vRealize Operations Manager7.0帮助 步骤 1打开/etc/ssh/ sshd_config服务器配置文件,验证设置是否正确 状态 服务器守护程序协议 Ciphers aes256-ctr, aes128-ctr TcP转发 AllowTCPForwarding no 服务器网关端口 Gateway Ports no X11转发 X11Forwarding no sSH服务 使用 Allow Groups字段指定一个组,该组有权访问辅助组以及向其中添加 成员,辅助组的成员是有权使用该服务的用户。 GSSAP身份验证 GSSAPIAuthentication no(如果未使用) Kerberos身份验证 Kerberosauthentication no(如果未使用) 地变量( AcceptE全局选项) 设置为 disabled by commenting out或 enabled for only LC*o LANG variables 隧道配置 PermitTunnel no MaxSessions 1 严格模式检查 Strict Modes yes 权限分离 rhosts RSA身份验证 RhostsRsAAuthentication no 压缩 Compression delayed s Compression no 消息身份验证代码 MACs hmac-sha1 用户访问限制 PermitUserEnvironment no 2保存更改并关闭文件 强化安全She客户端配置 作为系统强化监控过程的一部分,请确认SSH客户端的强化,方法是检査虚拟设备主机上的SSH客户端配 置文件,以确保该客户端是根据 VMware准则进行配置的。 步骤 1打开SSH客户端配置文件/etc/ssh/ ssh_config,并验证全局选项部分的设置是否正确。 设量 状态 客户端协议 Protocol 2 客户端网关端口 Gateway Ports no GSSAP身 GSSAPIAuthentication no 本地变量( Send Env全局选项) 仅提供LC_·或LANG变量 cBc密码 Ciphers aes256-ctr, aes128-ctr 消息身份验证代 仅用于 MACs hmac-sha1条目 VMware,lc保留所有权利
步骤 1 打开 /etc/ssh/sshd_config 服务器配置文件,验证设置是否正确。 设置 状态 服务器守护程序协议 Protocol 2 密码 Ciphers aes256-ctr,aes128-ctr TCP 转发 AllowTCPForwarding no 服务器网关端口 Gateway Ports no X11 转发 X11Forwarding no SSH 服务 使用 AllowGroups 字段指定一个组,该组有权访问辅助组以及向其中添加 成员,辅助组的成员是有权使用该服务的用户。 GSSAPI 身份验证 GSSAPIAuthentication no(如果未使用) Kerberos 身份验证 KerberosAuthentication no(如果未使用) 本地变量(AcceptEnv 全局选项) 设置为 disabled by commenting out 或 enabled for only LC_* or LANG variables 隧道配置 PermitTunnel no 网络会话 MaxSessions 1 严格模式检查 Strict Modes yes 权限分离 UsePrivilegeSeparation yes rhosts RSA 身份验证 RhostsRSAAuthentication no 压缩 Compression delayed 或 Compression no 消息身份验证代码 MACs hmac-sha1 用户访问限制 PermitUserEnvironment no 2 保存更改并关闭文件。 强化安全 Shell 客户端配置 作为系统强化监控过程的一部分,请确认 SSH 客户端的强化,方法是检查虚拟设备主机上的 SSH 客户端配 置文件,以确保该客户端是根据 VMware 准则进行配置的。 步骤 1 打开 SSH 客户端配置文件 /etc/ssh/ssh_config,并验证全局选项部分的设置是否正确。 设置 状态 客户端协议 Protocol 2 客户端网关端口 Gateway Ports no GSSAPI 身份验证 GSSAPIAuthentication no 本地变量(SendEnv 全局选项) 仅提供 LC_* 或 LANG 变量 CBC 密码 Ciphers aes256-ctr,aes128-ctr 消息身份验证代码 仅用于 MACs hmac-sha1 条目 vRealize Operations Manager 7.0 帮助 VMware, Inc. 保留所有权利。 36
vRealize Operations Manager7.0帮助 2保存更改并关闭文件。 禁止以root身份直接登录 默认情况下,强化设备允许您使用控制台以root身份直接登录。作为安全最佳做法,在您创建管理帐户以获 得不可否认性并测试它能够使用su-root命令进行whee访问之后,请禁用直接登录。 前提条件 完成称为为安全She创建本地管理帐户的主题中的步骤 验证您在禁用直接root登录之前是否已测试过以管理员身份访问系统 步骤 1以root身份登录并导航到/etc/ secureity文件。 您可以从命令提示符访问此文件。 2将tty1条目替换为 console 禁用管理员用户帐户的SSH访问 作为安全最佳做法,您可以禁用管理员用户帐户的SSH访问。 Realize Operations Manager管理员帐户和 LinuⅨκ管理员帐户共享相同的密码。禁用管理员用户的SSH访问通过确保SSH的所有用户首先使用不同于 vRealize Operations Manager管理员帐户的密码登录到较低特权服务帐户来强制实施纵深防御,然后将用 户切换到较高特权(例如管理员或root)。 步骤 1编辑/etc/ssh/ sshd_config文件。 