安全配置 2018年10月11日 vRealize operations Manager 7.0 VmWare
安全配置 2018 年 10 月 11 日 vRealize Operations Manager 7.0
安全配置 您可以从 VMware网站下载最新的技术文档 https://docs.vmwarecom/cn/o VMware网站还提供了最近的产品更新。 如果您对本文档有任何意见或建议,请将反馈信息发送至 docfeedback(@vmware.com VMware, Inc. 北京办公室 上海办公室 广州办公室 3401 Hillview Ave 上海市 广州市 Palo Alto. CA 94304 朝阳区新源南路8号 淮海中路333号 天河路385号 www.vmware.com 启皓北京东塔8层801 瑞安大厦804809室 vmware. com/cn ww.vmware.com/cn ww. vmware. com/cn 版权所有2018 VMware,lnc.保留所有权利。版权和商标信息。 VMware,lc保留所有权利
安全配置 VMware, Inc. 保留所有权利。 2 您可以从 VMware 网站下载最新的技术文档: https://docs.vmware.com/cn/。 VMware 网站还提供了最近的产品更新。 如果您对本文档有任何意见或建议,请将反馈信息发送至: docfeedback@vmware.com 版权所有 © 2018 VMware, Inc. 保留所有权利。 版权和商标信息。 VMware, Inc. 3401 Hillview Ave. Palo Alto, CA 94304 www.vmware.com 北京办公室 北京市 朝阳区新源南路 8 号 启皓北京东塔 8 层 801 www.vmware.com/cn 上海办公室 上海市 淮海中路 333 号 瑞安大厦 804-809 室 www.vmware.com/cn 广州办公室 广州市 天河路 385 号 太古汇一座 3502 室 www.vmware.com/cn
目录 安全配置5 vRealize Operations Manager安全状态6 2 vRealize Operations Manager安全部署7 验证安装媒体的完整性7 强化已部署软件基础架构7 检查已安装的和不受支持的软件8 VMware安全通告和修补程序8 3 vRealize Operations Manager的安全配置9 保护 vRealize Operations Manager控制台10 更改Root密码10 管理安全Shel、管理帐户和控制台访问1 设置引导加载程序身份验证15 单用户或维护模式身份验证16 监视最低限度的必要用户帐户16 监视最低限度的必要组16 重置 vRealize Operations Manager管理员密码( Linux)17 在 Mware设备上配置NTP18 在 Linux上禁用TCP时间戳响应18 启用FPS140-2模式19 传输中的数据的TLs19 在 Localhost连接上启用TLs22 必须要保护的应用程序资源24 ache配 禁用配置模式 管理不必要的软件组件26 End Point Operations Management代理30 其他安全配置活动36 4网络安全和安全通信37 为虚拟应用程序安装配置网络设置37 配置端口和协议46 5 vRealize Operations Manager系统上的审核和日志记录48 保证远程登录服务器安全48 使用授权的NTP服务器48 VMware,lc保留所有权利
目录 安全配置 5 1 vRealize Operations Manager 安全状态 6 2 vRealize Operations Manager 安全部署 7 验证安装媒体的完整性 7 强化已部署软件基础架构 7 检查已安装的和不受支持的软件 8 VMware 安全通告和修补程序 8 3 vRealize Operations Manager 的安全配置 9 保护 vRealize Operations Manager 控制台 10 更改 Root 密码 10 管理安全 Shell、管理帐户和控制台访问 11 设置引导加载程序身份验证 15 单用户或维护模式身份验证 16 监视最低限度的必要用户帐户 16 监视最低限度的必要组 16 重置 vRealize Operations Manager 管理员密码 (Linux) 17 在 VMware 设备上配置 NTP 18 在 