年10月24日vRealizeAutomation7.6
安全組態指南
您可以在VMware網站上找到最新的技術文件,網址如下:/tw/如果您對於本文件有任何意見,歡迎寄至:docfeedback@
VMware,Inc.3401HillviewAve.PaloAlto,CA94304Copyright©2015-2019VMware,Inc.保留所有權利。
版權與商標資訊。
VMware,Inc.
2 目錄 1安全組態5 2vRealizeAutomation安全基準概觀6 3確認安裝媒體的完整性7 4強化VMware系統軟體基礎結構
8 強化VMwarevSphere®環境8強化基礎結構即服務主機8強化MicrosoftSQLServer8強化Microsoft.NET9強化MicrosoftInformationServices(IIS)9 5檢閱安裝的軟體10 6VMware安全性建議和修補程式11 7安全組態12 保護vRealizeAutomation應用裝置12變更根密碼12確認根密碼雜湊和複雜性13確認根密碼歷程記錄13管理密碼到期13管理安全殼層和管理帳戶14變更虛擬應用裝置管理介面使用者18設定開機載入器驗證18設定NTP19為vRealizeAutomation應用裝置傳輸中的資料設定TLS19確認靜態資料的安全性27設定vRealizeAutomation應用程式資源28自訂主控台Proxy組態30設定伺服器回應標頭32設定vRealizeAutomation應用裝置工作階段逾時33管理非必要軟體34 保護基礎結構即服務元件37設定NTP37為基礎結構即服務傳輸中的資料設定TLS37 VMware,Inc.
3 安全組態指南 設定TLS加密套件40確認主機伺服器安全性41保護應用程式資源41保護基礎結構即服務主機的安全42 8設定主機網路安全性44 為VMware應用裝置進行網路設定44阻止使用者控制網路介面44設定TCP待處理項目佇列大小44拒絕ICMPv4廣播位址回應45停用IPv4ProxyARP45拒絕IPv4ICMP重新導向訊息46拒絕IPv6ICMP重新導向訊息46記錄IPv4Martian封包47使用IPv4反向路徑篩選48拒絕IPv4轉送48拒絕IPv6轉送49使用IPv4TCPSyncookie49拒絕IPv6路由器通告50拒絕IPv6路由器請求50拒絕路由器請求中的IPv6路由器喜好設定51拒絕IPv6路由器前置詞51拒絕IPv6路由器通告躍點限制設定52拒絕IPv6路由器通告自動組態設定53拒絕IPv6芳鄰請求53限制IPv6位址數目上限54 為基礎結構即服務主機進行網路設定54設定連接埠和通訊協定55 使用者所需的連接埠55管理員必要的連接埠55 9稽核與記錄59 VMware,Inc.
4 安全組態
1 安全組態可協助使用者評估和最佳化vRealizeAutomation部署的安全組態。
安全組態針對一般vRealizeAutomation環境說明安全部署的驗證和組態,以及提供資訊和程序來協助使用者在安全組態方面做出正確的選擇。
適合對象 此資訊適用於vRealizeAutomation系統管理員和負責系統安全維護和設定的其他使用者。
VMware技術出版品詞彙表 VMware技術出版品提供您可能不熟悉的專有詞彙表。
如需VMware技術說明文件中所用專有詞彙的定義,請前往/support/pubs。
VMware,Inc.
5 vRealizeAutomation安全基準概觀
2 VMware提供了全面性建議來協助您確認和設定vRealizeAutomation系統的安全基準。
使用VMware指定的適當工具和程序,確認和維護vRealizeAutomation系統強化的安全基準組態。
某些vRealizeAutomation元件雖然是在已強化或半強化狀態下安裝的,但您應依照VMware安全性建議、公司安全性原則和已知威脅來檢閱並確認每個元件的組態。
vRealizeAutomation安全性狀態 vRealizeAutomation的安全性狀態假設整體安全環境基於系統和網路組態、組織安全性原則和安全性最佳做法。
在確認和設定vRealizeAutomation系統的強化時,請考量VMware強化建議所指明的下列各個方面。
n安全部署n安全組態n網路安全性為確保安全強化系統,請考量VMware建議和您的本機安全性原則,因為它們與這些概念領域都息息相關。
系統元件 考量vRealizeAutomation系統的強化和安全組態時,請確保您瞭解所有元件以及這些元件如何共同運作來支援系統功能。
規劃和實作安全系統時,請考量下列元件。
nvRealizeAutomation應用裝置nIaaS元件若要熟悉vRealizeAutomation元件以及這些元件如何共同運作,請參閱VMwarevRealizeAutomation說明文件中心中的《基礎和概念》。
如需一般vRealizeAutomation部署和架構的相關資訊,請參閱《參考架構》。
說明文件位於VMwarevRealizeAutomation說明文件中。
VMware,Inc.
6 確認安裝媒體的完整性
3 使用者應務必在安裝VMware產品前確認安裝媒體的完整性。
請務必於下載ISO、離線服務包或修補程式後確認SHA1雜湊,以確保下載檔案的完整性和真實性。
如果您從VMware取得實體媒體,而安全封條已損壞,請將軟體退回VMware進行更換。
下載媒體後,請使用MD5/SHA1總和值確認下載的完整性。
將MD5/SHA1雜湊輸出與VMware網站上公佈的值進行比較。
SHA1或MD5雜湊應與之相符。
如需有關確認安裝媒體完整性的詳細資訊,請參閱/kb/1537。
VMware,Inc.
7 強化VMware系統軟體基礎結構
4 在強化過程中,請對所部署來支援您VMware系統的軟體基礎結構進行評估,確認其符合VMware強化準則。
強化您的VMware系統之前,請先檢閱支援軟體基礎結構的安全缺陷並加以解決,以便建立完全強化且安全的環境。
需要考量的軟體基礎結構元素包括作業系統元件、支援軟體,以及資料庫軟體。
請根據製造商的建議及其他相關安全性通訊協定,解決這些元件與其他元件中的安全性問題。
本章節討論下列主題:n強化VMwarevSphere®環境n強化基礎結構即服務主機n強化MicrosoftSQLServern強化Microsoft.NETn強化MicrosoftInformationServices(IIS) 強化VMwarevSphere®環境 評估VMwarevSphere®環境,並確認已強制執行並維護適當層級的vSphere強化指引。
如需更多強化指引,請參閱。
在全面強化的環境中,VMwarevSphere®基礎結構必須符合VMware所定義的安全性準則。
強化基礎結構即服務主機 請確認您的基礎結構即服務MicrosoftWindows主機已根據VMware準則進行強化。
請檢閱適當MicrosoftWindows強化與安全最佳做法準則中的建議,並確保您的WindowsServer主機已適當進行強化。
不遵循強化建議,可能會暴露Windows版本中不安全元件的已知安全性漏洞。
若要確認您的版本是否受支援,請參閱《vRealizeAutomation支援對照表》。
請連絡您的Microsoft廠商,瞭解有關Microsoft產品強化做法的正確指引。
強化MicrosoftSQLServer 請確認MicrosoftSQLServer資料庫符合Microsoft和VMware所建立的安全性準則。
VMware,Inc.
8 安全組態指南 請檢閱適當MicrosoftSQLServer強化與安全最佳做法準則中的建議。
請檢閱所有Microsoft資訊安全佈告欄,瞭解有關所安裝MicrosoftSQLServer版本的資訊。
不遵循強化建議,可能會暴露MicrosoftSQLServer版本中不安全元件的已知安全性漏洞。
若要確認您的MicrosoftSQLServer版本是否受支援,請參閱《vRealizeAutomation支援對照表》。
如需Microsoft產品強化做法的指引,請連絡您的Microsoft廠商。
強化Microsoft.NET 在全面強化的環境中,Microsoft.NET必須符合Microsoft和VMware所提供的安全性準則。
請檢閱適當.NET強化與安全最佳做法準則中提供的建議。
另外,亦請檢閱所有Microsoft資訊安全佈告欄,瞭解有關所使用MicrosoftSQLServer版本的資訊。
不遵循強化建議,可能會暴露不安全Microsoft.NET元件的已知安全性漏洞。
若要確認您的Microsoft.NET版本是否受支援,請參閱《vRealizeAutomation支援對照表》。
如需Microsoft產品強化做法的指引,請連絡您的Microsoft廠商。
強化MicrosoftInformationServices(IIS) 請確認您的MicrosoftInformationServices(IIS)符合所有的Microsoft和VMware安全性準則。
請檢閱適當MicrosoftIIS強化與安全最佳做法準則中提供的建議。
另外,亦請檢閱所有Microsoft資訊安全佈告欄,瞭解有關所使用IIS版本的資訊。
不遵循強化建議,可能會暴露已知安全性漏洞。
若要確認您的版本是否受支援,請參閱《vRealizeAutomation支援對照表》。
如需Microsoft產品強化做法的指引,請連絡您的Microsoft廠商。
VMware,Inc.
9 檢閱安裝的軟體
5 因為第三方軟體和未使用軟體中的漏洞會增加未經授權的系統存取和中斷可用性的風險,所以檢閱VMware主機上安裝的所有軟體並對其使用情況進行評估非常重要。
請勿在VMware主機上安裝系統安全作業不需要的軟體。
解除安裝未使用或無關的軟體。
清查已安裝的不受支援軟體 評估VMware部署和已安裝產品的詳細目錄,確認未安裝任何無關的不受支援軟體。
如需有關第三方產品支援原則的詳細資訊,請參閱VMware支援文章,網址為/support/policies/thirdparty.html。
確認第三方軟體 VMware不支援亦不建議安裝未經測試和驗證的第三方軟體。
在VMware主機上安裝不安全、未修補或未經驗證的第三方軟體,可能會使系統遭受未經授權的存取和中斷可用性風險。
如果必須使用不受支援的第三方軟體,請諮詢第三方廠商以瞭解安全組態和修補需求。
VMware,Inc. 10 VMware安全性建議和修補程式
6 為維護系統的最大安全性,請遵循VMware安全性建議並套用所有相關修補程式。
VMware發行了產品的安全性建議。
請關注這些建議,以確保您的產品可抵禦已知威脅。
評估vRealizeAutomation安裝、修補和升級歷程記錄,確認已遵循並強制執行發行的VMware安全性建議。
如需有關最新VMware安全性建議的詳細資訊,請參閱/security/advisories/。
VMware,Inc. 11 安全組態
7 視系統組態需要,確認並更新vRealizeAutomation虛擬應用裝置和基礎結構即服務元件的安全性設定。
此外,還請確認並更新其他元件和應用程式的組態。
安全地設定vRealizeAutomation安裝涉及個別處理每個元件的組態,以及處理元件共同運作時的組態。
請考量所有系統元件共同運作的組態,以達成合理的安全基準。
本章節討論下列主題:n保護vRealizeAutomation應用裝置n保護基礎結構即服務元件 保護vRealizeAutomation應用裝置 根據您的系統組態,視需要驗證並更新vRealizeAutomation應用裝置的安全性設定。
設定虛擬應用裝置及其主機作業系統的安全性設定。
此外,也請設定或驗證其他相關元件與應用程式的組態。
在某些情況下,您需要驗證現有設定,而在其他情況下,您必須變更或新增設定以便達成適當的組態。
變更根密碼 您可以變更vRealizeAutomation應用裝置的根密碼。
程序1以根使用者身分登入vRealizeAutomation應用裝置管理介面。
https://vrealize-automation-appliance-FQDN:54802按一下管理索引標籤。
3按一下管理子功能表。
4在目前管理員密碼文字方塊中輸入現有密碼。
5在新管理員密碼文字方塊中輸入新密碼。
6在重新輸入新管理員密碼文字方塊中輸入新密碼。
7按一下儲存設定。
VMware,Inc. 12 安全組態指南 確認根密碼雜湊和複雜性 確認根密碼符合貴組織的公司密碼複雜性需求。
需要驗證根密碼複雜性,因為根使用者可以略過套用到使用者帳戶的pam_cracklib模組密碼複雜性檢查。
帳戶密碼必須以表示SHA512雜湊的$6$開頭。
這是所有已強化應用裝置的標準雜湊。
程序1若要確認根密碼的雜湊,請以根使用者身分登入並執行#more/etc/shadow命令。
此時會顯示雜湊資訊。
圖7-
1.密碼雜湊結果 2如果根密碼不包含SHA512雜湊,請執行passwd命令進行變更。
所有已強化的應用裝置都針對pw_history模組啟用了enforce_for_root,可在/etc/monpassword檔案中找到。
依預設,系統會記住最後五個密碼。
每個使用者的舊密碼皆儲存在/etc/securetty/passwd檔案中。
確認根密碼歷程記錄 確認對根帳戶強制執行密碼歷程記錄。
所有已強化的應用裝置都針對pw_history模組啟用了enforce_for_root,可在/etc/monpassword檔案中找到。
依預設,系統會記住最後五個密碼。
每個使用者的舊密碼皆儲存在/etc/securetty/passwd檔案中。
程序1執行下列命令: cat/etc/mon-password-vmware.local|greppam_pwhistory.so2確保傳回的結果中出現enforce_for_root。
passwordrequiredpam_pwhistory.soenforce_for_rootremember=5retry=
3 管理密碼到期 依據組織的安全性原則設定所有帳戶密碼到期。
VMware,Inc. 13 安全組態指南 依預設,所有強化的VMware虛擬應用裝置帳戶使用60天密碼到期。
在大多數強化的應用裝置上,根帳戶設為365天密碼到期。
最佳做法是確認所有帳戶的到期符合安全性和作業需求標準。
如果根密碼到期,您無法恢復。
您必須實作站台專屬原則,以防止管理和根密碼到期。
程序1以根使用者身分登入虛擬應用裝置機器,然後執行下列命令以確認所有帳戶的密碼到期。
#cat/etc/shadow密碼到期是陰影檔案的第五個欄位(欄位以冒號分隔)。
根到期以天數設定。
圖7-
2.密碼到期欄位 2若要修改根帳戶的到期,請執行下列格式的命令。
#passwd-x365root在此命令中,365指定密碼到期前的天數。
使用相同命令修改任何使用者、以特定帳戶替代「根」,並取代天數以滿足組織的到期標準。
管理安全殼層和管理帳戶 對於遠端連線,所有強化的應用裝置包含安全殼層(SSH)通訊協定。
僅在必要時使用SSH,並且適當地管理SSH以維持系統安全性。
SSH是支援遠端連線至VMware虛擬應用裝置的互動式命令列環境。
依預設,SSH存取需要高權限使用者帳戶認證。
根使用者SSH活動通常會略過角色型存取控制(RBAC)並稽核虛擬應用裝置的控制。
最佳做法是在生產環境中停用SSH,然後將其啟用,以僅疑難排解您無法透過其他方法解決的問題。
僅當需要用於特定目的並依據組織的安全性原則時,將其維持在啟用狀態。
vRealizeAutomation應用裝置上預設會停用SSH。
視vSphere組態而定,當您部署開放虛擬化格式(OVF)範本時可能會啟用或停用SSH。
判定機器上是否已啟用SSH的簡單測試是嘗試使用SSH開啟連線。
如果連線開啟並要求認證,則SSH會啟用且可用於連線。
安全殼層根使用者帳戶 因為VMware應用裝置不包含預先設定的使用者帳戶,依預設,根帳戶可以使用SSH直接登入。
儘快以根使用者身分停用SSH。
VMware,Inc. 14 安全組態指南 為符合不可否認性的符合性標準,所有強化的應用裝置上的SSH伺服器都預先設定AllowGroupswheel項目,以限制SSH存取次要群組wheel。
針對職責分離,您可以修改/etc/ssh/sshd_config檔案中的AllowGroupswheel項目以使用其他群組(如sshd)。
針對超級使用者存取,已使用pam_wheel模組啟用wheel群組,因此wheel群組的成員可以將使用者切換為根使用者,其中需要根密碼。
群組分離可讓使用者透過SSH連線至應用裝置,但是不可以將使用者切換為根使用者。
請勿在AllowGroups欄位中移除或修改其他項目,這可確保適當的應用裝置功能。
進行變更後,您必須透過執行命令#servicesshdrestart重新啟動SSH精靈。
啟用或停用vRealizeAutomation應用裝置上的安全殼層 僅在進行疑難排解時,才啟用vRealizeAutomation應用裝置上的安全殼層(SSH)。
在正常生產運作期間,請停用這些元件上的SSH。
您可以使用vRealizeAutomation應用裝置管理介面,啟用或停用vRealizeAutomation應用裝置上的SSH。
程序1以根使用者身分登入vRealizeAutomation應用裝置管理介面。
https://vrealize-automation-appliance-FQDN:54802按一下管理索引標籤。
3按一下管理子功能表。
4選取SSH服務啟用核取方塊來啟用SSH,或取消選取該核取方塊來停用SSH。
5按一下儲存設定儲存變更。
為安全殼層建立本機管理員帳戶 安全性最佳做法是在虛擬應用裝置主機上為安全殼層(SSH)建立並設定本機管理帳戶。
此外,在建立適當的帳戶後,移除根SSH存取權。
為SSH或次要wheel群組成員(或兩者)建立本機管理帳戶。
停用直接根存取權前,請先測試獲授權管理員能否使用AllowGroups存取SSH,以及能否使用wheel群組將使用者切換為根使用者。
程序1透過適當的使用者名稱,以根使用者身分登入虛擬應用裝置並執行下列命令。
#useradd-gusers-Gwheel-m-d/home/username#passwdusername
Wheel是AllowGroups中為SSH存取指定的群組。
若要新增多個次要群組,請使用-Gwheel,sshd。
VMware,Inc. 15 安全組態指南 2切換至使用者並提供新密碼,以強制執行密碼複雜性檢查。
#su–username#username@hostname:~>passwd 如果符合密碼複雜性,密碼便會更新。
如果不符合密碼複雜性,密碼會還原為原始密碼,您必須重新執行密碼命令。
3若要移除對SSH的直接登入,請修改/etc/ssh/sshd_config檔案,將(#)PermitRootLoginyes取代為PermitRootLoginno。
或者,您也可以在虛擬應用裝置管理介面(VAMI)中,透過選取或取消選取管理員索引標籤上的已啟用管理員SSH登入核取方塊,來啟用/停用SSH。
後續步驟 停用以根使用者身分直接登入。
依預設,強化的應用裝置允許透過主控台直接登入至根目錄。
在您建立不可否認的管理帳戶並測試其su-rootwheel存取權後,請以根使用者身分編輯/etc/security檔案,將tty1項目取代為console,以停用直接根登入。
1在文字編輯器中開啟/etc/securetty檔案。
2找到tty1並將其取代為console。
3儲存並關閉檔案。
強化安全殼層伺服器組態 只要可以,所有VMware應用裝置都有已強化的預設組態。
使用者可以透過在組態檔的全域選項區段中檢查伺服器與用戶端服務設定,來確認其組態是否經過適當強化。
程序1在VMware應用裝置上開啟/etc/ssh/sshd_config伺服器組態檔,並確認其中設定均正確無誤。
設定伺服器精靈通訊協定CBC加密TCP轉送伺服器閘道連接埠X11轉送SSH服務 GSSAPI驗證Keberos驗證本機變數(eptEnv全域選項) 狀態Protocol2aes256-ctr和aes128-ctrAllowTCPForwardingnoGatewayPortsnoX11Forwardingno請使用AllowGroups欄位並指定允許的群組存取權。
請新增適當成員至此群組。
如果未使用,則為GSSAPIAuthenticationno如果未使用,則為KeberosAuthenticationno請設定為disabledmentingout或enabledforLC_*orLANGvariables VMware,Inc. 16 安全組態指南 設定通道組態網路工作階段使用者並行連線 嚴格模式檢查權限分離rhostsRSA驗證壓縮訊息驗證代碼使用者存取限制 狀態PermitTunnelnoMaxSessions1對於根使用者與任何其他使用者,設定為
1。
/etc/security/limits.conf檔案也需要以相同設定進行設定。
StrictModesyesUsePrivilegeSeparationyesRhostsESAAuthenticationnoCompressiondelayed或CompressionnoMACshmac-sha1PermitUserEnvironmentno 2儲存變更並關閉此檔案。
強化安全殼層用戶端組態 在系統強化過程中,請確認SSH用戶端經過強化,方法是檢查虛擬應用裝置主機上的SSH用戶端組態檔,確定其設定符合VMware準則。
程序1開啟SSH用戶端組態檔/etc/ssh/ssh_config,並確認全域選項區段內的設定均正確無誤。
設定用戶端通訊協定用戶端閘道連接埠GSSAPI驗證本機變數(SendEnv全域選項)CBC加密訊息驗證代碼 狀態Protocol2GatewayPortsnoGSSAPIAuthenticationno請僅提供LC_*或LANG變數只有aes256-ctr和aes128-ctr僅在MACshmac-sha1項目中使用 2儲存變更並關閉此檔案。
確認安全殼層金鑰檔案權限 為了盡可能減少惡意攻擊,請維護虛擬應用裝置主機上的關鍵SSH金鑰檔案權限。
在設定或更新SSH組態後,請務必確認下列SSH金鑰檔案權限未發生變更。
n位於/etc/ssh/*key.pub的公開主機金鑰檔案由根使用者擁有且權限設定為0644(-rw-r--r--)。
n位於/etc/ssh/*key的私密主機金鑰檔案由根使用者擁有且權限設定為0600(-rw------)。
確認SSH金鑰檔案權限確認SSH權限同時適用於公開和私密金鑰檔案。
VMware,Inc. 17 安全組態指南 程序1透過執行以下命令檢查SSH公開金鑰檔案:ls-l/etc/ssh/*key.pub2確認擁有者為根使用者、群組擁有者為根使用者,以及檔案權限設為0644(-rw-r--r--)。
3透過執行以下命令修正任何問題。
chownroot/etc/ssh/*key.pubchgrproot/etc/ssh/*key.pubchmod644/etc/ssh/*key.pub4透過執行以下命令檢查SSH私密金鑰檔案:ls-l/etc/ssh/*key5確認擁有者為根使用者、群組擁有者為根使用者,以及檔案權限設為0600(-rw-------)。
透過執行以下命令修正任何問題。
chownroot/etc/ssh/*keychgrproot/etc/ssh/*keychmod600/etc/ssh/*key 變更虛擬應用裝置管理介面使用者 您可以在虛擬應用裝置管理介面上新增和刪除使用者,以建立適當的安全性層級。
虛擬應用裝置管理介面的根使用者帳戶使用PAM進行驗證,因此PAM設定的剪輯層級同樣適用。
如果您未適當隔離虛擬應用裝置管理介面,則可能會在攻擊者嘗試暴力密碼破解登入時鎖定系統根帳戶。
此外,如果根帳戶被視為不足以在您的組織中提供多個不可否認的人員,您可能需要選擇變更管理介面的Admin使用者。
必要條件 程序1執行以下命令來建立新使用者,並將其新增至虛擬應用裝置管理介面群組。
useradd-Gvami,rootuser2為使用者建立密碼。
passwduser3(選擇性)執行以下命令以在虛擬應用裝置管理介面上停用根存取權。
usermod-Rvamiroot 備註停用對虛擬應用裝置管理介面的根存取權,亦會停用從[管理]索引標籤更新管理員或根使用者的密碼功能。
設定開機載入器驗證 若要提供適當的安全性層級,請設定VMware虛擬應用裝置上的開機載入器驗證。
VMware,Inc. 18 安全組態指南 如果系統的開機載入器不需要驗證,具有系統主控台存取權的使用者就可以更改系統開機組態或將系統開機至單一使用者或維護模式,這會導致拒絕服務或未經授權的系統存取。
由於VMware虛擬應用裝置上預設未設定開機載入器驗證,因此您必須建立GRUB密碼以進行設定。
程序1確認開機密碼是否存在,方法是在虛擬應用裝置上的/boot/grub/menu.lst檔案中尋找password-- md5行。
2如果該密碼不存在,請在虛擬應用裝置上執行#/usr/sbin/grub-md5-crypt命令。
此時會產生MD5密碼,並且命令會提供md5雜湊輸出。
3執行#password--md5命令,將該密碼附加至menu.lst檔案。
設定NTP 對於重要的時間來源,應停用主機時間同步化並在vRealizeAutomation應用裝置上使用網路時間通訊協定(NTP)。
vRealizeAutomation應用裝置上的NTP精靈可提供同步時間服務。
NTP依預設為停用,所以您需要手動對其進行設定。
請盡可能在生產環境使用NTP,透過準確的稽核和記錄保存來追蹤使用者動作以及偵測潛在的惡意攻擊和入侵。
如需NTP安全性注意事項的相關資訊,請參閱NTP網站。
NTP組態檔案位於每個應用裝置的/etc/資料夾中。
您可為vRealizeAutomation應用裝置啟用NTP服務,並在虛擬應用裝置管理介面的管理員索引標籤上新增時間伺服器。
程序1使用文字編輯器開啟虛擬應用裝置主機上的/etc/ntp.conf組態檔。
2將檔案擁有權設定為root:root。
3將權限設定為0640。
4為了降低對NTP服務進行拒絕服務放大攻擊的風險,請開啟/etc/ntp.conf檔案並確保檔案中存在 restrict行。
restrictrestrictrestrictrestrict defaultkodnomodifynotrapnopeernoquery-6defaultkodnomodifynotrapnopeernoquery127.0.0.1-6::
1 5儲存所有變更並關閉檔案。
為vRealizeAutomation應用裝置傳輸中的資料設定TLS 確保您的vRealizeAutomation部署使用強式TLS通訊協定來保護vRealizeAutomation應用裝置元件的傳輸通道。
VMware,Inc. 19 安全組態指南 基於效能考量,某些應用程式服務之間的localhost連線不會啟用TLS。
但若希望獲得深度防禦,請在所有localhost通訊上啟用TLS。
重要如果您在負載平衡器上終止TLS,請停用所有負載平衡器上不安全的通訊協定,例如SSLv2、SSLv3和TLS1.0。
對Localhost組態啟用TLS 依預設,部分localhost通訊並不會使用TLS。
您可以對所有localhost連線啟用TLS以增強安全性。
程序1使用SSH連線至vRealizeAutomation應用裝置。
2透過執行下列命令來為vcac金鑰儲存區設定權限。
usermod-Avco,coredump,pivotalvcochownvcac.pivotal/etc/vcac/vcac.keystorechmod640/etc/vcac/vcac.keystore 3更新HAProxy組態。
a開啟位於/etc/haproxy/conf.d的HAProxy組態檔,然後選擇20-vcac.cfg服務。
b找到含有下列字串的行:serverlocal127.0.0.1…並將下列內容新增到此類行的結尾:sslverifynone此區段還包含類似以下的其他行: backend-horizonbackend-vrabackend-vra-health backend-vrobackend-artifactory c將backend-horizon的連接埠從8080變更為8443。
4取得keystorePass的密碼。
a在/etc/vcac/security.properties檔案中找到內容certificate.store.password。
例如,certificate.store.password=s2enc~iom0GXATG+RB8ff7Wdm4Bg== b使用下列命令將值解密:vcac-configprop-util-d--pVALUE例如,vcac-configprop-util-d--ps2enc~iom0GXATG+RB8ff7Wdm4Bg== VMware,Inc. 20 安全組態指南 5設定vRealizeAutomation服務a開啟/etc/vcac/server.xml檔案。
b將下列屬性新增至[連接器]標記,其中的certificate.store.password要以etc/vcac/security.properties中的憑證存放區密碼值取代。
scheme=”https”secure=”true”SSLEnabled=”true”sslProtocol=”TLS”keystoreFile=”/etc/vcac/vcac.keystore”keyAlias=”apache”keystorePass=”certificate.store.password” 6設定vRealizeOrchestrator服務。
a開啟/etc/vco/app-server.xml檔案b將下列屬性新增至[連接器]標記,其中的certificate.store.password要以etc/vcac/security.properties中的憑證存放區密碼值取代。
scheme=”https”secure=”true”SSLEnabled=”true”sslProtocol=”TLS”keystoreFile=”/etc/vcac/vcac.keystore”keyAlias=”apache”keystorePass=”certificate.store.password” 7重新啟動vRealizeOrchestrator、vRealizeAutomation與haproxy服務。
servicevcac-serverrestartservicevco-serverrestartservicehaproxyrestart 備註如果無法重新啟動vco-server,請將主機電腦重新開機。
8設定虛擬應用裝置管理介面。
您可以在vRealizeAutomation虛擬應用裝置上執行下列命令以列出服務的狀態。
curl-ks-H"Content-Type:application/json"ponent-registry/services/status/current?
