Veritas NetBackup™ Appliance 安全指南

Last Published:
Product(s): Appliances (5.1.1)
Platform: NetBackup Appliance OS
  1. 关于 NetBackup Appliance 安全指南
    1.  
      关于 NetBackup Appliance 安全指南
  2. 用户身份验证
    1. 关于 NetBackup Appliance 上的用户身份验证
      1.  
        可在 NetBackup Appliance 上进行身份验证的用户类型
    2. 关于配置用户身份验证
      1.  
        通用用户身份验证准则
    3.  
      关于对 LDAP 用户进行身份验证
    4.  
      关于对 Active Directory 用户进行身份验证
    5. 关于使用智能卡和数字证书进行身份验证
      1.  
        2FA
      2.  
        适用于 NetBackup Web UI 的智能卡身份验证
      3.  
        适用于 NetBackup Appliance Web UI 的智能卡身份验证
      4.  
        适用于 NetBackup Appliance 命令行操作界面的智能卡身份验证
      5.  
        配置基于角色的访问控制
      6.  
        为 NetBackup Web UI 配置使用智能卡或数字证书进行身份验证
    6. 关于单点登录 (SSO) 身份验证和授权
      1.  
        为 NetBackup Appliance 配置单点登录 (SSO)
    7.  
      关于设备登录提示
    8. 关于用户名和密码规范
      1.  
        关于符合 STIG 规范的密码策略规则
  3. 用户授权
    1.  
      关于 NetBackup Appliance 的用户授权
    2. 关于授权 NetBackup Appliance 用户
      1.  
        NetBackup Appliance 用户角色权限
    3.  
      关于管理员用户角色
    4.  
      关于 NetBackupCLI 用户角色
    5.  
      关于 NetBackup 中的用户授权
  4. 入侵防护和入侵检测系统
    1.  
      关于 NetBackup Appliance 上的 Symantec Data Center Security
    2.  
      关于 NetBackup Appliance 入侵防护系统
    3.  
      关于 NetBackup Appliance 入侵检测系统
    4.  
      查看 NetBackup Appliance 上的 SDCS 事件
    5.  
      在 NetBackup Appliance 上以非受控模式运行 SDCS
    6.  
      在 NetBackup Appliance 上以受控模式运行 SDCS
  5. 日志文件
    1.  
      关于 NetBackup Appliance 日志文件
    2.  
      使用 Support 命令查看日志文件
    3.  
      可使用 Browse 命令从何处查找 NetBackup Appliance 日志文件
    4.  
      收集 NetBackup Appliance 上的设备日志
    5.  
      日志转发功能概述
  6. 操作系统安全
    1.  
      关于 NetBackup Appliance 操作系统安全
    2.  
      NetBackup Appliance 操作系统中包含的主要组件
    3.  
      禁用用户对 NetBackup Appliance 操作系统的访问
    4.  
      管理对 maintenance shell 的支持访问
  7. 数据安全性
    1.  
      关于数据安全
    2.  
      关于数据完整性
    3.  
      关于数据分类
    4. 关于数据加密
      1.  
        KMS 支持
  8. Web 安全
    1.  
      关于 SSL 使用情况
    2.  
      关于实施外部证书
  9. 网络安全
    1.  
      关于 Network Access Control
    2.  
      关于 IPsec 通道配置
    3.  
      关于 NetBackup Appliance 端口
    4.  
      关于 NetBackup Appliance 防火墙
  10. “自动通报”安全功能
    1. 关于 AutoSupport
      1.  
        数据安全标准
    2. 关于自动通报
      1.  
        从 NetBackup Appliance 命令行操作界面配置自动通报
      2.  
        从 Appliance 命令行操作界面启用和禁用自动通报
      3.  
        从 NetBackup Appliance 命令行操作界面配置自动通报代理服务器
      4.  
        了解自动通报工作流程
    3. 关于 SNMP
      1.  
        关于管理信息库 (MIB)
  11. 远程管理模块 (RMM) 安全性
    1.  
      IPMI 配置简介
    2.  
      建议的 IPMI 设置
    3.  
      RMM 端口
    4.  
      在远程管理模块上启用 SSH
    5.  
      替换默认 IPMI SSL 证书
    6.  
      实施外部 IPMI SSL 证书
  12. STIG 和 FIPS 一致性
    1.  
      NetBackup Appliance 的操作系统 STIG 加固
    2.  
      NetBackup Appliance 符合 FIPS 140-2 标准
    3.  
      关于符合 FIPS 的密码
  13.  
    索引

