Refuerzo de la seguridad

Índice

• Refuerzo de la seguridad
  • Refuerzo de la GUI de la web
  • Refuerzo del acceso SSH
  • Refuerzo de la Consola Serie / Local

Este capítulo cubre los procedimientos para refuerzo de la seguridad de los sistemas Opuntia. Por defecto, Opuntia está configurado para permitir un fácil acceso al sistema para su administración. Pero estos ajustes se eligieron para favorecer el acceso por encima de las preocupaciones de seguridad. Opuntia no tiene una configuración insegura; no obstante despliega avisos de inicio de sesión en varias situaciones en las que los administradores deberían considerar limitar el acceso a configuraciones de mayor seguridad.

Cuando sea posible, los administradores deben considerar la posibilidad de separar el plano de control de su red del plano de datos.

Refuerzo de la GUI de la web

Por defecto, Opuntia permite el acceso a la GUI Web en CUALQUIER dirección de interfaz IPv4/IPv6. Recomendamos excluir el acceso a la GUI Web a la zona del cortafuegos Wan predeterminada. Consulte el capítulo Cortafuegos-Limitación de acceso externo para obtener más información.

Refuerzo del acceso SSH

Por defecto, Opuntia responderá a los intentos de conexión Ssh a cualquier dirección IPv4/IPv6 vinculada. Recomendamos excluir el acceso a Ssh de la zona del cortafuegos Wan predeterminada. Consulte el capítulo Cortafuegos-Limitación de acceso externo para obtener más información.

Refuerzo de la Consola Serie / Local

Nota

Esto requiere la versión 4.8.16 r49304 o más reciente de Opuntia.

Por defecto, Opuntia no requiere una contraseña cuando se accede al sistema desde una consola Serie o Local. Dado que esto requiere el acceso físico a las plataformas de hardware, generalmente se considera seguro. Sin embargo, las máquinas virtuales que ejecutan Opuntia suelen tener métodos remotos para acceder a la consola local. Por lo que esto resulta en una importante preocupación de seguridad.

Para solicitar una contraseña para los inicios de sesión de la Consola Serial / Local utilice el siguiente procedimiento.

Para realizar estos ajustes utilice los siguientes comandos de la CLI

uci set system.@system[0].ttylogin="1"
uci commit system
service system restart