Veritas NetBackup™ 安全和加密指南
- 不断提高的 NetBackup 安全
- 安全部署模型
- 端口安全
- 审核 NetBackup 操作
- 访问控制安全
- NetBackup Access Control (NBAC) 安全
- 关于使用 NetBackup Access Control (NBAC)
- 对 NetBackup 访问管理的管理
- 关于 NetBackup Access Control (NBAC) 配置
- 配置 NetBackup Access Control (NBAC)
- 配置主服务器和介质服务器的“访问控制”主机属性
- 客户端的访问控制主机属性对话框
- 将 NetBackup Access Control (NBAC) 用于自动映像复制
- 故障排除访问管理
- 使用访问管理实用程序
- 关于确定谁可以访问 NetBackup
- 查看 NetBackup 用户组的特定用户权限
- 升级 NetBackup Access Control (NBAC)
- 关于 AD 和 LDAP 域
- 使用 NetBackup CA 和 NetBackup 证书进行安全管理
- NetBackup 中的安全证书概述
- 关于 NetBackup 中的安全通信
- 关于安全管理实用程序
- 关于审核事件
- 有关主机管理
- 关于全局安全设置
- 关于基于主机名的证书
- 关于基于主机 ID 的证书
- nbcertcmd 命令选项的 Web 登录要求
- 使用证书管理实用程序发布并部署基于主机 ID 的证书
- 关于 NetBackup 证书部署安全级别
- 自动部署基于主机 ID 的证书
- 部署基于主机 ID 的证书
- 以异步方式部署基于主机 ID 的证书
- 证书有效期时钟偏差的含义
- 建立与主服务器(证书颁发机构)的信任关系
- 强制或重写证书部署
- 在非主服务器主机上重新安装 NetBackup 时,保留基于主机 ID 的证书
- 在未连接主服务器的客户端上部署证书
- 关于基于主机 ID 的证书截止日期和续订
- 从介质服务器和客户端删除敏感证书和密钥
- 从主机中清理基于主机 ID 的证书信息,然后再克隆虚拟机
- 关于重新颁发基于主机 ID 的证书
- 关于基于主机 ID 的证书的令牌管理
- 关于基于主机 ID 的证书吊销列表
- 关于吊销基于主机 ID 的证书
- 删除基于主机 ID 的证书
- 群集设置中基于主机 ID 的证书部署
- 关于位于隔离区中的 NetBackup 客户端通过 HTTP 隧道与主服务器进行通信
- 手动添加 NetBackup 主机
- NetBackup 中的外部 CA 支持
- 关于 NetBackup 中的外部 CA 支持
- 使用外部证书进行 NetBackup 主机通信的工作流程
- 用于外部 CA 签名证书的配置选项
- NetBackup 服务器和客户端的 ECA_CERT_PATH
- NetBackup 服务器和客户端的 ECA_TRUST_STORE_PATH
- NetBackup 服务器和客户端的 ECA_PRIVATE_KEY_PATH
- NetBackup 服务器和客户端的 ECA_KEY_PASSPHRASEFILE
- NetBackup 服务器和客户端的 ECA_CRL_CHECK
- NetBackup 服务器和客户端的 ECA_CRL_PATH
- NetBackup 服务器和客户端的 ECA_CRL_PATH_SYNC_HOURS
- NetBackup 服务器和客户端的 ECA_CRL_REFRESH_HOURS
- NetBackup 服务器和客户端的 ECA_DISABLE_AUTO_ENROLLMENT
- NetBackup 服务器和客户端的 ECA_DR_BKUP_WIN_CERT_STORE
- 关于外部 CA 的证书吊销列表
- 关于证书注册
- 关于查看主服务器的注册状态
- 为 NetBackup Web 服务器配置外部证书
- 配置主服务器以使用外部 CA 签名证书
- 在安装后配置 NetBackup 主机(介质服务器、客户端或群集节点),以使用外部 CA 签名证书
- 为远程主机注册外部证书
- 查看 NetBackup 域支持的证书颁发机构
- 在 NetBackup Web UI 中查看外部 CA 签名证书
- 续订基于文件的外部证书
- 删除证书注册
- 在 NetBackup 域中禁用 NetBackup CA
- 在 NetBackup 域中启用 NetBackup CA
