企業(yè)架構(gòu)數(shù)字化治理平臺(tái)(ROMAEAMAP)文檔版 發(fā)布日 09-300101(2024-09-0101(2024-09-企業(yè)架構(gòu)數(shù)字化治理平臺(tái)(ROMA企業(yè)架構(gòu)數(shù)字化治理平臺(tái)(ROMA目錄0101(2024-09-目錄巡檢指 概 日常巡檢 附 獲取默認(rèn)密 登錄ManageOne運(yùn)維 安全管 安全概 安全維護(hù)的目 ROMAEAMAP系統(tǒng)安全概 賬戶管 賬戶一覽 修改管理面賬戶密 修改操作系統(tǒng)密 修改操作系統(tǒng)用戶密碼有效 修改數(shù)據(jù)庫(kù)用戶密 證書(shū)管 概 證書(shū)管理策 獲取證 證書(shū)一覽 更換證 安全加 配置SSH監(jiān)聽(tīng)指定IP地 設(shè)置專門(mén)用于遠(yuǎn)程登錄的運(yùn)維賬 關(guān)閉root賬號(hào)遠(yuǎn)程登 創(chuàng)建opsadmin賬 修改日志權(quán) 修改配置文件權(quán) 為服務(wù)分區(qū)添加nodev、nosuid、noexec掛 關(guān)閉rpc服 關(guān)閉vim 刪除sudoers_bak文 關(guān)閉 其他加固選 安全維 賬戶維護(hù)建 密碼維護(hù)建 日志維護(hù)建 附 獲取賬號(hào)密 容器實(shí)例登錄說(shuō) 高危操 禁用操作一覽 高危操作一覽 企業(yè)架構(gòu)數(shù)字化治理平臺(tái)(ROMA企業(yè)架構(gòu)數(shù)字化治理平臺(tái)(ROMA10101(2024-09-

ROMAEAMAP表1-11.登錄ManageOne運(yùn)維面，單擊“監(jiān).在全部資源列表頁(yè)面搜索名稱為“EP”的資源，單擊名稱進(jìn)入概覽頁(yè)面。3.查看該節(jié)點(diǎn)的性能數(shù)據(jù)，包括CPU使用EAMAP與sudo3.當(dāng)界面展示以下信息時(shí)，輸入root用戶 4.執(zhí)行以下命令查看ntp服務(wù)的狀態(tài)。systemctlstatusntpd2>/dev/null|grep-wActive若返回結(jié)果中包含“Active:activeservicentpdstart開(kāi)啟服務(wù)。5.執(zhí)行以下命令，查看以*與NTPServer6.若時(shí)間同步狀態(tài)不正常，請(qǐng)執(zhí)行命令servicentpdrestart重啟ntp服務(wù)，重7.1.使用PuTTY，以opsadmin用戶登錄到服2.執(zhí)行下面命令切換到rootsudo3.當(dāng)界面展示以下信息時(shí)，輸入root用戶 4.執(zhí)行以下命令檢查文件目錄是否超過(guò)最find/opt/cloud/logs/roma-mgr/-typef-size5如果命令返回為空則表示沒(méi)有大文件，1.使用PuTTY，以opsadmin用戶登錄到服2.執(zhí)行下面命令切換到rootsudo3.當(dāng)界面展示以下信息時(shí)，輸入root用戶 4.執(zhí)行以下命令查看用戶密碼過(guò)期時(shí)間。chage-l<用戶名>|grep-e"^Password*[e|E]xpires"|awk-F':''{print5如果密碼過(guò)期時(shí)間（never表示賬號(hào)不會(huì)6.在CCE控制臺(tái)節(jié)點(diǎn)管理->節(jié)點(diǎn)頁(yè)面找到cluster1”>“節(jié)點(diǎn)管理”“節(jié)點(diǎn)”查ECSsudo[sudo]passwordfor 執(zhí)行以下命令查詢DBsu-dbadmin-cdbprogram/bin/gs_ctlquery"|grepsu-dbadmin-cdbprogram/bin/gs_ctlquery"|grep如果狀態(tài)是Normalsu-dbadmin-cdbprogram/bin/gs_ctlsudo[sudo]passwordfor df-h|grep-v"Use%"|awk$2,$4,$6,$5}'|awk-F%'{printsudo[sudo]passwordfor