HPC高性能集群安全配置手册

1、 - 2 -高性能集群安全配置手册目 录 TOC o 1-3 h z u HYPERLINK l _Toc529043958 前 言 PAGEREF _Toc529043958 h - 1 - HYPERLINK l _Toc529043959 1、系统密码强度规则 PAGEREF _Toc529043959 h - 1 - HYPERLINK l _Toc529043960 2、禁止root用户ssh直接登录 PAGEREF _Toc529043960 h - 1 - HYPERLINK l _Toc529043961 3、禁止普通用户直接登录计算节点(仅针对PBS作业调度系统) PAGER

2、EF _Toc529043961 h - 2 - HYPERLINK l _Toc529043962 4、配置防止暴力破解Fail2ban（针对直接通过外网访问的节点） PAGEREF _Toc529043962 h - 2 - HYPERLINK l _Toc529043963 4.1、软件安装安装 PAGEREF _Toc529043963 h - 3 - HYPERLINK l _Toc529043964 4.2、软件配置 PAGEREF _Toc529043964 h - 3 - HYPERLINK l _Toc529043965 4.3、iptables配置 PAGEREF _Toc

3、529043965 h - 4 -前 言由于近些年信息安全事故频繁发生，对大型系统和集群的正常运行造成了很严重的影响，信息安全已经成为一个不容忽视的问题。如果系统漏洞被利用，恶意程序会占领系统导致整个集群运行效率低下。恶意程序会篡改系统常用命令和底层函数库甚至会注入到内核态，导致很难被查找和被清理干净，往往只能通过重新安装系统来彻底解决。所以对于系统安全来说，主动防御大于事后查杀。本文中是一些常规的系统安全配置方式，建议在实施的过程中进行设置，已确保集群环境的正常运行。本文中环境以CentOS7系统为例，其余版本操作系统可参考对应的信息。1、系统密码强度规则通过修改/etc/pam.d/sys

4、tem-auth模块限制集群用户密码强度。密码强度建议：长度不小于8位，包含英文大写字母、小写字母、数字、特殊字符。/etc/pam.d/system-auth模块添加如下内容：password requisite pam_cracklib.so retry=3 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1其中各参数含义为：retry=x修改尝试次数minlen=x最小密码长度ucredit=-x最少x个大写字母lcredit=-x最少x个小写字母dcredit=-x最少x个数字ocredit=-x最少x个特殊字符2、禁止root用户

5、ssh直接登录在可以直通外网的节点（一般为登录节点或管理节点）修改ssh配置文件/etc/ssh/sshd_config，注释PermitRootLogin yes这一行，然后添加PermitRootLogin without-password，禁止root用户直接使用密码登录：#PermitRootLogin yesPermitRootLogin without-password修改完成后重启ssh系统服务生效：systemctl restart sshd3、禁止普通用户直接登录计算节点(仅针对PBS作业调度系统)非root用户只能登录提交任务的计算节点，同时不能登录其余计算节点，任务结束后

6、登录权限被回收。修改计算节点/etc/security/access.conf添加如下内容，限制非root账户登录：vi /etc/security/access.conf- : ALL EXCEPT root : ALLpam_pbssimpleauth模块由PBS作业调度系统提供。通过Gridview安装的PBS会带有该模块，手动安装需要在Torque编译时configure 添加-with-pam参数，生成模块的路径为/lib64/security。在所有计算节点修改/etc/pam.d/password-auth，添加pam_pbssimpleauth模块和pam_access模块认证

7、，并注释掉pam_localuser.so所在行。#account sufficient pam_localuser.soaccount sufficient pam_pbssimpleauth.soaccount required pam_access.so4、配置防止暴力破解Fail2ban（针对直接通过外网访问的节点）配置Fail2ban防暴力破解工具，建议策略如下：允许重试次数：10次检测时间频率：1分钟禁止时长：1小时下载地址： HYPERLINK / /Fail2ban需结合系统防火墙使用，Redhat/CentOS 7默认为firewalld服务建议重新安装并使用iptables

8、，Redhat/CentOS6默认为iptables服务，Fail2ban会按照配置文件策略自动生成规则，并不会影响其余策略。4.1、软件安装安装tar zxvf fail2ban-0.10.tar.gzcd fail2ban-0.10./setup.py installcp -p file/redhat-init.d /etc/init.d/fail2ban4.2、软件配置修改配置文件内容如下/etc/fail2ban/jail.local#以空格分隔的列表，可以是IP地址、CIDR前缀或者主机名#用于指定不受限制的IP地址或地址段ignoreip = xxx.xxx.xxx.xxx/xx#

9、客户端主机被禁止的时常（秒）bantime = 3600#检查时间周期（秒），即登录失败达到指定次数的时间长度findtime = 60#一个检查时间周期内，允许的最大失败次数maxretry = 10#ssh登录相关配置ssh-iptablesenabled = truefilter = sshdaction = iptablesname=SSH,port=ssh,protocol=tcplogpath = /var/log/secure添加开机启动项，修改/etc/rc.d/rc.local文件添加如下内容#fail2ban startmkdir -p /var/run/fail2ban然

10、后执行命令/usr/sbin/chkconfig -level 12345 fail2ban on4.3、iptables配置由于fail2ban会启用系统防火墙相关服务来对访问进行控制，CentOS/RedHat 7默认为firewalld，CentOS/RedHat6 默认为iptables。建议CentOS/RedHat7关闭firewalld重新安装iptables服务并启用，以下配置均以iptables为准。#关闭系统firewalld服务systemctl stop firewallsystemctl disabled firewall本地yum源配置完成后，可以使用yum 安装i

11、ptables，或者从对应操作系统安装光盘的Packages目录中找到iptables RPM包进行安装，命令如下：#采用本地yum源进行安装yum install -y iptables-services#采用RPM包进行安装rpm ivh iptables-services-xxxx.x86_64rpm ivh iptables-xxxx.x86_64#启用iptables服务systemctl enable iptables-servicesystemctl start iptables-service#配置允许内网网段无限制访问在/etc/sysconfig/iptables添加如下内

12、容:-A INPUT -s xxx.xxx.xxx.xxx/xx -d xxx.xxx.xxx.xxx/xx -j ACCEPT-A OUTPUT -d xxx.xxx.xxx.xxx/xx -s xxx.xxx.xxx.xxx/xx -j ACCEPT其中xxx.xxx.xxx.xxx/xx为授信地址，除集群内网网段外，也可添加其余可信IP，同时也可根据实际需求填写其余策略，注意策略间不冲突即可。#添加完成后重启iptables服务策略生效systemctl restart itables.service 4.4、其他常用命令#启动关闭fail2ban服务systemctl start fail2bansystemctl stop fail2b