您可以从命令提示符访问此文件 2将 DenyUsers admin条目添加到文件中的任何位置并保存该文件 3要重新启动sshd服务器,请运行 service sshd restart命令。 设置引导加载程序身份验证 为提供适当水平的安全性,请在您的 VMware虚拟设备上配置引导加载程序身份验证。如果系统引导加载程 序不需要身份验证,对系统具有控制台访问权限的用户也许能够更改系统引导配置或将系统引导至单用户或 维护模式,这可能导致出现拒绝服务或未经授权的系统访问 默认情况下, VMware虚拟设备上未设置引导加载程序身份验证,因此,必须创建一个GRUB密码以对其 步骤 1确认是否存在引导密码,方法是在虚拟设备上的/boot/grub/menu.lst文件中查找 password-md5 < password-hash>一行 如果不存在任何密码,则在虚拟设备上运行#/usr/sbin/grub-md- crypt命令。 将生成MD5密码,该命令可提供MD5散列值输出结果。 VMware,lc保留所有权利
2 保存更改并关闭文件。 禁止以 root 身份直接登录 默认情况下,强化设备允许您使用控制台以 root 身份直接登录。作为安全最佳做法,在您创建管理帐户以获 得不可否认性并测试它能够使用 su-root 命令进行 wheel 访问之后,请禁用直接登录。 前提条件 n 完成称为 为安全 Shell 创建本地管理帐户 的主题中的步骤。 n 验证您在禁用直接 root 登录之前是否已测试过以管理员身份访问系统。 步骤 1 以 root 身份登录并导航到 /etc/securetty 文件。 您可以从命令提示符访问此文件。 2 将 tty1 条目替换为 console。 禁用管理员用户帐户的 SSH 访问 作为安全最佳做法,您可以禁用管理员用户帐户的 SSH 访问。vRealize Operations Manager 管理员帐户和 Linux 管理员帐户共享相同的密码。禁用管理员用户的 SSH 访问通过确保 SSH 的所有用户首先使用不同于 vRealize Operations Manager 管理员帐户的密码登录到较低特权服务帐户来强制实施纵深防御,然后将用 户切换到较高特权(例如管理员或 root)。 步骤 1 编辑 /etc/ssh/sshd_config 文件。 您可以从命令提示符访问此文件。 2 将 DenyUsers admin 条目添加到文件中的任何位置并保存该文件。 3 要重新启动 sshd 服务器,请运行 service sshd restart 命令。 设置引导加载程序身份验证 为提供适当水平的安全性,请在您的 VMware 虚拟设备上配置引导加载程序身份验证。如果系统引导加载程 序不需要身份验证,对系统具有控制台访问权限的用户也许能够更改系统引导配置或将系统引导至单用户或 维护模式,这可能导致出现拒绝服务或未经授权的系统访问。 默认情况下,VMware 虚拟设备上未设置引导加载程序身份验证,因此,必须创建一个 GRUB 密码以对其 进行配置。 步骤 1 确认是否存在引导密码,方法是在虚拟设备上的 /boot/grub/menu.lst 文件中查找 password --md5 <password-hash> 一行。 2 如果不存在任何密码,则在虚拟设备上运行 # /usr/sbin/grub-md5-crypt 命令。 将生成 MD5 密码,该命令可提供 MD5 散列值输出结果。 vRealize Operations Manager 7.0 帮助 VMware, Inc. 保留所有权利。 37
vRealize Operations Manager7.0帮助 3通过运行# password-md5< hash from grub-md5- crypt>命令,将密码附加到menu.lst文件中。 单用户或维护模式身份验证 如果系统在引导到单用户或维护模式之前不需要有效的root身份验证,则调用单用户或维护模式的仼何用户 都将被授予特权以访问系统上的所有文件 步骤 检查/etc/ inittab文件,并确保存在以下两行:ls:S:wait:/etc/init.d/rcS和 S: respawn: /sbin/sulogin 监视最低限度的必要用户帐户 您必须监视现有用户帐户,并确保删除任何不必要的用户帐户 步骤 运行host:~#cat/etc/ passwd命令并验证最低限度的必要用户帐户 bin: x: 1: 1: bin: /bin: /bin/bash daemon: x: 2: 2: Daemon: /sbin: /bin/bash haldaemon: x: 101: 102: User for haldaemon: /var/run/hald: /bin/false mail: x: 8: 12: Mailer daemon: /var/spool/clientmqueue: /bin/false man:x: 13: 62: Manual pages viewer: /var/cache/man: /bin/bash messagebus: x: 100: 101: User for D-Bus: /var/run/dbus: /bin/false obody: x: 65534: 65533: nobody /var/lib/nobody /bin/bash ntp: x: 74: 106: NTP daemon: /var/ib/ntp: /bin/false poLkituser: x: 103: 104: Policykit: /var/run/Policykit: /bin/false postfix: x: 51: 51: Postfix Daemon: /var/spool/postfix: /bin/false root: x: 0: 0: root: /root: /bin/bash shd: x: 71: 65: SSH daemon: /var/lib/sshd: /bin/false suse-ncc: x: 104: 107: Novell Customer Center User: /var/ib/YasT2/suse-ncc-fakehome: /bin/bash uuidd: x: 102: 103: User for uuid: /var/run/uuidd: /bin/false wwwrun:x: 30: 8: Www daemon apache: /var/lib/wwwrun: /bin/false admin: x: 1000: 1003: home/admin: /bin/bash postgres: x: 1002: 100: /var/vmware/vpostgres/9. 3: /bin/bash 监视最低限度的必要组 您必须监视现有组和成员,以确保删除所有不必要的组或组访问权限。 运行<host>:~#cat/etc/ group命令以验证最低限度的必要组和组成员身份。 dialout: x: 16: ul, tcserver, postgres disk: x: 6 VMware,lc保留所有权利