catpostgresql.conf|grep"ssl_"|awk-F'#''{print$1}'|awk-F'''{print數(shù)據(jù)庫(kù)sslls-al$file_or_dir|awk-F''{printls-ld$file_or_dir|awk-F''{printtouch異常索“ROMAEAMAP”并單擊搜索到的云ROMAEAMAP云服務(wù)的拓?fù)鋱D是否完異常sudo[sudo]passwordfor ps-ef|grepmoicagent命令查看是異常登錄e運(yùn)維面“監(jiān)控”>“資源監(jiān)控”“云服務(wù)”，在搜索框搜索“OMAEP正確，確保無(wú)空值、無(wú)“”等情況。若異常，請(qǐng)聯(lián)系技術(shù)支持工程師協(xié)助解決。索“ROMAEAMAP”并單擊搜索到的云ROMAEAMAP云服務(wù)的拓?fù)鋱D中的微服異常sudo[sudo]passwordfor systemctlstatus 如果回顯中包含“Active:active”表明cat/etc/kdump.conf|greppath|grep-v catinternal/deep_inspection.json|grepls-al cat catinternal/deep_inspection.json|grepls-al cat catinternal/deep_inspection.json|grepls-al cat catinternal/deep_inspection.json|grepls-al cat catinternal/deep_inspection.json|grepls-al cat catinternal/deep_inspection.json|grepcatinternal/deep_inspection.json|grep登錄HUAWEICLOUDStack下載《華為云Stack8.5.0賬戶一覽表》從《華為云Stack8.5.0賬戶一覽表》“A類（后臺(tái)）”頁(yè)簽中搜索“ROMA獲取ManageOne從《華為云Stack8.5.0賬戶一覽表》“A類（Portal）”頁(yè)簽中搜索獲取ManageOne從《華為云Stack8.5.0賬戶一覽表》“A類（Portal）”頁(yè)簽中搜索“主門(mén)獲取ServiceOM從《華為云Stack8.5.0賬戶一覽表》“A類（Portal）”頁(yè)簽中搜索“ServiceOM界面”。獲取GaussDB從《華為云Stack8.5.0賬戶一覽表》“B類（應(yīng)用服務(wù)）”頁(yè)簽中搜索“ROMAEAMAP”。從《華為云Stack8.5.0賬戶一覽表》“B類（應(yīng)用服務(wù)）”頁(yè)簽中搜索“ROMAEAMAP”獲取op_svc_ROMAEAMAP用戶的默認(rèn)密碼。獲取HCCTurnkey從《華為云Stack8.5.0賬戶一覽表》“A類（后臺(tái)）”頁(yè)簽中搜索“HCC登錄ManageOne址”，登錄e主門(mén)戶，選擇“運(yùn)維中心（C）”，進(jìn)入e運(yùn)維面。e運(yùn)維面主頁(yè)的訪問(wèn)地址或e主門(mén)戶的訪問(wèn)地址，為安裝華為云Stack基礎(chǔ)服務(wù)時(shí)由Curne導(dǎo)出的部署參數(shù)表默認(rèn)賬號(hào)密碼從《華為云Stack8.5.0賬戶一覽表》的“A類（Portal）”頁(yè)簽中企業(yè)架構(gòu)數(shù)字化治理平臺(tái)(ROMA企業(yè)架構(gòu)數(shù)字化治理平臺(tái)(ROMA20101(2024-09-OMAEP見(jiàn)、可審的狀態(tài)，為平臺(tái)中心運(yùn)維構(gòu)建一套事前預(yù)防、事中監(jiān)控、事后審計(jì)完善的運(yùn)維管理體系。為確?？蛻魯?shù)據(jù)可靠、安全，需要日常進(jìn)行安全維護(hù)活動(dòng)并加強(qiáng)人為管理。ROMAEAMAPROMAEAMAP通過(guò)高可靠的部署結(jié)構(gòu)，來(lái)確保系統(tǒng)的可靠性、安全性。通過(guò)操作對(duì)部署了ROMAEAMAP實(shí)例服務(wù)節(jié)點(diǎn)的操作系統(tǒng)進(jìn)行加固，提高ROMA對(duì)SSHROMAEAMAP《華為云Stack8.5.0賬戶一覽表》的“A類（后臺(tái)）”頁(yè)簽內(nèi)“產(chǎn)品名稱”為“OMAEP”和“類（應(yīng)用服務(wù)）”頁(yè)簽內(nèi)“云服務(wù)”為“OMAEP”的相關(guān)信息。