- 在 NetBackup 域中禁用外部 CA
- 更改已注册外部证书的使用者名称
- 关于群集主服务器的外部证书配置
- 关于 NetBackup 中的 API 密钥
- 静态数据加密安全
- 静态数据密钥管理
- 重新生成 密钥和证书
- NetBackup Web 服务帐户
管理旧式加密密钥文件
本主题介绍如何管理旧式加密密钥文件。
执行加密的备份和还原的每个 NetBackup 客户端都需要一个密钥文件。密钥文件包含客户端生成用来加密备份的 DES 密钥时使用的数据。
可以在客户端上使用 bpkeyfile 命令管理密钥文件。有关详细描述,请查看 NetBackup 命令参考指南中对 bpkeyfile 命令的描述。
您需要做的第一件事是创建密钥文件(如果还没有密钥文件)。如果您从服务器针对此客户端名称运行 bpinst -LEGACY_CRYPT 命令时设置了通行短语,则密钥文件已存在。
该文件名应该与您使用 CRYPT_KEYFILE 配置选项指定的文件名相同,如下所示:
对于 Windows 客户端,默认密钥文件名如下所示
install_path\NetBackup\var\keyfile.dat
对于 UNIX 客户端,默认密钥文件名如下所示
/usr/openv/var/keyfile
NetBackup 使用密钥文件通行短语生成 DES 密钥,并使用 DES 密钥加密密钥文件。
通常,您使用的是硬编码到 NetBackup 应用程序中的密钥文件通行短语。但是,为了获得更高的安全,您可能希望使用自己的密钥文件通行短语。
注意:
如果不想使用自己的密钥文件通行短语,请不要输入新的密钥文件通行短语。而是使用标准密钥文件通行短语,并输新的 NetBackup 通行短语。
您必须决定要使用什么 NetBackup 通行短语。NetBackup 通行短语用于生成放置到密钥文件中的数据。该数据用于生成对备份进行加密的 DES 密钥。
要在 UNIX 客户端上创建使用标准密钥文件通行短语加密的默认密钥文件,请输入类似以下内容的命令:
bpkeyfile /usr/openv/var/keyfile Enter new keyfile pass phrase: (standard keyfile pass phrase) Re-enter new keyfile pass phrase: (standard keyfile pass phrase) Enter new NetBackup pass phrase: *********************** Re-enter new NetBackup pass phrase: ***********************
您可能会经常输入新的 NetBackup 通行短语。有关旧通行短语的信息会保留在密钥文件中。这使得您可以还原使用旧通行短语生成的 DES 密钥加密的任何数据。您可以在 bpkeyfile 命令中使用 -change_netbackup_pass_phrase(或 -cnpp)选项输入新的 NetBackup 通行短语。
如果您需要在 Windows 客户端上输入新的 NetBackup 通行短语,请输入类似于以下示例的命令:
bpkeyfile.exe -cnpp install_path\NetBackup\var\keyfile.dat Enter old keyfile pass phrase: (standard keyfile pass phrase) Enter new NetBackup pass phrase: ********** Re-enter new NetBackup pass phrase: **********
小心:
无论通行短语是新的还是以前使用的,都必须确保它们是安全的且可以找回。如果客户端的密钥文件损坏或丢失,则需要有以前的所有通行短语才能重新创建该密钥文件。没有密钥文件,就无法还原使用通行短语加密的文件。
密钥文件必须只允许客户端的管理员进行访问。
对于 UNIX 客户端,必须确保以下几点:
所有者是 root 用户。
模式位为 600。
文件不在可以装入 NFS 的文件系统上。
必须考虑是否要对密钥文件进行备份。对于加密的备份,这样的备份没有多少价值,因为只有当密钥文件已经在客户端上时才能将其还原。不过,您可以设置对客户端的密钥文件执行非加密备份的 NetBackup 策略。需要对密钥文件进行紧急还原时,此策略很有用。但是,此方法也意味着可以在其他客户端上还原客户端的密钥文件。
如果希望阻止对密钥文件进行备份,请将密钥文件的路径名添加到客户端的排除列表中。