limit=200|jq-re'.content[]|"\(.serviceStatus.serviceName)\(.serviceStatus.serviceInitializationStatus)"' 備註如果您在虛擬應用裝置管理介面上啟用SSL,[服務]索引標籤無法列出vRealizeAutomation服務的狀態。
a開啟/opt/vmware/share/htdocs/service/café-services/services.py檔案。
b將conn=httplib.HTTP()行變更為conn=httplib.HTTPS()以增強安全性。
啟用聯邦資訊處理標準(FIPS)140-2符合性 vRealizeAutomation應用裝置現在會對所有輸入與輸出網路流量中正在透過TLS傳輸的資料,使用聯邦資訊處理標準(FIPS)140-2認證版本的OpenSSL。
VMware,Inc. 21 安全組態指南 您可以在vRealizeAutomation應用裝置管理介面啟用或停用FIPS模式。
您也可以在以根使用者身分登入的情況下,在命令列使用下列命令來設定FIPS: vcac-vamifipsenablevcac-vamifipsdisablevcac-vamifipsstatus 啟用FIPS後,連接埠443上的輸入與輸出vRealizeAutomation應用裝置網路流量會使用符合FIPS140–2的加密。
無論FIPS設定為何,vRealizeAutomation都會使用AES–256來保護儲存在vRealizeAutomation應用裝置上的安全資料。
備註目前vRealizeAutomation僅會部分啟用FIPS符合性,因為某些內部元件尚未使用認證的密碼編譯模組。
在尚未實作認證模組的案例中,所有密碼編譯演算法中都會使用AES–256型加密。
備註當您更改組態時,下列程序會將實體機器重新開機。
程序1以根使用者身分登入vRealizeAutomation應用裝置管理介面。
https://vrealize-automation-appliance-FQDN:54802選取vRA>主機設定。
3按一下右上方[動作]標題下的按鈕以啟用或停用FIPS。
4按一下是重新啟動vRealizeAutomation應用裝置 確認SSLv3、TLS1.0和TLS1.1已停用 做為強化程序的一部分,請確保已部署的vRealizeAutomation應用裝置使用安全的傳輸通道。
備註停用TLS1.0/1.1並啟用TLS1.2之後,無法執行加入叢集作業 必要條件完成對Localhost組態啟用TLS。
程序 1確認SSLv3、TLS1.0和TLS1.1已在vRealizeAutomation應用裝置上的HAProxyhttps處理常式中停用。
檢閱此檔案/etc/haproxy/conf.d/20-vcac.cfg /etc/haproxy/conf.d/30-vroconfig.cfg 確保存在以下內容no-sslv3no-tlsv10notls11force-tls12 no-sslv3no-tlsv10notls11force-tls12 所在的適當行如下所示 bind0.0.0.0:443sslcrt/etc/apache2/server.pemciphers!
aNULL:!
eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTHnosslv3no-tlsv10no-tlsv11 bind:::8283v4v6sslcrt/opt/vmware/etc/lighttpd/server.pemciphers!
aNULL:!
eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTHno-sslv3no-tlsv10no-tlsv11 VMware,Inc. 22 安全組態指南 2重新啟動服務。
servicehaproxyrestart 3開啟/opt/vmware/etc/lighttpd/lighttpd.conf檔案,確認出現正確的停用項目。
備註沒有可在Lighttpd中停用TLS1.0或TLS1.1的指令。
透過強制OpenSSL不使用TLS1.0和TLS1.1的加密套件,可部分減少TLS1.0和TLS1.1的使用限制。
ssl.use-sslv2="disable"ssl.use-sslv3="disable" 4確認已針對vRealizeAutomation應用裝置上的主控台Proxy停用SSLv3、TLS1.0和TLS1.1。
a新增或修改以下行,對/etc/vcac/security.properties檔案進行編輯:consoleproxy.ssl.server.protocols=TLSv1.2b透過執行下列命令重新啟動伺服器:servicevcac-serverrestart 5確認已針對vCO服務停用SSLv3、TLS1.0和TLS1.1。
a找到/etc/vco/app-server/server.xml檔案中的標記,然後新增以下屬性:sslEnabledProtocols="TLSv1.2"b透過執行下列命令重新啟動vCO服務。
servicevco-serverrestart 6確認已針對vRealizeAutomation服務停用SSLv3、TLS1.0和TLS1.1。
a在/etc/vcac/server.xml檔案的標記中新增下列屬性sslEnabledProtocols="TLSv1.2"b透過執行下列命令重新啟動vRealizeAutomation服務:servicevcac-serverrestart
7確認已針對RabbitMQ停用SSLv3、TLS1.0和TLS1.1。
開啟/etc/rabbitmq/rabbitmq.config檔案,確認ssl和ssl_options區段中僅存在{versions,['tlsv1.2']}。
[{ssl,[{versions,['tlsv1.2']},{ciphers,["AES256-SHA","AES128-SHA"]}]},{rabbit,[{tcp_listeners,[{"127.0.0.1",5672}]},{frame_max,262144},{ssl_listeners,[5671]},{ssl_options,[ VMware,Inc. 23 安全組態指南 {cacertfile,"/etc/rabbitmq/certs/ca/cacert.pem"},{certfile,"/etc/rabbitmq/certs/server/cert.pem"},{keyfile,"/etc/rabbitmq/certs/server/key.pem"},{versions,['tlsv1.2']},{ciphers,["AES256-SHA","AES128-SHA"]},{verify,verify_peer},{fail_if_no_peer_cert,false}]},{mnesia_table_loading_timeout,600000},{cluster_partition_handling,autoheal},{heartbeat,600}]},{kernel,[_ticktime,120}]}]. 8重新啟動RabbitMQ伺服器。
#servicerabbitmq-serverrestart 9確認已針對vIDM服務停用SSLv3、TLS1.0和TLS1.1。
針對包含SSLEnabled="true"的每個連接器執行個體,開啟/opt/vmware/horizon/workspace/conf/server.xml檔案並確認存在以下行。
sslEnabledProtocols="TLSv1.2" 為vRealizeAutomation元件設定TLS加密套件 為達到最大的安全性,您必須將vRealizeAutomation元件設定為使用強式密碼。
加密密碼會在伺服器和瀏覽器之間交涉,判斷TLS工作階段使用的加密強度。
為了確保僅選取強式密碼,請在vRealizeAutomation元件中停用弱式密碼。
將伺服器設定為僅支援強式密碼,以及使用足夠大的金鑰大小。
此外,也請依照適當順序設定所有加密。
停用未提供驗證的加密套件,例如NULL加密套件、aNULL或eNULL。
也請停用匿名Diffie-Hellman金鑰交換(ADH)、匯出層級加密(EXP,包含DES的加密)、小於128位元用於加密裝載流量的金鑰大小、針對裝載流量使用MD5做為雜湊機制、IDEA加密套件,以及RC4加密套件。
同時,務請停用使用DiffieHellman(DHE)金鑰交換的加密套件 如需有關停用TLS的詳細資訊,請參閱知識庫文章2146570。
在HAProxy中停用弱式密碼對照可接受的密碼清單檢閱vRealizeAutomation應用裝置HAProxy服務密碼,並停用視為弱式密碼的所有密碼。
停用未提供驗證的加密套件,例如NULL加密套件、aNULL或eNULL。
也請停用匿名Diffie-Hellman金鑰交換(ADH)、匯出層級加密(EXP,包含DES的加密)、小於128位元用於加密裝載流量的金鑰大小、針對裝載流量使用MD5做為雜湊機制、IDEA加密套件,以及RC4加密套件。
VMware,Inc. 24 安全組態指南 程序1檢閱繫結指令的/etc/haproxy/conf.d/20-vcac.cfg檔案密碼項目,並停用視為弱式密碼的所有密 碼。
bind0.0.0.0:443sslcrt/etc/apache2/server.pemciphers!
aNULL:!
eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTHno-sslv3no-tlsv10no-tlsv112檢閱繫結指令的/etc/haproxy/conf.d/30-vro-config.cfg檔案密碼項目,並停用視為弱式密碼的所有密碼。
bind:::8283v4v6sslcrt/opt/vmware/etc/lighttpd/server.pemciphers!
aNULL:!
eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTHno-sslv3no-tlsv10notlsv11 在vRealizeAutomation應用裝置vRealizeAutomation應用裝置主控台Proxy服務中停用弱式密碼對照可接受的密碼清單檢閱vRealizeAutomation應用裝置主控台Proxy服務密碼,並停用視為弱式密碼的所有密碼。
停用未提供驗證的加密套件,例如NULL加密套件、aNULL或eNULL。
也請停用匿名Diffie-Hellman金鑰交換(ADH)、匯出層級加密(EXP,包含DES的加密)、小於128位元用於加密裝載流量的金鑰大小、針對裝載流量使用MD5做為雜湊機制、IDEA加密套件,以及RC4加密套件。
程序1在文字編輯器中開啟/etc/vcac/security.properties檔案。
2在該檔案中新增一行以停用不需要的密碼套件。
對下列行進行適當變化: consoleproxy.ssl.ciphers.disallowed=cipher_suite_1,cipher_suite_2,etc 例如,若要停用AES128和AES256加密套件,請新增下列行: consoleproxy.ssl.ciphers.disallowed=TLS_DH_DSS_WITH_AES_128_CBC_SHA,TLS_DH_DSS_WITH_AES_256_CBC_SHA,TLS_DH_RSA_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_CBC_SHA 3使用下列命令重新啟動伺服器。
servicevcac-serverrestart 在vRealizeAutomation應用裝置vCO服務中停用弱式密碼對照可接受的密碼清單檢閱vRealizeAutomation應用裝置vCO服務密碼,並停用視為弱式密碼的所有密碼。
停用未提供驗證的加密套件,例如NULL加密套件、aNULL或eNULL。
也請停用匿名Diffie-Hellman金鑰交換(ADH)、匯出層級加密(EXP,包含DES的加密)、小於128位元用於加密裝載流量的金鑰大小、針對裝載流量使用MD5做為雜湊機制、IDEA加密套件,以及RC4加密套件。
VMware,Inc. 25 安全組態指南 程序 1找到/etc/vco/app-server/server.xml檔案中的標籤。
2編輯或新增密碼屬性,以使用所需的密碼套件。
請參閱下列範例: ciphers="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384” 在vRealizeAutomation應用裝置RabbitMQ服務中停用弱式密碼對照可接受的密碼清單檢閱vRealizeAutomation應用裝置RabbitMQ服務密碼,並停用視為弱式密碼的所有密碼。
停用未提供驗證的加密套件,例如NULL加密套件、aNULL或eNULL。
也請停用匿名Diffie-Hellman金鑰交換(ADH)、匯出層級加密(EXP,包含DES的加密)、小於128位元用於加密裝載流量的金鑰大小、針對裝載流量使用MD5做為雜湊機制、IDEA加密套件,以及RC4加密套件。
程序 1透過執行#/usr/sbin/rabbitmqctleval'ssl:cipher_suites().'命令評估支援的密碼套件。
以下範例中傳回的密碼僅代表支援的密碼。
RabbitMQ伺服器不會使用或通告這些密碼,除非rabbitmq.config檔案中有所設定。
["ECDHE-ECDSA-AES256-GCM-SHA384","ECDHE-RSA-AES256-GCM-SHA384","ECDHE-ECDSA-AES256-SHA384","ECDHE-RSA-AES256-SHA384","ECDH-ECDSA-AES256-GCM-SHA384","ECDH-RSA-AES256-GCM-SHA384","ECDH-ECDSA-AES256-SHA384","ECDH-RSA-AES256-SHA384","DHE-RSA-AES256-GCM-SHA384","DHE-DSS-AES256-GCM-SHA384","DHE-RSA-AES256-SHA256","DHE-DSS-AES256-SHA256","AES256-GCM-SHA384","AES256-SHA256","ECDHE-ECDSA-AES128-GCM-SHA256","ECDHE-RSA-AES128-GCM-SHA256","ECDHE-ECDSA-AES128-SHA256","ECDHE-RSA-AES128-SHA256","ECDH-ECDSA-AES128-GCM-SHA256","ECDH-RSA-AES128-GCM-SHA256","ECDH-ECDSA-AES128-SHA256","ECDH-RSA-AES128-SHA256","DHE-RSA-AES128-GCM-SHA256","DHE-DSS-AES128-GCM-SHA256","DHE-RSA-AES128-SHA256","DHE-DSS-AES128-SHA256","AES128-GCM-SHA256","AES128-SHA256","ECDHE-ECDSA-AES256-SHA","ECDHE-RSA-AES256-SHA","DHE-RSA-AES256-SHA","DHE-DSS-AES256-SHA","ECDH-ECDSA-AES256-SHA","ECDH-RSA-AES256-SHA","AES256-SHA","ECDHE-ECDSA-DES-CBC3-SHA","ECDHE-RSA-DES-CBC3-SHA","EDH-RSA-DES-CBC3-SHA","EDH-DSS-DES-CBC3-SHA","ECDH-ECDSA-DES-CBC3-SHA","ECDH-RSA-DES-CBC3-SHA","DES-CBC3-SHA","ECDHE-ECDSA-AES128-SHA","ECDHE-RSA-AES128-SHA","DHE-RSA-AES128-SHA","DHE-DSS-AES128-SHA","ECDH-ECDSA-AES128-SHA","ECDH-RSA-AES128-SHA","AES128-SHA"] 2選取符合您組織安全性需求的受支援密碼。
例如,若要僅允許使用ECDHE-ECDSA-AES128-GCM-SHA256&ECDHE-ECDSA-AES256-GCM-SHA384,請檢閱/etc/rabbitmq/rabbitmq.config檔案並將以下行新增至ssl和ssl_options。
VMware,Inc. 26 安全組態指南 {ciphers,[“ECDHE-ECDSA-AES128-GCM-SHA256”,“ECDHE-ECDSA-AES256-GCM-SHA384”]}3使用下列命令重新啟動RabbitMQ伺服器。
servicerabbitmq-serverrestart 確認靜態資料的安全性 確認與vRealizeAutomation搭配使用的資料庫使用者和帳戶的安全性。
Postgres使用者 PostgresLinux使用者帳戶繫結至Postgres資料庫超級使用者帳戶角色,依預設是鎖定的帳戶。
這是此使用者最安全的組態,因為只能透過根使用者帳戶進行存取。
請勿解除鎖定此使用者帳戶。
資料庫使用者帳戶角色 預設Postgres使用者帳戶角色不應用於應用程式功能之外的用途。
若要支援非預設資料庫檢閱或報告活動,應建立其他帳戶並適當保護密碼。
在命令列中執行以下指令碼:vcac-vamiadd-db-usernewUsernamenewPassword這將新增使用者和受該使用者保護的密碼。
備註在已設定主從式HAPostgres設定的情況下,必須針對主Postgres資料庫執行此指令碼。
設定PostgreSQL用戶端驗證 確保vRealizeAutomation應用裝置PostgreSQL資料庫未設定本機信任驗證。
此組態允許任何本機使用者(包括資料庫超級使用者)以任何PostgreSQL使用者身分連線(無需密碼)。
備註Postgres超級使用者帳戶應該保持做為本機信任。
建議使用md5驗證方法,因為其會傳送加密密碼。
用戶端驗證組態設定位於/storage/db/pgdata/pg_hba.conf檔案。
#TYPEDATABASE USER ADDRESS METHOD #"local"isforUnixdomainsocketconnectionsonly local all postgres #IPv4localconnections: #hostall all 127.0.0.1/32 hostsslall all 127.0.0.1/32 #IPv6localconnections: #hostall all ::1/128 hostsslall all ::1/128 trust md5md5 md5md5 #Allow#hosthostsslhostssl remoteconnectionsforVCAC vcac vcac vcac vcac vcac vcac user. 0.0.0.0/00.0.0.0/0::0/0 md5md5 md5 VMware,Inc. 27 安全組態指南 #Allow#hosthostsslhostssl#Allow#hosthostsslhostssl remoteconnectionsforVCACreplicationuser. vcac vcac_replication0.0.0.0/0 md5 vcac vcac_replication0.0.0.0/0 md5 vcac vcac_replication::0/0 md5 replicationconnectionsbyauserwiththereplicationprivilege. replication vcac_replication0.0.0.0/0 md5 replication vcac_replication0.0.0.0/0 md5 replication vcac_replication::0/0 md5 如果您編輯pg_hba.conf檔案,在變更生效之前必須透過執行下列命令重新啟動Postgres伺服器。
#cd/opt/vmware/vpostgres/9.2/bin#supostgres#./pg_ctlrestart–D/storage/db/pgdata/-mfast 設定vRealizeAutomation應用程式資源 檢閱vRealizeAutomation應用程式資源和限制檔案權限。
程序1執行以下命令,以確認含有SUID和GUID位元集的檔案已明確定義。
find/-path/proc-prune-o-typef-perm+6000-ls下列清單應該會出現。
219735724-rwsr-xr-xset-default-helper219735416-rwxr-sr-xread-auth-helper219735312-rwsr-x--grant-helper-pam219735220-rwxr-sr-xgrant-helper219735120-rwxr-sr-xexplicit-grant-helper219735624-rwxr-sr-xrevoke-helper2188203460-rws--x--x213885812-rwxr-sr-x2142482144-rwsr-xr-x2142477164-rwsr-xr-x2142467156-rwsr-xr-x1458298364-rwsr-xr-x214248164-rwsr-xr-x145824940-rwsr-x--2142478148-rwsr-xr-x2142480156-rwsr-xr-x214247948-rwsr-xr-x31148448-rwsr-x--launch-helper87657436-rwsr-xr-x87664812-rwsr-xr-x 4930868-rwsr-xr-x 1polkituserroot 23176Mar312015/usr/lib/PolicyKit/polkit- 1root polkituser14856Mar312015/usr/lib/PolicyKit/polkit- 1root polkituser10744Mar312015/usr/lib/PolicyKit/polkit- 1root polkituser19208Mar312015/usr/lib/PolicyKit/polkit- 1root polkituser19008Mar312015/usr/lib/PolicyKit/polkit- 1root polkituser23160Mar312015/usr/lib/PolicyKit/polkit- 1root1root1root1root1root1root1root1root1root1root1root1root rootttyrootshadowshadowrootroottrustedshadowshadowshadowmessagebus 465364Apr2122:38/usr/lib64/ssh/ssh-keysign10680May102010/usr/sbin/utempter 142890Sep152015/usr/bin/passwd161782Sep152015/usr/bin/chage152850Sep152015/usr/bin/chfn365787Jul222015/usr/bin/sudo 57776Sep152015/usr/bin/newgrp40432Mar182015/usr/bin/crontab146459Sep152015/usr/bin/chsh152387Sep152015/usr/bin/gpasswd46967Sep152015/usr/bin/expiry 47912Sep162014/lib64/dbus-1/dbus-daemon- 1root1root1root shadowshadowroot 35688Apr1010736Dec1663376May27 2014/sbin/unix_chkpwd2011/sbin/unix2_chkpwd2015/opt/likewise/bin/ksu VMware,Inc. 28 安全組態指南 113055240-rwsr-xr-x1root113051140-rwsr-xr-x1root1130600100-rwsr-xr-x1root113060172-rwsr-xr-x1root113051236-rwsr-xr-x1rootdbus-1/dbus-daemon-launch-helper rootrootrootrootroot 40016Apr1640048Apr1594808Mar1169240Mar1135792Apr15 20152011201520152011 /bin/su/bin/ping/bin/mount/bin/umount/bin/ping6 2012 /lib64/ 2執行以下命令,以確認虛擬應用裝置上的所有檔案都有擁有者。
find/-path/proc-prune-o-nouser-o-nogroup 3透過執行下列命令,檢閱虛擬應用裝置之所有檔案的權限,以確認沒有檔案可全域寫入。
find/-name"*.*"-typef-perm-a+w|xargsls–ldb 4執行以下命令,以確認僅vcac使用者擁有正確檔案。
find/-name"proc"-prune-o-uservcac-print|egrep-v-e"*/vcac/*"|egrep-v-e"*/vmware-vcac/*"如果沒有顯示結果,則所有正確檔案僅由vcac使用者擁有。
5確認僅vcac使用者可寫入下列檔案。
/etc/vcac/vcac/security.properties/etc/vcac/vcac/solution-users.properties/etc/vcac/vcac/sso-admin.properties/etc/vcac/vcac/vcac.keystore/etc/vcac/vcac/vcac.properties另請確認下列檔案及其子目錄/var/log/vcac/*/var/lib/vcac/*/var/cache/vcac/* 6確認僅vcac或根使用者可以讀取下列目錄及其子目錄中的正確檔案。
/etc/vcac/*/var/log/vcac/*/var/lib/vcac/*/var/cache/vcac/* 7確認正確檔案僅由vco或根使用者擁有,如下列目錄及其子目錄所示。
/etc/vco/*/var/log/vco/*/var/lib/vco/*/var/cache/vco/* VMware,Inc. 29 安全組態指南 8確認正確檔案僅可由vco或根使用者寫入,如下列目錄及其子目錄所示。
/etc/vco/*/var/log/vco/*/var/lib/vco/*/var/cache/vco/* 9確認正確檔案僅可由vco或根使用者讀取,如下列目錄及其子目錄所示。
/etc/vco/*/var/log/vco/*/var/lib/vco/*/var/cache/vco/* 自訂主控台Proxy組態 您可為vRealizeAutomation自訂遠端主控台組態,以利疑難排解與實施組織做法。
當您安裝、設定或維護vRealizeAutomation時,可變更某些設定來啟用安裝的疑難排解與偵錯。
記載並稽核您進行的每項變更,可確保適用元件皆根據其必要用途適當受保護。
若不確定您的組態變更是否已正確受保護,請勿繼續進行至生產階段。
自訂VMwareRemoteConsole票證到期 您可自訂用於建立VMwareRemoteConsole連線之遠端主控台票證的有效期限。
當使用者進行VMwareRemoteConsole連線時,系統會建立並傳回單次認證,用於建立連往虛擬機器的特定連線。
您可將票證到期時間設定為指定的時間範圍(以分鐘為單位)。
