Veritas NetBackup™ Appliance 安全指南

Last Published:
Product(s): Appliances (3.2)
Platform: NetBackup Appliance OS
  1. 关于 NetBackup appliance 安全指南
    1.  
      关于 NetBackup appliance 安全指南
  2. 用户身份验证
    1. 关于 NetBackup Appliance 上的用户身份验证
      1.  
        可在 NetBackup Appliance 上进行身份验证的用户类型
    2. 关于配置用户身份验证
      1.  
        通用用户身份验证准则
    3.  
      关于对 LDAP 用户进行身份验证
    4.  
      关于对 Active Directory 用户进行身份验证
    5.  
      关于使用智能卡和数字证书进行身份验证
    6.  
      关于对 Kerberos-NIS 用户进行身份验证
    7.  
      关于设备登录提示
    8. 关于用户名和密码规范
      1.  
        关于符合 STIG 规范的密码策略规则
  3. 用户授权
    1.  
      关于 NetBackup appliance 的用户授权
    2. 关于授权 NetBackup Appliance 用户
      1.  
        NetBackup appliance 用户角色权限
    3.  
      关于管理员用户角色
    4.  
      关于 NetBackupCLI 用户角色
  4. 入侵防护和入侵检测系统
    1.  
      关于 NetBackup appliance 上的 Symantec Data Center Security
    2.  
      关于 NetBackup appliance 入侵防护系统
    3.  
      关于 NetBackup appliance 入侵检测系统
    4.  
      重新查看 NetBackup 设备上的 SDCS 事件
    5.  
      在 NetBackup Appliance 上以非受控模式运行 SDCS
    6.  
      在 NetBackup Appliance 上以受控模式运行 SDCS
  5. 日志文件
    1.  
      关于 NetBackup appliance 日志文件
    2.  
      使用 Support 命令查看日志文件
    3.  
      可使用 Browse 命令从何处查找 NetBackup appliance 日志文件
    4.  
      收集 NetBackup Appliance 上的设备日志
    5.  
      日志转发功能概述
  6. 操作系统安全
    1.  
      关于 NetBackup Appliance 操作系统安全
    2.  
      NetBackup appliance 操作系统中包含的主要组件
    3.  
      NetBackup appliance 漏洞扫描
  7. 数据安全性
    1.  
      关于数据安全
    2.  
      关于数据完整性
    3.  
      关于数据分类
    4. 关于数据加密
      1.  
        KMS 支持
  8. Web 安全
    1.  
      关于 SSL 使用情况
    2.  
      实施第三方 SSL 证书
  9. 网络安全
    1.  
      关于 IPsec 通道配置
    2.  
      关于 NetBackup appliance 端口
    3.  
      关于 NetBackup Appliance 防火墙
  10. “自动通报”安全功能
    1. 关于 AutoSupport
      1.  
        数据安全标准
    2. 关于自动通报
      1.  
        从 NetBackup Appliance 命令行操作界面配置自动通报
      2.  
        从设备 Shell 菜单启用和禁用自动通报
      3.  
        从 NetBackup Appliance 命令行操作界面配置自动通报代理服务器
      4.  
        了解自动通报工作流程
    3. 关于 SNMP
      1.  
        关于管理信息库 (MIB)
  11. 远程管理模块 (RMM) 安全性
    1.  
      IPMI 配置简介
    2.  
      建议的 IPMI 设置
    3.  
      RMM 端口
    4.  
      在远程管理模块上启用 SSH
    5.  
      替换默认 IPMI SSL 证书
  12. STIG 和 FIPS 一致性
    1.  
      NetBackup appliance 的操作系统 STIG 加固
    2.  
      非强制 STIG 加固规则
    3.  
      NetBackup appliance 符合 FIPS 140-2 标准
  13. 附录 A. 安全版本内容
    1.  
      NetBackup Appliance 安全版本内容
  14.  
    索引

非强制 STIG 加固规则

本主题介绍 NetBackup appliance 上当前未强制执行的“安全技术操作指南 (STIG)”规则。出于以下原因(包括但不限于),可能不会强制执行此列表中的规则:

  • 为未来设备软件版本计划强制执行规则。

  • 备用方法可用于提供满足或超过规则中所述方法的保护。

  • NetBackup appliance 上未使用或不支持该规则中所述的方法。

以下内容介绍了当前未强制执行的 STIG 规则:

