没有什么比安全产品的安全性更重要。是时候检查一下你的堡垒机(针对新堡垒机RIS)的安全性了!请逐一对照下文10个关键项,按照建议检查和安全强化,我们一起“灭灭灭”堡垒机隐患。
1、部署
堡垒机通常部署在内网,若需要通过互联网访问,建议通过威必恩访问;
没有威必恩建议仅开通SSH(22)和RDP(3389)端口,禁止直接通过公网访问Web界面。
2、网络策略
只对访问客户端开通必要的端口:443(Web)、3389(图形)、22(字符);
只向特定的管理员终端开通控制台访问端口:8022(console控制台)。
3、补丁
确保堡垒机标准版的版本为最新;
确保补丁版本为最新。
4、密码
确保密码设置足够复杂(参考下图设置);
确保密码定期修改。
5、认证
若有第三方认证系统,可通过AD、LDAP、RADIU、X.509方式对接;
若已购买动态令牌或USBKEY,务必启用;若无其他认证方式,务必启用手机令牌;
为所有用户启用双因素身份认证,API用户使用本地密码。
6、登录控制
在系统设置中,设置全局的登录控制,限制用户的来源IP及IP范围,同时对管理员用户进行更细致的来源IP地址限制;
对单个用户启用登录控制,建议填写IP地址、IP段,条件选择“不满足”,动作选择“拒绝”。
7、API调用
不建议直接使用超级管理员admin进行身份验证,新建一个配置管理员api_user专门用于调用API时的身份验证;
设置身份验证为“本地密码”,满足密码复杂度要求;
启用“用户登录控制”,设置调用API服务器的来源IP地址或范围。
8、SSH外部访问
建议关闭系统的SSH外部访问。
9、root账号
产品部署完后,应修改root账号默认秘钥,修改后的秘钥由用户保密存储,不可在堡垒机中托管;
确保root账号的默认shell为console。
10、IPMI安全
如果已配置IPMI,启用IPMI管理口后,修改默认用户名、密码,密码符合复杂度要求;
禁止IPMI的80、22、161端口;启用Web SSL-443端口;
“在IPMI管理页面设置IP访问控制”限制访问来源IP地址,建议只允许固定终端访问IPMI服务。
针对以上堡垒机安全使用检查的10个关键项,想要获取更详细的具体操作指南/手册,请关注九边。