盖，实现风险分化、协同互补，构建一套环环相扣的威胁感知、边界安全防护、平台安全防护、业务安全防护、数据安全防护多重纵深防御体系。 从云端到终端、从业务到数据、从事前到事后，为数据中心提供无所不在的全方位保护，在大数据环境中为用户提供多层次、多维度、体系化纵深防御的解决方案，综合提升应对新型安全威胁的能力，真正做到看得见的安全和有效安全。 1、边界安全防护 基于业务的风险和控制需求，在安全区域边界、网络出口边界…

• 

  信息安全检查和审核管理

  为形成信息安全检查和审核长效机制，提高重 庆市城市照明管理局全体职工信息安全意识，特制订本规范。 第一章 目的 第一条  为形成信息安全检查和审核长效机制，提高重 庆市城市照明管理局全体职工信息安全意识，特制订本规范。 第二章 范围 第二条 本管理制度适用于重庆XX中学在信息安全管理过程中的周期信息安全检查和审核管理。 第三章 职责 第三条 网络安全办公室负责协调，网络安全办公室安全管理员负责常规的信息系统安全检查和记录。信息安全工作小组负责对重庆XX中学在信息系统安全抽查， 并由网络…

• 

  网络信息安全技能专业培养，校企合作方案

  随着前几年《网络安全法》的正式发布，网络安全越来越受到政府、企事业单位的关注和重视，对应的信心安全人才也逐渐走俏，人才市场上有大量岗位空缺。于是，一大波网络安全厂商便向各个高效推出了校企合作的模式，对口培训、招收人才。各个厂商之间的方案或许都有不同，本文主要参考了启明星辰的方案，当然替换成其他品牌如奇安信、深信服、绿盟等都是可以的。 您若是需要摘抄即可，整个文档约18页，登录即可下载，文档目录见末尾，本文是原WORD的摘抄。 一、招生对象及学制 招生对象：普通高等院校毕业生、社招人员 学制：四个…

• 

  信息系统建设服务商安全管理

  第一章 目的 第一条 为了规范重庆XX中学信息系统建设和运行过程中服务商的选择，按照信息安全等级保护要求进行服务商管理，特制定本管理规范。 第二章 范围 第二条 本办法适用于重庆XX中学在信息化建设和运行过程中服务商选择的安全管理。 第三章 职责 第三条 较小项目由网络安全办公室负责服务商选择， 较大项目的服务商选择，可通过招标方式由招标小组进行选择，但须遵循本管理办法的要求。 第四章 管理细则 第四条 系统集成商的要求：要有一个国家权威部门系统工程师及数据库认证工程师； 第五条 工商要求： 第…