所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

FusionCloud 6.3.0 安全管理指南 09

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
附录

附录

配置加解密组件

WCC加解密组件的配置参数统一配置在“application.properties”文件中。WCC会默认从当前运行目录(user.dir对应的路径)的“config/”目录中查找并加载配置文件。如果WCC没有找到配置文件,则使用默认参数。

配置参数会改变WCC加解密组件的内部流程或计算规则,所以在解密时须保证和加密时的参数一致,才能正确解密。

  • 管控面加解密配置文件。

    路径:/$(app_path)/WEB-INF/classes/config/application.properties

    crypt_keygen_rootkey_components=/var/dbs/tomcat/webapps/dbs/WEB-INF/classes/qaz/rkc1;/var/dbs/tomcat/webapps/dbs/WEB-INF/classes/rfv/rkc2;/var/dbs/tomcat/webapps/dbs/WEB-INF/classes/wsx/rkc3
    crypt_keystore=/var/dbs/tomcat/webapps/dbs/WEB-INF/classes/rkc/keystore.xml
    crypt_rootkey_update_enabled=true 
    crypt_rootkey_lifetime_days=90 
    #crypt_rootkey_lifetime_seconds=100 
    #crypt_rootkey_update_handler=com.huawei.wcc.l.demo.UpdateHandler
说明:

$(app_path)为服务组件安装目录。

crypt_keygen_rootkey_components和crypt_keystore变量值根据具体放置位置不同而改变。

  • 配置项说明:
    1. crypt_keygen_rootkey_components【必选】

      功能:配置根密钥组件的保存路径。

      取值:以分号分隔的路径。

      示例:crypt_keygen_rootkey_components=/path/to/rk1;/path/of/rk2;/path/on/rk3。

    2. crypt_keystore【必选】

      功能:配置工作密钥文件的路径。

      取值:工作密钥文件的路径,如/opt/wcc/keystore.xml。

      说明:名称不限。如果上述文件或者所在目录不存在,WCC会自动生成文件和目录,并将工作密钥的密文保存到上述文件中。

    3. crypt_rootkey_update_enabled【必选】

      功能:配置是否开启根密钥更新功能。

      取值:true或false。默认为false,即默认不更新根密钥。

      说明:只有在配置了crypt_keygen_rootkey_components选项时才有效。根密钥更新后,新根密钥组件分别位于crypt_keygen_rootkey_components指定的文件中,旧的根密钥组件分别被保存在格式为“[根密钥组件名].[旧密钥组件生成时间戳]”对应的文件中。

    4. crypt_rootkey_lifetime_days【开启根密钥更新时,必选】

      功能:配置根密钥的存活时间。

      取值:大于等于1的整数。单位:天。

      说明 :每次用根密钥加解密接口时,都会检查当前根密钥是否已到期,如果已到期则启动根密钥更新流程。

    5. crypt_rootkey_lifetime_seconds【可选】

      功能:配置根密钥的存活时间。如果同时配置了本选项和crypt_rootkey_lifetime_days,则只有本选项起作用。

      取值:大于等于1的整数。单位:秒。

      说明:每次使用根密钥加解密接口时,都会检查当前根密钥是否已到期,如果已到期则启动根密钥更新流程。

    6. crypt_rootkey_update_handler【可选】

      功能:配置根密钥升级回调处理类。

      取值:密钥升级回调处理类的全路径。当无需同步更新根密钥加密的数据时,可不配置该选项。

      说明:该类由上层业务提供,实现org.wcc.crypt.RootKeyUpdateHandler接口,用于在根密钥更新前使用旧根密钥解密数据,根密钥更新后使用新根密钥重新加密数据。

Linux木马查杀

木马查杀是一个比较复杂的工程,可以通过检查口令、进程、连接以及访问历史等方法来逐一排查。

下面的命令需要特殊权限,请使用具备相应权限的用户,如root用户来操作。

  • 查看特权用户和空口令帐户。
    • 查看passwd文件中有无特权用户。

      awk -F: '$3==0 {print $1}' /etc/passwd

    • 查看系统中有无空口令帐户。

      awk -F: 'length($2)==0 {print $1}' /etc/shadow

  • 查看用户信息的最近修改时间。

    ls -l /etc/passwd /etc/shadow

  • 查看系统中有无异常进程。

    top

  • 查看异常连接。

    netstat -anp

  • 最近登录用户。

    last

  • 查看系统环境变量和用户环境变量。

    cat /etc/profile

    cat /home/dbs/.bashrc

    cat /home/dbs/.bash_profile

    cat /root/.bashrc

    cat /root/.bash_profile

  • 查看当前级别下开机启动程序。

    ls -al /etc/rc.d/rc3.d

    ls -l /etc/rc.local

  • 查看定时计划任务。

    crontab -l -u root

    crontab -l -u dbs

  • 查看系统日志。
    • 进程日志:/var/log/messages
    • 系统登录成功日志:/var/log/wtmp
    • 系统登录失败日志:/var/log/btmp
  • 查看系统审计信息:/var/log/audit/audit.log。
  • 查看新建修改的可执行文件。

    find / -type f -perm -111 -mtime -7

弱口令一览表

弱口令就是简单的口令,强度不够、容易被猜测到的口令。如果口令是弱口令,就很容易被攻击者猜测到,或者在较短时间内就可以被暴力破解。

弱口令包括:系统默认的口令、简单数字组合、空口令、和用户名相同的口令、长度很短的口令、组件名@123(如LDAP@123)等。

常见的弱口令如下所示:

Huawei@、huawei@、Admin@、admin@、Root@、root@、ABC@、abc@、ABCD@、abcd@、Huawei123@、huawei123@、Admin123@、admin123@、Root123@、root123@、Huawei#、huawei#、Admin#、admin#、Root#、root#、ABC#、abc#、ABCD#、abcd#、Huawei123#、huawei123#、Admin123#、admin123#、Root123#、root123#、Huawei!、huawei!、Admin!、admin!、Root!、root!、ABC!、abc!、ABCD!、abcd!、Huawei123!、huawei123!、Admin123!、admin123!、Root123!、root123!、ABC123!、abc123!、Huawei@123、huawei@123、Admin@123、admin@123、Root@123、root@123、ABC@123、abc@123、123@Huawei、123@Root、123@abc、Huawei123、huawei123、Admin123、admin123、Root123、root123、abc123、Huawei_123、huawei_123、Admin_123、admin_123、Root_123、root_123、ABC_123、abc_123、123abc、123abcd、1234abc、1234abcd、abcd123、abc1234、abcd1234、abcd@1234、abcd1234!、abcd_1234、a123456、123.com、123@com、123_com、Huawei!@#、huawei!@#、Admin!@#、admin!@#、Root!@#、root!@#、Huawei!@、huawei!@、Admin!@、admin!@、Root!@、root!@、Huaweiroot、HuaweiRoot、huaweiroot、huaweiRoot、Huaweiadmin、HuaweiAdmin、huaweiadmin、huaweiAdmin、Adminroot、AdminRoot、adminRoot、adminroot、Rootadmin、RootAdmin、rootAdmin、rootadmin、Rootroot、RootRoot、rootroot、Administrator、Password、Password123、Password@123、Password_123、Password123!

翻译
下载文档
更新时间:2019-01-25

文档编号:EDOC1100015665

浏览量:28440

下载量:788

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页