安全加固
设置登录会话超时时间
登录会话30分钟(或更短)的时间内没有活动的情况下属于超时。
- 登录安装BoostIO组件的节点。
- 执行以下命令,打开“/etc/profile”文件。
vim /etc/profile
- 按“i”进入编辑模式,在文件尾部增加以下内容。
export TMOUT=1800 readonly TMOUT
- 按“ESC”键,输入:wq!,按“Enter”保存并退出编辑。
设置umask
建议用户服务器的umask设置为027~777,提高文件权限。
此处以设置umask为027为例。
- 以root用户登录服务器,编辑“/etc/profile”文件。
vim /etc/profile
- 在“/etc/profile”文件末尾加上umask 027,保存并退出。
- 执行如下命令使配置生效。
source /etc/profile
安全配置基线
所属功能域/功能 |
Functional Domain/Function |
TLS证书开关 |
|---|---|---|
OM对象(可选) |
Configuration management object |
NA |
配置参数(可选) |
Parameters for configuring managed objects |
NA |
规则分类(支持定制) |
Rule Category (Customization Supported) |
证书管理 |
规则分类ID |
Rule Category (Customization Supported)ID |
NA |
规则子类(支持定制) |
Rule Subcategory (Customization Supported) |
TLS证书认证 |
规则子类ID |
Rule Subcategory (Customization Supported)ID |
NA |
规则名称 |
Rule Name |
启用TLS认证 |
规则ID |
Rule ID |
NA |
风险等级 |
Risk Level |
中 |
规则描述 |
Rule Description |
开启后,集群中所有的Client端和Server端需要同步开启或关闭TLS认证,否则会连接失败。同时BoostIO集群中的所有计算节点均需开启TLS认证。 |
风险描述 |
Risk Description |
不开启TLS,网络通信数据未加密容易泄露。 |
修复影响 |
Repair Impact |
开启之后通信通道数据加密传输。 |
取值范围 |
Value Range |
[true,false] |
安全推荐值 |
Recommended Security Values |
TRUE |
缺省值 |
default value |
TRUE |
修复建议 |
Rectification Suggestions |
无 |
是否必选项 |
Mandatory or Not |
是 |
是否默认安全 |
Default Security or not |
是 |
密钥更新
缓冲区溢出安全保护
为阻止缓冲区溢出攻击,建议使用ASLR(Address space layout randomization)技术,通过对堆、栈、共享库映射等线性区布局的随机化,增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置。该技术可作用于堆、栈、内存映射区(mmap基址、shared libraries、vdso页)。
开启方式:
echo 2 >/proc/sys/kernel/randomize_va_space