Linux 上禁用 TCP 时间戳响应 18 启用 FIPS 140-2 模式 19 传输中的数据的 TLS 19 在 Localhost 连接上启用 TLS 22 必须要保护的应用程序资源 24 Apache 配置 25 禁用配置模式 26 管理不必要的软件组件 26 End Point Operations Management 代理 30 其他安全配置活动 36 4 网络安全和安全通信 37 为虚拟应用程序安装配置网络设置 37 配置端口和协议 46 5 vRealize Operations Manager 系统上的审核和日志记录 48 保证远程登录服务器安全 48 使用授权的 NTP 服务器 48 VMware, Inc. 保留所有权利。 3
安全配置 客户端浏览器注意事项48 VMware,lc保留所有权利
客户端浏览器注意事项 48 安全配置 VMware, Inc. 保留所有权利。 4
安全配置 安全配置的文档旨在充当 vRealize Operations Manager的部署的安全基准。当您使用系统监控工具时,请 参阅此文档,以确保持续监控安全基准配置出现的任何意外更改并对配置进行维护。 可以手动执行默认情况下尚未设置的强化活动。 目标受众 此信息面向 vRealize Operations Manager的管理员 VMware,lc保留所有权利
安全配置 安全配置的文档旨在充当 vRealize Operations Manager 的部署的安全基准。当您使用系统监控工具时,请 参阅此文档,以确保持续监控安全基准配置出现的任何意外更改并对配置进行维护。 可以手动执行默认情况下尚未设置的强化活动。 目标受众 此信息面向 vRealize Operations Manager 的管理员。 VMware, Inc. 保留所有权利。 5
vRealize Operations Manager 3 全状态 vRealize Operations Manager的安全状态基于系统和网络配置、组织安全策略和最佳实践假设了一个完全 全的环境。请务必根据您组织的安全策略和最佳实践执行强化活动。 文档分为以下各节 安全部署 安全配置 网络安全 通信 该指南详细说明了虚拟应用程序的安装。 为确保您的系统得到安全强化,请根据您组织的安全策略和面临的风险检査和评估这些建议。 VMware,lc保留所有权利
vRealize Operations Manager 安 全状态 1 vRealize Operations Manager 的安全状态基于系统和网络配置、组织安全策略和最佳实践假设了一个完全 安全的环境。请务必根据您组织的安全策略和最佳实践执行强化活动。 文档分为以下各节: n 安全部署 n 安全配置 n 网络安全 n 通信 该指南详细说明了虚拟应用程序的安装。 为确保您的系统得到安全强化,请根据您组织的安全策略和面临的风险检查和评估这些建议。 VMware, Inc. 保留所有权利。 6
vRealize Operations Manager 3 全部署 2 您必须在安装产品前验证安装媒体的完整性,以确保下载的文件的真实性。 本章讨论了以下主题 验证安装媒体的完整性 强化已部署软件基础架构 检查已安装的和不受支持的软件 VMware安全通告和修补程序 验证安装媒体的完整性 在您下载媒体后,请使用MD5SHA1和值验证下载的完整性。始终在下载sO、离线包或修补程序后验证 SHA1散列值,以确保下载的文件的完整性和真实性。如果您从 VMware获取物理介质且安全封条断开,请 将软件退还给Wwae进行更换。 步骤 将MD5/SHA1散列值输出结果与 VMware网站上发布的值进行比较。 SHA1或MD5散列值应当匹配。 注 vRealize Operations Manager6.x-x,pak文件由 VMware软件发布证书签署。 vRealize Operations Manager在安装前验证PAK文件签名。 强化已部署软件基础架构 作为强化过程的一部分,您必须对支持您的 VMware系统的已部署软件基础架构进行强化。 在强化 Mware系统之前,请检查并解决辅助软件基础架构的安全缺陷,以便创建完全强化的安全环境。需 要考虑的软件基础架构要素包括操作系统组件、辅助软件以及数据库软件。根据制造商的建议以及其他相关 全协议解决这些组件以及其他组件中的安全问题 强化 VMware vSphere环境 vRealize Operations Manager依靠安全的 VMware vSphere环境实现诸多利益以及一个安全的基础架构。 VMware,lc保留所有权利
