Veritas NetBackup™ Appliance セキュリティガイド

Last Published:
Product(s): Appliances (3.1.2 (5340), 3.1.2 (5330), 3.1.2 (5240), 3.1.2 (5230))
  1. NetBackup appliance セキュリティガイドについて
    1.  
      NetBackup appliance セキュリティガイドについて
  2. ユーザー認証
    1. NetBackup Appliance のユーザー認証について
      1.  
        NetBackup アプライアンスで認証できるユーザーの種類
    2. ユーザー認証の設定について
      1.  
        一般的なユーザー認証ガイドライン
    3.  
      LDAP ユーザーの認証について
    4.  
      Active Directory ユーザーの認証について
    5.  
      Kerberos-NIS ユーザーの認証について
    6.  
      アプライアンスのログインバナーについて
    7. ユーザー名とパスワードの仕様について
      1.  
        STIG 準拠パスワードポリシールールについて
  3. ユーザー権限の確認
    1.  
      NetBackup appliance におけるユーザー認可について
    2. NetBackup Appliance ユーザーの認可について
      1.  
        NetBackup appliance ユーザーロール権限
    3.  
      管理者ユーザーのロールについて
    4.  
      NetBackupCLI ユーザーロールについて
  4. 侵入防止、侵入検知システム
    1.  
      NetBackup appliance の Symantec Data Center Security について
    2.  
      NetBackup appliance の侵入防止システムについて
    3.  
      NetBackup appliance の侵入検知システムについて
    4.  
      NetBackup アプライアンスの SDCS イベントの見直し
    5.  
      NetBackup アプライアンスでのアンマネージモードでの SDCS の実行
    6.  
      NetBackup アプライアンスでのマネージモードでの SDCS の実行
  5. ログファイル
    1.  
      NetBackup appliance のログファイルについて
    2.  
      Support コマンドの使用によるログファイルの表示
    3.  
      Browse コマンドを使用した NetBackup appliance ログファイルの参照場所
    4.  
      NetBackup Appliance でのデバイスログの収集
    5.  
      ログ転送機能の概要
  6. オペレーティングシステムのセキュリティ
    1.  
      NetBackup アプライアンスのオペレーティングシステムのセキュリティについて
    2.  
      NetBackup appliance の OS の主要コンポーネント
    3.  
      NetBackup appliance の脆弱性スキャン
  7. データセキュリティ
    1.  
      データセキュリティについて
    2.  
      データ整合性について
    3.  
      データの分類について
    4. データの暗号化について
      1.  
        KMS サポート
  8. Web セキュリティ
    1.  
      SSL の使用について
    2.  
      サードパーティの SSL 証明書の実装
  9. ネットワークセキュリティ
    1.  
      IPsec チャネル設定について
    2.  
      NetBackup appliance ポートについて
    3.  
      NetBackup Appliance ファイアウォールについて
  10. コールホームセキュリティ
    1. AutoSupport について
      1.  
        データセキュリティ基準
    2. コールホームについて
      1.  
        NetBackup Appliance シェルメニューからのコールホームの構成
      2.  
        アプライアンスシェルメニューからのコールホームの有効化と無効化
      3.  
        NetBackup Appliance シェルメニューからのコールホームプロキシサーバーの構成
      4.  
        コールホームワークフローの理解
    3. SNMP について
      1.  
        MIB (Management Information Base) について
  11. リモート管理モジュール (RMM) セキュリティ
    1.  
      IPMI 設定の紹介
    2.  
      推奨される IPMI 設定
    3.  
      RMM ポート
    4.  
      リモート管理モジュールでの SSH の有効化
    5.  
      デフォルトの IPMI SSL 証明書の置換
  12. STIG と FIPS への準拠
    1.  
      NetBackup Appliance のための OS STIG の強化
    2.  
      適用外の STIG の強化ルール
    3.  
      NetBackup Appliance の FIPS 140-2 準拠
  13. 付録 A. セキュリティのリリース内容
    1.  
      NetBackup Appliance のセキュリティリリース内容

サードパーティの SSL 証明書の実装

Web サービスサポート用にサードパーティの証明書を手動で追加して実装できます。アプライアンスはセキュリティ証明書のリポジトリとして Java KeyStore を使用します。Java KeyStore (JKS) はセキュリティ証明書のリポジトリで、たとえば、SSL 暗号化のインスタンスに使用される認可証明書または公開鍵証明書のようなものです。 サードパーティの証明書をアプライアンスに実行するには、ルートアカウントでログインする必要があります。

メモ:

この手順についてサポートが必要な場合は、ベリタステクニカルサポートにお問い合わせください。

サードパーティの SSL 証明書を実装するには:

  1. Web サービスのための KeyStore ファイルを準備します。

    このタスクは使用する PKCS (公開鍵の暗号化標準) の種類によって異なります。選択する PKCS の種類にかかわらず、証明書ファイルには次の拡張子が付けられている必要があります。

    SubjectAlternativeName [

    DNSName: ホスト名と IP アドレス

    ホスト名はアプライアンスの完全修飾ドメイン名であり、IP アドレスはアプライアンスの完全修飾ドメイン名に対応します。

    PKCS# 7 および PKCS# 12 標準形式を使用する場合に必要な準備を次に示します。

    • PKCS#7 (X.509) 形式

      次のリンクを使用します。

      証明書の変換

    • PKCS#12 形式

      次の手順を実行します。

      • PEM 形式の x509 証明書と秘密鍵を PKCS# 12 に変換するには、次のコマンドを入力します。

        openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12 -name tomcat -CAfile ca.crt -caname root

        openssl の使用方法について詳しくは、https://www.openssl.org/ を参照してください。

      • 証明書ファイル server.crt の下部に、ルート CA 証明書を含めずに、ルート CA 証明書までの中間認証局 (CA) 証明書のチェーンが含まれていることを確認します。

