Veritas NetBackup™ Appliance 安全指南

Last Published:
Product(s): Appliances (5.1.1)
Platform: NetBackup Appliance OS
  1. 关于 NetBackup Appliance 安全指南
    1.  
      关于 NetBackup Appliance 安全指南
  2. 用户身份验证
    1. 关于 NetBackup Appliance 上的用户身份验证
      1.  
        可在 NetBackup Appliance 上进行身份验证的用户类型
    2. 关于配置用户身份验证
      1.  
        通用用户身份验证准则
    3.  
      关于对 LDAP 用户进行身份验证
    4.  
      关于对 Active Directory 用户进行身份验证
    5. 关于使用智能卡和数字证书进行身份验证
      1.  
        2FA
      2.  
        适用于 NetBackup Web UI 的智能卡身份验证
      3.  
        适用于 NetBackup Appliance Web UI 的智能卡身份验证
      4.  
        适用于 NetBackup Appliance 命令行操作界面的智能卡身份验证
      5.  
        配置基于角色的访问控制
      6.  
        为 NetBackup Web UI 配置使用智能卡或数字证书进行身份验证
    6. 关于单点登录 (SSO) 身份验证和授权
      1.  
        为 NetBackup Appliance 配置单点登录 (SSO)
    7.  
      关于设备登录提示
    8. 关于用户名和密码规范
      1.  
        关于符合 STIG 规范的密码策略规则
  3. 用户授权
    1.  
      关于 NetBackup Appliance 的用户授权
    2. 关于授权 NetBackup Appliance 用户
      1.  
        NetBackup Appliance 用户角色权限
    3.  
      关于管理员用户角色
    4.  
      关于 NetBackupCLI 用户角色
    5.  
      关于 NetBackup 中的用户授权
  4. 入侵防护和入侵检测系统
    1.  
      关于 NetBackup Appliance 上的 Symantec Data Center Security
    2.  
      关于 NetBackup Appliance 入侵防护系统
    3.  
      关于 NetBackup Appliance 入侵检测系统
    4.  
      查看 NetBackup Appliance 上的 SDCS 事件
    5.  
      在 NetBackup Appliance 上以非受控模式运行 SDCS
    6.  
      在 NetBackup Appliance 上以受控模式运行 SDCS
  5. 日志文件
    1.  
      关于 NetBackup Appliance 日志文件
    2.  
      使用 Support 命令查看日志文件
    3.  
      可使用 Browse 命令从何处查找 NetBackup Appliance 日志文件
    4.  
      收集 NetBackup Appliance 上的设备日志
    5.  
      日志转发功能概述
  6. 操作系统安全
    1.  
      关于 NetBackup Appliance 操作系统安全
    2.  
      NetBackup Appliance 操作系统中包含的主要组件
    3.  
      禁用用户对 NetBackup Appliance 操作系统的访问
    4.  
      管理对 maintenance shell 的支持访问
  7. 数据安全性
    1.  
      关于数据安全
    2.  
      关于数据完整性
    3.  
      关于数据分类
    4. 关于数据加密
      1.  
        KMS 支持
  8. Web 安全
    1.  
      关于 SSL 使用情况
    2.  
      关于实施外部证书
  9. 网络安全
    1.  
      关于 Network Access Control
    2.  
      关于 IPsec 通道配置
    3.  
      关于 NetBackup Appliance 端口
    4.  
      关于 NetBackup Appliance 防火墙
  10. “自动通报”安全功能
    1. 关于 AutoSupport
      1.  
        数据安全标准
    2. 关于自动通报
      1.  
        从 NetBackup Appliance 命令行操作界面配置自动通报
      2.  
        从 Appliance 命令行操作界面启用和禁用自动通报
      3.  
        从 NetBackup Appliance 命令行操作界面配置自动通报代理服务器
      4.  
        了解自动通报工作流程
    3. 关于 SNMP
      1.  
        关于管理信息库 (MIB)
  11. 远程管理模块 (RMM) 安全性
    1.  
      IPMI 配置简介
    2.  
      建议的 IPMI 设置
    3.  
      RMM 端口
    4.  
      在远程管理模块上启用 SSH
    5.  
      替换默认 IPMI SSL 证书
    6.  
      实施外部 IPMI SSL 证书
  12. STIG 和 FIPS 一致性
    1.  
      NetBackup Appliance 的操作系统 STIG 加固
    2.  
      NetBackup Appliance 符合 FIPS 140-2 标准
    3.  
      关于符合 FIPS 的密码
  13.  
    索引