vRealize Operations Manager 安 全部署 2 您必须在安装产品前验证安装媒体的完整性,以确保下载的文件的真实性。 本章讨论了以下主题: n 验证安装媒体的完整性 n 强化已部署软件基础架构 n 检查已安装的和不受支持的软件 n VMware 安全通告和修补程序 验证安装媒体的完整性 在您下载媒体后,请使用 MD5/SHA1 和值验证下载的完整性。始终在下载 ISO、离线包或修补程序后验证 SHA1 散列值,以确保下载的文件的完整性和真实性。如果您从 VMware 获取物理介质且安全封条断开,请 将软件退还给 VMware 进行更换。 步骤 u 将 MD5/SHA1 散列值输出结果与 VMware 网站上发布的值进行比较。 SHA1 或 MD5 散列值应当匹配。 注 vRealize Operations Manager 6.x-x.pak 文件由 VMware 软件发布证书签署。 vRealize Operations Manager 在安装前验证 PAK 文件签名。 强化已部署软件基础架构 作为强化过程的一部分,您必须对支持您的 VMware 系统的已部署软件基础架构进行强化。 在强化 VMware 系统之前,请检查并解决辅助软件基础架构的安全缺陷,以便创建完全强化的安全环境。需 要考虑的软件基础架构要素包括操作系统组件、辅助软件以及数据库软件。根据制造商的建议以及其他相关 安全协议解决这些组件以及其他组件中的安全问题。 强化 VMware vSphere 环境 vRealize Operations Manager 依靠安全的 VMware vSphere 环境实现诸多利益以及一个安全的基础架构。 VMware, Inc. 保留所有权利。 7
安全配置 评估 VMware vSphere环境并验证是否强制实施并保持了适当级别的 vSphere强化指导。 有关强化的更多指导,请参阅htpo/www.vmware.com/security/hardening-guides.html。 检查已安装的和不受支持的软件 未使用的软件中的漏洞可能会增加未授权的系统访问和可用性中断的风险。检查 Mware主机上安装的软件 并评估其用途。 请勿在任何 vRealize Operations Manager节点主机上安装系统的安全运行不需要的软件。卸载未使用的或 不必要的软件。 在 vRealize Operations Manager等基础架构产品上安装不受支持的、未经测试或未获批准的软件会对基础 架构造成威胁 要最大程度减少对基础架构造成的威胁,请勿在Mare提供的主机上安装或使用不受 VMware支持的任 何第三方软件。 评估您的 rEalize Operations Manager部署和已安装的产品清单,以确认没有安装任何不受支持的软件。 有关第三方产品支持策略的详细信息,请参阅http://www.vmware.com/security/hardening-guideshtm处的 VMware支持。 验证第三方软件 请勿使用 VMware不支持的第三方软件。确认已根据第三方供应商的指导安全配置并修补所有第三方软件。 VMware主机上安装的第三方软件所存在的不真实、不安全或未修补的漏洞可能使系统面临未经授权的访问 和可用性受损的风险。并非由 Mware提供的所有软件必须获得适当的保护和修补。 如果您必须使用 VMware不支持的第三方软件,请咨询第三方供应商以了解安全配置和修补要求。 VMware安全通告和修补程序 VMware有时会发布产品的安全通告。了解这些通告可确保您拥有最安全的基础产品,并确保产品不容易受 已知威胁攻击。 评估 vRealize Operations Manager的安装、修补和升级历史记录,确认遵循并实施了已发布的 VMware安 我们建议您始终维持最新的 vRealize Operations Manager版本,因为此版本还将包含最新的安全修补程序。 有关最新的Mware安全通告的更多信息,请参阅htt/www.vmware.com/security/advisories VMware,lc保留所有权利
