数据中心的主机安全建设，系统加固策略

数据中心的主机包括物理服务器和虚拟化云主机，所有主机都面临入侵和攻击的风险。主机安全主要包括两个方面：

1. 在主机上部署病毒/木马查杀软件，包括 Linux 和 Windows 系统，降低病毒/木马入侵主机和蔓延的风险。
2. 对主机进行加固，降低主机遭受攻击和入侵的风险。

对于数据中心的服务器和云主机，无论系统或应用本身安全与否，都可能存在漏洞，安全管理员应负责定期（例如 1 月/次）对包括物理服务器和云主机等进行安全加固。系统加固策略包括：

1、使用 GRUB 的 password 参数对 GRUB 设置密码，防止通过编辑 GRUB 启动参数轻松的进入单用户模式从而修改 root 密码，从而造成安全隐患；

2、对 ssh 服务进行加固，关闭 root 账号远程连接，不允许使用空密码用户远程登录，设置最大登录尝试次数为 3；

3、对 xinetd 服务进行加固，根据最少服务原则,凡是不需要的服务一律禁用，减少系统所暴露攻击面，从而提高系统的安全性；

4、清理无主的文件，防止账号删除后系统残留未知文件；

5、删除非授权文件的全局可写属性，控制文件的可写操作权限，避免任何人都具有写权限的目录或文件存在；

6、设置守护进程 umask 值，控制守护进程访问权限范围；

7、为指定分区设置 nodev 挂载项，限制访问该文件系统上的文件；

8、限制 at、cron 定时任务命令的使用权限虚拟化层防护；

9、对于重要文件设置只有 root 可读、写和执行，主要检查目录为/etc/、/etc/rc.d/init.d/、/tmp、/etc/inetd.conf、/etc/passwd、/etc/shadow、/etc/group、/etc/group、/etc/services、/etc/security、/etc/rc*.d；

10、检查未授权 SUID/SGID 文件，可通过对比 SUID/SGID 文件列表及时发现可疑后门程序；

11、检查异常隐藏的文件的存在；

12、开启 TCP sync cookie 保护；

13、关闭系统 core dump 状态； 17、开启 syslog 服务记录用户登录、sudo 操作等日志；

主机安全 信息安全 数据中心 数据安全 网络安全

上一篇：数据中心与大数据安全系统建设的总体架构

下一篇：网络防病毒怎么做？数据中心防毒墙系统建设

相关文章

• 

  网络与信息系统安全设计规范

  为规范重庆XX中学信息系统安全设计过程，确保整个信息安全管理体系在信息安全设计阶段即符合国家相关标准和要求，特制订本规范。 第一章 目的 第一条 为规范重庆XX中学信息系统安全设计过程，确保整个信息安全管理体系在信息安全设计阶段即符合国家相关标准和要求，特制订本规范。 第二章 范围 第二条 本规范适用于重庆XX中学在信息安全设计阶段的要求和规范管理。 第三章 职责 第三条 网络安全办公室负责信息安全系统设计，并会同上级单位、相关部门和有关专家对设计方案进行评审后报信息安全领导小组批准。 第四章 …

• 

  智慧医院建设项目解决方案：机房运维监控系统

  涵盖 IT 资源的实时监控、数据共享、相互协调与联动，立体化、全链路、全流程监测，具备数据分析与挖掘能力，实现故障预判与工单推送、资产资源的自动调度。提高资源利用率以及管理效率，降低运维成本，主动感知 IT 故障，提高医护人员及患者满意度，保障业务稳定运行。 本系列文章分享一个比较新（2023y）的智慧医院建设方案，原文系某三甲医院智慧医院建设项目的真实案例，全文共 200 页合计约 70000 字，本篇介绍该整体方案中的机房运维监控系统。智慧医院建设项目文章列表： 1. 机房运维监控系统 采用…

• 

  一家三甲医院，需要部署哪些网络安全设备？

  随着信息化建设的不断发展，信息系统在三甲医院中的角色也越来越重要，其所面临的安全挑战也不断涌现，患者隐私泄露、挂号系统中断以及木马病毒攻击直接威胁到医院运行秩序和信息系统安全。为进一步做好医院信息安全保护工作，卫生部曾下发《卫生行业信息安全等级保护工作的指导意见》的通知，通知明确了三甲医院的核心业务系统应按照信息安全等级保护第三级进行建设和保护。 根据 2018 年 4 月国家卫生健康委员会规划与信息司、国家卫生健康委员会统计信息中心所颁布的《全国医院信息化建设标准（试行）》中的各项条例，各等级…

• 

  信息安全管理岗位人员管理制度

  为防止品质不良、技能欠佳的人员进入重庆XX中学从事信息岗位，降低职工因信息系使用不当所带来的差错、欺诈及滥用设施的风险，减少人员对于信息安全保密性、完整性、可用性的负面影响，特制定本制度。 第一章 目的 第一条 为防止品质不良、技能欠佳的人员进入重庆XX中学从事信息岗位，降低职工因信息系使用不当所带来的差错、欺诈及滥用设施的风险，减少人员对于信息安全保密性、完整性、可用性的负面影响，特制定本制度。 第二章 范围 第二条 本规定适用于重庆XX中学信息系统岗位人员的聘用、任职、离职的安全考察、保密控…

• 

  奇安信天擎终端安全管理系统（企业版杀毒软件）

  奇安信天擎终端安全管理系统（简称“天擎”）是注重实效的一体化终端安全解决方案，通过“体系化防御、数字化运营”方法，帮助政企客户准确识别、保护和监管终端，并确保这些终端在任何时候都能可信、安全、合规地访问数据和业务。天擎基于奇安信全新的“川陀”终端安全平台构建，集成高性能病毒查杀、漏洞防护、主动防御引擎，深度融合威胁情报、大数据分析和安全可视化等创新技术，通过系统合规与加固、威胁防御与检测、运维管控与审计、终端数据防泄漏、统一管理与运营等功能，帮助政企客户构建持续有效的终端安全能力。

• 

  模块化数据中心解决方案：制冷系统设计

  随着云计算、物联网等信息技术的高速发展，原有传统机房越来越不适应业务应用快速发展的需要，机房升级改造势在必行。越来越多的政府机构、企事业单位在新建或改建数据机房的时候，都倾向于使用更精致、安全、灵活的模块化数据中心解决方案。本系列文章分享的是一套基于档案馆新建数据中心，产品上选用深圳商宇的技术方案，本文分享模块化机房中的制冷系统设计。 根据“《数据中心设计规范》GB50174-2017”及“《采暖通风与空气调节设计规范》GB 50019-2003”等相关规范要求，对数据中心室内环境参数作了严格规…