Veritas NetBackup™ Appliance 安全指南

Last Published:
Product(s): Appliances (3.1.1 (5340), 3.1.1 (5330), 3.1.1 (5240), 3.1.1 (5230), 3.1.1 (5220))
  1. 关于 NetBackup appliance 安全指南
    1.  
      关于 NetBackup appliance 安全指南
  2. 用户身份验证
    1. 关于 NetBackup Appliance 上的用户身份验证
      1.  
        可在 NetBackup Appliance 上进行身份验证的用户类型
    2. 关于配置用户身份验证
      1.  
        通用用户身份验证准则
    3.  
      关于对 LDAP 用户进行身份验证
    4.  
      关于对 Active Directory 用户进行身份验证
    5.  
      关于对 Kerberos-NIS 用户进行身份验证
    6.  
      关于设备登录提示
    7. 关于用户名和密码规范
      1.  
        关于符合 STIG 规范的密码策略规则
  3. 用户授权
    1.  
      关于 NetBackup appliance 的用户授权
    2. 关于授权 NetBackup Appliance 用户
      1.  
        NetBackup appliance 用户角色权限
    3.  
      关于管理员用户角色
    4.  
      关于 NetBackupCLI 用户角色
  4. 入侵防护和入侵检测系统
    1.  
      关于 NetBackup appliance 上的 Symantec Data Center Security
    2.  
      关于 NetBackup appliance 入侵防护系统
    3.  
      关于 NetBackup appliance 入侵检测系统
    4.  
      重新查看 NetBackup 设备上的 SDCS 事件
    5.  
      在 NetBackup Appliance 上以非受控模式运行 SDCS
    6.  
      在 NetBackup Appliance 上以受控模式运行 SDCS
    7.  
      覆盖 NetBackup appliance 入侵防护系统策略
    8.  
      重新启用 NetBackup appliance 入侵防护系统策略
  5. 日志文件
    1.  
      关于 NetBackup appliance 日志文件
    2.  
      使用 Support 命令查看日志文件
    3.  
      可使用 Browse 命令从何处查找 NetBackup appliance 日志文件
    4.  
      通过 Datacollect 命令收集设备日志
    5.  
      日志转发功能概述
  6. 操作系统安全
    1.  
      关于 NetBackup Appliance 操作系统安全
    2.  
      NetBackup appliance 操作系统中包含的主要组件
    3.  
      NetBackup appliance 漏洞扫描
  7. 数据安全性
    1.  
      关于数据安全
    2.  
      关于数据完整性
    3.  
      关于数据分类
    4. 关于数据加密
      1.  
        KMS 支持
  8. Web 安全
    1.  
      关于 SSL 使用情况
    2.  
      实施第三方 SSL 证书
  9. 网络安全
    1.  
      关于 IPsec 通道配置
    2.  
      关于 NetBackup appliance 端口
  10. 自动通报安全
    1. 关于 AutoSupport
      1.  
        数据安全标准
    2. 关于自动通报
      1.  
        从 NetBackup Appliance Shell Menu配置自动通报
      2.  
        从设备 Shell 菜单启用和禁用“自动通报”功能
      3.  
        从 NetBackup Appliance Shell Menu配置自动通报代理服务器
      4.  
        了解自动通报工作流程
    3. 关于 SNMP
      1.  
        关于管理信息库 (MIB)
  11. IPMI 安全
    1.  
      IPMI 配置简介
    2.  
      建议的 IPMI 设置
    3.  
      替换默认 IPMI SSL 证书
  12. STIG 和 FIPS 一致性
    1.  
      NetBackup Appliance 的 OS STIG 加固
    2.  
      非强制 STIG 加固规则
    3.  
      NetBackup Appliance 的 FIPS 140-2 一致性
  13. 附录 A. 安全版本内容
    1.  
      NetBackup Appliance 安全版本内容