评估 VMware vSphere 环境并验证是否强制实施并保持了适当级别的 vSphere 强化指导。 有关强化的更多指导,请参阅 http://www.vmware.com/security/hardening-guides.html。 检查已安装的和不受支持的软件 未使用的软件中的漏洞可能会增加未授权的系统访问和可用性中断的风险。检查 VMware 主机上安装的软件 并评估其用途。 请勿在任何 vRealize Operations Manager 节点主机上安装系统的安全运行不需要的软件。卸载未使用的或 不必要的软件。 在 vRealize Operations Manager 等基础架构产品上安装不受支持的、未经测试或未获批准的软件会对基础 架构造成威胁。 要最大程度减少对基础架构造成的威胁,请勿在 VMWare 提供的主机上安装或使用不受 VMware 支持的任 何第三方软件。 评估您的 vRealize Operations Manager 部署和已安装的产品清单,以确认没有安装任何不受支持的软件。 有关第三方产品支持策略的详细信息,请参阅 http://www.vmware.com/security/hardening-guides.html 处的 VMware 支持。 验证第三方软件 请勿使用 VMware 不支持的第三方软件。确认已根据第三方供应商的指导安全配置并修补所有第三方软件。 VMware 主机上安装的第三方软件所存在的不真实、不安全或 未修补的漏洞可能使系统面临未经授权的访问 和可用性受损的风险。并非由 VMware 提供的所有软件必须获得适当的保护和修补。 如果您必须使用 VMware 不支持的第三方软件,请咨询第三方供应商以了解安全配置和修补要求。 VMware 安全通告和修补程序 VMware 有时会发布产品的安全通告。了解这些通告可确保您拥有最安全的基础产品,并确保产品不容易受 到已知威胁攻击。 评估 vRealize Operations Manager 的安装、修补和升级历史记录,确认遵循并实施了已发布的 VMware 安 全通告。 我们建议您始终维持最新的 vRealize Operations Manager 版本,因为此版本还将包含最新的安全修补程序。 有关最新的 VMware 安全通告的更多信息,请参阅 http://www.vmware.com/security/advisories/。 安全配置 VMware, Inc. 保留所有权利。 8
vRealize Operations manager ag 安全配置 3 作为最佳安全做法,您必须保护 vRealize Operations Manager控制台并管理安全She(SSH)、管理账户和 控制台访问。确保使用安全传输通道部署您的系统 您还必须遵循适用于运行 End Point Operations Management代理的某些最佳安全做法。 本章讨论了以下主题: 保护 vRealize Operations Manager控制台 更改Root密码 管理安全She、管理帐户和控制台访问 设置引导加载程序身份验证 单用户或维护模式身份验证 监视最低限度的必要用户帐户 监视最低限度的必要组 重置 vRealize Operations Manager管理员密码( Linux) 在 VMware设备上配置NTP 在 Linux上禁用TCP时间戳响应 启用F|PS140-2模式 传输中的数据的TLS 在 Localhost连接上启用TLs 必须要保护的应用程序资源 禁用配置模式 管理不必要的软件组件 End Point Operations Management代理 其他安全配置活动 VMware,lc保留所有权利
vRealize Operations Manager 的 安全配置 3 作为最佳安全做法,您必须保护 vRealize Operations Manager 控制台并管理安全 Shell (SSH)、管理账户和 控制台访问。确保使用安全传输通道部署您的系统。 您还必须遵循适用于运行 End Point Operations Management 代理的某些最佳安全做法。 本章讨论了以下主题: n 保护 vRealize Operations Manager 控制台 n 更改 Root 密码 n 管理安全 Shell、管理帐户和控制台访问 n 设置引导加载程序身份验证 n 单用户或维护模式身份验证 n 监视最低限度的必要用户帐户 n 监视最低限度的必要组 n 重置 vRealize Operations Manager 管理员密码 (Linux) n 在 VMware 设备上配置 NTP n 在 Linux 上禁用 TCP 时间戳响应 n 启用 FIPS 140-2 模式 n 传输中的数据的 TLS n 在 Localhost 连接上启用 TLS n 必须要保护的应用程序资源 n Apache 配置 n 禁用配置模式 n 管理不必要的软件组件 n End Point Operations Management 代理 n 其他安全配置活动 VMware, Inc. 保留所有权利。 9
