HPC高性能集群安全配置手冊(cè)_第1頁(yè)
HPC高性能集群安全配置手冊(cè)_第2頁(yè)
HPC高性能集群安全配置手冊(cè)_第3頁(yè)
HPC高性能集群安全配置手冊(cè)_第4頁(yè)
HPC高性能集群安全配置手冊(cè)_第5頁(yè)
已閱讀5頁(yè),還剩2頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、 - 2 -高性能集群安全配置手冊(cè)目 錄 TOC o 1-3 h z u HYPERLINK l _Toc529043958 前 言 PAGEREF _Toc529043958 h - 1 - HYPERLINK l _Toc529043959 1、系統(tǒng)密碼強(qiáng)度規(guī)則 PAGEREF _Toc529043959 h - 1 - HYPERLINK l _Toc529043960 2、禁止root用戶ssh直接登錄 PAGEREF _Toc529043960 h - 1 - HYPERLINK l _Toc529043961 3、禁止普通用戶直接登錄計(jì)算節(jié)點(diǎn)(僅針對(duì)PBS作業(yè)調(diào)度系統(tǒng)) PAGER

2、EF _Toc529043961 h - 2 - HYPERLINK l _Toc529043962 4、配置防止暴力破解Fail2ban(針對(duì)直接通過(guò)外網(wǎng)訪問(wèn)的節(jié)點(diǎn)) PAGEREF _Toc529043962 h - 2 - HYPERLINK l _Toc529043963 4.1、軟件安裝安裝 PAGEREF _Toc529043963 h - 3 - HYPERLINK l _Toc529043964 4.2、軟件配置 PAGEREF _Toc529043964 h - 3 - HYPERLINK l _Toc529043965 4.3、iptables配置 PAGEREF _Toc

3、529043965 h - 4 -前 言由于近些年信息安全事故頻繁發(fā)生,對(duì)大型系統(tǒng)和集群的正常運(yùn)行造成了很嚴(yán)重的影響,信息安全已經(jīng)成為一個(gè)不容忽視的問(wèn)題。如果系統(tǒng)漏洞被利用,惡意程序會(huì)占領(lǐng)系統(tǒng)導(dǎo)致整個(gè)集群運(yùn)行效率低下。惡意程序會(huì)篡改系統(tǒng)常用命令和底層函數(shù)庫(kù)甚至?xí)⑷氲絻?nèi)核態(tài),導(dǎo)致很難被查找和被清理干凈,往往只能通過(guò)重新安裝系統(tǒng)來(lái)徹底解決。所以對(duì)于系統(tǒng)安全來(lái)說(shuō),主動(dòng)防御大于事后查殺。本文中是一些常規(guī)的系統(tǒng)安全配置方式,建議在實(shí)施的過(guò)程中進(jìn)行設(shè)置,已確保集群環(huán)境的正常運(yùn)行。本文中環(huán)境以CentOS7系統(tǒng)為例,其余版本操作系統(tǒng)可參考對(duì)應(yīng)的信息。1、系統(tǒng)密碼強(qiáng)度規(guī)則通過(guò)修改/etc/pam.d/sys

4、tem-auth模塊限制集群用戶密碼強(qiáng)度。密碼強(qiáng)度建議:長(zhǎng)度不小于8位,包含英文大寫(xiě)字母、小寫(xiě)字母、數(shù)字、特殊字符。/etc/pam.d/system-auth模塊添加如下內(nèi)容:password requisite pam_cracklib.so retry=3 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1其中各參數(shù)含義為:retry=x修改嘗試次數(shù)minlen=x最小密碼長(zhǎng)度ucredit=-x最少x個(gè)大寫(xiě)字母lcredit=-x最少x個(gè)小寫(xiě)字母dcredit=-x最少x個(gè)數(shù)字ocredit=-x最少x個(gè)特殊字符2、禁止root用戶

5、ssh直接登錄在可以直通外網(wǎng)的節(jié)點(diǎn)(一般為登錄節(jié)點(diǎn)或管理節(jié)點(diǎn))修改ssh配置文件/etc/ssh/sshd_config,注釋PermitRootLogin yes這一行,然后添加PermitRootLogin without-password,禁止root用戶直接使用密碼登錄:#PermitRootLogin yesPermitRootLogin without-password修改完成后重啟ssh系統(tǒng)服務(wù)生效:systemctl restart sshd3、禁止普通用戶直接登錄計(jì)算節(jié)點(diǎn)(僅針對(duì)PBS作業(yè)調(diào)度系統(tǒng))非root用戶只能登錄提交任務(wù)的計(jì)算節(jié)點(diǎn),同時(shí)不能登錄其余計(jì)算節(jié)點(diǎn),任務(wù)結(jié)束后

