检查齐治堡垒机RIS 10个关键项,消除堡垒机安全隐患

    没有什么比安全产品的安全性更重要。是时候检查一下你的堡垒机(针对新堡垒机RIS)的安全性了!请逐一对照下文10个关键项,按照建议检查和安全强化,我们一起“灭灭灭”堡垒机隐患。
    1、部署
    堡垒机通常部署在内网,若需要通过互联网访问,建议通过威必恩访问;
    没有威必恩建议仅开通SSH(22)和RDP(3389)端口,禁止直接通过公网访问Web界面。
    2、网络策略
    只对访问客户端开通必要的端口:443(Web)、3389(图形)、22(字符);
    只向特定的管理员终端开通控制台访问端口:8022(console控制台)。
    3、补丁
    确保堡垒机标准版的版本为最新;
    确保补丁版本为最新。
    4、密码
    确保密码设置足够复杂(参考下图设置);
    确保密码定期修改。文章源自奇点资讯-https://www.xerer.com/archives/31446.html

    检查齐治堡垒机RIS 10个关键项,消除堡垒机安全隐患
    5、认证
    若有第三方认证系统,可通过AD、LDAP、RADIU、X.509方式对接;
    若已购买动态令牌或USBKEY,务必启用;若无其他认证方式,务必启用手机令牌;
    为所有用户启用双因素身份认证,API用户使用本地密码。
    6、登录控制
    在系统设置中,设置全局的登录控制,限制用户的来源IP及IP范围,同时对管理员用户进行更细致的来源IP地址限制;
    对单个用户启用登录控制,建议填写IP地址、IP段,条件选择“不满足”,动作选择“拒绝”。
    7、API调用
    不建议直接使用超级管理员admin进行身份验证,新建一个配置管理员api_user专门用于调用API时的身份验证;
    设置身份验证为“本地密码”,满足密码复杂度要求;
    启用“用户登录控制”,设置调用API服务器的来源IP地址或范围。
    8、SSH外部访问
    建议关闭系统的SSH外部访问。
    9、root账号
    产品部署完后,应修改root账号默认秘钥,修改后的秘钥由用户保密存储,不可在堡垒机中托管;
    确保root账号的默认shell为console。
    10、IPMI安全
    如果已配置IPMI,启用IPMI管理口后,修改默认用户名、密码,密码符合复杂度要求;
    禁止IPMI的80、22、161端口;启用Web SSL-443端口;
    “在IPMI管理页面设置IP访问控制”限制访问来源IP地址,建议只允许固定终端访问IPMI服务。文章源自奇点资讯-https://www.xerer.com/archives/31446.html

    针对以上堡垒机安全使用检查的10个关键项,想要获取更详细的具体操作指南/手册,请关注九边。文章源自奇点资讯-https://www.xerer.com/archives/31446.html

    • 本文由 发表于 2021/04/0812:21:32
    如何设置和管理网上的密码 奇点资讯

    如何设置和管理网上的密码

    我们现在处于网络时代,时常要登录各种网站、论坛、邮箱、网上银行等等,这些访问常需要帐户+密码的身份认证,因此我们不断地注册用户,就有了数不清的网络帐户和密码。大多数人为了便于记忆,习惯只用一个常用的网...

    发表评论

    匿名网友 填写信息