安全加固
安全要求
使用API读取文件时,用户需要保证该文件的owner必须为自己,且权限不大于640,避免发生提权等安全问题。
外部下载的软件代码或程序可能存在风险,功能的安全性需由用户保证。
加固须知
本文中列出的安全加固措施为基本的加固建议项。用户应根据自身业务,重新审视整个系统的网络安全加固措施,必要时可参考业界优秀加固方案和安全专家的建议。
操作系统安全加固
防火墙配置
操作系统安装后,若配置普通用户,可以通过在“/etc/login.defs“文件中新增“ALWAYS_SET_PATH=yes”配置,防止越权操作。
设置umask
建议用户将宿主机和容器中的umask设置为027及其以上,提高文件权限。
以设置umask为027为例,具体操作如下所示。
-
以root用户登录服务器,编辑“/etc/profile”文件。
vim /etc/profile -
在“/etc/profile“文件末尾加上umask 027,保存并退出。
-
执行如下命令使配置生效。
source /etc/profile
无属主文件安全加固
因为官方Docker镜像与物理机上的操作系统存在差异,系统中的用户可能不能一一对应,导致物理机或容器运行过程中产生的文件变成无属主文件。
用户可以执行find / -nouser -o -nogroup命令,查找容器内或物理机上的无属主文件。根据文件的UID和GID创建相应的用户和用户组,或者修改已有用户的UID、用户组的GID来适配,赋予文件属主,避免无属主文件给系统带来安全隐患。
端口扫描
需要关注全网侦听的端口和非必要端口,如有非必要端口请及时关闭。建议用户关闭不安全的服务,如Telnet、FTP等。具体关闭方法请参考所使用的操作系统相关文档。
防DoS攻击
用户可以通过实现IP限制和服务器速率限制对系统进行DoS防御,方法包括但不限于利用Linux系统自带iptables防火墙进行预防、优化sysctl参数等。具体使用方法,用户可自行查阅相关资料。
Device安全加固
Device侧OS在申请大页内存后,默认会对大页内存做清零操作,与此同时,性能会下降。用户如果需要高性能模式,可手动配置成不清零,但不做清零操作存在泄露内核数据和用户数据的风险。
关闭大页清零的方法:
-
登录所有参与训练的Device侧。
-
在所有参与训练的Device侧,分别执行echo 0 > /proc/sys/sharepool/sharepool_clear_hugepage命令即可。
可通过调用其他接口确认是否修改成功。