数据中心的主机安全建设，系统加固策略

数据中心的主机包括物理服务器和虚拟化云主机，所有主机都面临入侵和攻击的风险。主机安全主要包括两个方面：

1. 在主机上部署病毒/木马查杀软件，包括 Linux 和 Windows 系统，降低病毒/木马入侵主机和蔓延的风险。
2. 对主机进行加固，降低主机遭受攻击和入侵的风险。

对于数据中心的服务器和云主机，无论系统或应用本身安全与否，都可能存在漏洞，安全管理员应负责定期（例如 1 月/次）对包括物理服务器和云主机等进行安全加固。

系统加固策略包括：

1、使用 GRUB 的 password 参数对 GRUB 设置密码，防止通过编辑 GRUB 启动参数轻松的进入单用户模式从而修改 root 密码，从而造成安全隐患；

2、对 ssh 服务进行加固，关闭 root 账号远程连接，不允许使用空密码用户远程登录，设置最大登录尝试次数为 3；

3、对 xinetd 服务进行加固，根据最少服务原则,凡是不需要的服务一律禁用，减少系统所暴露攻击面，从而提高系统的安全性；

4、清理无主的文件，防止账号删除后系统残留未知文件；

5、删除非授权文件的全局可写属性，控制文件的可写操作权限，避免任何人都具有写权限的目录或文件存在；

6、设置守护进程 umask 值，控制守护进程访问权限范围；

7、为指定分区设置 nodev 挂载项，限制访问该文件系统上的文件；

8、限制 at、cron 定时任务命令的使用权限虚拟化层防护；

9、对于重要文件设置只有 root 可读、写和执行，主要检查目录为/etc/、/etc/rc.d/init.d/、/tmp、/etc/inetd.conf、/etc/passwd、/etc/shadow、/etc/group、/etc/group、/etc/services、/etc/security、/etc/rc*.d；

10、检查未授权 SUID/SGID 文件，可通过对比 SUID/SGID 文件列表及时发现可疑后门程序；

11、检查异常隐藏的文件的存在；

12、开启 TCP sync cookie 保护；

13、关闭系统 core dump 状态； 17、开启 syslog 服务记录用户登录、sudo 操作等日志；

主机安全 信息安全 数据中心 数据安全 网络安全

上一篇：数据中心与大数据安全系统建设的总体架构

下一篇：网络防病毒怎么做？数据中心防毒墙系统建设

相关文章

• 

  双网隔离方案简单介绍（办公电脑双网隔离卡）

  展开文章目录 文章目录 1 双网隔离系统总体方案 2 双网隔离系统实现目标 3 双网隔离系统实施要点 4 双网隔离系统工作原理 5 办公网络改造方案 5.1 双布线方案 5.2 单布线方案 在本方案中介绍使用的双网隔离卡只需增加一块硬盘，即可将一台普通计算机分成两台虚拟计算机，分别连接内部网或外部网，实现安全环境和不安全环境的绝对隔离，以保证内部机密信息的安全。同时通过桌面切换软件，在保存工作现场的同时快速的在内外网之间切换，既保障了内外网的物理隔离，又保证了用户工作的流畅性。 1 双网隔离系统…

• 

  网络安全应急预案模板、安全应急响应方案

  展开文章目录 文章目录 一、建立应急网络联动机制 二、应急处理流程 三、单位自行应急处理措施指南 1、黑客攻击事件紧急处置措施 2、病毒事件紧急处置措施 3、软件系统遭破坏性攻击的紧急处置措施 4、数据库安全紧急处置措施 5、广域网外部线路中断紧急处置措施 6、局域网中断紧急处置措施 7、设备安全紧急处置措施 8、停电紧急处置措施 9、火灾紧急处置措施 10、其他自然灾害紧急处置措施 11、发生盗抢事件紧急处置措施 为提高应对突发网络安全能力，维护网络安全和社会稳定，保障世博展览馆各项工作正常开…

• 

  数据安全事件应急预案模板

  展开文章目录 文章目录 第⼀章 总则 第⼆章 应急响应组织机构 一、公司成立数据安全事件应急响应领导小组，组织构成与职责如下： 第三章 数据安全事件应急处置 二、数据安全事件处理： 三、敏感数据泄露事件应急响应距离： 第四章 安全事件应急保障 在学习、工作或生活中，保不准会发⽣突发事件，为了避免造成更严重的后果，常常需要预先准备应急预案。我们应该怎么编制应急预案呢？以下是众平帮⼤家整理的数据安全事件应急预案，欢迎⼤家借鉴与参考，希望对⼤家有所帮助。 第⼀章 总则 为建⽴健全公司数据安全事件应急响…

• 

  模块化数据中心解决方案：配电系统设计

  根据 GB 50174-2017《数据中心设计规范》规定，将数据中心机房划分为 A、B、C 三级，规范中 A 级数据中心设计为一级负荷（应由双重电源供电）， B 级数据中心设计为二级荷（宜由双重电源供电），不属于以上两种的为 C 级数据中心，设计为三级负荷（两回线路供电）。 《供配电系统设计规范》GB50052-2009 规定，一级负荷由两个电源供电,当一个电源发生故障时,另一个电源应不至于受到损坏，同时两路电源应互为备用，每路电源均能承担本工程全部负荷。即当正常工作电源事故停电时,另一路备用电…

• 

  Web 应用防护系统是什么？该怎么预防 Web 攻击

  展开文章目录 文章目录 1 SQL 注入攻击防护 2 XSS 攻击防护 3 盗链攻击防护 4 爬虫防护 5 恶意扫描防护 大数据平台采用先进的多维防护体系，对 HTTP 数据流进行深度分析。通过对 WEB 应用安全的深入研究，固化了一套针对 WEB 攻击防护的专用特征规则库，规则涵盖诸如 SQL 注入、XSS（跨站脚本攻击）等 OWASP TOP10 中的 WEB 应用安全风险，及远程文件包含漏洞利用、目录遍历、OS 命令注入等当今黑客常用的针对 WEB 基础架构的攻击手段。 对于 HTTP 数…

• 

  网络与信息安全管理制度（简版）

  展开文章目录 文章目录 网络与信息安全管理制度（简版） 第一章 目的 第二章 范围 第三章 职责 第四章 管理细则 附件（详见 网络与信息安全管理制度（简版）.doc） 根据众平科技的经验，在一个基本的网络信息系统中，造成信息泄露或损害的原因，更多的是系统运维制度和人员的缺失，是网络安全体系的建设不足，相对而言其实网络信息安全设备更多的是个辅助。 本文是一个简版的网络与信息安全管理制度，内容比较少，但该有的都有了，各位在参考使用时注意把内文所涉用户信息删除。整理不易，投个币再下载吧，相关文章： …