数据中心的主机安全建设，系统加固策略

数据中心的主机包括物理服务器和虚拟化云主机，所有主机都面临入侵和攻击的风险。主机安全主要包括两个方面：

1. 在主机上部署病毒/木马查杀软件，包括 Linux 和 Windows 系统，降低病毒/木马入侵主机和蔓延的风险。
2. 对主机进行加固，降低主机遭受攻击和入侵的风险。

对于数据中心的服务器和云主机，无论系统或应用本身安全与否，都可能存在漏洞，安全管理员应负责定期（例如 1 月/次）对包括物理服务器和云主机等进行安全加固。系统加固策略包括：

1、使用 GRUB 的 password 参数对 GRUB 设置密码，防止通过编辑 GRUB 启动参数轻松的进入单用户模式从而修改 root 密码，从而造成安全隐患；

2、对 ssh 服务进行加固，关闭 root 账号远程连接，不允许使用空密码用户远程登录，设置最大登录尝试次数为 3；

3、对 xinetd 服务进行加固，根据最少服务原则,凡是不需要的服务一律禁用，减少系统所暴露攻击面，从而提高系统的安全性；

4、清理无主的文件，防止账号删除后系统残留未知文件；

5、删除非授权文件的全局可写属性，控制文件的可写操作权限，避免任何人都具有写权限的目录或文件存在；

6、设置守护进程 umask 值，控制守护进程访问权限范围；

7、为指定分区设置 nodev 挂载项，限制访问该文件系统上的文件；

8、限制 at、cron 定时任务命令的使用权限虚拟化层防护；

9、对于重要文件设置只有 root 可读、写和执行，主要检查目录为/etc/、/etc/rc.d/init.d/、/tmp、/etc/inetd.conf、/etc/passwd、/etc/shadow、/etc/group、/etc/group、/etc/services、/etc/security、/etc/rc*.d；

10、检查未授权 SUID/SGID 文件，可通过对比 SUID/SGID 文件列表及时发现可疑后门程序；

11、检查异常隐藏的文件的存在；

12、开启 TCP sync cookie 保护；

13、关闭系统 core dump 状态； 17、开启 syslog 服务记录用户登录、sudo 操作等日志；

主机安全 信息安全 数据中心 数据安全 网络安全

上一篇：数据中心与大数据安全系统建设的总体架构

下一篇：网络防病毒怎么做？数据中心防毒墙系统建设

相关文章

• 

  智慧医院建设项目解决方案：医疗门户网站

  本系列文章分享一个比较新（2023y）的智慧医院建设方案，原文系X市某区县三甲医院智慧医院项目的真实案例，本篇是关于医院门户网站建设的功能介绍。又二篇： 智慧医院门户网站建设简介 网站设计风格以美观大方为基础，以大多数浏览者习惯为标准。网站属性为垂直型网站（中文版），医院门户网站栏目规划： （一）医院概况： 包括院长致辞、领导班子、发展历程、机构设置、通讯录等基本情况，主要以图片和文字的形式展示。（图片包含医院的建筑楼、大厅、候诊厅、病房、乘车路线图等）。 （二）院长致辞： “院长致辞”可设置在…

• 

  恶意代码防范管理制度

  本管理办法适用于重庆XX中学所有服务器和终端操作系统。本办法所称的计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据， 影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 第一章 目的 第一条 为加强对计算机病毒的预防和治理，保护信息系统安全，根据公安部《计算机病毒防治管理办法》以及有关计算机病毒防治的规定，制定本办法。 第二章 范围 第二条 本管理办法适用于重庆XX中学所有服务器和终端操作系统。本办法所称的计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁…

• 

  数据中心机房建设方案：门禁管理系统

  随着高科技的蓬勃发展，智能化管理已经走进了人们的社会生活，适应信息的时代需要，作为跨世纪使用的建筑和办公环境，数据中心机房必须在功能上满足当前和未来发展的需求，成为文化和经济发展的基地。 本系列文章包含了机房建设中的装修方案、供配电系统、动环监控系统、防雷系统、机柜系统、制冷系统等，本篇主要是介绍一般的门禁系统建设方案。不过部分内容有些许过时，请灵活看待，酌情修改。本方案之完整内容有： 1. 门禁管理系统概述 感应式 IC 卡出入管理控制系统（简称门禁系统），具有对门户出入控制、实时监控、保安防…

• 

  网络机房管理制度模板

  本《网络机房管理制度》是我司此前应用与一普通中学的弱电工程项目中，系作为机房建设服务内容的一部分。本网络机房管理制度通用性强，适合各种应用环境，内容不多不少做一块挂墙的展板刚刚合适，各位同行可结合实际做一定的修改。 结合个人经验，我们认为再好的物理、设备环境，如果缺失了对应的管理制度，那么这个系统都不堪一击，要么逐渐臃肿失控，要么被攻击控制。 网络机房是重要基础设施。为规范管理，特制定本制度。 一、网络机房是重点消防安全场所，严禁携带易燃、易爆、易腐蚀、强磁物品及与工作无关物品进入机房，机房内严…

• 

  视频防泄密安全防护解决方案

  视频防泄密，即类似于视频网闸的功能，以下方案文档基于金盾，若有需要请联系相关厂商。本例提供综合化安全防护方案，前端防护层面，对网络内接入的各类设备进行识别、过滤、阻断，确保接入视频监控网络设备的合法性和安全性，对运行中的设备进行实时监控，利用独有的感知发现技术，及时发现网络中伪冒、入侵、异常的设备。数据防护层面是基于视频数据的整个生命周期，从对视频数据存储的访问安全控制、使用管控到事后的溯源追责，为用户提供整套的视频数据安全防护解决方案。 1. 前端接入层防护 1.1 准入控制 新一代准入控制技…

• 

  简单的网络安全服务方案模板下载（安全服务体系 & 报价方案）

  本次分享一个简单的、明确的、实用的网络安全服务方案模板，涉及到具体的网络安全服务内容和服务报价需要进一步修改，切勿完全照抄搬用。本站在网络分享时为了可读性，删减了部分内容、更改了序号，原文档请下载附件。 随着数字化时代的无缝延展，网络安全已成为国家治理的一个关键块面。从习近平主席在中央网络安全和信息化领导小组第一次会议上强调“没有网络安全就没有国家安全”的战略视角出发，我国密集推出了一系列立法举措，旨在建立一套健全的网络安全法律体系，从网络运营安全、个人信息保护、数据安全管理各个维度筑牢网络安全…