資安強化 nutanix CVM & AHV

 

nutanix CVM & AHV 如何強化她?
因為 ransomware 的氾濫,要有良好的使用習慣,用內建的功能來強化資安保護。
截圖 2021-11-01 01.00.54
 

登入任一台 CVM。注意:這邊下的指令 ncli,會對全部叢集內的節點全部生效。
 
列出 AHV 的資安設定
$ ncli cluster get-hypervisor-security-config

 

列出 cvm 的資安設定
$ ncli cluster get-cvm-security-config
 
使用下列的指令進行修改
$ ncli cluster edit-hypervisor-security-params
$ ncli cluster edit-cvm-security-params
 
可修改的範圍包括:
1) aide (advanced intrusion detection) 強化的入侵偵測
2) core (cluster core tracking) 叢集核心審計 (先問過 support team再開)
3) 要不要使用高強度密碼
4) 建立登入提示 banner
5) Schedule 週期檢查 (小時、天、周、月)
 

一般我會建議開啟 (1) (3),(5)則設定成 DAILY

 

這邊是完整的文件,有時間的話一定要好好的看。非常的有用。

https://portal.nutanix.com/page/documents/details?targetId=Nutanix-Security-Guide-v6_0:sec-ahv-configuration-c.html

為 CVM 建立存取白名單

https://portal.nutanix.com/page/documents/details?targetId=Nutanix-Security-Guide-v56:sec-tcp-wrapper-integration-c.html#nconcept_rbd_xwk_4bb

主要在修改這個檔案 /srv/salt/security/CVM/network/hosts.allow ,千萬記得把 192.168.5.0 放進來。

為 AHV 建立存取白名單

主要在修改這個檔案 /srv/salt/security/KVM/network/hosts.allow ,千萬記得把 192.168.5.0 放進來。

為IPMI建立存取白名單

進入 ipmi console, 到 IP Access Control 下設定

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Google photo

您的留言將使用 Google 帳號。 登出 /  變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

連結到 %s