Привет, сообщество Proxmox и команда! Я работаю над созданием надёжной базовой конфигурации для развёртывания Proxmox моей командой, примерно следуя требованиям CIS Lvl1/2 и DISA STIG для Linux-операционных систем. Я добился хорошего прогресса и успешно создал надёжный PVE-кластер с работающим реплицированием, миграцией и т. д. Есть несколько вопросов, которые возникли в процессе:
- Ключи SSL хранятся в открытом виде в конфигурационной базе данных, а также на файловой системе кластера. Они защищены тем, что принадлежат пользователю root — в моём понимании, это, в основном, не проблема, однако для получения одобрения мне придётся либо объяснить, что это не имеет значения для безопасности, либо найти способ зашифровать приватные ключи (что создаёт проблему наличия ещё одного набора ключей для расшифровки где-то). Обсуждалась возможность шифрования конфигурационной базы данных на файловой системе — это возможно в будущих версиях?
- Пробовали ли вы использовать FIPS-режим шифрования с установкой PVE? Мне не нужна FIPS-аккредитация, но использование FIPS-типов шифров очень бы помогло моей команде получить одобрение для PVE. Пока Debian OS остаётся с конфигурацией шифрования по умолчанию.
- Нормально ли будет установить время ожидания сессии по умолчанию для пользователя в 900 секунд в /etc/bash.bashrc?
- Как отключить TLSv1.2 для интерфейса pveproxy 8006? Я создал файл в /etc/defaults/ и установил следующую строку, но TLSv1.2 всё ещё включён (нужно, чтобы он был отключён и работал только в режиме TLSv1.3):
Code: CIPHERS="HIGH:!TLSv1:!TLSv1_2:!SSLv3:!aNULL:!MD5"
- Известны ли какие-либо проблемы с установкой максимального количества SSHD-сеансов до 3 (требование проекта) и установкой максимального интервала активности клиента и максимального количества активных клиентов до 600 секунд согласно рекомендациям CIS? Я предполагаю, что это ограничит возможность одновременных миграций между хостами до 3. Пока всё работает нормально.
Спасибо за любые комментарии.
- Ключи SSL хранятся в открытом виде в конфигурационной базе данных, а также на файловой системе кластера. Они защищены тем, что принадлежат пользователю root — в моём понимании, это, в основном, не проблема, однако для получения одобрения мне придётся либо объяснить, что это не имеет значения для безопасности, либо найти способ зашифровать приватные ключи (что создаёт проблему наличия ещё одного набора ключей для расшифровки где-то). Обсуждалась возможность шифрования конфигурационной базы данных на файловой системе — это возможно в будущих версиях?
- Пробовали ли вы использовать FIPS-режим шифрования с установкой PVE? Мне не нужна FIPS-аккредитация, но использование FIPS-типов шифров очень бы помогло моей команде получить одобрение для PVE. Пока Debian OS остаётся с конфигурацией шифрования по умолчанию.
- Нормально ли будет установить время ожидания сессии по умолчанию для пользователя в 900 секунд в /etc/bash.bashrc?
- Как отключить TLSv1.2 для интерфейса pveproxy 8006? Я создал файл в /etc/defaults/ и установил следующую строку, но TLSv1.2 всё ещё включён (нужно, чтобы он был отключён и работал только в режиме TLSv1.3):
Code: CIPHERS="HIGH:!TLSv1:!TLSv1_2:!SSLv3:!aNULL:!MD5"
- Известны ли какие-либо проблемы с установкой максимального количества SSHD-сеансов до 3 (требование проекта) и установкой максимального интервала активности клиента и максимального количества активных клиентов до 600 секунд согласно рекомендациям CIS? Я предполагаю, что это ограничит возможность одновременных миграций между хостами до 3. Пока всё работает нормально.
Спасибо за любые комментарии.