修改root步驟1以opsadmin用戶登錄需修改密碼的節(jié)點(diǎn)，roma-eamap-clusterxxx。步驟2執(zhí)行如下命令切換到root用戶。sudo 步驟3passwd Changingpasswordforuserroot.Newpassword:Changingpasswordforuserroot.Newpassword:步驟4輸入新密碼，按“Enter”。Retypenew BADBADPASSWORD:步驟5再次輸入新密碼，并按“EnterPasswordPassword----修改opsadminsudo步驟1以opsadmin用戶登錄需修改密碼的節(jié)點(diǎn)，roma-eamap-clustersxxx。步驟2執(zhí)行如下命令切換到sudopasswd步驟3執(zhí)行如下命令，修改passwdChangingpasswordforuseropsadmin.Newpassword:Changingpasswordforuseropsadmin.Newpassword:步驟4輸入新密碼，按“Enter”。RetypenewRetypenewBADBADPASSWORD:步驟5再次輸入新密碼，并按“EnterPasswordPassword----該任務(wù)指導(dǎo)系統(tǒng)管理員完成GaussDB

修改過(guò)程中，ROMAEAMAP管理面服務(wù)將會(huì)受到影響，數(shù)據(jù)庫(kù)賬號(hào)會(huì)被鎖定5分鐘。修改完成后需重啟ROMAEAMAP服務(wù)，重啟前建議用戶停止所有業(yè)務(wù)使用。請(qǐng)保留2

已獲取GaussDB的IP已獲取dbadmin，onframework賬號(hào)密碼，默認(rèn)密碼請(qǐng)參考操作步驟說(shuō)明dbadmin是管理賬號(hào)，onframework步驟1使用opsadmin用戶登錄GaussDB任意節(jié)點(diǎn)。步驟2切換到root用戶。sudo 步驟3切換到dbadminsu- 步驟4 [dbadmin@APIGW3-0-DB-01[dbadmin@APIGW3-0-DB-01opsadmin]$querydbHastate: :Normal :NormalSendersinfo:::::: :1/A3B87E40 :1/A3B87E40 :1/A3B87E40 :1/A3B87E40 :1/A3B87E40 :1/A3B87E40 :1/A3B87E40 :1/A3B866A8 :99% : : No步驟5使用opsadmin用戶登錄GaussDB主節(jié)點(diǎn)。步驟6切換到root用戶。sudo 步驟7切換到dbadminsu- 步驟8執(zhí)行以下命令，以dbadmin用戶連接EAMAP/opt/gaussdb/dbprogram/bin/gsql-p33018-Udbadmin-d [dbadmin@APIGW3-0-DB-01opsadmin]$/opt/gaussdb/dbprogram/bin/gsql-p33018-Udbadmin-d[dbadmin@APIGW3-0-DB-01opsadmin]$/opt/gaussdb/dbprogram/bin/gsql-p33018-Udbadmin-dPasswordforusergsqlSSLconnection(cipher:ECDHE-RSA-AES256-GCM-SHA384,bits:256)Type"help"forhelp.步驟9 CONSOLE=>CONSOLE=>ALTERUSERonframeworkIDENTIFIEDBY"******"replace"*****";ALTERROLE步驟10 步驟11將修改后的密碼，使用SCC[eamap_pwd_wcc]登錄ManageOne運(yùn)營(yíng)面，單擊左側(cè)服務(wù)列表，搜索云容器引擎CCE，進(jìn)入集群管登錄地址：e運(yùn)營(yíng)面主頁(yè)的訪問(wèn)地址，或通過(guò)“tps://e主門(mén)戶的訪問(wèn)地址”，登錄e主門(mén)戶，選擇“云服務(wù)門(mén)戶”，再單擊上方控制臺(tái)，進(jìn)入e運(yùn)營(yíng)面。