安全配置 保护 vRealize Operations Manager控制台 安装 vRealize Operations Manager后,您必须首次登录并保护群集中每个节点的控制台。 前提条件 安装 vRealize Operations Manager 步骤 1在 vCenter中查找节点控制台或直接访问。 在 vCenter中,按下At+F1访问登录提示。出于安全原因,默认情况下会禁用 vRealize Operations Manager远程终端会话。 2以roo身份登录 vRea| ize Operations Manager不允许您访问命令提示符,直到您创建root密码为止 3在提示密码时,按 Enter键。 4在提示旧密码时,按 Enter键。 5当提示输入新密码时,输入所需的root密码,并记下它以供日后参考。 6重新输入root密码。 7从控制台注销。 更改Root密码 您可以通过使用控制台随时更改任何 vRealize Operations Manager主节点或数据节点的root密码。 root用户可绕过 pam_cracklib模块密码复杂性检查(位于etc/pam.d/ common- password中)。所有强 化设备均为pw_ history模块启用 enforce_for_root,该模块位于etc/pam.d/ common- password文件 中。系统会默认记住最后五个密码。每个用户的旧密码存储在/etc/ security/ opas swd文件中。 前提条件 确认设备的root密码符合您组织的公司密码复杂性要求。如果帐户密码开头为$6$,它使用了sha512哈 希。这是所有强化设备的标准哈希。 步骤 1在设备的 root she中运行# passwd命令 2要验证root密码的哈希,以root身份登录并运行#more/etc/ shadow命令。 将显示哈希信息。 3如果root密码不包含sha512哈希,则运行 passwd命令以对其进行更改。 管理密码到期日期 根据您组织的安全策略,配置所有帐户密码的到期日期 VMware,lc保留所有权利
保护 vRealize Operations Manager 控制台 安装 vRealize Operations Manager 后,您必须首次登录并保护群集中每个节点的控制台。 前提条件 安装 vRealize Operations Manager。 步骤 1 在 vCenter 中查找节点控制台或直接访问。 在 vCenter 中,按下 Alt+F1 访问登录提示。出于安全原因,默认情况下会禁用 vRealize Operations Manager 远程终端会话。 2 以 root 身份登录。 vRealize Operations Manager 不允许您访问命令提示符,直到您创建 root 密码为止。 3 在提示密码时,按 Enter 键。 4 在提示旧密码时,按 Enter 键。 5 当提示输入新密码时,输入所需的 root 密码,并记下它以供日后参考。 6 重新输入 root 密码。 7 从控制台注销。 更改 Root 密码 您可以通过使用控制台随时更改任何 vRealize Operations Manager 主节点或数据节点的 root 密码。 root 用户可绕过 pam_cracklib 模块密码复杂性检查(位于 etc/pam.d/common-password 中)。所有强 化设备均为 pw_history 模块启用 enforce_for_root,该模块位于 etc/pam.d/common-password 文件 中。系统会默认记住最后五个密码。每个用户的旧密码存储在 /etc/security/opasswd 文件中。 前提条件 确认设备的 root 密码符合您组织的公司密码复杂性要求。如果帐户密码开头为 $6$,它使用了 sha512 哈 希。这是所有强化设备的标准哈希。 步骤 1 在设备的 root shell 中运行 # passwd 命令。 2 要验证 root 密码的哈希,以 root 身份登录并运行 # more /etc/shadow 命令。 将显示哈希信息。 3 如果 root 密码不包含 sha512 哈希,则运行 passwd 命令以对其进行更改。 管理密码到期日期 根据您组织的安全策略,配置所有帐户密码的到期日期。 安全配置 VMware, Inc. 保留所有权利。 10