文档详细内容(约48页)
安全配置 默认情况下,所有强化Ⅵ Mware设备使用60天的密码到期日期。在大多数强化设备中,root帐户设置为 365天的密码到期日期。作为最佳实践,请确认所有帐户的到期日期符合安全和操作要求标准。 如果root密码到期,您不能将其恢复。您必须实施特定于站点的策略以防止管理密码和root密码到期。 步骤 1以root身份登录到虚拟设备计算机,并运行#more/etc/ shadow命令以验证所有帐户的密码到期日期。 2要修改root帐户的到期日期,请运行# passwd-X365root命令。 在此命令中,365指定了密码到期日期之前的天数。使用同一命令修改任意用户,用特定帐户替换root 账户,并更换天数以满足组织的到期日期标准 默认情况下,root密码设置的有效期为365天。 管理安全Shel管理帐户和控制台访问 对于远程连接,所有强化设备包含安全Shel(SSH)协议。强化设备上默认禁用SSH。 ssH的交互式命令行环境,支持对 vRealize Operations Manager节点进行远程连接。SSH需要具有高权 的用户帐户凭据。SSH活动通常会绕过 vRealize Operations Manager节点的基于角色的访问控制(role based access control,RBAC)和审核控制 作为最佳实践,请在生产环境中禁用SSH,仅在诊断或排除您无法通过其他方式解决的问题时才启用此协 议。仅在需要将此功能用于特定用途时才将其启用,并且此行为须符合您组织的安全策略。如果您启用 SSH,请确保为其抵御攻击,并且仅在需要时才启用它。根据您的 vSphere配置,您可以在部署开放虚拟 化格式( Open Virtualization Format,OvF)模板时启用或禁用SSH。 作为确定计算机上是否启用了SSH的简单测试,请尝试使用SSH打开一个连接。如果连接打开并请求凭 据,则SSH已启用,且可用于进行连接。 安全 Shell root用户 由于 VMware设备不包括预先配置的默认用户帐户,默认情况下,rot帐户可以使用SSH直接登录。尽可 能以root身份禁用SSH。 为了满足适用于不可否认性的法律合规标准,所有强化设备上的SSH服务器均预先配置了A| ow Groups wheel条目以将SSH访问限制给次级组 wheel。为了实现职责分离,您可以修改/etc/ssh/sshd_ config 文件中的 Allow Groups wheel条目以使用其他组,比如sshd m wheel模块的whee组已启用了超级用户访问权限,因此whee的成员可以使用su-root命令,其中 需要提供root密码。组分离允许用户使用SSH访问设备,但不能使用su命令以root身份登录。请勿删除 或修改 Allow Groups字段中的其他条目,该字段可以确保设备功能正确运行。实施更改后,通过运行 service sshd restart命令重新启动SSH守护程序 在 vRealize Operations Manager节点上启用或禁用安全 Shell 您可以在 vRealize Operations Manager节点上启用安全Shel( Secure Shell.sSH)进行故障排除。例如 要对某服务器进行故障排除,您可能需要该服务器通过SSH的控制台访问权限。在 vRealize Operations Manager节点上禁用SSH以进行正常操作 VMware,lc保留所有权利
默认情况下,所有强化 VMware 设备使用 60 天的密码到期日期。在大多数强化设备中,root 帐户设置为 365 天的密码到期日期。作为最佳实践,请确认所有帐户的到期日期符合安全和操作要求标准。 如果 root 密码到期,您不能将其恢复。您必须实施特定于站点的策略以防止管理密码和 root 密码到期。 步骤 1 以 root 身份登录到虚拟设备计算机,并运行 # more /etc/shadow 命令以验证所有帐户的密码到期日期。 2 要修改 root 帐户的到期日期,请运行 # passwd -x 365 root 命令。 在此命令中,365 指定了密码到期日期之前的天数。使用同一命令修改任意用户,用特定帐户替换 root 账户,并更换天数以满足组织的到期日期标准。 默认情况下,root 密码设置的有效期为 365 天。 管理安全 Shell、管理帐户和控制台访问 对于远程连接,所有强化设备包含安全 Shell (SSH) 协议。强化设备上默认禁用 SSH。 SSH 的交互式命令行环境,支持对 vRealize Operations Manager 节点进行远程连接。SSH 需要具有高权 限的用户帐户凭据。SSH 活动通常会绕过 vRealize Operations Manager 节点的基于角色的访问控制(rolebased access control,RBAC)和审核控制。 作为最佳实践,请在生产环境中禁用 SSH,仅在诊断或排除您无法通过其他方式解决的问题时才启用此协 议。仅在需要将此功能用于特定用途时才将其启用,并且此行为须符合您组织的安全策略。