Veritas NetBackup™ Appliance セキュリティガイド

Last Published:
Product(s): Appliances (5.0)
Platform: NetBackup Appliance OS
  1. NetBackup Appliance セキュリティガイドについて
    1.  
      NetBackup Appliance セキュリティガイドについて
  2. ユーザー認証
    1. NetBackup Appliance のユーザー認証について
      1.  
        NetBackup アプライアンスで認証できるユーザーの種類
    2. ユーザー認証の設定について
      1.  
        一般的なユーザー認証ガイドライン
    3.  
      LDAP ユーザーの認証について
    4.  
      Active Directory ユーザーの認証について
    5.  
      Kerberos-NIS ユーザーの認証について
    6. スマートカードとデジタル証明書を使用した認証について
      1.  
        2FA
      2.  
        NetBackup Web UI でのスマートカード認証
      3.  
        NetBackup Appliance Web UI でのスマートカード認証
      4.  
        役割ベースのアクセス制御の構成
      5.  
        NetBackup Web UI でのスマートカードまたはデジタル証明書の認証の構成
    7.  
      アプライアンスのログインバナーについて
    8. ユーザー名とパスワードの仕様について
      1.  
        STIG 準拠パスワードポリシールールについて
  3. ユーザー権限の確認
    1.  
      NetBackup Appliance におけるユーザー認可について
    2. NetBackup Appliance ユーザーの認可について
      1.  
        NetBackup Appliance ユーザー役割権限
    3.  
      管理者ユーザーのロールについて
    4.  
      NetBackupCLI ユーザーの役割について
    5.  
      NetBackup でのユーザー権限の確認について
  4. 侵入防止、侵入検知システム
    1.  
      NetBackup Appliance の Symantec Data Center Security について
    2.  
      NetBackup Appliance の侵入防止システムについて
    3.  
      NetBackup Appliance の侵入検知システムについて
    4.  
      NetBackup アプライアンスの SDCS イベントの見直し
    5.  
      NetBackup アプライアンスでのアンマネージモードでの SDCS の実行
    6.  
      NetBackup アプライアンスでのマネージモードでの SDCS の実行
  5. ログファイル
    1.  
      NetBackup Appliance のログファイルについて
    2.  
      Support コマンドの使用によるログファイルの表示
    3.  
      Browse コマンドを使用した NetBackup Appliance ログファイルの参照場所
    4.  
      NetBackup Appliance でのデバイスログの収集
    5.  
      ログ転送機能の概要
  6. オペレーティングシステムのセキュリティ
    1.  
      NetBackup Appliance のオペレーティングシステムのセキュリティについて
    2.  
      NetBackup Appliance の OS の主要コンポーネント
    3.  
      NetBackup Appliance オペレーティングシステムへのユーザーアクセスの無効化
    4.  
      メンテナンスシェルへのサポートのアクセスの管理
  7. データセキュリティ
    1.  
      データセキュリティについて
    2.  
      データ整合性について
    3.  
      データの分類について
    4. データの暗号化について
      1.  
        KMS サポート
  8. Web セキュリティ
    1.  
      SSL の使用について
    2.  
      ECA 証明書の実装について
  9. ネットワークセキュリティ
    1.  
      IPsec チャネル設定について
    2.  
      NetBackup Appliance ポートについて
    3.  
      NetBackup Appliance ファイアウォールについて
  10. コールホームセキュリティ
    1. AutoSupport について
      1.  
        データセキュリティ基準
    2. コールホームについて
      1.  
        NetBackup Appliance シェルメニューからのコールホームの構成
      2.  
        アプライアンスシェルメニューからのコールホームの有効化と無効化
      3.  
        NetBackup Appliance シェルメニューからのコールホームプロキシサーバーの構成
      4.  
        コールホームワークフローの理解
    3. SNMP について
      1.  
        Management Information Base (MIB) について
  11. リモート管理モジュール (RMM) セキュリティ
    1.  
      IPMI 設定の紹介
    2.  
      推奨される IPMI 設定
    3.  
      RMM ポート
    4.  
      リモート管理モジュールでの SSH の有効化
    5.  
      デフォルトの IPMI SSL 証明書の置換
  12. STIG と FIPS への準拠
    1.  
      NetBackup Appliance の OS STIG の強化
    2.  
      NetBackup Appliance における FIPS 140-2 への準拠
    3.  
      FIPS 準拠の暗号について
  13. 付録 A. セキュリティのリリース内容
    1.  
      NetBackup Appliance のセキュリティリリース内容
  14.  
    索引

