最佳安全性做法是保護 vRealize Operations 主控台的安全,並管理安全殼層 (SSH)、管理員帳戶和主控台存取。請確保系統部署有安全傳輸通道。 啟用 FIPS 140-2FIPS 140-2 資格鑑定會驗證加密解決方案是否符合一組特定的需求,這些需求旨在防止密碼編譯模組遭到破譯、更改或以其他方式篡改。啟用 FIPS 140-2 模式時,與 vRealize Operations 8.4 及更高版本的任何安全通訊均使用美國聯邦資訊處理標準 (FIPS) 所允許的密碼編譯演算法或通訊協定。FIPS 模式會開啟符合 FIPS 140-2 的加密套件。隨附於 vRealize Operations 8.4 及更高版本的安全性相關程式庫已通過 FIPS 140-2 認證。但是,FIPS 140-2 模式依預設不會啟用。如果有安全合規性需求,要求使用經過 FIPS 認證的密碼編譯演算法,則可以啟用 FIPS 140-2 模式。 確保 vRealize Operations 主控台安全安裝 vRealize Operations 後,您必須進行第一次登入,並確保叢集中每個節點主控台的安全。 變更根密碼您可以使用主控台,隨時變更任何 vRealize Operations 主要或資料節點的根密碼。 管理安全殼層、管理員帳戶和主控台存取針對遠端連線,所有強化的應用裝置都會包含安全殼層 (SSH) 通訊協定。依預設,強化應用裝置上會停用 SSH。 設定開機載入器驗證 若要提供適當的安全性等級,請在 VMware 虛擬應用裝置上設定開機載入器驗證。如果系統開機載入器不需要驗證,對於系統具有主控台存取權的使用者,也許就能夠變更系統開機組態,或將系統開機到單一使用者或維護模式,導致阻斷服務或未經授權的系統存取。 監控基本必要使用者帳戶您必須監控現有的使用者帳戶,並確保移除任何不必要的使用者帳戶。 監控基本必要群組您必須監控現有的群組和成員,以確保移除任何不必要的群組或群組存取權。 vRealize Operations Manager 管理員密碼重設中基於安全最佳做法,您可以重設 vApp 安裝的 vRealize Operations 管理員密碼。 設定 VMware 應用裝置的 NTP針對重要的時間來源,在 VMware 應用裝置上停用主機時間同步化,並且使用網路時間通訊協定 (NTP)。您必須設定受信任的遠端 NTP 伺服器,以進行時間同步化。NTP 伺服器必須是授權時間伺服器,或者至少要與授權時間伺服器同步化。 在 Linux 上停用 TCP 時間戳記回應TCP 時間戳記回應可用於預估遠端主機的運作時間,並在未來的攻擊中提供協助。此外,部分作業系統可依其 TCP 時間戳記行為來辨識出指紋。 為傳遞中的資料使用 TLS最佳安全性做法是確保系統部署有安全傳輸通道。 針對 Localhost 連線啟用 TLS依預設,連至 PostgreSQL 資料庫的 localhost 連線不會使用 TLS。若要啟用 TLS,您必須使用 OpenSSL 產生自我簽署憑證,或者提供您自己的憑證。 必須保護的應用程式資源最佳安全性做法是確保應用程式資源受到保護。 Apache 組態 停用組態模式最佳做法是在安裝、設定或維護 vRealize Operations 時,修改組態或設定,以便為安裝執行疑難排解和偵錯。 管理不重要的軟體元件為盡量降低安全性風險,請從 vRealize Operations Manager 主機機器移除或設定不重要的軟體。 其他安全組態活動在不需要的主機伺服器上封鎖不必要的連接埠。 上層主題: 安全組態