點(diǎn)擊左側(cè)欄目中的”工作負(fù)載”，選擇ROMAEAMAP進(jìn)入ROMAEAMAP服務(wù)所在的工作負(fù)載。由于eamap服務(wù)默認(rèn)配置為自動(dòng)拉取最----CC（CCM）步驟1步驟2deststoretypePKCS12deststoretypePKCS12keytool-importkeystore-srckeystorekeytool-importkeystore-srckeystoreD:\server.pfx-destkeystoreD:\server.jks-srcstoretypePKCS12-deststoretypeJKSopensslopensslpkcs12-export-outserver.pfx-inkeyserver.key-in例如，將X格式證書(shū)文件復(fù)制至OL安裝目錄，使用OL工具執(zhí)行以下命令將證書(shū)轉(zhuǎn)換成“sere”證書(shū)文件、KEY格式密鑰文件r和T格式公鑰文件（sere）：opensslopensslpkcs12-inserver.pfx-nodes-outserver.pemopensslrsa-inserver.pem-outserver.keyopensslx509-inserver.pem-out----ROMAEAMAP云服務(wù)涉及的證書(shū)信息，請(qǐng)參考《華為云Stack8.5.0證書(shū)一覽表》證書(shū)更換過(guò)程中，會(huì)導(dǎo)致系統(tǒng)3-5步驟1參考2.6.2容器實(shí)例登錄說(shuō)明rm–f說(shuō)明步驟4KEY_STORE_PASSWORD為scccdcdmveamap.keystore/opt/cloud/roma-eamap-mgr/lib/scc步驟6shstart.shrestart----配置SSH監(jiān)聽(tīng)指定IP步驟1以opsadmin步驟2執(zhí)行如下命令，切換到rootsu（CCE節(jié)點(diǎn)配置節(jié)點(diǎn)私有ip），如ListenAddress0。如果原來(lái)是注釋狀態(tài)，步驟4執(zhí)行如下命令重啟sshd步驟5依次登錄到部署面的所有節(jié)點(diǎn)，重復(fù)執(zhí)行上述步驟步驟1~步驟步驟4，配置節(jié)點(diǎn)SSH監(jiān)----通過(guò)限制SSH登錄系統(tǒng)的用戶和組，可以降低被攻擊風(fēng)險(xiǎn)。以opsadmin步驟1以opsadmin用戶登錄節(jié)點(diǎn)。步驟2執(zhí)行如下命令，切換到rootsu 態(tài)需要先去掉注釋），并將該行修改為"AllowUsersopsadmin"，同樣操作，配置AllowGroups項(xiàng)為"AllowGroupsopsadmin"，配置DenyUsers項(xiàng)為"DenyUsersroot"，配置DenyGroups項(xiàng)為"DenyGroupsroot"。步驟4執(zhí)行如下命令重啟sshd步驟5禁止在/etc/sudoers中對(duì)運(yùn)維賬號(hào)opsadmin有任何配置查詢命令：cat/etc/sudoers|grepopsadmin步驟6依次登錄到部署面的所有節(jié)點(diǎn)，重復(fù)執(zhí)行上述步驟步驟1~步驟步驟----關(guān)閉root使用命令cat/etc/ssh/sshd_config|grepPermitRootLogin錄；修改完成后使用命令servicesshdrestart或者systemctlrestart創(chuàng)建opsadmin宿主機(jī)上創(chuàng)建opsadmin創(chuàng)建opsadmingroup用戶組：groupadd通過(guò)執(zhí)行以下命令useraddcreate-home–uid8088gid10001opsadmin創(chuàng)建執(zhí)行passwdopsadmin命令設(shè)置opsadmin執(zhí)行systemctlrestartsshd命令重啟sshd步驟1執(zhí)行命令chmod640步驟2執(zhí)行命令chmod640chmod640步驟4執(zhí)行命令chmod640/var