程序1在文字編輯器中開啟/etc/vcac/security.properties檔案。
2新增此形式的行consoleproxy.ticket.validitySec=30至檔案。
在此行中,數值指定票證到期前的分鐘數。
3儲存並關閉檔案。
4使用命令/etc/init.d/vcac-serverrestart重新啟動vcac-server。
票證到期值會重設為指定的時間範圍(以分鐘為單位)。
自訂主控台Proxy伺服器連接埠 您可自訂VMwareRemoteConsole主控台Proxy用於接聽訊息的連接埠。
程序1在文字編輯器中開啟/etc/vcac/security.properties檔案。
VMware,Inc. 30 安全組態指南 2新增此形式的行consoleproxy.service.port=8445至檔案。
數值指定主控台Proxy服務連接埠號碼,在此案例中是8445。
3儲存並關閉檔案。
4使用命令/etc/init.d/vcac-serverrestart重新啟動vcac-server。
Proxy服務連接埠會變更為指定的連接埠號碼。
設定X-XSS-Protection回應標頭 新增X-XSS-Protection回應標頭至haproxy組態檔。
程序1開啟/etc/haproxy/conf.d/20-vcac.cfg以便編輯。
2將下列幾行新增至前端區段: rspdelX-XSS-Protection:\1;\mode=blockrspaddX-XSS-Protection:\1;\mode=block 3使用下列命令重新載入HAProxy組態。
/etc/init.d/haproxyreload 設定X-Content-Type-Options回應標頭 將X-Content-Type-Options回應標頭新增至HAProxy組態。
程序1開啟/etc/haproxy/conf.d/20-vcac.cfg以便編輯。
2將下列幾行新增至前端區段: http-responseset-headerX-Content-Type-Optionsnosniff 3使用下列命令重新載入HAProxy組態。
/etc/init.d/haproxyreload 設定HTTP強制安全傳輸技術回應標頭 新增HTTP強制安全傳輸技術(HSTS)回應標頭至HAProxy組態。
程序1開啟/etc/haproxy/conf.d/20-vcac.cfg以便編輯。
2將下列幾行新增至前端區段: rspdelStrict-Transport-Security:\max-age=31536000rspaddStrict-Transport-Security:\max-age=31536000 VMware,Inc. 31 安全組態指南 3使用下列命令重新載入HAProxy組態。
/etc/init.d/haproxyreload 設定X-Frame-Options回應標頭 在某些情況下,X-Frame-Options回應標頭可能會出現兩次。
由於vIDM服務將此標頭新增至後端以及HAProxy,所以X-Frame-Options回應標頭可能會出現兩次。
您可使用適當的組態,防止此標頭出現兩次。
程序1開啟/etc/haproxy/conf.d/20-vcac.cfg以便編輯。
2在前端區段中找到下列行: rspaddX-Frame-Options:\SAMEORIGIN3將下列幾行新增至您於上一步驟中找到的該行之前。
rspdelX-Frame-Options:\SAMEORIGIN4使用下列命令重新載入HAProxy組態。
/etc/init.d/haproxyreload 設定伺服器回應標頭 安全性最佳做法是設定您的vRealizeAutomation系統,以限制可供潛在攻擊者利用的資訊。
請儘量減少共用的系統身分識別和版本資訊數量。
駭客和惡意執行者可以利用這些資訊對您的Web伺服器或版本發動鎖定攻擊。
設定Lighttpd伺服器回應標頭 最佳做法是為vRealizeAutomation應用裝置lighttpd伺服器建立空白伺服器標頭。
程序1在文字編輯器中開啟/opt/vmware/etc/lighttpd/lighttpd.conf檔案。
2新增server.tag=""至檔案。
3儲存變更並關閉此檔案。
4執行#/opt/vmware/etc/init.d/vami-lighttprestart命令,重新啟動lighttpd伺服器。
為vRealizeAutomation應用裝置設定TCServer回應標頭 最佳做法是為搭配vRealizeAutomation應用裝置使用的TCServer回應標頭建立自訂空白伺服器標頭,以限制惡意攻擊者取得寶貴資訊的可能性。
程序1在文字編輯器中開啟/etc/vco/app-server/server.xml檔案。
VMware,Inc. 32 安全組態指南 2在每個元素中新增server="".例如:
4使用下列命令重新啟動伺服器。
servicevco-serverrestart 設定網際網路資訊服務伺服器回應標頭 最佳做法是為搭配IdentityAppliance使用的網際網路資訊服務(IIS)伺服器建立自訂空白伺服器標頭,限制惡意攻擊者取得寶貴資訊的可能性。
程序1在文字編輯器中開啟C:\Windows\System32\srv\urlscan\UrlScan.ini檔案。
2搜尋RemoveServerHeader=0並將其變更為RemoveServerHeader=1.3儲存變更並關閉此檔案。
4透過執行iisreset命令重新啟動伺服器。
後續步驟從[IIS管理員]主控台的清單中移除HTTP回應標頭,以便停用IISX-PoweredBy標頭。
1開啟[IIS管理員]主控台。
2開啟[HTTP回應標頭]並從清單中將其移除。
3透過執行iisreset命令重新啟動伺服器。
設定vRealizeAutomation應用裝置工作階段逾時 根據公司安全性原則,設定vRealizeAutomation應用裝置上的工作階段逾時設定。
vRealizeAutomation應用裝置針對使用者閒置的預設工作階段逾時為30分鐘。
若要調整此逾時值以符合組織的安全性原則,請編輯vRealizeAutomation應用裝置主機上的web.xml檔案。
程序1在文字編輯器中開啟/usr/lib/vcac/server/webapps/vcac/WEB-INF/web.xml檔案。
2找到session-config並設定工作階段逾時值。
請參閱以下程式碼範例。
--30minutessessionexpirationtime-->30 COOKIE /
servicevcac-serverrestart 管理非必要軟體 為了將安全性風險降至最低,請從vRealizeAutomation主機移除或設定非必要軟體。
依據製造商建議和安全性最佳做法,設定所有您不移除的軟體,以將其建立安全性漏洞的可能性降至最低。
保護USB大型儲存裝置處理常式 保護USB大型儲存裝置處理常式,防止將其做為USB裝置處理常式與VMware虛擬應用裝置主機搭配使用。
潛在攻擊者可能會利用此處理常式危害系統。
程序1在文字編輯器中開啟/etc/modprobe.conf.local檔案。
2確保該檔案中出現installusb-storage/bin/true行。
3儲存並關閉檔案。
保護藍牙通訊協定處理常式 保護虛擬應用裝置主機上的藍牙通訊協定處理常式安全,以防止其遭到攻擊者利用。
將藍牙通訊協定繫結到網路堆疊不但沒必要,而且還會增大主機攻擊面。
程序1在文字編輯器中開啟/etc/modprobe.conf.local檔案。
2確保此檔案中出現以下行。
installbluetooth/bin/true3儲存並關閉檔案。
保護串流控制傳輸通訊協定 依預設會阻止將串流控制傳輸通訊協定(SCTP)載入到系統。
潛在攻擊者可能會利用此通訊協定危害系統。
除非絕對必要,否則請將系統設定為阻止載入串流控制傳輸通訊協定(SCTP)模組。
SCTP是一種未使用的IETF標準化傳輸層通訊協定。
將此通訊協定繫結到網路堆疊會增大主機攻擊面。
透過使用該通訊協定開啟通訊端,無權限的本機程序可能會使核心動態載入通訊協定處理常式。
程序1在文字編輯器中開啟/etc/modprobe.conf.local檔案。
2確保此檔案中出現以下行。
installsctp/bin/true VMware,Inc. 34 安全組態指南 3儲存並關閉檔案。
保護資料包壅塞通訊協定 做為系統強化活動的一部分,依預設會阻止將資料包壅塞通訊協定(DCCP)載入到虛擬應用裝置主機。
潛在攻擊者可能會利用此通訊協定危害系統。
除非絕對必要,否則請避免載入資料包壅塞控制通訊協定(DCCP)模組。
DCCP是一種建議的傳輸層通訊協定,並沒有使用。
將此通訊協定繫結到網路堆疊會增大主機攻擊面。
透過使用該通訊協定開啟通訊端,無權限的本機程序可能會使核心動態載入通訊協定處理常式。
程序1在文字編輯器中開啟/etc/modprobe.conf.local檔案。
2確保該檔案中出現DCCP行。
installp/bin/trueinstallp_ipv4/bin/trueinstallp_ipv6/bin/true 3儲存並關閉檔案。
保護網路橋接 依預設會阻止將網路橋接模組載入到系統。
潛在攻擊者可能會利用它危害系統。
除非絕對必要,否則請將系統設定為阻止載入網路橋接。
潛在攻擊者可能會利用它略過網路磁碟分割和安全性檢查。
程序1在所有VMware虛擬應用裝置主機上執行以下命令。
#rmmodbridge2在文字編輯器中開啟/etc/modprobe.conf.local檔案。
3確保此檔案中出現以下行。
installbridge/bin/false4儲存並關閉檔案。
保護可靠資料包通訊端通訊協定 做為系統強化活動的一部分,依預設會阻止將可靠資料包通訊端(RDS)通訊協定載入到虛擬應用裝置主機。
潛在攻擊者可能會利用此通訊協定危害系統。
將可靠資料包通訊端(RDS)通訊協定繫結到網路堆疊會增大主機攻擊面。
透過使用該通訊協定開啟通訊端,無權限的本機程序可能會使系統動態載入通訊協定處理常式。
程序1在文字編輯器中開啟/etc/modprobe.conf.local檔案。
VMware,Inc. 35 安全組態指南 2確保此檔案中出現installrds/bin/true行。
3儲存並關閉檔案。
保護透明處理序間通訊協定 做為系統強化活動的一部分,依預設會阻止將透明處理序間通訊協定(TIPC)載入到虛擬應用裝置主機。
潛在攻擊者可能會利用此通訊協定危害系統。
將透明處理序間通訊協定(TIPC)繫結到網路堆疊會增大主機攻擊面。
透過使用該通訊協定開啟通訊端,無權限的本機程序可能會使核心動態載入通訊協定處理常式。
程序1在文字編輯器中開啟/etc/modprobe.conf.local檔案。
2確保此檔案中出現installtipc/bin/true行。
3儲存並關閉檔案。
保護網際網路封包交換通訊協定 依預設會阻止將網際網路封包交換(IPX)通訊協定載入到系統。
潛在攻擊者可能會利用此通訊協定危害系統。
除非絕對必要,否則請避免載入網際網路封包交換(IPX)通訊協定模組。
IPX通訊協定是一種過時的網路層通訊協定。
將此通訊協定繫結到網路堆疊會增大主機攻擊面。
透過使用該通訊協定開啟通訊端,無權限的本機程序可能會使系統動態載入通訊協定處理常式。
程序1在文字編輯器中開啟/etc/modprobe.conf.local檔案。
2確保此檔案中出現以下行。
installipx/bin/true3儲存並關閉檔案。
保護AppleTalk通訊協定安全 依預設會阻止將AppleTalk通訊協定載入到系統。
潛在攻擊者可能會利用此通訊協定危害系統。
除非絕對必要,否則請避免載入AppleTalk通訊協定模組。
將此通訊協定繫結到網路堆疊會增大主機攻擊面。
透過使用該通訊協定開啟通訊端,無權限的本機程序可能會使系統動態載入通訊協定處理常式。
程序1在文字編輯器中開啟/etc/modprobe.conf.local檔案。
2確保此檔案中出現以下行。
installappletalk/bin/true3儲存並關閉檔案。
VMware,Inc. 36 安全組態指南 保護通訊協定 依預設會阻止將通訊協定載入到系統。
潛在攻擊者可能會利用此通訊協定危害系統。
除非絕對必要,否則請避免載入通訊協定模組。
將此通訊協定繫結到網路堆疊會增大主機攻擊面。
透過使用該通訊協定開啟通訊端,無權限的本機程序可能會使系統動態載入通訊協定處理常式。
程序1在文字編輯器中開啟通訊協定/etc/modprobe.conf.local檔案。
2確保此檔案中出現以下行。
install/bin/true3儲存並關閉檔案。
保護FireWire模組 依預設會阻止將FireWire模組載入到系統。
潛在攻擊者可能會利用此通訊協定危害系統。
除非絕對必要,否則請避免載入FireWire模組。
程序1在文字編輯器中開啟/etc/modprobe.conf.local檔案。
2確保此檔案中出現以下行。
installieee1394/bin/true3儲存並關閉檔案。
保護基礎結構即服務元件 在強化系統時,請保護vRealizeAutomation基礎結構即服務(IaaS)元件及其主機,以防止其遭到潛在攻擊者利用。
必須針對vRealizeAutomation基礎結構即服務(IaaS)元件及該元件所在的主機進行安全性設定。
必須設定或確認其他相關元件和應用程式的組態。
在某些情況下,您可以確認現有設定,但其他情況下必須變更或新增設定才能取得適當的組態。
設定NTP 安全性最佳做法是在vRealizeAutomation生產環境中使用授權的時間伺服器,而非主機時間同步化。
在生產環境中,請停用主機時間同步化並使用授權的時間伺服器,以支援透過稽核與記錄,準確追蹤使用者動作以及識別潛在的惡意攻擊與入侵。
為基礎結構即服務傳輸中的資料設定TLS 確定您的vRealizeAutomation部署使用強式TLS通訊協定來保護基礎結構即服務元件的傳輸通道。
VMware,Inc. 37 安全組態指南 安全通訊端層(SSL)與最近開發的傳輸層安全性(TLS)是密碼編譯式通訊協定,可協助確保在不同的系統元件之間進行網路通訊時的系統安全。
由於SSL是較舊的標準,其許多實作已無法再針對潛在攻擊提供足夠的安全防範。
舊版SSL通訊協定(包括SSLv2和SSLv3)已被識別出嚴重的弱點。
這些通訊協定已被視為不夠安全。
視貴組織的安全性原則而定,您可能也會想停用TLS1.0。
備註在負載平衡器上終止TLS時,請視需要一併停用弱式通訊協定,例如SSLv2、SSLv3以及TLS1.0和1.1。
針對IaaS啟用TLS1.1和1.2通訊協定 在裝載IaaS元件的所有虛擬機器上啟用並強制使用TLS1.1和1.2通訊協定。
程序1按一下開始和執行。
2輸入Regedit,然後按一下確定。
3找到並開啟下列登錄子機碼。
HKEYLOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SChannel\Protocols4確認下列項目並根據需要建立新項目。
n如果通訊協定下方沒有名稱為TLS1.1的子機碼,請建立一個。
n如果TLS1.1下方沒有名稱為Client的子機碼,請建立一個。
n如果Client子機碼中沒有名稱為DisabledByDefault的機碼,請建立一個類型為DWORD的機 碼。
n在DisabledByDefault上按一下滑鼠右鍵,選取[修改],然後將其值設定為
0。
n如果Client子機碼中沒有名稱為Enabled的機碼,請建立一個類型為DWORD的機碼。
n在Enabled上按一下滑鼠右鍵,選取[修改],然後將其值設定為
1。
n如果TLS1.1下方沒有名稱為Server的子機碼,請建立一個。
n如果Server子機碼中沒有名稱為DisabledByDefault的機碼,請建立一個類型為DWORD的機 碼。
n在DisabledByDefault上按一下滑鼠右鍵,選取[修改],然後將其值設定為
0。
n如果Server子機碼中沒有名稱為Enabled的機碼,請建立一個類型為DWORD的機碼。
n在Enabled上按一下滑鼠右鍵,選取[修改],然後將其值設定為
1。
5針對TLS1.2通訊協定重複前述步驟。
備註若要強制使用TLS1.1和1.2,則需要後續步驟中所述的其他設定。
6找到並開啟下列登錄子機碼。
HKEYLOCAL_MACHINE\SOFTWARE\Microsoft\.NETFrmework\v4.0.30319 VMware,Inc. 38 安全組態指南 7確認下列項目並根據需要建立新項目。
n如果沒有名稱為SchUseStrongCrypto的DWORD項目,請建立一個並將其值設定為
1。
n如果沒有名稱為SystemDefaultTlsVersions的DWORD項目,請建立一個並將其值設定為
1。
8找到並開啟下列登錄子機碼。
HKEYLOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFrmework\v4.0.30319 9確認下列項目並根據需要建立新項目。
n如果沒有名稱為SchUseStrongCrypto的DWORD項目,請建立一個並將其值設定為
1。
n如果沒有名稱為SystemDefaultTlsVersions的DWORD項目,請建立一個並將其值設定為
1。
針對IaaS停用SSL3.0和TLS1.0 針對IaaS元件停用SSL3.0和已過時的TLS1.0通訊協定。
程序1按一下開始和執行。
2輸入Regedit,然後按一下確定。
3找到並開啟下列登錄子機碼。
HKEYLOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SChannel\Protocols4確認下列項目並根據需要建立新項目。
n如果通訊協定的SSL3.0下方沒有帶名稱的子機碼,請建立一個。
n如果SSL3.0下方沒有名稱為Client的子機碼,請建立一個。
n如果Client子機碼中沒有名稱為DisabledByDefault的機碼,請建立一個類型為DWORD的機 碼。
n在DisabledByDefault上按一下滑鼠右鍵,選取[修改],然後將其值設定為
1。
n在Enabled上按一下滑鼠右鍵,選取[修改],然後將其值設定為
0。
n如果SSL3.0下方沒有名稱為Server的子機碼,請建立一個。
n如果Server子機碼中沒有名稱為DisabledByDefault的機碼,請建立一個類型為DWORD的機 碼。
n在DisabledByDefault上按一下滑鼠右鍵,選取[修改],然後將其值設定為
1。
n如果Server中沒有名稱為Enabled的機碼,請建立一個類型為DWORD的機碼。
n在Enabled上按一下滑鼠右鍵,選取[修改],然後將其值設定為
0。
5針對TLS1.0通訊協定重複前述步驟。
針對IaaS停用TLS1.0 為提供最高安全性,請將IaaS設定為使用集區並停用TLS1.0。
VMware,Inc. 39 安全組態指南 如需詳細資訊,請參閱Microsoft知識庫文章,網址為/en-us/kb/245030。
程序1將IaaS設定為使用集區而非Web通訊端。
a在區段中新增以下值,以更新ManagerServices組態檔C:\ProgramFiles(x86)\VMware\vCAC\Server\ManagerService.exe.config
2確認TLS1.0在IaaS伺服器上已停用。
a以管理員身分執行登錄編輯器。
b在登錄視窗中導覽到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control \SecurityProviders\Schannel\Protocols\c在Protocols上按一下滑鼠右鍵,選取新增>機碼,然後輸入TLS1.0。
d在導覽樹狀結構中,在剛建立的TLS1.0機碼上按一下滑鼠右鍵,然後在快顯功能表中選取新增> 機碼並輸入Client。
e在導覽樹狀結構中,在剛建立的TLS1.0機碼上按一下滑鼠右鍵,然後在快顯功能表中選取新增> 機碼並輸入Server。
f在導覽樹狀結構中的TLS1.0下方,在Client上按一下滑鼠右鍵,然後按一下新增>DWORD (32-位元)值並輸入DisabledByDefault。
g在導覽樹狀結構中的TLS1.0下方,選取Client,然後在右窗格中按兩下DisabledByDefault DWORD並輸入
1。
h在導覽樹狀結構中的TLS1.0下方,在Server上按一下滑鼠右鍵,然後選取新增>DWORD(32- 位元)值並輸入Enabled。
i在導覽樹狀結構中的TLS1.0下方,選取Server,然後在右窗格中按兩下EnabledDWORD並輸 入
0。
j重新啟動WindowsServer。
設定TLS加密套件 為達到最大的安全性,您必須將vRealizeAutomation元件設定為使用強式密碼。
加密密碼會在伺服器和瀏覽器之間交涉,判斷TLS工作階段使用的加密強度。
為了確保僅選取強式密碼,請在vRealizeAutomation元件中停用弱式密碼。
將伺服器設定為僅支援強式密碼,以及使用足夠大的金鑰大小。
此外,也請依照適當順序設定所有加密。
VMware,Inc. 40 安全組態指南 不接受的加密套件 停用未提供驗證的加密套件,例如NULL加密套件、aNULL或eNULL。
也請停用匿名Diffie-Hellman金鑰交換(ADH)、匯出層級加密(EXP,包含DES的加密)、小於128位元用於加密裝載流量的金鑰大小、針對裝載流量使用MD5做為雜湊機制、IDEA加密套件,以及RC4加密套件。
同時,務請停用使用DiffieHellman(DHE)金鑰交換的加密套件。
如需在vRealizeAutomation中停用靜態金鑰加密的相關資訊,請參閱知識庫文章71094。
確認主機伺服器安全性 安全性最佳做法是確認基礎結構即服務(IaaS)主機伺服器機器的安全性組態。
Microsoft提供了數種工具來協助您確認主機伺服器機器的安全性。
請連絡您的Microsoft廠商,以取得有關這些工具最適當的使用方式指引。
確認主機伺服器安全基準 執行MicrosoftBaselineSecurityAnalyzer(MBSA)以快速確認您的伺服器是否具有最新的更新或Hotfix。
您可以依照Microsoft安全性建議,使用MBSA安裝缺少的Microsoft安全性修補程式,以使伺服器保持最新狀態。
從Microsoft網站下載最新版本的MBSA工具。
確認主機伺服器安全性組態 使用Windows安全性設定精靈(SCW)和MicrosoftSecurityComplianceManager(SCM)工具組來確認主機伺服器是否已安全設定。
從Windows伺服器的系統管理工具中執行SCW。
此工具可識別伺服器角色和已安裝的功能(包括網路功能、Windows防火牆和登錄設定)。
將報告與來自Windows伺服器之相關SCM的最新強化指引進行比較。
您可以根據結果微調每項功能(如網路服務、帳戶設定和Windows防火牆)的安全性設定,並將這些設定套用至伺服器。
您可以在Microsoft網站上尋找有關SCW工具的詳細資訊。
保護應用程式資源 安全性最佳做法是確保所有相關基礎結構即服務檔案都擁有適當權限。
針對您的基礎結構即服務安裝檢閱基礎結構即服務檔案。
在大多數情況下,每個資料夾的子資料夾和檔案應該具有與資料夾相同的設定。
目錄或檔案VMware\vCAC\Agents\\logs
VMware\vCAC\Agents\\temp
群組或使用者系統管理員管理員系統管理員
完全控制修改
X X
X X
X X
X X
X X 讀取和執 行 讀取 寫入
X X
X X
X X
X X
X X
X X
X X
X VMware,Inc. 41 安全組態指南 目錄或檔案VMware\vCAC\Agents\ VMware\vCAC\DistributedExecutionManager\VMware\vCAC\DistributedExecutionManager\DEM\LogsVMware\vCAC\DistributedExecutionManager\DEO\LogsVMware\vCAC\ManagementAgent\ VMware\vCAC\Server\ VMware\vCAC\WebAPI 群組或使用者管理員系統管理員使用者系統管理員使用者系統管理員管理員系統管理員管理員系統管理員使用者系統管理員使用者系統管理員使用者 完全控制修改
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X 讀取和執 行 讀取 寫入
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X 保護基礎結構即服務主機的安全 安全性最佳做法是,檢閱基礎結構即服務(IaaS)主機的基本設定,確保其符合安全準則。
保護基礎結構即服務(IaaS)主機上的其他帳戶、應用程式、連接埠以及服務的安全。
確認伺服器使用者帳戶設定 確認不存在不必要的本機和網域使用者帳戶及設定。
將與應用程式功能無關的所有使用者帳戶限制為進行管理、維護和疑難排解所需的功能。
將網域使用者帳戶的遠端存取權限制為維護伺服器所需的最低權限。
嚴格控制和稽核這些帳戶。
刪除不必要的應用程式 從主機伺服器中刪除所有不必要的應用程式。
不必要的應用程式由於具備未知或未修補的漏洞,會提高暴露風險。
VMware,Inc. 42 安全組態指南 停用不必要的連接埠和服務 檢閱主機伺服器防火牆的開啟連接埠清單。
封鎖對IaaS元件或關鍵系統作業非必要的所有連接埠。
請參閱設定連接埠和通訊協定。
稽核對主機伺服器執行的服務,並停用不需要的服務。
VMware,Inc. 43 設定主機網路安全性
8 為了針對已知的安全性威脅提供最強的防禦,請在所有VMware主機上進行網路介面與通訊的設定。
在全面的安全性計劃中,請根據既定的安全性準則,針對VMware虛擬應用裝置以及基礎結構即服務元件進行網路介面安全性設定。
本章節討論下列主題:n為VMware應用裝置進行網路設定n為基礎結構即服務主機進行網路設定n設定連接埠和通訊協定 為VMware應用裝置進行網路設定 為了確保您的VMware虛擬應用裝置主機僅支援安全的基本通訊,請檢閱並編輯其網路通訊設定。
根據安全性準則,檢查VMware主機的網路IP通訊協定組態,以及進行網路設定。
停用所有非必要的通訊協定。
阻止使用者控制網路介面 安全性最佳做法是允許使用者僅具有在VMware應用裝置主機上完成其工作所需的系統權限。
允許具有權限的使用者帳戶操縱網路介面會導致略過網路安全性機制或拒絕服務。
限制具有權限的使用者變更網路介面設定的能力。
程序1在每個VMware應用裝置主機上執行下列命令。
#grep-i'^USERCONTROL='/etc/work/ifcfg*2請確保每個介面都設為NO。
設定TCP待處理項目佇列大小 若要針對惡意攻擊提供一定程度的防禦,請在VMware應用裝置主機上設定預設TCP待處理項目佇列大小。
將TCP待處理項目佇列大小設定為適當的預設大小,以降低TCP拒絕服務攻擊的風險。
建議的預設設定為1280。
VMware,Inc. 44 安全組態指南 程序1在每個VMware應用裝置主機上執行以下命令。
#cat/proc//ipv4/tcp_max_syn_backlog2在文字編輯器中開啟/etc/sysctl.conf檔案。
3透過將以下項目新增至該檔案來設定預設TCP待處理項目佇列大小。
net.ipv4.tcp_max_syn_backlog=12804儲存變更並關閉此檔案。
拒絕ICMPv4廣播位址回應 安全性最佳做法是確認您的VMware應用裝置主機忽略ICMP廣播位址回應要求。
對廣播網際網路控制訊息通訊協定(ICMP)回應進行回應會為放大攻擊提供攻擊媒介,並且可能會讓惡意代理程式更容易進行網路對應。
將您的應用裝置主機設定為忽略ICMPv4回應,可以抵禦此類攻擊。
程序1在VMware虛擬應用裝置主機上執行#cat/proc//ipv4/icmp_echo_ignore_broadcasts命 令,以確認這些主機拒絕IPv4廣播位址回應要求。