6、登錄權(quán)限被回收。修改計(jì)算節(jié)點(diǎn)/etc/security/access.conf添加如下內(nèi)容,限制非root賬戶登錄:vi /etc/security/access.conf- : ALL EXCEPT root : ALLpam_pbssimpleauth模塊由PBS作業(yè)調(diào)度系統(tǒng)提供。通過(guò)Gridview安裝的PBS會(huì)帶有該模塊,手動(dòng)安裝需要在Torque編譯時(shí)configure 添加-with-pam參數(shù),生成模塊的路徑為/lib64/security。在所有計(jì)算節(jié)點(diǎn)修改/etc/pam.d/password-auth,添加pam_pbssimpleauth模塊和pam_access模塊認(rèn)證

7、,并注釋掉pam_localuser.so所在行。#account sufficient pam_localuser.soaccount sufficient pam_pbssimpleauth.soaccount required pam_access.so4、配置防止暴力破解Fail2ban(針對(duì)直接通過(guò)外網(wǎng)訪問(wèn)的節(jié)點(diǎn))配置Fail2ban防暴力破解工具,建議策略如下:允許重試次數(shù):10次檢測(cè)時(shí)間頻率:1分鐘禁止時(shí)長(zhǎng):1小時(shí)下載地址: HYPERLINK / /Fail2ban需結(jié)合系統(tǒng)防火墻使用,Redhat/CentOS 7默認(rèn)為firewalld服務(wù)建議重新安裝并使用iptables

8、,Redhat/CentOS6默認(rèn)為iptables服務(wù),F(xiàn)ail2ban會(huì)按照配置文件策略自動(dòng)生成規(guī)則,并不會(huì)影響其余策略。4.1、軟件安裝安裝tar zxvf fail2ban-0.10.tar.gzcd fail2ban-0.10./setup.py installcp -p file/redhat-init.d /etc/init.d/fail2ban4.2、軟件配置修改配置文件內(nèi)容如下/etc/fail2ban/jail.local#以空格分隔的列表,可以是IP地址、CIDR前綴或者主機(jī)名#用于指定不受限制的IP地址或地址段ignoreip = xxx.xxx.xxx.xxx/xx#

9、客戶端主機(jī)被禁止的時(shí)常(秒)bantime = 3600#檢查時(shí)間周期(秒),即登錄失敗達(dá)到指定次數(shù)的時(shí)間長(zhǎng)度f(wàn)indtime = 60#一個(gè)檢查時(shí)間周期內(nèi),允許的最大失敗次數(shù)maxretry = 10#ssh登錄相關(guān)配置ssh-iptablesenabled = truefilter = sshdaction = iptablesname=SSH,port=ssh,protocol=tcplogpath = /var/log/secure添加開(kāi)機(jī)啟動(dòng)項(xiàng),修改/etc/rc.d/rc.local文件添加如下內(nèi)容#fail2ban startmkdir -p /var/run/fail2ban然

10、后執(zhí)行命令/usr/sbin/chkconfig -level 12345 fail2ban on4.3、iptables配置由于fail2ban會(huì)啟用系統(tǒng)防火墻相關(guān)服務(wù)來(lái)對(duì)訪問(wèn)進(jìn)行控制,CentOS/RedHat 7默認(rèn)為firewalld,CentOS/RedHat6 默認(rèn)為iptables。建議CentOS/RedHat7關(guān)閉firewalld重新安裝iptables服務(wù)并啟用,以下配置均以iptables為準(zhǔn)。#關(guān)閉系統(tǒng)firewalld服務(wù)systemctl stop firewallsystemctl disabled firewall本地yum源配置完成后,可以使用yum 安裝i

11、ptables,或者從對(duì)應(yīng)操作系統(tǒng)安裝光盤(pán)的Packages目錄中找到iptables RPM包進(jìn)行安裝,命令如下:#采用本地yum源進(jìn)行安裝yum install -y iptables-services#采用RPM包進(jìn)行安裝rpm ivh iptables-services-xxxx.x86_64rpm ivh iptables-xxxx.x86_64#啟用iptables服務(wù)systemctl enable iptables-servicesystemctl start iptables-service#配置允許內(nèi)網(wǎng)網(wǎng)段無(wú)限制訪問(wèn)在/etc/sysconfig/iptables添加如下內(nèi)

12、容:-A INPUT -s xxx.xxx.xxx.xxx/xx -d xxx.xxx.xxx.xxx/xx -j ACCEPT-A OUTPUT -d xxx.xxx.xxx.xxx/xx -s xxx.xxx.xxx.xxx/xx -j ACCEPT其中xxx.xxx.xxx.xxx/xx為授信地址,除集群內(nèi)網(wǎng)網(wǎng)段外,也可添加其余可信IP,同時(shí)也可根據(jù)實(shí)際需求填寫(xiě)其余策略,注意策略間不沖突即可。#添加完成后重啟iptables服務(wù)策略生效systemctl restart itables.service 4.4、其他常用命令#啟動(dòng)關(guān)閉fail2ban服務(wù)systemctl start fail2bansystemctl stop fail2b

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論