/log/multi-queue-步驟5執(zhí)行命令chmod640//-chmod640為服務(wù)分區(qū)添加nodev、nosuid、noexec原配置：/dev/mapper/VolGroup-lv_tmp/opt/cloudext4defaults12defaults,nodev,nosuid,noexec12步驟2重啟mountmount-oremount,noexec,nosuid,nodev刪除嗅探/開(kāi)發(fā)/調(diào)試/檢查加固對(duì)于存在安全隱患的嗅探/開(kāi)發(fā)/調(diào)試/編譯工具，可以使用rpme–nodeps工具檢查使用findname工具名查看是否存在嗅探/開(kāi)發(fā)/調(diào)試/加固rpc步驟1以opsadmin用戶登錄節(jié)點(diǎn)。步驟2執(zhí)行如下命令，切換到rootsu 步驟3執(zhí)行如下命令關(guān)閉rpcsystemctlstop步驟4依次登錄到管理面的所有節(jié)點(diǎn)，重復(fù)執(zhí)行上述步驟步驟1~步驟步驟3，關(guān)閉rpc----關(guān)閉vim執(zhí)行加固后，將不再記錄vimhistory步驟1以opsadmin用戶逐個(gè)登錄管理面的所有節(jié)點(diǎn)。在每個(gè)節(jié)點(diǎn)上切換到不同帳號(hào)，刪除每rm步驟2在每個(gè)節(jié)點(diǎn)上的每個(gè)賬號(hào)家目錄下面的.vimrc文件中增加"setviminfo="vi----刪除sudoers_bak步驟1以opsadmin用戶登錄CCE節(jié)點(diǎn)。步驟2執(zhí)行如下命令，切換到rootsu rm-f依次登錄到管理面的所有節(jié)點(diǎn)，重復(fù)執(zhí)行上述步驟1~步驟4----關(guān)閉步驟1以用戶逐個(gè)登錄所有節(jié)點(diǎn)。在每個(gè)節(jié)點(diǎn)上切換到不同帳號(hào)，刪除每個(gè)賬號(hào)目錄下面rm-rf步驟2修改節(jié)點(diǎn)~/.bashrc，設(shè)置history相關(guān)參數(shù)。echo"unsetHISTFILE">>~/.bashrcecho"HISTFILESIZE=0">>~/.bashrcecho"HISTSIZE=0">>~/.bashrcsource步驟3修改容器~/.bashrc，設(shè)置historydockerdockerexec-ti{CONTAINERID}bashecho"unsetHISTFILE">>~/.bashrcecho"HISTFILESIZE=0">>~/.bashrcecho"HISTSIZE=0">>~/.bashrcsource步驟4----

使用命令find/-nouser如果無(wú)屬主文件沒(méi)有使用價(jià)值，建議刪除；如果無(wú)屬主文件為可用文件，建議修改文件屬主為已知賬號(hào)，修改可使用命令wnuser（其中use為屬主，為無(wú)屬主文件）。步驟ClientAliveCountMax為0(300s超時(shí)，斷開(kāi)連接步驟2重啟sshdservice。servicesshdrestart3修改配置/etc/profile，修改TMOUT為步驟3依次登錄到管理面的所有其它節(jié)點(diǎn)，重復(fù)執(zhí)行上述步驟步驟1~步驟指定不允許sshd處理~/.ssh/environment以及~/.ssh/authorizedkeysenvironment=1修改配置/etc/ssh/sshd_config，修改PermitUserEnvironment值為本機(jī)no步驟2重啟sshdservice。servicesshd步驟3依次登錄到管理面的所有其它節(jié)點(diǎn)，重復(fù)執(zhí)行上述步驟步驟1~步驟IgnoreUserKnownHosts值為yes，修改IgnoreRhosts值為步驟2重啟sshdservice。servicesshdrestart步驟3依次登錄到管理面的所有其它節(jié)點(diǎn)，重復(fù)執(zhí)行上述步驟步驟1~步驟關(guān)閉sftp1修改配置/etc/ssh/sshd_config，注釋掉Subsystemsftp相關(guān)配置項(xiàng)步驟2重啟sshdservice。servicesshd步驟3依次登錄到管理面的所有其它節(jié)點(diǎn)，重復(fù)執(zhí)行上述步驟步驟1~步驟

