数据中心的主机安全建设，系统加固策略

数据中心的主机包括物理服务器和虚拟化云主机，所有主机都面临入侵和攻击的风险。主机安全主要包括两个方面：

1. 在主机上部署病毒/木马查杀软件，包括 Linux 和 Windows 系统，降低病毒/木马入侵主机和蔓延的风险。
2. 对主机进行加固，降低主机遭受攻击和入侵的风险。

对于数据中心的服务器和云主机，无论系统或应用本身安全与否，都可能存在漏洞，安全管理员应负责定期（例如 1 月/次）对包括物理服务器和云主机等进行安全加固。

系统加固策略包括：

1、使用 GRUB 的 password 参数对 GRUB 设置密码，防止通过编辑 GRUB 启动参数轻松的进入单用户模式从而修改 root 密码，从而造成安全隐患；

2、对 ssh 服务进行加固，关闭 root 账号远程连接，不允许使用空密码用户远程登录，设置最大登录尝试次数为 3；

3、对 xinetd 服务进行加固，根据最少服务原则,凡是不需要的服务一律禁用，减少系统所暴露攻击面，从而提高系统的安全性；

4、清理无主的文件，防止账号删除后系统残留未知文件；

5、删除非授权文件的全局可写属性，控制文件的可写操作权限，避免任何人都具有写权限的目录或文件存在；

6、设置守护进程 umask 值，控制守护进程访问权限范围；

7、为指定分区设置 nodev 挂载项，限制访问该文件系统上的文件；

8、限制 at、cron 定时任务命令的使用权限虚拟化层防护；

9、对于重要文件设置只有 root 可读、写和执行，主要检查目录为/etc/、/etc/rc.d/init.d/、/tmp、/etc/inetd.conf、/etc/passwd、/etc/shadow、/etc/group、/etc/group、/etc/services、/etc/security、/etc/rc*.d；

10、检查未授权 SUID/SGID 文件，可通过对比 SUID/SGID 文件列表及时发现可疑后门程序；

11、检查异常隐藏的文件的存在；

12、开启 TCP sync cookie 保护；

13、关闭系统 core dump 状态； 17、开启 syslog 服务记录用户登录、sudo 操作等日志；

相关文章

• 

  什么是主机安全，主机安全未来的发展方向

  在讨论主机安全之前，先说说主机安全对于我国有多重要。我国的信息安全经过二十多年的建设，在防病毒、网络和边界安全方面到得了一定成果，而主机环境安全建设却相对较薄弱，主机是信息安全最重要，也是最后一门防线，再加上美国采用贸易壁垒的方式来限制高安全等级的产品买到中国，加剧了我国主机安全建设的难度。 1 什么是主机安全？ 随着云技术的发展，现在各大银行、大小企业和政府都在频繁使用云技术，在这些领域，安全显然是一个非常重要的因素。云主机作为数据存储的场所，正面临着黑客不断入侵的威胁，那么主机安全是什么？ …

• 

  VPN 加密系统是什么？有哪些功能

  VPN 的身份认证通过 LADP 协议可以与认证服务器建立认证关系，也可以与 PKI/CA 服务器建立联系在终端导入证书，VPN 加密技术采用 DES、3DES、AES、IDEA、RC4 等加密技术，通过上述的加密技术，保证视频、信令、数据在公共网络中传输安全。 VPN 加密系统功能如下： 支持丰富的 C/S、B/S 应用； 支持多种认证方式，如用户名+口令、RADIUS、AD、LDAP、USB Key； 证书、证书+口令、双因子认证等； 支持多种终端设备接入(包括 window 平台、linu…

• 

  IDC 数据中心动力环境监控系统（动环监控通用方案）

  随着 5G 时代的正式启动，IDC 数据中心必将为各互联网产业带来翻天覆地的变化，据 IDC 统计数据，目前国内超出 500 亿的终端设备与设施连接网络，将来超出 50%的数据资料需要在互联网边缘侧开展解析、解决与储存，IDC 机房的安全稳定高效运行管理必将从传统管理模式迭代到智能环境监控管理模式。 IDC 机房通过接入动力环境监控系统对网络运行环境的电力供应、温度、湿度、漏水、空气含尘量等诸多环境变量，UPS、空调、新风、除尘、除湿等诸多设备运行状态变量，进行 24 小时实时监测与智能化调节控…

• 

  信息系统工程实施管理

  第一章 目的 第一条 为了规范重庆 XX 中学信息系统建设管理和工程实施管理，在工程实施各个环节按照信息安全等级保护要求进行管理，特制定本管理规范。 第二章 范围 第二条 本规范适用于重庆 XX 中学信息系统建设管理和工程实施管理。 第三章 职责 第三条 网络安全办公室负责系统建设管理和工程实施管理。 第四章 管理细则 第四条 工程实施阶段的主要目的是将所有的模块（软硬件）集成为完整的系统，并且检查确认集成以后的系统符合要求。 第五条 本阶段应完成以下具体信息安全工作： 第六条 安全建设整改工程…

• 

  XXX 信息系统网络安全服务内容和技术要求

  面对当前信息系统安全面临的复杂、严峻形势，基础信息网络和重要信息系统一旦出现大的信息安全问题，不仅仅影响本单位、本行业，而是直接威胁社会稳定、经济发展甚至国家安全。因此，XXX 信息系统有必要进一步完善和加强信息安全保障体系。信息安全建设重在安全保障体系的建设，它是一个循序渐进、不断完善的过程，较好的方式是信息安全建设与系统建设同步规划、同步设计。同时，结合等级保护标准，逐步完善和加强安全保障体系建设，与信息安全行业的领先者强强联合，引入专业的安全服务、先进的安全管理理念，有效控制和降低信息系统…

• 

  重庆市针对“重要网络与信息系统”密码应用提出明确要求

  本文为重庆市密码管理局公文：关于进一步规范全市重要网络与信息系统密码应用有关要求的通知。通过对本通知内容的阐述，我们可以清晰地看到为规范全市重要网络与信息系统密码应用与安全性评估工作所做的周密安排和具体要求。从项目的规划阶段到建设阶段，再到运行阶段，并且考虑到集约建设与经费保障的每个环节，本通知为确保网络与信息系统安全提供了一份详细可行的操作指南。这一系列措施不仅有助于提升我市密码应用的安全性和合规性，同时也标志着我市在网络与信息安全领域迈出了坚实的步伐。 随着政策的进一步实施，预计将极大提高公…