      • PKCS #12 ファイルをパスワードで保護していることを確認してください。ファイルにパスワードを適用しないと、ファイルをインポートするときに NULL 参照例外が発生する可能性があります。

      • PKCS #12 ファイルを Java KeyStore に変換するには、次のコマンドを入力します。

        keytool -importkeystore -deststorepass appliance -destkeypass appliance -destkeystore keystore -srckeystore server.p12 -srcstoretype PKCS12 -srcstorepass some- password -alias tomcat

        メモ:

        -deststorepass オプションと -destkeypass オプションに同じパスワードを指定していることを確認してください。異なるパスワードを指定すると、Web サーバーの起動時に例外が発生する可能性があります。パスワードでは、英数字のみがサポートされます。デフォルトのパスワードは appliance です。また、-alias オプションに tomcat を指定していることを確認してください。異なるパスワードを指定すると、Web サーバーの起動時に例外が発生する可能性があります。

        keytool の使用方法について詳しくは、次のリンクを参照してください。

        http://docs.oracle.com/javase/8/docs/technotes/tools/solaris/keytool.html

  2. データベースと関連するサービスをシャットダウンするには、次のコマンドを入力します。

    systemctl stop nginx

    /opt/IMAppliance/scripts/infraservices.sh database stop

    /opt/IMAppliance/scripts/infraservices.sh webserver stop

  3. 既存の keystore ファイルを次のディレクトリにある新しい keystore ファイルに置き換えます。

    /opt/apache-tomcat/security/

  4. 新しい keystore ファイルに以下のアクセス権を設定します。

    chmod 700 /opt/apache-tomcat/security

    chmod 600 /opt/apache-tomcat/security/keystore

    chown - R tomcat:tomcat /opt/apache-tomcat/security

  5. 前の手順で、デフォルト以外の独自のパスワードを使用するように選択した場合は、次のコマンドを入力して Web サーバーの設定をアップデートします。

    /opt/apache-tomcat/vrts/scripts/tomcat_instance.py update --keystore --password <your password>

  6. /etc/rc.d/init.d/as-functions ファイルで Tomcat_Keystore と Tomcat_Keystore_Passwd の設定をアップデートします。
  7. 次のコマンドで、/etc/vxos-ssl/cert.conf から server_cert ファイルを取得して証明書をインポートします。

    /usr/bin/openssl pkcs12 -in server.p12 -out <server_cert> -passin pass: <keyPassword> -passout pass: <keyPassword>

  8. /etc/vxos-ssl/cert.conf から client_cert ファイルを取得し、ファイルの内容をルート CA 証明書に置き換えます。
  9. カスタマイズしたパスワードが /etc/vxos-ssl/cert.confpem_password と異なる場合は、カスタマイズしたパスワードを使用するように /etc/vxos-ssl/cert.conf を変更します。
  10. nginx を再起動するには、次のコマンドを入力します。

    /usr/sbin/update-nginx-conf.sh

    systemctl stop nginx

    systemctl start nginx

  11. Web サービスを再起動するには、次のコマンドを入力します。

    /opt/IMAppliance/scripts/infraservices.sh database start

    /opt/IMAppliance/scripts/infraservices.sh webserver start

  12. AutoSupport サービスを再起動するには、次のコマンドを入力します。

    service as-alertmanager stop

    service as-analyzer stop

    service as-transmission stop

    service as-alertmanager start

    service as-analyzer start

    service as-transmission start

  13. バージョン 3.1.2 以上の NetBackup Appliance メディアサーバーに関連付けられている各マスターサーバーの場合、配備する必要があるサードパーティの各ルート CA SSL 証明書に対して、各マスターサーバーで次のコマンドを実行します。ルートレベルからコマンドを実行する必要があります。

    • NetBackup UNIX ベースマスターサーバーまたはアプライアンスマスターサーバーの場合:

      /usr/openv/java/jre/bin/keytool -importcert -storepass 'cat /usr/openv/var/global/jkskey' -keystore /usr/openv/var/global/wsl/credentials/truststoreMSDP -file <path to root CA certificate file> -alias <descriptive label for root CA certificate>

    • NetBackup Windows ベースマスターサーバーの場合:

      • 次のパスにある jkskey ファイルから KeyStore パスワードを取得します。テキストエディタまたは「type」などのシェル/コマンドユーティリティを使用して jkskey ファイルを読み取ることができます。

        メモ:

        NetBackup がインストールされている適切なドライブ文字に C: を置換します。

        C:\Program Files\Veritas\NetBackup\var\global\jkskey

        注意:

        上記のパスは、NetBackup Web Management Console で使用される Java KeyStore ファイルの NetBackup パスワードを含むファイルを指します。このファイルは機密かつ重要として扱う必要があり、編集してはいけません。そうでなければ、NetBackup の動作が失敗します。

      • 次のコマンドを入力し、前回のタスクからのパスワードで keystore password を置換します。

        メモ:

        NetBackup がインストールされている適切なドライブ文字に C: を置換します。

        "C:\Program Files\Veritas\NetBackup\jre\bin\keytool" -importcert -keystore "C:\Program Files\Veritas\NetBackup\var\global\wsl\credentials\truststoreMSDP" -storepass <keystore password> -file "<path to root CA certificate file>" -alias <descriptive label for root CA certificate>