作为最佳安全做法,您必须保护 vRealize Operations 控制台并管理安全 Shell (SSH)、管理账户和控制台访问。确保使用安全传输通道部署您的系统。 启用 FIPS 140-2FIPS 140-2 资格鉴定验证加密解决方案是否满足一组特定的要求,这些要求旨在防止加密模块被破解、修改或以其他方式篡改。启用 FIPS 140-2 模式后,与 vRealize Operations 8.4 及更高版本之间的任何安全通信都将使用美国联邦信息处理标准 (FIPS) 允许的加密算法或协议。FIPS 模式会启用符合 FIPS 140-2 的密码套件。vRealize Operations 8.4 及更高版本附带的与安全相关的库已经过 FIPS 140-2 认证。但是,默认情况下不启用 FIPS 140-2 模式。如果存在安全合规性要求,要求在启用 FIPS 模式的情况下使用经 FIPS 认证的加密算法,可以启用 FIPS 140-2 模式。 确保 vRealize Operations 控制台的安全安装 vRealize Operations 后,您必须首次登录并保护集群中每个节点的控制台。 更改 Root 密码您可以通过使用控制台随时更改任何 vRealize Operations 主节点或数据节点的 root 密码。 管理安全 Shell、管理帐户和控制台访问对于远程连接,所有强化设备包含安全 Shell (SSH) 协议。强化设备上默认禁用 SSH。 设置引导加载程序身份验证 为提供适当水平的安全性,请在您的 VMware 虚拟设备上配置引导加载程序身份验证。如果系统引导加载程序不需要身份验证,对系统具有控制台访问权限的用户也许能够更改系统引导配置或将系统引导至单用户或维护模式,这可能导致出现拒绝服务或未经授权的系统访问。 监视最低限度的必要用户帐户您必须监视现有用户帐户,并确保删除任何不必要的用户帐户。 监视最低限度的必要组您必须监视现有组和成员,以确保删除所有不必要的组或组访问权限。 重置 vRealize Operations Manager 管理员密码作为安全最佳做法,可以重置 vApp 安装的 vRealize Operations 管理员密码。 在 VMware 设备上配置 NTP对于关键时间来源查找,请禁用主机时间同步并在 VMware 设备上使用网络时间协议 (Network Time Protocol, NTP)。您必须配置一个可信的远程 NTP 服务器以实现时间同步。NTP 服务器必须是权威时间服务器或者至少与权威时间服务器同步。 在 Linux 上禁用 TCP 时间戳响应使用 TCP 时间戳响应可以粗略估计远程主机的正常运行时间并有助于进一步的攻击。此外,可以根据某些操作系统的 TCP 时间戳对这些操作系统进行指纹采集。 传输中的数据的 TLS作为最佳安全做法,确保使用安全传输通道部署系统。 在 Localhost 连接上启用 TLS默认情况下,localhost 到 PostgreSQL 数据库的连接不使用 TLS。要启用 TLS,您必须使用 OpenSSL 生成自签名证书或提供自己的证书。 必须要保护的应用程序资源作为最佳安全做法,请确保保护应用程序资源。 Apache 配置 禁用配置模式作为最佳实践,当您安装、配置或维护 vRealize Operations 时,您可以修改配置或设置以启用安装的故障排除和调试。 管理不必要的软件组件要最大程度减少安全风险,请从您的 vRealize Operations Manager 主机删除或配置不必要的软件。 其他安全配置活动阻止主机服务器上不需要的不必要端口。