没有什么比安全产品的安全性更重要。是时候检查一下你的堡垒机（针对新堡垒机RIS）的安全性了！请逐一对照下文10个关键项，按照建议检查和安全强化，我们一起“灭灭灭”堡垒机隐患。
1、部署
堡垒机通常部署在内网，若需要通过互联网访问，建议通过威必恩访问；
没有威必恩建议仅开通SSH（22）和RDP（3389）端口，禁止直接通过公网访问Web界面。
2、网络策略
只对访问客户端开通必要的端口：443（Web）、3389（图形）、22（字符）；
只向特定的管理员终端开通控制台访问端口：8022（console控制台）。
3、补丁
确保堡垒机标准版的版本为最新；
确保补丁版本为最新。
4、密码
确保密码设置足够复杂（参考下图设置）；
确保密码定期修改。

5、认证
若有第三方认证系统，可通过AD、LDAP、RADIU、X.509方式对接；
若已购买动态令牌或USBKEY，务必启用；若无其他认证方式，务必启用手机令牌；
为所有用户启用双因素身份认证，API用户使用本地密码。
6、登录控制
在系统设置中，设置全局的登录控制，限制用户的来源IP及IP范围，同时对管理员用户进行更细致的来源IP地址限制；
对单个用户启用登录控制，建议填写IP地址、IP段，条件选择“不满足”，动作选择“拒绝”。
7、API调用
不建议直接使用超级管理员admin进行身份验证，新建一个配置管理员api_user专门用于调用API时的身份验证；
设置身份验证为“本地密码”，满足密码复杂度要求；
启用“用户登录控制”，设置调用API服务器的来源IP地址或范围。
8、SSH外部访问
建议关闭系统的SSH外部访问。
9、root账号
产品部署完后，应修改root账号默认秘钥，修改后的秘钥由用户保密存储，不可在堡垒机中托管；
确保root账号的默认shell为console。
10、IPMI安全
如果已配置IPMI，启用IPMI管理口后，修改默认用户名、密码，密码符合复杂度要求；
禁止IPMI的80、22、161端口；启用Web SSL-443端口；
“在IPMI管理页面设置IP访问控制”限制访问来源IP地址，建议只允许固定终端访问IPMI服务。

针对以上堡垒机安全使用检查的10个关键项，想要获取更详细的具体操作指南/手册，请关注九边。