nutanix CVM & AHV 如何強化她?

因為 ransomware 的氾濫，要有良好的使用習慣，用內建的功能來強化資安保護。

 

---

登入任一台 CVM。注意：這邊下的指令 ncli，會對全部叢集內的節點全部生效。

 

列出 AHV 的資安設定
$ ncli cluster get-hypervisor-security-config

 

列出 cvm 的資安設定
$ ncli cluster get-cvm-security-config

 

使用下列的指令進行修改

$ ncli cluster edit-hypervisor-security-params

$ ncli cluster edit-cvm-security-params

 

可修改的範圍包括：

1) aide (advanced intrusion detection) 強化的入侵偵測

2) core (cluster core tracking) 叢集核心審計 (先問過 support team再開)

3) 要不要使用高強度密碼

4) 建立登入提示 banner

5) Schedule 週期檢查 (小時、天、周、月)

 

一般我會建議開啟 (1) (3)，(5)則設定成 DAILY

 

這邊是完整的文件，有時間的話一定要好好的看。非常的有用。

https://portal.nutanix.com/page/documents/details?targetId=Nutanix-Security-Guide-v6_0:sec-ahv-configuration-c.html

為 CVM 建立存取白名單

https://portal.nutanix.com/page/documents/details?targetId=Nutanix-Security-Guide-v56:sec-tcp-wrapper-integration-c.html#nconcept_rbd_xwk_4bb

主要在修改這個檔案 /srv/salt/security/CVM/network/hosts.allow ，千萬記得把 192.168.5.0 放進來。

為 AHV 建立存取白名單

主要在修改這個檔案 /srv/salt/security/KVM/network/hosts.allow ，千萬記得把 192.168.5.0 放進來。

為IPMI建立存取白名單

進入 ipmi console, 到 IP Access Control 下設定