搜索 <book_title>...

NetBackup™ 安全和加密指南

Last Published: 2026-01-21

Product(s): NetBackup (11.1)

NetBackup 安全通信前必读
1. 关于 NetBackup 中的安全通信
2. 如何在安装过程中部署 NetBackup CA 签名证书（或基于主机 ID 的证书）
3. 如何与主服务器群集节点进行安全通信
4. 关于在群集应用程序节点上安装的 NetBackup 客户端
5. 如何在升级过程中将 NetBackup 证书部署到主机
6. 证书部署过程中何时需要授权令牌
7. 为何需要将主机名（或 IP 地址）映射到主机 ID
8. 如何重置主机属性或主机通信状态
9. 目录库恢复方面发生的更改
10. 自动映像同步复制发生的更改
11. 具有已吊销证书的主机如何工作
12. 是否对 NetBackup 证书进行备份
13. 是否可以为主服务器配置外部证书
14. 如何使用外部证书与主服务器群集节点进行安全通信
15. 外部证书吊销列表的工作原理
16. 当主机无法直接连接到主服务器时如何进行通信
17. NetBackup 8.1 或更高版本主机如何与 NetBackup 8.0 及更早版本主机通信
18. 如何在云配置中与旧式介质服务器通信
19. 通信失败情形
  1. 在与 8.0 或更早版本主机的通信期间失败
  2. 目录库备份失败
20. 对 NetBackup 域中其他主机的安全通信支持
21. 针对 BMR 的安全通信支持
22. 配置用于保护 SQL Server 的 VMware 备份以及使用多个 NIC 的 SQL Server 备份
NetBackup 安全不断提高
1. 关于 NetBackup 安全和加密
2. NetBackup 安全实现级别
3. 全球级别安全
4. 企业级别安全
5. 数据中心级别安全概述
6. NetBackup Access Control (NBAC)
7. 全球、企业和数据中心组合级别
8. NetBackup 安全实现类型
9. 操作系统安全
10. NetBackup 安全漏洞
11. 标准 NetBackup 安全
12. 客户端加密安全
13. 主服务器、介质服务器和图形用户界面上具备 NBAC 的安全
14. NBAC 完整安全
安全部署模型
1. 工作组
2. 单数据中心
3. 多数据中心
4. 采用 NetBackup 的工作组
5. 具备标准 NetBackup 的单数据中心
6. 具备客户端加密的单数据中心
7. 在主服务器和介质服务器上使用 NBAC 的单数据中心
8. 具备 NBAC 完整功能的单数据中心
9. 具备标准 NetBackup 的多数据中心
10. 具备客户端加密的多数据中心
11. 在主服务器和介质服务器上使用 NBAC 的多数据中心
12. 具备 NBAC 完整功能的多数据中心
审核 NetBackup 操作
1. 关于 NetBackup 审核
2. 查看当前审核设置
3. 关于审核事件
  1. 查看审核事件
  2. 与“访问历史记录”选项卡相关的审核问题故障排除
4. 审核记录的审核保留期限和目录库备份
5. 查看详细的 NetBackup 审核报告
6. 审核报告中的用户身份
7. 禁用审核
8. 审核失败的审核警报通知（NetBackup 管理控制台）
9. 将审核事件发送到系统日志
10. NetBackup 主服务器的 SYSLOG_AUDIT_USE_OCSF_FORMAT
第 I 部分. 身份信息和访问管理
1. 关于身份信息和访问管理
  1. 关于 NetBackup 中的访问控制
2. AD 和 LDAP 域
3. 访问密钥
4. API 密钥
5. Auth.conf 文件
  1. 授权文件 (auth.conf) 的特征
6. 基于角色的访问控制
7. 操作系统管理员的 NetBackup 界面访问权限
  1. 禁用操作系统 (OS) 管理员的命令行 (CLI) 访问权限
  2. 禁用操作系统 (OS) 管理员的 Web UI 访问权限
8. 智能卡或数字证书
9. 单点登录 (SSO)
  1. 关于单点登录 (SSO) 配置
  2. 配置 NetBackup 以进行单点登录 (SSO)
10. NetBackup Access Control (NBAC) 安全
将安全配置风险降至最低
1. 关于安全配置风险
2. 将风险降至最低需要配置的安全设置
3. 将当前状况设置为安全基准
4. 管理安全基准
5. 从 Alta View UI 管理安全基准
配置多重身份验证
1. 关于多重身份验证
2. 为用户帐户配置多重身份验证
3. 为用户帐户禁用多重身份验证
4. 对所有用户强制执行多重身份验证
5. 在域中强制执行多重身份验证时，为用户帐户配置多重身份验证
6. 为用户重置多重身份验证
配置多人授权
1. 关于多人授权