步驟2重啟sshdservice。servicesshd步驟3依次登錄到管理面的所有其它節(jié)點(diǎn)，重復(fù)執(zhí)行上述步驟步驟1~步驟禁止root用戶通過(guò)su1修改配置/etc/login.defs，修改或增加ALWAYS_SET_PATH值為yes步驟2重啟sshdservice。servicesshd步驟3依次登錄到管理面的所有其它節(jié)點(diǎn)，重復(fù)執(zhí)行上述步驟步驟1~步驟1修改配置/etc/ssh/sshd_config，修改MaxAuthTries值為3步驟2重啟sshdservice。servicesshd步驟3依次登錄到管理面的所有其它節(jié)點(diǎn)，重復(fù)執(zhí)行上述步驟步驟1~步驟

步驟步驟2重啟sysctlsysctl-步驟3依次登錄到管理面的所有其它節(jié)點(diǎn)，重復(fù)執(zhí)行上述步驟步驟1~步驟設(shè)置步驟1修改配置/etc/bashrc，修改或新增配置項(xiàng)：umask2修改配置/etc/profile，修改或新增配置項(xiàng)：umask027步驟3依次登錄到管理面的所有其它節(jié)點(diǎn)，重復(fù)執(zhí)行上述步驟步驟1~步驟禁用步驟2rm-rf/root/.viminform-rf/root/.bash_history步驟3依次登錄到管理面的所有其它節(jié)點(diǎn)，重復(fù)執(zhí)行上述步驟步驟1~步驟PASS_MIN_DAYSPASS_MAX_DAYSPASS_WARN_AGEPASS_MIN_LEN步驟2依次登錄到管理面的所有其它節(jié)點(diǎn)，重復(fù)執(zhí)行上述步驟步驟authrequiredpam_env.soauthrequiredauthrequiredpam_faillock.soauditsilentdeny=5authrequiredpam_faillock.sopreauthauditdeny=5even_deny_rootpasswordrequiredpam_cracklib.sotry_first_passretry=3minlen=8minclass=4dcredit=-1ucredit=-1ocredit=-1lcredit=-1passwordrequiredpam_pwquality.sotry_first_passretry=3minlen=8minclass=4dcredit=-1ucredit=-1ocredit=-1lcredit=-1authrequiredpam_env.soauthrequiredauthrequiredpam_faillock.soauditsilentdeny=5authrequiredpam_faillock.sopreauthauditdeny=5even_deny_rootpasswordrequiredpam_cracklib.sotry_first_passretry=3minlen=8minclass=4dcredit=-1ucredit=-1ocredit=-1lcredit=-1passwordrequiredpam_pwquality.sotry_first_passretry=3minlen=8minclass=4dcredit=-1ucredit=-1ocredit=-1lcredit=-1設(shè)置ssh步驟1修改1、在/etc/sudoers文件的#Defaultsspecification下面添加默認(rèn)選項(xiàng)Defaults2、在/etc/sudoers文件的#Defaultsspecification下面添加默認(rèn)選項(xiàng)Defaults步驟2重啟sshd/usr/bin/pkexec文件刪除SUIDchmod0755/usr/bin/pkexec清理系統(tǒng)capabilities步驟1查詢哪些可執(zhí)行文件設(shè)置了capabilities使用命令：getcap-r/2>/dev/null使用命令：setcapr步驟1清理用戶的authorized_keysecho“”>/root/.ssh/authorized_keys步驟2清理用戶的id_rsarm-rfrm-rf/home/*/.ssh