最近要到客户现场去帮他们做一个安全分析(Security analyze),主要是针对ProLiant的刀片系统。
安全分析将会涉及用户环境中一切可能的渠道。
请问大家有没有这方面的经验分享一下呢? 或者是哪些地方可以重点注意,哪些已知的问题可以预先查找,或者有一些这方面的文档参考一下就好了,十分感谢!!!
Blade环境的安全问题
版主: xyevolve
版面规则
1. 本版是定位于惠普服务器的技术讨论区。
2. 本版鼓励发帖共同讨论技术问题,不鼓励站内信件私下交流,独知知不如众知知。
3. 本版允许转贴或引用他人的作品,但必须声明原作者信息。
4. 本版禁止发表出售、求购、或其他非技术讨论等帖子。
5. 本版禁止灌水,包括但不限于任何与所讨论主题无关的回复,无意义字符,直接复制其他回复等。
6. 本站附件禁止用于商业目的,请在下载后24小时内删除,本站不对其造成的结果负任何责任。
1. 本版是定位于惠普服务器的技术讨论区。
2. 本版鼓励发帖共同讨论技术问题,不鼓励站内信件私下交流,独知知不如众知知。
3. 本版允许转贴或引用他人的作品,但必须声明原作者信息。
4. 本版禁止发表出售、求购、或其他非技术讨论等帖子。
5. 本版禁止灌水,包括但不限于任何与所讨论主题无关的回复,无意义字符,直接复制其他回复等。
6. 本站附件禁止用于商业目的,请在下载后24小时内删除,本站不对其造成的结果负任何责任。
-
MUDBOY
- 创始人
- 帖子: 3882
- 注册时间: 2010年 12月 28日 21:17 星期二
Blade环境的安全问题
提倡分享之精神, 技术问题请在相关版面直接发帖, 站内短信恕不答复.
I don't answer private messages on topics of public interest, because it defeats the whole purpose of a message board.
I don't answer private messages on topics of public interest, because it defeats the whole purpose of a message board.
-
MUDBOY
- 创始人
- 帖子: 3882
- 注册时间: 2010年 12月 28日 21:17 星期二
Re: Blade环境的安全问题
自己想到的,第一件事情应该就是禁用OA CLI上的telnet.
telnet和ssh都是默认启用的,telnet是明文传输密码的哟,呵呵。
除非客户要求,一般都建议先把telnet禁用掉。
telnet和ssh都是默认启用的,telnet是明文传输密码的哟,呵呵。
除非客户要求,一般都建议先把telnet禁用掉。
提倡分享之精神, 技术问题请在相关版面直接发帖, 站内短信恕不答复.
I don't answer private messages on topics of public interest, because it defeats the whole purpose of a message board.
I don't answer private messages on topics of public interest, because it defeats the whole purpose of a message board.
-
HEUNG
- 荣誉版主
- 帖子: 229
- 注册时间: 2011年 1月 26日 23:31 星期三
Re: Blade环境的安全问题
再补充几点 :D
• 禁用telnet (可以通过GUI来实现), 只打开ssh连接.
• 采用Role Based Access Control访问控制方式. 一条重要的安全法则就是尽可能少的分配权限给用户, "The Principle of Least Privilege". 就是说除了给用户应有的权限外,不再给他其他用不到的权限。很多客户都是把admin权限开放给了所有人,当然就会造成很多麻烦啦。
• 采用强密码。默认情况下,强密码要求并没有启用,OA允许最低3个字符的密码就可以了。
• 采用强的加密措施,并不是说在enclosure内部传输上面的加密,而是在外部的数据传输采用SSL。 采用FIPS140-2法则(wiki有解释)
• 物理上面的安全访问,比如机房出入,线缆锁定等等。.
最后强调一下,安全控制上最重要的和最薄弱的还是人和流程的管理.
欢迎讨论!
• 禁用telnet (可以通过GUI来实现), 只打开ssh连接.
• 采用Role Based Access Control访问控制方式. 一条重要的安全法则就是尽可能少的分配权限给用户, "The Principle of Least Privilege". 就是说除了给用户应有的权限外,不再给他其他用不到的权限。很多客户都是把admin权限开放给了所有人,当然就会造成很多麻烦啦。
• 采用强密码。默认情况下,强密码要求并没有启用,OA允许最低3个字符的密码就可以了。
• 采用强的加密措施,并不是说在enclosure内部传输上面的加密,而是在外部的数据传输采用SSL。 采用FIPS140-2法则(wiki有解释)
• 物理上面的安全访问,比如机房出入,线缆锁定等等。.
最后强调一下,安全控制上最重要的和最薄弱的还是人和流程的管理.
欢迎讨论!