如果主機設定為拒絕IPv4重新導向,則此命令會針對/proc//ipv4/icmp_echo_ignore_broadcasts傳回值
0。
2若要將虛擬應用裝置主機設定為拒絕ICMPv4廣播位址回應要求,請在Windows主機的文字編輯器中開啟/etc/sysctl.conf檔案。
3找到內容為.ipv4.icmp_echo_ignore_broadcasts=0的項目。
如果該項目的值未設定為零或是該項目不存在,請新增該項目或相應地更新現有項目。
4儲存變更並關閉檔案。
停用IPv4ProxyARP 確認IPv4ProxyARP已停用,以防未經授權的資訊共用(除非您的VMware應用裝置主機有其他要求)。
IPv4ProxyARP允許系統代表連線至一個介面的主機傳送對另一個介面上ARP要求的回應。
如果不需要防止附加網路區段之間的定址資訊洩漏,請將其停用。
程序1在VMware虛擬應用裝置主機上執行#grep[01]/proc//ipv4/conf/*/proxy_arp| egrep"default|all"命令,以確認IPv4ProxyARP已停用。
如果在主機上停用IPv6ProxyARP,此命令將傳回值
0。
/proc//ipv4/conf/all/proxy_arp:0/proc//ipv4/conf/default/proxy_arp:
0 如果主機已正確設定,則無需進行進一步動作。
VMware,Inc. 45 安全組態指南 2如果需要在主機上設定IPv6ProxyARP,請在文字編輯器中開啟/etc/sysctl.conf檔案。
3檢查下列項目。
net.ipv4.conf.default.proxy_arp=.ipv4.conf.all.proxy_arp=
0 如果這些項目不存在或是其值未設定為零,請新增這些項目或相應地更新現有項目。
4儲存您進行的任何變更並關閉檔案。
拒絕IPv4ICMP重新導向訊息 安全性最佳做法是確認您的VMware虛擬應用裝置主機拒絕IPv4ICMP重新導向訊息。
路由器使用ICMP重新導向訊息來通知主機,目的地存在更直接的路由器。
惡意的ICMP重新導向訊息容易產生攔截式攻擊。
這些訊息會修改主機的路由器資料表且未經驗證。
如果不需要這些訊息,請確保您的系統設定為忽略這些訊息。
程序1在VMware應用裝置主機上執行#grep[01]/proc//ipv4/conf/*/ept_redirects|egrep "default|all"命令,以確認這些主機拒絕IPv4重新導向訊息。
如果主機設定為拒絕IPv4重新導向,則此命令會傳回下列內容:/proc//ipv4/conf/all/ept_reidrects:0 /proc//ipv4/conf/default/ept_redirects:0 2如果需要將虛擬應用裝置主機設定為拒絕IPv4重新導向訊息,請在文字編輯器中開啟/etc/sysctl.conf檔案。
3查看開頭為.ipv4.conf的幾行的值。
如果以下項目的值未設定為零或是這些項目不存在,請新增至檔案或相應地更新現有項目。
ept_redirects=ept_redirects=0 4儲存您進行的任何變更並關閉檔案。
拒絕IPv6ICMP重新導向訊息 安全性最佳做法是確認您的VMware虛擬應用裝置主機會拒絕IPv6ICMP重新導向訊息。
路由器使用ICMP重新導向訊息來通知主機,目的地存在更直接的路由器。
惡意的ICMP重新導向訊息容易產生攔截式攻擊。
這些訊息會修改主機的路由器資料表且未經驗證。
若無其他必要用途,請務必將您的系統設定為忽略這些訊息。
VMware,Inc. 46 安全組態指南 程序1在VMware虛擬應用裝置主機上執行#grep[01]/proc//ipv6/conf/*/ept_redirects| egrep"default|all"命令,確認這些主機會拒絕IPv6重新導向訊息。
如果主機設定為拒絕IPv6重新導向,則此命令會傳回下列結果:/proc//ipv6/conf/all/ept_redirects:0/proc//ipv6/conf/default/ept_redirects:02若要將虛擬應用裝置主機設定為拒絕IPv4重新導向訊息,請在文字編輯器中開啟/etc/sysctl.conf檔案。
3查看開頭為.ipv6.conf的幾行的值。
如果下列項目的值未設為零,或是下列項目不存在,請將下列項目新增至檔案,或相應更新現有項目。
ept_redirects=ept_redirects=0 4儲存變更並關閉檔案。
記錄IPv4Martian封包 安全性最佳做法是確認您的VMware虛擬應用裝置主機會記錄IPv4Martian封包。
Martian封包包含系統已知無效的位址。
請將主機設定為記錄這些訊息,讓您能夠識別錯誤組態或進行中的攻擊。
程序1在VMware應用裝置主機上執行#grep[01]/proc//ipv4/conf/*/log_martians|egrep "default|all"命令,確認這些主機會記錄IPv4Martian封包。
如果虛擬機器已設定為記錄Martian封包,則會傳回下列結果: /proc//ipv4/conf/all/log_martians:1/proc//ipv4/default/log_martians:
1 如果主機已正確設定,則無需進行進一步動作。
2如果您需要將虛擬機器設定為記錄IPv4Martian封包,請在文字編輯器中開啟/etc/sysctl.conf檔 案。
3查看開頭為.ipv4.conf的幾行的值。
如果下列項目的值未設為
1,或是下列項目不存在,請將下列項目新增至檔案,或是相應更新現有項目。
net.ipv4.conf.all.log_martians=.ipv4.conf.default.log_martians=1 4儲存變更並關閉此檔案。
VMware,Inc. 47 安全組態指南 使用IPv4反向路徑篩選 安全性最佳做法是確認您的VMware虛擬應用裝置主機使用IPv4反向路徑篩選。
反向路徑篩選可以透過讓系統捨棄來源位址不具有路由或路由不指向原始介面的封包,來抵禦偽造的來源位址。
請盡可能將您的主機設定為使用反向路徑篩選。
在某些情況下,取決於系統角色,反向路徑篩選可能會導致系統捨棄合法流量。
如果您遇到此類問題,可能需要使用更寬鬆的模式或是完全停用反向路徑篩選。
程序1在VMware虛擬應用裝置主機上執行#grep[01]/proc//ipv4/conf/*/rp_filter|egrep "default|all"命令,確認這些機器使用IPv4反向路徑篩選。
如果虛擬機器使用IPv4反向路徑篩選,此命令會傳回下列內容: /proc//ipv4/conf/all/rp_filter:1/proc//ipv4/conf/default/re_filter:
1 如果虛擬機器的設定正確,則無需執行進一步的動作。
2如果需要在主機上設定IPv4反向路徑篩選,請在文字編輯器中開啟/etc/sysctl.conf檔案。
3查看開頭為.ipv4.conf的幾行的值。
如果下列項目的值不是設為1或者項目不存在,請新增這些項目至檔案或相應地更新現有項目。
net.ipv4.conf.all.rp_filter=.ipv4.conf.default.rp_filter=1 4儲存變更並關閉檔案。
拒絕IPv4轉送 確認您的VMware應用裝置主機拒絕IPv4轉送。
如果系統已針對IP轉送進行設定但不是指定的路由器,則攻擊者可能會透過為網路裝置未篩選的通訊提供路徑,利用此系統來略過網路安全性。
請將您的虛擬應用裝置主機設定為拒絕IPv4轉送來避免這一風險。
程序1在VMware應用裝置主機上執行#cat/proc//ipv4/ip_forward命令,以確認這些主機 拒絕IPv4轉送。
如果主機設定為拒絕IPv4轉送,則此命令會針對/proc//ipv4/ip_forward傳回值
0。
如果虛擬機器已正確設定,則無需進行進一步動作。
2若要將虛擬應用裝置主機設定為拒絕IPv4轉送,請在文字編輯器中開啟/etc/sysctl.conf檔案。
3找到內容為.ipv4.ip_forward=0的項目。
如果該項目的值目前未設定為零或是該項目不存在,請新增該項目或相應地更新現有項目。
4儲存任何變更並關閉檔案。
VMware,Inc. 48 安全組態指南 拒絕IPv6轉送 安全性最佳做法是確認您的VMware應用裝置主機系統拒絕IPv6轉送。
如果系統已針對IP轉送進行設定但不是指定的路由器,則攻擊者可能會透過為網路裝置未篩選的通訊提供路徑,利用此系統來略過網路安全性。
請將您的虛擬應用裝置主機設定為拒絕IPv6轉送來避免這一風險。
程序1在VMware應用裝置主機上執行#grep[01]/proc//ipv6/conf/*/forwarding|egrep "default|all"命令,以確認這些主機拒絕IPv6轉送。
如果主機設定為拒絕IPv6轉送,則此命令會傳回下列內容: /proc//ipv6/conf/all/forwarding:0/proc//ipv6/conf/default/forwarding:
0 如果主機已正確設定,則無需進行進一步動作。
2如果需要將主機設定為拒絕IPv6轉送,請在文字編輯器中開啟/etc/sysctl.conf檔案。
3查看開頭為.ipv6.conf的幾行的值。
如果以下項目的值未設定為零或是這些項目不存在,請新增這些項目或相應地更新現有項目。
ept_redirects=ept_redirects=0 4儲存您進行的任何變更並關閉檔案。
使用IPv4TCPSyncookie 確認您的VMware應用裝置主機使用IPv4TCPSyncookie。
透過用SYN_RCVD狀態的連線填滿系統的TCP連線表,TCPSYN洪水攻擊可能會導致拒絕服務。
Syncookie可阻止追蹤連線,直到收到後續ACK並確認啟動器正嘗試有效連線且不是洪水來源為止。
此技術的運作方式雖然不完全符合標準,但僅在出現洪水攻擊情況時啟用,並且可在防護系統的同時繼續為有效要求提供服務。
程序1在VMware應用裝置主機上執行#cat/proc//ipv4/tcp_syncookies命令,以確認這些 主機是否使用IPv4TCPSyncookie。
如果主機設定為拒絕IPv4轉送,此命令會針對/proc//ipv4/tcp_syncookies傳回值
1。
如果虛擬機器已正確設定,則無需進行進一步動作。
2如果需要將虛擬應用裝置設定為使用IPv4TCPSyncookie,請在文字編輯器中開啟/etc/sysctl.conf。
3找到內容為.ipv4.tcp_syncookies=1的項目。
如果此項目的值目前未設定為1或其不存在,請新增該項目或相應地更新現有項目。
VMware,Inc. 49 安全組態指南 4儲存您進行的任何變更並關閉檔案。
拒絕IPv6路由器通告 確認VMware主機拒絕接受路由器通告和ICMP重新導向(除非系統運作需要接受)。
IPv6可讓系統透過自動使用網路中的資訊來設定其網路裝置。
從安全性角度而言,與以未經驗證的方式接受網路中的資訊相比,手動設定重要組態資訊更為可取。
程序1在VMware應用裝置主機上執行#grep[01]/proc//ipv6/conf/*/ept_ra|egrep "default|all"命令,以確認這些主機拒絕路由器通告。
如果主機設定為拒絕IPv6路由器通告,則此命令會傳回值0: /proc//ipv6/conf/all/ept_ra:0/proc//ipv6/conf/default/ept_ra:
0 如果主機已正確設定,則無需進行進一步動作。
2如果需要將主機設定為拒絕IPv6路由器通告,請在文字編輯器中開啟/etc/sysctl.conf檔案。
3檢查下列項目。
ept_ra=ept_ra=
0 如果這些項目不存在或是其值未設定為零,請新增這些項目或相應地更新現有項目。
4儲存您進行的任何變更並關閉檔案。
拒絕IPv6路由器請求 安全性最佳做法是確認您的VMware應用裝置主機拒絕IPv6路由器請求(除非系統運作需要接受)。
路由器請求設定可決定啟動介面時傳送的路由器請求數量。
如果已靜態指派位址,則無需傳送任何請求。
程序1在VMware應用裝置主機上執行#grep[01]/proc//ipv6/conf/*/router_solicitations| egrep"default|all"命令,以確認這些主機拒絕IPv6路由器請求。
如果主機設定為拒絕IPv6路由器通告,則此命令會傳回下列內容: /proc//ipv6/conf/all/router_solicitations:0/proc//ipv6/conf/default/router_solicitations:
0 如果主機已正確設定,則無需進行進一步動作。
2如果需要將主機設定為拒絕IPv6路由器請求,請在文字編輯器中開啟/etc/sysctl.conf檔案。
VMware,Inc. 50 安全組態指南 3檢查下列項目。
net.ipv6.conf.all.router_solicitations=.ipv6.conf.default.router_solicitations=
0 如果這些項目不存在或是其值未設定為零,請新增這些項目或相應地更新現有項目。
4儲存任何變更並關閉檔案。
拒絕路由器請求中的IPv6路由器喜好設定 確認您的VMware應用裝置主機拒絕IPv6路由器請求(除非系統運作需要接受)。
請求設定中的路由器喜好設定可決定路由器的喜好設定。
如果已靜態指派位址,則無需接收請求中的任何路由器喜好設定。
程序1在VMware應用裝置主機上執行#grep[01]/proc//ipv6/conf/*/ ept_ra_rtr_pref|egrep"default|all"命令,以確認這些主機拒絕IPv6路由器請求。
如果主機設定為拒絕IPv6路由器通告,則此命令會傳回下列內容: /proc//ipv6/conf/all/ept_ra_rtr_pref:0/proc//ipv6/conf/default/ept_ra_rtr_pref:
0 如果主機已正確設定,則無需進行進一步動作。
2如果需要將主機設定為拒絕IPv6路由器請求,請在文字編輯器中開啟/etc/sysctl.conf檔案。
3檢查下列項目。
ept_ra_rtr_pref=ept_ra_rtr_pref=
0 如果這些項目不存在或是其值未設定為零,請新增這些項目或相應地更新現有項目。
4儲存您進行的任何變更並關閉檔案。
拒絕IPv6路由器前置詞 確認您的VMware應用裝置主機拒絕IPv6路由器前置詞資訊(除非系統運作需要接受)。
ept_ra_pinfo設定可控制系統是否接受路由器的前置詞資訊。
如果已靜態指派位址,則無需接收任何路由器前置詞資訊。
VMware,Inc. 51 安全組態指南 程序1在VMware應用裝置主機上執行#grep[01]/proc//ipv6/conf/*/ept_ra_pinfo| egrep"default|all"命令,以確認這些主機拒絕IPv6路由器前置詞資訊。
如果主機設定為拒絕IPv6路由器通告,則此命令會傳回下列內容。
/proc//ipv6/conf/all/ept_ra_pinfo:0/proc//ipv6/conf/default/ept_ra_pinfo:
0 如果主機已正確設定,則無需進行進一步動作。
2如果需要將主機設定為拒絕IPv6路由器前置詞資訊,請在文字編輯器中開啟/etc/sysctl.conf檔 案。
3檢查下列項目。
ept_ra_pinfo=ept_ra_pinfo=
0 如果這些項目不存在或是其值未設定為零,請新增這些項目或相應地更新現有項目。
4儲存任何變更並關閉檔案。
拒絕IPv6路由器通告躍點限制設定 確認您的VMware應用裝置主機拒絕IPv6路由器躍點限制設定(除非有必要)。
ept_ra_defrtr設定可控制系統是否接受路由器通告的躍點限制設定。
將其設定為零可防止路由器變更傳出封包的預設IPv6躍點限制。
程序1在VMware應用裝置主機上執行#grep[01]/proc//ipv6/conf/*/ept_ra_defrtr|egrep "default|all"命令,以確認這些主機拒絕IPv6路由器躍點限制設定。
如果主機設定為拒絕IPv6路由器躍點限制設定,則此命令會傳回值
0。
/proc//ipv6/conf/all/ept_ra_defrtr:0/proc//ipv6/conf/default/ept_ra_defrtr:
0 如果主機已正確設定,則無需進行進一步動作。
2如果需要將主機設定為拒絕IPv6路由器躍點限制設定,請在文字編輯器中開啟/etc/sysctl.conf檔 案。
3檢查下列項目。
net.ipv6.conf.all.autoconf=.ipv6.conf.default.autoconf=
0 如果這些項目不存在或是其值未設定為零,請新增這些項目或相應地更新現有項目。
4儲存您進行的任何變更並關閉檔案。
VMware,Inc. 52 安全組態指南 拒絕IPv6路由器通告自動組態設定 確認您的VMware應用裝置主機拒絕IPv6路由器自動組態設定(除非有必要)。
autoconf設定可控制路由器通告是否能夠使系統向介面指派全域單點傳播位址。
程序1在VMware應用裝置主機上執行#grep[01]/proc//ipv6/conf/*/autoconf|egrep "default|all"命令,以確認這些主機拒絕IPv6路由器自動組態設定。
如果主機設定為拒絕IPv6路由器自動組態設定,則此命令會傳回值
0。
/proc//ipv6/conf/all/autoconf:0/proc//ipv6/conf/default/autoconf:
0 如果主機已正確設定,則無需進行進一步動作。
2如果需要將主機設定為拒絕IPv6路由器自動組態設定,請在文字編輯器中開啟/etc/sysctl.conf檔 案。
3檢查下列項目。
net.ipv6.conf.all.autoconf=.ipv6.conf.default.autoconf=
0 如果這些項目不存在或是其值未設定為零,請新增這些項目或相應地更新現有項目。
4儲存您進行的任何變更並關閉檔案。
拒絕IPv6芳鄰請求 確認您的VMware應用裝置主機拒絕IPv6芳鄰請求(除非有必要)。
dad_transmits設定可決定啟動介面時每個位址(全域及連結-本機)傳送的芳鄰請求數量,以確保所需位址在網路中的唯一性。
程序1在VMware應用裝置主機上執行#grep[01]/proc//ipv6/conf/*/dad_transmits| egrep"default|all"命令,以確認這些主機拒絕IPv6芳鄰請求。
如果主機設定為拒絕IPv6芳鄰請求,則此命令會傳回值
0。
/proc//ipv6/conf/all/dad_transmits:0/proc//ipv6/conf/default/dad_transmits:
0 如果主機已正確設定,則無需進行進一步動作。
2如果需要將主機設定為拒絕IPv6芳鄰請求,請在文字編輯器中開啟/etc/sysctl.conf檔案。
VMware,Inc. 53 安全組態指南 3檢查下列項目。
net.ipv6.conf.all.dad_transmits=.ipv6.conf.default.dad_transmits=
0 如果這些項目不存在或是其值未設定為零,請新增這些項目或相應地更新現有項目。
4儲存您進行的任何變更並關閉檔案。
限制IPv6位址數目上限 確認VMware應用裝置主機將IPv6位址數目上限設定為系統作業所需的最小值。
位址數目上限決定每個介面可用的全域單點傳播IPv6位址數目。
雖然預設值為16,但應將其精確設定為系統所需的靜態設定全域位址數目。
程序1在VMware應用裝置主機上執行#grep[1]/proc//ipv6/conf/*/max_addresses| egrep"default|all"命令,確認這些主機正確限制IPv6位址數目上限。
如果已設定主機以限制IPv6位址數目上限,此命令將傳回值
1。
/proc//ipv6/conf/all/max_addresses:1/proc//ipv6/conf/default/max_addresses:
1 如果主機已正確設定,則無需進行進一步動作。
2如果需要設定主機上的IPv6位址數目上限,請在文字編輯器中開啟/etc/sysctl.conf檔案。
3檢查下列項目。
net.ipv6.conf.all.max_addresses=.ipv6.conf.default.max_addresses=
1 如果這些項目不存在或它們的值未設定為
1,請新增這些項目或相應地更新現有項目。
4儲存您進行的任何變更並關閉檔案。
為基礎結構即服務主機進行網路設定 安全性最佳做法是根據VMware需求與準則,在VMware基礎結構即服務(IaaS)元件主機上進行網路通訊設定。
設定基礎結構即服務(IaaS)主機的網路組態,以透過適當的安全性來支援完整的vRealizeAutomation功能。
請參閱保護基礎結構即服務元件。
VMware,Inc. 54 安全組態指南 設定連接埠和通訊協定 安全性最佳做法是依據VMware準則為所有vRealizeAutomation應用裝置和元件設定連接埠和通訊協定。
視需要為vRealizeAutomation元件設定傳入和傳出連接埠,供關鍵系統元件在生產中運作。
停用所有不需要的連接埠和通訊協定。
請參閱VMwarevRealizeAutomation說明文件中的《vRealizeAutomation參考架構》。
「連接埠和通訊協定」工具 「連接埠和通訊協定」工具可讓您在單一儀表板上檢視各種VMware產品及其組合的連接埠資訊。
您也可以從工具中匯出所選資料以供離線存取。
連接埠和通訊協定工具目前支援:nvSpherenvSANnNSXforvSpherenvRealizeNetworkInsightnvRealizeOperationsManagernvRealizeAutomation此工具可在/上取得。
使用者所需的連接埠 安全性最佳做法是根據VMware準則來設定vRealizeAutomation使用者連接埠。
僅在安全的網路上公開必要的連接埠。
伺服器vRealizeAutomation應用裝置 連接埠443、8443 管理員必要的連接埠 安全性最佳做法是根據VMware準則來設定vRealizeAutomation管理員連接埠。
僅在安全的網路上公開必要的連接埠。
伺服器vRealizeApplicationServices伺服器 連接埠5480 vRealizeAutomation應用裝置連接埠 安全性最佳做法是根據VMware建議設定vRealizeAutomation應用裝置的傳入和傳出連接埠。
傳入連接埠設定vRealizeAutomation應用裝置所需的傳入連接埠數下限。
請視系統組態需要設定選擇性連接埠。
VMware,Inc. 55 安全組態指南 表8-
1.所需的最少傳入連接埠 連接埠 通訊協定 443 TCP 8443 TCP 5480 TCP 5488,5489 TCP 5672 TCP 40002 TCP 視需要設定選擇性傳入連接埠。
表8-
2.選擇性傳入連接埠 連接埠 通訊協定 22 TCP 80 TCP 傳出連接埠 設定所需的傳出連接埠。
表8-
3.所需的最少傳出連接埠 連接埠 通訊協定 25、587 TCP、UDP 53 TCP、UDP 67,68,546,547 TCP、UDP 110,995 TCP、UDP 143,993 TCP、UDP 443 TCP 視需要設定選擇性傳出連接埠。
表8-
4.選擇性的傳出連接埠 連接埠 通訊協定 80 TCP 123 TCP、UDP 註解存取vRealizeAutomation主控台及API呼叫。
VMwareRemoteConsoleProxy。
存取vRealizeAutomation應用裝置管理介面。
內部。
由vRealizeAutomation應用裝置用於更新。
RabbitMQ訊息傳送。
備註叢集vRealizeAutomation應用裝置執行個體時,您可能需要設定開啟連接埠4369和25672。
vIDM服務的所需項。
在HA組態中新增該項後,將封鎖所有外部流量(來自其他vRealizeAutomation應用裝置節點的流量除外)。
註解(選擇性)SSH。
在生產環境中,在連接埠22上停用接聽SSH服務,並關閉連接埠22。
(選擇性)重新導向至443。
註解傳送輸出通知電子郵件的SMTP。
DNS。
DHCP。
接收輸入通知電子郵件的POP。
接收輸入通知電子郵件的IMAP。
透過HTTPS的基礎結構即ServiceManager服務。
註解(選擇性)供提取軟體更新。
您可以個別下載並套用更新。
(選擇性)供直接連線至NTP,而非使用主機時間。
VMware,Inc. 56 安全組態指南 「連接埠和通訊協定」工具「連接埠和通訊協定」工具可讓您在單一儀表板上檢視各種VMware產品及其組合的連接埠資訊。
您也可以從工具中匯出所選資料以供離線存取。
連接埠和通訊協定工具目前支援:nvSpherenvSANnNSXforvSpherenvRealizeNetworkInsightnvRealizeOperationsManagernvRealizeAutomation這些工具可在/上取得。
基礎結構即服務連接埠 安全性最佳做法是根據VMware準則,為基礎結構即服務(IaaS)元件設定傳入與傳出連接埠。
傳入連接埠 請為IaaS元件設定所需的最少傳入連接埠。
表8-
5.所需的最少傳入連接埠 元件 連接埠通訊協定 註解 ManagerService443 TCP 透過HTTPS來與IaaS元件及vRealizeAutomation應用裝置通訊。
任何受Proxy代理程式管理的虛擬化主機也都必須開放TCP連接埠443,以供接收傳入流量 傳出連接埠 請為IaaS元件設定所需的最少傳出連接埠。
表8-
6.所需的最少傳出連接埠 元件 連接埠 通訊協定 註解 全部 53 TCP、UDP DNS。
全部 TCP、UDP DHCP。
ManagerService443 TCP 透過HTTPS與vRealizeAutomation應用裝置通訊。
網站 443 TCP 透過HTTPS與ManagerService通訊。
DistributedExecutionManager 443 TCP 透過HTTPS與ManagerService通訊。
Proxy代理程式 443 TCP 透過HTTPS來與ManagerService及虛擬化主機通訊。
客體代理程式 443 TCP 透過HTTPS與ManagerService通訊。
Manager 1433 TCP Service、網站 MSSQL。
VMware,Inc. 57 安全組態指南 如有需要,設定選擇性的傳出連接埠。
表8-
7.選擇性的傳出連接埠 元件 連接埠 通訊協定 全部 123 TCP、UDP 註解NTP是選擇性的。
VMware,Inc. 58 稽核與記錄
9 安全性最佳做法是按照VMware的建議,在您的vRealizeAutomation系統上設定稽核與記錄。
遠端記錄至中央記錄主機,可為記錄檔提供安全的存放區。
透過將記錄檔收集至中央主機,您可以使用單一工具來監控環境。
此外,您也可以執行彙總分析,以及在基礎結構中的多個項目上搜尋協調式攻擊之類的威脅證據。
記錄至安全的集中式記錄伺服器,有助於防止記錄遭篡改,並能提供長期稽核記錄。
確保遠端記錄伺服器安全無虞 攻擊者破壞主機的安全性後,通常都會嘗試搜尋並篡改記錄檔,以遮掩他們的行蹤,並在不被發現的情況下繼續控制主機。
適當地保護遠端記錄伺服器,有助於阻止記錄遭篡改。
使用獲授權的NTP伺服器 確保所有主機使用相同的相對時間來源,包括相關的當地語系化時差,並確保您可將相對時間來源關聯至商定的時間標準,例如國際標準時間(UTC)。
有原則地管理時間來源,可讓您在檢閱相關記錄檔時,迅速追蹤並關聯入侵者的動作。
不正確的時間設定會讓您難以檢查和關聯要偵測攻擊的記錄檔,且會導致稽核不準確。
請至少使用外部時間來源的三個NTP伺服器,或者在信任的網路上設定幾個本機NTP伺服器,然後再從至少三個外部時間來源取得時間。
VMware,Inc. 59
版權與商標資訊。
VMware,Inc.