2. 为 NetBackup 操作配置多人授权的工作流程
3. 多人授权的 RBAC 角色和权限
4. 与角色相关的多人授权流程
5. 需要多人授权的 NetBackup 操作
6. 配置多人授权
7. 查看多人授权票证
8. 管理多人授权票证
9. 添加已豁免的用户
10. 计划多人授权票证的有效期和清除期限
11. 禁用多人授权
配置冻结模式
1. 关于 NetBackup 中的冻结模式
2. 冻结模式选项
3. 启用冻结模式
4. 编辑冻结模式配置选项
5. 禁用冻结模式
6. 使用命令行界面禁用冻结模式
NetBackup Web API 的网络访问控制
1. 关于控制 NetBackup Web API 的网络访问
2. 为 NetBackup Web 服务配置网络访问控制的工作流程
3. 网络访问控制配置的 RBAC 角色和权限
4. 配置网络访问控制选项
第 II 部分. 传输中数据加密
1. NetBackup CA 和 NetBackup 证书
2. 配置传输中数据加密 (DTE)
3. 外部 CA 和外部证书
4. 重新生成密钥和证书
第 III 部分. 静态数据加密
1. 静态数据加密安全
2. NetBackup 密钥管理服务配置
3. NetBackup 中的外部密钥管理服务配置
4. NetBackup 中的云密钥管理服务配置
5. NetBackup 中的硬件安全模块 (HSM) 支持
NetBackup 中用于安全通信的密码
1. NetBackup 中使用的加密算法
NetBackup 中的 FIPS 遵从性
1. 关于 FIPS
2. 关于 NetBackup 中的 FIPS 支持
3. 前提条件
4. 在 NetBackup 中指定熵随机性
5. 在 NetBackup 域中配置 FIPS 模式
6. 在 NetBackup 安装期间启用 FIPS 模式
7. 安装后在 NetBackup 主机上启用 FIPS 模式
8. 为 NetBackup 身份验证代理服务启用 FIPS 模式
9. 为 NetBackup 管理控制台启用 FIPS 模式
10. 为 NetBackup 禁用 FIPS 模式
11. NetBackup 服务器和客户端的 NB_FIPS_MODE 选项
12. NetBackup 服务器和客户端的 USE_URANDOM
NetBackup 中的后量子加密 (PQC) 支持
1. 关于后量子加密 (PQC)
2. 对 TLS 通信的 PQC 支持
3. 在 NetBackup 中配置 PQC
4. 为重复数据删除配置 PQC
NetBackup 中的 STIG 遵从性支持
1. 关于 STIG 遵从性支持
2. NetBackup 服务器和客户端的 NBFP_CHECK 选项
3. 使用 nbfp 命令验证和更正文件权限
NetBackup Web 服务帐户
1. 关于 NetBackup Web 服务帐户
2. 更改 Web 服务用户帐户
使用非特权用户（服务用户）帐户运行 NetBackup 服务
1. 关于 NetBackup 服务用户帐户
  1. 使用服务用户帐户的重要注意事项
2. 配置服务用户帐户
3. 在安装或升级后更改服务用户帐户
4. 授予服务用户帐户对外部路径的访问权限
5. 使用服务用户帐户运行的 NetBackup 服务
使用非特权用户帐户运行 NetBackup 命令
1. 使用 nbcmdrun 包装器命令运行 NetBackup 命令
  1. 谁可以运行 NetBackup 命令
  2. nbcmdrun 如何运行
NetBackup 中数据的不可变性和不可删除性
1. 关于不可篡改和不可删除数据
2. 配置不可篡改和不可删除数据的工作流程
3. 使用 bpexpdate 命令从存储中删除不可篡改映像
4. 使用 bpexpdate 命令从目录库中删除不可篡改映像
异常检测
1. 关于备份异常检测
2. 关于系统异常检测
3. 启用自动扫描的异常配置
4. NetBackup 中的熵和文件属性计算
计算主机
1. 关于计算主机
2. 添加计算主机
3. 激活计算主机
4. 停用计算主机
5. 编辑计算主机
6. 删除计算主机
7. 配置计算主机设置
第 IV 部分. 恶意软件扫描
1. 介绍
2. 如何设置恶意软件扫描
  1. 如何设置恶意软件扫描
3. 即时访问配置
4. 恶意软件工具配置
5. 扫描主机配置
6. 执行恶意软件扫描
  1. 在恢复之前执行恶意软件扫描
  2. 执行恶意软件扫描
7. 管理恶意软件和 YARA 扫描的扫描任务
8. 恶意软件扫描配置参数
9. 故障排除
  1. 对恶意软件扫描问题进行故障排除
威胁库
1. 关于威胁库和 YARA 规则文件
2. 添加威胁源
YARA 扫描
1. 关于 YARA 扫描
2. 配置 YARA 扫描的工作流程
3. 使用 YARA 扫描程序扫描备份映像
4. 按工作负载类型划分的 YARA 扫描资产