  • CCE-26876-3:确保为所有 yum 软件包存储库启用 gpgcheck

    扫描程序严重性级别:高

  • CCE-27209-6:验证并更正 rpm 的文件权限。

    扫描程序严重性级别:高

  • CCE-27157-7:使用 rpm 验证文件哈希。

    扫描程序严重性级别:高

  • CCE-80127-4:安装 McAfee Antivirus

    扫描程序严重性级别:高

  • CCE-26818-5:安装入侵检测软件。

    扫描程序严重性级别:高

  • CCE-27334-2:确保强制执行 SELinux 状态。

    扫描程序严重性级别:高

  • CCE-80226-4:启用经过加密的 X11 转发。

    扫描程序严重性级别:高

  • CCE-27386-2:确保不使用默认的 SNMP 密码。

    扫描程序严重性级别:高

  • CCE-80126-6:安装资产配置遵从性模块 (ACCM)。

    扫描程序严重性级别:中

  • CCE-80369-2:安装策略审核员 (PA) 模块。

    扫描程序严重性级别:中

  • CCE-27277-3:禁止通过 modprobe 加载 USB 存储驱动程序。

    扫描程序严重性级别:中

  • CCE-27349-0:为传入数据包设置默认的 firewalld 区域。

    扫描程序严重性级别:中

  • CCE-80170-4:安装 libreswan 软件包。

    扫描程序严重性级别:中

  • CCE-80223-1:启用特权分离。

    扫描程序严重性级别:中

  • CCE-80347-8:确保为本地软件包启用 gpgcheck

    扫描程序严重性级别:高

  • CCE-80348-6:确保为存储库元数据启用 gpgcheck

    扫描程序严重性级别:高

  • CCE-80358-5:安装 dracut_fips 软件包。

    安全扫描程序级别:中

  • CCE-80359-3:在 GRand Unified Bootloader 版本 2 (GRUB2) 中启用 FIPS 模式。

    扫描程序严重性级别:中

  • CCE-27557-8:设置交互式会话超时以终止空闲会话。

    扫描程序严重性级别:中

  • CCE-80377-5:将 AIDE 配置为使用 FIPS 140-2 验证哈希。

    扫描程序严重性级别:中

  • CCE-80351-0:确保用户对权限提升 (sudo_NOPASSWD) 重新进行身份验证。

    扫描程序严重性级别:中

  • CCE-27355-7:设置帐户不活动后的到期日期。

    扫描程序严重性级别:中

  • CCE-80207-4:启用智能卡登录。

    扫描程序严重性级别:中

  • CCE-27370-6:配置磁盘空间不足时的 auditd_admin_space_left_action

    安全扫描程序级别:中

  • CCE-27295-5:只使用经过批准的密码。

    扫描程序严重性级别:中

  • CCE-26548-8:禁止通过 bootloader 配置实现 USB 的内核支持。

    扫描程序严重性级别:低

  • CCE-27128-8:对分区进行加密。

    扫描程序严重性级别:高

  • CCE-26895-3:确保已安装软件修补程序。

    扫描程序安全级别:高

  • CCE-27279-9:配置 SE Linux 策略。

    扫描程序严重性级别:高

  • CCE-27399-5:卸载 ypserv 软件包。

    扫描程序严重性级别:高

  • CCE-80128-2:启用服务钉。

    扫描程序严重性级别:中

  • CCE-80129-0:更新病毒扫描定义。

    扫描程序严重性级别:中

  • CCE-27288-0:确保 SE Linux 已限制所有后台驻留程序。确保 SE Linux 已限制所有后台驻留程序。

    扫描程序严重性级别:中

  • CCE-27326-8:确保 SE Linux 未对任何设备文件取消标记。/确保 SE Linux 已对所有设备文件进行标记。

    扫描程序严重性级别:中

  • CCE-80354-4:设置 UEFI 引导加载程序密码。

    扫描程序严重性级别:中

  • CCE-80171-2:验证任何已配置的 IPSec 隧道连接。

    扫描程序严重性级别:中

  • CCE-26960-5:禁止从引导固件中的 USB 设备引导。

    扫描程序严重性级别:低

  • CCE-27194-0:分配密码以防止对引导固件配置进行更改。

    扫描程序严重性级别:低

  • CCE-80516-8:配置 SSSD LDAP 后端客户端 CA 证书。

    扫描程序严重性级别:中

  • CCE-80515-0:配置 SSSD LDAP 后端客户端 CA 证书位置。

    扫描程序严重性级别:中

  • CCE-80546-5:将 SSSD LDAP 后端配置为对所有事务使用 TLS。

    扫描程序严重性级别:中

  • CCE-80437-7:在 SSSD 服务中配置 PAM。

    扫描程序严重性级别:中

  • CCE-80519-2:安装智能卡软件包以进行多重身份验证。

    扫描程序严重性级别:中

  • CCE-80520-0:为智能卡配置证书状态检查。

    扫描程序严重性级别:中

  • CCE-80526-7:用户初始化文件必须由主用户分组拥有。

    扫描程序严重性级别:中

