操作系统维护建议
操作系统管理员在检视操作系统安全并进行加固时,请根据表1所示信息处理,否则修改配置项后可能影响FusionInsight系统正常使用。
检查项 |
关联关系 |
建议操作 |
|---|---|---|
检查各节点拥有suid和sgid权限的文件。 |
FusionInsight系统使用了/bin/ping命令。 |
建议各节点保持该命令的权限不变。 |
检查各节点是否禁止“root”用户远程登录。 |
FusionInsight安装、卸载、扩容使用“root”远程登录。 |
仅在使用root用户进行安装/卸载/扩容/修复等操作时需要开启root远程登录,建议正常运行时关闭root远程登录。 |
检查各节点重要目录或文件权限设置。 |
FusionInsight系统的内部运行用户“omm”需要访问目录“/etc”。 |
建议各节点保持目录“/etc”的权限不变。 |
检查各节点是否禁止系统帐号交互式登录。 |
FusionInsight集群节点的“omm”和“root”用户需要交互式登录。 |
建议保持相关节点“omm”和“root”用户交互式登录权限。 |
检查各节点是否运行NTP服务。 |
FusionInsight系统依赖NTP服务。 |
建议各节点保持NTP服务正常运行。涉及服务列表如下:
|
检查各节点是否运行openldap依赖的服务。 |
FusionInsight系统使用openldap,openldap需要依赖特定的服务。 |
建议各节点保持openldap依赖的服务正常运行。涉及服务列表如下:
|
检查各节点是否允许普通操作系统用户执行cron定时任务。 |
FusionInsight系统的运行用户omm会执行cron定时任务。 |
建议各节点允许操作系统中omm用户执行cron定时任务。 |
检查各节点是否定期归档压缩操作系统日志,例如/var/log/messages和/var/log/secure。 |
没有定期归档会导致日志堆积,直到磁盘空间不足,最终导致FusionInsight系统无法记录日志。 说明:
默认情况下FusionInsight系统关闭了openldap记录运行信息的功能,避免大量操作系统日志影响Syslog服务正常运行。 |
建议各节点使用操作系统的logrotate服务或者cron服务等定期归档压缩并删除过期的操作系统日志。 |
检查FusionInsight Manager创建的omm帐户和ommdba帐户是否设置了密码锁定机制。 |
不设置密码锁定机制会给所有OS帐户(包括omm帐户和ommdba帐户)带来安全风险。 |
建议各节点对所有OS帐户设置密码锁定机制。
|
查看更多:华为GaussDB 200 安全维护