2 目錄 1安全組態5 2vRealizeAutomation安全基準概觀6 3確認安裝媒體的完整性7 4強化VMware系統軟體基礎結構
8 強化VMwarevSphere®環境8強化基礎結構即服務主機8強化MicrosoftSQLServer8強化Microsoft.NET9強化MicrosoftInformationServices(IIS)9 5檢閱安裝的軟體10 6VMware安全性建議和修補程式11 7安全組態12 保護vRealizeAutomation應用裝置12變更根密碼12確認根密碼雜湊和複雜性13確認根密碼歷程記錄13管理密碼到期13管理安全殼層和管理帳戶14變更虛擬應用裝置管理介面使用者18設定開機載入器驗證18設定NTP19為vRealizeAutomation應用裝置傳輸中的資料設定TLS19確認靜態資料的安全性27設定vRealizeAutomation應用程式資源28自訂主控台Proxy組態30設定伺服器回應標頭32設定vRealizeAutomation應用裝置工作階段逾時33管理非必要軟體34 保護基礎結構即服務元件37設定NTP37為基礎結構即服務傳輸中的資料設定TLS37 VMware,Inc.
3 安全組態指南 設定TLS加密套件40確認主機伺服器安全性41保護應用程式資源41保護基礎結構即服務主機的安全42 8設定主機網路安全性44 為VMware應用裝置進行網路設定44阻止使用者控制網路介面44設定TCP待處理項目佇列大小44拒絕ICMPv4廣播位址回應45停用IPv4ProxyARP45拒絕IPv4ICMP重新導向訊息46拒絕IPv6ICMP重新導向訊息46記錄IPv4Martian封包47使用IPv4反向路徑篩選48拒絕IPv4轉送48拒絕IPv6轉送49使用IPv4TCPSyncookie49拒絕IPv6路由器通告50拒絕IPv6路由器請求50拒絕路由器請求中的IPv6路由器喜好設定51拒絕IPv6路由器前置詞51拒絕IPv6路由器通告躍點限制設定52拒絕IPv6路由器通告自動組態設定53拒絕IPv6芳鄰請求53限制IPv6位址數目上限54 為基礎結構即服務主機進行網路設定54設定連接埠和通訊協定55 使用者所需的連接埠55管理員必要的連接埠55 9稽核與記錄59 VMware,Inc.
4 安全組態
1 安全組態可協助使用者評估和最佳化vRealizeAutomation部署的安全組態。
安全組態針對一般vRealizeAutomation環境說明安全部署的驗證和組態,以及提供資訊和程序來協助使用者在安全組態方面做出正確的選擇。
適合對象 此資訊適用於vRealizeAutomation系統管理員和負責系統安全維護和設定的其他使用者。
VMware技術出版品詞彙表 VMware技術出版品提供您可能不熟悉的專有詞彙表。
如需VMware技術說明文件中所用專有詞彙的定義,請前往/support/pubs。
VMware,Inc.
5 vRealizeAutomation安全基準概觀
2 VMware提供了全面性建議來協助您確認和設定vRealizeAutomation系統的安全基準。
使用VMware指定的適當工具和程序,確認和維護vRealizeAutomation系統強化的安全基準組態。
某些vRealizeAutomation元件雖然是在已強化或半強化狀態下安裝的,但您應依照VMware安全性建議、公司安全性原則和已知威脅來檢閱並確認每個元件的組態。
vRealizeAutomation安全性狀態 vRealizeAutomation的安全性狀態假設整體安全環境基於系統和網路組態、組織安全性原則和安全性最佳做法。
在確認和設定vRealizeAutomation系統的強化時,請考量VMware強化建議所指明的下列各個方面。
n安全部署n安全組態n網路安全性為確保安全強化系統,請考量VMware建議和您的本機安全性原則,因為它們與這些概念領域都息息相關。
系統元件 考量vRealizeAutomation系統的強化和安全組態時,請確保您瞭解所有元件以及這些元件如何共同運作來支援系統功能。
規劃和實作安全系統時,請考量下列元件。
nvRealizeAutomation應用裝置nIaaS元件若要熟悉vRealizeAutomation元件以及這些元件如何共同運作,請參閱VMwarevRealizeAutomation說明文件中心中的《基礎和概念》。
如需一般vRealizeAutomation部署和架構的相關資訊,請參閱《參考架構》。
說明文件位於VMwarevRealizeAutomation說明文件中。
VMware,Inc.
6 確認安裝媒體的完整性
3 使用者應務必在安裝VMware產品前確認安裝媒體的完整性。
請務必於下載ISO、離線服務包或修補程式後確認SHA1雜湊,以確保下載檔案的完整性和真實性。
如果您從VMware取得實體媒體,而安全封條已損壞,請將軟體退回VMware進行更換。
下載媒體後,請使用MD5/SHA1總和值確認下載的完整性。
將MD5/SHA1雜湊輸出與VMware網站上公佈的值進行比較。
SHA1或MD5雜湊應與之相符。
如需有關確認安裝媒體完整性的詳細資訊,請參閱/kb/1537。
VMware,Inc.
7 強化VMware系統軟體基礎結構
4 在強化過程中,請對所部署來支援您VMware系統的軟體基礎結構進行評估,確認其符合VMware強化準則。
強化您的VMware系統之前,請先檢閱支援軟體基礎結構的安全缺陷並加以解決,以便建立完全強化且安全的環境。
需要考量的軟體基礎結構元素包括作業系統元件、支援軟體,以及資料庫軟體。
請根據製造商的建議及其他相關安全性通訊協定,解決這些元件與其他元件中的安全性問題。
本章節討論下列主題:n強化VMwarevSphere®環境n強化基礎結構即服務主機n強化MicrosoftSQLServern強化Microsoft.NETn強化MicrosoftInformationServices(IIS) 強化VMwarevSphere®環境 評估VMwarevSphere®環境,並確認已強制執行並維護適當層級的vSphere強化指引。
如需更多強化指引,請參閱。
在全面強化的環境中,VMwarevSphere®基礎結構必須符合VMware所定義的安全性準則。
強化基礎結構即服務主機 請確認您的基礎結構即服務MicrosoftWindows主機已根據VMware準則進行強化。
請檢閱適當MicrosoftWindows強化與安全最佳做法準則中的建議,並確保您的WindowsServer主機已適當進行強化。
不遵循強化建議,可能會暴露Windows版本中不安全元件的已知安全性漏洞。
若要確認您的版本是否受支援,請參閱《vRealizeAutomation支援對照表》。
請連絡您的Microsoft廠商,瞭解有關Microsoft產品強化做法的正確指引。
強化MicrosoftSQLServer 請確認MicrosoftSQLServer資料庫符合Microsoft和VMware所建立的安全性準則。
VMware,Inc.
8 安全組態指南 請檢閱適當MicrosoftSQLServer強化與安全最佳做法準則中的建議。
請檢閱所有Microsoft資訊安全佈告欄,瞭解有關所安裝MicrosoftSQLServer版本的資訊。
不遵循強化建議,可能會暴露MicrosoftSQLServer版本中不安全元件的已知安全性漏洞。
若要確認您的MicrosoftSQLServer版本是否受支援,請參閱《vRealizeAutomation支援對照表》。
如需Microsoft產品強化做法的指引,請連絡您的Microsoft廠商。
強化Microsoft.NET 在全面強化的環境中,Microsoft.NET必須符合Microsoft和VMware所提供的安全性準則。
請檢閱適當.NET強化與安全最佳做法準則中提供的建議。
另外,亦請檢閱所有Microsoft資訊安全佈告欄,瞭解有關所使用MicrosoftSQLServer版本的資訊。
不遵循強化建議,可能會暴露不安全Microsoft.NET元件的已知安全性漏洞。
若要確認您的Microsoft.NET版本是否受支援,請參閱《vRealizeAutomation支援對照表》。
如需Microsoft產品強化做法的指引,請連絡您的Microsoft廠商。
強化MicrosoftInformationServices(IIS) 請確認您的MicrosoftInformationServices(IIS)符合所有的Microsoft和VMware安全性準則。
請檢閱適當MicrosoftIIS強化與安全最佳做法準則中提供的建議。
另外,亦請檢閱所有Microsoft資訊安全佈告欄,瞭解有關所使用IIS版本的資訊。
不遵循強化建議,可能會暴露已知安全性漏洞。
若要確認您的版本是否受支援,請參閱《vRealizeAutomation支援對照表》。
如需Microsoft產品強化做法的指引,請連絡您的Microsoft廠商。
VMware,Inc.
9 檢閱安裝的軟體
5 因為第三方軟體和未使用軟體中的漏洞會增加未經授權的系統存取和中斷可用性的風險,所以檢閱VMware主機上安裝的所有軟體並對其使用情況進行評估非常重要。
請勿在VMware主機上安裝系統安全作業不需要的軟體。
解除安裝未使用或無關的軟體。
清查已安裝的不受支援軟體 評估VMware部署和已安裝產品的詳細目錄,確認未安裝任何無關的不受支援軟體。
如需有關第三方產品支援原則的詳細資訊,請參閱VMware支援文章,網址為/support/policies/thirdparty.html。
確認第三方軟體 VMware不支援亦不建議安裝未經測試和驗證的第三方軟體。
在VMware主機上安裝不安全、未修補或未經驗證的第三方軟體,可能會使系統遭受未經授權的存取和中斷可用性風險。
如果必須使用不受支援的第三方軟體,請諮詢第三方廠商以瞭解安全組態和修補需求。
VMware,Inc. 10 VMware安全性建議和修補程式
6 為維護系統的最大安全性,請遵循VMware安全性建議並套用所有相關修補程式。
VMware發行了產品的安全性建議。
請關注這些建議,以確保您的產品可抵禦已知威脅。
評估vRealizeAutomation安裝、修補和升級歷程記錄,確認已遵循並強制執行發行的VMware安全性建議。
如需有關最新VMware安全性建議的詳細資訊,請參閱/security/advisories/。
VMware,Inc. 11 安全組態
7 視系統組態需要,確認並更新vRealizeAutomation虛擬應用裝置和基礎結構即服務元件的安全性設定。
此外,還請確認並更新其他元件和應用程式的組態。
安全地設定vRealizeAutomation安裝涉及個別處理每個元件的組態,以及處理元件共同運作時的組態。
請考量所有系統元件共同運作的組態,以達成合理的安全基準。
本章節討論下列主題:n保護vRealizeAutomation應用裝置n保護基礎結構即服務元件 保護vRealizeAutomation應用裝置 根據您的系統組態,視需要驗證並更新vRealizeAutomation應用裝置的安全性設定。
設定虛擬應用裝置及其主機作業系統的安全性設定。
此外,也請設定或驗證其他相關元件與應用程式的組態。
在某些情況下,您需要驗證現有設定,而在其他情況下,您必須變更或新增設定以便達成適當的組態。
變更根密碼 您可以變更vRealizeAutomation應用裝置的根密碼。
程序1以根使用者身分登入vRealizeAutomation應用裝置管理介面。
https://vrealize-automation-appliance-FQDN:54802按一下管理索引標籤。
3按一下管理子功能表。
4在目前管理員密碼文字方塊中輸入現有密碼。
5在新管理員密碼文字方塊中輸入新密碼。
6在重新輸入新管理員密碼文字方塊中輸入新密碼。
7按一下儲存設定。
VMware,Inc. 12 安全組態指南 確認根密碼雜湊和複雜性 確認根密碼符合貴組織的公司密碼複雜性需求。
需要驗證根密碼複雜性,因為根使用者可以略過套用到使用者帳戶的pam_cracklib模組密碼複雜性檢查。
帳戶密碼必須以表示SHA512雜湊的$6$開頭。
這是所有已強化應用裝置的標準雜湊。
程序1若要確認根密碼的雜湊,請以根使用者身分登入並執行#more/etc/shadow命令。
此時會顯示雜湊資訊。
圖7-
1.密碼雜湊結果 2如果根密碼不包含SHA512雜湊,請執行passwd命令進行變更。
所有已強化的應用裝置都針對pw_history模組啟用了enforce_for_root,可在/etc/monpassword檔案中找到。
依預設,系統會記住最後五個密碼。
每個使用者的舊密碼皆儲存在/etc/securetty/passwd檔案中。
確認根密碼歷程記錄 確認對根帳戶強制執行密碼歷程記錄。
所有已強化的應用裝置都針對pw_history模組啟用了enforce_for_root,可在/etc/monpassword檔案中找到。
依預設,系統會記住最後五個密碼。
每個使用者的舊密碼皆儲存在/etc/securetty/passwd檔案中。
程序1執行下列命令: cat/etc/mon-password-vmware.local|greppam_pwhistory.so2確保傳回的結果中出現enforce_for_root。
passwordrequiredpam_pwhistory.soenforce_for_rootremember=5retry=
3 管理密碼到期 依據組織的安全性原則設定所有帳戶密碼到期。
VMware,Inc. 13 安全組態指南 依預設,所有強化的VMware虛擬應用裝置帳戶使用60天密碼到期。
在大多數強化的應用裝置上,根帳戶設為365天密碼到期。
最佳做法是確認所有帳戶的到期符合安全性和作業需求標準。
如果根密碼到期,您無法恢復。
您必須實作站台專屬原則,以防止管理和根密碼到期。
程序1以根使用者身分登入虛擬應用裝置機器,然後執行下列命令以確認所有帳戶的密碼到期。
#cat/etc/shadow密碼到期是陰影檔案的第五個欄位(欄位以冒號分隔)。
根到期以天數設定。
圖7-
2.密碼到期欄位 2若要修改根帳戶的到期,請執行下列格式的命令。
#passwd-x365root在此命令中,365指定密碼到期前的天數。
使用相同命令修改任何使用者、以特定帳戶替代「根」,並取代天數以滿足組織的到期標準。
管理安全殼層和管理帳戶 對於遠端連線,所有強化的應用裝置包含安全殼層(SSH)通訊協定。
僅在必要時使用SSH,並且適當地管理SSH以維持系統安全性。
SSH是支援遠端連線至VMware虛擬應用裝置的互動式命令列環境。
依預設,SSH存取需要高權限使用者帳戶認證。
根使用者SSH活動通常會略過角色型存取控制(RBAC)並稽核虛擬應用裝置的控制。
最佳做法是在生產環境中停用SSH,然後將其啟用,以僅疑難排解您無法透過其他方法解決的問題。
僅當需要用於特定目的並依據組織的安全性原則時,將其維持在啟用狀態。
vRealizeAutomation應用裝置上預設會停用SSH。
視vSphere組態而定,當您部署開放虛擬化格式(OVF)範本時可能會啟用或停用SSH。
判定機器上是否已啟用SSH的簡單測試是嘗試使用SSH開啟連線。
如果連線開啟並要求認證,則SSH會啟用且可用於連線。
安全殼層根使用者帳戶 因為VMware應用裝置不包含預先設定的使用者帳戶,依預設,根帳戶可以使用SSH直接登入。
儘快以根使用者身分停用SSH。
VMware,Inc. 14 安全組態指南 為符合不可否認性的符合性標準,所有強化的應用裝置上的SSH伺服器都預先設定AllowGroupswheel項目,以限制SSH存取次要群組wheel。
針對職責分離,您可以修改/etc/ssh/sshd_config檔案中的AllowGroupswheel項目以使用其他群組(如sshd)。
針對超級使用者存取,已使用pam_wheel模組啟用wheel群組,因此wheel群組的成員可以將使用者切換為根使用者,其中需要根密碼。
群組分離可讓使用者透過SSH連線至應用裝置,但是不可以將使用者切換為根使用者。
請勿在AllowGroups欄位中移除或修改其他項目,這可確保適當的應用裝置功能。
進行變更後,您必須透過執行命令#servicesshdrestart重新啟動SSH精靈。
啟用或停用vRealizeAutomation應用裝置上的安全殼層 僅在進行疑難排解時,才啟用vRealizeAutomation應用裝置上的安全殼層(SSH)。
在正常生產運作期間,請停用這些元件上的SSH。
您可以使用vRealizeAutomation應用裝置管理介面,啟用或停用vRealizeAutomation應用裝置上的SSH。
程序1以根使用者身分登入vRealizeAutomation應用裝置管理介面。
https://vrealize-automation-appliance-FQDN:54802按一下管理索引標籤。
3按一下管理子功能表。
4選取SSH服務啟用核取方塊來啟用SSH,或取消選取該核取方塊來停用SSH。
5按一下儲存設定儲存變更。
為安全殼層建立本機管理員帳戶 安全性最佳做法是在虛擬應用裝置主機上為安全殼層(SSH)建立並設定本機管理帳戶。
此外,在建立適當的帳戶後,移除根SSH存取權。
為SSH或次要wheel群組成員(或兩者)建立本機管理帳戶。
停用直接根存取權前,請先測試獲授權管理員能否使用AllowGroups存取SSH,以及能否使用wheel群組將使用者切換為根使用者。
程序1透過適當的使用者名稱,以根使用者身分登入虛擬應用裝置並執行下列命令。
#useradd-gusers
若要新增多個次要群組,請使用-Gwheel,sshd。
VMware,Inc. 15 安全組態指南 2切換至使用者並提供新密碼,以強制執行密碼複雜性檢查。
#su–username#username@hostname:~>passwd 如果符合密碼複雜性,密碼便會更新。
如果不符合密碼複雜性,密碼會還原為原始密碼,您必須重新執行密碼命令。
3若要移除對SSH的直接登入,請修改/etc/ssh/sshd_config檔案,將(#)PermitRootLoginyes取代為PermitRootLoginno。
或者,您也可以在虛擬應用裝置管理介面(VAMI)中,透過選取或取消選取管理員索引標籤上的已啟用管理員SSH登入核取方塊,來啟用/停用SSH。
後續步驟 停用以根使用者身分直接登入。
依預設,強化的應用裝置允許透過主控台直接登入至根目錄。
在您建立不可否認的管理帳戶並測試其su-rootwheel存取權後,請以根使用者身分編輯/etc/security檔案,將tty1項目取代為console,以停用直接根登入。
1在文字編輯器中開啟/etc/securetty檔案。
2找到tty1並將其取代為console。
3儲存並關閉檔案。
強化安全殼層伺服器組態 只要可以,所有VMware應用裝置都有已強化的預設組態。
使用者可以透過在組態檔的全域選項區段中檢查伺服器與用戶端服務設定,來確認其組態是否經過適當強化。
程序1在VMware應用裝置上開啟/etc/ssh/sshd_config伺服器組態檔,並確認其中設定均正確無誤。
設定伺服器精靈通訊協定CBC加密TCP轉送伺服器閘道連接埠X11轉送SSH服務 GSSAPI驗證Keberos驗證本機變數(eptEnv全域選項) 狀態Protocol2aes256-ctr和aes128-ctrAllowTCPForwardingnoGatewayPortsnoX11Forwardingno請使用AllowGroups欄位並指定允許的群組存取權。
請新增適當成員至此群組。
如果未使用,則為GSSAPIAuthenticationno如果未使用,則為KeberosAuthenticationno請設定為disabledmentingout或enabledforLC_*orLANGvariables VMware,Inc. 16 安全組態指南 設定通道組態網路工作階段使用者並行連線 嚴格模式檢查權限分離rhostsRSA驗證壓縮訊息驗證代碼使用者存取限制 狀態PermitTunnelnoMaxSessions1對於根使用者與任何其他使用者,設定為
1。
/etc/security/limits.conf檔案也需要以相同設定進行設定。
StrictModesyesUsePrivilegeSeparationyesRhostsESAAuthenticationnoCompressiondelayed或CompressionnoMACshmac-sha1PermitUserEnvironmentno 2儲存變更並關閉此檔案。
強化安全殼層用戶端組態 在系統強化過程中,請確認SSH用戶端經過強化,方法是檢查虛擬應用裝置主機上的SSH用戶端組態檔,確定其設定符合VMware準則。
程序1開啟SSH用戶端組態檔/etc/ssh/ssh_config,並確認全域選項區段內的設定均正確無誤。
設定用戶端通訊協定用戶端閘道連接埠GSSAPI驗證本機變數(SendEnv全域選項)CBC加密訊息驗證代碼 狀態Protocol2GatewayPortsnoGSSAPIAuthenticationno請僅提供LC_*或LANG變數只有aes256-ctr和aes128-ctr僅在MACshmac-sha1項目中使用 2儲存變更並關閉此檔案。
確認安全殼層金鑰檔案權限 為了盡可能減少惡意攻擊,請維護虛擬應用裝置主機上的關鍵SSH金鑰檔案權限。
在設定或更新SSH組態後,請務必確認下列SSH金鑰檔案權限未發生變更。
n位於/etc/ssh/*key.pub的公開主機金鑰檔案由根使用者擁有且權限設定為0644(-rw-r--r--)。
n位於/etc/ssh/*key的私密主機金鑰檔案由根使用者擁有且權限設定為0600(-rw------)。
確認SSH金鑰檔案權限確認SSH權限同時適用於公開和私密金鑰檔案。
VMware,Inc. 17 安全組態指南 程序1透過執行以下命令檢查SSH公開金鑰檔案:ls-l/etc/ssh/*key.pub2確認擁有者為根使用者、群組擁有者為根使用者,以及檔案權限設為0644(-rw-r--r--)。
3透過執行以下命令修正任何問題。
chownroot/etc/ssh/*key.pubchgrproot/etc/ssh/*key.pubchmod644/etc/ssh/*key.pub4透過執行以下命令檢查SSH私密金鑰檔案:ls-l/etc/ssh/*key5確認擁有者為根使用者、群組擁有者為根使用者,以及檔案權限設為0600(-rw-------)。
透過執行以下命令修正任何問題。
chownroot/etc/ssh/*keychgrproot/etc/ssh/*keychmod600/etc/ssh/*key 變更虛擬應用裝置管理介面使用者 您可以在虛擬應用裝置管理介面上新增和刪除使用者,以建立適當的安全性層級。
虛擬應用裝置管理介面的根使用者帳戶使用PAM進行驗證,因此PAM設定的剪輯層級同樣適用。
如果您未適當隔離虛擬應用裝置管理介面,則可能會在攻擊者嘗試暴力密碼破解登入時鎖定系統根帳戶。
此外,如果根帳戶被視為不足以在您的組織中提供多個不可否認的人員,您可能需要選擇變更管理介面的Admin使用者。
必要條件 程序1執行以下命令來建立新使用者,並將其新增至虛擬應用裝置管理介面群組。
useradd-Gvami,rootuser2為使用者建立密碼。
passwduser3(選擇性)執行以下命令以在虛擬應用裝置管理介面上停用根存取權。
usermod-Rvamiroot 備註停用對虛擬應用裝置管理介面的根存取權,亦會停用從[管理]索引標籤更新管理員或根使用者的密碼功能。
設定開機載入器驗證 若要提供適當的安全性層級,請設定VMware虛擬應用裝置上的開機載入器驗證。
VMware,Inc. 18 安全組態指南 如果系統的開機載入器不需要驗證,具有系統主控台存取權的使用者就可以更改系統開機組態或將系統開機至單一使用者或維護模式,這會導致拒絕服務或未經授權的系統存取。
由於VMware虛擬應用裝置上預設未設定開機載入器驗證,因此您必須建立GRUB密碼以進行設定。
程序1確認開機密碼是否存在,方法是在虛擬應用裝置上的/boot/grub/menu.lst檔案中尋找password-- md5
2如果該密碼不存在,請在虛擬應用裝置上執行#/usr/sbin/grub-md5-crypt命令。
此時會產生MD5密碼,並且命令會提供md5雜湊輸出。
3執行#password--md5
設定NTP 對於重要的時間來源,應停用主機時間同步化並在vRealizeAutomation應用裝置上使用網路時間通訊協定(NTP)。
vRealizeAutomation應用裝置上的NTP精靈可提供同步時間服務。
NTP依預設為停用,所以您需要手動對其進行設定。
請盡可能在生產環境使用NTP,透過準確的稽核和記錄保存來追蹤使用者動作以及偵測潛在的惡意攻擊和入侵。
如需NTP安全性注意事項的相關資訊,請參閱NTP網站。
NTP組態檔案位於每個應用裝置的/etc/資料夾中。
您可為vRealizeAutomation應用裝置啟用NTP服務,並在虛擬應用裝置管理介面的管理員索引標籤上新增時間伺服器。
程序1使用文字編輯器開啟虛擬應用裝置主機上的/etc/ntp.conf組態檔。
2將檔案擁有權設定為root:root。
3將權限設定為0640。
4為了降低對NTP服務進行拒絕服務放大攻擊的風險,請開啟/etc/ntp.conf檔案並確保檔案中存在 restrict行。
restrictrestrictrestrictrestrict defaultkodnomodifynotrapnopeernoquery-6defaultkodnomodifynotrapnopeernoquery127.0.0.1-6::
1 5儲存所有變更並關閉檔案。
為vRealizeAutomation應用裝置傳輸中的資料設定TLS 確保您的vRealizeAutomation部署使用強式TLS通訊協定來保護vRealizeAutomation應用裝置元件的傳輸通道。
VMware,Inc. 19 安全組態指南 基於效能考量,某些應用程式服務之間的localhost連線不會啟用TLS。
但若希望獲得深度防禦,請在所有localhost通訊上啟用TLS。
重要如果您在負載平衡器上終止TLS,請停用所有負載平衡器上不安全的通訊協定,例如SSLv2、SSLv3和TLS1.0。
對Localhost組態啟用TLS 依預設,部分localhost通訊並不會使用TLS。
您可以對所有localhost連線啟用TLS以增強安全性。
程序1使用SSH連線至vRealizeAutomation應用裝置。
2透過執行下列命令來為vcac金鑰儲存區設定權限。
usermod-Avco,coredump,pivotalvcochownvcac.pivotal/etc/vcac/vcac.keystorechmod640/etc/vcac/vcac.keystore 3更新HAProxy組態。
a開啟位於/etc/haproxy/conf.d的HAProxy組態檔,然後選擇20-vcac.cfg服務。
b找到含有下列字串的行:serverlocal127.0.0.1…並將下列內容新增到此類行的結尾:sslverifynone此區段還包含類似以下的其他行: backend-horizonbackend-vrabackend-vra-health backend-vrobackend-artifactory c將backend-horizon的連接埠從8080變更為8443。
4取得keystorePass的密碼。
a在/etc/vcac/security.properties檔案中找到內容certificate.store.password。
例如,certificate.store.password=s2enc~iom0GXATG+RB8ff7Wdm4Bg== b使用下列命令將值解密:vcac-configprop-util-d--pVALUE例如,vcac-configprop-util-d--ps2enc~iom0GXATG+RB8ff7Wdm4Bg== VMware,Inc. 20 安全組態指南 5設定vRealizeAutomation服務a開啟/etc/vcac/server.xml檔案。
b將下列屬性新增至[連接器]標記,其中的certificate.store.password要以etc/vcac/security.properties中的憑證存放區密碼值取代。
scheme=”https”secure=”true”SSLEnabled=”true”sslProtocol=”TLS”keystoreFile=”/etc/vcac/vcac.keystore”keyAlias=”apache”keystorePass=”certificate.store.password” 6設定vRealizeOrchestrator服務。
a開啟/etc/vco/app-server.xml檔案b將下列屬性新增至[連接器]標記,其中的certificate.store.password要以etc/vcac/security.properties中的憑證存放區密碼值取代。
scheme=”https”secure=”true”SSLEnabled=”true”sslProtocol=”TLS”keystoreFile=”/etc/vcac/vcac.keystore”keyAlias=”apache”keystorePass=”certificate.store.password” 7重新啟動vRealizeOrchestrator、vRealizeAutomation與haproxy服務。
servicevcac-serverrestartservicevco-serverrestartservicehaproxyrestart 備註如果無法重新啟動vco-server,請將主機電腦重新開機。
8設定虛擬應用裝置管理介面。
您可以在vRealizeAutomation虛擬應用裝置上執行下列命令以列出服務的狀態。
curl-ks-H"Content-Type:application/json"ponent-registry/services/status/current?
