数据中心的主机安全建设，系统加固策略

数据中心的主机包括物理服务器和虚拟化云主机，所有主机都面临入侵和攻击的风险。主机安全主要包括两个方面：

1. 在主机上部署病毒/木马查杀软件，包括 Linux 和 Windows 系统，降低病毒/木马入侵主机和蔓延的风险。
2. 对主机进行加固，降低主机遭受攻击和入侵的风险。

对于数据中心的服务器和云主机，无论系统或应用本身安全与否，都可能存在漏洞，安全管理员应负责定期（例如 1 月/次）对包括物理服务器和云主机等进行安全加固。系统加固策略包括：

1、使用 GRUB 的 password 参数对 GRUB 设置密码，防止通过编辑 GRUB 启动参数轻松的进入单用户模式从而修改 root 密码，从而造成安全隐患；

2、对 ssh 服务进行加固，关闭 root 账号远程连接，不允许使用空密码用户远程登录，设置最大登录尝试次数为 3；

3、对 xinetd 服务进行加固，根据最少服务原则,凡是不需要的服务一律禁用，减少系统所暴露攻击面，从而提高系统的安全性；

4、清理无主的文件，防止账号删除后系统残留未知文件；

5、删除非授权文件的全局可写属性，控制文件的可写操作权限，避免任何人都具有写权限的目录或文件存在；

6、设置守护进程 umask 值，控制守护进程访问权限范围；

7、为指定分区设置 nodev 挂载项，限制访问该文件系统上的文件；

8、限制 at、cron 定时任务命令的使用权限虚拟化层防护；

9、对于重要文件设置只有 root 可读、写和执行，主要检查目录为/etc/、/etc/rc.d/init.d/、/tmp、/etc/inetd.conf、/etc/passwd、/etc/shadow、/etc/group、/etc/group、/etc/services、/etc/security、/etc/rc*.d；

10、检查未授权 SUID/SGID 文件，可通过对比 SUID/SGID 文件列表及时发现可疑后门程序；

11、检查异常隐藏的文件的存在；

12、开启 TCP sync cookie 保护；

13、关闭系统 core dump 状态； 17、开启 syslog 服务记录用户登录、sudo 操作等日志；

主机安全 信息安全 数据中心 数据安全 网络安全

上一篇：数据中心与大数据安全系统建设的总体架构

下一篇：网络防病毒怎么做？数据中心防毒墙系统建设

相关文章

• 

  网络与信息安全管理制度（简版）

  根据众平科技的经验，在一个基本的网络信息系统中，造成信息泄露或损害的原因，更多的是系统运维制度和人员的缺失，是网络安全体系的建设不足，相对而言其实网络信息安全设备更多的是个辅助。 本文是一个简版的网络与信息安全管理制度，内容比较少，但该有的都有了，各位在参考使用时注意把内文所涉用户信息删除。整理不易，投个币再下载吧，相关文章： 网络安全管理制度 网络机房管理制度 监控中心管理制度 信息系统建设的安全机制建设 网络与信息安全管理制度（简版） 第一章 目的 第一条 为规范重庆市XX网络信息系统安全管…

• 

  GB/T 42589-2023 信息安全技术 电子凭据服务安全规范

  《GB/T 42589-2023 信息安全技术 电子凭据服务安全规范》是中国国家标准委员会发布的针对电子凭据服务安全性的技术规范，旨在为电子凭据服务的提供商和用户提供系统化的安全管理框架，确保电子凭据在存储、传输、使用等环节中的安全性，防止凭据被篡改、盗用、伪造等安全风险。随着电子商务、数字支付、电子政务等领域的快速发展，电子凭据已经成为了一个重要的身份验证和授权工具。如何确保其安全性和合法性，已经成为信息安全领域的重要课题。 本标准为电子凭据服务提供了一整套安全要求，涉及凭据的生成、存储、传输…

• 

  大数据信息系统中的数据加密、数据完整性和可用性保护

  大数据平台对数据进行加密存储，实现无明文存储，避免明文带来的数据泄露等安全风险。 实现数据的透明加解密，在集群中数据写入时自动对数据进行加密、数据读取时自动对数据进行解密，数据离开集群环境后是密文，没有秘钥的情况下不能解密。一方面在集群环境中对应用程序实现透明加解密方便上层应用的开发，减少上层应用处理加解密带来的额外负担和安全风险；另一方面对数据起到保护作用，数据一旦离开集群环境就不能访问到秘钥因此无法解密出明文。 对于高密级的数据，可以设置多次加密和解密授权。通过不同的秘钥和加密算法对数据进行…

• 

  数据中心如何部署漏洞扫描系统？有哪些功能

  通过部署漏洞扫描系统，可以对数据中心主机服务器系统（LINUX、数据库、UNIX、WINDOWS）、交换机、路由器、防火墙、入侵防御、安全审计、边界接入平台等等设备，实现不同内容、不同级别、不同程度、不同层次的扫描。对扫描结果，可以报表和图形的方式进行分析。实现了隐患扫描、安全评估、脆弱性分析和解决方案。 数据中心漏洞扫描系统功能如下： 1、能够对网络（安全）设备、主机系统和应用服务的漏洞进行扫描，指出有关网络的安全漏洞及被测系统的薄弱环节，给出详细的检测报告，并针对检测到的网络安全隐患给出相应…

• 

  电信和互联网企业网络数据安全合规性评估要点（2020 版）

  为进一步指导电信和互联网企业做好网络数据安全合规性评估工作，提升数据安全保护水平，依据《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规，参考《信息安全技术个人信息安全规范》等标准规范，制定本要点，供各企业在网络数据安全合规性评估中使用。 《电信和互联网企业网络数据安全合规性评估要点（2020 版）》主要包括以下几个方面：

• 

  信息系统的系统交付管理

  第一章 目的 第一条 为规范重庆XX中学系统建设管理和工程实施管理过程中的系统交付管理，特制订本管理办法。 第二章 范围 第二条 本规范适用于重庆XX中学项目管理、工程管理过程中的系统交付管理，对项目管理和工程管理过 程中的系统交付管理环节进行规范和约定。 第三章 职责 第三条 网络安全办公室负责项目类系统交付管理，办公室负责单一采购类系统交付管理。 第四章 管理细则 第四条 系统建设完成后，项目承建方要依据项目合同的交付部分向网络安全办公室进行项目交付，交付的内容至少包括：