3 通过运行 # password --md5 <hash from grub-md5-crypt> 命令,将密码附加到 menu.lst 文件中。 单用户或维护模式身份验证 如果系统在引导到单用户或维护模式之前不需要有效的 root 身份验证,则调用单用户或维护模式的任何用户 都将被授予特权以访问系统上的所有文件。 步骤 u 检查 /etc/inittab 文件,并确保存在以下两行:ls:S:wait:/etc/init.d/rc S 和 ~~:S:respawn:/sbin/sulogin。 监视最低限度的必要用户帐户 您必须监视现有用户帐户,并确保删除任何不必要的用户帐户。 步骤 u 运行 host:~ # cat /etc/passwd 命令并验证最低限度的必要用户帐户: bin:x:1:1:bin:/bin:/bin/bash daemon:x:2:2:Daemon:/sbin:/bin/bash haldaemon:x:101:102:User for haldaemon:/var/run/hald:/bin/false mail:x:8:12:Mailer daemon:/var/spool/clientmqueue:/bin/false man:x:13:62:Manual pages viewer:/var/cache/man:/bin/bash messagebus:x:100:101:User for D-Bus:/var/run/dbus:/bin/false nobody:x:65534:65533:nobody:/var/lib/nobody:/bin/bash ntp:x:74:106:NTP daemon:/var/lib/ntp:/bin/false polkituser:x:103:104:PolicyKit:/var/run/PolicyKit:/bin/false postfix:x:51:51:Postfix Daemon:/var/spool/postfix:/bin/false root:x:0:0:root:/root:/bin/bash sshd:x:71:65:SSH daemon:/var/lib/sshd:/bin/false suse-ncc:x:104:107:Novell Customer Center User:/var/lib/YaST2/suse-ncc-fakehome:/bin/bash uuidd:x:102:103:User for uuidd:/var/run/uuidd:/bin/false wwwrun:x:30:8:WWW daemon apache:/var/lib/wwwrun:/bin/false admin:x:1000:1003::/home/admin:/bin/bash postgres:x:1002:100::/var/vmware/vpostgres/9.3:/bin/bash 监视最低限度的必要组 您必须监视现有组和成员,以确保删除所有不必要的组或组访问权限。 步骤 u 运行 <host>:~ # cat /etc/group 命令以验证最低限度的必要组和组成员身份。 audio:x:17: bin:x:1:daemon cdrom:x:20: console:x:21: daemon:x:2: dialout:x:16:u1,tcserver,postgres disk:x:6: vRealize Operations Manager 7.0 帮助 VMware, Inc. 保留所有权利。 38
vRealize Operations Manager7.0帮助 Loppy: x: 19: haldaemon: !: 102 maiL: x: 12: man: x: 62 messages: 1: 101: nogroup: x: 65534: nobod ntp:!:166 polkituser: 1: 105 public: x: 32 shadow: x: 1 sshd: 1: 65 suse-ncc: 1: 107 tape:!:103 tty: x: 5: video: x: 33: ul, tcserver, postgres wheel: x: 10: root, admin xok: x: 41 maildrop: !: 1001: postfix: 1: 51: root 重置 vRealize Operations Manager管理员密码( Linux) 作为最佳安全做法,您可以在Lnux群集上重置用于vApp或 Linux安装的 vRealize Operations Manager 密码。 步骤 1以root身份登录到主节点的远程控制台。 2输入$ VMWARE_ PYTHON BIN SVCOPS_BASE/. vmware- vcopssuite/utilities/sliceConfiguration/bin/vcops SetAdminPassword. py -reset ip 令,然后按提示操作。 在 VMware设备上配置NTP 对于关键时间来源查找,请禁用主机时间同步并在 VMware设备上使用网络时间协议( Network Time Protocol NTP)。您必须配置一个可信的远程NTP服务器以实现时间同步。NTP服务器必须是权威时间服务器或者至 少与权威时间服务器同步。 VMware,lc保留所有权利