如果您启用 SSH,请确保为其抵御攻击,并且仅在需要时才启用它。根据您的 vSphere 配置,您可以在部署开放虚拟 化格式(Open Virtualization Format,OVF)模板时启用或禁用 SSH。 作为确定计算机上是否启用了 SSH 的简单测试,请尝试使用 SSH 打开一个连接。如果连接打开并请求凭 据,则 SSH 已启用,且可用于进行连接。 安全 Shell Root 用户 由于 VMware 设备不包括预先配置的默认用户帐户,默认情况下,root 帐户可以使用 SSH 直接登录。尽可 能以 root 身份禁用 SSH。 为了满足适用于不可否认性的法律合规标准,所有强化设备上的 SSH 服务器均预先配置了 AllowGroups wheel 条目以将 SSH 访问限制给次级组 wheel。为了实现职责分离,您可以修改 /etc/ssh/sshd_config 文件中的 AllowGroups wheel 条目以使用其他组,比如 sshd。 pam_wheel 模块的 wheel 组已启用了超级用户访问权限,因此 wheel 的成员可以使用 su-root 命令,其中, 需要提供 root 密码。组分离允许用户使用 SSH 访问设备,但不能使用 su 命令以 root 身份登录。请勿删除 或修改 AllowGroups 字段中的其他条目,该字段可以确保设备功能正确运行。实施更改后,通过运行 # service sshd restart 命令重新启动 SSH 守护程序。 在 vRealize Operations Manager 节点上启用或禁用安全 Shell 您可以在 vRealize Operations Manager 节点上启用安全 Shell (Secure Shell, SSH) 进行故障排除。例如, 要对某服务器进行故障排除,您可能需要该服务器通过 SSH 的控制台访问权限。在 vRealize Operations Manager 节点上禁用 SSH 以进行正常操作。 安全配置 VMware, Inc. 保留所有权利。 11
安全配置 步骤 1从 vCenter访问 vRealize Operations Manager节点的控制台。 2按At+F1访问登录提示,然后登录 运行# chkconfig命令 如果shd服务关闭,请运行# hkconfig sshd on命令。 5运行# service sshd start命令启动shd服务 6运行# service sshd stop命令停止sshd服务。 您还可以从管理界面的SsH状态列 vRealize Operations Manager启用或禁用安全She。 为安全She创建本地管理帐户 在移除 root SSH访问权限之前,必须创建本地管理帐户,这些帐户可以用作安全She‖( Secure shell SSH),并且是辅助whee组的成员。 在禁用直接root访问之前,请测试授权管理员可以使用 AllowGroups来访问SSH,并且他们可以使用 wheel 组和su命令以root身份登录。 步骤 1以root身份登录并运行以下命令。 useradd -d /home/vropsuser -g users -G wheel -m #f passwd username 其中whee是 AllowGroups中指定进行SSH访问的组。要添加多个辅助组,请使用- G wheel,sshd 2切换到该用户并提供新密码以确保密码复杂性检查。 username username@hostname: ->passwd 如果满足密码复杂性要求,该密码会更新。如果不满足密码复杂性要求,该密码恢复为原始密码,必须 重新运行密码命令。 在您创建登录帐户以允许使用whee访问权限进行SSH远程访问并使用su命令以root身份登录之后, 您可以将root帐户从SSH直接登录中秘 3要移除SSH直接登录,请修改/etc/ssh/ sshd_config文件,方法是将(#) PermitRootLogin yes 替换为 PermitRootLogin no 后续步骤 禁止以root身份直接登录。默认情况下,强化设备通过控制台直接登录到root。在您创建管理帐户以获得不 可否认性并测试它们能够进行 wheel访问(su-root)之后,请禁用直接rot登录,方法是以rot身份编 辑/etc/ secureity文件,然后将tty1条目替换为 console。 VMware,lc保留所有权利
