安全防护最佳实践建议

云平台安全实践

  • IP黑白名单:默认为false,用于设置是否开启IP黑白名单功能,开启后,云平台将对登录IP进行防护。
  • 物理机密码加密存储开关:默认为false,用于设置物理机密码在数据库中是否启用加密存储。若为true,物理机密码将在数据库中加密存储。
  • 禁止同一用户多会话连接开关:默认为false,用于设置是否禁止同一用户多会话连接。若为true,则同一用户只能存在一个登录会话,历史会话将强制退出。
  • 会话超时时间:设定ZStack图形界面登录后会话多长时间失效。默认为:7200秒,即2小时。当登录会话失效后,需要重新登录。
  • SSL证书检查开关:默认为false,用于设置是否开启跳过LDAP SSL证书的所有检查的开关。若为true,表示跳过所有LDAP SSL证书的检查。
  • 登录验证码策略:默认为false,是否启用登录控制中的验证码功能。开启后连续登录失败次数超过上限将触发验证码保护机制,要求输入正确的账户名、密码以及验证码才能成功登录管理节点。
  • 账户登录密码更新周期:默认为false,用于设置是否启用密码更新周期开关。若为true,表示允许设置密码更新周期。当密码使用时间达到所设置的密码更新周期,重新登录将提示修改密码。默认为90天,用于设置需要重设密码的周期。
  • 账户登录密码不重复次数:默认为false,用于设置是否启用密码不重复次数开关。若为true,表示允许设置密码不重复次数。在所设置的密码不重复次数范围内,重设密码时,新密码不能与之前已使用过的历史密码重复。密码不重复次数可配置。默认为5,用于设置密码不重复次数,例如:若为3,则新密码不能与之前3次已使用过的历史密码重复。
  • 连续登录失败锁定用户:默认为false,用于设置是否启用连续登录失败锁定账户开关。若为true,表示连续登录失败数次,账户将被锁定一段时间。连续登录失败次数上限可配置。默认为6,用于设置连续登录失败次数上限。当连续登录失败次数超过设置值,账户将被锁定一段时间。默认为10分钟,当连续登录失败触发账户锁定,用于设置账户的锁定时长。
  • 账户登录密码强度:默认为false,用于设置是否启用密码强度开关。若为true,表示允许设置密码强度,包括设置密码长度范围,并可选择是否启用数字、大小写和特殊字符组合的策略。默认为8-32,用于设置密码长度范围,并可选择是否启用数字、大小写和特殊字符组合的策略。
  • 双因子认证开关:默认为false,登录管理节点时,是否开启双因子认证。
  • VNC控制台密码强度:默认为false,用于设置是否启用密码登录VNC控制台。默认为6-32,用于设置VNC密码的长度范围,并支持选择是否启用数字、大小写和特殊字符组合的策略。
  • 云主机密码强度:默认为false,用于设置是否启用密码登录云主机。默认为8-18,用于设置云主机密码的长度范围,并支持选择是否启用数字、大小写和特殊字符组合的策略。(说明: 设置云主机密码需确保云主机镜像中已安装cloud-init,且cloud-init推荐版本为:0.7.9、17.1、19.4、19.4以后版本)。
  • 防欺诈:提供防IP/MAC伪造和ARP欺骗功能。云主机只能使用平台分配的IP/MAC地址与外界通信。
  • https证书:支持HTTPS方式登录UI管理界面,进一步提升系统安全性。

物理机安全实践

平台内部通信的端口可以限制外部终端地址的访问,例如3306端口是平台的数据库使用端口,可以将其限制只允许管理节点IP、127.0.0.1、双管理节点VIP访问即可,端口限制可提供脚本方便操作。

  • 设置ssh登录强密码,保持强密码:编辑/etc/pam.d/system-auth 配置文件,为pam_cracklib.so(密码复杂度检查库)配置合理参数;
  • 修改系统banner,避免泄漏操作系统信息:编辑/etc/motd文件添加banner信息。
  • 配置定时帐户自动登出:编辑/etc/profile修改TMOUT配置。
  • 禁止IP源路由:编辑/proc/sys/net/ipv4/conf/下所有accept_source_route设置为0。
  • 禁止icmp重定向:编辑文件 /etc/sysctl.conf,将net.ipv4.conf.all.accept_redirects的值改为0。
  • 静态口令最长生存期:编辑文件/etc/login.defs,设置PASS_MAX_DAYS 90,PASS_MIN_DAYS 10,PASS_WARN_AGE 7。
  • 口令重复次数限制:编辑文件/etc/security/opasswd。
  • 配置用户最小权限。
  • 删除或锁定与设备运行、维护等工作无关的账号:修改/etc/shadow文件。
  • PAM禁止任何人su为root:编辑文件/etc/pam.d/su。
  • 锁定连续三次登录失败的用户:编辑/etc/pam.d/common-auth文件。
  • 设置密码复杂度:编辑/etc/pam.d/common-password-pc文件。
  • 验证登录用户的信息是否正确:编辑/etc/pam.d/system-auth文件。
  • 数据传输保密性:编辑/etc/pam.d/system-auth文件。
  • 限制用户su到root:编辑/etc/pam.d/su文件。
  • 设置文件与目录缺省权限:编辑/etc/profile文件。

results matching ""

    No results matching ""