nutanix CVM & AHV 如何強化她?
因為 ransomware 的氾濫,要有良好的使用習慣,用內建的功能來強化資安保護。
登入任一台 CVM。注意:這邊下的指令 ncli,會對全部叢集內的節點全部生效。
列出 AHV 的資安設定
$ ncli cluster get-hypervisor-security-config
列出 cvm 的資安設定
$ ncli cluster get-cvm-security-config
使用下列的指令進行修改
$ ncli cluster edit-hypervisor-security-params
$ ncli cluster edit-cvm-security-params
可修改的範圍包括:
1) aide (advanced intrusion detection) 強化的入侵偵測
2) core (cluster core tracking) 叢集核心審計 (先問過 support team再開)
3) 要不要使用高強度密碼
4) 建立登入提示 banner
5) Schedule 週期檢查 (小時、天、周、月)
一般我會建議開啟 (1) (3),(5)則設定成 DAILY
這邊是完整的文件,有時間的話一定要好好的看。非常的有用。
https://portal.nutanix.com/page/documents/details?targetId=Nutanix-Security-Guide-v6_0:sec-ahv-configuration-c.html
為 CVM 建立存取白名單
主要在修改這個檔案 /srv/salt/security/CVM/network/hosts.allow ,千萬記得把 192.168.5.0 放進來。
為 AHV 建立存取白名單
主要在修改這個檔案 /srv/salt/security/KVM/network/hosts.allow ,千萬記得把 192.168.5.0 放進來。
為IPMI建立存取白名單
進入 ipmi console, 到 IP Access Control 下設定
Simon Cheng 的儲思盆 