步骤 1 从 vCenter 访问 vRealize Operations Manager 节点的控制台。 2 按 Alt + F1 访问登录提示,然后登录。 3 运行 #chkconfig 命令。 4 如果 sshd 服务关闭,请运行 #chkconfig sshd on 命令。 5 运行 #service sshd start 命令启动 sshd 服务。 6 运行 #service sshd stop 命令停止 sshd 服务。 您还可以从管理界面的 SSH 状态列 vRealize Operations Manager 启用或禁用安全 Shell。 为安全 Shell 创建本地管理帐户 在移除 root SSH 访问权限之前,必须创建本地管理帐户,这些帐户可以用作安全 Shell (Secure Shell, SSH),并且是辅助 wheel 组的成员。 在禁用直接 root 访问之前,请测试授权管理员可以使用 AllowGroups 来访问 SSH,并且他们可以使用 wheel 组和 su 命令以 root 身份登录。 步骤 1 以 root 身份登录并运行以下命令。 # useradd -d /home/vropsuser -g users -G wheel –m # passwd username 其中 wheel 是 AllowGroups 中指定进行 SSH 访问的组。要添加多个辅助组,请使用 -G wheel,sshd。 2 切换到该用户并提供新密码以确保密码复杂性检查。 # su – username username@hostname:~>passwd 如果满足密码复杂性要求,该密码会更新。如果不满足密码复杂性要求,该密码恢复为原始密码,必须 重新运行密码命令。 在您创建登录帐户以允许使用 wheel 访问权限进行 SSH 远程访问并使用 su 命令以 root 身份登录之后, 您可以将 root 帐户从 SSH 直接登录中移除。 3 要移除 SSH 直接登录,请修改 /etc/ssh/sshd_config 文件,方法是将 (#)PermitRootLogin yes 替换为 PermitRootLogin no。 后续步骤 禁止以 root 身份直接登录。默认情况下,强化设备通过控制台直接登录到 root。在您创建管理帐户以获得不 可否认性并测试它们能够进行 wheel 访问 (su-root) 之后,请禁用直接 root 登录,方法是以 root 身份编 辑 /etc/securetty 文件,然后将 tty1 条目替换为 console。 安全配置 VMware, Inc. 保留所有权利。 12
安全配置 限制安全Shel访问 作为系统强化过程的一部分,请在所有 VMware虚拟设备主机上适当地配置 tcp wrappers程序包,从而限 制安全She(SSH)访问。另外,请在这些设备上维护必要的SSH密钥文件权限。 所有 VMware虚拟设备均包含 tcp wrappers程序包,以便允许TCP支持的守护程序控制可以访问 libwrapped 守护程序的网络子网。默认情况下,/etc/ hosts. allow文件包含一个通用条目,sshd:ALL: ALLOW 其允许对安全Shel的所有访问。针对您的组织适当地限制此访问。 步骤 1在文本编辑器中打开虚拟设备主机上的/etc/ hosts.alow文件。 2更改您的生产环境中的通用条目,使其只包括本地主机条目和管理网络子网,以便实现安全的操作。 shd:127.0.0.1:ALL0w sshd: [ 1]: ALLOw sshd: 10.0.0.0 ALLOW 在本示例中,允许所有本地主机连接以及客户端在100.0.0子网上创建的连接。 添加所有适当的主机标识,例如主机名称、P地址、完全限定域名(FQDN)和回送。 4保存并关闭该文件 维护安全She密钥文件权限 维护适当水平的安全性,请配置安全Shel(SSH密钥文件权限。 1查看公共主机密钥文件,这些文件位于/etc/ssh/key.pub中。 2确认这些文件都由root所拥有,组由root所拥有,并且文件将权限设置为0644。 权限是(wr-r-) 3关闭所有文件。 4查看私人主机密钥文件,这些文件位于/etc/ssh/*key中。 5确认root拥有这些文件和组,以及文件将权限设置为0600。 权限是(nw--) 6关闭所有文件。 强化安全She服务器配置 在可能的情况下,虚拟应用程序安装( irtual Application Installation,OvF)具有默认强化配置。用户可以通 过检查配置文件的全局选项部分的服务器和客户端服务,验证其配置是否经过适当的强化 如果可能,请在/etc/ hosts. allow文件中仅限SSH服务器用于管理子网。 VMware,lc保留所有权利
限制安全 Shell 访问 作为系统强化过程的一部分,请在所有 VMware 虚拟设备主机上适当地配置 tcp_wrappers 程序包,从而限 制安全 Shell (SSH) 访问。另外,请在这些设备上维护必要的 SSH 密钥文件权限。 所有 VMware 虚拟设备均包含 tcp_wrappers 程序包,以便允许 TCP 支持的守护程序控制可以访问 libwrapped 守护程序的网络子网。默认情况下,/etc/hosts.allow 文件包含一个通用条目,sshd: ALL : ALLOW, 其允许对安全 Shell 的所有访问。针对您的组织适当地限制此访问。 步骤 1 在文本编辑器中打开虚拟设备主机上的 /etc/hosts.allow 文件。 2 更改您的生产环境中的通用条目,使其只包括本地主机条目和管理网络子网,以便实现安全的操作。 