ESXi安全配置基线V1.0.docVIP

第 PAGE 3 页 共 NUMPAGES 11 页 ESXi 安全配置基线 目 录 TOC \o 1-3 \h \z \u 第1章 概述 4 1.1 目的 4 1.2 适用范围 4 第2章 帐户管理及口令安全 4 2.1 帐户安全 4 2.2 口令要求 5 第3章 日志审计 6 3.1 核心转储安全配置 6 3.2 系统日志安全存储 7 第4章 服务安全 7 4.1 NTP服务管理 7 4.2 限制远程登陆空闲断开时间 8 4.3 禁用Managed Object Browser（MOB） 9 4.4 VIB接受程度 10 第5章 网络安全 10 5.1 vSwitch安全配置 10 5.2 防火墙安全配置 11 第6章 补丁管理 12  概述 目的 本基线依据ESXi主机安全配置规范要求，旨在指导主机操作系统管理人员或安全检查人员进行主机操作系统的安全配置，提高主机操作系统的安全防护能力。 适用范围 本基线适用于工程中所使用的ESXi 5.5、ESXi 6.0。 本基线的使用者包括服务器系统管理员、网络安全管理员。 帐户管理及口令安全 帐户安全 安全基线 项目名称 ESXi 帐户安全基线要求项 安全基线编号 ESXi主机安全配置技术要求-1 安全基线项说明 默认情况下，每个?ESXi?主机都有一个 root 用户帐户，该帐户具有完整的管理员特权，可用于本地管理，为避免共享公共 root 帐户，需单独创建具有管理权限的本地帐户。 检测操作步骤 使用vSphere Client登录ESXi主机 进入“用户”； 查看是否有其他本地帐户 基线符合性 判定依据 除root帐户外，还有其他本地帐户。 加固方案 使用vSphere Client登录ESXi主机 进入“用户”； 添加本地帐户。 风险等级 低 备注 口令要求 安全基线 项目名称 ESXi口令安全安全基线要求项 安全基线编号 ESXi主机安全配置技术要求-2 安全基线项说明 最短密码长度8个字符； 密码必须符合复杂性要求，即密码至少包含以下四种类别的字符中的三种： 英语大写字母 A, B, C, … Z 英语小写字母 a, b, c, … z 西方阿拉伯数字 0, 1, 2, … 9 非字母数字字符，如标点符号，@, #, $, %, , *等 检测操作步骤 使用管理员帐户登录ESXi shell模式 查看/etc/pam.d/passwd文件配置 [root@VMhost:~]cat /etc/pam.d/passwd 查看password requisite /lib/security/$ISA/pam_passwdqc.so retry=N min=N0,N1,N2,N3,N4各参数配置 基线符合性 判定依据 N小于等于5；N0设置为disable；N1设置为disable；N2设置为disable；N3设置为disable；N4设置为8。 加固方案 使用管理员帐户登录ESXi shell模式 编辑/etc/pam.d/passwd文件配置 设置password requisite /lib/security/$ISA/pam_passwdqc.so retry=N min=N0,N1,N2,N3,N4配置 N=5；N0=disable；N1=disable；N2=disable；N3=disable N4=8。 风险等级 低 备注 N0表示包含一种字符的密码长度；N1表示包含二种字符的密码长度；N2表示密码最短长度；N3表示包含大小写和数字三种字符的密码长度；N4表示包含大小写、数字和特殊字符的密码长度。 日志审计 核心转储安全配置 安全基线 项目名称 ESXi核心转储安全基线要求项 安全基线编号 ESXi主机安全配置技术要求-3 安全基线项说明 配置核心转储，可在主机出现严重故障时将工作内存的状况记录至远程服务器中，供调试使用。 检测操作步骤 使用管理员帐户登录ESXi shell模式 查看核心转储是否开启 [root@VMhost:~] esxcli system coredump network get 基线符合性 判定依据 使用命令后，显示Enable为true，并设置服务器IP地址 加固方案 使用管理员帐户登录ESXi shell模式 设置核心转储 [root@VMhost:~]esxcli system coredump network set -v vmk0 -i dumpCollectorIP -o 6500 （以上为示例，核心转储记录从vmk0口发送至dumpCollectorIP地址，dumpCollectorI