vRealize Operations Manager7.0帮助 强化 VMware vSphere环境 vRealize Operations Manager依靠安全的 VMware vSphere环境实现诸多利益以及一个安全的基础架构。 评估 VMware vSphere环境并验证是否强制实施并保持了适当级别的 vSphere强化指导 有关强化的更多指导,请参阅htpo/www.vmware.com/security/hardening-guides.html。 检查已安装的和不受支持的软件 未使用的软件中的漏洞可能会增加未授权的系统访问和可用性中断的风险。检查 VMware主机上安装的软件 并评估其用途。 请勿在任何 vRealize Operations Manager节点主机上安装系统的安全运行不需要的软件。卸载未使用的或 不必要的软件 在 vRealize Operations Manager等基础架构产品上安装不受支持的、未经测试或未获批准的软件会对基础 架构造成威胁。 要最大程度减少对基础架构造成的威胁,请勿在 VMWare提供的主机上安装或使用不受Mare支持的任 何第三方软件。 平估您的 vRealize Operations Manager部署和已安装的产品清单,以确认没有安装任何不受支持的软件。 有关第三方产品支持策略的详细信息,请参阅htt:/www.vmware.com/security/hardening-guideshtm处的 VMware支持。 验证第三方软件 请勿使用 VMware不支持的第三方软件。确认已根据第三方供应商的指导安全配置并修补所有第三方软件。 VMware主机上安装的第三方软件所存在的不真实、不安全或未修补的漏洞可能使系统面临未经授权的访问 和可用性受损的风险。并非由 VMware提供的所有软件必须获得适当的保护和修补 如果您必须使用 VMware不支持的第三方软件,请咨询第三方供应商以了解安全配置和修补要求。 VMware安全通告和修补程序 VMware有时会发布产品的安全通告。了解这些通告可确保您拥有最安全的基础产品,并确保产品不容易受 到已知威胁攻击。 评估 vRealize Operations Manager的安装、修补和升级历史记录,确认遵循并实施了已发布的 VMware安 我们建议您始终维持最新的 vRealize Operations Manager版本,因为此版本还将包含最新的安全修补程序。 有关最新的VMware安全通告的更多信息,请参阅http://www.vmware.com/securityladvisor vRealize Operations Manager的安全配置 作为最佳安全做法,您必须保护 vRealize Operations Manager控制台并管理安全She(SSH)、管理账户和 控制台访问。确保使用安全传输通道部署您的系统。 您还必须遵循适用于运行 End Point Operations Management代理的某些最佳安全做法 VMware,lc保留所有权利
强化 VMware vSphere 环境 vRealize Operations Manager 依靠安全的 VMware vSphere 环境实现诸多利益以及一个安全的基础架构。 评估 VMware vSphere 环境并验证是否强制实施并保持了适当级别的 vSphere 强化指导。 有关强化的更多指导,请参阅 http://www.vmware.com/security/hardening-guides.html。 检查已安装的和不受支持的软件 未使用的软件中的漏洞可能会增加未授权的系统访问和可用性中断的风险。检查 VMware 主机上安装的软件 并评估其用途。 请勿在任何 vRealize Operations Manager 节点主机上安装系统的安全运行不需要的软件。卸载未使用的或 不必要的软件。 在 vRealize Operations Manager 等基础架构产品上安装不受支持的、未经测试或未获批准的软件会对基础 架构造成威胁。 要最大程度减少对基础架构造成的威胁,请勿在 VMWare 提供的主机上安装或使用不受 VMware 支持的任 何第三方软件。 评估您的 vRealize Operations Manager 部署和已安装的产品清单,以确认没有安装任何不受支持的软件。 有关第三方产品支持策略的详细信息,请参阅 http://www.vmware.com/security/hardening-guides.html 处的 VMware 支持。 验证第三方软件 请勿使用 VMware 不支持的第三方软件。确认已根据第三方供应商的指导安全配置并修补所有第三方软件。 