NetBackup Appliance 的 OS STIG 加固

安全技术实施指南 (STIG) 提供了用于提高信息系统和软件的安全性的技术指导,从而帮助防止计算机受到恶意攻击。这种安全性类型也称为加固。

从软件版本 3.1 开始,为了提高安全性,您可以启用 OS STIG 加固规则。这些规则基于国防信息系统局 (DISA) 的以下配置文件:

Red Hat Enterprise Linux 7 Server 的 STIG - 0.1.31 版

要启用这些规则,请使用以下命令:

Main_Menu > Settings > Security > Stig Enable,后跟维护密码。

请注意有关启用 STIG 的以下几点:

  • 启用该选项时,将显示强制执行的规则列表。命令输出还显示不强制执行的任何规则的例外情况。

  • 此命令不支持单个规则控制。

  • 对于高可用性 (HA) 设置中的设备(节点)中,必须在每个节点上手动启用此功能以确保转换后正常运行。

  • 启用该选项后,需要执行恢复出厂设置才可禁用关联的规则。

  • 如果已配置轻型目录访问协议 (LDAP),建议您先将其设置为使用传输层安全性 (TLS),然后再启用该选项。

注意:

如果在设备上启用了 STIG 功能,且需要在该设备上升级或安装 EEB,请勿计划在 4:00am - 4:30am 时段进行此类安装。按照此最佳做法,可以避免中断 AIDE 数据库和所有受监视文件的自动更新,而中断其自动更新可能会导致设备发出多个警报消息。

下面介绍了在启用该选项后强制执行的加固规则。每个规则均由通用配置枚举器 (CCE) 标识符、简短规则描述和安全内容自动化协议 (SCAP) 扫描程序严重性级别进行标识。软件版本 3.1 可处理扫描程序严重性级别为高和中的规则。