limit=200|jq-re'.content[]|"\(.serviceStatus.serviceName)\(.serviceStatus.serviceInitializationStatus)"' 備註如果您在虛擬應用裝置管理介面上啟用SSL,[服務]索引標籤無法列出vRealizeAutomation服務的狀態。
a開啟/opt/vmware/share/htdocs/service/café-services/services.py檔案。
b將conn=httplib.HTTP()行變更為conn=httplib.HTTPS()以增強安全性。
啟用聯邦資訊處理標準(FIPS)140-2符合性 vRealizeAutomation應用裝置現在會對所有輸入與輸出網路流量中正在透過TLS傳輸的資料,使用聯邦資訊處理標準(FIPS)140-2認證版本的OpenSSL。
VMware,Inc. 21 安全組態指南 您可以在vRealizeAutomation應用裝置管理介面啟用或停用FIPS模式。
您也可以在以根使用者身分登入的情況下,在命令列使用下列命令來設定FIPS: vcac-vamifipsenablevcac-vamifipsdisablevcac-vamifipsstatus 啟用FIPS後,連接埠443上的輸入與輸出vRealizeAutomation應用裝置網路流量會使用符合FIPS140–2的加密。
無論FIPS設定為何,vRealizeAutomation都會使用AES–256來保護儲存在vRealizeAutomation應用裝置上的安全資料。
備註目前vRealizeAutomation僅會部分啟用FIPS符合性,因為某些內部元件尚未使用認證的密碼編譯模組。
在尚未實作認證模組的案例中,所有密碼編譯演算法中都會使用AES–256型加密。
備註當您更改組態時,下列程序會將實體機器重新開機。
程序1以根使用者身分登入vRealizeAutomation應用裝置管理介面。
https://vrealize-automation-appliance-FQDN:54802選取vRA>主機設定。
3按一下右上方[動作]標題下的按鈕以啟用或停用FIPS。
4按一下是重新啟動vRealizeAutomation應用裝置 確認SSLv3、TLS1.0和TLS1.1已停用 做為強化程序的一部分,請確保已部署的vRealizeAutomation應用裝置使用安全的傳輸通道。
備註停用TLS1.0/1.1並啟用TLS1.2之後,無法執行加入叢集作業 必要條件完成對Localhost組態啟用TLS。
程序 1確認SSLv3、TLS1.0和TLS1.1已在vRealizeAutomation應用裝置上的HAProxyhttps處理常式中停用。
檢閱此檔案/etc/haproxy/conf.d/20-vcac.cfg /etc/haproxy/conf.d/30-vroconfig.cfg 確保存在以下內容no-sslv3no-tlsv10notls11force-tls12 no-sslv3no-tlsv10notls11force-tls12 所在的適當行如下所示 bind0.0.0.0:443sslcrt/etc/apache2/server.pemciphers!
aNULL:!
eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTHnosslv3no-tlsv10no-tlsv11 bind:::8283v4v6sslcrt/opt/vmware/etc/lighttpd/server.pemciphers!
aNULL:!
eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTHno-sslv3no-tlsv10no-tlsv11 VMware,Inc. 22 安全組態指南 2重新啟動服務。
servicehaproxyrestart 3開啟/opt/vmware/etc/lighttpd/lighttpd.conf檔案,確認出現正確的停用項目。
備註沒有可在Lighttpd中停用TLS1.0或TLS1.1的指令。
透過強制OpenSSL不使用TLS1.0和TLS1.1的加密套件,可部分減少TLS1.0和TLS1.1的使用限制。
ssl.use-sslv2="disable"ssl.use-sslv3="disable" 4確認已針對vRealizeAutomation應用裝置上的主控台Proxy停用SSLv3、TLS1.0和TLS1.1。
a新增或修改以下行,對/etc/vcac/security.properties檔案進行編輯:consoleproxy.ssl.server.protocols=TLSv1.2b透過執行下列命令重新啟動伺服器:servicevcac-serverrestart 5確認已針對vCO服務停用SSLv3、TLS1.0和TLS1.1。
a找到/etc/vco/app-server/server.xml檔案中的
servicevco-serverrestart 6確認已針對vRealizeAutomation服務停用SSLv3、TLS1.0和TLS1.1。
a在/etc/vcac/server.xml檔案的
開啟/etc/rabbitmq/rabbitmq.config檔案,確認ssl和ssl_options區段中僅存在{versions,['tlsv1.2']}。
[{ssl,[{versions,['tlsv1.2']},{ciphers,["AES256-SHA","AES128-SHA"]}]},{rabbit,[{tcp_listeners,[{"127.0.0.1",5672}]},{frame_max,262144},{ssl_listeners,[5671]},{ssl_options,[ VMware,Inc. 23 安全組態指南 {cacertfile,"/etc/rabbitmq/certs/ca/cacert.pem"},{certfile,"/etc/rabbitmq/certs/server/cert.pem"},{keyfile,"/etc/rabbitmq/certs/server/key.pem"},{versions,['tlsv1.2']},{ciphers,["AES256-SHA","AES128-SHA"]},{verify,verify_peer},{fail_if_no_peer_cert,false}]},{mnesia_table_loading_timeout,600000},{cluster_partition_handling,autoheal},{heartbeat,600}]},{kernel,[_ticktime,120}]}]. 8重新啟動RabbitMQ伺服器。
#servicerabbitmq-serverrestart 9確認已針對vIDM服務停用SSLv3、TLS1.0和TLS1.1。
針對包含SSLEnabled="true"的每個連接器執行個體,開啟/opt/vmware/horizon/workspace/conf/server.xml檔案並確認存在以下行。
sslEnabledProtocols="TLSv1.2" 為vRealizeAutomation元件設定TLS加密套件 為達到最大的安全性,您必須將vRealizeAutomation元件設定為使用強式密碼。
加密密碼會在伺服器和瀏覽器之間交涉,判斷TLS工作階段使用的加密強度。
為了確保僅選取強式密碼,請在vRealizeAutomation元件中停用弱式密碼。
將伺服器設定為僅支援強式密碼,以及使用足夠大的金鑰大小。
此外,也請依照適當順序設定所有加密。
停用未提供驗證的加密套件,例如NULL加密套件、aNULL或eNULL。
也請停用匿名Diffie-Hellman金鑰交換(ADH)、匯出層級加密(EXP,包含DES的加密)、小於128位元用於加密裝載流量的金鑰大小、針對裝載流量使用MD5做為雜湊機制、IDEA加密套件,以及RC4加密套件。
同時,務請停用使用DiffieHellman(DHE)金鑰交換的加密套件 如需有關停用TLS的詳細資訊,請參閱知識庫文章2146570。
在HAProxy中停用弱式密碼對照可接受的密碼清單檢閱vRealizeAutomation應用裝置HAProxy服務密碼,並停用視為弱式密碼的所有密碼。
停用未提供驗證的加密套件,例如NULL加密套件、aNULL或eNULL。
也請停用匿名Diffie-Hellman金鑰交換(ADH)、匯出層級加密(EXP,包含DES的加密)、小於128位元用於加密裝載流量的金鑰大小、針對裝載流量使用MD5做為雜湊機制、IDEA加密套件,以及RC4加密套件。
VMware,Inc. 24 安全組態指南 程序1檢閱繫結指令的/etc/haproxy/conf.d/20-vcac.cfg檔案密碼項目,並停用視為弱式密碼的所有密 碼。
bind0.0.0.0:443sslcrt/etc/apache2/server.pemciphers!
aNULL:!
eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTHno-sslv3no-tlsv10no-tlsv112檢閱繫結指令的/etc/haproxy/conf.d/30-vro-config.cfg檔案密碼項目,並停用視為弱式密碼的所有密碼。
bind:::8283v4v6sslcrt/opt/vmware/etc/lighttpd/server.pemciphers!
aNULL:!
eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTHno-sslv3no-tlsv10notlsv11 在vRealizeAutomation應用裝置vRealizeAutomation應用裝置主控台Proxy服務中停用弱式密碼對照可接受的密碼清單檢閱vRealizeAutomation應用裝置主控台Proxy服務密碼,並停用視為弱式密碼的所有密碼。
停用未提供驗證的加密套件,例如NULL加密套件、aNULL或eNULL。
也請停用匿名Diffie-Hellman金鑰交換(ADH)、匯出層級加密(EXP,包含DES的加密)、小於128位元用於加密裝載流量的金鑰大小、針對裝載流量使用MD5做為雜湊機制、IDEA加密套件,以及RC4加密套件。
程序1在文字編輯器中開啟/etc/vcac/security.properties檔案。
2在該檔案中新增一行以停用不需要的密碼套件。
對下列行進行適當變化: consoleproxy.ssl.ciphers.disallowed=cipher_suite_1,cipher_suite_2,etc 例如,若要停用AES128和AES256加密套件,請新增下列行: consoleproxy.ssl.ciphers.disallowed=TLS_DH_DSS_WITH_AES_128_CBC_SHA,TLS_DH_DSS_WITH_AES_256_CBC_SHA,TLS_DH_RSA_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_CBC_SHA 3使用下列命令重新啟動伺服器。
servicevcac-serverrestart 在vRealizeAutomation應用裝置vCO服務中停用弱式密碼對照可接受的密碼清單檢閱vRealizeAutomation應用裝置vCO服務密碼,並停用視為弱式密碼的所有密碼。
停用未提供驗證的加密套件,例如NULL加密套件、aNULL或eNULL。
也請停用匿名Diffie-Hellman金鑰交換(ADH)、匯出層級加密(EXP,包含DES的加密)、小於128位元用於加密裝載流量的金鑰大小、針對裝載流量使用MD5做為雜湊機制、IDEA加密套件,以及RC4加密套件。
VMware,Inc. 25 安全組態指南 程序 1找到/etc/vco/app-server/server.xml檔案中的
2編輯或新增密碼屬性,以使用所需的密碼套件。
請參閱下列範例: ciphers="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384” 在vRealizeAutomation應用裝置RabbitMQ服務中停用弱式密碼對照可接受的密碼清單檢閱vRealizeAutomation應用裝置RabbitMQ服務密碼,並停用視為弱式密碼的所有密碼。
停用未提供驗證的加密套件,例如NULL加密套件、aNULL或eNULL。
也請停用匿名Diffie-Hellman金鑰交換(ADH)、匯出層級加密(EXP,包含DES的加密)、小於128位元用於加密裝載流量的金鑰大小、針對裝載流量使用MD5做為雜湊機制、IDEA加密套件,以及RC4加密套件。
程序 1透過執行#/usr/sbin/rabbitmqctleval'ssl:cipher_suites().'命令評估支援的密碼套件。
以下範例中傳回的密碼僅代表支援的密碼。
RabbitMQ伺服器不會使用或通告這些密碼,除非rabbitmq.config檔案中有所設定。
["ECDHE-ECDSA-AES256-GCM-SHA384","ECDHE-RSA-AES256-GCM-SHA384","ECDHE-ECDSA-AES256-SHA384","ECDHE-RSA-AES256-SHA384","ECDH-ECDSA-AES256-GCM-SHA384","ECDH-RSA-AES256-GCM-SHA384","ECDH-ECDSA-AES256-SHA384","ECDH-RSA-AES256-SHA384","DHE-RSA-AES256-GCM-SHA384","DHE-DSS-AES256-GCM-SHA384","DHE-RSA-AES256-SHA256","DHE-DSS-AES256-SHA256","AES256-GCM-SHA384","AES256-SHA256","ECDHE-ECDSA-AES128-GCM-SHA256","ECDHE-RSA-AES128-GCM-SHA256","ECDHE-ECDSA-AES128-SHA256","ECDHE-RSA-AES128-SHA256","ECDH-ECDSA-AES128-GCM-SHA256","ECDH-RSA-AES128-GCM-SHA256","ECDH-ECDSA-AES128-SHA256","ECDH-RSA-AES128-SHA256","DHE-RSA-AES128-GCM-SHA256","DHE-DSS-AES128-GCM-SHA256","DHE-RSA-AES128-SHA256","DHE-DSS-AES128-SHA256","AES128-GCM-SHA256","AES128-SHA256","ECDHE-ECDSA-AES256-SHA","ECDHE-RSA-AES256-SHA","DHE-RSA-AES256-SHA","DHE-DSS-AES256-SHA","ECDH-ECDSA-AES256-SHA","ECDH-RSA-AES256-SHA","AES256-SHA","ECDHE-ECDSA-DES-CBC3-SHA","ECDHE-RSA-DES-CBC3-SHA","EDH-RSA-DES-CBC3-SHA","EDH-DSS-DES-CBC3-SHA","ECDH-ECDSA-DES-CBC3-SHA","ECDH-RSA-DES-CBC3-SHA","DES-CBC3-SHA","ECDHE-ECDSA-AES128-SHA","ECDHE-RSA-AES128-SHA","DHE-RSA-AES128-SHA","DHE-DSS-AES128-SHA","ECDH-ECDSA-AES128-SHA","ECDH-RSA-AES128-SHA","AES128-SHA"] 2選取符合您組織安全性需求的受支援密碼。
例如,若要僅允許使用ECDHE-ECDSA-AES128-GCM-SHA256&ECDHE-ECDSA-AES256-GCM-SHA384,請檢閱/etc/rabbitmq/rabbitmq.config檔案並將以下行新增至ssl和ssl_options。
VMware,Inc. 26 安全組態指南 {ciphers,[“ECDHE-ECDSA-AES128-GCM-SHA256”,“ECDHE-ECDSA-AES256-GCM-SHA384”]}3使用下列命令重新啟動RabbitMQ伺服器。
servicerabbitmq-serverrestart 確認靜態資料的安全性 確認與vRealizeAutomation搭配使用的資料庫使用者和帳戶的安全性。
Postgres使用者 PostgresLinux使用者帳戶繫結至Postgres資料庫超級使用者帳戶角色,依預設是鎖定的帳戶。
這是此使用者最安全的組態,因為只能透過根使用者帳戶進行存取。
請勿解除鎖定此使用者帳戶。
資料庫使用者帳戶角色 預設Postgres使用者帳戶角色不應用於應用程式功能之外的用途。
若要支援非預設資料庫檢閱或報告活動,應建立其他帳戶並適當保護密碼。
在命令列中執行以下指令碼:vcac-vamiadd-db-usernewUsernamenewPassword這將新增使用者和受該使用者保護的密碼。
備註在已設定主從式HAPostgres設定的情況下,必須針對主Postgres資料庫執行此指令碼。
設定PostgreSQL用戶端驗證 確保vRealizeAutomation應用裝置PostgreSQL資料庫未設定本機信任驗證。
此組態允許任何本機使用者(包括資料庫超級使用者)以任何PostgreSQL使用者身分連線(無需密碼)。
備註Postgres超級使用者帳戶應該保持做為本機信任。
建議使用md5驗證方法,因為其會傳送加密密碼。
用戶端驗證組態設定位於/storage/db/pgdata/pg_hba.conf檔案。
#TYPEDATABASE USER ADDRESS METHOD #"local"isforUnixdomainsocketconnectionsonly local all postgres #IPv4localconnections: #hostall all 127.0.0.1/32 hostsslall all 127.0.0.1/32 #IPv6localconnections: #hostall all ::1/128 hostsslall all ::1/128 trust md5md5 md5md5 #Allow#hosthostsslhostssl remoteconnectionsforVCAC vcac vcac vcac vcac vcac vcac user. 0.0.0.0/00.0.0.0/0::0/0 md5md5 md5 VMware,Inc. 27 安全組態指南 #Allow#hosthostsslhostssl#Allow#hosthostsslhostssl remoteconnectionsforVCACreplicationuser. vcac vcac_replication0.0.0.0/0 md5 vcac vcac_replication0.0.0.0/0 md5 vcac vcac_replication::0/0 md5 replicationconnectionsbyauserwiththereplicationprivilege. replication vcac_replication0.0.0.0/0 md5 replication vcac_replication0.0.0.0/0 md5 replication vcac_replication::0/0 md5 如果您編輯pg_hba.conf檔案,在變更生效之前必須透過執行下列命令重新啟動Postgres伺服器。
#cd/opt/vmware/vpostgres/9.2/bin#supostgres#./pg_ctlrestart–D/storage/db/pgdata/-mfast 設定vRealizeAutomation應用程式資源 檢閱vRealizeAutomation應用程式資源和限制檔案權限。
程序1執行以下命令,以確認含有SUID和GUID位元集的檔案已明確定義。
find/-path/proc-prune-o-typef-perm+6000-ls下列清單應該會出現。
219735724-rwsr-xr-xset-default-helper219735416-rwxr-sr-xread-auth-helper219735312-rwsr-x--grant-helper-pam219735220-rwxr-sr-xgrant-helper219735120-rwxr-sr-xexplicit-grant-helper219735624-rwxr-sr-xrevoke-helper2188203460-rws--x--x213885812-rwxr-sr-x2142482144-rwsr-xr-x2142477164-rwsr-xr-x2142467156-rwsr-xr-x1458298364-rwsr-xr-x214248164-rwsr-xr-x145824940-rwsr-x--2142478148-rwsr-xr-x2142480156-rwsr-xr-x214247948-rwsr-xr-x31148448-rwsr-x--launch-helper87657436-rwsr-xr-x87664812-rwsr-xr-x 4930868-rwsr-xr-x 1polkituserroot 23176Mar312015/usr/lib/PolicyKit/polkit- 1root polkituser14856Mar312015/usr/lib/PolicyKit/polkit- 1root polkituser10744Mar312015/usr/lib/PolicyKit/polkit- 1root polkituser19208Mar312015/usr/lib/PolicyKit/polkit- 1root polkituser19008Mar312015/usr/lib/PolicyKit/polkit- 1root polkituser23160Mar312015/usr/lib/PolicyKit/polkit- 1root1root1root1root1root1root1root1root1root1root1root1root rootttyrootshadowshadowrootroottrustedshadowshadowshadowmessagebus 465364Apr2122:38/usr/lib64/ssh/ssh-keysign10680May102010/usr/sbin/utempter 142890Sep152015/usr/bin/passwd161782Sep152015/usr/bin/chage152850Sep152015/usr/bin/chfn365787Jul222015/usr/bin/sudo 57776Sep152015/usr/bin/newgrp40432Mar182015/usr/bin/crontab146459Sep152015/usr/bin/chsh152387Sep152015/usr/bin/gpasswd46967Sep152015/usr/bin/expiry 47912Sep162014/lib64/dbus-1/dbus-daemon- 1root1root1root shadowshadowroot 35688Apr1010736Dec1663376May27 2014/sbin/unix_chkpwd2011/sbin/unix2_chkpwd2015/opt/likewise/bin/ksu VMware,Inc. 28 安全組態指南 113055240-rwsr-xr-x1root113051140-rwsr-xr-x1root1130600100-rwsr-xr-x1root113060172-rwsr-xr-x1root113051236-rwsr-xr-x1rootdbus-1/dbus-daemon-launch-helper rootrootrootrootroot 40016Apr1640048Apr1594808Mar1169240Mar1135792Apr15 20152011201520152011 /bin/su/bin/ping/bin/mount/bin/umount/bin/ping6 2012 /lib64/ 2執行以下命令,以確認虛擬應用裝置上的所有檔案都有擁有者。
find/-path/proc-prune-o-nouser-o-nogroup 3透過執行下列命令,檢閱虛擬應用裝置之所有檔案的權限,以確認沒有檔案可全域寫入。
find/-name"*.*"-typef-perm-a+w|xargsls–ldb 4執行以下命令,以確認僅vcac使用者擁有正確檔案。
find/-name"proc"-prune-o-uservcac-print|egrep-v-e"*/vcac/*"|egrep-v-e"*/vmware-vcac/*"如果沒有顯示結果,則所有正確檔案僅由vcac使用者擁有。
5確認僅vcac使用者可寫入下列檔案。
/etc/vcac/vcac/security.properties/etc/vcac/vcac/solution-users.properties/etc/vcac/vcac/sso-admin.properties/etc/vcac/vcac/vcac.keystore/etc/vcac/vcac/vcac.properties另請確認下列檔案及其子目錄/var/log/vcac/*/var/lib/vcac/*/var/cache/vcac/* 6確認僅vcac或根使用者可以讀取下列目錄及其子目錄中的正確檔案。
/etc/vcac/*/var/log/vcac/*/var/lib/vcac/*/var/cache/vcac/* 7確認正確檔案僅由vco或根使用者擁有,如下列目錄及其子目錄所示。
/etc/vco/*/var/log/vco/*/var/lib/vco/*/var/cache/vco/* VMware,Inc. 29 安全組態指南 8確認正確檔案僅可由vco或根使用者寫入,如下列目錄及其子目錄所示。
/etc/vco/*/var/log/vco/*/var/lib/vco/*/var/cache/vco/* 9確認正確檔案僅可由vco或根使用者讀取,如下列目錄及其子目錄所示。
/etc/vco/*/var/log/vco/*/var/lib/vco/*/var/cache/vco/* 自訂主控台Proxy組態 您可為vRealizeAutomation自訂遠端主控台組態,以利疑難排解與實施組織做法。
當您安裝、設定或維護vRealizeAutomation時,可變更某些設定來啟用安裝的疑難排解與偵錯。
記載並稽核您進行的每項變更,可確保適用元件皆根據其必要用途適當受保護。
若不確定您的組態變更是否已正確受保護,請勿繼續進行至生產階段。
自訂VMwareRemoteConsole票證到期 您可自訂用於建立VMwareRemoteConsole連線之遠端主控台票證的有效期限。
當使用者進行VMwareRemoteConsole連線時,系統會建立並傳回單次認證,用於建立連往虛擬機器的特定連線。
您可將票證到期時間設定為指定的時間範圍(以分鐘為單位)。
程序1在文字編輯器中開啟/etc/vcac/security.properties檔案。
2新增此形式的行consoleproxy.ticket.validitySec=30至檔案。