VMware 主机上安装的第三方软件所存在的不真实、不安全或 未修补的漏洞可能使系统面临未经授权的访问 和可用性受损的风险。并非由 VMware 提供的所有软件必须获得适当的保护和修补。 如果您必须使用 VMware 不支持的第三方软件,请咨询第三方供应商以了解安全配置和修补要求。 VMware 安全通告和修补程序 VMware 有时会发布产品的安全通告。了解这些通告可确保您拥有最安全的基础产品,并确保产品不容易受 到已知威胁攻击。 评估 vRealize Operations Manager 的安装、修补和升级历史记录,确认遵循并实施了已发布的 VMware 安 全通告。 我们建议您始终维持最新的 vRealize Operations Manager 版本,因为此版本还将包含最新的安全修补程序。 有关最新的 VMware 安全通告的更多信息,请参阅 http://www.vmware.com/security/advisories/。 vRealize Operations Manager 的安全配置 作为最佳安全做法,您必须保护 vRealize Operations Manager 控制台并管理安全 Shell (SSH)、管理账户和 控制台访问。确保使用安全传输通道部署您的系统。 您还必须遵循适用于运行 End Point Operations Management 代理的某些最佳安全做法。 vRealize Operations Manager 7.0 帮助 VMware, Inc. 保留所有权利。 31
vRealize Operations Manager7.0帮助 保护 vRealize operations Manager控制台 安装 rEalize Operations Manager后,您必须首次登录并保护群集中每个节点的控制台。 前提条件 安装 vRealize Operations Manager 步骤 1在 vCenter中查找节点控制台或直接访问 在 vCenter中,按下A+F1访问登录提示。出于安全原因,默认情况下会禁用 vRealize Operations Manager远程终端会话 以root身份登录 vRealize Operations Manager不允许您访问命令提示符,直到您创建root密码为止。 3在提示密码时,按 Enter键。 在提示旧密码时,按 Enter键。 5当提示输入新密码时,输入所需的root密码,并记下它以供日后参考。 6重新输入root密码。 7从控制台注销 更改Root密码 您可以通过使用控制台随时更改任何 rEalize tions Manager主节点或数据节点的root密码 root用户可绕过 pam_crackle模块密码复杂性检查(位于etc/pam.d/ common- password中)。所有强 化设备均为pw_ history模块启用 enforce_for_root,该模块位于etc/pam.d/ common- password文件 中。系统会默认记住最后五个密码。每个用户的旧密码存储在/etc/ security/ passwd文件中。 前提条件 确认设备的root密码符合您组织的公司密码复杂性要求。如果帐户密码开头为$6$,它使用了sha512哈 希。这是所有强化设备的标准哈希。 1在设备的 root shel中运行# passwd命令。 要验证root密码的哈希,以root身份登录并运行#more/etc/ shadow命令 将显示哈希信息。 3如果root密码不包含sha512哈希,则运行 passwd命令以对其进行更改。 管理密码到期日期 根据您组织的安全策略,配置所有帐户密码的到期日期。 VMware,lc保留所有权利
保护 vRealize Operations Manager 控制台 安装 vRealize Operations Manager 后,您必须首次登录并保护群集中每个节点的控制台。 前提条件 安装 vRealize Operations Manager。 步骤 1 在 vCenter 中查找节点控制台或直接访问。 在 vCenter 中,按下 Alt+F1 访问登录提示。出于安全原因,默认情况下会禁用 vRealize Operations Manager 远程终端会话。 2 以 root 身份登录。 vRealize Operations Manager 不允许您访问命令提示符,直到您创建 root 密码为止。 3 在提示密码时,按 Enter 键。 4 在提示旧密码时,按 Enter 键。 5 当提示输入新密码时,输入所需的 root 密码,并记下它以供日后参考。 6 重新输入 root 密码。 7 从控制台注销。 更改 Root 密码 您可以通过使用控制台随时更改任何 vRealize Operations Manager 主节点或数据节点的 root 密码。 