  • CCE-80523-4:用户初始化文件不得运行全局可写程序。

    扫描程序严重性级别:中

  • CCE-80527-5:用户初始化文件必须由主用户拥有。

    扫描程序严重性级别:中

  • CCE-80524-2:确保用户的路径仅包含本地目录。

    扫描程序严重性级别:中

  • CCE-80528-3:所有交互用户都必须具有定义的主目录。

    扫描程序严重性级别:中

  • CCE-80529-1:所有交互用户主目录必须存在。

    扫描程序严重性级别:中

  • CCE-80534-1:主目录中的所有用户文件和目录必须由主用户分组拥有。

    扫描程序严重性级别:中

  • CCE-80533-3:主目录中的所有用户文件和目录必须由主用户拥有。

    扫描程序严重性级别:中

  • CCE-80535-8:主目录中所有用户文件和目录的权限都必须设置为模式 0750 或更低。

    扫描程序严重性级别:中

  • CCE-80532-5:所有交互用户主目录必须由主用户分组拥有。

    扫描程序严重性级别:中

  • CCE-80531-7:所有交互用户主目录必须由主用户拥有。

    扫描程序严重性级别:中

  • CCE-80525-9:确保所有用户初始化文件的权限设置为模式 0740 或更低。

    扫描程序严重性级别:中

  • CCE-80530-9:所有交互用户主目录的权限都必须设置为模式 0750 或更低。

    扫描程序严重性级别:中

  • CCE-80393-2:记录任何运行 chcon 的尝试。

    扫描程序严重性级别:中

  • CCE-80391-6:记录任何运行 semanage 的尝试。

    扫描程序严重性级别:中

  • CCE-80660-4:记录任何运行 setfiles 的尝试。

    扫描程序严重性级别:中

  • CCE-80392-4:记录任何运行 setsebool 的尝试。

    扫描程序严重性级别:中

  • CCE-80661-2:确保 auditd 收集有关内核模块加载的信息 (create_module)。

    扫描程序严重性级别:中

  • CCE-80415-3:确保 auditd 收集有关内核模块卸载的信息 (delete_module)。

    扫描程序严重性级别:中

  • CCE-80547-3:确保 auditd 收集有关内核模块加载和卸载的信息 (finit_module)。

    扫描程序严重性级别:中

  • CCE-80414-6:确保 auditd 收集有关内核模块加载的信息 (init_module)。

    扫描程序严重性级别:中

  • CCE-80383-3:记录修改登录和注销事件的尝试次数 (faillock)。

    扫描程序严重性级别:中

  • CCE-80402-1:确保 auditd 收集有关使用特权命令的信息 (sudoedit)。

    扫描程序严重性级别:中

  • CCE-80385-8:记录未经授权(未成功)的文件访问尝试次数 (create)。

    扫描程序严重性级别:中

  • CCE-80390-8:记录未经授权(未成功)的文件访问尝试次数 (ftruncate)。

    扫描程序严重性级别:中

  • CCE-80386-6:记录未经授权(未成功)的文件访问尝试次数 (open)。

    扫描程序严重性级别:中

  • CCE-80388-2:记录未经授权(未成功)的文件访问尝试次数 (open_by_handle_at)。

    扫描程序严重性级别:中

  • CCE-80387-4:记录未经授权(未成功)的文件访问尝试次数 (openat)。

    扫描程序严重性级别:中

  • CCE-80389-0:记录未经授权(未成功)的文件访问尝试次数 (truncate)。

    扫描程序严重性级别:中

  • CCE-80381-7:在审核失败时关闭系统。

    扫描程序严重性级别:中

  • CCE-80439-3:配置时间服务最大轮询间隔。

    扫描程序严重性级别:低

  • CCE-80541-6:配置 audispd 插件以将日志发送到远程服务器。

    扫描程序严重性级别:中

  • CCE-80539-0:在 audispd 插件中配置 disk_full_action 选项。

    扫描程序严重性级别:中

  • CCE-80540-8:加密使用 audispd 插件发送的审核记录。

    扫描程序严重性级别:中

  • CCE-80538-2:在 audispd 插件中配置 network_failure_action 选项。

    扫描程序严重性级别:中

  • CCE-80542-4:配置 firewalld 来为限制连接设定速率。

    扫描程序严重性级别:中

  • CCE-26828-4:禁用 DCCP 支持。

    扫描程序严重性级别:中

  • CCE-81153-9:将 nosuid 选项添加到 /home

    扫描程序严重性级别:低

  • CCE-80543-2:将系统用户映射到适当的 SELinux 角色。

    扫描程序严重性级别:中

  • CCE-80545-7:验证并更正 rpm 的所有权。

    扫描程序严重性级别:高

  • CCE-80512-7:防止无限制的邮件中继。

    扫描程序严重性级别:中

  • CCE-26884-7:为失败的密码尝试设置锁定时间。

    扫描程序严重性级别:中

请参见NetBackup appliance 的操作系统 STIG 加固