数据中心的主机安全建设，系统加固策略

数据中心的主机包括物理服务器和虚拟化云主机，所有主机都面临入侵和攻击的风险。主机安全主要包括两个方面：

1. 在主机上部署病毒/木马查杀软件，包括 Linux 和 Windows 系统，降低病毒/木马入侵主机和蔓延的风险。
2. 对主机进行加固，降低主机遭受攻击和入侵的风险。

对于数据中心的服务器和云主机，无论系统或应用本身安全与否，都可能存在漏洞，安全管理员应负责定期（例如 1 月/次）对包括物理服务器和云主机等进行安全加固。系统加固策略包括：

1、使用 GRUB 的 password 参数对 GRUB 设置密码，防止通过编辑 GRUB 启动参数轻松的进入单用户模式从而修改 root 密码，从而造成安全隐患；

2、对 ssh 服务进行加固，关闭 root 账号远程连接，不允许使用空密码用户远程登录，设置最大登录尝试次数为 3；

3、对 xinetd 服务进行加固，根据最少服务原则,凡是不需要的服务一律禁用，减少系统所暴露攻击面，从而提高系统的安全性；

4、清理无主的文件，防止账号删除后系统残留未知文件；

5、删除非授权文件的全局可写属性，控制文件的可写操作权限，避免任何人都具有写权限的目录或文件存在；

6、设置守护进程 umask 值，控制守护进程访问权限范围；

7、为指定分区设置 nodev 挂载项，限制访问该文件系统上的文件；

8、限制 at、cron 定时任务命令的使用权限虚拟化层防护；

9、对于重要文件设置只有 root 可读、写和执行，主要检查目录为/etc/、/etc/rc.d/init.d/、/tmp、/etc/inetd.conf、/etc/passwd、/etc/shadow、/etc/group、/etc/group、/etc/services、/etc/security、/etc/rc*.d；

10、检查未授权 SUID/SGID 文件，可通过对比 SUID/SGID 文件列表及时发现可疑后门程序；

11、检查异常隐藏的文件的存在；

12、开启 TCP sync cookie 保护；

13、关闭系统 core dump 状态； 17、开启 syslog 服务记录用户登录、sudo 操作等日志；

主机安全 信息安全 数据中心 数据安全 网络安全

上一篇：数据中心与大数据安全系统建设的总体架构

下一篇：网络防病毒怎么做？数据中心防毒墙系统建设

相关文章

• 

  数据安全、网络安全应急演练报告模板

  这里分享一个我们用过的数据安全、网络安全应急演练报告模板，报告内容详实、简练，适合 XXX 会议做报告使用，具体的内容、漏洞等已抹去，全文共 7 页，包含以下几个部分： 根据相关文件精神，为妥善应对和处置重要数据突发安全事件，确保重要信息系统安全、稳定、持续运行，防止造成重大损失和影响，进一步提高数据安全应急保障能力，特制定本演练方案： 一、指导思想 按照“预防为主，积极处置”的原则，进一步完善数据安全应急处置机制，提高突发事件的应急处置能力。 二、组织机构 (一)应急演练指挥部 职责：负责数据…

• 

  电信和互联网企业网络数据安全合规性评估要点（2020 版）

  为进一步指导电信和互联网企业做好网络数据安全合规性评估工作，提升数据安全保护水平，依据《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规，参考《信息安全技术个人信息安全规范》等标准规范，制定本要点，供各企业在网络数据安全合规性评估中使用。 《电信和互联网企业网络数据安全合规性评估要点（2020 版）》主要包括以下几个方面：

• 

  数据中心机房建设方案：门禁管理系统

  随着高科技的蓬勃发展，智能化管理已经走进了人们的社会生活，适应信息的时代需要，作为跨世纪使用的建筑和办公环境，数据中心机房必须在功能上满足当前和未来发展的需求，成为文化和经济发展的基地。 本系列文章包含了机房建设中的装修方案、供配电系统、动环监控系统、防雷系统、机柜系统、制冷系统等，本篇主要是介绍一般的门禁系统建设方案。不过部分内容有些许过时，请灵活看待，酌情修改。本方案之完整内容有： 1. 门禁管理系统概述 感应式 IC 卡出入管理控制系统（简称门禁系统），具有对门户出入控制、实时监控、保安防…

• 

  源代码质量安全怎么做？

  源代码安全缺陷分析、源代码合规分析、源代码溯源分析及代码安全保障。在对源代码进行高精度安全缺陷分析及溯源检测,实现源代码安全的可视化管理，提升的软件安全质量。 1、本地的代码检测，SVN等代码库的源代码检测。 2、检测结果与Bug管理系统融合，检测结果可导入至Bug管理系统中。 3、代码缺陷检测，检查源代码中存在的安全缺陷。 4、源代码合规，检查源代码是否违背代码开发规范，约束开发者的开发行为。 5、对源代码的不同版本的检测结果进行比对分析，分析代码安全趋势。 6、缺陷信息数据的深度挖掘，按时间…

• 

  医院信息中心机房建设存在问题探讨（医院数据中心建设）

  很多医院实施机房工程时把机房建设等同于普通的建筑装修工程，比如对于一个在建大楼来讲，建设者把机房建设归属于大楼装修中的弱电工程分支，因此没有把机房的建设独立出来实施，而是交由大楼基建部门同大楼装修工程一并实施。事实上医院机房建设工程并没有这么简单，这不仅仅是一个装修工程，它涵盖很多学科，是集中多专业技术含量很高的综合工程，其实质是电子和环境综合工程的建设，除要保证装修效果外，更注重于内部环境和配套系统的建设。因此必须明确机房建设的重要性和独立性，单独规划并交由有机房建设资质的公司来实施，同时最好…

• 

  模块化数据中心解决方案：冷通道密闭系统

  本”微模块数据中心、双排模块化机房效果图及整体解决方案“是基于真实案例，即一个新建档案馆的数据机房，结合众平网站分享的需要，做了一定的删减发表，文章结构见本页末，原文档**数据中心方案书共 90 页，由单排和双排方案组成，本部分内容是模块化数据中心具体选型时涉及到的冷通道建设方案，以下是本系列文章列表： 针对本项目，采用密闭“冷通道”设计方案，密闭冷通道结构由冷通道端门、天窗组件、IT 机柜（正面）、精密空调（正面）、UPS 主机（正面）、智能配电柜（正面）共同组成，缺一不可。采用密闭“冷通道”…