root 用户可绕过 pam_cracklib 模块密码复杂性检查(位于 etc/pam.d/common-password 中)。所有强 化设备均为 pw_history 模块启用 enforce_for_root,该模块位于 etc/pam.d/common-password 文件 中。系统会默认记住最后五个密码。每个用户的旧密码存储在 /etc/security/opasswd 文件中。 前提条件 确认设备的 root 密码符合您组织的公司密码复杂性要求。如果帐户密码开头为 $6$,它使用了 sha512 哈 希。这是所有强化设备的标准哈希。 步骤 1 在设备的 root shell 中运行 # passwd 命令。 2 要验证 root 密码的哈希,以 root 身份登录并运行 # more /etc/shadow 命令。 将显示哈希信息。 3 如果 root 密码不包含 sha512 哈希,则运行 passwd 命令以对其进行更改。 管理密码到期日期 根据您组织的安全策略,配置所有帐户密码的到期日期。 vRealize Operations Manager 7.0 帮助 VMware, Inc. 保留所有权利。 32
vRealize Operations Manager7.0帮助 默认情况下,所有强化Ⅵ Mware设备使用60天的密码到期日期。在大多数强化设备中,root帐户设置为 365天的密码到期日期。作为最佳实践,请确认所有帐户的到期日期符合安全和操作要求标准。 如果root密码到期,您不能将其恢复。您必须实施特定于站点的策略以防止管理密码和root密码到期。 步骤 1以root身份登录到虚拟设备计算机,并运行#more/etc/ shadow命令以验证所有帐户的密码到期日期。 2要修改root帐户的到期日期,请运行# passwd-X365root命令。 在此命令中,365指定了密码到期日期之前的天数。使用同一命令修改任意用户,用特定帐户替换root 账户,并更换天数以满足组织的到期日期标准 默认情况下,root密码设置的有效期为365天。 管理安全 Shell、管理帐户和控制台访问 对于远程连接,所有强化设备包含安全She(SSH)协议。强化设备上默认禁用SSH SSH的交互式命令行环境,支持对 vRealize Operations Manager节点进行远程连接。SSH需要具有高权 限的用户帐户凭据。SSH活动通常会绕过 vRealize Operations Manager节点的基于角色的访问控制(roe based access control,RBAC)和审核控制。 作为最佳实践,请在生产环境中禁用SSH,仅在诊断或排除您无法通过其他方式解决的问题时才启用此协 议。仅在需要将此功能用于特定用途时才将其启用,并且此行为须符合您组织的安全策略。如果您启用 SSH,请确保为其抵御攻击,并且仅在需要时才启用它。根据您的 vSphere配置,您可以在部署开放虚拟 化格式( Open Virtualization Format,OVF)模板时启用或禁用SSH 作为确定计算机上是否启用了SsH的简单测试,请尝试使用SSH打开一个连接。如果连接打开并请求凭 据,则SSH已启用,且可用于进行连接。 安全 Shell root用户 由于 VMware设备不包括预先配置的默认用户帐户,默认情况下,rot帐户可以使用SSH直接登录。尽可 迮以root身份禁用SsH。 为了满足适用于不可否认性的法律合规标准,所有强化设备上的SSH服务器均预先配置了 Allow Groups wheel条目以将SSH访问限制给次级组 wheel。为了实现职责分离,您可以修改/etc/ssh/sshd_ config 文件中的 Allow Groups wheel条目以使用其他组,比如sshd m wheel模块的whee组已启用了超级用户访问权限,因此whee的成员可以使用su-root命令,其中 需要提供root密码。组分离允许用户使用SSH访问设备,但不能使用su命令以root身份登录。请勿删除 或修改 Allow Groups字段中的其他条目,该字段可以确保设备功能正确运行。实施更改后,通过运行# service sshd restart命令重新启动SSH守护程序 在 vRealize Operations manager节点上启用或禁用安全Shel 您可以在 vRealize Operations Manager节点上启用安全She( Secure shel,SSH)进行故障排除。例如 要对某服务器进行故障排除,您可能需要该服务器通过SSH的控制台访问权限。在 vRealize Operations Manager节点上禁用SSH以进行正常操作 VMware,lc保留所有权利