启用该选项后强制执行的规则

  • CCE-27127-0:启用虚拟地址空间的随机布局。

    扫描程序严重性级别:中

  • CCE-26900-1:禁止对 SUID 程序进行核心转储。

    扫描程序严重性级别:低

  • CCE-27050-4:限制对内核消息缓冲区的访问。

    扫描程序严重性级别:低

  • CCE-80258-7:禁用 kdump 内核崩溃分析程序。

    扫描程序严重性级别:中

  • CCE-27220-3:构建并测试 AIDE 数据库。

    扫描程序严重性级别:中

  • CCE-26952-2:配置 AIDE 的定期执行。

    扫描程序严重性级别:中

  • CCE-27303-7:修改系统登录提示。

    扫描程序严重性级别:中

  • CCE-27082-7:设置 SSH 客户端动态帐户。

    扫描程序严重性级别:中

  • CCE-27314-4:启用 SSH 警告提示。

    扫描程序严重性级别:中

  • CCE-27437-3:确保 auditd 收集有关使用特权命令的信息。

    扫描程序严重性级别:中

  • CCE-27309:设置引导加载程序密码。

    扫描程序严重性级别:高

  • CCE-80374-2:配置 AIDE 扫描结果的通知。

    扫描程序安全级别:中

  • CCE-80375-9:将 AIDE 配置为对访问控制列表 (ACL) 进行验证。

    扫描程序严重性级别:中

  • CCE-80376-7:将 AIDE 配置为对扩展属性进行验证。

    扫描程序严重性级别:中

  • CCE-27375-5:配置磁盘空间不足时的 auditd_space_left_action

    扫描程序严重性级别:中

  • CCE-27341-7:将 auditd 配置为使用 audispd_syslog_plugin

    扫描程序安全级别:中

  • CCE-27353-2:记录修改系统自主访问控制的事件 (fremovexattr)。

    扫描程序严重性级别:中

  • CCE-27410-0:记录修改系统自主访问控制的事件 (lremovexattr)。

    扫描程序严重性级别:中

  • CCE-27367-2:记录修改系统自主访问控制的事件 (removexattr)。

    扫描程序严重性级别:中

  • CCE-27204-7:记录修改登录和注销事件的尝试次数。

    扫描程序严重性级别:中

  • CCE-27347-4:确保 auditd 收集未经授权的文件访问尝试次数。

    扫描程序严重性级别:中

  • CCE-27447-2:确保 auditd 收集有关成功导出到介质的信息。

    扫描程序严重性级别:中

  • CCE-27206-2:确保 auditd 收集用户执行的文件删除事件。

    扫描程序严重性级别:中

  • CCE-27129-6:确保 auditd 收集有关内核模块加载和卸载的信息。

    扫描程序严重性级别:中

  • CCE-27333-4:设置最多连续重复字符数的密码规则。

    扫描程序严重性级别:中

  • CCE-27512-3:设置相同字符类的最多连续重复字符数的密码规则。

    扫描程序严重性级别:中

  • CCE-27214-6:设置最少数字字符数的密码强度。

    扫描程序严重性级别:中

  • CCE-27293-0:设置最小长度的密码规则。

    扫描程序严重性级别:中

  • CCE-27200-5:设置最少大写字符数的密码强度。

    扫描程序严重性级别:中

  • CCE-27360-7:设置最少特殊字符数的密码强度。

    扫描程序严重性级别:中

  • CCE-27345-8:设置最少小写字符数的密码强度。

    扫描程序严重性级别:中

  • CCE-26631-2:设置最少不同字符数的密码强度。

    扫描程序严重性级别:中

  • CCE-27115-5:禁止通过 modprobe 加载 USB 存储驱动程序。

    扫描程序严重性级别:中

  • CCE-27350-8:设置因密码尝试失败而拒绝访问的次数。

    扫描程序严重性级别:中

  • CCE-80353-6:为失败的密码尝试配置 root 帐户。

    扫描程序严重性级别:中

  • CCE-26884-7:为失败的密码尝试设置锁定时间。

    扫描程序严重性级别:中

  • CCE-27297-1:设置对失败的密码尝试进行计数的间隔。

    扫描程序严重性级别:中

  • CCE-27002-5:设置最短密码期限。

    扫描程序严重性级别:中

  • CCE-27051-2:设置最长密码期限。

    扫描程序安全级别:中

  • CCE-27081-9:限制每个用户允许的并行登录会话数。

    扫描程序严重性级别:低

始终强制执行的规则

以下规则始终强制执行,无法禁用。这些规则的加固符合“NIST 专刊 800-123”中所述的规范。有关更多信息,请参考以下内容:

http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-123.pdf

  • CCE-80165-4:配置用于忽略 ICMP 广播回显请求的内核参数。

    扫描程序严重性级别:中

  • CCE-80156-3:禁用默认情况下用于发送 ICMP 重定向的内核参数。

    扫描程序严重性级别:中

  • CCE-80156-3:禁用用于发送所有接口的 ICMP 重定向的内核参数。

    扫描程序严重性级别:中

  • CCE-27212-0:为在审核后台驻留程序之前启动的进程启用审核。

    扫描程序严重性级别:中

  • CCE-26957-1:确保已安装 Red Hat GPG 密钥。

    扫描程序严重性级别:高

  • CCE-27096-7:确保已安装 AIDE 软件包。

    扫描程序严重性级别:中

  • CCE-27351-6:安装 screen 软件包。

    扫描程序严重性级别:中

  • CCE-27268-2:限制串行端口以 root 身份登录。

    扫描程序严重性级别:低

  • CCE-27318-5:限制虚拟控制台以 root 身份登录。

    扫描程序严重性级别:中

  • CCE-27471-2:禁止在没有密码的情况下进行 SSH 访问。

    扫描程序严重性级别:高

  • CCE-27286-4:防止在没有密码的情况下登录到帐户。

    扫描程序严重性级别:高

  • CCE-27511-5:禁用 Ctrl-Alt-Del 重新启动激活。

    扫描程序严重性级别:高

  • CCE-27320-1:仅允许 SSH 协议版本 2。

    扫描程序严重性级别:高

  • CCE-27294-8:不允许直接以 root 身份登录。

    扫描程序严重性级别:中

  • CCE-80157-1:禁用用于 IP 转发的内核参数。

    扫描程序严重性级别:中

  • CCE-80158-9:配置用于接受所有接口的 ICMP 重定向的内核参数。

    扫描程序严重性级别:中

  • CCE-80163-9:配置默认情况下用于接受 ICMP 重定向的内核参数。

    扫描程序严重性级别:中

  • CCE-27327-6:禁用蓝牙内核模块。

    扫描程序严重性级别:中

  • CCE-80179-5:配置用于接受所有接口的源路由数据包的内核参数。

    扫描程序严重性级别:中

  • CCE-80220-7:禁用 GSSAPI 身份验证。

    扫描程序严重性级别:中

  • CCE-80221-5:禁用 Kerberos 身份验证。

    扫描程序严重性级别:中

  • CCE-80222-3:启用严格模式检查。

    扫描程序严重性级别:中

  • CCE-80224-9:禁用压缩或将压缩设置为延迟。

    扫描程序严重性级别:中

  • CCE-27455-5:只使用 FIPS 批准的 MAC。

    扫描程序严重性级别:中

  • CCE-80378-3:验证拥有 /etc/cron.allow 的用户。

    扫描程序严重性级别:中

  • CCE-80379-1:验证拥有 /etc/cron.allow 的组。

    扫描程序严重性级别:中

  • CCE-80372-6:禁用对用户已知主机的 SSH 支持。

    扫描程序严重性级别:中

  • CCE-80373-4:禁用对 rhosts RSA 身份验证的 SSH 支持。

    扫描程序严重性级别:中

  • CCE-27363-1:不允许使用 SSH 环境选项。

    扫描程序严重性级别:中

  • CCE-26989-4:确保 gpgcheck 已全局激活。

    扫描程序严重性级别:高

  • CCE-80349-4:确保安装的操作系统已经过认证。

    扫描程序严重性级别:高

  • CCE-27175-9:UID 只显示 0(进行更好地描述)。

    扫描程序严重性级别:高

  • CCE-27498-5:禁用自动装入程序。

    扫描程序严重性级别:中

  • CCE-80134-0:用户拥有所有文件。

    扫描程序严重性级别:中

  • CCE-80135-7:组拥有所有文件权限。

    扫描程序严重性级别:中

  • CCE-27211-2:sysctl_kernal_exec_shield

    扫描程序严重性级别:中

  • CCE-27352-4:验证是否隐藏所有帐户密码哈希。

    扫描程序严重性级别:中

  • CCE-27104-9:设置密码哈希算法 systemauth

    扫描程序严重性级别:中

  • CCE-27124-7:设置密码哈希算法 logindefs

    扫描程序严重性级别:中

  • CCE-27053-8:设置密码哈希算法 libusercon

    扫描程序严重性级别:中

  • CCE-27078-5:禁用预链接软件。

    扫描程序严重性级别:低

  • CCE-27116-3:在支持的 32 位 x86 系统上安装 PAE 内核。

    扫描程序严重性级别:低

  • CCE-27503-2:/etc/password 中引用的所有 GID 必须在 /etc/group 中进行定义。

    扫描程序严重性级别:低

  • CCE-27160-1:密码 pam retry。

    扫描程序严重性级别:低

  • CCE-27275-7:显示登录尝试次数。

    扫描程序严重性级别:低

  • CCE-80350-2:在 sudo 上删除 no_authenticate

    扫描程序严重性级别:中

  • CCE-26961-3:确保 /etc/default/grub 中未禁用 SELinux。

    扫描程序严重性级别:中

请参见非强制 STIG 加固规则