NetBackupCLI ユーザーの役割について

NetBackupCLI ユーザーは、すべての NetBackup コマンドを実行したり、ログを表示したり、NetBackup タッチファイルを編集したり、NetBackup 通知スクリプトを編集したりできます。NetBackupCLI ユーザーは、スーパーユーザー権限による NetBackup コマンドの実行のみに制限されていて、NetBackup のソフトウェアディレクトリの範囲外にはアクセスできません。これらのユーザーがログインすると、NetBackup コマンドを実行できる制限付きシェルが表示されます。NetBackupCLI ユーザーはホームディレクトリを共有し、NetBackup Appliance Web コンソールまたは NetBackup Appliance シェルメニューにはアクセスできません。

アプライアンスリリース 5.0 以降、NetBackupCLI ユーザーはスーパーユーザーとして一部のコマンドのみを実行でき、NetBackup CLI 認証メカニズムに従って認証してそれらのコマンドを実行する必要があります。さまざまな NetBackup コマンドやコマンドパラメータに必要な正確な権限について詳しくは、『NetBackup コマンドリファレンスガイド』を参照してください。

NetBackupCLI 役割はいつでも最大 9 個のユーザーグループに割り当てることができます。ローカル NetBackupCLI ユーザーを作成するには、NetBackup Appliance シェルメニューから Manage > NetBackupCLI > Create コマンドを使用します。詳しくは、『NetBackup Appliance コマンドリファレンスガイド』を参照してください。

メモ:

既存のローカルユーザーに NetBackupCLI 役割を付与することはできません。

表: アプライアンス NetBackupCLI ユーザーの権限と制限に、NetBackupCLI ユーザーの権限と制限を示します。

表: アプライアンス NetBackupCLI ユーザーの権限と制限

権限

制限事項

NetBackupCLI ユーザーは、NetBackup Appliance シェルメニューを使って次の操作を実行できます。

  • NetBackup CLI を実行して、NetBackup ディレクトリとファイルにアクセスする。

  • cp-nbu-notify コマンドを使って、NetBackup 通知スクリプトを変更または作成する。

  • NetBackup CLI を含む次のディレクトリに対して次の NetBackup コマンドを実行します。

    • /opt/VRTSpbx/bin/*

    • /opt/VRTS/bin/*

    • /usr/openv/db/bin/*

    • /usr/openv/mqbroker/bin/goodies/*

    • /usr/openv/mqbroker/bin/install/*

    • /usr/openv/netbackup/bin/*

    • /usr/openv/netbackup/bin/admincmd/*

    • /usr/openv/netbackup/bin/goodies/*

    • /usr/openv/netbackup/bin/goodies/support/*

    • /usr/openv/netbackup/bin/support/*

    • /usr/openv/pdde/pdcr/bin/*

    • /usr/openv/pdde/vpfs/bin/*

    • /usr/openv/volmgr/bin/*

    • /usr/openv/volmgr/bin/goodies/*

    • /usr/openv/pdde/pdcr/bin/crcontrol

    • /usr/openv/pdde/pdag/bin/mtstrmd

    • /usr/openv/pdde/pdag/bin/pdcfg

    • /usr/openv/pdde/pdag/bin/pdusercfg

    • /usr/openv/pdde/pdconfigure/pdde

NetBackupCLI ユーザーには次の制限があります。

  • NetBackupCLI ユーザーは、NetBackup ソフトウェアディレクトリの外部にはアクセスできません。

  • エディタを使用して bp.conf ファイルを直接編集することはできません。bpsetconfig コマンドを使用して、属性を設定します。

  • cp-nbu-config コマンドは、/usr/openv/netbackup/db/config ディレクトリ内でのみ NetBackup タッチ構成ファイルの作成と編集をサポートします。

  • man または -h コマンドを使用して、他のコマンドのヘルプは表示できません。

  • 絶対パスを指定してコマンドは実行できません。すべてのコマンドは短縮名を指定して実行する必要があります。

  • 読み取り専用モードで動作する catdatewhoamilswhichgrepsortcutjqvi などのいくつかの読み取り専用システムコマンドを除き、ほとんどのシステムコマンドは実行できません。

NetBackupCLI ユーザーとして NetBackup コマンドを実行する方法

NetBackupCLI ユーザーとしてログインし、コマンドプロンプトで Command と入力して制限付きシェル環境に入ります。その後、そのシェルで NetBackup コマンドを実行できます。絶対パスを使用した NetBackup コマンドの実行は許可されません。たとえば、コマンドシェルで bplist は実行できますが、/usr/openv/netbackup/bin/admincmd/bpplist は実行できません。

一部の NetBackup コマンドでは、実行する前に追加の認証が必要な場合があります。実行する NetBackup コマンドに応じて、異なる認証プロンプトが表示されます。

次のリストに、NetBackup コマンドを正常に実行するための一般的なシナリオを示します。

  • 認証プロンプト: Web ログインが必要です (web login is required)

    一部の NetBackup コマンドでは、Web ログインが必要な場合があります。次のプロンプトが表示されます。

    A web login is required. Run the 'bpnbat -login -loginType WEB|WEBUI|APIKEY' command to login. EXIT STATUS 5930: The request could not be authorized.