关于 NetBackup Appliance 操作系统安全

NetBackup Appliance 使用 Veritas 操作系统 (VxOS),这是一个自定义的 Linux 操作系统。每个 NetBackup Appliance 软件版本均包含最新版本的 VxOS 和 NetBackup 软件。除了常规的安全修补程序和更新以外,VxOS 还包含以下安全功能和增强功能:

  • 更新和调整过的基于 Red Hat Enterprise Linux (RHEL) 的操作系统平台,该平台可以在兼容和可靠的硬件平台上打包和安装所有必要的软件组件。

  • 基于国家标准与技术研究院 (NIST) 和 RHEL 制定的安全标准加固 VxOS。Symantec Data Center Security (SDCS) 增强了安全性。

  • Symantec Data Center Security: Server Advanced (SDCS) 入侵防护与入侵检测软件,该软件通过隔离并沙盒化每个进程和所有系统文件加固了 VxOS 并保护备份数据。

  • 使用行业认可的漏洞扫描程序对设备进行常规扫描。发现的所有漏洞均会在定期发布的设备软件中使用紧急工程二进制文件 (EEB) 进行修补。如果在版本计划之间的空档期确定了安全威胁,请与 Veritas 支持联系获取已知的解决方案。

  • 删除或禁用了未使用的服务帐户。

  • VxOS 包含已编辑的内核参数以保护设备免受诸如拒绝服务 (DoS) 等攻击。例如,sysctl 设置 net.ipv4.tcp_syncookies 已添加到 /etc/sysctl.conf 配置文件以实现 TCP SYN Cookie。

  • 禁用了不必要的 runlevel 服务。VxOS 使用 runlevels 确定应运行的服务,并允许在系统上执行特定工作。

  • 禁用了 FTPtelnetrlogin (rsh)。用法限于 sshscpsftp

    注意:

    从 NetBackup Appliance 版本 3.1.2 开始,已从 VxOS 中删除 telnet 软件包,以便在 NetBackup Appliance 上启用了 STIG 功能时符合 STIG 规范。APPSOL-80036 and APPSOL89038, Jay Vasa - Sangria Teamtelnet 协议不安全或未加密。使用未加密的传输介质可能会允许未经授权的用户窃取凭据。ssh 软件包提供加密会话和更高的安全性,且包含在 VxOS 中。

  • 通过将 AllowTcpForwarding noX11Forwarding no 添加到 /etc/ssh/sshd_config,从而禁用了对 SSH 的 TCP 转发。

  • VxOS 中禁用了 IP 转发并且不允许在 TCP/IP 堆栈上路由。此功能可以防止某个子网上的主机将设备当作路由器使用以访问另一个子网上的主机。

  • NetBackup Appliance 不允许网络接口上的 IP 别名(配置多个 IP 地址)。此功能可以防止对同一 NIC 端口上多个网段的访问。

  • UMASK 值确定了新创建文件的文件权限。它指定了不应默认提供给新创建文件的权限。虽然大多数 UNIX 系统中 UMASK 的默认值是 022,但 NetBackup Appliance 的 UMASK 设置为 077。

  • 搜索并修复了 VxOS 中找到的所有全局可写入文件的权限。

  • 搜索并修复了 VxOS 中找到的所有孤立的和不属于任何人的文件和目录的权限。

  • 从软件版本 3.1 开始,SMBv1 协议已禁用并替换为 SMBv2 协议。SMBv1 协议易受勒索软件(如 WannaCryPetya)攻击,不再视为安全。SMBv2 如今是 NetBackup Appliance 的最低支持协议。