我们都知道即使我们服务器的安全做的再坚固但是***者可以进入机房物理上接触到我们的服务器,还是徒劳的,如何提高IDC机房的安全性?


数据中心IDC机房的安全规范

如果***者能物理上接触到服务器,使用物理控制台(physical console)就能挂载硬盘,光驱从其他环境引导起来,甚至可以修改MBR,挂载和复制数据,删除数据,所以给服务器设置BIOS密码并且严格限制进入机房的人员是很重要的,同时合理使用摄像头和出入人员登记也是非常必要的。


设置BIOS密码

防止***者接入外设备从其他系统环境引导启动。


设置Grub启动密码

grub默认是没有密码,需要给grub设置密码增加安全性,grub的密码分为4种:全局密文、全局明文、局部密文和局部密文。


开启单用户模式的用户授权

单用户模式一般是用来处理系统故障时使用的,比如破解操作系统密码等,默认也是不需要密码就可以进入。

# vi /etc/inittab
增加如下配置
~~:S:wait:/sbin/sulogin


再次从单用户模式启动就需要密码了

160820784.jpg


禁止引导时的交互式的热键启动

RHEL和CentOS系统都会允许控制台用户通过按'I'键进入交互式启动,使用交互式启动,***者可以关闭防火墙或者其他的系统服务

161105967.jpg

# vi/etc/sysconfig/init
PROMPT=no


设置登录shell的超时时间


# vi /etc/profile.d/autologout.sh
增加如下配置
TMOUT=300
readonly TMOUT
export TMOUT
# chmod+x /etc/profile.d/autologout.sh



补充一下ssh服务从伪终端登录的超时时间配置

ssh空闲超时的时间间隔


# vi/etc/ssh/sshd config
300秒自动超时退出
ClientAliveInterval300
ClientAliveCountMax 0
# servicesshd restart



安装vlock屏幕锁


# yum install  -y  vlock  安装vlock
# vlock -a 锁住所有控制台的会话,如果只用vlock仅仅会锁住当前用户的控制台会话


161445549.jpg


GUI 屏幕锁


Gnome:菜单System--->Lock Screen
KDE:菜单Clock on Desktop > Configure desktop > Screen Saver > Start automatically >
Require password to stop



禁止使用Ctrl+Alt+Delete

任何一个能物理上接触到服务器的人都可以用键盘按下Ctrl+Alt+Delete组合键重启服务器而不用登录系统

注释如下行

ca::ctrlaltdel:/sbin/shutdown-t3 -r now
立即生效
init q