sshd:127.0.0.1 : ALLOW sshd: [::1] : ALLOW sshd: 10.0.0.0 :ALLOW 在本示例中,允许所有本地主机连接以及客户端在 10.0.0.0 子网上创建的连接。 3 添加所有适当的主机标识,例如主机名称、IP 地址、完全限定域名 (FQDN) 和回送。 4 保存并关闭该文件。 维护安全 Shell 密钥文件权限 要维护适当水平的安全性,请配置安全 Shell (SSH) 密钥文件权限。 步骤 1 查看公共主机密钥文件,这些文件位于 /etc/ssh/*key.pub 中。 2 确认这些文件都由 root 所拥有,组由 root 所拥有,并且文件将权限设置为 0644。 权限是 (-rw-r--r--)。 3 关闭所有文件。 4 查看私人主机密钥文件,这些文件位于 /etc/ssh/*key 中。 5 确认 root 拥有这些文件和组,以及文件将权限设置为 0600。 权限是 (-rw-------)。 6 关闭所有文件。 强化安全 Shell 服务器配置 在可能的情况下,虚拟应用程序安装 (Virtual Application Installation, OVF) 具有默认强化配置。用户可以通 过检查配置文件的全局选项部分的服务器和客户端服务,验证其配置是否经过适当的强化。 如果可能,请在 /etc/hosts.allow 文件中仅限 SSH 服务器用于管理子网。 安全配置 VMware, Inc. 保留所有权利。 13
安全配置 步骤 1打开/etc/ssh/ sshd_config服务器配置文件,验证设置是否正确 状态 服务器守护程序协议 Ciphers aes256-ctr, aes128-ctr TcP转发 AllowTCPForwarding no 服务器网关端口 Gateway Ports no X11转发 X11Forwarding no sSH服务 使用 Allow Groups字段指定一个组,该组有权访问辅助组以及向其中添加 成员,辅助组的成员是有权使用该服务的用户。 GSSAP身份验证 GSSAPIAuthentication no(如果未使用) Kerberos身份验证 Kerberosauthentication no(如果未使用) 地变量( AcceptE全局选项) 设置为 disabled by commenting out或 enabled for only LC*o LANG variables 隧道配置 PermitTunnel no MaxSessions 1 严格模式检查 Strict Modes yes 权限分离 rhosts RSA身份验证 RhostsRsAAuthentication no 压缩 Compression delayed s Compression no 消息身份验证代码 MACs hmac-sha1 用户访问限制 PermitUserEnvironment no 2保存更改并关闭文件 强化安全She|客户端配置 作为系统强化监控过程的一部分,请确认SSH客户端的强化,方法是检查虚拟设备主机上的SSH客户端配 置文件,以确保该客户端是根据 Mware准则进行配置的。 步骤 1打开SSH客户端配置文件/etc/ssh/ ssh_config,并验证全局选项部分的设置是否正确。 设量 状态 客户端协议 Protocol 2 客户端网关端 Gateway Ports no GSSAP身份验证 GSSAPIAuthentication no 本地变量( SendEn全局选项) 又提供LC·或LANG变量 VMware,lc保留所有权利
步骤 1 打开 /etc/ssh/sshd_config 服务器配置文件,验证设置是否正确。 设置 状态 服务器守护程序协议 Protocol 2 密码 Ciphers aes256-ctr,aes128-ctr TCP 转发 AllowTCPForwarding no 服务器网关端口 Gateway Ports no X11 转发 X11Forwarding no SSH 服务 使用 AllowGroups 字段指定一个组,该组有权访问辅助组以及向其中添加 成员,辅助组的成员是有权使用该服务的用户。 GSSAPI 身份验证 GSSAPIAuthentication no(如果未使用) Kerberos 身份验证 KerberosAuthentication no(如果未使用) 本地变量(AcceptEnv 全局选项) 设置为 disabled by commenting out 或 enabled for only LC_* or LANG variables 隧道配置 PermitTunnel no 网络会话 MaxSessions 1 严格模式检查 Strict Modes yes 权限分离 UsePrivilegeSeparation yes rhosts RSA 身份验证 RhostsRSAAuthentication no 压缩 Compression delayed 或 Compression no 消息身份验证代码 MACs hmac-sha1 用户访问限制 PermitUserEnvironment no 2 保存更改并关闭文件。 