数据中心的主机安全建设，系统加固策略

数据中心的主机包括物理服务器和虚拟化云主机，所有主机都面临入侵和攻击的风险。主机安全主要包括两个方面：

1. 在主机上部署病毒/木马查杀软件，包括 Linux 和 Windows 系统，降低病毒/木马入侵主机和蔓延的风险。
2. 对主机进行加固，降低主机遭受攻击和入侵的风险。

对于数据中心的服务器和云主机，无论系统或应用本身安全与否，都可能存在漏洞，安全管理员应负责定期（例如 1 月/次）对包括物理服务器和云主机等进行安全加固。系统加固策略包括：

1、使用 GRUB 的 password 参数对 GRUB 设置密码，防止通过编辑 GRUB 启动参数轻松的进入单用户模式从而修改 root 密码，从而造成安全隐患；

2、对 ssh 服务进行加固，关闭 root 账号远程连接，不允许使用空密码用户远程登录，设置最大登录尝试次数为 3；

3、对 xinetd 服务进行加固，根据最少服务原则,凡是不需要的服务一律禁用，减少系统所暴露攻击面，从而提高系统的安全性；

4、清理无主的文件，防止账号删除后系统残留未知文件；

5、删除非授权文件的全局可写属性，控制文件的可写操作权限，避免任何人都具有写权限的目录或文件存在；

6、设置守护进程 umask 值，控制守护进程访问权限范围；

7、为指定分区设置 nodev 挂载项，限制访问该文件系统上的文件；

8、限制 at、cron 定时任务命令的使用权限虚拟化层防护；

9、对于重要文件设置只有 root 可读、写和执行，主要检查目录为/etc/、/etc/rc.d/init.d/、/tmp、/etc/inetd.conf、/etc/passwd、/etc/shadow、/etc/group、/etc/group、/etc/services、/etc/security、/etc/rc*.d；

10、检查未授权 SUID/SGID 文件，可通过对比 SUID/SGID 文件列表及时发现可疑后门程序；

11、检查异常隐藏的文件的存在；

12、开启 TCP sync cookie 保护；

13、关闭系统 core dump 状态； 17、开启 syslog 服务记录用户登录、sudo 操作等日志；

主机安全 信息安全 数据中心 数据安全 网络安全

上一篇：数据中心与大数据安全系统建设的总体架构

下一篇：网络防病毒怎么做？数据中心防毒墙系统建设

相关文章

• 

  机房安全管理制度，信息机房管理条例

  为规范重庆XX中学机房管理、提高机房安全保障水平、确保机房安全，通过对机房出入、值班、设备进出等进行管理和控制，防止对西重庆XX中学机房内部设备的非受权访问和信息泄露。本管理办法适用于重庆XX中学主机房的日常管理，包括出入管理、环境管理和值班管理、设备管理、设备运行维护管理。 第一章 目的 第一条 为规范重庆XX中学机房管理、提高机房安全保障水平、确保机房安全，通过对机房出入、值班、设备进出等进行管理和控制，防止对西重庆XX中学机房内部设备的非受权访问和信息泄露。 第二章 范围 第二条 本管理办…

• 

  信息安全教育培训管理制度

  信息安全培训旨在强化全体人员的信息安全意识，使之明确信息安全是每个人的责任，并掌握其岗位所要求的信息安全操作技能。 第一章  目的 第一条 为加强信息安全建设，提高全体人员的信息安全意识和技能，保障信息系统安全稳定的运行，特制定本制度。 第二章  总则 第二条 信息安全培训旨在强化全体人员的信息安全意识，使之明确信息安全是每个人的责任，并掌握其岗位所要求的信息安全操作技能。 第三章  管理细则 第三条 培训计划 针对不同的培训对象进行分层次的培训，信息安全培训分为管理层培训、…

• 

  模块化数据中心解决方案：配电系统设计

  根据GB 50174-2017《数据中心设计规范》规定，将数据中心机房划分为A、B、C三级，规范中A级数据中心设计为一级负荷（应由双重电源供电）， B级数据中心设计为二级荷（宜由双重电源供电），不属于以上两种的为C级数据中心，设计为三级负荷（两回线路供电）。 《供配电系统设计规范》GB50052-2009规定，一级负荷由两个电源供电,当一个电源发生故障时,另一个电源应不至于受到损坏，同时两路电源应互为备用，每路电源均能承担本工程全部负荷。即当正常工作电源事故停电时,另一路备用电源能够自动投入。综…

• 

  网络防病毒怎么做？数据中心防毒墙系统建设

  在数据中心核心交换上部署一台网络防毒服务器对全网制定完善的防病毒策略，实施统一的防病毒策略，使分布在数据中心每台计算机上的防病毒系统实施相同的防病毒策略，全网达到统一的病毒防护强度。 同时防毒服务器实时地记录防护体系内每台计算机上的病毒监控、检测和清除信息，根据管理员控制台的设置，实现对整个防护系统的自动控制。数据中心网络防病毒系统功能如下： 1、病毒防范和查杀能力 开启实时监控后能完全预防已知病毒的危害；可防范、检测并清除隐藏于电子邮件、公共文件夹及数据库中的计算机病毒、恶性程序、病毒邮件；能…

• 

  《电气装置安装工程接地装置施工及验收规范》(GB50169-2016)

  随着电力系统的不断发展，接地装置作为保障电气设备和人员安全的重要设施，其重要性日益凸显。为了确保接地系统的可靠性和安全性，《电气装置安装工程接地装置施工及验收规范》（GB 50169-2016）应运而生。该标准详细规定了接地装置在施工和验收过程中的各项技术要求，以确保其符合高质量标准并满足业务需求。 1. 接地装置的基本要求 1.1 接地装置的作用 接地装置的主要作用是将电气设备与大地连接，防止因电气故障导致的人身伤害和设备损坏。此外，接地装置还能提高电力系统的运行稳定性，减少电磁干扰的影响。 …

• 

  数据中心机房建设方案：项目背景与需求分析

  本数据中心机房建设方案内容详实，原方案书是基于一个医院的 B 级机房编制，内容包含了网络中心机房中的装修方案、供配电系统、动环监控系统、防雷系统、机柜系统、制冷系统等，不过可能部分内容有些许过时，请灵活看待酌情修改。 依据 GB50174-2017《电子信息系统机房设计规范》对机房分级的要求，设计时应根据机房的使用性质、管理要求及其在经济和社会中的重要性确定所属级别。电子信息系统机房划分为 A、B、C 三种级别。机房具体按照哪个等级标准进行建设，应根据数据丢失或网络中断在经济或社会上造成的损失或…