在此行中,數值指定票證到期前的分鐘數。
3儲存並關閉檔案。
4使用命令/etc/init.d/vcac-serverrestart重新啟動vcac-server。
票證到期值會重設為指定的時間範圍(以分鐘為單位)。
自訂主控台Proxy伺服器連接埠 您可自訂VMwareRemoteConsole主控台Proxy用於接聽訊息的連接埠。
程序1在文字編輯器中開啟/etc/vcac/security.properties檔案。
VMware,Inc. 30 安全組態指南 2新增此形式的行consoleproxy.service.port=8445至檔案。
數值指定主控台Proxy服務連接埠號碼,在此案例中是8445。
3儲存並關閉檔案。
4使用命令/etc/init.d/vcac-serverrestart重新啟動vcac-server。
Proxy服務連接埠會變更為指定的連接埠號碼。
設定X-XSS-Protection回應標頭 新增X-XSS-Protection回應標頭至haproxy組態檔。
程序1開啟/etc/haproxy/conf.d/20-vcac.cfg以便編輯。
2將下列幾行新增至前端區段: rspdelX-XSS-Protection:\1;\mode=blockrspaddX-XSS-Protection:\1;\mode=block 3使用下列命令重新載入HAProxy組態。
/etc/init.d/haproxyreload 設定X-Content-Type-Options回應標頭 將X-Content-Type-Options回應標頭新增至HAProxy組態。
程序1開啟/etc/haproxy/conf.d/20-vcac.cfg以便編輯。
2將下列幾行新增至前端區段: http-responseset-headerX-Content-Type-Optionsnosniff 3使用下列命令重新載入HAProxy組態。
/etc/init.d/haproxyreload 設定HTTP強制安全傳輸技術回應標頭 新增HTTP強制安全傳輸技術(HSTS)回應標頭至HAProxy組態。
程序1開啟/etc/haproxy/conf.d/20-vcac.cfg以便編輯。
2將下列幾行新增至前端區段: rspdelStrict-Transport-Security:\max-age=31536000rspaddStrict-Transport-Security:\max-age=31536000 VMware,Inc. 31 安全組態指南 3使用下列命令重新載入HAProxy組態。
/etc/init.d/haproxyreload 設定X-Frame-Options回應標頭 在某些情況下,X-Frame-Options回應標頭可能會出現兩次。
由於vIDM服務將此標頭新增至後端以及HAProxy,所以X-Frame-Options回應標頭可能會出現兩次。
您可使用適當的組態,防止此標頭出現兩次。
程序1開啟/etc/haproxy/conf.d/20-vcac.cfg以便編輯。
2在前端區段中找到下列行: rspaddX-Frame-Options:\SAMEORIGIN3將下列幾行新增至您於上一步驟中找到的該行之前。
rspdelX-Frame-Options:\SAMEORIGIN4使用下列命令重新載入HAProxy組態。
/etc/init.d/haproxyreload 設定伺服器回應標頭 安全性最佳做法是設定您的vRealizeAutomation系統,以限制可供潛在攻擊者利用的資訊。
請儘量減少共用的系統身分識別和版本資訊數量。
駭客和惡意執行者可以利用這些資訊對您的Web伺服器或版本發動鎖定攻擊。
設定Lighttpd伺服器回應標頭 最佳做法是為vRealizeAutomation應用裝置lighttpd伺服器建立空白伺服器標頭。
程序1在文字編輯器中開啟/opt/vmware/etc/lighttpd/lighttpd.conf檔案。
2新增server.tag=""至檔案。
3儲存變更並關閉此檔案。
4執行#/opt/vmware/etc/init.d/vami-lighttprestart命令,重新啟動lighttpd伺服器。
為vRealizeAutomation應用裝置設定TCServer回應標頭 最佳做法是為搭配vRealizeAutomation應用裝置使用的TCServer回應標頭建立自訂空白伺服器標頭,以限制惡意攻擊者取得寶貴資訊的可能性。
程序1在文字編輯器中開啟/etc/vco/app-server/server.xml檔案。
VMware,Inc. 32 安全組態指南 2在每個
4使用下列命令重新啟動伺服器。
servicevco-serverrestart 設定網際網路資訊服務伺服器回應標頭 最佳做法是為搭配IdentityAppliance使用的網際網路資訊服務(IIS)伺服器建立自訂空白伺服器標頭,限制惡意攻擊者取得寶貴資訊的可能性。
程序1在文字編輯器中開啟C:\Windows\System32\srv\urlscan\UrlScan.ini檔案。
2搜尋RemoveServerHeader=0並將其變更為RemoveServerHeader=1.3儲存變更並關閉此檔案。
4透過執行iisreset命令重新啟動伺服器。
後續步驟從[IIS管理員]主控台的清單中移除HTTP回應標頭,以便停用IISX-PoweredBy標頭。
1開啟[IIS管理員]主控台。
2開啟[HTTP回應標頭]並從清單中將其移除。
3透過執行iisreset命令重新啟動伺服器。
設定vRealizeAutomation應用裝置工作階段逾時 根據公司安全性原則,設定vRealizeAutomation應用裝置上的工作階段逾時設定。
vRealizeAutomation應用裝置針對使用者閒置的預設工作階段逾時為30分鐘。
若要調整此逾時值以符合組織的安全性原則,請編輯vRealizeAutomation應用裝置主機上的web.xml檔案。
程序1在文字編輯器中開啟/usr/lib/vcac/server/webapps/vcac/WEB-INF/web.xml檔案。
2找到session-config並設定工作階段逾時值。
請參閱以下程式碼範例。
--30minutessessionexpirationtime-->
servicevcac-serverrestart 管理非必要軟體 為了將安全性風險降至最低,請從vRealizeAutomation主機移除或設定非必要軟體。
依據製造商建議和安全性最佳做法,設定所有您不移除的軟體,以將其建立安全性漏洞的可能性降至最低。
保護USB大型儲存裝置處理常式 保護USB大型儲存裝置處理常式,防止將其做為USB裝置處理常式與VMware虛擬應用裝置主機搭配使用。
潛在攻擊者可能會利用此處理常式危害系統。
程序1在文字編輯器中開啟/etc/modprobe.conf.local檔案。
2確保該檔案中出現installusb-storage/bin/true行。
3儲存並關閉檔案。
保護藍牙通訊協定處理常式 保護虛擬應用裝置主機上的藍牙通訊協定處理常式安全,以防止其遭到攻擊者利用。
將藍牙通訊協定繫結到網路堆疊不但沒必要,而且還會增大主機攻擊面。
程序1在文字編輯器中開啟/etc/modprobe.conf.local檔案。
2確保此檔案中出現以下行。
installbluetooth/bin/true3儲存並關閉檔案。
保護串流控制傳輸通訊協定 依預設會阻止將串流控制傳輸通訊協定(SCTP)載入到系統。
潛在攻擊者可能會利用此通訊協定危害系統。
除非絕對必要,否則請將系統設定為阻止載入串流控制傳輸通訊協定(SCTP)模組。
SCTP是一種未使用的IETF標準化傳輸層通訊協定。
將此通訊協定繫結到網路堆疊會增大主機攻擊面。
透過使用該通訊協定開啟通訊端,無權限的本機程序可能會使核心動態載入通訊協定處理常式。
程序1在文字編輯器中開啟/etc/modprobe.conf.local檔案。
2確保此檔案中出現以下行。
installsctp/bin/true VMware,Inc. 34 安全組態指南 3儲存並關閉檔案。
保護資料包壅塞通訊協定 做為系統強化活動的一部分,依預設會阻止將資料包壅塞通訊協定(DCCP)載入到虛擬應用裝置主機。
潛在攻擊者可能會利用此通訊協定危害系統。
除非絕對必要,否則請避免載入資料包壅塞控制通訊協定(DCCP)模組。
DCCP是一種建議的傳輸層通訊協定,並沒有使用。
將此通訊協定繫結到網路堆疊會增大主機攻擊面。
透過使用該通訊協定開啟通訊端,無權限的本機程序可能會使核心動態載入通訊協定處理常式。
程序1在文字編輯器中開啟/etc/modprobe.conf.local檔案。
2確保該檔案中出現DCCP行。
installp/bin/trueinstallp_ipv4/bin/trueinstallp_ipv6/bin/true 3儲存並關閉檔案。
保護網路橋接 依預設會阻止將網路橋接模組載入到系統。
潛在攻擊者可能會利用它危害系統。
除非絕對必要,否則請將系統設定為阻止載入網路橋接。
潛在攻擊者可能會利用它略過網路磁碟分割和安全性檢查。
程序1在所有VMware虛擬應用裝置主機上執行以下命令。
#rmmodbridge2在文字編輯器中開啟/etc/modprobe.conf.local檔案。
3確保此檔案中出現以下行。
installbridge/bin/false4儲存並關閉檔案。
保護可靠資料包通訊端通訊協定 做為系統強化活動的一部分,依預設會阻止將可靠資料包通訊端(RDS)通訊協定載入到虛擬應用裝置主機。
潛在攻擊者可能會利用此通訊協定危害系統。
將可靠資料包通訊端(RDS)通訊協定繫結到網路堆疊會增大主機攻擊面。
透過使用該通訊協定開啟通訊端,無權限的本機程序可能會使系統動態載入通訊協定處理常式。
程序1在文字編輯器中開啟/etc/modprobe.conf.local檔案。
VMware,Inc. 35 安全組態指南 2確保此檔案中出現installrds/bin/true行。
3儲存並關閉檔案。
保護透明處理序間通訊協定 做為系統強化活動的一部分,依預設會阻止將透明處理序間通訊協定(TIPC)載入到虛擬應用裝置主機。
潛在攻擊者可能會利用此通訊協定危害系統。
將透明處理序間通訊協定(TIPC)繫結到網路堆疊會增大主機攻擊面。
透過使用該通訊協定開啟通訊端,無權限的本機程序可能會使核心動態載入通訊協定處理常式。
程序1在文字編輯器中開啟/etc/modprobe.conf.local檔案。
2確保此檔案中出現installtipc/bin/true行。
3儲存並關閉檔案。
保護網際網路封包交換通訊協定 依預設會阻止將網際網路封包交換(IPX)通訊協定載入到系統。
潛在攻擊者可能會利用此通訊協定危害系統。
除非絕對必要,否則請避免載入網際網路封包交換(IPX)通訊協定模組。
IPX通訊協定是一種過時的網路層通訊協定。
將此通訊協定繫結到網路堆疊會增大主機攻擊面。
透過使用該通訊協定開啟通訊端,無權限的本機程序可能會使系統動態載入通訊協定處理常式。
程序1在文字編輯器中開啟/etc/modprobe.conf.local檔案。
2確保此檔案中出現以下行。
installipx/bin/true3儲存並關閉檔案。
保護AppleTalk通訊協定安全 依預設會阻止將AppleTalk通訊協定載入到系統。
潛在攻擊者可能會利用此通訊協定危害系統。
除非絕對必要,否則請避免載入AppleTalk通訊協定模組。
將此通訊協定繫結到網路堆疊會增大主機攻擊面。
透過使用該通訊協定開啟通訊端,無權限的本機程序可能會使系統動態載入通訊協定處理常式。
程序1在文字編輯器中開啟/etc/modprobe.conf.local檔案。
2確保此檔案中出現以下行。
installappletalk/bin/true3儲存並關閉檔案。
VMware,Inc. 36 安全組態指南 保護通訊協定 依預設會阻止將通訊協定載入到系統。
潛在攻擊者可能會利用此通訊協定危害系統。
除非絕對必要,否則請避免載入通訊協定模組。
將此通訊協定繫結到網路堆疊會增大主機攻擊面。
透過使用該通訊協定開啟通訊端,無權限的本機程序可能會使系統動態載入通訊協定處理常式。
程序1在文字編輯器中開啟通訊協定/etc/modprobe.conf.local檔案。
2確保此檔案中出現以下行。
install/bin/true3儲存並關閉檔案。
保護FireWire模組 依預設會阻止將FireWire模組載入到系統。
潛在攻擊者可能會利用此通訊協定危害系統。
除非絕對必要,否則請避免載入FireWire模組。
程序1在文字編輯器中開啟/etc/modprobe.conf.local檔案。
2確保此檔案中出現以下行。
installieee1394/bin/true3儲存並關閉檔案。
保護基礎結構即服務元件 在強化系統時,請保護vRealizeAutomation基礎結構即服務(IaaS)元件及其主機,以防止其遭到潛在攻擊者利用。
必須針對vRealizeAutomation基礎結構即服務(IaaS)元件及該元件所在的主機進行安全性設定。
必須設定或確認其他相關元件和應用程式的組態。
在某些情況下,您可以確認現有設定,但其他情況下必須變更或新增設定才能取得適當的組態。
設定NTP 安全性最佳做法是在vRealizeAutomation生產環境中使用授權的時間伺服器,而非主機時間同步化。
在生產環境中,請停用主機時間同步化並使用授權的時間伺服器,以支援透過稽核與記錄,準確追蹤使用者動作以及識別潛在的惡意攻擊與入侵。
為基礎結構即服務傳輸中的資料設定TLS 確定您的vRealizeAutomation部署使用強式TLS通訊協定來保護基礎結構即服務元件的傳輸通道。
VMware,Inc. 37 安全組態指南 安全通訊端層(SSL)與最近開發的傳輸層安全性(TLS)是密碼編譯式通訊協定,可協助確保在不同的系統元件之間進行網路通訊時的系統安全。
由於SSL是較舊的標準,其許多實作已無法再針對潛在攻擊提供足夠的安全防範。
舊版SSL通訊協定(包括SSLv2和SSLv3)已被識別出嚴重的弱點。
這些通訊協定已被視為不夠安全。
視貴組織的安全性原則而定,您可能也會想停用TLS1.0。
備註在負載平衡器上終止TLS時,請視需要一併停用弱式通訊協定,例如SSLv2、SSLv3以及TLS1.0和1.1。
針對IaaS啟用TLS1.1和1.2通訊協定 在裝載IaaS元件的所有虛擬機器上啟用並強制使用TLS1.1和1.2通訊協定。
程序1按一下開始和執行。
2輸入Regedit,然後按一下確定。
3找到並開啟下列登錄子機碼。
HKEYLOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SChannel\Protocols4確認下列項目並根據需要建立新項目。
n如果通訊協定下方沒有名稱為TLS1.1的子機碼,請建立一個。
n如果TLS1.1下方沒有名稱為Client的子機碼,請建立一個。
n如果Client子機碼中沒有名稱為DisabledByDefault的機碼,請建立一個類型為DWORD的機 碼。
n在DisabledByDefault上按一下滑鼠右鍵,選取[修改],然後將其值設定為
0。
n如果Client子機碼中沒有名稱為Enabled的機碼,請建立一個類型為DWORD的機碼。
n在Enabled上按一下滑鼠右鍵,選取[修改],然後將其值設定為
1。
n如果TLS1.1下方沒有名稱為Server的子機碼,請建立一個。
n如果Server子機碼中沒有名稱為DisabledByDefault的機碼,請建立一個類型為DWORD的機 碼。
n在DisabledByDefault上按一下滑鼠右鍵,選取[修改],然後將其值設定為
0。
n如果Server子機碼中沒有名稱為Enabled的機碼,請建立一個類型為DWORD的機碼。
n在Enabled上按一下滑鼠右鍵,選取[修改],然後將其值設定為
1。
5針對TLS1.2通訊協定重複前述步驟。
備註若要強制使用TLS1.1和1.2,則需要後續步驟中所述的其他設定。
6找到並開啟下列登錄子機碼。
HKEYLOCAL_MACHINE\SOFTWARE\Microsoft\.NETFrmework\v4.0.30319 VMware,Inc. 38 安全組態指南 7確認下列項目並根據需要建立新項目。
n如果沒有名稱為SchUseStrongCrypto的DWORD項目,請建立一個並將其值設定為
1。
n如果沒有名稱為SystemDefaultTlsVersions的DWORD項目,請建立一個並將其值設定為
1。
8找到並開啟下列登錄子機碼。
HKEYLOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFrmework\v4.0.30319 9確認下列項目並根據需要建立新項目。
n如果沒有名稱為SchUseStrongCrypto的DWORD項目,請建立一個並將其值設定為
1。
n如果沒有名稱為SystemDefaultTlsVersions的DWORD項目,請建立一個並將其值設定為
1。
針對IaaS停用SSL3.0和TLS1.0 針對IaaS元件停用SSL3.0和已過時的TLS1.0通訊協定。
程序1按一下開始和執行。
2輸入Regedit,然後按一下確定。
3找到並開啟下列登錄子機碼。
HKEYLOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SChannel\Protocols4確認下列項目並根據需要建立新項目。
n如果通訊協定的SSL3.0下方沒有帶名稱的子機碼,請建立一個。
n如果SSL3.0下方沒有名稱為Client的子機碼,請建立一個。
n如果Client子機碼中沒有名稱為DisabledByDefault的機碼,請建立一個類型為DWORD的機 碼。
n在DisabledByDefault上按一下滑鼠右鍵,選取[修改],然後將其值設定為
1。
n在Enabled上按一下滑鼠右鍵,選取[修改],然後將其值設定為
0。
n如果SSL3.0下方沒有名稱為Server的子機碼,請建立一個。
n如果Server子機碼中沒有名稱為DisabledByDefault的機碼,請建立一個類型為DWORD的機 碼。
n在DisabledByDefault上按一下滑鼠右鍵,選取[修改],然後將其值設定為
1。
n如果Server中沒有名稱為Enabled的機碼,請建立一個類型為DWORD的機碼。
n在Enabled上按一下滑鼠右鍵,選取[修改],然後將其值設定為
0。
5針對TLS1.0通訊協定重複前述步驟。
針對IaaS停用TLS1.0 為提供最高安全性,請將IaaS設定為使用集區並停用TLS1.0。
VMware,Inc. 39 安全組態指南 如需詳細資訊,請參閱Microsoft知識庫文章,網址為/en-us/kb/245030。
程序1將IaaS設定為使用集區而非Web通訊端。
a在
2確認TLS1.0在IaaS伺服器上已停用。
a以管理員身分執行登錄編輯器。
b在登錄視窗中導覽到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control \SecurityProviders\Schannel\Protocols\c在Protocols上按一下滑鼠右鍵,選取新增>機碼,然後輸入TLS1.0。
d在導覽樹狀結構中,在剛建立的TLS1.0機碼上按一下滑鼠右鍵,然後在快顯功能表中選取新增> 機碼並輸入Client。
e在導覽樹狀結構中,在剛建立的TLS1.0機碼上按一下滑鼠右鍵,然後在快顯功能表中選取新增> 機碼並輸入Server。
f在導覽樹狀結構中的TLS1.0下方,在Client上按一下滑鼠右鍵,然後按一下新增>DWORD (32-位元)值並輸入DisabledByDefault。
g在導覽樹狀結構中的TLS1.0下方,選取Client,然後在右窗格中按兩下DisabledByDefault DWORD並輸入
1。
h在導覽樹狀結構中的TLS1.0下方,在Server上按一下滑鼠右鍵,然後選取新增>DWORD(32- 位元)值並輸入Enabled。
i在導覽樹狀結構中的TLS1.0下方,選取Server,然後在右窗格中按兩下EnabledDWORD並輸 入
0。
j重新啟動WindowsServer。
設定TLS加密套件 為達到最大的安全性,您必須將vRealizeAutomation元件設定為使用強式密碼。
加密密碼會在伺服器和瀏覽器之間交涉,判斷TLS工作階段使用的加密強度。
為了確保僅選取強式密碼,請在vRealizeAutomation元件中停用弱式密碼。
將伺服器設定為僅支援強式密碼,以及使用足夠大的金鑰大小。
此外,也請依照適當順序設定所有加密。
VMware,Inc. 40 安全組態指南 不接受的加密套件 停用未提供驗證的加密套件,例如NULL加密套件、aNULL或eNULL。
也請停用匿名Diffie-Hellman金鑰交換(ADH)、匯出層級加密(EXP,包含DES的加密)、小於128位元用於加密裝載流量的金鑰大小、針對裝載流量使用MD5做為雜湊機制、IDEA加密套件,以及RC4加密套件。
同時,務請停用使用DiffieHellman(DHE)金鑰交換的加密套件。
如需在vRealizeAutomation中停用靜態金鑰加密的相關資訊,請參閱知識庫文章71094。
確認主機伺服器安全性 安全性最佳做法是確認基礎結構即服務(IaaS)主機伺服器機器的安全性組態。
Microsoft提供了數種工具來協助您確認主機伺服器機器的安全性。
請連絡您的Microsoft廠商,以取得有關這些工具最適當的使用方式指引。
確認主機伺服器安全基準 執行MicrosoftBaselineSecurityAnalyzer(MBSA)以快速確認您的伺服器是否具有最新的更新或Hotfix。
您可以依照Microsoft安全性建議,使用MBSA安裝缺少的Microsoft安全性修補程式,以使伺服器保持最新狀態。
從Microsoft網站下載最新版本的MBSA工具。
確認主機伺服器安全性組態 使用Windows安全性設定精靈(SCW)和MicrosoftSecurityComplianceManager(SCM)工具組來確認主機伺服器是否已安全設定。
從Windows伺服器的系統管理工具中執行SCW。
此工具可識別伺服器角色和已安裝的功能(包括網路功能、Windows防火牆和登錄設定)。
將報告與來自Windows伺服器之相關SCM的最新強化指引進行比較。
您可以根據結果微調每項功能(如網路服務、帳戶設定和Windows防火牆)的安全性設定,並將這些設定套用至伺服器。
您可以在Microsoft網站上尋找有關SCW工具的詳細資訊。
保護應用程式資源 安全性最佳做法是確保所有相關基礎結構即服務檔案都擁有適當權限。
針對您的基礎結構即服務安裝檢閱基礎結構即服務檔案。
在大多數情況下,每個資料夾的子資料夾和檔案應該具有與資料夾相同的設定。
目錄或檔案VMware\vCAC\Agents\
X X
X X
X X
X X
X X 讀取和執 行 讀取 寫入
X X
X X
X X
X X
X X
X X
X X
X VMware,Inc. 41 安全組態指南 目錄或檔案VMware\vCAC\Agents\ VMware\vCAC\DistributedExecutionManager\VMware\vCAC\DistributedExecutionManager\DEM\LogsVMware\vCAC\DistributedExecutionManager\DEO\LogsVMware\vCAC\ManagementAgent\ VMware\vCAC\Server\ VMware\vCAC\WebAPI 群組或使用者管理員系統管理員使用者系統管理員使用者系統管理員管理員系統管理員管理員系統管理員使用者系統管理員使用者系統管理員使用者 完全控制修改
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X 讀取和執 行 讀取 寫入
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X 保護基礎結構即服務主機的安全 安全性最佳做法是,檢閱基礎結構即服務(IaaS)主機的基本設定,確保其符合安全準則。
保護基礎結構即服務(IaaS)主機上的其他帳戶、應用程式、連接埠以及服務的安全。
確認伺服器使用者帳戶設定 確認不存在不必要的本機和網域使用者帳戶及設定。
將與應用程式功能無關的所有使用者帳戶限制為進行管理、維護和疑難排解所需的功能。
將網域使用者帳戶的遠端存取權限制為維護伺服器所需的最低權限。
嚴格控制和稽核這些帳戶。
刪除不必要的應用程式 從主機伺服器中刪除所有不必要的應用程式。
不必要的應用程式由於具備未知或未修補的漏洞,會提高暴露風險。
VMware,Inc. 42 安全組態指南 停用不必要的連接埠和服務 檢閱主機伺服器防火牆的開啟連接埠清單。
封鎖對IaaS元件或關鍵系統作業非必要的所有連接埠。
請參閱設定連接埠和通訊協定。
稽核對主機伺服器執行的服務,並停用不需要的服務。
VMware,Inc. 43 設定主機網路安全性
8 為了針對已知的安全性威脅提供最強的防禦,請在所有VMware主機上進行網路介面與通訊的設定。
在全面的安全性計劃中,請根據既定的安全性準則,針對VMware虛擬應用裝置以及基礎結構即服務元件進行網路介面安全性設定。
本章節討論下列主題:n為VMware應用裝置進行網路設定n為基礎結構即服務主機進行網路設定n設定連接埠和通訊協定 為VMware應用裝置進行網路設定 為了確保您的VMware虛擬應用裝置主機僅支援安全的基本通訊,請檢閱並編輯其網路通訊設定。
根據安全性準則,檢查VMware主機的網路IP通訊協定組態,以及進行網路設定。
停用所有非必要的通訊協定。
阻止使用者控制網路介面 安全性最佳做法是允許使用者僅具有在VMware應用裝置主機上完成其工作所需的系統權限。
允許具有權限的使用者帳戶操縱網路介面會導致略過網路安全性機制或拒絕服務。
限制具有權限的使用者變更網路介面設定的能力。
程序1在每個VMware應用裝置主機上執行下列命令。
#grep-i'^USERCONTROL='/etc/work/ifcfg*2請確保每個介面都設為NO。
設定TCP待處理項目佇列大小 若要針對惡意攻擊提供一定程度的防禦,請在VMware應用裝置主機上設定預設TCP待處理項目佇列大小。
將TCP待處理項目佇列大小設定為適當的預設大小,以降低TCP拒絕服務攻擊的風險。
建議的預設設定為1280。
VMware,Inc. 44 安全組態指南 程序1在每個VMware應用裝置主機上執行以下命令。
#cat/proc//ipv4/tcp_max_syn_backlog2在文字編輯器中開啟/etc/sysctl.conf檔案。
3透過將以下項目新增至該檔案來設定預設TCP待處理項目佇列大小。
net.ipv4.tcp_max_syn_backlog=12804儲存變更並關閉此檔案。
拒絕ICMPv4廣播位址回應 安全性最佳做法是確認您的VMware應用裝置主機忽略ICMP廣播位址回應要求。
對廣播網際網路控制訊息通訊協定(ICMP)回應進行回應會為放大攻擊提供攻擊媒介,並且可能會讓惡意代理程式更容易進行網路對應。
將您的應用裝置主機設定為忽略ICMPv4回應,可以抵禦此類攻擊。
程序1在VMware虛擬應用裝置主機上執行#cat/proc//ipv4/icmp_echo_ignore_broadcasts命 令,以確認這些主機拒絕IPv4廣播位址回應要求。
如果主機設定為拒絕IPv4重新導向,則此命令會針對/proc//ipv4/icmp_echo_ignore_broadcasts傳回值
0。
2若要將虛擬應用裝置主機設定為拒絕ICMPv4廣播位址回應要求,請在Windows主機的文字編輯器中開啟/etc/sysctl.conf檔案。
