安全检查与加固
通过安全检查与加固提高系统或网络的安全性和稳定性,防止黑客攻击、数据泄露、系统崩溃等问题的发生。同时,也可以满足法规和合规要求,保护用户隐私和信息安全。
产品 |
安全检查与加固 |
|---|---|
KBest |
防病毒软件例行检查、缓冲区溢出安全保护、漏洞修复、SSH加固。 |
KScaNN |
|
KVecTurbo |
|
KNewPfordelta |
|
faiss |
|
hnswlib |
|
Elasticsearch |
防病毒软件例行检查、漏洞修复、SSH加固。 |
防病毒软件例行检查
此项所有特性均需关注。
定期开展对组件的防病毒扫描,防病毒例行检查会帮助集群免受病毒、恶意代码、间谍软件以及程序侵害,降低系统瘫痪、信息泄露等风险。可以使用业界主流防病毒软件进行防病毒检查。
缓冲区溢出安全保护
此项除了Elasticsearch特性都需关注。
为阻止缓冲区溢出攻击,建议使用ASLR(Address space layout randomization)技术,通过对堆、栈、共享库映射等线性区布局的随机化,增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置。该技术可作用于堆、栈、内存映射区(mmap基址、shared libraries、vdso页)。
开启方式:
echo 2 >/proc/sys/kernel/randomize_va_space
漏洞修复
此项所有特性均需关注。
为保证生产环境的安全,降低被攻击的风险,请开启防火墙,并定期修复以下漏洞。
- 操作系统漏洞
- JDK漏洞
- OpenSSL漏洞
- 其他相关组件漏洞
漏洞描述:
Netty 4.1.17版本存在两个Content-Length的HTTP header可能会发生混淆的风险通告,漏洞编号:CVE-2021-37137。
本系统使用hdfs-ceph(version 3.2.0)服务作为存算分离的存储对象,它因依赖aws-java-sdk-bundle-1.11.375.jar而涉及该漏洞。建议用户及时更新漏洞补丁进行防护,以免遭受黑客攻击。
影响范围:
Netty 4.1.68及以前版本。
修复建议:
SSH加固
此项所有特性均需关注。
在部署安装过程中,需要通过SSH连接服务器。由于root用户拥有最高权限,直接使用root用户登录服务器可能会存在安全风险。建议您使用普通用户登录服务器进行安装部署,并建议您通过配置禁止root用户SSH登录的选项,来提升系统安全性。操作步骤:
登录后检查/etc/ssh/sshd_config配置项“PermitRootLogin”。
- 如果显示no,说明禁止了root用户SSH登录。
- 如果显示yes,说明需要修改PermitRootLogin为no。