标准安全合规性设置

SSMC 3.7 和更高发行版提供了有助于符合行业标准安全要求的各种设置。必须由 ssmcadmin 配置这些设置,这是具有所需权限的唯一管理员用户帐户。在以下界面中提供了所有这些控件,并使用以下界面执行这些控件:

安全配置实用程序

从 3.7 发行版开始,提供了一个配置实用程序脚本,以帮助您在 SSMC 中配置各种行业标准安全功能。该脚本位于 /ssmc/bin/config_security.sh 中,可以使用设备 bash Shell 访问该脚本。仅 ssmcadmin 用户可以通过 sudo 权限授予执行该脚本。

还有一个关联的配置文件 /ssmc/bin/config_security.shssmcadmin 用户可以在其中设置各种安全配置值。config_security.sh 脚本读取这些设置,并更新系统配置文件。该脚本还会重新启动所需的服务以使这些设置生效。

语法 

sudo /ssmc/bin/config_security.sh  -o <operation> -a <action> [-f]
其中
operation

指定要执行的安全操作。必需的参数。

这些操作有助于配置 SSMC 安全功能,或从常规 bash Shell 中执行敏感的密封或抽象操作。

支持的一组操作是:

ssh_service_network host_access_log
webserver_service_network tcp_access_log
session_lock shell_session_idle_timeout
unlock_ssmcaudituser configure_jetty_ssl_context
config_failedlogin_delay dump_active_sessions
session_log verbose_shell_session_logs
sudo_password configure_ntp
host_access set_file_permission
long_password_policy fips_mode
cnsa_mode_appliance remote_syslog_appliance
delete_archive_logs  
-a <action>

指定要对某个操作执行的操作。具有 [enable | disable | set | reset | status] 等值的必需参数。

有关操作动词的详细信息,请参阅任何给定操作的 config_security.sh 脚本用法帮助。

提示:可以在执行操作时省略 action 参数以显示用法帮助,以说明可接受的 action 值。

-f 选项

[可选] 禁止显示任何用户交互问题以启用无提示操作。假定用户已响应并执行操作。

例如:要在配置更新后重新启动该服务,该命令始终与用户交互,并等待用户响应以提供控制台输入。不过,在使用 -f 选项时,脚本不会等待用户输入,而是使用假定的肯定响应自动重新启动。

注意:

  • file_permission 以外的安全配置操作是完全可逆的。file_permission 操作是不可逆的,在执行后无法撤消。

  • 可以使用 status 操作以查询安全配置的启用状况。

    sudo /ssmc/bin/config_security.sh –o <operation> -a status

应用程序配置文件

ssmc.properties 文件中的以下属性影响标准安全合规性:

#security.max.active.ui.sessions = 100

#security.max.active.ui.per.user.sessions = 50

#ssmc.smtps.enabled=false

#ssmc.secure.tls.only=false

#server.session.timeout=15

#server.absolute.session.timeout=60

#ssmc.management.notification.disable=false

#ssmc.tls.trustManager.enabled=false

Web Administrator Console GUI

您可以在 SSMC Administrator Console 中使用以下选项以配置标准合规性设置:

  • SSMC 标题消息(Administrator Console > 首选项

  • SSMC FIPS 140-2 切换开关(Administrator Console > 首选项