你系统pipe理员正在做什么来确保你远程pipe理防火墙的能力是最安全的? 什么是最安全的设置,只有使用控制台连接和物理接触防火墙?
有一个独立的(即从生产中分离出来的)pipe理networking通常是一个很好的起点 – 把防火墙pipe理端口放在这个端口上,如果可能的话从生产接口禁用带内pipe理。 除此之外,如果您的防火墙硬件具有与DRAC \ ILO \ RSA类似的function,则启用该function,并将其放在独立的pipe理networking上。 同时在帐户生命周期pipe理方面应用适当的偏执狂,强化强大的身份validation和访问权限。 如果有人没有积极pipe理它,即监视它的访问,保持完整的打补丁和审核规则,那么你正在浪费你的时间。
我见过的最安全的只是增加了层次 – 将上述应用到两个(或更多)独立防火墙,并让团队pipe理它们,包括限制物理访问。 然而,在这样的偏执狂水平上运行某些东西需要花费很多,这将浪费资源,在大多数组织的其他地方可以更有效地使用这些资源。
启用configuration日志logging ,这样你可以看到什么改变。 使用最安全的密码设置/用户帐户,您可以。
使用安全密码,ssh不是telnet等。将访问locking在已知的IP范围内。 定期备份您的configuration在源代码控制库中。 不要忘记物理机架安全。
我们通常只能通过内部networking,从一台特定的pipe理机器进行pipe理,并强制用户通过多台机器进行连接。