Veritas NetBackup™ Appliance 安全指南
关于 NetBackup Appliance 的用户授权
通过用户帐户对 NetBackup Appliance 进行管理。您可以创建本地用户帐户,也可以注册属于远程目录服务的用户和用户组。为使新用户帐户能够登录并访问设备,必须首先对其授权一个角色。默认情况下,新用户帐户未分配角色,因此在您为其授予角色之前无法登录。
表:NetBackup Appliance 用户角色
|
角色 |
描述 |
|---|---|
|
管理员 |
为分配了管理员角色的用户帐户提供管理 NetBackup Appliance 的管理权限。管理员用户能够登录、查看和在 NetBackup Appliance 网页操作界面与 NetBackup Appliance 命令行操作界面上执行所有功能。这些用户帐户有权登录到设备,并以超级用户权限运行 NetBackup 命令。 请参见关于管理员用户角色。 |
|
NetBackupCLI |
分配了 NetBackupCLI 角色的用户帐户只能运行有限的一组 NetBackup CLI 命令,并且对 NetBackup 软件目录之外的目录没有访问权限。这些用户登录到设备后会将其定位到受限的 Shell 菜单,他们可从此菜单管理 NetBackup。NetBackupCLI 用户没有 NetBackup Appliance 网页操作界面和 NetBackup Appliance 命令行操作界面的访问权限。 |
|
AMSadmin |
分配了 AMSadmin 角色的用户帐户具有管理权限,可以访问 AMS 上托管的设备管理器。AMSadmin 用户可在设备管理器上执行所有功能,并集中管理多个设备。AMSadmin 用户无法登录到 AMS 的 NetBackup Appliance 命令行操作界面。管理员可以创建 AMSadmin 用户。 |
以下列表介绍了 NetBackup Appliance 授权的一些特性:
通过密码保护登录以防止意外访问设备的能力。
仅对已授权设备用户和 NetBackup 进程提供对共享数据的访问。
设备中存储的数据本身无法防止知道设备管理员凭据的恶意用户对其进行意外修改或删除。
仅允许通过 SSH 或通过 HTTPS 的 NetBackup Appliance 网页操作界面 对 NetBackup Appliance 命令行操作界面进行网络访问。您也可以直接将监视器和键盘连接到设备并使用管理凭据登录。
所有设备上均禁止访问
FTP、Telnet和rlogin。
注意:
从软件版本 3.1 开始,NetBackup Appliance 将限制登录尝试次数,并仅当启用 STIG 功能后才强制执行锁定策略。有关详细信息,请参考以下主题:请参见关于符合 STIG 规范的密码策略规则。
注意:
从 NetBackup Appliance 版本 3.1.2 开始,已从 VxOS 中删除 telnet 软件包,以便在 NetBackup Appliance 上启用了 STIG 功能时符合 STIG 规范。APPSOL-80036 and APPSOL89038, Jay Vasa - Sangria Teamtelnet 协议不安全或未加密。使用未加密的传输介质可能会允许未经授权的用户窃取凭据。ssh 软件包提供加密会话和更高的安全性,且包含在 VxOS 中。