NetBackup™ 安全和加密指南
- NetBackup 安全通信前必读
- 通信失败情形
- NetBackup 安全不断提高
- 安全部署模型
- 审核 NetBackup 操作
- 第 I 部分. 身份信息和访问管理
- 关于身份信息和访问管理
- AD 和 LDAP 域
- 访问密钥
- API 密钥
- Auth.conf 文件
- 基于角色的访问控制
- 操作系统管理员的 NetBackup 界面访问权限
- 智能卡或数字证书
- 单点登录 (SSO)
- NetBackup Access Control (NBAC) 安全
- 配置 NetBackup Access Control (NBAC)
- 配置主服务器和介质服务器的“访问控制”主机属性
- 客户端的访问控制主机属性对话框
- 故障排除访问管理
- 关于确定谁可以访问 NetBackup
- 查看 NetBackup 用户组的特定用户权限
- 配置多重身份验证
- 配置多人授权
- 第 II 部分. 传输中数据加密
- NetBackup CA 和 NetBackup 证书
- 关于安全管理实用程序
- 有关主机管理
- 关于全局安全设置
- 关于基于主机名的证书
- 关于基于主机 ID 的证书
- 使用证书管理实用程序发布并部署基于主机 ID 的证书
- 关于 NetBackup 证书部署安全级别
- 建立与主服务器(证书颁发机构)的信任关系
- 关于重新颁发基于主机 ID 的证书
- 关于基于主机 ID 的证书的令牌管理
- 关于基于主机 ID 的证书吊销列表
- 关于吊销基于主机 ID 的证书
- 群集设置中基于主机 ID 的证书部署
- 迁移 NetBackup CA
- 配置传输中数据加密 (DTE)
- 外部 CA 和外部证书
- 关于 NetBackup 中的外部 CA 支持
- 用于外部 CA 签名证书的配置选项
- NetBackup 服务器和客户端的 ECA_CERT_PATH
- 关于外部 CA 的证书吊销列表
- 关于证书注册
- 为 NetBackup Web 服务器配置外部证书
- 关于群集主服务器的外部证书配置
- 重新生成密钥和证书
- NetBackup CA 和 NetBackup 证书
- 第 III 部分. 静态数据加密
- 静态数据加密安全
- NetBackup 密钥管理服务
- 外部密钥管理服务
- NetBackup 中用于安全通信的密码
- NetBackup 中的 FIPS 遵从性
- NetBackup Web 服务帐户
- 使用非特权用户(服务用户)帐户运行 NetBackup 服务
- 使用非特权用户帐户运行 NetBackup 命令
- NetBackup 中数据的不可变性和不可删除性
- 异常检测
- 第 IV 部分. 恶意软件扫描
扫描主机的前提条件
扫描主机是配置了所需恶意软件工具的主机。一旦其与 NetBackup 集成,NetBackup 便会在扫描主机上启动扫描。
确保满足以下前提条件:
扫描主机所需的最低配置是 8 个 CPU 和 32 GB RAM。
必须安装和配置恶意软件工具。
有关扫描主机支持的操作系统,请参考软件兼容性列表。
扫描主机必须配置有共享类型,即 NFS 或 SMB 客户端。
扫描主机上不需要 NetBackup 占用空间。具有 NetBackup 客户端或介质服务器的现有系统也可以用作扫描主机。
必须能够通过 SSH 从介质服务器访问扫描主机。
注意:
从介质服务器到扫描主机的 SSH 连接必须成功。
根据平台,执行以下操作:
(对于 Windows)
必须在 Windows 扫描主机上配置 OpenSSH。为 OpenSSH 创建防火墙规则,以便可以从介质服务器访问扫描主机。
请注意下列事项:
对于 Windows 2016,从 GITHub 存储库获取 OpenSSH,对于 Windows 2019,启用 OpenSSH 服务器功能。有关更多详细信息,请参考 Microsoft 文档。
如果介质服务器更新到 10.1.1 及更高版本,则 Microsoft Visual C/C++ 可再发行程序包是额外依赖项。
在 Windows 扫描主机上执行 nbmalwareutil 实用程序需要 Visual C/C++ 运行时库 DLL。可从 Microsoft Visual C++ 可再发行程序包最新支持的下载获取运行时 DLL。
(对于 Linux)
对于 Linux 扫描主机,默认登录 shell 必须为 bash。
要使 NetBackup 恶意软件检测实用程序在扫描主机上执行,请在扫描主机上安装
libnsl.so.1
库。如果存在最新版本的libnsl
库文件(例如/usr/lib64/libnsl.so.2
),则创建指向/usr/lib64/libnsl.so.2
文件的软链接文件/usr/lib64/libnsl.so.1
。创建软链接文件的示例:
# cd /usr/lib64 # ln -sf libnsl.so.2 libnsl.so.1
注意:
有关安装
libnsl
* 库文件的帮助,请与操作系统管理员联系。对于 Windows 上的非管理员用户:必须将 Windows 扫描主机的非管理员用户添加到管理员组。
对于 Linux 上的非 root 用户:
允许使用非 root 用户进行
ssh
连接。例如:在
/etc/ssh/sshd_config
文件中添加 Allow Users root scanuser 条目。注意:
扫描用户是在系统中创建的非 root 用户。
为用户提供装入和卸载权限。在
sodoers
文件中添加用户权限条目。例如:在
/etc/sudoers
文件中,添加以下项之一:scanuser ALL=(ALL) NOPASSWD:ALL
scanuser ALL=(ALL) NOPASSWD:/bin/umount, /bin/mount
在扫描主机上使用非 root 用户配置恶意软件工具。
注意:
如果使用 root 用户执行扫描,则更改
/tmp/malware
文件夹的权限,为非 root 用户提供写入权限。注意:
例如:chmod a+rwx /tmp/malware
NFS 共享类型的 Windows 扫描主机的前提条件
如果对 ID 映射进行了更改,请从 Web UI 再次运行扫描主机凭据验证。
- 启用本地
passwd
文件映射:C:\Users\Administrator> Set-NfsMappingStore -EnableUNMLookup $True -UNMServer localhost C:\Users\Administrator> nfsadmin mapping The following are the settings on localhost Mapping Server Lookup : Enabled Mapping Server : localhost AD Lookup : Disabled AD Domain :
- 该条目必须位于相应的文件中(采用文件类型格式),如下所示:
在
C:\Windows\System32\drivers\etc\passwd
文件中:scanuser:x:1001:1001:Description:C:\Users\scanuser
在
C:\Windows\System32\drivers\etc\group
文件中:scangroup:x:1001:1001
- 按如下所示重新启动
nfsadmin
客户端:nfsadmin client stop
nfsadmin client start
- 通过使用 PowerShell 运行以下命令来验证用户的 ID (UID/GID) 映射:
Get-NfsMappedIdentity -AccountName Administrator -AccountType User UserIdentifier : 0 GroupIdentifier : 0 UserName : Administrator PrimaryGroup : SupplementaryGroups :
注意:
对于 VMware 和云工作负载策略扫描,UID 和 GID 映射必须设置为 0。
(如果扫描主机是在 Azure 或 AWS 中通过 Marketplace 映像创建的)为扫描主机启用 root 访问权限,如下所示:
使用以下命令更改 root 密码:
- sudo -i passwd
更改
/etc/ssh/sshd_config
文件以提供 root 登录许可,如下所示:"PermitRootLogin yes" "PasswordAuthentication yes"
使用以下命令重新启动服务:
- service sshd reload
按如下所示更改
/etc/cloud/cloud.cfg
文件以启用 root 用户:disable_root 0