    このような要求を認証するには、NetBackup 管理者として NetBackup Web 管理サービスにログインし、次のコマンドを実行する必要があります。

    myappliance.NBCLIUSER> bpnbat -login -logintype WEB

    WEB ログインの例を次に示します。

    Authentication Broker: ApplianceHostname
Authentication Port: 0
Authentication Type: unixpwd
LoginName: Username
Password: Password
Operation completed successfully.

  • 認証プロンプト: Web UI ログインが必要です (web ui login required)

    一部の NetBackup コマンドでは、アクセストークンを使用した認証が必要な場合があります。このような要求を認証するには、次のコマンドを実行してアクセスコードを生成します。

    # bpnbat -login -logintype webui -requestApproval

    コマンドウィンドウに表示されるアクセスコードを書き留めます。

    NetBackup コマンドライン (CLI) 管理者ユーザーとして NetBackup Web UI にサインインし、先ほど生成したアクセスコードを入力して CLI アクセス要求を承認します。アクセスキーと承認要求について詳しくは、『NetBackup セキュリティおよび暗号化ガイド』を参照してください。

  • 認証プロンプト: スーパーユーザー権限が必要です (superuser privileges required)

    一部の NetBackup コマンドでは、スーパーユーザー権限が必要な場合があります。次のプロンプトが表示されます。

    EXIT STATUS 140: user id was not superuser

    このような要求を認証するには、sudo を使用して権限を昇格し、絶対パスを使用して NetBackup コマンドを実行します。次に例を示します。

    # sudo /usr/openv/netbackup/bin/nbkmscmd -discoverNbkms

    絶対パスと sudo を使用しても認証メッセージが表示される場合は、前述の Web ログインの方法を使用して、次のコマンドを実行し、要求を認証できます。

    # sudo /usr/openv/netbackup/bin/bpnbat -login -loginType WEB

一般的な注意事項:

  • 前述の認証ケースは典型的なシナリオです。一部の NetBackup コマンドでは、他の認証方法が必要な場合があります。さまざまな NetBackup コマンドやコマンドパラメータに必要な正確な権限について詳しくは、『NetBackup コマンドリファレンスガイド』を参照してください。

  • 一部の NetBackup コマンドは、デフォルトでは root として実行します。次のコマンドを実行して、特定のコマンドに root 権限が必要かどうかを確認できます。

    nbucliuser-!> alias | grep NetBackup command

    たとえば、nbkms コマンドは、デフォルトでは root として実行します。

    nbucliuser-!> alias | grep nbkms

    alias nbkms='sudo -n /usr/openv/netbackup/bin/nbkms'

  • 一部の NetBackup コマンドは、デフォルトでは現在の NetBackupCLI ユーザーが実行します。ただし、一部の NetBackup コマンドには root 権限が必要です。このような場合は、「sudo <absolute path of command> <parameters>」を使用してコマンドを実行できます。

    [sudo: パスワードが必要です (sudo: a password is required)]というプロンプトが表示された場合、root ではコマンドを実行できません。このような場合にサポートが必要であれば、ベリタステクニカルサポートにお問い合わせください。

    次のテクニカルノートを参照してください。

    https://www.veritas.com/support/en_US/article.100052256

特別な指示句の処理を実行する方法

特別な指示句のファイルとコマンドが正しい NetBackup リストまたはパスにない場合、特別な指示句の処理は失敗することがあります。特別な指示句の処理の 1 つの例としては、代替の復元パスを指定する場合があります。

NetBackupCLI ユーザーとして NetBackup コマンドを実行して特別な指示句のファイルにアクセスする必要があるアプライアンスユーザーは、次のことを実行して正常に処理を完了する必要があります。

  • NetBackup bpcd allowed list/home/nbusers パスを追加します。

  • /home/nbusers ディレクトリに特別な指示句のコマンドを追加します。

NetBackup bpcd allowed list へのエントリの追加について詳しくは、次のドキュメントの BPCD_WHITELIST_PATH 構成オプションを参照してください。

『NetBackup 管理者ガイド Vol. 1』

『NetBackup コマンドリファレンスガイド』