【有奖征文】如何提高IDC机房服务器的安全性

我们都知道即使我们服务器的安全做的再坚固但是攻击者可以进入机房物理上接触到我们的服务器，还是徒劳的，如何提高IDC机房的安全性？

数据中心IDC机房的安全规范

如果攻击者能物理上接触到服务器，使用物理控制台（physical console）就能挂载硬盘，光驱从其他环境引导起来，甚至可以修改MBR，挂载和复制数据，删除数据，所以给服务器设置BIOS密码并且严格限制进入机房的人员是很重要的，同时合理使用摄像头和出入人员登记也是非常必要的。

设置BIOS密码

防止攻击者接入外设备从其他系统环境引导启动。

设置Grub启动密码

grub默认是没有密码，需要给grub设置密码增加安全性，grub的密码分为4种：全局密文、全局明文、局部密文和局部密文。

开启单用户模式的用户授权

单用户模式一般是用来处理系统故障时使用的，比如破解操作系统密码等，默认也是不需要密码就可以进入。

# vi /etc/inittab
增加如下配置
~~:S:wait:/sbin/sulogin

再次从单用户模式启动就需要密码了

禁止引导时的交互式的热键启动

RHEL和CentOS系统都会允许控制台用户通过按'I'键进入交互式启动，使用交互式启动，攻击者可以关闭防火墙或者其他的系统服务

# vi/etc/sysconfig/init
PROMPT=no

设置登录shell的超时时间

# vi /etc/profile.d/autologout.sh
增加如下配置
TMOUT=300
readonly TMOUT
export TMOUT
# chmod+x /etc/profile.d/autologout.sh

补充一下ssh服务从伪终端登录的超时时间配置

ssh空闲超时的时间间隔

# vi/etc/ssh/sshd config
300秒自动超时退出
ClientAliveInterval300
ClientAliveCountMax 0
# servicesshd restart

安装vlock屏幕锁

# yum install  -y  vlock  安装vlock
# vlock -a 锁住所有控制台的会话，如果只用vlock仅仅会锁住当前用户的控制台会话

GUI 屏幕锁

Gnome：菜单System--->Lock Screen
KDE：菜单Clock on Desktop > Configure desktop > Screen Saver > Start automatically >
Require password to stop

禁止使用Ctrl+Alt+Delete

任何一个能物理上接触到服务器的人都可以用键盘按下Ctrl+Alt+Delete组合键重启服务器而不用登录系统

注释如下行

ca::ctrlaltdel:/sbin/shutdown-t3 -r now
立即生效
init q

本文出自 “老徐的私房菜” 博客，谢绝转载！