安全检查与加固
防病毒软件例行检查
定期开展对集群和Spark组件的防病毒扫描,防病毒例行检查会帮助集群免受病毒、恶意代码、间谍软件以及程序侵害,降低系统瘫痪、信息泄露等风险。可以使用业界主流防病毒软件进行防病毒检查。
安全加固
定期开展对操作系统的安全加固动作是十分必要的。安全加固动作包括并不限于定期修复操作系统漏洞、定期修复Spark的漏洞、开启防火墙。
漏洞修复
为保证生产环境的安全,降低被攻击的风险,请开启防火墙,并定期修复以下漏洞。
- 操作系统漏洞
- JDK漏洞
- Hadoop及Spark漏洞
- Kerberos漏洞
- openLooKeng漏洞
- 其他相关组件漏洞
漏洞描述:
Netty 4.1.17版本存在两个Content-Length的http header可能会发生混淆的风险通告,漏洞编号:CVE-2021-37137。
本系统使用hdfs-ceph (version 3.2.0)服务作为存算分离的存储对象,它因依赖aws-java-sdk-bundle-1.11.375.jar而涉及该漏洞。建议用户及时更新漏洞补丁进行防护,以免遭受黑客攻击。
影响范围:
Netty 4.1.68及以前版本。
修复建议:
目前厂商已发布升级补丁以修复漏洞,请参考如下网址修复漏洞。
https://github.com/netty/netty/security/advisories/GHSA-9vjp-v76f-g363
SSH加固
OmniOperator算子加速在部署安装过程,需要通过SSH连接服务器。由于root用户拥有最高权限,直接使用root用户登录服务器可能会存在安全风险。
建议您使用普通用户登录服务器进行安装部署,并建议您通过配置禁止root用户SSH登录的选项,来提升系统安全性。操作步骤如下。
- 登录后打开“/etc/ssh/sshd_config”文件。
vim /etc/ssh/sshd_config
- 检查配置项“PermitRootlogin”。
- 如果显示“no”,说明禁止了root用户SSH登录。
- 如果显示“yes”,则按“i”进入编辑模式,修改“PermitRootlogin”为“no”。
- 按“Esc”键,输入:wq!,按“Enter”保存并退出编辑。
- 执行service sshd restart使配置生效。