强化安全 Shell 客户端配置 作为系统强化监控过程的一部分,请确认 SSH 客户端的强化,方法是检查虚拟设备主机上的 SSH 客户端配 置文件,以确保该客户端是根据 VMware 准则进行配置的。 步骤 1 打开 SSH 客户端配置文件 /etc/ssh/ssh_config,并验证全局选项部分的设置是否正确。 设置 状态 客户端协议 Protocol 2 客户端网关端口 Gateway Ports no GSSAPI 身份验证 GSSAPIAuthentication no 本地变量(SendEnv 全局选项) 仅提供 LC_* 或 LANG 变量 安全配置 VMware, Inc. 保留所有权利。 14
安全配置 设置 状态 cBc密码 Ciphers aes256-ctr, aes128-ctr 消息身份验证代码 仅用于 MACs hmac.-sha1条目 2保存更改并关闭文件 禁止以root身份直接登录 默认情况下,强化设备允许您使用控制台以root身份直接登录。作为安全最佳做法,在您创建管理帐户以获 得不可否认性并测试它能够使用su-root命令进行whee访问之后,请禁用直接登录, 前提条件 完成称为为安全She创建本地管理帐户的主题中的步骤。 验证您在禁用直接root登录之前是否已测试过以管理员身份访问系统。 步骤 1以root身份登录并导航到/etc/ secureity文件 您可以从命令提示符访问此文件。 将tty1条目替换为 console 禁用管理员用户帐户的SSH访问 作为安全最佳做法,您可以禁用管理员用户帐户的SSH访问。 vRealize Operations Manager管理员帐户和 LinuⅨ管理员帐户共享相同的密码。禁用管理员用户的SSH访问通过确保SSH的所有用户首先使用不同于 vRealize Operations Manager管理员帐户的密码登录到较低特权服务帐户来强制实施纵深防御,然后将用 户切换到较高特权(例如管理员或root)。 步骤 1编辑/etc/ssh/ sshd_config文件 您可以从命令提示符访问此文件。 2将 DenyUsers admin条目添加到文件中的任何位置并保存该文件。 3要重新启动sshd服务器,请运行 service sshd restart命令。 设置引导加载程序身份验证 为提供适当水平的安全性,请在您的 Mware虚拟设备上配置引导加载程序身份验证。如果系统引导加载程 序不需要身份验证,对系统具有控制台访问权限的用户也许能够更改系统引导配置或将系统引导至单用户或 维护模式,这可能导致出现拒绝服务或未经授权的系统访问。 默认情况下, VMware虚拟设备上未设置引导加载程序身份验证,因此,必须创建一个GRUB密码以对其 进行配置。 VMware,lc保留所有权利
设置 状态 CBC 密码 Ciphers aes256-ctr,aes128-ctr 消息身份验证代码 仅用于 MACs hmac-sha1 条目 2 保存更改并关闭文件。 禁止以 root 身份直接登录 默认情况下,强化设备允许您使用控制台以 root 身份直接登录。作为安全最佳做法,在您创建管理帐户以获 得不可否认性并测试它能够使用 su-root 命令进行 wheel 访问之后,请禁用直接登录。 前提条件 n 完成称为 为安全 Shell 创建本地管理帐户 的主题中的步骤。 n 验证您在禁用直接 root 登录之前是否已测试过以管理员身份访问系统。 步骤 1 以 root 身份登录并导航到 /etc/securetty 文件。 您可以从命令提示符访问此文件。 2 将 tty1 条目替换为 console。 禁用管理员用户帐户的 SSH 访问 作为安全最佳做法,您可以禁用管理员用户帐户的 SSH 访问。vRealize Operations Manager 管理员帐户和 Linux 管理员帐户共享相同的密码。禁用管理员用户的 SSH 访问通过确保 SSH 的所有用户首先使用不同于 vRealize Operations Manager 管理员帐户的密码登录到较低特权服务帐户来强制实施纵深防御,然后将用 户切换到较高特权(例如管理员或 root)。 步骤 1 编辑 /etc/ssh/sshd_config 文件。 您可以从命令提示符访问此文件。 2 将 DenyUsers admin 条目添加到文件中的任何位置并保存该文件。 3 要重新启动 sshd 服务器,请运行 service sshd restart 命令。 设置引导加载程序身份验证 为提供适当水平的安全性,请在您的 VMware 虚拟设备上配置引导加载程序身份验证。如果系统引导加载程 序不需要身份验证,对系统具有控制台访问权限的用户也许能够更改系统引导配置或将系统引导至单用户或 维护模式,这可能导致出现拒绝服务或未经授权的系统访问。 默认情况下,VMware 虚拟设备上未设置引导加载程序身份验证,因此,必须创建一个 GRUB 密码以对其 进行配置。 安全配置 VMware, Inc. 保留所有权利。 15