关于 NetBackup Appliance 上的用户身份验证

通过用户帐户对 NetBackup Appliance 进行管理。您可以创建本地用户帐户,也可以注册属于远程目录服务的用户和用户组。每个用户帐户必须使用用户名和密码进行身份验证以访问设备。对于本地用户,用户名和密码在设备上管理。对于已注册的远程用户,用户名和密码由远程目录服务管理。

为使新用户帐户能够登录并访问设备,必须首先对其授权一个角色。默认情况下,新用户帐户未分配角色,因此在您为其授予角色之前无法登录。

表:NetBackup Appliance 帐户类型描述了设备上可用的用户帐户。

表:NetBackup Appliance 帐户类型

帐户名称

描述

admin

admin 帐户是 NetBackup Appliance 上的默认管理员用户。此帐户提供默认管理员用户的完全 Appliance 访问和控制权限。

以下默认登录凭据与新 Appliance 一起提供:

  • 用户名:admin

  • 密码:P@ssw0rd

当从设备装入或映射共享时,请注意以下要求:

  • Windows:只有本地 admin 帐户有权装入或映射 Windows CIFS 共享。

  • Linux:只有具有 root 访问权限帐户的用户可以直接发出装入命令以装入 NFS 共享。

AMSadmin

AMSadmin 帐户向以下设备接口提供完全访问权限:

  • Appliance Management Console

  • NetBackup Appliance 网页操作界面

  • NetBackup Appliance 命令行操作界面

  • NetBackup 管理控制台

有关此帐户的完整详细信息,请参见《Veritas Appliance 管理指南》

maintenance

maintenance 帐户由 Veritas 支持通过 NetBackup Appliance 命令行操作界面使用(在以管理员身份登录之后)。此帐户专用于执行维护活动或对设备进行故障排除。

注意:

此帐户还用于进行 GRUB 更改以及启用 STIG 选项时用于单用户模式引导。

nbasecadmin

nbasecadmin 帐户由安全管理员用户用于在 NetBackup 中进行基于角色的访问控制 (RBAC) 以及管理备份和还原操作。从 Appliance 版本 3.1.2 开始,当对设备主服务器执行初始配置或升级设备主服务器时,将自动创建此用户。

创建后,将为此帐户分配默认设备密码。当此用户首次登录 NetBackup Appliance 命令行操作界面时,系统会提示更改该帐户的默认密码。

注意:

在更改默认密码之前,此用户无法登录 NetBackup Web UI。

更改默认密码后,默认情况下,nbasecadmin 用户可以拥有以下访问权限和特权:

  • NetBackup Web UI

    对 NetBackup Web UI 的访问权限允许此用户为其他 NetBackup 用户设置用户角色、管理所有 NetBackup 安全设置以及执行备份和还原操作。

    nbasecadmin 用户还可以将 NetBackup 角色分配给设备上的本地用户,也可以分配给 LDAP 服务器或 Active Directory (AD) 服务器上注册的用户。请参见关于 NetBackup 中的用户授权

    注意:

    从软件版本 3.2 开始,您可以为 nbasecadmin 用户分配备份和还原权限。如果从早期版本升级,则必须手动为 nbasecadmin 用户帐户添加备份和还原权限。有关详细信息,请参见《NetBackup Web UI 安全管理指南》

  • NetBackup Appliance 命令行操作界面

    登录 NetBackup Appliance 命令行操作界面来更改该帐户的密码。只能访问 Main > Settings > Password 视图。

    此视图对 nbasecadmin 用户以及设备上未分配任何角色的所有设备本地用户可见。当 nbasecadmin 用户登录命令行操作界面时,仅以下菜单项可用:

    退出

    密码

nbasecadmin 用户的访问规则也可以更改为允许更多权限。要访问 NetBackup Web UI,此用户可以打开浏览器窗口并输入以下 URL:https://<appliance primary server FQDN>/webui

有关 RBAC 和 NetBackup 用户角色管理的更多信息,请参见 NetBackup Web UI Security Administrator’s Guide(《NetBackup Web UI 安全管理指南》)。

下面介绍了仅供内部用户使用的帐户。这些帐户不允许系统通过 NetBackup Appliance 网页操作界面或 NetBackup Appliance 命令行操作界面进行访问。

表:NetBackup Appliance 内部帐户类型

帐户名称

描述

sisips

sisips 帐户是一个内部用户,用于实施 SDCS 策略。

root

root 帐户是一个受限制的用户,只能由 Veritas 支持访问以用于执行维护任务。如果您尝试访问此帐户,则会显示以下消息:

Permission Denied !! Access to the root account requires 
overriding the Intrusion Security Policy.

nbcopilotxxxx

支持从主服务器访问介质服务器时进行身份验证。

nbwebsvc

不支持身份验证。

请参见关于授权 NetBackup Appliance 用户