Veritas NetBackup™ Appliance 安全指南

Last Published:
Product(s): Appliances (5.1.1)
Platform: NetBackup Appliance OS
  1. 关于 NetBackup Appliance 安全指南
    1.  
      关于 NetBackup Appliance 安全指南
  2. 用户身份验证
    1. 关于 NetBackup Appliance 上的用户身份验证
      1.  
        可在 NetBackup Appliance 上进行身份验证的用户类型
    2. 关于配置用户身份验证
      1.  
        通用用户身份验证准则
    3.  
      关于对 LDAP 用户进行身份验证
    4.  
      关于对 Active Directory 用户进行身份验证
    5. 关于使用智能卡和数字证书进行身份验证
      1.  
        2FA
      2.  
        适用于 NetBackup Web UI 的智能卡身份验证
      3.  
        适用于 NetBackup Appliance Web UI 的智能卡身份验证
      4.  
        适用于 NetBackup Appliance 命令行操作界面的智能卡身份验证
      5.  
        配置基于角色的访问控制
      6.  
        为 NetBackup Web UI 配置使用智能卡或数字证书进行身份验证
    6. 关于单点登录 (SSO) 身份验证和授权
      1.  
        为 NetBackup Appliance 配置单点登录 (SSO)
    7.  
      关于设备登录提示
    8. 关于用户名和密码规范
      1.  
        关于符合 STIG 规范的密码策略规则
  3. 用户授权
    1.  
      关于 NetBackup Appliance 的用户授权
    2. 关于授权 NetBackup Appliance 用户
      1.  
        NetBackup Appliance 用户角色权限
    3.  
      关于管理员用户角色
    4.  
      关于 NetBackupCLI 用户角色
    5.  
      关于 NetBackup 中的用户授权
  4. 入侵防护和入侵检测系统
    1.  
      关于 NetBackup Appliance 上的 Symantec Data Center Security
    2.  
      关于 NetBackup Appliance 入侵防护系统
    3.  
      关于 NetBackup Appliance 入侵检测系统
    4.  
      查看 NetBackup Appliance 上的 SDCS 事件
    5.  
      在 NetBackup Appliance 上以非受控模式运行 SDCS
    6.  
      在 NetBackup Appliance 上以受控模式运行 SDCS
  5. 日志文件
    1.  
      关于 NetBackup Appliance 日志文件
    2.  
      使用 Support 命令查看日志文件
    3.  
      可使用 Browse 命令从何处查找 NetBackup Appliance 日志文件
    4.  
      收集 NetBackup Appliance 上的设备日志
    5.  
      日志转发功能概述
  6. 操作系统安全
    1.  
      关于 NetBackup Appliance 操作系统安全
    2.  
      NetBackup Appliance 操作系统中包含的主要组件
    3.  
      禁用用户对 NetBackup Appliance 操作系统的访问
    4.  
      管理对 maintenance shell 的支持访问
  7. 数据安全性
    1.  
      关于数据安全
    2.  
      关于数据完整性
    3.  
      关于数据分类
    4. 关于数据加密
      1.  
        KMS 支持
  8. Web 安全
    1.  
      关于 SSL 使用情况
    2.  
      关于实施外部证书
  9. 网络安全
    1.  
      关于 Network Access Control
    2.  
      关于 IPsec 通道配置
    3.  
      关于 NetBackup Appliance 端口
    4.  
      关于 NetBackup Appliance 防火墙
  10. “自动通报”安全功能
    1. 关于 AutoSupport
      1.  
        数据安全标准
    2. 关于自动通报
      1.  
        从 NetBackup Appliance 命令行操作界面配置自动通报
      2.  
        从 Appliance 命令行操作界面启用和禁用自动通报
      3.  
        从 NetBackup Appliance 命令行操作界面配置自动通报代理服务器
      4.  
        了解自动通报工作流程
    3. 关于 SNMP
      1.  
        关于管理信息库 (MIB)
  11. 远程管理模块 (RMM) 安全性
    1.  
      IPMI 配置简介
    2.  
      建议的 IPMI 设置
    3.  
      RMM 端口
    4.  
      在远程管理模块上启用 SSH
    5.  
      替换默认 IPMI SSL 证书
    6.  
      实施外部 IPMI SSL 证书
  12. STIG 和 FIPS 一致性
    1.  
      NetBackup Appliance 的操作系统 STIG 加固
    2.  
      NetBackup Appliance 符合 FIPS 140-2 标准
    3.  
      关于符合 FIPS 的密码
  13.  
    索引

建议的 IPMI 设置

此部分列出了建议的 IPMI 设置以确保安全的 IPMI 配置。

用户

创建 IPMI 用户时,请遵循下列建议:

  • 不使用空用户名或密码创建帐户。

  • 将管理用户的数量限制在一个。

  • 禁用任何匿名用户。

  • 要缓解 CVE-2013-4786 漏洞:

    • 使用强密码帮助阻止离线字典攻击和暴力强制攻击。建议的密码长度为 16-20 个字符。

    • 尽快更改默认用户密码 (sysadmin)。

    • 使用访问控制列表 (ACL) 或隔离的网络来限制对 IPMI 接口的访问。

    • 在不使用 IPMI 协议端口 (623) 时将其关闭 ,以缓解与 IPMI 协议关联的安全风险 (CVE-2013-4786)。有关详细信息,请参见 https://nvd.nist.gov/vuln/detail/CVE-2013-4786

登录

对 IPMI 用户应用登录设置时,请使用下列建议:

表:登录安全设置

设置

建议值

失败的登录尝试

3

用户锁定时间(分钟)

60 秒

强制 HTTPS

启用“强制 HTTPS”以确保 IPMI 连接始终使用 HTTPS。

Web 会话超时

1800

KCS 策略控制模式

对于使用 BIOS 版本 2.01.0010 或更高版本更新的 NetBackup Appliance 型号 5250、5340 和 5350,登录到 IPMI 控制台时会显示以下消息:

KCS Policy Control Mode is Allow All.
This setting is intended for BMC provisioning and is
considered insecure for deployment.

您可以放心地忽略此消息,因为 KCS 策略设置仅影响操作系统级别的 IPMI 命令的带内访问。这些命令只能由 root 级别用户访问。此默认策略设置与以前 Veritas 产品版本的设置相匹配。

LDAP 设置

Veritas 建议启用通过 OpenLDAP 进行 LDAP 身份验证。IPMI 子系统与 Active Directory 不兼容。

SSL 上传

Veritas 建议导入新的或自定义的 SSL 证书。

远程会话

表:远程会话安全设置

设置

建议值

KVM 加密

Stunnel

注意:

BMC 固件 01.51.11142 中的 KVM 加密已删除对 AES 和 RC4 算法的支持。

介质加密

启用

您也可以使用 iKVM over HTML5 登录到 Appliance 命令行操作界面。

注意:

HTML5 选项仅适用于具有固件 (BIOS) 版本 00.01.0016 或更高版本的 Appliance。

密码建议

为了帮助防止未经过身份验证进行 IPMI 用户操作或活动,应禁用特定密码。要进一步获取帮助,请与技术支持联系并通知技术支持代表参考编号为 000127964 的文章。

以太网连接设置

对 IPMI 使用专用的以太网连接,避免共享物理服务器连接。

  • 使用静态 IP。

  • 避免使用 DHCP。