3找到內容為.ipv4.icmp_echo_ignore_broadcasts=0的項目。
如果該項目的值未設定為零或是該項目不存在,請新增該項目或相應地更新現有項目。
4儲存變更並關閉檔案。
停用IPv4ProxyARP 確認IPv4ProxyARP已停用,以防未經授權的資訊共用(除非您的VMware應用裝置主機有其他要求)。
IPv4ProxyARP允許系統代表連線至一個介面的主機傳送對另一個介面上ARP要求的回應。
如果不需要防止附加網路區段之間的定址資訊洩漏,請將其停用。
程序1在VMware虛擬應用裝置主機上執行#grep[01]/proc//ipv4/conf/*/proxy_arp| egrep"default|all"命令,以確認IPv4ProxyARP已停用。
如果在主機上停用IPv6ProxyARP,此命令將傳回值
0。
/proc//ipv4/conf/all/proxy_arp:0/proc//ipv4/conf/default/proxy_arp:
0 如果主機已正確設定,則無需進行進一步動作。
VMware,Inc. 45 安全組態指南 2如果需要在主機上設定IPv6ProxyARP,請在文字編輯器中開啟/etc/sysctl.conf檔案。
3檢查下列項目。
net.ipv4.conf.default.proxy_arp=.ipv4.conf.all.proxy_arp=
0 如果這些項目不存在或是其值未設定為零,請新增這些項目或相應地更新現有項目。
4儲存您進行的任何變更並關閉檔案。
拒絕IPv4ICMP重新導向訊息 安全性最佳做法是確認您的VMware虛擬應用裝置主機拒絕IPv4ICMP重新導向訊息。
路由器使用ICMP重新導向訊息來通知主機,目的地存在更直接的路由器。
惡意的ICMP重新導向訊息容易產生攔截式攻擊。
這些訊息會修改主機的路由器資料表且未經驗證。
如果不需要這些訊息,請確保您的系統設定為忽略這些訊息。
程序1在VMware應用裝置主機上執行#grep[01]/proc//ipv4/conf/*/ept_redirects|egrep "default|all"命令,以確認這些主機拒絕IPv4重新導向訊息。
如果主機設定為拒絕IPv4重新導向,則此命令會傳回下列內容:/proc//ipv4/conf/all/ept_reidrects:0 /proc//ipv4/conf/default/ept_redirects:0 2如果需要將虛擬應用裝置主機設定為拒絕IPv4重新導向訊息,請在文字編輯器中開啟/etc/sysctl.conf檔案。
3查看開頭為.ipv4.conf的幾行的值。
如果以下項目的值未設定為零或是這些項目不存在,請新增至檔案或相應地更新現有項目。
ept_redirects=ept_redirects=0 4儲存您進行的任何變更並關閉檔案。
拒絕IPv6ICMP重新導向訊息 安全性最佳做法是確認您的VMware虛擬應用裝置主機會拒絕IPv6ICMP重新導向訊息。
路由器使用ICMP重新導向訊息來通知主機,目的地存在更直接的路由器。
惡意的ICMP重新導向訊息容易產生攔截式攻擊。
這些訊息會修改主機的路由器資料表且未經驗證。
若無其他必要用途,請務必將您的系統設定為忽略這些訊息。
VMware,Inc. 46 安全組態指南 程序1在VMware虛擬應用裝置主機上執行#grep[01]/proc//ipv6/conf/*/ept_redirects| egrep"default|all"命令,確認這些主機會拒絕IPv6重新導向訊息。
如果主機設定為拒絕IPv6重新導向,則此命令會傳回下列結果:/proc//ipv6/conf/all/ept_redirects:0/proc//ipv6/conf/default/ept_redirects:02若要將虛擬應用裝置主機設定為拒絕IPv4重新導向訊息,請在文字編輯器中開啟/etc/sysctl.conf檔案。
3查看開頭為.ipv6.conf的幾行的值。
如果下列項目的值未設為零,或是下列項目不存在,請將下列項目新增至檔案,或相應更新現有項目。
ept_redirects=ept_redirects=0 4儲存變更並關閉檔案。
記錄IPv4Martian封包 安全性最佳做法是確認您的VMware虛擬應用裝置主機會記錄IPv4Martian封包。
Martian封包包含系統已知無效的位址。
請將主機設定為記錄這些訊息,讓您能夠識別錯誤組態或進行中的攻擊。
程序1在VMware應用裝置主機上執行#grep[01]/proc//ipv4/conf/*/log_martians|egrep "default|all"命令,確認這些主機會記錄IPv4Martian封包。
如果虛擬機器已設定為記錄Martian封包,則會傳回下列結果: /proc//ipv4/conf/all/log_martians:1/proc//ipv4/default/log_martians:
1 如果主機已正確設定,則無需進行進一步動作。
2如果您需要將虛擬機器設定為記錄IPv4Martian封包,請在文字編輯器中開啟/etc/sysctl.conf檔 案。
3查看開頭為.ipv4.conf的幾行的值。
如果下列項目的值未設為
1,或是下列項目不存在,請將下列項目新增至檔案,或是相應更新現有項目。
net.ipv4.conf.all.log_martians=.ipv4.conf.default.log_martians=1 4儲存變更並關閉此檔案。
VMware,Inc. 47 安全組態指南 使用IPv4反向路徑篩選 安全性最佳做法是確認您的VMware虛擬應用裝置主機使用IPv4反向路徑篩選。
反向路徑篩選可以透過讓系統捨棄來源位址不具有路由或路由不指向原始介面的封包,來抵禦偽造的來源位址。
請盡可能將您的主機設定為使用反向路徑篩選。
在某些情況下,取決於系統角色,反向路徑篩選可能會導致系統捨棄合法流量。
如果您遇到此類問題,可能需要使用更寬鬆的模式或是完全停用反向路徑篩選。
程序1在VMware虛擬應用裝置主機上執行#grep[01]/proc//ipv4/conf/*/rp_filter|egrep "default|all"命令,確認這些機器使用IPv4反向路徑篩選。
如果虛擬機器使用IPv4反向路徑篩選,此命令會傳回下列內容: /proc//ipv4/conf/all/rp_filter:1/proc//ipv4/conf/default/re_filter:
1 如果虛擬機器的設定正確,則無需執行進一步的動作。
2如果需要在主機上設定IPv4反向路徑篩選,請在文字編輯器中開啟/etc/sysctl.conf檔案。
3查看開頭為.ipv4.conf的幾行的值。
如果下列項目的值不是設為1或者項目不存在,請新增這些項目至檔案或相應地更新現有項目。
net.ipv4.conf.all.rp_filter=.ipv4.conf.default.rp_filter=1 4儲存變更並關閉檔案。
拒絕IPv4轉送 確認您的VMware應用裝置主機拒絕IPv4轉送。
如果系統已針對IP轉送進行設定但不是指定的路由器,則攻擊者可能會透過為網路裝置未篩選的通訊提供路徑,利用此系統來略過網路安全性。
請將您的虛擬應用裝置主機設定為拒絕IPv4轉送來避免這一風險。
程序1在VMware應用裝置主機上執行#cat/proc//ipv4/ip_forward命令,以確認這些主機 拒絕IPv4轉送。
如果主機設定為拒絕IPv4轉送,則此命令會針對/proc//ipv4/ip_forward傳回值
0。
如果虛擬機器已正確設定,則無需進行進一步動作。
2若要將虛擬應用裝置主機設定為拒絕IPv4轉送,請在文字編輯器中開啟/etc/sysctl.conf檔案。
3找到內容為.ipv4.ip_forward=0的項目。
如果該項目的值目前未設定為零或是該項目不存在,請新增該項目或相應地更新現有項目。
4儲存任何變更並關閉檔案。
VMware,Inc. 48 安全組態指南 拒絕IPv6轉送 安全性最佳做法是確認您的VMware應用裝置主機系統拒絕IPv6轉送。
如果系統已針對IP轉送進行設定但不是指定的路由器,則攻擊者可能會透過為網路裝置未篩選的通訊提供路徑,利用此系統來略過網路安全性。
請將您的虛擬應用裝置主機設定為拒絕IPv6轉送來避免這一風險。
程序1在VMware應用裝置主機上執行#grep[01]/proc//ipv6/conf/*/forwarding|egrep "default|all"命令,以確認這些主機拒絕IPv6轉送。
如果主機設定為拒絕IPv6轉送,則此命令會傳回下列內容: /proc//ipv6/conf/all/forwarding:0/proc//ipv6/conf/default/forwarding:
0 如果主機已正確設定,則無需進行進一步動作。
2如果需要將主機設定為拒絕IPv6轉送,請在文字編輯器中開啟/etc/sysctl.conf檔案。
3查看開頭為.ipv6.conf的幾行的值。
如果以下項目的值未設定為零或是這些項目不存在,請新增這些項目或相應地更新現有項目。
ept_redirects=ept_redirects=0 4儲存您進行的任何變更並關閉檔案。
使用IPv4TCPSyncookie 確認您的VMware應用裝置主機使用IPv4TCPSyncookie。
透過用SYN_RCVD狀態的連線填滿系統的TCP連線表,TCPSYN洪水攻擊可能會導致拒絕服務。
Syncookie可阻止追蹤連線,直到收到後續ACK並確認啟動器正嘗試有效連線且不是洪水來源為止。
此技術的運作方式雖然不完全符合標準,但僅在出現洪水攻擊情況時啟用,並且可在防護系統的同時繼續為有效要求提供服務。
程序1在VMware應用裝置主機上執行#cat/proc//ipv4/tcp_syncookies命令,以確認這些 主機是否使用IPv4TCPSyncookie。
如果主機設定為拒絕IPv4轉送,此命令會針對/proc//ipv4/tcp_syncookies傳回值
1。
如果虛擬機器已正確設定,則無需進行進一步動作。
2如果需要將虛擬應用裝置設定為使用IPv4TCPSyncookie,請在文字編輯器中開啟/etc/sysctl.conf。
3找到內容為.ipv4.tcp_syncookies=1的項目。
如果此項目的值目前未設定為1或其不存在,請新增該項目或相應地更新現有項目。
VMware,Inc. 49 安全組態指南 4儲存您進行的任何變更並關閉檔案。
拒絕IPv6路由器通告 確認VMware主機拒絕接受路由器通告和ICMP重新導向(除非系統運作需要接受)。
IPv6可讓系統透過自動使用網路中的資訊來設定其網路裝置。
從安全性角度而言,與以未經驗證的方式接受網路中的資訊相比,手動設定重要組態資訊更為可取。
程序1在VMware應用裝置主機上執行#grep[01]/proc//ipv6/conf/*/ept_ra|egrep "default|all"命令,以確認這些主機拒絕路由器通告。
如果主機設定為拒絕IPv6路由器通告,則此命令會傳回值0: /proc//ipv6/conf/all/ept_ra:0/proc//ipv6/conf/default/ept_ra:
0 如果主機已正確設定,則無需進行進一步動作。
2如果需要將主機設定為拒絕IPv6路由器通告,請在文字編輯器中開啟/etc/sysctl.conf檔案。
3檢查下列項目。
ept_ra=ept_ra=
0 如果這些項目不存在或是其值未設定為零,請新增這些項目或相應地更新現有項目。
4儲存您進行的任何變更並關閉檔案。
拒絕IPv6路由器請求 安全性最佳做法是確認您的VMware應用裝置主機拒絕IPv6路由器請求(除非系統運作需要接受)。
路由器請求設定可決定啟動介面時傳送的路由器請求數量。
如果已靜態指派位址,則無需傳送任何請求。
程序1在VMware應用裝置主機上執行#grep[01]/proc//ipv6/conf/*/router_solicitations| egrep"default|all"命令,以確認這些主機拒絕IPv6路由器請求。
如果主機設定為拒絕IPv6路由器通告,則此命令會傳回下列內容: /proc//ipv6/conf/all/router_solicitations:0/proc//ipv6/conf/default/router_solicitations:
0 如果主機已正確設定,則無需進行進一步動作。
2如果需要將主機設定為拒絕IPv6路由器請求,請在文字編輯器中開啟/etc/sysctl.conf檔案。
VMware,Inc. 50 安全組態指南 3檢查下列項目。
net.ipv6.conf.all.router_solicitations=.ipv6.conf.default.router_solicitations=
0 如果這些項目不存在或是其值未設定為零,請新增這些項目或相應地更新現有項目。
4儲存任何變更並關閉檔案。
拒絕路由器請求中的IPv6路由器喜好設定 確認您的VMware應用裝置主機拒絕IPv6路由器請求(除非系統運作需要接受)。
請求設定中的路由器喜好設定可決定路由器的喜好設定。
如果已靜態指派位址,則無需接收請求中的任何路由器喜好設定。
程序1在VMware應用裝置主機上執行#grep[01]/proc//ipv6/conf/*/ ept_ra_rtr_pref|egrep"default|all"命令,以確認這些主機拒絕IPv6路由器請求。
如果主機設定為拒絕IPv6路由器通告,則此命令會傳回下列內容: /proc//ipv6/conf/all/ept_ra_rtr_pref:0/proc//ipv6/conf/default/ept_ra_rtr_pref:
0 如果主機已正確設定,則無需進行進一步動作。
2如果需要將主機設定為拒絕IPv6路由器請求,請在文字編輯器中開啟/etc/sysctl.conf檔案。
3檢查下列項目。
ept_ra_rtr_pref=ept_ra_rtr_pref=
0 如果這些項目不存在或是其值未設定為零,請新增這些項目或相應地更新現有項目。
4儲存您進行的任何變更並關閉檔案。
拒絕IPv6路由器前置詞 確認您的VMware應用裝置主機拒絕IPv6路由器前置詞資訊(除非系統運作需要接受)。
ept_ra_pinfo設定可控制系統是否接受路由器的前置詞資訊。
如果已靜態指派位址,則無需接收任何路由器前置詞資訊。
VMware,Inc. 51 安全組態指南 程序1在VMware應用裝置主機上執行#grep[01]/proc//ipv6/conf/*/ept_ra_pinfo| egrep"default|all"命令,以確認這些主機拒絕IPv6路由器前置詞資訊。
如果主機設定為拒絕IPv6路由器通告,則此命令會傳回下列內容。
/proc//ipv6/conf/all/ept_ra_pinfo:0/proc//ipv6/conf/default/ept_ra_pinfo:
0 如果主機已正確設定,則無需進行進一步動作。
2如果需要將主機設定為拒絕IPv6路由器前置詞資訊,請在文字編輯器中開啟/etc/sysctl.conf檔 案。
3檢查下列項目。
ept_ra_pinfo=ept_ra_pinfo=
0 如果這些項目不存在或是其值未設定為零,請新增這些項目或相應地更新現有項目。
4儲存任何變更並關閉檔案。
拒絕IPv6路由器通告躍點限制設定 確認您的VMware應用裝置主機拒絕IPv6路由器躍點限制設定(除非有必要)。
ept_ra_defrtr設定可控制系統是否接受路由器通告的躍點限制設定。
將其設定為零可防止路由器變更傳出封包的預設IPv6躍點限制。
程序1在VMware應用裝置主機上執行#grep[01]/proc//ipv6/conf/*/ept_ra_defrtr|egrep "default|all"命令,以確認這些主機拒絕IPv6路由器躍點限制設定。
如果主機設定為拒絕IPv6路由器躍點限制設定,則此命令會傳回值
0。
/proc//ipv6/conf/all/ept_ra_defrtr:0/proc//ipv6/conf/default/ept_ra_defrtr:
0 如果主機已正確設定,則無需進行進一步動作。
2如果需要將主機設定為拒絕IPv6路由器躍點限制設定,請在文字編輯器中開啟/etc/sysctl.conf檔 案。
3檢查下列項目。
net.ipv6.conf.all.autoconf=.ipv6.conf.default.autoconf=
0 如果這些項目不存在或是其值未設定為零,請新增這些項目或相應地更新現有項目。
4儲存您進行的任何變更並關閉檔案。
VMware,Inc. 52 安全組態指南 拒絕IPv6路由器通告自動組態設定 確認您的VMware應用裝置主機拒絕IPv6路由器自動組態設定(除非有必要)。
autoconf設定可控制路由器通告是否能夠使系統向介面指派全域單點傳播位址。
程序1在VMware應用裝置主機上執行#grep[01]/proc//ipv6/conf/*/autoconf|egrep "default|all"命令,以確認這些主機拒絕IPv6路由器自動組態設定。
如果主機設定為拒絕IPv6路由器自動組態設定,則此命令會傳回值
0。
/proc//ipv6/conf/all/autoconf:0/proc//ipv6/conf/default/autoconf:
0 如果主機已正確設定,則無需進行進一步動作。
2如果需要將主機設定為拒絕IPv6路由器自動組態設定,請在文字編輯器中開啟/etc/sysctl.conf檔 案。
3檢查下列項目。
net.ipv6.conf.all.autoconf=.ipv6.conf.default.autoconf=
0 如果這些項目不存在或是其值未設定為零,請新增這些項目或相應地更新現有項目。
4儲存您進行的任何變更並關閉檔案。
拒絕IPv6芳鄰請求 確認您的VMware應用裝置主機拒絕IPv6芳鄰請求(除非有必要)。
dad_transmits設定可決定啟動介面時每個位址(全域及連結-本機)傳送的芳鄰請求數量,以確保所需位址在網路中的唯一性。
程序1在VMware應用裝置主機上執行#grep[01]/proc//ipv6/conf/*/dad_transmits| egrep"default|all"命令,以確認這些主機拒絕IPv6芳鄰請求。
如果主機設定為拒絕IPv6芳鄰請求,則此命令會傳回值
0。
/proc//ipv6/conf/all/dad_transmits:0/proc//ipv6/conf/default/dad_transmits:
0 如果主機已正確設定,則無需進行進一步動作。
2如果需要將主機設定為拒絕IPv6芳鄰請求,請在文字編輯器中開啟/etc/sysctl.conf檔案。
VMware,Inc. 53 安全組態指南 3檢查下列項目。
net.ipv6.conf.all.dad_transmits=.ipv6.conf.default.dad_transmits=
0 如果這些項目不存在或是其值未設定為零,請新增這些項目或相應地更新現有項目。
4儲存您進行的任何變更並關閉檔案。
限制IPv6位址數目上限 確認VMware應用裝置主機將IPv6位址數目上限設定為系統作業所需的最小值。
位址數目上限決定每個介面可用的全域單點傳播IPv6位址數目。
雖然預設值為16,但應將其精確設定為系統所需的靜態設定全域位址數目。
程序1在VMware應用裝置主機上執行#grep[1]/proc//ipv6/conf/*/max_addresses| egrep"default|all"命令,確認這些主機正確限制IPv6位址數目上限。
如果已設定主機以限制IPv6位址數目上限,此命令將傳回值
1。
/proc//ipv6/conf/all/max_addresses:1/proc//ipv6/conf/default/max_addresses:
1 如果主機已正確設定,則無需進行進一步動作。
2如果需要設定主機上的IPv6位址數目上限,請在文字編輯器中開啟/etc/sysctl.conf檔案。
3檢查下列項目。
net.ipv6.conf.all.max_addresses=.ipv6.conf.default.max_addresses=
1 如果這些項目不存在或它們的值未設定為
1,請新增這些項目或相應地更新現有項目。
4儲存您進行的任何變更並關閉檔案。
為基礎結構即服務主機進行網路設定 安全性最佳做法是根據VMware需求與準則,在VMware基礎結構即服務(IaaS)元件主機上進行網路通訊設定。
設定基礎結構即服務(IaaS)主機的網路組態,以透過適當的安全性來支援完整的vRealizeAutomation功能。
請參閱保護基礎結構即服務元件。
VMware,Inc. 54 安全組態指南 設定連接埠和通訊協定 安全性最佳做法是依據VMware準則為所有vRealizeAutomation應用裝置和元件設定連接埠和通訊協定。
視需要為vRealizeAutomation元件設定傳入和傳出連接埠,供關鍵系統元件在生產中運作。
停用所有不需要的連接埠和通訊協定。
請參閱VMwarevRealizeAutomation說明文件中的《vRealizeAutomation參考架構》。
「連接埠和通訊協定」工具 「連接埠和通訊協定」工具可讓您在單一儀表板上檢視各種VMware產品及其組合的連接埠資訊。
您也可以從工具中匯出所選資料以供離線存取。
連接埠和通訊協定工具目前支援:nvSpherenvSANnNSXforvSpherenvRealizeNetworkInsightnvRealizeOperationsManagernvRealizeAutomation此工具可在/上取得。
使用者所需的連接埠 安全性最佳做法是根據VMware準則來設定vRealizeAutomation使用者連接埠。
僅在安全的網路上公開必要的連接埠。
伺服器vRealizeAutomation應用裝置 連接埠443、8443 管理員必要的連接埠 安全性最佳做法是根據VMware準則來設定vRealizeAutomation管理員連接埠。
僅在安全的網路上公開必要的連接埠。
伺服器vRealizeApplicationServices伺服器 連接埠5480 vRealizeAutomation應用裝置連接埠 安全性最佳做法是根據VMware建議設定vRealizeAutomation應用裝置的傳入和傳出連接埠。
傳入連接埠設定vRealizeAutomation應用裝置所需的傳入連接埠數下限。
請視系統組態需要設定選擇性連接埠。
VMware,Inc. 55 安全組態指南 表8-
1.所需的最少傳入連接埠 連接埠 通訊協定 443 TCP 8443 TCP 5480 TCP 5488,5489 TCP 5672 TCP 40002 TCP 視需要設定選擇性傳入連接埠。
表8-
2.選擇性傳入連接埠 連接埠 通訊協定 22 TCP 80 TCP 傳出連接埠 設定所需的傳出連接埠。
表8-
3.所需的最少傳出連接埠 連接埠 通訊協定 25、587 TCP、UDP 53 TCP、UDP 67,68,546,547 TCP、UDP 110,995 TCP、UDP 143,993 TCP、UDP 443 TCP 視需要設定選擇性傳出連接埠。
表8-
4.選擇性的傳出連接埠 連接埠 通訊協定 80 TCP 123 TCP、UDP 註解存取vRealizeAutomation主控台及API呼叫。
VMwareRemoteConsoleProxy。
存取vRealizeAutomation應用裝置管理介面。
內部。
由vRealizeAutomation應用裝置用於更新。
RabbitMQ訊息傳送。
備註叢集vRealizeAutomation應用裝置執行個體時,您可能需要設定開啟連接埠4369和25672。
vIDM服務的所需項。
在HA組態中新增該項後,將封鎖所有外部流量(來自其他vRealizeAutomation應用裝置節點的流量除外)。
註解(選擇性)SSH。
在生產環境中,在連接埠22上停用接聽SSH服務,並關閉連接埠22。
(選擇性)重新導向至443。
註解傳送輸出通知電子郵件的SMTP。
DNS。
DHCP。
接收輸入通知電子郵件的POP。
接收輸入通知電子郵件的IMAP。
透過HTTPS的基礎結構即ServiceManager服務。
註解(選擇性)供提取軟體更新。
您可以個別下載並套用更新。
(選擇性)供直接連線至NTP,而非使用主機時間。
VMware,Inc. 56 安全組態指南 「連接埠和通訊協定」工具「連接埠和通訊協定」工具可讓您在單一儀表板上檢視各種VMware產品及其組合的連接埠資訊。
您也可以從工具中匯出所選資料以供離線存取。
連接埠和通訊協定工具目前支援:nvSpherenvSANnNSXforvSpherenvRealizeNetworkInsightnvRealizeOperationsManagernvRealizeAutomation這些工具可在/上取得。
基礎結構即服務連接埠 安全性最佳做法是根據VMware準則,為基礎結構即服務(IaaS)元件設定傳入與傳出連接埠。
傳入連接埠 請為IaaS元件設定所需的最少傳入連接埠。
表8-
5.所需的最少傳入連接埠 元件 連接埠通訊協定 註解 ManagerService443 TCP 透過HTTPS來與IaaS元件及vRealizeAutomation應用裝置通訊。
任何受Proxy代理程式管理的虛擬化主機也都必須開放TCP連接埠443,以供接收傳入流量 傳出連接埠 請為IaaS元件設定所需的最少傳出連接埠。
表8-
6.所需的最少傳出連接埠 元件 連接埠 通訊協定 註解 全部 53 TCP、UDP DNS。
全部 TCP、UDP DHCP。
ManagerService443 TCP 透過HTTPS與vRealizeAutomation應用裝置通訊。
網站 443 TCP 透過HTTPS與ManagerService通訊。
DistributedExecutionManager 443 TCP 透過HTTPS與ManagerService通訊。
Proxy代理程式 443 TCP 透過HTTPS來與ManagerService及虛擬化主機通訊。
客體代理程式 443 TCP 透過HTTPS與ManagerService通訊。
Manager 1433 TCP Service、網站 MSSQL。
VMware,Inc. 57 安全組態指南 如有需要,設定選擇性的傳出連接埠。
表8-
7.選擇性的傳出連接埠 元件 連接埠 通訊協定 全部 123 TCP、UDP 註解NTP是選擇性的。
VMware,Inc. 58 稽核與記錄
9 安全性最佳做法是按照VMware的建議,在您的vRealizeAutomation系統上設定稽核與記錄。
遠端記錄至中央記錄主機,可為記錄檔提供安全的存放區。
透過將記錄檔收集至中央主機,您可以使用單一工具來監控環境。
此外,您也可以執行彙總分析,以及在基礎結構中的多個項目上搜尋協調式攻擊之類的威脅證據。
記錄至安全的集中式記錄伺服器,有助於防止記錄遭篡改,並能提供長期稽核記錄。
確保遠端記錄伺服器安全無虞 攻擊者破壞主機的安全性後,通常都會嘗試搜尋並篡改記錄檔,以遮掩他們的行蹤,並在不被發現的情況下繼續控制主機。
適當地保護遠端記錄伺服器,有助於阻止記錄遭篡改。
使用獲授權的NTP伺服器 確保所有主機使用相同的相對時間來源,包括相關的當地語系化時差,並確保您可將相對時間來源關聯至商定的時間標準,例如國際標準時間(UTC)。
有原則地管理時間來源,可讓您在檢閱相關記錄檔時,迅速追蹤並關聯入侵者的動作。
不正確的時間設定會讓您難以檢查和關聯要偵測攻擊的記錄檔,且會導致稽核不準確。
請至少使用外部時間來源的三個NTP伺服器,或者在信任的網路上設定幾個本機NTP伺服器,然後再從至少三個外部時間來源取得時間。
VMware,Inc. 59
声明:
该资讯来自于互联网网友发布,如有侵犯您的权益请联系我们。