配置即时访问的 MSDP 自建 (BYO) 服务器前提条件和硬件要求

以下是使用即时访问 MSDP 自建 (BYO) 服务器功能的前提条件：

装有 Red Hat Enterprise Linux 7.6 或更高版本的 MSDP BYO 存储服务器支持即时访问功能。
SUSE Linux 不支持即时访问功能。
（对于 SMB）必须为即时访问设置基于 Active Directory 的用户身份验证。
有关更多信息，请参见 NetBackup 重复数据删除指南中的“基于 Active Directory 的身份验证”部分。
（对于 NFS）即时访问无需基于 Active Directory 的用户身份验证即可使用。
如果要通过 NFS 使用即时访问，则 NFS 服务必须已安装且正在运行。
如果要通过 CIFS/SMB 使用即时访问，则 Samba 服务必须已安装且正在运行。
必须在相应的存储服务器上配置 Samba 用户，然后在客户端上输入凭据。
有关更多信息，请参见 NetBackup 重复数据删除指南中的“基于 Active Directory 的身份验证”部分。
（对于 NFS）确保使用以下命令安装 nfs-utils：
yum install nfs-utils -y
（对于 SMB）
- 确保使用以下命令安装 Linux samba 和 samba winbind 软件包：
  yum install samba samba-common samba-winbind samba-winbind-clients samba-winbind-modules -y
- 确保运行以下命令以向 SMB 共享授予权限：
  setsebool -P samba_export_all_rw on
  setsebool -P samba_export_all_ro on
NGINX 已安装且正在运行。
- 从 Red Hat 软件集合安装 NGINX：
  有关说明，请参考 https://www.softwarecollections.org/en/scls/rhscl/rh-nginx114/。
  由于软件包名称取决于 NGINX 版本，请运行 yum search rh-nginx 以检查是否存在新版本。（对于 NetBackup 8.3，如果 NGINX 是从 Red Hat 软件集合安装的，则需要 EEB。）
- 从 EPEL 存储库安装 NGINX：
  有关存储库的安装说明和详细信息，请参考 https://fedoraproject.org/wiki/EPEL。
  EPEL 存储库是一项基于志愿者的社区活动，Red Hat 不提供商业支持。
- 在启动存储配置之前，请确保包含新的 BYO NGINX 配置条目 /etc/nginx/conf.d/byo.conf 作为原始 /etc/nginx/nginx.conf 文件 HTTP 部分的一部分。
- 如果已配置 SE Linux，请确保从同一 RHEL yum 源（RHEL 服务器）安装 policycoreutils 和 policycoreutils-python 软件包，然后运行以下命令：
  semanage port -a -t http_port_t -p tcp 10087
  setsebool -P httpd_can_network_connect 1
  使用以下命令在 SE Linux 中启用 logrotate 权限：
  semanage permissive -a logrotate_t
安装 NGINX 后，端口 80 上的 HTTP Web 服务默认处于启用状态。删除 /etc/nginx/conf.d/default.conf 或编辑该文件，以禁用 HTTP Web 服务（如果不需要）。
确保存储服务器上的 /mnt 文件夹不直接由任何装入点装入。装入点应装入其子文件夹。
如果在未安装 NGINX 服务的情况下配置或升级存储，然后在 BYO 上配置即时访问功能，请运行以下命令：
/usr/openv/pdde/vpfs/bin/vpfs_config.sh --configure_byo
（对于 Hyper-V 备份映像）要装入即时访问，介质服务器上需要以下库：
- libguestfs
- python3-libguestfs
- libguestfs-winsupport
- libguestfs-tools
- libguestfs-xfs
- libguestfs-tools
- libguestfs-tools-c
确保所需的网络端口处于打开状态。
请参见《NetBackup 网络端口参考指南》中的“NetBackup 介质服务器端口”。

CPU	内存	磁盘
最低 2.2 GHz 时钟速率。 64 位处理器。最少 4 个核心；建议使用 8 个核心。对于 64 TB 存储，Intel x86-64 体系结构需要八个核心。在 CPU 配置中启用 VT-X 选项。	16 GB（对于 8 TB 到 32 TB 的存储 - 为 1 TB 的存储分配 1 GB RAM）。对于 32 TB 以上的存储，需要 32 GB RAM。对于每个实时装入，还需要 500 MB RAM。	磁盘大小取决于备份大小。请参考 NetBackup 和介质服务器重复数据删除池 (MSDP) 的硬件要求。如果系统有多个数据分区，则所有分区的大小必须相同。示例：如果 BYO 服务器的第一个分区为 4 TB，则所有其他数据分区的大小必须为 4 TB。